问题很简单:过滤小型 LAN 内的数据包是否有意义,以便 DMZ 机器可以根据 TTL 访问内部机器?我可以控制不从内部 LAN 到外部创建隧道,但我不确定 TTL 值是否可靠,或者是否可以伪造。
谢谢大家!!
答案1
尝试实施这一做法毫无意义。原因如下:
- TTL 可以初始设置为原始系统认为的任何值。例如,这就是 traceroute 的工作方式。因此,除了 traceroute 或防止路由循环之外,测量 TTL 对其他任何事情都没有什么用处。
- 将 DMZ 与其他本地网络分离的目的是为了防止 DMZ 上的攻击影响这些本地网络,特别是以从现已受损的 DMZ 系统发起的攻击的形式。