这个问题很简单:在小型局域网内部过滤数据包是否有意义,所以DMZ机器可以根据TTL访问内部的数据包? 我可以控制从内部局域网到外部都不会创build隧道,但是我不确定TTL值是可靠的,还是可以伪造的。
谢谢!
这是没有意义的尝试实施。 原因如下:
- TTL可以初始设置为任何原始系统感觉。 例如,这就是traceroute的工作方式。 因此,除了traceroute或防止路由循环之外,测量TTL并不是非常有用。
- 将DMZ从其他本地networking中分离出来的目的是保持DMZ上的妥协,以免影响这些本地networking,特别是以现在受损的DMZ系统发起的攻击的forms。