asterisk.ru

Это у провайдера туннельный адрес, которым он соединяет два своих сегмента реальных сетей. Он не хочет показывть, что бегает по чужим ожресам, вот в рамках одного своего IGRP или Interior BGP роутит всё вот так.

Спасибо! Буду восполнять пробелы в знаниях по маршрутизации.

zzuz писал(а):Техподдержка правильно говорит

+1

ded писал(а):Трафик по протоколу UDP - как они распознают, что это "от MTR"?

Да конечно никак, они ничего не "распознают". Это просто ТП так высказалась и судить её строго не получится, т.к. это ТП, а не администратор сети и они реально не всегда ведают что говорят.
Скорее всего они, как и все остальные в том числе и я, ограничивают пакеты к самой железке (её IPшникам). Связано это с тем, что пакеты для самой железяки обрабатываются на CPU девайса, а желающих попингать/потрейсить тысячи (в зависимости от размера прова). Поэтому считается что CPU девайса лучше по максимуму использовать для других целей, а именно для транзита трафика. Это вполне нормальная и обыденная ситуация. Если кто-то жалуется на потери, то админ сам проверяет, т.к. есть тех. подсеть/подсети, которая не будет попадать под фильтры.

fume-shroom писал(а):Кроме того, трейс имеет следующий вид

А что именно вас смущает ? Если это внутри сети самого прова, то если в трассе встречается серый ип ничего удивительного и "противозаконного". Пров экономит реальники видимо.

virus_net, у меня бы не было вопросов, если бы затыкались трейсы по icmp. Но тут использовался udp и мне хотелось бы знать, каким образом эта фильтрация проходит. При udp трассировке посылается пакет дейтаграмма с ttl>=1, а удалённый хост отвечает по icmp? Т.е ограничивается интенсивность ответов шлюза?

Советую для начала разобраться в терминологии используемых аргументов , прежде чем явно утверждать что-то .

fume-shroom писал(а):Но тут использовался udp

и ? можно накладывать фильтры как отдельно на icmp/udp/tcp так и на все вместе.

fume-shroom писал(а):мне хотелось бы знать, каким образом эта фильтрация проходит

А что в гугле забанили ?
Вот вам пример: История одной DDOS атаки на роутер и методы защиты Juniper routing engine
Который вполне конкретно показывает то как и что ограничивали.

TRACEROUTE — фильтруем пакеты, пропускаем только пакеты с TTL равным 1 и только на адреса принадлежащие роутеру. Ограничиваем полосу пропускания в 1Mb/s.

Опять же вопрос. Имеется ввиду фильтр на утилиту или всё заканчивается ограничением величины TTL? А если так, то этот вариант годится только для stub-роутера?

firewall у juniper легко читается. автор имеет в виду то, что написано в фильтрах: accept-traceroute,accept-traceroute-icmp,accept-traceroute-tcp
вы изначально спрашивали "как?", я привел вам ссылку примера с ответом на этот вопрос для Juniper.

этот вариант годится и для транзитного роутера

Спустя длительное время сделал трейс по udp (mtr -u X.X.X.X) на тот же самый ip. И - о чудо - потерь нет. Думается, все эти "фильтры по udp" были обычной отмазкой техподдержки.

не верный вывод