Forum Debian Users Gang

Na drugim kompie jest windows, tablica routingu w kompie1 wygląda OK.
Jak zapuszczę na kompie1 iptraf a na kompie2 chcę wejść na jakąś stronę www to widzę, że pakiety UDP lecą od tego kompa do 192.168.1.1 czyli do bramy -czyli prawidłowo, ale nic nie leci odwrotnie- tylko w tym jednym kierunku. Ciągle przewija się gdzieś tam coś takiego: "icmp time excd"
Co u licha się dzieje? :(

Twoj ISP moze nie tylko ciac TTl, ale duzo wiecej rzeczy, w ktoryms temacie pdoawlem linka do artu o pajeczynach, tam miales dokaldnie opisane, o ile pamietam proxy jest chyba praktycznie nie do wykrycia...

iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

Tu jest blad , bo "-m state ..."  powinno byc przed -j TARGET

Pozdrawiam

Jak to? niby jak powinno być? Zawsze maskarady robiłem właśnie tak i zawsze dizałało bez problemu.

Jak to? niby jak powinno być? Zawsze maskarady robiłem właśnie tak i zawsze dizałało bez problemu.

Sluchaj ja tylko Ci napisalem ze wg www.netfilter.org jest to blad bo MATCH powinien byc przed TARGETem... Niemniej prosisz nas tu o pomoc w obejsciu admina czyli innymi slowy w podkradaniu netu ... Nie wiem cyz ktos bedzie chcial Ci w tym pomoc :) W kazdym razie nie mowie ze wina moze lezec w iptalbesach , wydaje sie ze sa OK, zawsze mozesz sprobowac zrobic prastsze (np dac cala polityke dla wszystkich 3 lancuchow na ACCEPT + MASQ i ten TTL +1 ) i sprawdzic co wtedy. Sposobow na  blokowanie ruchu jest troszke wiecej niz tylko male niewinne TTLe :) zalezy jak dobrego masz admina naprzeciw ..

Pozdrawiam

Time To Live czyli popularnie TTL - to czas zycia pakiety ...wurazony w hopkach (hops) cyzli przejsciach przez routery. Kazdy router (o ile nie jest skonfigurowany specjalnie (patrz regulka iptables powyzej) zmniejsza o jedne TTL w danym pakiecie podczas routowania go. Ocyzwiscie okreslenie Time To Life ma wiele innych znaczen w nauce i technice i w ktoryms z nich moze chodzic o "czas" w sekundach, ale nie tu. (podobnie jak Half Live to skrot z jadrowki oznaczajacy czas polowicznego rozmpadu izotopu)

Pozdrawiam

Tak na wszelki wypadek przeczytalem sobie jeszcze raz dokumentacje do TTL patcha - moze Kolega ma taracje, byc moze to ttl-inc-1 nie dziala u Ciebie dobrze ?

Pozdrawiam

Witam ponownie, znalazłem trochę czasu aby znów pokombinować. Oto na czym stanęło, wygląda to tak:
Interfejsy serwera:

auto lo
iface lo inet loopback

# WAN
auto eth0
iface eth0 inet static
    address 192.168.1.242
    netmask 255.255.255.0
    network 192.168.1.0
    broadcast 192.168.1.255
    gateway 192.168.1.1
    dns-nameservers 192.168.0.1 192.168.1.1 192.168.2.1 192.168.3.1
    hwaddress ether 00:06:4f:01:4e:a4

# LAN
auto eth1
iface eth1 inet static
    address 10.0.0.1
    netmask 255.255.255.0
    network 10.0.0.0
    broadcast 10.0.0.255

Fakt1: na serwerze jest necik bezproblemowo, serwer pinguje komp2 i odwrotnie

firewall serwera wygląda tak:

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE
iptables -A INPUT -s 10.0.0.0/24 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT

iptables -t mangle -A POSTROUTING -o eth1 -j TTL --ttl-inc 1

Fakt2: maskarada działa, komp2 może pingować kompy z zakresu 192.168.1.*
Przykłady pingów z serwera:
ping wp.pl: TTL=1
ping 192.168.1.1 (brama): TTL=1
ping 192.168.1.111 (jakiś komp z sieci): TTL=128

Przykłady pingów z kompa2:
ping 192.168.1.1 (brama): timed out
ping 192.168.1.111 (jakiś komp z sieci): TTL=128  -czyli "TTL --ttl-inc 1" działa bo podnosi ttl o 1, normalnie odpowiedź miałaby ttl=127

Mój ISP raczej nie przepuszcza tylko pakietów o jakimś konkretnym ttl bo przecież serwer ma ttl=64...

I co Wy na to? Bardzo mi się to wszystko nie podoba. Wygląda na to, że admin zrobił coś jeszcze oprócz tego nieszczęsnego ttl'a..... tylko co???

I jeszcze mam zagłostkę, jak zamiast

iptables -t mangle -A POSTROUTING -o eth1 -j TTL --ttl-inc 1

wpiszę

iptables -t mangle -A POSTROUTING -o eth1 -j TTL --set-ttl 128

to mi wywala że "value not set" Co to u licha?

Wypowiem sie co do tego ostatniego - powinno byc --ttl-set a nie --set-ttl ... i wszytko zagra :)

ano rzeczywiście... jakoś to tak bezmyślnie zrobiłem... w wikipedi zatem jest błąd: http://pl.wikipedia.org/wiki/Time_To_Live

Hmmm ale netu dalej nie ma tak?

Guzzi titaj chyba jest  troche inna bajaka:chodzi o ttl i o coś jeszcze

Wiesz co ja bym nalegal zebys wpisal po prostu te dwie regolki i zobaczysz co sie dzieje.

iptables -A OUTPUT -j TTL --ttl-set 128
iptables -A FORWARD -j TTL --ttl-set 128

Wedlug mnie powinno pojsc, pozniej sobie pozabezpieczasz bo z tego co widze na twoim firewall to podbijasz ttl tylko na interfejsie eth0, a zapomniales o eth1. Jezeli twoj ISP faktycznie obniza ttl to wtedy twoj serwer juz nie przeforwarduje pakietow dalej bo one na nim umieraja.