Forum Debian Users Gang

Chce go zablokować tylko na eth1.  Nie wiem jakim cudem przeskakuje mi eth0 nie zmieniając ip na bramkowe. Na eth1 (192.168.15.44) nie powinienem widzieć żadnego ruchu z ip 192.168.1.0/24.

Ostatnio edytowany przez Marek_boss (2009-07-07 09:46:50)

Moze na poczatek tcpdump aby zlapac troche danych testowych. Pozniej na tej podstawie werywikowac konfiguracje firewalla, pewnie masz gdzies luke, bo to nie powinno miec miejsca.
Jak juz rozwiazesz problem to napisz co i jak bo ciekawe to jest.

Na razie dostał 
iptables -A FORWARD -s 192.168.1.52 -d 192.168.15.44 -j DROP
i jest spokój :)

Ostatnio edytowany przez Marek_boss (2009-07-08 08:53:06)

Do ograniczania czy też blokowania p2p i nie tylko polecam layer7. Także ograniczenie ilości jednoczesnych połączeń też pomaga.

Nie chodzi mi o zablokowanie p2p, tylko żebym na serwerze w iptrafie nie widział na interface wyjściowym na świat ip z LAN-u.

z tcp dump na eth1 dostaje:

13:43:27.987871 IP (tos 0x0, ttl 118, id 46614, offset 1480, flags [+], proto: UDP (17), length: 1500) cfsdgszow.pl > 192.168.1.52: udp
13:43:27.988371 IP (tos 0x0, ttl 118, id 46614, offset 2960, flags [+], proto: UDP (17), length: 1500) sfdgk.sobifgzow.pl > 192.168.1.52: udp
13:43:27.988871 IP (tos 0x0, ttl 118, id 46614, offset 4440, flags [+], proto: UDP (17), length: 1500) sdfgk.sobifgzow.pl > 192.168.1.52: udp
13:43:27.989371 IP (tos 0x0, ttl 118, id 46614, offset 5920, flags [+], proto: UDP (17), length: 1500) fdsgk.sobifgssfg.pl > 192.168.1.52: udp
13:43:27.989621 IP (tos 0x0, ttl 118, id 46614, offset 7400, flags [none], proto: UDP (17), length: 879) sfgfgsdfow.pl > 192.168.1.52: udp
13:43:27.991369 IP (tos 0x0, ttl 122, id 18993, offset 1480, flags [+], proto: UDP (17), length: 1500) afdsg.nesfdgtpnet.pl > 192.168.1.52: udp
13:43:27.992119 IP (tos 0x0, ttl 122, id 18993, offset 2960, flags [+], proto: UDP (17), length: 1500) arsfdg.nesfdgadsl.tpnet.pl > 192.168.1.52: udp
13:43:27.992369 IP (tos 0x0, ttl 122, id 18993, offset 4440, flags [+], proto: UDP (17), length: 1500) aresfdg8.neosfdgdsl.tpnet.pl > 192.168.1.52: udp
13:43:27.992868 IP (tos 0x0, ttl 122, id 18993, offset 5920, flags [+], proto: UDP (17), length: 1500) aresg8.nesdfgsl.tpnet.pl > 192.168.1.52: udp
13:43:27.992874 IP (tos 0x0, ttl 122, id 18993, offset 7400, flags [none], proto: UDP (17), length: 879) aresfg8.nesfdgadsl.tpnet.pl > 192.168.1.52: udp
13:43:28.000114 IP (tos 0x0, ttl 122, id 64317, offset 1480, flags [+], proto: UDP (17), length: 1500) acsfdg5.nesfdgdsl.tpnet.pl > 192.168.1.52: udp
13:43:28.000614 IP (tos 0x0, ttl 122, id 64317, offset 2960, flags [+], proto: UDP (17), length: 1500) adsfg5.nesdfgdsl.tpnet.pl > 192.168.1.52: udp
13:43:28.001364 IP (tos 0x0, ttl 122, id 64317, offset 4440, flags [+], proto: UDP (17), length: 1500) acsfdg5.nesfdgsl.tpnet.pl > 192.168.1.52: udp
13:43:47.233503 IP (tos 0x0, ttl 122, id 482, offset 1480, flags [+], proto: UDP (17), length: 1500) aabtgs.nsfdgdsl.tpnet.pl > 192.168.1.52: udp
13:43:47.234002 IP (tos 0x0, ttl 122, id 482, offset 2960, flags [+], proto: UDP (17), length: 1500) aafsdg6.nsdfgsl.tpnet.pl > 192.168.1.52: udp

jak go zablokować?

Ostatnio edytowany przez Marek_boss (2009-08-07 13:56:46)

Tylko przychodzą. A jaką regułką można to skutecznie zablokować?
Generalnie nie chce na eth1 żadnych pakietów ani z ani do usera z jego wewnętrznym adresem. Wcześniej tak miałem, że na eth1 miałem tylko ruch z MODEMU i z ETH1. Teraz pokazują mie się ine adresy zza natu i mnie to denerwuje :(

gielo: routery dzialaj w l3 i najlepiej zeby tam pozostaly, a babranie sie w analize jeszcze l7 jest malo ze pozerajace zasoby tak i procesora jak i pamieci to jeszcze troche infiltrujace uzytkownikow. Latwiej jest przemyslec wszystkie widelki i ruch nieklasyfikowany wrzucac do najnizszego przedzialu (w tym w koncu i ruch p2p sie zawiera).

Co do blokowania na WAN, to dropowac wszelki ruch z sieci opisanych w RFC 1918, czyli 10/8, 172.16/12 i 192.168/16, a wiec adresacji prywatnej, no chyba ze interfejs WAN tez jest w puli prywatnych adresow.

Ostatnio edytowany przez qluk (2009-08-08 15:03:34)

Aby sklasyfikować ruch to trzeba go jakoś oznakować. Samo iptables niestety nie jest takie mądre i nie wie co pochodzi z p2p a co np. ze strony www. Można bawić się w podział na usługi po nr portów przypisując im odpowiedni priorytet ale w dzisiejszej dobie nic to nie da jako że internetowy syf z windowsa jak wirusy, trojany i inne g..o oraz programy p2p sobie z tym radzą bez problemu, chyba już nikogo nie dziwi p2p czy robal wykorzystujący port 80, 21, 22 czy inny powszechnie wykorzystywany więc potrzeba czegoś co rozpoznaje takie śmieci po nagłówkach a do tego właśnie służy layer7 czy też ipp2p. Layer7 pozwala na dużo więcej niż tylko znakowanie p2p. Jest to tylko jeden z filtrów jaki sam wykorzystuje w sieciach jakimi zarządzam i sprawdza się znakomicie.

Co do obciązeń to router sam w sobie nie generuje większego obciązenia i dodanie kilku dodatkowych zestawów filtrów w niczym mu nie przeszkadza. U mnie na serwerach z l7 i innymi gadżetami load jest na poziomie 0.0-0.2 Zużycie pamięci jest także bardzo małe. W sumie najwięcej zasobów pochłania lms i jego demon ale to już inna bajka

Ostatnio edytowany przez gielo (2009-08-09 19:35:20)

Marek_boss co mogę Ci doradzić
1. sprawa DROPOWANIE usera nie pomoże
2. Tworząc reguły ustaw politykę dla INPUT FORWARD na drop
pisząc reguły iptables dla MASQ SNAT/DNAT FORWADDU uzywaj notacji bezwzględnych mianowicie np:
iptables -A FORWARD -i eth0 -o eth1 -s ........
3. Zastosuj limitowanie ilości połączeń VIA user

NIE ma sensu korzystać z analizatorów ruchu takich jak ipp2p L7 (obciążenie procka wzrośnie a ich skuteczność jest dyskusyjna)

Kolejny problem zacznie CI się jak ten user wejdzie na 2 stopień wtajemniczenia i zacznie zmieniać mac/IP :]
i tutaj proponowałabym wprowadzenie następującego rozwiązania połączenia tunelowe... PtP np przy użyciu PPPoE postawić koncentrator każdy z uzytkowników ma login hasło i wiadomo co się dzieje nie ma żadnych kombinacji ;]