Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2011-06-08 00:20:08

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

iptables - regula blokujaca adres powiazany z adresami DNS.

Witam wszystkich. Wybrałem ten dział, ponieważ wydaje mi się, że konfiguracja iptables należy do podstawowj konfiguracji systemu. Jeśli się mylę i jest inaczej, proszę o przeniesienie tego wątku.
Pytanie jest krótkie, acz dla mnie kłopotliwe. Chodzi o regułę iptables dla łańcucha INPUT, która wygląda tak

Kod:

iptables -A INPUT -p tcp -syn -j DROP

Po późniejszym sprawdzeniu statusu reguł poprzez polecenie dostrzegłem, że jako source address blokowane jest IP, które jak się  okazało po sprawdzeniu via whois, jest powiązany z moimi adresami DNS. Powiedzmy, że na jednej stacji roboczej korzystam z OpenDNS ze względu na dość ciekawe opcje. Może mi ktoś wyjaśnić dlaczego tak się dzieje? Adresu jak i nazwy hosta nie podaje, ponieważ wydaje mi się, że nie jest to konieczne. W końcu dotyczy to reguły filtra.


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#2  2011-06-08 02:54:55

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

Czy mógłbyś odszyfrować pytanie?

Bo adres "powiązany" - co to takiego?

A ta reguła:

Kod:

iptables -A INPUT -p tcp -syn -j DROP

- ona ma odrzucać pakiety syn, czyli właściwie co robić?

Przecież  na otwarty port można się wbić zarówno protokołem  UDP, jak i dowolnym praktycznie pakietem TCP.
Wcale niekoniecznie pakietem syn.

Jak chcesz mi mocno poprawić humor, to pokaż resztę tego firewalla,
a na razie RTFM

Kod:

man iptables

W szczególności dopasowanie

Kod:

-m state --state NEW

Co do sposobu wysyłania pakietów , to np:
RTFM:

Kod:

man nmap
man nc

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-06-08 02:56:33)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2011-06-09 17:19:27

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

Chciałem tylko zablokować cały "przychodzący" ruch TCP/IP na komputerze, nic więcej. Nie jestem tu, aby poprawiać komuś humor, aczkolwiek jeżeli uważasz, że rozbawiłem Cię to bardzo mi miło ;-) Narazientos!

a propos "adresu powiązanego". Z tego co pamiętam to nazwa hosta (???domain.opendns.com) dla tego adresu, który po wpisaniu w/w reguły pojawił się w łańcuchu INPUT. Dlaczego? Nie podałem przecież żadnego źródła etc. Odszyfrowałem mam nadzieję...

Ostatnio edytowany przez remi (2011-06-09 17:24:25)


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#4  2011-06-09 17:28:23

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

Mój domowy fw:

Kod:

iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT  -i lo -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i eth0 -p tcp -m state --state INVALID,NEW -j CHAOS --delude 
-A INPUT -i eth0 ! -p tcp -m state --state INVALID,NEW -j CHAOS --delude 
-A INPUT -i eth0 -p tcp -m state --state INVALID,NEW -j TARPIT 
-A INPUT -i eth0 ! -p tcp -m state --state INVALID,NEW -j STEAL 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Działa wszystko, natomiast skanując z zewnątrz w ogóle nie można stwierdzić, co tam jest za system, wygląda to na jakiś router.

Pod rozwagę, najprostszy możliwy przykład, który niczego zbędnego nie wpuszcza:
http://pl.wikibooks.org/wiki/Sieci:Linux/Netfilter/ … rzyk%C5%82ady

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-06-10 05:46:20)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2011-06-16 22:37:35

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

Mój domowy filtr jest łudząco podobny do Twojego. Niemniej trochę bardziej "rozbudowany". Ale nie o to chodzi. Zaciekawiło mnie to, dlaczego po wpisaniu w/w reguły, sprawdzeniu statusu filtra via iptables -L w kolumnie sources pojawił się adres IP wraz z hostem, który podałem w poprzednim poście. Jest jakaś w miarę sensowna odpowiedź?


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#6  2011-06-17 08:39:04

  ba10 - Członek DUG

ba10
Członek DUG
Skąd: jesteś ?
Zarejestrowany: 2006-03-07
Serwis

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

Podaj proszę całą konfigurację dotyczącą iptables oraz wynik polecenia iptables -L -v -n bo inaczej można się tylko domyślać.


"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój Blog, a później Tańczymy ;)

Offline

 

#7  2011-06-17 08:47:14

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

Lepiej

Kod:

iptables -S
iptables -t nat -S
iptables -t mangle -S
iptables -t raw -S

Ostatnio edytowany przez Jacekalex (2011-06-17 08:47:38)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#8  2011-06-17 13:57:47

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

Jak już wspomniałem, moje reguły podobne są do reguł jakie przedstawił Jacekalex. Mam dodanych jedynie kilka reguł dot. np. SYN Flood'a, icmp itp. Nic szczególnego. Chciałem się jedynie dowiedzieć dlaczego pojawił się ten adres w kolumnie source dla łańcucha INPUT. To wszystko.


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#9  2011-06-17 14:01:11

  ba10 - Członek DUG

ba10
Członek DUG
Skąd: jesteś ?
Zarejestrowany: 2006-03-07
Serwis

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

Żeby sie tego doweiedzieć są potrzebne: plik z regułami iptables oraz wynik poleceń podanych powyżej.

Ostatnio edytowany przez ba10 (2011-06-17 14:04:15)


"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój Blog, a później Tańczymy ;)

Offline

 

#10  2011-06-17 14:14:19

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

iptables -z parametrem -S podaje reguły w formacie gotowym do wklejenia do skryptu, samego skryptu już nie trzeba.

remi napisał(-a):

Jak już wspomniałem, moje reguły podobne są do reguł jakie przedstawił Jacekalex. Mam dodanych jedynie kilka reguł dot. np. SYN Flood'a, icmp itp. Nic szczególnego. Chciałem się jedynie dowiedzieć dlaczego pojawił się ten adres w kolumnie source dla łańcucha INPUT. To wszystko.

Gdyby byly naprawdę podobne, to by działały podobnie.
Ale najwyraźniej masz jakiś błąd, skoro to nie działa.

Jak nie pokażesz reguł, to nie będzie wiadomo, jaki to błąd.
Nikt tu nie ma szklanej kuli, żeby wiedzieć, co masz spaprane w ustawieniach, jeśli sam się nie pochwalisz.
A jeśli w regułach pojawia sie jakiś podejrzany adres IP, jako dopuszczony, to skąd się takie reguly biorą?
Nie masz czasem jakiegoś programu w stylu ufw, firestartera, czy guarddoga, który ustawia reguły po swojemu?

Bo iptables sam nie generuje reguł, tylko przetwarza podane w linni poleceń reguły, na kod zrozumiały dla modułów kernela, w tym kernelu zawartych, lub załadowanych do pamięci.

Ponadto znajomość protokołów sieciowych się kłania:

Kod:

iptables -I INUPT -p tcp --syn -j DROP

blokuje pakiety tcp z flaga syn, natomiast np usługa  DNS działa w ramach protokołu UDP, której ta reguła nie obejmuje, bo jest ograniczona tylko do protokołu tcp.

Jeżeli jej użyjesz do blokowania, to każdy pakiet icmp, udp, czy tcp z flagą inną niż syn (nmapem można wysłać każdy typ pakietu, o netcacie nie wspominając ;), każdy taki pakiet jest wpuszczany przez firewall.
Wniosek?
Konfiguracja firewalla spaprana, przygotowana przez kogoś, kto nie ma podstawowej wiedzy o protokołach sieciowych, i nie rozumie logiki działania firewalla.
Nie rozumie tego, że w firewallu najpierw blokuje się wszystkie typy połączeń przez politykę domyślną, a potem pozwala na poszczególne typy i rodzaje połączeń szczególowymi regułami.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-06-17 14:23:36)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#11  2011-06-17 15:04:10

  ba10 - Członek DUG

ba10
Członek DUG
Skąd: jesteś ?
Zarejestrowany: 2006-03-07
Serwis

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

Jacekalex napisał(-a):

usługa  DNS działa w ramach protokołu UDP,

Małe sprostowanie nie wnoszące nic do głównego tematu ;)
DNS wykorzystuje protokół UDP do do zapytań o rekordy itd. , jak i protokół TCP który jest wykorzystywany tylko i wyłącznie do transferu stref. Wszystko (UDP i TCP) oczywiście na 53 porcie.

Ostatnio edytowany przez ba10 (2011-06-17 15:05:47)


"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój Blog, a później Tańczymy ;)

Offline

 

#12  2011-06-18 19:52:39

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

Ale ja nie wspominałem o tym, że filter nie działa. Oczywiście domyślna polityka odpowiada za blokowanie. Jak już wspomniałem, zaciekawiło mnie dlaczego pojawił się - w ogóle - jakiś adres po dodaniu takiej reguły, którą usunąłem praktycznie od razu. Po prostu ciekawi mnie to - nic więcej.


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#13  2011-06-18 20:09:22

  bobycob - Członek z Ramienia

bobycob
Członek z Ramienia
Skąd: Wrocław
Zarejestrowany: 2007-08-15

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

...fascynujące, a skąd pan bierze węgiel?
że powtórzę za znanym filmem.

To jeszcze powiedz mi skąd się bierze światełko w mojej myszce, jest całkiem podobne do światełka w myszce sąsiada, jednak ciekawi mnie skąd się wzięło.

Klepiesz jak potłuczony to potrzebujesz pomocy czy tak sobie nabijasz posty? Jeżeli jednak jej szukasz to przestań wydziwiać i wklej swoje ściśle tajne reguły.

Offline

 

#14  2011-06-19 15:59:23

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

Hej, poczekaj! Nie grałeś może w jaskiniowcach? No wiesz, jabadabadu! Nie ma mowy o żadnym "nabijaniu" postów, "ściśle tajnych regułach" etc. Powtarzam po raz kolejny - chciałbym dowiedzieć się dlaczego ta reguła spowodowała pojawienie się tego adresu. Nic więcej! Nie rozumiem dlaczego jest taki problem, wszakże istnieje jakaś sensowna odpowiedź, prawda?


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#15  2011-06-19 16:23:18

  bobycob - Członek z Ramienia

bobycob
Członek z Ramienia
Skąd: Wrocław
Zarejestrowany: 2007-08-15

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

ta reguła nie jest w stanie spowodować pojawienia się żadnego adresu

Offline

 

#16  2011-06-19 16:52:03

  winnetou - złodziej wirków ]:->

winnetou
złodziej wirków ]:->
Skąd: Jasło/Rzeszów kiedyś Gdańs
Zarejestrowany: 2008-03-31
Serwis

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

coś mi się zdaje że z taką chęcią współpracy to ten wątek wyląduje albo w luźnych albo w /dev/null xD


LRU: #472938
napisz do mnie: ola@mojmail.eu
Hołmpejdż | Galerie | "Twórczość" || Free Image Hosting

Offline

 

#17  2011-06-19 19:09:00

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

A mnie się coś wydaje, że to jak z tym kawałem jak rusek szukal miejsca w pociągu, bo nie chciał z Moskwy do Paryża jechać na stojaco.

I chyba powinien, nie wątek, lecz autor.....

Ostatnio edytowany przez Jacekalex (2011-06-19 19:15:08)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#18  2011-06-19 19:21:12

  hello_world - Członek DUG

hello_world
Członek DUG
Skąd: Rymanów Zdrój
Zarejestrowany: 2010-06-03
Serwis

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

@Jacekalex
A co to za cele CHAOS, TARPIT,STEAL nigdy o takich nie czytałem.
Można oczywiśćie zrobić cel tworząc swoje własne łańcuchy ale ich nie widzę w listingu.

A czy zamiast dwoch

Kod:

-A INPUT -i eth0 -p tcp -m state --state INVALID,NEW -j CHAOS --delude 
-A INPUT -i eth0 ! -p tcp -m state --state INVALID,NEW -j CHAOS --delude

nie lepiej jeden -p all

Offline

 

#19  2011-06-19 19:29:42

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

Można, tylko że ja to kopiowalem mychą z TARPIT i STEAL, i tak jakoś zostało.
Nawet działa :D
Poza tym, jak w regule CHAOS dla tcp zmienisz delude na tarpit - to pojdzie na tcp, na innych protokołach wywala błąd.

Kod:

CHAOS target options:
  --delude    Enable DELUDE processing for TCP
  --tarpit    Enable TARPIT processing for TCP

Co ciekawe - CHAOS delude działa również na UDP, pomimo stwierdzenia "processing for TCP"
A ja z fw testuję różne rozwiązania, i zawartość skryptu jest dość ruchoma.

A co to za cele CHAOS, TARPIT,STEAL nigdy o takich nie czytałem.

Zainteresuj się xtables-addons.
W Debianie paczka (Wheezy, Sid): xtables-addons-dkms.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-06-19 19:51:26)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#20  2011-06-20 16:32:55

  remi - amputować akrobatów

remi
amputować akrobatów
Zarejestrowany: 2011-05-27

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

bobycob a jednak ta reguła spowodowała pojawienie się adresu IP, pytanie przy wszystkim i każdym szczególe; dlaczego? Rozumiem, że w niewiedzy jest strach. Och, całe te intelekty... Ta "rozmowa" nie prowadzi do niczego sensownego, i małej wartości jest to wszystko, więc z mojej strony EOT. Nie dbam oto gdzie wyląduje ten temat. Jest mi wszystko jedno. Życzę wszystkim miłego dnia i pozdrawiam, a xtables-addons doprawdy są ciekawe i warte bliższego poznania. Narazientos!


Łam ZAsady! wYjąTkÓw jest wIęcej.

Offline

 

#21  2011-06-21 00:34:36

  bobycob - Członek z Ramienia

bobycob
Członek z Ramienia
Skąd: Wrocław
Zarejestrowany: 2007-08-15

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

iptables -A INPUT -p tcp -syn -j DROP

magia iptables

iptables -A INPUT -s remi  -j DROP

obawiam się tylko, czy to nie spowoduje pojawienie się remiego powiązanego z adresami dns

Offline

 

#22  2011-06-21 02:03:26

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: iptables - regula blokujaca adres powiazany z adresami DNS.

Kod:

iptables -P INPUT DROP
iptables -A INPUT  -i lo -j ACCEPT 
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

100% ochrony desktopa, żadne nowe połączenia z netu nie mają wstępu do kompa.
A internet działa.
To  jest magia iptables.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)