Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2005-11-15 11:48:08
korbol - 
Członek DUG
- korbol
- Członek DUG
- Zarejestrowany: 2005-04-29
Regułka iptables.
Jestem sobie w lanie.
Chcialem wymyslec regulke ktora logowala by mi wszystko co nie powinno mnie cieszyć tzn nie chce aby logowala mi calego baedziewia ktore moja karta sieciowa zlewa poniewaz nie jest to przeznaczone dla mnie oraz zeby nie logowala połączen nawiazanych przeze mnie, ale jakby nie bylo takie cos:
Kod:
iptables -A INPUT -i eth0 -j LOG --log-level debug --log-prefix OOOOOO
loguje nawet syf ktory nie jest dla mnie z lanu co idzie na brodcast
Czy taka regulka bedzie miala sens jesli chodzi o logowanie wybrykow kompów z lanu:
Kod:
iptables -A INPUT -i eth0 -d moj_ip_wew -j LOG --log-level debug --log-prefix OOOOOO
w lanie kompy komunikuja sie za pomoca mac'a no i nie wiem czy w naglowku pakietu docierającego do mojego kompa od intruza z lanu bedzie moj ip czy tez nie i w zwiaazku z tym czy regulka moze okazac sie nie przydatna:)?
Czyli podsumowując chce aby bylo logowane wszystko oprocz tego:
-brocast
-255.255.255.255
-połączenia juz nawiązane przeze mnie ze swiatem .
Pozdrawiam
Offline
#2 2005-11-15 13:58:33
Phrozen^Tux - Członek DUG
- Phrozen^Tux
- Członek DUG
- Skąd: DC - District Cracovia :)
- Zarejestrowany: 2005-10-14
Re: Regułka iptables.
w lanie kompy komunikuja sie za pomoca mac'a no i nie wiem czy w naglowku pakietu docierającego do mojego kompa od intruza z lanu bedzie moj ip czy tez nie i w zwiaazku z tym czy regulka moze okazac sie nie przydatna:)?
... Ale tylko w drugiej warstwie przesylajac realnie ramki - owszem mozesz uzyc tez jej tylko (np jadac ARPINGiem ) ale jesli do Ciebie przychodzi jakis pakiet IP to musi on miec podane w naglowku ADRES IP docelowy. Zreszta watpliwosci moze rozwieje Ci lookniecie do RFC - http://abcdrfc.free.fr/rfc-vf/rfc791.html :)
iptables -A INPUT -i eth0 -d moj_ip_wew -j LOG --log-level debug --log-prefix OOOOOO
Tam , mysle ze to bedzie mialo sens choc mozesz dodac -m state i tu wyciac ESTABLISHED RELATED .... albo explicite dodac SYN , jako match ktory bedzie logowany. Jednak wtedy nie dostaniesz pakietow NEW but not SYN marked. Czyli wielu ciekawych informacji o misiach :)
Do lapana tych ostatnich pakietow uzylbym :
$IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j LOG
--log-prefix "New not syn:"
oraz oczywiscie je dropowal potem :
$IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
sorry za pewna haotycznosc mojej odpowiedzi, ale siedze w pracy i dopisuje w miare jak moge :)
Pozdrawiam
gg: 1640760 Linux Registered User: #289621
Offline
#3 2005-11-15 18:37:55
korbol - Członek DUG
- korbol
- Członek DUG
- Zarejestrowany: 2005-04-29
Re: Regułka iptables.
Ok dzieki czyli zrozumialem tyle ze zapodaje:
Kod:
$IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
to mi loguje nowe niechciane połączenia ale nei zaloguje mi udp niechcianych.
Dropowanie chyba moge sobie pominąc jezlei polityke mam na drop?
Pozdrawiam
Offline
#4 2005-11-15 18:42:55
Phrozen^Tux - Członek DUG
- Phrozen^Tux
- Członek DUG
- Skąd: DC - District Cracovia :)
- Zarejestrowany: 2005-10-14
Re: Regułka iptables.
Jesli chcesz jeszce logowac kazde rozpoczescie (nawiazanie ) polaczenia musisz jeszcze logowac pakiety z SYN'em
JA bym osobiscie szczegolnym zainteresowaniem oblozyl (jakis mily prefix w logu) te pakiety ktore np mialy spoofowany source ip ...
Pozdrawiam
gg: 1640760 Linux Registered User: #289621
Offline
#5 2005-11-15 21:03:11
Prezu - Moderator
- Prezu
- Moderator
- Skąd: Vancouver, BC
- Zarejestrowany: 2005-06-02
Re: Regułka iptables.
Korbol, Ciebie interesuje taka regółka:
Kod:
# iptables -A INPUT -d twoje_ip -m state --state NEW -j LOG --log-level debug --log-prefix "Jakis prefix"
-d twoje_ip: pakiet skierowany jest do komputera o adresie (IP) twoj_ip
Mowa tu oczywiście o 3-ciej warstwie OSI - IP. Druga w-wa Cię nie interesuje. Interesowała by Cię, gdybyś to Ty był intruzem. ;)
-m state --state NEW: tu podpadają wszystkie pakiety nawiązujące połączenie (TCP), ale też pierwsze UDP (np. w znanym jądru protokole Audio / Video, czy coś)
--j LOG...: Wiadomo.
Offline
#7 2005-11-16 13:24:26
korbol - Członek DUG
- korbol
- Członek DUG
- Zarejestrowany: 2005-04-29
Re: Regułka iptables.
Ok jeszce tak:
Zapodalem ostatecznie ta regulke:
Kod:
iptables -A INPUT -d twoje_ip -m state --state NEW -j LOG --log-level debug --log-prefix "Jakis prefix"
w logach znalazlem takie coś czy mozna coś z tego wyczytać co ktos odemnie chciał?
Nov 16 12:59:06 localhost kernel: Jakis prefixIN=eth0 OUT= MAC=00:30:4f:1b:8c:7c:00:30:4f:26:c6:a5:08:00 SRC=192.168.9.95 DST=192.168.11.4 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=46962 DF PROTO=TCP SPT=3642 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
Nov 16 12:59:07 localhost kernel: Jakis prefixIN=eth0 OUT= MAC=00:30:4f:1b:8c:7c:00:30:4f:26:c6:a5:08:00 SRC=192.168.9.95 DST=192.168.11.4 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=47008 DF PROTO=TCP SPT=3642 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
Nov 16 12:59:07 localhost kernel: Jakis prefixIN=eth0 OUT= MAC=00:30:4f:1b:8c:7c:00:30:4f:26:c6:a5:08:00 SRC=192.168.9.95 DST=192.168.11.4 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=47043 DF PROTO=TCP SPT=3642 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
Nov 16 13:07:04 localhost kernel: Jakis prefixIN=eth0 OUT= MAC=00:30:4f:1b:8c:7c:00:d0:09:e3:e4:0f:08:00 SRC=192.168.10.45 DST=192.168.11.4 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=874 DF PROTO=TCP SPT=1346 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
Nov 16 13:07:05 localhost kernel: Jakis prefixIN=eth0 OUT= MAC=00:30:4f:1b:8c:7c:00:d0:09:e3:e4:0f:08:00 SRC=192.168.10.45 DST=192.168.11.4 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=895 DF PROTO=TCP SPT=1346 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
Nov 16 13:07:05 localhost kernel: Jakis prefixIN=eth0 OUT= MAC=00:30:4f:1b:8c:7c:00:d0:09:e3:e4:0f:08:00 SRC=192.168.10.45 DST=192.168.11.4 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=914 DF PROTO=TCP SPT=1346 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=129
Pozdrawiam
Offline
#8 2005-11-16 21:52:59
Prezu - Moderator
- Prezu
- Moderator
- Skąd: Vancouver, BC
- Zarejestrowany: 2005-06-02
Re: Regułka iptables.
Ręczne przeglądanie komunikatów iptables to nędzne zajęcie. Do tego zainstaluj PSAD.
Offline
#9 2005-11-16 23:14:27
korbol - Członek DUG
- korbol
- Członek DUG
- Zarejestrowany: 2005-04-29
Re: Regułka iptables.
Instalnalem go lecz lektora po angliku mnie rozklada :/
Tak nawiasem jezeli ktos cos moze powiedziec o tych logach to czekam.
Pozdrawiam
Offline
#10 2005-11-17 02:20:33
Phrozen^Tux - Członek DUG
- Phrozen^Tux
- Członek DUG
- Skąd: DC - District Cracovia :)
- Zarejestrowany: 2005-10-14
Re: Regułka iptables.
OK na przykladze pierwszego :
Nov 16 12:59:06 localhost kernel: Jakis prefixIN=eth0 OUT= MAC=00:30:4f:1b:8c:7c:00:30:4f:26:c6:a5:08:00 SRC=192.168.9.95 DST=192.168.11.4 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=46962 DF PROTO=TCP SPT=3642 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
przez <uroczy interface> eth0 zawedrowal do ciebie pakiet z karty o MACu {MAC] z IP 192.168.9.95 o dlugosci 48 Bajtow bez ustawionego TOSa. TTL mowi nam jakoby ten komp (winda ) stal w tej samej podsieci tco twoj, ale skoro sa rozne adresy sieci (zakladam ze stosujecie maske 255.255.255.0) to znacyz ze albo na routerze k
KTOS mu dodal 1 do TTLa ,albo pakiet ma zespoofowane source IP ...
Dalej czytamy - numer (fragm) pakeitu, oraz ze to byl pakie TCP typu SYN a po porcie mozemy przyjac ze ktos probowal sie do ciebie dostac na sambe (Winnet) albo (nie pamietam dokladnie specyfikacji NETBEUI cyz moze to sama Winnet sobie rozsyla tego typu pakiety ...
Tyle na szybko , i przed zasnieciem :)
Pozdrawiam
gg: 1640760 Linux Registered User: #289621
Offline
#11 2005-11-17 10:15:30
korbol - Członek DUG
- korbol
- Członek DUG
- Zarejestrowany: 2005-04-29
Re: Regułka iptables.
No dziex:)
Dalej czytamy - numer (fragm) pakeitu, oraz ze to byl pakie TCP typu SYN a po porcie mozemy przyjac ze ktos probowal sie do ciebie dostac na sambe (Winnet) albo (nie pamietam dokladnie specyfikacji NETBEUI cyz moze to sama Winnet sobie rozsyla tego typu pakiety ...
O wlasnie o taka rozkmine mi chodzilo a to z ebyl to pacjent o ip i mac to raczej wywnioskowalem :]
Pozdrawiam
Offline
#12 2005-11-17 14:45:50
Phrozen^Tux - Członek DUG
- Phrozen^Tux
- Członek DUG
- Skąd: DC - District Cracovia :)
- Zarejestrowany: 2005-10-14
Re: Regułka iptables.
Nie za maco :)...i tak dane podane przeze mnie byly niekompletne :)
I tak np. Pola PREC i TOS maja zmienne w historii znaczenie , kiedys stosowano je do wyznaczania Typpe of Service (i tka naprawde do pewnej priorytetyzacji ppakietow w kolejkach routingu ) Niemniej wiekszosc dzisiejszych routerow nie zwraca na nie uwagi . Zreszta od dawna juz istnieje (RFC 1349) koncepcja zastapienia pol TOS i PREC (czyli pierwszych 6ciu bitow drugiego oktetu naglowka IP) z jednym polem DSCP w ktorym obowiazuje inny podzial na pola: DS ECN ... Taka niekompaybilnosc ma tez swoje skutki w niektorych bledach generowancyh przez pewne typy routerow. Ale to juz zupelnie inna sprawa.
Pole URGP to tzw. flaga Urgent , wlasciwie juz nie uzywany znacznik
ktory nakazuje przepchnac routerowi kpakiet nawet jesli wyjkracza on poza mozliwosci lacza (tzw. bandwith). Niemniej z racji niewystepowania we wszystkich implementacjach protokolow, jest prawie nie uzywany. Stad domyslna wartosc "=0"
"For more " look at http://www.faqs.org/rfcs/rfc1001.html and www.netfirter.org (especially categorie FAQ/manual) - np zeby sie dowiedziec nt paru skrotow ktorych nie rozszyfrowalem Ci tu na razie ...
Pozdrawiam
gg: 1640760 Linux Registered User: #289621
Offline
#13 2005-11-17 14:55:21
korbol - Członek DUG
- korbol
- Członek DUG
- Zarejestrowany: 2005-04-29
Re: Regułka iptables.
Ok juz wystarczy :]
Pozdrawiam
Offline