Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » SOLVED? Iptables CONNMARK i htb/hsfc - jak to ożenić?
#1 2012-11-28 11:06:59
Jacekalex - 
Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
SOLVED? Iptables CONNMARK i htb/hsfc - jak to ożenić?
Witam
Staram się popełnić Linuxa na laku, który będzie miał neta z Aero.
W związku z tym pytanie:
Markowanie pakietów połączenia wychodzącego, dzięki możliwości odpalania programów z różnymi UID, można po portach docelowych wyczesać większość usług, ostatecznie można też np telefon internetowy załatwić po IP.
W ten sposób można też ustawić filtry przychodzące.
Ale problem jest ze Skypem (P2P - szyfrowany), i rozmaitymi mulami, torrentami i podobnym dialelstwem, a także pasywnym FTP, który fruwa sobie po całym zakresie portów.
Na szczęście, Linux wszystkie połączenia trzyma w tablicy Conntrack, na tym opiera się cały proces kontroli stanu połączenia.
I w związku z tym:
jak ustawić regłly i znaczniki CONNMARK, żeby znacznik z połączenia wychodzącego NEW, automatycznie ustawiał mark dla połączenia przychodzącego RELATED, ESTABLISHED?
Kiedyś robiłem coś podobnego, używając L7 do problematycznych usług, ale L7 ma kiepskie wsparcie, w dodatku studentka prawa na UJ nie musi się znać na nakładaniu łatek i kompilacji kernela, dlatego zamiaruję oprzeć się tylko na tym, co jest w najzwyklejszym dystrybucyjnym jaju każdego Linuxa.
Natomiast l7-userspace - to porażka, w dodatku regexy L7 - to trochę, jakby strzelanie z armaty do wróbla. :D
Jak ustawić CONNMARK w powyższym przypadku, zakładając znakowanie CONNMARK w łańcuchach INPUT, OUTPUT i FORWARD tablicy filter lub MANGLE?
Edyta:
Wygląda na to, że działa.
connmark --mark nałożony w tablicy mangle łańcuchach OUTPUT i FORWARD, są widoczne w mangle PREROUTING i POSTROUTING.
Kod:
iptables -t mangle -A PREROUTING -i ppp0 -m connmark --mark 0x13 -j DROP iptables -t mangle -A OUTPUT -o ppp0 -m owner --uid-owner 1004 -j CONNMARK --set-xmark 0x13/0xffffffff
całkowicie odcięło od neta usera 1004.
Znakowanie na łancuchu OUTPUT - połączenie wychodzące, zablokowanie na PREROUTING - połączenie przychodzące (ESTABLISHED)
Zobaczymy, jak się to sprawdzi z HB i interfejsami ifb* przez które wszystko wędruje.
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2012-11-29 08:00:35)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » SOLVED? Iptables CONNMARK i htb/hsfc - jak to ożenić?