Forum Debian Users Gang

morfik · 2016-02-03 22:58:55

Poczytalem jednak o ogolnych zasadach budowy optymalnego konfigu regol iptables. Jest tego ok 20 zasad.

Chyba muszę poczytać o nich, bo nigdy się nad jakimiś zasadami nie zastanawiałem. xD

Szkoda, ze wg statystyk iptables uzywa ok 0,4% a SELinuxa jak pisza ponad 99% rynku. Dlaczego tak jest?

Może nie wiedzą, że używają iptables albo przeszli na nftables. xD

- czy ip4v i ip6v sie komunikuja?

Co znaczy komunikują? Chcesz pingnąć z adresu ipv4 adres ipv6? No to tak się nie da. :] Ale można tunelować ipv6 wewnątrz ipv4.

- co z conntrackiem w wersji ip6v ?

A co ma być? xD

- po polsku to chyba nic nie ma na ten temat?

Za to po angielsku jest cała masa.

- co jest najslabszym punktem iptables biorac pod uwage skutecznosc obrony?

Administrator. xD

Jacekalex · 2016-02-04 00:56:46

czy ip4v i ip6v sie komunikuja?

Tak i nie.

Ipv6 ma warstwę kompatybilności z IPv4:

2002::/24 – adresy typu 6to4. Są to adresy wygenerowane na podstawie istniejących, publicznych adresów IPv4, dostępne dla każdego użytkownika.

Za to IPv4 w ogóle nie wie, co to IPv6, i nie gada z nim bezpośrednio,
tylko ewentualnie przez bramki 6to4.

UTFW:
https://pl.wikipedia.org/wiki/IPv4
https://pl.wikipedia.org/wiki/IPv6

Ostatnio edytowany przez Jacekalex (2016-02-04 00:57:12)

morfik · 2016-02-04 02:47:56

Ha! Myślałem, że to nieco trudniejsze będzie ale:

Nie chciało póki co wejść na systemd ale poszło na ifupdown. Musze jeszcze poczytać jak to skonfigurować na systemd, grunt że działa. xD

Jacekalex · 2016-02-04 02:58:13

morfik napisał(-a):
Ha! Myślałem, że to nieco trudniejsze będzie ale:

http://i.imgur.com/txnC6er.png

Nie chciało póki co wejść na systemd ale poszło na ifupdown. Musze jeszcze poczytać jak to skonfigurować na systemd, grunt że działa. xD

Hmm...

ping6 -c3 ipv6.google.com
PING ipv6.google.com(fra07s29-in-x04.1e100.net) 56 data bytes
64 bytes from fra07s29-in-x04.1e100.net: icmp_seq=1 ttl=59 time=28.6 ms
64 bytes from fra07s29-in-x04.1e100.net: icmp_seq=2 ttl=59 time=28.5 ms
64 bytes from fra07s29-in-x04.1e100.net: icmp_seq=3 ttl=59 time=28.6 ms

--- ipv6.google.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 28.592/28.629/28.649/0.140 ms

Musze jeszcze poczytać jak to skonfigurować na systemd

PoCoTo?

SOA#1

Ostatnio edytowany przez Jacekalex (2016-02-04 02:58:42)

morfik · 2016-02-04 03:06:57

Bo mam konfiguracje sieci przeniesioną już na systemd. Mam też mirror na ifupdown i trzymam to w sync. Poza tym, lepiej wiedzieć więcej niż mniej. xD

U mnie tak wyglądają te czasy:

Ostatnio edytowany przez morfik (2016-02-04 03:13:17)

Jacekalex · 2016-02-04 03:17:54

Twój ISP dostarcza IPv6, czy korzystasz z jakiegoś tunelu?

Bo u mnie ISP w ogóle nie wie, co to jest IPv6 (może myślą, że jakiś spisek Marsjan), dlatego używam Teredo.
:D

Ostatnio edytowany przez Jacekalex (2016-02-04 03:22:11)

morfik · 2016-02-04 03:22:03

Mój isp jest totalnie zacofany i on nigdy ipv6 nie będzie dostarczał. Za kilka miechów się kończy umowa i odchodzę od niego. Jadę na tunelu, bo mam zew IP.

W sumie to na debianie wystarczyło jedynie dodać:

Kod:

auto 6to4
iface 6to4 inet6 6to4
        local 192.0.2.3

I zmienić ten adres na zew i tyle roboty z ustawieniem tunelu. Na systemd nie chce mi tego interfejsu utworzyć i to jest problem. xD

Ostatnio edytowany przez morfik (2016-02-04 03:25:44)

Jacekalex · 2016-02-04 04:27:21

Którego tunelu używasz?
Jakiś sznurek jest do niego?

Dobra, jest:

Kod:

ip -6 r s
2001::/32 dev te6  proto kernel  metric 256 
2002:b2d7:cf72::/48 dev 6to4  proto kernel  metric 256 
2000::/3 via ::192.88.99.1 dev 6to4  metric 2147483647

Sznurek:
http://www.gentoo-wiki.info/IPv6#IPv6_Tunneling_with_6to4

Ostatnio edytowany przez Jacekalex (2016-02-04 05:10:35)

uzytkownikubunt · 2016-02-04 10:12:01

2658

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:33:19)

morfik · 2016-02-04 13:35:04

Raczej w dużej mierze dla zabawy. Przecie i tak wszystko jest dostępne po ipv4. Może jakieś tam pojedyncze strony siedzą tylko na ipv6 ale to raczej pojedyncze przypadki. Poza tym, ipv4 i tak w końcu dokona żywota i trzeba będzie przejść na ipv6 i lepiej już zacząć się przyzwyczajać. xD

Novi-cjusz · 2016-02-04 14:12:33

Co prawda to prawda. Liczba urzadzen internetowych (glownie malogabarytowych) rosnie nieprzerwanie w jakims tam ciagu, natomiast pula adresow IP jest stala i IPv6 wczesniej czy pozniej bedzie koniecznoscia. Lepiej wczesniej rozpoznac przeciwnika(;-i
Mala lista potencjalnych? aktualnych! zagrozen https://www.aldeid.com/wiki/THC-IPv6-Attack-Toolkit
Czesciowa odpowiedz dla "uzytkownikubunt" na pytanie:

Jest jakaś zaleta posiadania obecnie IPv6 na desktopie czy to raczej dla zabawy?

Kod:

https://www.thomas-krenn.com/pl/wiki/Wy%C5%82%C4%85czenie_IPv6

Pewnie warto poszukac pod haslem "Aplikacje, które wymagają obsługi IPv6"
BTW, prosba o krotki instruktaz jak wykonac linka do zakotwiczenia na innej stronie www, zebym docelowo mogl wskazac potrzebne miejsce za pomoca np, "TUTAJ" w czerwonym kolorze.
Gdyby ktos mogl rozwinac temat:

relacja tresci pliku sysctl.conf do regol firewalla. Czesc problematyki sie powtarza. Jak do tego podejsc?

To by mi wiele wyjasnilo, bo ostatnioi dalem sobie restrykcyjny sysctl.conf na iptables, ktore mi dzialaly perfekt, a po skrypcie blokada dostepu do Internetu

Ostatnio edytowany przez Novi-cjusz (2016-02-04 14:43:48)

ethanak · 2016-02-04 14:49:31

@morfik: nieśmiało zauważam że internet to nie tylko strony.
msm np. jeden adres ipv4 i kilka maszyn, które powinny z różnych przyczyn mieć zewnętrzny ip... to jeden z powodów dla których od dłuższego czasu używam w domu ipv6 równolegle do 4.

Novi-cjusz · 2016-02-04 15:17:55

po polsku nic nie ma

Z chwalebnymi wyjatkami: http://tplink-forum.pl/faq-alternatywne-oprogramowa … 546/#msg20546
Wiecej by sie przydalo.

Np na temat, ktore porty musza ! byc otwarte, a ktore nie? Czy ta komenda daje prawidlowa odpowiedz?

Kod:

egrep '(your|list|items|here)' /etc/services | awk '{print $2}'

Ciekawe watki:
- http://serverfault.com/questions/424026/typical-out … t-access?rq=1
- http://serverfault.com/questions/86105/outbound-por … ays-open?rq=1
Czy warunek RELATED ESTABLISHED w regole gwarantuje, ze wszystkie inne nie maja dostepu do Internetu?

BTW. Dla osob zainteresowanych szybkoscia downloadu torrentow: http://phix.me/dm/
Bardzo ciekawe narzedzie do analizy trafficu: https://supportcenter.checkpoint.com/supportcenter/ … ionid=sk30583
Niestety wszystko wymaga czasu.

Ostatnio edytowany przez Novi-cjusz (2016-02-04 16:11:07)

morfik · 2016-02-04 17:25:32

@Novi-cjusz, zapora to zapora, a ustawienia kernela to ustawienia kernela. Część zadań się nakłada, np. blokowanie pingu na broadcast, reszta może być realizowana przez jeden mechanizm lub drugi. To, że ci net ucięło po zaaplikowaniu reguł, to już twoja wina. Zamiast sklepać na ślepo opcje w sysctl, to zainteresuj się za co one odpowiadają. Dałem ci kiedyś mój sysctl.conf,tam jest wyjaśnione skrótowo do czego te opcje są. Wprawdzie ja sobie ten plik buduje od dłuższego czasu i pewnie tam niekiedy są jakieś herezje popisane ale poprawiam jak się czegoś dowiem nowego. xD Googlaj za parametrami i dopiero ustawiaj, a nie odwrotnie i się dziwisz, że uwaliło net. To, że dane ustawienia działają w jednej sieci, nie znaczy, że będą odpowiednie dla innej.

Wiecej by sie przydalo.

Ja sobie piszę z pasji, nikt mi za to nie płaci. Mam czas to piszę, nie mam to nie piszę. Poza tym, na aktualizację wpisów to już trzeba etat, a społeczność nie wspiera, tylko ciągle chce brać, więc jest mało. Hmm, ten HOWTO o openwrt na form tp-linka robi furorę widzę (25462 wejść w nieco ponad rok). xD

Np na temat, ktore porty musza ! byc otwarte, a ktore nie? Czy ta komenda daje prawidlowa odpowiedz?

Zablokuj cały ruch i zacznij logować pakiety na iptables, będziesz widział co masz otworzyć.

Jacekalex · 2016-02-04 19:01:37

uzytkownikubunt napisał(-a):
Jest jakaś zaleta posiadania obecnie IPv6 na desktopie czy to raczej dla zabawy?
Dawno temu filtrowałem przez ip6tables, ale potem po prostu wyłączałem w jądrze IPv6.

Jak Ci durnie od ISP zablokują wyście na normalne DNS'y (z wyjątkiem DNS Google, których Chrome używa), i to w dodatku poprzez przekierowanie dport 53 na ich firmowy DNS, co netfilter wita radosnym komunikatem w logach "martian source", to docenisz tunel Ipv6 momentalnie. xD

Ostatnio edytowany przez Jacekalex (2016-02-04 19:24:06)

uzytkownikubunt · 2016-02-04 19:12:17

2662

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:33:24)

ethanak · 2016-02-04 19:13:50

a tak przy okazji i z czystej ciekawości: jaki jest sens blokowania ruchu z sieci, do której nie jestem podłączony?

Jacekalex · 2016-02-04 19:27:09

uzytkownikubunt napisał(-a):
Zamiast IPv6 można spróbować wtedy np DNSCrypt.

Pewnie że można, ale nie che mi się tak gimnastykować.

Z resztą IPv6 w końcu wejdzie, wystarczy że FB albo YT wyłączy na tydzień IPv4, i połowa naszych miluśińskich ISP zakończy działalność pod naporem wściekłych klientek, które nie mogą zobaczyć, jaką szminkę dziś używała ta .... xD

uzytkownikubunt · 2016-02-04 21:04:09

2663

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:33:25)

morfik · 2016-02-05 00:02:04

To coś masz nie tak albo ja mam coś nie tak. xD U mnie zapytania zarówno google-chrome jak i chromium lecą tam gdzie wskazuje /etc/resolv.conf :

W pierwszym okienku są zapytania DNS na zewnętrzny interfejs. W drugim jest ruch do dnsmasq (cache DNS), w trzecim zaś jest resolver dnscrypt-proxy. Plik /etc/resolv.conf wskazuje na dnsmasq, ten jak nie ma wpisów, to śle do dnscrypt-proxy, a ten w świat. Nie widać żadnych DNSów na wyjściu kompa, czyli bond0.

uzytkownikubunt · 2016-02-05 00:12:53

2667

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:33:30)

morfik · 2016-02-05 09:43:56

Sprawdziłem wszystkie trzy linki i na firefox i google-chrome i chromoium. DNS jest taki sam: 77.67.54.68 m1.wrw.opendns.com. Trochę to dziwne, nie powinien być ten standardowy opendns? xD Przestawiłem na 8.8.8.8 i tam jest ze 20 adresów rozpoczynających się od 74.125. xD

Ostatnio edytowany przez morfik (2016-02-05 09:50:31)

Novi-cjusz · 2016-02-05 15:23:06

Moja docelowa idee fix wyglada nastepujaco, najpierw chcialem uzyc do tego jakiegos screen - slice albo screen - tailing oprogramowania w ostatecznosci wirtualne desktopy jak Compiz, zeby wylaczyc czesc ekranu do biezacej, aktualnej analizy calego trafficu.
Po zastanowieniu widze, ze najlepszym rozwiazaniem bedzie dodatkowy ekran albo stary laptop jako narzedzie wizualizacji i monitoringu calego ruchu.
Na tym dodatkowym ekranie od gory:
- INBOUND dynamiczny wykres utylizacji lacza z wyszczegolnieniem np roznych protokolow za pomoca roznych kolorow
- OUTBOUND jw.
Ponizej dynamiczna mapa akualnych polaczen na mapie np Google Moze jakies alerty. Np, https://www.facebook.com/openvisualtraceroute http://www.binarytides.com/turbotrace/
Mylace wyniki: http://www.yougetsignal.com/tools/visual-tracert/
W tle pracujace logowanie wszystkich polaczen (nie pakietow), odnawiane przez Logrotate
Na to aplikacja wizualizujaca na biezaco stany logow.
Sprawami,ktore trzeba przemyslec to bezpieczenstwo (w aspekcie kryterium - privacy):
- zapytan DNS, niestety

Looks like your DNS might be leaking...

- tablicy ARP
- adresu IP
To by dopiero byla radocha odpalic maszyne i widziec wszystko na biezaco, modyfikowac konfig iptables i patrzec jak sie zmieniaja polaczenia i ich parametry (:D
Jeszcze mi sporo brakuje, dlatego stawiam duze piwo kazdemu kto poda praktyczne rozwiazania.

Ps. To o czym pisze nie jest niczym nowym dla rozwiazan monitoringu serwera, niestety dla desktopa sprawa wyglada juz wiele gorzej.
-

Ostatnio edytowany przez Novi-cjusz (2016-02-06 12:53:09)

uzytkownikubunt · 2016-02-06 11:17:04

2671

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:33:35)

Novi-cjusz · 2016-02-06 11:25:40

Rozwiazanie bardzo ciekawe, gdybys mogl napisac pare szczegulow wiecej?
A,propos TORa:
- http://linuxaria.com/howto/how-to-anonymize-the-pro … l-with-torify
- http://howto.biapy.com/en/debian-gnu-linux/servers/ … tor-on-debian
- http://www.debian.pl/entries/279-konfiguracja-przeg … ivoxy-tor-i2p
- http://www.devconsole.info/?p=848
Samo nawet najbardziej niewinne uzycie TORa powoduje automatyczne zainteresowanie "przyjaciol"-
A co z ARP table?
Jezeli mozemy filtrowac traffic OUTGOING po flagach SYN nadawanych pakietom, to jak filtrowac pakiety ktore nie stosuja handshake?
A w ogole to czy ktos wie ile jest protokolow w Internecie, bo na moja logike to moze byc nieskonczenie wiele.

Ostatnio edytowany przez Novi-cjusz (2016-02-06 11:45:56)

Forum Debian Users Gang

Ogłoszenie

#26 2016-02-03 22:58:55

morfik - Cenzor wirtualnego świata

Re: iptables - komunikaty

#27 2016-02-04 00:56:46

Jacekalex - Podobno człowiek...;)

Re: iptables - komunikaty

#28 2016-02-04 02:47:56

morfik - Cenzor wirtualnego świata

Re: iptables - komunikaty

#29 2016-02-04 02:58:13

Jacekalex - Podobno człowiek...;)

Re: iptables - komunikaty

morfik napisał(-a):

#30 2016-02-04 03:06:57

morfik - Cenzor wirtualnego świata

Re: iptables - komunikaty

#31 2016-02-04 03:17:54

Jacekalex - Podobno człowiek...;)

Re: iptables - komunikaty

#32 2016-02-04 03:22:03

morfik - Cenzor wirtualnego świata

Re: iptables - komunikaty

Kod:

#33 2016-02-04 04:27:21

Jacekalex - Podobno człowiek...;)

Re: iptables - komunikaty

Kod:

#34 2016-02-04 10:12:01

uzytkownikubunt - Zbanowany

Re: iptables - komunikaty

#35 2016-02-04 13:35:04

morfik - Cenzor wirtualnego świata

Re: iptables - komunikaty

#36 2016-02-04 14:12:33

Novi-cjusz - Użytkownik

Re: iptables - komunikaty

Kod:

#37 2016-02-04 14:49:31

ethanak - Użytkownik

Re: iptables - komunikaty

#38 2016-02-04 15:17:55

Novi-cjusz - Użytkownik

Re: iptables - komunikaty

Kod:

#39 2016-02-04 17:25:32

morfik - Cenzor wirtualnego świata

Re: iptables - komunikaty

#40 2016-02-04 19:01:37

Jacekalex - Podobno człowiek...;)

Re: iptables - komunikaty

uzytkownikubunt napisał(-a):

#41 2016-02-04 19:12:17

uzytkownikubunt - Zbanowany

Re: iptables - komunikaty

#42 2016-02-04 19:13:50

ethanak - Użytkownik

Re: iptables - komunikaty

#43 2016-02-04 19:27:09

Jacekalex - Podobno człowiek...;)

Re: iptables - komunikaty

uzytkownikubunt napisał(-a):

#44 2016-02-04 21:04:09

uzytkownikubunt - Zbanowany

Re: iptables - komunikaty

#45 2016-02-05 00:02:04

morfik - Cenzor wirtualnego świata

Re: iptables - komunikaty

#46 2016-02-05 00:12:53

uzytkownikubunt - Zbanowany

Re: iptables - komunikaty

#47 2016-02-05 09:43:56

morfik - Cenzor wirtualnego świata

Re: iptables - komunikaty

#48 2016-02-05 15:23:06

Novi-cjusz - Użytkownik

Re: iptables - komunikaty

#49 2016-02-06 11:17:04

uzytkownikubunt - Zbanowany