Forum Debian Users Gang

norberto · 2007-09-27 20:52:24

Mam taki serwerek:
Debian Sarge eth0 - int.zewn.; eth1, eth2, eth3 int.wewn. Iptables 1.3.3 z wkompilowanym TTL.
Jak sie skutecznie zabezpieczyc aby ktos sobie nie zbudowal podsieci poza moja kontrola?
Manipulowanie wartoscia /proc/sys/net/ipv4/ip_default_ttl nie za bardzo sie sprawdza - ustawienie wartosci "1" odcina neta na legalnych kompach.
Czy powinno to byc cos takiego jak:

Kod:

 iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 1

Zapewne nie zrobi to wrazenia na zawodowcach w podkradaniu sygnalu, ktorzy podbija sobie wartosc TTL sposobami opisywanymi szeroko w necie. Jakie sa zatem inne sposoby na zabezpieczenie sie?

BTW. Ciekawe ze pisze sie tylko o tym jak obejsc zabezpieczenia admina i zrobic go w balona ale jak sie uchronic to juz sie nie doszukalem. Pozdro.

zlyZwierz · 2007-09-27 21:06:59

Zrób na tyle korzystną ofertę dostepu do internetu , żeby ludzie nie próbowali go brać na lewo.
Zrób sobie zabezpieczenie w postaci PPPoE.

TBH · 2007-09-27 22:38:07

a w PPPoE nie można udostępnić neta dalej?

zlyZwierz · 2007-09-27 23:16:38

Można - przed udestępnianiem dalej ochroni propozycja numer 1. :)

Graffi · 2007-09-27 23:27:12

hmm... jak zbijesz TTL na 1 to pakiet poleci tylko do najbliższego kompa... - więc niby OK :)
nie czaję czemu ma być problem gdy zbijesz na 1 TTL...

a Ci którzy będa go umieli podbić to wiesz co... odpuść sobie ich... jak już ktoś podbije TTL to myślę że... że... no właśnie, ilu wogóle masz tak zdolnych userów w sieci?? 1?? 2?? windowsowe udostępnienie połączenia nie zda już egzaminu ;) a to pewnie i tak jest 95% nielegalnych routerów w twoim przypadku...

myślisz że przeciętny user sobie skompiluje kernel i iptables z patchem "kernel-o-matric" (czy tam coś takiego :P )

nie no... jasne... zawsze można serwer proxy postawić i juz sprawa TTL i ich zbijania na 1 trochę bierze w łeb... ale co to za net przez proxy :P

zlyZwierz · 2007-09-27 23:31:27

Stąd moje humorystyczne podejście do tematu - szkoda sobie komplikować zycie z powodu paru rodzynków , którzy i tak ukradną jak będą chcieli ;]

Graffi · 2007-09-27 23:39:36

ja wiem że zawse się da...
ale skoro i tak już skompilował kernel / iptables z łatką to niech chociaż ludziom to na maksa utrudni... - niech się chociaż ludzie pomęczą ;)

zlyZwierz · 2007-09-27 23:43:13

Wiadomo :) + do tego cięcie wysokich portów źródłowych 61000-65535 :) (NAT) - a niech się męczą :)

tu dyskusja na ten właśnie temat

Matthew · 2007-09-28 00:10:58

Wiem, że rozwiązaniem jest śledzenie ilości stosób tcp na danym ip. Jak więcej niż 1 to znaczy że ktoś udostępnia. Jednak sam nie wiem jak to zrobić. :(

Forum Debian Users Gang

Ogłoszenie

#1 2007-09-27 20:52:24

norberto - Użytkownik

Jak sie zabezpieczyc przed NAT-em za moimi plecami?

Kod:

#2 2007-09-27 21:06:59

zlyZwierz - Moderator

Re: Jak sie zabezpieczyc przed NAT-em za moimi plecami?

#3 2007-09-27 22:38:07

TBH - Członek DUG

Re: Jak sie zabezpieczyc przed NAT-em za moimi plecami?

#4 2007-09-27 23:16:38

zlyZwierz - Moderator

Re: Jak sie zabezpieczyc przed NAT-em za moimi plecami?

#5 2007-09-27 23:27:12

Graffi - Użytkownik

Re: Jak sie zabezpieczyc przed NAT-em za moimi plecami?

#6 2007-09-27 23:31:27

zlyZwierz - Moderator

Re: Jak sie zabezpieczyc przed NAT-em za moimi plecami?

#7 2007-09-27 23:39:36

Graffi - Użytkownik

Re: Jak sie zabezpieczyc przed NAT-em za moimi plecami?

#8 2007-09-27 23:43:13

zlyZwierz - Moderator

Re: Jak sie zabezpieczyc przed NAT-em za moimi plecami?

#9 2007-09-28 00:10:58

Matthew - Użytkownik

Re: Jak sie zabezpieczyc przed NAT-em za moimi plecami?

Stopka forum