ipfw natd incoming

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-01-11 18:29:21

Notaky писал(а):вопрос тогда к варианту 2 ....
прошедший нат пакет с измененным пунктом назначения...
проходя check-state поидеи неподпадет не под одно правило,
так как правило создавалось на базе внешнего адреса роутера и какогото хоста в мире.
и в конце прохода будет отброшен если по дефолту фаер закрыт.
Тогда в 6 ветке есть ng_ipnat или что-то подобное. Он точно твою проблему решит, т.к. правил divert ... не будет вовсе.
Notaky писал(а): насчет поподробней...
если я буду знать что у тебя есть .... с этим можно работать...информания никогда небывает ненужной...просто найти ей применение.
Чтобы конкретней чтото сказать...нужно смотреть на реализацию данного tcp/ip и тестить.
Мозг как чердак, место может закончиться. Ну открыт у меня 25,80 порты и что? А нифига, как настроишь, так и будет.

Допустим пров узнал что я соединяюсь по ssh с IP-Адресом xxx. Что дальше? Всё то же, что и всегда.
Подбор паролей, поиск багов в реализации.
Для этого и провом быть необязательно, у него несколько плюсов:
1. Скорость инета, которую он регулирует.
2. IP-Адрес: Предположим он ломает с порта 65001 на 22 твой сервак для обхода защиты? И тем самым присваивает себе твой IP-Адрес для доступа к твоему удалённому серверу и обходит защиту по IP, если у тебя настроен фаер.
Может тебя на это время отключить вовсе.
Тут как ты сам понимаешь лечится генерацией ключей и доступ только по ним.

Но мысль вобщем верная - меньше знаешь лучше спишь. ( Знает пров, а спишь ты :-) )
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Notaky
мл. сержант
Сообщения: 80
Зарегистрирован: 2006-09-13 19:23:46
Контактная информация:

Непрочитанное сообщение Notaky » 2007-01-13 18:31:31

Kolesnikov писал(а):
Notaky писал(а):вот часть этого поста мне никак непонятна...
кто сказал что я правила с сессиями както соединял..я вот сижу и думаю.... интересно каким чудом пришла мысль о снифинге?
А чем у тебя еще могут увидеть установленные(established) :P в данный момент сессии?
А если долбежкой :twisted: по портам, то при чем здесь established?
Notaky писал(а):Как никак в established есть тоже свой минус....можно увидеть какие сервисы у тебя работают.
Вырази свою мысль правильно и тогда демагогии не будет.
Как еще можно выразить нормально...когда я сказал что собой являют пакеты которые подходят под правило established... минусы...как я уже сказал...не в том чтобы смотреть установленые сессии(хотя при большом желании можно и своровать сессию), а именно в долбежке по портам.

Аватара пользователя
Notaky
мл. сержант
Сообщения: 80
Зарегистрирован: 2006-09-13 19:23:46
Контактная информация:

Непрочитанное сообщение Notaky » 2007-01-13 18:54:54

dikens3 писал(а):
Notaky писал(а):вопрос тогда к варианту 2 ....
прошедший нат пакет с измененным пунктом назначения...
проходя check-state поидеи неподпадет не под одно правило,
так как правило создавалось на базе внешнего адреса роутера и какогото хоста в мире.
и в конце прохода будет отброшен если по дефолту фаер закрыт.
Тогда в 6 ветке есть ng_ipnat или что-то подобное. Он точно твою проблему решит, т.к. правил divert ... не будет вовсе.
Notaky писал(а): насчет поподробней...
если я буду знать что у тебя есть .... с этим можно работать...информания никогда небывает ненужной...просто найти ей применение.
Чтобы конкретней чтото сказать...нужно смотреть на реализацию данного tcp/ip и тестить.
Мозг как чердак, место может закончиться. Ну открыт у меня 25,80 порты и что? А нифига, как настроишь, так и будет.

Допустим пров узнал что я соединяюсь по ssh с IP-Адресом xxx. Что дальше? Всё то же, что и всегда.
Подбор паролей, поиск багов в реализации.
Для этого и провом быть необязательно, у него несколько плюсов:
1. Скорость инета, которую он регулирует.
2. IP-Адрес: Предположим он ломает с порта 65001 на 22 твой сервак для обхода защиты? И тем самым присваивает себе твой IP-Адрес для доступа к твоему удалённому серверу и обходит защиту по IP, если у тебя настроен фаер.
Может тебя на это время отключить вовсе.
Тут как ты сам понимаешь лечится генерацией ключей и доступ только по ним.

Но мысль вобщем верная - меньше знаешь лучше спишь. ( Знает пров, а спишь ты :-) )
Насчет ng_ipnat - никогда неслышал...но догадываюсь что ты имееш в виду ng_nat...чтобы он работал как ipnat.
тоесть пришли к выводу что теоретически что такой конфиг
check-state
allow tcp from any to me http in recv ${ext}
----Х-------
divert natd ip from any to any to any out xmit ${ext}
allow ip from me to any out xmit ${ext} keep-state
allow ip from any to any via ${int}
и правило
divert ip from any to me in recv ${ext}
несовместны.
Предположим он ломает с порта 65001 на 22 твой сервак для обхода защиты? И тем самым присваивает себе твой IP-Адрес

А вот тут пожалусто обясните смысл этой фразы... потому что я никак поять его немогу.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-01-15 12:34:11

Смысл достаточно простой, пров должен каким-либо образом присвоить себе твой IP-Адрес для обхода защиты по IP и спокойно соединяться по SSH с твоим внешним серваком (Если таковая защита вообще есть). Варианты:

1. Отключить тебя на время от инета вовсе и прибрать к рукам твой IP-Адрес и ломать пока не надоест твой SSH подбором паролей. (Защита ведь по IP !! )
2. Натить определённый исходящий порт и перехватывать идущие на него пакеты. Для этого тебя отключать от инета не нужно. С реализацией посложнее, но думаю реализуемо.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Notaky
мл. сержант
Сообщения: 80
Зарегистрирован: 2006-09-13 19:23:46
Контактная информация:

Непрочитанное сообщение Notaky » 2007-01-15 13:24:35

Вобщем часть реальности в этом есть...но я считаю чтобы таким образом пройти защиту фаера...нужно писать фаер специально для этого..иначе...конфиг фаера может подойти для осуществления такого коварного плана 1 на миллион.
Насчет второго если так пытатся взломать ссш шифрование то это можно отнести к фантастике.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Непрочитанное сообщение dikens3 » 2007-01-15 13:38:19

Notaky писал(а):Вобщем часть реальности в этом есть...но я считаю чтобы таким образом пройти защиту фаера...нужно писать фаер специально для этого..иначе...конфиг фаера может подойти для осуществления такого коварного плана 1 на миллион.
SSH достаточно защищён сам по себе, у него в настройках есть такие функции, как ДРОПАТЬ каждое N-ое соединение после X неудачных соединений. Дальше больше.
Не помню откуда знаю, где-то читал.
Notaky писал(а): Насчет второго если так пытатся взломать ссш шифрование то это можно отнести к фантастике.
Как и то, что пров вообще будет ломать твой сервак. :-)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.