ipfw natd incoming

[dikens3]

вопрос тогда к варианту 2 ....
прошедший нат пакет с измененным пунктом назначения...
проходя check-state поидеи неподпадет не под одно правило,
так как правило создавалось на базе внешнего адреса роутера и какогото хоста в мире.
и в конце прохода будет отброшен если по дефолту фаер закрыт.

Тогда в 6 ветке есть ng_ipnat или что-то подобное. Он точно твою проблему решит, т.к. правил divert ... не будет вовсе.

насчет поподробней...
если я буду знать что у тебя есть .... с этим можно работать...информания никогда небывает ненужной...просто найти ей применение.
Чтобы конкретней чтото сказать...нужно смотреть на реализацию данного tcp/ip и тестить.

Мозг как чердак, место может закончиться. Ну открыт у меня 25,80 порты и что? А нифига, как настроишь, так и будет.

Допустим пров узнал что я соединяюсь по ssh с IP-Адресом xxx. Что дальше? Всё то же, что и всегда.
Подбор паролей, поиск багов в реализации.
Для этого и провом быть необязательно, у него несколько плюсов:
1. Скорость инета, которую он регулирует.
2. IP-Адрес: Предположим он ломает с порта 65001 на 22 твой сервак для обхода защиты? И тем самым присваивает себе твой IP-Адрес для доступа к твоему удалённому серверу и обходит защиту по IP, если у тебя настроен фаер.
Может тебя на это время отключить вовсе.
Тут как ты сам понимаешь лечится генерацией ключей и доступ только по ним.

Но мысль вобщем верная - меньше знаешь лучше спишь. ( Знает пров, а спишь ты :-) )

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Notaky]

вот часть этого поста мне никак непонятна...
кто сказал что я правила с сессиями както соединял..я вот сижу и думаю.... интересно каким чудом пришла мысль о снифинге?

А чем у тебя еще могут увидеть установленные(established) в данный момент сессии?
А если долбежкой по портам, то при чем здесь established?

Как никак в established есть тоже свой минус....можно увидеть какие сервисы у тебя работают.

Вырази свою мысль правильно и тогда демагогии не будет.

Как еще можно выразить нормально...когда я сказал что собой являют пакеты которые подходят под правило established... минусы...как я уже сказал...не в том чтобы смотреть установленые сессии(хотя при большом желании можно и своровать сессию), а именно в долбежке по портам.

[Notaky]

вопрос тогда к варианту 2 ....
прошедший нат пакет с измененным пунктом назначения...
проходя check-state поидеи неподпадет не под одно правило,
так как правило создавалось на базе внешнего адреса роутера и какогото хоста в мире.
и в конце прохода будет отброшен если по дефолту фаер закрыт.

Тогда в 6 ветке есть ng_ipnat или что-то подобное. Он точно твою проблему решит, т.к. правил divert ... не будет вовсе.

насчет поподробней...
если я буду знать что у тебя есть .... с этим можно работать...информания никогда небывает ненужной...просто найти ей применение.
Чтобы конкретней чтото сказать...нужно смотреть на реализацию данного tcp/ip и тестить.

Мозг как чердак, место может закончиться. Ну открыт у меня 25,80 порты и что? А нифига, как настроишь, так и будет.

Допустим пров узнал что я соединяюсь по ssh с IP-Адресом xxx. Что дальше? Всё то же, что и всегда.
Подбор паролей, поиск багов в реализации.
Для этого и провом быть необязательно, у него несколько плюсов:
1. Скорость инета, которую он регулирует.
2. IP-Адрес: Предположим он ломает с порта 65001 на 22 твой сервак для обхода защиты? И тем самым присваивает себе твой IP-Адрес для доступа к твоему удалённому серверу и обходит защиту по IP, если у тебя настроен фаер.
Может тебя на это время отключить вовсе.
Тут как ты сам понимаешь лечится генерацией ключей и доступ только по ним.

Но мысль вобщем верная - меньше знаешь лучше спишь. ( Знает пров, а спишь ты :-) )

Насчет ng_ipnat - никогда неслышал...но догадываюсь что ты имееш в виду ng_nat...чтобы он работал как ipnat.
тоесть пришли к выводу что теоретически что такой конфиг
check-state
allow tcp from any to me http in recv ${ext}
----Х-------
divert natd ip from any to any to any out xmit ${ext}
allow ip from me to any out xmit ${ext} keep-state
allow ip from any to any via ${int}
и правило
divert ip from any to me in recv ${ext}
несовместны.

Предположим он ломает с порта 65001 на 22 твой сервак для обхода защиты? И тем самым присваивает себе твой IP-Адрес

А вот тут пожалусто обясните смысл этой фразы... потому что я никак поять его немогу.

[dikens3]

Смысл достаточно простой, пров должен каким-либо образом присвоить себе твой IP-Адрес для обхода защиты по IP и спокойно соединяться по SSH с твоим внешним серваком (Если таковая защита вообще есть). Варианты:

1. Отключить тебя на время от инета вовсе и прибрать к рукам твой IP-Адрес и ломать пока не надоест твой SSH подбором паролей. (Защита ведь по IP !! )
2. Натить определённый исходящий порт и перехватывать идущие на него пакеты. Для этого тебя отключать от инета не нужно. С реализацией посложнее, но думаю реализуемо.

[Notaky]

Вобщем часть реальности в этом есть...но я считаю чтобы таким образом пройти защиту фаера...нужно писать фаер специально для этого..иначе...конфиг фаера может подойти для осуществления такого коварного плана 1 на миллион.
Насчет второго если так пытатся взломать ссш шифрование то это можно отнести к фантастике.

[dikens3]

Вобщем часть реальности в этом есть...но я считаю чтобы таким образом пройти защиту фаера...нужно писать фаер специально для этого..иначе...конфиг фаера может подойти для осуществления такого коварного плана 1 на миллион.

SSH достаточно защищён сам по себе, у него в настройках есть такие функции, как ДРОПАТЬ каждое N-ое соединение после X неудачных соединений. Дальше больше.
Не помню откуда знаю, где-то читал.

Насчет второго если так пытатся взломать ссш шифрование то это можно отнести к фантастике.

Как и то, что пров вообще будет ломать твой сервак. :-)