Как "спрятать" машины в домене

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
alex76
проходил мимо
Сообщения: 9
Зарегистрирован: 2009-02-24 18:37:26

Как "спрятать" машины в домене

Непрочитанное сообщение alex76 » 2009-02-24 18:52:12

Всем привет.
Имеем виндовый домен с Exchange 2003 нужно спрятать 20 машин от любопытных глаз. При этом они должны видеть все сервайсы (шары, почтовик, инет и т.д.) а их никто. Мысли такие Freebsd 7 на ней nat и Firewall.
Подскажите плиз с чего начать.
Большое спасибо.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

Re: Как "спрятать" машины в домене

Непрочитанное сообщение f_andrey » 2009-02-24 18:55:16

alex76 писал(а):нужно спрятать 20 машин от любопытных глаз.
А при чем тут FreeBSD, читаем что такое сети, подсети, маршрутизация, ну и потом уже если что не поможет можно задать вопрос по проблемам с конкретной реализацией :evil:
Модераторы скиньте это в винду или сети ;-)
Последний раз редактировалось f_andrey 2009-02-24 19:02:29, всего редактировалось 1 раз.
Причина: Перенес сам :)
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Как "спрятать" машины в домене

Непрочитанное сообщение zingel » 2009-02-24 18:56:06

никак, от нормального админа - никак.
Z301171463546 - можно пожертвовать мне денег

alex76
проходил мимо
Сообщения: 9
Зарегистрирован: 2009-02-24 18:37:26

Re: Как "спрятать" машины в домене

Непрочитанное сообщение alex76 » 2009-02-24 19:00:13

Пробывал по так
А по поводу ната нужно понять что ты сам хочешь. Если нужно просто связать две сети, то нат не нужен. Нат нужен, чтобы спрятать внутреннюю сеть от чужих, причем так чтобы внутренним пользователям была доступна внешняя сеть.

Предлагаю реализовать нат так:
Интерфейсы:

l

Код: Выделить всё

nc0 10.65.1.1/18 - inside
lnc1 192.168.0.1/24 - outside
воткнуты в разные хабы.
Клиенты локалки (10.65.1.1/18) видят все.
Клиенты внешнего интерфейса смогут только пинговать ip 192.168.0.1.

Реализация:
/etc/rc.firewall

Код: Выделить всё

#!/bin/sh
 
/sbin/ipfw -q add 1000 allow all from any to any via lo0
/sbin/ipfw -q add 2000 allow all from 10.65.1.0/18 to any keep-state
/sbin/ipfw -q add 3000 allow icmp from 192.168.0.1/24 to me
/sbin/ipfw -q add 4000 allow all from me to any keep-state
/sbin/ipfw -q add 65535 deny all from any to any

Код: Выделить всё

/etc/ipnat.rules
MAP lnc1 10.65.1.0/18 -> 192.168.168.0.1/32 proxy port ftp ftp/tcp
MAP lnc1 10.65.1.0/18 -> 192.168.168.0.1/32 portmap tcp/udp 40000:65000
MAP lnc1 10.65.1.0/18 -> 192.168.168.0.1/32


В rc.conf
i

Код: Выделить всё

pnat_enable="YES"
ipnat_rules="/etc/ipnat.rules"

Все теперь ты имеешь нат из сети 10.65.1.0/18 в сеть 192.168.0.0/24

Проверяем: включаем комп со стороны интерфейса lnc1, который будет эмуляцией компа в интернете и назначаем ему адрес из сети 192.168.0.0 например 192.168.0.10.
включаем комп - со стороны локалки и назначаем ему например адрес 10.65.1.100 шлюз 10.65.1.1.
Делаем ping 192.168.0.10 с внутреннего компа
на шлюзе tcpdump -i lnc1 -n
должен увидеть что-то такое:

Код: Выделить всё

18:45:09.790447 IP 192.168.0.1 > 192.168.0.10: ICMP echo request, id 512, seq 48896, length 40
,что говорит о том что твои запросы пинга идут с внешного интерфейса шлюза, те твой ип 10.65.1.100 заменяется на 192.168.0.1
на внутреннем же интерфейсе

Код: Выделить всё

tcpdump -i lnc0 -n
ты должен увидеть нечто подобное:

Код: Выделить всё

18:50:18.460087 IP 192.168.0.10 > 10.65.1.100: ICMP echo reply, id 512, seq 62209, length 40
,что свидетельствует о правильной работе ната

Но у меня tcpdump показывает вместо 192.168.0.1 реальный адрес машины

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Как "спрятать" машины в домене

Непрочитанное сообщение paradox » 2009-02-24 19:04:43

а что значит спрятать?
тогда вопрос где и как они видны? :cz2:

alex76
проходил мимо
Сообщения: 9
Зарегистрирован: 2009-02-24 18:37:26

Re: Как "спрятать" машины в домене

Непрочитанное сообщение alex76 » 2009-02-24 20:56:25

Они видны в сетевом окружении в Домене
А я хочу дать им другую подсеть и пускать их в домен от NAT-овского айпишника Тогда их не увидят если я правильно думаю

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Как "спрятать" машины в домене

Непрочитанное сообщение paradox » 2009-02-24 21:04:53

топологию нарисуй

к примеру если ты в разрыв постаившь роутер бсд
между ексченжем виндовым и сетью
то тогда да
ее никто не увидит
но не обязательно ее изпод нат выпускать можно и чисто выпустить

все зависит от топологии

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Как "спрятать" машины в домене

Непрочитанное сообщение InventoR » 2009-02-24 21:07:43

не правильно.
хочеш спрятать:
net config workstation /hide:yes
еще потом пропусти свою сетку через прозрачный bridge с фильтрацией пакетов
ну вот и сказочке конец, кто слушал, тот молодец.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Как "спрятать" машины в домене

Непрочитанное сообщение paradox » 2009-02-24 21:12:17

>InventoR
их по айпи будет видно
и даже в случае шлюза
а через нат к ним фиг достучишься вообще

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: Как "спрятать" машины в домене

Непрочитанное сообщение Gloft » 2009-02-24 21:35:51

если компы нужно спрятать от пользователей
то возможна натсройка локальных фаерволов
фильтры портов на сетевом оборудовании (если подобное поддерживается)
отеключением не нужных служб
можно настроить и скрыть компы в списке сетевого отображения

если от админов или чужой проверки то сложно
машины в домене?
если да то в АД можно найти информацию о машинах

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Как "спрятать" машины в домене

Непрочитанное сообщение InventoR » 2009-02-24 21:49:30

их по айпи будет видно
маленькая поправка, ты ведь поидее можеш на прозрачном мосте отфильтровать порты и пакеты, как в icmp
ну вот и сказочке конец, кто слушал, тот молодец.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Как "спрятать" машины в домене

Непрочитанное сообщение paradox » 2009-02-24 21:55:54

фильтровать накладнее чем пронатить

Volkoff
мл. сержант
Сообщения: 100
Зарегистрирован: 2008-04-22 10:44:55
Откуда: СПб

Re: Как "спрятать" машины в домене

Непрочитанное сообщение Volkoff » 2009-02-24 23:04:55

Почему никто вланы не упомянул? при условии что невидимость нужна со стороны другой группы рабочих станций, а не с серверов это наилучшее решение.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Как "спрятать" машины в домене

Непрочитанное сообщение paradox » 2009-02-24 23:07:58

потому что
1 топологии нет
2 нет списка оборудование которое будет
3 исходим из того что топик написал в первом сообщении

alex76
проходил мимо
Сообщения: 9
Зарегистрирован: 2009-02-24 18:37:26

Re: Как "спрятать" машины в домене

Непрочитанное сообщение alex76 » 2009-02-24 23:32:21

Всем спасибо за активное участие
Да действительно Vlan лучший вариант (учитывая наличие каталистов) но ... служба "людей в чёрном" (служба безопасности) хочет видеть эти машины на отдельном свиче (не каталист) и легендарная :smile: безопасность фри им тоже покоя не даёт Поэтому свои провода на свой свич на это сборище в разрыв с остальной сетью ставим фрю. Насколько я понимаю через нат мона всех показывать под одним айпишником а в дхцп этот адрес зарезирвировать под какой нить принт скан или ещё черт знает что и тогда по айпишникам не увидят. Короче три дня гуглю решения на основе фри пробывал на 6-й ветке. С фрюхой познакомился недавно Опыта маловато.

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Как "спрятать" машины в домене

Непрочитанное сообщение zingel » 2009-02-24 23:45:54

вланы и порезать все бродкасты + под 1 адрес всех за нат, остальное средствами pf на гейте

Код: Выделить всё

###############Tables############
table <ipblock> persist file "/etc/ipblock.txt"
table <fuck> persist
################Sets's###########
set skip on lo0
set optimization aggressive
set block-policy drop
set limit { states 20000, frags 20000, src-nodes 20000 }
set state-policy floating
set timeout { frag 10, tcp.established 3600 }
scrub in all fragment reassemble
################Block all fucking sime bad packets 
block all
antispoof log quick for { lo0, $ext_if }
block in log quick on $ext_if proto tcp from any to any flags /S
block in log quick on $ext_if proto tcp from any to any flags /SFRA
block in log quick on $ext_if proto tcp from any to any flags /SFRAU
block in log quick on $ext_if proto tcp from any to any flags A/A
block in log quick on $ext_if proto tcp from any to any flags F/SFRA
block in log quick on $ext_if proto tcp from any to any flags U/SFRAU
block in log quick on $ext_if proto tcp from any to any flags SF/SF
block in log quick on $ext_if proto tcp from any to any flags SF/SFRA
block in log quick on $ext_if proto tcp from any to any flags SR/SR
block in log quick on $ext_if proto tcp from any to any flags FUP/FUP
block in log quick on $ext_if proto tcp from any to any flags FUP/SFRAUPEW
block in log quick on $ext_if proto tcp from any to any flags SFRAU/SFRAU
block in log quick on $ext_if proto tcp from any to any flags SFRAUP/SFRAUP
block return in log quick on $ext_if from any to <AdWare>
block in log quick on $ext_if from { <RFC1918>, <AdWare> } to any
block out log quick on $ext_if from any to { <RFC1918>, <AdWare> }
block in quick from any os NMAP
block in inet proto icmp all icmp-type $icmp_types
block in quick log on $ext_if from <ipblock> to any
block drop in log quick on $ext_if from $non_route_nets_inet to any
block drop log quick from <fuck>
###############Allow's###########################
pass in on $ext_if  proto tcp from any to $ext_if  port $httpd  queue ( qssh, qack ) synproxy state ( max-src-conn 50, max-src-conn-rate 100/2, overload <fuck> flush global )
на гейт L7 filter + snort.
Z301171463546 - можно пожертвовать мне денег

alex76
проходил мимо
Сообщения: 9
Зарегистрирован: 2009-02-24 18:37:26

Re: Как "спрятать" машины в домене

Непрочитанное сообщение alex76 » 2009-02-25 11:57:48

Может всё таки кто нить поможет
Выкладываю топологию интерфейсы 2 (один наружу de0 192.168.14.X/23 de1 10.10.10.X/24)
rc.conf

Код: Выделить всё

gateway_enable="YES" 
forward_ipv4="YES"
inetd_enable="YES"
firewall_type="/etc/firewall.conf
ipnat_enable="YES"
ipnat_program="/sbin/ipnat -CF -f"
ipnat_rules="/etc/ipnat.rules"
ipnat_flags =""
ipfw show

100 allow all from any to any via lo0
200 allow all from 10.65.1.0/18 to any keep-state
300 allow icmp from 192.168.0.1/24 to me
400 allow all from me to any keep-state
65535 deny all from any to any

ipnat.rules

map de1 from 10.10.10.0/24 to 192.168.14.0/23 -> 192.168.41.229/32 proxy port ftp ftp/tcp
map de1 from 10.10.10.0/24 to 192.168.14.0/23 -> 192.168.14.229/32

Дай пинг из 10.10.10.2 на 192.168.14.Х
tspdump-ом вижу IP 10.10.10.2 > 192.168.14.Х: ICMP echo request, id 512, seq 48896, length 40 а хотелось бы видеть 192.168.14.229

snorlov
подполковник
Сообщения: 3678
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Как "спрятать" машины в домене

Непрочитанное сообщение snorlov » 2009-02-25 12:46:40

Можно на машинах, которые надо спрятать поднять IPSEC в транспортном режиме, правда не знаю, будут ли они при этом быть видимы в сетевом окружении, но с компа, на котором не будет поднят IPSEC c соответствующими параметрами они будут точно не доступны,
В случае винды допустим выдеяешь пул адресов 192.168.0.128-196, сервер 192.168.0.1 к примеру, и говоришь, что машинкам использовать всегда IPsec. а на сервере только если обращиются с ip 192.168.0.128-196

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Как "спрятать" машины в домене

Непрочитанное сообщение paradox » 2009-02-25 13:00:59

Выкладываю топологию интерфейсы 2 (один наружу de0 192.168.14.X/23 de1 10.10.10.X/24)
:cz2: а карандашиком нарисовать не хотите?
tspdump-ом вижу
на каком интерфейсе смотрите?
proxy port ftp ftp/tcp
сделали нат всего кроме icmp ага?
netstat -nr
невижу

alex76
проходил мимо
Сообщения: 9
Зарегистрирован: 2009-02-24 18:37:26

Re: Как "спрятать" машины в домене

Непрочитанное сообщение alex76 » 2009-02-25 13:39:09

тспдампом смотрел по обоим интерфейсам

подскажите как разрешить icmp в nat
Вложения
схема.JPG

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Как "спрятать" машины в домене

Непрочитанное сообщение paradox » 2009-02-25 13:46:09

пробуем так
100 allow all from any to any via lo0
65535 deny all from any to any
map de0 from 10.10.10.0/24 to any -> 192.168.14.15/32
я чет не понял как это вы под 229 хотели выпустить если внешний айпи сетевки у вас 15 судя по рисунку


я так понимаю машины 10.10.10/24 должны иметь доступ к домену но домен не должен видеть их - так?

alex76
проходил мимо
Сообщения: 9
Зарегистрирован: 2009-02-24 18:37:26

Re: Как "спрятать" машины в домене

Непрочитанное сообщение alex76 » 2009-02-25 14:10:01

Да всё правильно поняли Хочу что бы 10.10.10.0 видели домен а домен их нет.
Внёс предложенное правило в файрвол
и оставил в ipnat.rules только вашу строку

результат пока тотже

смотрю дампом на обоих интерфейса и вижу 10.10.10.2 -> 192.168.14.83

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Как "спрятать" машины в домене

Непрочитанное сообщение paradox » 2009-02-25 14:22:35

надо бы tcpdump в уже доменной сети на какойто машинке запустить
а то есть предположение что с фри ты не увидишь как переписываеться пакет

alex76
проходил мимо
Сообщения: 9
Зарегистрирован: 2009-02-24 18:37:26

Re: Как "спрятать" машины в домене

Непрочитанное сообщение alex76 » 2009-02-25 16:06:43

Ура заработало Огромное спасибо Парадоксу Теперь видит сеть 192,168,14,0 Пойдём дальше в интернет ходят. Буду думать теперь насчёт почты

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Как "спрятать" машины в домене

Непрочитанное сообщение paradox » 2009-02-25 16:18:24

ну ты ж отпиши что ты сдел
и как это видно
а то прийдут люди и опять будут мусолить эту тему