Как "спрятать" машины в домене

alex76 · Непрочитанное сообщение **alex76** » 2009-02-24 18:52:12

Всем привет.
Имеем виндовый домен с Exchange 2003 нужно спрятать 20 машин от любопытных глаз. При этом они должны видеть все сервайсы (шары, почтовик, инет и т.д.) а их никто. Мысли такие Freebsd 7 на ней nat и Firewall.
Подскажите плиз с чего начать.
Большое спасибо.

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

f_andrey

alex76 писал(а):нужно спрятать 20 машин от любопытных глаз.

А при чем тут FreeBSD, читаем что такое сети, подсети, маршрутизация, ну и потом уже если что не поможет можно задать вопрос по проблемам с конкретной реализацией

Модераторы скиньте это в винду или сети

Непрочитанное сообщение **zingel** » 2009-02-24 18:56:06

никак, от нормального админа - никак.

alex76 · Непрочитанное сообщение **alex76** » 2009-02-24 19:00:13

Пробывал по так
А по поводу ната нужно понять что ты сам хочешь. Если нужно просто связать две сети, то нат не нужен. Нат нужен, чтобы спрятать внутреннюю сеть от чужих, причем так чтобы внутренним пользователям была доступна внешняя сеть.

Предлагаю реализовать нат так:
Интерфейсы:

l

Код: Выделить всё

nc0 10.65.1.1/18 - inside
lnc1 192.168.0.1/24 - outside

воткнуты в разные хабы.
Клиенты локалки (10.65.1.1/18) видят все.
Клиенты внешнего интерфейса смогут только пинговать ip 192.168.0.1.

Реализация:
/etc/rc.firewall

Код: Выделить всё

#!/bin/sh
 
/sbin/ipfw -q add 1000 allow all from any to any via lo0
/sbin/ipfw -q add 2000 allow all from 10.65.1.0/18 to any keep-state
/sbin/ipfw -q add 3000 allow icmp from 192.168.0.1/24 to me
/sbin/ipfw -q add 4000 allow all from me to any keep-state
/sbin/ipfw -q add 65535 deny all from any to any

Код: Выделить всё

/etc/ipnat.rules
MAP lnc1 10.65.1.0/18 -> 192.168.168.0.1/32 proxy port ftp ftp/tcp
MAP lnc1 10.65.1.0/18 -> 192.168.168.0.1/32 portmap tcp/udp 40000:65000
MAP lnc1 10.65.1.0/18 -> 192.168.168.0.1/32

В rc.conf
i

Код: Выделить всё

pnat_enable="YES"
ipnat_rules="/etc/ipnat.rules"

Все теперь ты имеешь нат из сети 10.65.1.0/18 в сеть 192.168.0.0/24

Проверяем: включаем комп со стороны интерфейса lnc1, который будет эмуляцией компа в интернете и назначаем ему адрес из сети 192.168.0.0 например 192.168.0.10.
включаем комп - со стороны локалки и назначаем ему например адрес 10.65.1.100 шлюз 10.65.1.1.
Делаем ping 192.168.0.10 с внутреннего компа
на шлюзе tcpdump -i lnc1 -n
должен увидеть что-то такое:

Код: Выделить всё

18:45:09.790447 IP 192.168.0.1 > 192.168.0.10: ICMP echo request, id 512, seq 48896, length 40

,что говорит о том что твои запросы пинга идут с внешного интерфейса шлюза, те твой ип 10.65.1.100 заменяется на 192.168.0.1
на внутреннем же интерфейсе

Код: Выделить всё

tcpdump -i lnc0 -n

ты должен увидеть нечто подобное:

Код: Выделить всё

18:50:18.460087 IP 192.168.0.10 > 10.65.1.100: ICMP echo reply, id 512, seq 62209, length 40

,что свидетельствует о правильной работе ната

Но у меня tcpdump показывает вместо 192.168.0.1 реальный адрес машины

paradox · Непрочитанное сообщение **paradox** » 2009-02-24 19:04:43

а что значит спрятать?
тогда вопрос где и как они видны?

alex76 · Непрочитанное сообщение **alex76** » 2009-02-24 20:56:25

Они видны в сетевом окружении в Домене
А я хочу дать им другую подсеть и пускать их в домен от NAT-овского айпишника Тогда их не увидят если я правильно думаю

paradox · Непрочитанное сообщение **paradox** » 2009-02-24 21:04:53

топологию нарисуй

к примеру если ты в разрыв постаившь роутер бсд
между ексченжем виндовым и сетью
то тогда да
ее никто не увидит
но не обязательно ее изпод нат выпускать можно и чисто выпустить

все зависит от топологии

InventoR

не правильно.
хочеш спрятать:
net config workstation /hide:yes
еще потом пропусти свою сетку через прозрачный bridge с фильтрацией пакетов

paradox · Непрочитанное сообщение **paradox** » 2009-02-24 21:12:17

>InventoR
их по айпи будет видно
и даже в случае шлюза
а через нат к ним фиг достучишься вообще

Gloft · Непрочитанное сообщение **Gloft** » 2009-02-24 21:35:51

если компы нужно спрятать от пользователей
то возможна натсройка локальных фаерволов
фильтры портов на сетевом оборудовании (если подобное поддерживается)
отеключением не нужных служб
можно настроить и скрыть компы в списке сетевого отображения

если от админов или чужой проверки то сложно
машины в домене?
если да то в АД можно найти информацию о машинах

InventoR

их по айпи будет видно
маленькая поправка, ты ведь поидее можеш на прозрачном мосте отфильтровать порты и пакеты, как в icmp

paradox · Непрочитанное сообщение **paradox** » 2009-02-24 21:55:54

фильтровать накладнее чем пронатить

Volkoff · Непрочитанное сообщение **Volkoff** » 2009-02-24 23:04:55

Почему никто вланы не упомянул? при условии что невидимость нужна со стороны другой группы рабочих станций, а не с серверов это наилучшее решение.

paradox · Непрочитанное сообщение **paradox** » 2009-02-24 23:07:58

потому что
1 топологии нет
2 нет списка оборудование которое будет
3 исходим из того что топик написал в первом сообщении

alex76 · Непрочитанное сообщение **alex76** » 2009-02-24 23:32:21

Всем спасибо за активное участие
Да действительно Vlan лучший вариант (учитывая наличие каталистов) но ... служба "людей в чёрном" (служба безопасности) хочет видеть эти машины на отдельном свиче (не каталист) и легендарная

безопасность фри им тоже покоя не даёт Поэтому свои провода на свой свич на это сборище в разрыв с остальной сетью ставим фрю. Насколько я понимаю через нат мона всех показывать под одним айпишником а в дхцп этот адрес зарезирвировать под какой нить принт скан или ещё черт знает что и тогда по айпишникам не увидят. Короче три дня гуглю решения на основе фри пробывал на 6-й ветке. С фрюхой познакомился недавно Опыта маловато.

Непрочитанное сообщение **zingel** » 2009-02-24 23:45:54

вланы и порезать все бродкасты + под 1 адрес всех за нат, остальное средствами pf на гейте

Код: Выделить всё

###############Tables############
table <ipblock> persist file "/etc/ipblock.txt"
table <fuck> persist
################Sets's###########
set skip on lo0
set optimization aggressive
set block-policy drop
set limit { states 20000, frags 20000, src-nodes 20000 }
set state-policy floating
set timeout { frag 10, tcp.established 3600 }
scrub in all fragment reassemble
################Block all fucking sime bad packets 
block all
antispoof log quick for { lo0, $ext_if }
block in log quick on $ext_if proto tcp from any to any flags /S
block in log quick on $ext_if proto tcp from any to any flags /SFRA
block in log quick on $ext_if proto tcp from any to any flags /SFRAU
block in log quick on $ext_if proto tcp from any to any flags A/A
block in log quick on $ext_if proto tcp from any to any flags F/SFRA
block in log quick on $ext_if proto tcp from any to any flags U/SFRAU
block in log quick on $ext_if proto tcp from any to any flags SF/SF
block in log quick on $ext_if proto tcp from any to any flags SF/SFRA
block in log quick on $ext_if proto tcp from any to any flags SR/SR
block in log quick on $ext_if proto tcp from any to any flags FUP/FUP
block in log quick on $ext_if proto tcp from any to any flags FUP/SFRAUPEW
block in log quick on $ext_if proto tcp from any to any flags SFRAU/SFRAU
block in log quick on $ext_if proto tcp from any to any flags SFRAUP/SFRAUP
block return in log quick on $ext_if from any to <AdWare>
block in log quick on $ext_if from { <RFC1918>, <AdWare> } to any
block out log quick on $ext_if from any to { <RFC1918>, <AdWare> }
block in quick from any os NMAP
block in inet proto icmp all icmp-type $icmp_types
block in quick log on $ext_if from <ipblock> to any
block drop in log quick on $ext_if from $non_route_nets_inet to any
block drop log quick from <fuck>
###############Allow's###########################
pass in on $ext_if  proto tcp from any to $ext_if  port $httpd  queue ( qssh, qack ) synproxy state ( max-src-conn 50, max-src-conn-rate 100/2, overload <fuck> flush global )

на гейт L7 filter + snort.

alex76 · Непрочитанное сообщение **alex76** » 2009-02-25 11:57:48

Может всё таки кто нить поможет
Выкладываю топологию интерфейсы 2 (один наружу de0 192.168.14.X/23 de1 10.10.10.X/24)
rc.conf

Код: Выделить всё

gateway_enable="YES" 
forward_ipv4="YES"
inetd_enable="YES"
firewall_type="/etc/firewall.conf
ipnat_enable="YES"
ipnat_program="/sbin/ipnat -CF -f"
ipnat_rules="/etc/ipnat.rules"
ipnat_flags =""

ipfw show

100 allow all from any to any via lo0
200 allow all from 10.65.1.0/18 to any keep-state
300 allow icmp from 192.168.0.1/24 to me
400 allow all from me to any keep-state
65535 deny all from any to any

ipnat.rules

map de1 from 10.10.10.0/24 to 192.168.14.0/23 -> 192.168.41.229/32 proxy port ftp ftp/tcp
map de1 from 10.10.10.0/24 to 192.168.14.0/23 -> 192.168.14.229/32

Дай пинг из 10.10.10.2 на 192.168.14.Х
tspdump-ом вижу IP 10.10.10.2 > 192.168.14.Х: ICMP echo request, id 512, seq 48896, length 40 а хотелось бы видеть 192.168.14.229

snorlov · Непрочитанное сообщение **snorlov** » 2009-02-25 12:46:40

Можно на машинах, которые надо спрятать поднять IPSEC в транспортном режиме, правда не знаю, будут ли они при этом быть видимы в сетевом окружении, но с компа, на котором не будет поднят IPSEC c соответствующими параметрами они будут точно не доступны,
В случае винды допустим выдеяешь пул адресов 192.168.0.128-196, сервер 192.168.0.1 к примеру, и говоришь, что машинкам использовать всегда IPsec. а на сервере только если обращиются с ip 192.168.0.128-196

paradox · Непрочитанное сообщение **paradox** » 2009-02-25 13:00:59

Выкладываю топологию интерфейсы 2 (один наружу de0 192.168.14.X/23 de1 10.10.10.X/24)

а карандашиком нарисовать не хотите?

tspdump-ом вижу

на каком интерфейсе смотрите?

proxy port ftp ftp/tcp

сделали нат всего кроме icmp ага?

netstat -nr

невижу

alex76 · Непрочитанное сообщение **alex76** » 2009-02-25 13:39:09

тспдампом смотрел по обоим интерфейсам

подскажите как разрешить icmp в nat

paradox · Непрочитанное сообщение **paradox** » 2009-02-25 13:46:09

пробуем так

100 allow all from any to any via lo0
65535 deny all from any to any

map de0 from 10.10.10.0/24 to any -> 192.168.14.15/32

я чет не понял как это вы под 229 хотели выпустить если внешний айпи сетевки у вас 15 судя по рисунку

я так понимаю машины 10.10.10/24 должны иметь доступ к домену но домен не должен видеть их - так?

alex76 · Непрочитанное сообщение **alex76** » 2009-02-25 14:10:01

Да всё правильно поняли Хочу что бы 10.10.10.0 видели домен а домен их нет.
Внёс предложенное правило в файрвол
и оставил в ipnat.rules только вашу строку

результат пока тотже

смотрю дампом на обоих интерфейса и вижу 10.10.10.2 -> 192.168.14.83

paradox · Непрочитанное сообщение **paradox** » 2009-02-25 14:22:35

надо бы tcpdump в уже доменной сети на какойто машинке запустить
а то есть предположение что с фри ты не увидишь как переписываеться пакет

alex76 · Непрочитанное сообщение **alex76** » 2009-02-25 16:06:43

Ура заработало Огромное спасибо Парадоксу Теперь видит сеть 192,168,14,0 Пойдём дальше в интернет ходят. Буду думать теперь насчёт почты

paradox · Непрочитанное сообщение **paradox** » 2009-02-25 16:18:24

ну ты ж отпиши что ты сдел
и как это видно
а то прийдут люди и опять будут мусолить эту тему

forum.lissyara.su

Как "спрятать" машины в домене

Как "спрятать" машины в домене

Услуги хостинговой компании Host-Food.ru

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене

Re: Как "спрятать" машины в домене