iptables&mac

Aleksey Barabanov написал(а) к Oleg Balychev в Dec 02 21:57:06 по местному времени:

From: Aleksey Barabanov <alekseybb@mtu-net.ru>

Oleg Balychev wrote:

> In article <2557ua.be2.ln@alekseybb.mtu-net.ru>, Aleksey Barabanov wrote:
> AB>
> AB> Вопросы по 2-му решению.
> AB> Насколько серьезна угроза такого обхода файрвола и есть ли
> инструментарий AB> для этого (про nmap можно не повторяться) ?
> AB> И не будет ли достаточным вкатить в начало цепочек INPUT - filter и
> AB> FORWARD - filter правила, блокирующие INVALID, для решения вопроса
> AB> на 99% ?
> Я думаю вполне. Если ivalid будут дропаться, то паразитного трафика
Спасибо. Я уж было подумал, что вопрос останется втуне ;)

> не будет. Хотя даже если он и будет, я не вижу как им
А я и сам не знаю пока. Но в принципе проблема netfilter как файрвола в том,
что он работает поверх ip-стека. Т.е. независимо от условий, анализируемых
в правила, мак ли то, или уже IP, или даже TCP, или это НTTP заголовки,
правила отрабатывают на полностю дешифрованом пакете. Другими словами, если
я блокирую пакеты с некоторого MAC, то все равно сначала система их примет
полностью и дешифрует в skbuf, а уж потом фильтр их дропнет.

> воспользоваться. А почему на 99?
Ну так я ж параноик ;)

Bye.
--
Aleksey Barabanov <alekseybb@mtu-net.ru>
--- ifmail v.2.15dev5

Aleksey Barabanov написал(а) к Oleg Balychev в Dec 02 22:53:42 по местному времени:

From: Aleksey Barabanov <alekseybb@mtu-net.ru>

Oleg Balychev wrote:

>>> не будет. Хотя даже если он и будет, я не вижу как им
> AB> А я и сам не знаю пока. Но в принципе проблема netfilter как файрвола
> в
> AB> том, что он работает поверх ip-стека. Т.е. независимо от условий,
> AB> анализируемых в правила, мак ли то, или уже IP, или даже TCP, или это
> А какие альтернативы? Я слышал, вроде CheckPoint то ли есть, то ли будет
> под линукс. Больше я не про какие файрволы не слышал, да и мне в
> принципе возможностей iptables хватает. Неудобство конечно, что
> непосредственно файрволл настраиваешь в одном месте, ids (intrusion
> detection system) в другом и проч.
Альтернатив нет. Я тут намекал, что есть еще такое поделие как патч на ядро
бриджинг+файрвол, который ,я не смотрел как, не было актуально, но так или
иначе заставляет срабатывать файрвол еще на уровне интерфейса, т.е. там где
собственно реализован бридж.

А IDS должно размещаться совсем в другом месте, imho. Есть такое поделие
"shadow sensor", вот где-то в таком духе и должно быть сделано. Т.е. на
бэкбоне прослушиваемой зоны надо установить дополнительное подключение без
IP, но с интерфейсом в "беспорядочном" режиме для прослушки трафика.

А кстати, что вы используете в качестве IDS на эхотаге. И кстати, на каком
трафике и в каком окружении (какого объема контора, ISP или что там ?).

Bye.
--
Aleksey Barabanov <alekseybb@mtu-net.ru>
--- ifmail v.2.15dev5

Oleg Balychev написал(а) к Aleksey Barabanov в Dec 02 23:55:44 по местному времени:

5vkua.l72.ln@alekseybb.mtu-net.ru>
From: Oleg Balychev <castroy@inco.spb.ru>

In article <r5vkua.l72.ln@alekseybb.mtu-net.ru>, Aleksey Barabanov wrote:
>> непосредственно файрволл настраиваешь в одном месте, ids (intrusion
>> detection system) в другом и проч.
AB> Альтернатив нет. Я тут намекал, что есть еще такое поделие как патч на
AB> ядро бриджинг+файрвол, который ,я не смотрел как, не было актуально,
AB> но так или иначе заставляет срабатывать файрвол еще на уровне
AB> интерфейса, т.е. там где собственно реализован бридж.
Значит будем ждать CheckPoint'a. Но он коммерческий. :(

AB> А IDS должно размещаться совсем в другом месте, imho. Есть такое
AB> поделие "shadow sensor", вот где-то в таком духе и должно быть
AB> сделано. Т.е. на бэкбоне прослушиваемой зоны надо установить
AB> дополнительное подключение без IP, но с интерфейсом в "беспорядочном"
AB> режиме для прослушки трафика.
AB> А кстати, что вы используете в качестве IDS на эхотаге. И кстати, на
AB> каком трафике и в каком окружении (какого объема контора, ISP или
Я сейчас смотрю в сторону snort. (www.snort.org) В принципе
приятственная вещь. Умеет с помощью самбы слать алерт на виндовые
машины, умеет разные правила на разные сервиса, распознавать всякие
ddos'ы... Правда в бою еще не пробовал. :)
--
Best regards.
Oleg mailto: castroy@ezmail.ru
--- ifmail v.2.15dev5

Oleg Balychev написал(а) к Aleksey Barabanov в Dec 02 21:55:40 по местному времени:

From: Oleg Balychev <castroy@inco.spb.ru>

In article <2557ua.be2.ln@alekseybb.mtu-net.ru>, Aleksey Barabanov wrote:
AB>
AB> Вопросы по 2-му решению.
AB> Насколько серьезна угроза такого обхода файрвола и есть ли инструментарий
AB> для этого (про nmap можно не повторяться) ?
AB> И не будет ли достаточным вкатить в начало цепочек INPUT - filter и
AB> FORWARD - filter правила, блокирующие INVALID, для решения вопроса
AB> на 99% ?
Я думаю вполне. Если ivalid будут дропаться, то паразитного трафика
не будет. Хотя даже если он и будет, я не вижу как им
воспользоваться. А почему на 99?
--
Best regards.
Oleg mailto: castroy@ezmail.ru
--- ifmail v.2.15dev5

Aleksey Barabanov написал(а) к Igor S.Kozhukhov в Dec 02 19:19:08 по местному времени:

From: Aleksey Barabanov <alekseybb@mtu-net.ru>

Igor S.Kozhukhov wrote:

> бывает - писал по памяти - память отказала ...
> вернее совсем себе уже мозги запужрил правила для iptables ...
Ну тогда есть повод ;)
Чтоб вам хорошо отдохнуть на новогодних каникулах ! Поздравляю с Новым Годом
! А также всех читающих это письмо тоже !

Bye.
--
Aleksey Barabanov <alekseybb@mtu-net.ru>
--- ifmail v.2.15dev5

Oleg Balychev написал(а) к Aleksey Barabanov в Dec 02 09:37:38 по местному времени:

From: Oleg Balychev <castroy@inco.spb.ru>

>> не будет. Хотя даже если он и будет, я не вижу как им
AB> А я и сам не знаю пока. Но в принципе проблема netfilter как файрвола в
AB> том, что он работает поверх ip-стека. Т.е. независимо от условий,
AB> анализируемых в правила, мак ли то, или уже IP, или даже TCP, или это
А какие альтернативы? Я слышал, вроде CheckPoint то ли есть, то ли будет
под линукс. Больше я не про какие файрволы не слышал, да и мне в
принципе возможностей iptables хватает. Неудобство конечно, что
непосредственно файрволл настраиваешь в одном месте, ids (intrusion
detection system) в другом и проч.

>> воспользоваться. А почему на 99?
AB> Ну так я ж параноик ;)
Правильно. Как говорится, если у вас нет паранойи, это не значит,
что за вами никто не следит. :)

--
Best regards.
Oleg mailto: castroy@ezmail.ru
--- ifmail v.2.15dev5

Aleksey Barabanov написал(а) к Oleg Balychev в Dec 02 20:30:36 по местному времени:

5vkua.l72.ln@alekseybb.mtu-net.ru> <aul33n$tnl$2@gavrilo.mtu.ru>
From: Aleksey Barabanov <alekseybb@mtu-net.ru>

Oleg Balychev wrote:

> In article <r5vkua.l72.ln@alekseybb.mtu-net.ru>, Aleksey Barabanov wrote:
> >> непосредственно файрволл настраиваешь в одном месте, ids
> >> (intrusion detection system) в другом и проч.
[...]
> AB> А кстати, что вы используете в качестве IDS на эхотаге. И кстати, на
> AB> каком трафике и в каком окружении (какого объема контора, ISP или
> Я сейчас смотрю в сторону snort. (www.snort.org) В принципе
> приятственная вещь. Умеет с помощью самбы слать алерт на виндовые
> машины, умеет разные правила на разные сервиса, распознавать всякие
> ddos'ы... Правда в бою еще не пробовал. :)
Так snort и так и так не работает через фильтры ядра. Эта штука в своей
основе имеет сниффер. Это я к тому, что в этом случае и так и так "файрвол"
настраиваем в одном месте, а IDS в другом.

А с точки зрения применимости, я тоже к этой туле склоняюсь. Тем более что в
SuSE в дистрибутиве именно этот IDS и включен.

Bye.
--
Aleksey Barabanov <alekseybb@mtu-net.ru>
--- ifmail v.2.15dev5

Igor S.Kozhukhov написал(а) к Oleg Balychev в Dec 02 01:39:22 по местному времени:

Нello Oleg!

Sunday December 22 2002 17:38, Oleg Balychev wrote to All:

OB> Бррр... Ничего не понимаю. :( Пытаюсь сделать фильтрацию на
OB> основе mac адреса. Делаю так:

OB> iptables -A INPUT -p tcp --mac-source 00:02:A5:18:54:47 -j ACCEPT

правильнее

-m state --mac-source

With best wishes,
Igor
> -= Big TRAMP Circle =-
> [||] Team Граненного Стакана [||]

... E-mail: sirius@dexp.ru
--- GoldED/W32 3.0.1

Aleksey Barabanov написал(а) к Igor S.Kozhukhov в Dec 02 01:55:26 по местному времени:

From: Aleksey Barabanov <alekseybb@mtu-net.ru>

Igor S.Kozhukhov wrote:

> Нello Oleg!
>
> Sunday December 22 2002 17:38, Oleg Balychev wrote to All:
>
> OB> Бррр... Ничего не понимаю. :( Пытаюсь сделать фильтрацию на
> OB> основе mac адреса. Делаю так:
>
> OB> iptables -A INPUT -p tcp --mac-source 00:02:A5:18:54:47 -j ACCEPT
>
> правильнее
>
> -m state --mac-source
??? Обсуждать что это НЕ правильнее, пустое дело , ибо и так ясно. Вопрос
в том почему прежде чем что-то посоветовать (даже если вы это делаете не с
собственного опыта, а просто в силу вашей эрудиции) нельзя проверить самому
? Куда торопимся то ?

Bye.
--
Aleksey Barabanov <alekseybb@mtu-net.ru>
--- ifmail v.2.15dev5

Igor S.Kozhukhov написал(а) к Aleksey Barabanov в Dec 02 17:50:32 по местному времени:


* Answering a msg posted in area MY (My mail).

Нello Aleksey!

Tuesday December 31 2002 01:55, Aleksey Barabanov wrote to Igor S.Kozhukhov:
>>
>> OB> Бррр... Ничего не понимаю. :( Пытаюсь сделать фильтрацию на
>> OB> основе mac адреса. Делаю так:
>>
>> OB> iptables -A INPUT -p tcp --mac-source 00:02:A5:18:54:47 -j
>> OB> ACCEPT
>>
>> правильнее
>>
>> -m state --mac-source
AB> ??? Обсуждать что это НЕ правильнее, пустое дело , ибо и так ясно.
AB> Вопрос в том почему прежде чем что-то посоветовать (даже если вы это
AB> делаете не с собственного опыта, а просто в силу вашей эрудиции)
AB> нельзя проверить самому ? Куда торопимся то ?

извини - поторопился

у меня так сделано

iptables -A FORWARD -s $ip -m mac --mac-source $mac -o eth0 -j ACCEPT

бывает - писал по памяти - память отказала ...
вернее совсем себе уже мозги запужрил правила для iptables ...

With best wishes,
Igor
> -= Big TRAMP Circle =-
> [||] Team Граненного Стакана [||]

... E-mail: sirius@dexp.ru
--- GoldED/W32 3.0.1