#1
|
|||
|
|||
Re: iptables&mac
Aleksey Barabanov написал(а) к Oleg Balychev в Dec 02 21:57:06 по местному времени:
From: Aleksey Barabanov <alekseybb@mtu-net.ru> Oleg Balychev wrote: > In article <2557ua.be2.ln@alekseybb.mtu-net.ru>, Aleksey Barabanov wrote: > AB> > AB> Вопросы по 2-му решению. > AB> Насколько серьезна угроза такого обхода файрвола и есть ли > инструментарий AB> для этого (про nmap можно не повторяться) ? > AB> И не будет ли достаточным вкатить в начало цепочек INPUT - filter и > AB> FORWARD - filter правила, блокирующие INVALID, для решения вопроса > AB> на 99% ? > Я думаю вполне. Если ivalid будут дропаться, то паразитного трафика Спасибо. Я уж было подумал, что вопрос останется втуне ;) > не будет. Хотя даже если он и будет, я не вижу как им А я и сам не знаю пока. Но в принципе проблема netfilter как файрвола в том, что он работает поверх ip-стека. Т.е. независимо от условий, анализируемых в правила, мак ли то, или уже IP, или даже TCP, или это НTTP заголовки, правила отрабатывают на полностю дешифрованом пакете. Другими словами, если я блокирую пакеты с некоторого MAC, то все равно сначала система их примет полностью и дешифрует в skbuf, а уж потом фильтр их дропнет. > воспользоваться. А почему на 99? Ну так я ж параноик ;) Bye. -- Aleksey Barabanov <alekseybb@mtu-net.ru> --- ifmail v.2.15dev5 |
#2
|
|||
|
|||
Re: iptables&mac
Aleksey Barabanov написал(а) к Oleg Balychev в Dec 02 22:53:42 по местному времени:
From: Aleksey Barabanov <alekseybb@mtu-net.ru> Oleg Balychev wrote: >>> не будет. Хотя даже если он и будет, я не вижу как им > AB> А я и сам не знаю пока. Но в принципе проблема netfilter как файрвола > в > AB> том, что он работает поверх ip-стека. Т.е. независимо от условий, > AB> анализируемых в правила, мак ли то, или уже IP, или даже TCP, или это > А какие альтернативы? Я слышал, вроде CheckPoint то ли есть, то ли будет > под линукс. Больше я не про какие файрволы не слышал, да и мне в > принципе возможностей iptables хватает. Неудобство конечно, что > непосредственно файрволл настраиваешь в одном месте, ids (intrusion > detection system) в другом и проч. Альтернатив нет. Я тут намекал, что есть еще такое поделие как патч на ядро бриджинг+файрвол, который ,я не смотрел как, не было актуально, но так или иначе заставляет срабатывать файрвол еще на уровне интерфейса, т.е. там где собственно реализован бридж. А IDS должно размещаться совсем в другом месте, imho. Есть такое поделие "shadow sensor", вот где-то в таком духе и должно быть сделано. Т.е. на бэкбоне прослушиваемой зоны надо установить дополнительное подключение без IP, но с интерфейсом в "беспорядочном" режиме для прослушки трафика. А кстати, что вы используете в качестве IDS на эхотаге. И кстати, на каком трафике и в каком окружении (какого объема контора, ISP или что там ?). Bye. -- Aleksey Barabanov <alekseybb@mtu-net.ru> --- ifmail v.2.15dev5 |
#3
|
|||
|
|||
Re: iptables&mac
Oleg Balychev написал(а) к Aleksey Barabanov в Dec 02 23:55:44 по местному времени:
5vkua.l72.ln@alekseybb.mtu-net.ru> From: Oleg Balychev <castroy@inco.spb.ru> In article <r5vkua.l72.ln@alekseybb.mtu-net.ru>, Aleksey Barabanov wrote: >> непосредственно файрволл настраиваешь в одном месте, ids (intrusion >> detection system) в другом и проч. AB> Альтернатив нет. Я тут намекал, что есть еще такое поделие как патч на AB> ядро бриджинг+файрвол, который ,я не смотрел как, не было актуально, AB> но так или иначе заставляет срабатывать файрвол еще на уровне AB> интерфейса, т.е. там где собственно реализован бридж. Значит будем ждать CheckPoint'a. Но он коммерческий. :( AB> А IDS должно размещаться совсем в другом месте, imho. Есть такое AB> поделие "shadow sensor", вот где-то в таком духе и должно быть AB> сделано. Т.е. на бэкбоне прослушиваемой зоны надо установить AB> дополнительное подключение без IP, но с интерфейсом в "беспорядочном" AB> режиме для прослушки трафика. AB> А кстати, что вы используете в качестве IDS на эхотаге. И кстати, на AB> каком трафике и в каком окружении (какого объема контора, ISP или Я сейчас смотрю в сторону snort. (www.snort.org) В принципе приятственная вещь. Умеет с помощью самбы слать алерт на виндовые машины, умеет разные правила на разные сервиса, распознавать всякие ddos'ы... Правда в бою еще не пробовал. :) -- Best regards. Oleg mailto: castroy@ezmail.ru --- ifmail v.2.15dev5 |
#4
|
|||
|
|||
Re: iptables&mac
Oleg Balychev написал(а) к Aleksey Barabanov в Dec 02 21:55:40 по местному времени:
From: Oleg Balychev <castroy@inco.spb.ru> In article <2557ua.be2.ln@alekseybb.mtu-net.ru>, Aleksey Barabanov wrote: AB> AB> Вопросы по 2-му решению. AB> Насколько серьезна угроза такого обхода файрвола и есть ли инструментарий AB> для этого (про nmap можно не повторяться) ? AB> И не будет ли достаточным вкатить в начало цепочек INPUT - filter и AB> FORWARD - filter правила, блокирующие INVALID, для решения вопроса AB> на 99% ? Я думаю вполне. Если ivalid будут дропаться, то паразитного трафика не будет. Хотя даже если он и будет, я не вижу как им воспользоваться. А почему на 99? -- Best regards. Oleg mailto: castroy@ezmail.ru --- ifmail v.2.15dev5 |
#5
|
|||
|
|||
Re: iptables&mac
Aleksey Barabanov написал(а) к Igor S.Kozhukhov в Dec 02 19:19:08 по местному времени:
From: Aleksey Barabanov <alekseybb@mtu-net.ru> Igor S.Kozhukhov wrote: > бывает - писал по памяти - память отказала ... > вернее совсем себе уже мозги запужрил правила для iptables ... Ну тогда есть повод ;) Чтоб вам хорошо отдохнуть на новогодних каникулах ! Поздравляю с Новым Годом ! А также всех читающих это письмо тоже ! Bye. -- Aleksey Barabanov <alekseybb@mtu-net.ru> --- ifmail v.2.15dev5 |
#6
|
|||
|
|||
Re: iptables&mac
Oleg Balychev написал(а) к Aleksey Barabanov в Dec 02 09:37:38 по местному времени:
From: Oleg Balychev <castroy@inco.spb.ru> >> не будет. Хотя даже если он и будет, я не вижу как им AB> А я и сам не знаю пока. Но в принципе проблема netfilter как файрвола в AB> том, что он работает поверх ip-стека. Т.е. независимо от условий, AB> анализируемых в правила, мак ли то, или уже IP, или даже TCP, или это А какие альтернативы? Я слышал, вроде CheckPoint то ли есть, то ли будет под линукс. Больше я не про какие файрволы не слышал, да и мне в принципе возможностей iptables хватает. Неудобство конечно, что непосредственно файрволл настраиваешь в одном месте, ids (intrusion detection system) в другом и проч. >> воспользоваться. А почему на 99? AB> Ну так я ж параноик ;) Правильно. Как говорится, если у вас нет паранойи, это не значит, что за вами никто не следит. :) -- Best regards. Oleg mailto: castroy@ezmail.ru --- ifmail v.2.15dev5 |
#7
|
|||
|
|||
Re: iptables&mac
Aleksey Barabanov написал(а) к Oleg Balychev в Dec 02 20:30:36 по местному времени:
5vkua.l72.ln@alekseybb.mtu-net.ru> <aul33n$tnl$2@gavrilo.mtu.ru> From: Aleksey Barabanov <alekseybb@mtu-net.ru> Oleg Balychev wrote: > In article <r5vkua.l72.ln@alekseybb.mtu-net.ru>, Aleksey Barabanov wrote: > >> непосредственно файрволл настраиваешь в одном месте, ids > >> (intrusion detection system) в другом и проч. [...] > AB> А кстати, что вы используете в качестве IDS на эхотаге. И кстати, на > AB> каком трафике и в каком окружении (какого объема контора, ISP или > Я сейчас смотрю в сторону snort. (www.snort.org) В принципе > приятственная вещь. Умеет с помощью самбы слать алерт на виндовые > машины, умеет разные правила на разные сервиса, распознавать всякие > ddos'ы... Правда в бою еще не пробовал. :) Так snort и так и так не работает через фильтры ядра. Эта штука в своей основе имеет сниффер. Это я к тому, что в этом случае и так и так "файрвол" настраиваем в одном месте, а IDS в другом. А с точки зрения применимости, я тоже к этой туле склоняюсь. Тем более что в SuSE в дистрибутиве именно этот IDS и включен. Bye. -- Aleksey Barabanov <alekseybb@mtu-net.ru> --- ifmail v.2.15dev5 |
#8
|
|||
|
|||
Re: iptables&mac
Igor S.Kozhukhov написал(а) к Oleg Balychev в Dec 02 01:39:22 по местному времени:
Нello Oleg! Sunday December 22 2002 17:38, Oleg Balychev wrote to All: OB> Бррр... Ничего не понимаю. :( Пытаюсь сделать фильтрацию на OB> основе mac адреса. Делаю так: OB> iptables -A INPUT -p tcp --mac-source 00:02:A5:18:54:47 -j ACCEPT правильнее -m state --mac-source With best wishes, Igor > -= Big TRAMP Circle =- > [||] Team Граненного Стакана [||] ... E-mail: sirius@dexp.ru --- GoldED/W32 3.0.1 |
#9
|
|||
|
|||
Re: iptables&mac
Aleksey Barabanov написал(а) к Igor S.Kozhukhov в Dec 02 01:55:26 по местному времени:
From: Aleksey Barabanov <alekseybb@mtu-net.ru> Igor S.Kozhukhov wrote: > Нello Oleg! > > Sunday December 22 2002 17:38, Oleg Balychev wrote to All: > > OB> Бррр... Ничего не понимаю. :( Пытаюсь сделать фильтрацию на > OB> основе mac адреса. Делаю так: > > OB> iptables -A INPUT -p tcp --mac-source 00:02:A5:18:54:47 -j ACCEPT > > правильнее > > -m state --mac-source ??? Обсуждать что это НЕ правильнее, пустое дело , ибо и так ясно. Вопрос в том почему прежде чем что-то посоветовать (даже если вы это делаете не с собственного опыта, а просто в силу вашей эрудиции) нельзя проверить самому ? Куда торопимся то ? Bye. -- Aleksey Barabanov <alekseybb@mtu-net.ru> --- ifmail v.2.15dev5 |
#10
|
|||
|
|||
Re: iptables&mac
Igor S.Kozhukhov написал(а) к Aleksey Barabanov в Dec 02 17:50:32 по местному времени:
* Answering a msg posted in area MY (My mail). Нello Aleksey! Tuesday December 31 2002 01:55, Aleksey Barabanov wrote to Igor S.Kozhukhov: >> >> OB> Бррр... Ничего не понимаю. :( Пытаюсь сделать фильтрацию на >> OB> основе mac адреса. Делаю так: >> >> OB> iptables -A INPUT -p tcp --mac-source 00:02:A5:18:54:47 -j >> OB> ACCEPT >> >> правильнее >> >> -m state --mac-source AB> ??? Обсуждать что это НЕ правильнее, пустое дело , ибо и так ясно. AB> Вопрос в том почему прежде чем что-то посоветовать (даже если вы это AB> делаете не с собственного опыта, а просто в силу вашей эрудиции) AB> нельзя проверить самому ? Куда торопимся то ? извини - поторопился у меня так сделано iptables -A FORWARD -s $ip -m mac --mac-source $mac -o eth0 -j ACCEPT бывает - писал по памяти - память отказала ... вернее совсем себе уже мозги запужрил правила для iptables ... With best wishes, Igor > -= Big TRAMP Circle =- > [||] Team Граненного Стакана [||] ... E-mail: sirius@dexp.ru --- GoldED/W32 3.0.1 |