форумы  помощь  поиск  регистрация  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Раздел полезных советов: Как заблокировать через iptables па..."	+/–
Сообщение от auto_tips (??) on 16-Июн-08, 13:38
Модуль ost был написан для использования в iptables правилах результатов пассивного определения типа операционной системы, из которой был отправлен TCP SYN пакет. Загружаем исходные тексты модуля или ставим из patch-o-matic:    wget http://tservice.net.ru/~s0mbre/archive/osf/osf-2008_06_14.ta... В Makefile через переменную IPTABLES указываем путь к заголовочным файлам iptables (iptables.h и libiptc/). Собираем модуль ipt_osf.ko:    make Собираем библиотеку libipt_osf.so, после чего копируем ее в /lib/iptables или /lib64/iptables:    make lib Собираем утилиты  для загрузки сигнатур ОС и ведения лога (load, osfd, ucon_osf):    make bin Загружаем список сигнатур:    wget http://www.openbsd.org/cgi-bin/cvsweb/src/etc/pf.os Загружаем модуль ядра:    insmod ./ipt_osf.ko Загружаем сигнатуры:    ./load ./pf.os /proc/sys/net/ipv4/osf Пример правила для принятия пакетов с Linux машин, с занесением всех остальных в лог:    iptables -I INPUT -j ACCEPT -p tcp -m osf --genre Linux --log 0 --ttl 2 При отправке с Windows в логе появится:    ipt_osf: Windows [2000:SP3:Windows XP Pro SP1, 2000 SP3]: 11.22.33.55:4024 -> 11.22.33.44:139 Описание опций можно найти здесь:    http://tservice.net.ru/~s0mbre/old/?section=projects&item=osf URL: http://tservice.net.ru/~s0mbre/blog/devel/networking/2008_06... Обсуждается: http://www.opennet.ru/tips/info/1694.shtml
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Как заблокировать через iptables пакеты отправленные из опре..."	+/–
Сообщение от Аноним (??) on 16-Июн-08, 13:38
Это правило будет разрешать windows тоже, это просто для логгирования всего. Чтобы запретить windows, нужно написать что-то вроде: iptables -j DROP -i INPUT -p tcp -m osg --genre Windows --ttl 2
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	9. "Как заблокировать через iptables пакеты отправленные из опре..."	+/–
	Сообщение от altavista on 18-Июн-08, 16:24
	>Это правило будет разрешать windows тоже, это просто для логгирования всего. Чтобы >запретить windows, нужно написать что-то вроде: > >iptables -j DROP -i INPUT -p tcp -m osg --genre Windows --ttl >2 вообще то у всех нормальный людей последнее правило всегда iptables -I INPUT -j REJECT или не у всех ;)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	10. "Как заблокировать через iptables пакеты отправленные из опре..."	+/–
	Сообщение от pavel_simple (??) on 18-Июн-08, 16:34
	нет -- у нормальных -P DROP
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Как заблокировать через iptables пакеты отправленные из опре..."	+/–
	Сообщение от Аноним (??) on 18-Июн-08, 18:43
	>вообще то у всех нормальный людей последнее правило всегда >iptables -I INPUT -j REJECT >или не у всех ;) Зависит от того, чего вы хотите достичь. Если дропать только windows машины, то придется записывать все возможные разрешенные комбинации. Если разрешать только что-то, тогда общее последнее правило drop all будет работать лучше.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	12. "Как заблокировать через iptables пакеты отправленные из опре..."	+/–
	Сообщение от altavista on 19-Июн-08, 08:59
	>>вообще то у всех нормальный людей последнее правило всегда >>iptables -I INPUT -j REJECT >>или не у всех ;) > >Зависит от того, чего вы хотите достичь. >Если дропать только windows машины, то придется записывать все возможные разрешенные комбинации. > >Если разрешать только что-то, тогда общее последнее правило drop all будет работать >лучше. Согласен, ИМХО: разрешать то что нужно, а потом drop all (делал Reject, переделал на Drop) удобнее в моем случае, т.к. очень много хостов в сети, поэтому для меня это более приемлимо
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

2. "Как заблокировать через iptables пакеты отправленные из опре..."	+/–
Сообщение от Дохтур on 16-Июн-08, 14:09
Евгений, огромное спасибо вам за этот модуль, как и за carp ;) Жаль, что kevent помер. Надеюсь, что судьба pohmelfs не будет столь печальной.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Как заблокировать через iptables пакеты отправленные из опре..."	+/–
	Сообщение от Аноним (??) on 16-Июн-08, 14:31
	>Евгений, огромное спасибо вам за этот модуль, как и за carp ;) >Жаль, что kevent помер. Надеюсь, что судьба pohmelfs не будет столь >печальной. Вместо kevent теперь есть signalfd, timerfd и что-то еще, доступное через epoll, так что все счастливы :) А вообще разработка это в первую очередь интерес к самому процессу, а уже потом к приятным моментам кроме результата, как например включение в ядро.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Как заблокировать через iptables пакеты отправленные из опре..."	+/–
Сообщение от гость on 16-Июн-08, 14:38
Отличная работа!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Как заблокировать через iptables пакеты отправленные из опре..."	+/–
	Сообщение от Аноним (??) on 16-Июн-08, 14:58
	Ей лет 5 уж как.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Как заблокировать через iptables пакеты отправленные из опре..."	+/–
Сообщение от Df_Yz on 16-Июн-08, 15:19
По-моему, действие куда лучше вынести в конец: > iptables -I INPUT -p tcp -m osf --genre Linux --log 0 --ttl 2 -j ACCEPT Так, имхо, правила более читабельны.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "А как оно работает?"	+/–
Сообщение от Аноним (??) on 17-Июн-08, 06:40
А как оно работает?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "А как оно работает?"	+/–
	Сообщение от Аноним (??) on 21-Июн-08, 21:00
	>А как оно работает? Загружается набор сигнатур различных операционных систем, и затем каждый пакет с syn битом проверяется на совпадение. Сейчас набор сигнатур включает даже раздичные наладонники и игровые приставки. Данные параметры не так просто изменить (некоторые легко, но никто не делает, некоторые вообще нельзя), поэтому проверка достаточно точна.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "Как заблокировать через iptables пакеты отправленные из опре..."	+/–
Сообщение от Logo (ok) on 20-Июн-08, 17:46
Хорошая штука, а по ID процессора или еще какому-то индивидуальному коду машины, можно подобное зделать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	14. "Как заблокировать через iptables пакеты отправленные из опре..."	+/–
	Сообщение от chesnok (ok) on 21-Июн-08, 01:31
	>Хорошая штука, а по ID процессора или еще какому-то индивидуальному коду машины, >можно подобное зделать? можно еще испрользуя pom  -m string --string 'p(a|0)ntal(o|0)n' -j DROP тем самым избавя свою систему от паразитного трафика...
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	16. "Как заблокировать через iptables пакеты отправленные из опре..."	+/–
	Сообщение от Аноним (??) on 21-Июн-08, 21:02
	>Хорошая штука, а по ID процессора или еще какому-то индивидуальному коду машины, >можно подобное зделать? Не понял, о чем идет речь? Если что-то передается по сети, всегда можно найти или написать модуль, который будет по этому параметру фильтровать пакеты.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	17. "Как заблокировать через iptables пакеты отправленные из опре..."	+/–
	Сообщение от Logo (ok) on 23-Июн-08, 17:04
	>>Хорошая штука, а по ID процессора или еще какому-то индивидуальному коду машины, >>можно подобное зделать? > >Не понял, о чем идет речь? >Если что-то передается по сети, всегда можно найти или написать модуль, который >будет по этому параметру фильтровать пакеты. Да речь на счет мечты о полном контроле пользователей в сети :) Интересует технология для индивидуального контроля машин. Если пакеты пошли от чужой - блокировать. (В принципе на всякий клин есть другой клин). Например, появилась в сети машина, которая вызвала подозрение. Внешне трафик похож. ОС совпадает, имена, АйПи, мак, все вроде то, что и от родной. Вот и по чем тогда идентефицировать и фильтровать?
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	18. "Как заблокировать через iptables пакеты отправленные из опре..."	+/–
	Сообщение от pavel_simple (??) on 23-Июн-08, 17:05
	vpn
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Как заблокировать через iptables пакеты отправленные из опре..."	+/–
Сообщение от ruslan (??) on 26-Фев-09, 07:49
выложите на  альтернативном сервере а то не работает ссылка хочу устроить протест против windows в сети чтоб мало не показалось
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	20. "Как заблокировать через iptables пакеты отправленные из опре..."	+/–
	Сообщение от ruslan (??) on 26-Фев-09, 09:02
	>выложите на  альтернативном сервере а то не работает ссылка >хочу устроить протест против windows в сети >чтоб мало не показалось ftp://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/patch-... вот там все POM
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Как заблокировать через iptables пакеты отправленные из опре..."	+/–
Сообщение от pavlinux (ok) on 27-Мрт-09, 21:37
# make lib make: *** No rule to make target `ipt_osf.h', needed by `lib'.  Stop. # make bin gcc -DIPTABLES_VERSION=\"1.3.8\" -I/lib/modules/2.6.29/build/include -W -Wall -g nfnl_osf.c -o nfnl_osf -lnfnetlink nfnl_osf.c:45:39: error: libnfnetlink/libnfnetlink.h: No such file or directory nfnl_osf.c: In function 'osf_load_line': nfnl_osf.c:276: error: 'NFNL_HEADER_LEN' undeclared (first use in this function) nfnl_osf.c:276: error: (Each undeclared identifier is reported only once nfnl_osf.c:276: error: for each function it appears in.) nfnl_osf.c:379: warning: implicit declaration of function 'nfnl_fill_hdr' nfnl_osf.c:380: warning: implicit declaration of function 'nfnl_addattr_l' nfnl_osf.c:382: warning: implicit declaration of function 'nfnl_talk' nfnl_osf.c:276: warning: unused variable 'buf' nfnl_osf.c: In function 'main': nfnl_osf.c:447: warning: implicit declaration of function 'nfnl_open' nfnl_osf.c:447: warning: assignment makes pointer from integer without a cast nfnl_osf.c:458: warning: implicit declaration of function 'nfnl_subsys_open' nfnl_osf.c:458: warning: assignment makes pointer from integer without a cast nfnl_osf.c:469: warning: implicit declaration of function 'nfnl_subsys_close' nfnl_osf.c:470: warning: implicit declaration of function 'nfnl_close' make: *** [bin] Error 1
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	22. "Как заблокировать через iptables пакеты отправленные из опре..."	+/–
	Сообщение от аноним on 28-Мрт-09, 17:47
	>nfnl_osf.c:45:39: error: libnfnetlink/libnfnetlink.h: No such file or directory чего непонятного?
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Как заблокировать через iptables пакеты отправленные из опре..."	+/–
Сообщение от Farmaleon on 29-Янв-17, 10:09
не работает показатели счетчиков пакетов и байт в созданном правиле в цепочке INPUT почему-то на нуле, соответственно и логирование не происходит.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема