https://www.opennet.ru/openforum/vsluhforumID1/92016.html Slackware 13.1. Только что установил, ничего еще не настраивал кроме файла rc.inet1.conf.<br>Iptables не настраивал. <br><br>#ip addr<br>2: eth1: &lt;BROADCAST,MULTICAST,UP,LOWER_UP&gt; mtu 1500 qdisc pfifo_fast state UP qlen 1000<br> link/ether 1c:bd:b9:e6:cf:a3 brd ff:ff:ff:ff:ff:ff<br> inet x.x.x.2/24 brd x.x.x.255 scope global eth1<br> inet6 fe80::1ebd:b9ff:fee6:cfa3/64 scope link<br> valid_lft forever preferred_lft forever<br>3: eth2: &lt;BROADCAST,MULTICAST&gt; mtu 1500 qdisc noop state DOWN qlen 1000<br> link/ether 1c:bd:b9:e6:cf:7c brd ff:ff:ff:ff:ff:ff<br>4: eth0: &lt;BROADCAST,MULTICAST,UP,LOWER_UP&gt; mtu 1500 qdisc pfifo_fast state UP qlen 1000<br> link/ether 00:16:e6:66:f3:df brd ff:ff:ff:ff:ff:ff<br> inet 192.168.42.7/24 brd 192.168.42.255 scope global eth0<br> inet6 fe80::216:e6ff:fe66:f3df/64 scope link<br> valid_lft forever preferred_lft forever<br><br>I. Подключаю к сети встроенную карту(eth0), только эту сетевую карту, т.е кабель один. Пингую адрес 192.168.42.7, он пингуется<br>Пингую адрес x.x.x.2, он почему-т https://www.opennet.ru/openforum/vsluhforumID1/92016.html#10 Mon, 01 Aug 2011 05:56:39 GMT &gt; на внутренних интерфейсах стоит строка: <br>&gt; echo 1 &gt; /proc/sys/net/ipv4/conf/eth0/arp_ignore <br>&gt; И в этом случае подобный эффект пропадает, но перед тем как делать <br>&gt; почитать.<br><br>Выполнил строку, эффект не пропал. Ладно почитаем, спасибо!<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/92016.html#9 Sun, 31 Jul 2011 19:09:25 GMT &gt;&gt;&gt; для этого и рекомендуют на внешнем интерфейсе блокировать пакеты идущие на серые <br>&gt;&gt;&gt; ip <br>&gt;&gt;&gt; -I INPUT -i eth0 -d ip_eth1 -j DROP <br>&gt;&gt; Ага. конечно. Прям так сразу "-I INPUT" =) <br>&gt;&gt; -I FORWARD после правила с "-m state --state ESTABLISHED,RELATED" или фильтровать в <br>&gt;&gt; PREROUTING mangle.<br>&gt; причем тут FORWARD , если разговор об интерфейсах локальной машины <br><br>мммда, я чето про внутреннюю локалку подумал, да, маленько прощелкал.<br>Получается это не замечание, а скорее дополнение.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/92016.html#8 Sun, 31 Jul 2011 18:10:03 GMT &gt;[оверквотинг удален]<br>&gt; то есть в сети других таких нет(хотя тоже не факт, думаю <br>&gt; что нет).<br>&gt; III. Подключаю внешнюю сетевую карту, думаю что это eth1 т.к. пингую шлюз <br>&gt; x.x.x.1 с самого сервера(со второй внешней шлюз не пингуется). Ну и <br>&gt; с лан сети адреса 192.168.42.7, x.x.x.2 не пингуются через подключенную eth1. <br>&gt; ip_forward выставлен в 0.<br>&gt; Компьютер в лан сети с которого пингую этот комп настроен только на <br>&gt; подсеть 192.168.42.0.<br>&gt; Не понимаю почему пинг проходит через eth0 до ip-шника что висит на <br>&gt; eth1? Неужели так и должно работать?<br><br>В общем такое возможно и даже должно быть!<br>Подробнее: <br>ip привязка получается из arp протокола таким образом устанавливая адрес для одной сетевой карты мы говорим о нашем адресе.<br>есть такие параметры /proc/sys/net/ipv4/conf/eth*/arp_*<br>В общем, сейчас точно не помню но этими файлами задается поведение интерфейса(ов) в области arp. И если машина с адресом на одной карточке получает/отправляет ответ/запрос через другую, то у нее есть все шансы получ https://www.opennet.ru/openforum/vsluhforumID1/92016.html#7 Sun, 31 Jul 2011 10:57:34 GMT &gt;&gt; для этого и рекомендуют на внешнем интерфейсе блокировать пакеты идущие на серые <br>&gt;&gt; ip <br>&gt;&gt; -I INPUT -i eth0 -d ip_eth1 -j DROP <br>&gt; Ага. конечно. Прям так сразу "-I INPUT" =) <br>&gt; -I FORWARD после правила с "-m state --state ESTABLISHED,RELATED" или фильтровать в <br>&gt; PREROUTING mangle.<br><br>причем тут FORWARD , если разговор об интерфейсах локальной машины<br> https://www.opennet.ru/openforum/vsluhforumID1/92016.html#6 Sun, 31 Jul 2011 10:46:31 GMT <br>&gt; для этого и рекомендуют на внешнем интерфейсе блокировать пакеты идущие на серые <br>&gt; ip <br>&gt; -I INPUT -i eth0 -d ip_eth1 -j DROP <br><br>Ага. конечно. Прям так сразу "-I INPUT" =)<br><br>-I FORWARD после правила с "-m state --state ESTABLISHED,RELATED" или фильтровать в PREROUTING mangle.<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/92016.html#5 Sun, 31 Jul 2011 10:34:33 GMT &gt;&gt; зависит от того что именно хотите запретить.<br>&gt; Вообще, мне представилась следующий механизм взлома, не факт, что он работает, это <br>&gt; просто домыслы из-за непонимания, в связи с чем и вопросы, читать <br>&gt; буду еще конечно. Если кто-то с внешней сети поставит у себя <br>&gt; в качестве gw внешний ip моего сервера, и при знании внутреннего <br>&gt; ip моего сервера, сможет подключиться к сервисам что висят на локальном<br><br>для этого еще и провайдер должен эти пакеты смаршрутизировать или вас с ним держать в одной подсети.<br><br>точней доставить, а не смаршрутизировать<br><br>&gt; интерфейсе..т.к. пакеты которые приходят на сервер от злоумышленика будут распозноваться <br>&gt; как INPUT(являться как раз целевыми для моего сервера) а не FORWARD, <br>&gt; отправляться на внутренний интерфейс где как раз сервисы-то и прослушивают соединения(ssh, <br>&gt; webmin например). Как-то так. От этого бы и хотелось защититься.<br>&gt; Ну то есть вопрос сводится к следующему, а будут ли в этом <br>&gt; случае доступны сервисы которые висят только на внутреннем интерфе https://www.opennet.ru/openforum/vsluhforumID1/92016.html#4 Sun, 31 Jul 2011 08:19:52 GMT &gt; зависит от того что именно хотите запретить.<br><br>Вообще, мне представилась следующий механизм взлома, не факт, что он работает, это просто домыслы из-за непонимания, в связи с чем и вопросы, читать буду еще конечно. Если кто-то с внешней сети поставит у себя в качестве gw внешний ip моего сервера, и при знании внутреннего ip моего сервера, сможет подключиться к сервисам что висят на локальном интерфейсе..т.к. пакеты которые приходят на сервер от злоумышленика будут распозноваться как INPUT(являться как раз целевыми для моего сервера) а не FORWARD, отправляться на внутренний интерфейс где как раз сервисы-то и прослушивают соединения(ssh, webmin например). Как-то так. От этого бы и хотелось защититься. <br>Ну то есть вопрос сводится к следующему, а будут ли в этом случае доступны сервисы которые висят только на внутреннем интерфейсе(или как это правильнее сказать доступны только с локальной сети, так как с внешней порты заблокированы iptables)..<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/92016.html#3 Sat, 30 Jul 2011 15:45:57 GMT &gt;&gt;&gt; eth1? Неужели так и должно работать?<br>&gt;&gt; http://www.opennet.ru/openforum/vsluhforumID1/86766.html <br>&gt; Спасибо!<br>&gt; Сколько пересмотрел примеров скриптов\правил в iptables в нете, вроде не замечал правила <br>&gt; блокировки этой возможности проскакивания пакетов на другой интерфейс.<br><br>вообще то пакет не проскакивает на другой интерфейс, а попав в ядро определяется что он прибыл на челевую машину, даже если пришел через интерфейс с другим ip.<br><br>&gt; Как то не упоминалось об этом.<br>&gt; Насколько эта возможность опасна? Как/Чем профессиональней задропить эту возможность? <br><br>зависит от того что именно хотите запретить.<br> <br>&gt; Ebtables? https://www.opennet.ru/openforum/vsluhforumID1/92016.html#2 Fri, 29 Jul 2011 12:03:27 GMT &gt;&gt; eth1? Неужели так и должно работать?<br>&gt; http://www.opennet.ru/openforum/vsluhforumID1/86766.html <br><br>Спасибо!<br>Сколько пересмотрел примеров скриптов\правил в iptables в нете, вроде не замечал правила блокировки этой возможности проскакивания пакетов на другой интерфейс.<br>Как то не упоминалось об этом.<br>Насколько эта возможность опасна? Как/Чем профессиональней задропить эту возможность? <br>Ebtables?<br><br><br><br>