Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | |
делай так 26.11.03 15:25 Число просмотров: 1570
Автор: 3MaxiM3 Статус: Незарегистрированный пользователь
|
> лови опцией --protocol p250
> предварительно записав строку в файл /etc/protocols
> p250 250 P250
Всё правильно, так и делаю, и в логи заношу всё что есть но получается что внутри сети пакет есть а за файрфолим его почему то нет!!!!
куда девается не понятно.
|
|
<sysadmin>
|
Как добавить правило! 26.11.03 13:00 [ZaDNiCa]
Автор: 3MaxiM3 Статус: Незарегистрированный пользователь
|
Нужно добавить правило что бы пропустить пакет из локалки в инет по протоколу отличного от стандартных (tcp,icmp,udp) на любой порт!
Есть linux RedHat 2.2.x FireWall на ipchains + ipmasqadm
|
|
хм... интересно что же это за протокол ;-)) 26.11.03 13:10
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 26.11.03 14:17 Количество правок: 1
|
отличный от TCP и UDP и имеющий порты?
> Нужно добавить правило что бы пропустить пакет из локалки в
> инет по протоколу отличного от стандартных (tcp,icmp,udp)
> на любой порт!
> Есть linux RedHat 2.2.x FireWall на ipchains + ipmasqadm
|
| |
хм... интересно что же это за протокол ;-)) 26.11.03 14:26
Автор: 3MaxiM3 Статус: Незарегистрированный пользователь
|
> отличный от TCP и UDP и имеющий порты?
нет, портов нет!
короче пакет виден только в локальной сети, в инете он проподает!
значит его не маскарадит наш файрволл, но в логах нет отвергнутых пакетов :((((
|
| | |
хм... интересно что же это за протокол ;-)) 26.11.03 14:40
Автор: Den <Денис Т.> Статус: The Elderman
|
Порт обязан быть!
Выясни порт и напиши следующее правило:
add allow ip from any to myhosts myport
add allow ip from myhosts myport to any
|
| | | |
Не обязан 26.11.03 15:09
Автор: amirul <Serge> Статус: The Elderman
|
> Порт обязан быть!
Порт появляется только в TCP/UDP заголовке. Так что он обязан быть только в этих протоколах. Даже если в каком нить custom/IP протоколе и есть порты, совершенно не факт, что в заголовке номера портов расположены точно так же, как в TCP, следовательно работать с этими портами как с TCP - весьма опасно :-)
|
| | | | |
Sorry, стормозил... 26.11.03 15:23
Автор: Den <Денис Т.> Статус: The Elderman
|
|
|
| | | |
у IP протокола порта нет 26.11.03 14:55
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
|
|
| | | |
хм... интересно что же это за протокол ;-)) 26.11.03 14:49
Автор: 3MaxiM3 Статус: Незарегистрированный пользователь
|
> Порт обязан быть!
> Выясни порт и напиши следующее правило:
> add allow ip from any to myhosts myport
> add allow ip from myhosts myport to any
вот пакет перехваченный snort-ом
11/26-16:45:39.053073 10.0.0.3 -> 195.222.145.80
PROTO250 TTL:128 TOS:0x0 ID:61197 IpLen:20 DgmLen:96
00 00 01 07 00 00 00 00 8D 98 85 38 00 00 00 00 ...........8....
8C 15 62 B5 B9 AA 99 C5 2C EF E1 A9 A7 2A 69 7E ..b.....,....*i~
FF AC 82 EB 1F E7 A1 4F 1A A1 62 9E E0 C2 14 2E .......O..b.....
4A 95 EE 00 4D 6A 2D 91 B0 9C EE FA D6 09 5A CB J...Mj-.......Z.
A5 40 CC 65 FA 8B 02 10 FB 4E C0 9C .@.e.....N..
Ну нет у него портов!
|
| | | | |
да уж ;) 26.11.03 16:36
Автор: cybervlad <cybervlad> Статус: Elderman
|
> PROTO250 TTL:128 TOS:0x0 ID:61197 IpLen:20 DgmLen:96
я, кажется, понял, что за протокол и девайс ты мучаешь ;)
пакеты могут теряться, если у тебя между "внешними" интерфейсами КШ существуют альтернативные маршруты. или ты не видишь пакеты удже на выходе маршрутизатора?
|
| | | | | |
да уж ;) 27.11.03 07:24
Автор: 3MaxiM3 Статус: Незарегистрированный пользователь
|
> > PROTO250 TTL:128 TOS:0x0 ID:61197 IpLen:20 DgmLen:96
> я, кажется, понял, что за протокол и девайс ты мучаешь ;)
> пакеты могут теряться, если у тебя между "внешними"
> интерфейсами КШ существуют альтернативные маршруты. или ты
> не видишь пакеты удже на выходе маршрутизатора?
Да действительно на выходе уже ни каких пакетов нет :(
|
| | | | |
делай так 26.11.03 15:07
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
лови опцией --protocol p250
предварительно записав строку в файл /etc/protocols
p250 250 P250
|
| | | | | |
делай так 26.11.03 15:25
Автор: 3MaxiM3 Статус: Незарегистрированный пользователь
|
> лови опцией --protocol p250
> предварительно записав строку в файл /etc/protocols
> p250 250 P250
Всё правильно, так и делаю, и в логи заношу всё что есть но получается что внутри сети пакет есть а за файрфолим его почему то нет!!!!
куда девается не понятно.
|
| | | | | | |
ты его роутишь или маскарадишь? 26.11.03 16:04
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
|
покажи список правил таблиц filter и nat
|
| | | | | | | |
Я маскарадом его пытаюсь отправить т.к. из лок. сети в инет надо 27.11.03 07:21
Автор: 3MaxiM3 Статус: Незарегистрированный пользователь
|
> покажи список правил таблиц filter и nat
/sbin/ipchains -A forward -i $EXTERNAL_INTERFACE -s 195.222.140.80 -d 0/0 -j ACCEPT -l
/sbin/ipchains -A input -i eth1 -p 250 \
-s $ANYWHERE \
-d $IPADDR -j ACCEPT -l
/sbin/ipchains -A output -i eth1 -p 250 \
-s $IPADDR \
-d $ANYWHERE -j ACCEPT -l
по умолчанию политика DENY но пробовал на время и ACCEPT поставить ни чего не помогает, в локалке пакет есть после файрвола нет вообще!
|
| | | | | | | | |
правила маскарадинга я у тебя не увидел 27.11.03 10:23
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 27.11.03 13:16 Количество правок: 1
|
оно должно быть таким:
iptables -t nat -A -i $EXTERNAL_INTERFACE -s $LOCAL_NET -d $IPADDR -j MASQUERADE
> > покажи список правил таблиц filter и nat
> /sbin/ipchains -A forward -i $EXTERNAL_INTERFACE -s
> 195.222.140.80 -d 0/0 -j ACCEPT -l
>
> /sbin/ipchains -A input -i eth1 -p 250 \
> -s $ANYWHERE \
> -d $IPADDR -j ACCEPT -l
>
> /sbin/ipchains -A output -i eth1 -p 250 \
> -s $IPADDR \
> -d $ANYWHERE -j ACCEPT -l
>
> по умолчанию политика DENY но пробовал на время и ACCEPT
> поставить ни чего не помогает, в локалке пакет есть после
> файрвола нет вообще!
|
| | | | | | | | | |
правила маскарадинга я у тебя не увидел 27.11.03 10:54
Автор: 3MaxiM3 Статус: Незарегистрированный пользователь
|
> оно должно быть таким:
> iptables -t nat -i $EXTERNAL_INTERFACE -s $LOCAL_NET -d
> $IPADDR -j MASQUERADE
Так у меня всё на ipchains работает, да и вообще похоже надо искать патч для ядра 2.2.17 для ip_masq_vpn, похоже просто ядро не умеет работать с такими пакетами :(((
|
|
Конкретно какой протокол? На базе ip? 26.11.03 13:05
Автор: Den <Денис Т.> Статус: The Elderman
|
|
|
| |
Конкретно какой протокол? На базе ip? 26.11.03 13:30
Автор: 3MaxiM3 Статус: Незарегистрированный пользователь
|
|
Ну конечно на базе IP протокол у которого в заголовке написано №250 это протокол собственной разработки фирмы "информзащита"
|
| | |
> Ну конечно на базе IP протокол у котор 01.12.03 16:21
Автор: artemp Статус: Незарегистрированный пользователь
|
> Ну конечно на базе IP протокол у которого в заголовке
> написано №250 это протокол собственной разработки фирмы
> "информзащита"
Сходи вот сюда http://www.infosec.ru/cgi-bin/forum/infosec_forum.cgi
Там обсуждались похожие вопросы
|
|
|
подробно о проекте
Анализ криптографических сетевых...
