Настройка шлюзовой машины в интернет

avm7 написал:

У меня считается с помощью Сквида, логи которого анализирует STC(squid
traffic counter). Т.к. необходим подсчет траффика по юзерам, то о НАТ не
может идти и речи, т.е. все работают только через прокси (отсюда
проблема со всем остальным, кроме http и ftp).
Всю инфу по этому поводу читай в справке к STC.

zOrg

zOrg пишет:

Так, замечательно, спасибо. А как же теперь насчет "всего остального"?
Провайдер "пересчитывает" всех по головам, потому как надо
аутентифицироваться при входе в сеть, а как это сделать в локалке, да
еще при разных клиентах и при всем многообразии протоколов и т.д.?
Можно конечно сделать регистрацию через веб интерфейс, где попросить
набрать имя пользователя и связать его с IP, затем как то включить для
него связь (через iptables?) и потом делать autologout и соответсвенно
отключение по n-времени простоя. Или может вовсе не париться и считать
по IP.
Тогда другой вопрос - как обнаружить подмену адреса IP (не соответствие
заданному MAC) и как обнаружить, что вместо одной машины за ее шлюзом
собралась веселая компания в виде локальной сети. Просто необходимо
отслеживать выполнение правил безопасности не включать локальную сеть к
сети с доступом в интернет.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 12913; Возраст листа: 464; Участников: 1277
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/255088

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

avm7 написал:

Если в смысле всех остальных протоколов, то каждый считается своим
прокси - но это в теории :)

Даю информацию: iptables начинает разбираться в пользователях (в смысле
- кто пакет отправил) если подключить модуль owner

Насчет "компании": а те не по фиг? Просто траффик припишешь всей сетке,
пусть они сами разбираются.

Дополнительная информация, которая может помочь:
отличная считалка: NetAms, но не считает пользователей.
ещё лучше: STC - вещь немного другого плана, про нее уже писал.
если есть деньги: какая-нибудь биллинговая прога, которой провы
пользуются - будет считать все и без проблем, но за деньги :)

zOrg

zOrg пишет:

Ладно, ляд с ними конкретными пользователями, если это так трудно, может
со временем. Буду считать по IP.

А откуда он возьмет эту информацию, например если подключаются из w2k,
по какому протоколу получит, куда она входит?

Дело не в траффике в данном случае, а в запрете подключать лишние машины
с конфиденциальной информацией к сети, а еще могут через свою ветку всю
сеть подрубить, а это чревато очень большими неприятностями, в т.ч. и от
органов.

Спасибо.
Еще вопрос: есть ли надежный способ (абсолютно надежный - это просто все
выключить из розетки конечно :) ) связать локальную сеть с машиной,
являющейся шлюзом? Тут даже не идет речь о подключении локальной сети к
интернет. Надо с машины, входящей в локалку управлять шлюзовой, забирать
с нее почту и т.д. Допустим прохождение пакетов запретим, но шлюз могут
взломать (теоретически) и оттуда проникнуть. Есть мысль соедениться по
отдельному каналу (ethernet или COM порты) и поднимать интерфейс со
стороны своей системы только во время сеансов, соответственно со стороны
шлюза во время опущенного интерфейса теоретически проникнуть не должны.
Ну и разумеется фильтры будут стоять на время соединения. Есть какие
нибудь соображения по этому поводу или другие мысли?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 12951; Возраст листа: 465; Участников: 1281
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/255717

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

avm7 написал:

Он смотрит на UID, т.е. на номер, а где этот номер зарегестрирован -
это тебе разбираться, по крайней мере я это так понимаю :)

Такие машины лучше принципиально от сети отключать - лучше побегать с
флешками, чем потом за начальником :)

В плане прослушивания - это ssh, VPN (virtul private network).
В плане защиты от внешнего злоумышленника, может просто когда надо
отрубать eth0 через ifconfig (ну или шнур выдергивать :)

zOrg

zOrg пишет:

Это понятно - надежнее. Но речь не об администраторах, а о продвинутых
пользователях, которые сами хозяева в своей подсети, которая в свою
очередь включена в общую. Так вот эти пользователи могут в лучшем случае
через свой прокси, а в худшем напрямую подключить свою подсеть (а значит
и всю сеть) к линии, которая подключена к инет через как раз мой шлюз.
Поэтому вопрос остается: если они (зловредные пользователи) по пиратски
через свой прокси вешают сеть на инет, то можно ли это отследить, чтобы
дать им по ушам, при том, что их прокси, как и должен любой прокси -
скрывает эту сеть. Есть ли признаки, что за одной машиной скрываются
несколько?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 13047; Возраст листа: 467; Участников: 1279
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/256925

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

avm7 написал:

Если честно - сдаюсь :) Только на этой неделе у самого возникла такая
проблема, пока хорошего решения не нашли :(

zOrg

Hello zOrg,

может это поможет:

Теория:

1. позырить в patch-o-matic на предмет приблуды к ядру которая будет
разбирать пакет в поисках чегото вроде << http://.......>> и
заворачивать всё это при помощи iptables на свой прокси. Наложить эту приблуду
на ядро,
скомпилить и злобно ухмылятся. знаю есть приблуда отсекающая таким
образом P2P. (на мой взгляд самый изящный способ)

2. запердолить продвинутым в качестве шлюза по умолчанию
машинку(подконтрольную) которая не будет знать ни о каких сетях кроме
требуемых и не иметь шлюза по умолчанию и запретить юзерам менять эти
настройки.На этой машине и изголяться над ними.(хреновый способ -
возни много применялся когда ipchains был в зачаточном состоянии)

3. Завернуть весь трафик по destinations портам 80 8080 3128 на свой
прокси. (дешёвый и малоэффективный способ)

Здравствуйте, BLIZING.

Вы писали 5 ноября 2004 г., 17:05:55:

Сеть скрывающеюся за прокси увидеть нельзя, но можно определить наличие самого
прокси. Просканировать порты клиента (разные проксики открывают по дефолту
определенные порты, какие можно узнать в инфе к этим проксикам) и если у него
стоит прокси бить по ушам (лучше всего использовать советскую металлическую
линейку).

zOrg <nazgul4ev***@m*****.ru> написано 04.11.2004 22:08:27:

Слышал звон, не знаю откуда он. Возможно в этой же теме и прочитал.
Если TTL пакетов идущих с одной машины разные, возможно там прокся.

С уважением,
Антонов Александр

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 13214; Возраст листа: 472; Участников: 1292
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/259852

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

Как раз не proxy, а NAT.

Тут нужно давить с двух сторон - с одной взять под расписку
обязательство, что не будут предоставлять другим что предоставлено им.
Указать на возможные наказания, если это условие будет
нарушено(например-полное отключение на неделю, лишение премии, и т.п.).
Это администратовно.

Например TTL на единицу меньше. Это сработает, если юзер поставит шлюз.

Если юзер поставил прокси - то у юзера появится еще один порт. Выход -
сканирование и обнаружение этого порта...

И третье - если у тебя самого прокси - поставь squidarg - анализатор
логов сквида. Дает прекрасную статистику - просто даже по ней можно
заметить что этот юзер стал "активней" - и будет тебе сигнал к
сканированию, последствием которого будет действие в п.1...

Удачи в борьбе с юзерами

Майоров И.Е. пишет:

Да, это обязательно, но проверять надо!

Где, в каких пакетах и чем смотреть?

Не понятно, что за порт? прокси? По идее свой прокси они поставить могут
и официально, оправдывая это большей безопасностью.

Это мысль. Но еще есть трафик мимо прокси, например пиринговые сети,
ради которых все затевается. И я не уверен, что там все чисто и гладко.
Взять хотя бы клиентов, которые ставятся на локальную машину и чем они
там занимаются - знают только авторы и те не до конца. Плюс
распределенная вычислительная сеть на этих же пиринговых сетях - не
будет ли она жрать трафик.

Спасибо. Но с ними еще надо и дружить. Они бывают более знающими в
некоторых вопросах и уж точно более настырными и больше их и занимаются
они чем то одним вредоносным, но зато упорно. А у админа забот полон рот
и за всем не успеешь.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 13120; Возраст листа: 468; Участников: 1283
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/257925

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

Здравствуйте, товарищи

Не путай теплое с мягким. При чем здесь прокси и безопасность,
если клиент работает через прокси с той же машины где он стоит,
это не имеет смысла ip остается тот же. Оправдать наличие прокси
можно только если есть вторая подсеть владеьцы которой разрешают
раздавать трафик, или экспериментальными целями, например поставил
человек Линукс, разбирается плохо, ставит все пакеты потом ковыряется.

Во всех пакетах.

Тем же iptables. Только надо сравнивать все пакеты. Если в разных
пакетах поле TTL разное -- тогда у них там NAT.

Hello avm7,

Thursday, November 4, 2004, 6:00:54 PM, you wrote:

Надо сниффить. Признаки такие:
- наличие X-Forwarded-For в HTTP-заголовках (если прокси так настроен),
- разные User-Agent в HTTP-заголовках,
- разные X-Mailer в SMTP-заголовках.

Только по-моему лучше не воевать с пользователями, а договориться с
начальством и возложить на них ответственность за подключения их
подсетей к инету. И пусть потом у себя делают что хотят.

alexei-d пишет:

Вот это надо попробовать.

Это одна из мер.

Если какая информация уплывет или хотя бы вся сеть накроется со всеми
системами на всех машинах - никто не узнает и не докажет - откуда и кто
виноват,
а работать нам. Я заметил, что чем больше машин в комплексе, тем меньше
свобод
можно давать пользователям, иначе все рухнет.

В общем всем спасибо, но тема настолько обширная, что наверное закрывать
ее рано. :)

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 13119; Возраст листа: 468; Участников: 1283
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/257922

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

А какая вам разница сколько компов кроется за этим ip-адресом. Главное
что этот один пользователь будет платить (вам) за всех.

Чего по пиратски, если он вам будет платить за всех?

Если NAT то можно смотреть на поле TTL. Если сам пользователь (тот один
которому вы дали инет) будет идти в инет значение поля TTL будет на 1
больше, чем если пользователь, который NATтиться через него. Это всё при
условии, что его шлюз не меняет принудительно поле TTL.

А в случае с прокси -- не знаю. Наверно нельзя.

Всем доброго времени суток! К вам с таким вот вопросом...
у меня стоит SuSe 9.1 pro в интернете сижу через ADSL соединение.
Соединение не постоянное, примерно раз в сутки оно рвется, по причине
уобнуления сессии у провайдера, при каждом новом соединеии мне присваивается

новый ip адрес.
Вот.. проблема собственно вот в чем, я каждый раз закрываю порты на своем
компьютере, через консоль, пользуясь для этого правилом:
iptables -I INPUT -p tcp --dport 1720 -j REJECT --reject-with tcp-rese
и для UDP просто
iptables -I INPUT -p udp --dport 1720 -j REJECT

После этой нехитрой процедуры я пробую сканировать свои порты через интернет:
nmap -sS -sV -vv -n -O -p0-65535 МойIP

Все порты закрыты.. но при следующем новом соединеии и с нового ip у меня
порты, что я закрывал снова становяться открытыми :( я уже не знаю как быть,

я сам не очень опытен в линуксе, всего 3-тий месяц... помогите пожалуйста,
как быть? Может как-нибудь можно привязать правила iptables к устройству eth0

а не к моему ip ? Или правила итак к eth0 привязываются всегда?

Алексей

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 12957; Возраст листа: 465; Участников: 1281
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/255808

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

i686-pc-linux-gnu)

On Tue, 2 Nov 2004 21:46:36 +0300
RainyDay <newslitt***@o*****.ru> wrote:

Эти строки поставить в /etc/rc.d/rc.local (по крайней мере в
RedHat-подобных. Или в аналог этого файла для других дистрибутивов)


--

С наилучшими пожеланиями
Крохин Анатолий (kraw)
icq 20060869

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 12978; Возраст листа: 466; Участников: 1278
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/256049

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

Крохин Анатолий Алек сандрович wrote:

в RedHat подобный достаточно сделать service iptables save

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 12979; Возраст листа: 466; Участников: 1278
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/256056

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

у меня не RedHat у меня SuSe мне то как быть? может в iptables есть сохранить

настройки?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 12998; Возраст листа: 466; Участников: 1278
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/256502

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

RainyDay wrote:

Пример востановления
if [ -s /etc/iptables-dump -a -x /usr/sbin/iptables-restore ]; then
#Востанавливаем правила
< /etc/iptables-dump /usr/sbin/iptables-restore
echo "restore firewall rules"
fi

Пример сохранения

#Сохраняем правила на будующее
/usr/sbin/iptables-save > /etc/iptables-dump
echo "save firewall rules"

Andrew Gusev

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 13070; Возраст листа: 467; Участников: 1279
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/257197

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

Не совсем корректно, но я просто добавил вызов файла с правилами в
SuSEfirewall2_final

В сообщении от Среда 03 Ноябрь 2004 11:08 RainyDay написал(a):

man iptables-save

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 13078; Возраст листа: 467; Участников: 1279
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/257227

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

RainyDay wrote:

Кусок моего конфига:

#Интерфейсы и фильтр
INET_IFACE="ppp0"
LOCAL_IFACE="lo"
IPTABLES="/usr/sbin/iptables"

#деление пакетов по протоколам
$IPTABLES -A INPUT -i $LOCAL_IFACE -j ACCEPT
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_pck
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_pck
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_pck

Andrew Gusev

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 12993; Возраст листа: 466; Участников: 1278
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/256455

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

Hello RainyDay,

Wednesday, November 3, 2004, 12:46:36 AM, you wrote:

ну попробуй сделать файлик примерно такого содержания
#!/bin/sh

route add -net X.X.X.X netmask 255.0.0.0 gw X.X.X.X > /dev/null 2>&1

################################################################################
#
# Configurations
#
IPTABLES="/usr/local/sbin/iptables"

################################################################################
case "$1" in

start)

# Tune system
#
/usr/sbin/irqtune 3 > /dev/null 2>&1
#
echo "Starting Firewall..."

##############################################################################
# We always flush the ruleset before starting so that we don't just add
# to the existing ruleset when the script is run.
#
echo "Flushing rules"
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -X
$IPTABLES -t mangle -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -X
$IPTABLES -t nat -X

##External interface

IFACE="eth1"
#
# Open NTP
#
$IPTABLES -A INPUT -i $IFACE -p udp -s 195.2.64.5 --dport 123 -j ACCEPT
$IPTABLES -A INPUT -i $IFACE -p udp -s 131.107.1.10 --dport 123 -j ACCEPT

$iptables -I INPUT -p tcp --dport 1720 -j REJECT --reject-with tcp-rese
$iptables -I INPUT -p udp --dport 1720 -j REJECT
НУ И ДАЛЕЕ ЧТО ТЕБЕ НАДО
должно сработать. ну на крайняк в cron по расписанию запускать
скрипт установки фаервола.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 13000; Возраст листа: 466; Участников: 1278
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/256504

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

В сообщении от 02.11.2004 20:46 RainyDay пишет:

Очень (!!!) странно. В правилах ничего о IP не говориться... Должно всё
работать...

А вообще лучше делать не так!

Политику для цепочки делаете DROP, а нужные порты (которые вам нужны
открытыми) -- открываете:

-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

Ну и естественно надо пускать все пакеты в состоянии RELATED и
ESTABLISHED:

-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

Да "привязывать" правила можно к чему угодно.

Например, следующее правило перенаправляет все пакеты, вошедшие через
интерфейс eth0, в цепочку input_eth0.

-A INPUT -i eth0 -j input_eth0

Не обязательно. Если у вас несколько интерфейсов, то можно, например
пакеты сортировать по цепочкам:

-A INPUT -i eth0 -j input_eth0
-A INPUT -i eth1 -j input_eth1
-A INPUT -i eth2 -j input_eth2

А в этих цепочках уже делайте с ними (с пакетами) что хотите...

Здравствуйте, Bogdanovich.

Так дело в том, что ядро манипулирует пакетами на основе IP адреса, и
при пересоединении интерфейс получает новый адрес. Эта проблема
описана в мане по Iptables. Чтобы решить проблему необходимо разрешить
динамические адреса:
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
напиши это и проверь путем разрыва-установки соединения..

если все окей- эту строку в какой-нить стартовый скрипт...

Это касается только ЛОКАЛЬНЫХ пользователей.
Информация о пользователе храниться только в пределах машины. Как только
пакет выходит за её пределы -- эта инфа пропадает :)

avm7 пишет:

А какой нить VPN не подойдет?

Oleg Ponomarev пишет:

Я может не до конца понимаю смысл этой штуки. Насколко я про это читал:
VPN служит для организации подсети поверх открытого интернета с
шифровкой всего что только можно для объединения хостов в любой точке
интернета в отдельную сеть. Не вижу как это можно применить для моего
случая, видно не все понял про VPN или плохо описал ситуацию. У нас
будет статический адрес и шлюз скрывать не надо, наоборот придется
регистрироваться на одном из DNS. При желании можно провайдерами стать
:) В любом случае спасибо за совет.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 12950; Возраст листа: 465; Участников: 1281
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/255715

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

avm7 пишет:

Как раз смысл есть для тебя. Это шифрованный канал (туннель), который
никто не прослушает. А если он не включен (при определенных настройках),
то у чела и инет не пашет. Т.е. врубил канал - пошел в инет, нет -не
пошел. При этом внутренняя сетка пашет нормально.
Если я не прав, то поправьте.

Oleg Ponomarev пишет:

Так пускай слушают, то что снаружи. Веб сервер, почта например. Я то
опасаюсь взлома шлюза и из него проникновения во внутреннюю сеть, если
ее подключить к шлюзу.

Да, были сведения, что наш пров настраивает ADSL через VPN. Но можете
меня закидать камнями - не понимаю почему. Одно предположение - это
решение их внутренних проблем с транспортом траффика отдельных клиентов
до выхода в интернет. Или подсчета траффика. Только задумайтесь -
закрытая сеть одной нашей машины с кем? Со всем интернетом?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 13048; Возраст листа: 467; Участников: 1279
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/256926

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

i386-redhat-linux-gnu)

On Thu, 04 Nov 2004 14:01:26 +0300
avm7 <av***@l*****.ru> wrote:

с машинами в ВАШЕЙ сети (можно с каждой отдельно)

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 13061; Возраст листа: 467; Участников: 1279
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/257039

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

Ну дык! Решили же что будете использовать прокси. Если быть точнее
прокси с авторизацией. Каждому пользователю -- логин и пароль.

А потом этим анализатором логов STC и смотреть кто сколько "набегал".

iptables делает NAT, а вам надо (как я понял) прокси. Хотя можно с
помощью iptables сделать "прозрачный" прокси -- перенаправлять пакеты на
порт, на котором работает прокси (3128 или 8080, где там он у вас
будет).

iptables умеет это делать. Можно убивать пакеты с у которых IP "не
совпадает" с MAC.

Короче iptables вам в руки :)

http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html

ОЧЕНЬ (!!!) классная дока.

Bogdanovich Andrey пишет:

Ну так вопрос как раз насчет всего остального: почта, пиринговые сети,
черт знает еще что понадобиться.
Кстати возник еще вопрос - допустим считаю я общий траффик по ip
допустим - значит я должен его считать до NAT - во внутренней сети.
Часть траффика - через прокси, но ведь на то он и кэширующий прокси,
чтобы часть файлов бралась из кэша - значит подсчитанный траффик будет
завышен. Если считать после NAT, то как там найти внутренние ip, по
которым мы считаем, если они там замаскированы? Видимо придется отдельно
считать через прокси и отдельно остальной траффик и потом где-то
складывать. Или есть другие решения?

Он может тут не помочь, всяким инструментом надо уметь пользоваться, но
это еще пол беды - на каждый хитрый замок найдется десяток хитрых
отмычек. Одна уязвимость в sendmail например, к которому вполне законно
будет открыт доступ в iptables - и ...

Буду читать. Спасибо всем. Но вопрос еще не закрыт :)

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 13050; Возраст листа: 467; Участников: 1279
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/256928

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

Если почтовый сервер будет стоять на нашем шлюзе, то на него
пользователи смогут ходить напрямую -- без прокси.

Так у вас будет NAT или Proxy??? Или и то и то?

Те пользователи, которые ходят через прокси -- считайте анализаторами
для squid. Те, которые через NAT -- какими-то биллинговыми системами.

Волков бояться -- в лес не ходить.

Тогда, наверно, надо правильно настраивать sendmail.

Постараюсь внести ясность.

Есть у нас некая контора, в которой я работаю, и в которой на компах
включенных в локальную сеть может присутствовать информация, коею никак
нельзя выпускать наружу, тем более в интеренет. И вот эта контора решила
сползти с диалапа и сделать выделенку и через шлюз (о котором у нас тут
речь) подключить к инету несколько машин (такая мини сеть), которые
стоят в отделах поближе к пользователям и соотвественно ближе к основной
локальной сети ( :( ).
Задачи таковы:
- дать через шлюз доступ ко всем ресурсам интерент (пока ко всем :) ),
причем все что можно через прокси (http, ftp), остальное через НАТ
(сторонние почтовые ящики, пипринговые сети, ICQ и т.д.)
- почтовый и веб сервер на шлюзовой машине (пока, хотя знаю, что это не
лучшее решение)
- и главное - безопасность внутренней информации и здоровье системы (от
вирусов конечно)

отсюда и вопросы из начала обсуждения - подсчет трафика для вся и все и
контроль за утечкой информации.

если в программе дыра, то как ее не настраивай ...
у взломщиков ум устроен так изощренно, что не сообразишь иногда, что так
просто можно взломать неприступный казалось бы бастион :) :(

Тут читал одну статейку, смысл которой в том, что вся эта защита
фильтрацией, файерволами, антивирусами и т.д. совершенно не учитывает
защиту клиентского ПО и от клиентского ПО. Например, IE, выполняемый с
правами пользователя (под оффтопиком разумеется) приняв специально
составленный код в странице совершенно "законно" может допустип
отправить доступные файлы по почте на ящик взломщика и вообще начать
выполнять инструкции, забирая их в дальнейшем с почтового ящика и т.д.
При этом не нарушая правил файервола и не попадаясь антивирусу. Мало
того и того и другого может отключить, имея соответствующие права
(локально). Таким образом проблемма безопасности, если она перед вами
стоит, оказывается не такой простой, типа настроить или отфильтровать,
ткут ой как надо поломать голову, чтобы дать какую-то функциональность и
при этом как то продержаться в смысле безопасности. Нужно стать более
изворотливым и извините извращенным, чем взломщики. Есть например способ
- выложить достоверную информацию, которая ничего на самом деле не
представляет, и закрыть к ней доступ для убедительности. А настоящую
спрятать и замаскировать подо что-нибудь. И вообще доморощенные
нестандартные способы здесь (имхо) в совокупности с известными способами
должны дать лучший результат.

Эх, если бы они мне платили, то я бы наверное еще подумал :)))

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 13192; Возраст листа: 471; Участников: 1289
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/259469

-*Информационный канал Subscribe.Ru
Подписан адрес:
Код этой рассылки: comp.soft.linux.discuss
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Отписаться: mailto:comp.soft.linux.discuss--unsub@subscribe.ru?subject=comp.soft.linux.discuss

http://subscribe.ru/ http://subscribe.ru/feedback

В сообщении от 08.11.2004 22:25 avm7 пишет:

Значи надо отключать эту сеть физически от основной сети, в которой есть
интернет. Иначе никак. Секретную инфу пользователи могут отослать по
почте. И что вы сделаете? Ничего!

Делайте всё через прокси

ЗАЧЕМ?

Что значит сторонние почтовые ящики?На других серверах (не на вашем)?
Пусть ими через веб-интерфейс пользуются... А вообще нечего на работе
личную почту проверять. Пусть робочим ящиком пользуются (для работы
естественно)

Аська ПРЕКРАСНО работает через прокси!

К нему можно будет и без прокси ходить.

От вирусов каждый пусть себе ставит антивирус. Разве что к почтовому
демону на сервере прикрутите антивирус.

А утечки в принципе не должно быть.

Тогда надо использовать другой MTA :)

Я ж уже говорил про волков и лес :)))))))

Относительно статьи -- это да. Вот для этого ценную информацию (ту же
бухгалтерию) надо отключать от основной сети ФИЗИЧЕСКИ.

А если им надо интернет (оказывается они к банку коннектяться именно
так, как выяснилось :-) ) то диал-ап им в руки.

:))))