forum.opennet.ru

"Перенаправление трафика (forwarding)"

Форум Информационная безопасность
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

. "Перенаправление трафика (forwarding)"	+/–
Сообщение от Licha Morada (ok), 21-Апр-20, 21:42
> В принципе ожидал, что будет не совсем понятно. > У нас есть 3 участника сети. IP адреса я выбрал похожие, но > отличающиеся. > 1. Клиент (95.56.21.55) > 2. Сервер фильтрации (195.212.54.128) > 3. Сервер (176.241.128.77) Замечательно, значит, все в Интернете в разных сетях. > 1. Клиент посылает UDP запрос, где в адресе отправителя ставит себя, а > в адресе получателя ставит сервер фильтрации. Клиент -> Сервер фильтрации (95.56.21.55 > -> 195.212.54.128) > 2. Сервер фильтрации принимает пакет. Ставит вместо адреса получателя не себя, а > адрес сервера. Это вы делаете с помощью правила DNAT, которое вы привели. > На этом этапе пакет должен уйти на обычный сервер. По факту отправляется > от сервера фильтрации к обычному серверу, только адрес отправителя остается клиента. > (На этом этапе дропается пакет сетевой картой, почему - хз). Не думаю что оно дропается именно сетевой картой, если интересно, можно покопать. Это ожидаемое поведение, что пакет от сервера фильтрации к обычному серверу, с адресом отправителя клиента, не доходит. Такой пакет имеет все признаки попытки атаки IP spoofing, его мог зарезать кто угодно по дороге, и правильно сделал. > 3. Обратная цепочка. Какая обратная цепочка? Вы хотите чтобы ответ от обычного сервера с адресом получателя клиента тоже проходил через сервер фильтрации? Не вижу как это можно сделать, не вмешиваюсь в работу глобальной маршрутизации, как Ростелеком давеча. > Проблема находится на сервере фильтрации, так как он не передает пакет обычному > серверу, когда его нет не в адресе отправителя, не в адресе > получателя! В принципе ваш Ubuntu можно заставить выпихивать этот пакет наружу, гуглите как проводить атаку IP Spoofing по UDP. Но я бы не расчитывал на то что он дойдёт до обычного сервера. Даже если дойдёт, это дыра в безопасности, по крайней мере у вашего ISP, которую рано или поздно залатают. > Должно получится на выходе из фильтров: Клиент -> Сервер. Поставьте сервер фильтрации в одной и той же локалке где клиент, с приватными адресами, и пусть он подменяет но только адрес получателя но и адрес отправителя. Тогда вся маршрутизация будет работать "нормально", а обычный сервер подмены не заметит т.к. сервер фильтрации и клиент всё равно имеют один и тот-же публичный адрес. Там можт быть нюанс, если пакет прошёл forwarding, но оказывается что egress interface одна и та-же что и ingress interface, система норовит не пересылать пакет на шлюз, а ответить пакетом ICMP Redirect. Не всегда так, зависит от реализации. Кстати, возможно, именно это вы интерпретируете как "дропается сетевой картой".
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Перенаправление трафика (forwarding), WeSTMan, 21-Апр-20, 17:39 [смотреть все]

Какой линукс Линукс ли A Постарайтесь нарисовать топологию, или придумайте им в, Licha Morada, 21-Апр-20, 19:04 (1) //
- В принципе ожидал, что будет не совсем понятно У нас есть 3 участника сети IP а, WeSTMan, 21-Апр-20, 20:42 (2) //
  - Замечательно, значит, все в Интернете в разных сетях Это вы делаете с помощью пр , Licha Morada, 21-Апр-20, 21:42 (3) //
    - ДаДаВозможно я и ошибаюсь, но в ifconfig на сетевом интерфейсе стоит значение на, WeSTMan, 21-Апр-20, 22:05 (4)
      - Да, можно Но если у вас есть доступ на обычный сервер, чтобы настроить VPN и мар, Licha Morada, 21-Апр-20, 22:58 (11)
        
        gt оверквотинг удален Я могу залить файл pcap для wireshark, там видно весь тр, WeSTMan, 21-Апр-20, 23:27 (14)
        
        Ну, значит dropped Тогда надо смотреть на флаг ip_forward, таблицу маршрутизаци, Licha Morada, 21-Апр-20, 23:40 (16)
        
        Можете что-нибудь подсказать Суть такова, чтобы был неизвестный реальный IP сер, WeSTMan, 22-Апр-20, 00:13 (17)
        
        Вот этот вариант из примера должен подойти, только там опечатка, кажется, для SN, romanegunkov, 22-Апр-20, 00:35 (21)
        Подсказывать тут особо нечего Концептуально вам поможет прокси, реализованный т, Licha Morada, 22-Апр-20, 01:53 (23)
        
        iptables -L -v -nChain INPUT policy ACCEPT 10115 packets, 552K bytes pkts byte, WeSTMan, 22-Апр-20, 00:19 (18)
        
        Никто forward не запрещает Если у вас OpenVZ, дальше я бы стал копать там А воо, Licha Morada, 22-Апр-20, 01:55 (24)
        
        ACCEPT везде, пока я не разберусь с маршрутизацией Далее политики DROP поставлю, WeSTMan, 22-Апр-20, 07:30 (25)
        Interfacesauto venet0iface venet0 inet manual up ifconfig venet0 up , WeSTMan, 22-Апр-20, 08:02 (26)
        
        Вы подтвердите или опровергните Ваш фильтрующий сервер не виртуальная машина, а, Licha Morada, 22-Апр-20, 18:27 (30)
        
        gt оверквотинг удален Использую OpenVPN без шифрования Спасибо за ответы , WeSTMan, 22-Апр-20, 21:42 (31)
Послушайте снифером на конечном сервере Кажется дропится не на сервере фильтрац, romanegunkov, 21-Апр-20, 22:07 (5) //
- Конечный сервер ничего не получает Отлавливал через tshark, WeSTMan, 21-Апр-20, 22:11 (6) //
  - Чудеса А в tshark по каким-то критериям отлавливаете Попробуйте в iptables пропи, romanegunkov, 21-Апр-20, 22:29 (7) //
    - Все это дело тестировал tshark -f port 27017 -i ppp0Я писал, что пакеты дропа, WeSTMan, 21-Апр-20, 22:31 (8)
      - gt оверквотинг удален Может есть правило дропать, или я что-то не понимаю Пос, romanegunkov, 21-Апр-20, 22:45 (9)
      - И в довесок убедитьсяcat proc sys net ipv4 ip_forwardcat proc sys net ipv4 con, romanegunkov, 21-Апр-20, 22:51 (10)
- Нет там никакой сессии, UDP же Конечный сервер и сервер фильтрации в разных сетя, Licha Morada, 21-Апр-20, 23:01 (12) //
  - Давно это было, может я и забыл какие-то нюансы Но, кажется, может зависеть от , romanegunkov, 21-Апр-20, 23:21 (13) //
    - gt оверквотинг удален Да, пока пакет не может еще отправится на конечный серве, WeSTMan, 21-Апр-20, 23:36 (15)
      - gt оверквотинг удален Дропы на tx, это не значит что не может отправиться, это, romanegunkov, 22-Апр-20, 00:20 (19)
        
        gt оверквотинг удален Выше приложил вывод iptables, посмотрите, пожалуйста, WeSTMan, 22-Апр-20, 00:25 (20)
        
        gt оверквотинг удален Я к тому что для начала просто установить ip связность о, romanegunkov, 22-Апр-20, 00:44 (22)
        
        gt оверквотинг удален Может поднять VPN И через него трафик гонять , WeSTMan, 22-Апр-20, 08:22 (27)
        
        gt оверквотинг удален Можно, конечно Реализация несложная, можно разные вариа, romanegunkov, 22-Апр-20, 11:19 (28)
        
        gt оверквотинг удален Сделал VPN, все заработало Только приложение критично к, WeSTMan, 22-Апр-20, 11:33 (29)
Лучше сразу делать все это при покупке пакета, у вас явно ошибка в установке У , dmitriygessus, 24-Май-20, 23:36 (33)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру