forum.opennet.ru

"Перенаправление трафика (forwarding)"

Форум Информационная безопасность
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

. "Перенаправление трафика (forwarding)"	+/–
Сообщение от WeSTMan (ok), 21-Апр-20, 22:05
> Замечательно, значит, все в Интернете в разных сетях. Да > Это вы делаете с помощью правила DNAT, которое вы привели. Да > Не думаю что оно дропается именно сетевой картой, если интересно, можно покопать. Возможно я и ошибаюсь, но в ifconfig на сетевом интерфейсе стоит значение напротив dropped - столько пакетов, сколько я послал UDP. > Это ожидаемое поведение, что пакет от сервера фильтрации к обычному серверу, с > адресом отправителя клиента, не доходит. Такой пакет имеет все признаки попытки > атаки IP spoofing, его мог зарезать кто угодно по дороге, и > правильно сделал. Я не желаю использовать атаку IP spoofing. Если её блокируют, может создать между серверами что-то на подобии VPN? > Какая обратная цепочка? Вы хотите чтобы ответ от обычного сервера с адресом > получателя клиента тоже проходил через сервер фильтрации? Не вижу как это > можно сделать, не вмешиваюсь в работу глобальной маршрутизации, как Ростелеком давеча. Ну тут на самом деле 2 варианта. Либо передавать ответ через сервер и ставить IP адрес источника - сервер фильтрации. Или передать серверу фильтрации, чтобы он сам поставил и отдал клиенту. Задержка меньше между Клиент - срв фильтрации - сервер, нежели клиент - сервер. Вероятно из-за маршрутов. Но не суть. Идея хорошая. > В принципе ваш Ubuntu можно заставить выпихивать этот пакет наружу, гуглите как > проводить атаку IP Spoofing по UDP. Но я бы не расчитывал > на то что он дойдёт до обычного сервера. Я являюсь полным владельцем физического сервера, исключение - провайдер сети. > Даже если дойдёт, это дыра в безопасности, по крайней мере у вашего > ISP, которую рано или поздно залатают. > Поставьте сервер фильтрации в одной и той же локалке где клиент, с > приватными адресами, и пусть он подменяет но только адрес получателя но > и адрес отправителя. Тогда вся маршрутизация будет работать "нормально", а обычный > сервер подмены не заметит т.к. сервер фильтрации и клиент всё равно > имеют один и тот-же публичный адрес. К сожалению, не могу поставить, они в разных местах. Думаю что-то типа VPN сделать. Клиент может быть любой человек на планете с любым IP. > Там можт быть нюанс, если пакет прошёл forwarding, но оказывается что egress > interface одна и та-же что и ingress interface, система норовит не > пересылать пакет на шлюз, а ответить пакетом ICMP Redirect. Не всегда > так, зависит от реализации. Кстати, возможно, именно это вы интерпретируете как > "дропается сетевой картой". Я не могу Вам этого сказать. Уточните более подробную информацию - отвечу. Я хочу реализовать данную топологию из-за защиты, чтобы злоумышленник не знал реального IP адреса сервера. Плюсом - сервер фильтрации имеет большую пропускную способность, чем сервер. И я уверен, что всякие дурочки не смогут забить канал. Не говорю, конечно, о целенаправленных атаках, где море трафика, типо бот нет сети. Надеюсь продолжим дальнейшее общение.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Перенаправление трафика (forwarding), WeSTMan, 21-Апр-20, 17:39 [смотреть все]

Какой линукс Линукс ли A Постарайтесь нарисовать топологию, или придумайте им в, Licha Morada, 21-Апр-20, 19:04 (1) //
- В принципе ожидал, что будет не совсем понятно У нас есть 3 участника сети IP а, WeSTMan, 21-Апр-20, 20:42 (2) //
  - Замечательно, значит, все в Интернете в разных сетях Это вы делаете с помощью пр, Licha Morada, 21-Апр-20, 21:42 (3) //
    - ДаДаВозможно я и ошибаюсь, но в ifconfig на сетевом интерфейсе стоит значение на , WeSTMan, 21-Апр-20, 22:05 (4)
      - Да, можно Но если у вас есть доступ на обычный сервер, чтобы настроить VPN и мар, Licha Morada, 21-Апр-20, 22:58 (11)
        
        gt оверквотинг удален Я могу залить файл pcap для wireshark, там видно весь тр, WeSTMan, 21-Апр-20, 23:27 (14)
        
        Ну, значит dropped Тогда надо смотреть на флаг ip_forward, таблицу маршрутизаци, Licha Morada, 21-Апр-20, 23:40 (16)
        
        Можете что-нибудь подсказать Суть такова, чтобы был неизвестный реальный IP сер, WeSTMan, 22-Апр-20, 00:13 (17)
        
        Вот этот вариант из примера должен подойти, только там опечатка, кажется, для SN, romanegunkov, 22-Апр-20, 00:35 (21)
        Подсказывать тут особо нечего Концептуально вам поможет прокси, реализованный т, Licha Morada, 22-Апр-20, 01:53 (23)
        
        iptables -L -v -nChain INPUT policy ACCEPT 10115 packets, 552K bytes pkts byte, WeSTMan, 22-Апр-20, 00:19 (18)
        
        Никто forward не запрещает Если у вас OpenVZ, дальше я бы стал копать там А воо, Licha Morada, 22-Апр-20, 01:55 (24)
        
        ACCEPT везде, пока я не разберусь с маршрутизацией Далее политики DROP поставлю, WeSTMan, 22-Апр-20, 07:30 (25)
        Interfacesauto venet0iface venet0 inet manual up ifconfig venet0 up , WeSTMan, 22-Апр-20, 08:02 (26)
        
        Вы подтвердите или опровергните Ваш фильтрующий сервер не виртуальная машина, а, Licha Morada, 22-Апр-20, 18:27 (30)
        
        gt оверквотинг удален Использую OpenVPN без шифрования Спасибо за ответы , WeSTMan, 22-Апр-20, 21:42 (31)
Послушайте снифером на конечном сервере Кажется дропится не на сервере фильтрац, romanegunkov, 21-Апр-20, 22:07 (5) //
- Конечный сервер ничего не получает Отлавливал через tshark, WeSTMan, 21-Апр-20, 22:11 (6) //
  - Чудеса А в tshark по каким-то критериям отлавливаете Попробуйте в iptables пропи, romanegunkov, 21-Апр-20, 22:29 (7) //
    - Все это дело тестировал tshark -f port 27017 -i ppp0Я писал, что пакеты дропа, WeSTMan, 21-Апр-20, 22:31 (8)
      - gt оверквотинг удален Может есть правило дропать, или я что-то не понимаю Пос, romanegunkov, 21-Апр-20, 22:45 (9)
      - И в довесок убедитьсяcat proc sys net ipv4 ip_forwardcat proc sys net ipv4 con, romanegunkov, 21-Апр-20, 22:51 (10)
- Нет там никакой сессии, UDP же Конечный сервер и сервер фильтрации в разных сетя, Licha Morada, 21-Апр-20, 23:01 (12) //
  - Давно это было, может я и забыл какие-то нюансы Но, кажется, может зависеть от , romanegunkov, 21-Апр-20, 23:21 (13) //
    - gt оверквотинг удален Да, пока пакет не может еще отправится на конечный серве, WeSTMan, 21-Апр-20, 23:36 (15)
      - gt оверквотинг удален Дропы на tx, это не значит что не может отправиться, это, romanegunkov, 22-Апр-20, 00:20 (19)
        
        gt оверквотинг удален Выше приложил вывод iptables, посмотрите, пожалуйста, WeSTMan, 22-Апр-20, 00:25 (20)
        
        gt оверквотинг удален Я к тому что для начала просто установить ip связность о, romanegunkov, 22-Апр-20, 00:44 (22)
        
        gt оверквотинг удален Может поднять VPN И через него трафик гонять , WeSTMan, 22-Апр-20, 08:22 (27)
        
        gt оверквотинг удален Можно, конечно Реализация несложная, можно разные вариа, romanegunkov, 22-Апр-20, 11:19 (28)
        
        gt оверквотинг удален Сделал VPN, все заработало Только приложение критично к, WeSTMan, 22-Апр-20, 11:33 (29)
Лучше сразу делать все это при покупке пакета, у вас явно ошибка в установке У , dmitriygessus, 24-Май-20, 23:36 (33)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру