Здравейте
Опитвам се да пренасочна заявките от localhost към някой порт да отиват към друго IP. Например като напиша mysql -p , да се закача за mysql-a машина 192.168.0.20 , а не за моя които е на localhost.

Здравейте

Имам доста странен проблем с ssh . Проблема се състои в това ,че както си работех през ssh на един от debian сървърите и ssh замръзна. Опитахсе да се закача още един път , след като напиша паролата и замръзва . Като направя логване през ssh от друга машина всичко се случва безпроблемно . Пробвах също да правя ssh към други машини и проблема го няма.
Друг странен проблем който наблюдавам е ,че от време на време ми се филтрира ssh до някой машини. nmap дава ,че порта е filtered , от останалите машини в локалната мрежа порта се вижда open и се логвам. И на мойта машина и на сървъра към който се опитвам да се логна няма нито едно правило в iptables. След рестарт проблема изчезва . Машината ми е Debian Squuze 64bit

Това е от debug на ssh.

root@192.168.0.111's password:
debug1: Authentication succeeded (password).
debug1: channel 0: new [client-session]
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: Sending environment.
debug1: Sending env LANG = en_US.UTF-8

При dhcp request клиента подава hostname си.

Здравейте

Въпроса ми е dhcpd има ли опция за раздава адреси на базата на hostname.

Имам в предвих давам някакъв pool и примерно да раздава от него само ако hostname започва с BG. Примерно BG1 , BG2 , BG212 , тъй като варианта да описвам по mac address не ме устройва тъй като се устройтвата се променят но hostnаme винаги с такъв вид.
Четох няколко пъти manual-a но неуспях да намеря нещо подходящо.

iptables -I FORWARD -p tcp -m state --state NEW -m recent --set
iptables -I FORWARD -p tcp -m state --state NEW -m recent --update --seconds 60 --hitcount 100 -j DROP
Връзваш всяко IP s MAC през ARP.
Настройваш си Swith-a на един порт да позволява възможно най малко адреси.


И туковиж помогнало , но това  не е адекватно решение а марoдерщина , въпросното нещо би помогнало ако атаката излиза зад твоя рутер

Относно conntrack вдигнал съм го на 65535, прекомпилирането на ядрото не е проблем но до момента невиждам режение което го налага. Лимитирането на сесии най ефективно ми се струва.
Направих опит на gw зад който е машината която атакувам да сложа:
iptables -I FORWARD -p tcp -s bad-flooder -d good-target -m state --state NEW -m recent --set
iptables -I FORWARD -p tcp  -s bad-flooder -d good-target  -m state --state NEW -m recent --update --seconds 60 --hitcount 200 -j DROP
И conntrack не се препълни по обесними причини.

Предположението се оказа вярно.
cat /proc/net/ip_conntrack |wc -l
39223
Това се вижда на gateway-a зад когото е атакуваната машина, подобни са цифрите и на gateway-a зад който е машината от която пускам aтаката.
И това е след 20сек , hping3 --faster -S mytarget.com -p 80
Спасението което виждам е лимитиране на сесиите.
Но това да лимитирам сесиите е грозно, защото по този начин ще наруша качеството на услугите.
Някаква идея ?

Да , едната мрежа къде тествам е с Wifi Router с OpenWRT , там разпада връзката.
Другото място където тествам е с PC за router , там на една от машините имам nagios който следи мрежата (пинг тест прави). Всички машини са в един мрежов сегмент. След теста с hping , nagios праща писма ,че машините са Down.
Направих си опит да режа разни пакети и при --state NEW -j DROP , wireless-а  не се разпада но и инрернет-а си режа така

мм ,за 10сек да си препълня CAM , и то прес wireless . Проблема ми е ,че в момента тествам на една кутийка TP-Link(TL1043) с OpenWRT  до която нямам физически достъп и всичко се случва през Wireless. Иначе тествах и с PC за GW ,но там немога да си позволя flood в момента.

Дропвам INVALID пакети в INPUT , FORWARD , OUTPUT на всички интерфейси. Това което си мисля е ,че интерфейса от кадето идва flood-а се задръства и от там и се гиби интернет-а. Това вече май няма как да се избегне.

'net.ipv4.tcp_syncookies = 1'  съм го сетнал.

Относно броя връзки , говоря глупости .
INVALID state ги дропвам но без резултат.

Това ме навежда на мисълта ,че човека Х се закача на публичен WiFI и го скапва е един hping
Дали има някаква друга борба със това?

В случай е syn flood, на другите компютри в мрежата се загубва целия интернет , в момента в който спра hping3 и след 10сек всичко се оправя.

Здравейте

Реших да направя тест на един с сървър с момоща на hping3  , докато се усетя си бутнах локалната мрежа, теста го пусках от едно от PC-тата в мрежата.  Въпроса ми е мога ли да блокирам излизането на syn flood , защото днес го пуска аз утре някой друг. Това което ми идва наум е да лимитирам броя конекции но несъм сигурен колко съм на прав път.
Това с което си задръстих мрежата беше: hping --faster -S mysite.com -p 80

Ех , големи гадатели, вероятно проблема ще се оправи в добаняне на:
Option "AllowEmptyInput" "false"
във "ServerLayout" секцията.


Section "ServerLayout"
Option "AllowEmptyInput" "false"
..
..
..
EndSection

Благодаря за отговорите.
Ключа от бараката се оказа в това , да се сложат 2-те мрежи в отделен shared-network .

Код

GeSHi (Bash):
shared-network wlan0 {
 
  subnet 172.16.0.0 netmask 255.255.255.128 {
    range 172.16.0.2 172.16.0.126;
    option domain-name-servers 172.16.0.1 ;
    option routers 172.16.0.1;
    option ip-forwarding off;
    option broadcast-address 172.16.0.127;
    default-lease-time 600;
    max-lease-time 7200;
  }
}
 
shared-network eth1 {
 
  subnet 172.16.0.128 netmask 255.255.255.128 {
    range 172.16.0.130 172.16.0.254;
    option domain-name-servers 172.16.0.129 ;
    option routers 172.16.0.129;
    option ip-forwarding off;
    option broadcast-address 172.16.0.255;
    default-lease-time 600;
    max-lease-time 7200;
  }
 
}

И както казах  не е нужно да се пускат 2 сервиза:
/usr/sbin/dhcpd -cf /etc/dhcp/dhcpd.conf -q -pf /var/run/dhcp/dhcpd.pid -user dhcp -group dhcp eth1 wlan0