2178
|
Linux секция за начинаещи / Настройка на програми / Блокиране на spyware от линукс рутер
|
-: Jan 04, 2005, 18:04
|
Цитат (laskov @ Ян. 04 2005,17:47) | Един малко страничен въпрос - целта на цялата работа беше spyware -тата да не бавят комповете. Ако им спрете достъпа до web ресурси, те пак ще си работят, ще си пращат пакети, ще правят опити да се свържат и пак ще пречат. Не е ли така? |
Може би, ако пакетите не се DROP-ват, а се REJECT-тват самия spyware ще спре да праща пакети, поне някои вируси така реагират ...
|
|
|
2179
|
Linux секция за начинаещи / Настройка на програми / Блокиране на spyware от линукс рутер
|
-: Jan 04, 2005, 18:00
|
Цитат (vlad73 @ Ян. 04 2005,15:49) | Значи, пакетите винаги (и в двете посоки) минават през PREROUTING->INPUT->FORWARD->OUTPUT->POSTROUTING, когато са извън локалния трафик. |
Малко не съм съгласен тука. През Input и Output минават само пакетите, които са предназначени за (или излизат от ) конкретната машина. Иначе казано те няма как да окажат каквото и да е влияние на транзитния трафик, който пък си минава през Forward.Напълно съм съгласен, с тебе Влад '> Грешката е моя
|
|
|
2180
|
Linux секция за начинаещи / Настройка на програми / Блокиране на spyware от линукс рутер
|
-: Jan 04, 2005, 12:40
|
1. Извинявай, сега видях, че eth0 ти е вътрешния интерфейс - правилото трябва да е :
iptables -A INPUT -i eth0 -d gator.com -j DROP
2. Политиката на веригата се изпълнява чак след като минеш през всички правила на веригата.
3. Входящи пакети към самия линукс рутер? INPUT -i eth1 INPUT -i eth0 кое сега е "вход" към линукс рутера
Значи, пакетите винаги (и в двете посоки) минават през PREROUTING->INPUT->FORWARD->OUTPUT->POSTROUTING, когато са извън локалния трафик.
С твоя firewall, когато spyware софтуера на някой клиент иска връзка към неговия си сървер, то той задължително ще мине през INPUT веригата заради твоето правило:
iptables -A INPUT -i eth0 -s 10.0.0.0/24 -j ACCEPT
след това през FORWARD веригата заради твоето правило:
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
и най-накрая по подразбиране минава и през OUTPUT веригата. До политиката DROP на INPUT веригата изобщо не стигнахме, нали? И изобщо не говоря за рутера и неговия трафик.
|
|
|
2182
|
Linux секция за начинаещи / Настройка на програми / netstat - лимит ?
|
-: Jan 04, 2005, 03:48
|
iptables -L FORWARD -nxv ще ти даде за всяко ип, което си разрешил през forward веригата колко трафик е направило. Само имай предвид, че всяко рестартиране на сървера (или firewall-a) ще нулира борячите. Ако сложиш ключ Z ще ги нулираш точно след отчитането - останалото го оставям на теб  '>
|
|
|
2183
|
Linux секция за начинаещи / Настройка на програми / пренасочване на IP
|
-: Jan 04, 2005, 03:42
|
Привет, ЧНГ !
Ако искаш да рутираш реални ИП-та зад gateway-a ти, с риск да го повторя, Bogo вече ти каза:
man route route add -net route add -host
можеш и за всеки случай да си пуснеш proxyarp в зависимост от политиката на доставчика ти.
Тия другите неща дето ти ги предлагат са изключително и само за работа с НЕреални ИП-та.
|
|
|
2184
|
Linux секция за начинаещи / Настройка на програми / Блокиране на spyware от линукс рутер
|
-: Jan 04, 2005, 03:31
|
То ти в INPUT веригата на вътрешния интерфейс си разрешил ВСИЧКИ заявки със source адреси от локалнта мрежа - т.е. spyware по никакъв начин не го спираш - това исках да ти кажа с предния си отговор. Трябва в INPUT веригата (или в PREROUTING) да DROP-ваш всички пакети с destination IP-та, които са явно заявени от spyware софтуер (по ИП-тата ще ги познаем  '> ). Примерно: iptables -A INPUT -i eth1 -d gator.com -j DROP Ама това трябва да го сложиш преди какъвто и да било ACCEPT в INPUT веригата.
|
|
|
2188
|
Linux секция за напреднали / Хардуерни и софтуерни проблеми / HTB ograni4enie na trafik
|
-: Dec 28, 2004, 22:47
|
Една полезна статия: HTBОграничаването на изходящия трафик се прави с цел да не ти се задръсти канала за обратна връзка и така да забавиш (а може би и да губиш) обратните ACK пакети за download-а а оттам и самия него ... TCP/IP !!! В горната статия има интересни подходи за приоритезирането на различните видове пакети - не съм виждал другаде да го дават като съвет  '>
|
|
|
2189
|
Linux секция за напреднали / Хардуерни и софтуерни проблеми / HTB ograni4enie na trafik
|
-: Dec 22, 2004, 11:08
|
Пак ти казвам - ползвай htb.init - само с хелп-а даден в самия сорс ще се оправиш самичък.
Иначе - това 1:1 не ми харесва, смени го примерно на 1:2.
Успех !
ПС: М/у другото с тези правила в iptables и tc ще шейпваш само доунлоад-а - не забравяй спецификата на TCP/IP протокола. Най-добре е да шейпнеш и ъплоада.
|
|
|
2190
|
Linux секция за начинаещи / Настройка на програми / Squid - help!
|
-: Dec 19, 2004, 03:06
|
SMITH, ще може ли някак да ми преместиш темата към секцията за Напреднали, защото тоя път си мисля, че все пак е за там ... Бях пуснал там тема с препратка натук, ама "някой" ми я изтри ... Ако трябва ще си напиша темата наново ТАМ ама явно не е за тая секция
|
|
|
|