Изпечатай

[mishot]

Здравейте, имам 20-тина машини зад линукс рутер. Пуснах iptraf и видях следното нещо:
UDP (201 bytes) from 192.168.0.26:33919 to 62.120.50.211:23528 on eth1                                                     
UDP (61 bytes) from 192.168.0.26:33919 to 171.151.54.216:12520 on eth1                                                     
UDP (61 bytes) from 192.168.0.26:33919 to 171.199.95.27:40034 on eth1                                                     
UDP (61 bytes) from 192.168.0.26:33919 to 173.92.115.223:44623 on eth1                                                     
UDP (61 bytes) from 192.168.0.26:33919 to 174.79.113.1:25048 on eth1                                                       
UDP (61 bytes) from 192.168.0.26:33919 to 174.92.4.74:62896 on eth1                                                       
UDP (61 bytes) from 192.168.0.26:33919 to 188.129.240.229:49588 on eth1                                                   
UDP (61 bytes) from 192.168.0.26:33919 to 178.114.68.84:11165 on eth1                                                     
UDP (61 bytes) from 192.168.0.26:33919 to 154.214.91.154:19183 on eth1

интересното е, че в мрежата ми няма 26-то IP, дори нямам ping към 192.168.0.26, в същото време генерира много трафик
Какво може да е тогава? Идеи? Как да забраня достъпа на това IP само?

Опитах с това:
iptables -I INPUT -i eth1 -s 192.168.0.26 -j DROP
iptables -A OUTPUT -p tcp -d 192.168.0.26  -j DROP
iptables -A OUTPUT -p udp -d 192.168.0.26  -j DROP
iptables -A INPUT -s 192.168.0.26 -p tcp --destination-port 33919 -j DROP
iptables -I INPUT -p tcp -d 192.168.0.26 –dport 33919 -j DROP
iptables -I INPUT -s 192.168.0.26 -p tcp --destination-port 33919 -j DROP
iptables -I INPUT -p udp -d 192.168.0.26  -j DROP
iptables -I INPUT -i eth1 -s 192.168.0.26 -p tcp --destination-port 33919 -j DROP
iptables -I INPUT -i eth1 -p udp -d 192.168.0.26  -j DROP
iptables -A INPUT -i eth1 -s 192.168.0.26 -p udp --destination-port 33919 -j DROP
не помага(признавам, че не ми е много ясно, взех ги от разни форуми)

[romeo_ninov]

да не е някой с виртуална машина в мостов режим?

[mishot]

Не. Ако е виртуална машинаа няма ли да имам ping? Опитах да присвоя 26 IP на нов комп - казва, че е заето(а не е).
Какво слуша на тоя порт - може да е всичко.

И защо iptables не го блокира. Признава, че копирах горните редове(на готово) и може да не са съвсем коректни.

[neter]

Виж информацията от следната команда дали ще ти помогне в търсенето на машината:

Код

GeSHi (Bash):
nmap -v -A 192.168.0.26

Изчакай завършване на изпълнението на командата, за да прегледаш цялата изкарана информация. Ако ти предложи да добавиш допълнителни параметри към командата, добави ги

[mishot]

Хванах го подлеца(като обиколих всички компютри), сменил си IP-то и точи торенти. Интересно защо нямам ping към него и ЗАЩО iptables не го блокира?
Моля някой да ми каже(напише) правилния ред, с който iptables блокира дадено IP от вътрешната мрежа.
при мен:
eth0 - външен(интернета)
eth1 - вътрешна мрежа

Благодаря предварително!

[mishot]

това го пуснах от рутерра:

# nmap -v -A 192.168.0.26

Starting Nmap 5.00 ( http://nmap.org ) at 2010-03-09 15:28 EET
NSE: Loaded 30 scripts for scanning.
Initiating ARP Ping Scan at 15:28
Scanning 192.168.0.26 [1 port]
Completed ARP Ping Scan at 15:28, 0.01s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 15:28
Completed Parallel DNS resolution of 1 host. at 15:28, 0.00s elapsed
Initiating SYN Stealth Scan at 15:28
Scanning 192.168.0.26 [1000 ports]
sendto in send_ip_packet: sendto(5, packet, 44, 0, 192.168.0.26, 16) => Operation not permitted
Offending packet: TCP 192.168.0.111:53253 > 192.168.0.26:445 S ttl=50 id=34948 iplen=44  seq=3124930351 win=3072 <mss 1460>
sendto in send_ip_packet: sendto(5, packet, 44, 0, 192.168.0.26, 16) => Operation not permitted
Offending packet: TCP 192.168.0.111:53253 > 192.168.0.26:110 S ttl=54 id=36468 iplen=44  seq=3124930351 win=3072 <mss 1460>
sendto in send_ip_packet: sendto(5, packet, 44, 0, 192.168.0.26, 16) => Operation not permitted
Offending packet: TCP 192.168.0.111:53253 > 192.168.0.26:5900 S ttl=52 id=55107 iplen=44  seq=3124930351 win=1024 <mss 1460>
sendto in send_ip_packet: sendto(5, packet, 44, 0, 192.168.0.26, 16) => Operation not permitted
Offending packet: TCP 192.168.0.111:53253 > 192.168.0.26:80 S ttl=53 id=10441 iplen=44  seq=3124930351 win=2048 <mss 1460>
sendto in send_ip_packet: sendto(5, packet, 44, 0, 192.168.0.26, 16) => Operation not permitted
Offending packet: TCP 192.168.0.111:53253 > 192.168.0.26:25 S ttl=51 id=11594 iplen=44  seq=3124930351 win=4096 <mss 1460>
sendto in send_ip_packet: sendto(5, packet, 44, 0, 192.168.0.26, 16) => Operation not permitted
Offending packet: TCP 192.168.0.111:53253 > 192.168.0.26:139 S ttl=40 id=34779 iplen=44  seq=3124930351 win=1024 <mss 1460>
sendto in send_ip_packet: sendto(5, packet, 44, 0, 192.168.0.26, 16) => Operation not permitted
Offending packet: TCP 192.168.0.111:53253 > 192.168.0.26:135 S ttl=45 id=31385 iplen=44  seq=3124930351 win=2048 <mss 1460>
sendto in send_ip_packet: sendto(5, packet, 44, 0, 192.168.0.26, 16) => Operation not permitted
Offending packet: TCP 192.168.0.111:53253 > 192.168.0.26:554 S ttl=55 id=4936 iplen=44  seq=3124930351 win=4096 <mss 1460>
sendto in send_ip_packet: sendto(5, packet, 44, 0, 192.168.0.26, 16) => Operation not permitted
Offending packet: TCP 192.168.0.111:53253 > 192.168.0.26:22 S ttl=55 id=3490 iplen=44  seq=3124930351 win=4096 <mss 1460>
sendto in send_ip_packet: sendto(5, packet, 44, 0, 192.168.0.26, 16) => Operation not permitted
Offending packet: TCP 192.168.0.111:53253 > 192.168.0.26:3389 S ttl=43 id=58660 iplen=44  seq=3124930351 win=4096 <mss 1460>
Omitting future Sendto error messages now that 10 have been shown.  Use -d2 if you really want to see them.
Completed SYN Stealth Scan at 15:28, 21.39s elapsed (1000 total ports)
Initiating Service scan at 15:28
Initiating OS detection (try #1) against 192.168.0.26
send_ip_packet in send_closedudp_probe: Operation not permitted (1)
send_ip_packet in send_closedudp_probe: Operation not permitted (1)
send_ip_packet in send_closedudp_probe: Operation not permitted (1)
send_ip_packet in send_closedudp_probe: Operation not permitted (1)
Retrying OS detection (try #2) against 192.168.0.26
send_ip_packet in send_closedudp_probe: Operation not permitted (1)
send_ip_packet in send_closedudp_probe: Operation not permitted (1)
send_ip_packet in send_closedudp_probe: Operation not permitted (1)
send_ip_packet in send_closedudp_probe: Operation not permitted (1)
NSE: Script scanning 192.168.0.26.
NSE: Script Scanning completed.
Host 192.168.0.26 is up (0.00019s latency).
All 1000 scanned ports on 192.168.0.26 are filtered
MAC Address: 00:17:9A:37:62:61 (D-Link)
Too many fingerprints match this host to give specific OS details
Network Distance: 1 hop

Read data files from: /usr/share/nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 25.20 seconds
           Raw packets sent: 17 (2650B) | Rcvd: 1 (42B)
––––––––––––––––––––––––––––––––––––––––––––––––––––––––

а това от машината, на която съм:
 
$ nmap -v -A 192.168.0.26

Starting Nmap 5.21 ( http://nmap.org ) at 2010-03-09 15:24 EET
NSE: Loaded 36 scripts for scanning.
Initiating Ping Scan at 15:24
Scanning 192.168.0.26 [2 ports]
Completed Ping Scan at 15:24, 3.00s elapsed (1 total hosts)
Nmap scan report for 192.168.0.26 [host down]
Read data files from: /usr/share/nmap
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 3.79 seconds

$ nmap -v -PN -A 192.168.0.26

Starting Nmap 5.21 ( http://nmap.org ) at 2010-03-09 15:25 EET
NSE: Loaded 36 scripts for scanning.
Initiating Parallel DNS resolution of 1 host. at 15:25
Completed Parallel DNS resolution of 1 host. at 15:25, 0.00s elapsed
Initiating Connect Scan at 15:25
Scanning 192.168.0.26 [1000 ports]
Discovered open port 3389/tcp on 192.168.0.26
Completed Connect Scan at 15:25, 6.51s elapsed (1000 total ports)
Initiating Service scan at 15:25
Scanning 1 service on 192.168.0.26
Completed Service scan at 15:25, 6.00s elapsed (1 service on 1 host)
NSE: Script scanning 192.168.0.26.
NSE: Script Scanning completed.
Nmap scan report for 192.168.0.26
Host is up (0.00027s latency).
Not shown: 998 filtered ports
PORT     STATE  SERVICE       VERSION
2869/tcp closed unknown
3389/tcp open   microsoft-rdp Microsoft Terminal Service
Service Info: OS: Windows

Read data files from: /usr/share/nmap
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.82 seconds

[laskov]

Интересно защо нямам ping към него и ЗАЩО iptables не го блокира?

1.Защото той има активиран firewall. 2.Защото пакетите не минават нито през таблицата INPUT, нито през OUTPUT, а през FORWARD. Т.е.

iptables -I FORWARD -i eth1 -s 192.168.0.26 -j DROP
iptables -I FORWARD -i eth1 -d 192.168.0.26 -j DROP

Впрочем само първият ред е достатъчен.


редактирано от neter: FOREWARD към FORWARD. Можеш да махнеш това ми съобщение

[neter]

Нямаш ping към него, понеже си е пуснал firewall. Изключи му firewall-а, или задай позволение за icmp, и ще заимаш ping до него.
За да не ти се случва това друг път, най-добре махни NAT-ването, което си сложил в момента и ползвай следната схема

echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A FORWARD -s 192.168.0.* -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT

Последния ред го повтори за всяко IP в мрежата ти, заедно със съответстващ MAC адрес. Пример:

.......
/sbin/iptables -A FORWARD -s 192.168.0.26 -m mac --mac-source 01:23:45:67:89:ab -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.27 -m mac --mac-source 10:32:54:76:98:ba -j ACCEPT
....... и т.н.

Целта е да ограничиш ползването на IP адресите по MAC адрес, и така, когато онзи пич отново си смени IP-то, неговият MAC адрес няма да съвпада с FORWARD правилото за това IP, и няма да има Интернет

[mishot]

Нямаш ping към него, понеже си е пуснал firewall. Изключи му firewall-а, или задай позволение за icmp, и ще заимаш ping до него.
За да не ти се случва това друг път, най-добре махни NAT-ването, което си сложил в момента и ползвай следната схема

echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A FORWARD -s 192.168.0.* -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT

Последния ред го повтори за всяко IP в мрежата ти, заедно със съответстващ MAC адрес. Пример:

.......
/sbin/iptables -A FORWARD -s 192.168.0.26 -m mac --mac-source 01:23:45:67:89:ab -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.27 -m mac --mac-source 10:32:54:76:98:ba -j ACCEPT
....... и т.н.

Целта е да ограничиш ползването на IP адресите по MAC адрес, и така, когато онзи пич отново си смени IP-то, неговият MAC адрес няма да съвпада с FORWARD правилото за това IP, и няма да има Интернет

Ух че хубаво!!! Хиляди благодарности!

[borovaka]

mishot Само да добавя, че дори при това решение ако е упорит може да слухти мрежата, да си направи лог с MAC и IPта на потребителите и когато някой излезе да се впише на негово място.

[mishot]

Мисля, че не е толкова умен, но знае ли човек. Благодаря за предупреждението!

[neter]

mishot Само да добавя, че дори при това решение ако е упорит може да слухти мрежата, да си направи лог с MAC и IPта на потребителите и когато някой излезе да се впише на негово място.

И тогава идва да се запитаме защо потребител, който не трябва да си сменя IP-то, има права в системата да го прави. След като се орежат и тези права, току виж се сетил, че физическият достъп до една машина позволява заобикалянето на всякакви правила, и започнал да чете по въпроса и да експериментира. След известно време на игра на котка и мишка, ако администраторът не е обърнал своевременно вниманието на шефа си към проблема, въпросният потребител добива солидни знания за това, което администраторът върши. Възможни са два варианта:
1. Този сценарий не се случва, тъй като потребителят работи съвсем други неща, и не му достигат време и/или желание, за да изпълни сценария. Към този вариант спада и своевременното уведомяване на ръководството за случая;
2. Сценарият се случва докрай, и потребителят в крайна сметка заема работното място на администратора, ако има желание за това. Междувременно е изгубено много време за свършване на реално поставените задачи.
Една от причините да има правила във фирмената политика на компанията, спазването на които трябва да се съблюдава

[Acho]

А аз да попитам. Mishot, това служебно ли е ? Или домашна мрежа ?

[mishot]

служебно

[b2l]

Домашна мрежа с 25 компютъра - той да си няма зала в къщи!