Linux за българи: Форуми

Здравейте, имам 20-тина машини зад линукс рутер. Пуснах iptraf и видях следното нещо:
UDP (201 bytes) from 192.168.0.26:33919 to 62.120.50.211:23528 on eth1                                                     
UDP (61 bytes) from 192.168.0.26:33919 to 171.151.54.216:12520 on eth1                                                     
UDP (61 bytes) from 192.168.0.26:33919 to 171.199.95.27:40034 on eth1                                                     
UDP (61 bytes) from 192.168.0.26:33919 to 173.92.115.223:44623 on eth1                                                     
UDP (61 bytes) from 192.168.0.26:33919 to 174.79.113.1:25048 on eth1                                                       
UDP (61 bytes) from 192.168.0.26:33919 to 174.92.4.74:62896 on eth1                                                       
UDP (61 bytes) from 192.168.0.26:33919 to 188.129.240.229:49588 on eth1                                                   
UDP (61 bytes) from 192.168.0.26:33919 to 178.114.68.84:11165 on eth1                                                     
UDP (61 bytes) from 192.168.0.26:33919 to 154.214.91.154:19183 on eth1

интересното е, че в мрежата ми няма 26-то IP, дори нямам ping към 192.168.0.26, в същото време генерира много трафик
Какво може да е тогава? Идеи? Как да забраня достъпа на това IP само?

Опитах с това:
iptables -I INPUT -i eth1 -s 192.168.0.26 -j DROP
iptables -A OUTPUT -p tcp -d 192.168.0.26  -j DROP
iptables -A OUTPUT -p udp -d 192.168.0.26  -j DROP
iptables -A INPUT -s 192.168.0.26 -p tcp --destination-port 33919 -j DROP
iptables -I INPUT -p tcp -d 192.168.0.26 –dport 33919 -j DROP
iptables -I INPUT -s 192.168.0.26 -p tcp --destination-port 33919 -j DROP
iptables -I INPUT -p udp -d 192.168.0.26  -j DROP
iptables -I INPUT -i eth1 -s 192.168.0.26 -p tcp --destination-port 33919 -j DROP
iptables -I INPUT -i eth1 -p udp -d 192.168.0.26  -j DROP
iptables -A INPUT -i eth1 -s 192.168.0.26 -p udp --destination-port 33919 -j DROP
не помага(признавам, че не ми е много ясно, взех ги от разни форуми)

да не е някой с виртуална машина в мостов режим?

Не. Ако е виртуална машинаа няма ли да имам ping? Опитах да присвоя 26 IP на нов комп - казва, че е заето(а не е).
Какво слуша на тоя порт - може да е всичко.

И защо iptables не го блокира. Признава, че копирах горните редове(на готово) и може да не са съвсем коректни.

Виж информацията от следната команда дали ще ти помогне в търсенето на машината:

GeSHi (Bash):
nmap -v -A 192.168.0.26

Изчакай завършване на изпълнението на командата, за да прегледаш цялата изкарана информация. Ако ти предложи да добавиш допълнителни параметри към командата, добави ги ;)

Хванах го подлеца(като обиколих всички компютри), сменил си IP-то и точи торенти. Интересно защо нямам ping към него и ЗАЩО iptables не го блокира?
Моля някой да ми каже(напише) правилния ред, с който iptables блокира дадено IP от вътрешната мрежа.
при мен:
eth0 - външен(интернета)
eth1 - вътрешна мрежа

Благодаря предварително!

това го пуснах от рутерра:

# nmap -v -A 192.168.0.26

Starting Nmap 5.00 ( http://nmap.org ) at 2010-03-09 15:28 EET
NSE: Loaded 30 scripts for scanning.
Initiating ARP Ping Scan at 15:28
Scanning 192.168.0.26 [1 port]
Completed ARP Ping Scan at 15:28, 0.01s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 15:28
Completed Parallel DNS resolution of 1 host. at 15:28, 0.00s elapsed
Initiating SYN Stealth Scan at 15:28
Scanning 192.168.0.26 [1000 ports]
sendto in send_ip_packet: sendto(5, packet, 44, 0, 192.168.0.26, 16) => Operation not permitted
Offending packet: TCP 192.168.0.111:53253 > 192.168.0.26:445 S ttl=50 id=34948 iplen=44  seq=3124930351 win=3072 <mss 1460>
sendto in send_ip_packet: sendto(5, packet, 44, 0, 192.168.0.26, 16) => Operation not permitted
Offending packet: TCP 192.168.0.111:53253 > 192.168.0.26:110 S ttl=54 id=36468 iplen=44  seq=3124930351 win=3072 <mss 1460>
sendto in send_ip_packet: sendto(5, packet, 44, 0, 192.168.0.26, 16) => Operation not permitted
Offending packet: TCP 192.168.0.111:53253 > 192.168.0.26:5900 S ttl=52 id=55107 iplen=44  seq=3124930351 win=1024 <mss 1460>
sendto in send_ip_packet: sendto(5, packet, 44, 0, 192.168.0.26, 16) => Operation not permitted
Offending packet: TCP 192.168.0.111:53253 > 192.168.0.26:80 S ttl=53 id=10441 iplen=44  seq=3124930351 win=2048 <mss 1460>
sendto in send_ip_packet: sendto(5, packet, 44, 0, 192.168.0.26, 16) => Operation not permitted
Offending packet: TCP 192.168.0.111:53253 > 192.168.0.26:25 S ttl=51 id=11594 iplen=44  seq=3124930351 win=4096 <mss 1460>
sendto in send_ip_packet: sendto(5, packet, 44, 0, 192.168.0.26, 16) => Operation not permitted
Offending packet: TCP 192.168.0.111:53253 > 192.168.0.26:139 S ttl=40 id=34779 iplen=44  seq=3124930351 win=1024 <mss 1460>
sendto in send_ip_packet: sendto(5, packet, 44, 0, 192.168.0.26, 16) => Operation not permitted
Offending packet: TCP 192.168.0.111:53253 > 192.168.0.26:135 S ttl=45 id=31385 iplen=44  seq=3124930351 win=2048 <mss 1460>
sendto in send_ip_packet: sendto(5, packet, 44, 0, 192.168.0.26, 16) => Operation not permitted
Offending packet: TCP 192.168.0.111:53253 > 192.168.0.26:554 S ttl=55 id=4936 iplen=44  seq=3124930351 win=4096 <mss 1460>
sendto in send_ip_packet: sendto(5, packet, 44, 0, 192.168.0.26, 16) => Operation not permitted
Offending packet: TCP 192.168.0.111:53253 > 192.168.0.26:22 S ttl=55 id=3490 iplen=44  seq=3124930351 win=4096 <mss 1460>
sendto in send_ip_packet: sendto(5, packet, 44, 0, 192.168.0.26, 16) => Operation not permitted
Offending packet: TCP 192.168.0.111:53253 > 192.168.0.26:3389 S ttl=43 id=58660 iplen=44  seq=3124930351 win=4096 <mss 1460>
Omitting future Sendto error messages now that 10 have been shown.  Use -d2 if you really want to see them.
Completed SYN Stealth Scan at 15:28, 21.39s elapsed (1000 total ports)
Initiating Service scan at 15:28
Initiating OS detection (try #1) against 192.168.0.26
send_ip_packet in send_closedudp_probe: Operation not permitted (1)
send_ip_packet in send_closedudp_probe: Operation not permitted (1)
send_ip_packet in send_closedudp_probe: Operation not permitted (1)
send_ip_packet in send_closedudp_probe: Operation not permitted (1)
Retrying OS detection (try #2) against 192.168.0.26
send_ip_packet in send_closedudp_probe: Operation not permitted (1)
send_ip_packet in send_closedudp_probe: Operation not permitted (1)
send_ip_packet in send_closedudp_probe: Operation not permitted (1)
send_ip_packet in send_closedudp_probe: Operation not permitted (1)
NSE: Script scanning 192.168.0.26.
NSE: Script Scanning completed.
Host 192.168.0.26 is up (0.00019s latency).
All 1000 scanned ports on 192.168.0.26 are filtered
MAC Address: 00:17:9A:37:62:61 (D-Link)
Too many fingerprints match this host to give specific OS details
Network Distance: 1 hop

Read data files from: /usr/share/nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 25.20 seconds
           Raw packets sent: 17 (2650B) | Rcvd: 1 (42B)
––––––––––––––––––––––––––––––––––––––––––––––––––––––––

а това от машината, на която съм:
 
$ nmap -v -A 192.168.0.26

Starting Nmap 5.21 ( http://nmap.org ) at 2010-03-09 15:24 EET
NSE: Loaded 36 scripts for scanning.
Initiating Ping Scan at 15:24
Scanning 192.168.0.26 [2 ports]
Completed Ping Scan at 15:24, 3.00s elapsed (1 total hosts)
Nmap scan report for 192.168.0.26 [host down]
Read data files from: /usr/share/nmap
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 3.79 seconds

$ nmap -v -PN -A 192.168.0.26

Starting Nmap 5.21 ( http://nmap.org ) at 2010-03-09 15:25 EET
NSE: Loaded 36 scripts for scanning.
Initiating Parallel DNS resolution of 1 host. at 15:25
Completed Parallel DNS resolution of 1 host. at 15:25, 0.00s elapsed
Initiating Connect Scan at 15:25
Scanning 192.168.0.26 [1000 ports]
Discovered open port 3389/tcp on 192.168.0.26
Completed Connect Scan at 15:25, 6.51s elapsed (1000 total ports)
Initiating Service scan at 15:25
Scanning 1 service on 192.168.0.26
Completed Service scan at 15:25, 6.00s elapsed (1 service on 1 host)
NSE: Script scanning 192.168.0.26.
NSE: Script Scanning completed.
Nmap scan report for 192.168.0.26
Host is up (0.00027s latency).
Not shown: 998 filtered ports
PORT     STATE  SERVICE       VERSION
2869/tcp closed unknown
3389/tcp open   microsoft-rdp Microsoft Terminal Service
Service Info: OS: Windows

Read data files from: /usr/share/nmap
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.82 seconds

Интересно защо нямам ping към него и ЗАЩО iptables не го блокира?

1.Защото той има активиран firewall. 2.Защото пакетите не минават нито през таблицата INPUT, нито през OUTPUT, а през FORWARD. Т.е.

iptables -I FORWARD -i eth1 -s 192.168.0.26 -j DROP
iptables -I FORWARD -i eth1 -d 192.168.0.26 -j DROP

Впрочем само първият ред е достатъчен.


редактирано от neter: FOREWARD към FORWARD. Можеш да махнеш това ми съобщение

Нямаш ping към него, понеже си е пуснал firewall. Изключи му firewall-а, или задай позволение за icmp, и ще заимаш ping до него.
За да не ти се случва това друг път, най-добре махни NAT-ването, което си сложил в момента и ползвай следната схема

echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A FORWARD -s 192.168.0.* -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT

Последния ред го повтори за всяко IP в мрежата ти, заедно със съответстващ MAC адрес. Пример:

.......
/sbin/iptables -A FORWARD -s 192.168.0.26 -m mac --mac-source 01:23:45:67:89:ab -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.27 -m mac --mac-source 10:32:54:76:98:ba -j ACCEPT
....... и т.н.

Целта е да ограничиш ползването на IP адресите по MAC адрес, и така, когато онзи пич отново си смени IP-то, неговият MAC адрес няма да съвпада с FORWARD правилото за това IP, и няма да има Интернет ;)

Нямаш ping към него, понеже си е пуснал firewall. Изключи му firewall-а, или задай позволение за icmp, и ще заимаш ping до него.
За да не ти се случва това друг път, най-добре махни NAT-ването, което си сложил в момента и ползвай следната схема

Цитат

echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A FORWARD -s 192.168.0.* -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT

Последния ред го повтори за всяко IP в мрежата ти, заедно със съответстващ MAC адрес. Пример:

Цитат

.......
/sbin/iptables -A FORWARD -s 192.168.0.26 -m mac --mac-source 01:23:45:67:89:ab -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.27 -m mac --mac-source 10:32:54:76:98:ba -j ACCEPT
....... и т.н.

Целта е да ограничиш ползването на IP адресите по MAC адрес, и така, когато онзи пич отново си смени IP-то, неговият MAC адрес няма да съвпада с FORWARD правилото за това IP, и няма да има Интернет ;)

Ух че хубаво!!! Хиляди благодарности!

mishot Само да добавя, че дори при това решение ако е упорит може да слухти мрежата, да си направи лог с MAC и IPта на потребителите и когато някой излезе да се впише на негово място.

Мисля, че не е толкова умен, но знае ли човек. Благодаря за предупреждението!

mishot Само да добавя, че дори при това решение ако е упорит може да слухти мрежата, да си направи лог с MAC и IPта на потребителите и когато някой излезе да се впише на негово място.

И тогава идва да се запитаме защо потребител, който не трябва да си сменя IP-то, има права в системата да го прави. След като се орежат и тези права, току виж се сетил, че физическият достъп до една машина позволява заобикалянето на всякакви правила, и започнал да чете по въпроса и да експериментира. След известно време на игра на котка и мишка, ако администраторът не е обърнал своевременно вниманието на шефа си към проблема, въпросният потребител добива солидни знания за това, което администраторът върши. Възможни са два варианта:
1. Този сценарий не се случва, тъй като потребителят работи съвсем други неща, и не му достигат време и/или желание, за да изпълни сценария. Към този вариант спада и своевременното уведомяване на ръководството за случая;
2. Сценарият се случва докрай, и потребителят в крайна сметка заема работното място на администратора, ако има желание за това. Междувременно е изгубено много време за свършване на реално поставените задачи.
Една от причините да има правила във фирмената политика на компанията, спазването на които трябва да се съблюдава ;)

А аз да попитам. Mishot, това служебно ли е ? Или домашна мрежа ?

служебно

Домашна мрежа с 25 компютъра - той да си няма зала в къщи!

Аз бих го напердасал този потребител но ако е по-силен от мен ще го шейпна на 2к.

Може и да ви се струва майатап но НЕТЕР е прав. Ако ти си сисадмин-а що си му дал шанса да си сменя IP, че и нагло файъруол ще слага  :'(

Бой и без интернет 2 седмици да се усвести!

 [_]3

Шъ има ли бой и сплашване? Винаги съм се радвал когато зъл системен администратор се обади да се кара на някой свой потребител задето прави пакости. Трябва да звучи строго и заплашително. Мен понеже ми става смешно и защото не мога да бъда строг и зъл, затва няма да излезе сполучлив системен администратор от мене, уви.

 ??? еми като неможе с едното ще е с другото

Дори и да има защитна стена

след пинг мак адреса му е в списъка ти.


А ако искаш да предотвратиш това да се случва в бъдеще настрой си суича да филтрира порт и адрес.

Тогава дори и да си смени адреса няма да има достп в мрежата.

arping е безкомпромисен ;)

В този отдел на фирмата(където беше издънката) са си такива проблемни. На компютъра, където се теглеше яко, работи около 50 годишен човек, едвали е негово дело. Подозирам двама, дето може да са му сложили торент клиент зада обере пешкира, но за сега толкова. Благодаря на всички за помощта!

шеипни си трафика дропни торентите запуши портовете дето нетребе да са отворени и отвори само необходимите ;) за да си решиш бъдещи проблеми :)