Титла: Блокиране на spyware от линукс рутер
Публикувано от: Astor в Dec 29, 2004, 15:25
Здраейте, имам един линукс рутер зад който стоят още 3 компа. Та тези три компютъра постоянно са бъкани от spyware-и и понеже са със слаби хардуерни ресурси не ми се иска да им слагам и програма за следене на spyware (Те едвам с една антивирусна се оправят). Та въпросът ми е може ли по някакъв начин централно от рутера да се блокират тези животинки? Не може ли някакси с iptables филтри да се блокират? Ето и firewall-а с iptables:
| Цитат |
#външен интерфейс: eth1 #външен адрес:192.168.30.36 #външна мрежа:192.168.30.0/24 #вътрешен интерфейс: eth0 #вътрешен адрес:10.0.0.1 #вътрешна мрежа:10.0.0.0/24 iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth0 -s 10.0.0.0/24 -j ACCEPT iptables -A INPUT -i eth1 -p ICMP -d 192.168.30.36 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT echo "Firewall done" |
Титла: Блокиране на spyware от линукс рутер
Публикувано от: JOKe в Dec 29, 2004, 15:52
to spyware-a principno opa
та тои е щотото сърфират с квото нетрябва ( ИЕ ) и штракат кадето не трябва по разни Yesове с странен характер.
неможе да филтрираш спама то това са си малки програмки записани в регистрито на win мога да ти кажа как да намаш проблеми с спам :
недеи пуска ИЕ даже му махни сички възможни shortcuti , качи си фаиърфокс и го направи дефаулт броузер не ползваи софтуер с адуеаър .. например флашгет.
и няма да имаш спам. ( аз нямам. ).
та тои е щотото сърфират с квото нетрябва ( ИЕ ) и штракат кадето не трябва по разни Yesове с странен характер.
неможе да филтрираш спама то това са си малки програмки записани в регистрито на win мога да ти кажа как да намаш проблеми с спам :
недеи пуска ИЕ даже му махни сички възможни shortcuti , качи си фаиърфокс и го направи дефаулт броузер не ползваи софтуер с адуеаър .. например флашгет.
и няма да имаш спам. ( аз нямам. ).
Титла: Блокиране на spyware от линукс рутер
Публикувано от: Astor в Dec 29, 2004, 16:15
Здравейте, благодаря за отговора, съгласен съм с теб, но аз си мислех че тези животни след като се инсталират се конектват някаде навън, забавят връзката и навъртат трафик. Та се питах тези техни опити за конекции не могат ли да се ограничат товно с iptables филтрите на рутера. Например да се сложат някакви правила в OUTPUT или FORWARD веригите?
Титла: Блокиране на spyware от линукс рутер
Публикувано от: sys7em в Dec 29, 2004, 19:22
дам определено firefox е отговорът на въпроса ... 
Титла: Блокиране на spyware от линукс рутер
Публикувано от: VladSun в Dec 30, 2004, 16:38
Trojan Ports list
Това може да ти послужи като начало, има доста линкове ...
А можеш направо да отрежеш IP-тата на гадовете
Иначе добрия проф. Гуугле отново е компетентен:
http://www.google.com/search?hl=bg&q=gator+iptables&lr=
Но по принцип трябва да предупредиш потребителите кои ИП-та си орязал ... Понякога риват
Това може да ти послужи като начало, има доста линкове ...
А можеш направо да отрежеш IP-тата на гадовете
Иначе добрия проф. Гуугле отново е компетентен:
http://www.google.com/search?hl=bg&q=gator+iptables&lr=
Но по принцип трябва да предупредиш потребителите кои ИП-та си орязал ... Понякога риват
Титла: Блокиране на spyware от линукс рутер
Публикувано от: Astor в Dec 30, 2004, 20:29
Благодаря ти много за отговора VladSun, поразгледах нещата които ми даде от google. Та там хората забраняват дадени IP адреси чрез INPUT веригата. Ам аз точно това съм направил с
. Да не би проблема ми да идва от реда във файеруола:
, демек въпреки че съм забранил всичко в INPUT веригата с този ред във FORWARD веригата, се едно нищо не съм направил
ПИтам за тези неща щото съм малко нов във iptables, пък и с английския не съм много добре и малко не ги схващам нещата от първия път
| Цитат |
| iptables -P DROP |
| Цитат |
| iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT |
ПИтам за тези неща щото съм малко нов във iptables, пък и с английския не съм много добре и малко не ги схващам нещата от първия път Титла: Блокиране на spyware от линукс рутер
Публикувано от: VladSun в Jan 02, 2005, 21:15
Е да ама трафика от spyware софтуера се счита от твоя firewall като трафик от потребителя - т.е. не знае, че е spyware. С ИП-тата точно това правиш - дефинираш spyware трафик.
С тия редове не спираш трафика - бъди сигурен
С тия редове не спираш трафика - бъди сигурен
Титла: Блокиране на spyware от линукс рутер
Публикувано от: Astor в Jan 02, 2005, 21:27
Благодаря ти много VladSun. Значи аз просто в моя случей трябва да ги забраня тязи IP-та които си ми посочил в FORWARD веригата, и по този начиин компютрите зад рутера няма да могат да се свързват с тези сайтове, нали? Значи с това че съм забранил INPUT веригата не означава, че съм забранил дстъпа на комповете зад рутера до тези сайтове??
??Титла: Блокиране на spyware от линукс рутер
Публикувано от: VladSun в Jan 04, 2005, 03:31
То ти в INPUT веригата на вътрешния интерфейс си разрешил ВСИЧКИ заявки със source адреси от локалнта мрежа - т.е. spyware по никакъв начин не го спираш - това исках да ти кажа с предния си отговор. Трябва в INPUT веригата (или в PREROUTING) да DROP-ваш всички пакети с destination IP-та, които са явно заявени от spyware софтуер (по ИП-тата ще ги познаем ). Примерно:
iptables -A INPUT -i eth1 -d gator.com -j DROP
Ама това трябва да го сложиш преди какъвто и да било ACCEPT в INPUT веригата.
). Примерно:iptables -A INPUT -i eth1 -d gator.com -j DROP
Ама това трябва да го сложиш преди какъвто и да било ACCEPT в INPUT веригата.
Титла: Блокиране на spyware от линукс рутер
Публикувано от: Astor в Jan 04, 2005, 12:18
Е тука малко ме обърка 
, ам аз нали съм дал политика на INPUT веригата (-P INPUT DROP), пък и до колкото знам тя е за входящи пъкети към самия линукс рутер, а аз нямам проблеми със spyware-и на този комп, а на компютите маскирани зад него, и за това си мисля че другото ти предложение:
би ми свършило работа,
а това:-A INPUT -i eth1 -d gator.com -j DROP
ми се струва излишно (като се има в предвид политиката зададена за тази верига!. Не е ли така?
ПС:командата нещо от този вид ли трябва да е:
iptables -t nat -A PREROUTING -i eth_ext -s SPYWARE_IP -d LOCAL_IP -j DORP
, ам аз нали съм дал политика на INPUT веригата (-P INPUT DROP), пък и до колкото знам тя е за входящи пъкети към самия линукс рутер, а аз нямам проблеми със spyware-и на този комп, а на компютите маскирани зад него, и за това си мисля че другото ти предложение:| Цитат |
| (или в PREROUTING) да DROP-ваш всички пакети с destination IP-та |
а това:-A INPUT -i eth1 -d gator.com -j DROP
ми се струва излишно (като се има в предвид политиката зададена за тази верига!
. Не е ли така?ПС:командата нещо от този вид ли трябва да е:
iptables -t nat -A PREROUTING -i eth_ext -s SPYWARE_IP -d LOCAL_IP -j DORP
Титла: Блокиране на spyware от линукс рутер
Публикувано от: VladSun в Jan 04, 2005, 12:40
1. Извинявай, сега видях, че eth0 ти е вътрешния интерфейс - правилото трябва да е :
iptables -A INPUT -i eth0 -d gator.com -j DROP
2. Политиката на веригата се изпълнява чак след като минеш през всички правила на веригата.
3. Входящи пакети към самия линукс рутер?
INPUT -i eth1
INPUT -i eth0
кое сега е "вход" към линукс рутера
Значи, пакетите винаги (и в двете посоки) минават през PREROUTING->INPUT->FORWARD->OUTPUT->POSTROUTING, когато са извън локалния трафик.
С твоя firewall, когато spyware софтуера на някой клиент иска връзка към неговия си сървер, то той задължително ще мине през INPUT веригата заради твоето правило:
iptables -A INPUT -i eth0 -s 10.0.0.0/24 -j ACCEPT
след това през FORWARD веригата заради твоето правило:
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
и най-накрая по подразбиране минава и през OUTPUT веригата.
До политиката DROP на INPUT веригата изобщо не стигнахме, нали? И изобщо не говоря за рутера и неговия трафик.
iptables -A INPUT -i eth0 -d gator.com -j DROP
2. Политиката на веригата се изпълнява чак след като минеш през всички правила на веригата.
3. Входящи пакети към самия линукс рутер?
INPUT -i eth1
INPUT -i eth0
кое сега е "вход" към линукс рутера
Значи, пакетите винаги (и в двете посоки) минават през PREROUTING->INPUT->FORWARD->OUTPUT->POSTROUTING, когато са извън локалния трафик.
С твоя firewall, когато spyware софтуера на някой клиент иска връзка към неговия си сървер, то той задължително ще мине през INPUT веригата заради твоето правило:
iptables -A INPUT -i eth0 -s 10.0.0.0/24 -j ACCEPT
след това през FORWARD веригата заради твоето правило:
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
и най-накрая по подразбиране минава и през OUTPUT веригата.
До политиката DROP на INPUT веригата изобщо не стигнахме, нали? И изобщо не говоря за рутера и неговия трафик.
Титла: Блокиране на spyware от линукс рутер
Публикувано от: vlad73 в Jan 04, 2005, 14:49
| Цитат (VladSun @ Ян. 04 2005,13:40) |
| Значи, пакетите винаги (и в двете посоки) минават през PREROUTING->INPUT->FORWARD->OUTPUT->POSTROUTING, когато са извън локалния трафик. |
Малко не съм съгласен тука. През Input и Output минават само пакетите, които са предназначени за (или излизат от ) конкретната машина. Иначе казано те няма как да окажат каквото и да е влияние на транзитния трафик, който пък си минава през Forward.
Титла: Блокиране на spyware от линукс рутер
Публикувано от: Astor в Jan 04, 2005, 16:08
Благодаря ви много за разясненията, то аз си мислех че с този Firewall съм "хванал дядо господ за шлифера" и въобще не знаех че тя политиката на веригата се гледала накрая.
Но тука пак малко недоразбирателство става май: според :
VladSun би трябвало да забраня адресите на spyware-ите във Forward веригата. Но ми се струва че аз бих си решил проблема, както казах преди ако ги забраня още в PREROUTING.
и въобще не знаех че тя политиката на веригата се гледала накрая. Но тука пак малко недоразбирателство става май: според :
| Цитат |
| те няма как да окажат каквото и да е влияние на транзитния трафик, който пък си минава през Forward |
Титла: Блокиране на spyware от линукс рутер
Публикувано от: vlad73 в Jan 04, 2005, 16:36
Да, решаваш ги и в Prerouting, ама някакси по-чистичко е в Forward на filter, не ползвай Prerouting и Postrouting когато иде реч само за транзитния трафик, тези вериги не са за това
Титла: Блокиране на spyware от линукс рутер
Публикувано от: laskov в Jan 04, 2005, 16:47
Един малко страничен въпрос - целта на цялата работа беше spyware -тата да не бавят комповете. Ако им спрете достъпа до web ресурси, те пак ще си работят, ще си пращат пакети, ще правят опити да се свържат и пак ще пречат. Не е ли така?
Титла: Блокиране на spyware от линукс рутер
Публикувано от: sdr в Jan 04, 2005, 17:09
хммм един приятел навремето се опитваше да сложи трансперантно прокси с вграден антивирус - даже май и успя ... за съжаление не мога да се сетя как се казваше .... 
Титла: Блокиране на spyware от линукс рутер
Публикувано от: laskov в Jan 04, 2005, 17:28
sdr, ако намекваш за това , виж колко отговора са получени. На мен, за съжаление, не ми остана време да го направя, но видях, че по други форуми по света е дискутирана такава тема.
Титла: Блокиране на spyware от линукс рутер
Публикувано от: sdr в Jan 04, 2005, 17:39
точно за тва говоря само че си имаше име и дори работеше спомням си че в името имаше нещо dancer ама ко беше....
Титла: Блокиране на spyware от линукс рутер
Публикувано от: VladSun в Jan 04, 2005, 18:00
| Цитат (vlad73 @ Ян. 04 2005,15:49) |
Цитат на: VladSun,Ян. 04 2005,13:40 Значи, пакетите винаги (и в двете посоки) минават през PREROUTING->INPUT->FORWARD->OUTPUT->POSTROUTING, когато са извън локалния трафик. |
Малко не съм съгласен тука. През Input и Output минават само пакетите, които са предназначени за (или излизат от ) конкретната машина. Иначе казано те няма как да окажат каквото и да е влияние на транзитния трафик, който пък си минава през Forward.Напълно съм съгласен, с тебе Влад
Грешката е моя
Титла: Блокиране на spyware от линукс рутер
Публикувано от: VladSun в Jan 04, 2005, 18:04
| Цитат (laskov @ Ян. 04 2005,17:47) |
| Един малко страничен въпрос - целта на цялата работа беше spyware -тата да не бавят комповете. Ако им спрете достъпа до web ресурси, те пак ще си работят, ще си пращат пакети, ще правят опити да се свържат и пак ще пречат. Не е ли така? |
Може би, ако пакетите не се DROP-ват, а се REJECT-тват самия spyware ще спре да праща пакети, поне някои вируси така реагират ...
Титла: Блокиране на spyware от линукс рутер
Публикувано от: sdr в Jan 04, 2005, 19:52
DansGuardian Gentoo знае за него
Титла: Блокиране на spyware от линукс рутер
Публикувано от: ColdFuse в Jan 04, 2005, 23:51
Не точно по темата, ама близо...
За борба със вредителите помага:
На моите им инсталирах Firefox за браузър и на Squid-а сложих да пуска само http хедъри с Mozilla в тях.
За борба със вредителите помага:
На моите им инсталирах Firefox за браузър и на Squid-а сложих да пуска само http хедъри с Mozilla в тях.
Титла: Блокиране на spyware от линукс рутер
Публикувано от: sdr в Jan 05, 2005, 10:59
| Цитат |
| На моите им инсталирах Firefox за браузър и на Squid-а сложих да пуска само http хедъри с Mozilla в тях. |
Тва си е живо насилие над животни
би било по-готино просто да отказваш поддръжка ако ИЕ-то име е дефаултнатия броузър