Покажи Публикации - ZNO_Core
* Виж публикациите на потр. | Виж темите на потр. | Виж прикачените файлове на потр
Страници: [1]
1  Linux секция за напреднали / Хардуерни и софтуерни проблеми / Проблем с iptables+l7filter vs. promisc mode -: Apr 03, 2007, 14:31
Цитат (VladSun @ Април 03 2007,15:27)
Според мен единствения начин е да си пуснеш машината в режим на рутер, да си смениш мак-а на мак-а на шлюза за мрежата (както и ИП-то), след това да нафлудиш суичовете с АРП, така че да преминат в "хъб" режим и да forward-ваш пакетите през твоята машина ... но това не е много хубаво '<img'>

Точно това е нещто което най-малко искам да правя
2  Linux секция за напреднали / Хардуерни и софтуерни проблеми / Проблем с iptables+l7filter vs. promisc mode -: Apr 03, 2007, 14:25
Цитат (Gaara @ Април 03 2007,15:05)
Цитат

LAYER7 match v1.3.7 options:
--l7dir <directory>  : Look for patterns here instead of /etc/l7-protocols/
                       (--l7dir must be specified before --l7proto if used!'<img'>
--l7proto [!] <name> : Match the protocol defined in /etc/l7-protocols/name

т.е. нещо от сорта на
Примерен код

iptables -t mangle -A POSTROUTING -s 192.168.0.0/24 -m layer7 --l7dir /etc/l7-protocols/file_types/ --l7proto bittorrent -j ACCEPT

 '<img'>

Хубаво като предложение.
Но не разбирам какво ще промени това с директорията.
Патърните все са си същите и все едно и също нещо правят.
Или тук се намеква че има бъг в разпознаването им от дефолтната директория?
3  Linux секция за напреднали / Хардуерни и софтуерни проблеми / Проблем с iptables+l7filter vs. promisc mode -: Apr 03, 2007, 13:28
да в switching environment
не са полицейщини а нужна мярка

въпросът е по-кой начин ще стане?
 '<img'>
4  Linux секция за напреднали / Хардуерни и софтуерни проблеми / Проблем с iptables+l7filter vs. promisc mode -: Apr 03, 2007, 13:06
Целта на всичко това е тази машина да следи и класифицира трафикът предназначен не само за нея а и за останалите машини в прилежащата мрежа. Ще опитам с форуърдинг.
Рутинг таблицата е абсолютно празна и стандартна, като се изключат правилата добавени с вече показания скрипт.
5  Linux секция за напреднали / Хардуерни и софтуерни проблеми / Проблем с iptables+l7filter vs. promisc mode -: Apr 03, 2007, 10:45
Машината не е рутер, смятам че пакетите не достигат до iptables защото нито един от chains не хваща трафика който не е насочен за машината конкретно а идва поради това, че е пуснат promisc. Съответно и в правилата включващи l7-protocol matching не попада нищо. Правилата, които ме интересуват се зареждат посредством следния скрипт:
Примерен код

export IPT_NFO_STR="IPT-INFO"
date > last-ipt-mangle-init-date
date >> ipt-mangle-init-date
#
#iptables -t mangle --flush
for IPT_CHAIN in "PREROUTING" "INPUT" "FORWARD" "OUTPUT" "POSTROUTING"
do
for IPT_L7_PROTO in "dns" "dhcp" "snmp" "ntp" "ftp" "tftp" "http" "ssh"
do
iptables -t mangle -A $IPT_CHAIN -m layer7 --l7proto $IPT_L7_PROTO
done
6  Linux секция за напреднали / Хардуерни и софтуерни проблеми / Проблем с iptables+l7filter vs. promisc mode -: Apr 02, 2007, 19:37
kernel: 2.6.18.6
iptables: 1.3.7
l7filter: 2.9

Инсталацията е FC4,  с прекомпилирано ядро 2.6.18.6, с добавен пач за l7-filter, и прекомпилиран сървиз iptables 1.3.7 отново с пач за l7-filter, използвам l7-rptocols последните налини. Мрежовата карта е настроена в promisc mode.
Пакетите, които са от самата машина и за самата машина, се детектират успешно от iptables и l7-filter. Но тези, които не са предназначени за нея не достигат до iptables.
При употреба на tcpdump пакетите предназначени за други машини успешно се детектират, също така и при работа с pmacct/pmacctd. Ако някой има идея защо пакетите не достигат до таблиците на iptables моля да помага благодаря предварително '<img'>
Страници: [1]