Изпечатай

[Astor]

Здраейте, имам един линукс рутер зад който стоят още 3 компа. Та тези три компютъра постоянно са бъкани от spyware-и и понеже са със слаби хардуерни ресурси не ми се иска да им слагам и програма за следене на spyware (Те едвам с една антивирусна се оправят). Та въпросът ми е може ли по някакъв начин централно от рутера да се блокират тези животинки? Не може ли някакси с iptables филтри да се блокират? Ето и firewall-а с iptables:

Цитат

#външен интерфейс: eth1 #външен адрес:192.168.30.36 #външна мрежа:192.168.30.0/24 #вътрешен интерфейс: eth0 #вътрешен адрес:10.0.0.1 #вътрешна мрежа:10.0.0.0/24 iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth0 -s 10.0.0.0/24 -j ACCEPT iptables -A INPUT -i eth1 -p ICMP -d 192.168.30.36 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -m state --state  ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT echo "Firewall done"

[JOKe]

to spyware-a principno opa
та тои е щотото сърфират с квото нетрябва ( ИЕ ) и штракат кадето не трябва по разни Yesове с странен характер.
неможе да филтрираш спама то това са си малки програмки записани в регистрито на win мога да ти кажа как да намаш проблеми с спам :
недеи пуска ИЕ даже му махни сички възможни shortcuti , качи си фаиърфокс и го направи дефаулт броузер не ползваи софтуер с адуеаър .. например флашгет.
и няма да имаш спам. ( аз нямам. ).

[Astor]

Здравейте, благодаря за отговора, съгласен съм с теб, но аз си мислех че тези животни след като се инсталират се конектват някаде навън, забавят връзката и навъртат трафик. Та се питах тези техни опити за конекции не могат ли да се ограничат товно с iptables филтрите на рутера. Например да се сложат някакви правила в OUTPUT или FORWARD веригите?

[sys7em]

дам определено firefox е отговорът на въпроса ...  '>

[VladSun]

Trojan Ports list

Това може да ти послужи като начало, има доста линкове ...
А можеш направо да отрежеш IP-тата на гадовете '>

Иначе добрия проф. Гуугле отново е компетентен:

http://www.google.com/search?hl=bg&q=gator+iptables&lr=

'>

Но по принцип трябва да предупредиш потребителите кои ИП-та си орязал ... Понякога риват '>

[Astor]

Благодаря ти много за отговора VladSun, поразгледах нещата които ми даде от google. Та там хората забраняват дадени IP адреси чрез INPUT веригата. Ам аз точно това съм направил с

Цитат

iptables -P DROP

. Да не би проблема ми да идва от реда във файеруола:

Цитат

iptables -A FORWARD -i eth1 -o eth0 -m state --state  ESTABLISHED,RELATED -j ACCEPT

, демек въпреки че съм забранил всичко в INPUT веригата с този ред във FORWARD веригата, се едно нищо не съм направил'> ПИтам за тези неща щото съм малко нов във iptables, пък и с английския не съм много добре и малко не ги схващам нещата от първия път '>

[VladSun]

Е да ама трафика от spyware софтуера се счита от твоя firewall като трафик от потребителя - т.е. не знае, че е spyware. С ИП-тата точно това правиш - дефинираш spyware трафик.
С тия редове не спираш трафика - бъди сигурен '>

[Astor]

Благодаря ти много VladSun. Значи аз просто в моя случей трябва да ги забраня тязи IP-та които си ми посочил в FORWARD веригата, и по този начиин компютрите зад рутера няма да могат да се свързват с тези сайтове, нали? Значи с това че съм забранил INPUT веригата не означава, че съм забранил дстъпа на комповете зад рутера до тези сайтове'>??

[VladSun]

То ти в INPUT веригата на вътрешния интерфейс си разрешил ВСИЧКИ заявки със source адреси от локалнта мрежа - т.е. spyware по никакъв начин не го спираш - това исках да ти кажа с предния си отговор. Трябва в INPUT веригата (или в PREROUTING) да DROP-ваш всички пакети с destination IP-та, които са явно заявени от spyware софтуер (по ИП-тата ще ги познаем '> ). Примерно:

iptables -A INPUT -i eth1 -d gator.com -j DROP

Ама това трябва да го сложиш преди какъвто и да било ACCEPT в INPUT веригата.

[Astor]

Е тука малко ме обърка , ам аз нали съм дал политика на INPUT веригата (-P INPUT DROP), пък и до колкото знам тя е за входящи пъкети към самия линукс рутер, а аз нямам проблеми със spyware-и на този комп, а на компютите маскирани зад него, и за това си мисля че другото ти предложение:

Цитат

(или в PREROUTING) да DROP-ваш всички пакети с destination IP-та

би ми свършило работа,
а това:-A INPUT -i eth1 -d gator.com -j DROP
ми се струва излишно (като се има в предвид политиката зададена за тази верига!'>. Не е ли така?

ПС:командата нещо от този вид ли трябва да е:
iptables -t nat -A PREROUTING -i eth_ext -s SPYWARE_IP -d LOCAL_IP -j DORP

[VladSun]

1. Извинявай, сега видях, че eth0 ти е вътрешния интерфейс - правилото трябва да е :

iptables -A INPUT -i eth0 -d gator.com -j DROP

2. Политиката на веригата се изпълнява чак след като минеш през всички правила на веригата.

3. Входящи пакети към самия линукс рутер?
INPUT -i eth1
INPUT -i eth0
кое сега е "вход" към линукс рутера

Значи, пакетите винаги (и в двете посоки) минават през PREROUTING->INPUT->FORWARD->OUTPUT->POSTROUTING, когато са извън локалния трафик.

С твоя firewall, когато spyware софтуера на някой клиент иска връзка към неговия си сървер, то той задължително ще мине през INPUT веригата заради твоето правило:

iptables -A INPUT -i eth0 -s 10.0.0.0/24 -j ACCEPT

след това през FORWARD веригата заради твоето правило:

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

и най-накрая по подразбиране минава и през OUTPUT веригата.
До политиката DROP на INPUT веригата изобщо не стигнахме, нали? И изобщо не говоря за рутера и неговия трафик.

[vlad73]

Цитат (VladSun @ Ян. 04 2005,13:40)

Значи, пакетите винаги (и в двете посоки) минават през PREROUTING->INPUT->FORWARD->OUTPUT->POSTROUTING, когато са извън локалния трафик.

Малко не съм съгласен тука. През Input и Output минават само пакетите, които са  предназначени за (или излизат от ) конкретната машина. Иначе казано те няма как да окажат каквото и да е влияние на транзитния трафик, който пък си минава през Forward.

[Astor]

Благодаря ви много за разясненията, то аз си мислех че с този Firewall съм "хванал дядо господ за шлифера" '> и въобще не знаех че тя политиката на веригата се гледала накрая.

Но тука пак малко недоразбирателство става май: според :

Цитат

те няма как да окажат каквото и да е влияние на транзитния трафик, който пък си минава през Forward

VladSun би трябвало да забраня адресите на spyware-ите във Forward веригата. Но ми се струва че аз бих си решил проблема, както казах преди ако ги забраня още в PREROUTING.

[vlad73]

Да, решаваш ги и в Prerouting, ама някакси по-чистичко е в Forward на filter,  не ползвай Prerouting и Postrouting когато иде реч само за транзитния трафик, тези вериги не са за това  '>

[laskov]

Един малко страничен въпрос - целта на цялата работа беше spyware -тата  да не бавят комповете. Ако им спрете достъпа до web ресурси, те пак ще си работят, ще си пращат пакети, ще правят опити да се свържат и пак ще пречат. Не е ли така?