* [Sysadmins] Два канала, быстрый и дешевый.
@ 2006-03-25 16:11 Dmitriy L. Kruglikov
2006-03-27 5:23 ` Alexey I. Froloff
` (2 more replies)
0 siblings, 3 replies; 27+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-03-25 16:11 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Доброго времени суток всем.
Есть задача:
Разрулить трафик с сервера по двум каналам...
Быстрому и дешевому ...
FTP и WWW в одну сторону,
все остальное - в другую...
Есть частичное решение:
Таблицы созданы, по адресам внутренней сети в них развожу и все
работает ...
С сервера трафик то же уходит по разным каналам ...
Правила на основании маркированных пакетов...
Почитайка по адресу
http://www.opennet.ru/base/net/iproute2_cebka.txt.html
А теперь проблема:
Трафик FTP.
Как маркировать пакеты для пассивного режима, когда соединение
устанавливается на портах с номерами типа 53456 <-> 65434 ???
Могу предложить свой сокращенный вариант степ-бай-степ...
То, что у меня реально работает...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-25 16:11 [Sysadmins] Два канала, быстрый и дешевый Dmitriy L. Kruglikov
@ 2006-03-27 5:23 ` Alexey I. Froloff
2006-03-27 8:37 ` Dmitriy L. Kruglikov
2006-03-27 8:50 ` [Sysadmins] Два канала , " ABATAPA
2006-03-29 7:18 ` [Sysadmins] Два канала, " Dmitriy L. Kruglikov
2 siblings, 1 reply; 27+ messages in thread
From: Alexey I. Froloff @ 2006-03-27 5:23 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 473 bytes --]
* Dmitriy L. Kruglikov <Dmitriy.Kruglikov@> [060325 18:12]:
> А теперь проблема:
> Трафик FTP.
> Как маркировать пакеты для пассивного режима, когда соединение
> устанавливается на портах с номерами типа 53456 <-> 65434 ???
Можно попробовать почитать man iptables в районе "conntrack".
--
Regards, Alexey I. Froloff
AIF5-RIPN, AIF5-RIPE
-------------------------------------------
Inform-Mobil, Ltd. System Administrator
http://www.inform-mobil.ru/
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 191 bytes --]
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-27 5:23 ` Alexey I. Froloff
@ 2006-03-27 8:37 ` Dmitriy L. Kruglikov
2006-03-27 10:44 ` Dank Bagryantsev
0 siblings, 1 reply; 27+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-03-27 8:37 UTC (permalink / raw)
To: sysadmins
On Mon, 27 Mar 2006 09:23:49 +0400
Alexey I. Froloff wrote:
> * Dmitriy L. Kruglikov <Dmitriy.Kruglikov@> [060325 18:12]:
> > А теперь проблема:
> > Трафик FTP.
> > Как маркировать пакеты для пассивного режима, когда соединение
> > устанавливается на портах с номерами типа 53456 <-> 65434 ???
> Можно попробовать почитать man iptables в районе "conntrack".
>
Все гораздо проще ...
Я думал-думал, и устал ...
А потом придумал такой ход:
Перенаправлять в "быстрый" канал те порты, которые мы точно знаем:
25, 53, 123, 80, 8080, ... и т.д.
А все остальные заворачивать в "дешевый" ...
Таким образом задача может быть решена.
Если у кого есть замечания по такому варианту, буду благодарен.
А если нет, то вечером начну пробовать...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-27 8:37 ` Dmitriy L. Kruglikov
@ 2006-03-27 10:44 ` Dank Bagryantsev
2006-03-27 10:49 ` Dmitriy L. Kruglikov
2006-03-27 11:10 ` Dmitriy L. Kruglikov
0 siblings, 2 replies; 27+ messages in thread
From: Dank Bagryantsev @ 2006-03-27 10:44 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Здравствуйте, Dmitriy.
Вы писали 27 марта 2006 г., 11:37:15:
>> > А теперь проблема:
>> > Трафик FTP.
>> > Как маркировать пакеты для пассивного режима, когда соединение
>> > устанавливается на портах с номерами типа 53456 <-> 65434 ???
>> Можно попробовать почитать man iptables в районе "conntrack".
>>
DLK> Все гораздо проще ...
DLK> Я думал-думал, и устал ...
DLK> А потом придумал такой ход:
DLK> Перенаправлять в "быстрый" канал те порты, которые мы точно знаем:
DLK> 25, 53, 123, 80, 8080, ... и т.д.
DLK> А все остальные заворачивать в "дешевый" ...
DLK> Таким образом задача может быть решена.
DLK> Если у кого есть замечания по такому варианту, буду благодарен.
DLK> А если нет, то вечером начну пробовать...
FTP на сервере находится? Или внутри сети?
Маркировать на основе -m state --state RELATED,ESTABLISHED ?
или -m owner --uid-owner ?
В этой рассылке письмо
От: Aleksey Avdeev <solo@solin.spb.ru>
Тема: Re: [Sysadmins] Хитрые настройки iptables
15.02.2006
читали? По-моему там похожая ситуация обсуждается.
--
С уважением,
Dank
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-27 10:44 ` Dank Bagryantsev
@ 2006-03-27 10:49 ` Dmitriy L. Kruglikov
2006-03-27 11:34 ` Dank Bagryantsev
2006-03-27 11:10 ` Dmitriy L. Kruglikov
1 sibling, 1 reply; 27+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-03-27 10:49 UTC (permalink / raw)
To: sysadmins; +Cc: ALT Linux sysadmin discuss
On Mon, 27 Mar 2006 13:44:00 +0300
Dank Bagryantsev wrote:
> FTP на сервере находится? Или внутри сети?
> Маркировать на основе -m state --state RELATED,ESTABLISHED ?
> или -m owner --uid-owner ?
Извините, не четко сформирован вопрос ...
Подразумевается протокол FTP и обращение клиентов моей сети к внешним
серверам.
Тут можно маркировать только по портам, а они выбираются случайным
образом для пассивного режима ... (если я ни чего не путаю)
>
> В этой рассылке письмо
> От: Aleksey Avdeev <solo@solin.spb.ru>
> Тема: Re: [Sysadmins] Хитрые настройки iptables
> 15.02.2006
> читали? По-моему там похожая ситуация обсуждается.
Нет, не читал... Спасибо... Посмотрю.
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-27 10:49 ` Dmitriy L. Kruglikov
@ 2006-03-27 11:34 ` Dank Bagryantsev
2006-03-27 11:43 ` Dmitriy L. Kruglikov
0 siblings, 1 reply; 27+ messages in thread
From: Dank Bagryantsev @ 2006-03-27 11:34 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Здравствуйте, Dmitriy.
Вы писали 27 марта 2006 г., 13:49:45:
>> FTP на сервере находится? Или внутри сети?
>> Маркировать на основе -m state --state RELATED,ESTABLISHED ?
>> или -m owner --uid-owner ?
DLK> Извините, не четко сформирован вопрос ...
DLK> Подразумевается протокол FTP и обращение клиентов моей сети к внешним
DLK> серверам.
DLK> Тут можно маркировать только по портам, а они выбираются случайным
DLK> образом для пассивного режима ... (если я ни чего не путаю)
клиенты внутри сети NAT'ятся на сервере? на обеих каналах?
--
С уважением,
Dank
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-27 11:34 ` Dank Bagryantsev
@ 2006-03-27 11:43 ` Dmitriy L. Kruglikov
2006-03-27 12:46 ` Dank Bagryantsev
0 siblings, 1 reply; 27+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-03-27 11:43 UTC (permalink / raw)
To: sysadmins
On Mon, 27 Mar 2006 14:34:48 +0300
Dank Bagryantsev wrote:
> клиенты внутри сети NAT'ятся на сервере? на обеих каналах?
Обязательно... на выходе...
-А POSTROUTING -SNAT --to.... И так далее ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-27 11:43 ` Dmitriy L. Kruglikov
@ 2006-03-27 12:46 ` Dank Bagryantsev
0 siblings, 0 replies; 27+ messages in thread
From: Dank Bagryantsev @ 2006-03-27 12:46 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Здравствуйте, Dmitriy.
Вы писали 27 марта 2006 г., 14:43:19:
>> клиенты внутри сети NAT'ятся на сервере? на обеих каналах?
DLK> Обязательно... на выходе...
DLK> -А POSTROUTING -SNAT --to.... И так далее ...
я конечно могу ошибаться... но, что если попробовать что-то типа
такого:
$IPTABLES -t nat -A PREROUTING -i $LAN -p tcp -m multiport --dport 21,20 -j SNAT --to-source $SLOW_IP
$IPTABLES -t nat -A PREROUTING -i $LAN -p tcp --sport 20 -j SNAT --to-source $SLOW_IP
все это роутить на $SLOW_IF
и еще конечно
$IPTABLES -t nat -A PREROUTING -i $SLOW_IF -m state --state RELATED,ESTABLISHED -j ACCEPT
ну и посмотреть tcpdump что получается на интерфейсах
--
С уважением,
Dank
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-27 10:44 ` Dank Bagryantsev
2006-03-27 10:49 ` Dmitriy L. Kruglikov
@ 2006-03-27 11:10 ` Dmitriy L. Kruglikov
2006-03-27 11:22 ` Avramenko Andrew
1 sibling, 1 reply; 27+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-03-27 11:10 UTC (permalink / raw)
To: sysadmins
On Mon, 27 Mar 2006 13:44:00 +0300
Dank Bagryantsev wrote:
> В этой рассылке письмо
> От: Aleksey Avdeev <solo@solin.spb.ru>
> Тема: Re: [Sysadmins] Хитрые настройки iptables
> 15.02.2006
> читали? По-моему там похожая ситуация обсуждается.
Уже читал ...
Там ситуация почти такая же, но вопрос пассивного режима не поднят ...
То ли сами догадались, то ли не попали еще на эту граблю ...
То есть, решение получается простое:
1) Метить и заворачивать пакеты на заранее известные порты в быстрый
канал.
Правило :
-p tcp -m multiport --destination-port 20,21,873 -j MARK --set-mark 0x1
(Явный список портов)
2) Все остальное в "дешевый"...
Правило:
-p tcp -m multiport ! --destination-port 20,21,873 -j MARK --set-mark
0x1
(Инвертированный список портов)...
Аналогично и для -p udp (Например: порты 53, 123)
Таблицы в iproute2 - как в книжке :)
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-27 11:10 ` Dmitriy L. Kruglikov
@ 2006-03-27 11:22 ` Avramenko Andrew
2006-03-27 12:07 ` Dmitriy L. Kruglikov
0 siblings, 1 reply; 27+ messages in thread
From: Avramenko Andrew @ 2006-03-27 11:22 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Ну правильно же сказали - читать в сторону conntrack_ftp, чего Вы
маетесь? Грабли с пассивным фтп решаются именно им.
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-27 11:22 ` Avramenko Andrew
@ 2006-03-27 12:07 ` Dmitriy L. Kruglikov
2006-03-27 12:27 ` Мерзляков Евгений Анатольевич
0 siblings, 1 reply; 27+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-03-27 12:07 UTC (permalink / raw)
To: sysadmins
On Mon, 27 Mar 2006 11:22:16 +0000
Avramenko Andrew wrote:
> Ну правильно же сказали - читать в сторону conntrack_ftp, чего Вы
> маетесь? Грабли с пассивным фтп решаются именно им.
Что-то я не вчитался ни как ....
Или не там читал, или не нашел ответа на свой вопрос ....
А можно примерчик ?
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-27 12:07 ` Dmitriy L. Kruglikov
@ 2006-03-27 12:27 ` Мерзляков Евгений Анатольевич
2006-03-27 12:29 ` Мерзляков Евгений Анатольевич
0 siblings, 1 reply; 27+ messages in thread
From: Мерзляков Евгений Анатольевич @ 2006-03-27 12:27 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Mon, 27 Mar 2006 15:07:46 +0300
"Dmitriy L. Kruglikov" <Dmitriy.Kruglikov@orionagro.com.ua> wrote:
> On Mon, 27 Mar 2006 11:22:16 +0000
> Avramenko Andrew wrote:
>
> > Ну правильно же сказали - читать в сторону conntrack_ftp, чего Вы
> > маетесь? Грабли с пассивным фтп решаются именно им.
> Что-то я не вчитался ни как ....
> Или не там читал, или не нашел ответа на свой вопрос ....
>
> А можно примерчик ?
я может не до конца понял ситуацию.
при работе с пассивным фтп надо использовать модуль ip_nat_ftp,
он отслеживает устанавливаемые подключения.
--
ПКБ Акустика
Мерзляков Е.А. icq #115657846
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-27 12:27 ` Мерзляков Евгений Анатольевич
@ 2006-03-27 12:29 ` Мерзляков Евгений Анатольевич
2006-03-27 12:37 ` Dmitriy L. Kruglikov
2006-03-27 12:42 ` [Sysadmins] Два канала, " Avramenko Andrew
0 siblings, 2 replies; 27+ messages in thread
From: Мерзляков Евгений Анатольевич @ 2006-03-27 12:29 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Mon, 27 Mar 2006 18:27:23 +0600
Мерзляков Евгений Анатольевич <hj@acoustics.ru> wrote:
> я может не до конца понял ситуацию.
> при работе с пассивным фтп надо использовать модуль ip_nat_ftp,
> он отслеживает устанавливаемые подключения.
извиняюсь, модуль ip_conntrack_ftp
в общем и тот и тот подгрузите, хуже не будет
--
ПКБ Акустика
Мерзляков Е.А. icq #115657846
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-27 12:29 ` Мерзляков Евгений Анатольевич
@ 2006-03-27 12:37 ` Dmitriy L. Kruglikov
2006-03-27 12:45 ` Мерзляков Евгений Анатольевич
2006-03-27 12:46 ` Avramenko Andrew
2006-03-27 12:42 ` [Sysadmins] Два канала, " Avramenko Andrew
1 sibling, 2 replies; 27+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-03-27 12:37 UTC (permalink / raw)
To: sysadmins
On Mon, 27 Mar 2006 18:29:48 +0600
Мерзляков Евгений Анатольевич wrote:
> On Mon, 27 Mar 2006 18:27:23 +0600
> Мерзляков Евгений Анатольевич <hj@acoustics.ru> wrote:
>
>
> > я может не до конца понял ситуацию.
> > при работе с пассивным фтп надо использовать модуль ip_nat_ftp,
> > он отслеживает устанавливаемые подключения.
>
> извиняюсь, модуль ip_conntrack_ftp
> в общем и тот и тот подгрузите, хуже не будет
>
А если его нет в /lib/iptables/modules ?
Собирать сам не хочу .... Религия такая ...
Если его нет, но может быть, то буду просит маинтейнера :)
А команду покажите, если можно, потому как я примера не нашел ...
Но за то нашел много интересного :)
Например -j TARPIT ...
Если его устаканить с количеством соединений в минуту, то можно
подпортить настроение brute-force атакерам :)
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-27 12:37 ` Dmitriy L. Kruglikov
@ 2006-03-27 12:45 ` Мерзляков Евгений Анатольевич
2006-03-27 12:56 ` Dmitriy L. Kruglikov
2006-03-27 12:46 ` Avramenko Andrew
1 sibling, 1 reply; 27+ messages in thread
From: Мерзляков Евгений Анатольевич @ 2006-03-27 12:45 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Mon, 27 Mar 2006 15:37:01 +0300
"Dmitriy L. Kruglikov" <Dmitriy.Kruglikov@orionagro.com.ua> wrote:
> А если его нет в /lib/iptables/modules ?
у меня в redhat 7.3 он лежит тут:
/lib/modules/2.4.18-3/kernel/net/ipv4/netfilter/ip_conntrack.o
а в gentoo тут:
/lib/modules/2.6.15-gentoo-r1.AthlonXP.1/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko
> Собирать сам не хочу .... Религия такая ...
> Если его нет, но может быть, то буду просит маинтейнера :)
в пакетных дистрибутах он обычно уже собран, надо только загрузить
> А команду покажите, если можно, потому как я примера не нашел ...
этот модуль должен быть просто загружен
/sbin/modprobe ip_conntrack_ftp
я его загружаю перед настройками правил фаервола
--
ПКБ Акустика
Мерзляков Е.А. icq #115657846
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-27 12:45 ` Мерзляков Евгений Анатольевич
@ 2006-03-27 12:56 ` Dmitriy L. Kruglikov
2006-03-27 13:31 ` Мерзляков Евгений Анатольевич
0 siblings, 1 reply; 27+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-03-27 12:56 UTC (permalink / raw)
To: sysadmins
On Mon, 27 Mar 2006 18:45:17 +0600
Мерзляков Евгений Анатольевич wrote:
> этот модуль должен быть просто загружен
> /sbin/modprobe ip_conntrack_ftp
> я его загружаю перед настройками правил фаервола
>
Спасибо, вкурил :)
Если делать согласно дистрибутива, то нужно добавить эти модули
в /etc/sysconfig/iptables.modules для автоматической загрузки ...
Если модуль не загружен, то сам iptables ищет его в /lib/iptables/*
С вашей помощью разобрался ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-27 12:56 ` Dmitriy L. Kruglikov
@ 2006-03-27 13:31 ` Мерзляков Евгений Анатольевич
0 siblings, 0 replies; 27+ messages in thread
From: Мерзляков Евгений Анатольевич @ 2006-03-27 13:31 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Mon, 27 Mar 2006 15:56:31 +0300
"Dmitriy L. Kruglikov" <Dmitriy.Kruglikov@orionagro.com.ua> wrote:
> Спасибо, вкурил :)
>
> Если делать согласно дистрибутива, то нужно добавить эти модули
> в /etc/sysconfig/iptables.modules для автоматической загрузки ...
> Если модуль не загружен, то сам iptables ищет его в /lib/iptables/*
>
> С вашей помощью разобрался ...
рад был помочь.
--
ПКБ Акустика
Мерзляков Е.А. icq #115657846
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-27 12:37 ` Dmitriy L. Kruglikov
2006-03-27 12:45 ` Мерзляков Евгений Анатольевич
@ 2006-03-27 12:46 ` Avramenko Andrew
2006-03-27 12:59 ` Dmitriy L. Kruglikov
2006-03-27 14:59 ` [Sysadmins] Два канала , " ABATAPA
1 sibling, 2 replies; 27+ messages in thread
From: Avramenko Andrew @ 2006-03-27 12:46 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> Но за то нашел много интересного :)
> Например -j TARPIT ...
> Если его устаканить с количеством соединений в минуту, то можно
> подпортить настроение brute-force атакерам :)
Модуль довольно интересный, и к брут-форсу никакого отношения не имеет,
а вот для анализаторов безопасности типа XSpider он действительно
большая помеха. Я обычно вместо дефолтного правила "блокировать" в конце
для всех неиспользуемых портов ставил TARPIT. В результате все порты
оказываются открытыми. На анализ такого компьютера уйдет оочень много
времени.
Nmap кстати в невидимом режиме в ловушки не попадается, кучу открытых
соединений не держит.
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-27 12:46 ` Avramenko Andrew
@ 2006-03-27 12:59 ` Dmitriy L. Kruglikov
2006-03-27 13:13 ` Avramenko Andrew
2006-03-27 14:59 ` [Sysadmins] Два канала , " ABATAPA
1 sibling, 1 reply; 27+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-03-27 12:59 UTC (permalink / raw)
To: sysadmins
On Mon, 27 Mar 2006 12:46:09 +0000
Avramenko Andrew wrote:
> Модуль довольно интересный, и к брут-форсу никакого отношения не имеет,
Это если напильником не пылять ....
А если отправить в -j TARPIT соединения NEW, которые пытаются открыться
чаще чем один раз в 15-20 секунд? На порту 22 ?
Думаю, стоит попробовать ... :)
Если у кого получится, то поделитесь ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-27 12:59 ` Dmitriy L. Kruglikov
@ 2006-03-27 13:13 ` Avramenko Andrew
2006-03-27 13:21 ` Dmitriy L. Kruglikov
0 siblings, 1 reply; 27+ messages in thread
From: Avramenko Andrew @ 2006-03-27 13:13 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Dmitriy L. Kruglikov wrote:
> On Mon, 27 Mar 2006 12:46:09 +0000
> Avramenko Andrew wrote:
>
>
>>Модуль довольно интересный, и к брут-форсу никакого отношения не имеет,
>
> Это если напильником не пылять ....
> А если отправить в -j TARPIT соединения NEW, которые пытаются открыться
> чаще чем один раз в 15-20 секунд? На порту 22 ?
>
> Думаю, стоит попробовать ... :)
>
> Если у кого получится, то поделитесь ...
>
По-моему будет немножко неудобно. Ну не ввели вы с трех раз пароль. Вас
отконнектили, а потом опять соединяетесь, а вас раз.. и в тарпит.
Как-то некузяво. А если увеличить время, то теряет свою актуальность.
Они ведь многопоточные. В общем проще анализатором логов это делать. Или
стандартными способами типа port_knocking.
Но это лишь личное мнение.
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-27 13:13 ` Avramenko Andrew
@ 2006-03-27 13:21 ` Dmitriy L. Kruglikov
0 siblings, 0 replies; 27+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-03-27 13:21 UTC (permalink / raw)
To: sysadmins
On Mon, 27 Mar 2006 13:13:25 +0000
Avramenko Andrew wrote:
> По-моему будет немножко неудобно. Ну не ввели вы с трех раз пароль. Вас
> отконнектили, а потом опять соединяетесь, а вас раз.. и в тарпит.
Я проводил исследования ...
На ввоод пароля, определение факта ошибки и ввод снова и снова уходит
больше 20-30 секунд ...
При этом соединение установлено и имеем только 1 NEW ...
А если не получилось с первого раза, то достаточно подождать 20-30
секунд ...
А вот когда с одного адреса, в 3-4 потока, и на каждом потоке с
таймаутом в 4-7 секунд .... Тогда самое ему место в tarpit ... :)
А то я мучился с snort+blockit ...
Хотя, каждому свое :)
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала , быстрый и дешевый.
2006-03-27 12:46 ` Avramenko Andrew
2006-03-27 12:59 ` Dmitriy L. Kruglikov
@ 2006-03-27 14:59 ` ABATAPA
2006-03-28 4:42 ` Rinat Bikatov
1 sibling, 1 reply; 27+ messages in thread
From: ABATAPA @ 2006-03-27 14:59 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
27 марта 2006 16:46, Avramenko Andrew написал:
> Я обычно вместо дефолтного правила "блокировать" в конце
> для всех неиспользуемых портов ставил TARPIT. В результате все порты
> оказываются открытыми. На анализ такого компьютера уйдет оочень много
> времени.
А я обычно ставлю "-j REJECT --reject-with tcp-reset", при этом тот же nmap
показывает, что эти порты закрыты, а не "(filtered)".
А для knocking'а в Сизифе есть knock-server и knock (необязательный клиент).
--
ABATAPA
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала , быстрый и дешевый.
2006-03-27 14:59 ` [Sysadmins] Два канала , " ABATAPA
@ 2006-03-28 4:42 ` Rinat Bikatov
0 siblings, 0 replies; 27+ messages in thread
From: Rinat Bikatov @ 2006-03-28 4:42 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> > Я обычно вместо дефолтного правила "блокировать" в конце
> > для всех неиспользуемых портов ставил TARPIT. В результате все порты
> > оказываются открытыми. На анализ такого компьютера уйдет оочень много
> > времени.
> А я обычно ставлю "-j REJECT --reject-with tcp-reset", при этом тот же nmap
> показывает, что эти порты закрыты, а не "(filtered)".
а как быть с udp-портами? и ещё. почему по-умолчанию передается
сообщение port-unreachable, а сканер видит что порт отфильтрован? по
какому признаку он это делает?
--
Ринат Бикатов phone: 8-922-688-0701
Системный администратор JID: BiRin@jabber.ru
ООО "ИТС-Авто" ICQ: 177929811
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-27 12:29 ` Мерзляков Евгений Анатольевич
2006-03-27 12:37 ` Dmitriy L. Kruglikov
@ 2006-03-27 12:42 ` Avramenko Andrew
1 sibling, 0 replies; 27+ messages in thread
From: Avramenko Andrew @ 2006-03-27 12:42 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Мерзляков Евгений Анатольевич wrote:
> On Mon, 27 Mar 2006 18:27:23 +0600
> Мерзляков Евгений Анатольевич <hj@acoustics.ru> wrote:
>
>
>
>>я может не до конца понял ситуацию.
>>при работе с пассивным фтп надо использовать модуль ip_nat_ftp,
>>он отслеживает устанавливаемые подключения.
>
>
> извиняюсь, модуль ip_conntrack_ftp
> в общем и тот и тот подгрузите, хуже не будет
>
Я могу ошибаться, но в общем так:
Действительно подгрузить модули nat_ftp, conntrack_ftp
Нужно как-то создавать временное (динамическое) правило для пакета с
критерием RELATED (и в дальнейшем пакеты, которые будут идти по этим
портам должны натится в определенный интерфейс), как сделать чтобы
именно туда, если честно не могу сходу сказать. Может быть кто подскажет.
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала , быстрый и дешевый.
2006-03-25 16:11 [Sysadmins] Два канала, быстрый и дешевый Dmitriy L. Kruglikov
2006-03-27 5:23 ` Alexey I. Froloff
@ 2006-03-27 8:50 ` ABATAPA
2006-03-27 10:09 ` Dmitriy L. Kruglikov
2006-03-29 7:18 ` [Sysadmins] Два канала, " Dmitriy L. Kruglikov
2 siblings, 1 reply; 27+ messages in thread
From: ABATAPA @ 2006-03-27 8:50 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
25 марта 2006 19:11, Dmitriy L. Kruglikov написал:
> Трафик FTP.
> Как маркировать пакеты для пассивного режима, когда соединение
> устанавливается на портах с номерами типа 53456 <-> 65434 ???
>
Вариант: patch-o-matic-ng
http://www.opennet.ru/base/net/linux_link_balance.txt.html
--
ABATAPA
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала , быстрый и дешевый.
2006-03-27 8:50 ` [Sysadmins] Два канала , " ABATAPA
@ 2006-03-27 10:09 ` Dmitriy L. Kruglikov
0 siblings, 0 replies; 27+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-03-27 10:09 UTC (permalink / raw)
To: sysadmins
On Mon, 27 Mar 2006 11:50:57 +0300
ABATAPA wrote:
> 25 марта 2006 19:11, Dmitriy L. Kruglikov написал:
>
> > Трафик FTP.
> > Как маркировать пакеты для пассивного режима, когда соединение
> > устанавливается на портах с номерами типа 53456 <-> 65434 ???
> >
> Вариант: patch-o-matic-ng
> http://www.opennet.ru/base/net/linux_link_balance.txt.html
Не .... Не катит ...
Я пока еще не разобрался в причинах, но на вскидку получаем:
# iptables -t mangle -A OUTPUT -m connmark --mark 2 --gw 172.16.0.1 -j
ROUTE
iptables v1.3.5: Unknown arg `--gw'
Try `iptables -h' or 'iptables --help' for more information.
# iptables -t mangle -A OUTPUT -m connmark --mark 2 -j ROUTE
iptables v1.3.5: Couldn't load target
`ROUTE':/lib/iptables/libipt_ROUTE.so: cannot open shared object file:
No such file or directory
Try `iptables -h' or 'iptables --help' for more information.
:)
Но спасибо за попытку :)
Хотя, вопрос стоял несколько по другому ...
Я УЖЕ разрулил на два канала на основании внутренних адресов клиентов.
Теперь мне нужно разрулить на основании портов назначения...
При этом, порты для пассивного режима FTP - случайные ...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Sysadmins] Два канала, быстрый и дешевый.
2006-03-25 16:11 [Sysadmins] Два канала, быстрый и дешевый Dmitriy L. Kruglikov
2006-03-27 5:23 ` Alexey I. Froloff
2006-03-27 8:50 ` [Sysadmins] Два канала , " ABATAPA
@ 2006-03-29 7:18 ` Dmitriy L. Kruglikov
2 siblings, 0 replies; 27+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-03-29 7:18 UTC (permalink / raw)
To: sysadmins
On Sat, 25 Mar 2006 18:11:31 +0200
Dmitriy L. Kruglikov wrote:
Отчет о проделанной работе:
После продолжительного и плодотворного обсуждения, где я почерпнул
много полезной информации, пришел к выводу, что изобретение велосипеда
- процесс неблагодарный...
А посему найдено такое рещение:
1) Настраиваем сеть как положено, с двумя каналами
2) Так как у меня (кроме меня) все работают исключительно через Squid,
то и настраивать рулеж будем в нем...
Получается такая красивая и простая картинка:
- Пишем ACL по протоколу
acl SLOW_PROTO proto FTP
- Пишем ACL по адресу клиента
acl SLOW_HOST src 192.168.0.140
acl SLOW_HOST src 192.168.0.142
acl SLOW_HOST src 192.168.0.145
acl SLOW_HOST src 192.168.0.148
- Пишем ACL по расширению
acl SLOW_DOWN urlpath_regex -i \.exe$
acl SLOW_DOWN urlpath_regex -i \.avi$
acl SLOW_DOWN urlpath_regex -i \.mp3$
acl SLOW_DOWN urlpath_regex -i \.jpg$
- Заворачиваем все это на второй канал
tcp_outgoing_address 85.209.95.35 SLOW_PROTO SLOW_HOST SLOW_DOWN
Где 85.209.95.35 - адрес внешнего интерфейса на медленном канале
Естественно, каждый тип ACL можно дополнять по вкусу ...
Так же можно написать для шефа
acl SPEED_HOST src 192.168.0.100
tcp_outgoing_address 195.4.5.67 SPEED_HOST # на быстрый канал
и поставить его перед tcp_outgoing_address 85.209.95.35
для того, чтобы он отработал первым ...
А на уровне iptables/iproute я решил несколько другие проблемы ...
Например, принудительный разворот в медленный канал маршрут к
определенным почтовым серверам, к которым исторически разрешен доступ
только из сети второго провайдера.
Спасибо всем за мысли и идеи.
Если у кого есть мысли, как прописать ACL для Squid на определение
размера контента, для того, чтобы разрулить таким же образом как и по
протоколу, расширениям или адресам, то буду очень благодарен.
А если мой вариант содержит замаскированные грабли, то буду благодарен
многократно, так как в настройках Squid я не силен...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov@orionagro.com.ua |@_@ |
DKR6-RIPE |!_/ |
ICQ# 13047326 // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
^ permalink raw reply [flat|nested] 27+ messages in thread
end of thread, other threads:[~2006-03-29 7:18 UTC | newest]
Thread overview: 27+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-03-25 16:11 [Sysadmins] Два канала, быстрый и дешевый Dmitriy L. Kruglikov
2006-03-27 5:23 ` Alexey I. Froloff
2006-03-27 8:37 ` Dmitriy L. Kruglikov
2006-03-27 10:44 ` Dank Bagryantsev
2006-03-27 10:49 ` Dmitriy L. Kruglikov
2006-03-27 11:34 ` Dank Bagryantsev
2006-03-27 11:43 ` Dmitriy L. Kruglikov
2006-03-27 12:46 ` Dank Bagryantsev
2006-03-27 11:10 ` Dmitriy L. Kruglikov
2006-03-27 11:22 ` Avramenko Andrew
2006-03-27 12:07 ` Dmitriy L. Kruglikov
2006-03-27 12:27 ` Мерзляков Евгений Анатольевич
2006-03-27 12:29 ` Мерзляков Евгений Анатольевич
2006-03-27 12:37 ` Dmitriy L. Kruglikov
2006-03-27 12:45 ` Мерзляков Евгений Анатольевич
2006-03-27 12:56 ` Dmitriy L. Kruglikov
2006-03-27 13:31 ` Мерзляков Евгений Анатольевич
2006-03-27 12:46 ` Avramenko Andrew
2006-03-27 12:59 ` Dmitriy L. Kruglikov
2006-03-27 13:13 ` Avramenko Andrew
2006-03-27 13:21 ` Dmitriy L. Kruglikov
2006-03-27 14:59 ` [Sysadmins] Два канала , " ABATAPA
2006-03-28 4:42 ` Rinat Bikatov
2006-03-27 12:42 ` [Sysadmins] Два канала, " Avramenko Andrew
2006-03-27 8:50 ` [Sysadmins] Два канала , " ABATAPA
2006-03-27 10:09 ` Dmitriy L. Kruglikov
2006-03-29 7:18 ` [Sysadmins] Два канала, " Dmitriy L. Kruglikov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git