iptables MIRROR cíl
Před časem jsem chtěl, aby můj iptables firewall trochu aktivní. Během svého pátrání jsem našel iptables zrcadlový cíl, který bere paket odeslán do vašeho počítače a vrátí stejný paket na stroji paket přišel. Tak řekněme, že se někdo pokusí prohledat váš počítač nebo se snaží útok by naskenovat vlastní stroj nebo dokonce zaútočit na svůj vlastní stroj. Bohužel zrcadlo cíl spadl někde kolem verze 2.5 pro Linux obavy o bezpečnost. Někde na webu jsem našel zdroje pro 2,5 verzi jádra a nutil je pracovat s nějakým 2.6.
Chci se podělit s komunitou nyní. Takže si můžete stáhnout upravené moduly zdroje na www.mygnu.de. Chcete-li vytvořit modul, spusťte verzi jádra, kterou chcete použít modul s, a rozbalte archiv. Poté spusťte compile.sh skriptu a skript install.sh.
and PREROUTING chains, like this in your firewall script: Nyní můžete použít zrcadlo cíl místo odmítnout nebo odstranit cíl v INPUT, FORWARD a PREROUTING řetězců, jako je ten váš firewall skriptu:
Kč iptables-A INPUT-j MIRROR
Pozor: Použití zrcadla cíle mohou mít podivné výsledky, tj. pokud se chcete připojit k iptables chráněných stroj, můžete skončit připojení na lokální počítač, aniž by uznal to. To také může používat mnoho šířku pásma. Nejhorší případ: pokud máte dva stroje pomocí tohoto modulu mohou skončit hrát pingpong. Takže jste byli varováni, použijte s opatrností a na vlastní nebezpečí. Více informací naleznete na: MIRROR cíl .
Soubory ke stažení pro nejnovější jádra verze jsou uvedeny níže. Všimněte si, že číslování verzí 2.6.25 funguje na jádrech do 2.6.27. 2.6.28 funguje i pro 2.6.29 a pravděpodobně i pro budoucí jader. Pokud potřebujete verzi pro starší jádra, zanechat komentář. Pak jsem se podívat, jestli mám verzi modulu archivované na verzi jádra, kterou potřebujete.
| MIRROR.2.6.24.tar.gz (1045) MIRROR.2.6.25.tar.gz (977) MIRROR.2.6.28.tar.gz (991) MIRROR.2.6.13.tar.gz (680) |  |
Addon: 2.6.28 Verze funguje i pro 2.6.30 jádra.
Tyto verze nefungují s jádry 2.6.31. Viz iptables zrcadlo cíl pro verzi jádra 2.6.31 nebo iptables zrcadlem cíl pro verzi jádra 2.6.35 na těch novějších.
jde o
Jürgen
(Nehodnoceno) 
Loading ... 
![[Valid RSS]](http://validator.w3.org/feed/images/valid-rss.png "Ověřit RSS kanál")
18.dubna 2009 v 10:48 hod.
Už jsem to viděl somethere ...
19.dubna 2009 v 12:25 hod.
Samozřejmě jsi ... nikdy jsem netvrdil, že je moje práce. Jak jsem napsal v příspěvku, zrcadlo cíl byl součástí starších verzí iptables. Jen jsem dělal to fungovat s novějšími jádry.
04.05.2009 v 7:35 hod.
veškeré aktualizace se mnou?
05.5.2009 v 8:25 hod.
Které aktualizace potřebujete? Poslední známou funkční jádro pro zrcadlení cíle je 2.6.29. 2.6.30 může fungovat, jsem se nesnažil, protože 2.6.30 se dosud nevyšla, ale šance jsou dobré ...
05.05.2009 v 5:18 hod.
hm. informativní
20.května 2009 v 8:55 hod.
Dobrý den mithrandir,
Může vaše modifikace změnit porty taky? Potřebuji, aby beyound zdroj na cílovou IP adresu měnící změny zdrojové a cílové porty, udělat to samé s UDP / TCP porty než IP adresy.
Díky
Renato
21.května 2009 v 2:21
Ahoj Renato,
to by mělo být možné. Myslím, že k dosažení tohoto cíle, musí se rozšířit ip_rewrite funkci. V současné době je pouze výměna zdrojovou a cílovou adresu. Teď budete muset nejen upravovat síťové vrstvě, ale také transportní vrstvy z paketů změnit porty. Budete muset změnit záhlaví TCP (SKB-> th) pro TCP pakety a UDP záhlaví (SKB-> ehm) pro UDP paketů. Oba způsoby mají atribut zdroj a atribut dest. Jedná se o zdrojového a cílového portu.
Můžete zkusit toto:
----------
# Include <linux/tcp.h>
# Include <linux/udp.h>
...
u32 sportu;
if (th! = NULL) {
Sport = SKB-> th-> zdroje;
SKB-> th-> source = SKB-> th-> dest;
SKB-> th-> dest = sport;
}
if (ehm! = NULL) {
Sport = SKB-> uh-> zdroje;
SKB-> uh-> source = SKB-> uh-> dest;
SKB-> uh-> dest = sport;
}
----------
Jsem nebyl testován tento kód, takže může dojít k selhání systému, nebo dokonce ani zkompilovat, ale měl by fungovat nějak takhle. Co je potřeba tuto změnu pro? Nedovedu si představit žádný případ užití pro něj, protože na portu pošleme paket, žádný proces by měl být očekává paket. V tomto případě to prostě být zrušen.
jde o
mithrandir
05.10.2009 v 12:16 hodin
[...] Iptables zrcadlo cíl jsem publikoval zde již nepracuje s jádrem 2.6.31. Novější verze bude brzy k dispozici na [...]
09.10.2009 v 12:56 hodin
[...] Iptables zrcadlo cíl jsem publikoval zde již nepracuje s jádrem verze 2.6.31. Zde si můžete stáhnout novější verzi pro 2.6.31 a [...]
12.06.2010 v 12:28
To cann't kompilaci v 2.6.32.22 serveru Ubuntu.
12.06.2010 v 1:39 hod.
Kterou verzi zrcadla cíle jste zkusit, co je chyba, kterou dostanete?
03.12.2010 v 5:06 hod.
máte kopii pro jádro 2.6.9-89.0.29?
03.12.2010 v 7:03 hod.
[...] Iptables zrcadlo cíl jsem publikoval zde a zde již nepracuje s jádrem verze 2.6.35. Zde si můžete stáhnout novější verzi pro [...]
03.12.2010 v 7:06 hod.
Ahoj Darryl,
nejstarší jsem našel na svém pevném disku byl pro 2.6.13. Přidal jsem jej ke stažení. Stačí to vyzkoušet. Možná, že to funguje i na 2.6.9.
Na zdraví
Jürgen