iptables PEILI kohde
Mutta sitten halusin tehdä oman iptables palomuuri hieman aktiivinen. Aikana hauissa löysin iptables peili tavoite, joka vie paketti lähetetään koneesi ja palauttaa saman paketin koneeseen paketti tuli. Näin sanotaan joku yrittää skannata konetta tai yrittää hyökkäystä hän tarkistaa oman koneen tai jopa hyökätä omaa konetta. Valitettavasti peili tavoite on pudonnut jonnekin noin linux versio 2.5 ja huolta turvallisuudesta. Jossain web löysin lähteitä 2,5 ytimen versio ja teki heistä toimi noin 2,6.
Haluan jakaa tämän yhteisön nyt. Joten voit ladata muuttaa moduulien lähteisiin www.mygnu.de. Kehittää moduuli, käynnistää ytimen versiota haluat käyttää moduulia, ja purkaa arkiston. Tämän jälkeen suorita compile.sh käsikirjoituksen ja install.sh käsikirjoituksen.
and PREROUTING chains, like this in your firewall script: Nyt voit käyttää peiliä tavoitteen sijasta hylätä tai pudota tavoitteen INPUT, FORWARD ja PREROUTING ketjut, kuten tämä palomuurin kirjoitus:
$ Iptables-A INPUT-j MIRROR
Varo: käyttö peilin tavoite voi olla outoja tuloksia, eli jos haluat muodostaa yhteyden iptables suojattu kone, saatat päätyä yhteyden paikallisen koneen tunnustamatta sitä. Lisäksi voidaan käyttää paljon kaistanleveydellä. Pahin tapaus: Jos sinulla on kaksi konetta käyttävät tätä moduulia ne voivat päätyä pelaa pingpong. Joten teitä on varoitettu, käyttää varoen ja omalla vastuulla. Lisätietoja: MIRROR tavoite .
Ladattavat viimeisimmän kernel versioita ovat alla. Huomaa version numeroinnin 2.6.25 teokset ytimien jopa 2.6.27. 2.6.28 toimii myös 2.6.29 ja luultavasti tulevaisuudessa ytimille. Jos tarvitset version vanhempi kernel, jätä kommentti. Sitten voi katsoa, jos minulla moduulin versio arkistoidaan ytimen version tarvitset.
| MIRROR.2.6.24.tar.gz (1006) MIRROR.2.6.25.tar.gz (941) MIRROR.2.6.28.tar.gz (955) MIRROR.2.6.13.tar.gz (650) |  |
Addon: 2.6.28-versio toimii myös 2.6.30 ytimille.
Nämä versiot eivät toimi 2.6.31 ytimiä. Katso iptables peili tavoite ytimen version 2.6.31 tai iptables peili tavoite ytimen version 2.6.35 ja uudempien kanssa.
muuttamisesta
Jürgen
(Ei vielä arvosteluja) 
Loading ... 
![[Valid RSS]](http://validator.w3.org/feed/images/valid-rss.png "Vahvista minun RSS-syöte")
18 huhtikuu 2009 kello 22:48
Olen jo nähnyt sen somethere ...
19 huhtikuu 2009 klo 12:25 am
Tietenkin teit ... En ole koskaan väittänyt sen olevan työtäni. Kuten kirjoitin postitse peili tavoite oli osa vanhempien iptables julkaisuista. Tein vain sen toimimaan uudempia ytimiä.
04 toukokuu 2009 kello 19:35
päivityksiä tulossa?
05 toukokuu 2009 klo 8:25 am
Mitä päivityksiä tarvitset? Viimeksi toiminutta ydintä varten peilin tavoite on 2.6.29. 2.6.30 voi toimia, en yritä, koska 2.6.30 ei ole julkaistu vielä, mutta mahdollisuudet ovat hyvät ...
05 toukokuu 2009 kello 17:18
hm. informatiivinen
20 toukokuu 2009 kello 20:55
Hei mithrandir,
Voiko muutos muokata portit liikaa? Tarvitsen beyound lähteestä kohteeseen IP-osoite muuttuu muutosten lähde ja satamista, tee sama UDP / TCP-porttia kuin IP-osoitteen.
Kiitos
Renato
21 toukokuu 2009 kello 02:21 am
Hallo Renato,
Tämän pitäisi olla mahdollista. Mielestäni sen saavuttamiseksi, täytyy laajentaa ip_rewrite toimintoa. Tällä hetkellä se vain vaihtaa lähde-ja kohdeosoite. Nyt sinun ei vain tarvitse muokata Network Layer, vaan myös Transport Layer ja paketit muuttaa satamiin. Sinun täytyy muuttaa TCP header (SKB-> th) TCP paketteja ja UDP-header (SKB-> uh) ja udp-paketteja. Molemmilla on määrite lähde ja määrite DEST. Nämä ovat lähde ja määräsatamaan.
Voit kokeilla tätä:
----------
# Include <linux/tcp.h>
# Include <linux/udp.h>
...
u32 urheilu;
if (th! = NULL) {
Sport = SKB-> th-> source;
SKB-> th-> source = SKB-> th-> dest;
SKB-> th-> dest = urheilua;
}
if (uh! = NULL) {
Sport = SKB-> uh-> source;
SKB-> uh-> source = SKB-> uh-> dest;
SKB-> uh-> dest = urheilua;
}
----------
En ole testannut tätä koodia, joten se saattaa kaataa järjestelmän tai ei kääntää, mutta sen pitäisi toimia jotenkin näin. Mitä tarvitset tämä muutos on? En voi kuvitella mitään hyötyä tapauksessa sitä, koska siitä portin lähetämme paketin, eikä prosessia pitäisi odottaa paketti. Tässä tapauksessa se vain pudotetaan.
muuttamisesta
mithrandir
05 lokakuu 2009 at 12:16 am
[...] Iptables peilin kohde julkaisin täällä ei toimi enää ja 2.6.31 kernel. Uudempi versio on saatavilla pian [...]
09 lokakuu 2009 klo 12:56
[...] Iptables peili kohde julkaisin täällä ei enää toimi ytimen version 2.6.31. Voit ladata uudemman version 2.6.31 ja [...]
12 kesäkuu 2010 kello 12:28
Se cann't kääntämässä 2.6.32.22 Ubuntu Server.
12 kesäkuu 2010 kello 13:39
Mikä versio peilin kohde yritit ja mikä on virhe saat?
03 joulukuu 2010 at 17:06
sinulla on kopio ytimen 2.6.9-89.0.29?
03 joulukuu 2010 at 19:03
[...] Iptables peili tavoitteeksi olen julkaissut täällä ja täällä ei enää toimi ytimen version 2.6.35. Voit ladata uudemman version [...]
03 joulukuu 2010 at 19:06
Hei Darryl,
vanhin löytäisin minun kiintolevy oli 6.02.13. Lisäsin sen lataukset. Kokeile sitä. Ehkä se toimii myös 2.6.9.
Kippis
Jürgen