iptables miroir cible
Il ya quelque temps que je voulais faire mon pare-feu iptables un peu actif. Au cours de mes recherches, j'ai trouvé la cible miroir iptables, qui prend le paquet envoyé à votre machine et renvoie le même paquet à la machine le paquet est venu. Ainsi, disons que quelqu'un essaie de scanner votre machine ou tente une attaque, il pourrait balayer sa propre machine ou même attaquer sa propre machine. Malheureusement, la cible miroir a été abandonné quelque part autour de la version 2.5 pour linux problèmes de sécurité. Quelque part dans le web, j'ai trouvé des sources pour une version 2.5 du noyau et les fit travailler avec quelque 2,6.
Je tiens à partager avec la communauté maintenant. Ainsi, vous pouvez télécharger les sources modifiées modules sur www.mygnu.de. Pour construire le module, démarrer la version du noyau que vous voulez utiliser le module avec, et décompressez l'archive. Ensuite exécutez le script compile.sh et le script install.sh.
and PREROUTING chains, like this in your firewall script: Maintenant, vous pouvez utiliser la cible miroir à la place de la cible de rejeter ou de supprimer dans le INPUT, FORWARD et PREROUTING chaînes, comme celui-ci dans votre script de pare-feu:
$ Iptables-A INPUT-j MIROIR
Attention: L'utilisation de la cible miroir peut avoir des résultats étranges, c'est à dire si vous voulez vous connecter à des iptables protégées machine, vous pouvez vous retrouver connecter à la machine locale sans le reconnaître. Il peut aussi utiliser beaucoup de bande passante. Le pire des cas: si vous avez deux machines utilisant ce module, ils peuvent finir par jouer ping-pong. Donc, vous avez été prévenu, à utiliser avec prudence et à vos propres risques. Pour plus d'informations, voir: cible MIRROR .
Téléchargements pour les versions les plus récentes du noyau sont ci-dessous. Notez la numérotation des versions 2.6.25 œuvres pour les noyaux jusqu'au 2.6.27. 02/06/28 travaille également pour 2.6.29 et probablement dans les futurs noyaux. Si vous avez besoin d'une version pour un noyau plus ancien, laissez un commentaire. Alors je peux regarder si j'ai une version du module archivé pour la version du noyau dont vous avez besoin.
| MIRROR.2.6.24.tar.gz (1023) MIRROR.2.6.25.tar.gz (957) MIRROR.2.6.28.tar.gz (969) MIRROR.2.6.13.tar.gz (663) |  |
Addon: La version 2.6.28 fonctionne également pour les noyaux 2.6.30.
Ces versions ne fonctionnent pas avec les noyaux 2.6.31. Voir cible miroir iptables pour la version du noyau 2.6.31 ou cible miroir iptables pour la version du noyau 2.6.35 pour les plus récents.
ce qui concerne
Jürgen
(Pas de votes) 
Chargement en cours ... 
![[Valid RSS]](http://validator.w3.org/feed/images/valid-rss.png "Valider mon flux RSS")
18 avril 2009 à 22h48
J'ai déjà vu somethere ...
19 avril 2009 à 12:25 am
Bien sûr, vous l'avez fait ... je n'ai jamais prétendu qu'il était de mon travail. Comme je l'ai écrit dans le message, la cible miroir faisait partie des rejets de iptables âgées. Je n'ai fait ça marche avec les nouveaux noyaux.
4 mai 2009 à 19h35
les mises à jour à venir?
5 mai 2009 à 8:25 am
Quelles mises à jour avez-vous besoin? Le noyau de travail dernière adresse connue de la cible miroir est 2.6.29. 02/06/30 peuvent travailler, je n'ai pas essayé, depuis 2.6.30 n'est pas encore sorti, mais les chances sont bonnes ...
5 mai 2009 à 17h18
hm. informatif
20 mai 2009 à 20h55
Bonjour Mithrandir,
Peut votre modification modifier les ports aussi? J'ai besoin que beyound la source à l'adresse IP de destination évolution des changements de la source et les ports de destination, faire de même avec les ports UDP / TCP que l'adresse IP.
Merci
Renato
21 mai 2009 à 2:21 am
Hallo Renato,
cela devrait être possible. Je pense que pour y parvenir, on doit étendre la fonction ip_rewrite. Actuellement, il la seule source d'échanges et l'adresse de destination. Maintenant, vous aurez non seulement à modifier la couche réseau, mais aussi la couche de transport des paquets de changer les ports. Vous aurez à modifier l'en-tête TCP (skb-> e) pour les paquets TCP et l'en-tête UDP (skb-> uh) pour les paquets UDP. Tous les deux ont une source et un attribut dest attribut. Ce sont la source et le port de destination.
Vous pouvez essayer ceci:
----------
# Include <linux/tcp.h>
# Include <linux/udp.h>
...
u32 le sport;
if (e! = NULL) {
le sport = skb-> e-> source;
skb-> e-> source = skb-> e-> dest;
skb-> e-> dest = sport;
}
if (euh! = NULL) {
le sport = skb-> uh-> source;
skb-> uh-> source = skb-> uh-> dest;
skb-> uh-> dest = sport;
}
----------
Je n'ai pas testé ce code, de sorte qu'il peut planter votre système ou même ne pas compiler, mais il devrait fonctionner de cette façon en quelque sorte. Qu'est-ce que vous avez besoin de cette modification pour les? Je ne peux pas imaginer un cas d'utilisation pour elle, depuis le port, nous envoyer le paquet à, aucun processus devrait être attend le paquet. Dans ce cas, il sera simplement abandonné.
ce qui concerne
Mithrandir
5 octobre 2009 à 12:16 am
[...] L'objectif de miroir iptables, j'ai publié ici ne fonctionne plus avec le noyau 2.6.31. Une nouvelle version sera bientôt disponible sur [...]
9 octobre 2009 à 12h56
Cible miroir [...] iptables, j'ai publié ici ne fonctionne plus avec la version du noyau 2.6.31. Vous pouvez télécharger la nouvelle version 2.6.31 et pour [...]
12 juin 2010 à 12h28
Il cann't compiler dans 2.6.32.22 serveur ubuntu.
12 juin 2010 à 13h39
Quelle version de la cible miroir ne vous essayez et quelle est l'erreur que vous obtenez?
3 décembre 2010 à 17h06
avez-vous une copie pour le noyau 2.6.9-89.0.29?
3 décembre 2010 à 19h03
Cible miroir [...] iptables, j'ai publié ici et ici ne fonctionne plus avec la version du noyau 2.6.35. Vous pouvez télécharger la nouvelle version de [...]
3 décembre 2010 à 19h06
Salut Darryl,
la plus ancienne que j'ai pu trouver sur mon disque dur était pour 2.6.13. Je l'ai ajouté aux téléchargements. Il suffit de l'essayer. Peut-être que cela fonctionne également pour 2.6.9.
Vive
Jürgen