iptables המראה היעד

17 אפריל 2009

לפני כמה זמן רציתי לעשות חומת אש iptables שלי קצת פעיל. במהלך החיפושים שלי מצאתי את היעד iptables המראה, אשר לוקח מנות נשלח למחשב ומחזירה את המנה אותה למכונת מנות הגיעו. לכן, נניח מישהו מנסה לסרוק את המחשב שלך או מנסה לתקוף הוא היה לסרוק את המחשב שלו או אפילו לתקוף את המכונה שלו. למרבה הצער היעד המראה נפל איפשהו על חששות אבטחה סביב גירסה של לינוקס 2.5. אי שם באינטרנט מצאתי מקורות לגרסה 2.5 ליבה וגרם להם לעבוד עם כמה 2.6.

אני רוצה לחלוק את זה עם הקהילה עכשיו. אז אתה יכול להוריד את המודולים ששונו על מקורות www.mygnu.de. כדי לבנות את המודול, לאתחל את גרסת הקרנל אתה רוצה להשתמש במודול עם, לפרוק את הארכיון. לאחר מכן להריץ את הסקריפט compile.sh ואת התסריט install.sh.

and PREROUTING chains, like this in your firewall script: עכשיו אתה יכול להשתמש היעד מראה מקום היעד לדחות או לבטל את בקלט, קדימה PREROUTING שרשראות, ככה בכתב חומת האש:

דולר iptables-מראה INPUT-j

היזהרו: השימוש היעד המראה יכול להיות תוצאות מוזרות, כלומר אם אתה רוצה להתחבר iptables מוגנים המכונה, אתה עלול בסופו של דבר מתחבר במחשב המקומי מבלי להכיר אותו. זה גם יכול להשתמש הרבה רוחב פס. במקרה הגרוע ביותר: אם יש לך שני מחשבים באמצעות מודול זה הם עלולים בסופו של דבר לשחק פינג פונג. אז ראו הוזהרתם, יש להשתמש בזהירות על אחריותך בלבד. לפרטים נוספים, ראה: היעד המראה .

הורדות של גרסאות ליבה האחרונות נמצאות מתחת. שימו לב גירסה 2.6.25 המונה עובד גרעיני עד 2.6.27. 2.6.28 פועל גם עבור 2.6.29, וכנראה עבור גרעיני בעתיד. אם אתה צריך גרסה קרנל ישן יותר, להשאיר תגובה. אז אני יכול להסתכל אם יש לי גרסה מודול בארכיון עבור גירסת הקרנל שאתה צריך.

MIRROR.2.6.24.tar.gz (995)
MIRROR.2.6.25.tar.gz (932)
MIRROR.2.6.28.tar.gz (944)
MIRROR.2.6.13.tar.gz (640)

Addon: גירסה 2.6.28 פועל גם עבור 2.6.30 גרעיני.

גירסאות אלו לא עובדים עם 2.6.31 גרעיני. ראה iptables היעד מראה לגרסה קרנל 2.6.31 או iptables היעד מראה לגרסה קרנל 2.6.35 על אלה החדשים.

דרישת שלום

יורגן

(אין דירוג עדיין)

טוען ...

פורסם ב הקרנל , לינוקס , רשתות , אבטחה | 14 תגובות »

חסות: הראשי host.de

אתר פרטי

חוצה lator

14 תגובות ל "iptables המראה יעד"

Eremeeff אומר:
18 אפריל 2009 בשעה 10:48
כבר ראיתי את זה somethere ...
mithrandir אומר:
19 אפריל 2009 בשעה 12:25
כמובן שעשית ... אני מעולם לא טען שהוא יהיה בעבודה שלי. כפי שכתבתי בפוסט, היעד המראה היה חלק משחרר iptables מבוגרים. אני רק עשה את זה לעבוד עם גרעינים חדשים.
cawfuri אומר:
4 מאי 2009 ב 07:35
העדכונים באים?
mithrandir אומר:
5 מאי, 2009 בשעה 8:25 בבוקר
לאילו עדכונים אתה צריך? הקרנל האחרון עובד ידוע היעד המראה הוא 2.6.29. 2.6.30 יכול לעבוד, לא ניסיתי, מאז 2.6.30 לא ישוחרר, אבל יש סיכוי טוב ...
cawfuri אומר:
5 מאי, 2009 בשעה 17:18
הממ. אינפורמטיבי
rbrunoro אומר:
20 מאי 2009 בשעה 20:55
שלום mithrandir,
שינוי יכול לשנות את יציאות מדי? אני צריך את beyound המקור כתובת היעד IP שינוי שינויים המקור נמלי היעד, לעשות את אותו הדבר עם היציאות UDP / TCP מאשר כתובת ה-IP.
תודה
רנאטו
mithrandir אומר:
מאי 21, 2009 בשעה 2:21 בבוקר
שלום רנאטו,
זה צריך להיות אפשרי. אני חושב להשיג את זה, יש להרחיב את הפונקציה ip_rewrite. כרגע זה רק חילופי המקור וכתובת היעד. עכשיו אתה לא רק שאתה צריך לערוך את שכבת הרשת, אלא גם שכבה הובלת מנות לשנות את היציאות. תצטרך לשנות את הכותרת TCP (skb-> ה) עבור TCP מנות הכותרת UDP (skb-> אה) עבור מנות UDP. לשניהם יש מקור התכונה ואת התכונה dest. אלה הם המקור נמל היעד.
אתה יכול לנסות את זה:
----------
# Include <linux/tcp.h>
# Include <linux/udp.h>
...
u32 והספורט;
אם (ה! = null) {
ספורט = skb-> ה-> מקור;
skb-> ה-> מקור = skb-> ה-> dest;
skb-> ה-> dest = והספורט;
}
אם (אה! = null) {
ספורט = skb-> אה,> למקור;
skb-> אה-> מקור = skb-> אה-> dest;
skb-> אה-> dest = והספורט;
}
----------
אני לא צריך לבדוק את הקוד הזה, כך שהוא עשוי לקרוס המערכת או אפילו לא הידור, אבל איכשהו זה אמור לעבוד ככה. מה אתה צריך את זה על שינוי? אני לא יכול לדמיין בכל מקרה שימוש זה, שכן על יציאת אנו שולחים את המנה, התהליך לא צריך מצפה מנות. במקרה זה יהיה פשוט להיות ירד.
דרישת שלום
mithrandir
זן מקורות-2.6.31-R1 עם tuxonice | MyGNU.de אומר:
5 אוקטובר 2009 בשעה 12:16
[...] המטרה iptables המראה פרסמתי כאן לא עובד יותר עם קרנל 2.6.31. גרסה חדשה יותר יהיה זמין בקרוב על [...]
iptables היעד מראה לגרסה קרנל 2.6.31 | MyGNU.de אומר:
9 אוקטובר 2009 בשעה 12:56
[...] Iptables היעד המראה פרסמתי כאן לא עובד יותר עם גרסת קרנל 2.6.31. ניתן להוריד את הגירסה החדשה יותר של 2.6.31 ו [...]
gonbo אומר:
12 יוני 2010 בשעה 12:28
זה cann't לקמפל את השרת של אובונטו 2.6.32.22.
mithrandir אומר:
12 יוני 2010 בשעה 13:39
איזו גירסה של יעד המראה ניסית ומה השגיאה שאתה מקבל?
דאריל קוק אומר:
3 דצמבר 2010 בשעה 05:06
יש לך עותק של הקרנל 2.6.9-89.0.29??
iptables היעד מראה לגרסה קרנל 2.6.35 | MyGNU.de אומר:
3 דצמבר 2010 בשעה 19:03
[...] Iptables היעד המראה פרסמתי כאן וכאן לא עובד יותר עם גרסת קרנל 2.6.35. ניתן להוריד את הגירסה החדשה יותר של [...]
mithrandir אומר:
3 דצמבר 2010 בשעה 07:06
היי דאריל,
הוותיק ביותר שיכולתי למצוא על הכונן הקשיח שלי היה 2.6.13. הוספתי לו את ההורדות. פשוט לנסות אותו. אולי זה עובד גם על 2.6.9.
לחיים
יורגן

השאירו תגובה

חיפוש בארכיונים

Eremeeff אומר:
18 אפריל 2009 בשעה 10:48

כבר ראיתי את זה somethere ...

mithrandir אומר:
19 אפריל 2009 בשעה 12:25

כמובן שעשית ... אני מעולם לא טען שהוא יהיה בעבודה שלי. כפי שכתבתי בפוסט, היעד המראה היה חלק משחרר iptables מבוגרים. אני רק עשה את זה לעבוד עם גרעינים חדשים.

cawfuri אומר:
4 מאי 2009 ב 07:35

העדכונים באים?

mithrandir אומר:
5 מאי, 2009 בשעה 8:25 בבוקר

לאילו עדכונים אתה צריך? הקרנל האחרון עובד ידוע היעד המראה הוא 2.6.29. 2.6.30 יכול לעבוד, לא ניסיתי, מאז 2.6.30 לא ישוחרר, אבל יש סיכוי טוב ...

cawfuri אומר:
5 מאי, 2009 בשעה 17:18

הממ. אינפורמטיבי

rbrunoro אומר:
20 מאי 2009 בשעה 20:55

שלום mithrandir,
שינוי יכול לשנות את יציאות מדי? אני צריך את beyound המקור כתובת היעד IP שינוי שינויים המקור נמלי היעד, לעשות את אותו הדבר עם היציאות UDP / TCP מאשר כתובת ה-IP.
תודה
רנאטו

mithrandir אומר:
מאי 21, 2009 בשעה 2:21 בבוקר

שלום רנאטו,

זה צריך להיות אפשרי. אני חושב להשיג את זה, יש להרחיב את הפונקציה ip_rewrite. כרגע זה רק חילופי המקור וכתובת היעד. עכשיו אתה לא רק שאתה צריך לערוך את שכבת הרשת, אלא גם שכבה הובלת מנות לשנות את היציאות. תצטרך לשנות את הכותרת TCP (skb-> ה) עבור TCP מנות הכותרת UDP (skb-> אה) עבור מנות UDP. לשניהם יש מקור התכונה ואת התכונה dest. אלה הם המקור נמל היעד.

אתה יכול לנסות את זה:

----------
# Include <linux/tcp.h>
# Include <linux/udp.h>
...

u32 והספורט;
אם (ה! = null) {
ספורט = skb-> ה-> מקור;
skb-> ה-> מקור = skb-> ה-> dest;
skb-> ה-> dest = והספורט;
}
אם (אה! = null) {
ספורט = skb-> אה,> למקור;
skb-> אה-> מקור = skb-> אה-> dest;
skb-> אה-> dest = והספורט;
}
----------

אני לא צריך לבדוק את הקוד הזה, כך שהוא עשוי לקרוס המערכת או אפילו לא הידור, אבל איכשהו זה אמור לעבוד ככה. מה אתה צריך את זה על שינוי? אני לא יכול לדמיין בכל מקרה שימוש זה, שכן על יציאת אנו שולחים את המנה, התהליך לא צריך מצפה מנות. במקרה זה יהיה פשוט להיות ירד.

mithrandir

זן מקורות-2.6.31-R1 עם tuxonice | MyGNU.de אומר:
5 אוקטובר 2009 בשעה 12:16

[...] המטרה iptables המראה פרסמתי כאן לא עובד יותר עם קרנל 2.6.31. גרסה חדשה יותר יהיה זמין בקרוב על [...]

iptables היעד מראה לגרסה קרנל 2.6.31 | MyGNU.de אומר:
9 אוקטובר 2009 בשעה 12:56

[...] Iptables היעד המראה פרסמתי כאן לא עובד יותר עם גרסת קרנל 2.6.31. ניתן להוריד את הגירסה החדשה יותר של 2.6.31 ו [...]

gonbo אומר:
12 יוני 2010 בשעה 12:28

זה cann't לקמפל את השרת של אובונטו 2.6.32.22.

mithrandir אומר:
12 יוני 2010 בשעה 13:39

איזו גירסה של יעד המראה ניסית ומה השגיאה שאתה מקבל?

דאריל קוק אומר:
3 דצמבר 2010 בשעה 05:06

יש לך עותק של הקרנל 2.6.9-89.0.29??

iptables היעד מראה לגרסה קרנל 2.6.35 | MyGNU.de אומר:
3 דצמבר 2010 בשעה 19:03

[...] Iptables היעד המראה פרסמתי כאן וכאן לא עובד יותר עם גרסת קרנל 2.6.35. ניתן להוריד את הגירסה החדשה יותר של [...]

mithrandir אומר:
3 דצמבר 2010 בשעה 07:06

היי דאריל,
הוותיק ביותר שיכולתי למצוא על הכונן הקשיח שלי היה 2.6.13. הוספתי לו את ההורדות. פשוט לנסות אותו. אולי זה עובד גם על 2.6.9.
לחיים
יורגן

MyGNU.de

iptables המראה היעד

Google +

מובלט

פרסום

אתר פרטי

חוצה lator

14 תגובות ל "iptables המראה יעד"

השאירו תגובה

חיפוש בארכיונים

MyGNU.de

iptables המראה היעד

Google +

מובלט

פרסום

mygnu פרטי

הבלוג רול

אתר פרטי

חוצה lator

14 תגובות ל "iptables המראה יעד"

השאירו תגובה

חיפוש בארכיונים