iptablesのMIRRORターゲット
しばらく前に私はiptablesファイアウォールビットをアクティブにしたかったのです。 私の検索時に私はあなたのマシンに送られたパケットを受け取り、パケットがどこから来たマシンに同じパケットを返します。iptablesのミラーターゲットを発見した。 したがって、の誰かがあなたのマシンをスキャンしようとしたり、彼が自分のマシンをスキャンしたり、自分のマシンを攻撃する攻撃をしようとするとしましょう。 悲しげにミラーターゲットはセキュリティ上の問題は、Linuxバージョン2.5の周りのどこかに削除されました。 どこかのWebに私は、2.5カーネルのバージョンのソースを発見し、彼らはいくつかの2.6で動作しました。
私は今、社会でこれを共有したいと思います。 だから、www.mygnu.deに変更されたモジュールのソースをダウンロードすることができます。 モジュールをビルドするには、でモジュールを使用するカーネルのバージョンを起動し、アーカイブを解凍します。 その後compile.shスクリプトinstall.shスクリプトを実行します。
and PREROUTING chains, like this in your firewall script:今、あなたは、INPUT、FORWARDの拒否またはドロップターゲットの代わりにミラーターゲットを使用し、ファイアウォールのスクリプトでこのように、チェーンをチェインすることがあります。
$ IPTABLES-A INPUT-jのミラー
注意:あなたはマシンを保護してiptablesのに接続する場合は、ミラーターゲットの使用は、奇妙な結果が生じる可能性があり、すなわち、あなたはそれを認識せずに、ローカルマシンに接続してしまうことがあります。 それはまた、多くの帯域幅を使用することができます。 最悪の場合:あなたがこのモジュールを使用して2つのマシンがある場合はそれらがピンポンを再生し終わる可能性があります。 したがって、あなたは警告されており、 慎重に、あなた自身のリスクで使用しています。 詳細については以下を参照してください。 MIRRORターゲットを 。
最新のカーネル·バージョンのダウンロードは以下の通りです。 2.6.27にカーネルの2.6.25作品をバージョン番号に注意してください。 2.6.28も2.6.29のために、おそらく将来のカーネルで動作します。 古いカーネルのバージョンが必要な場合は、コメントを残して。 私はあなたが必要とするカーネルのバージョンにアーカイブされたモジュールのバージョンを持っている場合、私は見ることができます。
| MIRROR.2.6.24.tar.gz(1035) MIRROR.2.6.25.tar.gz(965) MIRROR.2.6.28.tar.gz(977) MIRROR.2.6.13.tar.gz(672) |  |
アドオン:2.6.28バージョンも2.6.30カーネルで動作します。
これらのバージョンは2.6.31カーネルでは動作しません。 参照してください。 カーネルのバージョン2.6.31のためのiptablesのミラーターゲットまたは カーネルのバージョン2.6.35のためのiptablesのミラーターゲット より新しいもののために。
よろしく
ユルゲン
(未評価) 
読み込み中... 
![[Valid RSS]](http://validator.w3.org/feed/images/valid-rss.png "私のRSSフィードを検証する")
22:48に2009年4月18日
私はすでにそれがsomethere見てきました...
午前12:25に2009年4月19日
もちろん、た...私はそれが私の仕事であることを主張することはありません。 私はポストに書いたように、ミラーの目標は、古いiptablesのリリースの一部であった。 私はそれが新しいカーネルで動作しました。
19:35に2009年5月4日
すべてのアップデートが来る?
午前8時25分に2009年5月5日
あなたはどのようなアップデートが必要ですか? ミラー·ターゲットの最後の既知の動作中のカーネルは2.6.29です。 2.6.30はまだリリースされますが、可能性は十分ではありませんされているので2.6.30は、私が試していない、動作する可能性があります...
17:18に2009年5月5日
HM。 有益な
20:55に2009年5月20日
こんにちはmithrandir、
あなたの変更はあまりにもポートを変更することができますか? 私はIPアドレスより、UDP / TCPポートと同じように、そのbeyoundの変更が送信元ポートと宛先ポートを変更する送信先のIPアドレスのソースを必要としています。
感謝
レナート
午前2時21分に2009年5月21日
ハローレナート、
これが可能でなければなりません。 私はそれを達成するために考えて、一つはip_rewrite機能を拡張する必要があります。 現在はそれが唯一の交流の送信元および宛先アドレスを指定します。 今、あなたは唯一のネットワーク·レイヤを編集する必要はありませんでしょうが、またパケットのトランスポート層のポートを変更することができます。 あなたは、TCPパケットとUDPパケット用のUDPヘッダ(SKB->ええと)のTCPヘッダ(SKB->番目)を変更する必要があります。 両方は、属性のソースと属性destを持っています。 これらは、送信元および宛先のポートです。
あなたはこれを試す可能性があります。
----------
#<linux/tcp.h>含める
#<linux/udp.h>含める
...
U32スポーツ。
場合(TH!= NULL){
スポーツ= SKB-> TH->ソース。
SKB-> TH->ソース= SKB-> TH-> destが。
SKB-> TH-> destに=スポーツ。
}
IF(ええと!= NULL){
スポーツ= SKB-> UH->ソース。
SKB-> UH->ソース= SKB-> UH-> destが。
SKB-> UH-> destに=スポーツ。
}
----------
私はこのコードをテストしていませんので、ご使用のシステムをクラッシュさせないあるいはコンパイルさえ成功しないかもしれませんが、それは何らかの形でこのように動作するはずです。 あなたは、この変更を何のために必要ですか? 私はポート上で以来、私達はプロセスがないパケットを期待するべきではありません、にパケットを送信し、それをすべてのユースケースを想像することはできません。 この場合、それは単に破棄されます。
よろしく
mithrandir
午前12:16 2009年10月5日
[...]私はここで公開され、iptablesのミラーターゲットは、2.6.31カーネルではもう動作しません。 ですぐに利用できるようになり、新しいバージョンの[...]
12:56に2009年10月9日
私はここで公開され[...] iptablesのミラーターゲットは、カーネルのバージョン2.6.31ともはや動作しません。 あなたは、2.6.31のために新しいバージョンをダウンロードして[...]することができます
12:28に2010年6月12日
それは2.6.32.22 Ubuntuのサーバでコンパイル望めない。
13:39に2010年6月12日
ミラーターゲットのどのバージョンをあなたがしようとあなたが得るエラーは何ですかですか?
17:06に2010年12月3日
カーネル2.6.9-89.0.29のコピーを持っています?
19:03に2010年12月3日
私はこことここで公開され[...] iptablesのミラーターゲットは、カーネルのバージョン2.6.35ともはや動作しません。 あなたのために新しいバージョンをダウンロードすることができます[...]
19:06に2010年12月3日
こんにちはダリル、
私はハードディスクに見つけることができる最古の2.6.13のためだった。 私はダウンロードに追加しました。 ちょうどそれを試してみてください。 多分それは2.6.9のためにも動作します。
乾杯
ユルゲン