Запомняне

» Здравейте
[ Вход :: Регистриране ]
 » Начало » Li Форуми » Help & Support » Networking » IP TABLES ли, или ???
Тема: IP TABLES ли, или ???
Мнение #1 Skip to the next post in this topic.
Написано на: Февруари 15 2007, 14:10
tolostoi

Avatar




Група: Li maniacs
Мнения: 869
Регистриран: Юли 2006

Оценка: 5

Offline
Ситуацията е следната: Рутер (Ubuntu-server Dаpper е ) зад него няколко машини.Доставчикът си има някаква защита,която при атака на вирус или по вероятно на някой worm спират крана (като си заразен нет нямаш) та искам някаква идея как да разбера от рутера коя е омазаната машина която прави мизериите,за да мога аз да я отрежа,имам си си това  в скрипта
Код: 
iptables -P INPUT DROP;
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT;
и предполагам, че каквото и да е от маскираната машина минава нататък
Някой да има идея как ще стане това  :(
Благодаря предварително.
Едит: Повечето от маскираните машини са с Windows


Редактирано от tolostoi на Февруари 15 2007, 15:07

Мнение #2 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Февруари 15 2007, 14:39
quintessence

Avatar




Група: Li psychos
Мнения: 813
Регистриран: Август 2005

Offline
:D  :D  :D  lol

Какво общо пък има заразената машина  с твоя нет ... и да знаеш коя е и да не знаеш , файда никаква - според обясненията ти ...
Контакти:  quintessence

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #3 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Февруари 15 2007, 14:57

Avatar




Група: Li psychos
Мнения: 380
Регистриран: Април 2005

Offline
ами разбери какви са критериите по които доставчика ти разбира кога има заразен компютър и ги приложи на твоя рутер, така пц-тата зад рутера ти ще бъдат спирани още при теб.
Ако не можеш да се орпавиш с правилата, опиши целта тук и ще ти помогнем  :43;

"Linux is for people who hate Windows, BSD is for people who love UNIX"
Контакти:  gog

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #4 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Февруари 15 2007, 15:05
tolostoi

Avatar




Група: Li maniacs
Мнения: 869
Регистриран: Юли 2006

Оценка: 5

Offline
quintessence трудно е да се обясни нещо което не ти е ясно,идеята е като разбера коя е заразената машина да и спра нета,да се обадя на доставчика и да му кажа че съм се изчистил и той да го пусне (ако още си заразен ти казва,че не вървиш,и да продължаваш с чистенето,ха сега ми идва на акъла може ли да ми предложи и преинсталация за някой лев, не едва ли са такива,но май нещо се престарават ще дръпна кабела за свича другия път да го питам дали пак съм заразен)gog идеята ти е супер, но ми изглежда мисията невъзможна ако все пак разбера нещо ще докладвам   ;)

Редактирано от tolostoi на Февруари 15 2007, 15:10

Мнение #5 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Февруари 15 2007, 15:41
quintessence

Avatar




Група: Li psychos
Мнения: 813
Регистриран: Август 2005

Offline
На мен ли не ми е ясно :P

май сега стана по-ясно :P ... искаш да спреш нета на машина зад ТВОЯ рутер ?  :21; ако да , да го беше писал още в началото
нали се сещаш , че без права не може да спираш машина от мрежата ти , освен , ако не й вземеш адреса и е windows машина ... даже тогава щом на нея й спира нета , не ти върши работа :)

по какви критерии ... по MS критерии как по какви :P
примерно blaster worm ... попадна ми една от разновиностите му : http://www.symantec.com/securit....0229-99

като се зарази някоя машина зад рутера ти не е проблем да я блокираш ... ако не я блокираш ... тя ще праща прекалено много requests към ISP-то ти , и нета ще се сдуха ... това е по принцип ... пък твоето ISP щом си има и защита ... :)  

общо взето може да разгледаш различните червеи на кои портове слушат ... с tcpdump може да видиш как протича трафика и да се ориентираш що годе ...

win32 blaster worm прави и tcp syn flood dos attack срещу на MS сайта за update ... не е толкова трудно да хванеш някоя атака , ако си следиш трафика ... на база на нея си правиш съответните рестрикции ...
:)
Контакти:  quintessence

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #6 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Февруари 15 2007, 17:13
tolostoi

Avatar




Група: Li maniacs
Мнения: 869
Регистриран: Юли 2006

Оценка: 5

Offline
quintessence, защо реши че на теб не ти е ясно ???На мен не ми е ясно как да го направя и как да го обясня,мисля все пак че gog ме разбра перфектно (мислех си че жена ми не ме разбира защото никога не ме слуша ама май не е така :) тя наистина не ме слуша като говоря ама тва е друго) Рутера съм го инсталирал аз,та права имам.Маскирал съм цялата мрежа зад него,но най-вероятно ще се позанимавам да го направя по IP и mac,нали все пак идеята е заразена машина зад рутера да се отреже за да не омаца пред него и по този начин да стигне до доставчика,защото ако стигне до доставчика той ще спре нета :) идеята е да разбера коя е заразената машина в моята мрежа за да огранича.gog предложение да разбера по какви критерии доставчикът ми разбира че съм заразен и ти предложи да погледна кои портове сканира и ... т.н.

Мнение #7 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Февруари 15 2007, 18:37
quintessence

Avatar




Група: Li psychos
Мнения: 813
Регистриран: Август 2005

Offline
пуснах оплез - относно първото ти изречение :P
с право не те слуша - втори оплез пускам - :P
щом те интересува зад ТВОЯ рутер PC-тата дали са заразени - това олеснява ситуацията :)

аз ти предлагам следното решение ...
за по-известните чреволяци мога да ти събера информация довечера/утре/тея дни ( :21; ) и някакъв скрипт да  се напише на база на изхода от tcpdump ... при появата на еди какъв си изход , да изпълнява еди какво си с iptables ...
Контакти:  quintessence

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #8 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Февруари 16 2007, 10:23
tolostoi

Avatar




Група: Li maniacs
Мнения: 869
Регистриран: Юли 2006

Оценка: 5

Offline
quintessence Благодаря !

Мнение #9 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Февруари 16 2007, 10:45
mcwolf

No avatar chosen




Група: Li gurus
Мнения: 1489
Регистриран: Април 2005

Оценка: 5

Offline
ограниченията са заради претоварване на рутерите - най сигурният начин да видиш коя машина се ебава е като видиш коя претоварва мрежите - пусни iptraf и погледни рекордьорите кои са
Контакти:  mcwolf

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #10
Skip to the previous post in this topic. Написано на: Февруари 16 2007, 17:06
devik

Avatar




Група: Li fans
Мнения: 621
Регистриран: Декември 2006

Оценка: 5

Offline
Аз съм съгласен с mcwolf  - по-скоро черволяците ти запълват сесиите/а те обикновено са ограничени по брой/ и затова ти забива интернета,не вярвам доставчика да сканира целия трафик за да разбере откъде идват вируси и да го спира.С това се занимавам и няма такъв случай при мене-вирусите сами си разбиват мрежата/на бозата/ и забива интернета не ги спирам аз.
Контакти:  devik
WEB  
Общо 10 отговор(а) от Февруари 15 2007, 14:10 до сега
 » Начало » Li Форуми » Help & Support » Networking » IP TABLES ли, или ???

© 2014 Linux Index Project
Powered by iF 1.0.0 © 2006 ikonForums