Запомняне

» Здравейте
[ Вход :: Регистриране ]
 » Начало » Li Форуми » Help & Support » Networking » забраняване на дадено ИП до цялото пц
Тема: забраняване на дадено ИП до цялото пц
Мнение #1 Skip to the next post in this topic.
Написано на: Август 02 2008, 14:59

Avatar




Група: Li fans
Мнения: 30
Регистриран: Юни 2008

Оценка: няма

Offline
здр искам да попитам как мога да забраня достъпа на дадено ИП до целия компютър независимо дали става въпрос за ssh/http/ftp или някои друг порт
Контакти:  skuller

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #2 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Август 02 2008, 15:33

Avatar




Група: Li maniacs
Мнения: 489
Регистриран: Юли 2005

Оценка: 5

Offline
Код: 
iptables -A INPUT -s XXX.XXX.XXX.XXX -j DROP


Но сигурен ли си, че той не може да си смени IP-то?
Контакти:  Zero_effect

  • AOL  AOL:
  • ICQ  ICQ: 94584818
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #3 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Август 03 2008, 12:10

Avatar




Група: Li fans
Мнения: 124
Регистриран: Юни 2008

Оценка: няма

Offline
route add -host 1.1.1.1(ipto) reject za men e po dobar viriqt ... a ako iskash da mahnesh taka narecheniq ban ip route del 1.1.1.1
variqnt 2  vi /etc/hosts.dany  dobavqsh tam ip: DANY  " SORY ZA KIRILICATA а ако си го сменя ип-то той  и не на голям доставчик удариму едно  route add -host 1.1.1/32 reject :) ама много народ няма да може да взлиза :Д :P

Редактирано от boiko_tri на Август 03 2008, 12:26
Контакти:  boiko_tri

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #4 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Август 03 2008, 14:25

Avatar




Група: Li fans
Мнения: 30
Регистриран: Юни 2008

Оценка: няма

Offline
1.1.1.1 :DENY
така ли трябва да бъде в hosts.deny ?
Контакти:  skuller

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #5 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Август 03 2008, 15:45

Avatar




Група: Li fans
Мнения: 124
Регистриран: Юни 2008

Оценка: няма

Offline
ne 1.1.1.1 ти е ип-то :) което искащ просто беше пример ...
пробвай тай ще ти е по добре  route add -host ip-to reject
Контакти:  boiko_tri

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #6 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Август 03 2008, 21:04

Avatar




Група: Li fans
Мнения: 763
Регистриран: Февруари 2008

Оценка: 5

Offline
/etc/host.deny
е част т.н. tcp-wrappers,
само сървиси които са компилирани да ползват tcp-wrappers, могат да четат този файл,
за убунту ssh, apache2 ги използват, но самите tcp-wrappers предоставят защита на 7мо ниво, което е донякъде крайно недостатъчно, ако искаш да блокираш само ssh достъп, поставяне на адрес там върши работа, но за блокиране на достъп до всички услуги, блокиране на по - ниско ниво от протоколният стак е по - добрият вариант:
1. iptables
2. ip route blackhole
2.предимствата на 2рият вариант е тотално блокиране както на изходящи, така и на входящи пакети, и сравнително отскоро в ядрото на линукс има такава опция.
/sbin/route add -host $TARGET$ reject

1. през iptables може да се задават по разчупени правила
/sbin/iptables -I INPUT -s $TARGET$ -j DROP

Контакти:  altoas

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
Мнение #7 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Август 03 2008, 21:32

Avatar




Група: Li maniacs
Мнения: 489
Регистриран: Юли 2005

Оценка: 5

Offline
Добре, де - като давате съвети за ползване на route четете ли някога man pages:

Код: 
reject        install  a  blocking  route,  which will force a route lookup to fail.  This is for example used  to  mask  out  networks  before using the default route.  This is NOT for firewalling.


Редактирано от Zero_effect на Август 03 2008, 21:32
Контакти:  Zero_effect

  • AOL  AOL:
  • ICQ  ICQ: 94584818
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #8 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Август 04 2008, 14:02

Avatar




Група: Li fans
Мнения: 763
Регистриран: Февруари 2008

Оценка: 5

Offline
awe не е, я питай бойко portsentry-то как му спира достъпа на клиентите.
ако ти пък си чел малко за routing, ще знаеш, че когато една система избира маршрут до дадена точка (IP/net), се проверява рутинг таблицата, като се избира път, който е най - близък до крайната дестинация, избора е побитов. дори да имаш два записа:
192.168.0.0/16 via eth0
192.168.1.5/32 via tun0
ако пращаш пакети до 192.168.1.5, те ще напуснат машината ти през tun0, а не през eth0!
ако няма подходящ маршрут, пакетите напускат през default gateway-а.
ако добавиш маршрут за дадено IP с reject, пакетите за него няма да достигат!
ако не можеш да го разбереш, ще ти го разпиша побитово..

Контакти:  altoas

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
Мнение #9 Skip to the next post in this topic.
Skip to the previous post in this topic. Написано на: Август 04 2008, 14:07

No avatar chosen




Група: Li gurus
Мнения: 1489
Регистриран: Април 2005

Оценка: 5

Offline
Цитат: (altoas @ Август 04 2008, 14:02)

ако добавиш маршрут за дадено IP с reject, пакетите за него няма да достигат!

а целта не е ли да се забранят пакетите ОТ него  :14;

Редактирано от mcwolf на Август 04 2008, 14:08
Контакти:  mcwolf

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Мнение #10
Skip to the previous post in this topic. Написано на: Август 04 2008, 14:07

Avatar




Група: Li fans
Мнения: 124
Регистриран: Юни 2008

Оценка: няма

Offline
да правилно :) алтоас е прав един от  мойте сарвари ...  който  алтос го е правил преди да го заместя :) е  нещо като питбул./.....  ха си пипнал ха си е ебало майката с извинение влезнеш ли там кадето нетрябва лоша работа :) и това което казва е така ..!!!! ако не вярвате може да тествате ..... еи ви пример
Tova e samo edin ot mnogo primeri ... altoas ... e prav ...........  всеки ден ми пищат клинтите че немогат си отварят пощите .. сайтове и тн ... заради  portsentry

и не спори ....
OSSEC HIDS Notification.
2008 Aug 04 14:01:04

Received From: server->/var/log/syslog
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):

Aug  4 14:01:02 server portsentry[22943]: attackalert: Connect from host: 84.19.246.34/84.19.246.34 to UDP port: 137



--END OF NOTIFICATION



OSSEC HIDS Notification.
2008 Aug 04 14:01:04

Received From: server->/var/log/syslog
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):

Aug  4 14:01:02 server portsentry[22943]: attackalert: Host 84.19.246.34 has been blocked via wrappers with string: "ALL: 84.19.246.34 : DENY"



--END OF NOTIFICATION



OSSEC HIDS Notification.
2008 Aug 04 14:01:04

Received From: server->/var/log/syslog
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):

Aug  4 14:01:02 server portsentry[22943]: attackalert: Host 84.19.246.34 has been blocked via dropped route using command: "/sbin/route add -host 84.19.246.34 reject"



--END OF NOTIFICATION


server:/home/...# ping 84.19.246.34
connect: Network is unreachable
server:/home/...#

Редактирано от boiko_tri на Август 04 2008, 14:22
Контакти:  boiko_tri

  • AOL  AOL:
  • ICQ  ICQ:
  • MSN  MSN:
  • YIM  Yahoo IM:
WEB  
Общо 35 отговор(а) от Август 02 2008, 14:59 до сега
 » Начало » Li Форуми » Help & Support » Networking » забраняване на дадено ИП до цялото пц

© 2014 Linux Index Project
Powered by iF 1.0.0 © 2006 ikonForums