Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Интересный вопросик по безопастности (почти статья) [sol
View unanswered posts
View posts from last 24 hours

Goto page 1, 2  Next  
Reply to topic    Gentoo Forums Forum Index Russian
View previous topic :: View next topic  
Author Message
ManJak
Guru
Guru


Joined: 18 Dec 2004
Posts: 561
Location: St. Petersburg, Russia

PostPosted: Tue Aug 02, 2005 9:38 pm    Post subject: Интересный вопросик по безопаст Reply with quote

У кого есть прозрачный squid и нат
попробуйте зайти:

http://www.auditmypc.com/whats-my-ip.asp

Там она успешно сообщит, что видит внутренний IP,
но

squid.conf
Code:

...
acl     all             src     0.0.0.0/0.0.0.0
header_access   Cookie                  deny    all
...


Успешно решает задачу и перестает показывать privacy IP.

Что-то я не вкурил, как это реализовано?
Может, где-то написано, у них не нашел (иначе-бы сразу сделал).


Last edited by ManJak on Wed Aug 03, 2005 8:11 pm; edited 1 time in total
Back to top
View user's profile Send private message
ba
l33t
l33t


Joined: 25 May 2003
Posts: 804

PostPosted: Wed Aug 03, 2005 6:43 am    Post subject: Reply with quote

у меня тока внешний видит... никаких специальных настроек сквида при этом нету...
Back to top
View user's profile Send private message
ManJak
Guru
Guru


Joined: 18 Dec 2004
Posts: 561
Location: St. Petersburg, Russia

PostPosted: Wed Aug 03, 2005 6:52 am    Post subject: Reply with quote

Блин, не понимаю, что за фигня, у меня, пока куки не отрежешь, причем ПРИНУДИТЕЛЬНО на сквиде!
Пишет, что интернал 10.1.1.11 и карой небеснй пугают, типа, ща небеса разверзнуться, ангелы спустятся,
и исключат тебя с позором с рунета :)

Это РЕАЬНО опастно?
Просто, я не могу пидумать, с ходу, как это можно заюзать?
Back to top
View user's profile Send private message
ba
l33t
l33t


Joined: 25 May 2003
Posts: 804

PostPosted: Wed Aug 03, 2005 7:05 am    Post subject: Reply with quote

ManJak wrote:
Это РЕАЬНО опастно?
Просто, я не могу пидумать, с ходу, как это можно заюзать?

при нормальной настроке всего остального ничего опасного в этом нет...

я бы смотрел в сторону настроек браузера, а не сквида, если браузер ie, то сделай все натройки безопасности по умолчанию и еще все куки перед эти почистить...
Back to top
View user's profile Send private message
ManJak
Guru
Guru


Joined: 18 Dec 2004
Posts: 561
Location: St. Petersburg, Russia

PostPosted: Wed Aug 03, 2005 7:12 am    Post subject: Reply with quote

ba wrote:
ManJak wrote:
Это РЕАЬНО опастно?
Просто, я не могу пидумать, с ходу, как это можно заюзать?

при нормальной настроке всего остального ничего опасного в этом нет...

я бы смотрел в сторону настроек браузера, а не сквида, если браузер ie, то сделай все натройки безопасности по умолчанию и еще все куки перед эти почистить...


То-то и оно, что Мозилка 1.7.10 с дефолтными настройками!
ИЕ, попробую посмотреть, как сосед появится :D

За фаервол я не переживаю, т.к. там есть привило:
Code:

[0:0] -A INPUT -d 127.0.0.1 -i ppp0 -j WRONG_DESTANTION
[0:0] -A INPUT -d 10.1.1.0/255.255.255.0 -i ppp0 -j WRONG_DESTANTION
[0:0] -A INPUT -d 192.168.1.0/255.255.255.0 -i ppp0 -j WRONG_DESTANTION
[0:0] -A INPUT -d 192.168.0.0/255.255.0.0 -i ppp0 -j WRONG_DESTANTION

Причем, как несложно заметить, этих пакетов небыло :D НИ РАЗУ!

Просто стремно как-то :(
Back to top
View user's profile Send private message
ba
l33t
l33t


Joined: 25 May 2003
Posts: 804

PostPosted: Wed Aug 03, 2005 7:19 am    Post subject: Reply with quote

ManJak wrote:
За фаервол я не переживаю, т.к. там есть привило:
Code:

[0:0] -A INPUT -d 127.0.0.1 -i ppp0 -j WRONG_DESTANTION
[0:0] -A INPUT -d 10.1.1.0/255.255.255.0 -i ppp0 -j WRONG_DESTANTION
[0:0] -A INPUT -d 192.168.1.0/255.255.255.0 -i ppp0 -j WRONG_DESTANTION
[0:0] -A INPUT -d 192.168.0.0/255.255.0.0 -i ppp0 -j WRONG_DESTANTION

Причем, как несложно заметить, этих пакетов небыло :D НИ РАЗУ!

Просто стремно как-то :(

чет я не пойму, ты прямо с машины со сквидом чтоли пробуешь? или причем тут правила в цепочке INPUT?
Back to top
View user's profile Send private message
ManJak
Guru
Guru


Joined: 18 Dec 2004
Posts: 561
Location: St. Petersburg, Russia

PostPosted: Wed Aug 03, 2005 7:35 am    Post subject: Reply with quote

Там, сервак, т.к. такой запрос, может приходить, только из вне и КОНКРЕТНО на нее (GW=ppp0)
=> цепочки (INPUT)
в форвард они просто НИКАК не могут попасть =)
Back to top
View user's profile Send private message
ManJak
Guru
Guru


Joined: 18 Dec 2004
Posts: 561
Location: St. Petersburg, Russia

PostPosted: Wed Aug 03, 2005 7:38 am    Post subject: Reply with quote

Правило и создавалось, чтоб не пустить в сеть пакет с:
DST=real_ip
SRC=privite_ip

Мало-ль, что он там несет в себе :wink:
Back to top
View user's profile Send private message
ba
l33t
l33t


Joined: 25 May 2003
Posts: 804

PostPosted: Wed Aug 03, 2005 7:42 am    Post subject: Reply with quote

ManJak wrote:
Там, сервак, т.к. такой запрос, может приходить, только из вне и КОНКРЕТНО на нее (GW=ppp0)
=> цепочки (INPUT)
в форвард они просто НИКАК не могут попасть =)

бррр, ниче не понял...

о каком запросе идет речь? Пакеты, если не предназначены локальной машине (ip получателя не принадлежит машине) поппадут в цепочку FORWARD
Back to top
View user's profile Send private message
ba
l33t
l33t


Joined: 25 May 2003
Posts: 804

PostPosted: Wed Aug 03, 2005 7:45 am    Post subject: Reply with quote

ManJak wrote:
Правило и создавалось, чтоб не пустить в сеть пакет с:
DST=real_ip
SRC=privite_ip

Мало-ль, что он там несет в себе :wink:

а почему тогда -d 10.1.1.0/255.255.255.0 ? Или я торможу или ты...
ppp0 я так понял в инет смотрит? И что значит ``в сеть'', если через цепочку INPUT проходят только пакеты предназначенные самой машине?
Back to top
View user's profile Send private message
ManJak
Guru
Guru


Joined: 18 Dec 2004
Posts: 561
Location: St. Petersburg, Russia

PostPosted: Wed Aug 03, 2005 7:56 am    Post subject: Reply with quote

Ладно, поехали с чертежами :D

1) Структура сети

[Provider 100,100.100.100] -p2p- (ppp0 100,100.100.101)[ My network GW ](eth0 10.1.1.9) -eth- [ условно CLIENTS ]

My network GW:
iptables
MASQUARADE
dhcp
mail
DNS
SQUID
вроде ничего важного (касательно вопроса) не забыл =)

От провайдера приходит пакет (пусть ICMP):
В заголовке содержит:
DST=100,100.100.101
SRС=10.1.1.1

Куда пойдет?
Правильно, в локалку

Что он там натворит?
Правильно от ничего до Х.З.

Пускать его нельзя!
Обрабатывать его надо INPUT, т.к., он предназначен для этой машины, а уйдет уже от нее.
Но, уйдет, все-равно по цепочке OUTPUT[!!!], т.к. ответила ОНА, а не перенаправила пакет!

Так я и спрашиваю, что если через кукисы можно УЗНАТЬ privite_IP, то, чем это грозит?
По идее, его в сеть не должно пустить, но...
По той-же идее, и internal_IP узнать не должны!

=> Стремно это как-то и чего ожидать?
Чем это РЕАЛЬНО грозит?
Back to top
View user's profile Send private message
ba
l33t
l33t


Joined: 25 May 2003
Posts: 804

PostPosted: Wed Aug 03, 2005 8:10 am    Post subject: Reply with quote

ManJak wrote:
От провайдера приходит пакет (пусть ICMP):
В заголовке содержит:
DST=100,100.100.101
SRС=10.1.1.1

Куда пойдет?

да такой пакет придет машине и машина уже ответит в локалку.
да эти правила оправданы, я и не спорю. НО какое отношение ини имеют к делу?
к тому же в таком случае и в цепочке FORWARD такие правила бы непомешали, но еще с --state NEW

ManJak wrote:

Обрабатывать его надо INPUT, т.к., он предназначен для этой машины, а уйдет уже от нее.
Но, уйдет, все-равно по цепочке OUTPUT[!!!], т.к. ответила ОНА, а не перенаправила пакет!

ага, только уйдет не он, а ответ на него...

ManJak wrote:

Так я и спрашиваю, что если через кукисы можно УЗНАТЬ privite_IP, то, чем это грозит?
По идее, его в сеть не должно пустить, но...
По той-же идее, и internal_IP узнать не должны!

пробраться внутрь при правльной настройке у провайдера можно только если ходишь на твой инетный интерфейс мимо роутеров, иначе такой пакет не должен пройти через роутер провайдера. и даже если он проходит через роутер твоего провайдера, то от auditmypc.com такой пакет точно не дойдет...
Back to top
View user's profile Send private message
ManJak
Guru
Guru


Joined: 18 Dec 2004
Posts: 561
Location: St. Petersburg, Russia

PostPosted: Wed Aug 03, 2005 8:16 am    Post subject: Reply with quote

Вот я сейчас и мучаюсь :wink:

Анализирую, что собстввенно происходит и чем грозит =)

Сегодня попробую с другого места, где похожая схема и из винды.
Надо только доехать, все равно там надо помочь.
Back to top
View user's profile Send private message
ba
l33t
l33t


Joined: 25 May 2003
Posts: 804

PostPosted: Wed Aug 03, 2005 8:30 am    Post subject: Reply with quote

Кстати squid вроде по умолчанию говорит серверу который внутренний ip через него запросил страницу(у cgi-ника на сервере будет переменная окружения в которой будет ip запросившего через сквид)...
Back to top
View user's profile Send private message
User Unknown
n00b
n00b


Joined: 09 Aug 2004
Posts: 54

PostPosted: Wed Aug 03, 2005 8:56 am    Post subject: Reply with quote

http://www.whatsmyip.info/
http://stealthtests.lockdowncorp.com/
Back to top
View user's profile Send private message
ManJak
Guru
Guru


Joined: 18 Dec 2004
Posts: 561
Location: St. Petersburg, Russia

PostPosted: Wed Aug 03, 2005 8:04 pm    Post subject: Reply with quote

Тут, ничего сверхординарного не соообщили:
http://www.whatsmyip.info/

Ждем, второго резалта:
Прошел все тесты на Ура, но...
Откуда аудит узнает мнтернал ИП?.....


NB!
ОНИ МУХЛЮЮТ, СУЯ КУКУ!
Ща, не нашли НИФИГА:
Code:

#header_access  Cookie                  deny    all
header_access   Via                     deny    all
header_access   User-Agent              deny    all
header_access   X-Forwarded-For         deny    all
header_access   X-Cache                 deny    all
header_access   X-Cache-Lookup          deny    all
header_replace  User-Agent      007! Bond, James Bond!


Без кук трудновато иногда :cry:
В общем, хватает всего предыдущего!


=> ЗАБИВАЕМ (СОЛВЕД)
Back to top
View user's profile Send private message
Camp
Tux's lil' helper
Tux's lil' helper


Joined: 31 May 2004
Posts: 82
Location: Moscow

PostPosted: Wed Aug 03, 2005 8:14 pm    Post subject: Reply with quote

Code:
forwarded_for off

:D шобы не посылался в заголовке внутренний ип
_________________
registered Linux user #357267
GENTOO
Back to top
View user's profile Send private message
ManJak
Guru
Guru


Joined: 18 Dec 2004
Posts: 561
Location: St. Petersburg, Russia

PostPosted: Wed Aug 03, 2005 8:27 pm    Post subject: Reply with quote

Camp wrote:
Code:
forwarded_for off

:D шобы не посылался в заголовке внутренний ип


Это, стояло до теста!
Он, похоже, что куку как-то всунулии не вынималась она :cry:
После чистки куксов и добавки вышеизложенных правил, все нормализовалось! :lol:
Back to top
View user's profile Send private message
ManJak
Guru
Guru


Joined: 18 Dec 2004
Posts: 561
Location: St. Petersburg, Russia

PostPosted: Wed Aug 03, 2005 8:28 pm    Post subject: Reply with quote

Camp wrote:
Code:
forwarded_for off

:D шобы не посылался в заголовке внутренний ип


Это, стояло до теста!
Он, похоже, что куку как-то всунулии не вынималась она :cry:
После чистки куксов и добавки вышеизложенных правил, все нормализовалось! :lol:

ЗЫ
Хоть тема закрыта, но любые идеи и посты приветствуются!
Может, кому помогет!
Back to top
View user's profile Send private message
ladserg
n00b
n00b


Joined: 01 Nov 2004
Posts: 65

PostPosted: Wed Aug 03, 2005 8:41 pm    Post subject: Reply with quote

ba wrote:
ManJak wrote:
Правило и создавалось, чтоб не пустить в сеть пакет с:
DST=real_ip
SRC=privite_ip

Мало-ль, что он там несет в себе :wink:

а почему тогда -d 10.1.1.0/255.255.255.0 ? Или я торможу или ты...
ppp0 я так понял в инет смотрит? И что значит ``в сеть'', если через цепочку INPUT проходят только пакеты предназначенные самой машине?


Увы, вы не правы пакеты пойдут через FORWARD, а цепоки INPUT и OUTPUT останутся не тронутыми, это описано в iptables HOWTO.

Почему -d 10.1.1.0/255.255.255.0 ? Потому, что так написали, и всего-то. Такое правило сработает только если пакет будет отпрален именно серверу.

В целом алгоритм прохождения пакета такой:

Пакет из вне -> PREROUTING -> Если в локалку то FORWARD если на этот компьютер, то в INPUT ->POSTROUTING

Пакет с сервера во вне (в локалку или интернет): PREROUTING -> OUTPUT ->POSTROUTING

Пакет из локалки во вне: PREROUTING -> FORWARD -> POSTROUTING

Пакет из локалки на сервер: PREROUTING -> OUTPUT -> POSTROUTING

Такая схема специально сделана, что бы не напрягать мосты (компьютеры, соединяющие две или более физических сетей). Это позволяет очень быстро передавать пакеты с одной сетвой карты на другую.

Если нет желания, что бы из инета в локалку вообще ходили пакеты, то добавьте команду

# iptables -P FORWARD DROP

К тому же если заглянуть сюда: http://lingvo.yandex.ru/en?text=FORWARD, то можно узнат что FORWARD переводится еще как и перенаправление.
Back to top
View user's profile Send private message
ba
l33t
l33t


Joined: 25 May 2003
Posts: 804

PostPosted: Wed Aug 03, 2005 8:54 pm    Post subject: Reply with quote

ladserg wrote:
ba wrote:
ManJak wrote:
Правило и создавалось, чтоб не пустить в сеть пакет с:
DST=real_ip
SRC=privite_ip

Мало-ль, что он там несет в себе :wink:

а почему тогда -d 10.1.1.0/255.255.255.0 ? Или я торможу или ты...
ppp0 я так понял в инет смотрит? И что значит ``в сеть'', если через цепочку INPUT проходят только пакеты предназначенные самой машине?


Увы, вы не правы пакеты пойдут через FORWARD, а цепоки INPUT и OUTPUT останутся не тронутыми, это описано в iptables HOWTO.

о каких пакетах речь? :-/
Back to top
View user's profile Send private message
ladserg
n00b
n00b


Joined: 01 Nov 2004
Posts: 65

PostPosted: Wed Aug 03, 2005 9:25 pm    Post subject: Reply with quote

ba wrote:

о каких пакетах речь? :-/


Пардон, погнал. Спросонья не туда ткнул (у нас сейчас время 03:30).
Речь шла о входящих пакетах и куда они потом.
Back to top
View user's profile Send private message
ManJak
Guru
Guru


Joined: 18 Dec 2004
Posts: 561
Location: St. Petersburg, Russia

PostPosted: Thu Aug 04, 2005 4:07 am    Post subject: Reply with quote

ladserg wrote:


Увы, вы не правы пакеты пойдут через FORWARD, а цепоки INPUT и OUTPUT останутся не тронутыми, это описано в iptables HOWTO.

Почему -d 10.1.1.0/255.255.255.0 ? Потому, что так написали, и всего-то. Такое правило сработает только если пакет будет отпрален именно серверу.


Из-вне, они могут быть направленны, только серверу!
Единственное, и правда, накладочка выщла :oops:
правильно так:
-s 10.1.1.0/255.255.255.0 :idea:
Тогда, отловим, все, что надо =)
Back to top
View user's profile Send private message
rusxakep
Guru
Guru


Joined: 09 Jul 2004
Posts: 458
Location: Moscow, Russia

PostPosted: Thu Aug 04, 2005 7:38 am    Post subject: Reply with quote

header_access X-Forwarded-For deny all


Достаточно поставить этот.

Но вы незнаете основ, если думаете что:
1. Кто-то к вам придет по вашему 10.1.1.1, это адрес не маршрутизируется.
2. Некоторые сайты увидя одинаковый IP от ваших двух клиентов (при выключении локальных адресов) - не пошлют второго куда подальше.

Короче - расслабьтесь и получайте удовольствие.
Back to top
View user's profile Send private message
rusxakep
Guru
Guru


Joined: 09 Jul 2004
Posts: 458
Location: Moscow, Russia

PostPosted: Thu Aug 04, 2005 7:41 am    Post subject: Reply with quote

ManJak wrote:
Ладно, поехали с чертежами :D

1) Структура сети

[Provider 100,100.100.100] -p2p- (ppp0 100,100.100.101)[ My network GW ](eth0 10.1.1.9) -eth- [ условно CLIENTS ]

My network GW:
iptables
MASQUARADE
dhcp
mail
DNS
SQUID
вроде ничего важного (касательно вопроса) не забыл =)

От провайдера приходит пакет (пусть ICMP):
В заголовке содержит:
DST=100,100.100.101
SRС=10.1.1.1

Куда пойдет?
Правильно, в локалку

Что он там натворит?
Правильно от ничего до Х.З.

Пускать его нельзя!
Обрабатывать его надо INPUT, т.к., он предназначен для этой машины, а уйдет уже от нее.
Но, уйдет, все-равно по цепочке OUTPUT[!!!], т.к. ответила ОНА, а не перенаправила пакет!

Так я и спрашиваю, что если через кукисы можно УЗНАТЬ privite_IP, то, чем это грозит?
По идее, его в сеть не должно пустить, но...
По той-же идее, и internal_IP узнать не должны!

=> Стремно это как-то и чего ожидать?
Чем это РЕАЛЬНО грозит?


Вообще-то правильное построение защиты целое искусство. Но в твоем случае необходимо всего лишь удостовериться что пакет с SRC=10.x.x.x приходит с локального интерфейса. Из Интернета нужно такие адреса рубить (хотя провайдер это должен делать за тебя).[/i]
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Russian All times are GMT
Goto page 1, 2  Next
Page 1 of 2

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum