Доброго времени суток всем!

Боюсь показаться немного не в теме, но тем не менее...
Возможно ли сделать невидимым некий сервак с линухом в некоторой сети с Windows окружением, ну там ip-фильтр накатить или еще что-нить в довесок, вообщем чтобы не один злодей со своей видовой тачки не догодался, что в сети стоит таинственный сервак с линухом. А чтобы правильные пацаны в сетке могли юзать сей сервак по полной программе.
Такое возможно?

• Существует нивидимый Linux?,Batva, 15:51 , 25-Янв-07
  • Существует нивидимый Linux?,d3rv1sh, 15:58 , 25-Янв-07
    • Существует нивидимый Linux?,mihail, 16:40 , 25-Янв-07
      • Существует нивидимый Linux?,evi9, 16:50 , 25-Янв-07
        • Существует нивидимый Linux?,mihail, 17:16 , 25-Янв-07
          • Существует нивидимый Linux?,newser, 17:38 , 25-Янв-07
            • Существует нивидимый Linux?,A Clockwork Orange, 17:50 , 25-Янв-07
              • Существует нивидимый Linux?,Batva, 18:32 , 25-Янв-07
                • Существует нивидимый Linux?,mihail, 19:04 , 25-Янв-07
                  • Существует нивидимый Linux?,Batva, 19:35 , 25-Янв-07
                  • Существует нивидимый Linux?,balamutang, 16:18 , 27-Янв-07
• Существует нивидимый Linux?,Batva, 20:28 , 25-Янв-07
• Существует нивидимый Linux?,chocholl, 09:26 , 26-Янв-07
  • Существует нивидимый Linux?,Gennadi, 12:34 , 26-Янв-07

>Доброго времени суток всем!
>
>Боюсь показаться немного не в теме, но тем не менее...
>Возможно ли сделать невидимым некий сервак с линухом в некоторой сети с
>Windows окружением, ну там ip-фильтр накатить или еще что-нить в довесок,
>вообщем чтобы не один злодей со своей видовой тачки не догодался,
>что в сети стоит таинственный сервак с линухом. А чтобы правильные
>пацаны в сетке могли юзать сей сервак по полной программе.
>Такое возможно?

При таком определении "невидимый" понятие относительное.
Поднимаешь iptables запрещаешь icmp пакеты и любой INPUT.
Разрешаешь INPUT только "правильным пацанам"

>При таком определении "невидимый" понятие относительное.
>Поднимаешь iptables запрещаешь icmp пакеты и любой INPUT.
>Разрешаешь INPUT только "правильным пацанам"

а вдруг "неправильные пацаны" умеют пользоваться nmap'ом?
хотя для пацаняцьего сервака вышеуказанного должно хватить

>>При таком определении "невидимый" понятие относительное.
>>Поднимаешь iptables запрещаешь icmp пакеты и любой INPUT.
>>Разрешаешь INPUT только "правильным пацанам"
>
>а вдруг "неправильные пацаны" умеют пользоваться nmap'ом?
>хотя для пацаняцьего сервака вышеуказанного должно хватить

На самом деле негодяи те - совсем не пацаны, да и пацаны тоже совсем не пацаны, а и те и другие - серьезные мужчины. Вопрос только в том кто из них серьезней.)

Так а nmap, каким образом может эту тему разглядеть, все входы ведь закрыты будут фильтром?

>Так а nmap, каким образом может эту тему разглядеть, все входы ведь
>закрыты будут фильтром?

никак.

>никак.

В описалове к nmap я прочитал, что порт может быть в одном из 3-х состояний
-open
-filtered
-unfilterd
open - всё понятно
unfilterd - тоже понятно
filtered - "порты активны, но доступ заблокирован сетевым экраном" ЭТО КАК ЭТО ИНТЕРЕСНО??? Я всегда был уверен, что либо с портом удается установить соедеинение, либо нет. Отсюда следует, что если порт не отвечает не важно закрыт он фильтром или просто не отвечает, реакция должна быть одна и таже, а именно не возможность установления соединения.
Или я не прав?

>>никак.
>
>В описалове к nmap я прочитал, что порт может быть в одном
>из 3-х состояний
>-open
>-filtered
>-unfilterd
>open - всё понятно
>unfilterd - тоже понятно
>filtered - "порты активны, но доступ заблокирован сетевым экраном" ЭТО КАК ЭТО
>ИНТЕРЕСНО??? Я всегда был уверен, что либо с портом удается установить
>соедеинение, либо нет. Отсюда следует, что если порт не отвечает не
>важно закрыт он фильтром или просто не отвечает, реакция должна быть
>одна и таже, а именно не возможность установления соединения.
>Или я не прав?

Если посылаемые пакеты проваливаются, как в черную дыру, то, очевидно, firewall их не пропускает, т.е. filtered.

а если на уровне ARP?
заморозить фиксированную таблицу?

Добавляем правила:
/sbin/iptables -I INPUT -j DROP -p tcp -m multiport --dports 0:65535
/sbin/iptables -I INPUT -j DROP -p udp -m multiport --dports 0:65535
/sbin/iptables -I INPUT -j DROP -p icmp

всех кого разрешаем правило ставится в начало, перед запрещающими.
привожу ответ nmap
Starting Nmap 4.20 ( http://insecure.org ) at 2007-01-25 17:17 Финляндия (зима)
All 1697 scanned ports on 192.168.2.1 are filtered

Nmap finished: 1 IP address (1 host up) scanned in 354.690 seconds

Т.е. получен ответ, что такая машина есть, но нас туда непускает.

>Добавляем правила:
>/sbin/iptables -I INPUT -j DROP -p tcp -m multiport --dports 0:65535
>/sbin/iptables -I INPUT -j DROP -p udp -m multiport --dports 0:65535
>/sbin/iptables -I INPUT -j DROP -p icmp
>
>всех кого разрешаем правило ставится в начало, перед запрещающими.
>привожу ответ nmap
>Starting Nmap 4.20 ( http://insecure.org ) at 2007-01-25 17:17 Финляндия (зима)
>All 1697 scanned ports on 192.168.2.1 are filtered
>
>Nmap finished: 1 IP address (1 host up) scanned in 354.690 seconds
>
>
>Т.е. получен ответ, что такая машина есть, но нас туда непускает.

ОК. А получен каким образом? По какому протоколу? Если по TCP все порты закрыты, по UDP - закрыты, ICMP тоже закрыт.
Как можно обнаружить активен ли host (или вообще пристутствует ли он в сети)? За исключением arp.

>ОК. А получен каким образом? По какому протоколу? Если по TCP все
>порты закрыты, по UDP - закрыты, ICMP тоже закрыт.
>Как можно обнаружить активен ли host (или вообще пристутствует ли он в
>сети)? За исключением arp.

Возьм и покрути сам в разных вариантах.
Запрос специально делался с виндовой машины:

C:\nmap\nmap.exe -sS 192.168.2.1

>ОК. А получен каким образом? По какому протоколу? Если по TCP все
>порты закрыты, по UDP - закрыты, ICMP тоже закрыт.
>Как можно обнаружить активен ли host (или вообще пристутствует ли он в
>сети)? За исключением arp.

в то то и дело что даже если все порты закручены - ассоциация ip-mac все равно есть при рабочем хосте.

самая конкретная фича - свич с фильтрацией по макам, который пустит только нужных пацанов :)

>Доброго времени суток всем!
>
>Боюсь показаться немного не в теме, но тем не менее...
>Возможно ли сделать невидимым некий сервак с линухом в некоторой сети с
>Windows окружением, ну там ip-фильтр накатить или еще что-нить в довесок,
>вообщем чтобы не один злодей со своей видовой тачки не догодался,
>что в сети стоит таинственный сервак с линухом. А чтобы правильные
>пацаны в сетке могли юзать сей сервак по полной программе.
>Такое возможно?

Есть ещё вариант решения, но он реален только для подсети класса С
на интерфейс скрытой машины присвоить ИП несуществующей подсети,
а тем кому нуна попасть на неё прицепить на свой интерфейс
второй ИП из  "несуществующей подсети" ну и т.д.
В этом случае скрытый сервер не будет виден ни кому ни как
и ни в каких таблицах, кроме тех кто  знает + фаервол на "скрытый сервер"

>Доброго времени суток всем!
>
>Боюсь показаться немного не в теме, но тем не менее...
>Возможно ли сделать невидимым некий сервак с линухом в некоторой сети с
>Windows окружением, ну там ip-фильтр накатить или еще что-нить в довесок,
>вообщем чтобы не один злодей со своей видовой тачки не догодался,
>что в сети стоит таинственный сервак с линухом. А чтобы правильные
>пацаны в сетке могли юзать сей сервак по полной программе.
>Такое возможно?

в стеке ip это невозможно.

кури ebtables.
и отдавай arp только правильным пацанам.

Открой INPUT по MAC-Adress'у для правильных пацанов

00:0F:EA:91:04:08 - правильного пацана

iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j ACCEPT