URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 86766
[ Назад ]
Исходное сообщение
"Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."
Отправлено Alexander , 01-Окт-09 09:31 
Коллеги,
Никогда не обращал внимание на сабж, а тут подходят по работе и просят запретить пинг на девайсе, где нельзя включать iptables. Помогите разобраться для начала почему при выключенном ip_forward идут пакеты на интерфейс из другой сети,а затем как эту хрень отключить без iptables. Теперь подробнее:

1) 2 сети: ххх.ххх.33.0/24 и ххх.ххх.100.0/24
2) GW стоит между ними как та избушка из сказки, одним концом к одному, другим к другому, соотв. адреса на портах сетевухи завершаются еденицами.
3) FC-10 , на ней нельзя включать iptables
4) /proc/sys/net/ipv4/ip_forward, /proc/sys/net/ipv4/conf/all/forwarding, /proc/sys/net/ipv4/conf/default/forwarding и по всем интерфесам все в нулях.

route

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
ххх.ххх.33.0    *               255.255.255.0   U     0      0        0 eth0
ххх.ххх.100.0     *               255.255.255.0   U     0      0        0 eth3
link-local      *               255.255.0.0     U     1003   0        0 eth0


Это вводная. Теперь особенность: пользователь из сети ххх.ххх.100.0/24 может пустить пинг на ххх.ххх.33.1 и он к нему вернется. А нужно по ТЗ (это встраиваемая кастрированная система), чтобы эти интерфейсы были абсолютно невидимы для пользователей из противоположных сетей. Даже если шлюзом по умолчанию будет эта железка. Еще раз говорю, без iptables.

Содержание
Сообщения в этом обсуждении
"Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."
Отправлено reader , 01-Окт-09 12:34 
>[оверквотинг удален]
>         255.255.0.0  
>   U     1003  
>0        0 eth0
>
>
>Это вводная. Теперь особенность: пользователь из сети ххх.ххх.100.0/24 может пустить пинг на
>ххх.ххх.33.1 и он к нему вернется. А нужно по ТЗ (это
>встраиваемая кастрированная система), чтобы эти интерфейсы были абсолютно невидимы для пользователей
>из противоположных сетей. Даже если шлюзом по умолчанию будет эта железка.
>Еще раз говорю, без iptables.

пакеты идущие к любому интерфейсу GW из любой подсети, в том числе и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными и соответственно отключение forward вам не поможет

"Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."
Отправлено madisson , 01-Окт-09 12:45 

>пакеты идущие к любому интерфейсу GW из любой подсети, в том числе
>и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными
>и соответственно отключение forward вам не поможет

спасибо за ответ!
Что порекомендуете? Кроме брендмауэра альтернатив нет?

"Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."
Отправлено reader , 01-Окт-09 13:14 
>
>>пакеты идущие к любому интерфейсу GW из любой подсети, в том числе
>>и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными
>>и соответственно отключение forward вам не поможет
>
>спасибо за ответ!
>Что порекомендуете? Кроме брендмауэра альтернатив нет?

без изменения логики работы ядра возможно ничего.
в ADSL модемах, в шлюзах, .... iptables встраивают.

"Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."
Отправлено madisson , 01-Окт-09 13:40 

>без изменения логики работы ядра возможно ничего.
>в ADSL модемах, в шлюзах, .... iptables встраивают.

а тут низзя... :-) ладно, будем ставить вопрос на голо-сование. Спасибо.

ps: еще порою в сторону ebtables , впрочем, хрен редьки не слаще.

"Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."
Отправлено reader , 01-Окт-09 14:11 
>
>>без изменения логики работы ядра возможно ничего.
>>в ADSL модемах, в шлюзах, .... iptables встраивают.
>
>а тут низзя... :-) ладно, будем ставить вопрос на голо-сование. Спасибо.
>
>ps: еще порою в сторону ebtables , впрочем, хрен редьки не слаще.
>

на основе mac адреса , а как с теми кто придет из-за шлюза. на будущее :)

"Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."
Отправлено madisson , 01-Окт-09 14:25 

>>ps: еще порою в сторону ebtables , впрочем, хрен редьки не слаще.
>>
>
>на основе mac адреса , а как с теми кто придет из-за
>шлюза. на будущее :)

я полагаю, достаточно будет запретить дестинейшн на противоположный порт (их всего то 2) , а проброс наружу и так запрещен.

ebtables -I FORWARD -i eth0 -d $MAC_ETH3 -j DROP
ebtables -I FORWARD -i eth3 -d $MAC_ETH0 -j DROP

Должно решится, вроде.

"Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."
Отправлено ALex_hha , 01-Окт-09 20:40 
>пакеты идущие к любому интерфейсу GW из любой подсети, в том числе
>и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными
>и соответственно отключение forward вам не поможет

Это с какого перепуга?! Не будет он ничего "пинговать"

"Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."
Отправлено ALex_hha , 01-Окт-09 21:11 
Поспешил, второй интерфейс он будет видеть :)
"Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."
Отправлено reader , 01-Окт-09 21:49 
>Поспешил, второй интерфейс он будет видеть :)

когда то я тоже это проверил, только не специально :)

"Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."
Отправлено madisson , 02-Окт-09 07:07 
>>Поспешил, второй интерфейс он будет видеть :)
>
>когда то я тоже это проверил, только не специально :)

а я все как то традиционно... все с пробросом наружу всегда боролся, а вот проверить доступ на 2-й интерфес шлюза так и не докумекал. Не, а нах козе боян..., а тут вона как.. понадобился :-D

"Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."
Отправлено ALex_hha , 02-Окт-09 14:16 
>>Поспешил, второй интерфейс он будет видеть :)
>
>когда то я тоже это проверил, только не специально :)

Кстати, специльно смотрел с помощью tcpdump. Ответы то шли, но при этом на eth1 и lo тихо. Как вообще тогда идет пакет?

"Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."
Отправлено reader , 02-Окт-09 22:54 
>>>Поспешил, второй интерфейс он будет видеть :)
>>
>>когда то я тоже это проверил, только не специально :)
>
>Кстати, специльно смотрел с помощью tcpdump. Ответы то шли, но при этом
>на eth1 и lo тихо. Как вообще тогда идет пакет?

если пинг пришел через eth0, то на них ничего и не должно быть.

примерно как описано в 8.9
http://wm-help.net/books-online/book/25686/25686-11.html

"Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."
Отправлено madisson , 02-Окт-09 07:04 
>>пакеты идущие к любому интерфейсу GW из любой подсети, в том числе
>>и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными
>>и соответственно отключение forward вам не поможет
>
>Это с какого перепуга?! Не будет он ничего "пинговать"

бггггг
ну радует шо не я один такой :-D
тож одминчег с 10 летним стажем до начхальника дослужился, а о такой хрени не задумывался.. вот так - век живи, век учись!