Восстановлен модуль с целью MIRROR для netfilter, осуществляющий переотправку пакета поменяв местами адреса отправителя и получателя.  Этот модуль был официально исключен из ядра 2.6. Прежде чем использовать - желательно подумать зачем.

URL: http://www.ezh.msk.ru/source/ipt_MIRROR.tar.gz
Новость: http://www.opennet.me/opennews/art.shtml?num=6183

• Модуль ipt_MIRROR для linux 2.6.xx,Аноним, 15:09 , 04-Окт-05
  • Модуль ipt_MIRROR для linux 2.6.xx,Ezhik, 15:19 , 04-Окт-05
    • Модуль ipt_MIRROR для linux 2.6.xx,DEC, 15:41 , 04-Окт-05
      • Модуль ipt_MIRROR для linux 2.6.xx,Ezhik, 15:44 , 04-Окт-05
        • Модуль ipt_MIRROR для linux 2.6.xx,DEC, 16:41 , 04-Окт-05
          • Модуль ipt_MIRROR для linux 2.6.xx,Ezhik, 17:27 , 04-Окт-05
          • Модуль ipt_MIRROR для linux 2.6.xx,sash, 18:12 , 04-Окт-05
          • Модуль ipt_MIRROR для linux 2.6.xx,sash, 18:14 , 04-Окт-05
            • Модуль ipt_MIRROR для linux 2.6.xx,dimus, 07:44 , 05-Окт-05
            • Модуль ipt_MIRROR для linux 2.6.xx,_Nick_, 01:09 , 06-Окт-05
              • Модуль ipt_MIRROR для linux 2.6.xx,dimus, 07:53 , 06-Окт-05
• Модуль ipt_MIRROR для linux 2.6.xx,Аноним, 16:20 , 04-Окт-05
  • Модуль ipt_MIRROR для linux 2.6.xx,_Nick_, 01:12 , 06-Окт-05
• Модуль ipt_MIRROR для linux 2.6.xx,dimus, 16:23 , 04-Окт-05
• Модуль ipt_MIRROR для linux 2.6.xx,forge, 07:45 , 08-Окт-05

а зачем он  нужет ?  

ну, например, если тебя кто то сканирует, то он увидит себя

IMHO не совсем так. Пакеты предназначенные тебе, ты отошлёшь назад, но это будут не ответы на попытку скана, а непосредственно попытка скана...
Я так и не понял нафига это надо...

Попробуй проверить это на практике. "Непосредственная попытка скана" , c одним но - сканирующий просканирует порты на своей машине, а не на твоей.

Проверить на практике не могу, не юзаю я линукс. Но хотелось бы понять как это можно использовать.
Хорошо, допустим сканирующий засылает тебе TCP/SYN ты зеркалишь этот пакет обратно, теперь к нему приходит TCP/SYN, его комп (в идеале) отвечает тебе, что порт недоступен. Но на тот порт, который его nmap держит открытым и ждёт ответа - ответ не приходит.
Может я чего-то не понимаю?
----- сканирующий просканирует порты на своей машине, а не на твоей ------
вот в это мне, не верится, попахивает фантастикой.

ответ уходит с той же пары s-port d-port и возвращается на туже пару s-port d-port - так что nmap какой нужно ответ получит :-)

зы если не уменьшать ttl будет обычный dos - одна из основный причин, по которой этот модуль был исключен из ядра

Не понимаешь по видимому.

ipt_MIRROR, заменяет адреса в IP-пакетах. На уровне ТСР происходит следующее:

К нам приходит SYN, допустим SYN:10001(порт)-->80.

Если порт 80 закрыт:
К нам SYN, от нас SYN на 80-й отправителя, от него либо ничего не приходит (таймаут) либо приходит ICMP-unreachable. Если ICMP-unreachable он отражается в сторону отправителя. По этим признакам отправитель решает что порт закрыт.

Порт 80 открыт:
SYN-->SYN/ACK-->ACK. Каждый пакет попросту отражается в сторону отправителя, и                                                                                                                                                           не имеет значения с какого порта устанавливается соединение, ведь в пакете однозначно указаны tcp_sport и tcp_dport, и отправитель их воспринимает однозначно.

Да и еще.

Это очень простой путь вместо "прикола" нажить себе огромную дыру для дос.

Атакуещему достаточно заполнить твой канал наполовину, пакетами которые попадают под -j MIRROR

Вообще-то если атакующий сможет заполнить твой канал наполовину - это мало не покажется в любом случае, однако замечание конечно оченоь правильное.
Я думаю, что тут надо с умом действовать (например автоматически заменять правило на DROP в случае обнаружения DoS атаки) - зато как приятно, если вместо твоей машины пионэр начнет взламывать свою собственную :) Естественно, что такой способ прокатит только против некомпетентного человека - благо, что благодаря стараниям журнала "Ламер" их сейчас развелось немало.

а пингами если он его заполнит наполовину?? та же колбаса.
ответы то ты шлешь по-любому (мы не параноики блдшники - ICMP не фаерволим и чесно отвечаем, без особенных нужд).
Так что хоть ЗЕРКАЛО, хоть простой пинг.

Можешь загрузить чужой канал наполовину - все. тут даже "-s <DOSSER> -j DROP" не поможет

Вообще против любителей флуда есть классное правило в iptables - называется limit и используется так:

# Разрешим прохождение 4 пакетов в секунду
$IPTABLES -A icmp_filter -p icmp --icmp-type echo-request -m limit --limit 4/S --limit-burst 1 -j ACCEPT
# А все остальные пакеты запретим
$IPTABLES -A icmp_filter -p icmp --icmp-type echo-request -j DROP

Хотя конечно и это никак не панацея - в конечном итоге все сводится к тому, у кого канал толще. Кстати, если у вас оплачивается входящий траффик, то флудер вас еще и делает существенно беднее.

интересно было бы посмотреть на скан, если на обоих машинах (source-destination) стоит по mirror'у. perpetuum mobile, если он еще и ttl не уменьшает.

>интересно было бы посмотреть на скан, если на обоих машинах (source-destination) стоит
>по mirror'у. perpetuum mobile, если он еще и ttl не уменьшает.
>

Double Dos будет.
Либо все упрется в ширину канала, либо в скорость одной из тачек (ну врядли в нащ то век Гигагерцов... ;))

так что дос обоим обеспечен в таком случае

Прикольно посадить цель на отдельные порты - можно конкретно поиздеваться над пионэрами :)

Ура! Наконец-то. Я как только не пытался его вживить в 2.6.x, все-равно имплантация не удавалась, а здесь :).