Вышла (http://lists.netfilter.org/pipermail/netfilter-announce/2010...) новая версия iptables — набора инструментов для управления IPv4- и IPv6-сегментами системы фильтрации и преобразования пакетов netfilter (сам netfilter является частью ядра Linux).
В iptables 1.4.9 реализована полная совместимость с вышедшим (http://www.opennet.me/opennews/art.shtml?num=27497) недавно ядром Linux 2.6.35, а также внесен ряд других улучшений:
- Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила. Например, следующая последовательность команд обеспечит включение на одну секунду выбранного индикатора при поступлении входящего пакета на TCP-порт 22 (SSH):
<font color="#461b7e">
iptables -I INPUT -p tcp --dport 22 -j LED --led-trigger-id ssh --led-delay 1000
echo netfilter-ssh > /sys/class/leds/имя_индикатора/trigger</font>
- Добавлена поддержка ...URL: http://lists.netfilter.org/pipermail/netfilter-announce/2010...
Новость: http://www.opennet.me/opennews/art.shtml?num=27513
А какие обычно индикаторы доступны системе ? Что-то кроме трех лампочек на клавиатуре в голову ничего не лезет :)
ещё есть роутеры, в которых полно лампочек
Судя по # ls /sys/class/leds/
rt73usb-phy0::assoc rt73usb-phy0::quality rt73usb-phy0::radio
мигать можно будет индикаторами устройств. Некоторых. Клавой, к сожалению, похоже не помигать :)
> А какие обычно индикаторы доступны системе ?От системы зависит. В "SOHO" роутерах например LEDов весьма даже и фич выглядит весьма интересно :)
А где не кто не встречал какойнибуть ман посвежей для иптаблес чтобы разрулить две сети с пересекающимися диапазонами?
Почитайте обсуждение этой фичи в рассылке netfilter-devel, там много чего интересного.
Например, http://marc.info/?l=netfilter-devel&m=126348347832526
>А где не кто не встречал какойнибуть ман посвежей для иптаблес чтобы
>разрулить две сети с пересекающимися диапазонами?
-j MAP
А когда уже исправят глюк при одновременном запуске 2х копий iptables?!
А что за глюк? oO И для чего может понадобиться 2 копии айпитаблеса одновременно?
И как вообще может быть две копии iptables если это все ничего интерфейс к ядру?С.
>А что за глюк? oO И для чего может понадобиться 2 копии
>айпитаблеса одновременно?Ну линукс то система многозадачная. Разные скрипты могут отрабатывать одновременно, особенно по крону.
Глюк в разных скриптах исправляется использованием в них инновационной технологии "локинг" -- например, так:LOCKDIR="/var/lock/myscript"
LOCKFILE="$LOCKDIR/lock"
die() { echo "$0: $*" >&2; exit 1; }# check lock existence
[ -f "$LOCKFILE" ] && { die "lockfile exists"; }# exit handler
cleanup() { rm "$LOCKFILE"; }
trap cleanup EXIT SIGINT SIGTERM# create lockfile
mkdir -pm700 "$LOCKDIR" && touch "$LOCKFILE" || die "failed to create lockfile"# now the main job
iptables ...Хорошо, если такой /var/lock живёт на tmpfs и после загрузки чист.
На SIGKILL будут проблемы.
откройте для себя flock:#!/bin/bash
###
#
# Wrapper script for ensured running of argument only at only one instance.
#
# Usage:
# runone lockfile script args
#
###/bin/mkdir -p /var/lock/runone 2>/dev/null
lockfile=/var/lock/runone/${1//\//}
(
if flock -n 200; then
script=$2
shift 2
$script $@
# ... commands executed under lock ...
fi;
) 200>$lockfile
>На SIGKILL будут проблемы.Ессно.
>откройте для себя flock:
Спасибо -- про flock(1) не знал, только про flock(2).
> Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.Мегарулез!! :))
На Новому Году подключить гирлянду и настроить мигание определянных ламночек на различные протоколы.
И тогда можно будет по елке определять активность хакеров :-)
>> Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.Еще одна очень полезная фича по пути к лучшему Файрволу. Линукс лучше всех. Правильной дорогой идут товарищи
> бесполезная фича с индикаторамиТ.е. например индикация потенциально интересных админу срабатываний правил LEDами перед самым его носом - бесполезно? Может тогда и в логи писать ничего не стоит, раз уж привлекать внимание админа к потенциально интересным ему ситуациям индикаторами неправильно? :)
>> бесполезная фича с индикаторами
>
>Т.е. например индикация потенциально интересных админу срабатываний правил LEDами перед самым его
>носом - бесполезно? Может тогда и в логи писать ничего не
>стоит, раз уж привлекать внимание админа к потенциально интересным ему ситуациям
>индикаторами неправильно? :)Дык,этим не должен заниматься файрволл!! Короч, Билл одобряет эту новую фичу...
>Дык,этим не должен заниматься файрволл!!А кто -- Александр Сергеич, что ли? Или специально обученная разбиралка лога, написанного графом Толстым по мотивам беседы с файрволом? :)
PS: вообще-то я умею и складывать логи, и выделять из них нужное, и подкрашивать, шоб внимание привлекало по возможности как раз оно. Только вот если при перегреве на морде жалезки будет красная лямпочка моргать -- порой бывает полезней всех сенсоров сразу, если к ним отдельный человек не приставлен через сколь угодно умный и удобный интерфейс.
> Только вот если при перегреве на морде жалезки будет красная лямпочка моргать -- порой бывает полезней всех сенсоров сразуДавно iptables появилась функция измерения температуры, я это знаменательное событие похоже пропустил?
>Давно iptables появилась функция измерения температуры, я это знаменательное событие похоже пропустил?А почему файрвол должен заниматься измерением температуры? Вот если он скажем замерит SYN пакеты и засветит лампочку "атака!" при SYN-флуде - это вполне себе недурно вроде.
Вот и я тоже не понял при чем здесь температура.
И раз пошла такая пьянка, в случае перегрева я бы предпочел пищать спикером и отсылать мэйл, а не только лэды зажигать. А в случае атаки просто мэйл. В конце концов сидеть в серверной и следить за лампочками - это может быть неплохое наказание для проспавшего эникейщика, но не надежный способ оповещения о нештатной ситации.
Ждём релиза 1.4.10, в котором будет реализована фича подачи звукового сообщения, и релиза 1.4.11, в котором будет реализована фича "ударь админа" и "пахни луком в серверную".
а как мне установить iptables 1.4.9 если у меня стоит iptables 1.4.1 ???
>а как мне установить iptables 1.4.9 если у меня стоит
>iptables 1.4.1 ???Зачем именно?
>> Только вот если при перегреве на морде жалезки будет красная лямпочка моргать
>Давно iptables появилась функция измерения температурыНе замечал, этим обычно занимаются аппаратные сенсоры с lm_sensors или ipmitool сверху. Я о том, что _доставка_ событий до человека бывает разная, и что характерно -- "сапог в бою надёжней".
>[оверквотинг удален]
>
>А кто -- Александр Сергеич, что ли? Или специально обученная разбиралка
>лога, написанного графом Толстым по мотивам беседы с файрволом? :)
>
>PS: вообще-то я умею и складывать логи, и выделять из них нужное,
>и подкрашивать, шоб внимание привлекало по возможности как раз оно.
>Только вот если при перегреве на морде жалезки будет красная лямпочка
>моргать -- порой бывает полезней всех сенсоров сразу, если к ним
>отдельный человек не приставлен через сколь угодно умный и удобный интерфейс.
>Ну дык давайте понапихаем туда еще чего-нить полезного. Пусть, например, смски шлет через смсгейт или бибикает спикером, потом еще пусть температуру камня мерит и еще куча всег... в конце концов назовем все это дело Windows Vista и будет крута!
>Ну дык давайте понапихаем туда еще чего-нить полезного.Понапихайте. Примут -- продолжим разговор.
PS: дяденьки, если что -- о том, как выглядят несколько тысяч хостов, я знаю. Но и как один -- тоже. :)
>Дык,этим не должен заниматься файрволл!!Откуда это следует? И кто вместо него? И почему именно он?
> Короч, Билл одобряет эту новую фичу...
Билл это который? Тот, у которого его "advanced" файрвол в серверной операционке не умеет даже диапазон портов открывать? :)
>>Дык,этим не должен заниматься файрволл!!
>
>Откуда это следует? И кто вместо него? И почему именно он?
>
>> Короч, Билл одобряет эту новую фичу...
>
>Билл это который? Тот, у которого его "advanced" файрвол в серверной операционке
>не умеет даже диапазон портов открывать? :)А у Вас на сервере ось от Билла? О_о
>А у Вас на сервере ось от Билла? О_оНа *моих* серверах к счастью живут куда более подходящие для серверов оси. А вот на чужих я с этим чудом природы встречался. Сильно удивился когда понял что в конструкции обозванной продвинутым файрволом ... нельзя настроить диапазон портов. Странные у некоторых понятия "advanced firewall-ов". Это примерно как назвать "копейку" новой продвинутой машиной при том что рядом ехидно припарковался персональный ракетоплан.
Ну по суте же эта фича позволяет в реал тайме смотреть за процессом, она конечно не супер полезная, но удобная ....
Индикаторы то фигня, хотя для железячных роутеров и всяких встраиваемых решений как мне кажется очень удобно будет.
А вот копирование трафика, это имхо мегарулез.
> копирование всего входящего через eth0 трафика и отправку его копии на хост 192.168.0.2 (хост-получатель должен находиться в одном сегменте сети с нашим хостом)хост-получатель должен находиться в одном сегменте сети с нашим хостом - эту нелепую ошибку можно исправить? Как?
Пробросом туннеля, очевидно же.
подозреваю, что для зеркалирования _Ethernet_ трафика мониторящий хост должен таки быть в одном сегменте сети с данным хостом.
Есть мнение(с), что подразумевается зеркалирование ip-трафика. Тогда да, возможно зеркалированный трафик маршрутизировать только на level-2 (Ethernet).
>Есть мнение(с), что подразумевается зеркалирование ip-трафика. Тогда да, возможно зеркалированный трафик маршрутизировать
>только на level-2 (Ethernet).А почему так?
потому что в таком случае не подразумевается изменения ip-заголовков пакетов
>потому что в таком случае не подразумевается изменения ip-заголовков пакетовВы не подумайте, что я спорю с Вами, мне просто интересно. Как не меняется, а как тогда процесс зеркалирования происходит?
>Как не меняется,А вот так. Не меняется, и все тут.
>а как тогда процесс зеркалирования происходит?
Через хак. Грубо говоря, у копии подменяется mac-адрес хоста назначения.
если коротко - в пределах локальной сети не имеет значения что записано в ip-заголовках, пакеты передаются на основании mac-заголовков, подробнее - Вам нужно почитать об уровнях модели OSI, в данном случае достаточно о первых трёх.
>если коротко - в пределах локальной сети не имеет значения что записано
>в ip-заголовках, пакеты передаются на основании mac-заголовков, подробнее - Вам нужно
>почитать об уровнях модели OSI, в данном случае достаточно о первых
>трёх.Читал и не только о трех))) Но про это там не было написано))) Ок, а что тогда мешает поменять IP-заголовок ?
>Ок, а что тогда мешает поменять IP-заголовок ?Тогда вся затея теряет смысл.
Вместо точной копии трафика получается какая-то фигня.
Дык содержание пакета то не изменится же. Тем более насколько я понял МАК все таки меняется)))
а толку что содержимое не изменилось если вы не знаете кому предназначен пакет? для того чтобы проанализировать трафик вам нужно знать не только что в пакете, но и кому он предназначался.
>Дык содержание пакета то не изменится же.Важно не только содержание пакета, но и его заголовки. Испортить их никогда не поздно.
>Тем более насколько я понял МАК все таки меняется
Мак меняется на каждом хопе, но он не является частью пакета - это заголовок кадра.
>хост-получатель должен находиться в одном сегменте сети с нашим хостом - эту нелепую ошибку можно исправить?Это не нелепая ошибка, а необходимое ограничение (точно так же, как и необходимость извращаться с локальным роутингом при TPROXY-проксировании).
Копия трафика обладает всеми свойствами оригинала, в том числе и теми же адресами назначения в заголовках пакетов. Следовательно, она должна маршрутизироваться точно так же, как и оригинал. И смысл тогда копировать?
Все, что здесь можно сделать - хакнуть маршрутизацию у себя, и отправить копию на другой шлюз. Все остальное - уже его забота.
На удивление сдержанно к коментариям ведут себя владельцы BSD систем по поводу фичи моргания LEDами ;)
>На удивление сдержанно к коментариям ведут себя владельцы BSD систем по поводу
>фичи моргания LEDами ;)Ждем netgraph-модулей и divert-прог с аналогичной функциональностью =)
Но есть одна мелкая фигня. Придется всего-то сначала портировать бздю на девайсы где на передней панели есть леды. В общем лет через 10 заходите, посмотрим что изменится.
>Придется всего-то сначала портировать бздю на девайсы
>где на передней панели есть ледыПовторюсь справедливости ради -- AFAIK в Draytek живёт опёнок.
>Повторюсь справедливости ради -- AFAIK в Draytek живёт опёнок.Если честно - я о такой фирме впервые слышу. Есть пруфлинк на описание что там в кишках? Мне достаточно интересно как они там ФС и утилиты по человечески сделали и прочая, бздю для этого надо мощно допиливать. Благо эффективных и удобных вещей типа squashfs опенбздя явно не умеет, да и бизибокс под "неудобной" GPL, etc. Но если это все-таки было сделано - то как обычно для BSDL, поделиться с остальными они забыли и все кто не Draytek - пролетают, да? Ну вот пусть и пролетают. С *BSD. А с линуксом не пролетают вот.
>>Повторюсь справедливости ради -- AFAIK в Draytek живёт опёнок.
>Если честно - я о такой фирме впервые слышу.Железки довольно неплохие.
>Есть пруфлинк на описание что там в кишках?
Не-а, только косвенные. Искал как-то для persgray@ (Pererezus...).
>если это все-таки было сделано - то как обычно для BSDL,
>поделиться с остальными они забыли и все кто не Draytek -
>пролетают, да?Да, исходников никаких не видел.
можно написать скриптик чтобы и на клаве мигали диоды
скриптик... через скриптик можно и мониторчиком поморгать, а если добавить релюшку, то и светом у соседа)
Фигня это лед-моргание - толку 0. Никто по-серьезному не будет на это надеяться, иначе нужно сажать специального человека, который бы наблюдал за этими ледами. Сделали бы уже просто выполнение действия --do-something, на которое можно повесить запуск своего скрипта, которым можно хоть леды включать или СД-лоток дергать, которые привязан к горшку на полке ;-)
Вспомните эпизод в сериале it crowd, когда гота только обнаружила руководитель отдела... Она: а чем вы тут занимаетесь?
Он: я должен следить за лампочками.. Обычно они веду себя нормально.. Вот смотрите: миг-миг.. двойное мигание - это необычно.. В такие моменты я просто отворачиваюсь...А я, как владелец BSD, в очередной раз понял, что надо сменить мою BSD на 5-6 линуксов, т.к. моя система отстой, логи и оповещения все это устарело и никому теперь не нужно.
>логи и оповещения все это устарело и никому теперь не нужно.Не плачьте так горько, одно другому не мешает -- даже с домашних wifi-мыльниц некоторые исправно вытаскивают syslog, но и светодиоды не отпаивают. :)
>логи и оповещения все это устарело и никому теперь не нужно.Логи и оповещения - это круто. Но посмотреть на LED в 10-сантиметровой коробочки - в десятки раз быстрее чем отрыть в логах то же самое. При том не всегда нужен вербозный отчет, черт возьми.
>Сделали бы уже просто выполнение действия --do-something, на которое можно повесить запуск своего скрипта, которым можно хоть леды включать или СД-лоток дергать, которые привязан к горшку на полкеЕсли бы так можно было сделать, давно бы уже сделали.
Проблема в том, что запускать скрипты напрямую из ядра несколько затруднительно.
Занимательная функция, при желании можно даже морзянкой данные передавать... пару правил, для длинных и коротких, и соответствующий генератор пакетов на той стороне...
Добавили фитчу, пусть будет, иногда жизнь забавнее самой изощрённой фантазии.
>Проблема в том, что запускать скрипты напрямую из ядра несколько затруднительно.А в чём сложность? call_usermodehelper и готово. если выставить вменяемые тайминги между запусками(чтобы предотвратить DOS), то по теории всё просто.
Кто тестил TEE, скажите, ловится ли уже отзеркалированный траффик в iptables? Или как с MIRROR?
Насколько я помню, этот трафик нигде не светится. В маршрутизации и фаерволе точно, насчет шейпера не проверял.