The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."  +/
Сообщение от Alexander email(??) on 01-Окт-09, 09:31 
Коллеги,
Никогда не обращал внимание на сабж, а тут подходят по работе и просят запретить пинг на девайсе, где нельзя включать iptables. Помогите разобраться для начала почему при выключенном ip_forward идут пакеты на интерфейс из другой сети,а затем как эту хрень отключить без iptables. Теперь подробнее:

1) 2 сети: ххх.ххх.33.0/24 и ххх.ххх.100.0/24
2) GW стоит между ними как та избушка из сказки, одним концом к одному, другим к другому, соотв. адреса на портах сетевухи завершаются еденицами.
3) FC-10 , на ней нельзя включать iptables
4) /proc/sys/net/ipv4/ip_forward, /proc/sys/net/ipv4/conf/all/forwarding, /proc/sys/net/ipv4/conf/default/forwarding и по всем интерфесам все в нулях.

route

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
ххх.ххх.33.0    *               255.255.255.0   U     0      0        0 eth0
ххх.ххх.100.0     *               255.255.255.0   U     0      0        0 eth3
link-local      *               255.255.0.0     U     1003   0        0 eth0


Это вводная. Теперь особенность: пользователь из сети ххх.ххх.100.0/24 может пустить пинг на ххх.ххх.33.1 и он к нему вернется. А нужно по ТЗ (это встраиваемая кастрированная система), чтобы эти интерфейсы были абсолютно невидимы для пользователей из противоположных сетей. Даже если шлюзом по умолчанию будет эта железка. Еще раз говорю, без iptables.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."  +/
Сообщение от reader (ok) on 01-Окт-09, 12:34 
>[оверквотинг удален]
>         255.255.0.0  
>   U     1003  
>0        0 eth0
>
>
>Это вводная. Теперь особенность: пользователь из сети ххх.ххх.100.0/24 может пустить пинг на
>ххх.ххх.33.1 и он к нему вернется. А нужно по ТЗ (это
>встраиваемая кастрированная система), чтобы эти интерфейсы были абсолютно невидимы для пользователей
>из противоположных сетей. Даже если шлюзом по умолчанию будет эта железка.
>Еще раз говорю, без iptables.

пакеты идущие к любому интерфейсу GW из любой подсети, в том числе и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными и соответственно отключение forward вам не поможет

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."  +/
Сообщение от madisson email(ok) on 01-Окт-09, 12:45 

>пакеты идущие к любому интерфейсу GW из любой подсети, в том числе
>и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными
>и соответственно отключение forward вам не поможет

спасибо за ответ!
Что порекомендуете? Кроме брендмауэра альтернатив нет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."  +/
Сообщение от reader (ok) on 01-Окт-09, 13:14 
>
>>пакеты идущие к любому интерфейсу GW из любой подсети, в том числе
>>и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными
>>и соответственно отключение forward вам не поможет
>
>спасибо за ответ!
>Что порекомендуете? Кроме брендмауэра альтернатив нет?

без изменения логики работы ядра возможно ничего.
в ADSL модемах, в шлюзах, .... iptables встраивают.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."  +/
Сообщение от madisson email(ok) on 01-Окт-09, 13:40 

>без изменения логики работы ядра возможно ничего.
>в ADSL модемах, в шлюзах, .... iptables встраивают.

а тут низзя... :-) ладно, будем ставить вопрос на голо-сование. Спасибо.

ps: еще порою в сторону ebtables , впрочем, хрен редьки не слаще.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."  +/
Сообщение от reader (ok) on 01-Окт-09, 14:11 
>
>>без изменения логики работы ядра возможно ничего.
>>в ADSL модемах, в шлюзах, .... iptables встраивают.
>
>а тут низзя... :-) ладно, будем ставить вопрос на голо-сование. Спасибо.
>
>ps: еще порою в сторону ebtables , впрочем, хрен редьки не слаще.
>

на основе mac адреса , а как с теми кто придет из-за шлюза. на будущее :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."  +/
Сообщение от madisson email(ok) on 01-Окт-09, 14:25 

>>ps: еще порою в сторону ebtables , впрочем, хрен редьки не слаще.
>>
>
>на основе mac адреса , а как с теми кто придет из-за
>шлюза. на будущее :)

я полагаю, достаточно будет запретить дестинейшн на противоположный порт (их всего то 2) , а проброс наружу и так запрещен.

ebtables -I FORWARD -i eth0 -d $MAC_ETH3 -j DROP
ebtables -I FORWARD -i eth3 -d $MAC_ETH0 -j DROP

Должно решится, вроде.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."  +/
Сообщение от ALex_hha (ok) on 01-Окт-09, 20:40 
>пакеты идущие к любому интерфейсу GW из любой подсети, в том числе
>и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными
>и соответственно отключение forward вам не поможет

Это с какого перепуга?! Не будет он ничего "пинговать"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."  +/
Сообщение от ALex_hha (ok) on 01-Окт-09, 21:11 
Поспешил, второй интерфейс он будет видеть :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."  +/
Сообщение от reader (ok) on 01-Окт-09, 21:49 
>Поспешил, второй интерфейс он будет видеть :)

когда то я тоже это проверил, только не специально :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."  +/
Сообщение от madisson email(ok) on 02-Окт-09, 07:07 
>>Поспешил, второй интерфейс он будет видеть :)
>
>когда то я тоже это проверил, только не специально :)

а я все как то традиционно... все с пробросом наружу всегда боролся, а вот проверить доступ на 2-й интерфес шлюза так и не докумекал. Не, а нах козе боян..., а тут вона как.. понадобился :-D

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."  +/
Сообщение от ALex_hha (ok) on 02-Окт-09, 14:16 
>>Поспешил, второй интерфейс он будет видеть :)
>
>когда то я тоже это проверил, только не специально :)

Кстати, специльно смотрел с помощью tcpdump. Ответы то шли, но при этом на eth1 и lo тихо. Как вообще тогда идет пакет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."  +/
Сообщение от reader (ok) on 02-Окт-09, 22:54 
>>>Поспешил, второй интерфейс он будет видеть :)
>>
>>когда то я тоже это проверил, только не специально :)
>
>Кстати, специльно смотрел с помощью tcpdump. Ответы то шли, но при этом
>на eth1 и lo тихо. Как вообще тогда идет пакет?

если пинг пришел через eth0, то на них ничего и не должно быть.

примерно как описано в 8.9
http://wm-help.net/books-online/book/25686/25686-11.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."  +/
Сообщение от madisson email(ok) on 02-Окт-09, 07:04 
>>пакеты идущие к любому интерфейсу GW из любой подсети, в том числе
>>и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными
>>и соответственно отключение forward вам не поможет
>
>Это с какого перепуга?! Не будет он ничего "пинговать"

бггггг
ну радует шо не я один такой :-D
тож одминчег с 10 летним стажем до начхальника дослужился, а о такой хрени не задумывался.. вот так - век живи, век учись!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру