forum.opennet.ru - "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..." (13)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."		+/–
Сообщение от Alexander (??) on 01-Окт-09, 09:31
Коллеги, Никогда не обращал внимание на сабж, а тут подходят по работе и просят запретить пинг на девайсе, где нельзя включать iptables. Помогите разобраться для начала почему при выключенном ip_forward идут пакеты на интерфейс из другой сети,а затем как эту хрень отключить без iptables. Теперь подробнее: 1) 2 сети: ххх.ххх.33.0/24 и ххх.ххх.100.0/24 2) GW стоит между ними как та избушка из сказки, одним концом к одному, другим к другому, соотв. адреса на портах сетевухи завершаются еденицами. 3) FC-10 , на ней нельзя включать iptables 4) /proc/sys/net/ipv4/ip_forward, /proc/sys/net/ipv4/conf/all/forwarding, /proc/sys/net/ipv4/conf/default/forwarding и по всем интерфесам все в нулях. route Destination Gateway Genmask Flags Metric Ref Use Iface ххх.ххх.33.0 * 255.255.255.0 U 0 0 0 eth0 ххх.ххх.100.0 * 255.255.255.0 U 0 0 0 eth3 link-local * 255.255.0.0 U 1003 0 0 eth0 Это вводная. Теперь особенность: пользователь из сети ххх.ххх.100.0/24 может пустить пинг на ххх.ххх.33.1 и он к нему вернется. А нужно по ТЗ (это встраиваемая кастрированная система), чтобы эти интерфейсы были абсолютно невидимы для пользователей из противоположных сетей. Даже если шлюзом по умолчанию будет эта железка. Еще раз говорю, без iptables.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..., reader, 12:34 , 01-Окт-09, (1)

Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..., madisson, 12:45 , 01-Окт-09, (2)

Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..., reader, 13:14 , 01-Окт-09, (3)

Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..., madisson, 13:40 , 01-Окт-09, (4)

Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..., reader, 14:11 , 01-Окт-09, (5)

Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..., madisson, 14:25 , 01-Окт-09, (6)

Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..., ALex_hha, 20:40 , 01-Окт-09, (7)

Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..., ALex_hha, 21:11 , 01-Окт-09, (8)

Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..., reader, 21:49 , 01-Окт-09, (9)

Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..., madisson, 07:07 , 02-Окт-09, (11)
Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..., ALex_hha, 14:16 , 02-Окт-09, (12)

Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..., reader, 22:54 , 02-Окт-09, (13)

Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..., madisson, 07:04 , 02-Окт-09, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..." +/–

Сообщение от reader (ok) on 01-Окт-09, 12:34

>[оверквотинг удален]
>         255.255.0.0
>   U     1003
>0        0 eth0
>
>
>Это вводная. Теперь особенность: пользователь из сети ххх.ххх.100.0/24 может пустить пинг на
>ххх.ххх.33.1 и он к нему вернется. А нужно по ТЗ (это
>встраиваемая кастрированная система), чтобы эти интерфейсы были абсолютно невидимы для пользователей
>из противоположных сетей. Даже если шлюзом по умолчанию будет эта железка.
>Еще раз говорю, без iptables.
пакеты идущие к любому интерфейсу GW из любой подсети, в том числе и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными и соответственно отключение forward вам не поможет

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..." +/–

Сообщение от madisson (ok) on 01-Окт-09, 12:45

>пакеты идущие к любому интерфейсу GW из любой подсети, в том числе
>и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными
>и соответственно отключение forward вам не поможет
спасибо за ответ!
Что порекомендуете? Кроме брендмауэра альтернатив нет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..." +/–

Сообщение от reader (ok) on 01-Окт-09, 13:14

>
>>пакеты идущие к любому интерфейсу GW из любой подсети, в том числе
>>и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными
>>и соответственно отключение forward вам не поможет
>
>спасибо за ответ!
>Что порекомендуете? Кроме брендмауэра альтернатив нет?
без изменения логики работы ядра возможно ничего.
в ADSL модемах, в шлюзах, .... iptables встраивают.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..." +/–

Сообщение от madisson (ok) on 01-Окт-09, 13:40

>без изменения логики работы ядра возможно ничего.
>в ADSL модемах, в шлюзах, .... iptables встраивают.
а тут низзя... :-) ладно, будем ставить вопрос на голо-сование. Спасибо.
ps: еще порою в сторону ebtables , впрочем, хрен редьки не слаще.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..." +/–

Сообщение от reader (ok) on 01-Окт-09, 14:11

>
>>без изменения логики работы ядра возможно ничего.
>>в ADSL модемах, в шлюзах, .... iptables встраивают.
>
>а тут низзя... :-) ладно, будем ставить вопрос на голо-сование. Спасибо.
>
>ps: еще порою в сторону ebtables , впрочем, хрен редьки не слаще.
>
на основе mac адреса , а как с теми кто придет из-за шлюза. на будущее :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..." +/–

Сообщение от madisson (ok) on 01-Окт-09, 14:25

>>ps: еще порою в сторону ebtables , впрочем, хрен редьки не слаще.
>>
>
>на основе mac адреса , а как с теми кто придет из-за
>шлюза. на будущее :)
я полагаю, достаточно будет запретить дестинейшн на противоположный порт (их всего то 2) , а проброс наружу и так запрещен.
ebtables -I FORWARD -i eth0 -d $MAC_ETH3 -j DROP
ebtables -I FORWARD -i eth3 -d $MAC_ETH0 -j DROP
Должно решится, вроде.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..." +/–

Сообщение от ALex_hha (ok) on 01-Окт-09, 20:40

>пакеты идущие к любому интерфейсу GW из любой подсети, в том числе
>и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными
>и соответственно отключение forward вам не поможет
Это с какого перепуга?! Не будет он ничего "пинговать"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..." +/–

Сообщение от ALex_hha (ok) on 01-Окт-09, 21:11

Поспешил, второй интерфейс он будет видеть :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..." +/–

Сообщение от reader (ok) on 01-Окт-09, 21:49

>Поспешил, второй интерфейс он будет видеть :)
когда то я тоже это проверил, только не специально :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..." +/–

Сообщение от madisson (ok) on 02-Окт-09, 07:07

>>Поспешил, второй интерфейс он будет видеть :)
>
>когда то я тоже это проверил, только не специально :)
а я все как то традиционно... все с пробросом наружу всегда боролся, а вот проверить доступ на 2-й интерфес шлюза так и не докумекал. Не, а нах козе боян..., а тут вона как.. понадобился :-D

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..." +/–

Сообщение от ALex_hha (ok) on 02-Окт-09, 14:16

>>Поспешил, второй интерфейс он будет видеть :)
>
>когда то я тоже это проверил, только не специально :)
Кстати, специльно смотрел с помощью tcpdump. Ответы то шли, но при этом на eth1 и lo тихо. Как вообще тогда идет пакет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..." +/–

Сообщение от reader (ok) on 02-Окт-09, 22:54

>>>Поспешил, второй интерфейс он будет видеть :)
>>
>>когда то я тоже это проверил, только не специально :)
>
>Кстати, специльно смотрел с помощью tcpdump. Ответы то шли, но при этом
>на eth1 и lo тихо. Как вообще тогда идет пакет?
если пинг пришел через eth0, то на них ничего и не должно быть.
примерно как описано в 8.9
http://wm-help.net/books-online/book/25686/25686-11.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..." +/–

Сообщение от madisson (ok) on 02-Окт-09, 07:04

>>пакеты идущие к любому интерфейсу GW из любой подсети, в том числе
>>и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными
>>и соответственно отключение forward вам не поможет
>
>Это с какого перепуга?! Не будет он ничего "пинговать"
бггггг
ну радует шо не я один такой :-D
тож одминчег с 10 летним стажем до начхальника дослужился, а о такой хрени не задумывался.. вот так - век живи, век учись!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."		+/–
Сообщение от reader (ok) on 01-Окт-09, 12:34
>[оверквотинг удален] > 255.255.0.0 > U 1003 >0 0 eth0 > > >Это вводная. Теперь особенность: пользователь из сети ххх.ххх.100.0/24 может пустить пинг на >ххх.ххх.33.1 и он к нему вернется. А нужно по ТЗ (это >встраиваемая кастрированная система), чтобы эти интерфейсы были абсолютно невидимы для пользователей >из противоположных сетей. Даже если шлюзом по умолчанию будет эта железка. >Еще раз говорю, без iptables. пакеты идущие к любому интерфейсу GW из любой подсети, в том числе и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными и соответственно отключение forward вам не поможет
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."		+/–
	Сообщение от madisson (ok) on 01-Окт-09, 12:45
	>пакеты идущие к любому интерфейсу GW из любой подсети, в том числе >и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными >и соответственно отключение forward вам не поможет спасибо за ответ! Что порекомендуете? Кроме брендмауэра альтернатив нет?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."		+/–
	Сообщение от reader (ok) on 01-Окт-09, 13:14
	> >>пакеты идущие к любому интерфейсу GW из любой подсети, в том числе >>и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными >>и соответственно отключение forward вам не поможет > >спасибо за ответ! >Что порекомендуете? Кроме брендмауэра альтернатив нет? без изменения логики работы ядра возможно ничего. в ADSL модемах, в шлюзах, .... iptables встраивают.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."		+/–
	Сообщение от madisson (ok) on 01-Окт-09, 13:40
	>без изменения логики работы ядра возможно ничего. >в ADSL модемах, в шлюзах, .... iptables встраивают. а тут низзя... :-) ладно, будем ставить вопрос на голо-сование. Спасибо. ps: еще порою в сторону ebtables , впрочем, хрен редьки не слаще.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."		+/–
	Сообщение от reader (ok) on 01-Окт-09, 14:11
	> >>без изменения логики работы ядра возможно ничего. >>в ADSL модемах, в шлюзах, .... iptables встраивают. > >а тут низзя... :-) ладно, будем ставить вопрос на голо-сование. Спасибо. > >ps: еще порою в сторону ebtables , впрочем, хрен редьки не слаще. > на основе mac адреса , а как с теми кто придет из-за шлюза. на будущее :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."		+/–
	Сообщение от madisson (ok) on 01-Окт-09, 14:25
	>>ps: еще порою в сторону ebtables , впрочем, хрен редьки не слаще. >> > >на основе mac адреса , а как с теми кто придет из-за >шлюза. на будущее :) я полагаю, достаточно будет запретить дестинейшн на противоположный порт (их всего то 2) , а проброс наружу и так запрещен. ebtables -I FORWARD -i eth0 -d $MAC_ETH3 -j DROP ebtables -I FORWARD -i eth3 -d $MAC_ETH0 -j DROP Должно решится, вроде.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."		+/–
	Сообщение от ALex_hha (ok) on 01-Окт-09, 20:40
	>пакеты идущие к любому интерфейсу GW из любой подсети, в том числе >и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными >и соответственно отключение forward вам не поможет Это с какого перепуга?! Не будет он ничего "пинговать"
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."		+/–
	Сообщение от ALex_hha (ok) on 01-Окт-09, 21:11
	Поспешил, второй интерфейс он будет видеть :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."		+/–
	Сообщение от reader (ok) on 01-Окт-09, 21:49
	>Поспешил, второй интерфейс он будет видеть :) когда то я тоже это проверил, только не специально :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."		+/–
	Сообщение от madisson (ok) on 02-Окт-09, 07:07
	>>Поспешил, второй интерфейс он будет видеть :) > >когда то я тоже это проверил, только не специально :) а я все как то традиционно... все с пробросом наружу всегда боролся, а вот проверить доступ на 2-й интерфес шлюза так и не докумекал. Не, а нах козе боян..., а тут вона как.. понадобился :-D
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."		+/–
	Сообщение от ALex_hha (ok) on 02-Окт-09, 14:16
	>>Поспешил, второй интерфейс он будет видеть :) > >когда то я тоже это проверил, только не специально :) Кстати, специльно смотрел с помощью tcpdump. Ответы то шли, но при этом на eth1 и lo тихо. Как вообще тогда идет пакет?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."		+/–
	Сообщение от reader (ok) on 02-Окт-09, 22:54
	>>>Поспешил, второй интерфейс он будет видеть :) >> >>когда то я тоже это проверил, только не специально :) > >Кстати, специльно смотрел с помощью tcpdump. Ответы то шли, но при этом >на eth1 и lo тихо. Как вообще тогда идет пакет? если пинг пришел через eth0, то на них ничего и не должно быть. примерно как описано в 8.9 http://wm-help.net/books-online/book/25686/25686-11.html
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет..."		+/–
	Сообщение от madisson (ok) on 02-Окт-09, 07:04
	>>пакеты идущие к любому интерфейсу GW из любой подсети, в том числе >>и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными >>и соответственно отключение forward вам не поможет > >Это с какого перепуга?! Не будет он ничего "пинговать" бггггг ну радует шо не я один такой :-D тож одминчег с 10 летним стажем до начхальника дослужился, а о такой хрени не задумывался.. вот так - век живи, век учись!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору