forum.opennet.ru - "iptables и 135-139 ports не дропает" (30)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"iptables и 135-139 ports не дропает"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"iptables и 135-139 ports не дропает"
Сообщение от mad_user on 16-Авг-05, 15:43 (MSK)
Люди, помогите , второй раз не могу получить ответа. Поствил линуховую машину в вениковскую сеть и меня задолбали broadcast от вениковских клиентов. Пытаюсь забанить их iptables . Пишет что вроде DROP их всех, но ifconfig их считет. Как мне от них избавиться ???
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

iptables и 135-139 ports не дропает, mezantrop, 15:55 , 16-Авг-05, (1)
- iptables и 135-139 ports не дропает, mad_user, 16:01 , 16-Авг-05, (2)
  - iptables и 135-139 ports не дропает, mezantrop, 16:09 , 16-Авг-05, (3)
  - iptables и 135-139 ports не дропает, redmoon, 16:13 , 16-Авг-05, (4)
    - iptables и 135-139 ports не дропает, mezantrop, 16:32 , 16-Авг-05, (5)
      - iptables и 135-139 ports не дропает, redmoon, 16:42 , 16-Авг-05, (6)
        
        iptables и 135-139 ports не дропает, mezantrop, 17:10 , 16-Авг-05, (7)
        
        iptables и 135-139 ports не дропает, redmoon, 17:13 , 16-Авг-05, (8)
        
        iptables и 135-139 ports не дропает, mad_user, 12:31 , 17-Авг-05, (9)
iptables и 135-139 ports не дропает, mad_user, 12:33 , 17-Авг-05, (10)
- iptables и 135-139 ports не дропает, mezantrop, 12:37 , 17-Авг-05, (11)
- iptables и 135-139 ports не дропает, redmoon, 12:38 , 17-Авг-05, (12)
- iptables и 135-139 ports не дропает, mad_user, 12:41 , 17-Авг-05, (13)
  - iptables и 135-139 ports не дропает, mad_user, 12:44 , 17-Авг-05, (14)
    - iptables и 135-139 ports не дропает, KOBA_LTD, 12:53 , 17-Авг-05, (16)
  - iptables и 135-139 ports не дропает, KOBA_LTD, 12:51 , 17-Авг-05, (15)
    - iptables и 135-139 ports не дропает, KOBA_LTD, 12:57 , 17-Авг-05, (17)
    - iptables и 135-139 ports не дропает, mad_user, 13:00 , 17-Авг-05, (18)
      - iptables и 135-139 ports не дропает, KOBA_LTD, 13:10 , 17-Авг-05, (19)
        
        iptables и 135-139 ports не дропает, mad_user, 13:23 , 17-Авг-05, (20)
        
        iptables и 135-139 ports не дропает, KOBA_LTD, 13:37 , 17-Авг-05, (21)
        
        iptables и 135-139 ports не дропает, mad_user, 13:43 , 17-Авг-05, (22)
        
        iptables и 135-139 ports не дропает, KOBA_LTD, 13:47 , 17-Авг-05, (23)
        
        iptables и 135-139 ports не дропает, mad_user, 13:50 , 17-Авг-05, (24)
        
        iptables и 135-139 ports не дропает, KOBA_LTD, 13:59 , 17-Авг-05, (26)
        
        iptables и 135-139 ports не дропает, scream, 13:54 , 17-Авг-05, (25)
iptables и 135-139 ports не дропает, mad_user, 14:00 , 17-Авг-05, (27)
- iptables и 135-139 ports не дропает, KOBA_LTD, 14:08 , 17-Авг-05, (29)
iptables и 135-139 ports не дропает, mad_user, 14:04 , 17-Авг-05, (28)
- iptables и 135-139 ports не дропает, dimus, 15:13 , 17-Авг-05, (30)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "iptables и 135-139 ports не дропает"

Сообщение от mezantrop (??) on 16-Авг-05, 15:55  (MSK)

>Люди, помогите , второй раз не могу получить ответа.
>Поствил линуховую машину в вениковскую сеть и меня задолбали broadcast от вениковских
>клиентов. Пытаюсь забанить их iptables . Пишет что вроде DROP их
>всех, но ifconfig их считет.
>Как мне от них избавиться ???
Ой, мама, он меня посчитал... Дык все правильно, еще бы он их не считал! Если фарвол дропнул пакет, значит на интерфейсе он пакет появился, иначе нечего дропать было бы. Соответственно, ifconfig'ом увиделось, что пакет получили, а фарволом мы его потом дропнули. Все счастливы.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "iptables и 135-139 ports не дропает"

Сообщение от mad_user on 16-Авг-05, 16:01  (MSK)

А как нить обсчет этит портов отключить можно ???
Если я его как сервак поставлю у меня потом глаза вылазать будут от трафика на внешнем интерфейсе....

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "iptables и 135-139 ports не дропает"

Сообщение от mezantrop (??) on 16-Авг-05, 16:09  (MSK)

>А как нить обсчет этит портов отключить можно ???
>Если я его как сервак поставлю у меня потом глаза вылазать будут
>от трафика на внешнем интерфейсе....
считать файрволлом

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "iptables и 135-139 ports не дропает"

Сообщение от redmoon (??) on 16-Авг-05, 16:13  (MSK)

>А как нить обсчет этит портов отключить можно ???
>Если я его как сервак поставлю у меня потом глаза вылазать будут
>от трафика на внешнем интерфейсе....

никак .. если провайдер повернул к вам трафик, то он его уже посчитал, и провайдеру пофиг, приняли ли вы пакет или нет.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "iptables и 135-139 ports не дропает"

Сообщение от mezantrop (??) on 16-Авг-05, 16:32  (MSK)

>>А как нить обсчет этит портов отключить можно ???
>>Если я его как сервак поставлю у меня потом глаза вылазать будут
>>от трафика на внешнем интерфейсе....
>
>
>никак .. если провайдер повернул к вам трафик, то он его уже
>посчитал, и провайдеру пофиг, приняли ли вы пакет или нет.
ИМХО, "веники" наверняка во внутренней сети сидят, так что они файрволятся и провайдеру дела до них не будет. Кстати, у меня сложилось впечатление, что автор сам в некоторой степени провайдер.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "iptables и 135-139 ports не дропает"

Сообщение от redmoon (??) on 16-Авг-05, 16:42  (MSK)

>>>А как нить обсчет этит портов отключить можно ???
>>>Если я его как сервак поставлю у меня потом глаза вылазать будут
>>>от трафика на внешнем интерфейсе....
>>
>>
>>никак .. если провайдер повернул к вам трафик, то он его уже
>>посчитал, и провайдеру пофиг, приняли ли вы пакет или нет.
>
>ИМХО, "веники" наверняка во внутренней сети сидят, так что они файрволятся и
>провайдеру дела до них не будет. Кстати, у меня сложилось впечатление,
>что автор сам в некоторой степени провайдер.
ну может быть и аффтар пров, просто я как радотник провайдера знаю точно.
что нам пох принимает ли клиент трафик или нет. если он (трафик) прошел через нас, то мы его считаем.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "iptables и 135-139 ports не дропает"

Сообщение от mezantrop (??) on 16-Авг-05, 17:10  (MSK)

>что нам пох принимает ли клиент трафик или нет. если он (трафик)
>прошел через нас, то мы его считаем.
Ессно, это ж денюшка, честно заработанная!

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "iptables и 135-139 ports не дропает"

Сообщение от redmoon (??) on 16-Авг-05, 17:13  (MSK)

>>что нам пох принимает ли клиент трафик или нет. если он (трафик)
>>прошел через нас, то мы его считаем.
>Ессно, это ж денюшка, честно заработанная!

вот именно!!!!!

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "iptables и 135-139 ports не дропает"

Сообщение от mad_user on 17-Авг-05, 12:31  (MSK)

Блин... Никакой я не пров. ( Хорошая шутка была. мне понравилось )
У меня 2 сетки. Одна Локалка( eth0 ). Другая к компу ( Вин 2003 ), который инет раздает по зданию( eth1 ) ( Свой ADSL не получается поставить - все телефоны на уплотнителе ) Недавно поставил Линухи, так меня сначала испугал трафик на eth1. Я его пытался по iptables убрать, так ifconfig всеравно считает, ( по tcpdump показывает, что на eth1 бегают бродкасты от eth0 :137 порт )хотя iptables дропает эти пакеты.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "iptables и 135-139 ports не дропает"

Сообщение от mad_user on 17-Авг-05, 12:33  (MSK)

И еще вопрос... если они уходят на прова, он их как траф считает ????

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "iptables и 135-139 ports не дропает"

Сообщение от mezantrop (??) on 17-Авг-05, 12:37  (MSK)

>И еще вопрос... если они уходят на прова, он их как траф
>считает ????
Конечно считает.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "iptables и 135-139 ports не дропает"

Сообщение от redmoon (??) on 17-Авг-05, 12:38  (MSK)

>И еще вопрос... если они уходят на прова, он их как траф
>считает ????

естественно считает.
это же трафик.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "iptables и 135-139 ports не дропает"

Сообщение от mad_user on 17-Авг-05, 12:41  (MSK)

Ну а как же их банить тогда ??? И чему верить ????
И вообще, как проверить что с ифейса уходит и приходит на него

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "iptables и 135-139 ports не дропает"

Сообщение от mad_user on 17-Авг-05, 12:44  (MSK)

Уж подскажите мне как быть ???
Линухи получается не могут нормально работать с вениковскими клиентами - не верю....
Просто при перегоне например файла в 2 - гига. на INET ифейсе мне примерно пол файла ifconfig отсчитывает

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "iptables и 135-139 ports не дропает"

Сообщение от KOBA_LTD on 17-Авг-05, 12:53  (MSK)

>Уж подскажите мне как быть ???
>Линухи получается не могут нормально работать с вениковскими клиентами - не верю....
>
>Просто при перегоне например файла в 2 - гига. на INET ифейсе
>мне примерно пол файла ifconfig отсчитывает
Перегон куда и чего и откуда?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "iptables и 135-139 ports не дропает"

Сообщение от KOBA_LTD on 17-Авг-05, 12:51  (MSK)

>Ну а как же их банить тогда ??? И чему верить ????
>
>И вообще, как проверить что с ифейса уходит и приходит на него
>
А ты их не за банишь никак только если будет банить их сам провайдер. Проверить что бегает через интерфей это tcpdump. если ты боишся брадкастовых (широковещательных) из серии ххх.ххх.ххх.255 то такие запросы могут валиться к тебе только из сетки самого провайдера. И вообще если ты считаешь что к тебе бежит всякий мусор то отлавливаешь это мусор tcpdump'ом и отсылай провайдеру с просьбой устаринть сее безобразие (мусор - это брадкастовые запросы и пакеты не для твоего IP). По поводу портов ты можешь отослать письмо провайдеру с просьбой закрыть входящий или исходящий или тот и друкой трафик по тем портам по которым ты считаешь нужным.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "iptables и 135-139 ports не дропает"

Сообщение от KOBA_LTD on 17-Авг-05, 12:57  (MSK)

>>Ну а как же их банить тогда ??? И чему верить ????
>>
>>И вообще, как проверить что с ифейса уходит и приходит на него
>>
>А ты их не за банишь никак только если будет банить их
>сам провайдер. Проверить что бегает через интерфей это tcpdump. если ты
>боишся брадкастовых (широковещательных) из серии ххх.ххх.ххх.255 то такие запросы могут валиться
>к тебе только из сетки самого провайдера. И вообще если ты
>считаешь что к тебе бежит всякий мусор то отлавливаешь это мусор
>tcpdump'ом и отсылай провайдеру с просьбой устаринть сее безобразие (мусор -
>это брадкастовые запросы и пакеты не для твоего IP). По поводу
>портов ты можешь отослать письмо провайдеру с просьбой закрыть входящий или
>исходящий или тот и друкой трафик по тем портам по которым
>ты считаешь нужным.
К стати здесь на форуме был предложен вариант от избавления от брадкастовых запросов для этого на просто на всех машинах в сети для всех возможних ip для это сети прописать в arp таблице mac адреса.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "iptables и 135-139 ports не дропает"

Сообщение от mad_user on 17-Авг-05, 13:00  (MSK)

То бишь если Этот пакет бродкаст,( ххх.ххх.ххх.255 ) то мне боятся типа негего ???? На инет траф это не влияет ????
У меня кроме моей сетки Больше по tcpdump не наблюдаюся вроде как никакие IP
Я вот боюсь единственное, что ISA Server  которая стоит на GW может мне эти пакеты как трафик считать

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "iptables и 135-139 ports не дропает"

Сообщение от KOBA_LTD on 17-Авг-05, 13:10  (MSK)

>То бишь если Этот пакет бродкаст,( ххх.ххх.ххх.255 ) то мне боятся типа
>негего ???? На инет траф это не влияет ????
>
>У меня кроме моей сетки Больше по tcpdump не наблюдаюся вроде как
>никакие IP
>Я вот боюсь единственное, что ISA Server  которая стоит на GW
>может мне эти пакеты как трафик считать

Ты по мойму сам запутался в своих штанах.
Давай попорядку полностью словия задачи. т.е.
приблизительно в таком духе.
"Есть есть 192.168.0.0/255.255.255.0 она выходит в инет через машину 1 на этой машине два интерфейса eth0 смотрит в лакалу eth1 смотрит в инет. на интерфейсе eth1 я ловлю тото , как мне от этого избавиться. или Я делаюто тото а происходит тот - почему" и дальше в тако духе. А то ты что то кудато прекидываешь. Тебе что то считаеться. Но ты толком ничего не сказал на каком интефейсе из какой сетки (внешней или внутренней) тебе что то нужно отсеевать. ТЕЛЕПАТЫ В ОТПУСКЕ.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "iptables и 135-139 ports не дропает"

Сообщение от mad_user on 17-Авг-05, 13:23  (MSK)

Объясняю....
1. Существует сервер моей организации ( SERVER ) !
Существует Локальная сеть моей организации, ( Server - eth0 )
Существует Интернет Gateway ( INET GW )- компьютер на котором стоит ISA SERVER, который раздает интернет ( NAT ) по всему зданию. Я не могу подключить свой сервер ( SERVER ) к DSL из за технических невозможностей.
Мой сервер организации ( SERVER ) подключен к INET GW по eth1
2. Так вот... если мне приходится копировать с / на SERVER какую либо инфу ( например файл в 2 Гига ), то на eth1 я начинаю наблюдать broadcast пакеты из eth0. Дропаю их iptables, Пишет, что дроп, но реально я их все равно наблюдаю по tcpdump.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "iptables и 135-139 ports не дропает"

Сообщение от KOBA_LTD on 17-Авг-05, 13:37  (MSK)

>Объясняю....
>
>1. Существует сервер моей организации ( SERVER ) !
>
>Существует Локальная сеть моей организации, ( Server - eth0 )
>
>Существует Интернет Gateway ( INET GW )- компьютер на котором стоит ISA
>SERVER, который раздает интернет ( NAT ) по всему зданию. Я
>не могу подключить свой сервер ( SERVER ) к DSL из
>за технических невозможностей.
>
>Мой сервер организации ( SERVER ) подключен к INET GW по eth1
>
>
>2. Так вот... если мне приходится копировать с / на SERVER какую
>либо инфу ( например файл в 2 Гига ), то на
>eth1 я начинаю наблюдать broadcast пакеты из eth0. Дропаю их iptables,
>Пишет, что дроп, но реально я их все равно наблюдаю по
>tcpdump.

1. В таком вареанте ты их конешноже видишь в ifconfig'е только если ты их дропнул ippables то оны в "инет" не уходят.
2. Если даже они уходят то дальне (неправельно дропаешь допустим)ISA Servera ни не пройдут - т.е. провайдер не может считать их исходящим трафиком.
3. чтоб это небыло и не приходилось дропать перекомпели самбу или подправь конфиг (что больше нравиться) чтоб она работа только с eth0 все остально в том числе и lo откли в ней.
Если хочешь более конкретно то скидывай конфик самбы. всех цыпочек с iptables дамп и интерфейса и таблицу routa.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

22. "iptables и 135-139 ports не дропает"

Сообщение от mad_user on 17-Авг-05, 13:43  (MSK)

Я тоже вначале думал. что это виновата samba  или squid.. Шас стоят голые линухи без ничего....
Только ядро ( стандартное ) Linux Debian 3.1

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

23. "iptables и 135-139 ports не дропает"

Сообщение от KOBA_LTD on 17-Авг-05, 13:47  (MSK)

>Я тоже вначале думал. что это виновата samba  или squid.. Шас
>стоят голые линухи без ничего....
>
>Только ядро ( стандартное ) Linux Debian 3.1

Конфиги логи дампы правила таблицы в студию

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

24. "iptables и 135-139 ports не дропает"

Сообщение от mad_user on 17-Авг-05, 13:50  (MSK)

Как скажите... я еще многово не знаю как сделать. что могу - выложу....
А остальное - плиз командами подскажите...

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

26. "iptables и 135-139 ports не дропает"

Сообщение от KOBA_LTD on 17-Авг-05, 13:59  (MSK)

>Как скажите... я еще многово не знаю как сделать. что могу -
>выложу....
>А остальное - плиз командами подскажите...
1)iptables -L > что-то там/iptables
2)iptables -t nat -L > что-то там/nat
3)tcpdump -i eth0 > что-то там/eth0
4)tcpdump -i eth1 > что-то там/eth1
5) ifconfig > что-то там/ifconfig-start
6)после запустка дампа погоняй как ты там приводил пример с файлом.
7) ifcongig > что-то там/ifconfig-end
8)route > что-то там/route
9)если запущениы то конфики от samba и squid

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

25. "iptables и 135-139 ports не дропает"

Сообщение от scream (ok) on 17-Авг-05, 13:54  (MSK)

Зачем все это? Это широковещание из локалки не пройдет дальше его Linuxa и не попадет на ISA откуда б оно ни бралось (разрешение имен, arp). И уж тем более не пройдет через ISA. Т.е., никогда не будет посчитано как траф инета. А бороться с ним статическими arp-ами на каждой машине особого смысла нет.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

27. "iptables и 135-139 ports не дропает"

Сообщение от mad_user on 17-Авг-05, 14:00  (MSK)

Это tcpdump от внешнего ифейса ( на INET GW )
debian:/proc/sys/net/ipv4# tcpdump -i eth1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
13:49:18.930712 arp who-has 10.1.1.2 tell 10.1.1.3
13:49:18.931428 arp who-has 10.1.1.1 tell debian.WG_RAS
13:49:18.955630 IP 10.1.1.3.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
13:49:18.955758 arp who-has 10.1.1.3 tell 10.1.1.10
13:49:21.267665 IP 10.1.1.23.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
13:49:21.490805 IP 10.1.1.28.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
13:49:21.602843 IP 10.1.1.15.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
13:49:22.016887 IP 10.1.1.23.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
13:49:22.236255 IP 10.1.1.28.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
13:49:22.346464 IP 10.1.1.15.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
13:49:22.767926 IP 10.1.1.23.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
11 packets captured
11 packets received by filter
0 packets dropped by kernel
правила IPTABLES ( могут быть не верными,я еще плохо разбираюсь, но пишет, что дропают )
#!/bin/bash
echo "1" > /proc/sys/net/ipv4/ip_forward
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -P FORWARD DROP
iptables -I INPUT -p UDP -i eth0 --sport 137:139 -j DROP
iptables -I INPUT -p UDP -i eth0 --dport 137:139 -j DROP
iptables -I FORWARD -p UDP -i eth0 --sport 137:139 -j DROP
iptables -I FORWARD -p UDP -i eth0 --dport 137:139 -j DROP
iptables -I OUTPUT -p UDP --sport 137:139 -j DROP
iptables -I OUTPUT -p UDP --dport 137:139 -j DROP
iptables -I INPUT -p UDP --sport 137:139 -j DROP
iptables -I INPUT -p UDP --dport 137:139 -j DROP
iptables -I FORWARD -p UDP --sport 137:139 -j DROP
iptables -I FORWARD -p UDP --dport 137:139 -j DROP
debian:/config# iptables -nvxL
Chain INPUT (policy ACCEPT 6299 packets, 299756 bytes)
    pkts      bytes target     prot opt in     out     source               destination
     602    48164 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spts:137:139
       0        0 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp spts:137:139
   24035  1926301 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:137:139
       0        0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spts:137:139
       0        0 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpts:137:139
       0        0 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp spts:137:139
     121     9589 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:137:139
       0        0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spts:137:139
       0        0 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpts:137:139
       0        0 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp spts:137:139
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:137:139
       0        0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spts:137:139
       0        0 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpts:137:139
       0        0 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp spts:137:139
Chain OUTPUT (policy ACCEPT 11283 packets, 2555057 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:137:139
       0        0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spts:137:139
       0        0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:137:139
       0        0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spts:137:139
debian:/config#

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

29. "iptables и 135-139 ports не дропает"

Сообщение от KOBA_LTD on 17-Авг-05, 14:08  (MSK)

>Это tcpdump от внешнего ифейса ( на INET GW )
>
>debian:/proc/sys/net/ipv4# tcpdump -i eth1
>tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
>
>listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
>13:49:18.930712 arp who-has 10.1.1.2 tell 10.1.1.3
>13:49:18.931428 arp who-has 10.1.1.1 tell debian.WG_RAS
>13:49:18.955630 IP 10.1.1.3.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
>13:49:18.955758 arp who-has 10.1.1.3 tell 10.1.1.10
>13:49:21.267665 IP 10.1.1.23.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
>13:49:21.490805 IP 10.1.1.28.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
>13:49:21.602843 IP 10.1.1.15.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
>13:49:22.016887 IP 10.1.1.23.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
>13:49:22.236255 IP 10.1.1.28.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
>13:49:22.346464 IP 10.1.1.15.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
>13:49:22.767926 IP 10.1.1.23.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
>
>11 packets captured
>11 packets received by filter
>0 packets dropped by kernel
>
>правила IPTABLES ( могут быть не верными,я еще плохо разбираюсь, но пишет,
>что дропают )
>
>#!/bin/bash
>
>echo "1" > /proc/sys/net/ipv4/ip_forward
>
>#iptables -P INPUT DROP
>#iptables -P OUTPUT DROP
>#iptables -P FORWARD DROP
>iptables -I INPUT -p UDP -i eth0 --sport 137:139 -j DROP
>iptables -I INPUT -p UDP -i eth0 --dport 137:139 -j DROP
>
>iptables -I FORWARD -p UDP -i eth0 --sport 137:139 -j DROP
>iptables -I FORWARD -p UDP -i eth0 --dport 137:139 -j DROP
>
>iptables -I OUTPUT -p UDP --sport 137:139 -j DROP
>iptables -I OUTPUT -p UDP --dport 137:139 -j DROP
>
>iptables -I INPUT -p UDP --sport 137:139 -j DROP
>iptables -I INPUT -p UDP --dport 137:139 -j DROP
>
>iptables -I FORWARD -p UDP --sport 137:139 -j DROP
>iptables -I FORWARD -p UDP --dport 137:139 -j DROP
>
>debian:/config# iptables -nvxL
>Chain INPUT (policy ACCEPT 6299 packets, 299756 bytes)
>    pkts      bytes target
>    prot opt in
>out     source
>         destination
>     602    48164 DROP
>     udp  --  *
>    *
>0.0.0.0/0
> 0.0.0.0/0
> udp spts:137:139
>       0
>   0 DROP
>udp  --  eth0   *
>   0.0.0.0/0
>    0.0.0.0/0
>    udp spts:137:139
>   24035  1926301 DROP
> udp  --  *
>*       0.0.0.0/0
>        0.0.0.0/0
>        udp dpts:137:139
>       0
>   0 DROP
>udp  --  *      *
>      0.0.0.0/0
>       0.0.0.0/0
>       udp spts:137:139
>       0
>   0 DROP
>udp  --  eth0   *
>   0.0.0.0/0
>    0.0.0.0/0
>    udp dpts:137:139
>       0
>   0 DROP
>udp  --  eth0   *
>   0.0.0.0/0
>    0.0.0.0/0
>    udp spts:137:139
>     121     9589 DROP
>      udp  --  *
>     *
> 0.0.0.0/0
>  0.0.0.0/0
>  udp dpts:137:139
>       0
>   0 DROP
>udp  --  *      *
>      0.0.0.0/0
>       0.0.0.0/0
>       udp spts:137:139
>       0
>   0 DROP
>udp  --  eth0   *
>   0.0.0.0/0
>    0.0.0.0/0
>    udp dpts:137:139
>       0
>   0 DROP
>udp  --  eth0   *
>   0.0.0.0/0
>    0.0.0.0/0
>    udp spts:137:139
>
>Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
>    pkts      bytes target
>    prot opt in
>out     source
>         destination
>       0
>   0 DROP
>udp  --  *      *
>      0.0.0.0/0
>       0.0.0.0/0
>       udp dpts:137:139
>       0
>   0 DROP
>udp  --  *      *
>      0.0.0.0/0
>       0.0.0.0/0
>       udp spts:137:139
>       0
>   0 DROP
>udp  --  eth0   *
>   0.0.0.0/0
>    0.0.0.0/0
>    udp dpts:137:139
>       0
>   0 DROP
>udp  --  eth0   *
>   0.0.0.0/0
>    0.0.0.0/0
>    udp spts:137:139
>
>Chain OUTPUT (policy ACCEPT 11283 packets, 2555057 bytes)
>    pkts      bytes target
>    prot opt in
>out     source
>         destination
>       0
>   0 DROP
>udp  --  *      *
>      0.0.0.0/0
>       0.0.0.0/0
>       udp dpts:137:139
>       0
>   0 DROP
>udp  --  *      *
>      0.0.0.0/0
>       0.0.0.0/0
>       udp spts:137:139
>       0
>   0 DROP
>udp  --  *      *
>      0.0.0.0/0
>       0.0.0.0/0
>       udp dpts:137:139
>       0
>   0 DROP
>udp  --  *      *
>      0.0.0.0/0
>       0.0.0.0/0
>       udp spts:137:139
>debian:/config#

Мой тебе совет (даже не совет а аксиома)
дропай все в вцепочке а потом разрешай только то что тебе нужно.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

28. "iptables и 135-139 ports не дропает"

Сообщение от mad_user on 17-Авг-05, 14:04  (MSK)

debian:/config# cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
        address 10.1.1.254
        netmask 255.255.255.0
        network 10.1.1.0
        broadcast 10.1.1.255
        gateway 10.1.1.1
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 10.1.1.1
        dns-search WG_RAS

auto eth1
iface eth1 inet static
        address 192.168.1.151
        network 192.168.1.128
        broadcast 192.168.1.130
        netmask 255.255.255.0
        gateway 192.168.1.129
debian:/config# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     *               255.255.255.0   U     0      0        0 eth1
localnet        *               255.255.255.0   U     0      0        0 eth0
default         192.168.1.129   0.0.0.0         UG    0      0        0 eth1
default         10.1.1.1        0.0.0.0         UG    0      0        0 eth0

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

30. "iptables и 135-139 ports не дропает"

Сообщение от dimus (??) on 17-Авг-05, 15:13  (MSK)

Я встерчался со случаями, когда вроде бы правильно написанные правила файервола нив какую не делали то, что положено. Как показало расследование, виною были недозагруженные модули. Проверьте на всякий случай, как у вас обстоят с этим дела, а еще лучше вкомпилировать их в ядро статически (по крайней мере мне так кажется)
lsmod покажет вам, какие модули загружены

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "iptables и 135-139 ports не дропает"
Сообщение от mezantrop (??) on 16-Авг-05, 15:55 (MSK)
>Люди, помогите , второй раз не могу получить ответа. >Поствил линуховую машину в вениковскую сеть и меня задолбали broadcast от вениковских >клиентов. Пытаюсь забанить их iptables . Пишет что вроде DROP их >всех, но ifconfig их считет. >Как мне от них избавиться ??? Ой, мама, он меня посчитал... Дык все правильно, еще бы он их не считал! Если фарвол дропнул пакет, значит на интерфейсе он пакет появился, иначе нечего дропать было бы. Соответственно, ifconfig'ом увиделось, что пакет получили, а фарволом мы его потом дропнули. Все счастливы.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "iptables и 135-139 ports не дропает"
	Сообщение от mad_user on 16-Авг-05, 16:01 (MSK)
	А как нить обсчет этит портов отключить можно ??? Если я его как сервак поставлю у меня потом глаза вылазать будут от трафика на внешнем интерфейсе....
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "iptables и 135-139 ports не дропает"
	Сообщение от mezantrop (??) on 16-Авг-05, 16:09 (MSK)
	>А как нить обсчет этит портов отключить можно ??? >Если я его как сервак поставлю у меня потом глаза вылазать будут >от трафика на внешнем интерфейсе.... считать файрволлом
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "iptables и 135-139 ports не дропает"
	Сообщение от redmoon (??) on 16-Авг-05, 16:13 (MSK)
	>А как нить обсчет этит портов отключить можно ??? >Если я его как сервак поставлю у меня потом глаза вылазать будут >от трафика на внешнем интерфейсе.... никак .. если провайдер повернул к вам трафик, то он его уже посчитал, и провайдеру пофиг, приняли ли вы пакет или нет.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "iptables и 135-139 ports не дропает"
	Сообщение от mezantrop (??) on 16-Авг-05, 16:32 (MSK)
	>>А как нить обсчет этит портов отключить можно ??? >>Если я его как сервак поставлю у меня потом глаза вылазать будут >>от трафика на внешнем интерфейсе.... > > >никак .. если провайдер повернул к вам трафик, то он его уже >посчитал, и провайдеру пофиг, приняли ли вы пакет или нет. ИМХО, "веники" наверняка во внутренней сети сидят, так что они файрволятся и провайдеру дела до них не будет. Кстати, у меня сложилось впечатление, что автор сам в некоторой степени провайдер.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "iptables и 135-139 ports не дропает"
	Сообщение от redmoon (??) on 16-Авг-05, 16:42 (MSK)
	>>>А как нить обсчет этит портов отключить можно ??? >>>Если я его как сервак поставлю у меня потом глаза вылазать будут >>>от трафика на внешнем интерфейсе.... >> >> >>никак .. если провайдер повернул к вам трафик, то он его уже >>посчитал, и провайдеру пофиг, приняли ли вы пакет или нет. > >ИМХО, "веники" наверняка во внутренней сети сидят, так что они файрволятся и >провайдеру дела до них не будет. Кстати, у меня сложилось впечатление, >что автор сам в некоторой степени провайдер. ну может быть и аффтар пров, просто я как радотник провайдера знаю точно. что нам пох принимает ли клиент трафик или нет. если он (трафик) прошел через нас, то мы его считаем.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "iptables и 135-139 ports не дропает"
	Сообщение от mezantrop (??) on 16-Авг-05, 17:10 (MSK)
	>что нам пох принимает ли клиент трафик или нет. если он (трафик) >прошел через нас, то мы его считаем. Ессно, это ж денюшка, честно заработанная!
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "iptables и 135-139 ports не дропает"
	Сообщение от redmoon (??) on 16-Авг-05, 17:13 (MSK)
	>>что нам пох принимает ли клиент трафик или нет. если он (трафик) >>прошел через нас, то мы его считаем. >Ессно, это ж денюшка, честно заработанная! вот именно!!!!!
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "iptables и 135-139 ports не дропает"
	Сообщение от mad_user on 17-Авг-05, 12:31 (MSK)
	Блин... Никакой я не пров. ( Хорошая шутка была. мне понравилось ) У меня 2 сетки. Одна Локалка( eth0 ). Другая к компу ( Вин 2003 ), который инет раздает по зданию( eth1 ) ( Свой ADSL не получается поставить - все телефоны на уплотнителе ) Недавно поставил Линухи, так меня сначала испугал трафик на eth1. Я его пытался по iptables убрать, так ifconfig всеравно считает, ( по tcpdump показывает, что на eth1 бегают бродкасты от eth0 :137 порт )хотя iptables дропает эти пакеты.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

10. "iptables и 135-139 ports не дропает"
Сообщение от mad_user on 17-Авг-05, 12:33 (MSK)
И еще вопрос... если они уходят на прова, он их как траф считает ????
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "iptables и 135-139 ports не дропает"
	Сообщение от mezantrop (??) on 17-Авг-05, 12:37 (MSK)
	>И еще вопрос... если они уходят на прова, он их как траф >считает ???? Конечно считает.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "iptables и 135-139 ports не дропает"
	Сообщение от redmoon (??) on 17-Авг-05, 12:38 (MSK)
	>И еще вопрос... если они уходят на прова, он их как траф >считает ???? естественно считает. это же трафик.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "iptables и 135-139 ports не дропает"
	Сообщение от mad_user on 17-Авг-05, 12:41 (MSK)
	Ну а как же их банить тогда ??? И чему верить ???? И вообще, как проверить что с ифейса уходит и приходит на него
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "iptables и 135-139 ports не дропает"
	Сообщение от mad_user on 17-Авг-05, 12:44 (MSK)
	Уж подскажите мне как быть ??? Линухи получается не могут нормально работать с вениковскими клиентами - не верю.... Просто при перегоне например файла в 2 - гига. на INET ифейсе мне примерно пол файла ifconfig отсчитывает
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	16. "iptables и 135-139 ports не дропает"
	Сообщение от KOBA_LTD on 17-Авг-05, 12:53 (MSK)
	>Уж подскажите мне как быть ??? >Линухи получается не могут нормально работать с вениковскими клиентами - не верю.... > >Просто при перегоне например файла в 2 - гига. на INET ифейсе >мне примерно пол файла ifconfig отсчитывает Перегон куда и чего и откуда?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	15. "iptables и 135-139 ports не дропает"
	Сообщение от KOBA_LTD on 17-Авг-05, 12:51 (MSK)
	>Ну а как же их банить тогда ??? И чему верить ???? > >И вообще, как проверить что с ифейса уходит и приходит на него > А ты их не за банишь никак только если будет банить их сам провайдер. Проверить что бегает через интерфей это tcpdump. если ты боишся брадкастовых (широковещательных) из серии ххх.ххх.ххх.255 то такие запросы могут валиться к тебе только из сетки самого провайдера. И вообще если ты считаешь что к тебе бежит всякий мусор то отлавливаешь это мусор tcpdump'ом и отсылай провайдеру с просьбой устаринть сее безобразие (мусор - это брадкастовые запросы и пакеты не для твоего IP). По поводу портов ты можешь отослать письмо провайдеру с просьбой закрыть входящий или исходящий или тот и друкой трафик по тем портам по которым ты считаешь нужным.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	17. "iptables и 135-139 ports не дропает"
	Сообщение от KOBA_LTD on 17-Авг-05, 12:57 (MSK)
	>>Ну а как же их банить тогда ??? И чему верить ???? >> >>И вообще, как проверить что с ифейса уходит и приходит на него >> >А ты их не за банишь никак только если будет банить их >сам провайдер. Проверить что бегает через интерфей это tcpdump. если ты >боишся брадкастовых (широковещательных) из серии ххх.ххх.ххх.255 то такие запросы могут валиться >к тебе только из сетки самого провайдера. И вообще если ты >считаешь что к тебе бежит всякий мусор то отлавливаешь это мусор >tcpdump'ом и отсылай провайдеру с просьбой устаринть сее безобразие (мусор - >это брадкастовые запросы и пакеты не для твоего IP). По поводу >портов ты можешь отослать письмо провайдеру с просьбой закрыть входящий или >исходящий или тот и друкой трафик по тем портам по которым >ты считаешь нужным. К стати здесь на форуме был предложен вариант от избавления от брадкастовых запросов для этого на просто на всех машинах в сети для всех возможних ip для это сети прописать в arp таблице mac адреса.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	18. "iptables и 135-139 ports не дропает"
	Сообщение от mad_user on 17-Авг-05, 13:00 (MSK)
	То бишь если Этот пакет бродкаст,( ххх.ххх.ххх.255 ) то мне боятся типа негего ???? На инет траф это не влияет ???? У меня кроме моей сетки Больше по tcpdump не наблюдаюся вроде как никакие IP Я вот боюсь единственное, что ISA Server которая стоит на GW может мне эти пакеты как трафик считать
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	19. "iptables и 135-139 ports не дропает"
	Сообщение от KOBA_LTD on 17-Авг-05, 13:10 (MSK)
	>То бишь если Этот пакет бродкаст,( ххх.ххх.ххх.255 ) то мне боятся типа >негего ???? На инет траф это не влияет ???? > >У меня кроме моей сетки Больше по tcpdump не наблюдаюся вроде как >никакие IP >Я вот боюсь единственное, что ISA Server которая стоит на GW >может мне эти пакеты как трафик считать Ты по мойму сам запутался в своих штанах. Давай попорядку полностью словия задачи. т.е. приблизительно в таком духе. "Есть есть 192.168.0.0/255.255.255.0 она выходит в инет через машину 1 на этой машине два интерфейса eth0 смотрит в лакалу eth1 смотрит в инет. на интерфейсе eth1 я ловлю тото , как мне от этого избавиться. или Я делаюто тото а происходит тот - почему" и дальше в тако духе. А то ты что то кудато прекидываешь. Тебе что то считаеться. Но ты толком ничего не сказал на каком интефейсе из какой сетки (внешней или внутренней) тебе что то нужно отсеевать. ТЕЛЕПАТЫ В ОТПУСКЕ.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	20. "iptables и 135-139 ports не дропает"
	Сообщение от mad_user on 17-Авг-05, 13:23 (MSK)
	Объясняю.... 1. Существует сервер моей организации ( SERVER ) ! Существует Локальная сеть моей организации, ( Server - eth0 ) Существует Интернет Gateway ( INET GW )- компьютер на котором стоит ISA SERVER, который раздает интернет ( NAT ) по всему зданию. Я не могу подключить свой сервер ( SERVER ) к DSL из за технических невозможностей. Мой сервер организации ( SERVER ) подключен к INET GW по eth1 2. Так вот... если мне приходится копировать с / на SERVER какую либо инфу ( например файл в 2 Гига ), то на eth1 я начинаю наблюдать broadcast пакеты из eth0. Дропаю их iptables, Пишет, что дроп, но реально я их все равно наблюдаю по tcpdump.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	21. "iptables и 135-139 ports не дропает"
	Сообщение от KOBA_LTD on 17-Авг-05, 13:37 (MSK)
	>Объясняю.... > >1. Существует сервер моей организации ( SERVER ) ! > >Существует Локальная сеть моей организации, ( Server - eth0 ) > >Существует Интернет Gateway ( INET GW )- компьютер на котором стоит ISA >SERVER, который раздает интернет ( NAT ) по всему зданию. Я >не могу подключить свой сервер ( SERVER ) к DSL из >за технических невозможностей. > >Мой сервер организации ( SERVER ) подключен к INET GW по eth1 > > >2. Так вот... если мне приходится копировать с / на SERVER какую >либо инфу ( например файл в 2 Гига ), то на >eth1 я начинаю наблюдать broadcast пакеты из eth0. Дропаю их iptables, >Пишет, что дроп, но реально я их все равно наблюдаю по >tcpdump. 1. В таком вареанте ты их конешноже видишь в ifconfig'е только если ты их дропнул ippables то оны в "инет" не уходят. 2. Если даже они уходят то дальне (неправельно дропаешь допустим)ISA Servera ни не пройдут - т.е. провайдер не может считать их исходящим трафиком. 3. чтоб это небыло и не приходилось дропать перекомпели самбу или подправь конфиг (что больше нравиться) чтоб она работа только с eth0 все остально в том числе и lo откли в ней. Если хочешь более конкретно то скидывай конфик самбы. всех цыпочек с iptables дамп и интерфейса и таблицу routa.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	22. "iptables и 135-139 ports не дропает"
	Сообщение от mad_user on 17-Авг-05, 13:43 (MSK)
	Я тоже вначале думал. что это виновата samba или squid.. Шас стоят голые линухи без ничего.... Только ядро ( стандартное ) Linux Debian 3.1
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	23. "iptables и 135-139 ports не дропает"
	Сообщение от KOBA_LTD on 17-Авг-05, 13:47 (MSK)
	>Я тоже вначале думал. что это виновата samba или squid.. Шас >стоят голые линухи без ничего.... > >Только ядро ( стандартное ) Linux Debian 3.1 Конфиги логи дампы правила таблицы в студию
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	24. "iptables и 135-139 ports не дропает"
	Сообщение от mad_user on 17-Авг-05, 13:50 (MSK)
	Как скажите... я еще многово не знаю как сделать. что могу - выложу.... А остальное - плиз командами подскажите...
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	26. "iptables и 135-139 ports не дропает"
	Сообщение от KOBA_LTD on 17-Авг-05, 13:59 (MSK)
	>Как скажите... я еще многово не знаю как сделать. что могу - >выложу.... >А остальное - плиз командами подскажите... 1)iptables -L > что-то там/iptables 2)iptables -t nat -L > что-то там/nat 3)tcpdump -i eth0 > что-то там/eth0 4)tcpdump -i eth1 > что-то там/eth1 5) ifconfig > что-то там/ifconfig-start 6)после запустка дампа погоняй как ты там приводил пример с файлом. 7) ifcongig > что-то там/ifconfig-end 8)route > что-то там/route 9)если запущениы то конфики от samba и squid
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	25. "iptables и 135-139 ports не дропает"
	Сообщение от scream (ok) on 17-Авг-05, 13:54 (MSK)
	Зачем все это? Это широковещание из локалки не пройдет дальше его Linuxa и не попадет на ISA откуда б оно ни бралось (разрешение имен, arp). И уж тем более не пройдет через ISA. Т.е., никогда не будет посчитано как траф инета. А бороться с ним статическими arp-ами на каждой машине особого смысла нет.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

27. "iptables и 135-139 ports не дропает"
Сообщение от mad_user on 17-Авг-05, 14:00 (MSK)
Это tcpdump от внешнего ифейса ( на INET GW ) debian:/proc/sys/net/ipv4# tcpdump -i eth1 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes 13:49:18.930712 arp who-has 10.1.1.2 tell 10.1.1.3 13:49:18.931428 arp who-has 10.1.1.1 tell debian.WG_RAS 13:49:18.955630 IP 10.1.1.3.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 13:49:18.955758 arp who-has 10.1.1.3 tell 10.1.1.10 13:49:21.267665 IP 10.1.1.23.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 13:49:21.490805 IP 10.1.1.28.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 13:49:21.602843 IP 10.1.1.15.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 13:49:22.016887 IP 10.1.1.23.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 13:49:22.236255 IP 10.1.1.28.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 13:49:22.346464 IP 10.1.1.15.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 13:49:22.767926 IP 10.1.1.23.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 11 packets captured 11 packets received by filter 0 packets dropped by kernel правила IPTABLES ( могут быть не верными,я еще плохо разбираюсь, но пишет, что дропают ) #!/bin/bash echo "1" > /proc/sys/net/ipv4/ip_forward #iptables -P INPUT DROP #iptables -P OUTPUT DROP #iptables -P FORWARD DROP iptables -I INPUT -p UDP -i eth0 --sport 137:139 -j DROP iptables -I INPUT -p UDP -i eth0 --dport 137:139 -j DROP iptables -I FORWARD -p UDP -i eth0 --sport 137:139 -j DROP iptables -I FORWARD -p UDP -i eth0 --dport 137:139 -j DROP iptables -I OUTPUT -p UDP --sport 137:139 -j DROP iptables -I OUTPUT -p UDP --dport 137:139 -j DROP iptables -I INPUT -p UDP --sport 137:139 -j DROP iptables -I INPUT -p UDP --dport 137:139 -j DROP iptables -I FORWARD -p UDP --sport 137:139 -j DROP iptables -I FORWARD -p UDP --dport 137:139 -j DROP debian:/config# iptables -nvxL Chain INPUT (policy ACCEPT 6299 packets, 299756 bytes) pkts bytes target prot opt in out source destination 602 48164 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:137:139 0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp spts:137:139 24035 1926301 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:137:139 0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139 0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp spts:137:139 121 9589 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:137:139 0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139 0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp spts:137:139 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:137:139 0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139 0 0 DROP udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp spts:137:139 Chain OUTPUT (policy ACCEPT 11283 packets, 2555057 bytes) pkts bytes target prot opt in out source destination 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:137:139 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139 0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spts:137:139 debian:/config#
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	29. "iptables и 135-139 ports не дропает"
	Сообщение от KOBA_LTD on 17-Авг-05, 14:08 (MSK)
	>Это tcpdump от внешнего ифейса ( на INET GW ) > >debian:/proc/sys/net/ipv4# tcpdump -i eth1 >tcpdump: verbose output suppressed, use -v or -vv for full protocol decode > >listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes >13:49:18.930712 arp who-has 10.1.1.2 tell 10.1.1.3 >13:49:18.931428 arp who-has 10.1.1.1 tell debian.WG_RAS >13:49:18.955630 IP 10.1.1.3.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST >13:49:18.955758 arp who-has 10.1.1.3 tell 10.1.1.10 >13:49:21.267665 IP 10.1.1.23.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST >13:49:21.490805 IP 10.1.1.28.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST >13:49:21.602843 IP 10.1.1.15.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST >13:49:22.016887 IP 10.1.1.23.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST >13:49:22.236255 IP 10.1.1.28.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST >13:49:22.346464 IP 10.1.1.15.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST >13:49:22.767926 IP 10.1.1.23.netbios-ns > 10.1.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST > >11 packets captured >11 packets received by filter >0 packets dropped by kernel > >правила IPTABLES ( могут быть не верными,я еще плохо разбираюсь, но пишет, >что дропают ) > >#!/bin/bash > >echo "1" > /proc/sys/net/ipv4/ip_forward > >#iptables -P INPUT DROP >#iptables -P OUTPUT DROP >#iptables -P FORWARD DROP >iptables -I INPUT -p UDP -i eth0 --sport 137:139 -j DROP >iptables -I INPUT -p UDP -i eth0 --dport 137:139 -j DROP > >iptables -I FORWARD -p UDP -i eth0 --sport 137:139 -j DROP >iptables -I FORWARD -p UDP -i eth0 --dport 137:139 -j DROP > >iptables -I OUTPUT -p UDP --sport 137:139 -j DROP >iptables -I OUTPUT -p UDP --dport 137:139 -j DROP > >iptables -I INPUT -p UDP --sport 137:139 -j DROP >iptables -I INPUT -p UDP --dport 137:139 -j DROP > >iptables -I FORWARD -p UDP --sport 137:139 -j DROP >iptables -I FORWARD -p UDP --dport 137:139 -j DROP > >debian:/config# iptables -nvxL >Chain INPUT (policy ACCEPT 6299 packets, 299756 bytes) > pkts bytes target > prot opt in >out source > destination > 602 48164 DROP > udp -- * > * >0.0.0.0/0 > 0.0.0.0/0 > udp spts:137:139 > 0 > 0 DROP >udp -- eth0 * > 0.0.0.0/0 > 0.0.0.0/0 > udp spts:137:139 > 24035 1926301 DROP > udp -- * >* 0.0.0.0/0 > 0.0.0.0/0 > udp dpts:137:139 > 0 > 0 DROP >udp -- * * > 0.0.0.0/0 > 0.0.0.0/0 > udp spts:137:139 > 0 > 0 DROP >udp -- eth0 * > 0.0.0.0/0 > 0.0.0.0/0 > udp dpts:137:139 > 0 > 0 DROP >udp -- eth0 * > 0.0.0.0/0 > 0.0.0.0/0 > udp spts:137:139 > 121 9589 DROP > udp -- * > * > 0.0.0.0/0 > 0.0.0.0/0 > udp dpts:137:139 > 0 > 0 DROP >udp -- * * > 0.0.0.0/0 > 0.0.0.0/0 > udp spts:137:139 > 0 > 0 DROP >udp -- eth0 * > 0.0.0.0/0 > 0.0.0.0/0 > udp dpts:137:139 > 0 > 0 DROP >udp -- eth0 * > 0.0.0.0/0 > 0.0.0.0/0 > udp spts:137:139 > >Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) > pkts bytes target > prot opt in >out source > destination > 0 > 0 DROP >udp -- * * > 0.0.0.0/0 > 0.0.0.0/0 > udp dpts:137:139 > 0 > 0 DROP >udp -- * * > 0.0.0.0/0 > 0.0.0.0/0 > udp spts:137:139 > 0 > 0 DROP >udp -- eth0 * > 0.0.0.0/0 > 0.0.0.0/0 > udp dpts:137:139 > 0 > 0 DROP >udp -- eth0 * > 0.0.0.0/0 > 0.0.0.0/0 > udp spts:137:139 > >Chain OUTPUT (policy ACCEPT 11283 packets, 2555057 bytes) > pkts bytes target > prot opt in >out source > destination > 0 > 0 DROP >udp -- * * > 0.0.0.0/0 > 0.0.0.0/0 > udp dpts:137:139 > 0 > 0 DROP >udp -- * * > 0.0.0.0/0 > 0.0.0.0/0 > udp spts:137:139 > 0 > 0 DROP >udp -- * * > 0.0.0.0/0 > 0.0.0.0/0 > udp dpts:137:139 > 0 > 0 DROP >udp -- * * > 0.0.0.0/0 > 0.0.0.0/0 > udp spts:137:139 >debian:/config# Мой тебе совет (даже не совет а аксиома) дропай все в вцепочке а потом разрешай только то что тебе нужно. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

28. "iptables и 135-139 ports не дропает"
Сообщение от mad_user on 17-Авг-05, 14:04 (MSK)
debian:/config# cat /etc/network/interfaces # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address 10.1.1.254 netmask 255.255.255.0 network 10.1.1.0 broadcast 10.1.1.255 gateway 10.1.1.1 # dns-* options are implemented by the resolvconf package, if installed dns-nameservers 10.1.1.1 dns-search WG_RAS auto eth1 iface eth1 inet static address 192.168.1.151 network 192.168.1.128 broadcast 192.168.1.130 netmask 255.255.255.0 gateway 192.168.1.129 debian:/config# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.1.0 * 255.255.255.0 U 0 0 0 eth1 localnet * 255.255.255.0 U 0 0 0 eth0 default 192.168.1.129 0.0.0.0 UG 0 0 0 eth1 default 10.1.1.1 0.0.0.0 UG 0 0 0 eth0
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	30. "iptables и 135-139 ports не дропает"
	Сообщение от dimus (??) on 17-Авг-05, 15:13 (MSK)
	Я встерчался со случаями, когда вроде бы правильно написанные правила файервола нив какую не делали то, что положено. Как показало расследование, виною были недозагруженные модули. Проверьте на всякий случай, как у вас обстоят с этим дела, а еще лучше вкомпилировать их в ядро статически (по крайней мере мне так кажется) lsmod покажет вам, какие модули загружены
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх