форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"traceroute не работает"
Сообщение от DmitryDemin on 12-Июл-01, 14:26  (MSK)
Hi! Странное поведение сабжа на юниксовой машине-гейте - traceroute sendto:Permission denied хотя из других машин сети (вин9х) такой сервис работает. По каким портам он работает? В логах файрвола ошибок нет. Что может быть? Всего хорошего! С уважением, Dmitry.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: traceroute не работает"
Сообщение от lavr on 12-Июл-01, 15:16  (MSK)
>Hi! Странное поведение сабжа на юниксовой >машине-гейте - traceroute sendto:Permission denied >хотя из других машин сети >(вин9х) такой сервис работает. По >каким портам он работает? В >логах файрвола ошибок нет. Что >может быть? `whereis traceroute` ls -la /path/traceroute посылает пакеты ICMP >Всего хорошего! >С уважением, Dmitry.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: traceroute не работает"
	Сообщение от DmitryDemin on 12-Июл-01, 16:50  (MSK)
	Hi! Да, нашел /usr/sbin/traceroute. Вот его атрибуты -r-sr-xr-x  1 root  wheel  12076 Mar 20  2000 traceroute Что за атрибут "s"? set user id on execution - что это, может тут проблема? хотя пробовал ставить rwxrwx--- - проблема остается... директория drwxr-xr-x. Все делается под рутом... Всего хорошего! С уважением, Dmitry.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: traceroute не работает"
	Сообщение от lavr on 12-Июл-01, 17:07  (MSK)
	>Hi! Да, нашел /usr/sbin/traceroute. Вот его > >атрибуты >-r-sr-xr-x  1 root  wheel > 12076 Mar 20   >2000 traceroute >Что за атрибут "s"? set user >id on execution - что >это, может тут проблема? хотя setuid bit, все нормально. >пробовал ставить rwxrwx--- - проблема >остается... директория drwxr-xr-x. Все делается >под рутом... странно, смотри сетевые устройства, хотя root'у можно все. >Всего хорошего! >С уважением, Dmitry.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: traceroute не работает"
Сообщение от artem on 13-Июл-01, 16:31  (MSK)
А у тебя гейт - то пингуется вообще? Может какая-нибудь хрень прописана в /proc/sys/net/ipv4/  ?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: traceroute не работает"
	Сообщение от DmitryDemin on 13-Июл-01, 21:30  (MSK)
	Hi! Да, все пингуется. А такой директории /proc/sys... нет, есть /proc/1... Вот пока и все... Главное что из виндовой машины работает! (пакет WS_PingProPack). А захожу с нее же телнетом - пермишн дениед :( Всего хорошего! С уважением, Dmitry.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: traceroute не работает"
	Сообщение от lubeg on 15-Июл-01, 03:55  (MSK)
	у тебя случаем не Mandrake стоит? у меня была такая проблема после того как я поигрался малость с /proc т.к. времени на поиск не было, то пришлось переустанавливать - помогло... :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: traceroute не работает"
	Сообщение от lubeg on 15-Июл-01, 03:57  (MSK)
	у тебя случаем не Mandrake стоит? у меня была такая проблема после того как я поигрался малость с /proc т.к. времени на поиск не было, то пришлось переустанавливать - помогло... :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: traceroute не работает"
	Сообщение от DmitryDemin on 15-Июл-01, 15:01  (MSK)
	Hi! Нет, это все под FreeBSD 4.0. В /proc я вообще никогда не лез... Переустановить :) да ты что! сколько уже там сделано для работы... Всего хорошего! С уважением, Dmitry.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "RE: traceroute не работает"
	Сообщение от lavr on 15-Июл-01, 15:51  (MSK)
	>Hi! Нет, это все под FreeBSD >4.0. В /proc я вообще >никогда не лез... Переустановить :) >да ты что! сколько уже >там сделано для работы... смотри что выдает sysctl и сетевые устройства. >Всего хорошего! >С уважением, Dmitry.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "RE: traceroute не работает"
	Сообщение от DmitryDemin on 16-Июл-01, 18:28  (MSK)
	Hi! Вобщем кажется я нашел причину странностей трасероуте (или лишь выход из ситуации) - он почему-то хочет работать через "высокие" порты и когда в правила файрвола я добавил строки ipfw add 1251 pass udp from any 33000-45000 to 172.20.0.1 33000-45000 via fxp0 ipfw add 1252 pass udp from 172.20.0.1 33000-45000 to any 33000-45000 via fxp0 он заработал. Но! сразу у меня вопрос - разве это нормально? Зачем ему такие порты и тем более что они постоянно меняются (поэтому я задал и диапазон)? Всего хорошего! С уважением, Dmitry.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "RE: traceroute не работает"
	Сообщение от Yuri A. Kabaenkov on 16-Июл-01, 19:26  (MSK)
	тут все просто у тебя просто закрыт на твоем фаерволе или на фаерволе выше (скорее всего на твоем) icmp открой и все будет окей это частая проблема
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "RE: traceroute не работает"
	Сообщение от DmitryDemin on 16-Июл-01, 21:26  (MSK)
	Hi! Вот первые строчки из файрвол-конфига - ipfw add 100 pass all from any to any via lo0 ipfw add 200 pass icmp from any to any ipfw add 300 deny icmp from any to any frag Дальше уже для конкретных машин. Ведь есть icmp, пинги ведь ходят... :( Всего хорошего! С уважением, Dmitry.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "RE: traceroute не работает"
	Сообщение от lavr on 16-Июл-01, 23:15  (MSK)
	>Hi! Вот первые строчки из файрвол-конфига >- >ipfw add 100 pass all from >any to any via lo0 > >ipfw add 200 pass icmp from >any to any >ipfw add 300 deny icmp from >any to any frag сперва deny фрагментированные пакеты, затем разрешить icmp >Дальше уже для конкретных машин. Ведь >есть icmp, пинги ведь ходят... >:( icmp имеет целый набор пакетов из без 5'ого жить просто нельзя, вот ссылка: http://www.sys-security.com/ там в архивах pdf'ы по атакам, сканированию и блокированию ICMP пакетов http://www.sys-security.com/archive/papers/ICMP_Scanning_v3.0.zip The file size is ~ 1.75mb when zipped http://www.sys-security.com/archive/papers/ICMP_Usage_v3.0.pdf The file size is ~ 5.39mb. >Всего хорошего! >С уважением, Dmitry.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "RE: traceroute не работает"
	Сообщение от DmitryDemin on 17-Июл-01, 19:16  (MSK)
	Hi! А разве строка ipfw add 200 pass icmp from any to any не открывает доступа всем icmptypes? А вопрос с трасероуте все-таки открыт - как народ дает доступ такой программе из-под файрвола? Ведь если я открою диапазон портов (как-бы для него), но ведь это же потенциальная дыра... Может тогда немного по другому - ipfw может ориентироваться на user/group в доступе, а можно ли сделать доступ по названию (или еще какому идентификатору) программы? ps. а deny frag у меня действительно стояли перед all icmp, это я ошибся... Всего хорошего! с уважением, Dmitry.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "RE: traceroute не работает"
	Сообщение от lavr on 17-Июл-01, 20:13  (MSK)
	>Hi! А разве строка >ipfw add 200 pass icmp from >any to any >не открывает доступа всем icmptypes? > >А вопрос с трасероуте все-таки открыт >- как народ дает доступ >такой программе из-под файрвола? Ведь >если я открою диапазон портов >(как-бы для него), но ведь >это же потенциальная дыра... потенциальных дыр - пруд пруди, а куча софта использует свободные порты, например для данных в верхней части, и что, ВСЕ закрывать? Запусти сетевой монитор с логгированием, напиши по нему разбор логов и будешь смотреть что и откуда, для последующих решений что и как закрывать. >Может тогда немного по другому - >ipfw может ориентироваться на user/group >в доступе, а можно ли >сделать доступ по названию (или >еще какому идентификатору) программы? wrapper или группа которой можно выполнять traceroute, если я правильно понял. >ps. а deny frag у меня >действительно стояли перед all icmp, >это я ошибся... > >Всего хорошего! >с уважением, Dmitry.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "RE: traceroute не работает"
	Сообщение от DmitryDemin on 17-Июл-01, 21:26  (MSK)
	Hi! >Запусти сетевой монитор с логгированием, напиши >по нему разбор логов и будешь смотреть что и >oткуда, для последующих решений что и как >закрывать. Что можешь посоветовать для такого дела? сам файрвол пишет только адрес:порт, но без владельца запроса. tcpdump... тоже нет владельца. >wrapper или группа которой можно выполнять >traceroute, если я правильно понял. wrapper - это программа? а над идеей группы доступа надо подумать... Всего хорошего! С уважением, Dmitry.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "RE: traceroute не работает"
	Сообщение от lavr on 17-Июл-01, 22:06  (MSK)
	>Hi! >>Запусти сетевой монитор с логгированием, напиши >>по нему разбор логов и будешь смотреть что и >>oткуда, для последующих решений что и как >>закрывать. > >Что можешь посоветовать для такого дела? >сам файрвол пишет только адрес:порт, >но без владельца запроса. tcpdump... >тоже нет владельца. на предмет от кого: uid/gid я не в курсах, не задавался таким вопросом, что-то типа ipacct вроде есть... Я обычно мониторил на предмет лишь с какого ip на какой и по каким портам, ломают JINR часто, бардачная контора... >>wrapper или группа которой можно выполнять >>traceroute, если я правильно понял. > >wrapper - это программа? а над >идеей группы доступа надо подумать... хошь программа на C, хошь скрипт на чем могешь, типа: traceroute запрещаешь на выполнение group/world, переименовываешь, вместо него traceroute - скриптовый wrapper 711... типа проверку на то от какого uid запущено и сверка из разрешенных, короче можно придумать. >Всего хорошего! >С уважением, Dmitry.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "RE: traceroute не работает"
	Сообщение от lavr on 17-Июл-01, 14:21  (MSK)
	>Hi! Вобщем кажется я нашел причину >странностей трасероуте (или лишь выход >из ситуации) - он почему-то >хочет работать через "высокие" порты >и когда в правила файрвола >я добавил строки >ipfw add 1251 pass udp from >any 33000-45000 to 172.20.0.1 33000-45000 >via fxp0 >ipfw add 1252 pass udp from >172.20.0.1 33000-45000 to any 33000-45000 >via fxp0 > >он заработал. Но! сразу у меня >вопрос - разве это нормально? >Зачем ему такие порты и >тем более что они постоянно >меняются (поэтому я задал и >диапазон)? почитай Стивенса - socket/streams network programming. говорили же посмотри tcpdump/trafshow >Всего хорошего! >С уважением, Dmitry. > > Успехов
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.