Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2005-11-19 02:24:21
uruboro - 
Użytkownik
- uruboro
- Użytkownik
- Skąd: Danzig
- Zarejestrowany: 2005-07-09
udostępnianie netu -potrzebny expert
Witam, próbuję obejść zabezpieczenia administratora (TTL) i udostępnić net drugiemu komputerowi.
Mój komp1 ma dwie sieciówki:
Kod:
auto eth0
iface eth0 inet static
address 192.168.1.110
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1
dns-nameservers 192.168.0.1 192.168.1.1 192.168.2.1 192.168.3.1
hwaddress ether 00:0c:6e:13:f3:24
# LAN
auto eth1
iface eth1 inet static
address 10.0.0.1
netmask 255.255.255.0
network 10.0.0.0
broadcast 10.0.0.255
do eth1 podłączyłem skrosowanym kablem drugi komp -kompy się pingują więc można powiedzieć, że lan chodzi.
Zrobiłem takiego firewalla (prościej już się chyba nie da)
Kod:
echo 1 > /proc/sys/net/ipv4/ip_forward iptables -F iptables -X iptables -t nat -X iptables -t nat -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A INPUT -i lo -j ACCEPT iptables -A FORWARD -o lo -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE iptables -A INPUT -s 10.0.0.0/24 -j ACCEPT iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT iptables -t mangle -A POSTROUTING -o eth1 -j TTL --ttl-inc 1
Oczywiście w jądro zapodałem patch-o-matic -działa na pewno.
Problem w tym, że na tym moim drugim kompie net nie działa. Może on pingować tylko komputer1 i to wszystko.
Nie wiem co jest grane, wydaje mi się że to powinno działać... Ma ktoś może pomysł co może być tego przyczyną???
aha, jak pinguję cokolwiek z kompa1 to zawsze mam przykładowo
Kod:
Reply from 212.77.100.101: bytes=32 time=5ms TTL=1
Kochani, pomóżcie...
Offline
#2 2005-11-19 10:20:05
korbol - Członek DUG
- korbol
- Członek DUG
- Zarejestrowany: 2005-04-29
Re: udostępnianie netu -potrzebny expert
A pokaz wynik
Kod:
route -n
pewnie zapomniales usatwić bramy domyślnej
Ajezeli tak to na drugim kompie zapodaj z roota:
Kod:
route add default gw 10.10.10.1
Zapodaje tez wynik route -n z serwera.
P.S. nie jestem expertem :)
Pozdrawiam
Offline
#3 2005-11-19 16:34:53
uruboro - Użytkownik
- uruboro
- Użytkownik
- Skąd: Danzig
- Zarejestrowany: 2005-07-09
Re: udostępnianie netu -potrzebny expert
Na drugim kompie jest windows, tablica routingu w kompie1 wygląda OK.
Jak zapuszczę na kompie1 iptraf a na kompie2 chcę wejść na jakąś stronę www to widzę, że pakiety UDP lecą od tego kompa do 192.168.1.1 czyli do bramy -czyli prawidłowo, ale nic nie leci odwrotnie- tylko w tym jednym kierunku. Ciągle przewija się gdzieś tam coś takiego: "icmp time excd"
Co u licha się dzieje? :(
Offline
#4 2005-11-19 17:30:11
korbol - Członek DUG
- korbol
- Członek DUG
- Zarejestrowany: 2005-04-29
Re: udostępnianie netu -potrzebny expert
Heh chyba wiesz wicej niz ja:) ale powiedz jaka brame ma ustawioną ten 2 komp z windowsem oraz wklej tu wyniki tych polecen z serwera a nóz widelec:)
Moze dostawca netu jesze w jakis inny sposob filtruje pakiety i wyczaja ze robisz maskarade.
Pozdrawiam
Offline
#5 2005-11-19 18:23:07
rogos - Moderator
- rogos
- Moderator
- Zarejestrowany: 2005-02-12
Re: udostępnianie netu -potrzebny expert
Twoj ISP moze nie tylko ciac TTl, ale duzo wiecej rzeczy, w ktoryms temacie pdoawlem linka do artu o pajeczynach, tam miales dokaldnie opisane, o ile pamietam proxy jest chyba praktycznie nie do wykrycia...
[img]http://img88.imageshack.us/img88/1856/imageslg0.png[/img]
Offline
#6 2005-11-19 18:33:50
Phrozen^Tux - Członek DUG
- Phrozen^Tux
- Członek DUG
- Skąd: DC - District Cracovia :)
- Zarejestrowany: 2005-10-14
Re: udostępnianie netu -potrzebny expert
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED[/quote]Tu jest blad , bo "-m state ..." powinno byc przed -j TARGET
Pozdrawiam
gg: 1640760 Linux Registered User: #289621
[img]http://markooff.net/obrazki/avatars/runningslack.gif[/img] [img]http://markooff.net/obrazki/avatars/debian.jpg[/img] [img]http://markooff.net/obrazki/avatars/powerlogo.gif[/img]
Offline
#7 2005-11-19 18:44:26
uruboro - Użytkownik
- uruboro
- Użytkownik
- Skąd: Danzig
- Zarejestrowany: 2005-07-09
Re: udostępnianie netu -potrzebny expert
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED[/quote]Tu jest blad , bo "-m state ..." powinno byc przed -j TARGET
Pozdrawiam[/quote]
Jak to? niby jak powinno być? Zawsze maskarady robiłem właśnie tak i zawsze dizałało bez problemu.Offline
#8 2005-11-19 18:46:14
uruboro - Użytkownik
- uruboro
- Użytkownik
- Skąd: Danzig
- Zarejestrowany: 2005-07-09
Re: udostępnianie netu -potrzebny expert
Heh chyba wiesz wicej niz ja:) ale powiedz jaka brame ma ustawioną ten 2 komp z windowsem oraz wklej tu wyniki tych polecen z serwera a nóz widelec:)
Moze dostawca netu jesze w jakis inny sposob filtruje pakiety i wyczaja ze robisz maskarade.[/quote]
Komp2 ma ustawioną bramę na 10.0.0.1 czyli OK
Jak na kompie1 wpiszę route -n to:Kod:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0
Offline
#9 2005-11-19 19:32:22
Phrozen^Tux - Członek DUG
- Phrozen^Tux
- Członek DUG
- Skąd: DC - District Cracovia :)
- Zarejestrowany: 2005-10-14
Re: udostępnianie netu -potrzebny expert
Jak to? niby jak powinno być? Zawsze maskarady robiłem właśnie tak i zawsze dizałało bez problemu.[/quote]Sluchaj ja tylko Ci napisalem ze wg www.netfilter.org jest to blad bo MATCH powinien byc przed TARGETem... Niemniej prosisz nas tu o pomoc w obejsciu admina czyli innymi slowy w podkradaniu netu ... Nie wiem cyz ktos bedzie chcial Ci w tym pomoc :) W kazdym razie nie mowie ze wina moze lezec w iptalbesach , wydaje sie ze sa OK, zawsze mozesz sprobowac zrobic prastsze (np dac cala polityke dla wszystkich 3 lancuchow na ACCEPT + MASQ i ten TTL +1 ) i sprawdzic co wtedy. Sposobow na blokowanie ruchu jest troszke wiecej niz tylko male niewinne TTLe :) zalezy jak dobrego masz admina naprzeciw ..
Pozdrawiam
gg: 1640760 Linux Registered User: #289621
[img]http://markooff.net/obrazki/avatars/runningslack.gif[/img] [img]http://markooff.net/obrazki/avatars/debian.jpg[/img] [img]http://markooff.net/obrazki/avatars/powerlogo.gif[/img]
Offline
#10 2005-11-20 12:35:50
korbol - Członek DUG
- korbol
- Członek DUG
- Zarejestrowany: 2005-04-29
Re: udostępnianie netu -potrzebny expert
Niemniej prosisz nas tu o pomoc w obejsciu admina czyli innymi slowy w podkradaniu netu ... [/quote]
Daj pan spokój :]]]]] nikomu nic sie nie stanie napewno ma przyciety transfer wiec luuuuz.A noz sie dowiemy co admin wymyslił:)
Tablice routingu OK wiec musisz kombinować.
Sprawdz czy mozesz z kompa2 spingowac ten ip 212.77.100.101 to ip wp.pl tylko pinguj ip a nie domene aby nie rozgadywac sie o dnsie ktory pewnie i tak masz dobrze skonfigurowany:)
Wyczytalem gdzies ze w ttlu nie tlko chodzi o to ze po przejsciu przez normalnie skonfigurowany router obniza sie on o 1 ale tez o chodzi o czas w sekundach ile ten pakiet żyje czyli jak router przetrzymalby pakiet o ttlu rownym 7 dluzej nic 7 sekund to bylby zonk oraz jakby pakiet frunął po sieci dluzej niz 7 sekund.Czy to prawda???
Pozdrawiam
Offline
#11 2005-11-20 23:42:55
Phrozen^Tux - Członek DUG
- Phrozen^Tux
- Członek DUG
- Skąd: DC - District Cracovia :)
- Zarejestrowany: 2005-10-14
Re: udostępnianie netu -potrzebny expert
Time To Live czyli popularnie TTL - to czas zycia pakiety ...wurazony w hopkach (hops) cyzli przejsciach przez routery. Kazdy router (o ile nie jest skonfigurowany specjalnie (patrz regulka iptables powyzej) zmniejsza o jedne TTL w danym pakiecie podczas routowania go. Ocyzwiscie okreslenie Time To Life ma wiele innych znaczen w nauce i technice i w ktoryms z nich moze chodzic o "czas" w sekundach, ale nie tu. (podobnie jak Half Live to skrot z jadrowki oznaczajacy czas polowicznego rozmpadu izotopu)
Pozdrawiam
gg: 1640760 Linux Registered User: #289621
[img]http://markooff.net/obrazki/avatars/runningslack.gif[/img] [img]http://markooff.net/obrazki/avatars/debian.jpg[/img] [img]http://markooff.net/obrazki/avatars/powerlogo.gif[/img]
Offline
#12 2005-11-21 12:26:16
Usnar - Członek DUG
- Usnar
- Członek DUG
- Zarejestrowany: 2005-02-14
Re: udostępnianie netu -potrzebny expert
A sprobuj wpisac takie regulki:
#iptables -I OUTPUT -p icmp -j TTL --set-ttl 128
iptables -I OUTPUT -j TTL --set-ttl 128
#iptables -I FORWARD -p icmp -j TTL --set-ttl 128
iptables -I FORWARD -j TTL --set-ttl 128
pierwsza i trzecia nie sa potrzebne to tylko jak chcesz ale wpisz te dwie pozostale i powinno pomoc.
Offline
#13 2005-11-21 14:38:47
Phrozen^Tux - Członek DUG
- Phrozen^Tux
- Członek DUG
- Skąd: DC - District Cracovia :)
- Zarejestrowany: 2005-10-14
Re: udostępnianie netu -potrzebny expert
Tak na wszelki wypadek przeczytalem sobie jeszcze raz dokumentacje do TTL patcha - moze Kolega ma taracje, byc moze to ttl-inc-1 nie dziala u Ciebie dobrze ?
Pozdrawiam
gg: 1640760 Linux Registered User: #289621
[img]http://markooff.net/obrazki/avatars/runningslack.gif[/img] [img]http://markooff.net/obrazki/avatars/debian.jpg[/img] [img]http://markooff.net/obrazki/avatars/powerlogo.gif[/img]
Offline
#14 2005-11-21 15:47:37
korbol - Członek DUG
- korbol
- Członek DUG
- Zarejestrowany: 2005-04-29
Re: udostępnianie netu -potrzebny expert
Usnarowi biega o to ze byc oze dostawca netu przepuszcza tyko pakiety ochrajterystycznych ttlach czyli w tym przypadku winda 128 a Uruboro podbił tylko pakiety wchodzą ce w lan a wychodzących nie ruszył.Moza wlasniew tym sęk.
Edit:
A tutaj mini opis fajnego progsa NatDet do wykrywania maskarady.
http://www.wiki.nnd.freesco.pl/index.php/Bezpiecze%C5%84stwo
Pozdrawiam
Offline
#15 2005-11-22 00:31:22
uruboro - Użytkownik
- uruboro
- Użytkownik
- Skąd: Danzig
- Zarejestrowany: 2005-07-09
Re: udostępnianie netu -potrzebny expert
Witam ponownie, znalazłem trochę czasu aby znów pokombinować. Oto na czym stanęło, wygląda to tak:
Interfejsy serwera:
Kod:
auto lo
iface lo inet loopback
# WAN
auto eth0
iface eth0 inet static
address 192.168.1.242
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1
dns-nameservers 192.168.0.1 192.168.1.1 192.168.2.1 192.168.3.1
hwaddress ether 00:06:4f:01:4e:a4
# LAN
auto eth1
iface eth1 inet static
address 10.0.0.1
netmask 255.255.255.0
network 10.0.0.0
broadcast 10.0.0.255
Fakt1: na serwerze jest necik bezproblemowo, serwer pinguje komp2 i odwrotnie
firewall serwera wygląda tak:
Kod:
echo 1 > /proc/sys/net/ipv4/ip_forward iptables -F iptables -X iptables -t nat -X iptables -t nat -F iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE iptables -A INPUT -s 10.0.0.0/24 -j ACCEPT iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT iptables -t mangle -A POSTROUTING -o eth1 -j TTL --ttl-inc 1
Fakt2: maskarada działa, komp2 może pingować kompy z zakresu 192.168.1.*
Przykłady pingów z serwera:
ping wp.pl: TTL=1
ping 192.168.1.1 (brama): TTL=1
ping 192.168.1.111 (jakiś komp z sieci): TTL=128
Przykłady pingów z kompa2:
ping 192.168.1.1 (brama): timed out
ping 192.168.1.111 (jakiś komp z sieci): TTL=128 -czyli "TTL --ttl-inc 1" działa bo podnosi ttl o 1, normalnie odpowiedź miałaby ttl=127
Mój ISP raczej nie przepuszcza tylko pakietów o jakimś konkretnym ttl bo przecież serwer ma ttl=64...
I co Wy na to? Bardzo mi się to wszystko nie podoba. Wygląda na to, że admin zrobił coś jeszcze oprócz tego nieszczęsnego ttl'a..... tylko co???
I jeszcze mam zagłostkę, jak zamiast
Kod:
iptables -t mangle -A POSTROUTING -o eth1 -j TTL --ttl-inc 1
wpiszę
Kod:
iptables -t mangle -A POSTROUTING -o eth1 -j TTL --set-ttl 128
to mi wywala że "value not set" Co to u licha?
Offline
#16 2005-11-22 00:38:47
Phrozen^Tux - Członek DUG
- Phrozen^Tux
- Członek DUG
- Skąd: DC - District Cracovia :)
- Zarejestrowany: 2005-10-14
Re: udostępnianie netu -potrzebny expert
Kod:
iptables -t mangle -A POSTROUTING -o eth1 -j TTL --set-ttl 128
to mi wywala że "value not set" Co to u licha?[/quote]
Wypowiem sie co do tego ostatniego - powinno byc --ttl-set a nie --set-ttl
... i wszytko zagra :)
Pozdrawiam
gg: 1640760 Linux Registered User: #289621
[img]http://markooff.net/obrazki/avatars/runningslack.gif[/img] [img]http://markooff.net/obrazki/avatars/debian.jpg[/img] [img]http://markooff.net/obrazki/avatars/powerlogo.gif[/img]
Offline
#17 2005-11-22 00:43:15
uruboro - Użytkownik
- uruboro
- Użytkownik
- Skąd: Danzig
- Zarejestrowany: 2005-07-09
Re: udostępnianie netu -potrzebny expert
Wypowiem sie co do tego ostatniego - powinno byc --ttl-set a nie --set-ttl ... i wszytko zagra :)[/quote]
ano rzeczywiście... jakoś to tak bezmyślnie zrobiłem... w wikipedi zatem jest błąd: [url]http://pl.wikipedia.org/wiki/Time_To_Live[/url]
Offline
#18 2005-11-22 00:48:07
Phrozen^Tux - Członek DUG
- Phrozen^Tux
- Członek DUG
- Skąd: DC - District Cracovia :)
- Zarejestrowany: 2005-10-14
Re: udostępnianie netu -potrzebny expert
ANo pewnie jest :) nie zagladalem tam , raczej polecam:
http://www.netfilter.org/documentation/HOWTO/pl/netfilter-extensions-HOWTO-4.html#ss4.7
Pozdrawiam
gg: 1640760 Linux Registered User: #289621
[img]http://markooff.net/obrazki/avatars/runningslack.gif[/img] [img]http://markooff.net/obrazki/avatars/debian.jpg[/img] [img]http://markooff.net/obrazki/avatars/powerlogo.gif[/img]
Offline
#19 2005-11-22 10:26:01
korbol - Członek DUG
- korbol
- Członek DUG
- Zarejestrowany: 2005-04-29
Re: udostępnianie netu -potrzebny expert
Hmmm ale netu dalej nie ma tak?
Pozdrawiam
Offline
#20 2005-11-22 10:53:45
guzzi - Członek DUG
- guzzi
- Członek DUG
- Skąd: Asteroida Linux
- Zarejestrowany: 2005-03-31
Re: udostępnianie netu -potrzebny expert
Przerób sobie, to wycinek z mojego nato-mato-firewolla - zadziała :)
Może się mylę (ale na 95% nie myle się) SNAT!!!
iptables -t nat -F
iptables -t nat -X
iptables -F -t filter
iptables -X -t filter
#
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 80.x.x.x
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/tcp_ecn
iptables -P INPUT DROP
iptables -A INPUT -i ! eth0 -j ACCEPT
iptables -A INPUT -i ! eth0 -p icmp -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -i eth0 -j REJECT --reject-with tcp-reset
iptables -A INPUT -p udp -i eth0 -j REJECT --reject-with icmp-port-unreachable
iptables -A INPUT -j LOG --log-leve 6
#
#
#
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
Offline
#21 2005-11-22 10:57:48
korbol - Członek DUG
- korbol
- Członek DUG
- Zarejestrowany: 2005-04-29
Re: udostępnianie netu -potrzebny expert
Guzzi titaj chyba jest troche inna bajaka:chodzi o ttl i o coś jeszcze
Pozdrawiam
Offline
#22 2005-11-22 11:02:46
guzzi - Członek DUG
- guzzi
- Członek DUG
- Skąd: Asteroida Linux
- Zarejestrowany: 2005-03-31
Re: udostępnianie netu -potrzebny expert
Guzzi titaj chyba jest troche inna bajaka:chodzi o ttl i o coś jeszcze[/quote]
Nie wiem nie czytałem wszystkiego rylko widze że net nie działa to COPY - past > przerobić i ma działać.
Ale może i nie zadziałać :) Kto to wie. Ja tak robie zawse jak mam doczynienia ze stałymi ip-kami i działa.
Ale zadzałał ten NET wkońcu?
Offline
#23 2005-11-25 13:03:14
Usnar - Członek DUG
- Usnar
- Członek DUG
- Zarejestrowany: 2005-02-14
Re: udostępnianie netu -potrzebny expert
Wiesz co ja bym nalegal zebys wpisal po prostu te dwie regolki i zobaczysz co sie dzieje.
iptables -A OUTPUT -j TTL --ttl-set 128
iptables -A FORWARD -j TTL --ttl-set 128
Wedlug mnie powinno pojsc, pozniej sobie pozabezpieczasz bo z tego co widze na twoim firewall to podbijasz ttl tylko na interfejsie eth0, a zapomniales o eth1. Jezeli twoj ISP faktycznie obniza ttl to wtedy twoj serwer juz nie przeforwarduje pakietow dalej bo one na nim umieraja.
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00010 | SET CHARSET latin2 |
| 0.00004 | SET NAMES latin2 |
| 0.00089 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.226.226.151' WHERE u.id=1 |
| 0.00071 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.226.226.151', 1732332111) |
| 0.00058 | SELECT * FROM punbb_online WHERE logged<1732331811 |
| 0.00058 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=2266 AND t.moved_to IS NULL |
| 0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00284 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=2266 ORDER BY p.id LIMIT 0,25 |
| 0.00113 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=2266 |
| Total query time: 0.00692 s | |