Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: В сети вижу чужие компы  (Прочитано 3472 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн prasik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
В сети вижу чужие компы
« : 27 Апрель 2011, 11:57:20 »
убунтовая машина (10.10 server) подключена к корбине и выходит в сеть по VPN.
При открытии сетевого окруженя на любом компе, я вижу помимо своих компов в сети, еще кучу других не своих.
как сие дело закрыть??

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13753
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #1 : 27 Апрель 2011, 12:06:44 »
Судя по всему убунтовая машина шлюзом выступает.
Покажите
sudo iptables-save
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26250
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #2 : 27 Апрель 2011, 12:08:33 »
как сие дело закрыть??
Какое дело? И как конкретно подключаны к сети? (В смысле - куда провода идут.)
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн prasik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #3 : 27 Апрель 2011, 12:14:31 »
# Generated by iptables-save v1.4.4 on Wed Apr 27 12:10:54 2011
*mangle
:PREROUTING ACCEPT [104398:6013936]
:INPUT ACCEPT [104363:6006816]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [165839:236109198]
:POSTROUTING ACCEPT [165895:236117583]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Apr 27 12:10:54 2011
# Generated by iptables-save v1.4.4 on Wed Apr 27 12:10:54 2011
*nat
:PREROUTING ACCEPT [774:110711]
:OUTPUT ACCEPT [88:10939]
:POSTROUTING ACCEPT [88:10939]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d 172.16.3.227/32 -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.16.3.13
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Apr 27 12:10:54 2011
# Generated by iptables-save v1.4.4 on Wed Apr 27 12:10:54 2011
*filter
:INPUT ACCEPT [104363:6006816]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [165839:236109198]
-A FORWARD -d 172.16.3.0/24 -i eth1 -p tcp -m tcp -j ACCEPT
COMMIT
# Completed on Wed Apr 27 12:10:54 2011


eth0 DHCP от провайдера
eth1 сеть
ppp0

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26250
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #4 : 27 Апрель 2011, 12:50:16 »
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 172.16.3.0/24 -i eth1 -j ACCEPT
COMMIT

Дальше допиливайте по желанию.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн prasik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #5 : 27 Апрель 2011, 12:57:23 »
получается я просто не дописал.*??

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26250
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #6 : 27 Апрель 2011, 13:06:28 »
Получается, у вас вообще не настроена фильтрация была.
При
*filter
:FORWARD ACCEPT [0:0]

правило
-A FORWARD -d 172.16.3.0/24 -i eth1 -p tcp -m tcp -j ACCEPT
имеет примерно столько же смысла, как нотариально заверенное разрешение солнцу - светить.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн prasik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #7 : 27 Апрель 2011, 13:12:04 »
Будим читать маны внимательней (

Оффлайн prasik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #8 : 23 Май 2011, 17:29:13 »
помучился и вот что имеем
1-server
eth0 DHCP провайдера
eth1 сеть
ppp0 VPN провайдера
tun0 Openvpn между двумя серверами

2-server
eth0 DHCP провайдера
eth1 сеть
tun0 Openvpn между двумя серверами

конфигурация одинаковая для двух серверов.
x.x.x.x это реальные IP
тока учимся (какие ошибки)


(Нажмите, чтобы показать/скрыть)




« Последнее редактирование: 24 Май 2011, 09:32:29 от prasik »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13753
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #9 : 23 Май 2011, 18:39:51 »
спрячьте под спойлер простынку
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26250
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #10 : 23 Май 2011, 20:32:39 »
спрячьте под спойлер простынку
This.

OUTPUT уберите вообще. Это бред.
Особенно
-A OUTPUT -p tcp -m tcp -m state ! --tcp-flags FIN,SYN,RST,ACK SYN --state NEW -j DROP
и
-A OUTPUT -p icmp -f -j DROP
Что вы вообще пытаетесь этим блокировать, вы задумывались?

В форварде то же самое, ну уже разрешили ESTABLISHED,RELATED соединения, добавьте туда DNAT и успокойтесь...

-A INPUT -s 127.0.0.0/8 ! -i lo -j DROP
порадовало. Интересно, оно вообще будет работать? На сколько я знаю, таким макаром до компа просто не достучаться, на маршрутизации порежет.

Если вам так хочется закрыться от ICMP флуда, это делается другими способами. Корректно отфильтровать ICMP запросы - задачка не на три-четыре правила. Далеко не...

-A INPUT -p tcp -m tcp -m state ! --tcp-flags FIN,SYN,RST,ACK SYN --state NEW -j DROP
Этого я не понял. Если вы уже сбросили INVALID, зачем тратить время на дополнительный анализ глупостей?

Webmin я бы не стал открывать в мир без крайней на то необходимости.

Почему просто не сделать
-A INPUT -i eth1 -j ACCEPT
? Там есть что-то, что может повалить сервер? Ну, закройте доступ к очевидно лишним портам предварительно (3306 тот же).

-A FORWARD -o tun0 -j ACCEPT
не нужно (и даже вредно) - ошибётесь один раз, и трафик из интернета может оказаться в тоннеле.

-A FORWARD -d 172.16.4.0/24 -i eth1 -j ACCEPT
Что есть сеть 127.16.4.0/24 ?

-A FORWARD -p tcp -m tcp -s 172.16.4.0/24 --dport 5190 -j ACCEPT
Не понял. Если 172.16.... это "интернет" или тоннель, то DNAT это правило перекрывает, если нет, то как это вообще может очутится в FORWARD?

-A FORWARD -p tcp -m tcp -d 172.16.4.50/32 -i ppp+ --dport 3389 -j ACCEPT
Опять не понял. У вас ещё и VPN сервер стоит? Судя по INPUT - да. Тогда правила надо писать совсем не так, и это тема для отдельного разговора.

Короче, в ваших правилах сам чёрт ногу сломит.
Начните с простого набора, и добавляйте правила по необходимости(!!! а не по желанию).

Если нет времени тестировать вживую, пишите сюда. Помогу разобраться.
Ввиду того, что у вас внешний адрес находится на отдельном интерфейсе, использовать его в правилах нет никакого смысла - указывайте интерфейс.

Нат не трогал. Фильтры:
(Нажмите, чтобы показать/скрыть)
Я не уверен, что не порезал что-то серьёзное... лучше бы ты сам хозяйским глазом просмотрел и переписал концовки.
Самое начало обоих цепочек должно остаться без изменения:
(Нажмите, чтобы показать/скрыть)
В общем случае, я рекомендую соблюдать порядок правил:
1. Правила-ловушки. Печально, что ВЕСЬ трафик будет через них просеиваться, но это реально необходимо. Можно немного выиграть, разбив второй пункт на два, но не буду забивать тебе голову.
2. Правила, разрешающие уже установленные соединения. Предполагается, что установлены они с нашего разрешения, так что нет смысла тратить процессор на повторный анализ трафика.
3. Правила по входящим интерфейсам. (-i lo и иже с ними) Только абсолютно доверенные интерфейсы.
4. Правила по входящим портам. (--dport 80 и так далее)
5. Правила по адресам источника. (-s 192.168.0.0/16 и так далее)
6. Дальше любой другой бред, пришедший мне в голову.

Перед тем, как писать новое правило, сформулируй, нафига вообще козе боян. В три строчка: "Это правило делает вот это. Написано для того, чтобы работало вот это. Если его не будет, вот то сломается."
И проверь, не попадает ли оно в радиус уже написанных правил.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн prasik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #11 : 24 Май 2011, 09:16:51 »
буду разбираться.

Это правило я собирал из двух. Так как сервера должны быть взаимозаменяемыми, то весь софт и настройки на них одинаковые.
Samba, Webmin, DHCP, VPN Server, OpenVPN , Squid, DNS. Позже будет еще пара служб.

Со старыми конфигами все работает, но их переписывали уже 100 раз и я попытался оптимизировать, но как понял не удачно.
Могу выложить конфиги по отдельности.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26250
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #12 : 24 Май 2011, 17:23:44 »
Раз у вас стоит VPN сервер И интернет приходит по VPN, надо очень внимательно писать правила для ppp интерфейсов.
И в первую очередь зафиксировать интернетовский PPP на каком-то большом номере, чтобы не получилось так, что ваш пользователь, подключившись в момент падения интернета, получил ppp0.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн prasik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #13 : 24 Май 2011, 18:15:23 »
Vpn приходит только на один сервер. на который как раз пользователи не логинятся..

Оффлайн dj--alex

  • Старожил
  • *
  • Сообщений: 3209
  • Понимаешь, я какбы беру в руки лопату и говорю...
    • Просмотр профиля
    • все мои творения и занятия
Re: В сети вижу чужие компы
« Ответ #14 : 24 Май 2011, 18:27:16 »
если бы я видел чужие компы- первое бычто я попробовал - поадминить их)))))
Ubuntu 16.04.1 MATE x64, 18.1 x64 Mate, MX-Linux 16 Mate Mate Mate Mate. PC:?\FX4100@4ghz\8Gb\2TB HDD\1060gtx\90GB Ocz
https://forum.ubuntu.ru/index.php?topic=199897.0

 

Страница сгенерирована за 0.062 секунд. Запросов: 24.