Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: В сети вижу чужие компы  (Прочитано 4356 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн prasik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
В сети вижу чужие компы
« : 27 Апреля 2011, 11:57:20 »
убунтовая машина (10.10 server) подключена к корбине и выходит в сеть по VPN.
При открытии сетевого окруженя на любом компе, я вижу помимо своих компов в сети, еще кучу других не своих.
как сие дело закрыть??

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #1 : 27 Апреля 2011, 12:06:44 »
Судя по всему убунтовая машина шлюзом выступает.
Покажите
sudo iptables-save

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #2 : 27 Апреля 2011, 12:08:33 »
как сие дело закрыть??
Какое дело? И как конкретно подключаны к сети? (В смысле - куда провода идут.)
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн prasik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #3 : 27 Апреля 2011, 12:14:31 »
# Generated by iptables-save v1.4.4 on Wed Apr 27 12:10:54 2011
*mangle
:PREROUTING ACCEPT [104398:6013936]
:INPUT ACCEPT [104363:6006816]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [165839:236109198]
:POSTROUTING ACCEPT [165895:236117583]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Wed Apr 27 12:10:54 2011
# Generated by iptables-save v1.4.4 on Wed Apr 27 12:10:54 2011
*nat
:PREROUTING ACCEPT [774:110711]
:OUTPUT ACCEPT [88:10939]
:POSTROUTING ACCEPT [88:10939]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -d 172.16.3.227/32 -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.16.3.13
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Apr 27 12:10:54 2011
# Generated by iptables-save v1.4.4 on Wed Apr 27 12:10:54 2011
*filter
:INPUT ACCEPT [104363:6006816]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [165839:236109198]
-A FORWARD -d 172.16.3.0/24 -i eth1 -p tcp -m tcp -j ACCEPT
COMMIT
# Completed on Wed Apr 27 12:10:54 2011


eth0 DHCP от провайдера
eth1 сеть
ppp0

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #4 : 27 Апреля 2011, 12:50:16 »
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 172.16.3.0/24 -i eth1 -j ACCEPT
COMMIT

Дальше допиливайте по желанию.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн prasik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #5 : 27 Апреля 2011, 12:57:23 »
получается я просто не дописал.*??

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #6 : 27 Апреля 2011, 13:06:28 »
Получается, у вас вообще не настроена фильтрация была.
При
*filter
:FORWARD ACCEPT [0:0]

правило
-A FORWARD -d 172.16.3.0/24 -i eth1 -p tcp -m tcp -j ACCEPT
имеет примерно столько же смысла, как нотариально заверенное разрешение солнцу - светить.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн prasik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #7 : 27 Апреля 2011, 13:12:04 »
Будим читать маны внимательней (

Оффлайн prasik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #8 : 23 Мая 2011, 17:29:13 »
помучился и вот что имеем
1-server
eth0 DHCP провайдера
eth1 сеть
ppp0 VPN провайдера
tun0 Openvpn между двумя серверами

2-server
eth0 DHCP провайдера
eth1 сеть
tun0 Openvpn между двумя серверами

конфигурация одинаковая для двух серверов.
x.x.x.x это реальные IP
тока учимся (какие ошибки)


(Нажмите, чтобы показать/скрыть)




« Последнее редактирование: 24 Мая 2011, 09:32:29 от prasik »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13758
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #9 : 23 Мая 2011, 18:39:51 »
спрячьте под спойлер простынку

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #10 : 23 Мая 2011, 20:32:39 »
спрячьте под спойлер простынку
This.

OUTPUT уберите вообще. Это бред.
Особенно
-A OUTPUT -p tcp -m tcp -m state ! --tcp-flags FIN,SYN,RST,ACK SYN --state NEW -j DROP
и
-A OUTPUT -p icmp -f -j DROP
Что вы вообще пытаетесь этим блокировать, вы задумывались?

В форварде то же самое, ну уже разрешили ESTABLISHED,RELATED соединения, добавьте туда DNAT и успокойтесь...

-A INPUT -s 127.0.0.0/8 ! -i lo -j DROP
порадовало. Интересно, оно вообще будет работать? На сколько я знаю, таким макаром до компа просто не достучаться, на маршрутизации порежет.

Если вам так хочется закрыться от ICMP флуда, это делается другими способами. Корректно отфильтровать ICMP запросы - задачка не на три-четыре правила. Далеко не...

-A INPUT -p tcp -m tcp -m state ! --tcp-flags FIN,SYN,RST,ACK SYN --state NEW -j DROP
Этого я не понял. Если вы уже сбросили INVALID, зачем тратить время на дополнительный анализ глупостей?

Webmin я бы не стал открывать в мир без крайней на то необходимости.

Почему просто не сделать
-A INPUT -i eth1 -j ACCEPT
? Там есть что-то, что может повалить сервер? Ну, закройте доступ к очевидно лишним портам предварительно (3306 тот же).

-A FORWARD -o tun0 -j ACCEPT
не нужно (и даже вредно) - ошибётесь один раз, и трафик из интернета может оказаться в тоннеле.

-A FORWARD -d 172.16.4.0/24 -i eth1 -j ACCEPT
Что есть сеть 127.16.4.0/24 ?

-A FORWARD -p tcp -m tcp -s 172.16.4.0/24 --dport 5190 -j ACCEPT
Не понял. Если 172.16.... это "интернет" или тоннель, то DNAT это правило перекрывает, если нет, то как это вообще может очутится в FORWARD?

-A FORWARD -p tcp -m tcp -d 172.16.4.50/32 -i ppp+ --dport 3389 -j ACCEPT
Опять не понял. У вас ещё и VPN сервер стоит? Судя по INPUT - да. Тогда правила надо писать совсем не так, и это тема для отдельного разговора.

Короче, в ваших правилах сам чёрт ногу сломит.
Начните с простого набора, и добавляйте правила по необходимости(!!! а не по желанию).

Если нет времени тестировать вживую, пишите сюда. Помогу разобраться.
Ввиду того, что у вас внешний адрес находится на отдельном интерфейсе, использовать его в правилах нет никакого смысла - указывайте интерфейс.

Нат не трогал. Фильтры:
(Нажмите, чтобы показать/скрыть)
Я не уверен, что не порезал что-то серьёзное... лучше бы ты сам хозяйским глазом просмотрел и переписал концовки.
Самое начало обоих цепочек должно остаться без изменения:
(Нажмите, чтобы показать/скрыть)
В общем случае, я рекомендую соблюдать порядок правил:
1. Правила-ловушки. Печально, что ВЕСЬ трафик будет через них просеиваться, но это реально необходимо. Можно немного выиграть, разбив второй пункт на два, но не буду забивать тебе голову.
2. Правила, разрешающие уже установленные соединения. Предполагается, что установлены они с нашего разрешения, так что нет смысла тратить процессор на повторный анализ трафика.
3. Правила по входящим интерфейсам. (-i lo и иже с ними) Только абсолютно доверенные интерфейсы.
4. Правила по входящим портам. (--dport 80 и так далее)
5. Правила по адресам источника. (-s 192.168.0.0/16 и так далее)
6. Дальше любой другой бред, пришедший мне в голову.

Перед тем, как писать новое правило, сформулируй, нафига вообще козе боян. В три строчка: "Это правило делает вот это. Написано для того, чтобы работало вот это. Если его не будет, вот то сломается."
И проверь, не попадает ли оно в радиус уже написанных правил.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн prasik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #11 : 24 Мая 2011, 09:16:51 »
буду разбираться.

Это правило я собирал из двух. Так как сервера должны быть взаимозаменяемыми, то весь софт и настройки на них одинаковые.
Samba, Webmin, DHCP, VPN Server, OpenVPN , Squid, DNS. Позже будет еще пара служб.

Со старыми конфигами все работает, но их переписывали уже 100 раз и я попытался оптимизировать, но как понял не удачно.
Могу выложить конфиги по отдельности.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #12 : 24 Мая 2011, 17:23:44 »
Раз у вас стоит VPN сервер И интернет приходит по VPN, надо очень внимательно писать правила для ppp интерфейсов.
И в первую очередь зафиксировать интернетовский PPP на каком-то большом номере, чтобы не получилось так, что ваш пользователь, подключившись в момент падения интернета, получил ppp0.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн prasik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Re: В сети вижу чужие компы
« Ответ #13 : 24 Мая 2011, 18:15:23 »
Vpn приходит только на один сервер. на который как раз пользователи не логинятся..

Оффлайн dj--alex

  • Старожил
  • *
  • Сообщений: 3237
  • Понимаешь, я какбы беру в руки лопату и говорю...
    • Просмотр профиля
    • все мои творения и занятия
Re: В сети вижу чужие компы
« Ответ #14 : 24 Мая 2011, 18:27:16 »
если бы я видел чужие компы- первое бычто я попробовал - поадминить их)))))
Ubuntu 18.04 MATE x64, 19.3 x64 Mate, MX-Linux 19 Mate Mate Mate Mate. PC:B450\Ryzen3200G\16Gb\6TB\1060gtx\512Gb-Netac
https://forum.ubuntu.ru/index.php?topic=199897.0

 

Страница сгенерирована за 0.066 секунд. Запросов: 25.