Portál AbcLinuxu, 26. dubna 2024 21:24


Dotaz: identifikacia PC za verejnou IP

28.12.2013 15:45 kysučan | skóre: 14
identifikacia PC za verejnou IP
Přečteno: 537×
Odpovědět | Admin
Zdravím,páni je možné nejakým spôsobom identifikovať pc pripájajúce sa na server z verejnej IP?Konkrétne sa jedná o to,že na serveri beží fail2ban a ten je nastavený na blok IP.Čiže ak blokne aspom jedného klienta z danej IP,prakticky vyblokuje všetkých za touto ipčkou.
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

28.12.2013 15:49 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: identifikacia PC za verejnou IP
Odpovědět | | Sbalit | Link | Blokovat | Admin
Nejde to pokud to nepodporuje příslušný protokol, například v http lze poslat název IP PC.

28.12.2013 17:18 marian34
Rozbalit Rozbalit vše Re: identifikacia PC za verejnou IP
Nejedná sa o http.Malo by predsa existovať niečo,čo rozlišuje samotné rámce-dport,alebo niečo podobné.Myslel som,že by mohol existovať nástroj,ktorý by to vedel rozlíšiť.
28.12.2013 17:48 Matlák
Rozbalit Rozbalit vše Re: identifikacia PC za verejnou IP
Takový nástroj by ale musel sedět na tom NATu přes který se klienti k serveru připojují. A tam by bylo o dost vhodnější odpojit tu adresu z té druhé sítě :-)

Co já vím, tak IMHO jediné co se liší mezi zNATovanými spojeními přicházejícími z jednoho NATu jsou zdrojové porty, které jsou volené náhodně, čili zvnějšku má člověk totální smůlu. Maximálně tak v případě SSH by se dal zabanovat konkrétní veřejný klíč (ale ten jde taky generovat znovu a znovu..)
28.12.2013 18:47 marian34
Rozbalit Rozbalit vše Re: identifikacia PC za verejnou IP
Presne to som mal na mysli(aj keď som písal o --dporte)

0 ID=17613 PROTO=TCP SPT=49155 DPT=28555 WINDOW=63980 RES=0x00 ACK PSH URGP=0 [278599.226237] IPTables-Dropped: IN=eth0 OUT= MAC=00:1c:c0:47:d3:43:00:50:77:db:c3:18:08:00 SRC=189.134.133.20 DST=192.168.1.11 LEN=56 TOS=0x00 PREC=0x00 TTL=5

0 ID=27403 DF PROTO=TCP SPT=39567 DPT=28555 WINDOW=3545 RES=0x00 ACK PSH URGP=0 [278629.204119] IPTables-Dropped: IN=eth0 OUT= MAC=00:1c:c0:47:d3:43:00:50:77:db:c3:18:08:00 SRC=189.134.133.20 DST=192.168.1.11 LEN=56 TOS=0x00 PREC=0x00 TTL=5

28.12.2013 18:56 Matlák
Rozbalit Rozbalit vše Re: identifikacia PC za verejnou IP
..jsou zdrojové porty, které jsou volené náhodně...

Ty porty volí zařízení, které dělá ten NAT. A to zařízení ten port zvolí náhodně, bez ohledu na to kterou adresu překládá na adresu vnějšího rozhraní..
28.12.2013 20:59 marian34
Rozbalit Rozbalit vše Re: identifikacia PC za verejnou IP
Ok.Otázka ešte znie,pokiaľ sa jedná o trvalé spojenie klient<->server,či tento port neostáva nemenný.Potom by sa z toho dalo niečo vyčarovať.
Jendа avatar 28.12.2013 21:04 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: identifikacia PC za verejnou IP
Zůstává. Ale předpokládám, že to TCP spojení zavře tvůj SSH server po několika neúspěšných pokusech a proto používáš fail2ban, že…
Já to s tou denacifikací Slovenska myslel vážně.
28.12.2013 21:47 marian34
Rozbalit Rozbalit vše Re: identifikacia PC za verejnou IP
S SSH to nemá nič.Ten fail2ban je aplikovaný na server pre jeho jednoduchosť a najmä pre schopnosť používať logy iných aplikácií.Ale je to s tou chybičkou krásy.Pokúsim sa nejak vyextrahovať tie SPT a zakomponovať do fail2ban(iptables).
Jendа avatar 28.12.2013 22:03 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: identifikacia PC za verejnou IP
No ale proti jakým útokům se tak snažíš bránit? Myslím, že útočící zombíci nebudou držet na server celou dobu jedno spojení.
Já to s tou denacifikací Slovenska myslel vážně.
28.12.2013 22:37 marian34
Rozbalit Rozbalit vše Re: identifikacia PC za verejnou IP
Nejedná sa ani tak o ochranu pred útokmi,ako o blokovanie užívateľov s neplatným loginom.
28.12.2013 23:02 Matlák
Rozbalit Rozbalit vše Re: identifikacia PC za verejnou IP
I ten největší blboun by při opětovném pokusu o login raději otevřel nové spojení. Nehledě na to, že prakticky všechny servery co znám při neúspěšném loginu spojení uzavírají.
28.12.2013 23:28 marian34
Rozbalit Rozbalit vše Re: identifikacia PC za verejnou IP
Nejde o to niekoho blokovať,tam spoľahlivo funguje fail2ban.Práve naopak,potrebujem povoliť z blokovanej IP práve ten login,ktorý je platný.Teda terajší zápis

iptables -A fail2ban-server -s $HOST -j DROP

by mohol vypadať nejak takto

iptables -A fail2ban-server -s $HOST --sport ! $SPT -j DROP

29.12.2013 02:22 PanZvedavy
Rozbalit Rozbalit vše Re: identifikacia PC za verejnou IP
jednoduchy port knocking by to nevyresil? Popripade robustnejsi reseni http://www.cipherdyne.com/fwknop/index.html ...
Jendа avatar 29.12.2013 06:07 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: identifikacia PC za verejnou IP
jednoduchy port knocking by to nevyresil?
Nedokážu si to představit. Jednak už teď všechny pakety včetně těch portknockovacích dropuje :), druhak výsledkem portknockingu AFAIK (nepoužívám) je otevření dané služby pro zvolenou IP. To druhé řešení podle mě dopadne stejně.

Já nechápu tu situaci. Má fail2ban a volá mu uživatel, že se nemůže připojit, protože z jeho NATu odchází i bordel? Já bych tohle vyřešil prostě whitelistováním toho NATu. Tím fail2banem se snaží bránit DDoSu nebo něčemu jinému?
Já to s tou denacifikací Slovenska myslel vážně.
29.12.2013 14:52 pavel
Rozbalit Rozbalit vše Re: identifikacia PC za verejnou IP
Ne, tím fail2banem se snaží DDoS vytvořit...

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.