abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

    dnes 11:44 | Komunita

    Konference OpenAlt 2023 proběhne o víkendu 11. a 12. listopadu v Brně. Přihlásit přednášky lze do neděle 08. října 23:59.

    Ladislav Hagara | Komentářů: 0
    dnes 09:00 | Bezpečnostní upozornění

    V X.Org v libX11 do 1.8.7 a libXpm do 3.5.17 bylo nalezeno a v upstreamu opraveno 5 bezpečnostních chyb (CVE-2023-43785, CVE-2023-43786, CVE-2023-43787, CVE-2023-43788 a CVE-2023-43789). Dvě nejstarší jsou s námi 35 let. Obsaženy byly již v X11R2 vydaném v únoru 1988.

    Ladislav Hagara | Komentářů: 2
    dnes 08:00 | Bezpečnostní upozornění

    Byly publikovány informace o bezpečnostní chybě Looney Tunables aneb CVE-2023-4911 v glibc ld.so. Útočník ji může využít k lokální eskalaci práv. Vyzkoušeno na výchozích instalacích linuxových distribucí Fedora 37 a 38, Ubuntu 22.04 a 23.04 a Debian 12 a 13. Chyba byla do glibc zavlečena v dubnu 2021. Detaily v txt.

    Ladislav Hagara | Komentářů: 0
    včera 20:33 | Komunita

    Na Kickstarteru byla spuštěna crowdfundingová kampaň na podporu telefonu Murena 2 s /e/OS. Telefon má 2 hardwarové přepínače. Prvním lze jednoduše vypnout kamery a mikrofony. Druhým se lze odpojit od sítí.

    Ladislav Hagara | Komentářů: 2
    včera 20:11 | Bezpečnostní upozornění

    Společnost Qualcomm publikovala říjnový bezpečnostní bulletin. V úvodu informuje, že bezpečnostní chyby CVE-2023-33106, CVE-2023-33107, CVE-2022-22071 a CVE-2023-33063 jsou cíleně využívány útočníky. O CVE-2022-22071 se píše už v loňském květnovém bulletinu. Detaily o zbylých chybách jsou k dispozici OEM partnerům. Veřejně budou k dispozici až s vydáním prosincového bulletinu.

    Ladislav Hagara | Komentářů: 0
    včera 13:55 | Nová verze

    Byla vydána nová verze 5.18 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 12.5.6. Tor na verzi 0.4.8.6.

    Ladislav Hagara | Komentářů: 0
    včera 10:55 | Nová verze

    Šifrovací nástroj VeraCrypt v menším vydání 1.26.7 nejen opravuje chyby a aktualizuje podporované algoritmy (podrobnosti v poznámkách vydání), ale také přestává podporovat původní svazky TrueCrypt.

    Fluttershy, yay! | Komentářů: 0
    včera 09:00 | Pozvánky

    V sobotu 7. října proběhne Maker Faire Liberec, festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí.

    Ladislav Hagara | Komentářů: 0
    včera 08:00 | Zajímavý článek Ladislav Hagara | Komentářů: 0
    2.10. 23:44 | Komunita

    Ubuntu Summit 2023 proběhne od 3. do 5. listopadu v Rize.

    Ladislav Hagara | Komentářů: 0
    Raději
     (55%)
     (45%)
    Celkem 55 hlasů
     Komentářů: 3, poslední 2.10. 23:31
    Rozcestník

    Dotaz: Maskarada dotaz

    6.8.2005 19:16 lucky._.strike
    Maskarada dotaz
    Přečteno: 143×
    ahojky lidisky chci se zeptat:

    typologie site:

    2PC

    1.: 2sitovky 1. pripojena pres DHCP k serveru 2. pripojena na vnitrni sit 2.: 1sitovka 1. pripojovani pres 1.pc na net

    nakonfiguruju maskaradu a ten dotaz je jedtli se to bude na serveru tvarit jenom jako jedna IP bo dve nesmi tam byt dve ptze bych jinak musel zaplatit 10000,. pokutu za podvod

    napiste naky navod na tohle pls dekuji LuckY._.StrikE

    Odpovědi

    6.8.2005 19:36 #Tom
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    Pokuty bych se nebál, protože odhalit je to možné asi jen ze dvou věcí. Pakety mají jednu vlastnost, která se jmenuje TTL (time to live), a ta se u dvou strojů může lišit. Pak to jde poznat ještě z vlastního síťového provozu - třeba surfujete zaráz Konquerorem a MSIE, tak máte asi 2 PC (pomiňme MSIE pod Wine). Odposlouchávání provozu je však trestné a první věc je asi sporná.

    Pokud ale máte přece jen chuť to řešit, můžete měnit paketům při překladu TTL. Jen je na to potřeba patchnout jádro, protože to v něm standardně není obsaženo. (Platí to přinejmenším pro 2.6.12.2). Další možnost představuje proxy server - tam by nemělo jít poznat vůbec nic.
    6.8.2005 19:43 lucky._.strike
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    toho bych se nebal ptze na obou kompech sice jeden je WIN a server je LIN ale na obou bezi Firefox takze ta druha moznost je prakticki nemozna
    6.8.2005 20:33 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    Defaultní hodnota hlavičky User-Agent je u windowsové a linuxové verze Firefoxe různá.
    6.8.2005 20:39 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    Pevně doufám, že jste to špatně pochopil a že ta pokuta by byla jen za použití druhé adresy, ne za připojení druhého počítače přes maškarádu. Protože kdyby to mělo být tak, jak to chápete vy, takový ISP by si za své chování zasloužil, aby jeho služeb nikdo nevyužíval.
    6.8.2005 21:16 lucky._.strike
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    to doufam take ale mam pocit ze se mi to asi nepovede ptze mi to nak nechce bezet ;(
    6.8.2005 21:27 #Tom
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    Ale povede. Na tom routeru musí být nastaveno asi tak tohle:
    /sbin/sysctl net.ipv4.ip_forward=1
    /sbin/iptables -t nat -o eth0 -j MASQUERADE
    
    Pokud výstupní síťové zařízení není eth0, dosaďte tam svoje.

    Na počítačích vnitřní sítě musí být nastaveny adresy ve stejné podsíti s routerem: router třeba 10.1.1.1 s maskou 255.255.255.0, počítače vevnitř pak 10.1.1.2 a 10.1.1.3 se stejnou maskou. Výchozí branou jim pak bude router (10.1.1.1), adresy DNS vyčtete z /etc/resolv.conf na routeru. Nutným předpokladem funkčnosti je kromě funkčního připojení k internetu na routeru také vhodně zkompilované jádro obsahující nejlépe všechny moduly pro iptables.
    6.8.2005 21:40 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    /sbin/iptables -t nat -o eth0 -j MASQUERADE

    Tohle je ošklivý zlozvyk, doporučuji maškarádovat jen ty zdrojové adresy, které máte skutečně v úmyslu překládat. Jinak stačí drobná změna (třeba zavedení demilitarizované zóny) a okamžitě nastanou problémy.

    6.8.2005 21:52 #Tom
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    Ale zpřehledňuje to třeba spouštěcí skript. Proč tam psát ještě -s 10.1.1.0/24? V tomhle případě tam DMZ nebude.
    6.8.2005 21:43 lucky._.strike
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    u prikazu [yyy@xxx]# /sbin/iptables -t nat -o eth1 -j MASQUERADE

    mi zahlasi chybu iptables v1.2.9: no command specified
    6.8.2005 21:45 #Tom
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    Oprava: ještě -A PREROUTING třeba někam za -t nat. :-)
    6.8.2005 21:48 lucky._.strike
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    tak to vypise toto

    [root@rimek niobi]# /sbin/iptables -t nat -o eth0 -j MASQUERADE -A PREROUTING iptables v1.2.9: Can't use -o with PREROUTING

    Try `iptables -h' or 'iptables --help' for more information.
    6.8.2005 21:49 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    Source NAT se provádí v řetězci POSTROUTING, v PREROUTING z podstaty věci ještě nemůžete znát výstupní rozhraní.
    6.8.2005 21:50 lucky._.strike
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    prosim te ja sem naprosty novacek v tomto napis mi pls ten prikaz
    6.8.2005 21:54 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    Tohle je nebezpečný přístup, teď skoro lituji, že jsem vám už napsal kompletní příklad. Takhle vám brzy nějaký rádoby vtipálek poradí, ať napíšete 'rm -rf /' (nebo něco podobného) a vy to poslušně uděláte. (Ne, nezkoušejte to. You have been warned.)
    6.8.2005 21:52 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    A i když to příkazu iptables nejspíš nevadí, čistě logicky bych se přimlouval spíš za toto pořadí parametrů:

    iptables -t nat -A POSTROUTING -s $INTNET -o eth0 -j MASQUERADE

    iptables -t nat -A POSTROUTING -s $INTNET -o eth0 -j SNAT --to $EXTIP

    Příslušné proměnné si samozřejmě nastavte podle své konfigurace. Druhá varianta je vhodnější, je-li adresa přidělena staticky.

    6.8.2005 21:55 lucky._.strike
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    tak to tak vypada ze nemam spravne nainstalovany IpTables

    iptables v1.2.9: Couldn't load target `MASQUARADE':/lib/iptables/libipt_MASQUARADE.so: cannot open shared object file: No such file or directory

    Try `iptables -h' or 'iptables --help' for more information.
    6.8.2005 21:58 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    Ne, spíš to vypadá, že došlo k chybě při přenosu. Ten target se jmenuje "MASQUERADE".
    6.8.2005 22:00 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    Právě kvůli takovým věcem jsem se vám snažil naznačit, že zdejší fórum byste měl brát spíš jako zdroj hintů, postrčení, ale vždy byste se měl snažit sám nastudovat, co vám to vlastně radíme a proč to tak je.
    6.8.2005 22:12 lucky._.strike
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    už mi to probehlo bez chyb tak to du vyzkouset vedle na komp zatim dekuji
    6.8.2005 22:23 lucky._.strike
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    klientsky pocitac je nastaven podle tech IP co ste psali ale stale nic je tam ete nakej dalsi krok ???
    6.8.2005 22:25 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    Pustit si tam tcpdump nebo ethereal a podívat se, co a kudy vlastně běhá.
    6.8.2005 22:27 lucky._.strike
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    prave ze nic nikam nebeha ptze ja se ze serveru pingnu na toho klienta ale on na server nepingne
    6.8.2005 22:33 #Tom
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    Pro začátek je nejlepší mít všechna pravidla iptables vypnutá, mimo toho jediného na překlad adres (už ho radši přepisovat nebudu ;-)).
    6.8.2005 22:36 lucky._.strike
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    a dal ???
    6.8.2005 22:42 #Tom
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    No jen aby byly ty tabulky čistý a neblokoval se třeba ten ping. Já to čistím třeba takhle:
    iptables -Z
    iptables -F
    iptables -t nat         -F PREROUTING
    iptables -t nat         -F OUTPUT
    iptables -t nat         -F POSTROUTING
    iptables -t mangle      -F PREROUTING
    iptables -t mangle      -F OUTPUT
    iptables -X
    iptables -P INPUT       ACCEPT
    iptables -P FORWARD     ACCEPT
    iptables -P OUTPUT      ACCEPT
    
    To první smaže počítatla, to druhé je jako -t filter a maže to řetězce pravidel. -X smaže uživatelsky definovaný řetězce a poslední tři řádky nastavují paketům volný průchod.

    Potom bych tam zkusil ten jediný příkaz iptables ... uvedený výše a ty pingy.
    6.8.2005 23:10 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    To mazání řetězců bych spíš napsal takto:
      iptables -F
      iptables -X
      iptables -t nat -F
      iptables -t nat -X
      iptables -t mangle -F
      iptables -t mangle -X
    
    Je to obecnější a řeší to i situaci, kdy v těch tabulkách bylo něco, s čím jste nepočítal.
    6.8.2005 22:37 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    Pokud je problém už v komunikaci mezi klientem a serverem, pak to rozhodně není problém nastavení překladu adres.
    6.8.2005 22:38 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    Jenže při tom sledování uvidíte, co kam skutečně přišlo a co se ztrácí (a kde). Ze samotného zjištění, že nedostanete odpověď na ICMP echo, se toho tolik nedozvíte.
    6.8.2005 22:26 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    Vybavuje se mi úsloví o hrachu a stěně… :-(
    6.8.2005 22:28 #Tom
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    Jde aspoň ping na router? A na jeho vnější adresu? A na nějaký server venku podle IP?
    6.8.2005 22:29 lucky._.strike
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    prave ze se nikam nepingne ani na router ani na jeho vnejsi adresu
    6.8.2005 21:54 #Tom
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    A jeje, dnes mám den plný nepozornosti. Jasně, iptables -t nat -A PREROUTING -o eth0 -s 10.1.1.0/24 -j MASQUERADE v plné podobě.
    6.8.2005 21:56 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    Samozřejmě tam má opět být POSTROUTING :-)
    6.8.2005 21:59 #Tom
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    Jo. :-) POSTROUTING, ale PREROUTING se mi nějak líp píše. Asi tím, že ho zrovna na nic nepotřebuju. ;-)
    6.8.2005 22:01 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    Není to tím, že je to o jeden znak kratší? :-)
    6.8.2005 22:04 #Tom
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    Už vím. Znaky prer se mi píšou líp, než postr. Otázka vkusu, nic víc. :-D
    6.8.2005 21:20 #Tom
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    ta pokuta by byla jen za použití druhé adresy
    A to se dělá jak? Pokud vím, většina připojení k internetu nevede do bytu jako ethernet, aby to bylo možné. Některé jsou ethernetové (NetBox), ale tam mají v databázi natvrdo MAC adresu. O ostatních nevím nic.

    Pokud jde o připojování více počítačů do internetu, tak zrovna ten Netbox má ve svých obchodních podmínkách tohle:

    Uživatel se zavazuje zejména: [...] nepřipojovat ke koncovému bodu (místu) více než jedno koncové zařízení, pokud k tomuto neudělí poskytovatel výslovně souhlas [...]

    To je podle mě jen neurčitý blábol, protože jeden kabel nelze strčit do dvou zařízení zaráz. :-)
    6.8.2005 21:44 lucky._.strike
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    ano to je presne ten pripad (frima ERKOR a.s.)
    7.8.2005 08:49 ...... | skóre: 41 | blog: ...
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    no nic proti ERKORu ale ble...a a.s. myslím taky nejsou.
    7.8.2005 17:20 lucky._.strike
    Rozbalit Rozbalit vše Re: Maskarada dotaz
    jj jasny jje to SROcko

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.