View previous topic :: View next topic |
Author |
Message |
Yatmai Veteran
Joined: 12 Nov 2005 Posts: 1501 Location: Kraków
|
Posted: Fri Jan 12, 2007 11:00 pm Post subject: Blokowanie net'u wyłącznie dla Windowsów |
|
|
Skrócę przeklinanie na te skurw.... winshity (wira złapałem ) przejdę od razu do pytania, czy jest możliwość by dhcpd rozpoznawał jaki system wysyła zapytanie o IP ? _________________ Desktop: [Ath64 X2 2GB DDR2 GF76GT] [amd64] [2.6.29-gentoo] [nVidia] [KDE 3.5.10]
Lapek: [HP nc6000] [i686] [2.6.29-ARCH] [ati-open] [KDE 3.5.10]
Last edited by Yatmai on Fri Jan 19, 2007 8:33 pm; edited 1 time in total |
|
Back to top |
|
|
qermit Veteran
Joined: 02 Feb 2005 Posts: 1032
|
Posted: Fri Jan 12, 2007 11:17 pm Post subject: |
|
|
Może przy współpracy z iptables by się dało - tzn z windowsa pakiety lądowały by na innym porcie _________________ "A co ty masz w swoim LinuXie?" - Dr Qermit |
|
Back to top |
|
|
Yatmai Veteran
Joined: 12 Nov 2005 Posts: 1501 Location: Kraków
|
Posted: Sat Jan 13, 2007 1:47 am Post subject: |
|
|
Tylko chce by to było realizowane bez ingerencji w klientów, by windows już przy instalacji nie miał neta, jednak Gentoo by się przydało, a trudno żeby livecd miało jakieś zmodyfikowane na moje warunki narzędzia _________________ Desktop: [Ath64 X2 2GB DDR2 GF76GT] [amd64] [2.6.29-gentoo] [nVidia] [KDE 3.5.10]
Lapek: [HP nc6000] [i686] [2.6.29-ARCH] [ati-open] [KDE 3.5.10] |
|
Back to top |
|
|
lsdudi Guru
Joined: 12 Nov 2006 Posts: 392 Location: Warsaw
|
Posted: Sat Jan 13, 2007 1:34 pm Post subject: |
|
|
A jaki masz dokładnie problem? bo może jest inne wyjście _________________ RLU#416942 |
|
Back to top |
|
|
Yatmai Veteran
Joined: 12 Nov 2005 Posts: 1501 Location: Kraków
|
Posted: Sun Jan 14, 2007 7:16 pm Post subject: |
|
|
Chodzi o to by komputery miały dostęp do internetu, jednak te z zainstalowanym/uruchomionym (bo na niektórych są 2 systemy) windowsem miały dostęp jedynie do sieci lokalnej, żeby wirusów nie łapać z zewnątrz _________________ Desktop: [Ath64 X2 2GB DDR2 GF76GT] [amd64] [2.6.29-gentoo] [nVidia] [KDE 3.5.10]
Lapek: [HP nc6000] [i686] [2.6.29-ARCH] [ati-open] [KDE 3.5.10] |
|
Back to top |
|
|
Paczesiowa Guru
Joined: 06 Mar 2006 Posts: 593 Location: Oborniki Śląskie, Poland
|
Posted: Sun Jan 14, 2007 7:44 pm Post subject: |
|
|
mozesz przydzielac windowsom takie ip ktore bedizesz wycinal na firewallu. a wszystkie kompy na linuxie sobie pozmieniaja maci na ktore juz dostana normalne dzialajace ip. |
|
Back to top |
|
|
Yatmai Veteran
Joined: 12 Nov 2005 Posts: 1501 Location: Kraków
|
Posted: Sun Jan 14, 2007 8:11 pm Post subject: |
|
|
Nad tym też myślałem, że standardową pulę IP mam .1.x, pulę gdy podłączam nową maszynę .1.1x, a dla windziaków dałbym .1.2x gdzie blokowałbym wyjście na net. Tylko jeśli to możliwe to wolałbym pozostawić IP po DHCP, a zmiana mac'ów troche odpada, bo wtedy dla każdego jednego livecd trzeba będzie zmieniać mac. _________________ Desktop: [Ath64 X2 2GB DDR2 GF76GT] [amd64] [2.6.29-gentoo] [nVidia] [KDE 3.5.10]
Lapek: [HP nc6000] [i686] [2.6.29-ARCH] [ati-open] [KDE 3.5.10] |
|
Back to top |
|
|
lsdudi Guru
Joined: 12 Nov 2006 Posts: 392 Location: Warsaw
|
Posted: Sun Jan 14, 2007 8:30 pm Post subject: |
|
|
Art.root wrote: | Chodzi o to by komputery miały dostęp do internetu, jednak te z zainstalowanym/uruchomionym (bo na niektórych są 2 systemy) windowsem miały dostęp jedynie do sieci lokalnej, żeby wirusów nie łapać z zewnątrz |
Raczej to problem ominie, a nie mu zaradzi
bo ściągniemy na linuksie a odpalimy na windzie i wirus tak czy siak trafi z sieci
a zamiast zaprzęgać do tego dhcp lepiej użyć do tego iptables
miedzy windows/linux/bsd są różnice w zawartości nagłówków pakietu
miedzy innymi ttl czy Qos na podstawie tego mógłbyś odrzucać pakiety _________________ RLU#416942 |
|
Back to top |
|
|
Yatmai Veteran
Joined: 12 Nov 2005 Posts: 1501 Location: Kraków
|
Posted: Sun Jan 14, 2007 9:31 pm Post subject: |
|
|
lsdudi wrote: | a zamiast zaprzęgać do tego dhcp lepiej użyć do tego iptables
miedzy windows/linux/bsd są różnice w zawartości nagłówków pakietu
miedzy innymi ttl czy Qos na podstawie tego mógłbyś odrzucać pakiety |
ooo to jest wskazówka _________________ Desktop: [Ath64 X2 2GB DDR2 GF76GT] [amd64] [2.6.29-gentoo] [nVidia] [KDE 3.5.10]
Lapek: [HP nc6000] [i686] [2.6.29-ARCH] [ati-open] [KDE 3.5.10] |
|
Back to top |
|
|
timor Guru
Joined: 25 May 2005 Posts: 517 Location: Poland
|
Posted: Thu Jan 18, 2007 12:08 pm Post subject: |
|
|
Art.root wrote: | ooo to jest wskazówka |
Tutaj gdzieś były opisane te różnice (dział o fingerprintingu): http://www.linuxpub.pl/administracja/skanowanie_fingerprinting.html
Ja bym jednak polecał inne rozwiązanie: albo wyciąć na FORWARD'zie ruch na portach wykorzystywanych przez wirusy, albo logować na nich ruch i jeżeli przekroczy ktoś przepustowość to go wtedy wyciąć |
|
Back to top |
|
|
Gabrys Veteran
Joined: 05 Dec 2005 Posts: 1096 Location: Toruń [PL]
|
Posted: Thu Jan 18, 2007 2:09 pm Post subject: |
|
|
Art.root wrote: | Tylko chce by to było realizowane bez ingerencji w klientów, by windows już przy instalacji nie miał neta, jednak Gentoo by się przydało, a trudno żeby livecd miało jakieś zmodyfikowane na moje warunki narzędzia |
No to odcinasz/przegryzasz kabelek i po kłopocie . Ewentualnie możesz zrobić jakąś autoryzację, coś ala WEP w sieciach WiFi. Podobno niektóre mechanizmy przenoszą się na sieci kablowe (akurat WEP nie). _________________ Sabayon Professional 1.1 (czyli zdradziłem oryginalne Gentoo)
@ Dell Inspiron 8600 (nVidia, Realtek, Pentium M) |
|
Back to top |
|
|
milu Bodhisattva
Joined: 03 May 2004 Posts: 1122 Location: Poland, Konstancin-Jeziorna
|
Posted: Thu Jan 18, 2007 3:34 pm Post subject: |
|
|
A'la WEP to może być PPPoE, trzeba zainstalować serwer, poustawiać użytkowników i hasła i wtedy przy logowaniu do sieci trzeba będzie się uwierzytelnić via PPPoE.
A co do łapania wirusów z zewnątrz - jeśli nie będziesz udostępniał go na publicznym IP i przyblokujesz na firewallu wychodzące windowsowe porty(137-139 i 445) to powinno to pomóc. W tym wypadku groziły by tylko wirusy w sieci lokalnej lub te ściągnięte na własne życzenie. _________________ Pozdrawiam,
Milu
------------------------------------
Registered Linux User: #246079
Zanim zadasz pytanie przeczytaj to dokładnie!! |
|
Back to top |
|
|
nmap Tux's lil' helper
Joined: 28 Nov 2004 Posts: 122 Location: /dev/poznan/debiec
|
Posted: Thu Jan 18, 2007 3:43 pm Post subject: |
|
|
Dziwie się czemu dałeś taki temat ? Jakoś wydaje mi się ze nijak ma się do twego problemu .
Co do twego problemu zaprzągł bym sobie w sieci OpenBSD . System ten posiada PF dzięki któremu możesz osiągnąć zamierzone ograniczenia.
Oczywiście można to zrobić na jakiejś distro linuxa tez . Wydaje mi się ze w twojej sieci jest źle rozplanowana ruch sieciowy .
Poczytaj sobie oto minimalna wiedza o PF . Ja bym użył tego do ograniczeń ruchu sieciowego .
http://www.openbsd.org/faq/pf/pl/index.html _________________
FSF OpenBSD Open Source . You Have the Power !
|
|
Back to top |
|
|
qermit Veteran
Joined: 02 Feb 2005 Posts: 1032
|
Posted: Fri Jan 19, 2007 7:27 pm Post subject: |
|
|
ten pan ma rację, iptables nie oferuje tak prostej metody wyłapywania systemu przez odcisk palucha systemu operacyjnego.
Jedyne co można znaleźć to ippersonality (łatka na iptables), ale jeszcze nie słyszałem o nikim kto by to używał. _________________ "A co ty masz w swoim LinuXie?" - Dr Qermit |
|
Back to top |
|
|
Yatmai Veteran
Joined: 12 Nov 2005 Posts: 1501 Location: Kraków
|
Posted: Fri Jan 19, 2007 8:31 pm Post subject: |
|
|
Hehe w sumie to się troche zagalopowaliście Sieć mam dobrze zbudowaną, wbrew sugestii któregoś z panów. Problem leży w odwiecznym najsłabszym ogniwie łańcucha bezpieczeństwa. "Korporacje wydają miliony dolarów na firewalle, czy inne systemy zabezpieczeń, a użytkownik zapisze sobie hasło na żółtej karteczce i przyklei do monitora" kojarzycie to zdanie ?
I o to właśnie chodzi, lan ma być, żebym sobie mógł z kumplami czasem pociupać w gierki, ale wyjście na internet nie, żeby mnie czasem nie przyszedł głupi pomysł łażenia po internecie na windowsie, bo mi się nie chce na linucha przełączać _________________ Desktop: [Ath64 X2 2GB DDR2 GF76GT] [amd64] [2.6.29-gentoo] [nVidia] [KDE 3.5.10]
Lapek: [HP nc6000] [i686] [2.6.29-ARCH] [ati-open] [KDE 3.5.10] |
|
Back to top |
|
|
timor Guru
Joined: 25 May 2005 Posts: 517 Location: Poland
|
Posted: Fri Jan 19, 2007 9:19 pm Post subject: |
|
|
Więc ja nadal nie rozumiem celu takiej konfiguracji. Dla mnie logiczne jest jeżeli wycina się z zewnątrz porty wirusów, a internet jest po równo dla wszystkich. Nie wiem jak dużą siecią zarządzasz ale jeżeli to ma być ułatwienie tylko dla Ciebie to chyba najprościej byłoby zmienić mac na windzie i wyciąć go w ruchu na zewnątrz pozostawiając jednak forwardowanie. Działało by tak jak chcesz i da się to zrobić bez dodatkowego softu w 3 min. |
|
Back to top |
|
|
szolek Guru
Joined: 30 Mar 2005 Posts: 570 Location: Brzóza Królewska
|
Posted: Fri Jan 19, 2007 10:54 pm Post subject: |
|
|
Jeśli na Linuksie nie używasz samby to może szybciej wyszukasz komputery z domyślną windowsową konfiguracją sieci. |
|
Back to top |
|
|
Gabrys Veteran
Joined: 05 Dec 2005 Posts: 1096 Location: Toruń [PL]
|
Posted: Fri Jan 19, 2007 11:15 pm Post subject: |
|
|
Słuchajcie a może tak:
1. Skrypt do blokowania netu dla danego IP
Potrafisz to zrobić prawda?
2. Skrypt do odblokowania netu dla danego IP
j.w.
3. nmap z jakimiś opcjami, żeby wykrywał tylko system operacyjny i robił to w miarę szybko
4. skrypt, który robi mniej więcej:
if nmap wykrywa windowsa; to odetnij_net; ajaknie odblokuj_net
5. wrzucić skrypt do crona
i gitara, czyż nie? _________________ Sabayon Professional 1.1 (czyli zdradziłem oryginalne Gentoo)
@ Dell Inspiron 8600 (nVidia, Realtek, Pentium M) |
|
Back to top |
|
|
timor Guru
Joined: 25 May 2005 Posts: 517 Location: Poland
|
Posted: Fri Jan 19, 2007 11:28 pm Post subject: |
|
|
Gabrys wrote: | ...
i gitara, czyż nie? | Chciałbym to zobaczyć, ogolnie jeśli coś się szybko skanuje to właśnie windy ale poddaję w wątpliwość tą metodę, będzie wolna i nie efektywna. |
|
Back to top |
|
|
szolek Guru
Joined: 30 Mar 2005 Posts: 570 Location: Brzóza Królewska
|
Posted: Sat Jan 20, 2007 7:35 am Post subject: |
|
|
Z ipt_recent było by szybciej. Jedna regułka blokująca, druga sprawdzająca. Tylko odpowiednio sprawdzającą ułożyć. |
|
Back to top |
|
|
qermit Veteran
Joined: 02 Feb 2005 Posts: 1032
|
Posted: Sat Jan 20, 2007 10:03 am Post subject: |
|
|
powiem tak - wszystkie aktywne metody sprawdzania mają większe lub mniejsze dziury.
najlepsza by była pasywna, tylko trzeba znaleźć coś dla windowsów - może próba pobierania update ze stron ms?? _________________ "A co ty masz w swoim LinuXie?" - Dr Qermit |
|
Back to top |
|
|
Raku Bodhisattva
Joined: 28 Feb 2004 Posts: 2374 Location: Poland
|
Posted: Sat Jan 20, 2007 12:26 pm Post subject: |
|
|
a może wartość TTL? _________________ raku
Powered by Archlinux |
|
Back to top |
|
|
qermit Veteran
Joined: 02 Feb 2005 Posts: 1032
|
Posted: Mon Jan 22, 2007 7:56 am Post subject: |
|
|
O! to jest dobre!
Wiedziałem, że o czymś zapomniałem. Ale jest jeden szkopuł. Linux ma chyba tyle co windows 98
Quote: | Typowe wartości
32 - Windows 95 i NT 3.51
64 - Linux
64 - Windows 98
128 - Nowsze systemy Windows |
_________________ "A co ty masz w swoim LinuXie?" - Dr Qermit |
|
Back to top |
|
|
zbychuk n00b
Joined: 12 Mar 2004 Posts: 30 Location: Poland
|
Posted: Mon Jan 22, 2007 10:54 am Post subject: |
|
|
Jest takie jedno rozszerzenie do IPTABLES o nazwie OSF (jeśli się nie mylę). Chodzi o pasywne rozpoznawanie systemu operacyjnego na podstawie wysyłanych przez niego pakietów. |
|
Back to top |
|
|
ryszardzonk Apprentice
Joined: 18 Dec 2003 Posts: 225 Location: Rzeszów, POLAND
|
Posted: Wed Jan 24, 2007 8:58 pm Post subject: |
|
|
zbychuk wrote: | Jest takie jedno rozszerzenie do IPTABLES o nazwie OSF (jeśli się nie mylę). Chodzi o pasywne rozpoznawanie systemu operacyjnego na podstawie wysyłanych przez niego pakietów. |
Trafniejszym było by tu chyba powiedzenie, że było takie rozszerzenie.
najnowszy snapshot patch-o-matic jego już nie zawiera
ftp://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/patch-o-matic-ng-20070123.tar.bz2
Nie traifł on jednak do gałezi iptables a zniknął całkowicie
ftp://ftp.netfilter.org/pub/iptables/snapshot/iptables-1.3.7-20070123.tar.bz2
To samo stało się też z kilkoma innymi modułami jak np. geoip czy XOR. IMHO szkoda, że nie znalazł się nikt by te czy inne moduły zsynchronizować ze zmianami jakie nastąpipły w kernelu i musiały one byc wyrzucone. _________________ Sky is not the limit... |
|
Back to top |
|
|
|