Serviços Malukos... Coisa de Admin

[eugeniomarques]

eh.. realmente eh isso mesmo.. o knock na recebe as batidas.. nao consta nada no log...

parece q o firewall nao deixa nem bater na porta...

[pankdo]

claro um PIC com total certeza e uma ótima solução eu falei do pc com porta paralela pois todo mundo tem um velho k6 jogado na garagem e e muito mais simples pra quem nem faz ideia do que assembly
embora fazer um pic falar tcp/ip tambem seja complicado com assembly

eu resolvi falar sobre a LPT pois ela e muito versátil e fácil
eu fiz pra mim um VU(aquela barrinha de leds colorido que ascendem em sequencia)
ligado a LPT q eu uso como indicador pra qual quer coisa (temperatura, uso de HD, uso de memoria qualquer valor localmente e ate remotamente (to testando com SNMP))
atualmente uso 4 VUs pra mostrar o trafego em placas de rede
se quiser sera um prazer compartinhar com a comunidade

mas ja to com uma proxima maluquice em mente
usar um uComtrolador uma interface serial e um display grafico
e fazer como um eletrocardiograma de trafego de rede em tempo real
meio louco não?????????

[Magnun]

Estranho, teoricamente ele deveria bater mesmo com a porta bloqueada, conforme postei antes, os pacotes são capturados em camada 2. E o firewall funciona em camada 3 e 4 (a não ser q vc esteja utilizando ele pra bloquear MAC)... Faz um teste mais simples, bloqueia as portas da sequencia e roda o cliente do knock pra ver se ele ouve as batidas ou não...

pankdo, não precisa fazer o PIC falar TCP/IP a IP Dragon já faz isso !!! Ele já te entrega o pacote desmontado em uma sequencia definida. Tipo os primeiros 32 bits IP de origem, os proximos 32 IP de destino e etc... Facilita muito!

[eugeniomarques]

vamos lah... vou fazer os testes e posta agora.. nao ficar tanta resposta minha..

antes.. me diz uma coisa..

1. tem algum link ae q ensine a instalar o debian num notebook amd 64 da acer? o aspire ...

2. quando eu respondo aki sem citar ninguem.. vc recebe email informando q tem nova resposta?

3. o modelo de firewall q postei antes.. bem simples por sinal.. pq nao funciona?

4. como eu bloqueio as portas do knock?? iptables -d ???

[Magnun]

Blz, bora la...

vamos lah... vou fazer os testes e posta agora.. nao ficar tanta resposta minha..

antes.. me diz uma coisa..

1. tem algum link ae q ensine a instalar o debian num notebook amd 64 da acer? o aspire ...

Cara, não sei... Nunca instalei o Debian em notebooks... mas se você criar um tópico sobre isso na área de Debian acho que alguém deve ter um notebook igual esse com o Debian instalado e eles podem te ajudar...

2. quando eu respondo aki sem citar ninguem.. vc recebe email informando q tem nova resposta?

Sim, a partir do momento que eu respondo um tópico eu automaticamente assino-o, e qualquer post novo eu recebo notificação por e-mail

3. o modelo de firewall q postei antes.. bem simples por sinal.. pq nao funciona?

Cara, pra mim ta simples o suficiente... Mas pelo que você falou, o problema foi que o cliente knock não conseguiu alcançar o server certo?!

4. como eu bloqueio as portas do knock?? iptables -d ???

Bem, suponhamos que você programou ele pra bater nas portas 1001, 1010, 1100. Crie uma regra que bloqueie essa porta:
iptables -A INPUT -i ethX -p tcp --dport 1001 -j DROP
iptables -A INPUT -i ethX -p tcp --dport 1010 -j DROP
iptables -A INPUT -i ethX -p tcp --dport 1100 -j DROP

[eugeniomarques]

vamos simbora.... vem comigo....

bloqueei as portas usando o comando especificado pelo comandante do submarino amarelo...

iptables -A INPUT -i ethX -p tcp --dport 6000 -j DROP

e fiz o mesmo para as outras portas 7001, 8002 e 9003.

testei o knock.. funcionou blz... o q me leva a crer q algo de muito errado tem no firewall q quero implantar... entao acho q devo encerrar esse topico q jah foi mais q esclarecedor sobre coisas malukas... e abrir dois novos topicos.. do debian-laptop e sobre o meu firewall especificamente...

Mas falando no danado... o outro q posteu.. q eh tao simples.. nao tem regra alguma... apenas faz o mascaramento... duas regras se nao me engano... num devia funcionar?? pq como eu coloquei antes.. ele bloqueia TUDO... assim q rodo o firewall q postei aki.. perco minha conexao ssh.. e olha q tem um daemon rodando lah.. nem eh o inetd.. e no firewall soh tem 2 regras.. a de redirecionamento para porta squi 3128 e de masquerade...

grato,

Eugenio

[Magnun]

Cara, realmente, aquele firewall não deveria derrubar sua conexão ssh, a não ser que o ssh esteja rodadondo em uma porta X e exista um redirecionamento da 22 pra essa porta X. mas acho isso pouco provável. Seria interessante dar uma olhada na config do firewall quando o ssh esta funcionando.
Outra coisa, você rodou um script dentro do linux certo? Porque se você fizer um "copy n paste", antes de você enviar a regras de masquerade você já perdeu a conexão devido ao iptables -F

[eugeniomarques]

Cara, realmente, aquele firewall não deveria derrubar sua conexão ssh...

Vejamos...

meu ssh roda em outra porta q eh a 6162 e via daemon q tb mudei de nome.. eh o zkzkd... porem funfa direitinho sem problemas.. e nao conecto via 22 para redir.. eu conecto diretamente na 6162...

quanto ao script.. estou testando assim mesmo.. tenho ele pronto.. e rodo.. aih perco a conexao.. deve ser o -F..

mas aih aparece outro duvida.. tenho outro script.. q eh o q quero rodar como definitivo.. este qd rodo nao me derruba.. porem se eu desconectar.. nao consigo mais o acesso..

e logo de cara ele tem:iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -F -t nat

mas mesmo assim nao me derruba... soh nao consigo acessar de volta.. mas fico no ar...


acho q meu problema se resume ao iptables mesmo..

vou procurar mais informações...

grato,

Eugenio

[pankdo]

pankdo, não precisa fazer o PIC falar TCP/IP a IP Dragon já faz isso !!! Ele já te entrega o pacote desmontado em uma sequencia definida. Tipo os primeiros 32 bits IP de origem, os proximos 32 IP de destino e etc... Facilita muito!

essa eu não sabia me desculpem por desviar o escopo do tópico
mas muito obrigado pela dica valew

[Magnun]

essa eu não sabia me desculpem por desviar o escopo do tópico

Que isso... é bom que descontrai um pouco!!

mas muito obrigado pela dica valew

De nada! Até mais...

[pankdo]

e so mais uma escapada do tópico

q q vc acha da ideia do VU e do "eletrocardiograma" de trafego????????

[eugeniomarques]

Que isso... é bom que descontrai um pouco!!

De nada! Até mais...

Magnum 47... vc leu meu last post man?

grato,

Eu

[Magnun]

e so mais uma escapada do tópico
q q vc acha da ideia do VU e do "eletrocardiograma" de trafego????????

Parece legal..Hehe... Vc traria para a "mesa de trabalho" um gadged de "desktop"!

Magnum 47... vc leu meu last post man?

Opa... Foi mal cara... hehe...

Vejamos...
meu ssh roda em outra porta q eh a 6162 e via daemon q tb mudei de nome.. eh o zkzkd...

Como você fez isso!?!? zkzkd???? Que massa!

porem funfa direitinho sem problemas.. e nao conecto via 22 para redir.. eu conecto diretamente na 6162...

o que descarta o problema de redir de porta...

quanto ao script.. estou testando assim mesmo.. tenho ele pronto.. e rodo.. aih perco a conexao.. deve ser o -F..

num ambiente com nat e redir de porta um -F naturalmente derrubaria a conexão

mas aih aparece outro duvida.. tenho outro script.. q eh o q quero rodar como definitivo.. este qd rodo nao me derruba.. porem se eu desconectar.. nao consigo mais o acesso..

e logo de cara ele tem:iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -F -t nat

mas mesmo assim nao me derruba... soh nao consigo acessar de volta.. mas fico no ar...

Bizarro isso... Deveria cair...

acho q meu problema se resume ao iptables mesmo...

Concordo que deve ser só firewall...
Como disse num ambiente com nat a conexão deveria cair.. ai é que surge uma pergunta pertinente... Em qual IP você conecta?!
Vamos fazer um diagrama feio:

Código :

                                                                                            ______  
                                                                                      __/               \
                                                                                    / 
____                                 _____                         __\
|        |eth0     ___   eth0 |            |eth1            /
|        |---------|___|--------|            |--------------|       Rede Interna
|___ |         router            |_____|                     \__
Seu PC                          Maq de dest                   /
                                                                                  \__
                                                                                         \______/

Sua rede parece com isso??
Por qual IP vc acessa a máquina de destino?? eth0 certo?? Se sim, o -F do iptables não deveria te derrubar... Pois você não passa por nenhum nat... Não faz sentido... A não ser que a regra padrão da suas chains de INPUT e OUTPUT seja DROP...

Que trabalho que deu pra desenhar isso... Eu devia ter upado uma imagem.. era mais fácil...

[eugeniomarques]

Como você fez isso!?!? zkzkd???? Que massa!

Cara basicamente a grosso modo falando.. eu fiz uam copia do sshd para outro nome q no meu caso foi zkzkd.. tb fiz copia do script q inicia.. q fica dentro do init.d do etc do debian.. pra in.zkzkd

depois mudei a porta padrao do ssh de 22 para 6162 no .conf do mesmo e no services do etc.. e botei o bixo pra rodar...

ai é que surge uma pergunta pertinente... Em qual IP você conecta?!

Cara eu conecto direto no meu ip valido.. 200.xxx.xxx.xxx

esse ip eh o ip direto do debian... eu conecto via eth0.. q eh quem recebe a net... como tem a porta do zkzkd rodando a porta 6162.. entao uso no putty a conex~~ao direta jah 200.x.x.x:6162

e pronto.. tou dentro..

Vamos fazer um diagrama feio:

Pra ficar igual vou fazer meu diagrama tb..

soh q mais simples.. o seu eh muito arrojado..

[meu-pc] -- [internet] --- [debian]

ou seja, eu conecto direto jah de qualquer lugar.. agora dentro da rede eh assim...

[internet]-=eth0]--{debian}--[eth1(squid)--> <Rede Interna>

Eu nem sei pq tou desenhando isso.. nem sei mais o motivo do meu post... acho q vou deixar tudo assim mesmo.. consegui ateh servir um ftp pra um usuario acessar remotamente e entrar numa pasta do windows 2003...

afff.. viva o google e o under-linux.. e vivaolinux e outros q eskeci..

Que trabalho que deu pra desenhar isso... Eu devia ter upado uma imagem.. era mais fácil...

Trabalho tah dando pra fazer o q eu quero.. mas vamos resumir... tu tem aih um rc.firewall bom pra debian.. q barre as principais portas de virus e trojan e atakes... e libere akelas portas do conectividade.. entre outros.. e faça tudo q eu quero??

eu jah consigo redirecionar qquer coisa na minha rede...

acesso daki.. o winbox.. (mk).. os access points.. as makinas dos clientes via vnc.. o ftp do linux e do windows.. mas fico com medo de meu firewall nao tah muito bom...

aih quem entrar vai ter acesso a muita coisa neh??

um abraço,

Eu

[Magnun]

Infelizmente não tenho cara... Mexo com iptables mais por "esporte"! Mas acho que pela net você acha uma compilação de regras "básicas" pra evitar virus/trojans e tipos de ataque como DoS e etc... Outro dia eu estava pesquisando sobre a opção MARK do iptables e achei essas regras:

Código :

# Bloqueando ataques do tipo SPOOF de IP:
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP
iptables -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP
 
#Bloqueia ataque brutal force no ssh
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name sshattack --set
iptables -A INPUT -p tcp --dport 22 --syn -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j LOG --log-prefix 'SSH REJECT: '
iptables -A INPUT -p tcp --dport 22 --syn -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j REJECT --reject-with tcp-reset
iptables -A FORWARD -p tcp --syn --dport 22 -m recent --name sshattack --set
iptables -A FORWARD -p tcp --dport 22 --syn -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j LOG --log-prefix 'SSH REJECT: '
iptables -A FORWARD -p tcp --dport 22 --syn -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j REJECT --reject-with tcp-reset
 
#Outra forma de bloquear brutal force
# Create a reject-and-log-SSH-Bruteforce chain to forward things to.
iptables -N REJECT-SSH
iptables -A REJECT-SSH -j DROP -m recent --rcheck --name SSH --seconds 60 --hitcount 10
iptables -A REJECT-SSH -j LOG --log-prefix SSH-Bruteforce:
iptables -A REJECT-SSH -j REJECT -p tcp --reject-with tcp-reset
iptables -A REJECT-SSH -j REJECT
# Kill SSH brute-force attacks.  Allow only three connections per minute
# from any source.
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --name SSH --seconds 60 --hitcount 4 -j REJECT-SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
 
#Evitar ataques DoS
iptables -A INPUT -i eth0 -p TCP –tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/2 -j ACCEPT
 
#Evitando ataque Smurf
iptables -A INPUT -p icmp -–icmp-type 8 -j REJECT

Acho que já é alguma coisa ne?!

Voltando pro problema, estou começando a achar que o problema no ssh não tem a ver com iptables. Talvez seja algo com o servidor ssh... Se você está conectado diretamente na internet e a porta do ssh está aberta deveria funcionar, a não ser que exista uma regra padrão na sua chain INPUT bloqueando tudo. Ai você precisaria incluir uma permitindo. Uma boa forma talvez seja vc executar um scan de portas. Usa o nmap e vê se a porta do ssh está realmente aberta.

[eugeniomarques]

cara.. eui tava indo pra csa.. qd resolvi parar aki pra ver algo...

entao vamjos lah...

descuklpa se eu bebi um piuhoco demais...

o nmap.. caralho gvbou pereder o onibvus...

meu nampa de portas altas.. ficou assim:

PORT STATE SERVICE
6161/tcp open unknown
6162/tcp open unknown <-- esse eh meu sshd


umk baraco,

[Magnun]

Cara, sinceramente não sei porque você não consegue conectar então! A porta ta aberta, você alcança o endereço e não tem regra de firewall! Cara, esse teu server ta possuído!
O mais estranho é que quando você reboota ele volta ao normal! Tem alguma coisa no script que roda ao dar boot que não tem no script que você ta rodando... é a única possibilidade!
Estou sem idéias cara...

[eugeniomarques]

Cara.. consegui minha primeira invasão wirelesss.... sei q o topico eh outro.. mas queria compartilhar primeiro aki...

sei tb q nao eh grande coisa... mas consegui acessar a net (estou nela agora).. atraves de um server mk c/ hotspot c/ controle de ip x mac....

realmente eh muito facil... o mais dificil agora eh conseguir ficar usando ateh q o dono do mac verdadeiro.. volte a ligar a sua makina...

proximo passo.. conseguir um ip proprio...

um abraço,

Eu

[pankdo]

sinto não poder colaborar muito para a solução dos problemas aqui apresentados mas assim que eu descobrir algo de real importancia eu posto