Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. #21

    Padrão

    eh.. realmente eh isso mesmo.. o knock na recebe as batidas.. nao consta nada no log...

    parece q o firewall nao deixa nem bater na porta...

  2. #22

    Padrão

    claro um PIC com total certeza e uma ótima solução eu falei do pc com porta paralela pois todo mundo tem um velho k6 jogado na garagem e e muito mais simples pra quem nem faz ideia do que assembly
    embora fazer um pic falar tcp/ip tambem seja complicado com assembly

    eu resolvi falar sobre a LPT pois ela e muito versátil e fácil
    eu fiz pra mim um VU(aquela barrinha de leds colorido que ascendem em sequencia)
    ligado a LPT q eu uso como indicador pra qual quer coisa (temperatura, uso de HD, uso de memoria qualquer valor localmente e ate remotamente (to testando com SNMP))
    atualmente uso 4 VUs pra mostrar o trafego em placas de rede
    se quiser sera um prazer compartinhar com a comunidade

    mas ja to com uma proxima maluquice em mente
    usar um uComtrolador uma interface serial e um display grafico
    e fazer como um eletrocardiograma de trafego de rede em tempo real
    meio louco não?????????



  3. #23

    Padrão

    Estranho, teoricamente ele deveria bater mesmo com a porta bloqueada, conforme postei antes, os pacotes são capturados em camada 2. E o firewall funciona em camada 3 e 4 (a não ser q vc esteja utilizando ele pra bloquear MAC)... Faz um teste mais simples, bloqueia as portas da sequencia e roda o cliente do knock pra ver se ele ouve as batidas ou não...

    pankdo, não precisa fazer o PIC falar TCP/IP a IP Dragon já faz isso !!! Ele já te entrega o pacote desmontado em uma sequencia definida. Tipo os primeiros 32 bits IP de origem, os proximos 32 IP de destino e etc... Facilita muito!

  4. #24

    Padrão

    vamos lah... vou fazer os testes e posta agora.. nao ficar tanta resposta minha..

    antes.. me diz uma coisa..

    1. tem algum link ae q ensine a instalar o debian num notebook amd 64 da acer? o aspire ...

    2. quando eu respondo aki sem citar ninguem.. vc recebe email informando q tem nova resposta?

    3. o modelo de firewall q postei antes.. bem simples por sinal.. pq nao funciona?

    4. como eu bloqueio as portas do knock?? iptables -d ???



  5. #25

    Padrão

    Blz, bora la...

    vamos lah... vou fazer os testes e posta agora.. nao ficar tanta resposta minha..

    antes.. me diz uma coisa..

    1. tem algum link ae q ensine a instalar o debian num notebook amd 64 da acer? o aspire ...
    Cara, não sei... Nunca instalei o Debian em notebooks... mas se você criar um tópico sobre isso na área de Debian acho que alguém deve ter um notebook igual esse com o Debian instalado e eles podem te ajudar...

    2. quando eu respondo aki sem citar ninguem.. vc recebe email informando q tem nova resposta?
    Sim, a partir do momento que eu respondo um tópico eu automaticamente assino-o, e qualquer post novo eu recebo notificação por e-mail

    3. o modelo de firewall q postei antes.. bem simples por sinal.. pq nao funciona?
    Cara, pra mim ta simples o suficiente... Mas pelo que você falou, o problema foi que o cliente knock não conseguiu alcançar o server certo?!

    4. como eu bloqueio as portas do knock?? iptables -d ???
    Bem, suponhamos que você programou ele pra bater nas portas 1001, 1010, 1100. Crie uma regra que bloqueie essa porta:
    iptables -A INPUT -i ethX -p tcp --dport 1001 -j DROP
    iptables -A INPUT -i ethX -p tcp --dport 1010 -j DROP
    iptables -A INPUT -i ethX -p tcp --dport 1100 -j DROP

  6. #26

    Padrão

    vamos simbora.... vem comigo....

    bloqueei as portas usando o comando especificado pelo comandante do submarino amarelo...

    iptables -A INPUT -i ethX -p tcp --dport 6000 -j DROP

    e fiz o mesmo para as outras portas 7001, 8002 e 9003.

    testei o knock.. funcionou blz... o q me leva a crer q algo de muito errado tem no firewall q quero implantar... entao acho q devo encerrar esse topico q jah foi mais q esclarecedor sobre coisas malukas... e abrir dois novos topicos.. do debian-laptop e sobre o meu firewall especificamente...

    Mas falando no danado... o outro q posteu.. q eh tao simples.. nao tem regra alguma... apenas faz o mascaramento... duas regras se nao me engano... num devia funcionar?? pq como eu coloquei antes.. ele bloqueia TUDO... assim q rodo o firewall q postei aki.. perco minha conexao ssh.. e olha q tem um daemon rodando lah.. nem eh o inetd.. e no firewall soh tem 2 regras.. a de redirecionamento para porta squi 3128 e de masquerade...

    grato,

    Eugenio



  7. #27

    Padrão

    Cara, realmente, aquele firewall não deveria derrubar sua conexão ssh, a não ser que o ssh esteja rodadondo em uma porta X e exista um redirecionamento da 22 pra essa porta X. mas acho isso pouco provável. Seria interessante dar uma olhada na config do firewall quando o ssh esta funcionando.
    Outra coisa, você rodou um script dentro do linux certo? Porque se você fizer um "copy n paste", antes de você enviar a regras de masquerade você já perdeu a conexão devido ao iptables -F

  8. #28

    Padrão

    Citação Postado originalmente por Magnun Ver Post
    Cara, realmente, aquele firewall não deveria derrubar sua conexão ssh...
    Vejamos...

    meu ssh roda em outra porta q eh a 6162 e via daemon q tb mudei de nome.. eh o zkzkd... porem funfa direitinho sem problemas.. e nao conecto via 22 para redir.. eu conecto diretamente na 6162...

    quanto ao script.. estou testando assim mesmo.. tenho ele pronto.. e rodo.. aih perco a conexao.. deve ser o -F..

    mas aih aparece outro duvida.. tenho outro script.. q eh o q quero rodar como definitivo.. este qd rodo nao me derruba.. porem se eu desconectar.. nao consigo mais o acesso..

    e logo de cara ele tem:iptables -F INPUT
    iptables -F OUTPUT
    iptables -F FORWARD
    iptables -F POSTROUTING -t nat
    iptables -F PREROUTING -t nat
    iptables -F -t nat


    mas mesmo assim nao me derruba... soh nao consigo acessar de volta.. mas fico no ar...


    acho q meu problema se resume ao iptables mesmo..

    vou procurar mais informações...

    grato,

    Eugenio



  9. #29

    Padrão

    Citação Postado originalmente por Magnun Ver Post
    pankdo, não precisa fazer o PIC falar TCP/IP a IP Dragon já faz isso !!! Ele já te entrega o pacote desmontado em uma sequencia definida. Tipo os primeiros 32 bits IP de origem, os proximos 32 IP de destino e etc... Facilita muito!
    essa eu não sabia me desculpem por desviar o escopo do tópico
    mas muito obrigado pela dica valew

  10. #30

    Padrão

    Citação Postado originalmente por pankdo Ver Post
    essa eu não sabia me desculpem por desviar o escopo do tópico
    Que isso... é bom que descontrai um pouco!!
    Citação Postado originalmente por pankdo Ver Post
    mas muito obrigado pela dica valew
    De nada! Até mais...



  11. #31

    Padrão

    e so mais uma escapada do tópico

    q q vc acha da ideia do VU e do "eletrocardiograma" de trafego????????

  12. #32

    Padrão Meu post...

    Citação Postado originalmente por Magnun Ver Post
    Que isso... é bom que descontrai um pouco!!

    De nada! Até mais...
    Magnum 47... vc leu meu last post man?

    grato,

    Eu



  13. #33

    Padrão

    Citação Postado originalmente por pankdo Ver Post
    e so mais uma escapada do tópico
    q q vc acha da ideia do VU e do "eletrocardiograma" de trafego????????
    Parece legal..Hehe... Vc traria para a "mesa de trabalho" um gadged de "desktop"!
    Citação Postado originalmente por eugeniomarques Ver Post
    Magnum 47... vc leu meu last post man?
    Opa... Foi mal cara... hehe...
    Citação Postado originalmente por eugeniomarques Ver Post
    Vejamos...
    meu ssh roda em outra porta q eh a 6162 e via daemon q tb mudei de nome.. eh o zkzkd...
    Como você fez isso!?!? zkzkd???? Que massa!
    Citação Postado originalmente por eugeniomarques Ver Post
    porem funfa direitinho sem problemas.. e nao conecto via 22 para redir.. eu conecto diretamente na 6162...
    o que descarta o problema de redir de porta...
    Citação Postado originalmente por eugeniomarques Ver Post
    quanto ao script.. estou testando assim mesmo.. tenho ele pronto.. e rodo.. aih perco a conexao.. deve ser o -F..
    num ambiente com nat e redir de porta um -F naturalmente derrubaria a conexão
    Citação Postado originalmente por eugeniomarques Ver Post
    mas aih aparece outro duvida.. tenho outro script.. q eh o q quero rodar como definitivo.. este qd rodo nao me derruba.. porem se eu desconectar.. nao consigo mais o acesso..

    e logo de cara ele tem:iptables -F INPUT
    iptables -F OUTPUT
    iptables -F FORWARD
    iptables -F POSTROUTING -t nat
    iptables -F PREROUTING -t nat
    iptables -F -t nat


    mas mesmo assim nao me derruba... soh nao consigo acessar de volta.. mas fico no ar...
    Bizarro isso... Deveria cair...
    Citação Postado originalmente por eugeniomarques Ver Post
    acho q meu problema se resume ao iptables mesmo...
    Concordo que deve ser só firewall...
    Como disse num ambiente com nat a conexão deveria cair.. ai é que surge uma pergunta pertinente... Em qual IP você conecta?!
    Vamos fazer um diagrama feio:
    Código :
                                                                                                ______  
                                                                                          __/               \
                                                                                        / 
    ____                                 _____                         __\
    |        |eth0     ___   eth0 |            |eth1            /
    |        |---------|___|--------|            |--------------|       Rede Interna
    |___ |         router            |_____|                     \__
    Seu PC                          Maq de dest                   /
                                                                                      \__
                                                                                             \______/
    Sua rede parece com isso??
    Por qual IP vc acessa a máquina de destino?? eth0 certo?? Se sim, o -F do iptables não deveria te derrubar... Pois você não passa por nenhum nat... Não faz sentido... A não ser que a regra padrão da suas chains de INPUT e OUTPUT seja DROP...

    Que trabalho que deu pra desenhar isso... Eu devia ter upado uma imagem.. era mais fácil...
    Última edição por Magnun; 16-04-2008 às 15:12.

  14. #34

    Padrão cara.. vc eh doido...!!!

    Citação Postado originalmente por Magnun Ver Post
    Como você fez isso!?!? zkzkd???? Que massa!
    Cara basicamente a grosso modo falando.. eu fiz uam copia do sshd para outro nome q no meu caso foi zkzkd.. tb fiz copia do script q inicia.. q fica dentro do init.d do etc do debian.. pra in.zkzkd

    depois mudei a porta padrao do ssh de 22 para 6162 no .conf do mesmo e no services do etc.. e botei o bixo pra rodar...


    Citação Postado originalmente por Magnun Ver Post
    ai é que surge uma pergunta pertinente... Em qual IP você conecta?!
    Cara eu conecto direto no meu ip valido.. 200.xxx.xxx.xxx

    esse ip eh o ip direto do debian... eu conecto via eth0.. q eh quem recebe a net... como tem a porta do zkzkd rodando a porta 6162.. entao uso no putty a conex~~ao direta jah 200.x.x.x:6162

    e pronto.. tou dentro..

    Citação Postado originalmente por Magnun Ver Post
    Vamos fazer um diagrama feio:
    Pra ficar igual vou fazer meu diagrama tb..

    soh q mais simples.. o seu eh muito arrojado..

    [meu-pc] -- [internet] --- [debian]

    ou seja, eu conecto direto jah de qualquer lugar.. agora dentro da rede eh assim...

    [internet]-=eth0]--{debian}--[eth1(squid)--> <Rede Interna>

    Eu nem sei pq tou desenhando isso.. nem sei mais o motivo do meu post... acho q vou deixar tudo assim mesmo.. consegui ateh servir um ftp pra um usuario acessar remotamente e entrar numa pasta do windows 2003...

    afff.. viva o google e o under-linux.. e vivaolinux e outros q eskeci..

    Citação Postado originalmente por Magnun Ver Post
    Que trabalho que deu pra desenhar isso... Eu devia ter upado uma imagem.. era mais fácil...
    Trabalho tah dando pra fazer o q eu quero.. mas vamos resumir... tu tem aih um rc.firewall bom pra debian.. q barre as principais portas de virus e trojan e atakes... e libere akelas portas do conectividade.. entre outros.. e faça tudo q eu quero??

    eu jah consigo redirecionar qquer coisa na minha rede...

    acesso daki.. o winbox.. (mk).. os access points.. as makinas dos clientes via vnc.. o ftp do linux e do windows.. mas fico com medo de meu firewall nao tah muito bom...

    aih quem entrar vai ter acesso a muita coisa neh??

    um abraço,

    Eu



  15. #35

    Padrão Sou doido porque??

    Infelizmente não tenho cara... Mexo com iptables mais por "esporte"! Mas acho que pela net você acha uma compilação de regras "básicas" pra evitar virus/trojans e tipos de ataque como DoS e etc... Outro dia eu estava pesquisando sobre a opção MARK do iptables e achei essas regras:

    Código :
    # Bloqueando ataques do tipo SPOOF de IP:
    iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
    iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
    iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
    iptables -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP
    iptables -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP
     
    #Bloqueia ataque brutal force no ssh
    iptables -A INPUT -p tcp --syn --dport 22 -m recent --name sshattack --set
    iptables -A INPUT -p tcp --dport 22 --syn -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j LOG --log-prefix 'SSH REJECT: '
    iptables -A INPUT -p tcp --dport 22 --syn -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j REJECT --reject-with tcp-reset
    iptables -A FORWARD -p tcp --syn --dport 22 -m recent --name sshattack --set
    iptables -A FORWARD -p tcp --dport 22 --syn -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j LOG --log-prefix 'SSH REJECT: '
    iptables -A FORWARD -p tcp --dport 22 --syn -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j REJECT --reject-with tcp-reset
     
    #Outra forma de bloquear brutal force
    # Create a reject-and-log-SSH-Bruteforce chain to forward things to.
    iptables -N REJECT-SSH
    iptables -A REJECT-SSH -j DROP -m recent --rcheck --name SSH --seconds 60 --hitcount 10
    iptables -A REJECT-SSH -j LOG --log-prefix SSH-Bruteforce:
    iptables -A REJECT-SSH -j REJECT -p tcp --reject-with tcp-reset
    iptables -A REJECT-SSH -j REJECT
    # Kill SSH brute-force attacks.  Allow only three connections per minute
    # from any source.
    iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --name SSH --seconds 60 --hitcount 4 -j REJECT-SSH
    iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
     
    #Evitar ataques DoS
    iptables -A INPUT -i eth0 -p TCP –tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/2 -j ACCEPT
     
    #Evitando ataque Smurf
    iptables -A INPUT -p icmp -–icmp-type 8 -j REJECT
    Acho que já é alguma coisa ne?!

    Voltando pro problema, estou começando a achar que o problema no ssh não tem a ver com iptables. Talvez seja algo com o servidor ssh... Se você está conectado diretamente na internet e a porta do ssh está aberta deveria funcionar, a não ser que exista uma regra padrão na sua chain INPUT bloqueando tudo. Ai você precisaria incluir uma permitindo. Uma boa forma talvez seja vc executar um scan de portas. Usa o nmap e vê se a porta do ssh está realmente aberta.
    Última edição por Magnun; 17-04-2008 às 15:22.

  16. #36

    Padrão eu bebi demais...

    cara.. eui tava indo pra csa.. qd resolvi parar aki pra ver algo...

    entao vamjos lah...

    descuklpa se eu bebi um piuhoco demais...

    o nmap.. caralho gvbou pereder o onibvus...

    meu nampa de portas altas.. ficou assim:

    PORT STATE SERVICE
    6161/tcp open unknown
    6162/tcp open unknown <-- esse eh meu sshd


    umk baraco,



  17. #37

    Padrão

    Cara, sinceramente não sei porque você não consegue conectar então! A porta ta aberta, você alcança o endereço e não tem regra de firewall! Cara, esse teu server ta possuído!
    O mais estranho é que quando você reboota ele volta ao normal! Tem alguma coisa no script que roda ao dar boot que não tem no script que você ta rodando... é a única possibilidade!
    Estou sem idéias cara...

  18. #38

    Padrão Conseguiiiiiiiiiiiiiiiiiiii........ .....

    Cara.. consegui minha primeira invasão wirelesss.... sei q o topico eh outro.. mas queria compartilhar primeiro aki...

    sei tb q nao eh grande coisa... mas consegui acessar a net (estou nela agora).. atraves de um server mk c/ hotspot c/ controle de ip x mac....

    realmente eh muito facil... o mais dificil agora eh conseguir ficar usando ateh q o dono do mac verdadeiro.. volte a ligar a sua makina...

    proximo passo.. conseguir um ip proprio...

    um abraço,

    Eu



  19. #39

    Padrão boa sorte

    sinto não poder colaborar muito para a solução dos problemas aqui apresentados mas assim que eu descobrir algo de real importancia eu posto