+ Responder ao Tópico



  1. #1
    whinston
    Visitante

    Padrão Iptables não bloqueia

    Meus caros, há anos um problema me espanta e não consigo resolver, gostaria de compartilhar o pepino com vocês.
    Pensem em um firewall com IP Wan 200.200.1.1 e um IP Lan 192.168.0.1. Pois bem, se qualquer ser do universo, rodando seu mero Windows colocar uma rota para 192.168.0.1, usando o gateway 200.200.1.1 (seu servidor), ele consegue entrar na sua Lan.
    Eu sei.. É bem estranho! Será que é verdade? Descobri isto certa vez quando estava configurando as rotas de uma VPN. O mais 'doido' é que você pode por mil regras de INPUT, que o "h4ck3r de XP" para de acessar o teu IP Real, mas ele consegue atravessar pra sua rede Lan e pasmem: seu firewall nem precisa tá com regra de Forward.
    Montei um ambiente aqui e estou fazendo zilhões de testes, colocando várias regras que vejo em exemplos de firewall e nada.. Alguém tem alguma dica ?

    *PS: ando tomando o gardenal no horário, regularmente

  2. #2
    Danilo_Montagna
    Visitante

    Padrão Iptables não bloqueia

    Seguinte... sem ser em uma VPN isso ae é impossivel .. nao existe como vc adicionar uma rota para uma rede invalida com gateway para uma rede valida, pois o gateway,, nao será um destino alcançavel..

    só é possivel se for uma rota default no "windows".. mais mesmo assim nao fara efeito nenhum.. sem roteamento de saida.. essa rota nao adianta de nada..

    quando se esta em um tunel VPN ae tudo bem.. mais ainda assim é super simples de se resolver isso.. mesmo em um tunel VPN...

    é so criar uma regra de SPOOFING no seu firewall..

    iptables -A PREROUTING -t nat -p all -i int_ext -s 192.168.0.0/24 -j DROP

    int_ext = interface externa do seu firewall por onde esse pacote vai entrar..

    da uma estudada em spoofing.. e no fluxo de pacotes do iptables..

    []´s



  3. #3
    whinston
    Visitante

    Padrão ambiente

    Obrigado meu caro! Se tu quiser montar 1 ambiente pra dar uma testada, vai ver que é muito doido. Eu mencionei o Forward.. Se a política for Aceppt, já elvis, se vc por Drop, resolve, mas ae tb não navega.
    Quando a dar host inalcancavel, isto depende. Digamos que você está dentro de uma Wavelan onde todo mundo tem um IP 100.0.0.x em comum, neste cenário, o problema apareceu. Dentro de uma mesma range do Speedy, mesma coisa. Abs

  4. #4

    Padrão Iptables não bloqueia

    pra responde isso só fazer teste, assim como eu, outros administradores de redes ñ tem tempo pra realizar esses teste, então se alguem puder testa isso seria muito bom e ficarei muito grato

    atenciosamente, Brenno Freires



  5. #5
    Alkaponi
    Visitante

    Padrão Iptables não bloqueia

    bom caro se vc quiser fazer alguns teste estou disponivel para a gente poder ver como esse treco funfa, mano.
    caso queira me chame por e-mail
    [email protected]

    whinston

    Obrigado meu caro! Se tu quiser montar 1 ambiente pra dar uma testada, vai ver que é muito doido. Eu mencionei o Forward.. Se a política for Aceppt, já elvis, se vc por Drop, resolve, mas ae tb não navega.
    Quando a dar host inalcancavel, isto depende. Digamos que você está dentro de uma Wavelan onde todo mundo tem um IP 100.0.0.x em comum, neste cenário, o problema apareceu. Dentro de uma mesma range do Speedy, mesma coisa. Abs

  6. #6
    whinston
    Visitante

    Padrão Explicando melhor :)

    Vamos lá pessoal, vou detalhar o pepino!
    Tem alguns provedores de rádio que usam um IP privado para a sua rede (digamos 100.0.0.0). Se você tiver um Linux como servidor dentro desta rede você terá 2 interfaces, uma com 192.168.0.1 (lan) e outra com 100.0.0.2 (wan).
    Se algum outro cliente (digamos 100.0.0.3) colocar como a rota default para 192.168.0.0/24 o teu Ip 100.0.0.2, ele entra 'regassando' na tua rede. A única saída é por política DROP no Forward, mas ae, nada entra, mas tb não sai nada.
    Já coloquei regras e nada de parar o "ataque":

    iptables -A INPUT -i eth0 -d 192.168.1.0/24 -j DROP
    echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_source_route
    echo "0" > /proc/sys/net/ipv4/conf/eth1/accept_source_route
    echo "0" > /proc/sys/net/ipv4/conf/ppp0/accept_source_route
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -P FORWARD DROP

    iptables -t nat -A POSTROUTING -s $lan_dmz -o eth0 -j MASQUERADE
    iptables -A FORWARD -j ACCEPT



  7. #7

    Padrão Iptables não bloqueia

    viuge maria, essa foi boa putz, e agora? fudeu?

  8. #8

    Padrão Iptables não bloqueia

    Olha. aki na empresa, usamos internet rádio, o provedor fornece ips falsos pra todo mundo na mesma faixa, ou seja, todos os clientes da rádio tem ip 192.168.255.x. Aki na empresa a wan é 192.168.255.7 e a lan 192.168.3.x...
    Sempre foi possível acessar a minha rede de qualquer outro cliente do provedor, mas eu encontrei, não lembro aonde na net, que bastava o provedor desabilitar o netbeui ou netbios (sei lá) do access point que resolvia... e realmente não consegui mais acessar de fora... na minha casa eu uso a mesma rádio, antes eu acessava fácilmente a minha rede interna aki na empresa, agora fui obrigado a criar VPN...
    Não sei se estamos falando da mesma coisa,... :P



  9. #9
    whinston
    Visitante

    Padrão controle da bridge

    Poisé meu caro, isto resolve parte dos problemas né? Porque o controle de netbios para apenas o tráfego tipo samba (arquivos, etc.).. Agora todas as outras portas de serviço, tão disponíveis, isto realmente é f...
    Outro porém é em Speedy que trabalha com máscara 255.255.255.192, ou seja, ficam várias máquina dentro duma mesma range.. Se vc apontar pra algumas delas e falar que ela é teu gateway, já elvis.. Vc entra na LAN dela tb.
    Se alguém souber mais alguma coisa ou tiver algumas regrinhas de fw que talves possa resolver, por favor da 1 share ae abs

  10. #10
    Visitante

    Padrão Iptables não bloqueia

    meu... mas isso eh obvio esqueca o termo WAN eh LAN vc esta dentro de uma rede!!!!
    ....
    pra q ele nao acesse seus maquina vc tem q fazer o seguinte

    iptables -A FORWARD -p udp --dport 137 -j DROP
    iptables -A FORWARD -p udp --dport 138 -j DROP
    iptables -A FORWARD -p tcp --dport 139 -j DROP
    iptables -A FORWARD -p tcp --dport 445 -j DROP
    iptables -A FORWARD -p udp --dport 445 -j DROP
    iptables -A FORWARD -p udp --dport 500 -j DROP
    iptables -A FORWARD -p tcp --dport 1039 -j DROP
    iptables -A FORWARD -p udp --dport 1050 -j DROP
    iptables -A FORWARD -p udp --dport 1065 -j DROP

    vc pode melhorar isso especificando o source (no caso a rede do seu "vizinho")



  11. #11
    whinston
    Visitante

    Padrão + dica visitante

    Me dá mais umas dicas ae visitante.. o Problema é quando vc precisa 'sair' com dados e não quer 'entrar'. Melhor dizendo, qdo vc precisa acessar 1 smb fora por exemplo, mas nao quer q ngm acesse o seu.

  12. #12
    Danilo_Montagna
    Visitante

    Padrão Iptables não bloqueia

    whinston,

    é como eu falei.. em termos de "INTERNET" isso nao é possivel.. esse tipo de ataque..

    isso ae acontece como vc falou .. fazendo as paradas das rotas.. pq a rede a RADIO é como se fosse uma rede local...

    e mais errado ainda é o dono do provedor a radio usar ips 'validos' para essa rede... 100.xx.xxx.xxx é ip de INTERNET... dentro de uma rede invalida... puta furo de segurança.. mais nao é problema meu.. e sim de quem montou a rede...

    seguinte..

    mesmo vc estando nessa furada ae é muito facil de resolver...

    é possivel controlar se o seu forward vai ser de entrada ou de saida apenas.. sem problema nenhum..

    para isso.. é so especificar a interface que o pacote entra e sai da chain..

    pronto... vc ira conseguir acessar qualquer coisa fora da sua rede.. mais ninhuem ira entrar nela.. pois o pacote se originou de dentro da sua rede para fora.. e nao o inverso..

    como eu falei.. é so vc dar uma estudada no fluxo do iptables..

    falow..



  13. #13
    Visitante

    Padrão Iptables não bloqueia

    iptables -A FORWARD -p udp --dport 137 -j DROP
    iptables -A FORWARD -p udp --dport 138 -j DROP
    iptables -A FORWARD -p tcp --dport 139 -j DROP
    iptables -A FORWARD -p tcp --dport 445 -j DROP
    iptables -A FORWARD -p udp --dport 445 -j DROP
    iptables -A FORWARD -p udp --dport 500 -j DROP
    iptables -A FORWARD -p tcp --dport 1039 -j DROP
    iptables -A FORWARD -p udp --dport 1050 -j DROP
    iptables -A FORWARD -p udp --dport 1065 -j DROP

    vc utiliza isso ai mas vc especifica um -i interface_externa
    ai ninguem de fora acessa essas portas mas se vc tentar sair vai conseguir, agora se vc tem por exemplo um dominio conversando com o outro atravez da internet eh precisa q seus servers NT conversem vc vai precisar liberar os IPS deles entendeu?