# Интересный вопросик по безопастности (почти статья) [sol

## ManJak

У кого есть прозрачный squid и нат

попробуйте зайти:

http://www.auditmypc.com/whats-my-ip.asp

Там она успешно сообщит, что видит внутренний IP,

но

squid.conf

```

...

acl     all             src     0.0.0.0/0.0.0.0

header_access   Cookie                  deny    all

...

```

Успешно решает задачу и перестает показывать privacy IP.

Что-то я не вкурил, как это реализовано?

Может, где-то написано, у них не нашел (иначе-бы сразу сделал).Last edited by ManJak on Wed Aug 03, 2005 8:11 pm; edited 1 time in total

----------

## ba

у меня тока внешний видит... никаких специальных настроек сквида при этом нету...

----------

## ManJak

Блин, не понимаю, что за фигня, у меня, пока куки не отрежешь, причем ПРИНУДИТЕЛЬНО на сквиде!

Пишет, что интернал 10.1.1.11 и карой небеснй пугают, типа, ща небеса разверзнуться, ангелы спустятся,

и исключат тебя с позором с рунета  :Smile: 

Это РЕАЬНО опастно?

Просто, я не могу пидумать, с ходу, как это можно заюзать?

----------

## ba

 *ManJak wrote:*   

> Это РЕАЬНО опастно?
> 
> Просто, я не могу пидумать, с ходу, как это можно заюзать?

 

при нормальной настроке всего остального ничего опасного в этом нет...

я бы смотрел в сторону настроек браузера, а не сквида, если браузер ie, то сделай все натройки безопасности по умолчанию и еще все куки перед эти почистить...

----------

## ManJak

 *ba wrote:*   

>  *ManJak wrote:*   Это РЕАЬНО опастно?
> 
> Просто, я не могу пидумать, с ходу, как это можно заюзать? 
> 
> при нормальной настроке всего остального ничего опасного в этом нет...
> ...

 

То-то и оно, что Мозилка 1.7.10 с дефолтными настройками!

ИЕ, попробую посмотреть, как сосед появится  :Very Happy: 

За фаервол я не переживаю, т.к. там есть привило:

```

[0:0] -A INPUT -d 127.0.0.1 -i ppp0 -j WRONG_DESTANTION

[0:0] -A INPUT -d 10.1.1.0/255.255.255.0 -i ppp0 -j WRONG_DESTANTION

[0:0] -A INPUT -d 192.168.1.0/255.255.255.0 -i ppp0 -j WRONG_DESTANTION

[0:0] -A INPUT -d 192.168.0.0/255.255.0.0 -i ppp0 -j WRONG_DESTANTION

```

Причем, как несложно заметить, этих пакетов небыло  :Very Happy:   НИ РАЗУ!

Просто стремно как-то  :Sad: 

----------

## ba

 *ManJak wrote:*   

> За фаервол я не переживаю, т.к. там есть привило:
> 
> ```
> 
> [0:0] -A INPUT -d 127.0.0.1 -i ppp0 -j WRONG_DESTANTION
> ...

 

чет я не пойму, ты прямо с машины со сквидом чтоли пробуешь? или причем тут правила в цепочке INPUT?

----------

## ManJak

Там, сервак, т.к. такой запрос, может приходить, только из вне и КОНКРЕТНО на нее (GW=ppp0)

=> цепочки (INPUT)

в форвард они просто НИКАК не могут попасть =)

----------

## ManJak

Правило и создавалось, чтоб не пустить в сеть пакет с:

DST=real_ip

SRC=privite_ip

Мало-ль, что он там несет в себе  :Wink: 

----------

## ba

 *ManJak wrote:*   

> Там, сервак, т.к. такой запрос, может приходить, только из вне и КОНКРЕТНО на нее (GW=ppp0)
> 
> => цепочки (INPUT)
> 
> в форвард они просто НИКАК не могут попасть =)

 

бррр, ниче не понял...

о каком запросе идет речь? Пакеты, если не предназначены локальной машине (ip получателя не принадлежит машине) поппадут в цепочку FORWARD

----------

## ba

 *ManJak wrote:*   

> Правило и создавалось, чтоб не пустить в сеть пакет с:
> 
> DST=real_ip
> 
> SRC=privite_ip
> ...

 

а почему тогда -d 10.1.1.0/255.255.255.0 ? Или я торможу или ты...

ppp0 я так понял в инет смотрит? И что значит ``в сеть'', если через цепочку INPUT проходят только пакеты предназначенные самой машине?

----------

## ManJak

Ладно, поехали с чертежами  :Very Happy: 

1) Структура сети

[Provider 100,100.100.100] -p2p- (ppp0 100,100.100.101)[ My network GW ](eth0 10.1.1.9) -eth- [ условно CLIENTS ]

My network GW:

iptables

MASQUARADE

dhcp

mail

DNS

SQUID

вроде ничего важного (касательно вопроса) не забыл =)

От провайдера приходит пакет (пусть ICMP):

          В заголовке содержит:

               DST=100,100.100.101

               SRС=10.1.1.1

Куда пойдет?

Правильно, в локалку

Что он там натворит?

Правильно от ничего до Х.З.

Пускать его нельзя!

Обрабатывать его надо INPUT, т.к., он предназначен для этой машины, а уйдет уже от нее.

Но, уйдет, все-равно по цепочке OUTPUT[!!!], т.к. ответила ОНА, а не перенаправила пакет!

Так я и спрашиваю, что если через кукисы можно УЗНАТЬ privite_IP, то, чем это грозит?

По идее, его в сеть не должно пустить, но...

По той-же идее, и internal_IP узнать не должны!

=> Стремно это как-то и чего ожидать?

Чем это РЕАЛЬНО грозит?

----------

## ba

 *ManJak wrote:*   

> От провайдера приходит пакет (пусть ICMP):
> 
>           В заголовке содержит:
> 
>                DST=100,100.100.101
> ...

 

да такой пакет придет машине и машина уже ответит в локалку.

да эти правила оправданы, я и не спорю. НО какое отношение ини имеют к делу?

к тому же в таком случае и в цепочке FORWARD такие правила бы непомешали, но еще с --state NEW

 *ManJak wrote:*   

> 
> 
> Обрабатывать его надо INPUT, т.к., он предназначен для этой машины, а уйдет уже от нее.
> 
> Но, уйдет, все-равно по цепочке OUTPUT[!!!], т.к. ответила ОНА, а не перенаправила пакет!
> ...

 

ага, только уйдет не он, а ответ на него...

 *ManJak wrote:*   

> 
> 
> Так я и спрашиваю, что если через кукисы можно УЗНАТЬ privite_IP, то, чем это грозит?
> 
> По идее, его в сеть не должно пустить, но...
> ...

 

пробраться внутрь при правльной настройке у провайдера можно только если ходишь на твой инетный интерфейс мимо роутеров, иначе такой пакет не должен пройти через роутер провайдера. и даже если он проходит через роутер твоего провайдера, то от auditmypc.com такой пакет точно не дойдет...

----------

## ManJak

Вот я сейчас и мучаюсь  :Wink: 

Анализирую, что собстввенно происходит и чем грозит =)

Сегодня попробую с другого места, где похожая схема и из винды.

Надо только доехать, все равно там надо помочь.

----------

## ba

Кстати squid вроде по умолчанию говорит серверу который внутренний ip через него запросил страницу(у cgi-ника на сервере будет переменная окружения в которой будет ip запросившего через сквид)...

----------

## User Unknown

http://www.whatsmyip.info/

http://stealthtests.lockdowncorp.com/

----------

## ManJak

Тут, ничего сверхординарного не соообщили:

http://www.whatsmyip.info/

Ждем, второго резалта:

Прошел все тесты на Ура, но...

Откуда аудит узнает мнтернал ИП?.....

NB!

ОНИ МУХЛЮЮТ, СУЯ КУКУ!

Ща, не нашли НИФИГА:

```

#header_access  Cookie                  deny    all

header_access   Via                     deny    all

header_access   User-Agent              deny    all

header_access   X-Forwarded-For         deny    all

header_access   X-Cache                 deny    all

header_access   X-Cache-Lookup          deny    all

header_replace  User-Agent      007! Bond, James Bond!

```

Без кук трудновато иногда  :Crying or Very sad: 

В общем, хватает всего предыдущего!

=> ЗАБИВАЕМ (СОЛВЕД)

----------

## Camp

```
forwarded_for off
```

 :Very Happy:  шобы не посылался в заголовке внутренний ип

----------

## ManJak

 *Camp wrote:*   

> 
> 
> ```
> forwarded_for off
> ```
> ...

 

Это, стояло до теста!

Он, похоже, что куку как-то всунулии не вынималась она  :Crying or Very sad: 

После чистки куксов и добавки вышеизложенных правил, все нормализовалось!  :Laughing: 

----------

## ManJak

 *Camp wrote:*   

> 
> 
> ```
> forwarded_for off
> ```
> ...

 

Это, стояло до теста!

Он, похоже, что куку как-то всунулии не вынималась она  :Crying or Very sad: 

После чистки куксов и добавки вышеизложенных правил, все нормализовалось!  :Laughing: 

ЗЫ

Хоть тема закрыта, но любые идеи и посты приветствуются!

Может, кому помогет!

----------

## ladserg

 *ba wrote:*   

>  *ManJak wrote:*   Правило и создавалось, чтоб не пустить в сеть пакет с:
> 
> DST=real_ip
> 
> SRC=privite_ip
> ...

 

Увы, вы не правы пакеты пойдут через FORWARD, а цепоки INPUT и OUTPUT останутся не тронутыми, это описано в iptables HOWTO.

Почему -d 10.1.1.0/255.255.255.0 ? Потому, что так написали, и всего-то. Такое правило сработает только если пакет будет отпрален именно серверу.

В целом алгоритм прохождения пакета такой:

Пакет из вне -> PREROUTING -> Если в локалку то FORWARD если на этот компьютер, то в INPUT ->POSTROUTING

Пакет с сервера во вне (в локалку или интернет): PREROUTING -> OUTPUT ->POSTROUTING

Пакет из локалки во вне: PREROUTING -> FORWARD -> POSTROUTING

Пакет из локалки на сервер: PREROUTING -> OUTPUT -> POSTROUTING

Такая схема специально сделана, что бы не напрягать мосты (компьютеры, соединяющие две или более физических сетей). Это позволяет очень быстро передавать пакеты с одной сетвой карты на другую.

Если нет желания, что бы из инета в локалку вообще ходили пакеты, то добавьте команду

# iptables -P FORWARD DROP

К тому же если заглянуть сюда: http://lingvo.yandex.ru/en?text=FORWARD, то можно узнат что FORWARD переводится еще как и перенаправление.

----------

## ba

 *ladserg wrote:*   

>  *ba wrote:*    *ManJak wrote:*   Правило и создавалось, чтоб не пустить в сеть пакет с:
> 
> DST=real_ip
> 
> SRC=privite_ip
> ...

 

о каких пакетах речь? :-/

----------

## ladserg

 *ba wrote:*   

> 
> 
> о каких пакетах речь? :-/

 

Пардон, погнал. Спросонья не туда ткнул (у нас сейчас время 03:30).

Речь шла о входящих пакетах и куда они потом.

----------

## ManJak

 *ladserg wrote:*   

> 
> 
> Увы, вы не правы пакеты пойдут через FORWARD, а цепоки INPUT и OUTPUT останутся не тронутыми, это описано в iptables HOWTO.
> 
> Почему -d 10.1.1.0/255.255.255.0 ? Потому, что так написали, и всего-то. Такое правило сработает только если пакет будет отпрален именно серверу.
> ...

 

Из-вне, они могут быть направленны, только серверу!

Единственное, и правда, накладочка выщла  :Embarassed: 

правильно так:

-s 10.1.1.0/255.255.255.0  :Idea: 

Тогда, отловим, все, что надо =)

----------

## rusxakep

header_access   X-Forwarded-For         deny    all

Достаточно поставить этот.

Но вы незнаете основ, если думаете что:

1. Кто-то к вам придет по вашему 10.1.1.1, это адрес не маршрутизируется.

2. Некоторые сайты увидя одинаковый IP от ваших двух клиентов (при выключении локальных адресов) - не пошлют второго куда подальше.

Короче - расслабьтесь и получайте удовольствие.

----------

## rusxakep

 *ManJak wrote:*   

> Ладно, поехали с чертежами 
> 
> 1) Структура сети
> 
> [Provider 100,100.100.100] -p2p- (ppp0 100,100.100.101)[ My network GW ](eth0 10.1.1.9) -eth- [ условно CLIENTS ]
> ...

 

Вообще-то правильное построение защиты целое искусство. Но в твоем случае необходимо всего лишь удостовериться что пакет с SRC=10.x.x.x приходит с локального интерфейса. Из Интернета нужно такие адреса рубить (хотя провайдер это должен делать за тебя).[/i]

----------

## ManJak

Вот тут я позволю себе несогласиться,

ИМХО провайдер должен предоставлять прозрачный интернет-канал (если не оговорено иное).

----------

## rusxakep

Ну и зря, он обязан отсеивать некорректные адреса - впрочем обычно роутеры это и делают.

----------

## User Unknown

канал должен быть чистым. Без всяких шейперов, враперов и прочего...

Отсев провы пускай делают для кривых админов за отдельную плату...

----------

## bukazoid

 *User Unknown wrote:*   

> 
> 
> Отсев провы пускай делают для кривых админов за отдельную плату...

 

вместо слова "Отсев" нужно писать "роутинг"

фраза целиком:

inet провы обычно не выполняют роутиг(читай DROP'ают) "неправельных" ip пакетов (диапазон локальных сетей, и др. зарезервированные диапазоны).

----------

## rusxakep

Еще раз повторяю. Последний раз  :Smile: 

НОРМАЛЬНЫЙ провайдер БЕСПЛАТНО ОБЯЗАТЕЛЬНО дропает пакеты на входе своего роутера - если в качестве источника указан адрес, который там не может быть.

Варианты:

1). Если вы будете слать провайдеру пакетики с SRC=10.x.x.x - он их пропускать не будет. Даже если вы будете ему платить деньги за пропуск этих пакетов.

2). Если из интернета на роутер провайдера будет приходить SRC=10.x.x.x - он их пропускать не будет. Даже если вы будете ему платить деньги за пропуск этих пакетов.

Это RFC, здесь провайдер ничего не сделает.

Теперь всем понятно? БЛИН!

----------

## bukazoid

 *rusxakep wrote:*   

> Еще раз повторяю. Последний раз 
> 
> НОРМАЛЬНЫЙ провайдер БЕСПЛАТНО ОБЯЗАТЕЛЬНО дропает пакеты на входе своего роутера - если в качестве источника указан адрес, который там не может быть.
> 
> Варианты:
> ...

 

да мне то понятно  :Smile: 

но вот ...  :Smile:   :Smile: :

```

mtr sbu_gov.ua  ( _ = . )

1. мой_модемный пул                           0.0%     4   33.0  69.5  29.6 164.6  64.1

 2. роутер_районного_отделения_прова                   25.0%     4   27.2  90.5 26.9 217.2 109.8

 3. роутер_городского_отделения_прова                25.0%     4   26.9 170.4 26.9 457.1 248.3

 4. STM1-Kiev-Dnepr.ukrtel.net                  0.0%     4   37.3 180.2 37.3 427.8 185.9

 5. 10.7.6.2                                   25.0%     4   37.3 104.7 37.3 148.2  59.1

 6. war-b4-pos2-0-2.telia.net                  25.0%     4   47.2  76.8 47.2 105.3  29.1

 7. war-b3-pos5-0-0.telia.net                   0.0%     4   47.2 110.2 47.2 180.1  72.1

 8. hbg-bb1-pos6-2-0.telia.net                  0.0%     3  135.3 237.4 135.3 438.9 174.5

 9. hbg-bb2-pos0-0-0.telia.net                  0.0%     3  164.3 199.8 67.0 368.1 153.6

10. kbn-bb2-pos1-2-0.telia.net                 33.3%     3  106.6 182.3 106.6 258.0 107.1

11. oso-b2-pos1-0.telia.net                     0.0%     3   76.4 170.6 76.4 287.0 107.0

12. oso-b1-pos4-0.telia.net                     0.0%     3   85.6 217.1 85.6 337.3 126.2

13. taide-01270-oso-okr-i1.c.telia.net          0.0%     2   77.2 187.0 77.2 296.8 155.3

14. NO-NIT-TN-6.taide.net                       0.0%     2   77.4 147.2 77.4 217.1  98.8

15. Elvisti-Taide.visti.net                     0.0%     2  327.4 442.5 327.4 557.6 162.8

16. gw5.visti.net                               0.0%     2  327.3 407.9 327.3 488.4 113.9

17. www.sbu_gov.ua                              0.0%     2  326.3 366.9 326.3 407.5  57.4

```

обращаем внимание на (5)  :Smile: 

P.S. как говорится учитесь "москалі" маршрутизацию делать ...  :Smile:   :Smile:   :Smile: 

----------

## rusxakep

Ничего смешного. Вы видимо сидите на одном свитче или еще хуже хабе, и пакетики от криво настроенных клиентов вашего "провайдера" идут к вам. "Дураку и море по колено" - это я о вашем провайдере.......

P.S: Простите, если грубо.

----------

## bukazoid

 *rusxakep wrote:*   

> 
> 
> Вы видимо сидите на одном свитче или еще хуже хабе
> 
> и пакетики от криво настроенных клиентов вашего "провайдера" идут к вам. "Дураку и море по колено" - это я о вашем провайдере.......
> ...

 

sbu.gov.ua - СБУ (Служба безпеки украины) аналог росийского ФСБ (КГБ если удобно ...)

пров. ukrtel -- монополист Украины владелец пратически всех зарубежных каналов сумарной мощьностью за 100 Gb/s ...

этот самый "свитч или еще хуже хаб" (4. STM1-Kiev-Dnepr.ukrtel.net) представляет из себя cisco (т.е. ножно назвать его гордым словом -- маршрутизатор), быгают через него практически ВСЕ провайдеры (*.ua)

P.S.  *Quote:*   

> Ничего смешного

  а мне почемуто смешно  :Smile: 

----------

