# Blokowanie net'u wyłącznie dla Windowsów

## Yatmai

Skrócę przeklinanie na te skurw.... winshity (wira złapałem  :Very Happy: ) przejdę od razu do pytania, czy jest możliwość by dhcpd rozpoznawał jaki system wysyła zapytanie o IP ?

----------

## qermit

Może przy współpracy z iptables by się dało - tzn z windowsa pakiety lądowały by na innym porcie

----------

## Yatmai

Tylko chce by to było realizowane bez ingerencji w klientów, by windows już przy instalacji nie miał neta, jednak Gentoo by się przydało, a trudno żeby livecd miało jakieś zmodyfikowane na moje warunki narzędzia  :Very Happy: 

----------

## lsdudi

A jaki masz dokładnie problem? bo może jest inne wyjście

----------

## Yatmai

Chodzi o to by komputery miały dostęp do internetu, jednak te z zainstalowanym/uruchomionym (bo na niektórych są 2 systemy) windowsem miały dostęp jedynie do sieci lokalnej, żeby wirusów nie łapać z zewnątrz  :Smile: 

----------

## Paczesiowa

mozesz przydzielac windowsom takie ip ktore bedizesz wycinal na firewallu. a wszystkie kompy na linuxie sobie pozmieniaja maci na ktore juz dostana normalne dzialajace ip.

----------

## Yatmai

Nad tym też myślałem, że standardową pulę IP mam .1.x, pulę gdy podłączam nową maszynę .1.1x, a dla windziaków dałbym .1.2x gdzie blokowałbym wyjście na net. Tylko jeśli to możliwe to wolałbym pozostawić IP po DHCP, a zmiana mac'ów troche odpada, bo wtedy dla każdego jednego livecd trzeba będzie zmieniać mac.

----------

## lsdudi

 *Art.root wrote:*   

> Chodzi o to by komputery miały dostęp do internetu, jednak te z zainstalowanym/uruchomionym (bo na niektórych są 2 systemy) windowsem miały dostęp jedynie do sieci lokalnej, żeby wirusów nie łapać z zewnątrz 

 

Raczej to problem ominie, a nie mu zaradzi

bo ściągniemy na linuksie a odpalimy na windzie i wirus tak czy siak trafi z sieci

a zamiast zaprzęgać do tego dhcp lepiej użyć do tego iptables 

miedzy windows/linux/bsd są różnice w zawartości nagłówków pakietu

miedzy innymi ttl czy Qos na podstawie tego mógłbyś odrzucać pakiety

----------

## Yatmai

 *lsdudi wrote:*   

> a zamiast zaprzęgać do tego dhcp lepiej użyć do tego iptables 
> 
> miedzy windows/linux/bsd są różnice w zawartości nagłówków pakietu
> 
> miedzy innymi ttl czy Qos na podstawie tego mógłbyś odrzucać pakiety

 

ooo to jest wskazówka  :Smile: 

----------

## timor

 *Art.root wrote:*   

> ooo to jest wskazówka 

 

Tutaj gdzieś były opisane te różnice (dział o fingerprintingu): http://www.linuxpub.pl/administracja/skanowanie_fingerprinting.html

Ja bym jednak polecał inne rozwiązanie: albo wyciąć na FORWARD'zie ruch na portach wykorzystywanych przez wirusy, albo logować na nich ruch i jeżeli przekroczy ktoś przepustowość to go wtedy wyciąć  :Smile: 

----------

## Gabrys

 *Art.root wrote:*   

> Tylko chce by to było realizowane bez ingerencji w klientów, by windows już przy instalacji nie miał neta, jednak Gentoo by się przydało, a trudno żeby livecd miało jakieś zmodyfikowane na moje warunki narzędzia 

 

No to odcinasz/przegryzasz kabelek i po kłopocie  :Wink: . Ewentualnie możesz zrobić jakąś autoryzację, coś ala WEP w sieciach WiFi. Podobno niektóre mechanizmy przenoszą się na sieci kablowe (akurat WEP nie).

----------

## milu

A'la WEP to może być PPPoE, trzeba zainstalować serwer, poustawiać użytkowników i hasła i wtedy przy logowaniu do sieci trzeba będzie się uwierzytelnić via PPPoE.

A co do łapania wirusów z zewnątrz - jeśli nie będziesz udostępniał go na publicznym IP i przyblokujesz na firewallu wychodzące windowsowe porty(137-139 i 445) to powinno to pomóc. W tym wypadku groziły by tylko wirusy w sieci lokalnej lub te ściągnięte na własne życzenie.

----------

## nmap

Dziwie się czemu dałeś taki temat ? Jakoś wydaje mi się ze nijak ma się do twego problemu .

Co do twego problemu zaprzągł bym sobie w sieci OpenBSD . System ten posiada PF dzięki któremu możesz osiągnąć zamierzone ograniczenia. 

Oczywiście można to zrobić na jakiejś distro linuxa tez . Wydaje mi się ze w twojej sieci jest źle rozplanowana ruch sieciowy . 

Poczytaj sobie oto minimalna wiedza o PF . Ja bym użył tego do ograniczeń ruchu sieciowego . 

http://www.openbsd.org/faq/pf/pl/index.html

----------

## qermit

ten pan ma rację, iptables nie oferuje tak prostej metody wyłapywania systemu przez odcisk palucha systemu operacyjnego.

Jedyne co można znaleźć to ippersonality (łatka na iptables), ale jeszcze nie słyszałem o nikim kto by to używał.

----------

## Yatmai

Hehe w sumie to się troche zagalopowaliście  :Very Happy:  Sieć mam dobrze zbudowaną, wbrew sugestii któregoś z panów. Problem leży w odwiecznym najsłabszym ogniwie łańcucha bezpieczeństwa. "Korporacje wydają miliony dolarów na firewalle, czy inne systemy zabezpieczeń, a użytkownik zapisze sobie hasło na żółtej karteczce i przyklei do monitora" kojarzycie to zdanie ?   :Wink:   :Wink:   :Wink: 

I o to właśnie chodzi, lan ma być, żebym sobie mógł z kumplami czasem pociupać w gierki, ale wyjście na internet nie, żeby mnie czasem nie przyszedł głupi pomysł łażenia po internecie na windowsie, bo mi się nie chce na linucha przełączać  :Very Happy: 

----------

## timor

Więc ja nadal nie rozumiem celu takiej konfiguracji. Dla mnie logiczne jest jeżeli wycina się z zewnątrz porty wirusów, a internet jest po równo dla wszystkich. Nie wiem jak dużą siecią zarządzasz ale jeżeli to ma być ułatwienie tylko dla Ciebie to chyba najprościej byłoby zmienić mac na windzie i wyciąć go w ruchu na zewnątrz pozostawiając jednak forwardowanie. Działało by tak jak chcesz i da się to zrobić bez dodatkowego softu w 3 min.

----------

## szolek

Jeśli na Linuksie nie używasz samby to może szybciej wyszukasz komputery z domyślną windowsową konfiguracją sieci.

----------

## Gabrys

Słuchajcie a może tak:

1. Skrypt do blokowania netu dla danego IP

Potrafisz to zrobić prawda?

2. Skrypt do odblokowania netu dla danego IP

j.w.

3. nmap z jakimiś opcjami, żeby wykrywał tylko system operacyjny i robił to w miarę szybko

4. skrypt, który robi mniej więcej:

if nmap wykrywa windowsa; to odetnij_net; ajaknie odblokuj_net

5. wrzucić skrypt do crona

i gitara, czyż nie?

----------

## timor

 *Gabrys wrote:*   

> ...
> 
> i gitara, czyż nie?

 Chciałbym to zobaczyć, ogolnie jeśli coś się szybko skanuje to właśnie windy ale poddaję w wątpliwość tą metodę, będzie wolna i nie efektywna.

----------

## szolek

Z ipt_recent było by szybciej. Jedna regułka blokująca, druga sprawdzająca. Tylko odpowiednio sprawdzającą ułożyć.

----------

## qermit

powiem tak - wszystkie aktywne metody sprawdzania mają większe lub mniejsze dziury.

najlepsza by była pasywna, tylko trzeba znaleźć coś dla windowsów - może próba pobierania update ze stron ms??

----------

## Raku

a może wartość TTL?

----------

## qermit

O! to jest dobre!

Wiedziałem, że o czymś zapomniałem. Ale jest jeden szkopuł. Linux ma chyba tyle co windows 98

 *Quote:*   

> Typowe wartości
> 
> 32 - Windows 95 i NT 3.51
> 
> 64 - Linux
> ...

 

----------

## zbychuk

Jest takie jedno rozszerzenie do IPTABLES o nazwie OSF (jeśli się nie mylę). Chodzi o pasywne rozpoznawanie systemu operacyjnego na podstawie wysyłanych przez niego pakietów.

----------

## ryszardzonk

 *zbychuk wrote:*   

> Jest takie jedno rozszerzenie do IPTABLES o nazwie OSF (jeśli się nie mylę). Chodzi o pasywne rozpoznawanie systemu operacyjnego na podstawie wysyłanych przez niego pakietów.

 

Trafniejszym było by tu chyba powiedzenie, że było takie rozszerzenie. 

najnowszy snapshot patch-o-matic jego już nie zawiera

ftp://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/patch-o-matic-ng-20070123.tar.bz2

Nie traifł on jednak do gałezi iptables a zniknął całkowicie

ftp://ftp.netfilter.org/pub/iptables/snapshot/iptables-1.3.7-20070123.tar.bz2

To samo stało się też z kilkoma innymi modułami jak np. geoip czy XOR. IMHO szkoda, że nie znalazł się nikt by te czy inne moduły zsynchronizować ze zmianami jakie nastąpipły w kernelu i musiały one byc wyrzucone.

----------

## lsdudi

co do problemu ttl 64

z tego co pamiętam linux w odróżnieniu od windows znaczy pole Type of Serwis (ToS)

----------

