Re: ipchains

2005-09-06 Thread mult1k 

Serja wrote:

Нужен ли для ядра 2.6.х пакет ipchains? Мне кажется, что нет, но думаю спрошу 
более опытных.
Просто заметил, что он у меня видимо установился по умолчанию при инсталляции 
системы. Установлен также iptables, но про этот пакет вопросов нет.

Заранее благодарен!
 

Насколько я знаю ipchains и iptables это просто внешние оболочки для 
взаимодействия с ядром. От того есть они или нет в ядре ничего не 
меняется - главное что бы само ядро поддерживало нужные сетевые функции.

Вобщем можно ipchains убрать если его не требуют какие либо программы.
---
mult1k



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: ipchains

2003-01-29 Thread Ilya Palagin 

Зуев Денис Александрович wrote:

Привет!
 
Я правильно понимаю, что iptables - это более рулезная замена ipchains, 
но при этом не исключается использование ipchains? Дело в том, что у 
Они не могут работать одновременно, по отдельности - без проблем (в 
ядрах 2.4.*)


меня стоит ужасный Мандрейк 7.0, сто лет не поддерживавшийся в 

...
Если я переставлю Linux, а затем просто поставлю поверх существующую 
Систему - это прокатит?


По крайней мере ipchains своей функциональности не утратит. Если 
выберешь ядро 2.4*, не забудь сделать modprobe ipchains, т.к. по 
умолчанию оно использует iptables.

Re: ipchains

2003-01-29 Thread Герасимов Д . С . 
Hello Зуев,

Wednesday, January 29, 2003, 8:11:45 AM, you wrote:

>>From [EMAIL PROTECTED]  Wed Jan 29 08:40:10 2003
ЗДА> Return-Path: <[EMAIL PROTECTED]>
ЗДА> Received: from murphy.debian.org (murphy.debian.org [65.125.64.134])
ЗДА> by ns.podlipki.ru (8.9.3/8.9.3) with ESMTP id IAA23471
ЗДА> for <[EMAIL PROTECTED]>; Wed, 29 Jan 2003 08:40:10 +0300
ЗДА> Received: from localhost (localhost [127.0.0.1])
ЗДА> by murphy.debian.org (Postfix) with QMQP
ЗДА> id 719F91F58D; Tue, 28 Jan 2003 23:25:47 -0600 (CST)
ЗДА> Old-Return-Path: <[EMAIL PROTECTED]>
ЗДА> Received: from ask.ru (vpn.ask.ru [195.12.72.146])
ЗДА> by murphy.debian.org (Postfix) with ESMTP id F040F1F432
ЗДА> for ; Tue, 28 Jan 2003 23:11:49 
-0600 (CST)
ЗДА> MIME-Version: 1.0
ЗДА> Content-Type: multipart/alternative;
ЗДА> boundary="_=_NextPart_001_01C2C754.EB162EB8"
ЗДА> Subject: ipchains
ЗДА> X-MimeOLE: Produced By Microsoft Exchange V6.0.6249.0
ЗДА> content-class: urn:content-classes:message
ЗДА> Date: Wed, 29 Jan 2003 10:11:45 +0500
ЗДА> Message-ID: <[EMAIL PROTECTED]>
ЗДА> X-MS-Has-Attach: 
ЗДА> X-MS-TNEF-Correlator: 
ЗДА> Thread-Topic: ipchains
ЗДА> Thread-Index: AcLHVOp2vLCuC/bATKKoXmLccXKMdw==
ЗДА> From: =?koi8-r?B?+tXF1yDkxc7J0yDhzMXL08HOxNLP18ne?= <[EMAIL PROTECTED]>
ЗДА> To: 
ЗДА> X-Spam-Status: No, hits=3.5 required=4.0
ЗДА> tests=HTML_FONT_FACE_CAPS,HTML_FONT_FACE_ODD,LINES_OF_YELLING,
ЗДА>   MIME_EXCESSIVE_QP,SPAM_PHRASE_00_01,SUPERLONG_LINE
ЗДА> version=2.43
ЗДА> X-Spam-Level: ***
ЗДА> Resent-Message-ID: <[EMAIL PROTECTED]>
ЗДА> Resent-From: debian-russian@lists.debian.org
ЗДА> X-Mailing-List:  archive/latest/19809
ЗДА> X-Loop: debian-russian@lists.debian.org
ЗДА> List-Post: 
ЗДА> List-Help: 
ЗДА> List-Subscribe: 
ЗДА> List-Unsubscribe: 
ЗДА> Precedence: list
ЗДА> Resent-Sender: [EMAIL PROTECTED]
ЗДА> Resent-Date: Tue, 28 Jan 2003 23:25:47 -0600 (CST)
ЗДА> X-UIDL: 4248730c9f8641dc06e4e0f135c4b4ed

ЗДА> Привет!
 
ЗДА> Я правильно понимаю, что iptables - это более рулезная замена ipchains, но 
при этом не исключается использование ipchains? Дело в том, что у меня стоит 
ужасный Мандрейк 7.0, сто лет не
ЗДА> поддерживавшийся в совершенно ужасном состоянии при этом в весьма 
критичном месте. На нём работает система статистики траффика на основе ipchains 
(далее - Система). Хочется постаить Woodo и
ЗДА> после этого при необходимости её переделывать (её всё равно надо 
переделывать, она уже не адекватна). Если я переставлю Linux, а затем просто 
поставлю поверх существующую Систему - это прокатит?
 
ЗДА> Функции Системы следующие: есть админ, который разрешает пропустить 
определёное кол-во траффика с определённого IP (это Интернет-клуб). После 
пропуска этого кол-ва траффика система запрещает
ЗДА> дальнейшее его прохождение. И всё. У админа работает простенький 
графический клиент (есть исходники), который по UDP общается с сервером. На 
сервере - перловый скрипт, который слушает порт,
ЗДА> выполняет команды и ведёт учёт траффика. Всё. Всё просто и мне нравится, 
но всё же: есть ли аналогичные готовые системы?
 
ЗДА> Заранее спасибо!
 
ЗДА> ==
ЗДА> С уважением, Денис Зуев
ЗДА> Компания АСК, Екатеринбург
ЗДА> т. (3432) 71-44-44
ЗДА> ICQ#: 35177372

может да, а может нет. В ядре(2.4.x) должна быть поддержка ipchains,
кроме того если у Вас используются модули для маскарадинга, скажем для
ftp или icq то и они тоже потребуются. одним словом надо пробовать..
 



-- 
Best regards,
 Герасимов
  e-mail: matrix AT podlipki DOT ru
  icq:26277841

Re: ipchains

2003-01-29 Thread Victor Wagner 
On 2003.01.29 at 12:01:45 +0600, Ilya Palagin wrote:

> Зуев Денис Александрович wrote:
> >Привет!
> > 
> >Я правильно понимаю, что iptables - это более рулезная замена ipchains, 
> >но при этом не исключается использование ipchains? Дело в том, что у 
> Они не могут работать одновременно, по отдельности - без проблем (в 
> ядрах 2.4.*)

Да, разве? А мне не удалось обеспечить маскарадинг активного ftp
с использованием ipchains. На 2.2 работало, на 2.4 перестало.

Просто после загрузки ipchains.o ip_conntrack.o не грузился.

Пришлось срочно перелезать на iptables, после чего все стало даже еще
лучше чем раньше.

> >меня стоит ужасный Мандрейк 7.0, сто лет не поддерживавшийся в 
> ...
> >Если я переставлю Linux, а затем просто поставлю поверх существующую 
> >Систему - это прокатит?

Весьма вероятно. Только ядро надо ставить 2.2 последнее. Чтобы не
топтаться по тонким граблям совместимости между ipchains в 2.2 и 2.4.
Впрочем woody умеет и с тем и с другим ядром работать.


-- 
Victor Wagner   [EMAIL PROTECTED]
Chief Technical Officer Office:7-(095)-748-53-88
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net  http://www.ice.ru/~vitus

RE: ipchains

2003-01-29 Thread Зуев Денис Александрович 
Ok, общее направление понятно - придётся сначала переписать, а потом 
переставлять. Всем спасибо.

==
С уважением, Денис Зуев
Компания АСК, Екатеринбург
т. (3432) 71-44-44
ICQ#: 35177372

> 
> Весьма вероятно. Только ядро надо ставить 2.2 последнее. 
> Чтобы не топтаться по тонким граблям совместимости между 
> ipchains в 2.2 и 2.4. Впрочем woody умеет и с тем и с другим 
> ядром работать.
>

Re: ipchains

2003-01-29 Thread Ilya Palagin 

Victor Wagner wrote:
...

Да, разве? А мне не удалось обеспечить маскарадинг активного ftp
с использованием ipchains. На 2.2 работало, на 2.4 перестало.

Просто после загрузки ipchains.o ip_conntrack.o не грузился.
Я, честно говоря, не помню процесс перетаскивания своего 
firewall-скрипта с 2.2 на 2.4, маскарадинг там тоже используется для 
прозрачного прокси. В общем, было это в другом дистрибутиве, так что 
неважно. Но по крайней мере фильтрация пакетов и  получение статистики 
должны работать.




Пришлось срочно перелезать на iptables, после чего все стало даже еще
лучше чем раньше.

Есть недостаток - отсутствие check режима. Автор iptables объясняет это 
новыми функциями вроде проверки tcp флагов, учитывать которые 
затруднительно. Интересно, есть ли какой-нибудь инструмент для этих 
целей (проверять, пройдет ли пакет через цепочки, заданные с помощью 
iptables)?

Re: ipchains

2000-09-27 Thread Dmitry Maevsky 
Konstantin Kubatkin wrote:
> 
>  а чем народ пользуется для конфигурирования ipchains? я попробовал
> fwctl, но он меня не устроил по ряду причин :( или придется все
> описывать руками?

Руки - самый правильный UI в мире! :)
__
Dmitry Maevsky  
Novgorod Datacom7-816-223-8474
__
Всегда найдётся в Африке один негр, 
который будет учить скандинава на лыжах кататься.

Re: ipchains

2000-09-27 Thread dima 
On Wed, Sep 27, 2000 at 10:34:32AM +0300, Konstantin Kubatkin wrote:
> 
>  а чем народ пользуется для конфигурирования ipchains? я попробовал
> fwctl, но он меня не устроил по ряду причин :( или придется все
> описывать руками?
> 
> PS: используется Potato и kernel 2.2.17

Привет.
Я использую ipmasq (название не значит что этот пакет только для
маскарадинга). И вправлять вручную правил пришлось немало :)
И это по моему правильно . По крайней мере будешь точно знать как ОНО работает .
ipmasq мне помогает избавиться от некоторой рутины. 

удачи.

-- 
Dmitry Kensman

Re: ipchains

2000-10-08 Thread Dmitry Maevsky 
Igor Mikhailov wrote:
> 
> В каком бы файлике было правильно прописать правила для ipchains, если
> хост имеет постоянное кабельное соединение с инетом?
> 
2'a варианта /etc/init.d/networks или самому сделать
/etc/init.d/ipchains а потом update-rc.d ipchains default (вроде так)

__
Dmitry Maevsky  
Novgorod Datacom7-816-223-8474
__
Свежо придание - ДА НИ ХРЕНА НЕ ВЕРИТСЯ!

Re: ipchains

2000-10-09 Thread Igor Mikhailov 
On Mon, 9 Oct 2000, Dmitry Maevsky wrote:

> > В каком бы файлике было правильно прописать правила для ipchains, если
> > хост имеет постоянное кабельное соединение с инетом?
> 2'a варианта /etc/init.d/networks или самому сделать
> /etc/init.d/ipchains а потом update-rc.d ipchains default (вроде так)
А аналога rc.local (в RH) нету?

С наилучшими пожеланиями,
  Игорь Михайлов.
--
 Key fingerprint = 31C3 0B0B 5FF2 FE45 8D64  718D 5BA2 80CC 7B77 88DD

Re: ipchains

2000-10-09 Thread Dmitry Maevsky 
Igor Mikhailov wrote:
> 
> On Mon, 9 Oct 2000, Dmitry Maevsky wrote:
> 
> > > В каком бы файлике было правильно прописать правила для ipchains, если
> > > хост имеет постоянное кабельное соединение с инетом?
> > 2'a варианта /etc/init.d/networks или самому сделать
> > /etc/init.d/ipchains а потом update-rc.d ipchains default (вроде так)
> А аналога rc.local (в RH) нету?
> 
Насколько я помню RH нету :)), развечто /etc/init.d/rcS с натяжкой,
проследи от /etc/inittab там вызывается /etc/init.d/rcS а потом
/etc/init.d/rc N , где N-runlevel 

__
Dmitry Maevsky  
Novgorod Datacom7-816-223-8474
__
"INTEL INSIDE" is not a trademark it's a WARNING.
("INTEL INSIDE" - это не торговая марка. Это предупреждение.)

Re: ipchains

2000-10-10 Thread Victor Wagner 
On Tue, 10 Oct 2000, Igor Mikhailov wrote:

> From: Igor Mikhailov <[EMAIL PROTECTED]>
> Subject: Re: ipchains
> 
> On Mon, 9 Oct 2000, Dmitry Maevsky wrote:
> 
> > > В каком бы файлике было правильно прописать правила для ipchains, если
> > > хост имеет постоянное кабельное соединение с инетом?
> > 2'a варианта /etc/init.d/networks или самому сделать
> > /etc/init.d/ipchains а потом update-rc.d ipchains default (вроде так)
> А аналога rc.local (в RH) нету?

Нету, и слава богу - либо уж sysV style, либо BSD style.

 
> С наилучшими пожеланиями,
>   Игорь Михайлов.
> --
>  Key fingerprint = 31C3 0B0B 5FF2 FE45 8D64  718D 5BA2 80CC 7B77 88DD
> 
> 
> --  
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
> 

-- 
Victor Wagner   [EMAIL PROTECTED]
Programmer  Office:7-(095)-785-09-72
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net  http://www.ice.ru/~vitus

Re: ipchains

2000-10-10 Thread Igor Mikhailov 
On Tue, 10 Oct 2000, Victor Wagner wrote:

> > > > В каком бы файлике было правильно прописать правила для ipchains, если
> > > > хост имеет постоянное кабельное соединение с инетом?
> > > 2'a варианта /etc/init.d/networks или самому сделать
> > > /etc/init.d/ipchains а потом update-rc.d ipchains default (вроде так)
> > А аналога rc.local (в RH) нету?
> Нету, и слава богу - либо уж sysV style, либо BSD style.
А есть ли стандартный способ сделать загрузку в дебиане BSD style?

С наилучшими пожеланиями,
  Игорь Михайлов.
--
 Key fingerprint = 31C3 0B0B 5FF2 FE45 8D64  718D 5BA2 80CC 7B77 88DD

Re: ipchains

2000-10-10 Thread Fedor Zuev 
On Wed, 11 Oct 2000, Igor Mikhailov wrote:

IM>> > А аналога rc.local (в RH) нету?
IM>> Нету, и слава богу - либо уж sysV style, либо BSD style.
IM>А есть ли стандартный способ сделать загрузку в дебиане BSD style?

есть какой-то пакет, называется file-rc, описывается как
Alternative one-configfile boot mechanism

Не оно?

Re: ipchains

2000-10-10 Thread Victor Vislobokov 
> > > А аналога rc.local (в RH) нету?
> > Нету, и слава богу - либо уж sysV style, либо BSD style.
> А есть ли стандартный способ сделать загрузку в дебиане BSD style?

Я знаю, что есть в Debian какой-то пакет, который позволяет
делать конверт из кучи файлов System V в одиночный файл, а затем
если надо и обратный конверт.
 Извини, название пакета не помню

Виктор

Re: ipchains

2001-02-15 Thread Victor Vislobokov 
> в серваке две сетевухи, одна 195.46.*.* (eth0) другая 192.168.0.* (eth1)
>
> как я понимаю, если маскарад настроен так:
> ipchains -A forward -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -j MASQ
>
> то в случае если я в инете пропишу шлюзом 195.46.*.* - то есть мою eth0,
> то смогу увидеть 192.168.0.* и всю локальную подсетку.

 Помоему не так. Ни один уважающий себя маршрутизатор не будет
маршрутизировать пакеты для запрещенных адресов, а именно таковые
стоят у тебя в сетке.

> тогда если мне надо, чтобы никто из инета не видел мою подсетку,
> мне надо прописать маскарад следующим образом:
> ipchains -P forward DENY
> ipchains -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i
> eth0 -j MASQ
>
> мои рассуждения верны?

   Как и и сказал не совсем. Хотя в целях паранои второй вариант более
предпочтителен чем первый.
   Зато второй вариант (как и первый впрочем) спокойно дает возможность
троянским вирусам рассылать твои данные из машин внутренней сети по
просторам Интернет.
   На мой взляд маскарад нужно давать не всем подряд и не на все подряд,
а только определенным машинам и на определенные порты, а лучше всего
вообще избегать использования макскарада и пользоваться различными прокси,
с авторизацией доступа, начиная от squid и заканчивая socks5.

Виктор

Re: ipchains

2001-02-15 Thread Alexey Vyskubov 
> > в серваке две сетевухи, одна 195.46.*.* (eth0) другая 192.168.0.* (eth1)
> >
> > как я понимаю, если маскарад настроен так:
> > ipchains -A forward -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -j MASQ
> >
> > то в случае если я в инете пропишу шлюзом 195.46.*.* - то есть мою eth0,
> > то смогу увидеть 192.168.0.* и всю локальную подсетку.
> 
>  Помоему не так. Ни один уважающий себя маршрутизатор не будет
> маршрутизировать пакеты для запрещенных адресов, а именно таковые
> стоят у тебя в сетке.

Любой маршрутизатор будет маршрутизировать все, что ему скажут. А адреса
192.168.x.x не "запрещенные", а "приватные".

> > тогда если мне надо, чтобы никто из инета не видел мою подсетку,
> > мне надо прописать маскарад следующим образом:
> > ipchains -P forward DENY
> > ipchains -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i
> > eth0 -j MASQ
> >
> > мои рассуждения верны?
> 
>Как и и сказал не совсем.

Рассуждения верны.

>На мой взляд маскарад нужно давать не всем подряд и не на все подряд,
> а только определенным машинам и на определенные порты, а лучше всего
> вообще избегать использования макскарада и пользоваться различными прокси,
> с авторизацией доступа, начиная от squid и заканчивая socks5.

Вот это здравая идея. Откуда вы знаете, что ОНИ за вами не наблюдают?

-- 
Alexey Vyskubov
(at home)
Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread!

Re: ipchains

2001-02-15 Thread Victor Vislobokov 
> >  Помоему не так. Ни один уважающий себя маршрутизатор не будет
> > маршрутизировать пакеты для запрещенных адресов, а именно таковые
> > стоят у тебя в сетке.
>
> Любой маршрутизатор будет маршрутизировать все, что ему скажут. А адреса
> 192.168.x.x не "запрещенные", а "приватные".

 Я не буду с тобой спорить. Если твой провайдер позволит тебе
маршрутизировать
через себя пакеты для этих адресов, то мне остается поздравить как твоего
провайдера
так и тебя.

> >На мой взляд маскарад нужно давать не всем подряд и не на все
подряд,
> > а только определенным машинам и на определенные порты, а лучше всего
> > вообще избегать использования макскарада и пользоваться различными
прокси,
> > с авторизацией доступа, начиная от squid и заканчивая socks5.
>
> Вот это здравая идея. Откуда вы знаете, что ОНИ за вами не наблюдают?

  Когда ты узнаешь будет поздно! Лучше быть параноиком чем быть
взломаным.

Виктор

Re: ipchains

2001-02-16 Thread Alexey Vyskubov 
> > >  Помоему не так. Ни один уважающий себя маршрутизатор не будет
> > > маршрутизировать пакеты для запрещенных адресов, а именно таковые
> > > стоят у тебя в сетке.
> >
> > Любой маршрутизатор будет маршрутизировать все, что ему скажут. А адреса
> > 192.168.x.x не "запрещенные", а "приватные".
> 
>  Я не буду с тобой спорить. Если твой провайдер позволит тебе
> маршрутизировать
> через себя пакеты для этих адресов, то мне остается поздравить как твоего
> провайдера
> так и тебя.

Политика провайдера и "уважение к себе" маршрутизатора -- вещи разные.
> 
> > >На мой взляд маскарад нужно давать не всем подряд и не на все
> подряд,
> > > а только определенным машинам и на определенные порты, а лучше всего
> > > вообще избегать использования макскарада и пользоваться различными
> прокси,
> > > с авторизацией доступа, начиная от squid и заканчивая socks5.
> >
> > Вот это здравая идея. Откуда вы знаете, что ОНИ за вами не наблюдают?
> 
>   Когда ты узнаешь будет поздно! Лучше быть параноиком чем быть
> взломаным.

Так и я о том же. Это было без тени иронии, серьезно :-|
-- 
Alexey Vyskubov
(at home)
Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread!


pgpATOA7aMC79.pgp
Description: PGP signature

Re: ipchains rules

2001-04-11 Thread Daniel Ginsburg 
On Wed, Apr 11, 2001 at 11:13:43PM +0400, George Sergeyev wrote:
> Как правильно будет звучать заклинание для ipchains ver 1.3.9,
> запрещающее прием icmp echo-request пакетов из ненадежной части сети.
> Безрезультатно перепробовал множество комбинаций. (1002-я ночь)

Позвольте поинтересоваться, зачем же Вы желаете запретить echo-requests?
Если Вы сообщите мне достаточно веский довод в пользу запрещения этих ICMP
сообщений, то, безусловно, я скажу Вам, как это сделать, но, признаться, я
ума не приложу, каким образом запрещение этих сообщений может повлиять на
функционирование Вашей системы.


-- 
dg

Re: ipchains rules

2001-04-12 Thread Alexey Vyskubov 
> Позвольте поинтересоваться, зачем же Вы желаете запретить echo-requests?
> Если Вы сообщите мне достаточно веский довод в пользу запрещения этих ICMP
> сообщений, то, безусловно, я скажу Вам, как это сделать, но, признаться, я

Количество компьютеров, работающих в 3 часа ночи, может представлять собой
коммерческую тайну.

P.S. Я не шучу.
-- 
Alexey Vyskubov
(at home)
Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread!

Re: ipchains rules

2001-04-12 Thread Pavel Epifanov 

--- Daniel Ginsburg <[EMAIL PROTECTED]> wrote:
> On Wed, Apr 11, 2001 at 11:13:43PM +0400, George Sergeyev wrote:
> > ëÁË ÐÒÁ×ÉÌØÎÏ ÂÕÄÅÔ Ú×ÕÞÁÔØ ÚÁËÌÉÎÁÎÉÅ ÄÌÑ ipchains ver 1.3.9,
> > ÚÁÐÒÅÝÁÀÝÅÅ ÐÒÉÅÍ icmp echo-request ÐÁËÅÔÏ× ÉÚ ÎÅÎÁÄÅÖÎÏÊ ÞÁÓÔÉ ÓÅÔÉ.
> > âÅÚÒÅÚÕÌØÔÁÔÎÏ ÐÅÒÅÐÒÏÂÏ×ÁÌ ÍÎÏÖÅÓÔ×Ï ËÏÍÂÉÎÁÃÉÊ. (1002-Ñ ÎÏÞØ)
> 
> ðÏÚ×ÏÌØÔÅ ÐÏÉÎÔÅÒÅÓÏ×ÁÔØÓÑ, ÚÁÞÅÍ ÖÅ ÷Ù ÖÅÌÁÅÔÅ ÚÁÐÒÅÔÉÔØ echo-requests?
> åÓÌÉ ÷Ù ÓÏÏÂÝÉÔÅ ÍÎÅ ÄÏÓÔÁÔÏÞÎÏ ×ÅÓËÉÊ ÄÏ×ÏÄ × ÐÏÌØÚÕ ÚÁÐÒÅÝÅÎÉÑ ÜÔÉÈ ICMP
> ÓÏÏÂÝÅÎÉÊ, ÔÏ, ÂÅÚÕÓÌÏ×ÎÏ, Ñ ÓËÁÖÕ ÷ÁÍ, ËÁË ÜÔÏ ÓÄÅÌÁÔØ, ÎÏ, ÐÒÉÚÎÁÔØÓÑ, Ñ
> ÕÍÁ ÎÅ ÐÒÉÌÏÖÕ, ËÁËÉÍ ÏÂÒÁÚÏÍ ÚÁÐÒÅÝÅÎÉÅ ÜÔÉÈ ÓÏÏÂÝÅÎÉÊ ÍÏÖÅÔ ÐÏ×ÌÉÑÔØ ÎÁ
> ÆÕÎËÃÉÏÎÉÒÏ×ÁÎÉÅ ÷ÁÛÅÊ ÓÉÓÔÅÍÙ.

It is simple. George probably have read "ICMP scanning" document where
different techniques of ICMP scans are described. echo-request is just one of
them. The same kind of ICMP could be also used for DoS.

There is a sense to DENY such _incoming_ requests on a gateway or on a home
computer directly connected to Internet. This is a recommended practice as I am
aware of. Several websites already have it (I remember www.ibm.org).





=
Yours,
Pavel V. Epifanov.

---

__
Do You Yahoo!?
Get email at your own domain with Yahoo! Mail. 
http://personal.mail.yahoo.com/

Re: ipchains rules

2001-04-12 Thread Vlad Harchev 
On Thu, 12 Apr 2001, Alexey Vyskubov wrote:

 Hi, 

 В принципе есть патчи для 2.2.x ядер (добавляют что-то типа опции
TCP_STEALTH) которая позволяет *полностью* скрывать компьютер в сети (вроде
даже порты сканировать будет бесполезно) - ну и в частности echo-requests
подавить.
 Этот патч входит в 2.2.19 - ядро которое поставляется с AltLinux (ака
mandrake re spring 2001).

> > Позвольте поинтересоваться, зачем же Вы желаете запретить echo-requests?
> > Если Вы сообщите мне достаточно веский довод в пользу запрещения этих ICMP
> > сообщений, то, безусловно, я скажу Вам, как это сделать, но, признаться, я
> 
> Количество компьютеров, работающих в 3 часа ночи, может представлять собой
> коммерческую тайну.
> 
> P.S. Я не шучу.
> -- 
> Alexey Vyskubov
> (at home)
> Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread!
> 
> 
> --  
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
> 

 Best regards,
  -Vlad

Re: ipchains rules

2001-04-12 Thread Alexey Mahotkin 
> "AV" == Alexey Vyskubov <[EMAIL PROTECTED]> writes:

>> Позвольте поинтересоваться, зачем же Вы желаете запретить echo-requests?
>> Если Вы сообщите мне достаточно веский довод в пользу запрещения этих
>> ICMP сообщений, то, безусловно, я скажу Вам, как это сделать, но,
>> признаться, я

AV> Количество компьютеров, работающих в 3 часа ночи, может представлять
AV> собой коммерческую тайну.

Смею все же заметить, что коммерческая тайна, которой заправляют админы, не
способные прочитать чуть ли не первый приходящий в голову документ про
настройку ipchains (даже чуть ли не прогрепать этот документ), должна
стОить где-то в районе $0, то бишь ответом себя можно и не утруждать...

AV> P.S. Я не шучу.

--alexm

P.S.: Обязуюсь компенсировать это письмо повышенным содержанием контента в
трех следующих письмах.

P.P.S.: Пост-скриптумы пишутся после подписи ;)

Re: ipchains rules

2001-04-13 Thread Alexander Kotelnikov 
Alexey Mahotkin <[EMAIL PROTECTED]> writes:

> Смею все же заметить, что коммерческая тайна, которой заправляют админы, не
> способные прочитать чуть ли не первый приходящий в голову документ про
> настройку ipchains (даже чуть ли не прогрепать этот документ), должна
> стОить где-то в районе $0, то бишь ответом себя можно и не утруждать...

встряну в этот грязный наезд.
> 
> P.P.S.: Пост-скриптумы пишутся после подписи ;)

Postscriptum пишется без черточки, по крайней мере. А утверждение о
нем как минимум спорное.

-- 
Alexander Kotelnikov
Saint-Petersburg, Russia

Re: ipchains rules

2001-04-13 Thread George Sergeyev 
>  Alexey Mahotkin  <[EMAIL PROTECTED]> wrote: 

> 
> AV> Количество компьютеров, работающих в 3 часа ночи, может представлять
> AV> собой коммерческую тайну.
> 
> Смею все же заметить, что коммерческая тайна, которой заправляют админы, не
> способные прочитать чуть ли не первый приходящий в голову документ про
> настройку ipchains (даже чуть ли не прогрепать этот документ), должна
> стОить где-то в районе $0, то бишь ответом себя можно и не утруждать...
> 

 
Склоняюсь пред Вашим талантом финансиста, в кои-то вЕки дана высокая оценка 
коммерческой тайны в моей домашней сети. Благодарю.
На 99% прав Pavel Epifanov.

Что сам не сразу нашел in TFM соответсвующие примеры, так это ... я извиняюсь. 
Не все люди книги, сразу с конца читают и на серьезных примерах учатся.
 
 --- 
 WBR,  George Sergeyev

Re: ipchains (file-rc)

2000-10-11 Thread Andrey Chernomyrdin 
On 11-Oct-2000, Wed, 08:57:10, Fedor Zuev <[EMAIL PROTECTED]> wrote:
> On Wed, 11 Oct 2000, Igor Mikhailov wrote:
> 
> IM>> > А аналога rc.local (в RH) нету?
> IM>> Нету, и слава богу - либо уж sysV style, либо BSD style.
> IM>А есть ли стандартный способ сделать загрузку в дебиане BSD style?
> 
>   есть какой-то пакет, называется file-rc, описывается как
> Alternative one-configfile boot mechanism
> 
>   Не оно?
File-rc не совсем оно, так как это все тот-же /etc/init.d/ только вместо
директоий с симлинками /etc/rc... один файл /etc/runlevel.conf в котором
написанно какой скрипт при каком уровне запускать...

-- 
With Best,  | http://www.excom.spb.su/~andrey
 Andrey Chernomyrdin| mailto:[EMAIL PROTECTED]

Re: ipchains init script × äÅÂÉÁÎÅ

2001-04-19 Thread Pavel Andreew 
Hello, Igor!

Igor Goldenberg wrote:
> 
> Где можно прописать статические роутинги, а также настройки ipchains?
> Что-то таких мест при беглом изучении я не нашёл, пришлось писать
> скипты самому, и файлы с конфигами ложить в /etc/network/

   В текущем unstable пакет ipchains (1.3.10-8) проработан на предмет
сохранения/ восстановления настроек. Запоминает он это в
/etc/default/ipchains. А в /etc/init.d/ipchains добавлены параметры
save|load.
   Для potato его можно легко пересобрать из исходников (там из зависимостей
- только libc6 и debconf).

-- 
Pavel Andreew
Ekaterinburg Telegraph

Re: ipchains questions ... оче нь горит !!!

2002-08-30 Thread Elena Egorova 
Здравствуйте,

On Fri, Aug 30, 2002 at 11:09:43AM +0400, devi wrote:
>
>   1) не объяснят ли "старшие" братья "необходимость"
>  соответсвия 2.2.x - ipchains
>  2.4.x - iptables

в 2.4.x есть в том числе и ipchains, то надо ядро скомпилировать с именно
его поддержкой.
>
>   2) буду благодарен за "поправки" - пакет проходит через цепочки в
>  таком порядке input (src: 192.168.0.0/24) -> forward -> output
>
>  итого в качестве проверки (в output\input) "прописан" www
>
>  ipchains -P input DENY
>  ipchains -P output REJECT
>  ipchains -P forward REJECT
>
>  ipchains -A output -i $EXTERN_ETH -s $EXTERN_IP 1024:65535 -d any/0 80 
> -j ACCEPT
>  ipchains -A input -i $EXTERN_ETH -s any/0 80 -d $EXTERN_IP 1024:65535-j 
> ACCEPT
>
>  ipchains -A forward -i $LOCAL_ETH -s 192.168.0.0/24 -d any/0 -j MASQ
>
>  по моим соображениям пакеты из 192.168.0.0/24 режутся на input ...
>  что в таком случае прописать, чтобы это не происходило ?
>
>  plz, укажети на ошибки в данной "сборке" ...

А как пакеты попадут на $EXTERN_ETH, если на $LOCAL_ETH не указано никаких
правил и будет использоваться по умолчанию - DENY.
То есть надо написать  еще
ipchains -A input -i $LOCAL_ETH -p tcp 192.168.0.0/24 -d any/0 --dport 80 -j 
ACCEPT
ipchains -A output -i $LOCAL_ETH -p tcp -d 192.168.0.0/24 -s any/0 --sport 80 
-j ACCEPT
И в самом конце дописать для отладки
ipchains -A input  -j DENY -l
ipchains -A output -j DENY -l


--
Elena Egorova

Re: ipchains questions ... оче нь горит !!!

2002-08-30 Thread Victor Wagner 
On 2002.08.30 at 11:09:43 +0400, devi wrote:

> 
>   Hi, debian-russian ...
> 
>   1) не объяснят ли "старшие" братья "необходимость"
>  соответсвия 2.2.x - ipchains
>  2.4.x - iptables

Необходимости - нет. Можно в ядро 2.4.х скомпилить с ipchains.
Но есть польза. Рекомендую почитать документацию по iptables.
После этого пользоваться ipchains уже не захочется.


-- 
Victor Wagner   [EMAIL PROTECTED]
Chief Technical Officer Office:7-(095)-748-53-88
Communiware.Net Home: 7-(095)-135-46-61
http://www.communiware.net  http://www.ice.ru/~vitus

Re: ipchains, в догонку к iptables

2003-03-15 Thread Andrey Nekrasov 
Hello Dmitry Korotkov,

С iptables идет NAT-Howto, в котором есть вот такой пример:

 # Linux 2.2
 # Forward TCP packets going to port 8080 on 1.2.3.4 to 192.168.1.1's port 80
 ipmasqadm portfw -a -P tcp -L 1.2.3.4 8080 -R 192.168.1.1 80

Похоже то что нужно?

Чуть дальше там пример, как сделать то-же самое с помошью iptables.



Once you wrote about "ipchains, в догонку к iptables":
> А каким образом организовать следующее перенаправление на 2.2.x ? (ipchains)
> 
> нужно все пакеты из сети 192.168.0.0/24 идущие наружу на порт 80 
> (используется маскарад)
> перенаправлять на машину с кэш-сервером на определенный IP с портом 3128
> 
> какие могут быть варианты ?
> похоже, что ipmasqadmin тут не прокатывает...
> 
> iproute2 ?

-- 
Any statement is incorrect.

Re: ipchains, в догонку к iptables

2003-03-15 Thread Alexander Kotelnikov 
> On Sat, 15 Mar 2003 17:21:47 +0300
> "AN" == Andrey Nekrasov <[EMAIL PROTECTED]> wrote:
AN> 
AN> Hello Dmitry Korotkov,
AN> С iptables идет NAT-Howto, в котором есть вот такой пример:
AN> 
AN>  # Linux 2.2
AN>  # Forward TCP packets going to port 8080 on 1.2.3.4 to 192.168.1.1's port 
80
AN>  ipmasqadm portfw -a -P tcp -L 1.2.3.4 8080 -R 192.168.1.1 80
AN> 
AN> Похоже то что нужно?

Думается мне, что товарищу хотелось сделать transparent proxy.

AN> Чуть дальше там пример, как сделать то-же самое с помошью iptables.
AN> 
AN> Once you wrote about "ipchains, в догонку к iptables":
>> А каким образом организовать следующее перенаправление на 2.2.x ? (ipchains)
>> 
>> нужно все пакеты из сети 192.168.0.0/24 идущие наружу на порт 80 
>> (используется маскарад)
>> перенаправлять на машину с кэш-сервером на определенный IP с портом 3128
>> 
>> какие могут быть варианты ?
>> похоже, что ipmasqadmin тут не прокатывает...
>> 
>> iproute2 ?

-- 
Alexander Kotelnikov
Saint-Petersburg, Russia

Re: ipchains, в догонку к iptables

2003-03-16 Thread Andrey Nekrasov 
Hello Alexander Kotelnikov,

> AN> Hello Dmitry Korotkov,
> AN> С iptables идет NAT-Howto, в котором есть вот такой пример:
> AN> 
> AN>  # Linux 2.2
> AN>  # Forward TCP packets going to port 8080 on 1.2.3.4 to 192.168.1.1's 
> port 80
> AN>  ipmasqadm portfw -a -P tcp -L 1.2.3.4 8080 -R 192.168.1.1 80
> AN> 
> AN> Похоже то что нужно?
> 
> Думается мне, что товарищу хотелось сделать transparent proxy.

 Я это понял. Ведь ничего не мешает представить перед этим правило
 ipchains, кидающее все проходящие пакеты на локальный адрес.

 И если прокси стоит не на этой-же машине, то отправлять пакетики туда или с
 помощью выше написанного правила или например xinetd.


-- 
Any statement is incorrect.

Re: ipchains, в догонку к iptables

2003-03-17 Thread Oleg P. Philon 
Привет, коллеги.

On Fri, Mar 14, 2003 at 09:33:39PM +0200, Dmitry Korotkov wrote:
>A kakim obrazom organizovat' sleduyuschee perenapravlenie na 2.2.x ?
>(ipchains)
>nuzhno vse pakety iz seti 192.168.0.0/24 iduschie naruzhu na port 80
>(ispol'zuetsya maskarad)
>perenapravlyat' na mashinu s k`esh-serverom na opredelennyj IP s portom
>3128
>kakie mogut byt' varianty ?
>pohozhe, chto ipmasqadmin tut ne prokatyvaet...
>iproute2 ?

Саша Котельников сказал ключевое слово "transparent proxy".
А на эту тему есть одноименный mini-HOWTO.

Делается предельно просто - 4 опции в squid.conf:

╥  httpd_accel_host virtual
╥  httpd_accel_port 80
╥  httpd_accel_with_proxy on
╥  httpd_accel_uses_host_header on

и одно правило в iptables:

-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

Будь осторожен - перенаправляй только для внутреннего интерфейса.
А то я сделал сначала для всех, так Apache перестал работать.

Auf Wiederlesenophil aka Д-р Антикоммуний
--
Oleg P. Philon  http://gomelug.agava.ru/articles
Linux Lab, Gomel, Belarus   mailto:[EMAIL PROTECTED]
http://anticommunist.narod.ru   mailto:[EMAIL PROTECTED]

Re: ipchains, в догонку к iptables

2003-03-17 Thread Andrey Nekrasov 
Hello Oleg P. Philon,

> и одно правило в iptables:
> 
> -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

> Будь осторожен - перенаправляй только для внутреннего интерфейса.
> А то я сделал сначала для всех, так Apache перестал работать.

 фишка его вопроса была именно в том, как средствами _ipchains/linux2.2_ 
перенаправить
 на _другую_ машины.

-- 
Any statement is incorrect.

[Fwd: Re: ipchains questions ... очень г орит !!!]

2002-08-30 Thread Tumyp S. Sattaroff 

сорри ...

 Original Message 
Subject: Re: ipchains questions ... очень горит !!!
Date: Fri, 30 Aug 2002 12:45:24 +0500
From: "Tumyp S. Sattaroff" <[EMAIL PROTECTED]>
To: Elena Egorova <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]> 
<[EMAIL PROTECTED]>


Elena Egorova wrote:

> А как пакеты попадут на $EXTERN_ETH, если на $LOCAL_ETH не указано 
никаких

> правил и будет использоваться по умолчанию - DENY.
> То есть надо написать  еще
> ipchains -A input -i $LOCAL_ETH -p tcp 192.168.0.0/24 -d any/0 
--dport 80 -j ACCEPT
> ipchains -A output -i $LOCAL_ETH -p tcp -d 192.168.0.0/24 -s any/0 
--sport 80 -j ACCEPT

> И в самом конце дописать для отладки
> ipchains -A input  -j DENY -l
> ipchains -A output -j DENY -l
>
И еще бы я добавил


ipchains -A input -i lo -j ACCEPT
ipchains -A output -i lo -j ACCEPT

и еще
ipchains -A input -s 0/0 -d 0/0 -p icmp -j ACCEPT

то бишь разрешить работать loopback устройству (кто нас изнутри то будет
ломать ? :)
и разрешить ICMP

>
> --
> Elena Egorova
>
>



--
 Bye
Tim&HisTeam


--
Bye
Tim&HisTeam

Re: [Fwd: Re: ipchains questions ... очень го рит !!!]

2002-08-30 Thread devi 
  Hi, Tumyp,

Friday, August 30, 2002, 11:48:22 AM, you wrote:

TSS> И еще бы я добавил

TSS> ipchains -A input -i lo -j ACCEPT
TSS> ipchains -A output -i lo -j ACCEPT

TSS> и еще
TSS> ipchains -A input -s 0/0 -d 0/0 -p icmp -j ACCEPT

TSS> то бишь разрешить работать loopback устройству (кто нас изнутри то будет
TSS> ломать ? :)
TSS> и разрешить ICMP

 разрешены icmp - ping(0,8),
  destination unreachable(3),
  source quench(4),
  time exceeded(11),
  parameter problem(12).
  
 просто неохота все было "набивать".
 кстати,loopback тоже "открыт" ...

-- 
  // --cook: Hаши баги мы для совместимости сохраним в следующих версиях

Re: ipchains init script в Дебиане

2001-04-19 Thread Andrey Ivashchenko 
On Thu, Apr 19, 2001 at 04:02:00PM +0600, Igor Goldenberg wrote:
> Привет!
> 
> Где можно прописать статические роутинги, а также настройки ipchains?
> Что-то таких мест при беглом изучении я не нашёл, пришлось писать
> скипты самому, и файлы с конфигами ложить в /etc/network/
> 
> И ещё, что-то типа rc.local где-то есть?

Для сетевых настроек: /etc/init.d/network

-- 
  Andrey Ivaschenko
  nic-hdl:   AI1569

Re: ipchains init script в Дебиане

2001-04-19 Thread Igor Goldenberg 
Привет!

On Thu, Apr 19, 2001 at 02:55:51PM +0300, Andrey Ivashchenko wrote:

> > И ещё, что-то типа rc.local где-то есть?

> Для сетевых настроек: /etc/init.d/network

Опять таки самому создавать?

master:/var/ftp/debian/dists# zgrep etc/init.d/network Contents-i386.gz
etc/init.d/networking   base/netbase
master:/var/ftp/debian/dists#

--
 С уважением,
 Игорь.

Re: ipchains init script в Дебиане

2001-04-19 Thread Andrey Ivashchenko 
On Thu, Apr 19, 2001 at 06:15:02PM +0600, Igor Goldenberg wrote:
> Привет!
> 
> On Thu, Apr 19, 2001 at 02:55:51PM +0300, Andrey Ivashchenko wrote:
> 
> > > И ещё, что-то типа rc.local где-то есть?
> 
> > Для сетевых настроек: /etc/init.d/network
> 
> Опять таки самому создавать?
> 
> master:/var/ftp/debian/dists# zgrep etc/init.d/network Contents-i386.gz
> etc/init.d/networking   base/netbase
> master:/var/ftp/debian/dists#

8-) Действительно прикол :) У меня это файло досталось в наследство
от предыдущей версии Дебиан. А сейчас его нету... Ну заведи его
себе, если хошь :) Он раньше пустой был совершенно - там интерфейсы
поднимались и рулесы для firewall:
bee:~# ls -l /etc/rcS.d/S40network
lrwxrwxrwx1 root root   17 Июл 31  1999
/etc/rcS.d/S40network -> ../init.d/network
bee:~# ls -l /etc/init.d/network
-rwxr-xr-x1 root root 1461 Мар 30 11:15
/etc/init.d/network
> 
> --
>  С уважением,
>  Игорь.

-- 
  Andrey Ivaschenko
  nic-hdl:   AI1569