форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"ipwf против сканера портов"
Сообщение от Mechanical Orange on 29-Сен-02, 08:27  (MSK)
Какими правилам можно противостоять сканеру портов. Что бы при сканировании портов было вроде как хост не отвечает. И как в частности можно сделать, что бы на внешнем интерфейсе гейта не было видно что запущен squid.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: ipwf против сканера портов"
Сообщение от dim on 29-Сен-02, 11:12  (MSK)
>Какими правилам можно противостоять сканеру портов. >Что бы при сканировании портов было вроде как хост не отвечает. > >И как в частности можно сделать, что бы на внешнем интерфейсе гейта >не было видно что запущен squid. ipfw -q -v add drop all from any to any in via <external_face> :)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: ipwf против сканера портов"
	Сообщение от Ilia on 29-Сен-02, 11:40  (MSK)
	>>Какими правилам можно противостоять сканеру портов. >>Что бы при сканировании портов было вроде как хост не отвечает. >> >>И как в частности можно сделать, что бы на внешнем интерфейсе гейта >>не было видно что запущен squid. > > >ipfw -q -v add drop all from any to any in via <external_face> >:) В лучшем случае, это просто не будет работать. А в худшем, блокирует ему внешний интерфейс полностью. Что, вообще-то, соответствует условиям задачи, но не соответствует тому, что он хотел получить на самом деле :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: ipwf против сканера портов"
Сообщение от Ilia on 29-Сен-02, 11:36  (MSK)
>Какими правилам можно противостоять сканеру портов. >Что бы при сканировании портов было вроде как хост не отвечает. > >И как в частности можно сделать, что бы на внешнем интерфейсе гейта >не было видно что запущен squid. 1) "Вообще" - заменить в запрещающих правилах файрволла "deny" на "reject". Только вообще-то он помечен в мане как deprecated. Можно еще "unreach" с каким-нибудь кодом, какой тебе больше нравится. 2) "В частности" - в squid.conf есть указание, с какого адреса слушать запросы. Не помню, как называется, поищи - найдёшь. 3) (это лирическое отступление) не "Mechanical Orange" (это просто неудачный перевод), а "Clockwork Orange", как и было в оригинале :-)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: ipwf против сканера портов"
	Сообщение от Mechanical Orange on 30-Сен-02, 09:31  (MSK)
	>>Какими правилам можно противостоять сканеру портов. >>Что бы при сканировании портов было вроде как хост не отвечает. >> >>И как в частности можно сделать, что бы на внешнем интерфейсе гейта >>не было видно что запущен squid. > >1) "Вообще" - заменить в запрещающих правилах файрволла "deny" на "reject". Только >вообще-то он помечен в мане как deprecated. Можно еще "unreach" с >каким-нибудь кодом, какой тебе больше нравится. >2) "В частности" - в squid.conf есть указание, с какого адреса слушать >запросы. Не помню, как называется, поищи - найдёшь. >3) (это лирическое отступление) не "Mechanical Orange" (это просто неудачный перевод), а >"Clockwork Orange", как и было в оригинале :-) 1) Если заменить deny на reject. не создам ли я лишний трафик? 2) Вот из конфига acl all src 0.0.0.0/0.0.0.0 acl allowed_hosts src 192.168.0.0/255.255.0.0 acl allowed_hosts src <реальный IP>/255.255.255.255 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl SSL_ports port 443 563 acl Safe_ports port 80          # http acl Safe_ports port 21 20       # ftp acl Safe_ports port 443 563     # https, snews acl Safe_ports port 70          # gopher acl Safe_ports port 210         # wais acl Safe_ports port 1025-65535  # unregistered ports acl Safe_ports port 280         # http-mgmt acl Safe_ports port 488         # gss-http acl Safe_ports port 591         # filemaker acl Safe_ports port 777         # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager # Deny requests to unknown ports #http_access deny !Safe_ports # Deny CONNECT to other than SSL ports #http_access deny CONNECT !SSL_ports http_access allow CONNECT #http_access deny limited_hosts http_access allow localhost http_access deny !allowed_hosts http_access allow Safe_ports Так вот все равно снаружи кто то коннектился совершенно с других адресов вырезка из лога 1033092509.173  31063 204.29.169.110 TCP_MISS/200 500 CONNECT 205.188.156.52:25 - DIRECT/205.188.156.52 - 3) Если честно не помню как было в книге, а в фильме точно было  "Mechanical Orange"
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: ipwf против сканера портов"
	Сообщение от Ilia on 07-Окт-02, 16:11  (MSK)
	>1) Если заменить deny на reject. не создам ли я лишний трафик? Ну, так, чуть-чуть. >2) Вот из конфига >acl all src 0.0.0.0/0.0.0.0 >acl allowed_hosts src 192.168.0.0/255.255.0.0 >acl allowed_hosts src <реальный IP>/255.255.255.255 >acl manager proto cache_object >acl localhost src 127.0.0.1/255.255.255.255 >acl SSL_ports port 443 563 >acl Safe_ports port 80         > # http >acl Safe_ports port 21 20       # >ftp >acl Safe_ports port 443 563     # https, snews > >acl Safe_ports port 70         > # gopher >acl Safe_ports port 210         ># wais >acl Safe_ports port 1025-65535  # unregistered ports >acl Safe_ports port 280         ># http-mgmt >acl Safe_ports port 488         ># gss-http >acl Safe_ports port 591         ># filemaker >acl Safe_ports port 777         ># multiling http >acl CONNECT method CONNECT > >http_access allow manager localhost >http_access deny manager ># Deny requests to unknown ports >#http_access deny !Safe_ports ># Deny CONNECT to other than SSL ports >#http_access deny CONNECT !SSL_ports >http_access allow CONNECT >#http_access deny limited_hosts >http_access allow localhost >http_access deny !allowed_hosts >http_access allow Safe_ports Нет. Не то. Я имел в виду вот что: #  TAG: http_port #       Usage:  port #               hostname:port #               1.2.3.4:port >Так вот все равно снаружи кто то коннектился совершенно с других адресов > >вырезка из лога >1033092509.173  31063 204.29.169.110 TCP_MISS/200 500 CONNECT 205.188.156.52:25 - DIRECT/205.188.156.52 - С чем тебя и поздравляю :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: ipwf против сканера портов"
Сообщение от kim on 08-Окт-02, 14:16  (MSK)
>Какими правилам можно противостоять сканеру портов. >Что бы при сканировании портов было вроде как хост не отвечает. > >И как в частности можно сделать, что бы на внешнем интерфейсе гейта >не было видно что запущен squid. sysctl -w net.inet.tcp.blackhole=2 sysctl -w net.inet.udp.blackhole=1    Это превращает машину в черную дыру при попытке подключиться к портам, которые не слушают. Nmap по настоящему не любит это. ___ Good luck
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.