редирект портов средставми iptables (Не проброс!)
Модератор: SLEDopit
редирект портов средставми iptables
Каким образом можно сделать редирект портов средствами iptables например чтобы при обращение на 1.1.1.1:80, этот сервер делал редирект на 1.1.1.2:80. Но только не проброс а именно редирект, тоесть чтобы трафик шёл не через 1.1.1.1 а сразу напрямую
Re: редирект портов средставми iptables
Если мне не изменяет память то эту возможнасть убрали из протокола ip. По крайней мере в книжке по безопасности было написанно примерно так. Фактически если эта возможность будет то кул хацкер может подделать пакет и заставить хост обращятся не к серверу а к своему компу и потом уже передавать пакеты серверу. Таким образом организовать атаку man in the midle.
p.s. Возможно меня ктото поправит.
Vladivostok Linux User Group
Re: редирект портов средставми iptables
Ну если у тебя на данном сервере настроен и скомпилирован в ядре nat
То редирект можно реализовать добавлением правила вида:
iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 80 -j DNAT --to-destination 1.1.1.2:80
slackware user
mail: snozstas@gmail.com
icq: 299434468
icq2: 469265570
icq3: 407493069
mail: snozstas@gmail.com
icq: 299434468
icq2: 469265570
icq3: 407493069
Re: редирект портов средставми iptables
Так это не ридерект. Это проброс.
Vladivostok Linux User Group
Re: редирект портов средставми iptables
DaemonTux писал(а): ↑30.11.2007 02:59
Так это не ридерект. Это проброс.
Верно так это именно то что ему и нужно, насколько я помню REDIRECT выполняет перенаправление пакетов и потоков на другой порт того же самого хоста.
Паправьте если я ошибся.!!!
А если строчку привести к такому виду
iptables -t nat -A PREROUTING -p tcp-s 1.1.1.0/24 -d 1.1.1.1 --dport 80 -j DNAT --to-destination 1.1.1.2:80
Будет думаю вернее, опять же это моё предположение я же не знаю настроен у него нат или маскарад.
slackware user
mail: snozstas@gmail.com
icq: 299434468
icq2: 469265570
icq3: 407493069
mail: snozstas@gmail.com
icq: 299434468
icq2: 469265570
icq3: 407493069
Re: редирект портов средставми iptables
snoz писал(а): ↑30.11.2007 08:58DaemonTux писал(а): ↑30.11.2007 02:59
Так это не ридерект. Это проброс.
Верно так это именно то что ему и нужно, насколько я помню REDIRECT выполняет перенаправление пакетов и потоков на другой порт того же самого хоста.
Паправьте если я ошибся.!!!
А если строчку привести к такому виду
iptables -t nat -A PREROUTING -p tcp-s 1.1.1.0/24 -d 1.1.1.1 --dport 80 -j DNAT --to-destination 1.1.1.2:80
Будет думаю вернее, опять же это моё предположение я же не знаю настроен у него нат или маскарад.
Задача стояла чтобы трафик нешел через 1.1.1.1. А а у вас будет следующая картина. Допустим некий хост 1.1.1.5. Отправляет запрос на сервер 1.1.1.1. Сервер делает смену адреса назначения. и потом маршрутизирует пакет обратно в сеть. Сервер 1.1.1.2. Отвечает на запрос и поскольку хост наодится в той же сети. То он отправляет ответ хосту не через маршрутизатор. Хост видет что пакет пришел не от 1.1.1.1 и дропает пакет. и так пока таймаут не кончится.
Редирек в данном слуяаи означает. Что хост 1.1.1.1 должен послать некий пакет хосту 1.1.1.5 со следующим содержанием: Обращяйся напрямую к серверу 1.1.1.2.
Такая возможность опасна по тому что ежели хацкер отправит пакет с адресом отправителя 1.1.1.1 и приказанием работать с другим сервером. То он в качестве нового сервера может указать свой поддельный сервер и творить что ему захочется. Слушать трафик на предмет паролей. Читать чужие переписки.подсовывать левые пакеты. и т.д.
Vladivostok Linux User Group
Re: редирект портов средставми iptables
DaemonTux писал(а): ↑30.11.2007 12:37snoz писал(а): ↑30.11.2007 08:58DaemonTux писал(а): ↑30.11.2007 02:59
Так это не ридерект. Это проброс.
Верно так это именно то что ему и нужно, насколько я помню REDIRECT выполняет перенаправление пакетов и потоков на другой порт того же самого хоста.
Паправьте если я ошибся.!!!
А если строчку привести к такому виду
iptables -t nat -A PREROUTING -p tcp-s 1.1.1.0/24 -d 1.1.1.1 --dport 80 -j DNAT --to-destination 1.1.1.2:80
Будет думаю вернее, опять же это моё предположение я же не знаю настроен у него нат или маскарад.
Задача стояла чтобы трафик нешел через 1.1.1.1. А а у вас будет следующая картина. Допустим некий хост 1.1.1.5. Отправляет запрос на сервер 1.1.1.1. Сервер делает смену адреса назначения. и потом маршрутизирует пакет обратно в сеть. Сервер 1.1.1.2. Отвечает на запрос и поскольку хост наодится в той же сети. То он отправляет ответ хосту не через маршрутизатор. Хост видет что пакет пришел не от 1.1.1.1 и дропает пакет. и так пока таймаут не кончится.
Редирек в данном слуяаи означает. Что хост 1.1.1.1 должен послать некий пакет хосту 1.1.1.5 со следующим содержанием: Обращяйся напрямую к серверу 1.1.1.2.
Такая возможность опасна по тому что ежели хацкер отправит пакет с адресом отправителя 1.1.1.1 и приказанием работать с другим сервером. То он в качестве нового сервера может указать свой поддельный сервер и творить что ему захочется. Слушать трафик на предмет паролей. Читать чужие переписки.подсовывать левые пакеты. и т.д.
Такая возможность опасна по тому что ежели хацкер ?
Не не стоит тогда своих хацкеров в -s 1.1.1.0/24 пускать.
Сматрите тогда в сторону форварда и man iptables.
фаер проще настроить а не паниковать из за хацкеров явно же указан параметр -s.
man iptables
и читаем про форвард.
slackware user
mail: snozstas@gmail.com
icq: 299434468
icq2: 469265570
icq3: 407493069
mail: snozstas@gmail.com
icq: 299434468
icq2: 469265570
icq3: 407493069
Re: редирект портов средставми iptables
2snoz
Прочитайте первоначальный вопрос. Задача была чтобы трафик не проходил через сервер 1.1.1.1 А только один раз перенаправлялся.Тоесть чтобы после определенных манипуляций сервера 1.1.1.1 сразу стал попадать на 1.1.1.2 минуя 1.1.1.1 . А в вашем случаи он будет постояно ходить. Через 1.1.1.1 мало того хост будет отбрасывать пакеты так как запрос был послан на 1.1.1.1 а пришел с 1.1.1.2.
Ваш вариан возможен токо в том случаи если хост и сервер 1.1.1.2 будут в разных сетях. Но в этом случаи трафик будет ходить через сервак с ипом 1.1.1.1.
P. S. Завтра найду в книжке то о чем я говорю и процетирую.
P. S. S. Почитайте чтонить про маршрутизацию. А потом посылайте читать ман по iptables. Так как сам iptables трафик не маршрутизирует.
Прочитайте первоначальный вопрос. Задача была чтобы трафик не проходил через сервер 1.1.1.1 А только один раз перенаправлялся.Тоесть чтобы после определенных манипуляций сервера 1.1.1.1 сразу стал попадать на 1.1.1.2 минуя 1.1.1.1 . А в вашем случаи он будет постояно ходить. Через 1.1.1.1 мало того хост будет отбрасывать пакеты так как запрос был послан на 1.1.1.1 а пришел с 1.1.1.2.
Ваш вариан возможен токо в том случаи если хост и сервер 1.1.1.2 будут в разных сетях. Но в этом случаи трафик будет ходить через сервак с ипом 1.1.1.1.
P. S. Завтра найду в книжке то о чем я говорю и процетирую.
P. S. S. Почитайте чтонить про маршрутизацию. А потом посылайте читать ман по iptables. Так как сам iptables трафик не маршрутизирует.
Vladivostok Linux User Group
Re: редирект портов средставми iptables
DaemonTux писал(а): ↑30.11.2007 17:022snoz
Прочитайте первоначальный вопрос. Задача была чтобы трафик не проходил через сервер 1.1.1.1 А только один раз перенаправлялся.Тоесть чтобы после определенных манипуляций сервера 1.1.1.1 сразу стал попадать на 1.1.1.2 минуя 1.1.1.1 . А в вашем случаи он будет постояно ходить. Через 1.1.1.1 мало того хост будет отбрасывать пакеты так как запрос был послан на 1.1.1.1 а пришел с 1.1.1.2.
Ваш вариан возможен токо в том случаи если хост и сервер 1.1.1.2 будут в разных сетях. Но в этом случаи трафик будет ходить через сервак с ипом 1.1.1.1.
P. S. Завтра найду в книжке то о чем я говорю и процетирую.
P. S. S. Почитайте чтонить про маршрутизацию. А потом посылайте читать ман по iptables. Так как сам iptables трафик не маршрутизирует.
Вопрос прочти ,
Каким образом можно сделать редирект портов средствами iptables например чтобы при обращение на 1.1.1.1:80, этот сервер делал редирект на 1.1.1.2:80. Но только не проброс а именно редирект, тоесть чтобы трафик шёл не через 1.1.1.1 а сразу напрямую
Ответ никаким, кнужку себе оставь я с неё цитировал. А сам прогуляйся на www.opennet.ru . Или религия не позволяет?.
Потому что редирект можно только портам делать с 1 порта на другой порт.
P. S. S. Почитайте чтонить про маршрутизацию. А потом посылайте читать ман по iptables. Так как сам iptables трафик не маршрутизирует. А я разве про это писал?) .
iptables добавляет правила для перенаправления трафика.я про route вам не писал.
slackware user
mail: snozstas@gmail.com
icq: 299434468
icq2: 469265570
icq3: 407493069
mail: snozstas@gmail.com
icq: 299434468
icq2: 469265570
icq3: 407493069
Re: редирект портов средставми iptables
Вот по постоновке вопроса топик стартером. нужно что трафик миновал 1.1.1.1 . А сразу шел на 1.1.1.2.
Это не возможно. Это вы тоже подтвердили. Можно сделать чтобы трафик перенаправлялся серваком 1.1.1.1 на сервак 1.1.1.2. Но это противоречит задачи.
Vladivostok Linux User Group