iptables 1.4.6 с поддержкой критерия OS Fingerprinting

>Шикарно. ЛОР во всей красе.

Да, верно. Ты ошибся с разделом/сайтом, выставляя свои эмоции здесь. Иди почитай секьюритифокус, там только серьезные дядьки пишут, а тут судя по тебе, ты теряешь время, ой как неправильно :)

Ты не учитываешь структуру сети организации, когда для доступа в инет обязательна линукс-машина. Руководство будет в курсе, и заявление писать не придется.

Надо здесь ограничение вводить на выходных, ну и во время школьных каникул.

Господа! Любите русский язык! Релизы не выходят, выходят новые версии программ, а релизы состояиваются.

> Господа! Любите русский язык! Релизы не выходят, выходят новые версии программ, а релизы состояиваются.

Похоже на то, что ты сам его не очень-то любишь ;)

При чём тут мой мегахостинг? Следующим шагом станет обновление iptables на корневых роутерах у нас в люксембурге, а дальше...ну вы понели.

Банкротство из-за оттока клиентов?

Фингерпринты-шминты. Кто в курсе, функциональность patch-o-matic/ipset не собираются нормально прикрутить?

линукскапец

>Фингерпринты-шминты. Кто в курсе, функциональность patch-o-matic/ipset не собираются нормально прикрутить?

В дебиане она уже прикручена.
http://packages.debian.org/lenny/netfilter-extensions-source
http://packages.debian.org/squeeze/xtables-addons-source

А вообще большинство вещей, которые были в POM пару лет назад, сейчас поддерживаются нативно.

интересно, а в nftables такое будет?

А как у этого с производительностью? :)

> по статистике, посетителей под ИЕ больше, чем вендузовых и бздевых тролей вместе взятых =>

вывод - большинство так называемых лунексоидов ещё большие вендузятники

у тебя грубые ошибки в логическом мышлении, звучит как:
травка зеленеет => солнышко блестит.

>Однако применения шибкого я этому не вижу.

добавить в правило 25-й порт и редиректить почту с виндовых хостов на отдельную машину(на которой, к примеру, graylist накрутить).

Вызываю КО для пояснения того, что означает эта дивная строчка с iptables-ом. Единственное, на что оказался способен мой мозг - сообразить что при traceroute с вендовых машин, проходящих через данный сервер, машина через одну будет показываться как ???. Есть ещё какие то последствия?

А линуксоидам будет валиться спам нефильтрованный? Что они тебе плохого сделали?

Тут фишка не в том кому редиректить, а от кого. Так что вся почта с вендовых хостов будет идти через фильтр.

>Вызываю КО для пояснения того, что означает эта дивная строчка с iptables-ом. Единственное, на что оказался способен мой мозг - сообразить что при traceroute с вендовых машин, проходящих через данный сервер, машина через одну будет показываться как ???. Есть ещё какие то последствия?

Данный конкретный пример блокирует только входящие соединения на сам сервер.
Для блокировки транзитных соединений достаточно заменить INPUT на FORWARD.

А трейс тут не при чем, да. Это только для TCP работает.

это каждый понимает в меру своей логики и испорченности

разъясняю: среди линухоидов больше пользователей уиндоус, чем среди нашего брата

А в чём тайный смысл -ttl 2 ?

OSF has following options:
--log 1/0.
If present, OSF will log determined genres even if they don't match desired one.
0 - log all matched and unknown entries,
1 - only first one.
2 - log all matched entries.

--ttl
0 - true ip and fingerprint TTL comparison. Works for LAN.
1 - check if ip TTL is less than fingerprint one. Works for global addresses.
2 - do not compare TTL at all. Allows to detect NMAP, but can produce false results.

PS:
http://narod.ru/disk/15842889000/osf.tgz.html
32 bit

для тех кому лень или никак не собрать утилиту nfnl_osf

Может не покатить, если версия libnfnetlink будет сильно отличаться.

>А в чём тайный смысл -ttl 2 ?

Е-мае, там же русским по синему написано

опция --ttl 2 предписывает не учитывать TTL при детекции

статика
снапшот с git
собрала с kernel headers 2.6.32
iptables 1.4.6

Интересно, я тут один на этом празднике жизни задаюсь вопросом: почему INPUT, а не FORWARD с соответствующими изменениями указан в примере?

>Вызываю КО для пояснения того, что означает эта дивная строчка с iptables-ом. Единственное, на что оказался способен мой мозг - сообразить что при traceroute с вендовых машин, проходящих через данный сервер, машина через одну будет показываться как ???. Есть ещё какие то последствия?

Данный конкретный пример блокирует только входящие соединения на сам сервер. Для блокировки транзитных соединений достаточно заменить INPUT на FORWARD.

А трейс тут не при чем, да. Это только для TCP работает.

Опередили ;)

Да, развелось на ЛОР-е ПТУ-шников, аж жуть. Абы шо ляпнуть, по любой теме, особенно по той, в которой понятия не имеют...

Различать машинки по типу ОС очень удобно, поскольку почти всегда известно, какой порт/протокол используется конкретной болячкой конкретной ОС. Линуха тоже сканят и ломают, а если ПТУ-шник оставит рутовый пароль из словаря, тока англицскими буквами, то вероятность взлома и обсиживания глистами и мухами - 100%.

Очень удобно отбиваться, например от ботнетов в критической ситуации, когда нужно хоть доступ к тачке получить. Увидел загрузку вебсервера 20 с лишним - врубай правило из примера и свисти сисадмину. За одно можно и в лог IP адреса отписать...

Очень удобно на рутере провайдера заблокировать всем виндам входящий порт управлялки известного ботнета....

Мало ли чего убодно делать можно, лишь бы прикрыть голый зад несчастных пользователей убогой винды и убогих пользователей крутого линуха.

Именно по этой причине у умных людей рутеры на xBSD c pf имени Teo стоят, а не линух. А теперь и линух можно ставить, наверно :)

чёрт, извиняюсь за невнимательность :(

>Именно по этой причине у умных людей рутеры на xBSD c pf имени Teo стоят, а не линух. А теперь и линух можно ставить, наверно :)

Умные люди такой хни не написали бы... Скажи, умный людишка, когда в xBSD появились аналоги iproute2, IMQ, HTB и подобных вещей, которые в линуксе есть минимум лет 15? Когда ответишь на этот вопрос, вытри сопли, смени памперс и убейся апстенку... Что касается определение ОС в линуксе, так оно лет 10 как есть, просто все в официальное ядро не входит, это не бзд, которое как сорока ворует все блестящее и тянет в свое гнездо при этом функционал все равно отстает лет на 5-10 от линукса.

> В дебиане она уже прикручена.

Ых. Еще один плюс дебиану, но с федоры пока уходить не буду.

большинство вещей, которые были в POM пару лет назад, сейчас поддерживаются нативно.

А как с списками сетей? Типа «iptables -A INPUT -m set --match-set RFC3330 [..]» и не только.

А iptables уже научился добавлять правила, фильтрующиеся по пути к бинарнику приложения? (например, /usr/bin/firefox)?

> Да, да!!! Макс, апгрейдимся!!! Я сам пересоберу для тебя ядро и iptables, и даже заверну в RPM!!! :-)

а хорошо бы логгировать ОС каждого TCP соединения... и даже сообщать в веб-странице...

> А как с списками сетей?

Туплю. Погуглил по iprange из новости, это что, вот такая, например, конструкция будет нормально работать? Добавляться добавляется, в списке правил два условия тоже отображается.

iptables -A INPUT -p tcp -m iprange --src-range 192.168.1.100-192.168.1.200 -m iprange --src-range 192.168.1.220-192.168.1.230 -j ACCEPT

этак линукс скоро до бсд дорастет. всего-то в 2009 году сделали то что в опенке уже хрен знает сколько.

Вот когда в бсд сделают всё то, что есть в линуксе... ;) Хотя «не нужно» же, да.

>> теперь переводить пользователей на линукс будет в 9000 раз проще :)

в 99000 раз :-)

«Prior to iptables, the predominant software packages for creating Linux firewalls were ipchains in Linux 2.2; and ipfwadm in Linux 2.0 which in turn was based on BSD's ipfw.» © Wikipedia :)))

>А как с списками сетей? Типа «iptables -A INPUT -m set --match-set RFC3330 [..]» и не только.

ipset есть в дебиане (точнее, ставится за две команды).

Забавная практически бессмысленная штучка... Но пусть будет, да - глядишь, для IPS'а какого сойдёт в будущем; хотя они и так, без этого, сейчас в основном на Linux.

P.S. Очень хотелось бы увидеть реальный пример применения, а не всю ту хрень дурную, что тут озвучили. И да - капча 10 perkiest намекает... Ж;-)

> ipset есть в дебиане (точнее, ставится за две команды)

Спасибо, это уже прочитал, но хотел знать, как с этим в ванили на даный момент. Если фишки аналогичные ipset сюда постепенно перетягивают.

Спасибо, это уже прочитал, но хотел знать, как с этим в ванили на даный момент. Если фишки аналогичные ipset сюда постепенно перетягивают.

В ванилу емнип ipset брать не хотят (видимо, не нравится им что-то).

А вообще есть такая замечательная вещь, как recent. Например,

iptables -m recent --name test --rcheck -j бла-бла-бла
# Заполняется список так:
echo +1.2.3.4 >/proc/net/ipt_recent/test
echo +2.3.4.5 >/proc/net/ipt_recent/test
# ...

iptables -I INPUT -p tcp -m osf --genre Windows --ttl 2 -j DROP

Это не Ъ, вот настоящий Ъ:
iptables -I INPUT -p tcp -m osf --genre Windows --ttl 2 -j TARPIT

>-j TARPIT

Вроде бы как проблему с orphaned connections в винде таки закрыли пару месяцев назад (не прошло и двадцати лет).

А так да, +1 (далеко не все пользователи винды ставят обновления).

а скажите други добрые, если пакет win проходит через нат, который роутер на линакзе, то как его определит iptables?

>а скажите други добрые, если пакет win проходит через нат, который роутер на линакзе, то как его определит iptables?

По идее должен нормально определить. Нат же только адреса меняет.
А вот pf со своим скрабом можеть серьезно подпортить малину :)

> А вот pf со своим скрабом можеть серьезно подпортить малину :)

Да много что может подпортить малину. А с учётом того, что задача фильтрации по платформе в принципе является на 99,(9)% надуманной...

>Тогда в него добавят фичу притворяться заданной ОС. Если еще не.

Сейчас полный скан портов легко зарезать через критерий psd (доступен в xtables-addons).

Хотите отдохнуть от ЛОР? Прокастуйте Макскома до 6ого уровня и получите iptables -I INPUT -p tcp -m osf --genre Windows --ttl 2 -j DROP в подарок!

Давайте команду из примера выполним на всех линукс-роутерах планеты Земля!