LINUX.ORG.RU
ФорумAdmin

Фильтрация трафика по содержимому

 , ,


0

1

Доброго времени суток. Передо мной стои задача чем ни то случать интерфейс и если вдруг туда прийдёт строка «blabla» не важно на какой порт, то дропать этот пакет. Долго ковырялся с этой статьёй http://www.opennet.ru/tips/info/231.shtml но так и не смог дрпнуть левый трафик(((

Ответ на: комментарий от crowbar

читай условие: «прийдёт строка «blabla»»

строка

я подразумеваю что это plain-text

uspen ★★★★★
()
Ответ на: комментарий от ktulhu666

и зачем ты мне это рассказываешь? я ему подсказал по правилу, а не по сути

uspen ★★★★★
()
Ответ на: комментарий от uspen

опять потерпел поражение... точный список моих действий:

1. в Virtualbox создал 3 виртуалки с ubuntu все их кинул во «внутреннюю сеть» одной из них дал 2 интерфейса во внутренней сети (будущий шлюз). остальным дал адреса 192.168.0.2 и 172.18.5.2, настроил форвардинг и маскарад на шлюзе. В обе стороны пошёл пинг с 192.168.0.2 на 172.18.5.2 и обратно.

2. на шлюзе создал скрипик:

#! /bin/bash
echo "Сброс правил"
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT ACCEPT

echo "возвращаем маскарад"
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

echo "правила фильтрации трафика"
iptables -I INPUT -m string --string "blabla" --algo kmp --to 31337 -j DROP

запускаю, всё без ошибок

3. на компе 172.18.5.2 выполняю:

(echo -e "HTTP/1.1 200 OK\nContent-Type: text/html\n\n blabla";) | nc -vv -l -p 31337

на компе 192.168.0.2 выполняю:

nc 172.18.5.2 31337

и получаю страничку с текстом «blabla» хотя по идеи не должен её получить, т.к. на шлюзе должно было отфильтроваться. Где я намудил налажал?

Riocool
() автор топика
Ответ на: комментарий от ktulhu666

можно пример как я с помощью ndpi я могу дропнуть пакеты с какой либо сигнатурой (как строка так и хекс данные, не суть короче говоря). А то на просторах рунета уж слишком мало информации а в английском я на уровне среднестатистического первокурсника (хотя уже 5 курс, не повезло мне:) )

Riocool
() автор топика

в принцепе можно и не зацикливаться на iptables или ещё на чём ни будь стандарном может есть варианты с какими ни то уже известными и лежащими в репах фаерволами?

Riocool
() автор топика
Ответ на: комментарий от ktulhu666

да нет, я хочу дропнуть пакеты с производными строками (их я буду узнавать анализируя трифик) напирмер, замечаю что на сайт идёт sql inj, я смотрю что злоумышленник использует конструкцию «+union+select....» и я пока не закрою дыру хочу прям сдесь и сейчас просто рубить в трафике все пакеты, где содержится подстрока «union+select»

Riocool
() автор топика
Ответ на: комментарий от Riocool

на шлюзе создал скрипик
на шлюзе
iptables -I INPUT

uspen ★★★★★
()
Ответ на: комментарий от Riocool

да нет, я хочу дропнуть пакеты с производными строками (их я буду узнавать анализируя трифик) напирмер, замечаю что на сайт идёт sql inj, я смотрю что злоумышленник использует конструкцию «+union+select....» и я пока не закрою дыру хочу прям сдесь и сейчас просто рубить в трафике все пакеты, где содержится подстрока «union+select»

Для этого есть системы обнаружения вторжений. их много. одним из ярких примеров является Snort

MikeDM ★★★★★
()
Ответ на: комментарий от MikeDM

А что можно посмотреть из проприетарщины, которую можно на торрентах скачать?

ktulhu666 ☆☆☆
()
22 марта 2015 г.
Ответ на: комментарий от Riocool

Логичнее делать это средствами веб-сервера.

KivApple ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.