BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 33 ]  На страницу Пред.  1, 2
Автор Сообщение
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Вт 23 июл, 2013 11:06 am 
Не в сети

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 888
хорошо если это так, то почему к !95.211.162.245 пакеты отправляются, а к 95.211.58.111 из той же таблицы, нет
вот от ВПН клиента:
Код:
C:\Users\yumi.ZIET>ping 95.211.162.245

Обмен пакетами с 95.211.162.245 по с 32 байтами данных:
Ответ от 95.211.162.245: число байт=32 время=45мс TTL=56
Ответ от 95.211.162.245: число байт=32 время=45мс TTL=56
Ответ от 95.211.162.245: число байт=32 время=45мс TTL=56
Ответ от 95.211.162.245: число байт=32 время=45мс TTL=56

Статистика Ping для 95.211.162.245:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 45мсек, Максимальное = 45 мсек, Среднее = 45 мсек

C:\Users\yumi.ZIET>ping 95.211.58.111

Обмен пакетами с 95.211.58.111 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 95.211.58.111:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Вт 23 июл, 2013 4:24 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
что то я запутался, ты ж хотел 95.211.162.245 заблокировать.

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Вт 23 июл, 2013 4:29 pm 
Не в сети

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 888
нет, мне надо было изначально заблокировать все IPиспользуемые TimViewer-om, они перечислены в таблице, и открыть при этом ithappens.ru, который принадлежит одной из блокируемых подсетей
когда мне это удалось правилом с "pass" вот это и обескуражило
вот вывод pfctl -sr последний вариант :D
Код:
block drop in quick on ! fxp1 inet from 188.231.xxx.xxx/25 to any
block drop in quick inet from 188.231.xxx.xxx to any prio 0
block drop in quick on fxp1 inet6 from fe80::2d0:b7ff:fe16:8b6 to any prio 0
pass all flags S/SA
block drop in on fxp1 all
block drop in log quick on fxp1 inet from <__automatic_971e3ec4_0> to any
pass out on fxp1 from <vpn_users> to any flags S/SA nat-to (fxp1) round-robin
pass in on fxp0 inet proto tcp from (fxp0:network) to (fxp0) port = pptp flags S/SA
pass in on fxp0 inet proto gre from (fxp0:network) to (fxp0)
pass in on tun inet from <vpn_users> to ! (self) flags S/SA
pass out on fxp1 from any to <tim_ip> flags S/SA

# pfctl -t tim_ip -T show
   46.4.68.241
   46.105.99.126
   46.165.192.0/24
   80.237.0.0/16
   81.169.0.0/16
   87.230.0.0/16
   87.230.74.0/24
   89.185.96.0/24
   92.51.171.0/24
   95.211.0.0/16
  !95.211.162.245
   151.1.182.135
   178.77.120.0/24
   202.143.0.0/16
   216.108.0.0/16
   217.172.187.0/24


вот до кучи еще вывод tcpdump на одном из vpn соединений:
Код:
 # tcpdump -nnvvS -i tun0
tcpdump: listening on tun0, link-type LOOP
15:38:38.943835 172.16.16.45 > 95.211.162.245: icmp: echo request (id:0400 seq:256) (ttl 128, id 37496, len 60)
15:38:38.990006 95.211.162.245 > 172.16.16.45: icmp: echo reply (id:0400 seq:256) (ttl 56, id 28531, len 60)
15:38:39.946985 172.16.16.45 > 95.211.162.245: icmp: echo request (id:0400 seq:512) (ttl 128, id 37499, len 60)
15:38:39.991225 95.211.162.245 > 172.16.16.45: icmp: echo reply (id:0400 seq:512) (ttl 56, id 28532, len 60)

15:41:39.134132 172.16.16.45 > 95.211.58.111: icmp: echo request (id:0400 seq:768) (ttl 128, id 38293, len 60)
15:41:44.265362 172.16.16.45 > 95.211.58.111: icmp: echo request (id:0400 seq:1024) (ttl 128, id 38317, len 60)
15:41:49.765034 172.16.16.45 > 95.211.58.111: icmp: echo request (id:0400 seq:1280) (ttl 128, id 38339, len 60)

причем при таких правилах сам роутер пингует оба IP


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Ср 24 июл, 2013 12:44 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
Да уж, полная хрень, не должно быть такого.
Попробуй выяснить через какое правило выходит трафик к 95.211.162.245. т.е.:
1. пингуешь (создается state)
2. смотришь pfctl -vvss и ищешь номер правила
3. ищешь правило pfctl -vvsr

P.S. еще был какой-то ньюанс с "flags S/SA" - он же только к TCP применим.

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Ср 24 июл, 2013 12:51 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
логичнее было бы использовать block quick to <tim_ip> или pass quick to ! <tim_ip>

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Ср 24 июл, 2013 3:30 pm 
Не в сети

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 888
block quick to <tim_ip> я пробовал, блочится все, что в таблице, причем и !IP.
вот правила по которым проходят пакеты к 95.211.162.245:
Код:
all icmp 95.211.162.245:8 <- 172.16.16.45:1024       0:0
   age 00:00:01, expires in 00:00:10, 2:2 pkts, 120:120 bytes, rule 9
   id: 51e504c000d337ef creatorid: d52ff8c4
all icmp 188.231.212.132:8352 (172.16.16.45:1024) -> 95.211.162.245:8       0:0
   age 00:00:01, expires in 00:00:10, 2:2 pkts, 120:120 bytes, rule 6


Код:
@6 pass out on fxp1 from <vpn_users:1> to any flags S/SA nat-to (fxp1:2) round-robin
@9 pass in on tun inet from <vpn_users:1> to ! (self:4) flags S/SA


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Чт 25 июл, 2013 12:48 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
тут у тебя еще новее синтаксис, я nat-to нигде не использовал... (а теперь наверное и не придется, т.к. ушел из "сетивиков" в "базы")
думаю есть особенность обработки этих правил.
совсем испоганили... ну какой SYN ASK в icmp ?

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Пт 26 июл, 2013 2:17 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
pfctl -sn покажи.
Думается мне что если взять по аналогии прохождение трафика через nat pass - правило, то у тебя дальше не пакет не фильтруется.

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Пт 26 июл, 2013 2:49 pm 
Не в сети

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 888
Код:
 # pfctl -sn
pfctl: Unknown show modifier 'n'
usage: pfctl [-deghnqrvz] [-a anchor] [-D macro=value] [-F modifier]
        [-f file] [-i interface] [-K host | network]
        [-k host | network | label | id] [-L statefile] [-o level] [-p device]
        [-S statefile] [-s modifier [-R id]] [-t table -T command [address ...]]
        [-x level]
:D
в предверии следующего вопроса
Код:
 # uname -rvs
OpenBSD 5.0 GENERIC#43


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Пн 29 июл, 2013 10:02 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
Сел подумал...
Цитата:
block drop in quick on ! fxp1 inet from 188.231.xxx.xxx/25 to any
block drop in quick inet from 188.231.xxx.xxx to any prio 0
block drop in quick on fxp1 inet6 from fe80::2d0:b7ff:fe16:8b6 to any prio 0

ну это антиспуф х.с.н.

Цитата:
pass all flags S/SA

дефолтный action у ПФ и так "пасс", т.е. оно не надо здесь.

Цитата:
block drop in on fxp1 all
block drop in log quick on fxp1 inet from <__automatic_971e3ec4_0> to any

Ставишь дефолтный action block на внешнем интерфейсе.
Я бы поставил "block drop log all" для отладки. (удобно смотреть на pflog что заблочилось(ну или pass если не использовать quick))

Цитата:
pass out on fxp1 from <vpn_users> to any flags S/SA nat-to (fxp1) round-robin

НАТиш всё от ВПН пользователей

Цитата:
pass in on fxp0 inet proto tcp from (fxp0:network) to (fxp0) port = pptp flags S/SA
pass in on fxp0 inet proto gre from (fxp0:network) to (fxp0)

Разрешаешь PPTP. Но смысл, если у тебя на интерфесе fxp0 всё разрешено?

Цитата:
pass in on tun inet from <vpn_users> to ! (self) flags S/SA

На интерфейсайх tun, тоже всё разрешено т.е. это правило бесполезно.
Но я бы блочил здесь, т.к. зачем трафик запускать внутрь НАТить, а потом никуда его не пускать.
Т.е. если у тебя дефолтно всё разрешено, то надо блочить (и наоборот)
"block in quick on tun to <tim_ip>"
Правда, насколько я помню есть какие-то особенности и с дефолтным ПАСС.
А последнее вообще ненадо. до его не дойдет.

Цитата:
pass out on fxp1 from any to <tim_ip> flags S/SA

Если бы это правило работало, то под его подпадали бы всё из таблицы, за исключением 95.211.162.245.
Т.к. дефолт action block на этом интерфейсе.
Т.е. наобот от того что ты хочешь.

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Вт 30 июл, 2013 11:29 am 
Не в сети

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 888
Спасибо огромное за подробный разбор правил.
Действительно намутил :D
Сделал теперь так с учетом разбора:
Код:
 # grep -v "^#" /etc/pf.conf
set limit states 200000
set limit src-nodes 200000
set limit frags 1000000
set limit tables 20000
set limit table-entries 40000000

set skip on lo

ext_if = "fxp1"
int_if = "fxp0"
vpn_grp = "tun"
non_route_nets_inet = "{ 127.0.0.0/8, 192.168.0.0/16,\
                        172.16.0.0/12,10.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, 0.0.0.0/8, 240.0.0.0/4 }"
table <vpn_users> { 172.16.16.32/27 }
table <tim_ip> { !95.211.162.245, 46.4.68.241, 151.1.182.135, 46.105.99.126, 92.51.171.0/24, 46.165.192.0/24, 95.211.58.0/16,\
            89.185.96.0/24, 178.77.120.0/24, 202.143.0.0/16, 216.108.0.0/16, 217.172.187.0/24, 80.237.0.0/16\
            81.169.0.0/16, 87.230.0.0/16, 87.230.74.0/24 }

antispoof quick for $ext_if

block in on $ext_if
block drop in log quick on $ext_if from $non_route_nets_inet to any

pass out on $ext_if from <vpn_users> nat-to ($ext_if)
block in on $vpn_grp to <tim_ip>

все работает.
По поводу последнего правила в обоих случаях - до и теперь, с Вами не соглашусь.
Это правило будет срабатывать если пакет подходит под него ибо PF просматривает все правила, описанные в pf.conf и сработает именно последнее. Это в IPFW до него бы не дошел пакет.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Чт 01 авг, 2013 11:02 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
GreenDragon писал(а):
.....
По поводу последнего правила в обоих случаях - до и теперь, с Вами не соглашусь.
Это правило будет срабатывать если пакет подходит под него ибо PF просматривает все правила, описанные в pf.conf и сработает именно последнее. Это в IPFW до него бы не дошел пакет.

на 100% не подпишусь но (IMHO) раньше было так: если используется правило "nat pass.." то правила фильтрации не проверяются.
Насколько я понимаю, "pass .... nat-to" - тоже самое.
Да и судя по логам у Вас работает(ло) 6-е правило.

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Чт 01 авг, 2013 4:44 pm 
Не в сети

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 888
GreenX писал(а):
GreenDragon писал(а):
.....
По поводу последнего правила в обоих случаях - до и теперь, с Вами не соглашусь.
Это правило будет срабатывать если пакет подходит под него ибо PF просматривает все правила, описанные в pf.conf и сработает именно последнее. Это в IPFW до него бы не дошел пакет.

на 100% не подпишусь но (IMHO) раньше было так: если используется правило "nat pass.." то правила фильтрации не проверяются.
Насколько я понимаю, "pass .... nat-to" - тоже самое.
Да и судя по логам у Вас работает(ло) 6-е правило.

но что интересно, при отсутствии 9-го правила блокировка отсутствовала вообще


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 33 ]  На страницу Пред.  1, 2

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot], Google Feedfetcher


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика