BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 33 ]  На страницу Пред.  1, 2
Автор Сообщение
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Вт 23 июл, 2013 11:06 am 
Не в сети

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 885
хорошо если это так, то почему к !95.211.162.245 пакеты отправляются, а к 95.211.58.111 из той же таблицы, нет
вот от ВПН клиента:
Код:
C:\Users\yumi.ZIET>ping 95.211.162.245

Обмен пакетами с 95.211.162.245 по с 32 байтами данных:
Ответ от 95.211.162.245: число байт=32 время=45мс TTL=56
Ответ от 95.211.162.245: число байт=32 время=45мс TTL=56
Ответ от 95.211.162.245: число байт=32 время=45мс TTL=56
Ответ от 95.211.162.245: число байт=32 время=45мс TTL=56

Статистика Ping для 95.211.162.245:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 45мсек, Максимальное = 45 мсек, Среднее = 45 мсек

C:\Users\yumi.ZIET>ping 95.211.58.111

Обмен пакетами с 95.211.58.111 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 95.211.58.111:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Вт 23 июл, 2013 4:24 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
что то я запутался, ты ж хотел 95.211.162.245 заблокировать.

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Вт 23 июл, 2013 4:29 pm 
Не в сети

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 885
нет, мне надо было изначально заблокировать все IPиспользуемые TimViewer-om, они перечислены в таблице, и открыть при этом ithappens.ru, который принадлежит одной из блокируемых подсетей
когда мне это удалось правилом с "pass" вот это и обескуражило
вот вывод pfctl -sr последний вариант :D
Код:
block drop in quick on ! fxp1 inet from 188.231.xxx.xxx/25 to any
block drop in quick inet from 188.231.xxx.xxx to any prio 0
block drop in quick on fxp1 inet6 from fe80::2d0:b7ff:fe16:8b6 to any prio 0
pass all flags S/SA
block drop in on fxp1 all
block drop in log quick on fxp1 inet from <__automatic_971e3ec4_0> to any
pass out on fxp1 from <vpn_users> to any flags S/SA nat-to (fxp1) round-robin
pass in on fxp0 inet proto tcp from (fxp0:network) to (fxp0) port = pptp flags S/SA
pass in on fxp0 inet proto gre from (fxp0:network) to (fxp0)
pass in on tun inet from <vpn_users> to ! (self) flags S/SA
pass out on fxp1 from any to <tim_ip> flags S/SA

# pfctl -t tim_ip -T show
   46.4.68.241
   46.105.99.126
   46.165.192.0/24
   80.237.0.0/16
   81.169.0.0/16
   87.230.0.0/16
   87.230.74.0/24
   89.185.96.0/24
   92.51.171.0/24
   95.211.0.0/16
  !95.211.162.245
   151.1.182.135
   178.77.120.0/24
   202.143.0.0/16
   216.108.0.0/16
   217.172.187.0/24


вот до кучи еще вывод tcpdump на одном из vpn соединений:
Код:
 # tcpdump -nnvvS -i tun0
tcpdump: listening on tun0, link-type LOOP
15:38:38.943835 172.16.16.45 > 95.211.162.245: icmp: echo request (id:0400 seq:256) (ttl 128, id 37496, len 60)
15:38:38.990006 95.211.162.245 > 172.16.16.45: icmp: echo reply (id:0400 seq:256) (ttl 56, id 28531, len 60)
15:38:39.946985 172.16.16.45 > 95.211.162.245: icmp: echo request (id:0400 seq:512) (ttl 128, id 37499, len 60)
15:38:39.991225 95.211.162.245 > 172.16.16.45: icmp: echo reply (id:0400 seq:512) (ttl 56, id 28532, len 60)

15:41:39.134132 172.16.16.45 > 95.211.58.111: icmp: echo request (id:0400 seq:768) (ttl 128, id 38293, len 60)
15:41:44.265362 172.16.16.45 > 95.211.58.111: icmp: echo request (id:0400 seq:1024) (ttl 128, id 38317, len 60)
15:41:49.765034 172.16.16.45 > 95.211.58.111: icmp: echo request (id:0400 seq:1280) (ttl 128, id 38339, len 60)

причем при таких правилах сам роутер пингует оба IP


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Ср 24 июл, 2013 12:44 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
Да уж, полная хрень, не должно быть такого.
Попробуй выяснить через какое правило выходит трафик к 95.211.162.245. т.е.:
1. пингуешь (создается state)
2. смотришь pfctl -vvss и ищешь номер правила
3. ищешь правило pfctl -vvsr

P.S. еще был какой-то ньюанс с "flags S/SA" - он же только к TCP применим.

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Ср 24 июл, 2013 12:51 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
логичнее было бы использовать block quick to <tim_ip> или pass quick to ! <tim_ip>

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Ср 24 июл, 2013 3:30 pm 
Не в сети

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 885
block quick to <tim_ip> я пробовал, блочится все, что в таблице, причем и !IP.
вот правила по которым проходят пакеты к 95.211.162.245:
Код:
all icmp 95.211.162.245:8 <- 172.16.16.45:1024       0:0
   age 00:00:01, expires in 00:00:10, 2:2 pkts, 120:120 bytes, rule 9
   id: 51e504c000d337ef creatorid: d52ff8c4
all icmp 188.231.212.132:8352 (172.16.16.45:1024) -> 95.211.162.245:8       0:0
   age 00:00:01, expires in 00:00:10, 2:2 pkts, 120:120 bytes, rule 6


Код:
@6 pass out on fxp1 from <vpn_users:1> to any flags S/SA nat-to (fxp1:2) round-robin
@9 pass in on tun inet from <vpn_users:1> to ! (self:4) flags S/SA


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Чт 25 июл, 2013 12:48 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
тут у тебя еще новее синтаксис, я nat-to нигде не использовал... (а теперь наверное и не придется, т.к. ушел из "сетивиков" в "базы")
думаю есть особенность обработки этих правил.
совсем испоганили... ну какой SYN ASK в icmp ?

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Пт 26 июл, 2013 2:17 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
pfctl -sn покажи.
Думается мне что если взять по аналогии прохождение трафика через nat pass - правило, то у тебя дальше не пакет не фильтруется.

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Пт 26 июл, 2013 2:49 pm 
Не в сети

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 885
Код:
 # pfctl -sn
pfctl: Unknown show modifier 'n'
usage: pfctl [-deghnqrvz] [-a anchor] [-D macro=value] [-F modifier]
        [-f file] [-i interface] [-K host | network]
        [-k host | network | label | id] [-L statefile] [-o level] [-p device]
        [-S statefile] [-s modifier [-R id]] [-t table -T command [address ...]]
        [-x level]
:D
в предверии следующего вопроса
Код:
 # uname -rvs
OpenBSD 5.0 GENERIC#43


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Пн 29 июл, 2013 10:02 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
Сел подумал...
Цитата:
block drop in quick on ! fxp1 inet from 188.231.xxx.xxx/25 to any
block drop in quick inet from 188.231.xxx.xxx to any prio 0
block drop in quick on fxp1 inet6 from fe80::2d0:b7ff:fe16:8b6 to any prio 0

ну это антиспуф х.с.н.

Цитата:
pass all flags S/SA

дефолтный action у ПФ и так "пасс", т.е. оно не надо здесь.

Цитата:
block drop in on fxp1 all
block drop in log quick on fxp1 inet from <__automatic_971e3ec4_0> to any

Ставишь дефолтный action block на внешнем интерфейсе.
Я бы поставил "block drop log all" для отладки. (удобно смотреть на pflog что заблочилось(ну или pass если не использовать quick))

Цитата:
pass out on fxp1 from <vpn_users> to any flags S/SA nat-to (fxp1) round-robin

НАТиш всё от ВПН пользователей

Цитата:
pass in on fxp0 inet proto tcp from (fxp0:network) to (fxp0) port = pptp flags S/SA
pass in on fxp0 inet proto gre from (fxp0:network) to (fxp0)

Разрешаешь PPTP. Но смысл, если у тебя на интерфесе fxp0 всё разрешено?

Цитата:
pass in on tun inet from <vpn_users> to ! (self) flags S/SA

На интерфейсайх tun, тоже всё разрешено т.е. это правило бесполезно.
Но я бы блочил здесь, т.к. зачем трафик запускать внутрь НАТить, а потом никуда его не пускать.
Т.е. если у тебя дефолтно всё разрешено, то надо блочить (и наоборот)
"block in quick on tun to <tim_ip>"
Правда, насколько я помню есть какие-то особенности и с дефолтным ПАСС.
А последнее вообще ненадо. до его не дойдет.

Цитата:
pass out on fxp1 from any to <tim_ip> flags S/SA

Если бы это правило работало, то под его подпадали бы всё из таблицы, за исключением 95.211.162.245.
Т.к. дефолт action block на этом интерфейсе.
Т.е. наобот от того что ты хочешь.

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Вт 30 июл, 2013 11:29 am 
Не в сети

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 885
Спасибо огромное за подробный разбор правил.
Действительно намутил :D
Сделал теперь так с учетом разбора:
Код:
 # grep -v "^#" /etc/pf.conf
set limit states 200000
set limit src-nodes 200000
set limit frags 1000000
set limit tables 20000
set limit table-entries 40000000

set skip on lo

ext_if = "fxp1"
int_if = "fxp0"
vpn_grp = "tun"
non_route_nets_inet = "{ 127.0.0.0/8, 192.168.0.0/16,\
                        172.16.0.0/12,10.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, 0.0.0.0/8, 240.0.0.0/4 }"
table <vpn_users> { 172.16.16.32/27 }
table <tim_ip> { !95.211.162.245, 46.4.68.241, 151.1.182.135, 46.105.99.126, 92.51.171.0/24, 46.165.192.0/24, 95.211.58.0/16,\
            89.185.96.0/24, 178.77.120.0/24, 202.143.0.0/16, 216.108.0.0/16, 217.172.187.0/24, 80.237.0.0/16\
            81.169.0.0/16, 87.230.0.0/16, 87.230.74.0/24 }

antispoof quick for $ext_if

block in on $ext_if
block drop in log quick on $ext_if from $non_route_nets_inet to any

pass out on $ext_if from <vpn_users> nat-to ($ext_if)
block in on $vpn_grp to <tim_ip>

все работает.
По поводу последнего правила в обоих случаях - до и теперь, с Вами не соглашусь.
Это правило будет срабатывать если пакет подходит под него ибо PF просматривает все правила, описанные в pf.conf и сработает именно последнее. Это в IPFW до него бы не дошел пакет.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Чт 01 авг, 2013 11:02 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 23 янв, 2004 1:07 pm
Сообщения: 581
Откуда: Yaroslavl
GreenDragon писал(а):
.....
По поводу последнего правила в обоих случаях - до и теперь, с Вами не соглашусь.
Это правило будет срабатывать если пакет подходит под него ибо PF просматривает все правила, описанные в pf.conf и сработает именно последнее. Это в IPFW до него бы не дошел пакет.

на 100% не подпишусь но (IMHO) раньше было так: если используется правило "nat pass.." то правила фильтрации не проверяются.
Насколько я понимаю, "pass .... nat-to" - тоже самое.
Да и судя по логам у Вас работает(ло) 6-е правило.

_________________
Я одну мечту скрывая нежу
Что я сердцем чист
Но и я кого нибудь зарежу
Под осенний свист


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Блокирование TeamViewer
СообщениеДобавлено: Чт 01 авг, 2013 4:44 pm 
Не в сети

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 885
GreenX писал(а):
GreenDragon писал(а):
.....
По поводу последнего правила в обоих случаях - до и теперь, с Вами не соглашусь.
Это правило будет срабатывать если пакет подходит под него ибо PF просматривает все правила, описанные в pf.conf и сработает именно последнее. Это в IPFW до него бы не дошел пакет.

на 100% не подпишусь но (IMHO) раньше было так: если используется правило "nat pass.." то правила фильтрации не проверяются.
Насколько я понимаю, "pass .... nat-to" - тоже самое.
Да и судя по логам у Вас работает(ло) 6-е правило.

но что интересно, при отсутствии 9-го правила блокировка отсутствовала вообще


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 33 ]  На страницу Пред.  1, 2

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Majestic-12 [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика