Tud valaki olyan modulról iptables/netfilter-hez, amely segítségével szó szerint programozni lehet a tűzfalat?
Jelenleg ugye statikus szabályokat lehet felvenni. De olyat már nem lehet csinálni, hogyha egy nem előre megadott tartományba eső IP címmel találkozik, akkor arra egy szabályt hozzon létre.
Tudom hogy IDS-ekkel ezt szépen meg lehet csinálni, csak egy egyszerű feladatért egy IDS-t üzemeltetni nem szeretnék, valamint PCAP-et sem szeretnék hegesztgetni. Meg amúgy is jól jönne egy ilyen "beágyazott nyelv eventekkel".
- 1400 megtekintés
Hozzászólások
ganyolva ezt ugy oldanam meg hogy logolnam az adott ip tartomanyon kivuli gep kapcsolodasat es a logot folyamatosan figyelve a bejovo figyelmeztetes hatasara beillesztenek egy tilto szabalyt. tudom hogy ennek a sebessege joval kisebb mintha az iptables inditana az esemenykezelot de elvileg mukodokepes
udv Zoli
- A hozzászóláshoz be kell jelentkezni
Nem a feladat megoldása érdekel, hanem az általános probléma amit felvet.
Egyébként én is így csináltam, egy iptables -A FORWARD -j ULOG rule-lal.
--
- Miért jó a mazochistának?
- Mert ha rossz, akkor jó. Ha meg jó, akkor rossz, tehát jó.
- A hozzászóláshoz be kell jelentkezni
ehhez az iptables/netfilter fejlesztoi listan kellene kerdezoskodni sztem
udv Zoli
- A hozzászóláshoz be kell jelentkezni
Persze, csak még mielőtt értékes perceket lopok tőlük, gondoltam körbeérdeklődöm :)
--
- Miért jó a mazochistának?
- Mert ha rossz, akkor jó. Ha meg jó, akkor rossz, tehát jó.
- A hozzászóláshoz be kell jelentkezni
Én megnézném a netlink-et:
http://linux-net.osdl.org/index.php/Netlink
http://www.netfilter.org/projects/libnfnetlink/
--
hup.user.js
- A hozzászóláshoz be kell jelentkezni
Megnéztem és nekem úgy tűnik hogy ez alkalmas eszköz lenne kifejleszteni azt amire eredetileg rákérdeztem :) Olyasmire gondoltam mint egy DTrace script csak tűzfalra.
--
- Miért jó a mazochistának?
- Mert ha rossz, akkor jó. Ha meg jó, akkor rossz, tehát jó.
- A hozzászóláshoz be kell jelentkezni
libipq?
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Ilyesmit en ugy oldok meg, hogy vagy -m recent, vagy ha extrabb kell, akkor ipset (csak ehhez peccselni kell a kernelt, mig az elobbi mar egy ideje bennevan).
Ezzel bele tudsz irkalni IP tablakba (uj) cimeket (akar netfilter szabalyokkal, akar userspace-bol), aztan ezekkel azt kezdesz amit akarsz. Nekem pl. ha egy IP-rol tul surun probalnak connectelgetni, vagy bizonyos tilos portokra connectelnek akkor bekerulnek egy ilyen feketelistara aztan ez alapjan olyan dolgokat is tudok szurni onnan amit amugy nem szurnek ismeretlen IP-kre...
Ezzel kb lefedtunk a programozas adattarolas reszet. Elagazasokra meg csinalhatsz sajat liskakat, sot van netfilterben (akar felteteles) call/goto is...
En egyebkent irtam pythonban scriptet ami figyeli az ismeretlen gepeket, mert en MAC cim szerint akarom kovetni oket, azt meg eleg maceras meg netfilterrel...
A'rpi
- A hozzászóláshoz be kell jelentkezni
Ez jó, ennek utánanézek. (Bár nem életem álmának tűnik még, de a semminél eddig ez a legjobb ;))
Viszont MAC cím alapján követni gépeket mi értelme van? A LAN-on még értem, de azon túl? A router-t csak nem szűröd ki :D
--
- Miért jó a mazochistának?
- Mert ha rossz, akkor jó. Ha meg jó, akkor rossz, tehát jó.
- A hozzászóláshoz be kell jelentkezni