forum.opennet.ru

Составление сообщения

Исходное сообщение

"Перенаправление трафика (forwarding)"
Отправлено WeSTMan, 21-Апр-20 22:05

> Замечательно, значит, все в Интернете в разных сетях.
Да
> Это вы делаете с помощью правила DNAT, которое вы привели.
Да
> Не думаю что оно дропается именно сетевой картой, если интересно, можно покопать.
Возможно я и ошибаюсь, но в ifconfig на сетевом интерфейсе стоит значение напротив dropped - столько пакетов, сколько я послал UDP.

> Это ожидаемое поведение, что пакет от сервера фильтрации к обычному серверу, с
> адресом отправителя клиента, не доходит. Такой пакет имеет все признаки попытки
> атаки IP spoofing, его мог зарезать кто угодно по дороге, и
> правильно сделал.
Я не желаю использовать атаку IP spoofing. Если её блокируют, может создать между серверами что-то на подобии VPN?
> Какая обратная цепочка? Вы хотите чтобы ответ от обычного сервера с адресом
> получателя клиента тоже проходил через сервер фильтрации? Не вижу как это
> можно сделать, не вмешиваюсь в работу глобальной маршрутизации, как Ростелеком давеча.
Ну тут на самом деле 2 варианта. Либо передавать ответ через сервер и ставить IP адрес источника - сервер фильтрации. Или передать серверу фильтрации, чтобы он сам поставил и отдал клиенту.
Задержка меньше между Клиент - срв фильтрации - сервер, нежели клиент - сервер. Вероятно из-за маршрутов. Но не суть. Идея хорошая.

> В принципе ваш Ubuntu можно заставить выпихивать этот пакет наружу, гуглите как
> проводить атаку IP Spoofing по UDP. Но я бы не расчитывал
> на то что он дойдёт до обычного сервера.
Я являюсь полным владельцем физического сервера, исключение - провайдер сети.
> Даже если дойдёт, это дыра в безопасности, по крайней мере у вашего
> ISP, которую рано или поздно залатают.
> Поставьте сервер фильтрации в одной и той же локалке где клиент, с
> приватными адресами, и пусть он подменяет но только адрес получателя но
> и адрес отправителя. Тогда вся маршрутизация будет работать "нормально", а обычный
> сервер подмены не заметит т.к. сервер фильтрации и клиент всё равно
> имеют один и тот-же публичный адрес.
К сожалению, не могу поставить, они в разных местах. Думаю что-то типа VPN сделать.
Клиент может быть любой человек на планете с любым IP.
> Там можт быть нюанс, если пакет прошёл forwarding, но оказывается что egress
> interface одна и та-же что и ingress interface, система норовит не
> пересылать пакет на шлюз, а ответить пакетом ICMP Redirect. Не всегда
> так, зависит от реализации. Кстати, возможно, именно это вы интерпретируете как
> "дропается сетевой картой".
Я не могу Вам этого сказать. Уточните более подробную информацию - отвечу.
Я хочу реализовать данную топологию из-за защиты, чтобы злоумышленник не знал реального IP адреса сервера. Плюсом - сервер фильтрации имеет большую пропускную способность, чем сервер. И я уверен, что всякие дурочки не смогут забить канал. Не говорю, конечно, о целенаправленных атаках, где море трафика, типо бот нет сети.
Надеюсь продолжим дальнейшее общение.

Исходное сообщение
"Перенаправление трафика (forwarding)" Отправлено WeSTMan, 21-Апр-20 22:05
> Замечательно, значит, все в Интернете в разных сетях. Да > Это вы делаете с помощью правила DNAT, которое вы привели. Да > Не думаю что оно дропается именно сетевой картой, если интересно, можно покопать. Возможно я и ошибаюсь, но в ifconfig на сетевом интерфейсе стоит значение напротив dropped - столько пакетов, сколько я послал UDP. > Это ожидаемое поведение, что пакет от сервера фильтрации к обычному серверу, с > адресом отправителя клиента, не доходит. Такой пакет имеет все признаки попытки > атаки IP spoofing, его мог зарезать кто угодно по дороге, и > правильно сделал. Я не желаю использовать атаку IP spoofing. Если её блокируют, может создать между серверами что-то на подобии VPN? > Какая обратная цепочка? Вы хотите чтобы ответ от обычного сервера с адресом > получателя клиента тоже проходил через сервер фильтрации? Не вижу как это > можно сделать, не вмешиваюсь в работу глобальной маршрутизации, как Ростелеком давеча. Ну тут на самом деле 2 варианта. Либо передавать ответ через сервер и ставить IP адрес источника - сервер фильтрации. Или передать серверу фильтрации, чтобы он сам поставил и отдал клиенту. Задержка меньше между Клиент - срв фильтрации - сервер, нежели клиент - сервер. Вероятно из-за маршрутов. Но не суть. Идея хорошая. > В принципе ваш Ubuntu можно заставить выпихивать этот пакет наружу, гуглите как > проводить атаку IP Spoofing по UDP. Но я бы не расчитывал > на то что он дойдёт до обычного сервера. Я являюсь полным владельцем физического сервера, исключение - провайдер сети. > Даже если дойдёт, это дыра в безопасности, по крайней мере у вашего > ISP, которую рано или поздно залатают. > Поставьте сервер фильтрации в одной и той же локалке где клиент, с > приватными адресами, и пусть он подменяет но только адрес получателя но > и адрес отправителя. Тогда вся маршрутизация будет работать "нормально", а обычный > сервер подмены не заметит т.к. сервер фильтрации и клиент всё равно > имеют один и тот-же публичный адрес. К сожалению, не могу поставить, они в разных местах. Думаю что-то типа VPN сделать. Клиент может быть любой человек на планете с любым IP. > Там можт быть нюанс, если пакет прошёл forwarding, но оказывается что egress > interface одна и та-же что и ingress interface, система норовит не > пересылать пакет на шлюз, а ответить пакетом ICMP Redirect. Не всегда > так, зависит от реализации. Кстати, возможно, именно это вы интерпретируете как > "дропается сетевой картой". Я не могу Вам этого сказать. Уточните более подробную информацию - отвечу. Я хочу реализовать данную топологию из-за защиты, чтобы злоумышленник не знал реального IP адреса сервера. Плюсом - сервер фильтрации имеет большую пропускную способность, чем сервер. И я уверен, что всякие дурочки не смогут забить канал. Не говорю, конечно, о целенаправленных атаках, где море трафика, типо бот нет сети. Надеюсь продолжим дальнейшее общение.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> Замечательно, значит, все в Интернете в разных сетях.

> Да

>> Это вы делаете с помощью правила DNAT, которое вы привели.

> Да

>> Не думаю что оно дропается именно сетевой картой, если интересно, можно покопать.

> Возможно я и ошибаюсь, но в ifconfig на сетевом интерфейсе стоит значение 
> напротив dropped - столько пакетов, сколько я послал UDP.

>> Это ожидаемое поведение, что пакет от сервера фильтрации к обычному серверу, с 
>> адресом отправителя клиента, не доходит. Такой пакет имеет все признаки попытки 
>> атаки IP spoofing, его мог зарезать кто угодно по дороге, и 
>> правильно сделал.

> Я не желаю использовать атаку IP spoofing. Если её блокируют, может создать 
> между серверами что-то на подобии VPN?

>> Какая обратная цепочка? Вы хотите чтобы ответ от обычного сервера с адресом 
>> получателя клиента тоже проходил через сервер фильтрации? Не вижу как это 
>> можно сделать, не вмешиваюсь в работу глобальной маршрутизации, как Ростелеком давеча.

> Ну тут на самом деле 2 варианта. Либо передавать ответ через сервер 
> и ставить IP адрес источника - сервер фильтрации. Или передать серверу 
> фильтрации, чтобы он сам поставил и отдал клиенту.
> Задержка меньше между Клиент - срв фильтрации - сервер, нежели клиент - 
> сервер. Вероятно из-за маршрутов. Но не суть. Идея хорошая.

>> В принципе ваш Ubuntu можно заставить выпихивать этот пакет наружу, гуглите как 
>> проводить атаку IP Spoofing по UDP. Но я бы не расчитывал 
>> на то что он дойдёт до обычного сервера.

> Я являюсь полным владельцем физического сервера, исключение - провайдер сети.

>> Даже если дойдёт, это дыра в безопасности, по крайней мере у вашего 
>> ISP, которую рано или поздно залатают.
>> Поставьте сервер фильтрации в одной и той же локалке где клиент, с 
>> приватными адресами, и пусть он подменяет но только адрес получателя но 
>> и адрес отправителя. Тогда вся маршрутизация будет работать "нормально", а обычный 
>> сервер подмены не заметит т.к. сервер фильтрации и клиент всё равно 
>> имеют один и тот-же публичный адрес.

> К сожалению, не могу поставить, они в разных местах. Думаю что-то типа 
> VPN сделать.
> Клиент может быть любой человек на планете с любым IP.

>> Там можт быть нюанс, если пакет прошёл forwarding, но оказывается что egress 
>> interface одна и та-же что и ingress interface, система норовит не 
>> пересылать пакет на шлюз, а ответить пакетом ICMP Redirect. Не всегда 
>> так, зависит от реализации. Кстати, возможно, именно это вы интерпретируете как 
>> "дропается сетевой картой".

> Я не могу Вам этого сказать. Уточните более подробную информацию - отвечу.

> Я хочу реализовать данную топологию из-за защиты, чтобы злоумышленник не знал реального 
> IP адреса сервера. Плюсом - сервер фильтрации имеет большую пропускную способность, 
> чем сервер. И я уверен, что всякие дурочки не смогут забить 
> канал. Не говорю, конечно, о целенаправленных атаках, где море трафика, типо 
> бот нет сети.
> Надеюсь продолжим дальнейшее общение.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру