форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Linux iptables, ipchains)
Изначальное сообщение		[ Отслеживать ]

"IPTABLES в Debian 6: как обмануть виртуальную машину?"	+/–
Сообщение от VaBank (ok) on 20-Мрт-12, 10:15
Привет. Помогите пожалуйста. Есть комп. На нем линукс. Есть две сетевухи с такими настройками: ******************************************* eth0 # не буду описывать, он в DOWN eth1 # тут белый IP, реальный не буду называть, пусть будет 10.12.1.90 255.255.255.0 10.12.1.1 eth1:0 # внутренний интерфейс без выхода в инет 192.168.60.214 255.255.255.0 ******************************************* На линухе стоит VirtualBox. На нем виртуальная WindowsXP. В настройках сети самого virtualbox стоит "Сетевой мост" и повешен он на eth1. На виртуальной машине в свойствах сетевого подключения ручками прописан адрес 192.168.60.227/255.255.255.0 Задача: винда не имеет доступа к сети интернет, все крутится в локалке. Но надо сделать так, чтобы антивирус выходил в инет. Возникла мысль прописать в настройках прокси антивируса адрес: 192.168.60.214:9090 В IPTABLES линуха записал следующее: ******************************************* ... IPTABLES="/sbin/iptables" ... #&IPTABLES -t nat -A POSTROUTING -s 192.168.60.227 -p tcp --dport 9090 -o eth1 -j MASQUERADE &IPTABLES -t nat -A POSTROUTING -s 192.168.60.227 -p tcp --dport 9090 -j MASQUERADE ******************************************* Forward естественно включен. Так вот. Я подумал что мол антивирус будет ломиться на этот порт, линуха увидит это и пропустит запрос в инет. Через tcpdump видно что пакеты идут: ******************************************* root@servats:/etc/init.d# tcpdump -i any -p host 192.168.60.227 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes 17:46:03.402762 IP 192.168.60.227.1111 > 192.168.60.214.9090: Flags [S], seq 2189222317, win 64240, options [mss 1460,nop,nop,sackOK], length 0 17:46:03.402809 IP 192.168.60.214.9090 > 192.168.60.227.1111: Flags [R.], seq 0, ack 2189222318, win 0, length 0 17:46:03.895410 IP 192.168.60.227.1111 > 192.168.60.214.9090: Flags [S], seq 2189222317, win 64240, options [mss 1460,nop,nop,sackOK], length 0 17:46:03.895441 IP 192.168.60.214.9090 > 192.168.60.227.1111: Flags [R.], seq 0, ack 1, win 0, length 0 ... 17:46:08.401739 IP 192.168.60.227.1113 > 192.168.60.214.9090: Flags [S], seq 1568141188, win 64240, options [mss 1460,nop,nop,sackOK], length 0 17:46:08.401767 IP 192.168.60.214.9090 > 192.168.60.227.1113: Flags [R.], seq 0, ack 1, win 0, length 0 ^C 18 packets captured 18 packets received by filter 0 packets dropped by kernel ******************************************* Я так понимаю пакеты не уходят на внешний адрес, они гуляют внутри сетки 192.168.60.0/24 и не попадают на внешний интерфейс 10.12.1.0/24 чтобы дальше уйти в инет. Прокси в линухе не стоит. Хотелось бы пронатить именно это дело. Как обхитрить систему?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "IPTABLES в Debian 6: как обмануть виртуальную машину?"	+/–
Сообщение от reader (ok) on 20-Мрт-12, 11:07
>[оверквотинг удален] > 192.168.60.214 > 255.255.255.0 > ******************************************* > На линухе стоит VirtualBox. На нем виртуальная WindowsXP. В настройках сети самого > virtualbox стоит "Сетевой мост" и повешен он на eth1. На виртуальной > машине в свойствах сетевого подключения ручками прописан адрес 192.168.60.227/255.255.255.0 > Задача: > винда не имеет доступа к сети интернет, все крутится в локалке. Но > надо сделать так, чтобы антивирус выходил в инет. Возникла мысль прописать > в настройках прокси антивируса адрес: 192.168.60.214:9090 если прокси нет, то кому вы их отравляете? вы не понимаете как сетевые пакеты ходят, почитайте об этом. вам нужно было на XP шлюзом указать 192.168.60.214 , и какой нибудь dns, например провайдера. >[оверквотинг удален] > win 0, length 0 > ^C > 18 packets captured > 18 packets received by filter > 0 packets dropped by kernel > ******************************************* > Я так понимаю пакеты не уходят на внешний адрес, они гуляют внутри > сетки 192.168.60.0/24 и не попадают на внешний интерфейс 10.12.1.0/24 чтобы дальше > уйти в инет. Прокси в линухе не стоит. Хотелось бы пронатить > именно это дело. Как обхитрить систему?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "IPTABLES в Debian 6: как обмануть виртуальную машину?"	+/–
	Сообщение от VaBank (ok) on 20-Мрт-12, 11:12
	> если прокси нет, то кому вы их отравляете? вы не понимаете как > сетевые пакеты ходят, почитайте об этом. > вам нужно было на XP шлюзом указать 192.168.60.214 , и какой нибудь > dns, например провайдера. Так мне не нужен инет на самой виртуальной винде. Надо чтобы только антивирус ходил в инет. А винда даже не знала о существовании инета, поэтому и шлюз не прописывал в настройках сетевого подключения у винды.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "IPTABLES в Debian 6: как обмануть виртуальную машину?"	+/–
	Сообщение от reader (ok) on 20-Мрт-12, 11:15
	>> если прокси нет, то кому вы их отравляете? вы не понимаете как >> сетевые пакеты ходят, почитайте об этом. >> вам нужно было на XP шлюзом указать 192.168.60.214 , и какой нибудь >> dns, например провайдера. > Так мне не нужен инет на самой виртуальной винде. Надо чтобы только > антивирус ходил в инет. А винда даже не знала о существовании > инета, поэтому и шлюз не прописывал в настройках сетевого подключения у > винды. значит поднимайте прокси, иначе кто будет принимать то что вы отправляете на 192.168.60.214:9090
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "IPTABLES в Debian 6: как обмануть виртуальную машину?"	+/–
	Сообщение от VaBank (ok) on 20-Мрт-12, 11:22
	> значит поднимайте прокси, иначе кто будет принимать то что вы отправляете на > 192.168.60.214:9090 А без прокси значит никак не перенаправить трафик в инет? Только если шлюз на самой винде прописать и антивирусом без прокси выходить?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "IPTABLES в Debian 6: как обмануть виртуальную машину?"	+/–
	Сообщение от reader (ok) on 20-Мрт-12, 11:27
	>> значит поднимайте прокси, иначе кто будет принимать то что вы отправляете на >> 192.168.60.214:9090 > А без прокси значит никак не перенаправить трафик в инет? Только если > шлюз на самой винде прописать и антивирусом без прокси выходить? соединение с серверами через прокси и без прокси происходит по разному, соответственно если указываете работать через прокси, то нужен прокси, не хотите прокси указывайте шлюз и dns
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "IPTABLES в Debian 6: как обмануть виртуальную машину?"	+/–
	Сообщение от VaBank (ok) on 20-Мрт-12, 11:32
	> соединение с серверами через прокси и без прокси происходит по разному, соответственно > если указываете работать через прокси, то нужен прокси, не хотите прокси > указывайте шлюз и dns Я понял. Придется делать шлюз и DNS, тогда надо ставить Firewall и рубить всех на корню :(
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	6. "IPTABLES в Debian 6: как обмануть виртуальную машину?"	+/–
	Сообщение от Andrey Mitrofanov on 20-Мрт-12, 11:29
	>> значит поднимайте прокси, иначе кто будет принимать то что вы отправляете на >> 192.168.60.214:9090 > А без прокси значит никак Вариантов куууча. Ток ты не понимаешь же. Первый вариант - в первом ответе: шлюз и DNS. Ну, прокси, может быть. Подними свой сервер обновлений, "без интернета". Если осилишь.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	8. "IPTABLES в Debian 6: как обмануть виртуальную машину?"	+/–
	Сообщение от VaBank (ok) on 20-Мрт-12, 11:33
	> Подними свой сервер обновлений, "без интернета". Если осилишь. У меня антивирус Avast. Для поднятия зеркала обновлений требуется другая прога, а она продается за денежки. Так что зеркало авасту на халяву не сделать.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "IPTABLES в Debian 6: как обмануть виртуальную машину?"	+/–
Сообщение от PavelR (ok) on 20-Мрт-12, 12:22
>[оверквотинг удален] > ******************************************* > eth0 > # не буду описывать, он в DOWN > eth1 > # тут белый IP, реальный не буду называть, пусть будет > 10.12.1.90 > 255.255.255.0 > 10.12.1.1 > eth1:0 > # внутренний интерфейс без выхода в инет Во первых, это не интерфейс, во вторых - "без выхода в инет" к нему не применимо. > На линухе стоит VirtualBox. На нем виртуальная WindowsXP. В настройках сети самого > virtualbox стоит "Сетевой мост" и повешен он на eth1. На виртуальной > машине в свойствах сетевого подключения ручками прописан адрес 192.168.60.227/255.255.255.0 А нафига "Сетевой мост"? Объясните. > Задача: > винда не имеет доступа к сети интернет, все крутится в локалке. Но > надо сделать так, чтобы антивирус выходил в инет. Возникла мысль прописать > в настройках прокси антивируса адрес: 192.168.60.214:9090 > Forward естественно включен. Так вот. Я подумал что мол антивирус будет ломиться > на этот порт, линуха увидит это и пропустит запрос в инет. начальная мысль верна. Реализация несколько не верна. Надо: IPTABLES -t nat -I PREROUTING -s 192.168.60.227 -p tcp --dport 9090 -j DNAT --to-destination=5.6.7.8:91011 Тогда пакеты _до_ маршрутизации будут изменены, и потом будут направлены "куда надо". Исходное правило также необходимо: IPTABLES -t nat -I POSTROUTING -s 192.168.60.227 -j MASQUERADE // ну или там по вкусу. Указанный 5.6.7.8:91011 это IP + порт реально работающего сервера обновлений. Возможно, в виртуалке придется прописать в hosts подмену вида updateserver.company.tld 192.168.60.227 чтобы антивирус слал корректные заголовки Host HTTP-запроса. //Да, кстати, если сервер обновляется по HTTP можно поднять проксирование на nginx.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема