форумы  рассылка  download Перейти на новую версию сайта:
www.slackware.ru
Искать    где:    






    
slackware.ru > форумы > Безопасность 55 (0)
Безопасность
 добавить тему
показать как ленту 
скрыть содержимое сообщений 
 Как привязать IP к Mac адресу на Slackware 12.0?
   Aganemnam 2008-01-02 14:26:02 [3004] ответов 3
  Такая проблема ....
Сеть с выходом в инет. Как и везде у меня стоят ограничения на скорость подключения. Мне надо сделать так чтоб пользователи сети не могли менять IP(они этим так балуюься)!
Кароче к сути дела....

есть некий сервер с 2 Eth- адаптерами..
(eth1 & eth0)
надо сделать так чтоб умники из eth0 (локальная сеть) не
могли менять IP адреса .... пробовал сделать arp-ом тока
толи руки кривые вышли толи что то другое ..... кароче не
получилось! прошу вашей помощи! если кто с этим сталкивался
помагите плииииз!

Вот данные каторые у меня есть:
Сервер:
eth0 ip: 192.168.0.254 netmask 255.255.255.0 (лок сеть)
eth1 ip: статестический(реальный) netmask (пока еще не известен)

надо сделать так чтоб в сети 192,168,0,0 - 192,168,0,100 не
моги менять IP !!!Сервер НЕподдерживает DHCP!Значит адреса
распределяются статичтически! Остальные адреса я на
файрволе прописал как DENY! есть файл (БД) с IP и MAC(/etc/
ethr.local)! Помагите плиииииз!! Спасибо за внимание!
 ответить
   
 Re: Как привязать IP к Mac адресу на Slackware 12.0?
   SnoWLight 2008-01-02 23:32:22 [3005] ответов 2
  Можно сделать пятью способами:
0 осилить DHCP (для привязки к mac) (для обхода достаточно поменять mac-адрес)
1 Фильтрация в iptables через mac-адреса (для обхода достаточно поменять mac-адрес) - очень просто iptables -A FORWARD -s 192.168.0.1 -m mac --mac-source 00:65:3F:ED:12:98 -j ACCEPT
http://phys.lan.krasu.ru/viewdoc.php?id=62&folder=70
2 Каждый порт на свитче в отдельный VLAN и т.н. tagget-vlan на сервере (описывать не буду - имхо бред)
3 port security - фильтрация по mac на свитче
http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=4&m=139817
4 vpn
http://www.opennet.ru/docs/RUS/vpn_solution/

1 способ самый быстрый 4 самый лучший

Удачи!
 ответить
   
 RE: Как привязать IP к Mac адресу на Slackware 12.0?
   Aganemnam 2008-01-03 15:51:06 [3006] ответов 1
  Спасибо Больщое за советы и ссылки!!
Постараюсь сделать 4 или 2 !! так как на работе есть Свичь!
 ответить
   
 Re: RE: Как привязать IP к Mac адресу на Slackware 12.0?
   SnoWLight 2008-01-04 11:56:54 [3010] ответов 0
  port security тогда делай. Способ с VLAN чисто теоретический
 ответить
 Clamav+samba
   drew 2007-08-22 04:57:52 [2935] ответов 0
  на 12 слаке на компилится модуль самбы и clamav
что делать где искать?
 ответить
 ipsec-openswan-slackware
   Almaty 2006-01-30 19:55:05 [2640] ответов 1
  Решил перейти на Слаку.. а точнее решил собрать ipsec на слаке...
Кто-нибуть из присутствуюших делал такое?
ipsec опенсвановский....
есть РПМ и есть так же Тар.гз
пробую как описано с тар.гз tar zxvf openswan-2.4.4.tar.gz
команда прошла успешно.. далее идет команда
make install выдал вот это
/usr/src/linux-2.4.31/openswan-2.4.4/packaging/utils/manlink: line 21: awk: command not found
и дальше ругань
cc: /usr/src/linux-2.4.31/openswan-2.4.4/lib/libopenswan/liboswlog.a: No such file or directory
и еще хуже
/usr/src/linux-2.4.31/openswan-2.4.4/linux/include/openswan.h:165: error: syntax error before '}' token
/usr/src/linux-2.4.31/openswan-2.4.4/linux/include/openswan.h:165: warning: type defaults to `int' in declaration of `ip_said'
что делать та.... куда копать?
эт мое первое общение со слакой....
 ответить
   
 Re: ipsec-openswan-slackware
   Yoda 2006-10-15 13:24:22 [2763] ответов 0
  Почитай внимательно редми к пакету.
По идее нельзя сразу make install.

Если у тебя сорсовый пакет то последовательность команд обычно такая (после распаковки).

./conigure
make
make install

Если есть бинарник для Слаки (*.tar.tgz) то надо юзать installpkg.
 ответить
 Исправления дыр в ядре 2.4.28
   elg 2004-12-21 14:06:42 [2324] ответов 0
  Доброго времени суток всем.
В slackware-current вышло обновление ядра 2.4.28. А кто-нибудь знает, в него
вошли исправления последних дыр (igmp_DoS и scm_DoS)? А то я ядро пока
не качал.
 ответить
 Алгоритм шифрования
   splash 2004-10-18 17:44:36 [2158] ответов 1
  Каким образом узнать/поменять алгоритм шифрования в системе?
 ответить
   
 Re: Алгоритм шифрования
   Slak 2004-10-18 19:42:06 [2159] ответов 0
  Где и чего шифруется?
Если SSH - как нить сам, мануалы почитай, там есть выбор.
Если Apache - там, однако, тоже есть где поковырять.
Если passwd, то геморно (но через PAM - легко).
 ответить
 Как открыть порт на проксе?
   Wolf111 2004-10-13 14:13:54 [2148] ответов 0
  Господа, кто-нибудь может подсказать как открыть на прокси (стоит Linux) порт?

Конкретно, мне надо для машины IP 192.168.100.100 (юзер такой-то) открыть порт 26000 на IN/OUT. Соединение с самим прокси идет через стандартный порт 3128.
Причем я не знаю открыт ли на самом прокси этот порт с таким же HTTP_Connect методом.

Может подскажите порядок и сами команды. Буду очень благодарен, а то сам в линуксе не бум-бум.
 ответить
 Запуск скрипта для iptables при загрузке.
   Tolstyj 2004-10-03 21:34:22 [2122] ответов 5
  Bмеется скрипт для bash с настройками для фаервола, куда его воткнуть, чтобы он выполнялся при загрузке в нужное (правильное) время при загрузке системы?
Дистрибутив Slackware 10.
 ответить
   
 Re: Запуск скрипта для iptables при загрузке.
   Gluk 2004-10-04 14:12:51 [2128] ответов 1
  в rc.local.
 ответить
   
 Re: Запуск скрипта для iptables при загрузке
   Tolstyj 2004-10-09 19:29:42 [2137] ответов 0
  Спасибо, все получилось, только есть вопрос.
Раньше я, для пробы, впихнул запуск этого скрипта в
/etc/initd, и он запускался до того как запустится ssh и samba, а теперь после, это не критично?
 ответить
 Re: Запуск скрипта для iptables при загрузке.
   Vikerius 2004-10-04 15:30:15 [2129] ответов 1
  а может кто нить поконкретней расскажет как это сделать! ато у меня /etc/rc.d/rc.local ваще пустой!
 ответить
   
 Re: Запуск скрипта для iptables при загрузке.
   Gluk 2004-10-04 16:03:21 [2130] ответов 0
  У тебя есть скрипт, который нужно вызвать.
сделай его исполняемым (chmod +x) и не занимай первую строку, поставь в ней первым символом #. Засунь его в /etc/rc.d.
В rc.local пропиши вызов этого скрипта.
 ответить
 Re: Запуск скрипта для iptables при загрузке.
   Black Angel 2004-10-09 17:48:50 [2135] ответов 0
  Касабельно Слаки 10, имеем скрипт superfirewall
#cp ./superfirewall /etc/rc.d/rc.firewall
#chmod +x /etc/rc.d/rc.firewall
#reboot
:)
 ответить
 Problema s bol'shoj staticheskoj ARP tablicej
   gnod 2004-06-26 13:02:31 [1651] ответов 0
  Est' server so staticheskoj arp tablicej >800 zapisej.
Zapuschen aprd demon.
Nikakih zapisej tipo: "kernel: Neighbour table overflow."
v logah net.
Priviazka ip/mac ne rabotaet! :(
Kogda tablica malen'kaja, vsio rabotaet otlinchno.

Pomogite!
 ответить
 Что же поставить на роутер Linux или Win32? В смысле безопасности.
   Leo 2004-04-11 21:52:16 [1491] ответов 2
  Замучили вирусы!!!!
 ответить
   
 Re: Что же поставить на роутер Linux или Win32? В смысле безопасности.
   pan satirus 2004-04-22 20:51:22 [1506] ответов 0
  дык linux конечно.
 ответить
 Re: Что же поставить на роутер Linux или Win32? В смысле безопасности.
   GiGAlarm 2004-05-07 21:28:17 [1561] ответов 0
  При грамотной настройке всех систем безопасности однозначно linux... Хотя... Что кому больше нравится...
 ответить
 Slackware vs Windows
   Slacer 2004-04-07 23:13:26 [1483] ответов 1
  Сегодня стал свидетелем интересного спора о сабже.
Интересен он тем что утверждалость что дырок меньше в виндах, вирусы реже пишут для виндов!!!! :))) ну и прочая фигня. В качестве доказательства приводилась какая то статья в хакере.

Будучи пробидым слакоманом решил найти подобную же статью, но немного более объективную, и к своему удивлению не нашел.
Кто нибудь видел обзоры на тему сабжа или подобные, с точки рения безопасности?
 ответить
   
 Re: Slackware vs Windows
   GiGAlarm 2004-05-07 21:30:51 [1562] ответов 0
  Может я буду полным ламаком и ошибаюсь, но мне кажется, что хацкерам просто интереснее ломать никсовые тачки, чем виндовые=) Поэтому и дыр находят больше в линах. Хотя сильно сомневаюсь, что в виндах их меньше=)
 ответить
 Внешние атаки
   Spiro 2004-03-24 12:01:35 [1422] ответов 1
  Появилась новая статья на Linux Gazette (Выпуск #164). Она описывает различные типы внешних атак, которые могут применить злоумышленники в сети.
 ответить
   
 Re: Внешние атаки
   GiGAlarm 2004-05-07 21:31:12 [1563] ответов 0
  И что?=)
 ответить
 а как проверить какие порты открыты?
   piterpan 2004-02-16 16:44:17 [1303] ответов 3
  Дистрибутив Slackware 9.0
 ответить
   
 Re: а как проверить какие порты открыты?
   Spiro 2004-02-16 17:06:49 [1305] ответов 2
  Запускай от рута: `nmap -sT -sU localhost` или `nmap -sT -sU 127.0.0.1`

Справку читай здесь: `man nmap` :)
 ответить
   
 я в шоке :)
   Slacer 2004-04-07 23:05:28 [1482] ответов 1
  а netstat -autn не катит?
чуть быстрее работает :)
 ответить
   
 Re: я в шоке :)
   mak 2004-04-30 21:40:50 [1547] ответов 0
  А если руткит поставлен и нетстат тебе всего не покажет? 8)
 ответить
 ip-up & ip-down
   Dirty 2003-12-09 01:55:36 [1038] ответов 4
  Подскажите, как в Slackware запустить скрипты при подклчении к Интернету и, соответственно, при отключении?
--------------
Спасибо
 ответить
   
 Re: ip-up & ip-down
   Gluk 2003-12-09 11:45:03 [1039] ответов 1
  Если ты имеешь в виду модем, то есть такая скрипта ppp-config
(ну, набери в текстовом терминале ppp и нажми табуляцию, получишь список всякой ppp*). Дык вот, эта штука порождает скрипт ppp-on, который и запускает ppp с твоими установками.
А если сеть ethernet, то сие делается ручками в /etc/rc.d или скриптом netconfig.
 ответить
   
 Спасибо
   Dirty 2003-12-10 01:46:36 [1044] ответов 0
  Спасибо, но что-то я не нашёл такого скрипта.
Будем искать:)
 ответить
 Re: ip-up & ip-down
   GiGAlarm 2004-05-07 21:34:23 [1564] ответов 0
  нафиг это всё надо=) Напиши свои скрипты запуска ифейсов eth+
и ppp+ и не парься=) :
man pppd
man ifconfig
man route
man dhcpcd
 ответить
 Re: ip-up & ip-down
   GiGAlarm 2004-05-07 21:35:18 [1565] ответов 0
  нафиг это всё надо=) Напиши свои скрипты запуска ифейсов eth+
и ppp+ и не парься=) :
man pppd
man ifconfig
man route
man dhcpcd
 ответить
 Inet через squid
   Dumus 2003-07-21 15:01:02 [260] ответов 4
  Господа! Ктонить знает как сквидом ограничить доступ юзеру на один ресурс!
 ответить
   
 Re: Inet через squid
   rem 2003-07-22 10:20:27 [263] ответов 3
  > Господа! Ктонить знает как сквидом ограничить доступ юзеру на один ресурс!

acl bad_ip src 192.168.0.1/255.255.255.255
acl good_url url_regex \.good-domain\.org$
http_access allow bad_ip good_url
http_access deny bad_ip

Подробнее читай в комментариях к squid.conf
 ответить
   
 Re: Re: Inet через squid
   Dumus 2003-07-22 10:28:42 [264] ответов 2
  Заработало!
 ответить
   
 Re: Re: Re: Inet через squid
   rem 2003-07-22 11:12:39 [266] ответов 0
  > А куда сам ресурс писать-то, можно ли по-подробнее?
Хм. Я, тут с именами ACL напутал при редакции и, наверное, изначального вопроса не понял. Сейчас отредактирую старую мессагу и прокомментирую этот кусок конфига, а ты скажи что не так.

### ползет по конфигу запрос к проксе
#
# .-если исходный ip запроса это 192.168.0.1, то
# v запрос относится к категории bad_ip
acl bad_ip src 192.168.0.1/255.255.255.255
#
# .-если запрошенный url удовлетворяет регулярному
# | выражению /\.good-domain\.org$/, то
# v запрос относится к категории good_url
acl good_url url_regex \.good-domain\.org$
#
# .-если запрос одновременно относится
# | к категориям bad_ip и good_url, то пусть
# v идет себе дальше
http_access allow bad_ip good_url
#
# .-все остальные запросы, которые относятся
# | к категории bad_ip блокируются (юзер наблюдает
# v страницу "доступ запрещен, обратитесь к админу")
http_access deny bad_ip
 ответить
 Re: Re: Re: Inet через squid
   rem 2003-07-22 11:14:49 [267] ответов 0
  > Заработало!

Однако, медленно печатаю :)
 ответить
 Открытые порты
   meik 2003-07-10 07:00:35 [94] ответов 15
  У меня в linux'е открыты 21(ftp), 22(ssh), 25(smtp), 79(finger) и 113(auth) порты, которые я хотел бы закрыть. Как мне их закрыть? И какие из перечисленных мне не стоит закрывать?
 ответить
   
 Re: Открытые порты
   Andrey_KA 2003-07-10 07:07:05 [95] ответов 2
  Комментируй в файле /etc/inetd.conf ненужные тебе службы, а потом перезапускай inetd: killall -HUP inetd.
 ответить
   
 Re: Re: Открытые порты
   meik 2003-07-10 07:13:57 [97] ответов 1
  Стоит ли отключать 113, т.е. за что он отвечает?
 ответить
   
 Re: Re: Re: Открытые порты
   Hudbrog 2003-07-10 10:45:16 [99] ответов 0
  По хорошему, для рабочей станции имеет смысл закрыть все эти порты, ну, или оставить ssh если намерен своей системой рулить с удаленного компа. А на 113 порту обычно identd висит. Почитай описание на пакетик pidentd.
 ответить
 Re: Открытые порты
   meik 2003-07-10 18:38:00 [109] ответов 9
  Я все сделал, но остались открытыми 22(ssh), 25(smtp), 111(sunrpc), 515(printer), 587(submission) порты. Первые два надо обязательно закрыть, а вот последние три сомневаюсь. За что они отвечают(515 , 22 и 25 понятно:)) и как их закрыть?
 ответить
   
 Re: Re: Открытые порты
   Slak 2003-07-10 18:42:12 [111] ответов 8
  Чтобы эти порты не терзали душу, грохни соответсвующих демонов. sshd, sendmail, lpd. И убери их из скриптов /etc/rc.d.
 ответить
   
 Re: Re: Re: Открытые порты
   meik 2003-07-10 18:54:37 [115] ответов 7
  А что делать с 111 и 587?
 ответить
   
 Re: Re: Re: Re: Открытые порты
   Slak 2003-07-10 18:58:23 [117] ответов 6
  RPC сервер заглушить а 587 уйдет сам, видимо, вместе с sendmail (или я глючу?).
 ответить
   
 Re: Re: Re: Re: Re: Открытые порты
   meik 2003-07-10 19:05:45 [119] ответов 5
  А как заглушить RPC сервер?
 ответить
   
 Re: Re: Re: Re: Re: Re: Открытые порты
   Slak 2003-07-10 19:15:02 [121] ответов 4
  joe /etc/rc.d/rc.inet2
......
# This must be running in order to mount NFS volumes.
# Start the RPC portmapper:
#if [ -x /sbin/rpc.portmap ]; then
# echo "Starting RPC portmapper: /sbin/rpc.portmap"
# /sbin/rpc.portmap
#fi
# Done starting the RPC portmapper.
......

И всякие там nfsd - к терапевту. Ибо вдруг случайно воткнешь, забыв...
Еще, вдумчиво посмотри на /etc/inetd.conf. Там много ненужного (finger, .....).
 ответить
   
 Re: Re: Re: Re: Re: Re: Re: Открытые порты
   meik 2003-07-10 19:19:39 [123] ответов 3
  Мда...ну теперь я спокоен за свою безопасность :)
 ответить
   
 Re: Re: Re: Re: Re: Re: Re: Re: Открытые порты
   Slak 2003-07-10 19:28:22 [124] ответов 2
  Думаю, рановато.
Люди у нас (да и за рубежами) добрые. Готовы бесплатно и ремоутом систему тебе настроить порой. :)
 ответить
   
 Re: Re: Re: Re: Re: Re: Re: Re: Re: Открытые порты
   meik 2003-07-10 19:50:52 [125] ответов 1
  Ну по крайней мере им надо будет попариться, а то эксплоит запустил...вот и root :)
 ответить
   
 локальный эксплоит
   nial 2004-03-25 20:02:19 [1430] ответов 0
  локальный эксплоит к твоим закрытым портам не имеет отношения.
 ответить
 Re: Открытые порты
   Mitya 2003-12-18 15:29:00 [1073] ответов 0
  Закрыть нужно но аккурантно 113
 ответить
 Re: Открытые порты
   GiGAlarm 2004-05-07 21:26:33 [1560] ответов 0
  man iptables=)
И ваще, если у тебя рабочая станция, а не сервак, надо грохать все СЕРВИСЫ. Сервисами являются такие маленькие демончики,
которые висят на определённом порту и ждут пакета syn.
Ясно, что это серьёзная угроза секьюрности. Короче, грохай сервисы в /etc/rc.d/rc.inet2 и зафаерволь всё это дело... тогда ты получишь минимальную секьюрность своего хоста=)
 ответить


Страница (всего: 15) [0]

Правила | Контакты | Баннер
(c) 2000-2010 Zonus. Все права защищены.