Posted: Sat Aug 27, 2016 23:05 Post subject: Подмена IP (spoofing)
Всем добрый день.
Дела такие:
Eсть роутер с dd-wrt, имеется локальная сеть вида 192.168. и внешняя (ppoe).
Как сделать чтобы клиент в локальной сети, обращаясь по адресу в интернете (ну допустим 8.8.8. перенаправлялся роутером на адрес в локалке (допустим 192.168.1.2) ?
Posted: Sun Aug 28, 2016 14:59 Post subject: Re: Подмена IP (spoofing)
Не понятен пример с IP - 8.8.8.8 - это публичный серевер DNS
Поиск по - Redirect, если речь идет об доступе к DNS серверу с его 8.8.8.8 то смотрите DNSmasq - http://mnorin.com/nastrojka-dnsmasq-dhcp-dns.html или forward порта 53 на нужный вам IP или запретить все IP (порт 53) кроме нужного.
Posted: Tue Aug 30, 2016 5:08 Post subject: Re: Подмена IP (spoofing)
g147 wrote:
В source net надо написать нужный мне адрес, как я понимаю?
Попробовал, не работает.
Попробуем :
protocol - тут выбирается тип протокола TCP/UDP или оба
source net - сеть источника, обычно 0.0.0.0/0 говоря простыми словами любой источник
port from - какой порт слушать, обязательно
IP address и prot to - локальный ПК и его порт
После ввода - Save и Apply
В результате чего появиться запись iptables, действия dd-wrt при прокидке порта
Posted: Tue Aug 30, 2016 9:48 Post subject: Re: Подмена IP (spoofing)
vasek00 wrote:
g147 wrote:
В source net надо написать нужный мне адрес, как я понимаю?
Попробовал, не работает.
Попробуем :
protocol - тут выбирается тип протокола TCP/UDP или оба
source net - сеть источника, обычно 0.0.0.0/0 говоря простыми словами любой источник
port from - какой порт слушать, обязательно
IP address и prot to - локальный ПК и его порт
После ввода - Save и Apply
В результате чего появиться запись iptables, действия dd-wrt при прокидке порта
Правила в цепочке FORWARD нет, так как это локальный сервис роутера.
Проверьте релиз прошивки и еще раз настройки.
Не понял из вашего сообщения, где мне указывать нужный адрес? Проброс портов - он так-то служит для переадресации обращений к роутеру, а не подмены адреса.
Posted: Tue Aug 30, 2016 10:47 Post subject: Re: Подмена IP (spoofing)
g147 wrote:
Не понял из вашего сообщения, где мне указывать нужный адрес? Проброс портов - он так-то служит для переадресации обращений к роутеру, а не подмены адреса.
Согласно скрина WEB странице выше :
source net - сеть источника, обычно 0.0.0.0/0 говоря простыми словами любой источник
port from - какой порт слушать, обязательно например 80
IP address и prot to - локальный ПК 192.168.1.2 и его порт например 8080
Из вне все что за роутеров не видно.
Quote:
Трансляция сетевых адресов (NAT) выполняет подмену внутренних IP-адресов в уникальные внешние глобальные IP-адреса. NAT подменяет первоначальный IP-адрес источника и номера TCP- или UDP-порта источника перед тем как переслать пакет в Интернет. Таблица NAT хранит исходные адреса и номера портов, чтобы восстановить их первоначальные значения в ответном пакете.
Когда пакет приходит на роутер то он обрабатывается драйвером и передается в ядро где проходит ряд таблиц и только потом передается локальному приложению (роутера) или либо переправляется на другую машину. В кратце для транзитных пакетов :
1. попадает в PREROUTING эта цепочка используется для трансляции сетевых адресов Destination Network Address Translation.
2. FORWARD - в данную цепочку попадают только те пакеты, которые идут на другой хост, тут фильтруется транзитного трафик (туда и обратно)
3. POSTROUTING - эта цепочка для Source Network Address Translation.
Все что делают установки WEB на данной странице видно было по созданным правилам в iptables, поэтому и было рекомендовано проверить версию прошивки и полученные правила, если не заработало.
Posted: Tue Aug 30, 2016 20:05 Post subject: Re: Подмена IP (spoofing)
vasek00 wrote:
Все что делают установки WEB на данной странице видно было по созданным правилам в iptables, поэтому и было рекомендовано проверить версию прошивки и полученные правила, если не заработало.
Кажется, мы друг друга не поняли. Пакет не должен идти во внешнюю сеть, пакет так же роутеру не адресован. Клиент посылает пакет на адрес xx.xx.xx.xx (адрес в интернете), а роутер проксирует его на адрес yy.yy.yy.yy (адрес в локальной сети). При этом клиенту будет казаться, что он работает с адресом хх.хх..
Posted: Wed Aug 31, 2016 5:31 Post subject: Re: Подмена IP (spoofing)
Quote:
Как сделать чтобы клиент в локальной сети, обращаясь по адресу в интернете (ну допустим 8.8.8.Cool перенаправлялся роутером на адрес в локалке (допустим 192.168.1.2) ?
...
Пакет не должен идти во внешнюю сеть, пакет так же роутеру не адресован. Клиент посылает пакет на адрес xx.xx.xx.xx (адрес в интернете), а роутер проксирует его на адрес yy.yy.yy.yy (адрес в локальной сети).
Тогда читаем
Quote:
Поиск по - Redirect, если речь идет об доступе к DNS серверу с его 8.8.8.8 то смотрите DNSmasq - http://mnorin.com/nastrojka-dnsmasq-dhcp-dns.html или forward порта 53 на нужный вам IP или запретить все IP (порт 53) кроме нужного.
Поиск по - Redirect, правило для iptables
В противном случае посмотреть DNAT c ключами -s и to-destination
Posted: Thu Sep 08, 2016 6:16 Post subject: Re: Подмена IP (spoofing)
Если вы читали iptables то
-A добавить правило к имеющему на бору, т.е. в конец -I вставить правило (обычно первым)
-p all не знаком с данным критерием
далее
Quote:
iptables -t nat -I OUTPUT ... DNAT ...
есть таблица nat, mangle, filter
filter - Таблица используется для фильтрации пакетов, выполняются DROP, LOG, ACCEPT или REJECT. Имеется три цепочки FORWARD (используемая для фильтрации пакетов, идущих транзитом через брандмауэр); INPUT (проходят пакеты, которые предназначены локальным приложениям); OUTPUT (используется для фильтрации исходящих пакетов).
Примеры правил
где br0 ppp0 интерфейсы роутера, 10.10.10.52 IP адрес на ppp0 роутера
Попробовал так, пинги на сервер не идут. Может дело в том, что правила не сохраняются? Никаких изменений если ввести iptables -L.
Как сохранить правила? надо ли после этого перезагружать роутер?
где br0 ppp0 интерфейсы роутера, 10.10.10.52 IP адрес на ppp0 роутера
Попробовал так, пинги на сервер не идут.
Это просто пример синтаксиса написания правил для iptables, к вашей задаче он отношение не имел. Так как у вас в корне не правильно о каком NAT в строке с OUTPUT может идти речь, что за -p all:
Quote:
iptables -t nat -A PREROUTING -p all -d 1.1.1.1 -j DNAT --to-destination 192.168.1.2
iptables -t nat -I OUTPUT -p all --dest 1.1.1.1 -j DNAT --to-dest 192.168.1.2
iptables -t nat -A OUTPUT -p all -d 1.1.1.1 -j DNAT --to-destination 192.168.1.2
Еще раз
есть таблица nat, mangle, filter
filter - Таблица используется для фильтрации пакетов, выполняются DROP, LOG, ACCEPT или REJECT. Имеется три цепочки FORWARD (используемая для фильтрации пакетов, идущих транзитом через брандмауэр); INPUT (проходят пакеты, которые предназначены локальным приложениям); OUTPUT (используется для фильтрации исходящих пакетов).
g147 wrote:
Как сохранить правила? надо ли после этого перезагружать роутер?
Code:
iptables -nvL
iptables -t nat -nvL
если ваших добавленных правил не видно, то они введены с ошибкой (просто не верны)