NoD Δημοσ. 8 Οκτωβρίου 2008 Share Δημοσ. 8 Οκτωβρίου 2008 Λοιπόν έχουμε και λέμε, έχω vpn. Απο τη μια μεριά windows pc με ip 192.168.4.2 το οποίο θέλει να συνδεθεί με terminal server (windows 2003) με ip 192.168.0.5 (remote desktop) πίσω από nat.(linux box) To port που πρέπει να ανοιχτεί είναι το 3389,tcp μόνο. Προφανώς δεν φτιάχνω τα rules σωστά, γιατί μου το κόβει. Καμμιά βοήθεια ? Ευχαριστώ! Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
apoikos Δημοσ. 8 Οκτωβρίου 2008 Share Δημοσ. 8 Οκτωβρίου 2008 Υποθέτοντας ότι η έξω μεριά είναι στο eth0 του router και ότι έχεις ήδη stateful rules περασμένους για τα RELATED, ESTABLISHED: > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.5:3389 iptables -I FORWARD 1 -p tcp --dport 3389 -d 192.168.0.5 -j ACCEPT ;-) Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
NoD Δημοσ. 8 Οκτωβρίου 2008 Μέλος Share Δημοσ. 8 Οκτωβρίου 2008 Χμ... Από το "έχεις ήδη..." και μετά μου 'ρθε να κλάψω. Όποτε μπορείς ρίξε μια εξήγηση. Σ'ευχαριστώ πολύ. Edit: Έχει αρχίσει ήδη το διάβασμα... Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
NullScan Δημοσ. 9 Οκτωβρίου 2008 Share Δημοσ. 9 Οκτωβρίου 2008 Τα firewalls χωρίζονται σε 2 μεγάλες κατηγορίες, τα stateless και τα statefull. Η διαφορά τους είναι ότι τα stateless αναλύουν κάθε πακέτο ξεχωριστά για να αποφασίσουν αν είναι valid ή όχι ενώ τα statefull κοιτάζουν μια ολόκληρη ακολουθία από πακέτα για να πάρουν την ίδια απόφαση. Παράδειγμα: Μια TCP/IP επικοινωνία είναι σαν διάλογος που τα πρώτα 3 μέρη του είναι (το γνωστό και σαν 3-way handshake) SYN-SYN/ACK-ACK Αυτός που θέλει να ξεκινήσει την επικοινωνία, στέλνει στον άλλο ένα πακέτο που έχει το χαρακτηριστικό SYN μέσα. Ο δεύτερος λοιπόν, αν δεχθεί την επικοινωνία απαντάει με ένα πακέτο με το χαρακτηριστικό SYN/ACK και τέλος όταν ο πρώτος το λάβει αυτό, σαν τελευταία επιβεβαίωση απαντάει με ένα 3ο που έχει μέσα το ACK. Μετά από αυτή τη διαδικασία αρχίζει η πραγματική ανταλλαγή δεδομένων. Τα TCP πακέτα, εκτός από αυτά τα μηνύματα έχουν και κάποια πεδία όπως message sequence number, time-stamp κτλ. Στο θέμα μας τώρα, ένα stateless firewall όταν λάβει ένα πακέτο που θα έχει τα χαρακτηριστικά SYN/ACK, με φαινομενικά valid time-stamp και τυχαίο sequence number κατά 90% θα το αφήσει να περάσει. Ένα statefull όμως θα ψάξει στα προηγούμενα πακέτα που έχει φιλτράρει για κάποιο SYN με λίγο παλιότερο time-stamp και sequence number - 1 προς την συγκεκριμένη IP και MAC Address που θα πάρει από αυτό το πακέτο για να αποφασίσει αν είναι πράγματι valid SYN/ACK απάντηση σε κάποιο SYN request. Κάτι παρόμοιο ισχύει και με το FIN signal που στέλνεται όταν θέλει κάποιος να κλείσει μια TCP/IP επικοινωνία. Για να φανεί πόσο χρήσιμο είναι αυτό για ένα firewall να πω ότι τα πιο γνωστά port scanners χρησιμοποιούν τέτοιες τεχνικές για να διαπιστώσουν αν ένα σύστημα έχει κάποιο service ανοιχτό σε μία πόρτα ή όχι καθώς και για να κάνουν OS detection. Οπότε ένα statefull firewall λύνει αρκετά από αυτά τα θέματα. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
NoD Δημοσ. 13 Οκτωβρίου 2008 Μέλος Share Δημοσ. 13 Οκτωβρίου 2008 Συνεχίζω με πρόβλημα. Με iptables επιτρέπω τα πάντα. Έχω vpn 192.168.0.x με 192.168.5.x. Δηλαδή έχω (windows pc) ---> (linux pc/firewall) ---> (vpn) ---> (windows pc) Παρόλ'αυτα μου κόβει το remote desktop, ενώ πχ vnc παίζει κανονικά. Δε μπορώ να καταλάβω τι φταίει...βοήθεια guys. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.