1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. Firewall: může server být neviditelný?
« předchozí další »
Stran: [1]

Firewall: může server být neviditelný?

  • 6 Odpovědí
  • 1784 Zhlédnutí

hknmtt

Firewall: může server být neviditelný?
« kdy: 28. 09. 2024, 22:27:38 »
Je mozne nastavit firewall(linux/*bsd) tak aby prepustil dnu iba nakonfigurovane ip adresy a pre vsetko ostatne sa server tvaril ako neexistujuci, takze ani skenovaci boti by nemohli zistit ze ip adresa je vyuzita?
IP zaznamenána

Reklama

  • * * * * *

Filip Jirsák

  • *****
  • 5 908
    • Zobrazit profil
Re:Firewall: může server být neviditelný?
« Odpověď #1 kdy: 28. 09. 2024, 22:51:48 »
Citace: hknmtt  28. 09. 2024, 22:27:38
Je mozne nastavit firewall(linux/*bsd) tak aby prepustil dnu iba nakonfigurovane ip adresy a pre vsetko ostatne sa server tvaril ako neexistujuci, takze ani skenovaci boti by nemohli zistit ze ip adresa je vyuzita?
Ano, jde. Z vybraných IP adres komunikaci povolíte, pakety z ostatních IP adres budete zahazovat (v Linuxovém firewallu je to politika DROP).
IP zaznamenána

RDa

  • *****
  • 2 644
    • Zobrazit profil
    • E-mail
Re:Firewall: může server být neviditelný?
« Odpověď #2 kdy: 29. 09. 2024, 11:35:07 »
Citace: hknmtt  28. 09. 2024, 22:27:38
Je mozne nastavit firewall(linux/*bsd) tak aby prepustil dnu iba nakonfigurovane ip adresy a pre vsetko ostatne sa server tvaril ako neexistujuci, takze ani skenovaci boti by nemohli zistit ze ip adresa je vyuzita?

Zde je otazka zda skenovaci bot je tupej (ceka ze se pripoji) nebo chytrej (ceka ze prijde nejaka nedorucenka od predchoziho uzlu) - viz jak funguje probing skrze TTL a icmp zpravy, napr. v ramci traceroute.
IP zaznamenána

Filip Jirsák

  • *****
  • 5 908
    • Zobrazit profil
Re:Firewall: může server být neviditelný?
« Odpověď #3 kdy: 29. 09. 2024, 12:16:12 »
Citace: RDa  29. 09. 2024, 11:35:07
Citace: hknmtt  28. 09. 2024, 22:27:38
Je mozne nastavit firewall(linux/*bsd) tak aby prepustil dnu iba nakonfigurovane ip adresy a pre vsetko ostatne sa server tvaril ako neexistujuci, takze ani skenovaci boti by nemohli zistit ze ip adresa je vyuzita?

Zde je otazka zda skenovaci bot je tupej (ceka ze se pripoji) nebo chytrej (ceka ze prijde nejaka nedorucenka od predchoziho uzlu) - viz jak funguje probing skrze TTL a icmp zpravy, napr. v ramci traceroute.
Ne, na ničem takovém nezáleží. Když počítač na nějaký paket neodpoví, je to ekvivalentní tomu, jako by tam vůbec nebyl nebo byl vypnutý. ICMP je speciální protokol, který můžete na firewallu filtrovat úplně stejně, jako UDP nebo TCP. traceroute funguje na tom principu, že nastavuje omezenou životnost paketu (přes kolik uzlů může projít) a postupně ji zvyšuje. Tím zjistíte, kolik uzlů je po cestě a jaké mají adresy (pokud odpovídají). Ale neříká to nic o tom, co je za posledním uzlem, který vám odpověděl. Nemusí tam být nic, může tam být třeba vypnutý počítač, nebo tam může být počítač, který akorát na vaše požadavky neodpovídá – což ale neznamená, že neodpoví na požadavky někoho jiného.
IP zaznamenána

RDa

  • *****
  • 2 644
    • Zobrazit profil
    • E-mail
Re:Firewall: může server být neviditelný?
« Odpověď #4 kdy: 29. 09. 2024, 13:55:57 »
Ale zalezi :)

Tazatel umi nakonfigurovat jen svuj stroj (A), treba tak, ze bude vse zahazovat.
Vedle existuje hypoteticka adresa (B), ktera ale do site neni zapojena, resp. je vypnuta a neni tam aktivni ani WOL.

A ted existuje posledni router R, kterym jsou stroje s adresami A a B pripojeny do site.

Pokud budu skenovat adresy A a B, tak bude odezva z routru R jina - takze JSEM schopen rozlisit, zda stroj bezi, nebo nebezi.

Ono totiz existuji nizsi sitove vrstvy, ktere nemuzete odfiltrovat (napr. arp), pokud chcete zachovat funkcnost stroje A pro nejakou podmnozinu klientu.

Aby neslo tohle poznat - rozeznat stavy A vs B, tak by tazatel musel mit pod svoji spravou i posledni router R, a nastavit tam par specifickych pravidel.
IP zaznamenána

Reklama

  • * * * * *

Filip Jirsák

  • *****
  • 5 908
    • Zobrazit profil
Re:Firewall: může server být neviditelný?
« Odpověď #5 kdy: 29. 09. 2024, 19:23:41 »
Citace: RDa  29. 09. 2024, 13:55:57
Tazatel umi nakonfigurovat jen svuj stroj (A), treba tak, ze bude vse zahazovat.

Aby neslo tohle poznat - rozeznat stavy A vs B, tak by tazatel musel mit pod svoji spravou i posledni router R, a nastavit tam par specifickych pravidel.
To je jen váš dohad, že tazatel chce konfigurovat cílový stroj a ne router.

Citace: RDa  29. 09. 2024, 13:55:57
Pokud budu skenovat adresy A a B, tak bude odezva z routru R jina - takze JSEM schopen rozlisit, zda stroj bezi, nebo nebezi.
Pokud by router odpovídal u vypnutého stroje třeba ICMP Destination host unreachable, nic vám nebrání tu samou odpověď poslat z cílového serveru při REJECTu pomocí --reject-with místo standardního ICMP Destination port unreachable.
IP zaznamenána

smoofy

  • *****
  • 1 059
    • Zobrazit profil
    • E-mail
Re:Firewall: může server být neviditelný?
« Odpověď #6 kdy: 29. 09. 2024, 20:04:56 »
Citace: RDa  29. 09. 2024, 13:55:57
Ale zalezi :)

Tazatel umi nakonfigurovat jen svuj stroj (A), treba tak, ze bude vse zahazovat.
Vedle existuje hypoteticka adresa (B), ktera ale do site neni zapojena, resp. je vypnuta a neni tam aktivni ani WOL.

A ted existuje posledni router R, kterym jsou stroje s adresami A a B pripojeny do site.

Pokud budu skenovat adresy A a B, tak bude odezva z routru R jina - takze JSEM schopen rozlisit, zda stroj bezi, nebo nebezi.

Ono totiz existuji nizsi sitove vrstvy, ktere nemuzete odfiltrovat (napr. arp), pokud chcete zachovat funkcnost stroje A pro nejakou podmnozinu klientu.

Aby neslo tohle poznat - rozeznat stavy A vs B, tak by tazatel musel mit pod svoji spravou i posledni router R, a nastavit tam par specifickych pravidel.

Dulezite je urcit, jak presne budu scanovat
IP zaznamenána
Stran: [1]
« předchozí další »
  1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. Firewall: může server být neviditelný?