Firewall на дриме - защитим любимый ресивер от Интернет- атак (iptables, ipchains, netfilter)

поставил имидж от спектра на дрим-7020
запустил gprs
все пашет
смотрю ip дрима , назначенный интернет провайдером

на другом компе
(который тоже в инете через другое интернет соединение)
захожу спокойно в дрим по телнету и ssh
и делай все чо хош

в принципе можно:

1. поменять пароль
ОК НЕ ПРОБЛЕМА
НЕТ ВОПРОСОВ

2. отключить телнет - файл /etc/inetd.conf
СТАВЛЮ # КОМЕНТАРИЙ В СООТВЕТСТВУЮЩЕЙ СТРОКЕ
ЭТО ПОНЯТНО - СЕРВИС ПОЛНОСТЬЮ ВЫКЛЮЧАЕТСЯ

ПРОБОВАЛ ПОСТАВИТЬ IP-ADDRESS ПЕРЕД
192.168.0.6:telnet ....
где 192.168.0.6 - ip дрима указывающий на ETH0
НО ЭТО НЕ РАБОТАЕТ

БЫЛ БЫ ДЕМОН XINET ТАМ МОЖНО СТРОКУ ВСТАВИТЬ:

service telnet
{
......
only_from
}

ФАЙЛОВ hosts.allow и hosts.deny НЕТ
КОНФИГ ФАЙЛА telnet.conf ТОЖЕ НЕТ
ВОПРОС: КАК ЗАСТАВИТЬ ТЕЛНЕТ ТОЛЬКО СЛУШАТЬ ПОРТЫ
ПО ЛОКАЛКЕ

3. отключить запуск dropbear (ssh) из /etc/rc*.d
ВОПРОС В КАКОМ УРОВНЕ 3 , 4 , 5 ????
ИЛИ ТОТЖЕ ВОПРОС - КАК ЗАСТАВИТЬ SSH СЛУШАТЬ ПОРТУ
ПО ЛОКАЛКЕ

МОЖЕТ ЧТО-ТО НЕ ТАК ?....ПОЯСНИТЕ

спасибо

Цитата

Со слов пользователя Goga777

плиз - давай тут поподробнее - каким образом заходишь на дрим с другого компа ?

дримбокс-7020 через мобилку по компорту
захожу в интернет
телнетом на дриме смотрю назначенный
мне провайдером (в данном случае МТС)
ifconfig
вижу мой ip для соединения ppp

на компе
через другую мобилу захожу в инет
провайдер тот-же

через putty ввожу ip-dreambox
и через 22 порт удачно введя пользователя root
и пароль dreambox я уже в дриме
и делай все чо хош

можно и через cmd.exe в винде
telnet ip-address dreambox
и введя теже логин и пароль ты уже там

все открыто настеж если связка дрим<---->gprs-modem
никаких firewall и тд.....

первое что сделал сменил пароль root
второе отключил telnet с загрузки inetd.conf
остался ftp сервис и ssh если в 7020
в 500 дриме ssh нет в имидже Gemini от которого клон спектра

вот открытые порты дрима

Starting nmap 3.81 ( Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу. ) at 2006-10-30 21:00
Interesting ports on 192.*.*.*:
(The 1655 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
80/tcp open http
139/tcp open netbios-ssn
445/tcp open microsoft-ds
10000/tcp open snet-sensor-mgmt
31337/tcp open Elite
MAC Address: ЮЮЮЮЮ (Dream-Multimedia-Tv GmbH)

Nmap finished: 1 IP address (1 host up) scanned in 3.297 seconds

у 7000 и 500 нет ssh

Цитата

Со слов пользователя Goga777

покажи плиз первые 2 октета этого IP

ip самый хороший для хакеров
подключение через мтс
вот полный набор , все равно при следующем подключении
будет другой

GSM - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
IP-адрес . . . . . . . . . . . . : 172.17.3.169
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 172.17.3.169
DNS-серверы . . . . . . . . . . . : 217.74.244.2
217.74.241.10
NetBIOS через TCP/IP. . . . . . . : отключен

Цитата

Со слов пользователя Goga777
а если комп подключен через другого прова ? и не через мобилу ?:

подключение дрима через комп не интересно , т.к. он уже
за шлюзом и его не видно.....

Цитата

Со слов пользователя Goga777
встречаются имиджи со встроенным iptables - поиск по форуму с этим ключевым словом покажет несколько ссылок на них.

да есть имиджи с встроенным firewall , но там нет ppp0
через ком-порт....

думаю можно обезопасить немного и без firewall
нужно только настроить работу сервисов , чтобы они слушали
только из локалки и можно с определенного ip адреса
ну и конечно первое - наперво сменить пароль root

просто в Debian надо искать конфиги сервисов
вот есть http.conf , inetd.conf.....
поставил в http.conf:
A: 192.168.0
D:*
но что-то не получается , все равно web открывает дрим

p.s. также открыто соединение http.....
наберай реальное ip дрима , когда он инете
и управляй им как хочешь....

Цитата

Со слов пользователя Goga777
А вообще, тема firewall на дриме практически нераскрученная, кто бы взялся за нее ? Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.

ну тогда перенисите эти сообщения туда...
но думаю лучше новый топик открыть , т.к. в том что есть
больше уделено внимание скорости по LAN

Цитата

Со слов пользователя Goga777
Насколько я понимаю, на этот IP - 172.17.3.169 извне достучаться нельзя. Или я туплю ? Тогда проясните, пожалуйста.

но если оба пользователя в одной сети:

дрим подключен через gprs по мтс = ip 172.17.3.169
другой комп подключен через gprs по мтс = ip 172.17.3.160

вот тут дрим и открыт настеж
я именно так и проверял завтра попробую
комп через другого провайдера не мобильного
а дрим через gprs

тогда ip адреса будут точно в разных сетях

Цитата

Со слов пользователя Goga777
а вот здесь Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.

можно и iptables качнуть для дрима. Он даже не заругался при запуске

root@dreambox /var/bin > iptables --version
iptables v1.2.11
root@dreambox /var/bin >

спасибо за ссылку
стыдно сказать , но не знаю как его устанавливать в дрима этот deb пакет

если подскажите протестирую

p.s. у меня suse и имею дело с rpm пакетам

читаю readme файл внутри пакета deb и для работы ip-tables
необходимо чтобы ядро поддерживало netfiltering....
думаю в ядре дрима этого нет?

спасибо

вот провел эксперимента

ip DreamBox image Gemini 3.1

ppp0 Link encap:Point-Point Protocol
inet addr:172.17.2.8 P-t-P:217.74.254.162 Mask:255.255.255.255

ip компа по gprs:

GSM - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
IP-адрес . . . . . . . . . . . . : 172.17.15.28
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 172.17.15.28

C:\Program Files\nmap-3.81>ping 172.17.2.8

Обмен пакетами с 172.17.2.8 по 32 байт:

Ответ от 172.17.2.8: число байт=32 время=2989мс TTL=63
Ответ от 172.17.2.8: число байт=32 время=1093мс TTL=63
Ответ от 172.17.2.8: число байт=32 время=1139мс TTL=63
Ответ от 172.17.2.8: число байт=32 время=1158мс TTL=63

Статистика Ping для 172.17.2.8:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 1093мсек, Максимальное = 2989 мсек, Среднее = 1594 мсек

к стати октрытые порты:

C:\Program Files\nmap-3.81>nmap -sS -O -P0 192.168.0.6

Starting nmap 3.81 ( Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу. ) at 2006-11-01 20:08
Interesting ports on 192.168.0.6:
(The 1660 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
23/tcp open telnet
80/tcp open http
Device type: general purpose
Running: Linux 2.4.X|2.5.X|2.6.X
OS details: Linux 2.4.18 - 2.6.7
Uptime 0.014 days (since Wed Nov 01 19:48:50 2006)

Nmap finished: 1 IP address (1 host up) scanned in 4.828 seconds

заходим по телнет на дрим:
===========================

Welcome to DreamBox.
Running under Kernel 2.6.9 .
Based on Gemini 3.10 GUI.
Kernel and utilities compiled by SatDream.

Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу. , info@satdream.ru , dreambox@satdream.ru
Phone: +7(495) 741-26-60,+7(901) 541-59-41

dreambox login: root
Password:

BusyBox v1.01 (2006.09.10-11:47+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

~ > ifconfig

ppp0 Link encap:Point-Point Protocol
inet addr:172.17.2.8 P-t-P:217.74.254.162 Mask:255.255.255.255

~ > ping 172.17.15.28
PING 172.17.15.28 (172.17.15.28): 56 data bytes
64 bytes from 172.17.15.28: icmp_seq=0 ttl=127 time=1420.4 ms
64 bytes from 172.17.15.28: icmp_seq=1 ttl=127 time=1378.8 ms
64 bytes from 172.17.15.28: icmp_seq=2 ttl=127 time=1558.8 ms

ping с дрима на комп в инете по dial-up

ppp0 Link encap:Point-Point Protocol
inet addr:172.17.10.186 P-t-P:217.74.254.162 Mask:255.255.255.255

~ > ping 62.183.71.92
PING 62.183.71.92 (62.183.71.92): 56 data bytes
64 bytes from 62.183.71.92: icmp_seq=0 ttl=118 time=1073.1 ms
64 bytes from 62.183.71.92: icmp_seq=1 ttl=118 time=772.9 ms
64 bytes from 62.183.71.92: icmp_seq=2 ttl=118 time=751.0 ms

вывод:
дрим открыт если удаленный клиент в той-же сети , к примеру
к примеру дрим и комп в МТС...
если комп в другой сети (diup-up или adsl) с дрима можно заходить
на удаленного клиента , но с удаленного клиента на дрим нет!
даже при вводе назначенного p-t-p IP
может быть правда diup up провайдер не дает
надо будет пробовать с другого

ДУМАЮ ВСЕ РАВНО НАДО ЗАКРЫВАТЬ ПОРТЫ!

Цитата

Со слов пользователя Goga777
я просто сделал бинарник iptables из этого пакета засунул в /var/bin на дриме и запустил
попробуйте и вы также.

да если бы было это все просто...для меня...
я в линуксе новичок и у меня стоит Suse , а там нет пакетов .deb

на дрме он не ставится , так как нет пакета dpkg...
поэтому команда # dpkg --install ./iptables_1.2.11-10_powerpc.deb
не катит

и так скачал пакет: iptables_1.2.11-10_powerpc.deb
смотрим внутрь архива с помощью 7-zip
там две основные папки
control.tar.gz
data.tar.gz

в последнем архиве все нужное
lib - библиотеки
sbin - bin файлы
user - всякие доки

и так самые главные я так понимаю файлы в sbin и библиотеки в lib:

iptables
iptables-save
iptables-restore

извлек файлы библиотек и sbin и скопировал на дрим в соответствующие каталоги

далее наверное с помощью iptables надо создавать правила?
а потом их сохранять с помощью iptables-save

правильно или нет?

Ребята, насколько я знаю, чтобы работали ipchains и iptables, нужно включить поддержку для них на уровне ядра.
Разве в дримовском ядре есть такая штука?

Цитата

Со слов пользователя djpeter
Ребята, насколько я знаю, чтобы работали ipchains и iptables, нужно включить поддержку для них на уровне ядра.
Разве в дримовском ядре есть такая штука?

вот проверил имидж satdream на базе gemini 3.1

поставил iptables пакет , точнее только некоторые файлы
как писал выше

~ > /sbin/iptables --version
iptables v1.2.11

~ > /sbin/iptables -L -t filter
iptables v1.2.11: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

пробуем по другому

~ > iptables --list
iptables v1.2.11: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

~ > lsmod
Module Size Used by
hid 21664 0 - Live 0xc3923000
sg 27620 0 - Live 0xc38be000
smbfs 61276 0 - Live 0xc392f000
cifs 189352 0 - Live 0xc388e000
reiserfs 299640 0 - Live 0xc4581000
head 334856 41 - Live 0xc38c8000

ядро без встроенного модуля iptables
и подгрузить его нельзя

~ > insmod iptables
insmod: cannot open module `iptables': No such file or directory

получается если в ядре нет встроенной поддержки iptables
прийдется либо искать другой имидж либо подгружать
iptables как модуль к ядру.....

проблема с firewall
-имиджи где в ядре есть поддержка iptables не поддерживают ppp0
-имиджи с поддержкой ppp0 нет поддержки iptables

можно конечно попробовать во внутренний flsh поставить
имидж с поддержкой ppp0 и на usb-flash имидж с поддержкой
iptables , если конечно там модуль iptables подгружается к ядру,
а не встроен...если iptables встроен в ядро , то голый васер...

надо звать линуксоидов АУ....

Попросите сатдримеров на форуме , думаю пересобирут ядро с поддержкой iptables , пока не зарелизели на базе 3.20
Вроде они ребята нормальные

Цитата

Со слов пользователя rip_mix2004
Попросите сатдримеров на форуме , думаю пересобирут ядро с поддержкой iptables , пока не зарелизели на базе 3.20
Вроде они ребята нормальные

спасибо за подсказку

как раз на этом имидже и все тестил
уже попросил помощи и молодцы ребята на отказали
обещали в следующем релизе включить поддержку iptables
и плагин для быстрой настройки правил (firewall)

будем ждатьс

может быть кто-нибудь подскажет как хотя бы
конфиг исправить для telnet , чтобы слушал
с одного ip (local) ...
пробовал прописать в файле inetd.conf:

192.168.0.5:telnet ...............

но не помогает....

прикрыть , то его можно вообще коментарием , но иногда
надо , чтобы смотреть , что внутри дрима твориться...
во время сеанса в инете...