Gogu Mihai wrote: > Dupa ce am facut logging la pachete, am ajuns la urmatoarele concluzii: > > 1. Degeaba configurez eu clientul de eyeballchat (pe win) sa folosesca > STATIC PORTS si apoi dau drumul in firewall la acele porturi. Nu este > suficient. De ce? Pentru simplu motiv ca eu nu am de unde sa stiu cu > cine o sa fac videochat. Ca treaba sa functioneze corect, trebuie ca si > celalta statie (cu care fac videochat) sa aiba aplicatia configurata in > aceleasi conditii. Altfel, din motive de firewall, cind clientul remote > vrea sa stabileasca o conexiune cu mine, raspunde tot pe RANDOM PORTS, > si firewall-ul face drop, deci ma pot duce la culcare.
pai tu deschizi portrile locale la care gigelu celalalt vrea sa se conecteze, deci tu ai numai unele porturi deschise pe in, pe out pentru omul tau le lasi pe toate asta e prostia ipchainsului, la iptables punei match pe flux si atunci deschidea el automat pe in numai porturile care trebuie > > 2. Cum aplicatia lor, default, lucreaza pe random ports, si cum acesta > aplicatie exista numai pentru windows, probabilitatea ca tartanu' de > windows sa mai fi citit ceva readmeuri si sa fi instalat si patch-ul > pentru registry, este aproape egala cu ZERO, deci patch-ul de registry, > devine inutil si pentru mine. eu zic ca nu > > 3. Pentru a putea face videocat, in astfel de conditii, trebuiesc > deschise toate porturile UDP peste 1024, (atit ca sursa si ca > destinatie) in firewall (de oriunde catre oriunde) > > 4. Din acest moment, am urmatoarele intrebari: > - interfata externa: IP ROURABIL > - LAN-ul este pe neroutabile. Din LAN, numai un gica, vrea videochat. > > Exista vre-o posibilitate de a da drumul in firewall la pachetele care > vin si ies (din interfata externa) si au sport/udp si dport/udp peste > 1024, dar NUMAI catre statia cu IP_NEROUTABIL_PC_VIDEOCHAT, fara a > exista probailitatea ca routerul sa fie hacuit? M-am uitat si la > REDIRECT (din ipchains), dar nu ma ajuta (pe router am numai ipchains) > Daca da, cum? deci tu ai asa: gigel --- router/nat ------ internet ---- gogu se face conexiune, pe alelasi port la gigel ca ai pus patchu ala gigel:4000/udp --- gogu:ceva/udp deci in router pui: tot ce vine pe placa externa si are ca destinatie local(ca ai fcut nat), udp si port 4000, si vine de undeva, pe un port peste 1024, udp, il las sa treaca faza care nu o stiu acum, si nu am timp sa ma uit, este : unde se face la ipchains natu, ca sa potzi face match pe ip_privat in cel mai rau caz pui un filtru pe placa externa, unde lasi sa treaca toate udp si tcp pe porturile videochat, si apoi pe placa interna la iesire pui un filtru unde lasi numai pentru gigel in iptables stiu, ipchains ... hope lamurit putin macar > > 5. Daca pe router, nu am instalat decit un sshdaemon, in rest nici un > alt program, as putea sa cofigurez firewall-ul astfel incit sa aceept > pachete de pe (catre) UDP ports peste 1024 de oriunde (catre oriunde). > In acest caz, doresc sa stiu cam care ar fi riscurile. Teoretic, masina > devine exploatabila pe UDP, dar pe porturile respective nu asculta > nimeni. Asta inseamna ca as putea sa ma gindesc la varianta in care sa > accept acesta politica? Daca nu, de ce nu. Poate i-mi dati un mic > exemplu in care masina poate fi exploatata. eu zic ca daca nu asculta nimic, nu devii exploitabil decat la DoS, baga unu multe conexiuni pe udp, si masina ta crapa prelucrand pachete care vede ca nu are ce face cu ele. ca trece de chains, de routing, si abia "sus" la process vede ca nu are cui sa il paseze. parerea mea :)))) C > > Regards, > Mihai > > > On Tuesday 18 June 2002 14:38, you wrote: > >>Ha ha ha >> >>Ce ma amuza. Scurt si la obiect. Ha ha ha, ce m-ai distrat, hi hi >>hi... In final o sa-i fac dracu ceva , sa ma scap de belea. >> >>Dar lasind un pic gluma, am urmat sfatul lui Laurentiu, cu ipmasqadm, >>si am facut forward la cele 5 porturi ale lui eyball catre ip-ul cu >>pricina. >>Acum stept sa vina "omu ch videochatu", sa vad daca mere. >> >>In final, tot o sa-i fac ceva sa mearga! >> >>Mersi pentru sugestie, >>Mihai >> >>On Tuesday 18 June 2002 13:50, you wrote: >> >>>eu zic sa il lasi pe omu cu videochatu fara firewall pe porturile >>>peste 1024 si gata >>> >>>C >>> >>>Gogu Mihai wrote: >>> >>>>Nu, nu... am spus ca daca dau firewalul jos si las numai regula >>>>de mascare a retelei locale, fara alte restrictii, rahatul ista >>>>de soft merge. In final, concluzia intr-adevar este cea pe care >>>>ai enuntzat-o si tu. Patch-ul respectiv nu-si face treaba >>>>calumea, si eyebalul nu lucreaza pe static ports. Asta-i si >>>>banuiala mea. Despre Masq, nu ma leg, ca a functionat si pe >>>>neroutabila softul lor, dar fara firewall, asa cum am mai spus. >>>> >>>>Pe routabil merge oricum, nu asta e problema. Astept sa vina "omu >>>>cu videochatul", ca sa-i arat ce se intimpla, si in continuare, >>>>astept si de la ei un raspuns. >>>> >>>>PS: In final, daca nu o sa reusesc sa-l conving pe softul ista sa >>>>lucre pe static ports, or ii pun o rutabila "lu` domu` >>>>videochat", ori ma pis... in eybalul lor :-) >>>> >>>>Mihai >>>> >>>>On Tuesday 18 June 2002 12:46, you wrote: >>>> >>>>>nu ai spus ca firewall cu ip privat, merge, deci nu e de la >>>>>NAT/MASQ, eu cred ca patchul respectiv nu a facut treaba bine. >>>>> >>>>>C >>>>> >>>>>Gogu Mihai wrote: >>>>> >>>>>>Am si eu cam aceeasi banuiala. Credeam ca eu sunt stupid, iar >>>>>>cei de la eyball sunt cei care au dreptate. In final, cred ca >>>>>>asta va fi solutia: IP rutabil. Oricum am sa incerc sa logez >>>>>>tot de pa masina windows cu eyballchat-ul pornit si fara >>>>>>firewall pe router, si daca patchul lor de registrii este >>>>>>naspa, am sa-i ..... fac de rusine:-))) >>>>>> >>>>>>Deocamdata mai aprofundez ;-))) problema. >>>>>> >>>>>>Mihai >>>>>> >>>>>>On Tuesday 18 June 2002 13:56, you wrote: >>>>>> >>>>>>>In mod sigur ai de-a face cu un program stupid :) >>>>>>> >>>>>>>Solutia in cazul tau este sa-i dai adresa routabila PC-ului >>>>>>>care va face videochat si sa nu te mai incurci cu >>>>>>>masq-ueradarea. >>>>>>> >>>>>>>Daca observi ptr. ca programele de tip VoIP sau Video/IP sa >>>>>>>mearga prin masq s-au cam scris module de kernel specializate >>>>>>>(vezi vdolive, cuseeme, raudio). >>>>>>>--- >>>>>>>Pentru dezabonare, trimiteti mail la >>>>>>>[EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. >>>>>>>REGULI, arhive si alte informatii: http://www.lug.ro/mlist/ >>>>>>> >>>>>>--- >>>>>>Pentru dezabonare, trimiteti mail la >>>>>>[EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. >>>>>>REGULI, arhive si alte informatii: http://www.lug.ro/mlist/ >>>>>> >>>>>--- >>>>>Pentru dezabonare, trimiteti mail la >>>>>[EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. >>>>>REGULI, arhive si alte informatii: http://www.lug.ro/mlist/ >>>>> >>>>--- >>>>Pentru dezabonare, trimiteti mail la >>>>[EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. >>>>REGULI, arhive si alte informatii: http://www.lug.ro/mlist/ >>>> >>>--- >>>Pentru dezabonare, trimiteti mail la >>>[EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. >>>REGULI, arhive si alte informatii: http://www.lug.ro/mlist/ >>> >>--- >>Pentru dezabonare, trimiteti mail la >>[EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. >>REGULI, arhive si alte informatii: http://www.lug.ro/mlist/ >> > > --- > Pentru dezabonare, trimiteti mail la > [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. > REGULI, arhive si alte informatii: http://www.lug.ro/mlist/ > > --- Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
