LINUX.ORG.RU
решено ФорумAdmin

Как избежать случайное использование чужих ip адресов

 , , ,


0

3

Есть хостер, у которого в правилах есть:

- Добавлять и использовать не принадлежащие вам IP адреса. В случае выявления таких злоупотреблений мы немедленно блокируем сервер и выставляем штраф от 500$ до 1000$

Короче, меня интерисует, как избежать случайное использование чужих ip адресов. Предположим, на vps у этого хостера поступит пакет, которые в себе содержит:

source address 1.1.1.1
destination address 8.8.8.8
Будут ли какие либо санкции за это со стороны хостера. А также может ли его система подумать, что я использую чужие ip адреса.

Я правда нашёл решение, это прописать в iptables все свои сети. Но, это решение не помогает, если на роутере используется nat, а на клиенте snat. Получаем мы примерно следующее:
18:37:34.237225 IP 100.64.7.73 > 8.8.8.8: ICMP echo request, id 2586, seq 218, length 64
18:37:34.250357 IP 8.8.8.8 > 100.64.7.73: ICMP echo reply, id 2586, seq 218, length 64
18:37:34.250992 IP 8.8.8.8 > 1.1.1.1: ICMP echo reply, id 2586, seq 218, length 64
И самое главное, что это практически невозможно зафильтровать.

★★★★★

Последнее исправление: ne-vlezay (всего исправлений: 2)
Ответ на: комментарий от anonymous

Я думаю, что вряд ли. Особенно против таких пакетов, где отправка идёт с исходящего адреса:

18:37:34.237225 IP 100.64.7.73 > 8.8.8.8: ICMP echo request, id 2586, seq 218, length 64
18:37:34.250357 IP 8.8.8.8 > 100.64.7.73: ICMP echo reply, id 2586, seq 218, length 64
18:37:34.250992 IP 8.8.8.8 > 1.1.1.1: ICMP echo reply, id 2586, seq 218, length 64

ne-vlezay ★★★★★
() автор топика
Ответ на: комментарий от ne-vlezay

ну а если iptables явно указать свои ip, а остальное дропать? ..

*filter -A INPUT -d моё/32 -j ACCEPT -A INPUT -i wan -j DROP -A OUTPUT -d моё/32 -j ACCEPT -A OUTPUT -j DROP форвард туда же..

*nat -A POSTROUTING -s моё/32 -o wan -j ACCEPT ? -A POSTROUTING -o wan -j MASQUERADE

anonymous
()

Вы хостеру эти вопросы и задайте. По мне эта фраза означает, что не нужно чтобы с сервера выходили пакеты, у которых src-ip не совпадает с назначенным ему хостером.

Ваш пример с icmp пакетами я не понял, какой роутер, какой клинет и как они относятся к vps?

mky ★★★★★
()
Ответ на: комментарий от mky

ну гоняешь впн, криво настроил роутинг

iptables вырулит

slapin ★★★★★
()
Ответ на: комментарий от mky

Вы хостеру эти вопросы и задайте

Уже задавал - получил предупреждение

Ваш пример с icmp пакетами я не понял, какой роутер, какой клинет и как они относятся к vps?

Это я тестировал на своих виртуальных машинах.

ne-vlezay ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Вот этот: http://cp.inferno.name/
Дело в том, что я хотел выяснить, можно ли такие пакеты посылать, или нельзя. А также хотел предложить реализовать хотя бы у них привязку по ip+mac, ip+port. Но, токого развития событий я не ожидал.

ne-vlezay ★★★★★
() автор топика
Последнее исправление: ne-vlezay (всего исправлений: 1)
Ответ на: комментарий от ne-vlezay

Йоксель-мопслель, по моему это проблемы хостера, а не клиента.

Зачем он такой капризный нужен ?

Пусть хостер настроит у себя ip source-guard на гипервизоре и спит спокойно, и не нервирует клиентов

Tok ★★
()
Ответ на: комментарий от ne-vlezay

А ясно понятно Инферно. Смени на вменяемого да и все. Без вот этих угроз ввиде штрафов в 1к зелени.

anonymous
()
Ответ на: комментарий от Tok

Я бы сказал даже что это говнопровайдер, который проблемы со своей безопасностью пытается внаглую свалить на клиента.

hungry_ewok
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.