Невидимый сервер

что значит невидимый?
nmap -sP -T4 192.168.0.0/24
arp -an
за несколько секунд покажет наличие вашего сервера как ни фильтруйте
а ACL да, стройте какие надо чтобы лишний народ не приходил

открывайте документацию по IPTABLES и читайте.
Дропать пакеты можно по разному :

icmp-net-unreachable, icmp-host-unreachable, icmp-port-unreachable, icmp-proto-unreachable, icmp-net-prohibited and icmp-host-prohibited.

это REJECT-ить их можно по разному. а дропать - только по одному :D -j DROP

а по теме - сделать это вполне реально. только для этого нужен доступ к маршрутизатору в сети :) закрывать доступ именно на нем, а не на самом сервере.

>это REJECT-ить их можно
верно.

если сервер и клиенты находяться в одном сегменте, то тут нужно использовать ebtables чтобы сервер маком не светил.

всё можно, вопрос только нахуха?

спасибо всем за ответы - сервер стоит в корпоративной сети - интернет закрыт и запрешен по всем лазейкам (нет физического соединения - только служебная сеть по все России) (такое вот уж руководство) - служба безопасности сканирует сети на наличе расшаренных ресурсов (и не дай бог найдет) но интернет необходим (кудаж сейчас без него) народ просит доступ - вот и возникла идея поставить сервер со спутниковым доступом - и замаскировать его чтоб даже пинг на него не шел. а видели его только те пользователи которым открыт для него доступ...но так как с такой задачей не разу не сталкивался - решил спросить у более опытных - как сделать?

если есть хоть малейший признак анализа трафика (аналог netflow) на маршрутизаторах, то тебя вмиг засекут.

какой траффик - это по барабану сканируются порты в сети (Samba FTP и тд.) трафик по корпоративке ни кто не контролирует можно качать хоть гигами но только с разрешенных серверов просто нужно полностью закрыть доступ к серверу чтобы даже пинг на него не шел с не разрешенных компов - нужно чтобы сервак был полностью не видим чтобы его не смогли просканить на наличие шары - а то блин подсудное дело.

ну тогда iptables с разрешением доступа по src ip
а все остальное drop.

ну покажет nmap порты со статусом filtered. который какбэ намекает.
кроме как не пускать ненужных пакетов на кор-роутере сети способа нет.

А сам факт наличия нового сервера не страшен? И что значит проверка на шары? На машинах обязательно должен быть фаервол и все закрыто или просто не должно быть виндозных шар? В том плане, что может копать в сторону тунелей, и маскировать трафик по "обычный", допустим icmp. Посмотреть tcpdump'ом какой в вашей сети летает мусор и вперед. Или на компах не должно быть "левого" софта?

P.S. ИМХО, как не маскируйте, все равно спалитесь, по своему опыту скажу, что нельзя скрыто раздать доступ в Интерент.

может еще стоит заполнить arp таблицу для вашей подсети только разрешенными MACами (и IPами), а остальным адресам прописать левый MAC.

iptables, ebtables, arptables - что бы закрыть все и всем кроме тех кому надо.

еще можно трафик в инет от пользователей до сервера зашифровать, например, VPN с шифрованием.

Для доступа в интернет сделай другую сетку для своего офиса.
Например, 172.16.0.0
И компам, которым нужен выход в интернет присвой вторые адреса из этой подсетки. Или вообще по PPPoE доступ сделать.

Служба безопасности, кстати где ? В вашем офисе сидит, или из головной конторы сканирует ?

> народ просит доступ - вот и возникла идея поставить сервер со спутниковым доступом

У тебя возникла дебильная идея. Ты обладаешь полномочиями для принятия таких решений? Если народу нужен инет - пусть этот народ идет к своему боссу и просит его. Если СБ обнаружит у тебя этот подарок - ты будешь первым, кто огребет по полной и, кстати, за дело.

+1 не понимаю таких идиотов, которые в ведомственных сетях всякую херню творят

не reject, а именно drop.
в таком случае nmap, равно как и любой другой сканер, покажет timeout.
да и сам по себе tcp rst в ответ на соединение тоже ни на что "как бе не намекает", так как это нормальное поведение целого семейства ОС.