как перехватывать NEW пакеты в tcp соединении

0

2

Всем привет Помогите разобраться,бред какой то происходит не пойму кто глючит либо айпитейбл либо веб сервер либо я (((,кроче -проблема:

мне надо перехватывать NEW пакеты в tcp соединении,т.е когда связь с нетом не установлена, клиент ввевши юрл должен редиректится на веб сервер водит логи и пароль после чего на фаере порты отрываются и клиент получай доступ (банальная веб авторизация) для этого я сделал следующие

iptables -t nat -A PREROUTING -s 10.0.1.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 80

Согласно этому правилу, первый пакет тср соединения должен редиректится на веб сервер для аторизации, после аторизации все остальные пакеты естаблишед должны пропускаться, но не фига не происходит ((, порты на фаере открываются связь есть а вот когда пытаюсь ввести юрл меня обрадно бросает на страницу авторизации (( потом решил сделать так:

iptables -t nat -A PREROUTING -s 10.0.30.0/24 -p tcp -m state --state NEW --dport 80 -j REDIRECT --to-ports 80

НО ЭТО ТОЖЕ НЕ КОНАЕТ ((( Посоветуйте что то еще, плиззз

Ссылка

←	Помогите с правилом Iptables

Маршрутизатор: два WAN & два LAN

→

Круто, Санёк. Как можно было запостить это в раздел linux.org.ru?

name_no ★★
(23.09.10 13:56:42 MSD)

Ссылка

маркируй по мак-адресу, потом пускай только их

-A PREROUTING -s 10.0.0.1/32 -i eth1 -m mac --mac-source 00:11:11:67:1B:97 -j MARK --set-xmark 0x1/0xffffffff

-A INPUT -i eth1 -p tcp -m tcp --dport 80 -m mark --mark 0x1 -j ACCEPT

INPUT -P DROP, естественно.

anton_jugatsu ★★★★
(23.09.10 14:00:01 MSD)

Ссылка

>NEW пакеты в tcp соединении
Читайте, что такое состояние NEW (кстати, этот термин существует только в iptables: в tcp/ip такого понятия нет).
http://www.opennet.ru/docs/RUS/iptables/

iptables -t nat -A PREROUTING -s 10.0.1.0/24 -p tcp --dport 80 -j REDIRECT --to-ports 80

pzdc...

markevichus ★★★
(23.09.10 15:21:06 MSD)

Ссылка

Вы таки да уверены что в первом пакете авторизация?

ventilator ★★★
(23.09.10 17:32:20 MSD)

Ответ на: комментарий от ventilator 23.09.10 17:32:20 MSD

В первом пакете идет запрос со статусом syn,запрос на установление тсп соединения. В принципе в таблице прироутинга обрабатывается только первый пакет тсп соединения а все остальные пакеты с статусом естейблишед не обрабатываются, но это почему то не работает в моем случаи,пакеты с статусом син и аск в последствии образуют нью состояние которое как было выше написано используется только в айпитейбле. Я пытался использовать правила для перехвата пакетов с нью состоянием а так же с флагом син, но в результате получал те же самые «яйца» ((

Sanya
(24.09.10 11:13:04 MSD) автор топика

Ссылка

поставь себе нормальный биллинг с прозрачным прокси, и не ломай людям парсеры в мозгу.

MikeDM ★★★★★
(24.09.10 11:20:44 MSD)

Ответ на: комментарий от MikeDM 24.09.10 11:20:44 MSD

:)))) ok

Sanya
(24.09.10 11:31:31 MSD) автор топика

Ссылка

порты на фаере открываются связь есть а вот когда пытаюсь ввести юрл...

Значит некорректно открываются. При открытии нужно отключать данное правило для клиента, прошедшего аутентификацию. Например добавлением перед правилом с REDIRECT-ом правила с ACCEPT-ом:
iptables -t nat -I PREROUTING -s 10.0.1.x -p tcp --dport 80 -j ACCEPT

spirit ★★★★★
(26.09.10 23:02:52 MSD)

Ответ на: комментарий от spirit 26.09.10 23:02:52 MSD

Все как оказалось гениально и просто :)) Спасиб большое, все работает ;)

Sanya
(27.09.10 10:59:16 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Помогите с правилом Iptables

Admin

Маршрутизатор: два WAN & два LAN

→

Похожие темы