Безопасность сетевая, Мандракус Десктопус, Shorewall

ответ на ласт аск - брось бяку типа шореволл и читай IPtables-tutorial.

А зачем Вам вообще файрволл, если у Вас не запущено никаких сетевых сервисов и к тому-же Вы за прокси?

Если ты ходишь в инет исключительно через прокси - нет ничего проще. Выше тебе советовали Iptables Tutorial. Возьми на opennet.ru (или ещё где) русский перевод. Там всё толково написано, без лишней зауми.

Выкинь shorewall нахер. Судя по описанию - это примитивная морда к iptables, не дающая сотой доли функционала последнего.

Короче:

1. Установить политики по умолчанию для всех цепочек таблицы filter DROP.

2. В цепочке INPUT разрешить входящие пакеты по конкретному интерфейсу по всем протоколам c айпи адреса прокси с порта 8080 с состоянием ESTABLISHED,RELATED.

3. В цепочке FORWARD ничего не менять.

4. В цепочке OUTPUT разрешить все исходящие пакеты по всем протоколам на айпи прокси на 8080 порт с состоянием NEW,ESTABLISHED,RELATED.

5. Запиши список команд, которыми задаются эти правила в файл, сделай его исполняемым, и засунь получившийся скрипт куда-нибудь вроде /etc/sysconfig/iptables (не знаю, как там в мандрейке). Глянь в скрипт /etc/rc.d/init.d/iptables - там в начале скрипта проверяется условие типа if [ -f /etc/sysconfig/iptables ]; then > загружать правила из указанного файла (/etc/sysconfig/iptables), если файла нет - никаких правил не загружается. Вот ты свой скрипт и назви так, как надо. Или подправь /etc/rc.d/init.d/iptables

6. Радуйся, бо при каждом старте системы ты получишь автоматическую загрузку правил и с максимальным комфортом и безопасностью сможешь лазить по инету.

P.S. А если ещё при загрузке передавать ядру кой-какие инструкции в районе /proc/sys/net/ipv4/, /proc/sys/net/ipv4/conf/all то будет вообще чудно - но это в общем необходимо только в случае "домашних сетей", хотя...

Ох, вери сенкс и все такое)
Всю ночь сегодня не спал, драный швыревол опять пакости строит, я тож пришел к выводу что он к защите компа отношения не имеет никакого, прям как в виндовсе все эти псевдоудобные программы.
Вот сегодня вечером займусь правилописанием и выкидыванием мерзопакостей из системы.
Вообще этот скриптик страшноват, галочки выставил и типа спас десктоп от всех бед, дурят народ почем здря... Не бывает же такого! Ясно же что размер такого скрипта должен быть просто огромным, чтобы он мог "интеллектуально" заниматься настройкой безопасности, а он мелкий, меньше мега кажется.
Сенкс)

Ну прокси конечно имеется, но вся проблема в том что до прокси еще есть провайдерская небольшая сеть (локальная? по-русски не знаю((.)
И вот в этой сетке полным-полно последователей Линуса Торвальдса, мелкие такие Линусики, они тоже пишут всякие проги под GNU, ну и тестируют свои средства в сети, засранцы.. Я пока с ними не контактировал еще, в смысле советов и вообще общения, но то что они у меня в компе уже были, когда я пытался закрыть WinМе с помощью "крутых, офигенно-могучих и т.п" средств - это точно, инфу не воровали, файлы не портили, смотрели только.. и сообщение мне на память оставили! В принципе ничего страшного, но тем не менее, что-то мне не очень интересно когда мой комп для них как проходной двор.
Ну и троянов опасаюсь - безопасность начинается ведь с меня) а если мне комп затроянят - я даже боюсь подумать, скорось коннекта высокая, на уровне 10/10 мбпс..
И самое главное - мне ведь научиться хочется, это сейчас у меня есть прокси и нет важных файлов, а вдруг потом буду сервер себе ставить? Вот, интересуюсь, начинаю по-маленьку изучать всякие проблемы)))

>.. Я пока с ними не контактировал еще, в смысле советов и вообще общения, но то что они у меня в компе уже были, когда я пытался закрыть WinМе с помощью "крутых, офигенно-могучих и т.п" средств - это точно, инфу не воровали, файлы не портили, смотрели только.. и сообщение мне на память оставили! В принципе ничего страшного, но тем не менее, что-то мне не очень интересно когда мой комп для них как проходной двор. Ну и троянов опасаюсь - безопасность начинается ведь с меня) а если мне комп затроянят - я даже боюсь подумать, скорось коннекта высокая, на уровне 10/10 мбпс..

Тебе не сервер надо ставить. Тебе надо пыль стереть с мозгов, если ты не можешь безопасность даже в винде обеспечить. Научись сначала пользоваться http://windowsupdate.microsoft.com, поставить антивирус и файрвол, а потом можешь попробовать лезть в линукс.

Пааазвольти с вами несогласится! Апдейт помогает в 90% случаях, так же как и фареволы и антивирусы, я имею в виду винду. Почему?
Оч. просто. Можно по сети посмотреть сколько времени проходит между тем как напишут троян, вирус, или найдут дырку в виндах и тем как напишут заплатки, апдейты и пополнят антивир.базы. Даже если один день на это уйдет (а чаще больше) - все равно уже много.
Далее, совсем необязательно что лично для меня, хорошего такого, мелкософт кинется латать дырку, или какой-нить касперский трояноломатель придумает и по почте вышлет. Почему?
Оч. просто. Если этот вирус был написан каким-то засранцем из той же локалки, в которой и я сижу - то этого вируса или трояна могут еще месяца два не засечь в большой сети. Новую дрянь оттестировали в локалке, а только потом его пустят по всему миру. Или я говорю нереальные вещи?
Далее, винда падает. Причем часто, я бы даже сказал регулярно. Что мне остается делать? Самое простое - переставлять эту пакость. А пока я переставляю её - мой комп не больше чем динозавр, его любой вирус 2000-го года свалить может, я уж не говорю про новое что-то. Все очень просто. Даже предустановка антивируса или фаревола может не дать полной гарантии. Только и всего - апдейтнул комп, а кто-то прослушиваль локалку в этот момент и засадил трояна.
Сразу говорю - комп у меня всего один, он единственная вешчь, с которой я могу попасть в инет за обновлениями для чегобы-то нибыло.
Я ведь не знаю когда она может рухнуть от хрен поймет чего! И соответственно не могу зарание скачать базы свежие и прожечь их на СД.
И еще, почти все нормальные проги ПРЕДУСМАТРИВАЮТ что на компе имеется сервиспак или еще какая лажа, а если нет - комп не защищен ничем до тех пор пока я апдейтик не скачаю....
Это частности. Но мерзкие. Именно по этому я пытаюсь пользовать линукса - возможностей больше проскочить не безопасные стадии.
И еще одно - под линукс хороший эксплоит создать может только человек, который очень хорошо знает его, а под винду на любом сервере анекдотов можно скачать свежую дрянь. Я защищаю один единственный комп, и не от супермегахакера, а от сопляков. Именно по этому я сейчас лезу в линукс. И не надо мне говорить что страница апдейта мелкософта поможет мне как следует разобраться в основах и способах защиты *никса. Неповерю:))))
Я ведь сюда учиться пришел, и учиться никсам, а не апдейтить масдай, этим я уже набаловался...
С уважением, Я.

Что ж ты сразу не сказал про локалку с хацкерствующими юзерами?

Тогда один файрвол не спасёт...

Если ваша локалка на тупых свичах, без vpn - твоя ARP routing table должна быть статической т.е. ARP-cash должен обновляться из файла, в котором прописан вручную ip и mac адреса твоего шлюза, а не через броадкастовые arp запросы, это поможет предотвратить утечку денег с твоего счёта (в локалках любят баловаться арп-спуфингом и ходить в инет за чужой счёт).

Далее - настройки в /proc - отключить всё связанное с ip_forwarding, accept_redirects, accept_source_route и т.п. и включить rp_filter. Это для защиты от ip-spoofing.

Можно ещё пересобрать ядро с патчем от openwall - на случай, если всё-таки словишь трояна...

>Я ведь сюда учиться пришел, и учиться никсам, а не апдейтить масдай, этим я уже набаловался...

Если действительно так - you are welcome. Только на форум на этот или какой другой лучше не надейся: могут и подсказать что-то толковое, а могут и фигню, на наивных людей расчитанную, типа сделать от рута rm -rf / > /dev/null Но дело даже не в этом, а в том, что если ты потратишь чуть больше времени на чтение документации и созерцание конфигов и стартовых скриптов в процессе решения текущих задач по администрированию твоего домашнего компа, то простветление в конце будет твоим, и знание того, как работает система тоже будет твоим. А если ты будешь просто применять советы, полученные на форумах, и копировать чужие скрипты - ясности и осознанного контроля над работой системы ты вряд ли добьёшься...

Пааазвольти с вами несогласится! Апдейт помогает в 90% случаях, так же как и фареволы и антивирусы, я имею в виду винду. Почему? Оч. просто. Можно по сети посмотреть сколько времени проходит между тем как напишут троян, вирус, или найдут дырку в виндах и тем как напишут заплатки, апдейты и пополнят антивир.базы. Даже если один день на это уйдет (а чаще больше) - все равно уже много. Далее, совсем необязательно что лично для меня, хорошего такого, мелкософт кинется латать дырку, или какой-нить касперский трояноломатель придумает и по почте вышлет. Почему? Оч. просто. Если этот вирус был написан каким-то засранцем из той же локалки, в которой и я сижу - то этого вируса или трояна могут еще месяца два не засечь в большой сети. Новую дрянь оттестировали в локалке, а только потом его пустят по всему миру. Или я говорю нереальные вещи? Далее, винда падает. Причем часто, я бы даже сказал регулярно. Что мне остается делать? Самое простое - переставлять эту пакость. А пока я переставляю её - мой комп не больше чем динозавр, его любой вирус 2000-го года свалить может, я уж не говорю про новое что-то. Все очень просто. Даже предустановка антивируса или фаревола может не дать полной гарантии. Только и всего - апдейтнул комп, а кто-то прослушиваль локалку в этот момент и засадил трояна. >Сразу говорю - комп у меня всего один, он единственная вешчь, с которой я могу попасть в инет за обновлениями для чегобы-то нибыло. Я ведь не знаю когда она может рухнуть от хрен поймет чего! И соответственно не могу зарание скачать базы свежие и прожечь их на СД. И еще, почти все нормальные проги ПРЕДУСМАТРИВАЮТ что на компе имеется сервиспак или еще какая лажа, а если нет - комп не защищен ничем до тех пор пока я апдейтик не скачаю.... Это частности. Но мерзкие. Именно по этому я пытаюсь пользовать линукса - возможностей больше проскочить не безопасные стадии. И еще одно - под линукс хороший эксплоит создать может только человек, который очень хорошо знает его, а под винду на любом сервере анекдотов можно скачать свежую дрянь. Я защищаю один единственный комп, и не от супермегахакера, а от сопляков. Именно по этому я сейчас лезу в линукс. И не надо мне говорить что страница апдейта мелкософта поможет мне как следует разобраться в основах и способах защиты *никса. Неповерю:)))) Я ведь сюда учиться пришел, и учиться никсам, а не апдейтить масдай, этим я уже набаловался... С уважением, Я.

Это не оправдание. Тебе никто не мешает патчить не установленную систему а дистрибутив. Про ключик "-s:" ничего не слушал? А хотябы про "-?" тоже? Система часто падает? Проблема тогда не в винде, а в пользователе. Win2kSP4 очень трудно случайно убить, если ты конечно под Администратором не сидишь. Вирусы? А зачем ты качаешь файлы во время установки и настройки системы позволь тебя спросить? И зачем ты вообще у кого ты какие то файлы берешь в сетке у тех людей, кому ты не доверяешь? А Антивирус поставить/настроить дело 5 минут, последние обновления чаще всего лежат на ftp провайдера. Незнаю почему, но в моей сети НИ РАЗУ я не подхватывал ни одного вируса (ну разве что специально). Хакают тебя часто? Про обновления системы и антивирусы я тебе уже говорил. А если это для тебя так сложно, то можешь пожаловатся админу сетки. Можешь быть уверен, если тебя хакал не админ (а такое тоже может быть :))) то эту проблему он будет решать, к примеру обрежет сеть твоим вредителям. Эксплоиты под линукс сложно писать? А ты готовых никогда не видел? securityfocus посмотри.

Система с правильным пользователем, сервиспаками и последними обновлениями в принципе безопасна даже без антивируса и файрвола. Не веришь? Проверь, увидишь. Поверь, патчить linux для тебя будет намного сложнее, и у тебя система будет НАМНОГО дырявее чем винда.

Говоришь что не можешь на CD сбросить обновления антивируса.... А ЗАЧЕМ??? Скачать несколько метров с ftp сложно??? Система говоришь незащищенная после переустановки. Ах да, ты ведь не знаешь про такие вещи как drive image....

>Система с правильным пользователем, сервиспаками и последними обновлениями в принципе безопасна даже без антивируса и файрвола

Да ладно. Хорош гнать. Простой случай из жизни - локалка на тупых свичах, каких наверное большинство, имеем винды со всеми сервиспаками и даже антивирем и файрволом. Хацкеры практикуют arp-spoofing. Админы сетки ламера, а пользователи - вообще пипец. Верят, когда админы в ответ на "а куда делось 500 метров с моего счёта" говорят - "виндовс самообновился", или "у вас вирусня весь трафик истратила - обновляйте базы"... Альтернатив провайдерских нет, только дайлап. Что делать виндовому юзеру?

Так что не лукавь. И про стабильность винтукея тоже. Во всяком случае моё впечатление от w2kSP2 - глюкавое, падучее гамно (валилось нахер при попытке просмотреть битый сидюк, отваливался инсталлер и т.п.). Более новые версии не видел, но что-то не верится, что всё там вдруг стало шоколадно. В лучшем случае сносно, при условии, что стоять будет на очень хорошем железе.

>Да ладно. Хорош гнать. Простой случай из жизни - локалка на тупых свичах, каких наверное большинство, имеем винды со всеми сервиспаками и даже антивирем и файрволом. Хацкеры практикуют arp-spoofing. Админы сетки ламера, а пользователи - вообще пипец. Верят, когда админы в ответ на "а куда делось 500 метров с моего счёта" говорят - "виндовс самообновился", или "у вас вирусня весь трафик истратила - обновляйте базы"... Альтернатив провайдерских нет, только дайлап. Что делать виндовому юзеру?

Помоему линукс от подмены IP и ARP тоже мало как защищен :) Также как и от снифферов.

А про падучесть, так если под Администратором не сидеть, то она годами простоит. Конечно при наличии прямых рук. Хотя бывают и исключения (впрочем как и в линуксе).

Ну насчет патчить дистр, если речь идет про винду, я действительно слышу впервые. И стоит ли овчинка выделки? Мне проще установить тот же мандрак, почитать к нему инфу, поспрашивать людей, чем ковырять мелкософт.
Про 2000 - это относилось не к виндовсу, у меня нету вин2000, у меня линолеум, а относилось это к вирусам. Бо как только появился Ме - к нему тут же нарисовали вирусяк по самое небалуйся.
Про закачку файлов - я закачиваю не просто файлы, а файлы с виндозного апдейта! Не с локальной сетки - с локальной сетки я еще ничего в жизни не закачивал. Согласись - без них ну никак.
ФТП провайдера - на фтп моего провайдера никаких файлов, которые мне нужны, нету... У меня Антивир норман, а пров. работает только с F-секьюром, которого у меня нету и больше не будет.
Про хакают часто - меня хакнули явно всего один раз. Но мне этого хватило, я больше не желаю трахаться с Ме при попытках выйти в сеть.
Неужели ты думаешь что я не пытался его настроить? Еще как пытался!
Но толку никакого. Простой пример: свежевставленый виндовс, все необходимые патчи, заплатки, заклейки, замазки установлены. Никаких "шаред фолдерс" или "майкросфт нетворкс", никаких мсн, айсикю, коз, ослов и прочей херни. Чистый виндвос то есть. Но мне же нужно еще и например прожигом пользоваться - мнгновенно после установки проги, и даже после апдейта, появляются сообщения типа "херня такая-то организовала ошибку там-то, перегрузись и молись"
Это при том, что ВЕСЬ мой софт куплен, является 100% лицензионным и вроде как подобран в соответствии с с железом и друг-другом. То есть это не я бегал по рынкам (которых у нас нет), это сборщик моего компа чесал задницу и выбирал программное обеспечение к тому железу, которое он мне втюхал.
Дело тут не в моей криворукости (хотя криворук, признаюсь) - дело уже в самой системе. Система глючит даже если я никаких прог вообще не ставлю, никаких жизненно важных натсроек не трогаю - потому что дерьмо.
Иногда система падает, иногда из-за сообщений типа "кернел устроил ошибку в таком-то месте" становится просто невозможно работать.
Если бы я купил этот сраный виндовс где-нить рынке, с лотка пирата (а я бы так и сделал, если бы мог) то да, никаких претензий. Но за этот Ме и сопутствующий софт заплачены деньги в реальном компьютерном магазине. Тут. В Финляндии. Деньги, на которые (как мне знакомые объяснили) в России можно купить софта больше чем мне на хард влезет в упакованом виде. Потому я решил что винда мне не нужна. Я ведь не могу залезть на форум, прочесть что-то и пойти ковырять кернел виндовский! Я ж не програмер чтобы его крякнуть!!!! Ты сам наверное только тем и занимаешься что ядра от виндов в блокнотике переписываешь и патчишь своими разработками.
Так что о криворукости моей говорить не приходится.
Далее, чтобы с ФТП что-то скачивать - лично мне нужен браузер типа нетскапы, или оперы. Бо эксплорер в моих условиях на ФТП не пролазит. Даже через ДОС я на фтп не попадаю, мне такое отрубают прямо на прокси.
А линукс сообщений об ошибках даже без патчей дает в 10 раз меньше, при выполнении тех же задач. Линукс я могу менять как мне в голову взбредет, захочу - ядро выну из слаки и налеплю на него модулей которые только в дебиане есть, или возьму мандрак, перековыряю его как вздумаю и начну продавать - и никто мне слова не скажет! Захочу - куплю суську за 60 евро и поставлю на 10 компах, а не один поганый огрызок платформы за 140 и только на один комп...
Я прекрасной понимаю, ты человек умудреный опытом, много чего в линуксах повидал (если это конечно так) но вспомни сам как ты возился впервые с линуксами? Ведь не сразу же ты узнал все про него, прям в первый день - достал дистр на дискетах, посмотрел распечатку на матричном принтере и все про никсы понял. Не бывает такого. И я не собираюсь за одну ночь стать хакером, или сетевым админом. Более того, я даже не претендую на звание продвинутого юзера в будущем. Мне просто хочется знать как мой комп тикает, я хочу юзать именно свой десктоп и самостоятельною. Я хочу бороться с проблемами на несколько более тонком уровне, чем поиск 20-и мегабайтных патчей в сети или снос системы, или удаление пакетов. А ты меня посылаешь в далекий майкрософт, типа "ПНХ"? Я не понимаю такого. Я пришел за помощью, которая как известно дело добровольное. Не хотишь помогать - не мешай.
Я ведь даже не прошу никого "переписать мне все" - я спросил совета на счет где уже есть инфа как и чего - мне помогли, уже помогли, и мощно. Теперь вместо того чтобы трястись над десктопом (как бы кто не взломал пока я тут кернел смотрю, или там конфиги рою у мозилы. Теперь я хотя бы спокоен - если система рухнет (а у меня есть уже запасной спасательный диск с последней работающей версией, лично прожигал на РВ) то виноват в этом буду я сам, а не Вася-кульхацкер из соседнего подъезда.
Не надо меня запугивать, я прекрасно знаю что линукс это короткий путь к одичанию и потере зрения. Ну чтож, одним красноглазым будет больше, тебя ведь это не может в принципе задевать... Я знаю что повозится придется - и не отказываюсь возиться, давно уже ясно что если хочется свою систему, которая будет работать и не будет глючить страшным образом - то нужно её руками делать. Разница между виндой и никсами такая что в никсах я могу что-то руками делать, а в винде нет. Потому я выбираю линукс. Пусть у меня все будет дыряво и коряво, но это будет мое. И вообще, посылания меня в сторону винды можно считать оскорблением. Dixi.

>Помоему линукс от подмены IP и ARP тоже мало как защищен :)

Ой ли? Как в виндах сделать static arp routing table, который точно помогает от арп-спуфинга? Виндовый аналог rp_filter? В студию, плиз.

Или может сравним функциональность iptables и любого personal windows firewall? Виндовый аналог openwall, pax, rsbac?

>Также как и от снифферов

От них спасает только криптование траффика, и тут пофиг какая ОС :)

>А про падучесть, так если под Администратором не сидеть, то она годами простоит

У меня w2kSP2 только пол-года продержалась. Даже при том, что я не геймер, и не любитель часто ставить-сносить проги...

Ну ладно ладно. Только для обучения, Мандрейк плоховато подходит. Тут лучше всеми обруганая Slackware, или там Debian.

>Я ведь не могу залезть на форум, прочесть что-то и пойти ковырять кернел виндовский! Я ж не програмер чтобы его крякнуть!!!! Ты сам наверное только тем и занимаешься что ядра от виндов в блокнотике переписываешь и патчишь своими разработками.

Ну зачем же так? Сомневаюсь что ты можешь ковырнуть кернел Линуксовый. Покрайней мере сейчас.

>А ты меня посылаешь в далекий майкрософт, типа "ПНХ"? Я не понимаю такого. Я пришел за помощью, которая как известно дело добровольное. Не хотишь помогать - не мешай.

>Пусть у меня все будет дыряво и коряво, но это будет мое. И вообще, посылания меня в сторону винды можно считать оскорблением. Dixi.

Ну если бы я имел в виду ПНХ или пытался бы оскорбить тебя, то я бы говорил тебе совсем по другому. И не надо так нервничать пожалуйста.

масса слов а толку ноль

лезь на www.freshmeat.net сделай поиск по monmotha кажется не ошибся :o) скачай скрипт опставь на гатевей пропиши свои адреса и наслаждайся жизнью

хехе... в мандраковских таблицах на -sport и -dport шелл матом ругается.. хехе

> хехе... в мандраковских таблицах на -sport и -dport шелл матом ругается.. хехе

каким местом -sport и -dport относятся к shell'у ?

либо поставьте -p tcp спереди.

> Win2kSP4 очень трудно случайно убить, если ты конечно под

>Администратором не сидишь. Вирусы? А зачем ты качаешь файлы во время

>установки и настройки системы позволь тебя спросить? И зачем ты вообще

>у кого ты какие то файлы берешь в сетке у тех людей, кому ты не

>доверяешь?

>Orlangur

Приходится и Винды, и Линукс настраивать. Несмотря на то, что ставлю на Винды ZoneAlarm + AVP (или DRWEB), а также Outpost вместо ZoneAlarm, периодически проходят почтовые вирусы и Интернет-черви (почтовый клиент - TheBat с подключенным антивирусом) + Сервис Паки и прочее обновление от M$ (винды лицензионные). Если уговорить пользователя пользователя использовать mozilla для виндов, то положение лучше, но все равно несколько раз в год вирусы проходят. Под Линуксом таких проблем нет (на десктопе, все сервисы отключены, периодически ставяться update от производителя).

Говорю о том, что сам вижу. Удивляет, что наличие фаерволов и антивирусов в винде не дает 100 % гарантии.

----------------

Пришел к тому, что придется изучать как делать backup системы (и в винде, и в Линуксе) - может кто посоветует с чего начать.

2 БартОН Все нижесказаное мое ИМХО Милениума мне хватило 1 раз поставить повозиться с ним пару часиков, это НЕ ОСЬ эТО ПРОСТО КАЛ, которому дайполежать, вин 98 намного клевее ее в плане стабильнности...

Вин2кСП4 на самом деле нормально держиться..., в принципе у меня сп2 стояла более полугода пока не перешел на ХР

дома у меня вин ХР без паков(есть тока заплатки от мсбласта и тп), стоит с августа месяца, притом что у меня 3 брата игруны и удалить-установить что нить их любимое занятие, права я оставил админские, хотела она урониться 1 раз, я поддержал её ,и она до сих пор прекрасно работает ...(правда железо у меня все не но нэйм, это тоже ооочень влияет на стабильность)

за 4 года пользования инэтом ни когда не имел дома антивируса, и, слава Богу, не цеплял ни чего, фаер вол был когда был 1 комп, а щас их 2 и один занимается чито выходом в инэт, стоит на нем шапка 9ая с настроенным иптаблезом.

в скором будующем собираюсь подцепиться к районой локалке(пров Центел) отсюда просьба поподробней рассказать про :

static arp routing table

и вообще про арп-спуфинг (ссылки на доки желательно)

Norton Ghost начни с него

>в скором будующем собираюсь подцепиться к районой локалке(пров Центел) отсюда просьба поподробней рассказать про :

>static arp routing table

>и вообще про арп-спуфинг (ссылки на доки желательно)

Если коротко - arp, это протокол передачи кадров эзернет, в которые пакуются пакеты tcp/ip и поч. вышестоящих протоколов стека. Типа транспорт для tcp/ip. ARP не знает ничего про tcp/ip, не пронимает ip адресов, он понимает только MAC-адреса, адреса сетевых карт. Линуксовое ядро рулит ARP-кэшем, в котором хранятся записи о соответствии IP/MAC компов в сети, к которым/с которых обращается хост. Этот кэш периодически обновляется. По умолчанию, он обновляется динамически, т.е. хост рассылает широковещательные запросы типа arp who is at 0.0.0.0 tell 1.1.1.1. В идеале, каждый хост в локалке, должен получить этот запрос, сравнить свой айпи, с тем, который запрашивается, и, если запрошенный айпи и его собственный айпи совпадают, послать ответ хосту 1.1.1.1 вида arp reply 0.0.0.0 is at 00.87.90.h0.10.4f, т.е. сообщить хосту свой мак, или игнорировать запрос, если он предназначен другому хосту. Но, если найдётся в сети умник, который будет слать ответы на запросы, ему не предназначенные, может возникнуть проблема. Он может в ответ на запрос клента, "а какой мак у шлюза в интернет" прислать поддельный мак, мак на своей сетевухе. И тогда клиент посылает пакеты на айпи настоящего шлюза, но идут они на сетевуху хацкера, который транслирует эти пакеты реальному шлюзу, подменяя мак адрес источника, и, с точки зрения шлюза, всё ОК, трафик идёт как положено. Проблема перехвата ответов от шлюза к хосту чуть сложнее, там могут быть разные ваприанты, как с полным перехватом трафика, так и с частичным. Но результат, как правило, один - пользуясь установленным хостом соединением через эдакий арп-прокси, хакцкер может создавать свои соединения на халяву, так как биллинговая система на шлюзе будет относить всё на счёт хоста-жертвы спуфинга. Собственно, это и есть арп-спуфинг.

Чтоб избежать такой засады, самое простое и действенное - заставить arp кэш обновляться не через бродкастовые запросы (мало ли кто кем себя обьявит), а из файла, в котором тупо прописан айпи/мак сетевухи шлюза, смотрящей в локалку. Тогда, твой комп не станет спрашивать все компы в сети "подскажите плиз мак шлюза", а сразу будет слать пакет по указанному в файле маку. Есно, для адресов, не указаных в файле, кэш будет обновляться динамически. Имхо, единственный спрособ перехвата соединения в таком случае - обьявить свою сетевуху реальным мак /ip сетевухи шлюза, но это с большой вероятностью положит сеть и ничего в итоге не даст. Могут быть проблемы с авторизацией на шлюзе, если работает ложный арп-сервер, но по крайней мере трафик не пропадает :) Единственная проблема - смена сетевухи на провайдерском шлюзе. Смотришь arping'ом - а в сети два хоста с айпишником шлюза и разными маками :) , перезваниваешь прову, уточняешь настоящий мак, прописываешь в файл вместоо старого, перезапускаешь сеть - и всё. Зато бабки на счету тратишь только ты :)

З.Ы. Ссылки на доки - в гугле.

2 bsh

ОГРОИНОЕ Cпасибо !

shorewall просто готовый скрипт а раз скрипт то нуно разобраться с том шо там написано а шобы разобраться опять таки читать iptables tutorial а так поставь 1 в /etc/sysctrl.conf против всего что содержит ICMP для

eth0 напиши пару правил в IPTABLES iptables -A INPUT ! eth0 -j ACCEPT iptables -A INPUT eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -P INPUT DROP тада с компа пошлешь все што угодно а к тебе примутся тока ответы