принудительный прокси в роутере

Тема в разделе "WASM.NETWORKS", создана пользователем wsd, 21 фев 2010.

  1. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    есть машина под линухом, работающая в режиме роутера.
    существует-ли програмная реализация принудительной переадресации запросов с определённого ипа для заданного ип на нужный мне ип ?
    возможно я не правильно в гугле формулирую вопрос :)
     
  2. stmia

    stmia New Member

    Публикаций:
    0
    Регистрация:
    29 июн 2009
    Сообщения:
    35
    возможно )
    правильно ли я поняла что вы хотите следующее:
    у каждого пакета с определенными src и dsp ip адресами проходящего через роутер
    менять dst ip, т.е вам нужно что-то типа nat с удаленным управлением ? если да - то можно
    наваять простенького демона который будет принимать чего менять и общаться на эту тему с iptables.
    готовые реализации такого мне неизвестны (
     
  3. Pavia

    Pavia Well-Known Member

    Публикаций:
    0
    Регистрация:
    17 июн 2003
    Сообщения:
    2.409
    Адрес:
    Fryazino
    А зачем программа? Вроде через iptables все можно сделать.
     
  4. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    stmia
    Pavia
    точно iptables :) называется это там DNAT

    stmia
    а для удалёнки да, наваять простенького демона общающего с ней.
    ну и прикрутить к нему OpenSSL обязательно
     
  5. loginrl_103

    loginrl_103 New Member

    Публикаций:
    0
    Регистрация:
    8 фев 2008
    Сообщения:
    271
    зачем велосипед изобретать? ssh + скрипт для отдания команды через ссх в консоль; делов то...)
     
  6. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    loginrl_103
    неа
    SSH даёт не позволительные возможности
     
  7. loginrl_103

    loginrl_103 New Member

    Публикаций:
    0
    Регистрация:
    8 фев 2008
    Сообщения:
    271
    ssh на левый порт, что-нить заумное типа port knocking, добавление правила через suid обвязку...не?)
     
  8. wsd

    wsd New Member

    Публикаций:
    0
    Регистрация:
    8 авг 2007
    Сообщения:
    2.824
    loginrl_103
    да, выше 1024 , что-бы обезрутить
    чуть подробней пожалуйста

    смысл в том, что всё-равно будет доступен дополнительный функционал, кроме нужного.
    золотое правило - не давай больше чем нужно.
    а можно в SSH отключить исполнение системных комманд, что-бы исполнялось только то, что в /home/user/bin ( где мой скрипт) ?
     
  9. loginrl_103

    loginrl_103 New Member

    Публикаций:
    0
    Регистрация:
    8 фев 2008
    Сообщения:
    271
    port knocking - http://www.google.com/search?num=100&hl=ru&q=port+knocking+howto&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&lr=lang_ru&aq=f&oq=
    в первых же ссылках описание/примеры.
    для каждого пользователя в системе определена программа, которая будет запущена при его входе в систему (шелл), обычно это нечто типа bash/zsh, вместо нормального шелла прописать скрипт_что_либо_ещё - при входе в систему сработает скрипт и ничего лишнего
     
  10. loginrl_103

    loginrl_103 New Member

    Публикаций:
    0
    Регистрация:
    8 фев 2008
    Сообщения:
    271
    в догонку, по принципу порт кнокинг можно организовать целую защитную цепочку портов, по которым прежде надо постучаться, перед тем как порт ссх откроется. цепочка из 5 портов даст порядка 65535^5 возможных комбинаций для определения необходимой последовательности портов, чтоб достучаться до ссш...враг не пройдёт) .