Полезные знания Самостоятельный аудит iptables - проверяем дыры в фаерволах.

  • Автор темы ГоГи Я
  • Дата начала
ГоГи Я

ГоГи Я

*
Регистрация
12/8/18
Сообщения
105
Симпатии
1,005
Депозит
0.00 RUB
Автор темы #1
Поделюсь краткой инструкцией проверки правильности настроек прозрачной - актуально в первую очередь для тех, у кого весь трафик машины запущен через тор. При такой схеме все без исключения пакеты (ну не вот прямо все, имеются в виду все пакеты протокола tcp, так как кроме них есть еще например ARP пакеты, пакеты которыми обмениваются адаптер с точкой в процессе работы, те же EAPOL keys и т.п.) должны идти строго через тор. А если точнее - то через входной узел цепи тора - сторожевой или мостовой узел. Для аудита нужно установить два анализатора трафика:

Код:
sudo apt update && sudo apt install -y iptraf-ng tcpdump

после того как пакеты установятся нужно узнать имя интерфейса, через который вы выходите в сеть. Для этого нужно правой кнопкой кликнуть на иконке соединения на панели задач и выбрать опцию Connection information, после чего посмотреть на конец строки Interface:
photo_2018-11-30_14-58-41.jpg
В моем случае интерфейс называется wlan0.

После чего открываем два терминала и исполняем в них команды. В первом:

Код:
sudo iptraf-ng -d zzz0

где:

zzz0 - ваш интерфейс, например wlan0/eth0/usb0 и т.п.

Во втором:

Код:
sudo tcpdump -i zzz0 not arp and not host xxx.xxx.xxx.xxх -vv
где:
где zzz0 - ваш интерфейс, например wlan0/eth0/usb0 и т.п.
xxx.xxx.xxx.xxх - это IP адрес входной ноды - его можно посмотреть в onioncircuits (справа верхняя нода). правда если подключаться к мосту там будет написано unknown - так что айпишку нужно смотреть в torrc по отпечатку узла (Fingerprint).

Если все настроено правильно - то в iptraf-ng все пакеты должны быть TCP/IPv4, а в дампе tcpdump не должно быть захваченных пакетов - тупо две строки запуска анализатора:
photo_2018-11-30_15-06-40.jpg
Слева сверху iptraf-ng, слева снизу tcpdump.
 
Probiv.biz

Меню

Сверху Снизу