[DLink 900AP+ vulnerability]

Когда то проскакивала информация о том, что Dlink 900AP+ подвержен атаке

через tftp (т.е. любым клиентом можно стянуть файл config.img в котором находятся все настройки, в том числе и пароли). Это было возможно на прошивках до 2.2 включительно на ARM7 (rev. A, . Кто знает, новые Dlink-и 900AP+ на ARM9 (rev.c, прошивки версии 3 ) какие файлы открывают в tftp? (обнаружились только eeprom.dat, mac.dat wtune.dat, img не вытаскиваются)

Насчет новых 900 это ты загнул. Они с производства уже сняты.

сняты. на сайте про них упоминаний нет. новые - это те, которые

имеют прошивку версии 3 и больше.

[2 providers]

Воспользоваться возможностями advanced routing ядер 2.2 и выше с помощью пакета iproute2

Во, так и делается, а люди скриптов напридумывали, хотя все равно молодцы что альтернативу предложили

а как преодалеваются те возникающие при этом проблемы, которые я описал?

[Учет траффа на внешнем интерфейсе+iptables]

eth2-195.58.237.20 инетрфейс на исходящий траффик на котором и надо считать

195.58.237.1-гейтвей для этого интерфейса

вход и выход по умолчанию разрешены в правилах

Я думаю сами правила фаервола тебе не нужны?

конечно же нужны, я не шаман - искать ошибки в программе не видя ее в глаза

[DLink 900AP+ vulnerability]

Когда то проскакивала информация о том, что Dlink 900AP+ подвержен атаке

через tftp (т.е. любым клиентом можно стянуть файл config.img в котором находятся все настройки, в том числе и пароли). Это было возможно на прошивках до 2.2 включительно на ARM7 (rev. A, . Кто знает, новые Dlink-и 900AP+ на ARM9 (rev.c, прошивки версии 3 ) какие файлы открывают в tftp? (обнаружились только eeprom.dat, mac.dat wtune.dat, img не вытаскиваются)

[SYN-пакети help!!!]

спасибо. А для iptables - если не затруднит. Плиззз.

лучше всего так:

iptables -A INPUT -p tcp -m state --state NEW -j DROP

[2 providers]

Воспользоваться возможностями advanced routing ядер 2.2 и выше с помощью пакета iproute2

При этом

Сделать несколько маршрутов по умолчанию с одинаковым приоритетом

(можно и с разным, в зависимости от того, через какой интерфейс преподчтительнее отсылать пакеты).

ip route add default scope global nexthop via $P1 dev $IF1 weight 1 \
    nexthop via $P2 dev $IF2 weight 1

здесь $P1 - адрес первого шлюза, $P2 - адрес второго шлюза, $IF1 - интерфейс,

который смотрит на первый шлюз, $IF2 - интерфейс, смотрящий на второй шлюз

weight - предпочтение (чем больше - тем лучше).

При этом если один шлюз недоступен - пакеты пойдут по другим.

Здесь есть два момента:

- несколько пакетов из одного соединения могут уйти на разные интерфейсы.

- при недоступности шлюза через один из интерфейсов уже установленное соединение через "упавший" интерфейс будет разрываться только по time-out.

Обе эти проблемы можно решить, если знать исходящий адрес пакета, являющегося частью уже существующего соединения, до момента принятия решения о маршрутизации, но как это сделать средствами iptables conntrack без сторонних патчей - не знаю, может кто подскажет.

Подход, решающий обе эти проблемы,правда, с накладыванием "левых" патчей, можно посмотреть здесь

[Учет траффа на внешнем интерфейсе+iptables]

Помогите написать правила для учета траффа на внешнем исходящем (eth2-только исход)интерфейсе с помошью iptables

Создал еще одну цепочку под название countrules и перенаправил туда весь исходящий траф, сделал там правило чтоб считало от моего рутера до рутера прова, но что-то сверху цепочки кол-во байт как над стандартными не отображается!!! :-/

Напиши адреса хостов и используемые правила.

[Шейпер? кто чем пользуется ?]

а кто как шейперит трафик в Линукс?

раньше пользовался cbq, теперь, если нужно - выбираю htb.

Причина - более точное ограничение полосы (нет прехитрых таймингов как в cbq),

сравнительно простая настройка. Рекоммендую пользоваться утилиткой tc из пакета iproute2 Алексея Кузнецова. Дополнительную информацию можно найти

в Linux advanced routing and traffic countrol (LARTC) howto.

[Samba несколько сегментов сети]

Самба и на одином сегменте работает нормально до поры до времени, пока компов и свитчей не перевалит критический уровень.

Т.е. пока не сильно нагружена сеть.

Бродкасты сильно забивают.

Переходите на ftp, не парьтесь.

Пока время передачи информации о мастер-броузере в сети меньше интервала, за который самба успеет объявить себя мастер-броузером и выиграть выборы - в сети будет только один мастер и работать smb будет нормально.

Для того, чтобы не забивали броадкасты, рекоммендую использовать wins.

ftp-сервер сложнее поднимать с точки зрения пользователя и для полноценной замены smb-over-netbios требует еще локального dns-сервера, поэтому только на него переходить сеть [пока] не готова.

Единственный момент - для каждого, кто хочет видеть списки ДВУХ (трех и более) сетей, должен настроить на своей (клиентской) машине соответствующее количество WINS'ов.

Жаль, что wins-репликацию судя по всему самба не держит. Спасибо.

[Samba несколько сегментов сети]

Привет!

 

Ситуация следующая - есть 2 сети - 192.168.44.0/24 и 192.168.1.0/24 между ними маршрутизатор провайдера (не пропускающий широковещательный трафик, к нему доступа нет).

Нужно настроить корректный просмотр списка компьютеров обоих сетей

с компьютера любой сети.

Почитав samba-howto решили сделать следующую конфигурацию (2 компьютера, один - 192.168.44.27, второй - 192.168.1.29 оба работают с самбой) - в каждой из подсетей поднять wins-сервер, сделать его local master, prefered master и domain master, и на каждом мастер броузере аннонсить мастер-броузер другой сети, к примеру на 192.168.1.29 это выглядит так:

local master = yes
os level = 65
domain master = yes
prefered master = yes
remoute announce = 192.168.44.27
remoute browse sync = 192.168.44.27
wins support = yes

в результате видны рабочие группы соседней сети но не видны компьютеры в этих рабочих группах.

Кстати, какие порты используются при обмене аннонсами и списками компьютеров, пока на роутере провайдера открыты 135-139 порты.

Может кто сталкивался и решал проблему броузера на 2 сети? Поделитесь опытом.