Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 18:03



Ответить на тему  [ Сообщений: 5 ] 
Подмена порта назначения (НЕ ПРОБРОС!) 
Автор Сообщение

Зарегистрирован: 05 ноя 2019, 22:49
Сообщения: 2
предисловие:
есть железка 891к9 маршрутизатор с двумя ванами
подведены два провайдера, сделана балансировка трафика между ними, и сделано автоматическое резервирование провайдеров, сделаны пробросы портов, впн, шифрование трафа и т.д.
интернет натом раздается на разные подсети..

суть:
каким образом, заставить всех клиентов сидящих за натом, получать ответ от одного и того же сервера.. мною забитого ранее все ответы..
банальный пример: запросили мои клиенты сидящие за натом с сервера ntp.yandex.ru c порта 123 время, но циска увидела что запрашивается удаленный порт именно 123 и переадресовала его вместо ntp.yandex.ru на мой сервер 1.1.1.1:123 ..
и не важно на какой айпи адрес полетит запрос, но если будет конечным портом указан порт 123, то произойдет редирект на внутреннюю сеть или хз любое другое место но не настоящий сервер. То есть подмена порта и адреса назначения

Картинка)
natnatnatnatnatnatnatnatnatnatnatnatnatnat
NATclient>--request 5.5.5.5:123>--cisco vizhu_konechniy_PORT 123/>-- znachit_delayu_REDIRECT TO 1.1.1.1:123> ___________
<RESPONSE FROM 5.5.5.5:123 говорит CISCO(хотя по факту она будет брать ответ от 1.1.1.1:123 и отдавать его клиенту)< _)
natnatnatnatnatnatnatnatnatnatnatnatnatnat

Про цели затеи не спрашивайте, цели благие, никаких митм там атак и перехвата чужого трафа, все куда проще и прозаичнее.. других вариантов решения этой задачи нет


06 ноя 2019, 18:53
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
sharah писал(а):
cisco vizhu_konechniy_PORT 123/>-- znachit_delayu_REDIRECT TO 1.1.1.1:123>

Это делается обычным PBR.
Т.е. весь трафик по некоторому условию (dest udp port eq 123) заворачиваем на свой хост.

sharah писал(а):
RESPONSE FROM 5.5.5.5:123 говорит CISCO (хотя по факту она будет брать ответ от 1.1.1.1:123 и отдавать его клиенту

А вот для этого нужен сугубый сервер, который специально этому научен.

_________________
Knowledge is Power


06 ноя 2019, 21:25
Профиль

Зарегистрирован: 05 ноя 2019, 22:49
Сообщения: 2
ок, а можно небольшой ман куда копать или пример реализации чтоль

суть затеи следующая
есть POWERdns (свой днс сервер в котором забито миллионов 6 доменов к чему юзвери не должны иметь доступ на этих доменах и поддоменах прописан адрес 0.0.0.0) по идее они юзают его (POWERDNS)
но есть умные кто обращается например на 8.8.8.8:53 или 1.1.1.1:53 простым резолвом прописывают в хост нужные им сайты и вуаля.. фильтром который отлавливает эти запросы занимается другая железка.. вкуривает она блеклист только на следующий день ибо ей нужна трехминутная перезагрузка..только ночью.. днем мониторит и собирает плохие сайты..

а тут запрос будет выглядеть так
сделал наш особо бодрый юзверь

Код:
nslookup heroviysite.ru 8.8.8.8
 и получил ответ даже от гуглового днс что
╤хЁтхЁ:  dns.google
Address:  8.8.8.8
Не заслуживающий доверия ответ:
╚ь :     heroviysite.ru
Addresses:  0.0.0.0


ну и еще тогда скажу.. прямой инет на машины не подается.. только через проксю которая воспринимает запросы от особого авторизованного браузера на пк.. другой софт и браузеры тупо не пашут.. если прокся не видит этот особособранный браузер.. она молчит тупо

не понял про железку еще.. отвечать то будет циска, натируя траф клиенту от реального сервера..


07 ноя 2019, 00:51
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
Information must be free!

_________________
Knowledge is Power


07 ноя 2019, 01:50
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
вот и ребята из клаудфлейр подтянулись на форум))


07 ноя 2019, 08:50
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 5 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 45


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB