Pull to refresh

Chrome заблокировал TCP-порты 69, 137, 161, 1719, 1720, 1723 и 6566

Information Security *Antivirus protection *Browsers Software


Для защиты от уязвимости NAT Slipstreaming 2.0 браузер Chrome заблокировал доступ к сайтам ещё на семи портах: 69, 137, 161, 1719, 1720, 1723 и 6566.
Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Views 26K
Comments 33

Специалисты изучают, как Skype обманывает файрволы

Lumber room
Битва сисадминов и разработчиков Skype продолжается с переменным успехом. Компания Heise Security опубликовала подробную инструкцию для системных администраторов с разъяснением, каким образом P2P-программе Skype удается работать из-за файрвола, вопреки настройкам системы безопасности.

Для этого разработчики Skype используют ряд специальных техник. Во-первых, программа обманывает файрвол, сообщая ему об уже установленном соединении, после чего начинает передачу UDP-пакетов. В заголовках этих пакетов, в отличие от пакетов TCP, содержится информация только об IP-адресе и порте, ничего больше. Во-вторых, для передачи «секретной» информации между собеседниками используется сервер Skype, а потом два ПК устанавливают между собой прямое соединение между UDP-портами, так что файрвол не может его блокировать.

Подобную технику под названием “UDP hole punching” для обмана файрволов используют и другие P2P-программы.
Total votes 13: ↑13 and ↓0 +13
Views 506
Comments 10

Установка и настройка VPN сервера с биллинговой системой AbillS на Ubuntu 7.10

Configuring Linux *
Наверно всем известно, что ситуация с ценами на интернет в Москве и по России разительно отличается.
Для сравнения в Тольятти (Самарская область) безлимитный доступ на скорости 512кбит/с на месяц обходится в сумму 2300р.
В столице за эту же сумму можно наверно взять уже 20Мбит.

Так вот, как бы это дико не звучало, но я собираюсь, для уменьшения расходов, делиться этим каналом (512кбит/с) еще с несколькими людьми в локальной домовой сети =)

Провайдер дает доступ к интернету через свой VPN сервер.

Юзеры в локалке имеют доступ ко внутригородским ресурсам бесплатно и без контроля трафика.
Во внешку было решено выпускать их через VPN соединение с сервером в локальной сети.

Система была опробована и работает уже почти полгода, нареканий в работе никаких не поступило, все стабильно.

Конфигурация сервера: Pentium III 1000MHz, SDRAM 512Mb

Для уменьшения нагрузки на серве, было решено не использовать сжатие и шифрование, в связи с этим в клиентах требуется дополнительно снять галочку «требовать шифрование» в настройках VPN в Windows

В этой инструкции было решено собрать весь опыт по установке и настройке.
Изначально писал для себя, но думаю общественности тоже может быть полезно.

Читать дальше →
Total votes 22: ↑20 and ↓2 +18
Views 17K
Comments 68

Минусы бюджетных маршрутизаторов на примере Zyxel P334 EE

Computer hardware
Недавно я писал о переходе к интернет-провайдеру Онлайм. После полутора месяцев работы впечатления остаются положительными. Разрывов со стороны провайдера пока не наблюдал. Однако хочу поделиться немного негативным опытом установки маршрутизатора. Статья опубликована изначально в моем блоге, но, возможно, хабрасообщество поможет с более правильным решением нижеописанной проблемы, если такое решение вообще есть.

Вначале у меня был подключен лишь один домашний компьютер, и все работало как часы. Когда понадобилось подключить второй, решил купить недорогой простенький маршрутизатор без Wi-Fi и прочих излишеств. Однако поленился почитать обзоры и положился на доброе имя Zyxel — об их продукции слышал всегда только хорошие отзывы. Особенно в плане надежности. Забегая вперед, скажу, что как раз с точки зрения надежности нареканий никаких не возникло. Я купил недорогой маршрутизатор Zyxel P-334 EE.

Так как в Онлайм все настройки TCP-IP автоматические, подключение маршрутизатора должно было быть простейшим — включил и работает. В принципе все так и было.
Читать дальше →
Total votes 44: ↑35 and ↓9 +26
Views 3.4K
Comments 204

Идея стартапа — кто реализует?

Self Promo
Иногда очень хочется скрыть источник, из которого берется какой-либо контент — не обязательно для этого быть злостным пиратом или агентом Аль-Кайеды, достаточно простой конкурентной борьбы между двумя конторами.
как решить вопрос?
Total votes 8: ↑2 and ↓6 -4
Views 543
Comments 16

Cisco: Порядок обработки пакетов «в сложных конфигурациях»

Cisco *
Регулярно сталкиваюсь с проблемой вспомнить, в какой последовательности
идет обработка пакета в Cisco, соответственно также регулярно ищу сей документ.

Может быть будет полезен кому-то кроме меня:

Пакет Inside−to−Outside
  1. if IPSec then check input access list
  2. decryption − for CET (Cisco EncryptionTechnology) or IPSec
  3. check input access list
  4. check input rate limits
  5. input accounting
  6. policy routing
  7. routing
  8. redirect to web cache
  9. NAT inside to outside (local to global translation)
  10. crypto (check map and mark for encryption)
  11. check output access list
  12. inspect (Context−based Access Control (CBAC))
  13. TCP intercept
  14. encryption
  15. queueing


Пакет Outside−to−Inside
  1. if IPSec then check input access list
  2. decryption − for CET or IPSec
  3. check input access list
  4. check input rate limits
  5. input accounting
  6. NAT outside to inside (global to local translation)
  7. policy routing
  8. routing
  9. redirect to web cache
  10. crypto (check map and mark for encryption)
  11. check output access list
  12. inspect CBAC
  13. TCP intercept
  14. encryption
  15. queueing


Извлечено из Cisco Document ID: 6209
Total votes 4: ↑2 and ↓2 0
Views 10K
Comments 3

Windows XP NAT

Lumber room
Здравствуйте, хабрааксакалы :) Пытаюсь настроить интернет для общежития, пока не очень. Зная, что на ресурсе полно грамотных людей, прошу помощи в этом нелегком деле. В благодарность обещаюсь написать детальный пост с картинками и HOWTO-шной феерией о проблеме.

Читать дальше →
Total votes 22: ↑11 and ↓11 0
Views 764
Comments 27

Используем 2+ провайдера (вторая часть)

Configuring Linux *
Продолжим настройку нашего шлюза, про который я говорил в предыдущей статье. Напомню, там мы настроили правила маршрутизации, теперь нам надо заняться iptables. Сейчас мы настроим сеть состоящую из шлюза и сервера. На шлюзе будет работать SSH и DNS, а сервер у нас будет виндовый на нем у нас RDP и SMTP. Сеть будет настроена таким образом, что через любой из внешних айпишников мы сможем подключаться к любому из серверов, а SMTP сервер будет выходить наружу через основного провайдера.
Читать дальше...
Total votes 34: ↑29 and ↓5 +24
Views 25K
Comments 10

VPN с возможностью прохождения через файрвол/NAT

Lumber room
NAT (Network Address Translation) обладает массой достоинств, но и не лишен недостатков, например, необходимости конфигурировать проброс портов (port forwarding) в случае если мы хотим иметь доступ к серверу, который находится за NAT раутером. Существует несколько способов прохождения через NAT (NAT traversal). В данной статье я попробую рассмотреть один из них, который основан на UDP hole punching (буквально — пробитие дырки с помощью UDP, прошу прощения за кучу терминов на английском, но я просто не знаю как их благозвучно воспроизвести по-русски).
Читать дальше →
Total votes 9: ↑9 and ↓0 +9
Views 2.7K
Comments 9

Не совсем обычное VPN соединение обычными средствами

Network technologies *
Искал интересную тему, заслуживающую внимания, чтобы получить инвайт на Хаброхабре и вот нашёл. Такой особенный случай мне пришлось недавно реализовать.

Постановка задачи: Получить доступ к узлам удалённой сети.


Здесь мы будем говорить о двух сетях, которые нужно объединить, одну из которых я буду называть «моя офисная сеть», а другую «удалённая сеть».
Системный администратор удалённой сети отказывается вносить наименьшие изменения, для подключения и единственное что можно сделать — это поместить своё оборудование в удалённой сети. Выход в интернет из этой сетиv4 производится через шлюз, который натит в мир. Нужно построить тоннель, между двумя офисами, чтобы узлы моей офисной сети могли получать доступ к узлам удалённой сети, при минимальных изменениях c обеих сторон.

Для выполнения задачи объединения двух сетей и построения виртуального тоннеля нужно использовать Virtual Private Network. В ходе поиска подходящего варианта подключения, для себя разделил VPN на два вида: клиент-серверный вариант и равноправный. В следующих моментах заключается принципиальное отличие:
  • В равноправном VPN, использующем глобальную сеть интернет, нужно иметь один реальный IP адрес, для каждого из узлов (минимум 2-ва узла). Здесь соединение может быть инициировано каждой из сторон (именно поэтому я так и обозвал его, равноправный), их может быть больше двух.
  • В клиент-серверном варианте, использующем глобальную сеть интернет, нужен только один реальный IP адрес, для сервера. Соединение здесь происходит по требованию клиента, сервер всегда ожидает, клиентов может быть больше одного.

Примечание1: В обоих вариантах должно соблюдается одно из условий (для клиент-серверного варианта, только для сервера):
  • A. VPN peer, должен находится непосредственно на шлюзе (должно быть установлено дополнительное ПО, или устройство должно быть способно устанавливать нужный тип VPN соединений).
  • B. Если же нет возможности запустить VPN peer непосредственно на шлюзе, нужно его сконфигурировать так, чтобы он смог пропускать порт на другое устройство, настроенное как VPN peer.


Читать дальше →
Total votes 12: ↑8 and ↓4 +4
Views 152K
Comments 16

Двусторонний NAT (PAT) на Cisco IOS или NAT NVI

Cisco *
По просьбе коллеги (Fedia) я собрался с мыслями и решился написать статью про NAT NVI. Надо сказать, что вообще сама по себе трансляция адресов на роутере многократно рассматривалась, в т.ч. в статье «По просьбам трудящихся: Dual ISP на маршрутизаторах cisco без BGP». Тем не менее, описанный в ней механизм inside source и outside source NAT имеет некоторые ограничения.
Читать дальше →
Total votes 22: ↑21 and ↓1 +20
Views 60K
Comments 37

Проходим сквозь стены NAT-ов

Information Security *
image Повсеместное распространение NAT казалось препятствует свободному обмену трафиком между компьютерами, находящимися за одним из них, и практически делает это невозможным, если оба компьютера скрыты за разными NAT серверами, естественно если вы не администратор обоих NAT серверов. Однако Samy Kamkar легко и непринужденно не только преодолел это, но и сделал программу которая позволяет преодолевать подобные препятствия. В настоящее время данная программа доступна только пользователям *nix подобных систем.

Pwnat — этот инструмент позволяет любому количеству клиентов, находящихся за одним NAT-сервером, соединяться с сервером стоящим за другим NAT, при этом никакой проброски портов на серверах не требуется и никаких прочих инструментов не используется. Серверу не надо ничего знать о клиенте который с ним соединяется. Проще говоря это такой прокси сервер, который стоит за одним NAT и работает с клиентами, стоящими за другим NAT, между ними нет никакого дополнительного посредника, никаких DNS-фокусов и никакого пива админам. Скажу честно — я тоже в это сначала не поверил.

Клиент может подключаться через такой сервер к любым ресурсам, либо только тем что ограничены сервером pwnat. Данный инструмент основан на построении UDP-тоннеля. Принцип работы весьма оригинальный и прекрасно описан автором, рекомендую ознакомиться, ибо решение данного вопроса оказалось весьма интересным и неожиданным. Давно не встречал ничего подобного.

Подводя итог скажу, следующее — данный продукт имеет весьма полезное значение как для решения отдельных задач, так и для того, чтобы знать о том, что способ сей существует. Если ваша работа связна с сетями, обязательно ознакомьтесь, поверьте — есть, что почерпнуть у автора программы из документации, английский там достаточно простой.
Total votes 77: ↑70 and ↓7 +63
Views 760
Comments 134

Краткий обзор ядерного NAT-а в FreeBSD

*nix *
Распространенных вариантов NAT-а под FreeBSD есть довольно много. Это и natd, ipnat, pfnat, ng_nat либо как вариант «купи ASA 5550 и не выделывайся».


К сожалению, в последнее время мне попадалось очень мало хороших и главное доступных статей о ipfw nat который появился, если мне не изменяет память еще в 7.0.
Засим рассматривать под лупой сегодня будем мы именно его.

Истинным адептам pf под кат рекомендуется не заглядывать, чтобы не травмировать себя излишними знаниями.

Читать дальше →
Total votes 48: ↑41 and ↓7 +34
Views 33K
Comments 43

Linux на службе у провайдера

System administration *


Просмотрев большинство тематических постов на хабре был безмерно удивлён тому факту, что крайне скудно освещена тема использования ОС Unix/Linux на службе интернет провайдеров (Internet service provider). Данной статьёй я частично попытаюсь восполнить данный пробел.
Читать дальше →
Total votes 125: ↑116 and ↓9 +107
Views 11K
Comments 119

Большие потоки трафика и Linux: прерывания, маршрутизатор и NAT-сервер

System administration *
Sandbox
Написано по следам публикации Большие потоки трафика и управление прерываниями в Linux

В нашей городской сети более 30 тысяч абонентов. Суммарный объем внешних каналов — более 3 гигабит. А советы, данные в упомянутой статье, мы проходили еще несколько лет назад. Таким образом, я хочу шире раскрыть тему и поделиться с читателями своими наработками в рамках затрагиваемого вопроса.

В заметке описываются нюансы настройки/тюнинга маршрутизатора и NAT-сервера под управлением Linux, а также приведены некоторые уточнения по поводу распределения прерываний.

Читать дальше →
Total votes 58: ↑56 and ↓2 +54
Views 55K
Comments 54

NAT на Cisco. Часть 1

Cisco *
Добрый день, коллеги!

судя по многочисленным вопросам на форуме (ссылка в конце поста), от слушателей и коллег, работа NAT на маршрутизаторах Cisco (firewall'ы я опущу, Fedia достаточно подробно его работу расписал в своей серии статей про Cisco ASA) плохо описана, поэтому я попробую описать свой опыт и свое понимание данной технологии в большинстве ее ипостасей. Не претендую на всеобъемлющее описание и 100% точность, но кому интересно — велкам под кат.
Читать дальше →
Total votes 42: ↑39 and ↓3 +36
Views 256K
Comments 67

NAT на Cisco. Часть 2

Cisco *
И снова добрый день, коллеги!

Продолжаю серию статей про NAT на Cisco, т.к. предыдущая статья все нашла некоторое количество положительных отзывов.

В этой статье мы рассмотрим, как и было обещано, inside destination NAT. Кому интересно — велкам под кат.

Читать дальше →
Total votes 29: ↑24 and ↓5 +19
Views 40K
Comments 44

Настройка PPPoE с шейпингом трафика для небольшой сети

Configuring Linux *
Sandbox
Однажды возникла задача настроить раздачу интернета на пару десятков компьютеров (офисные и домашние). Коробочные решения оказались либо платными, либо достаточно сложно настраиваемыми, поэтому было принято решение использовать собственное на базе Debian Linux. Опытом его поднятия я хочу поделиться с вами в этом посте, но приведенные здесь версии могли немного устареть с момента написания мануала «для себя», так что нужно проявить некоторую внимательность. Также, нужно учитывать, что приведенное решение далеко от идеального и профессионального. Оно поможет скорее тем, кому нужно быстро поднять у себя сервер, раздающий интернет. В конце у нас будет раздача интернета через PPPoE с назначением внутренних IP клиентам, шейпинг трафика, DNS сервер и простой мониторинг текущих сессий из консоли.
Читать дальше →
Total votes 56: ↑44 and ↓12 +32
Views 37K
Comments 27

Обзор и сравнение способов настройки NAT на FreeBSD

*nix *
Sandbox
В этой статье я бы хотел привести примеры настройки NAT на ОС FreeBSD и провести некоторое сравнение способов, которые, по моему мнению, наиболее часто используются.

Для начала:
NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Также имеет названия IP Masquerading, Network Masquerading и Native Address Translation.

Рассмотренные варианты:
— Демон Natd
— IPFilter (ipnat)
— PF nat
— ng_nat
— ipfw nat (kernel nat)
Читать дальше →
Total votes 45: ↑42 and ↓3 +39
Views 60K
Comments 35