1 Temat przez irkam

  • irkam
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-03-09
  • Posty: 31

Temat: Problem z funkcją 'Ograniczenia dostępu'

Witam,

mam problem z właściwym działaniem funkcjonalności 'Ograniczenia dostępu'. Zdefiniowane reguły działają tylko w przypadku, gdy klient otworzy nowe okno w przeglądarce. Gdy miał otwarte okno przed wejściem reguły w życie (czasowe ograniczenia) może nadal korzystać z połączenia mimo, że reguła na to nie pozwala.

Poszukuje możliwości jakiegoś odświeżenia klientów po wejściu reguły w życie. Akceptowalne jest zerwanie programowe połączeń klient-router itp.

Dzieciak mi się zmądrzył i krzyczy: "Tato, nie zamykaj okna, bo nie będzie dostępu!"
Zacząłem sprawdzać i rzeczywiście, obszedł w prosty sposób ograniczenia, które nałożyłem...

thx

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,221

Odp: Problem z funkcją 'Ograniczenia dostępu'

tcpkill

Jak trzyma sesję nie to łapie się na nowe regułki.1

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez irkam

  • irkam
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-03-09
  • Posty: 31

Odp: Problem z funkcją 'Ograniczenia dostępu'

To poproszę jeszcze o wskazówki jak użyć tego narzędzia do skilowania połączeń klienta?

Po doinstalowaniu tcpkill i tcpdump przykładowe użycie np.

tcpkill host KLIENT_IP
skutkuje
tcpkill: eth0: no IPv4 address assigned
tcpkill: couldn't initialize sniffing

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,221

Odp: Problem z funkcją 'Ograniczenia dostępu'

-i br-lan

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez irkam

  • irkam
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-03-09
  • Posty: 31

Odp: Problem z funkcją 'Ograniczenia dostępu'

Już próbowałem...

tcpkill -i br-lan KLIENT_IP

pcap_compile: syntax error
tcpkill: couldn't initialize sniffing

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,221

Odp: Problem z funkcją 'Ograniczenia dostępu'

tcpkill -i br-lan host 192.168.1.2

Argumentem nie jest adres ip a wyrażenie do pcapa. Przypomniałem sobie, jest jeszcze narzędzie cutter

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez irkam

  • irkam
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-03-09
  • Posty: 31

Odp: Problem z funkcją 'Ograniczenia dostępu'

cutter też próbowałem, ale bez rezultatu

Powtarzające się:
ACK not seen so RST not sent (sorry!)

Generalnie te sposoby polegają na nasłuchiwaniu i wysyłaniu polecenia RST do hostów?
Co w momencie gdy połączenie jest idle?
I kiedy ten ewentualny skrypt odświeżający połączenia miałby być odpalany? Bo jeśli byłby odpalany np. w momentach początku i końca obowiązywania danej reguły z 'Ograniczenia połączeń' i trafiłby na uśpiony laptop...?

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,221

Odp: Problem z funkcją 'Ograniczenia dostępu'

Albo wytnij jego sesje z conntracka.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez irkam

  • irkam
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-03-09
  • Posty: 31

Odp: Problem z funkcją 'Ograniczenia dostępu'

Potrzebuję dalszych wskazówek:

conntrack -D -p tcp -s KLIENT_IP
conntrack v1.0.0 (conntrack-tools): Operation failed: Connection refused


Myślałem, że da się to prościej rozwiązać...

10 Odpowiedź przez irkam

  • irkam
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2011-03-09
  • Posty: 31

Odp: Problem z funkcją 'Ograniczenia dostępu'

Okazuje się, że problem nie wynika z wiszących połączeń, a z tego, że WYBRANYCH połączeń po https nie da się łatwo przefiltrować w regułkach. Przepuszcza wszystkie połączenia po httpsie. A ja chciałbym zezwolić np. na gmaila a zabronić youtube...

11 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,221

Odp: Problem z funkcją 'Ograniczenia dostępu'

Tylko po zawartości (layer7) a i tak https nie odfiltrujesz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona