Владимир320

Делал я такой вариант и мне стали быть доступны все команды. Непонятно, что тут можно еду было упустить

Видел тема уже обсуждалась, но подходящего не нашел поднял такакс+, создал группу и юзера group = support { default service = deny service = exec { priv-lvl = 2 } cmd = show { permit .* } cmd = configure { permit terminal } cmd = interface { permit .* } cmd = shutdown { permit .* } } user = test { member = support login = cleartext 12345678 } cisco WS-C2960-24TT-L aaa group server tacacs+ tac_test server name Tacacs_Server aaa authentication login default group tac_test local aaa authorization console aaa authorization exec default group tac_test local aaa accounting update newinfo aaa accounting commands 0 default start-stop group tac_test aaa accounting commands 15 default start-stop group tac_test tacacs-server directed-request tacacs server Tacacs_Server address ipv4 10.10.10.10 key 12345678 Цель давать доступ на некоторые команды, но работает только show, видимо не отрабатывает: cmd = show { permit .* } cmd = configure { permit terminal } cmd = interface { permit .* } cmd = shutdown { permit .* } Перечитал уже все маны и пока застыл на месте. Подскажите чего я упускаю?

больше вопрос к такому виду правила PSH,ACK PSH,ACK. рассматриваем покеты с флагами PSH,ACK и в тоже время они должны быть установлены, а значение остальных флагов SYN,RST,FIN,URG нам не важно, оно может иметь значение либо 0 либо 1...?

Как работает эта запись? Ведь слева мы указали те флаги, которые мы рассматриваем и которые должны быть неустановлены, с справа список установленных флагов. Тут какое-то противоречие получается. Или слева список, который мы просто рассматриваем

к примеру я хочу ловить трафик где установлены PSH, ACK флаги я могу написать правила согласно инструкции: -p tcp --tcp-flags ALL ACK,PSH -j LOG -p tcp --tcp-flags FIN,SYN,RST ACK,PSH -j LOG -p tcp --tcp-flags RST ACK,PSH -j LOG и этот пакет, будет попадать под эти три правила или же не будет? Смысл вообще в первой части правила? Типа рассматриваем пакеты в которых есть такие флаги, если всегда во всех пакетах есть все флаги)) взрыв мозга

1 syn/fin=1, urg/ack/psh/rst=любые 2 syn/fin=1, urg/ack/psh/rst=0 3 syn/fin=1, rst/ack=0, psh/rst=любые Спасибо за ответы, но все же я не понимаю разницы в правилах этих, так как в пакетах всегда есть все флаги, но установлены некоторые. Зачем тогда мне указывать какие то флаги, когда будет равнозначное правило --tcp-flag all какой то флак

данная комбинация флагов мне не нужна) Мне нужно понять как эти правила работают) допустим такое правило -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP тут дропаем трафик с установленными флагами syn,fyn, а как понять первую часть правила?? так как если ваершарком развернуть пакет, то там всегда будут все флаги и установлены тока некоторые, в зависимости от трафика в чем тогда разница если я напишу такие правила: -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP -p tcp --tcp-flags ALL SYN,FIN -j DROP -p tcp --tcp-flags FIN,SYN,RST,ACK SYN,FIN -j DROP мы по сути всегда смотрим в покет со всеми флагами, но выбираем тока нужные установленные флаги. Либо я чет не понимаю

а тут разве не один из трех установлен? Или правильней любые из FIN,PSH,URG установлены

а в этом случаем? --tcp-flags ALL FIN,PSH,URG -j DROP - тое есть берем все пакеты где есть любой из флагов и дропаем где есть один из трех FIN,PSH,URG?

С чего это я перестал мочь отвечать с цитированием в этом форуме???? не работает кнопка. Ок, если взять правило из мана: --tcp-flags SYN,ACK,FIN,RST SYN зачем нам рассматривать пакеты с флагами SYN,ACK,FIN,RST в котором должен быть установлен тока SYN. Как вообще формируется первый список? У меня же в голове что я могу написать какие флаги установлены и далее дропать или нет

Всем салют, мучает вопрос с правила iptables + tcp flag из официально прочитанного мануала как-то я до сих пор не догоняю как правильно писать правила с различными флагами, подскажите плиз, кто разобрался с этим) Для примера есть такого рода правила, которые гуглятся везде, но мне пока ещё не совсем понятны: /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST FIN,RST -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,FIN FIN -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL ALL -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j DROP /sbin/iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP как бы есть офицbальный мануал по этим флагам: --tcp-flags mask comp Match when the TCP flags are as specified. The first argument mask is the flags which we should examine, written as a comma-separated list, and the second argument comp is a comma-separated list of flags which must be set. Flags are: SYN ACK FIN RST URG PSH ALL NONE. Hence the command iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN will only match packets with the SYN flag set, and the ACK, FIN and RST flags unset. Что здесь является первым аргументом?, то что идет сразу после --tcp-flags и до первой запятой? а следующий аргумент это все остальное? Для примера возьму в разбор это правило iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST FIN,RST -j DROP Что я тут проверяю? пакет с установленным флагом FIN и неустановленными влагами RST FIN,RST?

Это все понятно. Меня мучает вопрос как длина при разборе tcp может так прыгать? Слушаю трафик на проксмоксе с другой тачкой и вижу нормальную картину: где len имеет одинаковое значение. У меня остается мысль это насильно изменять mss, чтобы чудес не прилетало...

если посмотреть поток tcp, то такая картина: страсти какие-то. на сколько я понимаю len должет быть в пределах mtu, а тут постоянно космические значения

инфо о сервере: Manufacturer: Supermicro Product Name: SYS-5019P-MR cpu: Model name: Intel(R) Xeon(R) Bronze 3204 CPU @ 1.90GHz ОЗУ: 32 гига сетевая карта: b5:00.0 Ethernet controller: Intel Corporation Ethernet Connection X722 (rev 09) b5:00.2 Ethernet controller: Intel Corporation Ethernet Connection X722 for 1GbE (rev 09) b5:00.3 Ethernet controller: Intel Corporation Ethernet Connection X722 for 1GbE (rev 09) Поднят Proxmox на GNU/Linux и с недавнего времени на одной из виртуалок стала очень низкая скорость передачи ну и записи файлов. Файлы передает рабочая станция, которая включена в тот же свич(cisco 2960), никаких ошибок на портах свича нету. решил послушать трафик на самом proxmos и вот, что обнаружил: бесконечные ретрансмиты. С такого рода странностью пока ещё не сталкивался, наведите на мысль, плиз). файл с дампом могу отправить

да, все норм, спасибо