Problema ao obter a impressão digital do SO para funcionar no iptables

Navegue suas respostas
1

Todos, Pelo que entendi, o OSF foi fundido com o Kernel desde a versão 2.6.before-my-kernel. No entanto, quando faço algo assim: 

iptables -I INPUT -j ACCEPT -p tcp -m osf --genre Linux --log 0 --ttl 2

e recebo um erro como: 

iptables: No chain/target/match by that name
iptables -L

Não mostra regras porque eu fiz um iptables -F em um ponto.

TAMBÉM, o seguinte comando: 

cat /proc/net/ip_tables_matches

Não mostra "osf" na lista.

Um google parece não ajudar. Eu também instalei iptables-devel na esperança de conseguir carregar o módulo osf. Infelizmente, não consegui fazer isso funcionar.

Centos 6.4 mínimo

Alguma orientação?

Editar: Adicionando códigos solicitados: 

-bash-4.1# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

-bash-4.1# iptables -I INPUT -j ACCEPT -p tcp -m osf --genre Linux --log 0 --ttl 2
iptables: No chain/target/match by that name.
    
por user1197457 01.11.2013 / 22:38

1 resposta

2

O módulo de impressão digital do sistema operacional não vem pré-carregado com dados de impressão digital; para mantê-lo atualizado, você precisa obter o banco de dados de impressões digitais do link e carregá-lo com a nfnl_osf tool, que no Fedora pelo menos está no pacote iptables-utils . Até que essas impressões digitais sejam carregadas, não há gêneros que correspondam, daí a mensagem de erro.

Infelizmente, não consigo encontrar nenhum lugar para obter a ferramenta nfnl_osf para C6; se você fizer isso no F19, você obtém o seguinte:

Vide: 

[root@risby named]# iptables -A INPUT -j ACCEPT -p tcp -m osf --genre Linux
iptables: No chain/target/match by that name.

Tendo a versão mais recente do arquivo de impressão digital desse link: 

[root@risby named]# nfnl_osf -f /tmp/pf.os 
2013-11-01 22:37:39.256107 15507 Loading '45046:64:0:44:M*:     AIX:4.3::AIX 4.3'.
        [ many lines of output deleted ]
[root@risby named]# iptables -A INPUT -j ACCEPT -p tcp -m osf --genre linux --log 0 --ttl 2
[root@risby named]# iptables -L INPUT -n -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    6   304 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            OS fingerprint match linux
[root@risby named]#

Assim, podemos concluir que está chegando, mas o C6 ainda não tem o toolchain. Ele tem capacidade osf, já que eu recebo isso no C6: 

[root@bill yum.repos.d]# iptables -A FOO -j ACCEPT -p tcp -m osf 
iptables v1.4.7: OS fingerprint match: You must specify '--genre'
Try 'iptables -h' or 'iptables --help' for more information.
[root@bill yum.repos.d]# iptables -A FOO -j ACCEPT -p tcp -m osf --genre Linux
iptables: No chain/target/match by that name.

Mas, como mostra o teste do Fedora acima, é inútil sem a ferramenta de carregamento de impressões digitais. No momento, parece que você pode esperar que a funcionalidade percorra a cadeia alimentar, possivelmente em C7, ou tente encontrar a origem da ferramenta (possivelmente removendo-a do pacote iptables-utils do F19) e compilando por você mesmo. O quanto você precisa disso irá impulsionar o que você escolher fazer.

    
por 01.11.2013 / 23:43

Tags

Minha senha é enviada criptografada quando estou montando o compartilhamento de janelas no linux usando o CIFS? Cache Busting e inclusão de arquivos para o Nginx