GoldenLine
Zaloguj się
Rafał S.

Rafał S. System Administrator

Temat: Squid i blokowane porty wychodzące

Potrzebuje dać gotowca niezbyt technicznemu klientowi aby przeskanował swój gateway ze squidem

Z tego co prosiłem o telnetowanie standardowych portów 80,25,110,143,443,465,587,993,995 to gateway o IP 172.16.0.1 je przepuszcza do internetu lecz ja potrzebuje pełną listę portów a klient nie jest zbyt chętny na moje prośby o telnet każdego portu

Kontakt z adminem tegoż squida nie wchodzi w grę.

W nmap jakoś nic nie mogę znaleźć adekwatnego przełącznika żeby spenetrować squida bo ten skanuje tylko otwarte porty na danej maszynce ..?
Link do wypowiedziLink
Michał Błaszczak

Michał Błaszczak Pentester / Linux
Administrator / VoIP
/ Blockchain /
Cry...

Temat: Squid i blokowane porty wychodzące

To daj nietechnicznemu gościowi skrypt, który zeskanuje te porty, a nie karz mu się telnetować na 65535 portów :)
Link do wypowiedziLink
Rafał S.

Rafał S. System Administrator

Temat: Squid i blokowane porty wychodzące

Michał B.:
To daj nietechnicznemu gościowi skrypt, który zeskanuje te porty, a nie karz mu się telnetować na 65535 portów :)

gdybym takowy skrypt posiadał nie zakładałbym tematu.

potrzebuje wystawić mu po prostu ssh na porcie którego sam nie używam a jego squid go przepuszczaTen post został edytowany przez Autora dnia 13.05.14 o godzinie 21:50
Link do wypowiedziLink
Michał Błaszczak

Michał Błaszczak Pentester / Linux
Administrator / VoIP
/ Blockchain /
Cry...

Temat: Squid i blokowane porty wychodzące

No to użyj basha i napisz skrypt.
Link do wypowiedziLink
Rafał S.

Rafał S. System Administrator

Temat: Squid i blokowane porty wychodzące

Michał B.:
No to użyj basha i napisz skrypt.

Jakbym wiedział co w nim wpisać to bym nie zakładał wątku.

PS: twoje rady są "bardzo pomocne" .. dosłownie same nowości w temacieTen post został edytowany przez Autora dnia 14.05.14 o godzinie 01:17
Link do wypowiedziLink
Michał Błaszczak

Michał Błaszczak Pentester / Linux
Administrator / VoIP
/ Blockchain /
Cry...

Temat: Squid i blokowane porty wychodzące

OK, to inaczej
Może niech Twój znajomy w przeglądarce Google Chrome zainstaluje sobie plugin Shodan. Gdy wejdzie po http na adres IP tego squida, to Shodan powinien po jakimś czasie pokazać wszystkie otwarte porty. Gdyby jednak to nie pomogło, to możesz dać znać i spróbujemy napisać taki skrypt.

co ty na to?Ten post został edytowany przez Autora dnia 14.05.14 o godzinie 06:57
Link do wypowiedziLink
Rafał S.

Rafał S. System Administrator

Temat: Squid i blokowane porty wychodzące

Michał B.:
OK, to inaczej
Może niech Twój znajomy w przeglądarce Google Chrome zainstaluje sobie plugin Shodan. Gdy wejdzie po http na adres IP tego squida, to Shodan powinien po jakimś czasie pokazać wszystkie otwarte porty. Gdyby jednak to nie pomogło, to możesz dać znać i spróbujemy napisać taki skrypt.

co ty na to?


po wejściu na http://172.16.0.1:3128/ i pół godziny czekania shodan pokazuje porty 137 i 161 ... nie pokazuje chociażby 443 który ten Squid napewno przepuszcza bo zastopowałem swój apache i ustawiłem sshd na 443 i udaje się przez ten squid łączyć po ssh na porcie 443... więc nie mają DPI

najgorsze jest to że większość gotowców które znalazłem na necie to niestety skanery portów konkretnej maszyny a nie portów które przepuszcza SquidTen post został edytowany przez Autora dnia 14.05.14 o godzinie 22:01
Link do wypowiedziLink
Michał Błaszczak

Michał Błaszczak Pentester / Linux
Administrator / VoIP
/ Blockchain /
Cry...

Temat: Squid i blokowane porty wychodzące

Hmm, ale sam SQUID blokuje porty czy firewall na systemie, którym działa ten squid?

Squid powinien raczej pozwalać wchodzić na wszystkie możliwe porty, no nie? To tylko proxy.
Ewentualnie na szybko co mi przychodzi do głowy, to skrypt, który stawia u Ciebie demona na porcie X,
i postawienie X skryptów.
U gościa jakiś mały skrypcik, które to określone porty przeskanuje.

tylko jest jeden problem, squid jako proxy zazwyczaj przepuszcza ruch http, jesteś pewien że jak Twój klient, robił telnet , to szedł przez squida? Jak on to ustawiał w tym telnecie (jak podał proxy:) ) ?
Link do wypowiedziLink
Rafał S.

Rafał S. System Administrator

Temat: Squid i blokowane porty wychodzące

Michał B.:
Hmm, ale sam SQUID blokuje porty czy firewall na systemie, którym działa ten squid?

Squid powinien raczej pozwalać wchodzić na wszystkie możliwe porty, no nie? To tylko proxy.
Ewentualnie na szybko co mi przychodzi do głowy, to skrypt, który stawia u Ciebie demona na porcie X,
i postawienie X skryptów.
U gościa jakiś mały skrypcik, które to określone porty przeskanuje.

tylko jest jeden problem, squid jako proxy zazwyczaj przepuszcza ruch http, jesteś pewien że jak Twój klient, robił telnet , to szedł przez squida? Jak on to ustawiał w tym telnecie (jak podał proxy:) ) ?


zwyczajnie odpala:
telnet mail.domena.com 80
telnet main.domena.com 25
telnet domena.com 443

wtedy telnet się łączy - w przeciwnym wypadku - connection refused

wszystkie powyższe żądania przechodzą ... więc dhcp przyznaje mu jakiś tam IP i gateway a zapytania na niestandardowych portach gateway przekierowuje na squida a squid decyduje czy dane zapytanie przepuścić do internetu czy zablokować

ja już nie mam pomysłów ... google nic nie zwraca ... stackoverflow też ...
widać nie ma gotowców żeby taki gateway ze squidem przeskanować ... :/
a sam jestem zarobiony żeby coś tworzyć :/Ten post został edytowany przez Autora dnia 15.05.14 o godzinie 23:16
Link do wypowiedziLink
Tomasz H.

Tomasz H. sysop

Temat: Squid i blokowane porty wychodzące

Czegoś chyba nie rozumiem, ale... poprawcie mnie jeśli się mylę. Powiedzmy, że chcę przeskanować ten gateway w zakresie portów od 33 do 35. Ot, taki głupi przykład :)

1. Potrzebuję dostępnej w internecie maszyny, która będzie miałą pootwierane porty, które chcę skanować. Na maszynie mam otwarte ssh, więc żeby nie kombinować, przekierowuję porty:

iptables -t nat -A PREROUTING -p tcp -m multiport --dport 33:35 -j DNAT --to-destination <public_addr>:22

2. Na maszynie przechodzącej przez gateway uruchamiam nmapa w tym zakresie:

nmap -Pn -p33-35 -sT public_addr

Gdzie public_addr jak w p.1
Link do wypowiedziLink

konto usunięte

Temat: Squid i blokowane porty wychodzące

Tomasz H.:
Czegoś chyba nie rozumiem, ale... poprawcie mnie jeśli się mylę. Powiedzmy, że chcę przeskanować ten gateway w zakresie portów od 33 do 35. Ot, taki głupi przykład :)

1. Potrzebuję dostępnej w internecie maszyny, która będzie miałą pootwierane porty, które chcę skanować. Na maszynie mam otwarte ssh, więc żeby nie kombinować, przekierowuję porty:

iptables -t nat -A PREROUTING -p tcp -m multiport --dport 33:35 -j DNAT --to-destination <public_addr>:22

2. Na maszynie przechodzącej przez gateway uruchamiam nmapa w tym zakresie:

nmap -Pn -p33-35 -sT public_addr

Gdzie public_addr jak w p.1

Albo nmap -P0 -p 1-65535 -sU -sS 8.8.8.8 -T polite

SYN-scan + UDP, bez pinga (szkoda zachodu)

connect scan (sT) bym sobie odpuscil, w koncu chodzi o to czy da sie na dany port wydostac, a nie czy host na drugim koncu faktycznie odpowiada na handshake
Link do wypowiedziLink
Rafał S.

Rafał S. System Administrator

Temat: Squid i blokowane porty wychodzące

Łukasz S.:
Albo nmap -P0 -p 1-65535 -sU -sS 8.8.8.8 -T polite

SYN-scan + UDP, bez pinga (szkoda zachodu)

connect scan (sT) bym sobie odpuscil, w koncu chodzi o to czy da sie na dany port wydostac, a nie czy host na drugim koncu faktycznie odpowiada na handshake

odpalone ... IP w LAN to 172.16.23.46

rozumiem że skanujemy DNS google .. na losowych portach każdego portu lokalnego kompa z którego leci skan ?
nie rozumiem zbytnio wyniku netstat...

C:\Users\Mike>netstat -an | find "SYN"
......

TCP 172.16.23.46:5211 8.8.8.8:43037 SENT_SYN
TCP 172.16.23.46:5212 8.8.8.8:43037 SENT_SYN
TCP 172.16.23.46:5213 8.8.8.8:31070 SENT_SYN
TCP 172.16.23.46:5214 8.8.8.8:31070 SENT_SYN
TCP 172.16.23.46:5215 8.8.8.8:34362 SENT_SYN
TCP 172.16.23.46:5217 8.8.8.8:34362 SENT_SYN
TCP 172.16.23.46:5218 8.8.8.8:41856 SENT_SYN
TCP 172.16.23.46:5219 8.8.8.8:41856 SENT_SYN
TCP 172.16.23.46:5220 8.8.8.8:30445 SENT_SYN
TCP 172.16.23.46:5221 8.8.8.8:30445 SENT_SYN
TCP 172.16.23.46:5222 8.8.8.8:3556 SENT_SYN
TCP 172.16.23.46:5223 8.8.8.8:3556 SENT_SYN
TCP 172.16.23.46:5224 8.8.8.8:21675 SENT_SYN
TCP 172.16.23.46:5225 8.8.8.8:21675 SENT_SYN
TCP 172.16.23.46:5226 8.8.8.8:55845 SENT_SYN
TCP 172.16.23.46:5228 8.8.8.8:55845 SENT_SYN

.....

to jest poprawne że pokazuje porty na tym danym lokalnym IP ?Ten post został edytowany przez Autora dnia 16.05.14 o godzinie 21:29
Link do wypowiedziLink
Przemek M.

Przemek M. Software Engineer,
TomTom

Temat: Squid i blokowane porty wychodzące

Panowie, jak chcecie 'skanować' googla to gdzie chcecie te SYNki łapać?
Link do wypowiedziLink
Smaug T.

Smaug T.

Temat: Squid i blokowane porty wychodzące

Łukasz S.:
>
Albo nmap -P0 -p 1-65535 -sU -sS 8.8.8.8 -T polite

SYN-scan + UDP, bez pinga (szkoda zachodu)

Nie wczytywałem się w wątek i nie wiem do końca co chcecie osiągnąć, ale gdy rozmawiamy o nmap(1) i jak szkoda czasu na ping(8) (-P0), to tym bardziej szkoda czasu na skanowanie UDP (-sU), gdyż przy takim zakresie portów to zabierze naprawdę sporo czasu, tym bardziej przy timing template polite. :) Na Linuksie ICMP destination unreachable jest limitowane do jednej sekundy defaultowo [0].

[0] https://github.com/torvalds/linux/blob/master/net/ipv4/...



/*

 * Configurable global rate limit.

 *

 * ratelimit defines tokens/packet consumed for dst->rate_token

 * bucket ratemask defines which icmp types are ratelimited by

 * setting it's bit position.

 *

 * default:

 * dest unreachable (3), source quench (4),

 * time exceeded (11), parameter problem (12)

 */



net->ipv4.sysctl_icmp_ratelimit = 1 * HZ;
Ten post został edytowany przez Autora dnia 17.05.14 o godzinie 01:18
Link do wypowiedziLink

konto usunięte

Temat: Squid i blokowane porty wychodzące

Andy K.:
Łukasz S.:
>
Albo nmap -P0 -p 1-65535 -sU -sS 8.8.8.8 -T polite

SYN-scan + UDP, bez pinga (szkoda zachodu)

Nie wczytywałem się w wątek i nie wiem do końca co chcecie osiągnąć, ale gdy rozmawiamy o nmap(1) i jak szkoda czasu na ping(8) (-P0), to tym bardziej szkoda czasu na skanowanie UDP (-sU), gdyż przy takim zakresie portów to zabierze naprawdę sporo czasu, tym bardziej przy timing template polite. :) Na Linuksie ICMP destination unreachable jest limitowane do jednej sekundy defaultowo [0].

Na pinga szkoda czaus, bo "sysadmini" rutynowo blokuja ICMP - cale (*sigh*)
Skan UDP jest sposobem na wylapanie firewalla "gdzies po drodze". Zdecydowana wiekszosc "sysadminow" blokuje porty dla TCP, zapominajac o UDP.

@Przemek: O ile zrozumialem bardziej chodzi tu o wylapanie na jakie porty mozna sie wydostac z wewnatrz sieci, niz cokolwiek innego.
Link do wypowiedziLink
Przemek M.

Przemek M. Software Engineer,
TomTom

Temat: Squid i blokowane porty wychodzące

No tak, ale pakiety, które będą wysyłane na 8.8.8.8 przecież nie dolecą do Rafała, więc w jaki sposób chcemy je łapać?
Link do wypowiedziLink
Smaug T.

Smaug T.

Temat: Squid i blokowane porty wychodzące

Łukasz S.:
Andy K.:
Łukasz S.:
>
Albo nmap -P0 -p 1-65535 -sU -sS 8.8.8.8 -T polite

SYN-scan + UDP, bez pinga (szkoda zachodu)

Nie wczytywałem się w wątek i nie wiem do końca co chcecie osiągnąć, ale gdy rozmawiamy o nmap(1) i jak szkoda czasu na ping(8) (-P0), to tym bardziej szkoda czasu na skanowanie UDP (-sU), gdyż przy takim zakresie portów to zabierze naprawdę sporo czasu, tym bardziej przy timing template polite. :) Na Linuksie ICMP destination unreachable jest limitowane do jednej sekundy defaultowo [0].

Na pinga szkoda czaus, bo "sysadmini" rutynowo blokuja ICMP - cale (*sigh*)

To inna kwestia. Magicy wycinają całe ICMP, bo nie przeczytali RFC 1191, a potem się dziwią, że im pakiety giną...
Link do wypowiedziLink
Sebastian O.

Sebastian O.

Temat: Squid i blokowane porty wychodzące

Odpowiedź już chyba padła w innej grupie:
- klient łączy się do Ciebie na port 433 i przekierowujesz go po ip z portu 433 na 22.
Oczywiście pod warunkiem, że ma stałe ip.
To chyba najprostszy sposób ?
Link do wypowiedziLink

konto usunięte

Temat: Squid i blokowane porty wychodzące

Przemek M.:
No tak, ale pakiety, które będą wysyłane na 8.8.8.8 przecież nie dolecą do Rafała, więc w jaki sposób chcemy je łapać?

"My" nic nie lapiemy, nmap po stronie klienta ma sie w tym ogarnac. Ale jesli ma to byc test end-to-end to oczywiscie jako cel nasze IP i tcpdump albo jakis LOG w iptables.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj