Re: iptables и voip Анди, у тебя очень плохая параноя. Тот, кто тебя взломает наверняка будет пользоваться не только техническими средствами. Мыло там с трояном зашлёт, вайфай попробует, с пивом в гости зайдёт в конце концов... А тот идиот из сетки что сети сканирует - он быстрее всего посканирует и пойдёт искать чего попроще. Файрвол - он же как раз против идиотов и сделан тот-же перехват трафика за твоим роутером самим файрволом не решается никак... Просто убивай ицмп ответы от роутера в аутпуте и всё. Да собствено чиста технически - ВСЕ пакеты обрабатываются ядром в том или ином виде. Просто так из сетевого кабеля в фильтр не засунешть же. Так что когда найдут такую уязвимость - всем будет не до тебя Да, не только ицмп с ттл=1 будет обработан (дропнут с генерацией ицмп-ттл-эксидед), любой ип пакет будет так обработан. То-есть убит ДО обработки фильтром Если ответа не будет - то не будет. Операционная система определяется по другому - посмотри как nmap это делает. Наличие внутренней сети можно обнаружить перехватив трафик например. Отравить арп-таблицу на ближайшем свитче например... Или более грубо - физически хаб поставить на лестничной площадке/рядом со свитчом такой флуд смысла не имеет, разве что в виде ДДОС роутер твой атаковать. А вот если у тебя юдп как-то хитро не закрыт - то можно и внутреннюю сетку посканировать без всяких ттлей - просто брать и сканировать. Роутинг то у тебя включен В общем как некоторый итог - моя параноя мне говорит что взломать нормально настроенный линукс слишком дорого для той информации, что лежит внутре. В том смысле что может быть это и возможно, но не для тех скрипт киддиес что в локалке живут. Потому им вполне можно продемонстрировать версию ПО дабы шли они искать кого попроще со своими скриптами. Ну а самому думать какие ещё дырки в системе есть. Да, есчо момент. Броадкаст трафика в локалках всегда дофига, это нормальное явление. Скан портов - тоже нормальное, некоторые игрушки например сканируют локалку на тему найти соседа чтоб поиграть например. Даже венда голой жопой в сеть - это в общем-то нормально, есть люди которые таки умеют её бронировать. Что в итоге в домашней сети бедлам - это тоже абсолютно нормально...
Re: iptables и voip Code: Forward=[ttl-1] -> [mangle.... внизу картинки. Минусуется ядром перед обработкой фильтром. Где-то там-же пакет и дропается с генерацией ответа. До фильтра не доходит, так что то, что у Анди счётчики не крутились в форварде эт правильно.
