Image Hosted by ImageShack.us

Eccoci qua di nuovo e, come promesso, vi scrivo la seconda parte della guida anti-scrocconi . Ci tengo ancora una volta a precisare che tutto questo è stato possibile grazie ad un vecchio articolo (trovato in rete) e riadattato da Francesco Brisa, lo stesso autore dello script per installare Flightgear da cvs (per Ubuntu Hardy).

Cosa dobbiamo fare in questa seconda parte:

  • Installazione e configurazione del servizio dhcp (fondamentale ma non indispensabile, perche’ ad una rete aperta ci si puo’ connettere anche con ip statici)
  • Regole di iptables e forwarding
  • Impostazione transparent-proxy
  • Dhcp

  • Pacchetti da installare:
  • sudo apt-get install dhcp3-server

  • Aggiungere a /etc/dhcp3/dhcpd.conf:
  • subnet 192.168.0.0 netmask 255.255.255.0 {
     range 192.168.0.190 192.168.0.199;
     option broadcast-address 192.168.0.255;
     option routers 192.168.0.30;
    }

    Dove:

  • 192.168.0.30: è il server con squid
  • 192.168.0.0: è la sottorete
  • 192.168.0.190 – 192.168.0.199: è il range di ip da assegnare alla vittima 🙂
  • 192.168.0.255: è l’indirizzo di broadcast
  • Per condire il tutto:
  • sudo /etc/init.d/dhcp3-server restart

    Iptables rules – Transparent proxy

  • Abilitare il forwarding:
  • iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

  • Redirigere le richieste della porta 80 in forwarding sulla porta del
    proxy:
  • iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT
    --to-port 3128
  • Modificare la linea di squid:
  • http_port 3128

    con:

    http_port 3128 transparent

    Ora la nostra trappola è pronta per tutti coloro che si volessero connettere da remoto alla nostra rete lasciata “accidentalmente” senza password di protezione.

    Provare per credere
    🙂

    Related Posts Plugin for WordPress, Blogger...

    Il tuo indirizzo ip:
    54.162.166.214

    Valutazione 3.00 su 5
    happy wheels 2 demo

    Category:

    Senza categoria

    Tags:

    , , , ,

    Commenti via Facebook:

    Leave a Reply

    Your email address will not be published. Required fields are marked *

    *

    27 Comments

    • Bene, bene ottimo post, adesso provo a tirare via la wpa e vediamo se becco qualcuno.

        Quota

    • pistolinux ITALY Opera Mini 9 anni ago

      Ah ah ah, troppo forte! Ed io che fino a ieri pensavo di scendere in strada, entrare nel palazzo di fronte e menare il tizio che mi scrocca il wifi.. Mi sa seguendo questa guida invece mi evito la fatica e mi faccio anche due risate.. A proposito, c’è un modo non troppo laborioso per impostare una specie di DNS Server personalizzato in modo da redirigere alcuni indirizzi, ad esempio google.it in, che so, debian.org (ma mi vengono in mente un milione di idee fantastiche..) per potersi prendere finalmente una bella soddisfazione?
      Ciao

        Quota

    • LordKhain ITALY Mozilla Firefox Linux 9 anni ago

      @ pistolinux

      Naturalmente si ma no; si perchè puoi creare un DNS sulla tua macchina (risolvendo gli indirizzi come meglio credi) e passarlo tramite il DHCP, no perchè se quello che ti scrocca la connessione non è un pirla può: 1) modificare a mano il DNS utilizzato sul file di configurazione locale (ad esempio settando OpenDNS, oppure i DNS di un qualche ISP), 2) connettersi SENZA DHCP, impedendo dunque che venga configurato il tuo DNS, e naturalmente 3) connettersi direttamente tramite IP ai siti che hai reidirizzato / modificare il suo file host locale per risolvere correttamente gli indirizzi.
      Ciao! Marco

        Quota

    • admiral0 ITALY Konqueror Linux 9 anni ago

      Questo se ha un pc… Con l’iphone(o altro dispositivo kiuso) … (avete presente la pubblicità delle tarme del cibo?) s’attacca…

        Quota

    • Non potevi scrivere tutto in una unica guida anziché fare 2 post?

        Quota

    • Divilinux ITALY Mozilla Firefox Linux 9 anni ago

      @montoya
      accetto la lamentela anche se mi riservo la possibilita’ di fare un po’ come mi pare sul mio blog..
      Ho deciso di dividere la guida in due parti perche’ inizialmente avevamo dei problemi a convertire le rules di iptables dal kernel 2.4 al 2.6. Potevano passare 2 ore come una settimana..e’ passato solo un giorno.

        Quota

    • etcipiente ITALY Mozilla Firefox Ubuntu Linux 9 anni ago

      premetto che sono un niubbo che si e’ avvicinato al mondo dell’open source perche’ affascinato dalla sua filosofia.
      riguardo allo scroccamento della connessione io farei 2 distinzioni: chi approfitta quotidianamente della linea di un vicino e chi invece essendo di passaggio trova una connessione da utilizzare.
      nel secondo caso non vedo niente di male e quindi nessuna “cattiva” intenzione,proprio per questo non capisco l’accanimento…e se uno non volesse “distribuire” la propria connessione non basta mettere una password?

        Quota

    • @Divilinux
      La mia non è mica una lamentela, era solo una “critica costruttiva” 😛
      Ci mancherebbe altro

        Quota

    • Divilinux ITALY Mozilla Firefox Linux 9 anni ago

      @etcipiente
      La guida e’ su come divertirsi ad imparare un po’ di cosette di networking..la storiella cucita attorno potrebbe essere un possibile scenario “tragicomico” che non ha nulla di “cattivo” per quanto mi riguarda. Puoi anche fare tutto in locale tra due computer. A volte prendete un po’ troppo sul serio queste cose. Certo che basta una password..ma se proprio vogliamo dirla tutta..chi e’ il cattivo?..io che mi proteggo in maniera “singolare” o chi mi scrocca la connessione? Qui non mettiamo in discussione nessun concetto filosofico di amicizia e fratellanza o di condivisione, visto che tiri in ballo la filosofia opensources. Penso che tutti coloro che sono intervenuti in questo post si stiano domandando come mai tu ti sia indignato cosi’ tanto per questa cosa..mentre non ti sei indignato per chi chiedeva, nel topic precedente, dei programmi per sniffare le password e cose del genere.
      @montoya
      ci conosciamo da un po’..visto che i termini largamente diffusi e strautilizzati in qualsiasi contesto sono “usabilita’”, “ergonomia”, “implementazione”, e appunto “critica costruttiva”..a cosa dovrebbe servire la tua critica?
      🙂
      sono curioso..cosi’ poi la finiamo qua.

        Quota

    • @Divilinux
      Sarò breve 🙂
      Quando un utente cerca e trova una guida, questo non sarà contentissimo nel vedere una “parte 1” e una “parte 2”. E se non trova la parte 2? E se trova solo la parte 2?
      In realtà dico questo perché a me è successo più di una volta!

      Io preferisco una lunga guida esaustiva che un “telefilm” 😀

      Detto questo, ti dico che io ho una connessione completamente aperta, dato che solo galline o le oche mi possono “scroccare” la connessione wireless!! Però in giro per l’università e la stazione ne trovo tante di connessioni libere e addirittura con “admin” “admin” riesci ad entrare nella configurazione del router.

        Quota

    • Divilinux ITALY Mozilla Firefox Linux 9 anni ago

      @montoya
      si bhe..le guide sono qui una dietro l’altra..capisco se ne avessi fatta una ora e un altra dopo magari 20 articoli, allora uno non si raccapezza piu’.
      Calcola che, se non ricordo male, su 657 articoli e’ la seconda volta che capita. La prima volta, per motivi di spazio, e’ stata sull’articolo dei “ripper” per linux..e ora questa. Comunque ora capisco cosa intendi per critica costruttiva (e’ capitato anche a me di incontrare guide “spezzate” e non e’ molto piacevole hai ragione)

      Anche io sogno un italia dove chi puo’ permettersi la linea adsl ( che per assurdo arriva all’ inquilino del piano di sopra ma non a noi nel piano di sotto) la condivide con gli altri..(altri utenti che siano in buona fede e non in malafede). Uno scenario forse piu’ divertente l’ho letto nell’articolo parte-prima..per “punire” l’amico autoproclamatosi esperto e con una scheda video nuova di zecca..

        Quota

    • LordKhain ITALY Mozilla Firefox Linux 9 anni ago

      @etcipiente
      Comunque, giusto per un piccolo appunto, è chiaro che questa è perlopiù una guida che deve servire per comprendere meglio come funzionano certe cose… Per riuscire realmente ad ottenere l’effetto desiderato su un eventuale scroccone le configurazioni “nella realtà” dovrebbero essere ben diverse… Ad esempio credo che la maggior parte delle persone utilizzi un router/modem ADSL Wireless per tenere in piedi la rete domestica, e in quel caso per far funzionare il tutto occorrerebbe configurare l’utilizzo del proxy direttamente sul router, ammesso che questo lo supporti in maniera “semplice”. Altrimenti bisognerebbe lavorare un po’ di più, facendo in modo che tutte le connessioni verso il router abbiano come gateway il pc col proxy che a sua volta utilizza successivamente il router come suo gateway per le richieste proxate (altrimenti niente connessione alla rete).
      Insomma, per farla breve credo che l’obbiettivo principale della guida sia quello di far riflettere e sperimentare (magari in casa, su connessioni cablate)!!!

      Ciao!!
      Marco

        Quota

    • brisa ITALY Mozilla Firefox Linux 9 anni ago

      @LordKhain
      sul router adsl l’unica cosa da fare sarebbe solo quella di disabilitare il suo dhcp server (Che di solito manda come gateway l’indirizzo del router stesso) e abilitare il dhpc server sul pc (server chiamiamolo) che ospita squid + apache impostando questo dhcp server in modo che mandi come ip del gateway l’ip del server stesso. Poi il server (vedi parte 2 della guida) deve avere il forwarding abilitato ed il transparent proxy attivo. Poi chiaramente il server deve avere come suo gateway l’indirizzo ip del router.

        Quota

    • Gianvacca ITALY Mozilla Firefox Windows 9 anni ago

      Scusate, ma io non uso né WPA, né WEP, ho solo un filtro per gli indirizzi MAC. Gli scrocconi così si connettono lo stesso?

        Quota

    • Divilinux ITALY Mozilla Firefox Linux 9 anni ago

      @Gianvacca
      in cosa consiste questo filtro?
      Un altra alternativa sarebbe xinetd e i due files /etc/host.allow e /etc/host.deny

        Quota

    • Diska ITALY Mozilla Firefox Linux 9 anni ago

      @gianvacca… il filtro mac è una buona cosa ma non ti protegge. Con i driver giusti puoi beccare un poco di traffico e vedere un mac address valido e poi cambiare il tuo con questo.

        Quota

    • Gianvacca ITALY Mozilla Firefox Windows 9 anni ago

      @ Divilinux
      Ogni NIC ha un indirizzo fisico che è il MAC address e puoi impostare il router per lasciar connettere solo determinati NIC.

      @Diska
      Credo a ciò che dici, ma allo stesso tempo non credo che nel mio palazzo ci sia qualcuno in grado di farlo. Inoltre il mio router (Belkin N1) ha un led che si accende se viene stabilita una connessione wireless. Quindi mi basta poco a capire se qualcuno va a scrocco mentre io ho tutto spento.

        Quota

    • Divilinux ITALY Mozilla Firefox Linux 9 anni ago

      @Gianvacca
      capisco..anche se non posso darti conferme sull’efficacia, in quanto spoofare un mac address e’ relativamente facile.

        Quota

    • Salve è la prima volta che lascio un commento, ma seguo questo blog da un po.
      Scrivo per chiedere aiuto, non riesco a far andare il transparent proxy.
      Quello che voglio fare io è leggermente diverso, ora mi spiego. Sono connesso tramite proxy (che non gestisco io) che richiede login e password per la connessione. Il problema nasce quando i programmi non hanno un pieno supporto al proxy (vedi kde4.x), vorrei quindi configurare un transparent proxy che a sua volta si connette al proxy principale. La configurazione di squid sembra essere giusta dato che se setto manualmente il proxy locale sul browser funziona perfettamente. Ho provato varie regole iptables ma sembrano non andare.

      eth1(10.250.23.x dove x di solito è 71) è l’interfaccia(wireless) che uso per connettermi al proxy(10.250.23.250).

      la configurazione di squid è la seguente:

      http_port 3128 transparent
      acl localhost src 127.0.0.1/32
      acl to_localhost dst 127.0.0.0/8
      acl our_networks src 10.250.23.0/24
      acl SSL_ports port 443
      acl Safe_ports port 80 # http
      acl Safe_ports port 21 # ftp
      acl Safe_ports port 443 # https
      acl Safe_ports port 70 # gopher
      acl Safe_ports port 210 # wais
      acl Safe_ports port 1025-65535 # unregistered ports
      acl Safe_ports port 280 # http-mgmt
      acl Safe_ports port 488 # gss-http
      acl Safe_ports port 591 # filemaker
      acl Safe_ports port 777 # multiling http
      acl CONNECT method CONNECT
      acl manager proto cache_object
      http_access allow manager localhost
      http_access deny manager
      http_access deny !Safe_ports
      http_access deny CONNECT !SSL_ports
      http_access allow localhost
      http_access allow our_networks
      http_access deny all
      icp_access allow all
      htcp_access deny all
      hierarchy_stoplist cgi-bin ?
      access_log /var/log/squid3/access.log squid
      acl QUERY urlpath_regex cgi-bin \?
      cache deny QUERY
      refresh_pattern ^ftp: 1440 20% 10080
      refresh_pattern ^gopher: 1440 0% 1440
      refresh_pattern . 0 20% 4320
      icp_port 3130
      coredump_dir /var/spool/squid3
      never_direct allow all
      #redirect_program /var/www/filter/filter.sh
      cache_peer 10.250.23.250 parent 3128 3130 proxy-only no-query no-digest login=user:password

      Spero che qualcuno mi possa aiutare. Grazie.

        Quota

    • Divilinux ITALY Mozilla Firefox Linux 9 anni ago

      @Davide
      Ciao..provo a sollecitare l’autore dell’articolo, che sicuramente di networking se ne intende nettamente piu’ di me..non vorrei dirti qualcosa di sbagliato
      Stay tuned
      😉

        Quota

    • brisa ITALY Mozilla Firefox Linux 9 anni ago

      @Davide
      ho paura che quello che stai tentando di fare sia impossibile, il transparent proxy non può funzionare con una richiesta di utente e password. Mi spiego, quando setti il proxy manualmente sul browser (O programmi che ne fanno uso), questi sono consci di dover dialogare con un proxy server, quindi se gli arriva una richiesta di username/password, sanno come comportarsi di conseguenza. Se invece usi un trasparent proxy, e quindi tieni all’oscuro i programmi che tentano di navigare dal fatto che in verità stanno passando per un proxy server (Cosa fattibile) non puoi far ricadere sui programmi una richiesta di password, vedendola dal lato del programma (i.e. firefox) lui si connette ad un sito, ad un certo punto arriva una stringa per la richiesta di username e password che tu sai che proviene dal proxy server, ma firefox non se la aspetta per niente ! firefox si aspetta invece di ricevere la pagina web che ha chiesto.
      Spero di essere stato chiaro, forse esiste un modo per “filtrare” o “gestire” questa richiesta di credenziali che arriva dal trasparent proxy, ma io non so. ciao

        Quota

    • @brisa
      Hai raggione, ma il mio proxy non richiede username e password e manda sempre lo stesso username e password al proxy principale grazie al parametro “login=” di “cache_peer” nella configurazione.

        Quota

    • brisa ITALY Mozilla Firefox Windows 9 anni ago

      @Davide
      quindi se ho capito bene, tu vuoi creare un transparent proxy (Chiamato TP) che sta in mezzo tra il proxy richiede le credenziali (Chiamato CP) ed il tuo browser. ma TP, dove girerà ? sulla stessa macchina che fa girare il browser ? sulla stessa macchina che fa girare CP o su una ulteriore macchina messa in mezzo tra il PC con il browser e CP ?

        Quota

    • @brisa
      Il TP girerà sulla stessa macchina del browser(penso che sia propio questo il motivo per cui le regole iptables che ho provato non funzionano). Purtroppo non ho un PC da dedicare a server.

        Quota

    • brisa ITALY Mozilla Firefox Linux 9 anni ago

      @Davide
      Purtroppo così non funziona, il trasparent proxy deve stare su un altra macchina, le regole vengono applicate ai pacchetti in “forwarding” cioè quelli che arrivano da una altro pc, passano attraverso il gateway e escono dal gateway stesso. Se tenti di mettere TP e browser sulla stessa macchina i pacchetti saranno sempre in uscita, non in forwarding, non solo, se tenti di sforzare le regole per far si che le regole si applichino anche ai pacchetti in uscita, poi non ti funziona più nulla perché anche i pacchetti generati dal TP vengono considerati pacchetti in uscita, non c’è modo per il kernel per distinguere i pacchetti generati dall’applicazione “browser” o applicazione “proxy”. Devi appoggiarti ad un pc intermedio per forza.

        Quota

    • @brisa
      Si potrabbe in qualche modo escludere dal redirect le richieste sulla porta 3128?

        Quota

    • @brisa
      Ci sono riuscito o quasi… la regola iptables è: iptables -t nat -A OUTPUT -p tcp –dport 80 -j REDIRECT –to-port 3128
      grazie mille per l’aiuto.
      Ora il problema è il dns, la risoluzione dei nomi la dovrebbe fare il proxy principale (CP), ma il browser tenta di fare lui la richiesta (fallendo). Ma mi sembra di andare troppo off-topic e chiedere troppo

        Quota