Trasa routingu

[axlinux]

Hej.

Ostatnio bawię się php i mysql i mam pare pytań:

Czy jak mam umieszczone pliki na serwerze to czy ktoś jest w stanie ściągnąć całą zawartość mojej strony (czyt. kod źródłowy napisany w php i loginy i hasła do bazy).

Oczywiście chodzi mi o to czy jest wstanie zrobić taki zwykły user a nie haker z babki prababki.

PS. Pisze tu na linux.pl bo wam ufam.
Danke

[Avallach]

no wiesz sensem umieszczania kodu w php i pisania skryptów w tym języku jest to, żeby nie można było dostać zbyt łatwo tego kodu...

[benyo]

2006-08-08 09:35:00 Avallach napisał:

> no wiesz sensem umieszczania kodu w php i pisania skryptów w tym języku jest to, żeby nie można
 > było dostać zbyt łatwo tego kodu...

Ale duzo zalezy tez od tego czy admin tego serwera jest rozsadnym czlowiekiem:)

[venomz]

Witam!
Mam nastepujacy problem:

dwa kompy:
 - na pierwszym:
     polaczenie z netem:
     eth0: addr:192.168.0.57  
             Bcast:192.168.1.255  
             Mask:255.255.254.0
             gw: 192.168.0.254
     polaczenie z drugim kompem:
     eth1: addr:10.0.0.1  
             Bcast:10.0.0.255  
             Mask:255.255.255.0
- na drugim kompie:
    ip: 10.0.0.2
    maska: 255.255.255.0
    brama i dns: 10.0.0.1

Chce umozliwic dostep do internetu z kompa nr 2. Ustawilem maskowanie:
iptables -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE -t nat
Pingi sa OK, dns tez chyba dziala, nie potrafie ustawic trasy routingu.
route -n daje nastepujacy rezultat:

Kernel IP routing table
Destination     Gateway         Genmask     Flags Metric Ref    Use Iface
10.0.0.0        0.0.0.0           255.255.255.0   U     0      0        0 eth1
192.168.0.0   0.0.0.0           255.255.254.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0           255.0.0.0         U     0      0        0 lo
0.0.0.0          192.168.0.254   0.0.0.0         UG    0      0        0 eth0

Kombinowalem na kilka sposobow ale moja wiedza z tego zakresu nie jest imponujaca. Podejrzewam ze nie jest to zbyt skomplikowane dlatego bardzo prosze o jakas wskazowke.

Pozdrawiam i z gory thx

venom

[jk33]

2006-08-07 13:21:18 venomz napisał:

 > - na drugim kompie:
 >     brama i dns: 10.0.0.1

Nie: DNS ustaw taki sam jak ma pierwszy komp.
(brama OK)

 > Pingi sa OK, dns tez chyba dziala, nie potrafie ustawic trasy routingu.

Tego nie rozumiem.. skoro ida pingi, to co nie działa?
(i dokąd wysyłasz te pingi?)
Myślę, że nie musisz się bawić w ustawianie statycznych tras...

> route -n daje nastepujacy rezultat:
 > Kernel IP routing table
 > Destination     Gateway         Genmask     Flags Metric Ref    Use Iface
 > 10.0.0.0        0.0.0.0           255.255.255.0   U     0      0        0 eth1
 > 192.168.0.0   0.0.0.0           255.255.254.0   U     0      0        0 eth0
 > 127.0.0.0       0.0.0.0           255.0.0.0         U     0      0        0 lo
 > 0.0.0.0          192.168.0.254   0.0.0.0         UG    0      0        0 eth0
to jest route na pierwszym kompie, tak?

----
Na pc z internetem:
Sprawdź cat  /proc/sys/net/ipv4/ip_forward
Jeśli jest 0, to dodaj do skryptów startowych Twojego Linuksa
echo 1 > /proc/sys/net/ipv4/ip_forward
----
Sprawdź, czy na pewno nie blokujesz na iptables forwardowanych
pakietów:
iptables -L FORWARD


pozdrawiam, Janek

[maneo]

2006-08-07 13:21:18 venomz napisał:

A ja mysle ze to pomoze, oczywiscie wykonane na drugim komputerze

route add default gw 10.0.0.1

[venomz]

Jeszcze w celu uzupelnienia informacji, bo chyba niezbyt jasno to wczesniej opisalem. Na pierwszym kompie linux z dostepem do internetu, polaczony z drugim kompem na ktorym jest WinXP.

 > Nie: DNS ustaw taki sam jak ma pierwszy komp.
 > (brama OK)
 >  > Pingi sa OK, dns tez chyba dziala, nie potrafie ustawic trasy routingu.
 > Tego nie rozumiem.. skoro ida pingi, to co nie działa?
 > (i dokąd wysyłasz te pingi?)

chodzilo mi o pingi miedzy linuxem a windowsem - sa ok. natomiast jezeli z windowsa pinguje np. onet.pl to:
 A) przy ustawieniu dns'a na 10.0.0.1 (adres linuxa) pojawia sie: "badanie onet.pl [213.180.130.200] z uzyciem..."
"uplynal limit czasu zadania"
 czyli znajduje adres onetu wiec wywnioskowalem ze dns dziala, bo:
B) przy ustawieniu dns'a na 192.168.0.254  (dns taki jak linuxie) jest komunikat: "...nie mozna znalezc hosta onet.pl..."

> cat  /proc/sys/net/ipv4/ip_forward -- zwraca 1 (juz sie tym wczesniej zajalem)

 > Myślę, że nie musisz się bawić w ustawianie statycznych tras...

Wydawalo mi sie ze trzeba jeszcze w jakis sposob poinformowac linuxa, zeby dane z windowsa wysylal w internet (cos typu route add -net 10.0.0.1/24 gw 192.168.0.254 czy cos)

 > Sprawdź, czy na pewno nie blokujesz na iptables forwardowanych
 > pakietów:
 > iptables -L FORWARD
wynik:
"Chain FORWARD (policy ACCEPT)
 target     prot opt source               destination"

 > pozdrawiam, Janek
Dzieki za zainteresowanie bede ogromnie wdzieczny, za jeszcze jakies wskazowki
Pozdrawiam
venom

[venomz]

> 2006-08-07 13:21:18 venomz napisał:
 >
 > A ja mysle ze to pomoze, oczywiscie wykonane na drugim komputerze
 >
 > route add default gw 10.0.0.1
 >

jezeli chodzi o komputer - klient to jest na nim windows xp wiec troche trudne do zrealizowania w kazdym razie brama domyslna jest ustawiona na 10.0.0.1 i to nie rozwiazuje problemu - jest dostep do kompa serwera, ale nie ma dostepu do netu

[spideros1]

>
 > jezeli chodzi o komputer - klient to jest na nim windows xp wiec troche trudne do zrealizowania
 > w kazdym razie brama domyslna jest ustawiona na 10.0.0.1 i to nie rozwiazuje problemu - jest
 > dostep do kompa serwera, ale nie ma dostepu do netu

Na WinXP jest też polecenie route w konsoli. Odpal cmd i wklep
route ADD 10.0.0.1

[venomz]

2006-08-07 14:31:30 spideros1 napisał:

 >
 > Na WinXP jest też polecenie route w konsoli. Odpal cmd i wklep
 > route ADD 10.0.0.1
 >

zgodnie ze wskazowkami zawartymi w helpie windozowego route wklepalem route add 10.0.0.0 mask 255.255.255.0 10.0.0.1 i zadnych efektow.

[jk33]

Patrząc po adresie ip na eth0 (192.168...)
jesteś w jakiejś sieci wewnętrznej.
Może przypadkiem jest tak, że admin tej sieci
stosuje takie "zabezpieczenie" przed dzieleniem
łącza, zmniejszając ttl pakietów do 1.

Możesz to sprawdzić na linuksie, np. za pomocą ethereala.

[venomz]

2006-08-08 13:19:21 jk33 napisał:

 > Może przypadkiem jest tak, że admin tej sieci
 > stosuje takie "zabezpieczenie" przed dzieleniem
 > łącza, zmniejszając ttl pakietów do 1.

Chyba masz racje - przy pingowaniu np onetu jest cos takiego:

64 bytes from f1virt.onet.pl (213.180.130.200): icmp_seq=286 ttl=1 time=39.0 ms

W kazdym razie problem rozwiazalem uruchamiajac na kompie serwerze squida, co moze nie jest najlepszym rozwiazaniem ale dziala

Swoja droga istnieje jakis sposob zeby zmienic wartosc ttl'a ?

pozdrawiam i dziekuje wszystkim za pomoc

[spideros1]

Może tak ?

iptables -t mangle -A PREROUTING -s $INTNET -j TTL --ttl-inc 1