[FREEBSD] Sip_Spoofing - Linux en overige clients

donderdag 27 maart 2003 23:56

Acties:

Verwijderd

Topicstarter

Goedendag,

Ik heb een probleem met het sip_spoofen op een Freebsd bak..

De situatie wil ik als volgt hebben:

INET <---- ALCATEL_ROUTER <---- rl0 Freebsd<--- xl0 Freebsd

Alcatel router: 10.0.0.138
rl0: ex.te.rn.ip
xl0: 192.168.0.2

Nu heb ik diverse howto's gevolgd maar kom er niet helemaal uit...

Ik stel via de webinterface van de router de boel netjes in en zie ook dat de status van de verbinding op "up" staat. Hieruit concludeer ik dat er dus een connectie met het Inet is.

Wanneer ik de rl0 het externe ip van de verbinding gegeven het, en een route aanmaak naar de Alcatel Router met het commando:

route add -net 10.0.0.138 -iface ex.te.rn.ip -cloning

Kan ik ook 10.0.0.138 pingen... So far so good.

Als laatste moet er dan een default route aangemaakt worden.. dit doe ik met het commando:

route add default 10.0.0.138

Nu moet het dus lukken om de buitenwereld te bereiken:

firewall# ping 195.241.48.33
PING 195.241.48.33 (195.241.48.33): 56 data bytes

--- 10.0.0.138 ping statistics ---
7 packets transmitted, 0 packets received, 100% packet loss

De buitenwereld is dus niet te bereiken... Ik ben er waarschijnlijk al zo lang mee bezig dat ik iets over het hoofd zie, maar wat?...

Wat ik zelf heb gedaan:

Dit topic bekeken..
En Deze post heeft me ook een eind op weg geholpen.

Additionele info:
Server: FreeBSD 4.8 RC
Modem: Alcatel Analoog oud model
Modem Software Versie: Active software version : GV8BAA3.261 (1000688 )
ADSL: Tiscali Plus Abo (1,5 M Down)

Wie o wie kan mij helpen?

[ Voor 191% gewijzigd door Verwijderd op 27-03-2003 23:58 ]

vrijdag 28 maart 2003 08:37

Acties:

Jelmer

Kijk eens wat een traceroute doet naar een willekeurig adres (bijv je DNS server). Het beste kun je dan even met een network sniffer/monitor kijken wat er aan verkeer heen en weer gaat.

vrijdag 28 maart 2003 09:05

Acties:

Verwijderd

Topicstarter

Jelmer schreef op 28 March 2003 @ 08:37:
Kijk eens wat een traceroute doet naar een willekeurig adres (bijv je DNS server). Het beste kun je dan even met een network sniffer/monitor kijken wat er aan verkeer heen en weer gaat.

Een traceroute heb ik ook al gedaan, maar deze geeft gewoon totaal geen response, dwz ik zie dat ie bij de eerste hop al een timeout geeft...

[ Voor 1% gewijzigd door Verwijderd op 28-03-2003 09:06 . Reden: typo :) ]

vrijdag 28 maart 2003 09:10

Acties:

Jelmer

Heb je ook gekeken met een netwerk monitor of er nog ander verkeer terug kwam? 't Wil nl onder linux wel eens gebeuren dat een programma een timeout geeft terwijl er bij iedere poging ICMP berichten va de doel host af komen..

Zou je eens de route tabel zoals je die nu in het modem hebt staan willen posten? Misschien dat daar iets niet goed in staat.
Ben je trouwens niet vergeten in je modem bij de PPP instellingen het Local IP op 1.2.3.4 of 192.168.255.1 te zetten?

vrijdag 28 maart 2003 09:20

Acties:

Verwijderd

Topicstarter

Bij PPP staat het ipadres op 192.168.255.1

Het probleem kan niet zijn dat dit nog in het modem staat? :

[nat]=>defserver
Default server is 192.168.0.5

De routing tabel kan ik wel laten zien, maar alles staat nu weer als pro ingesteld, anders kom ik er extern niet bij.. dus dat heeft geen nut op het moment..

[ Voor 67% gewijzigd door Verwijderd op 28-03-2003 09:24 ]

vrijdag 28 maart 2003 09:28

Acties:

Verwijderd

ifconfig rl0 inet ext.ip.van.adsl netmask 255.255.255.255
route add 10.0.0.0/24 ext.ip.van.adsl -interface
route add default 10.0.0.138

er van uitgaande dat je SIP spoof op je modem goed werkt....

vrijdag 28 maart 2003 09:32

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 28 March 2003 @ 09:28:
ifconfig rl0 inet ext.ip.van.adsl netmask 255.255.255.255
route add 10.0.0.0/24 ext.ip.van.adsl -interface
route add default 10.0.0.138

er van uitgaande dat je SIP spoof op je modem goed werkt....

AH! Dus:

route add -net 10.0.0.138 -iface ex.te.rn.ip -cloning
moet worden

route add -net 10.0.0.0/24 -iface ex.te.rn.ip -cloning

Ik ga het vanmiddag proberen... Bedankt!

vrijdag 28 maart 2003 09:35

Acties:

Jelmer

Dat kan alleen een probleem zijn als NPAT nog aan staat..

Maar je route tabel zit nog niet goed in elkaar. Je route je externe IP naar je externe IP.. dat is fout 1. Fout 2 is je default route, die staat nog op 10.0.0.13. Verder zie ik ook 10.0.0.138 niet meer terug komen..

Wat je moet doen is eerst de ppp verbinding uit zetten. Daarna moet je de route tabel zowat helemaal leeg gooien (alleen 127.0.0.1/32 any 127.0.0.1 loop en 10.0.0.0/8 any 10.0.0.138 eth0 er in laten staan is voldoende)

Daarna voeg je toe:

dest: 195.241.x.x/32
source any
gateway 10.0.0.138

Als je daarna je ppp verbindimg weer aan zet, moet het werken.

Trouwens, ik ben er vanuit gegaan dat je modem nogsteeds 10.0.0.138 heeft, maar dat kan ik eerlijk gezegd niet afluiden uit de tabel (daar staat 192.168.0.1).

vrijdag 28 maart 2003 09:39

Acties:

Verwijderd

Topicstarter

Jelmer schreef op 28 March 2003 @ 09:35:
Dat kan alleen een probleem zijn als NPAT nog aan staat..

Maar je route tabel zit nog niet goed in elkaar. Je route je externe IP naar je externe IP.. dat is fout 1. Fout 2 is je default route, die staat nog op 10.0.0.13. Verder zie ik ook 10.0.0.138 niet meer terug komen..

Wat je moet doen is eerst de ppp verbinding uit zetten. Daarna moet je de route tabel zowat helemaal leeg gooien (alleen 127.0.0.1/32 any 127.0.0.1 loop en 10.0.0.0/8 any 10.0.0.138 eth0 er in laten staan is voldoende)

Daarna voeg je toe:

dest: ex.te.rn.ip
source any
gateway 10.0.0.138

Als je daarna je ppp verbindimg weer aan zet, moet het werken.

Trouwens, ik ben er vanuit gegaan dat je modem nogsteeds 10.0.0.138 heeft, maar dat kan ik eerlijk gezegd niet afluiden uit de tabel (daar staat 192.168.0.1).

Sorry, maar ik was iets te snel met het posten van die routing tabel.. Die is alweer weg... De routing table die jij hebt gezien was hoe die ingesteld staat als ie getweaked is naar pro versie.

Zou je dat ip dan ook ff willen verwijderen? Bedankt

[ Voor 3% gewijzigd door Verwijderd op 28-03-2003 09:40 ]

zaterdag 29 maart 2003 06:42

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 28 March 2003 @ 09:28:
ifconfig rl0 inet ext.ip.van.adsl netmask 255.255.255.255
route add 10.0.0.0/24 ext.ip.van.adsl -interface
route add default 10.0.0.138

er van uitgaande dat je SIP spoof op je modem goed werkt....

Als dit klopt wat jij zegt werkt sip spoof niet goed...

De status van de ppp verbinding is up, dat moet dus goed zijn neem ik aan.

Kan iemand een voorbeeld van zijn routertable dumpen?

De mijne ziet er nu zo uit:

Destination Source Gateway Intf
127.0.0.1/32 any 127.0.0.1 loop
10.0.0.0/8 any 10.0.0.138 eth0
195.241.98.153/32 any 10.0.0.138 eth0

zaterdag 29 maart 2003 10:25

Acties:

Jelmer

Volgens mij heb je ergens een firewall rule verkeerd staan, want ik kan je nl gewoon pingen

zaterdag 29 maart 2003 20:00

Acties:

Verwijderd

Topicstarter

Dat klopt..

Elke keer als ik een reply post die ik dat nadat ik alle instellingen weer terug heb gezet.. dus ok getweakte stand

Heeft er iemand een overzicht van zijn routertable voor mij?

zaterdag 29 maart 2003 21:53

Acties:

Jelmer

Ah ok, had ik kunnen weten..

maar je route tabel zoals jij m hierboven post, klopt helemaal.

Het modem zet er alleen zelf weer
255.255.255.255/32 any 10.0.0.138 eth0
10.0.0.0/8 10.0.0.0/8 10.0.0.138 eth0

bij, maar dat boeit helemaal niets.

Zodra je modem verbinding heeft gemaakt komt er het volgende bij:
192.168.255.1/32 any 192.168.255.1 SIPspoof
default 213.84.245.62/0 192.168.255.1 SIPspoof

Kun je de .ini files uit je modem eens posten? Vergeet trouwens niet je username/password uit ppp.ini te halen!

zondag 30 maart 2003 21:58

Acties:

Verwijderd

Topicstarter

Owke, het is gelukt!

Nu moet ik nog ff ervoor zorgen dat al mijn w's over die bak naar buiten kunnen!

Ik heb nogmaals de gehele howto doorlopen, en ipf.rules aangemaakt.

Ik denk dat met name die rules het probleem hebben verholpen