Possível esconder IP?

ruandutrab
(usa Ubuntu)

Enviado em 27/07/2013 - 13:31h

Eu rodo uma aplicação no linux, eu coloquei um proxy na frente para quando pingar aparecer o IP do proxy, porém quando a pessoa
já está conectada na aplicação e entra no CMD e usa netstat ela consegue o IP/real que está rodando a aplicação.

Gostaria de saber se existe alguma forma de ocultar esse IP ou mostrar outro IP. Obrigado Abraço

lejoso
(usa Debian)

Enviado em 29/07/2013 - 01:13h

Esse cenário especificado está muito vago. Favor escrever com mais detalhes.
Ex: a aplicação está dentro da sua rede e os usuários acessam de fora ou a aplicação está fora e você quer os usuários da rede local não tenham tais informações.
Outra coisa, você falou de proxy na frente da aplicação e ping. Proxy não trata icmp (ping), apenas http, https e alguns outros protocolos. Ta um pouco confuso,mas se puder detalhar melhor talvez alguém possa lhe ajudar.

ruandutrab
(usa Ubuntu)

Enviado em 29/07/2013 - 01:54h

A aplicação está em um Dedicado, fora da minha rede, eu não quero que outras pessoas de fora que acessa tenha informações como o IP do dedicado, o proxy faz um tunnel, para que quando receba um attack não caia a maquina principal e sim o proxy, porem quando se está conectado a aplicação e usa o comando Netstat no CMD você pode ter informações como IP e Porta da aplicação. Eu gostaria de saber se é possível ocultar tais informações do Netstat.

Obrigado.

Buckminster
(usa Debian)

Enviado em 29/07/2013 - 01:57h

Nota do tradutor: Com o snat ( source nat ) é possível alterar o endereço de origem no cabeçalho (header) dos pacotes que combinam com a regra criada.

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 172.16.1.123

Nesta regra, todos os pacotes que saírem pela interface de rede eth0 terão os endereços de origem alterados para 172.16.1.123.

Veja o Manual do Iptables:

http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/?pagina=5

Você pode combinar os IPs também:

iptables -t nat -A POSTROUTING -s ip_da_aplicacao -o eth0 -j SNAT --to ip_externo_do_firewall << ou você coloca aqui neste último IP um IP que você queira.

Esta regra acima fará com que o IP da aplicação seja trocado pelo IP que você colocar em --to xxx.xxx.xxx.xxx.

ruandutrab
(usa Ubuntu)

Enviado em 29/07/2013 - 02:09h

Muito Obrigado por responder amigo, testei aqui esse iptables mas ainda mostrou o IP real.

Buckminster
(usa Debian)

Enviado em 29/07/2013 - 02:13h

Como você executou o comando netstat?
Posta ele aqui e posta o conteúdo do teu Iptables também.

ruandutrab
(usa Ubuntu)

Enviado em 29/07/2013 - 02:17h

netstat -n

iptables -t nat -A POSTROUTING -s 184.164.138.35 -o eth0 -j SNAT --to 172.16.1.123
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 172.16.1.123

Buckminster
(usa Debian)

Enviado em 29/07/2013 - 16:08h

Acrescente a linha abaixo no squid.conf:

forwarded_for off

Reinicie o Squid e teste com o comando netstat -n.


E quanto ao Iptables, para a linha de SNAT funcionar você deveria estar fazendo NAT (mascaramento e compartilhamento).
Somente essa linha abaixo seria necessária.
iptables -t nat -A POSTROUTING -s 184.164.138.35 -o eth0 -j SNAT --to 172.16.1.123

ruandutrab
(usa Ubuntu)

Enviado em 31/07/2013 - 21:52h

Coloquei o Squid e coloquei no conf forwarded_for off
mas mesmo assim não foi... Eu estou usando a regra no iptables,
mas quando dou iptables -L ele não lista essa regra adicionada.

Buckminster
(usa Debian)

Enviado em 03/08/2013 - 15:48h

iptables -t nat -L

ruandutrab
(usa Ubuntu)

Enviado em 04/08/2013 - 12:13h

Eu fiz isso e ele listou a regra.


root@Dedicado:~# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 198.24.147.70 anywhere to:198.24.147.80

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
root@Dedicado:~#

MarceloTheodoro
(usa Debian)

Enviado em 16/08/2013 - 21:53h

Peraí... O cara tá conectado DENTRO do servidor dedicado e você não quer que ele saiba o IP desse servidor?
Sei não, hein.... Tá com cara de gambiarra isso aí. rs

Será que não tem outra alternativa?