Ребят, такой вопрос: поддерживает ли ipfw nat - ipv6 адреса, если да, то можно какие нибудь примеры правил конфигурирования. Только нужен именно ipfw nat. Спасибо заранее.

имеется сеть: uplink1 микротик, uplink2 микротик, линукс роутер(интернет шлюз)
микротик1: подсеть реальных ip.
роутер: 1 реальный ip из подсети микротика1 и nat.
роутер имеет, к примеру, подсети серых ip: 192.168.1.1/24, 192.168.2.1/24, 192.168.3.1/24, 192.168.4.1/24.
микротик2 со своим uplink'om, и своею подсетью реальных ip.
задача: пустить с линукса подсети 192.168.1.1 и 192.168.2.1 на микротик 1
подсети 192.168.3.1, 192.168.4.1 на микротик 2.
более наглядная схема по ссылке: http://images.vfl.ru/ii/1507227023/7c5fb300/18874900.png

Возможна ли реализация такой схемы и как она будет выглядеть теоритически и практически?

Поставил на один из сайтов, вроде работает, но не понял, как должны обновляться сертификаты.

В /etc/cron.d/certbot непонятна команда:
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew
Т.е. при наличии директории /run/systemd/system, certbot не запустится?

Во-первых, зачем проверять наличие этой директории?
А во-вторых, как же должно запускаться обновление при наличии /run/systemd/system?

Спасибо

Добрый день! Подскажите как с помощью iptables сделать localhost доступным из интернета ? Есть wifi роутер 192.168.1.1
сервер kvm с centos7 192.168.2.230
основная система 192.168.1.105 интернет вайфай
Какие правила нужно прописать в iptables чтобы открыть доступ к серверу 192.168.2.230 из вне ? Подскажите .

Доброго времени суток!
Суть проблемы такова - существует локальная сеть, необходимо обнаружить, развернут ли в ней где-нибудь NAT и находится ли за ним ещё какая-нибудь сеть???
Может кто-нибудь сталкивался с этой проблемой?
Благодарю за помощь!

ОС - centos 7
Система центос встала без правил, все цепочки пустые.
Нашёл в инете пример sh-скрипта с правилами, сделал под себя, запускаю его, смотрю:
iptables -L -v -n
и вижу, что мои правила применились, норм.
Прописываю скрипт в rc.local, и имею дулю - он после ребута компа не запускается!
Пробовал по схеме -
/sbin/iptables-save > /etc/iptables
/sbin/iptables-restore < /etc/iptables
vim /etc/rc.d/rc.local
/sbin/iptables-restore < /etc/iptables
Правила записываются в файл, восстанавливаются из него (проверял), но это всё если ручками без ребута, а после ребута - ничего не делает, типа я ничего и не прописал в rc.local.
Или чего я не так написал?

Исходные данные: есть openvpn шлюз на linux с интрефейсами:
eth0 - смотрит в локалку 192.168.1.0/24
tun0 - смотрит в vpn сеть - 10.0.0.0/30
Задача:
Нужно, чтобы отбрасывались все пакеты, кроме тех, которые:
а) приходят по порту 22 с ip 192.168.1.100;
б) приходят по порту 1194 с ip 192.168.1.1;
в) пакеты, которые приходят на интерфейс tun0 по порту 3389 перенаправлялись на адрес 192.168.1.100;

Правильно ли прописаны следующие правила:
а) iptables -A INPUT ! -s 192.168.1.100 -p tcp --dport 22 -j DROP
б) iptables -A INPUT ! -s 192.168.1.1 -p tcp --dport 1194 -j DROP
в) iptables -t nat -A PREROUTING -i tun0 -p tcp --dport 3389 -j DNAT \ --to-destination 192.168.1.100:3389

  

Добрый день!

Есть задача поднять OpenVPN канал, но нужно выяснить, какую полосу под него запросить.

Есть ли какие-то справочные данные, по которым можно узнать, сколько служебной информации добавляется OpenVPN к передаваемой информации в случае использования TCP или UDP?

Протокол шифрования AES-256.

И как влияет включение сжатия?

Гуглил долго, но не нашёл.

Здравствуйте. Имеем:
Сервера на фрибсд и линуксе с поднятыми ип на них. Для проксирования используем 3proxy. Но блокировки провайдера срабатывают даже через прокси при попытке захода на нужный сайт. В данном случае ттк (редирект на http://fz139.ttk.ru/)
Подскажите, существует ли способ с помощью iptables/ipfw решить данную проблему?
Спасибо.

Всем доброго времени суток!
Существует проблема, компьютеры подключены к сети, но не введены в домен. Необходимо вычислить эти компы. Результат - это ip-адреса этих компов. Есть соображения, как это сделать?
Благодарю за помощь!

Приветствую,
заполняю табличку по 1Г. В защищаемом контуре есть СУБД на Oracle Linux 7.
Есть требование "Должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ".
Есть также отдельное требование по регистрации событий входа в ОС.
У кого-нибудь есть понимание, что хотели авторы первого требования и, как это реализовано в Linux?

У меня в ClamAV обновляются следующие базы:

blurl.ndb
bofhland_cracked_URL.ndb
bofhland_malware_attach.hdb
bofhland_malware_URL.ndb
bofhland_phishing_URL.ndb
bytecode.cld
crdfam.clamav.hdb
daily.cld
foxhole_filename.cdb
foxhole_generic.cdb
hackingteam.hsb
javascript.ndb
junk.ndb
jurlbl.ndb
main.cvd
malwarehash.hsb
malwarepatrol.db
phish.ndb
phishtank.ndb
porcupine.hsb
porcupine.ndb
rfxn.hdb
rfxn.ndb
rogue.hdb
sanesecurity.ftm
Sanesecurity_sigtest.yara
Sanesecurity_spam.yara
scam.ndb
securiteinfoandroid.hdb
securiteinfoascii.hdb
securiteinfo.hdb
securiteinfohtml.hdb
securiteinfo.ign2
securiteinfopdf.hdb
sigwhitelist.ign2
spamattach.hdb
spamimg.hdb
winnow.attachments.hdb
winnow_bad_cw.hdb
winnow_extended_malware.hdb
winnow_malware.hdb
winnow_malware_links.ndb
winnow_malware.yara
winnow_phish_complete_url.ndb
yara-rules.ign2
yara-rules.yara

С логов можно просмотреть зависимость количества вирусов от времени. Например для havp выполнить команду:
zgrep -E ' ClamAV: Loaded | ClamAV: Reloaded ' /var/log/havp/error.log* |awk '{print $1"    "$5}' |uniq |awk -F':' '{print $2}' |less

В теории количество вирей должно только увеличиваться. А на практике иногда уменьшается на десятки тысяч! Особо в securiteinfo.hdb

Ниже привожу изменение количества вирей от времени в моей антивирусной базе. Кто может посмотреть свои базы clamav тоже были значительные уменьшения вирей?

Привет опеннет.

Как известно, есть такой сервис под названием Let`s Encrypt (назовём его LE). Сервис предоставляет бесплатные SSL-сертификаты сроком на 3 месяца. И всё-бы хорошо, еслиб не одна проблемка: юзабилити сервиса нулевое. Причём удобство не просто нулевое, у меня складывается впечатление, что авторы LE целенаправленно усложнили жизнь и пользователям сертификатов и разработчикам. На данный момент почти все администраторы используют LE либо посредством консоли (certbot), либо в веб-интерфейсе панели управления хостингом (ISPmanager, VestaCP), или-же используют ещё какие-то костыли. Всё это неудобно. Люди традиционно привыкли заказывать сертификат в веб-панели, на длительный срок, с поддоменом www, с поддержкой wildcard и прочими удобствами. Всего этого у Let`s Encrypt нет и это нужно исправить хотябы частично. Потому я решил написать веб-панель в которой-бы можно было управлять сертификатами LE максимально комфортно.

Скриншот: http://savepic.ru/13852951.htm

Панелька написана на PHP и легко устанавливается почти на любой веб-хостинг, так-же как обычная CMS. Исходники панели открыты, получить их можно на гитхабе: https://github.com/pas9x/justencrypt1

Официальный сайт проекта находится по адресу: http://pascalhp.net/justencrypt/
Здесь-же можно скачать последнюю версию дистрибутива и почитать мануалы.

Можете скачивать, устанавливать и пользоваться. Если у вас возникнут какие-то проблемы - обращайтесь по контактам указанным на сайте. В случае, если найдутся какие-то ошибки/баги - будет выпущена обновлённая версия. Что касается надёжности/стабильности/долговечности: заниматься проектом буду долго, панель будет дорабатываться и развиваться. Если есть какие-то вопросы/пожелания - готов ответить :)

Доброго времени!

Есть ip 94.180.122.4 На нем висит почтовый сервер на postfix.

Записи в зоне и обратная ptr запись имеются.
На некоторые домены не отправляется почта и приходит ответ, что мой айпи в блеклисте barracudacentral.org

Несколько раз отсылал им запросы на удаление из базы - все в пустую! репутация poor и все тут.

На мои фидбеки они тоже не отвечают(

Проверил ip на openrelay - отрицательно.

Правилом закрыл отправку на 25, 587 и 465 порты кроме почтовика.

Помогите, пожалуйста разобраться в чем причина.

как добавить сразу несколько исключений в правило iptables?
Допустим, есть правило:
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 ! -d 192.168.2.0/24 -o eth0 -j MASQUERADE
как в него добавить еще один диапазон(допустим 172.16.0.0/16) после -d?
Пишут что можно как-то через -j RETURN, но пока не нашел толкового примера

Добрый день!
Создал на основе двух OpenBSD6 сетевой мост между двумя зданиями. Все прекрасно, сеть без проблем, DHCP сервер и BOOTPC работают через мост без проблем. Подскажите, где прочитать или найти гайд по настройке IPSec на сетевом мосту. Все что я находил в сети относится к двум разным сетям и прочим NAT. У меня же просто одно сеть один большой диапазон. Хотелось бы такой же прозрачности на сетевом мосту, только с шифрованием.  

Есть выделенный сервер под CentOS 6 - Minimal.

Его IP оказался в черном списке CBL с формулировкой "This IP is infected with, or is NATting for a machine infected with s_gozi" (полный текст ниже) и многие почтовые серверы теперь блокируют с него почту.

Предлагаемые инструменты не подходят, т.к. они по Windows, т.к. gozi заточен под Windows.

Поддержка запустила антивирус, но он ничего не нашел.

Поддержка запустила: tcpdump -nnvvXS host 87.106.18.141(тогда CBL выдавало другой адрес) -w /root/traf.pcap -c 100000
но никаких обращений к 87.106.18.141 зафиксировано не было.

А CBL говорит что активность есть: "It was last detected at 2017-02-07 01:00 GMT "

Какие будут идеи?

Полный текст:

IP Address 1.1.1.1 is listed in the CBL. It shows signs of being infected with a spam sending trojan, malicious link or some other form of botnet.

It was last detected at 2017-02-07 01:00 GMT (+/- 30 minutes), approximately 8 hours ago.

It has been relisted following a previous removal at 2017-01-20 17:55 GMT (17 days, 15 hours, 5 minutes ago)

This IP is infected with, or is NATting for a machine infected with s_gozi

Note: If you wish to look up this bot name via the web, remove the "s_" before you do your search.

This was detected by observing this IP attempting to make contact to a s_gozi Command and Control server, with contents unique to s_gozi C&C command protocols.

This was detected by a TCP/IP connection from "1.1.1.1" on port "53194" going to IP address "192.42.116.41" (the sinkhole) on port "80".

The botnet command and control domain for this connection was "ebinburg.ru".

Behind a NAT, you should be able to find the infected machine by looking for attempted connections to IP address "192.42.116.41" or host name "ebinburg.ru" on any port with a network sniffer such as wireshark. Equivalently, you can examine your DNS server or proxy server logs to references to "192.42.116.41" or "ebinburg.ru". See Advanced Techniques for more detail on how to use wireshark - ignore the references to port 25/SMTP traffic - the identifying activity is NOT on port 25.

Please note that some of the above quoted information may be empty ("") or "na" or "-". In those cases, the feed has declined or is unable to give us that information. Hopefully enough information will be present to allow you to pinpoint the connections. If not, the destination ports to check are usually port 80, 8080, 443 or high ports (around 16000) outbound from your network. Most of these infections spray these connections in high volume, and they should stand out.

This detection corresponds to a connection at 2017-02-07 00:55:04 (GMT - this timestamp is believed accurate to within one second).

These infections are rated as a "severe threat" by Microsoft. It is a trojan downloader, and can download and execute ANY software on the infected computer.

You will need to find and eradicate the infection before delisting the IP address.

Norton Power Eraser is a free tool and doesn't require installation. It just needs to be downloaded and run. One of our team has tested the tool with Zeus, Ice-X, Citadel, ZeroAccess and Cutwail. It was able to detect and clean up the system in each case. It probably works with many other infections.

We strongly recommend that you DO NOT simply firewall off connections to the sinkhole IP addresses given above. Those IP addresses are of sinkholes operated by malware researchers. In other words, it's a "sensor" (only) run by "the good guys". The bot "thinks" its a command and control server run by the spambot operators but it isn't. It DOES NOT actually download anything, and is not a threat. If you firewall the sinkhole addresses, your IPs will remain infected, and they will STILL be delivering your users/customers personal information, including banking information to the criminal bot operators.

If you do choose to firewall these IPs, PLEASE instrument your firewall to tell you which internal machine is connecting to them so that you can identify the infected machine yourself and fix it.

We are enhancing the instructions on how to find these infections, and more information will be given here as it becomes available.

Virtually all detections made by the CBL are of infections that do NOT leave any "tracks" for you to find in your mail server logs. This is even more important for the viruses described here - these detections are made on network-level detections of malicious behaviour and may NOT involve malicious email being sent.

This means: if you have port 25 blocking enabled, do not take this as indication that your port 25 blocking isn't working.

The links above may help you find this infection. You can also consult Advanced Techniques for other options and alternatives. NOTE: the Advanced Techniques link focuses on finding port 25(SMTP) traffic. With "sinkhole malware" detections such as this listing, we aren't detecting port 25 traffic, we're detecting traffic on other ports. Therefore, when reading Advanced Techniques, you will need to consider all ports, not just SMTP.

Pay very close attention: Most of these trojans have extremely poor detection rates in current Anti-Virus software. For example, Ponmocup is only detected by 3 out of 49 AV tools queried at Virus Total.

Thus: having your anti-virus software doesn't find anything doesn't prove that you're not infected.

While we regret having to say this, downloaders will generally download many different malicious payloads. Even if an Anti-Virus product finds and removes the direct threat, they will not have detected or removed the other malicious payloads. For that reason, we recommend recloning the machine - meaning: reformatting the disks on the infected machine, and re-installing all software from known-good sources.

Дано: документированные показания злонамеренного вмешательства в трафик.
Нужно: что почитать на тему подготовки данных форензики к подаче материалов в прокуратуру и суд.

Хочу поинтересоваться у знатоков, что означает следующая ситуация.

Я в фф набрал в адресной строке https://www.google.com/maps
В ответ мне фф пишет: The owner of www.google.com has configured their website improperly. blah-blah-blah...

Я тыкаю в кнопочку ?Advanced и там написана самая мякотка:

www.google.com uses an invalid security certificate.
The certificate is only valid for the following names:
*.vk.com, vk.com

Эмм... Как связаны гугл и вк? Что за срань творится в этом мире? vk.com пытается перехватить мой трафик с гуглом? Но это же глупость, не?

Здравствуйте!

Стоит задача переадресовать пользователя который открывает какую-то страницу "A" (78.1.1.1) на определенную страницу "Б" (79.2.2.2),
где например ему показывается информация о предоставлении услуг, недостаточном балансе и т.п.,
и все это далее завернуть в другой процесс "C" (192.168.33.33, в общем случае это какой-то прокси или другая сеть).

Просто переадресация работает нормально, делаю так:
iptables -t nat -A PREROUTING -i $DEV -p tcp -j DNAT --to-destination 79.2.2.2

Затем заворачиваю это все в 192.168.33.33:
iptables -t nat -A PREROUTING -i $DEV -p tcp -j DNAT --to-destination 192.168.33.33
Но это правило игнорируется, все уходит сразу в 79.2.2.2 и больше никуда не идет.

Почему? Как сделать чтобы обрабатывались оба правила и пакет после первого с dst 79.2.2.2 уходил на 192.168.33.33?
Не могу до конца понять как работает DNAT, если по одному и тому-же пакету через него дважды делают подмену адреса назначения,
или он оставляет только какой-то один на выходе из PREROUTINGа?
Как тогда это обойти? Мне бы и POSTROUTING подошел, но там вроде нельзя DNAT. Возможно вместо первого DNAT нужно отдельный прокси разворачивать, какой тогда лучше?
(пробовал squid, но на него моих знаний или мощности не хватает, все виснет).
Или есть какое-то более простое решение?

Вроде простая задача, примерно как у любого провайдера при нулевом балансе открывается домашняя страница с предупреждением,
но мне это еще нужно через дополнительную сеть пустить.

Всем привет,
понимаю что тема поднималась не раз, и по писку я много чего нашел, но все же ничего найденного мне не помогло.

шлюз Ubuntu 16

внутр инт br0 10.90.90.1
внеш инт eth1 X.X.X.X

$IPT -P INPUT DROP
$IPT -P FORWARD ACCEPT (сделаем временно ACCEPT)
$IPT -P OUTPUT ACCEPT

$IPT -t nat -A PREROUTING  -p icmp -d 1.2.3.4 -j DNAT --to-destination 10.90.90.3
$IPT -t nat -A POSTROUTING  -d 10.90.90.3 -j SNAT --to-source 10.90.90.1

Every 2.0s: iptables -t nat -vnL                                                                                                                                                                                     Thu Jan 12 13:02:59 2017

Chain PREROUTING (policy ACCEPT 1116 packets, 306K bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 LOG        tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5301 LOG flags 0 level 4 prefix "ipt:Synology HTTP "
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5301 to:10.90.90.3:5001
  134  8040 DNAT       icmp --  *      *       0.0.0.0/0            1.2.3.4              to:10.90.90.3
    0     0 LOG        tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5122 LOG flags 0 level 4 prefix "ipt:SSH "
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5122 to:10.90.90.1:22
    0     0 LOG        tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:51022 LOG flags 0 level 4 prefix "ipt:SSH "
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:51022 to:10.90.90.10:22
    0     0 LOG        tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5322 LOG flags 0 level 4 prefix "ipt:SSH "
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5322 to:10.90.90.3:22
    0     0 LOG        tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5422 LOG flags 0 level 4 prefix "ipt:SSH "
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5422 to:10.90.90.4:22
    0     0 LOG        tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:57081 LOG flags 0 level 4 prefix "ipt:ROCAM_HTTP "
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:57081 to:10.90.90.70:81
    0     0 LOG        tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5195 LOG flags 0 level 4 prefix "ipt:OpenVPN "
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5195 to:10.90.90.1:1194
    0     0 LOG        tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5321 LOG flags 0 level 4 prefix "ipt:FTP "
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5321 to:10.90.90.3:21
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpts:55536:55599 to:10.90.90.3:55536-55599

Chain INPUT (policy ACCEPT 181 packets, 23275 bytes)
pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 174 packets, 18474 bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       icmp --  *      *       0.0.0.0/0            1.2.3.4              to:10.90.90.4

Chain POSTROUTING (policy ACCEPT 259 packets, 34942 bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 SNAT       all  --  *      *       0.0.0.0/0            10.90.90.3           to:10.90.90.1
  229 14046 MASQUERADE  all  --  *      eth1    10.90.90.0/24        0.0.0.0/0

Пакеты попадают в правило DNAT, но не отрабатывается по SNAT.

Система оказалась заражённой.. Необходимо использовать стандартные системы обнаружения вторжений создающие хеши всех системных файлов и настроек сразу после установки.

Нашёл зловредов загрузившись с чистого LiveCD и используя самописный скрипт system_check.sh:

https://www.opennet.me/openforum/vsluhforumID15/4338.html#11

http://pastebin.com/z4ZFFpdS

$ openssl dgst -sha512 system_check.sh
SHA512(system_check.sh)= 92b05e89cc58a3c7feec3b7e3fe3dd0559816d366f7658b2ac2b98b92dafbbfb5389f38e5e3e3e7c507558aa29cac02f32804cee1b4596b25798fb4cd46c00ac

$ openssl dgst -whirlpool system_check.sh
whirlpool(system_check.sh)= 7ed1f24ddc44e2476d0c250d899a845eea618d0df178e894d843baced2a52a84906c09ae90ac09a06b23cea38bf25c42c2668dade0c66c0bdf5f67453d29bbd9

Здравствуйте.

Есть сервер:
FreeBSD ... 11.0-RELEASE-p1 FreeBSD 11.0-RELEASE-p1 #0 r306420: Thu Sep 29 01:43:23 UTC 2016 root@releng2.nyi.freebsd.org:/usr/obj/usr/src/sys/GENERIC amd64
Xeon E5-2690, 4GB RAM, SSD RAID 1

На сервере крутится apache24 + php56 + mysql57
Несколько сайтов, один из которых - простенький интернет-магазин под OpenCart.
Суммарная посещаемость всех сайтов - >100000 страниц, ~10000 уникальных в сутки.

Раз в несколько дней, в основном на выходных происходит "Ipfw: Cannot allocate dynamic state, consider increasing net.inet.ip.fw.dyn_max" с вполне понятными последствиями.

Содержимое net.inet.ip.fw.:

net.inet.ip.fw.dyn_keep_states: 0
net.inet.ip.fw.dyn_keepalive: 1
net.inet.ip.fw.dyn_short_lifetime: 5
net.inet.ip.fw.dyn_udp_lifetime: 10
net.inet.ip.fw.dyn_rst_lifetime: 1
net.inet.ip.fw.dyn_fin_lifetime: 1
net.inet.ip.fw.dyn_syn_lifetime: 20
net.inet.ip.fw.dyn_ack_lifetime: 300
net.inet.ip.fw.dyn_max: 16384
net.inet.ip.fw.dyn_count: 615
net.inet.ip.fw.curr_dyn_buckets: 256
net.inet.ip.fw.dyn_buckets: 256
net.inet.ip.fw.enable: 1
net.inet.ip.fw.static_count: 22
net.inet.ip.fw.default_to_accept: 0
net.inet.ip.fw.tables_sets: 0
net.inet.ip.fw.tables_max: 128
net.inet.ip.fw.default_rule: 65535
net.inet.ip.fw.verbose_limit: 0
net.inet.ip.fw.verbose: 1
net.inet.ip.fw.autoinc_step: 100
net.inet.ip.fw.one_pass: 1

Настройки ipfw из rc.conf и ipfw.rules

# FIREWALL
firewall_enable="YES"
firewall_type="client"
firewall_logging="YES"
firewall_script="/etc/ipfw.rules"

#!/bin/sh

INTERNET_ADAPTER="em0"

THIS_HOST=...
ADM_HOST=...
DNS_SERVER=...
ISP_GATE=...
OFFICE=...
SERVER_VPN=...
A_HOME=...

KS="keep-state"

ipfw -q -f flush

ipfw -q add 00100 check-state

ipfw -q add 00200 allow all from any to any via lo0

ipfw -q add 00300 deny all from any to any frag
ipfw -q add 00400 deny tcp from any to any established

# Allow SSH
ipfw -q add 00444 allow tcp from $ADM_HOST to $THIS_HOST 11149 in $KS
ipfw -q add 00445 allow tcp from $A_HOME to $THIS_HOST 11149 in $KS

# Allow DNS
ipfw -q add 00500 allow tcp from $THIS_HOST to ${DNS_SERVER} 53 out via $INTERNET_ADAPTER setup $KS
ipfw -q add 00510 allow udp from $THIS_HOST to ${DNS_SERVER} 53 out via $INTERNET_ADAPTER $KS

# Allow PING
ipfw -q add 00900 allow icmp from any to any $KS

# Allow NTP
ipfw -q add 01000 allow tcp from $THIS_HOST to any 123 out via $INTERNET_ADAPTER $KS

# Allow FTP Client
ipfw -q add 01100 allow tcp from $THIS_HOST to any 21 out via $INTERNET_ADAPTER $KS
ipfw -q add 01110 allow tcp from $THIS_HOST to any 1024-65535 out via $INTERNET_ADAPTER $KS

# Allow FTP Server
ipfw -q add 01120 allow tcp from any to $THIS_HOST 21 in via $INTERNET_ADAPTER $KS
ipfw -q add 01130 allow tcp from any to $THIS_HOST 1024-3305 in via $INTERNET_ADAPTER $KS
ipfw -q add 01150 allow tcp from any to $THIS_HOST 3307-65535 in via $INTERNET_ADAPTER $KS

# Allow HTTP & HTTPS
ipfw -q add 01200 allow tcp from any to ${THIS_HOST} 80 in via $INTERNET_ADAPTER $KS
ipfw -q add 01210 allow udp from any to ${THIS_HOST} 80 in via $INTERNET_ADAPTER $KS
ipfw -q add 01220 allow tcp from any to ${THIS_HOST} 443 in via $INTERNET_ADAPTER $KS
ipfw -q add 01230 allow udp from any to ${THIS_HOST} 443 in via $INTERNET_ADAPTER $KS

# Allow HTTP & HTTPS from WebServer
ipfw -q add 01240 allow tcp from ${THIS_HOST} to any 80 out via $INTERNET_ADAPTER $KS
ipfw -q add 01250 allow tcp from ${THIS_HOST} to any 443 out via $INTERNET_ADAPTER $KS

# Allow MySQL
ipfw -q add 01300 allow tcp from $OFFICE to ${THIS_HOST} 3306 in via $INTERNET_ADAPTER $KS

# Allow SMTP
ipfw -q add 01400 allow log tcp from $THIS_HOST to any 25 out via $INTERNET_ADAPTER $KS

# LOG All BLOCKING
#ipfw -q add 65534 deny log ip from any to any

Большинство "просроченных" динамических правил естественно по правилу 1200 (входной HTTP).
Вопрос.
Как поступать в таком случае?
1. Где-то косяк в правилах файерволла?
2. Увеличить net.inet.ip.fw.dyn_max или уменьшить net.inet.ip.fw.dyn_ack_lifetime?

Здравствуйте Уважаемые форумчане. У меня к Вам есть вопрос. Недавно знакомый преподаватель обратился ко мне со следующей просьбой. Ее маленькая но гордая фирмочка занимается обучением. Многие материалы она разрабатывает сама и постепенно копит что то вроде методичек. Жизнь не стоит на месте и одни работники уходят и на их место приходят другие. Само собой новым преподавателям нужно давать доступ к наработкам что бы они могли и готовиться и показывать их на проекторах. Но тут же не составляет труда эти материалы скопировать на флешку и унести все себе домой. У нее возник резонный вопрос а можно ли каким то образом ограничить эти права для тех или иных пользователей. Разумеется если бы речь шла только о защите файлов на выделенной машине или нескольких машинах сложности бы это не вызвало. Теперь мы медленно перейдем к техническому заданию которое после долго обсуждения у нас сформировалось.
И так ТЗ:
Имеем три типа документов ворд.docx, ексель.xlsx, и поверпоинт.ppt
Общий объем около 5 гигабайт.
Что бы хотелось получить:
Доступ для определенных пользователей (преподавателей по найму) только для чтения этих документов как на работе так и дома.
Возможность копирования, удаления, редактирования, печати этих документов только директором фирмы (ну или еще несколькими доверенными людьми).
Адекватная стоимость этого решения.
Мы прекрасно понимаем что защитить эти документы от принтскрина и прочих аналоговых методов  не представляется возможным в таких условиях.
Что было сделано:
Порыв новости и архивы наткнулся на казалось бы шикарное решение  
Nextcloud 11 дает нам возможность развернуть онлайн хранилище с настройками доступа, а ONLYOFFICE дает возможность редактировать это все дело в браузере. Все бы было шикарно но как только мы получаем документ на чтение в ONLYOFFICE функционал этого редактора позволяет нам сохранить этот документ на диск и потом творить с ним всякие бесчинства. Т.е. функция защиты работает только с документом который находиться на портале но не что не мешает этот документ сохранить, да и правая кнопка мыши работает так что можно тупо все скопировать в буфер.
Отсюда уважаемые форумчане вопрос. Есть ли какое то решение такой вот задачки или стоит в корне изменить политику к распространению файлов и просто замкнуться и настроить политики на компьютерах их около 5 но в перспективе открытие филиалов которые не будут подконтрольны? Вообщем то проситься какой то портал на котором есть онлайн читалка вышеперечисленных документов и возможность раздачи на эти документы или папки с документами прав. Возможно кто нибудь сталкивался с подобным и есть чем поделиться. Спасибо всем за внимание.

Доброго времени суток. В нашей конторе решили подключить Виртуальную АТС, от МТС. Имеется шлюз на Debian. При настройке файрвола возникли сложности. Порт 5060 вроде не понадобилось открывать, клиент регистрируется на сервере. А вот с RTP трафиком возникли проблемы. В интернете все пишут что надо открыть порты с 10000:20000   iptables -A INPUT -p udp -m udp –dport 10000:20000 -j ACCEPT. Но это не помогает. Перепробовал разные способы, не пойму куда девается трафик.
От их техподдержки помощи никакой добиться не удалось
З.Ы. Если политику по умолчанию для FORWARD сделать ACCEPT, то работает нормально.

Подскажите как быть. Заранее благодарен

Добрый день.
У меня задача которую я не могу решить. Буду рад если вы мне поможете.

я пытаюсь настроить /etc/pam.d/su-l

на текущий момент
#%PAM-1.0
auth required pam_wheel.so use_uid
auth     sufficient     pam_rootok.so
auth     include        common-auth
account  sufficient     pam_rootok.so
account  include        common-account
password include        common-password
session  include        common-session
session  optional       pam_xauth.so

Но мне надо не это. я хочу чтобы под рутом могли зайти только пользователи в группе while. А остальные пользователи применившие su - name_user могли переключаться на других пользователей, но не могли переключиться на root. Реализуемо ли это? Я вычитал, что можно сделать свой модуль wheel, но который будет проверять UID либо GUID на кого переключаются. Но не знаю даже с какого конца подойти к проблеме.

Здравствуйте люди добрые.

У меня ни как не получается сделать proxy из openvpn.

Есть debian 7
На нем поднимаю два опенвпн соединения (не уверен что так правильно потому что я так понимаю второе соединение поднимается через первое)
Потом запускаю два 3proxy сервера на разных портах, в external прописываю ip tun0-00 и tun1-00 соответственно
Пробую разными браузерами с прописаными этими прокси на этих разных портах проверять работу интернета, работает только один (впрочем я так и предполагал)

Потом еще пробовал после установки соединения опенвпн удалять маршруты которые он прописывает в конце установки соединения, после обоих соединений так делал, потом соответсвенно запускаю опять две штуки 3proxy.
В итоге захожу на 2ip.ru с обоих портов прокси и вижу что интернет идет в обход опенвпн.

Еще пробовал изучать iptables, думал что можно вообще без 3proxy перенаправлять пакеты на tun0-00 и tun1-00, тоже не получилось, и для меня iptables очень сложно показалось, не понимаю толком.

Подскажите пожалуйста как можно сделать такой сервер, чтоб в нем поднять пару openvpn и заходить через них в интернет одновременно используя прокси на разных портах которые будут соответствовать разным openvpn соединениям в этом сервере.
За решение под ключ готов заплатить.