Изучаю вопрос замены запроса логин/пароль при авторизации на странице php с логин/пароль на запрос сертификата. Насколько я понимаю, после того, как httpd принял сертификат пользователя, можно в полной мере доверять переменным $_SERVER[SSL_CLIENT_*], полученным от сертификата? Ну там [SSL_CLIENT_S_DN_CN] в качестве username, [SSL_CLIENT_I_DN_Email] в качестве email и прочее (там уж по желанию).

Ошибиться нельзя, т.к. в данном случае я не просто разрешаю/отклоняю доступ к какой-то директории на сервере, а пускаю пользователя на основании данных от его сертификата к его переписке.

Я правильно понимаю, что эти переменные ($_SERVER[SSL_CLIENT_*]) подделать нельзя, они устанавливаются только если сервер признал сертификат пользователя?

Не знаю в какую ветку форума писать, решил сюда. На мой почтовый ящик вдруг посыпались сотнями тысяч, (не преувеличиваю), подобные сообщения. Причем в домене - только на мой. Скажите, пожалуйста, чтобы это могло быть? Ибо я несведущ. Спасибо.

"This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  thed0n26@aol.com
    SMTP error from remote mail server after initial connection:
    host mailin-04.mx.aol.com [152.163.0.68]: 421 4.7.1 :
    (DNS:NR) https://postmaster.aol.com/error-codes#421dnsnr:
    retry timeout exceeded
  offthemeter00@aol.com
    SMTP error from remote mail server after initial connection:
    host mailin-04.mx.aol.com [152.163.0.100]: 421 4.7.1 :
    (DNS:NR) https://postmaster.aol.com/error-codes#421dnsnr:
    retry timeout exceeded
  suedath@hotmail.com
    SMTP error from remote mail server after MAIL FROM:<dmitry@typo3.ru.net> SIZE=2625:
    host mx3.hotmail.com [65.55.37.72]: 421 RP-001 (COL004-MC1F44) Unfortunately, some messages from 80.90.178.210 weren't sent. Please try again. We have limits for how many messages can be sent per hour and per day. You can also refer to http://mail.live.com/mail/troubleshooting.aspx#errors.:........

Уважаемые форумчане!
Данный пост был создан что-бы поделиться с сообществом информацией, которую возможно кто-то из вас сочтет интересной или полезной, а так-же спросить совета у более компетентных участников. Попробую не сильно разводить воду, просто хотелось услышать если кто-либо сталкивался с чем-то подобным, или возможно какие нибудь ваши советы и мысли. Так-же заранее прошу не пинать слишком сильно так как в сфере ит безопасности я чуть менее чем полный нуб. Тем не менее на мой взгляд этой теме самое место в данном разделе, пускай даже если в качестве интересной истории.

Итак, начну по порядку. Началось все с того что после цепи определенных событий была поставлена цель настроить свою систему с обеспечением хотя-бы минимально разумного уровня безопасности. Все до чего мои руки пока успели добраться, это проверка роутера и установка антивируса с файрволлом. Но даже на данном этапе, сказать что полученные результаты меня удивили было-бы не сказать ничего.

Оказывается существует некая компания по имени Akamai Technologies, являющаяся посредником трафика между крупнейшими мировыми сервисами в интернете и конечными пользователями. Установленный файрволл Windows firewall control показывает что на ip адреса принадлежащие данной конторе (23.78.113.15 - 95.100.8.218 - 95.100.8.218) регулярно и очень настойчиво стучится процесс explorer.exe который по идее этого делать не должен. Поправьте если я ошибаюсь. Механизм происходящего до конца мне не ясен, но с самого начала было очевидно что происходит что-то не очень понятное, т.к. уведомления о попытках соединения приходят во время определенных действий (выхода системы из сна, открытия и работы с папками, документами, браузером итд).

Поверхностное гугление выявило дальнейшие результаты. Оказывается сервисы Akamai Technologies, и так стоящей чуть ли не на самом верху "пищевой цепочки" роутинга в интернете, глубоко интегрированы с такими популярными приложениями как acrobat reader и flash. То есть по факту выясняется что при установке по меньшей мере двух из самых часто используемых приложений adobe на персональный компьютер, (в каких то случаях?) ваши личные данные начинают пересылаться компании Akamai. Было бы интересно узнать что это за информация и каким образом это отображено в их пользовательском соглашении.

Если быть совсем кратким, то похоже что после установки acrobat reader с их официального сайта, виндовсом создается некий непонятный пользователь с именем из трех ромбовидных симболов, внутри папки которого и содержится исключительно информация adobe acrobat, каким то образом связанная с попытками соединиться с приведенными айпи адресами. Возможно есть и входящий трафик с них тоже, но проверить это я еще не успел. Но как бы все это ни странно звучало, как минимум в этих фактах я уверен практически на все сто, поскольку систему как раз устанавливал недавно с нуля и до установки компонентов adobe данного пользователя не присутствовало (хотя точно помню что видел точно такого же юзера когда копался в папках одной из прошлых сборок системы).  

Что мы имеем в остатке:
-Некая компания очень высокого ранга обрабатывает трафик между крупнейшими сервисами в интернете и конечными пользователями
-Компания тесно интегрирована с очень популярным по которое устанавливается пользователями на свои пк
-Установка компонентов по и обмен информацией происходит без явного уведомления пользователя в неком полу-теневом режиме по умолчанию
-Информация присутствующая в интернете по данному вопросу на первый взгляд очень разрозненна узко специализированна и скудна

В связи с чем и хотел спросить у вас всех - нормально ли это? Софт какой-то непонятной компании лезет ко мне на компьютер и начинает слать трафик куда-то, не ставя при этом в известность меня. На англоязычных форумах пишут что основатели Akamai из Израиля и США каким-то образом связаны со спец. службами, производя сбор пользовательской информации. Прилагаю пару скриншотов для наглядного подтверждения всего вышеописанного. Сталкивался ли кто-нибудь с этим вопросом? Как можно глубже проверить всю информацию и процессы в системе что-бы понять что именно происходит? Возможно ли в данном случае использование глубоко интегрированных технологий легитимной компании в своих целях например некими третьими лицами?

Всем буду очень признателен за любые ответы и комментарии.

Сразу признаюсь я не шарю.  Поэтому прошу советов.
Есть в сети некий сервер,  через него проходят все https запросы. Но у него самоподписанного сертификат.  Это север безопасного,  о них я ничего не знаю,  как скорее всего и они о том как работает их сервер.  В сети есть ещё один сервер SUSE software repository. Он работает по https. На своей SUSE я захожу в yast - software repository - add - extension and modules from reg server...  - local registration server.  Ввожу адрес сервера жму некст и получаю ошибку unable to get local issuer sertificate. И показывает сертификат сервера безопасного.  Но не выдаёт кнопки для подтверждения валидность сертификата.  Пробовал это же проделать в сегменте сети где нет редиректа трафика на сервер безопасного. Там запрос сертификата идёт с сервера обновлений нажимаю подтвердить сертификат и все ок. Помогите как настроить работу через сервер ИБ. Я могу как то в моей SUSE послать запрос серверу ИБ и прописать их сертификат к себе в доверенные?

Здравствуйте, устал биться лбом в Google и терминал, обращаюсь к Вам за помощью.
Суть:
Имею небольшой парк TP-Link WR740N с уязвимостью описанной в http://habrahabr.ru/post/172799/
Прошивку менять на OpenWRT затруднительно. Устройства дешёвые, работу свою выполняют.
Почитав об уязвимости решил проверить, возможно ли будет получить доступ через NC, через WAN.
Нашёл собранный под MIPS файл nart.out (Netcat) у китайских товарищей http://www.right.com.cn/forum/thread-118907-1-1.html
nc -l -p 2222 -e /bin/sh
Залил на роутер через WAN, результат в браузере "Art successfully started"
Пытаюсь подключиться с WAN
nc.exe IP.IP.IP.IP 2222
Не подключается, пытаюсь с LAN, тоже безуспешно, так как после загрузки nart.out из эфира пропадает SSID точки, требует перезагрузка.
Сканер портов видит только 80 на WAN.

Я предположил что фаервол роутера всё-таки что делает и ограничивает подключения, кроме 80 порта.

Решил я пере-собрать под MIPS самостоятельно бинарник, с горем пополам развернул тулчейн.
Определился что на выходе должен получиться
ELF 32-bit MSB executable, MIPS, MIPS-III version 1 (SYSV), statically linked
С параметром nc -l -p 80 -e /bin/sh

Теперь не могу понять как именно собрать Netcat, что бы при исполнении на роутере выполнялась опция nc -l -p 80 -e /bin/sh

Опции при конфигурации у NC я не нашёл
Вопрос: как этот китайский товарищ собрал бинарник?
В один бинарник NC+bash скрипт?
Опыта как и идей маловато...

Всем доброго

Обратил внимание на интересный факт, в Windows 10, по крайней мере с настройками по умолчанию, на окне блокировки экрана показывается в цикле содержимое папки "Изображения" включая ее подпапки.
То есть в случае наличия конфиденциальной информации в папке "Изображения" и/или в ее под папках есть возможность просмотреть содержимое этих файлов.
Далее разбираться с этой проблемой не было желания, так как имхо но эта ОС годится только для домашнего применения (и только для этого и использую ее).

Скрин окна блокировки экрана:
http://img-fotki.yandex.ru/get/51393/1422118.2/0_f77c0_1b31c...

Скрин содержимого папки "Изображения" и файла Logo.jpg:
http://img-fotki.yandex.ru/get/41743/1422118.2/0_f77c1_651e4...

Скрин настроек Windows 10 по умолчанию:
http://img-fotki.yandex.ru/get/41743/1422118.2/0_f77c2_71880...

Не получается использовать nmap 7.12 через openvpn соединение.

eth2 интерфейс openvpn
192.168.1.1 хост в сети куда проброшен туннель

$nmap -sP -e eth2 192.168.1.1
host seems down

при этом
$ping 192.168.1.1
64 bytes from 192.168.1.1: icmp_seq=4 ttl=63 time=0.700 ms

может кто сталкивался,где крутить?

дано:сервера и пользовательские компьютеры в локальной сети,подключенные к интернет через сеть,контроллируемую злоумышленниками
задача:произвести обновления операционной системы и ПО

Какие есть варианты?

Всех приветствую. С тех пор как железный веб-сервер вырос до гипервизора с ворохом виртуалок столкнулся со следующей проблемой. Есть один внешний IP, который обрабатывает шлюз на FreeBSD. Во внутренней сети (за NAT) крутятся виртуалки с бэкендами на разных вариациях Linux. Если с HTTP всё понятно - на шлюзе делается фронтэнд с proxy_pass в nginx с указанием виртуалок с серыми IP, то как реализовать подобное с SSH (SFTP) и FTP? Допустим, использовать FTP в 2016-ом совсем некомильфо, но как решить проброс SSH-туннеля? Гугление показало вот такой способ: http://www.cyberciti.biz/faq/linux-unix-ssh-proxycommand-pas.../ (с командой ProxyCommand), но для конечных пользователей он совершенно неудобен, да и не поддерживается FileZilla/WinSCP. То есть в идеале должен быть такой механизм:

Пользователь     ->     Шлюз          ->           Виртуалка
10.20.30.40             77.50.40.30:22             192.168.1.105:22
#SSH login user a       user a=192.168.1.105       SSH user a
                        user b=192.168.1.110
                        user c=192.168.1.115

Есть ли корректное (без тупого порт-форвардинга по скрипту) и безопасное (чтобы юзеры не попадали на шлюз или другую виртуалку) решение? Уверен, что не я один с таким сталкивался.

Поставил openvpn на вдску.
Сгенерировал все сертификаты и ключи (включая Tls и файл Диффи Хеллмана)
В конфигах прописал aes 256 шифрование.

Вопрос, достаточно ли этого для полной безопасности?
В частности, меня интересует возможность просмотра трафика админами вдски..

Имеется:
ОС - CentOS 7 (SELinux - отключено, firewalld - отключено)
На нем поднят и настроен Asterisk 1.8. Пока только на внутреннюю связь, т.е. звонки ходят в локалке. Сетевой интерфейс 1 с локальным адресом.
Развернут домен (на другом сервере), Астериск находится в нем.
В качестве "звонилок" используется Zoiper как в виде приложений для Win(на рабочих станциях), так и в виде приложений Android (на телефонах).
Соответственно настроен iptables под SIP и SSH.
Происходит следующее:
Уходя вечером выключается комп с установленным Zoiper, а мобильный гасит его сам при выходе из зоны WiFi. Утром включается комп, запускается Zoiper на компе и параллельно при подключении к WiFi на мобильном. Оба сообщают о тайм-ауте регистрации и звонки соответственно не ходят. Консоль Астериска показывает что пиры не зарегистрированы. Делаю: service iptables stop - телефоны тут же регистрируются, звонки начинают ходить.
Далее: service iptables start - все в порядке, телефоны в системе, звонки ходят. и так до очередного отключения Zoiper'ов на срок более 15 мин( периодически выхожу покурить и мобильный выходит из зоны вайфая, по возвращении и переподключении вайфая телефон нормально регистрируется, большее время не пробовал).
Вопрос - куда копать. правила файервола прилагаю.

Chain INPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
2        2   290 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:50000:65000
3      260 84282 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
4        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
5        0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:!0x17/0x02 state NEW
6        3   156 ACCEPT     tcp  --  ens32  *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25356
7        0     0 ACCEPT     udp  --  ens32  *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
8        0     0 ACCEPT     udp  --  ens32  *       0.0.0.0/0            0.0.0.0/0            udp dpt:123
9     2322  226K undef_in   all  --  *      *       0.0.0.0/0            0.0.0.0/0
10       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5060
11       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5061
12       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:10000:20000
13       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:4569
14       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5038
15       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5060 STRING match  "friendly-scanner" ALGO name bm TO 65535
16       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5060 STRING match  "sip-scan" ALGO name bm TO 65535
17       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5060 STRING match  "sundayddr" ALGO name bm TO 65535
18       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5060 STRING match  "iWar" ALGO name bm TO 65535
19       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5060 STRING match  "sipsak" ALGO name bm TO 65535
20       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5060 STRING match  "sipvicious" ALGO name bm TO 65535
21       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x06/0x02 TCPMSS clamp to PMTU
2        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
3        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
4        0     0 undef_fw   all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0
2      212 83836 ACCEPT     all  --  *      ens32   0.0.0.0/0            0.0.0.0/0
3        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
4        0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:!0x17/0x02 state NEW
5        0     0 undef_out  all  --  *      *       0.0.0.0/0            0.0.0.0/0
6        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25
7        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25

Chain undef_fw (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 6 prefix "-- FW -- DROP "
2        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain undef_in (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     2322  226K LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 6 prefix "-- IN -- DROP "
2     2322  226K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain undef_out (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 6 prefix "-- OUT -- DROP "
2        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Заранее спасибо

Добрый день.

Столкнулся с проблемой. Есть необходимость подключения некоторых клиентов к VPN серверу через Интернет, для доступа на единственный хост в нашей подсети.
Сейчас клиенты подключаются через OpenVPN, но это немного проблематично - ставить на Win машины клиента OpenVPN и раздавать настройки с ключами.

Для упрощения настроек у клиента решено использовать дополнительно PPTP, т.к. клиент встроен у всех win по умолчанию, на сервере OpenBSD развернул пакет poptop, поднял pptpd. Настройки тривиальные из мануала:

cat /etc/ppp.conf
default:                                                              
  set log Phase Chat LCP IPCP CCP tun command                        
  disable ipv6cp                                                      
                                                                      
pptp:                                                                
  enable MSChapV2                                                    
  set mppe 128 stateless                                              
  disable deflate pred1                                              
  deny deflate pred1                                                  
  set timeout 0                                                      
  set ifaddr 192.168.99.1 192.168.99.10-192.168.99.200 255.255.255.255

прописал доступы в ppp.secrets

Тестирую подключение с машины с Windows XP:
Пользователь авторизуется нормально, получает динамический адрес от сервера, нужный хост ему доступен, как бы все ок. НО, у клиента по умолчанию роутинг на винде становится через IP адрес присвоенного PPTP интерфейсу. Соответственно, если клиент подключается через PPTP для получения доступа только к 1 сервису, у него перестает работать все остальное.
В настройках windows pptp можно убрать флажок - не использовать рутинг по умолчанию. Тогда Роутинг клиента не меняется, но для для доступа в нашу подсеть, надо выполнить команду route add. Короче не вариант.

Вообще как-то можно при подключении PPTP к серверу, раздать клиенту только один нужный маршрут, как это делается на openvpn, напр., push "route 10.1.2.30 255.255.255.255"?

Приветствую!
Прошу помощи в настройке iptables на шлюзе.  В локалке висит почтовый сервер mail.ххх.ru, работает. Надо вывести в интернет для получения/отправки почты. Днс у внешнего хостера, в днс все записи сделаны (пока кроме ptr) а вот с маршрутами не понятно. На шлюзе 2 интерфейса, внешний со статичным белым ip, и внутренний на локалку с 192.168.х.х Я так понял  надо прописать маршруты что бы при попадании снаружи пакетов по почтовым портам именно на mail.ххх.ru они перенаправлялись на статичный локальный 192.168.х.х и на  отправку тоже. Но не перенаправление ВСЕХ почтовых портов на этот адрес  т.к.  используются другие внешние  почтовые сервисы. Подскажите пожалуйста пример нужных записей. Готов ответить  на сопутствующие  вопросы.

Приветствую.
Не могу что-то додуматься до правил с ресентом.
Суть, имеем диапазон портов, 111-222, нужно сделать следующее, с использованием recent.
Если на заданные порты приходит 5 пакетов за 10сек, заносим IP в ACCEPT
Если менее, дропаем и баним ип за 30 минут, по /24 маске.

Есть некий загрузочный диск с установленной на него системой debian, к диску применено криптование и установлен пароль на LVM. Задача получить пароль.  Аппаратный кейлоггер исключаем ибо тогда решать нечего.
Рассуждаю так-самое простое снять с диска образ,затем установить на диск свою мини-систему задача которой запустить кейлоггер и иммитировать запрос пароля LVM,после чего подмонтировать оригинальный образ диска и позволить с ним работать дальше как обычно.
Ну или без образа просто указать загрузочным второй диск,который выполнит все тоже самое

Задача вроде теоретически решена,но не хватает понимания будет ли в первом случае та ось,что запущена из подмонтированного образа считаться гостевой,ведь по сути это виртуализация?
или вовсе можно без этого обойтись и есть какой-то более простой вариант.

Добрый день, помогите решить проблему.
Есть сервер на CentOs5 (почтовый+файловый сервер), при подключении сервера к интернету идёт огромный исходящий трафик на непонятные айпи, который забивает полностью 100мегабитный канал, в top появляется подозрительный процесс с рандомным названием, после того как его убьёшь, на короткий промежуток времени попускает, но спустя минуту создается новый процесс с другим рандомным названием и все по новой. Сканирую сервер на вирусы с помощью Clam, сменил пароли рутовых пользователей, пока без результатно, блочу айпишники файерволом, но бестолку, так как айпишники тоже меняются, пробовал блочить диапазоны портов, помогает, но почта не работает в таком случае.
Что и где еще можно посмотреть ?

Спасибо заранее за ответы, просьба не пинать за мой опыт, в юниксах я не шарю.

Посоветуйте иммитатор wifi сетей для honeypot
задачи генерить полноценную сеть не стоит,только обозначать её наличие

Доброго дня. Столкнулся с проблемой в настройке OSS на ubuntu, а конкретно с настройкой SSHd. Привожу конфиги.

/etc/ssh/sshd_config

# Kerberos options
KerberosAuthentication yes
KerberosGetAFSToken yes
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes

# GSSAPI options
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
GSSAPIKeyExchange yes

AllowGroups adm BUILTIN\administrators

UsePAM yes

/etc/samba/smb.conf
[global]
workgroup = MARKET
realm = MARKET.LOCAL
security = ADS
encrypt passwords = true
dns proxy = no
socket options = TCP_NODELAY
domain master = no
local master = no
preferred master = no
os level = 0
domain logons = no

load printers = yes
show add printer wizard = yes
printcap name = cups
disable spoolss = no

idmap uid = 10000 - 40000
idmap gid = 10000 - 40000
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = no
winbind normalize names = yes
winbind nested groups = yes
template shell = /bin/bash
winbind refresh tickets = yes
kerberos method  = secrets and keytab

winbind offline logon = yes
winbind cache time = 300
#password server = market.local
dedicated keytab file = /etc/krb5.keytab

/etc/krb5.conf
[libdefaults]
    default_realm = MARKET.LOCAL

    kdc_timesync = 1
    ccache_type = 4
    forwardable = true
    proxiable = true
    v4_instance_resolve = false
    v4_name_convert = {
        host = {
            rcmd = host
            ftp = ftp
        }
        plain = {
            something = something-else
        }
    }
    fcc-mit-ticketflags = true

[realms]
    MARKET.LOCAL = {
        kdc = market.local
        admin_server = market.local
        default_domain = market.local
    }

[domain_realm]
    .market.local = MARKET.LOCAL
    market.local = MARKET.LOCAL

[login]
    krb4_convert = false
    krb4_get_tickets = false

root@Admin-pc:/etc# net ads keytab list
Vno  Type                                        Principal
  2  des-cbc-crc                                 HOST/admin-pc.market.local@MARKET.LOCAL
  2  des-cbc-md5                                 HOST/admin-pc.market.local@MARKET.LOCAL
  2  aes128-cts-hmac-sha1-96                     HOST/admin-pc.market.local@MARKET.LOCAL
  2  aes256-cts-hmac-sha1-96                     HOST/admin-pc.market.local@MARKET.LOCAL
  2  arcfour-hmac-md5                            HOST/admin-pc.market.local@MARKET.LOCAL
  2  des-cbc-crc                                 HOST/admin-pc@MARKET.LOCAL
  2  des-cbc-md5                                 HOST/admin-pc@MARKET.LOCAL
  2  aes128-cts-hmac-sha1-96                     HOST/admin-pc@MARKET.LOCAL
  2  aes256-cts-hmac-sha1-96                     HOST/admin-pc@MARKET.LOCAL
  2  arcfour-hmac-md5                            HOST/admin-pc@MARKET.LOCAL
  2  des-cbc-crc                                 ADMIN-PC$@MARKET.LOCAL
  2  des-cbc-md5                                 ADMIN-PC$@MARKET.LOCAL
  2  des-cbc-crc                                 host/admin-pc@MARKET.LOCAL
  2  des-cbc-crc                                 host/admin-pc.market.local@MARKET.LOCAL
  2  des-cbc-md5                                 host/admin-pc@MARKET.LOCAL
  2  des-cbc-md5                                 host/admin-pc.market.local@MARKET.LOCAL
  2  aes128-cts-hmac-sha1-96                     host/admin-pc@MARKET.LOCAL
  2  aes128-cts-hmac-sha1-96                     host/admin-pc.market.local@MARKET.LOCAL
  2  aes256-cts-hmac-sha1-96                     host/admin-pc.market.local@MARKET.LOCAL
  2  arcfour-hmac-md5                            host/admin-pc.market.local@MARKET.LOCAL
  2  arcfour-hmac-md5                            host/admin-pc@MARKET.LOCAL
  2  aes256-cts-hmac-sha1-96                     host/admin-pc@MARKET.LOCAL
  2  aes128-cts-hmac-sha1-96                     ADMIN-PC$@MARKET.LOCAL
  2  arcfour-hmac-md5                            ADMIN-PC$@MARKET.LOCAL
  2  aes256-cts-hmac-sha1-96                     ADMIN-PC$@MARKET.LOCAL

root@Admin-pc:/etc# groups MARKET\\vitto
MARKET\vitto : MARKET\пользователи_домена
MARKET\adm-ssh
MARKET\администраторы_домена
MARKET\пользователи_терминала_sever
MARKET\terminalusers
MARKET\администраторы_схемы
MARKET\администраторы_предприятия
MARKET\debugger_users
MARKET\группа_с_запрещением_репликации_паролей_rodc
BUILTIN\users
BUILTIN\administrators

root@Admin-pc:/etc# id MARKET\\vitto
uid=10005(MARKET\vitto)
gid=10001(MARKET\пользователи_домена)
группы=10001(MARKET\пользователи_домена),
10041(MARKET\adm-ssh),
10003(MARKET\администраторы_домена),
10035(MARKET\пользователи_терминала_sever),
10027(MARKET\terminalusers),
10010(MARKET\администраторы_схемы),
10008(MARKET\администраторы_предприятия),
10024(MARKET\debugger_users),
10030(MARKET\группа_с_запрещением_репликации_паролей_rodc),
10037(BUILTIN\users),
10036(BUILTIN\administrators)

В принципе, если разрешить доступ всем, т.е. закомментить опцию AllowGroups, то я могу авторизоваться по паролю от имени доменных пользователей
ssh MARKET\\vitto@admin-pc.market.local

Но через GSSAPI авторизация не проходит. Странность в том, что на локальной машине тоже есть пользователь vitto и если я зайду от пользователя MARKET\vitto на Win-машину и зайду по ssh через putty, используя GSSAPI, то меня авторизует как локального vitto, а не доменного! Если же я введу логин MARKET\vitto, то авторизация пойдет только по паролю, а в логе будет вот это

sshd[7168]: debug3: fd 5 is not O_NONBLOCK
sshd[7168]: debug1: Forked child 7328.
sshd[7168]: debug3: send_rexec_state: entering fd = 8 config len 891
sshd[7168]: debug3: ssh_msg_send: type 0
sshd[7168]: debug3: send_rexec_state: done
sshd[7328]: debug3: oom_adjust_restore
sshd[7328]: Set /proc/self/oom_score_adj to 0
sshd[7328]: debug1: rexec start in 5 out 5 newsock 5 pipe 7 sock 8
sshd[7328]: debug1: inetd sockets after dupping: 3, 3
sshd[7328]: Connection from 192.168.101.10 port 60076 on 192.168.100.31 port 22
sshd[7328]: debug1: Client protocol version 2.0; client software version PuTTY_Release_0.63
sshd[7328]: debug1: match: PuTTY_Release_0.63 pat PuTTY-Release-0.5*,PuTTY_Release_0.5*,PuTTY_Release_0.60*,PuTTY_Release_0.61*,PuTTY_Release_0.62*,PuTTY_Release_0.63*,PuTTY_Release_0.64* compat 0x00004000
sshd[7328]: debug1: Enabling compatibility mode for protocol 2.0
sshd[7328]: debug1: Local version string SSH-2.0-OpenSSH_6.9p1 Ubuntu-2ubuntu0.1
sshd[7328]: debug2: fd 3 setting O_NONBLOCK
sshd[7328]: debug2: Network child is on pid 7329
sshd[7328]: debug3: preauth child monitor started
sshd[7328]: debug3: privsep user:group 121:65534 [preauth]
sshd[7328]: debug1: permanently_set_uid: 121/65534 [preauth]
sshd[7328]: debug2: compat_kex_proposal: original KEX proposal: curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1 [preauth]
sshd[7328]: debug2: Compat: skipping algorithm "diffie-hellman-group-exchange-sha256" [preauth]
sshd[7328]: debug2: compat_kex_proposal: compat KEX proposal: curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group14-sha1 [preauth]
sshd[7328]: debug1: list_hostkey_types: ssh-rsa,ssh-dss,ecdsa-sha2-nistp256,ssh-ed25519 [preauth]
sshd[7328]: debug3: mm_request_send entering: type 42 [preauth]
sshd[7328]: debug3: mm_request_receive_expect entering: type 43 [preauth]
sshd[7328]: debug3: mm_request_receive entering [preauth]
sshd[7328]: debug3: mm_request_receive entering
sshd[7328]: debug3: monitor_read: checking request 42
sshd[7328]: debug3: mm_request_send entering: type 43
sshd[7328]: debug1: SSH2_MSG_KEXINIT sent [preauth]
sshd[7328]: debug1: SSH2_MSG_KEXINIT received [preauth]
sshd[7328]: debug2: kex_parse_kexinit: gss-gex-sha1-toWM5Slw5Ew8Mqkay+al2g==,gss-group1-sha1-toWM5Slw5Ew8Mqkay+al2g==,gss-group14-sha1-toWM5Slw5Ew8Mqkay+al2g==,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group14-sha1 [preauth]
sshd[7328]: debug2: kex_parse_kexinit: ssh-rsa,ssh-dss,ecdsa-sha2-nistp256,ssh-ed25519 [preauth]
sshd[7328]: debug2: kex_parse_kexinit: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com [preauth]
sshd[7328]: debug2: kex_parse_kexinit: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com [preauth]
sshd[7328]: debug2: kex_parse_kexinit: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1 [preauth]
sshd[7328]: debug2: kex_parse_kexinit: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1 [preauth]
sshd[7328]: debug2: kex_parse_kexinit: none,zlib@openssh.com [preauth]
sshd[7328]: debug2: kex_parse_kexinit: none,zlib@openssh.com [preauth]
sshd[7328]: debug2: kex_parse_kexinit:  [preauth]
sshd[7328]: debug2: kex_parse_kexinit:  [preauth]
sshd[7328]: debug2: kex_parse_kexinit: first_kex_follows 0  [preauth]
sshd[7328]: debug2: kex_parse_kexinit: reserved 0  [preauth]
sshd[7328]: debug2: kex_parse_kexinit: diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1,rsa2048-sha256,rsa1024-sha1 [preauth]
sshd[7328]: debug2: kex_parse_kexinit: ssh-rsa,ssh-dss [preauth]
sshd[7328]: debug2: kex_parse_kexinit: aes256-ctr,aes256-cbc,rijndael-cbc@lysator.liu.se,aes192-ctr,aes192-cbc,aes128-ctr,aes128-cbc,blowfish-ctr,blowfish-cbc,3des-ctr,3des-cbc,arcfour256,arcfour128 [preauth]
sshd[7328]: debug2: kex_parse_kexinit: aes256-ctr,aes256-cbc,rijndael-cbc@lysator.liu.se,aes192-ctr,aes192-cbc,aes128-ctr,aes128-cbc,blowfish-ctr,blowfish-cbc,3des-ctr,3des-cbc,arcfour256,arcfour128 [preauth]
sshd[7328]: debug2: kex_parse_kexinit: hmac-sha2-256,hmac-sha1,hmac-sha1-96,hmac-md5 [preauth]
sshd[7328]: debug2: kex_parse_kexinit: hmac-sha2-256,hmac-sha1,hmac-sha1-96,hmac-md5 [preauth]
sshd[7328]: debug2: kex_parse_kexinit: none,zlib [preauth]
sshd[7328]: debug2: kex_parse_kexinit: none,zlib [preauth]
sshd[7328]: debug2: kex_parse_kexinit:  [preauth]
sshd[7328]: debug2: kex_parse_kexinit:  [preauth]
sshd[7328]: debug2: kex_parse_kexinit: first_kex_follows 0  [preauth]
sshd[7328]: debug2: kex_parse_kexinit: reserved 0  [preauth]
sshd[7328]: debug1: kex: client->server aes256-ctr hmac-sha2-256 none [preauth]
sshd[7328]: debug1: kex: server->client aes256-ctr hmac-sha2-256 none [preauth]
sshd[7328]: debug2: bits set: 1032/2048 [preauth]
sshd[7328]: debug1: expecting SSH2_MSG_KEXDH_INIT [preauth]
sshd[7328]: debug2: bits set: 1054/2048 [preauth]
sshd[7328]: debug3: mm_key_sign entering [preauth]
sshd[7328]: debug3: mm_request_send entering: type 6 [preauth]
sshd[7328]: debug3: mm_key_sign: waiting for MONITOR_ANS_SIGN [preauth]
sshd[7328]: debug3: mm_request_receive_expect entering: type 7 [preauth]
sshd[7328]: debug3: mm_request_receive entering [preauth]
sshd[7328]: debug3: mm_request_receive entering
sshd[7328]: debug3: monitor_read: checking request 6
sshd[7328]: debug3: mm_answer_sign
sshd[7328]: debug3: mm_answer_sign: hostkey proof signature 0x558b77c5efc0(271)
sshd[7328]: debug3: mm_request_send entering: type 7
sshd[7328]: debug2: monitor_read: 6 used once, disabling now
sshd[7328]: debug2: set_newkeys: mode 1 [preauth]
sshd[7328]: debug1: SSH2_MSG_NEWKEYS sent [preauth]
sshd[7328]: debug1: expecting SSH2_MSG_NEWKEYS [preauth]
sshd[7328]: debug2: set_newkeys: mode 0 [preauth]
sshd[7328]: debug1: SSH2_MSG_NEWKEYS received [preauth]
sshd[7328]: debug1: KEX done [preauth]
sshd[7328]: debug1: userauth-request for user MARKTE\\\\vitto service ssh-connection method none [preauth]
sshd[7328]: debug1: attempt 0 failures 0 [preauth]
sshd[7328]: debug3: mm_getpwnamallow entering [preauth]
sshd[7328]: debug3: mm_request_send entering: type 8 [preauth]
sshd[7328]: debug3: mm_getpwnamallow: waiting for MONITOR_ANS_PWNAM [preauth]
sshd[7328]: debug3: mm_request_receive_expect entering: type 9 [preauth]
sshd[7328]: debug3: mm_request_receive entering [preauth]
sshd[7328]: debug3: mm_request_receive entering
sshd[7328]: debug3: monitor_read: checking request 8
sshd[7328]: debug3: mm_answer_pwnamallow
sshd[7328]: debug2: parse_server_config: config reprocess config len 891
sshd[7328]: Invalid user MARKTE\\vitto from 192.168.101.10
sshd[7328]: debug3: mm_answer_pwnamallow: sending MONITOR_ANS_PWNAM: 0
sshd[7328]: debug3: mm_request_send entering: type 9
sshd[7328]: debug2: monitor_read: 8 used once, disabling now
sshd[7328]: input_userauth_request: invalid user MARKTE\\\\vitto [preauth]
sshd[7328]: debug3: mm_audit_event entering [preauth]
sshd[7328]: debug3: mm_request_send entering: type 112 [preauth]
sshd[7328]: debug3: mm_start_pam entering [preauth]
sshd[7328]: debug3: mm_request_send entering: type 100 [preauth]
sshd[7328]: debug3: mm_inform_authserv entering [preauth]
sshd[7328]: debug3: mm_request_send entering: type 4 [preauth]
sshd[7328]: debug2: input_userauth_request: try method none [preauth]
sshd[7328]: debug3: userauth_finish: failure partial=0 next methods="publickey,gssapi-keyex,gssapi-with-mic,password" [preauth]
sshd[7328]: debug3: mm_request_receive entering
sshd[7328]: debug3: monitor_read: checking request 112
sshd[7328]: debug3: mm_answer_audit_event entering
sshd[7328]: debug1: userauth-request for user MARKTE\\\\vitto service ssh-connection method gssapi-with-mic [preauth]
sshd[7328]: debug1: attempt 1 failures 0 [preauth]
sshd[7328]: debug2: input_userauth_request: try method gssapi-with-mic [preauth]
sshd[7328]: debug3: userauth_finish: failure partial=0 next methods="publickey,gssapi-keyex,gssapi-with-mic,password" [preauth]
sshd[7328]: debug3: mm_request_receive entering
sshd[7328]: debug3: monitor_read: checking request 100
sshd[7328]: debug1: PAM: initializing for "MARKTE\\vitto"
sshd[7328]: debug1: PAM: setting PAM_RHOST to "192.168.101.10"
sshd[7328]: debug1: PAM: setting PAM_TTY to "ssh"
sshd[7328]: debug2: monitor_read: 100 used once, disabling now
sshd[7328]: debug3: mm_request_receive entering
sshd[7328]: debug3: monitor_read: checking request 4
sshd[7328]: debug3: mm_answer_authserv: service=ssh-connection, style=, role=
sshd[7328]: debug2: monitor_read: 4 used once, disabling now

Для меня загадка полему при использовании GSSAPI передается логин MARKTE\\\\vitto (т.е. два экранированных слеша), а не один как в PAM? Варианты что делать у меня закончились.
В многочисленных мануалах по настройке Kerberos+SSHd всегда используется опция winbind use default domain = yes в smb.conf, но я считаю такую практику не правльной т.к. не возможно определить принадлежность пользователя или группы к домену.

В общем заинтересовался сканированием хостов ipv6. А точнее уменьшением диапазона сканируемых адресов. Вот статья про это есть. http://searchsecurity.techtarget.com/tip/Analysis-Vast-IPv6-...

Возникла некоторая путаница. Как я понимаю (хотя может вообще неправильно понимаю все). Из всевозможных типов ipv6 адресов мы сканируем Global Unicast адреса ибо только к ним имеем доступ из вне. Данные адреса выдаются провайдерами (там иерархическая структура провайдеров iana rir lir). Также я знаю, что адрес состоит из префикса и id интерфейса (который генерируется по мак адресу). Это относится к Global Unicast адресам? И если да, то идентификатором какого интерфейса это будет?

В статье еще говорится об 6to4 технологии. Я правильно понял что IPv6 сгенерированный таким образом также будет доступен из сети интернет? Также не очень понимаю про NAT. В IPv6 он не используется. Но тогда зачем нужны типы ipv6 адресов, которые распространяются только во внутренней сети?

Вообще хотелось бы понять про зоны действия адреса. То есть провайдер выдал уникальный IPv6 адрес, и как я уже писал получается что это первые 64 бита. Остальные 64 (id интерфейса) уже генерируется для каждого компа во внутренней сети?

Прошу пояснить это все и поправить, если не прав. Также не отказался бы от литературы, где все это разъяснено.

Добрый день. Никак не могу разобраться в следующем вопросе. У нас есть web сервер, работающий по протоколу https. Протокол https реализован посредством самоподписанного ssl сертификата. Вопрос: при доступе клиента к серверу по протоколу https шифрование данных обеспечивается в обе стороны (от клиента к серверу и от сервера к клиенту) или только от клиента к серверу? Вопрос возник по какой причине: для шифрования по https нужны 2 ключа - закрытый и открытый. Закрытый лежит в недоступном хранилище, открытый, соответственно в публичном доступе. Клиент подключаясь получает публичный ключ, которым шифрует данные. Сервер, соответственно, при получении данных расшифровывает их с помощью закрытого ключа. Тут все ясно. Как обстоят дела с данным, передаваемыми от сервера к клиенту? Чем их шифровать? Никаких других сертификатов нет. Даже если предположить, что они будут зашифрованы с помощью закрытого ключа, то любой желающий сможет их спокойно расшифровать т.к. открытый ключ в публичном доступе. Вот и возник вопрос, а шифруются ли они вообще?

Коротко. Недавно столкнулся с проблемой DoS атакой. Решил попробовать свои силы, толку не хватает. До чего дошёл:
Мои правила в iptables
(По умолчанию цепочка INPUT - разрешена)
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p udp -m multiport --dports 27017,27018 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m multiport --dports 27017,27018 -m hashlimit --hashlimit 50/s --hashlimit-burst 50 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 22,80,27017,27018 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -j DROP

Проблема в том, что перестал нормально работать TCP 21,80 порты, иногда тупо не отвечают и пишет, что время вышло,продолжает осуществляться DoS атака посредством UDP, и пакеты UDP не отбрасывает iptables. Прошу у вас помощи, знатоки!
http://rghost.ru/7SScsFgHZ - Насколько я понимаю, здесь была атака на 80ый порт?

здравствуйте, freeradius не выдает ip ни через ippool , ни через Framed-IP-Address. Пользователи подключаются к вафлям обычным(dir620) или к микротикам тоже по вафле.Подключаются но получают ip от DHCP сервера домена...

настройка ippool в radiusd.conf
# ippool http://forum.nag.ru/forum/index.php?showtopic=55923
ippool main_pool {

      #  range-start,range-stop: The start and end ip
      #  addresses for the ip pool
      range-start = 192.168.1.115
      range-stop = 192.168.1.125

      #  netmask: The network mask used for the ip's
      netmask = 255.255.252.0

      #  cache-size: The gdbm cache size for the db
      #  files. Should be equal to the number of ip's
      #  available in the ip pool
      cache-size = 1021

      # session-db: The main db file used to allocate ip's to clients
      session-db = ${raddbdir}/db.ippool

      # ip-index: Helper db index file used in multilink
      ip-index = ${raddbdir}/db.ipindex

      # override: Will this ippool override a Framed-IP-Address already set
      override = no

      # maximum-timeout: If not zero specifies the maximum time in seconds an
      # entry may be active. Default: 0
      maximum-timeout = 0
   }

main_pool

post-auth {
    #  Get an address from the IP Pool.
    main_pool
}
authorize{
files
preprocess
chap
mschap
eap
}

не выдает

через Framed-IP-Address тоже не выдает. Вот код из файла users.
test Cleartext-Password := "test123"
        Service-Type = Framed-User,
        Framed-Protocol == PPP,
        Framed-IP-Address = 192.168.1.121,
        Framed-IP-Netmask = 255.255.252.0,
        Framed-Routing = Broadcast-Listen,
        Framed-MTU = 1500,
        Framed-Compression = Van-Jacobsen-TCP-IP

в начале файла users так же есть
DEFAULT Pool-Name := main_pool
Fall-Through = Yes

В чем еще может проблема?

Нашел эту древнюю новость:
https://wiki.opennet.ru/opennews/art.shtml?num=6512

- Это то, что мне нужно, но все ссылки битые. У кого есть информация просьба поделиться.

Добрый день!
Есть несколько удаленных серверов, с туннелями openvpn с ип:
192.168.0.1
192.168.0.2
и т.д.

Есть локальные сервера, куда приходят эти туннели с ип:
192.168.10.1
192.168.10.2
192.168.10.3

и к локальным серверам подключенными компьютеры, ип:
192.168.11.1
192.168.11.2
и т.д.

настроен оспф между сервера и компьютерами
далее мне необходимо трафик с компьютера, средствами iptables, с форвардить на нужный удаленный сервер

например на компе 192.168.11.1 ip route
192.168.0.1  proto zebra  metric 30
    nexthop via 192.168.10.1  dev eth0 weight 1
    nexthop via 192.168.10.2  dev eth0 weight 1
    nexthop via 192.168.10.3  dev eth0 weight 1
192.168.0.2  proto zebra  metric 60
    nexthop via 192.168.10.1  dev eth0 weight 1
    nexthop via 192.168.10.2  dev eth0 weight 1
    nexthop via 192.168.10.3  dev eth0 weight 1
и т.д.

если формулировать в правилах ipfw, то мне нужен аналог:
ipfw add fwd 192.168.0.1 all from 192.168.11.1 to any
весь трафик с компа 192.168.11.1 направить на 192.168.0.1 через маршрут полученный по оспф

заранее, большое спасибо за помощь!

Всем привет
Установил вручную методом make install в систему openssl.
как правильно указать системе месторасположение новоустановленной openssl в каталоге /usr/local/ssl?
В системе по умолчанию была установлена штатная openssl и базируется она в /usr/lib/ssl
в результате система использует штатную, а новую нет.
спасибо.

Столкнулся с проблемой модуля GEOIP.
Скачал свежие базы, скомпилировал их, ну и запустил правило -m geoip ! --src-cc PL,BG,GB,BY,MD,LV,KZ,UA,RU -j LOG
Большинство захваченных пакетов пришли с UA,RU, хотя их по идеи не должно быть вовсе.
Проверил csv файл на наличие данных ip, там все в порядке, страны правильно размечены.
OC debian 6

Куда копать?

Вот пример, поймало 176.108.15.211 (UA), но в csv с которого я компилировал запись есть
"176.108.0.0","176.108.31.255","2959867904","2959876095","UA","Ukraine"

Добрый день!

Случайно заметил проблемы с подключением к почтовому и веб серверу.
Сразу отмечу, что проблема не массовая, просто один из провайдеров перестал подключатся:
Начал смотреть и вот такая картина. Чтобы это могло значить и что делать ??

19:12:27.653356 IP 10.10.13.142.53 > 141.196.133.126.33307: 2841 9/4/2 TXT "v=spf1 mx mx:mail.turkey.com -all", TXT "v=spf1 ip:223.197.214.34 mx ~all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-59.awsdns-07.com., NS ns-1844.awsdns-38.co.uk., NS ns-1211.awsdns-23.org., NS ns-948.awsdns-54.net. (436)
19:12:27.665166 IP 176.89.118.167.54532 > 10.10.13.142.53: 54379+ [1au] ANY? nic.tr. (35)
19:12:27.665204 IP 176.89.118.167.54532 > 10.10.13.142.53: 54379+ [1au] ANY? nic.tr. (35)
19:12:27.677041 IP 106.185.54.216.61825 > 10.10.13.142.53: 13780+ [1au] ANY? freeinfosys.com. (52)
19:12:27.677267 IP 10.10.13.142.53 > 106.185.54.216.61825: 13780 13/2/3 TXT "To be current, these rules must also build on the lessons of the past. For almost a century, our law has recognized that companies who connect you to the world have special obligations not to exploit the monopoly they enjoy over access in and out of your " "home or business. That is why a phone call from a customer of one phone company can reliably reach a customer of a different one, and why you will not be penalized solely for calling someone who is using another provider. It is common sense that the same " "philosophy should guide any service that is based on the transmission of information", TXT "porations, and that access to a high school student's blog shouldn't be unfairly slowed down to make way for advertisers with more money", TXT[|domain]
19:12:27.680153 IP 176.90.184.64.27732 > 10.10.13.142.53: 17587+ [1au] ANY? turkey.com. (39)
19:12:27.680370 IP 10.10.13.142.53 > 176.90.184.64.27732: 17587 9/4/2 TXT "v=spf1 mx mx:mail.turkey.com -all", TXT "v=spf1 ip:223.197.214.34 mx ~all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-948.awsdns-54.net., NS ns-59.awsdns-07.com., NS ns-1844.awsdns-38.co.uk., NS ns-1211.awsdns-23.org. (436)
19:12:27.695061 IP 176.90.54.153.17907 > 10.10.13.142.53: 25480+ [1au] ANY? turkey.com. (39)
19:12:27.695309 IP 10.10.13.142.53 > 176.90.54.153.17907: 25480 9/4/2 TXT "v=spf1 ip:223.197.214.34 mx ~all", TXT "v=spf1 mx mx:mail.turkey.com -all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-59.awsdns-07.com., NS ns-1844.awsdns-38.co.uk., NS ns-948.awsdns-54.net., NS ns-1211.awsdns-23.org. (436)
19:12:27.716309 IP 141.196.62.163.19907 > 10.10.13.142.53: 45970+ [1au] ANY? turkey.com. (39)
19:12:27.716348 IP 176.88.222.74.47457 > 10.10.13.142.53: 4498+ [1au] ANY? turkey.com. (39)
19:12:27.716575 IP 10.10.13.142.53 > 141.196.62.163.19907: 45970 9/4/2 TXT "v=spf1 mx mx:mail.turkey.com -all", TXT "v=spf1 ip:223.197.214.34 mx ~all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-1211.awsdns-23.org., NS ns-948.awsdns-54.net., NS ns-1844.awsdns-38.co.uk., NS ns-59.awsdns-07.com. (436)
19:12:27.716646 IP 10.10.13.142.53 > 176.88.222.74.47457: 4498 9/4/2 TXT "v=spf1 ip:223.197.214.34 mx ~all", TXT "v=spf1 mx mx:mail.turkey.com -all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-1211.awsdns-23.org., NS ns-59.awsdns-07.com., NS ns-1844.awsdns-38.co.uk., NS ns-948.awsdns-54.net. (436)
19:12:27.718177 IP 176.90.120.60.51907 > 10.10.13.142.53: 54234+ [1au] ANY? nic.tr. (35)
19:12:27.718213 IP 176.88.194.160.35307 > 10.10.13.142.53: 39823+ [1au] ANY? turkey.com. (39)
19:12:27.718454 IP 10.10.13.142.53 > 176.88.194.160.35307: 39823 9/4/2 TXT "v=spf1 ip:223.197.214.34 mx ~all", TXT "v=spf1 mx mx:mail.turkey.com -all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-1844.awsdns-38.co.uk., NS ns-59.awsdns-07.com., NS ns-948.awsdns-54.net., NS ns-1211.awsdns-23.org. (436)
19:12:27.721047 IP 176.88.163.231.32807 > 10.10.13.142.53: 38781+ [1au] ANY? turkey.com. (39)
19:12:27.721293 IP 10.10.13.142.53 > 176.88.163.231.32807: 38781 9/4/2 TXT "v=spf1 ip:223.197.214.34 mx ~all", TXT "v=spf1 mx mx:mail.turkey.com -all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-1844.awsdns-38.co.uk., NS ns-1211.awsdns-23.org., NS ns-59.awsdns-07.com., NS ns-948.awsdns-54.net. (436)
19:12:27.723292 IP 176.90.119.244.23057 > 10.10.13.142.53: 309+ [1au] ANY? turkey.com. (39)
19:12:27.723540 IP 10.10.13.142.53 > 176.90.119.244.23057: 309 9/4/2 TXT "v=spf1 ip:223.197.214.34 mx ~all", TXT "v=spf1 mx mx:mail.turkey.com -all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-1844.awsdns-38.co.uk., NS ns-59.awsdns-07.com., NS ns-948.awsdns-54.net., NS ns-1211.awsdns-23.org. (436)
19:12:27.732345 IP 176.88.174.93.18132 > 10.10.13.142.53: 1061+ [1au] ANY? turkey.com. (39)
19:12:27.732379 IP 176.89.151.195.24657 > 10.10.13.142.53: 16646+ [1au] ANY? turkey.com. (39)
19:21:41.033750 IP 10.10.13.142.53 > 5.45.92.57.38367: 51111 13/2/3 TXT "That's what President Obama believes, and what he means when he says there should be no gatekeepers between you and your favorite online sites and services", TXT "That's a principle known as  net neutrality    and it says that an entrepreneur's fledgling company should have the same chance to succeed as established cor", TXT "When I was a can didate for this office, I made clear my commitment to a free and open Internet, and my commitment remains as strong as ever. Four years ago, the FCC tried to implement rules that would protect net neutrality with little to no impact on th" "e telecommunications companies that make important investments in our economy. After the rules were challenged, the court reviewing the rules agreed with the FCC that net neutrality was essential for preserving an environment that encourages new investmen" "t in the network, new online services and content, and everything else that makes up the Internet as we now know it. Unfortunately, the court ultimately struck down the rules   not because it disagreed with the need to protect net neutrality, but because " "it believed the FCC had taken the wrong legal approach", TXT "porations, and that access to a high school student's blog shouldn't be unfairly slowed down to make way for advertisers with more money", TXT[|domain]

Фря. В какой то момент я начал задумываться, а как хостеры делят ресурсы на виртуальном хостинге? Дают тебе процент cpu ? Процент загрузки сети? Памяти, режут скорость к диску. В шеле дают только определенный набор команд?
Jail ?
По своему патченое ядро?
Поиск в инете - да! Но единая картина что то не собирается. Может к хостеру на работу наняться? Так сказать разведать тайны?

Подскажите кто что знает?