Вдруг выяснилось что не работают звонки WhatsApp в офисе. Причем непонятно было так всегда или стало недавно.
Сама звонилка ничего не говорит, просто не соединяется и всё. Поиск в инете ничего дельного не дает.

По каким протоколам и портам оно работает? Где почитать? Кто её может резать?

root@tau:/home/user# traceroute 10.0.0.2
traceroute to 10.0.0.2 (10.0.0.2), 30 hops max, 60 byte packets
1  192.168.0.5 (192.168.0.5)  0.240 ms  0.305 ms  0.354 ms
2  77-247-211-129.ural-net.ru (77.247.211.129)  1.323 ms  1.354 ms  1.390 ms
3  77-247-208-82.ural-net.ru (77.247.208.82)  1.739 ms  1.761 ms  1.786 ms
4  195.239.7.25 (195.239.7.25)  3.077 ms  3.101 ms  3.126 ms
5  195.218.128.54 (195.218.128.54)  30.829 ms  30.977 ms  31.003 ms
6  79.104.226.84 (79.104.226.84)  28.579 ms  27.598 ms  27.568 ms
7  p1.samara.gldn.net (79.104.230.69)  27.785 ms  28.134 ms  28.347 ms
8  p1.saratov.gldn.net (79.104.226.217)  40.005 ms  40.003 ms  39.989 ms
9  p1.volgograd.gldn.net (79.104.226.17)  38.443 ms  38.391 ms  38.270 ms
10  10.0.0.2 (10.0.0.2)  36.749 ms  38.095 ms  37.484 ms

Не пью вроде. lol Как думаете в чём дело?

Поставил openvpn на вдску.
Сгенерировал все сертификаты и ключи (включая Tls и файл Диффи Хеллмана)
В конфигах прописал aes 256 шифрование.

Вопрос, достаточно ли этого для полной безопасности?
В частности, меня интересует возможность просмотра трафика админами вдски..

Переношу сайт с хостинга на ВПС. Там поставил Ubuntu. На хостинге стоял сертификат. Что надо поставить, как настроить и в итоге перенести? Подскажите, пожалуйста

Пишу
useradd -D -s /bin/false
Получают
useradd -D => SHELL=/bin/sh

Ситуация: дома поднят сервер на Debian, на роутере прокинуты до него 80-й и 22-й порты, у провайдера получен "белый" IP.
При попытке подключиться к серверу через ssh соединение рвется через 3-5 секунд: "server unexpectedly closed network connection".
При этом подключение по локальному ip происходит без проблем.
Подскажите, пожалуйста, в чем может быть причина?

Здравствуйте!

Настроил сервер под управлением FreeBSD84, настроил squid. Все прекрасно
работает, но вот почту в обход сквида на 25 smtp и 995 pop SSL-TLS никак не хочет отправлять, сразу оговорюсь - dns на контроллере домена, который также имеет выход в Интернет(пока что) уже 2-ую неделю бьюсь - не получается пока...

ядро собрал со следующими опциями:
options   IPFIREWALL
options   IPFIREWALL_VERBOSE
options   IPFIREWALL_VERBOSE_LIMIT=1000
options   IPFIREWALL_FORWARD
options   DUMMYNET
options   HZ=1000
options   IPDIVERT
#----------------------------------------
rc.conf

hostname="proxy-server"
ifconfig_igb1="inet a.b.c.d netmask 255.255.255.128" #внешний ip
defaultrouter="a.b.c.1"
gateway_enable="yes"

#---         NAT         ---

natd_enable="yes"
natd_interface="igb1"
natd_flags="-m -u"

#---                     ---

ifconfig_igb0="inet 192.168.0.1 netmask 255.255.255.0"
keymap="us.unix"
firewall_enable="yes"
firewall_type="/etc/Firewall"
sshd_enable="yes"
squid_enable="YES"
#-----------------------------------------------------
Firewall
#-----------------
igb0 - LAN (вн.сеть)
igb1 - WAN (Интернет)
a.b.c.d - внешний ip-адрес (на igb1)
#-----------------

-q flush
-f flush
-f pipe flush
-f queue flush

5    add    check-state
10    add    allow ip from any to any via lo0
20    add    deny ip from any to 127.0.0.0/8
30    add    deny ip from 127.0.0.0/8 to any
45    add    allow ip from any to any established  #включил и сеть стала подтормаживать

47    add    allow icmp from 192.168.0.0/24 to any keep-state
48    add    allow ip from 192.168.0.0/24 to any 25 out via igb1 setup keep-state
49    add    allow ip from 192.168.0.0/24 to any 995 out via igb1 setup keep-state

400    add    deny ip from any to ::1
500    add    deny ip from ::1 to any

550    add    deny ip from me to any 137-139,445 out via igb1
1000    add    allow ip from 192.168.0.0/24 to any out via igb1 keep-state

#1200    add    deny ip from any to 10.0.0.0/8 in via igb1     #пока выключил
1300    add    deny ip from any to 172.16.0.0/12 in via igb1
#1400    add    deny ip from any to 192.168.0.0/16 in via igb1  #пока выключил
#1500    add    deny ip from any to 0.0.0.0/8 in via igb1     #пока выключил

#-----рубим пакеты `типа от внутренней сети, но на внешнем интерфейсе------
1555    add    deny ip from 192.168.0.0/24 to any in via igb1.

# -----------------------------------------------------------------------

1600    add    deny ip from any to 169.254.0.0/16 in via igb1
1650    add    deny ip from any to 224.0.0.0/8 in via igb1
1700    add    deny ip from any to 240.0.0.0/8 in via igb1
1800    add    deny icmp from any to any frag

#----------------- И еще одна попытка открыть почту через НАТ -------------------
1810    add    allow tcp from any to any 25 via igb1
1820    add    allow tcp from any 25 to any via igb1

#----------------Рубим 80 и 443 порты----------------------------------------
1850    add deny tcp from 192.168.0.0/24 to any 80 out via igb1     #только через proxy
1860    add deny tcp from 192.168.0.0/24 to any 443 out via igb1 #только через proxy

1900    add deny log icmp from any to 255.255.255.255 in via igb1
2000    add deny log icmp from any to 255.255.255.255 out via igb1

#------------------------ NAT---------------------------------------
2150    add divert natd ip from any to any via igb1
#2200    add divert 8668 ip from any to 192.168.0.0/24 in via igb1 #другой варинат ната
#---------------------------и еще раз почта---------------------------
#2202    add allow ip from any to any 25
#2203    add allow ip from any to any 995

# ---------------------- Еще одна попытка заставить заработать почту --------

#2220    add pass tcp from any 25, 995 to 192.168.0.0/24 via igb1
#2230    nat pass on igb1 from 192.168.0.0/24 to any port 25 -> igb1

#--------- Рубим трафик к частным сетям-----------------------------
#2300    add deny ip from 10.0.0.0/8 to any out via igb1     #пока выключил
2400    add deny ip from 172.16.0.0/16 to any out via igb1
#2500    add deny ip from 192.168.0.0/16 to any out via igb1    #пока выключил
#2600    add deny ip from 0.0.0.0/8 to any out via igb1        #пока выключил
2700    add deny ip from 169.254.0.0/16 to any out via igb1
2800    add deny ip from 224.0.0.0/4 to any out via igb1
2900    add deny ip from 240.0.0.0/4 to any out via igb1

3000    add allow ip from any to any established
3100    add allow ip from me to any out xmit igb1 keep-state
#--------------------DNS--------------------------------------------
3150    add allow udp from 192.168.0.0/24 to 8.8.8.8 53 out via igb1 keep-state
3300    add allow udp from 8.8.8.8 53 to 192.168.0.0/24 in via igb1 established
3400    add allow udp from 192.168.0.0/24 to any 53 out via igb1
#--------------------TIME-------------------------------------------
3500    add allow udp from any to any 123 via igb1
#---------------------FTP-------------------------------------------
3600    add allow tcp from any to any 20,21 out via igb1

3700    add allow tcp from any to a.b.c.d 49152-65535 via igb1
3800    add allow icmp from any to any icmptypes 0,8,11
#3810    add allow icmp from any to any out via igb1 icmptypes 0,8,11 setup keep-state
# 3850    add deny icmp from any to a.b.c.d in via igb1
3900    add allow tcp from any to a.b.c.d ssh via igb1

3910    add allow ip from any to 192.168.0.0/24 in via igb0
3920    add allow ip from 192.168.0.0/24 to any out via igb0
3930    add allow ip from any to any established

3950     add allow ip from any to any via igb0
# 3960    add allow tcp from any to any via igb0
# 3970    add allow udp from any to any via igb0
# 3980  add allow icmp from any to any via igb0

#----------------------------ICQ-----------------------------------------
#9000    add allow tcp from 192.168.0.0/24 to any 5190 in via igb0 setup

10000    add deny log tcp from any to a.b.c.d in via igb1 setup
65530    add deny log ip from any to any

GURUs I need your HELP, парни помогите!!!

На сервере работает фреймворк Yii. Какие права необходимо задавать папкам assets и runtime? Я задал обоим папкам права 777, это позволяет Yii создавать и удалять файлы в этих папках. Но я уверен, что так делать не правильно. Помогите разобраться с этим вопросом.

У меня стоит suexec. Натолкнулся на информацию об apache2-mpm-itk. И возник у меня вопрос, а надо ли мне его устанавливать, если у меня уже стоит suexec? И если да, то для чего? В чем между ними разница?

И в довесок если не сложно, может подскажите, на что обратить внимания для безопасности. Знаю информации много, но уже устал перечитывать одно и тоже, причем везде чего-то да не хватает. Хотелось бы все и сразу в одном месте.

Прошу прощение за потраченное время у тех кто ответит на мой вопрос.
В течении нескольких недель гуглил простой ответ на свою задачу, но как оказалось даже простые ответы требуют хуть какого-то понимания,которым я не обладаю.
Задача:
есть локальная сеть - 192.168.0.0/24
есть dd-wrt-роутер - 192.168.0.1 (все правила в iptables по умолчанию)
в интернет роутер выходит через pppoe
есть удаленный хост - apache.no-ip.biz
Нужно заставить запросы для портов(80/443/8080)из локальной сети на любой внешний адрес отправлять на удаленный хост.
Есть конечно еще задачка как в dd-wrt настроить cron чтобы потом периодически включать правила iptables, но мне кажется это лучше спросить в другом месте.

Буквально на коленях прошу копипасту команд для iptables которая позволит реализовать задачу, из того что успел почитать, понял что задача тривиальная и решается буквально в 4 строчки, но увы сам никак не могу сложить 2+2, уж простите дурака. Нужно что-то типо:"ипитаблес создай правило 1-м в цепочке для исходящих относительно интерфейса ппп0 или сети по портам 80,8080,443 адресованных в 0.0.0.0/0 переадресовывать хосту"  

   Здравствуйте, помогите пожалуйста, у меня проблема с OpenVPN'ом, который настроен на Windows. Долго лет администрирую OpenVPN на Linux, не имею почти никаких проблем. Не зря, оказывается этот проект в основном рассчитан на Linux. Короче, понадобилась по разным причинам настроить его на DOS-подобие и настроил на Windows. Понятно, что на Windows --topology p2p не будет функционировать, а /30 нормально будет работать. Но я хотел настроить --topology subnet и на офф. сайте не написано о невозможности такой настройки на Windows и логично это должно работать. Но когда клиенты подключаются, они все только один IP берут и когда один подключается другой отваливается. Например, сервер берет 192.168.1.1/24, а клиенты только 192.168.1.2/24. Помогите пожалуйста, может эта проблема типична для Windows(или это не от системы, а в настройках ошибка) или вообще я что-то не правильно делаю...не знаю. Дайте пожалуйста направлении, поиск в интернете почти ничего не дал.

server.conf
===========

tls-server
local X.X.X.X
port 1194
proto udp
topology subnet
server 192.168.1.0 255.255.255.0
dev tun
tun-mtu 1500
dh C:\\openvpn\\ssl\\dh1024.pem
ca C:\\openvpn\\ssl\\ca.crt
cert C:\\openvpn\\ssl\\1.crt
key C:\\openvpn\\ssl\\1.key
persist-key
persist-tun
keepalive 10 120
comp-lzo
auth-nocache
verb 3
status C:\\openvpn\\log\\openvpn-status.log
log-append C:\\openvpn\\log\\openvpn.log
mute 20
max-clients 100

client.conf
===========

client
dev tun
proto udp
remote X.X.X.X 1194
topology subnet
tun-mtu 1500
resolv-retry infinite
nobind
persist-key
persist-tun
keepalive 10 120
ca "С:\\Program Files\\OpenVPN\\config\\keys\\ca.crt"
cert "С:\\Program Files\\OpenVPN\\config\\keys\\2.crt"
key "С:\\Program Files\\OpenVPN\\config\\keys\\2.key"
ns-cert-type server
comp-lzo
verb 3
win-sys env
route-method exe
route-delay 2

OpenVPN + vtun.

Приветствую.

Необходимо поднять двойной впн на Centos, но не openvpn-openvpn, а openvpn-vtun (тот vtun что http://vtun.sourceforge.net/) Т.е. схема: клиент -- опенвпн --> сервер1 -- vtun --> сервер2. В то время как vtun локака работает (все пингуется ок) и опенвпн клиенты приконектившись попадают в openvpn локалку, не знаю как сделать так чтобы все пакеты что приходят от опенвпн-вин-клиентов выходили на втором сервере. Тоесть понимаю что нужно гдето роутинг добавить, маскарадинг, но где именно и как , пробую и не получается. Если кто-то поможет разобраться буду премного благодарен.

Более детально:

Форвардинг пакетов на обоих серваках включен (в /etc/sysctl.conf)

Сервер1 (openvpn демон и vtun клиент)

Конфиг openvpn:

port 1194
local SERVER1_IP
proto udp
dev tun0
server 10.0.1.0 255.255.255.0
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
cipher AES-256-CBC
user nobody
group nobody
status openvpnserver-status.log
log-append openvpnserver.log
verb 3
max-clients 30
keepalive 10 120
tls-server
comp-lzo
persist-key
persist-tun
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"

Конфиг vtun клиента:

options
{
    port 10000;
    syslog daemon;
    ifconfig /sbin/ifconfig;
    route /sbin/route;
    ip /sbin/ip;
    firewall /sbin/iptables;
}

client1
{
    passwd testpassword;
    type tun;
    persist yes;

    up
    {
        ifconfig "%% 10.1.0.2 pointopoint 10.1.0.3 mtu 1450";
        route "add -net 1.2.3.4/16 gw 10.1.0.3";
    };

    down
    {
        ifconfig "%% down";
    };
}

Т.е. на сервер1 после запуска openvpn и vtun_client имеем:  tun0 (openvpn) с адресом 10.0.1.1 и tun1 (vtun) с адресом 10.1.0.2.

Таблица роутинга при этом выглядит так:

[root@localhost]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.1.0.3        *               255.255.255.255 UH    0      0        0 tun1
10.0.1.2        *               255.255.255.255 UH    0      0        0 tun0
10.0.1.0        10.0.1.2        255.255.255.0   UG    0      0        0 tun0
SERV1_NET.0     *               255.255.240.0   U     0      0        0 eth0
link-local      *               255.255.0.0     U     1002   0        0 eth0
default         SERV1_NET.1     0.0.0.0         UG    0      0        0 eth0

iptables полностью чистый, ната нет, маскарадинга нет.

Сервер2 (vtun_server):

options
{
    port 10000;
    syslog daemon;
    ifconfig /sbin/ifconfig;
    route /sbin/route;
    ip /sbin/ip;
    firewall /sbin/iptables;
}

default
{
    compress lzo:9;
    speed 0;
}

client1
{
    passwd testpassword;
    type tun;
    proto udp;
    encrypt aes256ofb;
    keepalive yes;

    up
    {
        ifconfig "%% 10.1.0.3 pointopoint 10.1.0.2 mtu 1450";
        firewall "-t nat -A POSTROUTING -s 10.1.0.2 -j MASQUERADE";
    };

    down
    {
        firewall "-t nat -F";
        ifconfig "%% down";
    };
}

Соответсвенно на сервер2 после запуска vtun_server имеем tun0 (vtun) с адресом 10.1.0.3

таблица роутинга:

[root@localhost]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.1.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
SERV2_NET.0     0.0.0.0         255.255.255.192 U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth0
0.0.0.0         SERV2_NET.62      0.0.0.0         UG    0      0        0 eth0

iptables:

[root@hosted-by vtund]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.1.0.2             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@hosted-by vtund]#

Пробую приконектится с вин клиентом к сервер1 по опенвпн : все соединяется, но tracert 11.11.11.11 выдает:

C:\> tracert  11.11.11.11
Tracing route to 11.11.11.11 over a maximum of 30 hops

  1    80 ms    81 ms    99 ms  10.0.1.1
  2     *        *        *     Request timed out.
  3     *        *        *     Request timed out.

Тоесть после впн адреса ничто никуда не идет. А нужно чтобы все шло на vtun сеть и оттуда выходило в инет.  Я так понимаю должно быть чтото типа такого по итогу когда трэйсить буду с винды:

  1    80 ms    81 ms    99 ms  10.0.1.1
  2    80 ms    81 ms    99 ms  10.1.0.2
  3    80 ms    81 ms    99 ms  10.1.0.3

ну и тд

Уверен что намудрено с руитингом и маскарадингом в втун конфигах (и скорей всего не достаточно вообще сделано), кто поможет буду признателен. Тоесть нужно пакеты с опенвпн сетки, передавать в втун сетку, и там уже выход-маскарадинг.

Спасибо.

Пытаюсь разобраться с ЦП. "Очень надо" именно ECDSA.

# ssh-keygen -t ecdsa -b 2048 -C "123"
unknown key type ecdsa

Суппорт хостера сообщил, что стабильной версии нет.
Существует ли автономная утилита или скрипт? Производительность не нужна, так что подойдёт "любой bash". Лишь бы не переустанавливать систему.

Спасибо

Фря. В какой то момент я начал задумываться, а как хостеры делят ресурсы на виртуальном хостинге? Дают тебе процент cpu ? Процент загрузки сети? Памяти, режут скорость к диску. В шеле дают только определенный набор команд?
Jail ?
По своему патченое ядро?
Поиск в инете - да! Но единая картина что то не собирается. Может к хостеру на работу наняться? Так сказать разведать тайны?

Подскажите кто что знает?

Доброе время суток коллеги!
Есть необходимость создания пула серверов доступа на OpenVPN. Из подопытных Centos и Mikrotik. Не взирая на ограничения микротика по openvpn его вполне достаточно и работает вполне достойно. Траблы возникли на центосе, а именно:
На микротике авторизация происходит по логину и паролю + сертификаты. Как на центосе это сделать не смог найти. От сюда выплывает проблема. Юзера авторизуясь по одним сертификатам начинают выталкивать друг друга.

вот конфиг

# cat /etc/openvpn/server.conf
local X.X.X.X
port 1194
proto tcp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
server 192.168.90.0 255.255.255.0
ifconfig-pool-persist "/etc/openvpn/ipp.txt"
keepalive 10 120
persist-key
persist-tun
comp-lzo
max-clients 25
user nobody
group nobody
status "/var/log/openvpn-status.log"
log "/var/log/openvpn.log"
log-append "/var/log/openvpn.log"
verb 3

Для одного клиента всё работает на ура. Когда два и более полный швах. Клиентам при том раздаются разные адреса.

Добрый день.
Задача открыть доступ к ресурсу на определенном порту конкретным ip-адресам.
Есть такие правила:
1 -A INPUT -s 192.168.63.36/32 -i eth0 -p tcp -m tcp --dport 9001 -j ACCEPT
2 -A INPUT -s 192.168.62.11/32 -i eth0 -p tcp -m tcp --dport 9001 -j ACCEPT
3 -A INPUT -i eth0 -p tcp -m tcp --dport 9001 -j DROP.

Все замечательно работает. Вопрос как открыть доступ для компьютеров, работающих по vpn через tun -подключение?

   Здравствуйте,я хотел уточнить для себя работы DNAT(NETMAP). Вопрос такой, пакет будет пробрасыватся, только если изначальный(исходный) адрес назначения или сеть назначения будет принадлежать тому хосту где фильтрация идет, другими словами говоря, на хосте котором пакет будет DNAT или NETMAP'ится соответственно или необязательно чтобы изначальный адрес назначения соответствовал с адресами шлюза(фильтрующего хоста). Например, адреса шлюза:

   1. 192.168.0.1/24
   2. 192.168.1.1/24

1. Пакет пришел к шлюзу и в заголовке указано: 192.168.0.6(source) и 192.168.0.1(destination). В таком случаи, понятно пакет пробрасывается на хост допустим 192.168.1.8(можно еще пакет SNAT'ить, ну это сейчас не важно).
2. Если в пакете указан, как адрес назначения 172.19.1.9(не лежит в адресном пространстве сетей, которых шлюз обслуживает), он будет ли DNAT'ится или iptables не учитывает такой вариант например по инфо. безопасности и будет уничтожат такой пакет, считая что такой пакет не подлежит к DNAT. Может по безопасности это по default отключено и это где-то можно включить при необходимости, например в ядро(netfilter). Вот поэтому я хотел уточнить для себя все это. Заранее всем спасибо!

P.S.
Я это проверил, но у меня не получилось, может я что-то не правильно делаю или такое нельзя осуществить.

Доброе время суток!
Победив свои железяки, подняв IPSEC туннели -> в них GRE, а в нем OSPF было уже приготовился пить чай с пряником. Как меня расстроил момент по высокой загруженности процессоров на железяках и что называется не работой не на полную катушку сети через VPN. Почему не на полную и загруженность - понятно. ШИФРОВАНИЕ. кушает как слон.
Железки Mikrotik RB c процами по 600 в разогнаном состоянии 750 MHz. К слову все работает на УРА. Ширина канала от провайдера ниже чем выдают данные железки через выше описанную конфигурацию, но тем не менее для себя хочется узнать как можно потюнить сею конструкцию. Бывалые - поделитесь опытом или мнением.

Пытаюсь настроить канал с офисами. вот конф сервера:
port 1194
proto udp
dev tun
ca /etc/ssl/ca-cert.pem
cert /etc/ssl/sys-0-cert.pem
key /etc/ssl/private/sys-0-key.pem
dh /etc/ssl/dh1024.pem
server  192.168.6.0 255.255.255.0
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
ifconfig-pool-persist /var/lib/openvpn/ipp.txt
status /var/lib/openvpn/openvpn-status.log
verb 3
route 192.168.4.0 255.255.255.0
route 192.168.5.0 255.255.255.0
plugin /usr/share/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/auth-ldap
push "dhcp-option DNS 192.168.3.105"
push "dhcp-option WINS 192.168.3.105"
push "dhcp-option DOMAIN myapteka.com"
push "route 192.168.3.0 255.255.255.0"

Вот конфиг клиента
client
remote (ip адрес сервера белый) 1194
dev tun
proto udp
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca-cert.pem
cert client-rob-cert.pem
key client-rob-key.pem
ns-cert-type server
comp-lzo
verb 3
auth-user-pass

Соединяется но пишет ошибку:
Mon Apr 06 11:53:50 2015 VERIFY ERROR: depth=1, error=certificate has expired: O=org, OU=Krasnodar, emailAddress=security@mail.com, L=Krasnodar, ST=Krasnodar, C=RU, CN=ca.mail.com
Mon Apr 06 11:53:50 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Mon Apr 06 11:53:50 2015 TLS Error: TLS object -> incoming plaintext read error
Mon Apr 06 11:53:50 2015 TLS Error: TLS handshake failed
Mon Apr 06 11:53:50 2015 SIGUSR1[soft,tls-error] received, process restarting
Mon Apr 06 11:53:50 2015 MANAGEMENT: >STATE:1428306830,RECONNECTING,tls-error,,
Mon Apr 06 11:53:50 2015 Restart pause, 2 second(s)
Mon Apr 06 11:53:52 2015 SIGTERM[hard,init_instance] received, process exiting
Mon Apr 06 11:53:52 2015 MANAGEMENT: >STATE:1428306832,EXITING,init_instance,,

Где проблема?

Имеется закрытый ключ, сертификат публичного ключа и цыпочка сертификатов корневой промежуточный и клиентский в cer формате. Как из этого всего правильно создать подпись посредством OpenSSL?

Друзья выручайте.

Ситуация такая: Поменял материнскую плату на Убунту сервер. Все заработало кроме проброса портов, которые работают как то не так как нужно.

На сервере настроен NAT, на натом стоит сервер с RDP, на него делался проброс портов.

Делалось это так:

sudo iptables -A FORWARD -i eth0 -p tcp --dport 3389 -j ACCEPT
sudo iptables -t nat -A PREROUTING -p tcp -d 123.123.123.123 --dport 3389 -j DNAT --to-destination 192.168.0.100:3389
sudo iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.100 --dport 3389 -j SNAT --to-source 123.123.123.123

Теперь ситуация такая что если из под нат постучаться на внешний адрес 123.123.123.123 и порт 3389 то все работает. А если сделать это снаружи то нет.

Если запустить tcpdump и послушать - то при подключении изнутри пакеты бегают, а при подключении снаружи запрос проиходит и далее во внутрь нет.

14:56:26.793428 IP 46.211.146.228.18598 > 123.123.123.123.3389: Flags [S], seq 1191622352, win 65535, options [mss 1410,nop,wscale 4,nop,nop,TS val 193727049 ecr 0,sackOK,eol], length 0

Подобную тему тут на форуме поднимал пользователь, но решения нет. Но ему написали интересное замечание, какое касается видно и меня.

Ему написали:

"> -A FORWARD -i eth0 -p tcp -m tcp --dport 8000 -j ACCEPT

но в форварде нет разрешающего правила , которое бы разрешало трафик извне на внутренний ip/порт"

У меня такое же правило судя по iptables-save:

# Generated by iptables-save v1.4.21 on Sun Mar 22 15:01:20 2015
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1234 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2345 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -p udp -m udp --sport 1701 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p gre -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Sun Mar 22 15:01:20 2015
# Generated by iptables-save v1.4.21 on Sun Mar 22 15:01:20 2015
*mangle
:PREROUTING ACCEPT [1164363:1182988541]
:INPUT ACCEPT [1120962:1154843012]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [568929:549337025]
:POSTROUTING ACCEPT [612457:577497932]
-A FORWARD -j ACCEPT
COMMIT
# Completed on Sun Mar 22 15:01:20 2015
# Generated by iptables-save v1.4.21 on Sun Mar 22 15:01:20 2015
*nat
:PREROUTING ACCEPT [61:7854]
:INPUT ACCEPT [61:7854]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d 123.123.123.123/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.100:3389
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -d 192.168.0.100/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 123.123.123.123
COMMIT
# Completed on Sun Mar 22 15:01:20 2015

Друзья выручайте.

Ситуация наверно стандартная необходимо пробросить порт 3389!
на прокси (freeBsd стоит на виртуальной машине) есть две сетевые карточки
1я Соединена с модемом Zyxel  роутером ip 100.100.100.xx em1
2я Соединена с локальной сетью 10.30.182.xx
пытался делать проброс .. вначале не видел портов потом на модеме создал виртуальный сервер указав ip em1 появился порт но соединение осуществляеся только на em1 а проброса на другой сервер не получается
подскажите можно ли настроить?
выкладываю конфиг PF  

ext_if = "em1"
int_if = "em0"
tcp_services = "{ ssh, smtp, domain, http, https, 1723, 3128, 3389 }"
ftp_ports = "{ ftp, ftp-data }"
udp_services = "{ domain, ntp, 1723 }"
icmp_types="{ echoreg, unreach}"
#
nat on $ext_if from $int_if:network to any -> ($ext_if:0)
#rdr on $ext_if proto tcp from any to 100.100.100.30 port 3389 -> 10.30.182.100 port 3389
#$rdr on $int_if proto tcp from any to $int_if port 80 -> 127.0.0.1 port 3128

set skip on lo0


block in all
pass quick inet proto gre to any keep state

pass quick inet proto {tcp,udp} from any to any port $ftp_ports keep state
pass quick inet proto {tcp,udp} from any to any port > 18000 keep state

pass quick inet proto udp to any port $udp_services keep state
pass quick inet proto tcp to any port $tcp_services keep state
pass quick inet proto icmp from any to any

pass out on $ext_if inet proto udp from any to any port 33433 >< 33626 keep state


block in log all

столкнулся с такой непоняткой:
документация утверждает, что надо так:
iptables -A INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
обычные люди про conntrack не знают и привыкли так:
iptables -A INPUT -m state --state NEW -p tcp ! SYN,RST,ACK,FIN SYN -j DROP
в общем и целом оно работает, НО! через ~ минуту бездействия подвисает и потом приходится ждать, пока дойдёт новое соединение и сессия отвиснет.
может и не отвиснуть.
я это дело залогировал и увидел ACK PSH:
SRC=xx.xx.xx.xx DST=xx.xx.xx.xx LEN=100 TOS=0x00 PREC=0x20 TTL=57 ID=36151 DF PROTO=TCP SPT=55967 DPT=39512 WINDOW=2480 RES=0x00 ACK PSH URGP=0

что странно ^^

пробовал так: ! SYN,RST,ACK,FIN SYN
и PSH подставлял, SYN SYN пробовал и т.д., оно всё-равно в логах про них говорит
конкретно даже вот это правило:
-A INPUT -p tcp -m state --state NEW ! --tcp-flags SYN,RST,ACK,FIN,PSH SYN -j LOG --log-level DEBUG --log-prefix="NEW packets: "
в логи выводит вышеуказанную строку про ACK PSH
флаг PSH он вообще не из NEW, по идее, он про то, что данные протолкнуть надо, поэтому его присутствие загадочно
чё он хочет то от меня?

iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
будет блокировать все попытки открыть входящее TCP-соединение не SYN-пакетом. Попытка установить соединение таким образом может быть либо ошибкой, либо атакой.

ssh криво открывает новые соединения или что?
но по логам там и фтп такой же косяк ловит, правда это уже не я

Добрый день.
Помогите внести ясность в ситуацию. Настроен ipsec между двумя хостами Centos и Mikrotik. За хостами подсети. Поднимаю два тунеля.
10.0.0.0.24 <-> mikrotik <----ipsec----> Centos(openswan) <-> 192.168.90.0/24
                                                          <-> ip_host
Первый работает хост - подсеть
Второй подсеть - подсеть
Но факту реально работает только один в случайном порядке. Те при перезапуске openswan или mikrotik трафик начинает реально идти только через один.
Пинг проходит, но такое ощущение что не возвращается обратно.

Вот пример пинга до хоста и подсети с адреса 10.0.0.243

tcpdump icmp
12:02:24.970435 IP 10.0.0.243 > ip_host: ICMP echo request, id 54597, seq 1576, length 64
12:02:25.273338 IP 10.0.0.243 > 192.168.90.6: ICMP echo request, id 60229, seq 1545, length 64
12:02:25.970431 IP 10.0.0.243 > ip_host: ICMP echo request, id 54597, seq 1577, length 64
12:02:26.273310 IP 10.0.0.243 > 192.168.90.6: ICMP echo request, id 60229, seq 1546, length 64

вот пример конфига openswan

conn ipsec
   authby=secret
   auto=start
   ikelifetime=86400s
   ike=3des-sha1-modp1024
   aggrmode=no
   ## phase 1 ##
   keyexchange=ike
   ## phase 2 ##
   keylife=86400s
   phase2=esp
   phase2alg=3des-sha1
   compress=no
   pfs=yes
   type=tunnel
   left=ip_host
   #leftsourceip=ip_host
   leftsubnets={ip_host/32 192.168.90.0/24}
   leftnexthop=%defaultroute
   ## for direct routing ##
   right=ip_mikrotik
   rightsubnets={10.0.0.0/24}

Истина где то рядом, но где???

вот правило: -A INPUT -p udp --sport 123 -j DROP
вот оно в --list: DROP       udp  --  anywhere             anywhere            udp spt:ntp
а вот оно в iftop:
my.ip.is.here:53                                                                  => hes.ip.is.here:123                                                                       0b      0b      0b
                                                                                   <=                                                                                    3,04Mb  2,24Mb   575Kb

т.е. траф прекрасно приходит
что я делаю не так?

в логах на своем сервере нашел инфу что стучатся. по этой дырочке.
попробовал:
curl -i -X HEAD "http://website" -A '() { :;}; echo "Warning: Server Vulnerable"'
вроде как на консоли нету:
Warning: Server Vulnerable

пробовал:
curl -i -X HEAD "http://website" -A '() { :;}; ping -c10 192.168.1.100'
на себя, тоже ничего не увидел.

ОС FreeBSD Apache nginx

обновиться не могу. как можно подлотаться?
как понять что меня ломанули, или заботали?

Всем добрый день!
Пожалуйста хотелось бы посоветоваться, как сделать правильно.
Есть IPTABLES + GeoIP.
Хочу запретить входящие от всех стран кроме скажем 2х RU,UA. Но в довесок разрешить почту от "всех стран". И вот в почте, то затык.
Вариант первый без почты...
iptables -A INPUT ! -i lo -m geoip ! --source-country UA,RU -j DROP

Решил добавить разрешение для почты
iptables -A INPUT ! -i lo -p tcp -m multiport ! --dports 25,110,995,143,993 -m geoip ! --source-country UA,RU -j DROP
Вот где тут косяк? Почта с того же GMAIL не приходит. Да и с mail.ru тоже.?

Добрый день!

Мои сотрудники с почтовыми аккаунтами на mail.ru стали получать спам, рассылаемый по непонятной технологии. Спамерские письма очень похожи по стилю, шрифту, цвету шрифта и рекламируют ресурсы сети. Хочется понять, какую технологию на этот раз используют спамеры. Собственно, текст писем однозначно определяется web сервисом mail.ru, как спамерское и не принимается сервисом, поэтому утверждать, что адреса жертв записаны в поле CC или BCC нельзя. Служебные заголовки писем отличаются именами и IP адресами отправителей и имеют такой вид:

---------------
Return-path: <>
Authentication-Results: mxs.mail.ru; spf=softfail (mx124.mail.ru: transitioning domain of ok.ru does not designate 92.63.98.102 as permitted sender) smtp.mailfrom=numeral@ok.ru smtp.helo=ok.ru;
     dkim=invalid reason=pubkey_unavailable header.i=ok.ru
Received-SPF: softfail (mx124.mail.ru: transitioning domain of ok.ru does not designate 92.63.98.102 as permitted sender) client-ip=92.63.98.102; envelope-from=numeral@ok.ru; helo=ok.ru;
Received: from [92.63.98.102] (port=5846 helo=ok.ru)
    by mx124.mail.ru with esmtp (envelope-from <numeral@ok.ru>)
    id XXXX-000XX-9Q
    for xxxxxxxxx@mail.ru; Thu, 26 Feb 2015 19:15:28 +0300
X-Mru-BL: 0:0
X-Mru-BadRcptsCount: 0
X-Mru-PTR: ok.ru
X-Mru-NR: 1
X-Mru-OF: Linux (Ethernet or modem)
X-Mru-RC: RU
Message-ID: <XXXXXXXXXXXXXXXXXX@aocfad>
From: =?windows-1251?B?wPHl6/w=?= <numeral@ok.ru>
To: <xxxxxxxx@mail.ru>
Subject: =?windows-1251?B?x+Tw4OLx8uLz6fLlIQ==?=
Date: Thu, 26 Feb 2015 19:15:26 +0300
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_0161_01D051F8.93DB33A0"
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Windows Live Mail 15.4.3538.513
X-MimeOLE: Produced By Microsoft MimeOLE V15.4.3538.513
DKIM-Signature: v=1; a=rsa-sha256; d=ok.ru; s=ok.ru;
    c=relaxed/relaxed; t=1424967326;
    h=message-id:from:to:subject:date:mime-version;
    bh=Q3lu5W1SBJrz5yyPEcaEBGvYSjJ59WIpKT5WLOIpeKI=;
    b=vOrl0YyLUefGBLF03BsgzT2oMdsn4EYwg61dKy+K0vxwTaJ/rQ22PXYHSvoKLj
    ZmommriS3ccP3JMRXaqODLOEokz7FGkIGBYO7dfXtVKkqNUEADj/8SZY1auP0qiV
    /4Nxw7k9CyLtmhklQdDE5oWdYPjjon/pzp5YIOLj8n7Cw=
X-DMARC-Policy: no
X-Magic: B5322EEFE1B8DBD117AF280FEB11A656723C07A698D06FF021F3BD94E72BFD30
X-Mras: SPAM
X-Mru-Authenticated-Sender: numeral@ok.ru
X-Spam: undefined

Добрый день!
Cистема CentOs_6.5_x64.
Есть сайт который работает то на http то на https, это зависит от ряда причин.
Хотелось бы что бы при доступе на https://site.ru и на  http://site.ru доступ всегда осуществлялся, как такое организовать при помощи iptables?
Само приложение запущенно на 8000 порту, но это не существенно, можно запустить на любом другом порту.
Сейчас попробовал так:
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8000
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8000
iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 8000 -j MARK --set-mark 1
iptables -I INPUT  -i eth0 -m mark --mark 1 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 8000 -j ACCEPT
При таком раскладе имею доступ на https, на 80 порт доступа нет.

Что я делаю:
ввожу команду  проверки NTP:
sudo ntpdate -d NTP_name

Команда делает запись в syslog вида:
Feb 17 08:41:00 *** sudo: user_name_Vuasiya : TTY=unknown ; PWD=*** ; USER=root ; COMMAND=/usr/sbin/ntpdate -d IP***

Проблема: Эту команду я использую раз в минуту на 4-6 серверов NTP. В итоге в syslog попадает ОГРОМНАЯ куча спама.

Вопрос: я установил sudo 1.8.6p3, т.к. вычитал что в этой версии есть замечательные опции:
NOLOG_OUTPUT

Добавил в sudo:
sudo visudo
ADMIN ALL=(root) NOLOG_OUTPUT:NOPASSWD: /usr/sbin/ntpdate -d*

Но системе пофиг на NOLOG_OUTPUT, как и вообще на спецификации: LOG_INPUT, NOLOG_INPUT, LOG_OUTPUT, NOLOG_OUTPUT.
спам в syslog не прекратился.
Я сделал решение не удовлетворяющее меня с точки зрения безопасности:
Defaults:user_name_Vuasiya !syslog
Но тогда все что делает user_name_Vuasiya в sudo не пишется в syslog. А мне надо чтобы только одна команда не писалась. Кто знает решение?

Отрывок MAN:
User specification
      User_Spec ::= User_List Host_List '=' Cmnd_Spec_List \
                    (':' Host_List '=' Cmnd_Spec_List)*

      Cmnd_Spec_List ::= Cmnd_Spec |
                         Cmnd_Spec ',' Cmnd_Spec_List

      Cmnd_Spec ::= Runas_Spec? Tag_Spec* Cmnd

      Runas_Spec ::= '(' Runas_List? (':' Runas_List)? ')'

      Tag_Spec ::= ('NOPASSWD:' | 'PASSWD:' | 'NOEXEC:' | 'EXEC:' |
                    'SETENV:' | 'NOSETENV:' | 'LOG_INPUT:' | 'NOLOG_INPUT:' |
                    'LOG_OUTPUT:' | 'NOLOG_OUTPUT:')
***********************************
sudoers also supports logging a command's input and output streams.
      I/O logging is not on by default but can be enabled using the
      log_input and log_output Defaults flags as well as the LOG_INPUT and
      LOG_OUTPUT command tags.
***********************************

LOG_INPUT and NOLOG_INPUT

      These tags override the value of the log_input option on a per-command
      basis.  For more information, see the description of log_input in the
      SUDOERS OPTIONS section below.

      LOG_OUTPUT and NOLOG_OUTPUT

      These tags override the value of the log_output option on a per-
      command basis.  For more information, see the description of
      log_output in the SUDOERS OPTIONS section below.
*************************************
      log_input         If set, sudo will run the command in a pseudo tty
                        and log all user input.  If the standard input is
                        not connected to the user's tty, due to I/O
                        redirection or because the command is part of a
                        pipeline, that input is also captured and stored in
                        a separate log file.

                        Input is logged to the directory specified by the
                        iolog_dir option (/var/adm/sudo-io by default) using
                        a unique session ID that is included in the normal
                        sudo log line, prefixed with ``TSID=''.  The
                        iolog_file option may be used to control the format
                        of the session ID.

                        Note that user input may contain sensitive
                        information such as passwords (even if they are not
                        echoed to the screen), which will be stored in the
                        log file unencrypted.  In most cases, logging the
                        command output via log_output is all that is required.

      log_output        If set, sudo will run the command in a pseudo tty
                        and log all output that is sent to the screen,
                        similar to the script(1) command.  If the standard
                        output or standard error is not connected to the
                        user's tty, due to I/O redirection or because the
                        command is part of a pipeline, that output is also
                        captured and stored in separate log files.

                        Output is logged to the directory specified by the
                        iolog_dir option (/var/adm/sudo-io by default) using
                        a unique session ID that is included in the normal
                        sudo log line, prefixed with ``TSID=''.  The
                        iolog_file option may be used to control the format
                        of the session ID.

                        Output logs may be viewed with the sudoreplay(1m)
                        utility, which can also be used to list or search
                        the available logs.