Добрый день! Есть такая схемка:

client -> proxy:5060 -> server:5060

Приложение клиента общается с proxy:tcp:5060. Прокси работает прозрачно, используя TPROXY (реализовано через haproxy), т.е. он берёт IP:PORT клиента, и при пересылке пакетов на server, подставляет их как SOURCE. Сервер видит, что отправитель пакетов - client, и отправляет пакеты на client:IP:PORT, НО cо своим адресом в поле SOURCE (server:tcp:5060), следовательно, клиент не сможет обработать эти сообщения, т.к. он ждёт ответа от proxy:tcp:5060. И поэтому я хочу научить сервер подставлять в поле SOURCE ip адрес proxy сервера (proxy:tcp:5060)

Добавляю правило:

# Generated by iptables-save v1.3.5 on Thu Nov  5 14:38:24 2015
*mangle
:PREROUTING ACCEPT [710363:567027885]
:INPUT ACCEPT [704372:566539955]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [753088:91182712]
:POSTROUTING ACCEPT [753309:91198200]
COMMIT
# Completed on Thu Nov  5 14:38:24 2015
# Generated by iptables-save v1.3.5 on Thu Nov  5 14:38:24 2015
*nat
:PREROUTING ACCEPT [24883:1646686]
:POSTROUTING ACCEPT [4320:257154]
:OUTPUT ACCEPT [4146:245907]
-A POSTROUTING -j SNAT --to-source 1.1.1.1 
COMMIT
# Completed on Thu Nov  5 14:38:24 2015
# Generated by iptables-save v1.3.5 on Thu Nov  5 14:38:24 2015
*filter
:INPUT ACCEPT [2499922263:423836859984]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2652526754:403919398770]
COMMIT
# Completed on Thu Nov  5 14:38:24 2015

Проверяю, локальные пакеты натятся:

14:37:14.149450 IP 1.1.1.1 > 8.8.8.8: ICMP echo request, id 55064, seq 1, length 64
14:37:15.149680 IP 1.1.1.1 > 8.8.8.8: ICMP echo request, id 55064, seq 2, length 6

Но для приложения, сервер всё равно отвечает со своим адресом:

14:39:35.172003 IP 192.168.55.55.46390 > 192.168.100.246.sip: S 2735509705:2735509705(0) win 29200 <mss 1460,sackOK,timestamp 154932215 0,nop,wscale 7>
14:39:35.172142 IP 192.168.100.246.sip > 192.168.55.55.46390: S 2647903661:2647903661(0) ack 2735509706 win 5792 <mss 1460,sackOK,timestamp 3733232086 154932215,nop,wscale 7>
14:39:35.172689 IP 192.168.55.55.46390 > 192.168.100.246.sip: R 2735509706:2735509706(0) win 0

 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 0a:c3:4a:44:3e:bb brd ff:ff:ff:ff:ff:ff
    inet 192.168.216.246/30 brd 192.168.106.247 scope global eth0
    inet 192.168.110.159/32 scope global eth0
    inet6 fe80::8c3:4aff:fe44:3ebb/64 scope link 
       valid_lft forever preferred_lft forever

Добавляю логирование для цепочки nat и не вижу чтобы пакеты попадали в POSTROUTING:

mangle PREROUTING: IN=eth0 OUT= SRC=192.168.55.55 DST=192.168.100.246 LEN=60 TOS=0x18 PREC=0xA0 TTL=61 ID=31487 DF PROTO=TCP SPT=48328 DPT=5060 WINDOW=29200 RES=0x00 SYN URGP=0 
nat PREROUTING: IN=eth0 OUT= SRC=192.168.55.55 DST=192.168.100.246 LEN=60 TOS=0x18 PREC=0xA0 TTL=61 ID=31487 DF PROTO=TCP SPT=48328 DPT=5060 WINDOW=29200 RES=0x00 SYN URGP=0 
mangle OUTPUT: IN= OUT=eth0 SRC=192.168.100.246 DST=192.168.55.55 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=5060 DPT=48328 WINDOW=5792 RES=0x00 ACK SYN URGP=0 
mangle POSTROUTING: IN= OUT=eth0 SRC=192.168.100.246 DST=192.168.55.55 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=5060 DPT=48328 WINDOW=5792 RES=0x00 ACK SYN URGP=0 
mangle PREROUTING: IN=eth0 OUT= SRC=192.168.55.55 DST=192.168.100.246 LEN=40 TOS=0x18 PREC=0xA0 TTL=63 ID=50715 DF PROTO=TCP SPT=48328 DPT=5060 WINDOW=0 RES=0x00 RST URGP=0 

# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
# sysctl net.ipv4.conf.eth0.rp_filter
net.ipv4.conf.eth0.rp_filter = 0

Ребята, подскажите, что где обновить\заменить? Не удается завести:
client:
Linux ubuntu 4.2.0-16-generic #19-Ubuntu i686
go version go1.5.1 linux/386
govpn-4.0

server:
Linux 3.19.0-31-generic #36~14.04.1-Ubuntu i686
go version go1.5.1 linux/386
govpn-4.0

Сгенерил айди, поднял сервер: govpn-server -bind *.*.*.*:9999 -mtu 1472 -proto tcp
main.go:88: Server started

Подключаюсь клиентом
govpn-client -key client -id ID -iface tap10 -remote *.*.*.*:9999 -proto tcp -mtu 1472

с обеих сторон вижу:
client: tcp.go:83: Handshake completed
server: tcp.go:92: Peer handshake finished

на сервере 172.16.100.1/24
на клиенте 172.16.100.2/24

Соединение поднялось, все ок.
Пытаюсь с клиента ping 172.16.100.1 и сразу получаю:

*************

panic: runtime error: invalid memory address or nil pointer dereference
[signal 0xb code=0x1 addr=0x0 pc=0x81424dc]
goroutine 11 [running]:
sync/atomic.AddUint64(0x1865e1ec, 0x1a, 0x0, 0x5c8, 0x186110a0)
    /usr/lib/go/src/sync/atomic/asm_386.s:112 +0xc
govpn.(*Peer).EthProcess(0x1865e140, 0x0, 0x0, 0x0)
    /home/test/govpn-4.0/src/govpn/peer.go:228 +0x836
main.handleTCP.func1(0x18626440, 0x18626448)
    /home/test/govpn-4.0/src/govpn/cmd/govpn-client/tcp.go:98 +0xea
created by main.handleTCP
    /home/test/govpn-4.0/src/govpn/cmd/govpn-client/tcp.go:107 +0x1350

goroutine 1 [select]:
main.main()
    /home/test/govpn-4.0/src/govpn/cmd/govpn-client/main.go:123 +0x1097

goroutine 17 [syscall, locked to thread]:
runtime.goexit()
    /usr/lib/go/src/runtime/asm_386.s:1662 +0x1

goroutine 5 [syscall]:
os/signal.loop()
    /usr/lib/go/src/os/signal/signal_unix.go:22 +0x1a
created by os/signal.init.1
    /usr/lib/go/src/os/signal/signal_unix.go:28 +0x36

goroutine 6 [syscall]:
syscall.Syscall(0x3, 0x3, 0x18612c00, 0x5a6, 0x0, 0x0, 0x0)
    /usr/lib/go/src/syscall/asm_linux_386.s:16 +0x5
syscall.read(0x3, 0x18612c00, 0x5a6, 0x5a6, 0x0, 0x0, 0x0)
    /usr/lib/go/src/syscall/zsyscall_linux_386.go:783 +0x4f
syscall.Read(0x3, 0x18612c00, 0x5a6, 0x5a6, 0x0, 0x0, 0x0)
    /usr/lib/go/src/syscall/syscall_unix.go:160 +0x45
os.(*File).read(0x18626410, 0x18612c00, 0x5a6, 0x5a6, 0x0, 0x0, 0x0)
    /usr/lib/go/src/os/file_unix.go:211 +0x4a
os.(*File).Read(0x18626410, 0x18612c00, 0x5a6, 0x5a6, 0x0, 0x0, 0x0)
    /usr/lib/go/src/os/file.go:95 +0x6f
github.com/bigeagle/water.(*Interface).Read(0x1860eb30, 0x18612c00, 0x5a6, 0x5a6, 0x0, 0x0, 0x0)
    /home/test/govpn-4.0/src/github.com/bigeagle/water/if.go:69 +0x48
govpn.NewTAP.func1(0x186163c0)
    /home/test/govpn-4.0/src/govpn/tap.go:74 +0x7f
created by govpn.NewTAP
    /home/test/govpn-4.0/src/govpn/tap.go:80 +0x1f7

goroutine 7 [select, locked to thread]:
runtime.gopark(0x8383f14, 0x18624f8c, 0x830ba58, 0x6, 0x846ac18, 0x2)
    /usr/lib/go/src/runtime/proc.go:185 +0x12d
runtime.selectgoImpl(0x18624f8c, 0x0, 0xc)
    /usr/lib/go/src/runtime/select.go:392 +0x9ee
runtime.selectgo(0x18624f8c)
    /usr/lib/go/src/runtime/select.go:212 +0xf
runtime.ensureSigM.func1()
    /usr/lib/go/src/runtime/signal1_unix.go:227 +0x2f9
runtime.goexit()
    /usr/lib/go/src/runtime/asm_386.s:1662 +0x1

goroutine 8 [IO wait]:
net.runtime_pollWait(0xb6af4580, 0x72, 0x1860e0c0)
    /usr/lib/go/src/runtime/netpoll.go:157 +0x55
net.(*pollDesc).Wait(0x1864a6b8, 0x72, 0x0, 0x0)
    /usr/lib/go/src/net/fd_poll_runtime.go:73 +0x35
net.(*pollDesc).WaitRead(0x1864a6b8, 0x0, 0x0)
    /usr/lib/go/src/net/fd_poll_runtime.go:78 +0x33
net.(*netFD).Read(0x1864a680, 0x18613200, 0x5c0, 0x5c0, 0x0, 0xb6aef030, 0x1860e0c0)
    /usr/lib/go/src/net/fd_unix.go:232 +0x19a
net.(*conn).Read(0x18626430, 0x18613200, 0x5c0, 0x5c0, 0x846aa60, 0x0, 0x0)
    /usr/lib/go/src/net/net.go:172 +0xb9
main.handleTCP(0x18626430, 0x1864a580, 0x1864a5c0, 0x1864a600)
    /home/test/govpn-4.0/src/govpn/cmd/govpn-client/tcp.go:134 +0x5ac
main.startTCP(0x1864a580, 0x1864a5c0, 0x1864a600)
    /home/test/govpn-4.0/src/govpn/cmd/govpn-client/tcp.go:41 +0x375
created by main.main
    /home/test/govpn-4.0/src/govpn/cmd/govpn-client/main.go:118 +0x10ba

Ситуация: дома поднят сервер на Debian, на роутере прокинуты до него 80-й и 22-й порты, у провайдера получен "белый" IP.
При попытке подключиться к серверу через ssh соединение рвется через 3-5 секунд: "server unexpectedly closed network connection".
При этом подключение по локальному ip происходит без проблем.
Подскажите, пожалуйста, в чем может быть причина?

Помнится, ещё в centos 6 было всё просто - у меня уже есть файл с правилами, его я закидывал в etc/sysconfig/iptables, заменяя содержимое, и после ребута правила подхватывались, всё работало.
Теперь же, на 7-ом centos, такое не работает, в принципе не могу понять, после перезагрузки сервера какие-то другие правила вылазят, которые блочат весь доступ к машине.
Приходится после ребута ручками делать
iptables-restore < /etc/sysconfig/iptables
iptables-save

Откуда они вообще берутся, с какого конфиг-файла, не могу понять?

Добрый вечер, коллеги!

На Ubuntu14.04 установлен Postfix+Amavis-new как front-end(релэй) перед Exchange2013, спам помечает корректно но удалять его не хочет. Вопрос такой, почему?

Выдержка из 20-debian_defaults:

$log_recip_templ = undef;    # disable by-recipient level-0 log entries
$DO_SYSLOG = 2;              # log via syslogd (preferred)
$syslog_ident = 'amavis';    # syslog ident tag, prepended to all messages
$syslog_facility = 'mail';
$syslog_priority = 'debug';  # switch to info to drop debug output, etc

$enable_db = 1;              # enable use of BerkeleyDB/libdb (SNMP and nanny)
$enable_global_cache = 1;    # enable use of libdb-based cache if $enable_db=1
$nanny_details_level = 2;    # nanny verbosity: 1: traditional, 2: detailed

$inet_socket_port = 10024;   # default listening socket

$sa_spam_subject_tag = '***SPAM*** ';
$sa_spam_modifies_subj = 1;
$sa_tag_level_deflt  = -999;  # add spam info headers if at, or above that level
$sa_tag2_level_deflt = 4.31; # add 'spam detected' headers at that level
$sa_kill_level_deflt = 6.31; # triggers spam evasive actions
$sa_dsn_cutoff_level = 10;   # spam level beyond which a DSN is not sent, normaly 10

$sa_mail_body_size_limit = 200*1024; # don't waste time on SA if mail is larger
$sa_local_tests_only = 0;    # only tests which do not require internet access?

# Quota limits to avoid bombs (like 42.zip)

$MAXLEVELS = 10;
$MAXFILES = 500;
$MIN_EXPANSION_QUOTA =      100*1024;  # bytes
$MAX_EXPANSION_QUOTA = 300*1024*1024;  # bytes

$final_virus_destiny      = D_DISCARD;  # (data not lost, see virus quarantine)
$final_banned_destiny     = D_DISCARD;   # D_REJECT when front-end MTA
$final_spam_destiny       = D_DISCARD;
$final_virus_destiny      = D_DISCARD;  # (data not lost, see virus quarantine)
$final_banned_destiny     = D_DISCARD;   # D_REJECT when front-end MTA
$final_spam_destiny       = D_DISCARD;
$final_bad_header_destiny = D_DISCARD;     # False-positive prone (for spam)
$final_bad_header_destiny = D_DISCARD;     # False-positive prone (for spam)

Заголовок письма кот. был передан на Exchange:

Oct 15 17:09:49 --- postfix/smtpd[22616]: 55FEF215DA: client=wobosm03.netvigator.com[219.76.95.119]
Oct 15 17:09:49 --- postfix/cleanup[22617]: 55FEF215DA: message-id=<B9BC0A595286A96AB6B3FA70E48F90D4@thxeqmxs>
Oct 15 17:09:49 exchange03 postfix/qmgr[19836]: 55FEF215DA: from=<lendakxga@molenda.com>, size=2608, nrcpt=1 (queue active)
Oct 15 17:09:59 --- amavis[22563]: (22563-06) Passed SPAMMY {RelayedTaggedInbound}, [219.76.95.119]:42325 [5.165.23.71] <lendakxga@molenda.com> -> <my@domain>, Queue-ID: 55FEF215DA, Message-ID: <B9BC0A595286A96AB6B3FA70E48F90D4@thxeqmxs>, mail_id: E0VjFCB2riFC, Hits: 10.385, size: 2606, queued_as: 619BD215DB, 9775 ms
Oct 15 17:09:59 --- postfix/smtp[22618]: 55FEF215DA: to=<my@domain>, relay=127.0.0.1[127.0.0.1]:10024, delay=12, delays=2.3/0/0/9.8, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 619BD215DB)
Oct 15 17:09:59 --- postfix/qmgr[19836]: 55FEF215DA: removed

Здравствуйте.
Подскажите, у меня домашний сервер на centos, Linux version 3.10.0-123.20.1.el7.x86_64.
Открыт в интернет, подключен через домашний роутер, на нём висят несколько сайтов.
Постоянно долбят его извне, что я вижу при входе на него через putty -
"There were 2298 failed login attempts since the last successful login."
И это за ~3 часа!
Как узнать, каким образом долбят, по каким портам и закрыть?
Из-за этого сервер периодически падает, помогает только кнопка reset, и еще мне кажется что также из-за этого забивается свободное место в корневом разделе каким-то образом, это вторая большая проблема, из-за неё в итоге потом сервисы не запускаются самые необходимые типа mysqld!
/dev/mapper/centos-root     59G          59G   25M          100% /
И тоже не могу понять и найти, где и чем забивается место в связи с этим если....?
Логами? /var/log смотрел, она немного места занимает...

Прошу прощение за потраченное время у тех кто ответит на мой вопрос.
В течении нескольких недель гуглил простой ответ на свою задачу, но как оказалось даже простые ответы требуют хуть какого-то понимания,которым я не обладаю.
Задача:
есть локальная сеть - 192.168.0.0/24
есть dd-wrt-роутер - 192.168.0.1 (все правила в iptables по умолчанию)
в интернет роутер выходит через pppoe
есть удаленный хост - apache.no-ip.biz
Нужно заставить запросы для портов(80/443/8080)из локальной сети на любой внешний адрес отправлять на удаленный хост.
Есть конечно еще задачка как в dd-wrt настроить cron чтобы потом периодически включать правила iptables, но мне кажется это лучше спросить в другом месте.

Буквально на коленях прошу копипасту команд для iptables которая позволит реализовать задачу, из того что успел почитать, понял что задача тривиальная и решается буквально в 4 строчки, но увы сам никак не могу сложить 2+2, уж простите дурака. Нужно что-то типо:"ипитаблес создай правило 1-м в цепочке для исходящих относительно интерфейса ппп0 или сети по портам 80,8080,443 адресованных в 0.0.0.0/0 переадресовывать хосту"  

Доброго времени суток. Пытаюсь создать почтовый сервер на FreeBsd10.2. Установил perl5.22, openssl, mysql55-server и пытаюсь поставить Cyrus-SASL. Однако вот что получается
# cd /usr/ports/security/cyrus-sasl2/
# setenv WITHOUT_NTLM yes
# setenv WITH_MYSQL yes
# setenv WITHOUT_OTP yes
# make install clean
===>  Patching for cyrus-sasl-2.1.26_9
===>   cyrus-sasl-2.1.26_9 depends on file: /usr/local/bin/perl5.22.0 - found
===>  Applying FreeBSD patches for cyrus-sasl-2.1.26_9
Ignoring previously applied (or reversed) patch.
10 out of 10 hunks ignored--saving rejects to configure.rej
=> Patch patch-configure failed to apply cleanly.
*** Error code 1

Stop.
make[1]: stopped in /usr/ports/security/cyrus-sasl2
*** Error code 1

Stop.
make: stopped in /usr/ports/security/cyrus-sasl2

В чем причина проблемы? Заранее спасибо.

Доброго времени суток.
У меня возникла проблема при генерации мультидоменного сертификата. Сертификат, который подписан моим CA (установленным и в firefox и в Windows) не принимается новыми версиями Firefox, начиная с Firefox 25 и старше. Обычный сертификат, принимается на ура, но стоит добавить в него секцию subjectAltName как он отвергается с абсолютно бредовой ошибкой.
Покачто экспериментирую с программным роутером на Kerio, который может быть доступен по нескольким адресам, а позже собираюсь подписать почтовик, к которому обращаются множество клиентов с Thunderbird, причем обращаться могут как по IP так и по имени (за VPN бывают проблемы с DNS).
Подскажите - это проблема Firefox, или я создаю кривой сертификат?
Скрин ошибки, корневой и мультидоменный сертификат можете посмотреть на Ya-диске https://yadi.sk/d/nGmnBOZviYpr9

root@tau:/home/user# traceroute 10.0.0.2
traceroute to 10.0.0.2 (10.0.0.2), 30 hops max, 60 byte packets
1  192.168.0.5 (192.168.0.5)  0.240 ms  0.305 ms  0.354 ms
2  77-247-211-129.ural-net.ru (77.247.211.129)  1.323 ms  1.354 ms  1.390 ms
3  77-247-208-82.ural-net.ru (77.247.208.82)  1.739 ms  1.761 ms  1.786 ms
4  195.239.7.25 (195.239.7.25)  3.077 ms  3.101 ms  3.126 ms
5  195.218.128.54 (195.218.128.54)  30.829 ms  30.977 ms  31.003 ms
6  79.104.226.84 (79.104.226.84)  28.579 ms  27.598 ms  27.568 ms
7  p1.samara.gldn.net (79.104.230.69)  27.785 ms  28.134 ms  28.347 ms
8  p1.saratov.gldn.net (79.104.226.217)  40.005 ms  40.003 ms  39.989 ms
9  p1.volgograd.gldn.net (79.104.226.17)  38.443 ms  38.391 ms  38.270 ms
10  10.0.0.2 (10.0.0.2)  36.749 ms  38.095 ms  37.484 ms

Не пью вроде. lol Как думаете в чём дело?

Добрый день!
Cистема CentOs_6.5_x64.
Есть сайт который работает то на http то на https, это зависит от ряда причин.
Хотелось бы что бы при доступе на https://site.ru и на  http://site.ru доступ всегда осуществлялся, как такое организовать при помощи iptables?
Само приложение запущенно на 8000 порту, но это не существенно, можно запустить на любом другом порту.
Сейчас попробовал так:
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8000
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8000
iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 8000 -j MARK --set-mark 1
iptables -I INPUT  -i eth0 -m mark --mark 1 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 8000 -j ACCEPT
При таком раскладе имею доступ на https, на 80 порт доступа нет.

Переношу сайт с хостинга на ВПС. Там поставил Ubuntu. На хостинге стоял сертификат. Что надо поставить, как настроить и в итоге перенести? Подскажите, пожалуйста

На сервере работает фреймворк Yii. Какие права необходимо задавать папкам assets и runtime? Я задал обоим папкам права 777, это позволяет Yii создавать и удалять файлы в этих папках. Но я уверен, что так делать не правильно. Помогите разобраться с этим вопросом.

Пишу
useradd -D -s /bin/false
Получают
useradd -D => SHELL=/bin/sh

Здравствуйте!

Настроил сервер под управлением FreeBSD84, настроил squid. Все прекрасно
работает, но вот почту в обход сквида на 25 smtp и 995 pop SSL-TLS никак не хочет отправлять, сразу оговорюсь - dns на контроллере домена, который также имеет выход в Интернет(пока что) уже 2-ую неделю бьюсь - не получается пока...

ядро собрал со следующими опциями:
options   IPFIREWALL
options   IPFIREWALL_VERBOSE
options   IPFIREWALL_VERBOSE_LIMIT=1000
options   IPFIREWALL_FORWARD
options   DUMMYNET
options   HZ=1000
options   IPDIVERT
#----------------------------------------
rc.conf

hostname="proxy-server"
ifconfig_igb1="inet a.b.c.d netmask 255.255.255.128" #внешний ip
defaultrouter="a.b.c.1"
gateway_enable="yes"

#---         NAT         ---

natd_enable="yes"
natd_interface="igb1"
natd_flags="-m -u"

#---                     ---

ifconfig_igb0="inet 192.168.0.1 netmask 255.255.255.0"
keymap="us.unix"
firewall_enable="yes"
firewall_type="/etc/Firewall"
sshd_enable="yes"
squid_enable="YES"
#-----------------------------------------------------
Firewall
#-----------------
igb0 - LAN (вн.сеть)
igb1 - WAN (Интернет)
a.b.c.d - внешний ip-адрес (на igb1)
#-----------------

-q flush
-f flush
-f pipe flush
-f queue flush

5    add    check-state
10    add    allow ip from any to any via lo0
20    add    deny ip from any to 127.0.0.0/8
30    add    deny ip from 127.0.0.0/8 to any
45    add    allow ip from any to any established  #включил и сеть стала подтормаживать

47    add    allow icmp from 192.168.0.0/24 to any keep-state
48    add    allow ip from 192.168.0.0/24 to any 25 out via igb1 setup keep-state
49    add    allow ip from 192.168.0.0/24 to any 995 out via igb1 setup keep-state

400    add    deny ip from any to ::1
500    add    deny ip from ::1 to any

550    add    deny ip from me to any 137-139,445 out via igb1
1000    add    allow ip from 192.168.0.0/24 to any out via igb1 keep-state

#1200    add    deny ip from any to 10.0.0.0/8 in via igb1     #пока выключил
1300    add    deny ip from any to 172.16.0.0/12 in via igb1
#1400    add    deny ip from any to 192.168.0.0/16 in via igb1  #пока выключил
#1500    add    deny ip from any to 0.0.0.0/8 in via igb1     #пока выключил

#-----рубим пакеты `типа от внутренней сети, но на внешнем интерфейсе------
1555    add    deny ip from 192.168.0.0/24 to any in via igb1.

# -----------------------------------------------------------------------

1600    add    deny ip from any to 169.254.0.0/16 in via igb1
1650    add    deny ip from any to 224.0.0.0/8 in via igb1
1700    add    deny ip from any to 240.0.0.0/8 in via igb1
1800    add    deny icmp from any to any frag

#----------------- И еще одна попытка открыть почту через НАТ -------------------
1810    add    allow tcp from any to any 25 via igb1
1820    add    allow tcp from any 25 to any via igb1

#----------------Рубим 80 и 443 порты----------------------------------------
1850    add deny tcp from 192.168.0.0/24 to any 80 out via igb1     #только через proxy
1860    add deny tcp from 192.168.0.0/24 to any 443 out via igb1 #только через proxy

1900    add deny log icmp from any to 255.255.255.255 in via igb1
2000    add deny log icmp from any to 255.255.255.255 out via igb1

#------------------------ NAT---------------------------------------
2150    add divert natd ip from any to any via igb1
#2200    add divert 8668 ip from any to 192.168.0.0/24 in via igb1 #другой варинат ната
#---------------------------и еще раз почта---------------------------
#2202    add allow ip from any to any 25
#2203    add allow ip from any to any 995

# ---------------------- Еще одна попытка заставить заработать почту --------

#2220    add pass tcp from any 25, 995 to 192.168.0.0/24 via igb1
#2230    nat pass on igb1 from 192.168.0.0/24 to any port 25 -> igb1

#--------- Рубим трафик к частным сетям-----------------------------
#2300    add deny ip from 10.0.0.0/8 to any out via igb1     #пока выключил
2400    add deny ip from 172.16.0.0/16 to any out via igb1
#2500    add deny ip from 192.168.0.0/16 to any out via igb1    #пока выключил
#2600    add deny ip from 0.0.0.0/8 to any out via igb1        #пока выключил
2700    add deny ip from 169.254.0.0/16 to any out via igb1
2800    add deny ip from 224.0.0.0/4 to any out via igb1
2900    add deny ip from 240.0.0.0/4 to any out via igb1

3000    add allow ip from any to any established
3100    add allow ip from me to any out xmit igb1 keep-state
#--------------------DNS--------------------------------------------
3150    add allow udp from 192.168.0.0/24 to 8.8.8.8 53 out via igb1 keep-state
3300    add allow udp from 8.8.8.8 53 to 192.168.0.0/24 in via igb1 established
3400    add allow udp from 192.168.0.0/24 to any 53 out via igb1
#--------------------TIME-------------------------------------------
3500    add allow udp from any to any 123 via igb1
#---------------------FTP-------------------------------------------
3600    add allow tcp from any to any 20,21 out via igb1

3700    add allow tcp from any to a.b.c.d 49152-65535 via igb1
3800    add allow icmp from any to any icmptypes 0,8,11
#3810    add allow icmp from any to any out via igb1 icmptypes 0,8,11 setup keep-state
# 3850    add deny icmp from any to a.b.c.d in via igb1
3900    add allow tcp from any to a.b.c.d ssh via igb1

3910    add allow ip from any to 192.168.0.0/24 in via igb0
3920    add allow ip from 192.168.0.0/24 to any out via igb0
3930    add allow ip from any to any established

3950     add allow ip from any to any via igb0
# 3960    add allow tcp from any to any via igb0
# 3970    add allow udp from any to any via igb0
# 3980  add allow icmp from any to any via igb0

#----------------------------ICQ-----------------------------------------
#9000    add allow tcp from 192.168.0.0/24 to any 5190 in via igb0 setup

10000    add deny log tcp from any to a.b.c.d in via igb1 setup
65530    add deny log ip from any to any

GURUs I need your HELP, парни помогите!!!

У меня стоит suexec. Натолкнулся на информацию об apache2-mpm-itk. И возник у меня вопрос, а надо ли мне его устанавливать, если у меня уже стоит suexec? И если да, то для чего? В чем между ними разница?

И в довесок если не сложно, может подскажите, на что обратить внимания для безопасности. Знаю информации много, но уже устал перечитывать одно и тоже, причем везде чего-то да не хватает. Хотелось бы все и сразу в одном месте.

   Здравствуйте, помогите пожалуйста, у меня проблема с OpenVPN'ом, который настроен на Windows. Долго лет администрирую OpenVPN на Linux, не имею почти никаких проблем. Не зря, оказывается этот проект в основном рассчитан на Linux. Короче, понадобилась по разным причинам настроить его на DOS-подобие и настроил на Windows. Понятно, что на Windows --topology p2p не будет функционировать, а /30 нормально будет работать. Но я хотел настроить --topology subnet и на офф. сайте не написано о невозможности такой настройки на Windows и логично это должно работать. Но когда клиенты подключаются, они все только один IP берут и когда один подключается другой отваливается. Например, сервер берет 192.168.1.1/24, а клиенты только 192.168.1.2/24. Помогите пожалуйста, может эта проблема типична для Windows(или это не от системы, а в настройках ошибка) или вообще я что-то не правильно делаю...не знаю. Дайте пожалуйста направлении, поиск в интернете почти ничего не дал.

server.conf
===========

tls-server
local X.X.X.X
port 1194
proto udp
topology subnet
server 192.168.1.0 255.255.255.0
dev tun
tun-mtu 1500
dh C:\\openvpn\\ssl\\dh1024.pem
ca C:\\openvpn\\ssl\\ca.crt
cert C:\\openvpn\\ssl\\1.crt
key C:\\openvpn\\ssl\\1.key
persist-key
persist-tun
keepalive 10 120
comp-lzo
auth-nocache
verb 3
status C:\\openvpn\\log\\openvpn-status.log
log-append C:\\openvpn\\log\\openvpn.log
mute 20
max-clients 100

client.conf
===========

client
dev tun
proto udp
remote X.X.X.X 1194
topology subnet
tun-mtu 1500
resolv-retry infinite
nobind
persist-key
persist-tun
keepalive 10 120
ca "С:\\Program Files\\OpenVPN\\config\\keys\\ca.crt"
cert "С:\\Program Files\\OpenVPN\\config\\keys\\2.crt"
key "С:\\Program Files\\OpenVPN\\config\\keys\\2.key"
ns-cert-type server
comp-lzo
verb 3
win-sys env
route-method exe
route-delay 2

OpenVPN + vtun.

Приветствую.

Необходимо поднять двойной впн на Centos, но не openvpn-openvpn, а openvpn-vtun (тот vtun что http://vtun.sourceforge.net/) Т.е. схема: клиент -- опенвпн --> сервер1 -- vtun --> сервер2. В то время как vtun локака работает (все пингуется ок) и опенвпн клиенты приконектившись попадают в openvpn локалку, не знаю как сделать так чтобы все пакеты что приходят от опенвпн-вин-клиентов выходили на втором сервере. Тоесть понимаю что нужно гдето роутинг добавить, маскарадинг, но где именно и как , пробую и не получается. Если кто-то поможет разобраться буду премного благодарен.

Более детально:

Форвардинг пакетов на обоих серваках включен (в /etc/sysctl.conf)

Сервер1 (openvpn демон и vtun клиент)

Конфиг openvpn:

port 1194
local SERVER1_IP
proto udp
dev tun0
server 10.0.1.0 255.255.255.0
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
cipher AES-256-CBC
user nobody
group nobody
status openvpnserver-status.log
log-append openvpnserver.log
verb 3
max-clients 30
keepalive 10 120
tls-server
comp-lzo
persist-key
persist-tun
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"

Конфиг vtun клиента:

options
{
    port 10000;
    syslog daemon;
    ifconfig /sbin/ifconfig;
    route /sbin/route;
    ip /sbin/ip;
    firewall /sbin/iptables;
}

client1
{
    passwd testpassword;
    type tun;
    persist yes;

    up
    {
        ifconfig "%% 10.1.0.2 pointopoint 10.1.0.3 mtu 1450";
        route "add -net 1.2.3.4/16 gw 10.1.0.3";
    };

    down
    {
        ifconfig "%% down";
    };
}

Т.е. на сервер1 после запуска openvpn и vtun_client имеем:  tun0 (openvpn) с адресом 10.0.1.1 и tun1 (vtun) с адресом 10.1.0.2.

Таблица роутинга при этом выглядит так:

[root@localhost]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.1.0.3        *               255.255.255.255 UH    0      0        0 tun1
10.0.1.2        *               255.255.255.255 UH    0      0        0 tun0
10.0.1.0        10.0.1.2        255.255.255.0   UG    0      0        0 tun0
SERV1_NET.0     *               255.255.240.0   U     0      0        0 eth0
link-local      *               255.255.0.0     U     1002   0        0 eth0
default         SERV1_NET.1     0.0.0.0         UG    0      0        0 eth0

iptables полностью чистый, ната нет, маскарадинга нет.

Сервер2 (vtun_server):

options
{
    port 10000;
    syslog daemon;
    ifconfig /sbin/ifconfig;
    route /sbin/route;
    ip /sbin/ip;
    firewall /sbin/iptables;
}

default
{
    compress lzo:9;
    speed 0;
}

client1
{
    passwd testpassword;
    type tun;
    proto udp;
    encrypt aes256ofb;
    keepalive yes;

    up
    {
        ifconfig "%% 10.1.0.3 pointopoint 10.1.0.2 mtu 1450";
        firewall "-t nat -A POSTROUTING -s 10.1.0.2 -j MASQUERADE";
    };

    down
    {
        firewall "-t nat -F";
        ifconfig "%% down";
    };
}

Соответсвенно на сервер2 после запуска vtun_server имеем tun0 (vtun) с адресом 10.1.0.3

таблица роутинга:

[root@localhost]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.1.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
SERV2_NET.0     0.0.0.0         255.255.255.192 U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth0
0.0.0.0         SERV2_NET.62      0.0.0.0         UG    0      0        0 eth0

iptables:

[root@hosted-by vtund]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.1.0.2             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@hosted-by vtund]#

Пробую приконектится с вин клиентом к сервер1 по опенвпн : все соединяется, но tracert 11.11.11.11 выдает:

C:\> tracert  11.11.11.11
Tracing route to 11.11.11.11 over a maximum of 30 hops

  1    80 ms    81 ms    99 ms  10.0.1.1
  2     *        *        *     Request timed out.
  3     *        *        *     Request timed out.

Тоесть после впн адреса ничто никуда не идет. А нужно чтобы все шло на vtun сеть и оттуда выходило в инет.  Я так понимаю должно быть чтото типа такого по итогу когда трэйсить буду с винды:

  1    80 ms    81 ms    99 ms  10.0.1.1
  2    80 ms    81 ms    99 ms  10.1.0.2
  3    80 ms    81 ms    99 ms  10.1.0.3

ну и тд

Уверен что намудрено с руитингом и маскарадингом в втун конфигах (и скорей всего не достаточно вообще сделано), кто поможет буду признателен. Тоесть нужно пакеты с опенвпн сетки, передавать в втун сетку, и там уже выход-маскарадинг.

Спасибо.

Пытаюсь разобраться с ЦП. "Очень надо" именно ECDSA.

# ssh-keygen -t ecdsa -b 2048 -C "123"
unknown key type ecdsa

Суппорт хостера сообщил, что стабильной версии нет.
Существует ли автономная утилита или скрипт? Производительность не нужна, так что подойдёт "любой bash". Лишь бы не переустанавливать систему.

Спасибо

Доброе время суток коллеги!
Есть необходимость создания пула серверов доступа на OpenVPN. Из подопытных Centos и Mikrotik. Не взирая на ограничения микротика по openvpn его вполне достаточно и работает вполне достойно. Траблы возникли на центосе, а именно:
На микротике авторизация происходит по логину и паролю + сертификаты. Как на центосе это сделать не смог найти. От сюда выплывает проблема. Юзера авторизуясь по одним сертификатам начинают выталкивать друг друга.

вот конфиг

# cat /etc/openvpn/server.conf
local X.X.X.X
port 1194
proto tcp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
server 192.168.90.0 255.255.255.0
ifconfig-pool-persist "/etc/openvpn/ipp.txt"
keepalive 10 120
persist-key
persist-tun
comp-lzo
max-clients 25
user nobody
group nobody
status "/var/log/openvpn-status.log"
log "/var/log/openvpn.log"
log-append "/var/log/openvpn.log"
verb 3

Для одного клиента всё работает на ура. Когда два и более полный швах. Клиентам при том раздаются разные адреса.

Добрый день.
Задача открыть доступ к ресурсу на определенном порту конкретным ip-адресам.
Есть такие правила:
1 -A INPUT -s 192.168.63.36/32 -i eth0 -p tcp -m tcp --dport 9001 -j ACCEPT
2 -A INPUT -s 192.168.62.11/32 -i eth0 -p tcp -m tcp --dport 9001 -j ACCEPT
3 -A INPUT -i eth0 -p tcp -m tcp --dport 9001 -j DROP.

Все замечательно работает. Вопрос как открыть доступ для компьютеров, работающих по vpn через tun -подключение?

   Здравствуйте,я хотел уточнить для себя работы DNAT(NETMAP). Вопрос такой, пакет будет пробрасыватся, только если изначальный(исходный) адрес назначения или сеть назначения будет принадлежать тому хосту где фильтрация идет, другими словами говоря, на хосте котором пакет будет DNAT или NETMAP'ится соответственно или необязательно чтобы изначальный адрес назначения соответствовал с адресами шлюза(фильтрующего хоста). Например, адреса шлюза:

   1. 192.168.0.1/24
   2. 192.168.1.1/24

1. Пакет пришел к шлюзу и в заголовке указано: 192.168.0.6(source) и 192.168.0.1(destination). В таком случаи, понятно пакет пробрасывается на хост допустим 192.168.1.8(можно еще пакет SNAT'ить, ну это сейчас не важно).
2. Если в пакете указан, как адрес назначения 172.19.1.9(не лежит в адресном пространстве сетей, которых шлюз обслуживает), он будет ли DNAT'ится или iptables не учитывает такой вариант например по инфо. безопасности и будет уничтожат такой пакет, считая что такой пакет не подлежит к DNAT. Может по безопасности это по default отключено и это где-то можно включить при необходимости, например в ядро(netfilter). Вот поэтому я хотел уточнить для себя все это. Заранее всем спасибо!

P.S.
Я это проверил, но у меня не получилось, может я что-то не правильно делаю или такое нельзя осуществить.

Доброе время суток!
Победив свои железяки, подняв IPSEC туннели -> в них GRE, а в нем OSPF было уже приготовился пить чай с пряником. Как меня расстроил момент по высокой загруженности процессоров на железяках и что называется не работой не на полную катушку сети через VPN. Почему не на полную и загруженность - понятно. ШИФРОВАНИЕ. кушает как слон.
Железки Mikrotik RB c процами по 600 в разогнаном состоянии 750 MHz. К слову все работает на УРА. Ширина канала от провайдера ниже чем выдают данные железки через выше описанную конфигурацию, но тем не менее для себя хочется узнать как можно потюнить сею конструкцию. Бывалые - поделитесь опытом или мнением.

Доброе время суток уважаемые коллеги!
Столкнулся я с такой, для себя, не тривиальной проблемой. Есть VDS у FIRSTVDS(не для рекламы) работающий в KVM. В контейнере крутится Centos. Стоит задача к этому Centos по IPSEC прикрутить ряд географически разнесенных офисов. В офисах стоят Zywall'ы. Из этого и вытекает что надо использовать IPSEC, так как эти чудные железки ни чего больше не умеют. Уже почти неделю бьюсь над этой задачей. Перепробовал кучу рецептов и примеров настройки. Но чует мое сердце что оплот зла кроется в другом.

Openswan был выбран случайно, так как Centos именно его пропагандирует, убран из своих репозиториев racoon входящий в состав ipsec-tools. Приступим:
Процедуры по редактированию  /etc/sysctl.conf были произведены

net.ipv4.ip_forward = 1 # разрешить пересылку пакетов между интерфейсами
net.ipv4.conf.all.send_redirects = 0 # отключаем icmp redirect
net.ipv4.conf.all.accept_redirects = 0 # отключаем icmp redirect
net.ipv4.conf.default.send_redirects = 0 # отключаем icmp redirect
net.ipv4.conf.default.accept_redirects = 0 # отключаем icmp redirect

В фаерволе порты открыты

iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 50 -j ACCEPT

На Centos'e ни каких виртуальных интерфейсов нет, поэтому в настойках ipsec.conf

left=1.1.1.1 # Указываем внешний ip адрес
leftsubnet=1.1.1.1/32 # указываем внутреннюю подсеть
У второй стороны все как подобает
right=2.2.2.2
rightsubnet=10.1.1.0/24
Авторизация по паролю
/etc/ipsec.secrets
2.2.2.2  1.1.1.1: PSK "pre_shared_key"
esp=des-sha1
ike=des-sha1-modp1024

В общем все достаточно стандартно, но туннель не поднимается. А самое интересное что при настройки туннели перестают возможными пинги со второй стороны. Как только удаляешь настройки туннеля, пинги снова идут.

Помогите разобраться с данным вопросом. Есть подозрения что моя концепция по решению данного вопроса не верна и есть более верный и простой способ

Пытаюсь настроить канал с офисами. вот конф сервера:
port 1194
proto udp
dev tun
ca /etc/ssl/ca-cert.pem
cert /etc/ssl/sys-0-cert.pem
key /etc/ssl/private/sys-0-key.pem
dh /etc/ssl/dh1024.pem
server  192.168.6.0 255.255.255.0
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
ifconfig-pool-persist /var/lib/openvpn/ipp.txt
status /var/lib/openvpn/openvpn-status.log
verb 3
route 192.168.4.0 255.255.255.0
route 192.168.5.0 255.255.255.0
plugin /usr/share/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/auth-ldap
push "dhcp-option DNS 192.168.3.105"
push "dhcp-option WINS 192.168.3.105"
push "dhcp-option DOMAIN myapteka.com"
push "route 192.168.3.0 255.255.255.0"

Вот конфиг клиента
client
remote (ip адрес сервера белый) 1194
dev tun
proto udp
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca-cert.pem
cert client-rob-cert.pem
key client-rob-key.pem
ns-cert-type server
comp-lzo
verb 3
auth-user-pass

Соединяется но пишет ошибку:
Mon Apr 06 11:53:50 2015 VERIFY ERROR: depth=1, error=certificate has expired: O=org, OU=Krasnodar, emailAddress=security@mail.com, L=Krasnodar, ST=Krasnodar, C=RU, CN=ca.mail.com
Mon Apr 06 11:53:50 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Mon Apr 06 11:53:50 2015 TLS Error: TLS object -> incoming plaintext read error
Mon Apr 06 11:53:50 2015 TLS Error: TLS handshake failed
Mon Apr 06 11:53:50 2015 SIGUSR1[soft,tls-error] received, process restarting
Mon Apr 06 11:53:50 2015 MANAGEMENT: >STATE:1428306830,RECONNECTING,tls-error,,
Mon Apr 06 11:53:50 2015 Restart pause, 2 second(s)
Mon Apr 06 11:53:52 2015 SIGTERM[hard,init_instance] received, process exiting
Mon Apr 06 11:53:52 2015 MANAGEMENT: >STATE:1428306832,EXITING,init_instance,,

Где проблема?

Добрый день!

Мои сотрудники с почтовыми аккаунтами на mail.ru стали получать спам, рассылаемый по непонятной технологии. Спамерские письма очень похожи по стилю, шрифту, цвету шрифта и рекламируют ресурсы сети. Хочется понять, какую технологию на этот раз используют спамеры. Собственно, текст писем однозначно определяется web сервисом mail.ru, как спамерское и не принимается сервисом, поэтому утверждать, что адреса жертв записаны в поле CC или BCC нельзя. Служебные заголовки писем отличаются именами и IP адресами отправителей и имеют такой вид:

---------------
Return-path: <>
Authentication-Results: mxs.mail.ru; spf=softfail (mx124.mail.ru: transitioning domain of ok.ru does not designate 92.63.98.102 as permitted sender) smtp.mailfrom=numeral@ok.ru smtp.helo=ok.ru;
     dkim=invalid reason=pubkey_unavailable header.i=ok.ru
Received-SPF: softfail (mx124.mail.ru: transitioning domain of ok.ru does not designate 92.63.98.102 as permitted sender) client-ip=92.63.98.102; envelope-from=numeral@ok.ru; helo=ok.ru;
Received: from [92.63.98.102] (port=5846 helo=ok.ru)
    by mx124.mail.ru with esmtp (envelope-from <numeral@ok.ru>)
    id XXXX-000XX-9Q
    for xxxxxxxxx@mail.ru; Thu, 26 Feb 2015 19:15:28 +0300
X-Mru-BL: 0:0
X-Mru-BadRcptsCount: 0
X-Mru-PTR: ok.ru
X-Mru-NR: 1
X-Mru-OF: Linux (Ethernet or modem)
X-Mru-RC: RU
Message-ID: <XXXXXXXXXXXXXXXXXX@aocfad>
From: =?windows-1251?B?wPHl6/w=?= <numeral@ok.ru>
To: <xxxxxxxx@mail.ru>
Subject: =?windows-1251?B?x+Tw4OLx8uLz6fLlIQ==?=
Date: Thu, 26 Feb 2015 19:15:26 +0300
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_0161_01D051F8.93DB33A0"
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Windows Live Mail 15.4.3538.513
X-MimeOLE: Produced By Microsoft MimeOLE V15.4.3538.513
DKIM-Signature: v=1; a=rsa-sha256; d=ok.ru; s=ok.ru;
    c=relaxed/relaxed; t=1424967326;
    h=message-id:from:to:subject:date:mime-version;
    bh=Q3lu5W1SBJrz5yyPEcaEBGvYSjJ59WIpKT5WLOIpeKI=;
    b=vOrl0YyLUefGBLF03BsgzT2oMdsn4EYwg61dKy+K0vxwTaJ/rQ22PXYHSvoKLj
    ZmommriS3ccP3JMRXaqODLOEokz7FGkIGBYO7dfXtVKkqNUEADj/8SZY1auP0qiV
    /4Nxw7k9CyLtmhklQdDE5oWdYPjjon/pzp5YIOLj8n7Cw=
X-DMARC-Policy: no
X-Magic: B5322EEFE1B8DBD117AF280FEB11A656723C07A698D06FF021F3BD94E72BFD30
X-Mras: SPAM
X-Mru-Authenticated-Sender: numeral@ok.ru
X-Spam: undefined

Имеется закрытый ключ, сертификат публичного ключа и цыпочка сертификатов корневой промежуточный и клиентский в cer формате. Как из этого всего правильно создать подпись посредством OpenSSL?

Друзья выручайте.

Ситуация такая: Поменял материнскую плату на Убунту сервер. Все заработало кроме проброса портов, которые работают как то не так как нужно.

На сервере настроен NAT, на натом стоит сервер с RDP, на него делался проброс портов.

Делалось это так:

sudo iptables -A FORWARD -i eth0 -p tcp --dport 3389 -j ACCEPT
sudo iptables -t nat -A PREROUTING -p tcp -d 123.123.123.123 --dport 3389 -j DNAT --to-destination 192.168.0.100:3389
sudo iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.100 --dport 3389 -j SNAT --to-source 123.123.123.123

Теперь ситуация такая что если из под нат постучаться на внешний адрес 123.123.123.123 и порт 3389 то все работает. А если сделать это снаружи то нет.

Если запустить tcpdump и послушать - то при подключении изнутри пакеты бегают, а при подключении снаружи запрос проиходит и далее во внутрь нет.

14:56:26.793428 IP 46.211.146.228.18598 > 123.123.123.123.3389: Flags [S], seq 1191622352, win 65535, options [mss 1410,nop,wscale 4,nop,nop,TS val 193727049 ecr 0,sackOK,eol], length 0

Подобную тему тут на форуме поднимал пользователь, но решения нет. Но ему написали интересное замечание, какое касается видно и меня.

Ему написали:

"> -A FORWARD -i eth0 -p tcp -m tcp --dport 8000 -j ACCEPT

но в форварде нет разрешающего правила , которое бы разрешало трафик извне на внутренний ip/порт"

У меня такое же правило судя по iptables-save:

# Generated by iptables-save v1.4.21 on Sun Mar 22 15:01:20 2015
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -m state --state NEW -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1234 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2345 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -p udp -m udp --sport 1701 -j ACCEPT
-A FORWARD -i eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p gre -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Sun Mar 22 15:01:20 2015
# Generated by iptables-save v1.4.21 on Sun Mar 22 15:01:20 2015
*mangle
:PREROUTING ACCEPT [1164363:1182988541]
:INPUT ACCEPT [1120962:1154843012]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [568929:549337025]
:POSTROUTING ACCEPT [612457:577497932]
-A FORWARD -j ACCEPT
COMMIT
# Completed on Sun Mar 22 15:01:20 2015
# Generated by iptables-save v1.4.21 on Sun Mar 22 15:01:20 2015
*nat
:PREROUTING ACCEPT [61:7854]
:INPUT ACCEPT [61:7854]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d 123.123.123.123/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.100:3389
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -d 192.168.0.100/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 123.123.123.123
COMMIT
# Completed on Sun Mar 22 15:01:20 2015

Друзья выручайте.

Ситуация наверно стандартная необходимо пробросить порт 3389!
на прокси (freeBsd стоит на виртуальной машине) есть две сетевые карточки
1я Соединена с модемом Zyxel  роутером ip 100.100.100.xx em1
2я Соединена с локальной сетью 10.30.182.xx
пытался делать проброс .. вначале не видел портов потом на модеме создал виртуальный сервер указав ip em1 появился порт но соединение осуществляеся только на em1 а проброса на другой сервер не получается
подскажите можно ли настроить?
выкладываю конфиг PF  

ext_if = "em1"
int_if = "em0"
tcp_services = "{ ssh, smtp, domain, http, https, 1723, 3128, 3389 }"
ftp_ports = "{ ftp, ftp-data }"
udp_services = "{ domain, ntp, 1723 }"
icmp_types="{ echoreg, unreach}"
#
nat on $ext_if from $int_if:network to any -> ($ext_if:0)
#rdr on $ext_if proto tcp from any to 100.100.100.30 port 3389 -> 10.30.182.100 port 3389
#$rdr on $int_if proto tcp from any to $int_if port 80 -> 127.0.0.1 port 3128

set skip on lo0


block in all
pass quick inet proto gre to any keep state

pass quick inet proto {tcp,udp} from any to any port $ftp_ports keep state
pass quick inet proto {tcp,udp} from any to any port > 18000 keep state

pass quick inet proto udp to any port $udp_services keep state
pass quick inet proto tcp to any port $tcp_services keep state
pass quick inet proto icmp from any to any

pass out on $ext_if inet proto udp from any to any port 33433 >< 33626 keep state


block in log all