Добрый день!
Есть несколько удаленных серверов, с туннелями openvpn с ип:
192.168.0.1
192.168.0.2
и т.д.

Есть локальные сервера, куда приходят эти туннели с ип:
192.168.10.1
192.168.10.2
192.168.10.3

и к локальным серверам подключенными компьютеры, ип:
192.168.11.1
192.168.11.2
и т.д.

настроен оспф между сервера и компьютерами
далее мне необходимо трафик с компьютера, средствами iptables, с форвардить на нужный удаленный сервер

например на компе 192.168.11.1 ip route
192.168.0.1  proto zebra  metric 30
    nexthop via 192.168.10.1  dev eth0 weight 1
    nexthop via 192.168.10.2  dev eth0 weight 1
    nexthop via 192.168.10.3  dev eth0 weight 1
192.168.0.2  proto zebra  metric 60
    nexthop via 192.168.10.1  dev eth0 weight 1
    nexthop via 192.168.10.2  dev eth0 weight 1
    nexthop via 192.168.10.3  dev eth0 weight 1
и т.д.

если формулировать в правилах ipfw, то мне нужен аналог:
ipfw add fwd 192.168.0.1 all from 192.168.11.1 to any
весь трафик с компа 192.168.11.1 направить на 192.168.0.1 через маршрут полученный по оспф

заранее, большое спасибо за помощь!

Всем привет
Установил вручную методом make install в систему openssl.
как правильно указать системе месторасположение новоустановленной openssl в каталоге /usr/local/ssl?
В системе по умолчанию была установлена штатная openssl и базируется она в /usr/lib/ssl
в результате система использует штатную, а новую нет.
спасибо.

Столкнулся с проблемой модуля GEOIP.
Скачал свежие базы, скомпилировал их, ну и запустил правило -m geoip ! --src-cc PL,BG,GB,BY,MD,LV,KZ,UA,RU -j LOG
Большинство захваченных пакетов пришли с UA,RU, хотя их по идеи не должно быть вовсе.
Проверил csv файл на наличие данных ip, там все в порядке, страны правильно размечены.
OC debian 6

Куда копать?

Вот пример, поймало 176.108.15.211 (UA), но в csv с которого я компилировал запись есть
"176.108.0.0","176.108.31.255","2959867904","2959876095","UA","Ukraine"

Добрый день!

Случайно заметил проблемы с подключением к почтовому и веб серверу.
Сразу отмечу, что проблема не массовая, просто один из провайдеров перестал подключатся:
Начал смотреть и вот такая картина. Чтобы это могло значить и что делать ??

19:12:27.653356 IP 10.10.13.142.53 > 141.196.133.126.33307: 2841 9/4/2 TXT "v=spf1 mx mx:mail.turkey.com -all", TXT "v=spf1 ip:223.197.214.34 mx ~all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-59.awsdns-07.com., NS ns-1844.awsdns-38.co.uk., NS ns-1211.awsdns-23.org., NS ns-948.awsdns-54.net. (436)
19:12:27.665166 IP 176.89.118.167.54532 > 10.10.13.142.53: 54379+ [1au] ANY? nic.tr. (35)
19:12:27.665204 IP 176.89.118.167.54532 > 10.10.13.142.53: 54379+ [1au] ANY? nic.tr. (35)
19:12:27.677041 IP 106.185.54.216.61825 > 10.10.13.142.53: 13780+ [1au] ANY? freeinfosys.com. (52)
19:12:27.677267 IP 10.10.13.142.53 > 106.185.54.216.61825: 13780 13/2/3 TXT "To be current, these rules must also build on the lessons of the past. For almost a century, our law has recognized that companies who connect you to the world have special obligations not to exploit the monopoly they enjoy over access in and out of your " "home or business. That is why a phone call from a customer of one phone company can reliably reach a customer of a different one, and why you will not be penalized solely for calling someone who is using another provider. It is common sense that the same " "philosophy should guide any service that is based on the transmission of information", TXT "porations, and that access to a high school student's blog shouldn't be unfairly slowed down to make way for advertisers with more money", TXT[|domain]
19:12:27.680153 IP 176.90.184.64.27732 > 10.10.13.142.53: 17587+ [1au] ANY? turkey.com. (39)
19:12:27.680370 IP 10.10.13.142.53 > 176.90.184.64.27732: 17587 9/4/2 TXT "v=spf1 mx mx:mail.turkey.com -all", TXT "v=spf1 ip:223.197.214.34 mx ~all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-948.awsdns-54.net., NS ns-59.awsdns-07.com., NS ns-1844.awsdns-38.co.uk., NS ns-1211.awsdns-23.org. (436)
19:12:27.695061 IP 176.90.54.153.17907 > 10.10.13.142.53: 25480+ [1au] ANY? turkey.com. (39)
19:12:27.695309 IP 10.10.13.142.53 > 176.90.54.153.17907: 25480 9/4/2 TXT "v=spf1 ip:223.197.214.34 mx ~all", TXT "v=spf1 mx mx:mail.turkey.com -all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-59.awsdns-07.com., NS ns-1844.awsdns-38.co.uk., NS ns-948.awsdns-54.net., NS ns-1211.awsdns-23.org. (436)
19:12:27.716309 IP 141.196.62.163.19907 > 10.10.13.142.53: 45970+ [1au] ANY? turkey.com. (39)
19:12:27.716348 IP 176.88.222.74.47457 > 10.10.13.142.53: 4498+ [1au] ANY? turkey.com. (39)
19:12:27.716575 IP 10.10.13.142.53 > 141.196.62.163.19907: 45970 9/4/2 TXT "v=spf1 mx mx:mail.turkey.com -all", TXT "v=spf1 ip:223.197.214.34 mx ~all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-1211.awsdns-23.org., NS ns-948.awsdns-54.net., NS ns-1844.awsdns-38.co.uk., NS ns-59.awsdns-07.com. (436)
19:12:27.716646 IP 10.10.13.142.53 > 176.88.222.74.47457: 4498 9/4/2 TXT "v=spf1 ip:223.197.214.34 mx ~all", TXT "v=spf1 mx mx:mail.turkey.com -all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-1211.awsdns-23.org., NS ns-59.awsdns-07.com., NS ns-1844.awsdns-38.co.uk., NS ns-948.awsdns-54.net. (436)
19:12:27.718177 IP 176.90.120.60.51907 > 10.10.13.142.53: 54234+ [1au] ANY? nic.tr. (35)
19:12:27.718213 IP 176.88.194.160.35307 > 10.10.13.142.53: 39823+ [1au] ANY? turkey.com. (39)
19:12:27.718454 IP 10.10.13.142.53 > 176.88.194.160.35307: 39823 9/4/2 TXT "v=spf1 ip:223.197.214.34 mx ~all", TXT "v=spf1 mx mx:mail.turkey.com -all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-1844.awsdns-38.co.uk., NS ns-59.awsdns-07.com., NS ns-948.awsdns-54.net., NS ns-1211.awsdns-23.org. (436)
19:12:27.721047 IP 176.88.163.231.32807 > 10.10.13.142.53: 38781+ [1au] ANY? turkey.com. (39)
19:12:27.721293 IP 10.10.13.142.53 > 176.88.163.231.32807: 38781 9/4/2 TXT "v=spf1 ip:223.197.214.34 mx ~all", TXT "v=spf1 mx mx:mail.turkey.com -all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-1844.awsdns-38.co.uk., NS ns-1211.awsdns-23.org., NS ns-59.awsdns-07.com., NS ns-948.awsdns-54.net. (436)
19:12:27.723292 IP 176.90.119.244.23057 > 10.10.13.142.53: 309+ [1au] ANY? turkey.com. (39)
19:12:27.723540 IP 10.10.13.142.53 > 176.90.119.244.23057: 309 9/4/2 TXT "v=spf1 ip:223.197.214.34 mx ~all", TXT "v=spf1 mx mx:mail.turkey.com -all", MX mail.turkey.com. 10, SOA, A 52.8.252.171, NS ns-1844.awsdns-38.co.uk., NS ns-59.awsdns-07.com., NS ns-948.awsdns-54.net., NS ns-1211.awsdns-23.org. (436)
19:12:27.732345 IP 176.88.174.93.18132 > 10.10.13.142.53: 1061+ [1au] ANY? turkey.com. (39)
19:12:27.732379 IP 176.89.151.195.24657 > 10.10.13.142.53: 16646+ [1au] ANY? turkey.com. (39)
19:21:41.033750 IP 10.10.13.142.53 > 5.45.92.57.38367: 51111 13/2/3 TXT "That's what President Obama believes, and what he means when he says there should be no gatekeepers between you and your favorite online sites and services", TXT "That's a principle known as  net neutrality    and it says that an entrepreneur's fledgling company should have the same chance to succeed as established cor", TXT "When I was a can didate for this office, I made clear my commitment to a free and open Internet, and my commitment remains as strong as ever. Four years ago, the FCC tried to implement rules that would protect net neutrality with little to no impact on th" "e telecommunications companies that make important investments in our economy. After the rules were challenged, the court reviewing the rules agreed with the FCC that net neutrality was essential for preserving an environment that encourages new investmen" "t in the network, new online services and content, and everything else that makes up the Internet as we now know it. Unfortunately, the court ultimately struck down the rules   not because it disagreed with the need to protect net neutrality, but because " "it believed the FCC had taken the wrong legal approach", TXT "porations, and that access to a high school student's blog shouldn't be unfairly slowed down to make way for advertisers with more money", TXT[|domain]

Фря. В какой то момент я начал задумываться, а как хостеры делят ресурсы на виртуальном хостинге? Дают тебе процент cpu ? Процент загрузки сети? Памяти, режут скорость к диску. В шеле дают только определенный набор команд?
Jail ?
По своему патченое ядро?
Поиск в инете - да! Но единая картина что то не собирается. Может к хостеру на работу наняться? Так сказать разведать тайны?

Подскажите кто что знает?

неправильно тема назвалась...

ОС Debian 8
допустим у юзера стоит /bin/false или /usr/sbin/nologin
но система запускает бинарники, которые принадлежат юзеру
Как ему запретить делать через его бинарники cat /etc/passwd и всё такое (ГЛОБАЛЬНО, типа chroot, а не по одному файлу права снимать) ?

например есть /etc/security/limits.conf, который работает через pam_limits.so, который присутствует в /etc/pam.d/login и sshd (что ограничивает область его действий на момент авторизации).
Там есть chroot в т.ч., но только на время сессии, если дело было через авторизацию и юзер вошёл, а если запускала сторонняя прога от имени юзера, то как быть?
И я кстати почему то не могу залогиниться с такой записью:
test1           -       chroot          /home/test1
пишет "/bin/bash: No such file or directory"
хотя я этот баш куда только не копировал и как только не менял chsh
сейчас он в /home/test1/bin/bash

Мне надо ограничить группу одной ключевой дирой /home например, чтобы файлы, запускающиеся от имени группы, не могли выйти дальше /home

Моя машина с СentOS 6.5 находиться между 2мя сетями...задача расшарить WEB сервер для интернета.
http://joxi.ru/KAgoREVCgnxELA
Шлюз по умолчанию 12.10.10.1
Маршрут в сеть 10.10.10.0/24 добавлен
Правило iptables
-A PREROUTING -p tcp -m tcp --dport 81 -j DNAT --to-destination 10.10.10.100:80
-A POSTROUTING -d 10.10.10.100/32 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.0.1
смотрю tcpdump ....запрос на интерфейс 12.10.10.8 приходит....дальше тишина

p.s. может ли iptable вообще пробрасывать не в свою сеть а за шлюз?

Добрый день! Есть такая схемка:

client -> proxy:5060 -> server:5060

Приложение клиента общается с proxy:tcp:5060. Прокси работает прозрачно, используя TPROXY (реализовано через haproxy), т.е. он берёт IP:PORT клиента, и при пересылке пакетов на server, подставляет их как SOURCE. Сервер видит, что отправитель пакетов - client, и отправляет пакеты на client:IP:PORT, НО cо своим адресом в поле SOURCE (server:tcp:5060), следовательно, клиент не сможет обработать эти сообщения, т.к. он ждёт ответа от proxy:tcp:5060. И поэтому я хочу научить сервер подставлять в поле SOURCE ip адрес proxy сервера (proxy:tcp:5060)

Добавляю правило:

# Generated by iptables-save v1.3.5 on Thu Nov  5 14:38:24 2015
*mangle
:PREROUTING ACCEPT [710363:567027885]
:INPUT ACCEPT [704372:566539955]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [753088:91182712]
:POSTROUTING ACCEPT [753309:91198200]
COMMIT
# Completed on Thu Nov  5 14:38:24 2015
# Generated by iptables-save v1.3.5 on Thu Nov  5 14:38:24 2015
*nat
:PREROUTING ACCEPT [24883:1646686]
:POSTROUTING ACCEPT [4320:257154]
:OUTPUT ACCEPT [4146:245907]
-A POSTROUTING -j SNAT --to-source 1.1.1.1 
COMMIT
# Completed on Thu Nov  5 14:38:24 2015
# Generated by iptables-save v1.3.5 on Thu Nov  5 14:38:24 2015
*filter
:INPUT ACCEPT [2499922263:423836859984]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2652526754:403919398770]
COMMIT
# Completed on Thu Nov  5 14:38:24 2015

Проверяю, локальные пакеты натятся:

14:37:14.149450 IP 1.1.1.1 > 8.8.8.8: ICMP echo request, id 55064, seq 1, length 64
14:37:15.149680 IP 1.1.1.1 > 8.8.8.8: ICMP echo request, id 55064, seq 2, length 6

Но для приложения, сервер всё равно отвечает со своим адресом:

14:39:35.172003 IP 192.168.55.55.46390 > 192.168.100.246.sip: S 2735509705:2735509705(0) win 29200 <mss 1460,sackOK,timestamp 154932215 0,nop,wscale 7>
14:39:35.172142 IP 192.168.100.246.sip > 192.168.55.55.46390: S 2647903661:2647903661(0) ack 2735509706 win 5792 <mss 1460,sackOK,timestamp 3733232086 154932215,nop,wscale 7>
14:39:35.172689 IP 192.168.55.55.46390 > 192.168.100.246.sip: R 2735509706:2735509706(0) win 0

 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 0a:c3:4a:44:3e:bb brd ff:ff:ff:ff:ff:ff
    inet 192.168.216.246/30 brd 192.168.106.247 scope global eth0
    inet 192.168.110.159/32 scope global eth0
    inet6 fe80::8c3:4aff:fe44:3ebb/64 scope link 
       valid_lft forever preferred_lft forever

Добавляю логирование для цепочки nat и не вижу чтобы пакеты попадали в POSTROUTING:

mangle PREROUTING: IN=eth0 OUT= SRC=192.168.55.55 DST=192.168.100.246 LEN=60 TOS=0x18 PREC=0xA0 TTL=61 ID=31487 DF PROTO=TCP SPT=48328 DPT=5060 WINDOW=29200 RES=0x00 SYN URGP=0 
nat PREROUTING: IN=eth0 OUT= SRC=192.168.55.55 DST=192.168.100.246 LEN=60 TOS=0x18 PREC=0xA0 TTL=61 ID=31487 DF PROTO=TCP SPT=48328 DPT=5060 WINDOW=29200 RES=0x00 SYN URGP=0 
mangle OUTPUT: IN= OUT=eth0 SRC=192.168.100.246 DST=192.168.55.55 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=5060 DPT=48328 WINDOW=5792 RES=0x00 ACK SYN URGP=0 
mangle POSTROUTING: IN= OUT=eth0 SRC=192.168.100.246 DST=192.168.55.55 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=5060 DPT=48328 WINDOW=5792 RES=0x00 ACK SYN URGP=0 
mangle PREROUTING: IN=eth0 OUT= SRC=192.168.55.55 DST=192.168.100.246 LEN=40 TOS=0x18 PREC=0xA0 TTL=63 ID=50715 DF PROTO=TCP SPT=48328 DPT=5060 WINDOW=0 RES=0x00 RST URGP=0 

# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
# sysctl net.ipv4.conf.eth0.rp_filter
net.ipv4.conf.eth0.rp_filter = 0

Ребята, подскажите, что где обновить\заменить? Не удается завести:
client:
Linux ubuntu 4.2.0-16-generic #19-Ubuntu i686
go version go1.5.1 linux/386
govpn-4.0

server:
Linux 3.19.0-31-generic #36~14.04.1-Ubuntu i686
go version go1.5.1 linux/386
govpn-4.0

Сгенерил айди, поднял сервер: govpn-server -bind *.*.*.*:9999 -mtu 1472 -proto tcp
main.go:88: Server started

Подключаюсь клиентом
govpn-client -key client -id ID -iface tap10 -remote *.*.*.*:9999 -proto tcp -mtu 1472

с обеих сторон вижу:
client: tcp.go:83: Handshake completed
server: tcp.go:92: Peer handshake finished

на сервере 172.16.100.1/24
на клиенте 172.16.100.2/24

Соединение поднялось, все ок.
Пытаюсь с клиента ping 172.16.100.1 и сразу получаю:

*************

panic: runtime error: invalid memory address or nil pointer dereference
[signal 0xb code=0x1 addr=0x0 pc=0x81424dc]
goroutine 11 [running]:
sync/atomic.AddUint64(0x1865e1ec, 0x1a, 0x0, 0x5c8, 0x186110a0)
    /usr/lib/go/src/sync/atomic/asm_386.s:112 +0xc
govpn.(*Peer).EthProcess(0x1865e140, 0x0, 0x0, 0x0)
    /home/test/govpn-4.0/src/govpn/peer.go:228 +0x836
main.handleTCP.func1(0x18626440, 0x18626448)
    /home/test/govpn-4.0/src/govpn/cmd/govpn-client/tcp.go:98 +0xea
created by main.handleTCP
    /home/test/govpn-4.0/src/govpn/cmd/govpn-client/tcp.go:107 +0x1350

goroutine 1 [select]:
main.main()
    /home/test/govpn-4.0/src/govpn/cmd/govpn-client/main.go:123 +0x1097

goroutine 17 [syscall, locked to thread]:
runtime.goexit()
    /usr/lib/go/src/runtime/asm_386.s:1662 +0x1

goroutine 5 [syscall]:
os/signal.loop()
    /usr/lib/go/src/os/signal/signal_unix.go:22 +0x1a
created by os/signal.init.1
    /usr/lib/go/src/os/signal/signal_unix.go:28 +0x36

goroutine 6 [syscall]:
syscall.Syscall(0x3, 0x3, 0x18612c00, 0x5a6, 0x0, 0x0, 0x0)
    /usr/lib/go/src/syscall/asm_linux_386.s:16 +0x5
syscall.read(0x3, 0x18612c00, 0x5a6, 0x5a6, 0x0, 0x0, 0x0)
    /usr/lib/go/src/syscall/zsyscall_linux_386.go:783 +0x4f
syscall.Read(0x3, 0x18612c00, 0x5a6, 0x5a6, 0x0, 0x0, 0x0)
    /usr/lib/go/src/syscall/syscall_unix.go:160 +0x45
os.(*File).read(0x18626410, 0x18612c00, 0x5a6, 0x5a6, 0x0, 0x0, 0x0)
    /usr/lib/go/src/os/file_unix.go:211 +0x4a
os.(*File).Read(0x18626410, 0x18612c00, 0x5a6, 0x5a6, 0x0, 0x0, 0x0)
    /usr/lib/go/src/os/file.go:95 +0x6f
github.com/bigeagle/water.(*Interface).Read(0x1860eb30, 0x18612c00, 0x5a6, 0x5a6, 0x0, 0x0, 0x0)
    /home/test/govpn-4.0/src/github.com/bigeagle/water/if.go:69 +0x48
govpn.NewTAP.func1(0x186163c0)
    /home/test/govpn-4.0/src/govpn/tap.go:74 +0x7f
created by govpn.NewTAP
    /home/test/govpn-4.0/src/govpn/tap.go:80 +0x1f7

goroutine 7 [select, locked to thread]:
runtime.gopark(0x8383f14, 0x18624f8c, 0x830ba58, 0x6, 0x846ac18, 0x2)
    /usr/lib/go/src/runtime/proc.go:185 +0x12d
runtime.selectgoImpl(0x18624f8c, 0x0, 0xc)
    /usr/lib/go/src/runtime/select.go:392 +0x9ee
runtime.selectgo(0x18624f8c)
    /usr/lib/go/src/runtime/select.go:212 +0xf
runtime.ensureSigM.func1()
    /usr/lib/go/src/runtime/signal1_unix.go:227 +0x2f9
runtime.goexit()
    /usr/lib/go/src/runtime/asm_386.s:1662 +0x1

goroutine 8 [IO wait]:
net.runtime_pollWait(0xb6af4580, 0x72, 0x1860e0c0)
    /usr/lib/go/src/runtime/netpoll.go:157 +0x55
net.(*pollDesc).Wait(0x1864a6b8, 0x72, 0x0, 0x0)
    /usr/lib/go/src/net/fd_poll_runtime.go:73 +0x35
net.(*pollDesc).WaitRead(0x1864a6b8, 0x0, 0x0)
    /usr/lib/go/src/net/fd_poll_runtime.go:78 +0x33
net.(*netFD).Read(0x1864a680, 0x18613200, 0x5c0, 0x5c0, 0x0, 0xb6aef030, 0x1860e0c0)
    /usr/lib/go/src/net/fd_unix.go:232 +0x19a
net.(*conn).Read(0x18626430, 0x18613200, 0x5c0, 0x5c0, 0x846aa60, 0x0, 0x0)
    /usr/lib/go/src/net/net.go:172 +0xb9
main.handleTCP(0x18626430, 0x1864a580, 0x1864a5c0, 0x1864a600)
    /home/test/govpn-4.0/src/govpn/cmd/govpn-client/tcp.go:134 +0x5ac
main.startTCP(0x1864a580, 0x1864a5c0, 0x1864a600)
    /home/test/govpn-4.0/src/govpn/cmd/govpn-client/tcp.go:41 +0x375
created by main.main
    /home/test/govpn-4.0/src/govpn/cmd/govpn-client/main.go:118 +0x10ba

Ситуация: дома поднят сервер на Debian, на роутере прокинуты до него 80-й и 22-й порты, у провайдера получен "белый" IP.
При попытке подключиться к серверу через ssh соединение рвется через 3-5 секунд: "server unexpectedly closed network connection".
При этом подключение по локальному ip происходит без проблем.
Подскажите, пожалуйста, в чем может быть причина?

Помнится, ещё в centos 6 было всё просто - у меня уже есть файл с правилами, его я закидывал в etc/sysconfig/iptables, заменяя содержимое, и после ребута правила подхватывались, всё работало.
Теперь же, на 7-ом centos, такое не работает, в принципе не могу понять, после перезагрузки сервера какие-то другие правила вылазят, которые блочат весь доступ к машине.
Приходится после ребута ручками делать
iptables-restore < /etc/sysconfig/iptables
iptables-save

Откуда они вообще берутся, с какого конфиг-файла, не могу понять?

Добрый вечер, коллеги!

На Ubuntu14.04 установлен Postfix+Amavis-new как front-end(релэй) перед Exchange2013, спам помечает корректно но удалять его не хочет. Вопрос такой, почему?

Выдержка из 20-debian_defaults:

$log_recip_templ = undef;    # disable by-recipient level-0 log entries
$DO_SYSLOG = 2;              # log via syslogd (preferred)
$syslog_ident = 'amavis';    # syslog ident tag, prepended to all messages
$syslog_facility = 'mail';
$syslog_priority = 'debug';  # switch to info to drop debug output, etc

$enable_db = 1;              # enable use of BerkeleyDB/libdb (SNMP and nanny)
$enable_global_cache = 1;    # enable use of libdb-based cache if $enable_db=1
$nanny_details_level = 2;    # nanny verbosity: 1: traditional, 2: detailed

$inet_socket_port = 10024;   # default listening socket

$sa_spam_subject_tag = '***SPAM*** ';
$sa_spam_modifies_subj = 1;
$sa_tag_level_deflt  = -999;  # add spam info headers if at, or above that level
$sa_tag2_level_deflt = 4.31; # add 'spam detected' headers at that level
$sa_kill_level_deflt = 6.31; # triggers spam evasive actions
$sa_dsn_cutoff_level = 10;   # spam level beyond which a DSN is not sent, normaly 10

$sa_mail_body_size_limit = 200*1024; # don't waste time on SA if mail is larger
$sa_local_tests_only = 0;    # only tests which do not require internet access?

# Quota limits to avoid bombs (like 42.zip)

$MAXLEVELS = 10;
$MAXFILES = 500;
$MIN_EXPANSION_QUOTA =      100*1024;  # bytes
$MAX_EXPANSION_QUOTA = 300*1024*1024;  # bytes

$final_virus_destiny      = D_DISCARD;  # (data not lost, see virus quarantine)
$final_banned_destiny     = D_DISCARD;   # D_REJECT when front-end MTA
$final_spam_destiny       = D_DISCARD;
$final_virus_destiny      = D_DISCARD;  # (data not lost, see virus quarantine)
$final_banned_destiny     = D_DISCARD;   # D_REJECT when front-end MTA
$final_spam_destiny       = D_DISCARD;
$final_bad_header_destiny = D_DISCARD;     # False-positive prone (for spam)
$final_bad_header_destiny = D_DISCARD;     # False-positive prone (for spam)

Заголовок письма кот. был передан на Exchange:

Oct 15 17:09:49 --- postfix/smtpd[22616]: 55FEF215DA: client=wobosm03.netvigator.com[219.76.95.119]
Oct 15 17:09:49 --- postfix/cleanup[22617]: 55FEF215DA: message-id=<B9BC0A595286A96AB6B3FA70E48F90D4@thxeqmxs>
Oct 15 17:09:49 exchange03 postfix/qmgr[19836]: 55FEF215DA: from=<lendakxga@molenda.com>, size=2608, nrcpt=1 (queue active)
Oct 15 17:09:59 --- amavis[22563]: (22563-06) Passed SPAMMY {RelayedTaggedInbound}, [219.76.95.119]:42325 [5.165.23.71] <lendakxga@molenda.com> -> <my@domain>, Queue-ID: 55FEF215DA, Message-ID: <B9BC0A595286A96AB6B3FA70E48F90D4@thxeqmxs>, mail_id: E0VjFCB2riFC, Hits: 10.385, size: 2606, queued_as: 619BD215DB, 9775 ms
Oct 15 17:09:59 --- postfix/smtp[22618]: 55FEF215DA: to=<my@domain>, relay=127.0.0.1[127.0.0.1]:10024, delay=12, delays=2.3/0/0/9.8, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 619BD215DB)
Oct 15 17:09:59 --- postfix/qmgr[19836]: 55FEF215DA: removed

Здравствуйте.
Подскажите, у меня домашний сервер на centos, Linux version 3.10.0-123.20.1.el7.x86_64.
Открыт в интернет, подключен через домашний роутер, на нём висят несколько сайтов.
Постоянно долбят его извне, что я вижу при входе на него через putty -
"There were 2298 failed login attempts since the last successful login."
И это за ~3 часа!
Как узнать, каким образом долбят, по каким портам и закрыть?
Из-за этого сервер периодически падает, помогает только кнопка reset, и еще мне кажется что также из-за этого забивается свободное место в корневом разделе каким-то образом, это вторая большая проблема, из-за неё в итоге потом сервисы не запускаются самые необходимые типа mysqld!
/dev/mapper/centos-root     59G          59G   25M          100% /
И тоже не могу понять и найти, где и чем забивается место в связи с этим если....?
Логами? /var/log смотрел, она немного места занимает...

Прошу прощение за потраченное время у тех кто ответит на мой вопрос.
В течении нескольких недель гуглил простой ответ на свою задачу, но как оказалось даже простые ответы требуют хуть какого-то понимания,которым я не обладаю.
Задача:
есть локальная сеть - 192.168.0.0/24
есть dd-wrt-роутер - 192.168.0.1 (все правила в iptables по умолчанию)
в интернет роутер выходит через pppoe
есть удаленный хост - apache.no-ip.biz
Нужно заставить запросы для портов(80/443/8080)из локальной сети на любой внешний адрес отправлять на удаленный хост.
Есть конечно еще задачка как в dd-wrt настроить cron чтобы потом периодически включать правила iptables, но мне кажется это лучше спросить в другом месте.

Буквально на коленях прошу копипасту команд для iptables которая позволит реализовать задачу, из того что успел почитать, понял что задача тривиальная и решается буквально в 4 строчки, но увы сам никак не могу сложить 2+2, уж простите дурака. Нужно что-то типо:"ипитаблес создай правило 1-м в цепочке для исходящих относительно интерфейса ппп0 или сети по портам 80,8080,443 адресованных в 0.0.0.0/0 переадресовывать хосту"  

Доброго времени суток. Пытаюсь создать почтовый сервер на FreeBsd10.2. Установил perl5.22, openssl, mysql55-server и пытаюсь поставить Cyrus-SASL. Однако вот что получается
# cd /usr/ports/security/cyrus-sasl2/
# setenv WITHOUT_NTLM yes
# setenv WITH_MYSQL yes
# setenv WITHOUT_OTP yes
# make install clean
===>  Patching for cyrus-sasl-2.1.26_9
===>   cyrus-sasl-2.1.26_9 depends on file: /usr/local/bin/perl5.22.0 - found
===>  Applying FreeBSD patches for cyrus-sasl-2.1.26_9
Ignoring previously applied (or reversed) patch.
10 out of 10 hunks ignored--saving rejects to configure.rej
=> Patch patch-configure failed to apply cleanly.
*** Error code 1

Stop.
make[1]: stopped in /usr/ports/security/cyrus-sasl2
*** Error code 1

Stop.
make: stopped in /usr/ports/security/cyrus-sasl2

В чем причина проблемы? Заранее спасибо.

Доброго времени суток.
У меня возникла проблема при генерации мультидоменного сертификата. Сертификат, который подписан моим CA (установленным и в firefox и в Windows) не принимается новыми версиями Firefox, начиная с Firefox 25 и старше. Обычный сертификат, принимается на ура, но стоит добавить в него секцию subjectAltName как он отвергается с абсолютно бредовой ошибкой.
Покачто экспериментирую с программным роутером на Kerio, который может быть доступен по нескольким адресам, а позже собираюсь подписать почтовик, к которому обращаются множество клиентов с Thunderbird, причем обращаться могут как по IP так и по имени (за VPN бывают проблемы с DNS).
Подскажите - это проблема Firefox, или я создаю кривой сертификат?
Скрин ошибки, корневой и мультидоменный сертификат можете посмотреть на Ya-диске https://yadi.sk/d/nGmnBOZviYpr9

root@tau:/home/user# traceroute 10.0.0.2
traceroute to 10.0.0.2 (10.0.0.2), 30 hops max, 60 byte packets
1  192.168.0.5 (192.168.0.5)  0.240 ms  0.305 ms  0.354 ms
2  77-247-211-129.ural-net.ru (77.247.211.129)  1.323 ms  1.354 ms  1.390 ms
3  77-247-208-82.ural-net.ru (77.247.208.82)  1.739 ms  1.761 ms  1.786 ms
4  195.239.7.25 (195.239.7.25)  3.077 ms  3.101 ms  3.126 ms
5  195.218.128.54 (195.218.128.54)  30.829 ms  30.977 ms  31.003 ms
6  79.104.226.84 (79.104.226.84)  28.579 ms  27.598 ms  27.568 ms
7  p1.samara.gldn.net (79.104.230.69)  27.785 ms  28.134 ms  28.347 ms
8  p1.saratov.gldn.net (79.104.226.217)  40.005 ms  40.003 ms  39.989 ms
9  p1.volgograd.gldn.net (79.104.226.17)  38.443 ms  38.391 ms  38.270 ms
10  10.0.0.2 (10.0.0.2)  36.749 ms  38.095 ms  37.484 ms

Не пью вроде. lol Как думаете в чём дело?

Добрый день!
Cистема CentOs_6.5_x64.
Есть сайт который работает то на http то на https, это зависит от ряда причин.
Хотелось бы что бы при доступе на https://site.ru и на  http://site.ru доступ всегда осуществлялся, как такое организовать при помощи iptables?
Само приложение запущенно на 8000 порту, но это не существенно, можно запустить на любом другом порту.
Сейчас попробовал так:
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8000
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8000
iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 8000 -j MARK --set-mark 1
iptables -I INPUT  -i eth0 -m mark --mark 1 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 8000 -j ACCEPT
При таком раскладе имею доступ на https, на 80 порт доступа нет.

Переношу сайт с хостинга на ВПС. Там поставил Ubuntu. На хостинге стоял сертификат. Что надо поставить, как настроить и в итоге перенести? Подскажите, пожалуйста

На сервере работает фреймворк Yii. Какие права необходимо задавать папкам assets и runtime? Я задал обоим папкам права 777, это позволяет Yii создавать и удалять файлы в этих папках. Но я уверен, что так делать не правильно. Помогите разобраться с этим вопросом.

Пишу
useradd -D -s /bin/false
Получают
useradd -D => SHELL=/bin/sh

Здравствуйте!

Настроил сервер под управлением FreeBSD84, настроил squid. Все прекрасно
работает, но вот почту в обход сквида на 25 smtp и 995 pop SSL-TLS никак не хочет отправлять, сразу оговорюсь - dns на контроллере домена, который также имеет выход в Интернет(пока что) уже 2-ую неделю бьюсь - не получается пока...

ядро собрал со следующими опциями:
options   IPFIREWALL
options   IPFIREWALL_VERBOSE
options   IPFIREWALL_VERBOSE_LIMIT=1000
options   IPFIREWALL_FORWARD
options   DUMMYNET
options   HZ=1000
options   IPDIVERT
#----------------------------------------
rc.conf

hostname="proxy-server"
ifconfig_igb1="inet a.b.c.d netmask 255.255.255.128" #внешний ip
defaultrouter="a.b.c.1"
gateway_enable="yes"

#---         NAT         ---

natd_enable="yes"
natd_interface="igb1"
natd_flags="-m -u"

#---                     ---

ifconfig_igb0="inet 192.168.0.1 netmask 255.255.255.0"
keymap="us.unix"
firewall_enable="yes"
firewall_type="/etc/Firewall"
sshd_enable="yes"
squid_enable="YES"
#-----------------------------------------------------
Firewall
#-----------------
igb0 - LAN (вн.сеть)
igb1 - WAN (Интернет)
a.b.c.d - внешний ip-адрес (на igb1)
#-----------------

-q flush
-f flush
-f pipe flush
-f queue flush

5    add    check-state
10    add    allow ip from any to any via lo0
20    add    deny ip from any to 127.0.0.0/8
30    add    deny ip from 127.0.0.0/8 to any
45    add    allow ip from any to any established  #включил и сеть стала подтормаживать

47    add    allow icmp from 192.168.0.0/24 to any keep-state
48    add    allow ip from 192.168.0.0/24 to any 25 out via igb1 setup keep-state
49    add    allow ip from 192.168.0.0/24 to any 995 out via igb1 setup keep-state

400    add    deny ip from any to ::1
500    add    deny ip from ::1 to any

550    add    deny ip from me to any 137-139,445 out via igb1
1000    add    allow ip from 192.168.0.0/24 to any out via igb1 keep-state

#1200    add    deny ip from any to 10.0.0.0/8 in via igb1     #пока выключил
1300    add    deny ip from any to 172.16.0.0/12 in via igb1
#1400    add    deny ip from any to 192.168.0.0/16 in via igb1  #пока выключил
#1500    add    deny ip from any to 0.0.0.0/8 in via igb1     #пока выключил

#-----рубим пакеты `типа от внутренней сети, но на внешнем интерфейсе------
1555    add    deny ip from 192.168.0.0/24 to any in via igb1.

# -----------------------------------------------------------------------

1600    add    deny ip from any to 169.254.0.0/16 in via igb1
1650    add    deny ip from any to 224.0.0.0/8 in via igb1
1700    add    deny ip from any to 240.0.0.0/8 in via igb1
1800    add    deny icmp from any to any frag

#----------------- И еще одна попытка открыть почту через НАТ -------------------
1810    add    allow tcp from any to any 25 via igb1
1820    add    allow tcp from any 25 to any via igb1

#----------------Рубим 80 и 443 порты----------------------------------------
1850    add deny tcp from 192.168.0.0/24 to any 80 out via igb1     #только через proxy
1860    add deny tcp from 192.168.0.0/24 to any 443 out via igb1 #только через proxy

1900    add deny log icmp from any to 255.255.255.255 in via igb1
2000    add deny log icmp from any to 255.255.255.255 out via igb1

#------------------------ NAT---------------------------------------
2150    add divert natd ip from any to any via igb1
#2200    add divert 8668 ip from any to 192.168.0.0/24 in via igb1 #другой варинат ната
#---------------------------и еще раз почта---------------------------
#2202    add allow ip from any to any 25
#2203    add allow ip from any to any 995

# ---------------------- Еще одна попытка заставить заработать почту --------

#2220    add pass tcp from any 25, 995 to 192.168.0.0/24 via igb1
#2230    nat pass on igb1 from 192.168.0.0/24 to any port 25 -> igb1

#--------- Рубим трафик к частным сетям-----------------------------
#2300    add deny ip from 10.0.0.0/8 to any out via igb1     #пока выключил
2400    add deny ip from 172.16.0.0/16 to any out via igb1
#2500    add deny ip from 192.168.0.0/16 to any out via igb1    #пока выключил
#2600    add deny ip from 0.0.0.0/8 to any out via igb1        #пока выключил
2700    add deny ip from 169.254.0.0/16 to any out via igb1
2800    add deny ip from 224.0.0.0/4 to any out via igb1
2900    add deny ip from 240.0.0.0/4 to any out via igb1

3000    add allow ip from any to any established
3100    add allow ip from me to any out xmit igb1 keep-state
#--------------------DNS--------------------------------------------
3150    add allow udp from 192.168.0.0/24 to 8.8.8.8 53 out via igb1 keep-state
3300    add allow udp from 8.8.8.8 53 to 192.168.0.0/24 in via igb1 established
3400    add allow udp from 192.168.0.0/24 to any 53 out via igb1
#--------------------TIME-------------------------------------------
3500    add allow udp from any to any 123 via igb1
#---------------------FTP-------------------------------------------
3600    add allow tcp from any to any 20,21 out via igb1

3700    add allow tcp from any to a.b.c.d 49152-65535 via igb1
3800    add allow icmp from any to any icmptypes 0,8,11
#3810    add allow icmp from any to any out via igb1 icmptypes 0,8,11 setup keep-state
# 3850    add deny icmp from any to a.b.c.d in via igb1
3900    add allow tcp from any to a.b.c.d ssh via igb1

3910    add allow ip from any to 192.168.0.0/24 in via igb0
3920    add allow ip from 192.168.0.0/24 to any out via igb0
3930    add allow ip from any to any established

3950     add allow ip from any to any via igb0
# 3960    add allow tcp from any to any via igb0
# 3970    add allow udp from any to any via igb0
# 3980  add allow icmp from any to any via igb0

#----------------------------ICQ-----------------------------------------
#9000    add allow tcp from 192.168.0.0/24 to any 5190 in via igb0 setup

10000    add deny log tcp from any to a.b.c.d in via igb1 setup
65530    add deny log ip from any to any

GURUs I need your HELP, парни помогите!!!

У меня стоит suexec. Натолкнулся на информацию об apache2-mpm-itk. И возник у меня вопрос, а надо ли мне его устанавливать, если у меня уже стоит suexec? И если да, то для чего? В чем между ними разница?

И в довесок если не сложно, может подскажите, на что обратить внимания для безопасности. Знаю информации много, но уже устал перечитывать одно и тоже, причем везде чего-то да не хватает. Хотелось бы все и сразу в одном месте.

   Здравствуйте, помогите пожалуйста, у меня проблема с OpenVPN'ом, который настроен на Windows. Долго лет администрирую OpenVPN на Linux, не имею почти никаких проблем. Не зря, оказывается этот проект в основном рассчитан на Linux. Короче, понадобилась по разным причинам настроить его на DOS-подобие и настроил на Windows. Понятно, что на Windows --topology p2p не будет функционировать, а /30 нормально будет работать. Но я хотел настроить --topology subnet и на офф. сайте не написано о невозможности такой настройки на Windows и логично это должно работать. Но когда клиенты подключаются, они все только один IP берут и когда один подключается другой отваливается. Например, сервер берет 192.168.1.1/24, а клиенты только 192.168.1.2/24. Помогите пожалуйста, может эта проблема типична для Windows(или это не от системы, а в настройках ошибка) или вообще я что-то не правильно делаю...не знаю. Дайте пожалуйста направлении, поиск в интернете почти ничего не дал.

server.conf
===========

tls-server
local X.X.X.X
port 1194
proto udp
topology subnet
server 192.168.1.0 255.255.255.0
dev tun
tun-mtu 1500
dh C:\\openvpn\\ssl\\dh1024.pem
ca C:\\openvpn\\ssl\\ca.crt
cert C:\\openvpn\\ssl\\1.crt
key C:\\openvpn\\ssl\\1.key
persist-key
persist-tun
keepalive 10 120
comp-lzo
auth-nocache
verb 3
status C:\\openvpn\\log\\openvpn-status.log
log-append C:\\openvpn\\log\\openvpn.log
mute 20
max-clients 100

client.conf
===========

client
dev tun
proto udp
remote X.X.X.X 1194
topology subnet
tun-mtu 1500
resolv-retry infinite
nobind
persist-key
persist-tun
keepalive 10 120
ca "С:\\Program Files\\OpenVPN\\config\\keys\\ca.crt"
cert "С:\\Program Files\\OpenVPN\\config\\keys\\2.crt"
key "С:\\Program Files\\OpenVPN\\config\\keys\\2.key"
ns-cert-type server
comp-lzo
verb 3
win-sys env
route-method exe
route-delay 2

OpenVPN + vtun.

Приветствую.

Необходимо поднять двойной впн на Centos, но не openvpn-openvpn, а openvpn-vtun (тот vtun что http://vtun.sourceforge.net/) Т.е. схема: клиент -- опенвпн --> сервер1 -- vtun --> сервер2. В то время как vtun локака работает (все пингуется ок) и опенвпн клиенты приконектившись попадают в openvpn локалку, не знаю как сделать так чтобы все пакеты что приходят от опенвпн-вин-клиентов выходили на втором сервере. Тоесть понимаю что нужно гдето роутинг добавить, маскарадинг, но где именно и как , пробую и не получается. Если кто-то поможет разобраться буду премного благодарен.

Более детально:

Форвардинг пакетов на обоих серваках включен (в /etc/sysctl.conf)

Сервер1 (openvpn демон и vtun клиент)

Конфиг openvpn:

port 1194
local SERVER1_IP
proto udp
dev tun0
server 10.0.1.0 255.255.255.0
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
cipher AES-256-CBC
user nobody
group nobody
status openvpnserver-status.log
log-append openvpnserver.log
verb 3
max-clients 30
keepalive 10 120
tls-server
comp-lzo
persist-key
persist-tun
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"

Конфиг vtun клиента:

options
{
    port 10000;
    syslog daemon;
    ifconfig /sbin/ifconfig;
    route /sbin/route;
    ip /sbin/ip;
    firewall /sbin/iptables;
}

client1
{
    passwd testpassword;
    type tun;
    persist yes;

    up
    {
        ifconfig "%% 10.1.0.2 pointopoint 10.1.0.3 mtu 1450";
        route "add -net 1.2.3.4/16 gw 10.1.0.3";
    };

    down
    {
        ifconfig "%% down";
    };
}

Т.е. на сервер1 после запуска openvpn и vtun_client имеем:  tun0 (openvpn) с адресом 10.0.1.1 и tun1 (vtun) с адресом 10.1.0.2.

Таблица роутинга при этом выглядит так:

[root@localhost]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.1.0.3        *               255.255.255.255 UH    0      0        0 tun1
10.0.1.2        *               255.255.255.255 UH    0      0        0 tun0
10.0.1.0        10.0.1.2        255.255.255.0   UG    0      0        0 tun0
SERV1_NET.0     *               255.255.240.0   U     0      0        0 eth0
link-local      *               255.255.0.0     U     1002   0        0 eth0
default         SERV1_NET.1     0.0.0.0         UG    0      0        0 eth0

iptables полностью чистый, ната нет, маскарадинга нет.

Сервер2 (vtun_server):

options
{
    port 10000;
    syslog daemon;
    ifconfig /sbin/ifconfig;
    route /sbin/route;
    ip /sbin/ip;
    firewall /sbin/iptables;
}

default
{
    compress lzo:9;
    speed 0;
}

client1
{
    passwd testpassword;
    type tun;
    proto udp;
    encrypt aes256ofb;
    keepalive yes;

    up
    {
        ifconfig "%% 10.1.0.3 pointopoint 10.1.0.2 mtu 1450";
        firewall "-t nat -A POSTROUTING -s 10.1.0.2 -j MASQUERADE";
    };

    down
    {
        firewall "-t nat -F";
        ifconfig "%% down";
    };
}

Соответсвенно на сервер2 после запуска vtun_server имеем tun0 (vtun) с адресом 10.1.0.3

таблица роутинга:

[root@localhost]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.1.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
SERV2_NET.0     0.0.0.0         255.255.255.192 U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth0
0.0.0.0         SERV2_NET.62      0.0.0.0         UG    0      0        0 eth0

iptables:

[root@hosted-by vtund]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.1.0.2             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@hosted-by vtund]#

Пробую приконектится с вин клиентом к сервер1 по опенвпн : все соединяется, но tracert 11.11.11.11 выдает:

C:\> tracert  11.11.11.11
Tracing route to 11.11.11.11 over a maximum of 30 hops

  1    80 ms    81 ms    99 ms  10.0.1.1
  2     *        *        *     Request timed out.
  3     *        *        *     Request timed out.

Тоесть после впн адреса ничто никуда не идет. А нужно чтобы все шло на vtun сеть и оттуда выходило в инет.  Я так понимаю должно быть чтото типа такого по итогу когда трэйсить буду с винды:

  1    80 ms    81 ms    99 ms  10.0.1.1
  2    80 ms    81 ms    99 ms  10.1.0.2
  3    80 ms    81 ms    99 ms  10.1.0.3

ну и тд

Уверен что намудрено с руитингом и маскарадингом в втун конфигах (и скорей всего не достаточно вообще сделано), кто поможет буду признателен. Тоесть нужно пакеты с опенвпн сетки, передавать в втун сетку, и там уже выход-маскарадинг.

Спасибо.

Пытаюсь разобраться с ЦП. "Очень надо" именно ECDSA.

# ssh-keygen -t ecdsa -b 2048 -C "123"
unknown key type ecdsa

Суппорт хостера сообщил, что стабильной версии нет.
Существует ли автономная утилита или скрипт? Производительность не нужна, так что подойдёт "любой bash". Лишь бы не переустанавливать систему.

Спасибо

Доброе время суток коллеги!
Есть необходимость создания пула серверов доступа на OpenVPN. Из подопытных Centos и Mikrotik. Не взирая на ограничения микротика по openvpn его вполне достаточно и работает вполне достойно. Траблы возникли на центосе, а именно:
На микротике авторизация происходит по логину и паролю + сертификаты. Как на центосе это сделать не смог найти. От сюда выплывает проблема. Юзера авторизуясь по одним сертификатам начинают выталкивать друг друга.

вот конфиг

# cat /etc/openvpn/server.conf
local X.X.X.X
port 1194
proto tcp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
server 192.168.90.0 255.255.255.0
ifconfig-pool-persist "/etc/openvpn/ipp.txt"
keepalive 10 120
persist-key
persist-tun
comp-lzo
max-clients 25
user nobody
group nobody
status "/var/log/openvpn-status.log"
log "/var/log/openvpn.log"
log-append "/var/log/openvpn.log"
verb 3

Для одного клиента всё работает на ура. Когда два и более полный швах. Клиентам при том раздаются разные адреса.

Добрый день.
Задача открыть доступ к ресурсу на определенном порту конкретным ip-адресам.
Есть такие правила:
1 -A INPUT -s 192.168.63.36/32 -i eth0 -p tcp -m tcp --dport 9001 -j ACCEPT
2 -A INPUT -s 192.168.62.11/32 -i eth0 -p tcp -m tcp --dport 9001 -j ACCEPT
3 -A INPUT -i eth0 -p tcp -m tcp --dport 9001 -j DROP.

Все замечательно работает. Вопрос как открыть доступ для компьютеров, работающих по vpn через tun -подключение?

   Здравствуйте,я хотел уточнить для себя работы DNAT(NETMAP). Вопрос такой, пакет будет пробрасыватся, только если изначальный(исходный) адрес назначения или сеть назначения будет принадлежать тому хосту где фильтрация идет, другими словами говоря, на хосте котором пакет будет DNAT или NETMAP'ится соответственно или необязательно чтобы изначальный адрес назначения соответствовал с адресами шлюза(фильтрующего хоста). Например, адреса шлюза:

   1. 192.168.0.1/24
   2. 192.168.1.1/24

1. Пакет пришел к шлюзу и в заголовке указано: 192.168.0.6(source) и 192.168.0.1(destination). В таком случаи, понятно пакет пробрасывается на хост допустим 192.168.1.8(можно еще пакет SNAT'ить, ну это сейчас не важно).
2. Если в пакете указан, как адрес назначения 172.19.1.9(не лежит в адресном пространстве сетей, которых шлюз обслуживает), он будет ли DNAT'ится или iptables не учитывает такой вариант например по инфо. безопасности и будет уничтожат такой пакет, считая что такой пакет не подлежит к DNAT. Может по безопасности это по default отключено и это где-то можно включить при необходимости, например в ядро(netfilter). Вот поэтому я хотел уточнить для себя все это. Заранее всем спасибо!

P.S.
Я это проверил, но у меня не получилось, может я что-то не правильно делаю или такое нельзя осуществить.