Добрый день.
Помогите внести ясность в ситуацию. Настроен ipsec между двумя хостами Centos и Mikrotik. За хостами подсети. Поднимаю два тунеля.
10.0.0.0.24 <-> mikrotik <----ipsec----> Centos(openswan) <-> 192.168.90.0/24
                                                          <-> ip_host
Первый работает хост - подсеть
Второй подсеть - подсеть
Но факту реально работает только один в случайном порядке. Те при перезапуске openswan или mikrotik трафик начинает реально идти только через один.
Пинг проходит, но такое ощущение что не возвращается обратно.

Вот пример пинга до хоста и подсети с адреса 10.0.0.243

tcpdump icmp
12:02:24.970435 IP 10.0.0.243 > ip_host: ICMP echo request, id 54597, seq 1576, length 64
12:02:25.273338 IP 10.0.0.243 > 192.168.90.6: ICMP echo request, id 60229, seq 1545, length 64
12:02:25.970431 IP 10.0.0.243 > ip_host: ICMP echo request, id 54597, seq 1577, length 64
12:02:26.273310 IP 10.0.0.243 > 192.168.90.6: ICMP echo request, id 60229, seq 1546, length 64

вот пример конфига openswan

conn ipsec
   authby=secret
   auto=start
   ikelifetime=86400s
   ike=3des-sha1-modp1024
   aggrmode=no
   ## phase 1 ##
   keyexchange=ike
   ## phase 2 ##
   keylife=86400s
   phase2=esp
   phase2alg=3des-sha1
   compress=no
   pfs=yes
   type=tunnel
   left=ip_host
   #leftsourceip=ip_host
   leftsubnets={ip_host/32 192.168.90.0/24}
   leftnexthop=%defaultroute
   ## for direct routing ##
   right=ip_mikrotik
   rightsubnets={10.0.0.0/24}

Истина где то рядом, но где???

Всем добрый день!
Пожалуйста хотелось бы посоветоваться, как сделать правильно.
Есть IPTABLES + GeoIP.
Хочу запретить входящие от всех стран кроме скажем 2х RU,UA. Но в довесок разрешить почту от "всех стран". И вот в почте, то затык.
Вариант первый без почты...
iptables -A INPUT ! -i lo -m geoip ! --source-country UA,RU -j DROP

Решил добавить разрешение для почты
iptables -A INPUT ! -i lo -p tcp -m multiport ! --dports 25,110,995,143,993 -m geoip ! --source-country UA,RU -j DROP
Вот где тут косяк? Почта с того же GMAIL не приходит. Да и с mail.ru тоже.?

столкнулся с такой непоняткой:
документация утверждает, что надо так:
iptables -A INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
обычные люди про conntrack не знают и привыкли так:
iptables -A INPUT -m state --state NEW -p tcp ! SYN,RST,ACK,FIN SYN -j DROP
в общем и целом оно работает, НО! через ~ минуту бездействия подвисает и потом приходится ждать, пока дойдёт новое соединение и сессия отвиснет.
может и не отвиснуть.
я это дело залогировал и увидел ACK PSH:
SRC=xx.xx.xx.xx DST=xx.xx.xx.xx LEN=100 TOS=0x00 PREC=0x20 TTL=57 ID=36151 DF PROTO=TCP SPT=55967 DPT=39512 WINDOW=2480 RES=0x00 ACK PSH URGP=0

что странно ^^

пробовал так: ! SYN,RST,ACK,FIN SYN
и PSH подставлял, SYN SYN пробовал и т.д., оно всё-равно в логах про них говорит
конкретно даже вот это правило:
-A INPUT -p tcp -m state --state NEW ! --tcp-flags SYN,RST,ACK,FIN,PSH SYN -j LOG --log-level DEBUG --log-prefix="NEW packets: "
в логи выводит вышеуказанную строку про ACK PSH
флаг PSH он вообще не из NEW, по идее, он про то, что данные протолкнуть надо, поэтому его присутствие загадочно
чё он хочет то от меня?

iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
будет блокировать все попытки открыть входящее TCP-соединение не SYN-пакетом. Попытка установить соединение таким образом может быть либо ошибкой, либо атакой.

ssh криво открывает новые соединения или что?
но по логам там и фтп такой же косяк ловит, правда это уже не я

Привет, я хотел бы узнать какая разница между опциями iptables "-m state --state" и "-m conntrack --ctstate"(NEW,...). Ну как я знаю, nf_conntrack это один из компонентов netfilter'a и работает на 3,4 и 7-ом уровне. А в чем разница, простым state'ом и conntrack?
1. -m state --state (NEW,ESTABLISHED,...)
2. -m conntrack --ctstate" (NEW,ESTABLISHED,DNAT,...)

2-ой вопроc:
Разница между ESTABLISHED и RELATED? У меня с ESTABLISHED'ом все безупречно работает, а зачем нужно состояние RELATED? Только для протоколов наподобие ICMP?

3-ый вопрос:
Что означает -A FORWARD -m conntrack --ctstate DNAT? Это значит пропускать(forward'ить) пакет, только если он DNAT'ился(прошел через DNAT), так? Например, не происходило forwarding если пакет SNAT'ился.

Заранее, всем спасибо за ответы.

вот правило: -A INPUT -p udp --sport 123 -j DROP
вот оно в --list: DROP       udp  --  anywhere             anywhere            udp spt:ntp
а вот оно в iftop:
my.ip.is.here:53                                                                  => hes.ip.is.here:123                                                                       0b      0b      0b
                                                                                   <=                                                                                    3,04Mb  2,24Mb   575Kb

т.е. траф прекрасно приходит
что я делаю не так?

в логах на своем сервере нашел инфу что стучатся. по этой дырочке.
попробовал:
curl -i -X HEAD "http://website" -A '() { :;}; echo "Warning: Server Vulnerable"'
вроде как на консоли нету:
Warning: Server Vulnerable

пробовал:
curl -i -X HEAD "http://website" -A '() { :;}; ping -c10 192.168.1.100'
на себя, тоже ничего не увидел.

ОС FreeBSD Apache nginx

обновиться не могу. как можно подлотаться?
как понять что меня ломанули, или заботали?

Подскажите где купить недорого comodo positive ssl
Нашлось из путевого только https://rus.gogetssl.com/domain-validation/comodo-positive-ssl/
Есть ли еще варианты, желательно наши продавцы.

Если клиент запрашивает https сайт можно ли его перебросить на ip:port из wpad.dat? Доступа к wpad.dat у меня нет(его даёт другая организация):

http://example.com/wpad.dat

Если бы они давали просто ip и порт своего proxy, тогда, конечно, сделал бы так:

iptables -t nat -A OUTPUT -p tcp --dport 443 -j DNAT --to-destination SQUIDIP:3129

А с wpad'ом можно ли придумать нечто аналогичное?

Что я делаю:
ввожу команду  проверки NTP:
sudo ntpdate -d NTP_name

Команда делает запись в syslog вида:
Feb 17 08:41:00 *** sudo: user_name_Vuasiya : TTY=unknown ; PWD=*** ; USER=root ; COMMAND=/usr/sbin/ntpdate -d IP***

Проблема: Эту команду я использую раз в минуту на 4-6 серверов NTP. В итоге в syslog попадает ОГРОМНАЯ куча спама.

Вопрос: я установил sudo 1.8.6p3, т.к. вычитал что в этой версии есть замечательные опции:
NOLOG_OUTPUT

Добавил в sudo:
sudo visudo
ADMIN ALL=(root) NOLOG_OUTPUT:NOPASSWD: /usr/sbin/ntpdate -d*

Но системе пофиг на NOLOG_OUTPUT, как и вообще на спецификации: LOG_INPUT, NOLOG_INPUT, LOG_OUTPUT, NOLOG_OUTPUT.
спам в syslog не прекратился.
Я сделал решение не удовлетворяющее меня с точки зрения безопасности:
Defaults:user_name_Vuasiya !syslog
Но тогда все что делает user_name_Vuasiya в sudo не пишется в syslog. А мне надо чтобы только одна команда не писалась. Кто знает решение?

Отрывок MAN:
User specification
      User_Spec ::= User_List Host_List '=' Cmnd_Spec_List \
                    (':' Host_List '=' Cmnd_Spec_List)*

      Cmnd_Spec_List ::= Cmnd_Spec |
                         Cmnd_Spec ',' Cmnd_Spec_List

      Cmnd_Spec ::= Runas_Spec? Tag_Spec* Cmnd

      Runas_Spec ::= '(' Runas_List? (':' Runas_List)? ')'

      Tag_Spec ::= ('NOPASSWD:' | 'PASSWD:' | 'NOEXEC:' | 'EXEC:' |
                    'SETENV:' | 'NOSETENV:' | 'LOG_INPUT:' | 'NOLOG_INPUT:' |
                    'LOG_OUTPUT:' | 'NOLOG_OUTPUT:')
***********************************
sudoers also supports logging a command's input and output streams.
      I/O logging is not on by default but can be enabled using the
      log_input and log_output Defaults flags as well as the LOG_INPUT and
      LOG_OUTPUT command tags.
***********************************

LOG_INPUT and NOLOG_INPUT

      These tags override the value of the log_input option on a per-command
      basis.  For more information, see the description of log_input in the
      SUDOERS OPTIONS section below.

      LOG_OUTPUT and NOLOG_OUTPUT

      These tags override the value of the log_output option on a per-
      command basis.  For more information, see the description of
      log_output in the SUDOERS OPTIONS section below.
*************************************
      log_input         If set, sudo will run the command in a pseudo tty
                        and log all user input.  If the standard input is
                        not connected to the user's tty, due to I/O
                        redirection or because the command is part of a
                        pipeline, that input is also captured and stored in
                        a separate log file.

                        Input is logged to the directory specified by the
                        iolog_dir option (/var/adm/sudo-io by default) using
                        a unique session ID that is included in the normal
                        sudo log line, prefixed with ``TSID=''.  The
                        iolog_file option may be used to control the format
                        of the session ID.

                        Note that user input may contain sensitive
                        information such as passwords (even if they are not
                        echoed to the screen), which will be stored in the
                        log file unencrypted.  In most cases, logging the
                        command output via log_output is all that is required.

      log_output        If set, sudo will run the command in a pseudo tty
                        and log all output that is sent to the screen,
                        similar to the script(1) command.  If the standard
                        output or standard error is not connected to the
                        user's tty, due to I/O redirection or because the
                        command is part of a pipeline, that output is also
                        captured and stored in separate log files.

                        Output is logged to the directory specified by the
                        iolog_dir option (/var/adm/sudo-io by default) using
                        a unique session ID that is included in the normal
                        sudo log line, prefixed with ``TSID=''.  The
                        iolog_file option may be used to control the format
                        of the session ID.

                        Output logs may be viewed with the sudoreplay(1m)
                        utility, which can also be used to list or search
                        the available logs.

Здравствуйте!
Может кто поможет, посоветует что нибудь полезное)
Имеется сеть, не маленькая, топология - дерево. Головная боль, это IPTV. Проблема в том, что клиенты толи по своей воле, толи нет, бывают включают ненужное оборудование в порт телевиденья в последствии чего от него начинает идти флуд в сеть (он запрашивает All Group), забивается канал и у всех абонентов начинает сыпать тв. Вопрос заключается в том, как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по макам? Или еще что нибудь.....
Краткая схемка:

Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box Abonent

Приветствую.
есть Centos 6.5
есть rutoken с готовой ЭЦП на борту
есть openssl с поддержкой GOST
есть демон pcscd который этот rutoken видит

как посмотреть сертификать ЭЦП? Как с его помощью подписать файл (запрос к списку запрещенных сайтов, будь он неладен), БЕЗ экспорта ключа в файл ?

   Привет, я хотел бы узнать, каким образом некоторые сайты(сервисы) определяют мой внутренний локальный IP адрес, даже когда я выхожу в Интернет через NAT(именно NAT, не через Proxy)? Я думал, что NAT подменяет полностью IP адрес источника на указанный IP адрес в заголовке IP пакета. Второе, через Proxy тоже видны не смотря, на то что включены в конфиге опции как:

request_header_access  X-Forwarded-For deny all
request_header_access Via deny all
request_header_access Cache-Control deny all
forwarded_for off
request_header_access From deny all
request_header_access Server deny all
request_header_access User-Agent deny all
request_header_access WWW-Authenticate deny all
request_header_access Link deny all

   Как настроить NAT или Proxy, чтобы мои локальные IP адреса не были видны снаружи?

Добрый вечер всем. Хотел бы узнать как реализовать проброс любого порта на другой ip? Делаю так iptables -t nat -A PREROUTING -d 95.47.113.9 -p tcp --dport 89 -j DNAT --to-destination 5.231.67.1:80 iptables -t nat -A POSTROUTING -d 5.231.67.1 -p tcp --dport 80 -j SNAT --to-source 95.47.113.9

Когда я перехожу по адресу 95.47.113.9 отображается сайт по адресу 5.231.67.1 так и должно быть, но на адресе 5.231.67.1 в логах веб сервера пишется не мой ip с которого я захожу (например 195.199.199.199) а как бы зашли с 95.47.113.9. Нужно сделать чтобы исходный мой ip передавался 5.231.67.1. Что бы при переходе на 95.47.113.9 на сервере 5.231.67.1 фиксировался мой 195.199.199.199. Использоваться будет внешний VPS c 1 ip адрессом для доступа на 5.231.67.1 (оба ip внешние). Я реализовал такое на Zentyal в нутри сети. Но так как там все в 2 клика, мне нужно узнать на практике правила. Вся эта затея для того чтобы защитить 5.231.67.1 от udp ddos flood а то атака в 10 гигабит в мои планы не вписывалась. А так я скрою свой реальный ip от досеров и VPS будет выступать для фильтрации трафика.

Всем привет!

Имеется планшет, выход в интернет через WI-FI и мой сервер. Есть приложение в андроиде, которое общается со своими серверами по HTTPS.

Есть ли какая-то возможность расшифровывать данный трафик на моем сервере tcpdump'ом?

Заранее благодарен за ответы!!!

Добрый день. Я студент. Учусь в аспирантуре. Моя работа связана с модернизацией антивируса на андроид. За пример взял clamav. После долгой возни с его базами сигнатур всетаки получилось их открыть. Но там очень много файлов. Что конкретно каждый значит непонятно. Помогите пожалуйста разобраться.

Приветствую. Прочитал тут про возможность объединения сертификатов в certificate bundle и появился такой вопрос. Если узел, который выдал сертификат скомпрометирован, то получается и промежуточные сертификаты вместе с Trust External CA Root могут быть поддельными. Или последний все таки клиент сравнивает с собственной базой root CA ?

hi all! subj из коробки (с иксами и кде):

[user@fbsd10] /home/user% su
Password:
su: Sorry
[user@fbsd10] /home/user% sudo csh
Password:
Sorry, try again.
sudo: 1 incorrect password attempts
[user@fbsd10] /home/user% pkexec csh
==== AUTHENTICATING FOR org.freedesktop.policykit.exec ===
Authentication is needed to run `/bin/csh' as the super user
Authenticating as: user
Password: [ввожу пароль пользователя user]
==== AUTHENTICATION COMPLETE ===
[root@fbsd10] ~# id
uid=0(root) gid=0(wheel) groups=0(wheel),5(operator)

похоже, дело в /usr/local/share/polkit-1/actions/org.freedesktop.policykit.policy
работает также на PCBSD 10.х

Здравствуйте. У меня такая проблема.мне была поставлена следующая задача: Рассмотреть Syslog (найдите фриварное решение и разверните его на своей машине). То есть в данном разделе надо рассмотреть архитектуру решения и само решение (тот Sislog который найдете), настройка источника, настройка сервера и т.д. Все это со скриншотами.
На все про все у меня день, максимум 2, а я абсолютно не знаком с этой системой, можете подсказать где можно прочитать буквально по шагам как и что нажимать (глубоки знания данной системы мне сейчас не нужны, просто нужно выполнить задачу, поверхостно ознакомиться с данной программой. Может что посоветуете. Заранее спасибо. Желательно чтобы реализация была на Windows.

Добрый день. Есть некое высшее учебное заведение, системный администратор которого сейчас не может появится на связи (если кому-то интересно где он, могу в приват сказать). В этом ВУЗе есть почтовый сервер exim на FreeBSD, который явлется и интернет-шлюзом. Проблма в том, что IP-адресс этого сервера попал с спам-листы и перестала ходить почта на gmail и некоторые другие сервисы. С гуглом и другими проблема еще куда не шла. Но беда в том, что письма не могут отправить с этого домена в Министерство образования. Так как сис. админ сейчс недоступен по определенным причинам, попросили меня устранить эту проблему. FreeBSD я знаю не настолько хорошо чтобы сам решить эту проблему. На http://mxtoolbox.com/blacklists.aspx я ввел IP сервера, потом адрес домена и выдало несколько сервисов где он занесен в блек-листы. С двух я уже вытащил. С остальными не знаю как быть и что делать.
Вообщем несколько вопросов:
1. Как узнать причину по которой сервер попал в спам-листы?
2. Достаточно ли этих правил на интернет-шлюзе чтобы спам не отсылался с клиентских машин, если там есть вирусы? И работают ли они корректно, если они висят под одним номером? Или нужно для каждого правила свой номер присваивать?

00001        46        12919 allow tcp from table(11) to me dst-port 25 keep-state
00001         0            0 deny log logamount 100000 tcp from table(10) to any dst-port 25
00001         0            0 allow tcp from table(11) to me dst-port 445 keep-state
00001        11          528 deny log logamount 100000 tcp from table(10) to any dst-port 445

3. Как собственно вытащить IP и домен с блек-листов UCEPROTECTL3, Spamhaus ZEN, CBL.

Если есть человек, у которого есть 10-15 минут сводобного времени, я бы написал IP и название домена чтобы вы наглядно посмотрели. Может бы что-то подсказали.

Проверил только-что на http://cbl.abuseat.org/lookup.cgi IP сервера и там выдало следующее:
Your IP was observed making connections to TCP/IP IP address 216.66.15.109 (a conficker sinkhole) with a destination port 80, source port (for this detection) of 1866 at exactly 2014-12-23 11:51:49 (UTC). All of our detection systems use NTP for time synchronization, so the timestamp should be accurate within one second.

Добрый день! Подскажите примером если можно
Как обойтись без второго ната, если задача такая:
Есть два белых IP, один IP нужно раздать на подсеть 192.168.0.0., другой Ip нужно раздать двум серверам и сделать проброс портов(я так понимаю для этого нужно поднять второй natd и занатить подсеть например 192.168.1.0 и сделать форвардинг портов?). Имеем   шлюз freebsd 9.3 с двумя сетевыми картами(инет\локалка)

На прошлой неделе синфлудили почтовый сервер нашей конторы. Отбился, благо был DoS, а не DDoS. Больше флуда не было. Стал присматривать за "netstat -nt | grep SYN_RECV" и увидел, что время от времени появляются одиночные подключения извне вида:

tcp        0      0 <мой IP>:25         <внешний IP>:80         SYN_RECV

Такие подключения могут повторяться по нескольку часов, и, что характерно, по одному (лишь один раз наблюдал сразу два), то есть на попытку DoSа не похоже. Причём порт, с которого приходят пакеты - всегда 80 или (реже) 443, а IP-адреса разные. Вреда от этого, конечно, никакого, но мало ли...

Коллеги, не сталкивались ли вы с чем-то подобным? Хотелось бы понять, что это за гаврики, стоит ли опасаться, или просто заб[иы]ть.

Добрый день
Обычно в системе (использую CentOS), настройки iptables можно править /etc/sysconfig/iptables.
Попалась система с установленным fail2ban, который сам генерирует конфиг для iptables. Вопрос, как можно изменить конфиг iptables, например закрыть определенные порты, или разрешить определенные адреса и т.д. при этом не ломая fail2ban?

раньше всё делал в /etc/rc.local
просто в конце добавлял такую строчку:
mount.cifs '//10.10.0.3/shara1/'   /mnt/ -o user=JJ,password=0123,rw,file_mode=0660,dir_mode=0770,iocharset=utf8,uid=root,gid=apache

и всё работало!

теперь в Fedora 20 нет rc.local в /etc
((

где теперь и как прописывать монтирование, которое в случае перезагрузки оси исполнится?
Спасибо заранее!