Наблюдается рандомное падение новых процессов всех пользователей.

Тестовая экспериментальная система, все всегда работало хорошо. По рекомендации: https://sourceforge.net/p/linux-ima/wiki/Home/#audit-log-all... сделал:

  echo 'audit func=BPRM_CHECK mask=MAY_EXEC' >> /sys/kernel/security/ima/policy
  echo 'audit func=MMAP_CHECK mask=MAY_EXEC' >> /sys/kernel/security/ima/policy

Система ночью много лопатила, забила 100% диск, а потом syslog заполнил 100% всю память и своп.

Почистил диск и память, а падение процессов продолжается равномерно на всех ядрах процессора с ошибкой Not tainted:

PAX: refcount overflow detected in: *
....
Code: 01 4a ... 86 01 <83> c0 01 ... ba 2c - всегда один и тот же.

Может виря подцепил?

Коллеги.
Прошу совета в вопросе реализации резервирования доступности VPN-серверов.
1. Есть две площадки. На каждой поднято по одному серверу на ОС Убунта 18.04 (ядро 5.3.ххх) + Strongswan (5.8.1). Сервера спрятаны за роутерами Cisco (DNAT), при этом сервера строят IPSec на нестандартных портах, не udp/500 и udp/4500. Решено обеспечить отказоустойчивость - на каждой площадке использовать по два сервера в режиме MASTER/BACKUP c использованием сервиса keepalived (VRRP). Но столкнулся с проблемой "тупняка" установки нового туннеля, когда основной сервер в пределах площадки уходит в состояние BACKUP (при этом стопается сервис ipsec), а резервный сервер  получает статус MASTER и пытается установить новый туннель. Порой туннель не устанавливается пока не перезагрузить ipsec на удаленном сервере-партнере.

И похожий второй вопрос....
2. На площадке поднят один сервер на ОС Убунта 18.04 (ядро 5.3.ххх) + Strongswan (5.8.1). К нему подключается самописный клиент под ОС Windows. Все как-бы работает. Но нужно обеспечить безотказность работы клиента. Не очень хочется использовать VRRP
Есть альтернативные варианты резервирования серверов?

Добрый день,

Пожалуйста, подскажите, какие плоские криптографические смарткарты или USB криптотокены поддерживают шифрование канала (обычно USB APDU) обмена данными с хостовым компьютером?

Из известных мне - это:

1) Rutoken ECP2 3000 работает по протоколу ФКН2 только с КриптоПро v5.

2) Jacarta 2 работает по какому-то секретному протоколу "secure messaging", о котором мало кто чего знает, может быть это обычный SCP для JavaCard типа такого:

http://web.archive.org/web/20201011003451/https://stackoverf...

http://web.archive.org/web/20201011003921/https://cardlogix..../

?

Работает ли оно хотя бы через проприетарные библиотеки Aladdin PKCS11?
От вида карты это зависит? ГОСТ или PKI или SE? От используемого алгоритма RU/бурж?

Где найти доки? Как проверить включено ли оно, кроме как снифать канал?

А хотя вот тут что-то есть:
https://yandex.ru/search/?text=%22secure%20messagi...

https://developer.aladdin-rd.ru/archive/pkcs11/0.0.1/descrip...

Таки в каких моделях присутствует этот самый secure messaging?

3) Nitrokey HSM2 USB или SC-HSM работают по протоколу BSI TR-03110 причем даже через OpenSC!

Если не смотреть в текущие реализации *nix, то по Вашему мнению.
Кто должен обладать правом смены группы файла - cap_chown или cap_fowner?

Или они всё сливают "куда надо", и доверять им нельзя?

Всем привет, кто может подсказать что означает timestamp в pcap файле в WireShark. Трафик перехвачен между двумя удаленными хостами в promiscuous mode. Время начала передачи информации от А до Б или ещё чего?

СПС

Всем привет!

Необходимо организовать дублирование пакетов.
Суть в чем.
Ранее было собрано решение (на nc) для приема трафика (хост: 10.10.10.2); (все норм)
Решил обновиться, и в сети появился новый хост: 10.10.10.3, который принимает трафик, который ранее принимался 10.10.10.2 (отредактировано правило переадресации на маршрутизаторе).

На пожарный случай, хочу продолжать получать тот же трафик по старой схеме. (т.е. чтобы трафик отправленный на 10.10.10.3 дублировался и на 10.10.10.2);

на новом хосте (10.10.10.3) создал правило:

iptables -A PREROUTING -d 10.10.10.3/32 -p tcp --dport 9999 -j TEE --gateway 10.10.10.2

По факту, на старый хост трафик дублируется, но в пакете не меняется dst_host.
На 10.10.10.2 tcpdump-ом вижу что влетает трафик для 10.10.10.3, и логично, он не обрабатывается тем механизмом, которым мне надо.

Подскажите пожалуйста, чего не хватает чтобы продублированный трафик влетел на старый хост с его значением dst_host?

изолировать от сети сохранив передачу данных, или один диск на два пк. как?
----------------------------------------------------------------------------
Здравствуйте :) !

есть машина[A] которая rsunc-ом общается с сервером в сети, забирает данные и отправляет результат своей работы.
теоретически сервер в сети рано или поздно будет взломан и при наличии неизвестной мне уязвимости в rsync вломана будет и машина[A].
ее взлом критичен и допустить его нельзя.

по этому возник вопрос, а можно ли не программно(firejail\lxc\doker\kvm и т.д) а аппаратно изолировать эту машину сохранив при этом возможность передачи данных?

например вот по такой схеме:

[машина_А]=<==sata==>=[HDD]=<==sata==>=[машина_С с rsync]--<---сеть--->--[сервер_B]

или

         +-<-sata_read-<--[HDD]-<-sata_write-<-+
[машина_А]                                     [машина_С с rsync]--<---сеть--->--[сервер_B]
         +->-sata_write->-[HDD]->-sata_read->--+

или с помощью какого либо другого устройства...

смысл чтобы обмениваться данными без участия сетевых программ и протоколов.

можно конечно как вариант копировать данные с сервера в облако и из него забирать машиной[A]
тогда для взлома потребуется взломать облачного провайдера что сложно, но хотелось бы найти решение без облаков.

возможно кто-то уже сталкивался с такой задачей, или просто есть идеи?

Добрый день ребята. Был не внимателен при распаковке файла итог 10000 фалов зашифрованы( Я конечно готов смериться с потерей и не собираюсь выплачивать бабки ушлым, но мне стало интересно как это работает и можно ли это расшифровать самому ?  Заранее спасибо тем кто поможет

Здравствуйте!

есть внешний жесткий диск, подключается по usb, шифрован через 'cryptsetup plainOpen /dev/sdc'

и после того как на него были записаны нужные данные, фс отмонтирована и 'sync' нормально завершился, он отказался закрываться.

пишет "устройство ещё используется". но оно 200% не может ничем использоваться.
выдернул диск из usb(он уже шпиндель остановил) и без диска попробовал 'cryptsetup plainClose sdc_crypt' , также пишет что устройство используется.

ни в манах ни в хелпе я не нашел как отключить устройство принудительно и освободить линк в /dev/mapper

подскажите как это сделать?

ОС devuan_3.0_x64

Всем привет. Не могу понять почему не работает UDP через SOCKS5. Что я делаю:

Я соединяюсь с SOCKS сервером и говорю, что хочу сделать UDP ASSOCIATE. В ответ на это SOCKS высылает IP и Port - куда можно слать UDP.

Я генерирую UDP пакет на этот адрес и порт с содержимым:

2 байта резерв

1 байт - фрагмент

1 байт - протокол ipv4

4 байта IP адрес куда надо отправить UDP с SOCKS

2 байта - порт куда отправить

3 байта - данные. В результате получился такой набор:

000001015f1f2e01029a313233

2 байта резерв + 1 фрагмент + ip = 95.31.46.1 + порт 666 + данные 123.

Все это дело отправляю на SOCKS5. Но к сожалению, на сервер 95.31.46.1:666 ничего не приходит.

Подскажите, пожалуйста, что я сделал неверно

Всем привет!
Помогите, пожалуйста, сделать настройки. Второй день бьюсь - не пойму, как правильно надо. Сам я программер, в администрировании слаб.
Нужно реализовать такую схему:
https://i.imgur.com/jItnjDz.png
Т.е. пробросить порт внутрь сети дважды.
При этом доступ есть только к IIS_SRV_WIN и LINSRV.
Как должно быть:
1) Пользователь из интернет стучится на GATEWAY:8888
2) Трафик пробрасывается на LINSRV:8888 как есть (это настроено админами, работает)
3) LINSRV посредством iptables пробрасывает трафик на IIS_SRV_WIN:443.
4) IIS_SRV_WIN отвечает на LINSRV
5) LINSRV отдает счастливому пользователю его веб-страничку через GATEWAY.

Не спрашивайте, почему не напрямую с GATEWAY на IIS_SRV_WIN - можно только так, планируется развитие этого всего с модификацией трафика на LINSRV, но это в будущем.

Сейчас вопрос в том, что почему-то не работает :(
Настроил на LINSRV такие правила:
iptables -t nat -I PREROUTING 1 -p tcp -d LINSRV --dport 8888 -j DNAT --to-destination IIS_SRV_WIN:443
iptables -I FORWARD 1 -d IIS_SRV_WIN -p tcp --dport 443 -j ACCEPT
Так же пробовал добавлять такое:
iptables -t nat -A POSTROUTING -j MASQUERADE
В результате - не работает. При этом, проверил следующее:
В лог IIS падает запись о подключении, когда я стучусь через интернет на GATEWAY:8888. Т.е. в этом направлении пакеты проходят. А вот обратно - уже не доходят. Судя по всему, теряются на LINSRV или после него.
При этом у стучащегося пользователя браузер висит минуту и говорит ERR_CONNECTION_TIMEOUT.

Подскажите, каких правил не хватает, или что нужно проверить, чтобы найти проблему?

Дополнительно делал следующее:
- Убирал правила firewall и поднимал apache на linsrv:8888 - тестовый сайт-заглушка из интернет виделся корректно.
- через wget на linsrv получал сайт с IIS_SRV_WIN. Точнее, получал ошибку, что такого сайта нет (т.к. стучал по IP, а сайт работает на доменном имени), но хоть что-то получал.

Здравствуйте.

Есть ноутбук. Он подключен по WiFi к точке доступа. На точке доступа настроено l2tp/ipsec подключение к серверу. На сервере настроен strongswan + xl2tpd под debian.

И есть такая странная аномалия.

for /l %x in (1, 1, 1500) do ping {ip сервера} -l %x -n 1

Этак команда выполняет ping с разными пакетов от 1 до 1500

Когда размер пакета в этих диапазонах то ping не работает.

321 - 328
449 - 456
577 - 584
705 - 712
833 - 840
961 - 964
966 - 968
971
1089 - 1093
1096
1226 - 1228
1230 - 1232
1361 - 1363
1366 - 1368
1375

Если подключаться с ноутбука напрямую к серверу, то всё ок.

В чём может быть проблема?

Всем привет. Я создал VPN канал и подключил 1 пользователя. Отключил шифрование.
Сервер - Linux.
Клиент - Windows.
OpenVPN работает по UDP и порту 9999

В оба конфига были внесены изменения:
fragment 0
auth none
cipher none
ncp-disable

При этом, почему то скорость upload очень низкая

Обычный интернет:
Прием - 57Мбит/с
Отдача 55Мбит/с

Через VPN:
Прием - 55 Мбит/с
Отдача - 8 Мбит/с

Тесты проводились на сайте speedtest и с одним сервером.
Помогите, пожалуйста, разобраться!

Всем привет. Хочу поставить сервер, который будет выступать в роли фильтров между клиентом и сервером.
Сервер фильтрации должен менять адрес назначения на адрес сервера и в обратном порядке.
Но когда я пытаюсь послать пакет на сервер фильтрации, он приходит, переходит в цепочку FORWARD и дропается самой сетевой картой. Соответственно пакет сервер не принимает. Может какой VPN сделать между сервером и сервером фильтрации? Как я понял, то сетевуха не знает о этих сетях ничего (типа не мне и не я принимаю/отсылаю пакет, поэтому и дропаю).
Правила в iptables (По умолчанию все цепочки ACCEPT и включен ip v4 forward)
iptables -t nat -A PREROUTING -d IPFilter/32 -p udp --dport 27017 -j DNAT --to-destination IPServer

НО, если я поменяю адрес источника клиента на адрес сервера фильтров, то пакет будет передан серверу, но не с IP клиента, а с IP фильтров. А мне нужен, чтобы пересылался IP адрес клиента.
Помогите, пожалуйста, с решением вопроса!

В логах ядра есть записи:

... kernel: имя_драйвера_сетевухи 0000:04:00.0: Invalid PCI ROM header signature: expecting 0xaa55, got 0x0000

Ethtool говорит что доступ к EEPROM на этой сетевухе невозможен.

Как установить ROM с контрольной суммой 0xaa55 обратно в сетевуху?

Сетевуха интегрирована на мамке.

Добрый день!
Не уверен, в нужный ли раздел пишу, но рискну...

Есть клиент OpenVPN на устройстве под Windows или Android.
Есть свой сервер с сервером OpenVPN, в конфиге указано push "redirect-gateway def1 bypass-dhcp".
Если клиент устанавливает VPN соединение через GSM, то видна как сеть VPN, так и работает интернет, клиент получает IP сервера.
Но! Если клиент работает в локальной сети через роутер, то сеть VPN открывается, но интернет на устройстве клиента не работает.
У меня провайдер Билайн. При первичной авторизации через роутер он понаставил множество Статических маршрутов.
Файервол для учетной записи в личном кабинете Билайн отключен
Примечание: сервер OpenVPN полностью настроен - через него прекрасно работает другая локальная сеть, в которой клиент OpenVPN установлен непосредственно на роутере.

Буду очень рад помощи или совету

# Подменяю ip отправителя при обращении к порту 666 протокол udp
/sbin/iptables -t nat -A POSTROUTING -j SNAT --to-source 8.8.8.8 -p udp --dport 666
# Перенапрявляю все обращения к порту 666 на локальный интерфейс.
/sbin/iptables -t nat -A PREROUTING -p udp --dport 666 -j REDIRECT --destination 127.0.0.1
# Пытаюсь логировать все это
/sbin/iptables -A INPUT -p udp --dport 666 -j LOG --log-prefix "iptabless: "
/sbin/iptables -A OUTPUT -p udp --dport 666 -j LOG --log-prefix "iptabless: "
/sbin/iptables -A FORWARD -p udp --dport 666 -j LOG --log-prefix "iptabless: "
cat messages | grep iptables
# Ничего не работает и в логах пусто. Где я неправ?

Разбираюсь с OpenSSL.
Хочу по вводу ключевой фразы получить приватный ключ.

openssl ecparam -name secp521r1 -genkey -rand file_name.txt

- запускаю, получается каждый раз разный.

Думал, что -rand это seed для начала поиска ключа.

Как сделать, чтоб разные запуски openssl -genkey давали одинаковый ключ?

Спасибо!

Реализованов tails:
Debian-+  4704  1.6  1.5 365132 62740 tty1     Sl+  02:08   0:04 /usr/lib/xorg/Xorg vt1 -displayfd 3 -auth /run/user/113/gdm/Xauthority -background none -noreset -keeptty -verbose 3
amnesia   5604  2.8  2.6 419128 107068 tty2    Sl+  02:08   0:06 /usr/lib/xorg/Xorg vt2 -displayfd 3 -auth /run/user/1000/gdm/Xauthority -background none -noreset -keeptty -verbose 3
Не могу понять как запустить два xorg от разных пользователей.

В вики опеннета http://wiki.opennet.ru/SecurityTop написана такая фраза
"обязательно заключив в chroot окружение"

Можете объснить подробней как это сделать? Я так понял тут речь не про докер идет.

Подскажите, кто из LIR-ов!!!
RIPE NCC счета за 2020 год уже выставлял или нет??
Вроде в феврале обещались, 20-е число уже а что-то счета пока нет...
Выставили уже комуто или это у всех так???

Всем добрый день! Помогите пожалуйста разобраться с правильным написанием правила проброса портов.

Есть сервер в локальной сети на который мы посылаем какие-то пакеты и нужно чтобы он пробрасывал эти пакеты на другой сервер в локальной сети с таким же портом.

где:
10.20.80.4 локальный сервер с которого шлём пакеты
10.20.11.6 локальный сервер на который приходят пакеты
10.20.11.4 локальный сервер на который надо пробросить пакеты с 10.20.11.6
2115 - порт на который кидаем

Пробую так, но результата нет.
iptables -t nat -A PREROUTING --dst 10.20.11.6 -p tcp --dport 2115 -j DNAT --to-destination 10.20.11.4

Всем привет. Вопрос может быть для кого-то банален, но я затрудняюсь в его ответе. Вот смотрите.
У меня есть сервер, где интернет от провайдера 100мбит.
Если я закрою ВСЕ порты через iptables. Будет ли возможность меня задосить, если посылать трафик свыше 100мбит на мой сервер с закрытыми портами? Получается тупо забивать полосу пропускания. Но если порта закрыты.. я хз. Помогите с ответом, заранее спасибо!
Вопрос: Можно ли мне перекрыть доступ в интернет с помощью DoS (атака свыше 100Мбит), если у меня закрыты все порты?

Пришла идея, когда думал о проблеме безопасного хранения личных данных на внешнем хостинге, но самому будет очень трудно реализовать, ибо не обладаю достаточной компетенцией для разработки на уровне системных служб.

Идея заключается вот в чём:
При копировании файлов на любой том (локальный или примонтированное внешнее хранилище) утилита шифрует файлы на лету, а при взятии их обратно производит расшифровку.

Доброго времени суток, уважаемые форумчане.
Исходные данные:
- Роутер DIR300
- прошивка: Firmware: DD-WRT v24-sp2
- подключен к интернет и имеет постоянный внешний IP

Вопрос: можно ли с помощью правил в iptables как-то определить на какой хост (IP) идет трафик, если он  
превышает определенное значение?

Ну например, если трафик на какой-то хост более 1Мб/сек, то сделать запись в лог (чтобы в логе можно было  
увидеть, на какой IP этот трафик идет). Разумеется количество записей в лог можно ограничить, чтобы не засорять.
Хотя даже можно не байты считать, а количество пакетов в сек - и этого будет достаточно.

Насколько я понимаю, надо:
- все пакеты с состоянием ESTABLISHED,RELATED как-то разделять: на каждый IP - своя метка
- потом подсчитывать по каждой метке колич. пакетов за определенной время
- потом уже записать в лог информацию кто и откуда льет трафик

Но как это реализовать с помощью правил не знаю. Может, кто что подскажет?
Буду благодарен :)

p.s.
Если с помощью IPtables это сделать нельзя, то, может быть, подскажете, какие другие варианты возможны?

Доброго времени суток, уважаемые форумчане.

Исходные данные:
- Роутер DIR300
- прошивка: Firmware: DD-WRT v24-sp2 (03/25/13) std
- подключен к интернет и имеет постоянный внешний IP 185.xx.xx.204
- на нем запущен VPN server PPTP

В логах постоянно наблюдаю желающих "зайти в гости" по VPN.
Поскольку все, что можно запретил в настройках Firewall (ssh, ping request, telnet, remote web control и т.д.), то остался только этот вариант ))
Запросы не частые, и не то, чтобы уж их было сильно много, но запросов 10-15 в день имеется.
Ниже привожу выдержку из журнала.

Так вот собственно вопросы:
1. Какова вероятность того, что эти незваные гости рано или поздно все-таки смогут войти, хоть их никто и не приглашал?
2. Как можно себя обезопасить еще больше? Какие методы фильтрации этих самых нежелательных запросов можно применить? Или тех настроек, что я уже сделал в фаерволе вполне достаточно?

Удаленный доступ к роутеру мне нужен по любому, так что отключать VPN  - значит переходить на веб-морду - а это, наверное, еще менее надежно.
Администрировать роутер тоже приходится с разных IP, так что привязки по этому параметру тоже не получится сделать.

Скрин настроек Firewall + VPN Server
https://ibb.co/DDXBYkT

Jan  1 07:10:16 DD-WRT daemon.warn pptpd[565]: MGR: initial packet length 18245 outside (0 - 220)
Jan  1 07:10:16 DD-WRT daemon.warn pptpd[565]: MGR: initial packet length 5635 outside (0 - 220)

Jan  1 19:44:28 DD-WRT daemon.info pptpd[13445]: CTRL: Client 71.6.146.185 control connection started
Jan  1 19:44:28 DD-WRT daemon.err pptpd[13445]: CTRL: EOF or bad error reading ctrl packet length.
Jan  1 19:44:28 DD-WRT daemon.err pptpd[13445]: CTRL: couldn't read packet header (exit)
Jan  1 19:44:28 DD-WRT daemon.err pptpd[13445]: CTRL: CTRL read failed
Jan  1 19:44:28 DD-WRT daemon.debug pptpd[13445]: CTRL: Reaping child PPP[0]
Jan  1 19:44:28 DD-WRT daemon.info pptpd[13445]: CTRL: Client 71.6.146.185 control connection finished

Jan  1 21:51:53 DD-WRT daemon.info pptpd[14608]: CTRL: Client 92.63.194.91 control connection started
Jan  1 21:51:53 DD-WRT daemon.info pptpd[14608]: CTRL: Starting call (launching pppd, opening GRE)
Jan  1 21:51:53 DD-WRT daemon.notice pppd[14609]: pppd 2.4.5 started by root, uid 0
Jan  1 21:51:57 DD-WRT daemon.err pptpd[14608]: CTRL: EOF or bad error reading ctrl packet length.
Jan  1 21:51:57 DD-WRT daemon.err pptpd[14608]: CTRL: couldn't read packet header (exit)
Jan  1 21:51:57 DD-WRT daemon.err pptpd[14608]: CTRL: CTRL read failed
Jan  1 21:51:57 DD-WRT daemon.debug pptpd[14608]: CTRL: Reaping child PPP[14609]
Jan  1 21:51:57 DD-WRT daemon.info pppd[14609]: Exit.
Jan  1 21:51:57 DD-WRT daemon.info pptpd[14608]: CTRL: Client 92.63.194.91 control connection finished

Jan  1 21:51:57 DD-WRT daemon.info pptpd[14611]: CTRL: Client 92.63.194.92 control connection started
Jan  1 21:51:57 DD-WRT daemon.info pptpd[14611]: CTRL: Starting call (launching pppd, opening GRE)
Jan  1 21:51:57 DD-WRT daemon.notice pppd[14612]: pppd 2.4.5 started by root, uid 0
Jan  1 21:52:09 DD-WRT daemon.err pptpd[14611]: CTRL: EOF or bad error reading ctrl packet length.
Jan  1 21:52:09 DD-WRT daemon.err pptpd[14611]: CTRL: couldn't read packet header (exit)
Jan  1 21:52:09 DD-WRT daemon.err pptpd[14611]: CTRL: CTRL read failed
Jan  1 21:52:09 DD-WRT daemon.debug pptpd[14611]: CTRL: Reaping child PPP[14612]
Jan  1 21:52:09 DD-WRT daemon.info pppd[14612]: Exit.
Jan  1 21:52:09 DD-WRT daemon.info pptpd[14611]: CTRL: Client 92.63.194.92 control connection finished

Всем доброго времени суток!

Исходные данные:
- Роутер DIR300 с установленной mini-linux dd-wrt на борту, в качестве брандмауреа используются iptables
- роутер подключен к интернет и имеет постоянный внешний IP 185.xx.xx.204 через WAN порт (интерфейс в таблицах: vlan2)
- на роутере настроен проброс портов на локальный адрес [...tcp dpt:44789 to:192.168.0.10:44789]
- к роутеру подключен DVR с камерами наблюдения (через ethernet-кабель), DVR имеет постоянный внутрисетевой IP: 192.168.0.10, доступ к камерам осуществляется через порт 44789
- вот на этом роутере я хочу фильтровать пакеты, которые поступают на порт 44789 с внешней сети

Задачи:
1. записать в журнал когда и с какого IP были попытки доступа на соответствующий порт 44789
2. чтобы не засорять журнла, нужно записывать не более 5 значений за 5 минут
3. отфильтровать пакеты. Т.е. с некоторых IP - разрешить доступ на этот порт, а с некоторых - запретить, а остальные просто наблюдать и записывать в журнал

Проблема:
1. не могу записать в журнал данные о входящих пакетах на соответствующий порт, т.к. не вижу их в таблице FILTER
2. не могу отфильтровать пакеты по IP адресу, т.к. не вижу их в таблице FILTER

ПРИМЕЧАНИЯ:
- все работает отлично - доступ к камерам имеется, захожу с любого внешнего IP и могу достучаться к DVR на порт 44789 без проблем, нареканий нет
- не могу понять на каком этапе и в какой таблице фильтруются пакеты, идущие на этот порт 44789
- в таблице FILTER->FORWARD есть какие-то пакеты (видно на скрине), но это не совсем то, т.к., когда я подключаюсь к камерам наблюдения, то трафик на самом деле 0,5Мб/сек, а в журнале FORWARD записалось каких-то 300 байт и на этом все
- но, включая системный журнал на своем роутере на вкладке Security->Firewall->Log Management
я спокойно вижу как эти все пакеты проходят и идут по назначению, а вот как их мне перехватить (в каком месте, какой командой) я не знаю

Доп. информация
- прилагаю текстовый вариант журнала (Security->Firewall->Log Management)
- прилагаю скрин настроек фаервола
- прилагаю скрин записи с iptables -t nat
- прилагаю скрин записи с iptables -t filter
https://ibb.co/pfPQgL3
https://ibb.co/vHRmt10
https://ibb.co/k6CCYj7

Dec 31 19:43:22 DD-WRT kern.warn kernel: ACCEPT IN=vlan2 OUT=br0 MAC=00:00:11:22:33:44:55:66:77:88:99:00:08:00:45:00:00:3c SRC=46.211.104.95 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=46808 DF PROTO=TCP SPT=26573 DPT=44789 SEQ=325854005 ACK=0 WINDOW=12330 RES
Dec 31 19:44:35 DD-WRT kern.warn kernel: ACCEPT IN=vlan2 OUT=br0 MAC=00:00:11:22:33:44:55:66:77:88:99:00:08:00:45:00:00:3c SRC=46.211.104.95 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=14803 DF PROTO=TCP SPT=26608 DPT=44789 SEQ=2304214882 ACK=0 WINDOW=12330 RE
Dec 31 19:44:37 DD-WRT kern.warn kernel: ACCEPT IN=vlan2 OUT=br0 MAC=00:00:11:22:33:44:55:66:77:88:99:00:08:00:45:00:00:3c SRC=46.211.104.95 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=5039 DF PROTO=TCP SPT=26392 DPT=44789 SEQ=2309467354 ACK=0 WINDOW=12330 RES
Dec 31 19:44:37 DD-WRT kern.warn kernel: ACCEPT IN=vlan2 OUT=br0 MAC=00:00:11:22:33:44:55:66:77:88:99:00:08:00:45:00:00:3c SRC=46.211.104.95 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=28136 DF PROTO=TCP SPT=26540 DPT=44789 SEQ=113758866 ACK=0 WINDOW=12330 RES
Dec 31 19:44:37 DD-WRT kern.warn kernel: ACCEPT IN=vlan2 OUT=br0 MAC=00:00:11:22:33:44:55:66:77:88:99:00:08:00:45:00:00:3c SRC=46.211.104.95 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=38542 DF PROTO=TCP SPT=26532 DPT=44789 SEQ=3616876810 ACK=0 WINDOW=12330 RE
Dec 31 19:44:37 DD-WRT kern.warn kernel: ACCEPT IN=vlan2 OUT=br0 MAC=00:00:11:22:33:44:55:66:77:88:99:00:08:00:45:00:00:3c SRC=46.211.104.95 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=35479 DF PROTO=TCP SPT=26584 DPT=44789 SEQ=3456775451 ACK=0 WINDOW=12330 RE

Будем получать квалифицированную ЭЦП. В нормальной ситуации с ssl я генерирую закрытый ключ, делаю csr и получаю открытый ключ.
А как обстоит дело с этим в нашем ЭЦП?
По телефону дали понять что все делается в УЦ на их оборудовании. На вопрос о закрытом ключе толком ответить не могут.

Всем привет. Требуется получить срок действия сертификата с помощью bash в Linux. Ключ состоит из файлов:
header.key
masks.key
name.key
primary.key и т. д.

Как я понял нужная мне информация хранится в файле header.key. Утилита keytool ее не берет. Подскажите, пожалуйста, с решением вопроса! Заранее спасибо!