Здравствуйте!
Может кто поможет, посоветует что нибудь полезное)
Имеется сеть, не маленькая, топология - дерево. Головная боль, это IPTV. Проблема в том, что клиенты толи по своей воле, толи нет, бывают включают ненужное оборудование в порт телевиденья в последствии чего от него начинает идти флуд в сеть (он запрашивает All Group), забивается канал и у всех абонентов начинает сыпать тв. Вопрос заключается в том, как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по макам? Или еще что нибудь.....
Краткая схемка:

Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box Abonent

Приветствую.
есть Centos 6.5
есть rutoken с готовой ЭЦП на борту
есть openssl с поддержкой GOST
есть демон pcscd который этот rutoken видит

как посмотреть сертификать ЭЦП? Как с его помощью подписать файл (запрос к списку запрещенных сайтов, будь он неладен), БЕЗ экспорта ключа в файл ?

Привет, я хотел бы узнать какая разница между опциями iptables "-m state --state" и "-m conntrack --ctstate"(NEW,...). Ну как я знаю, nf_conntrack это один из компонентов netfilter'a и работает на 3,4 и 7-ом уровне. А в чем разница, простым state'ом и conntrack?
1. -m state --state (NEW,ESTABLISHED,...)
2. -m conntrack --ctstate" (NEW,ESTABLISHED,DNAT,...)

2-ой вопроc:
Разница между ESTABLISHED и RELATED? У меня с ESTABLISHED'ом все безупречно работает, а зачем нужно состояние RELATED? Только для протоколов наподобие ICMP?

3-ый вопрос:
Что означает -A FORWARD -m conntrack --ctstate DNAT? Это значит пропускать(forward'ить) пакет, только если он DNAT'ился(прошел через DNAT), так? Например, не происходило forwarding если пакет SNAT'ился.

Заранее, всем спасибо за ответы.

Добрый вечер всем. Хотел бы узнать как реализовать проброс любого порта на другой ip? Делаю так iptables -t nat -A PREROUTING -d 95.47.113.9 -p tcp --dport 89 -j DNAT --to-destination 5.231.67.1:80 iptables -t nat -A POSTROUTING -d 5.231.67.1 -p tcp --dport 80 -j SNAT --to-source 95.47.113.9

Когда я перехожу по адресу 95.47.113.9 отображается сайт по адресу 5.231.67.1 так и должно быть, но на адресе 5.231.67.1 в логах веб сервера пишется не мой ip с которого я захожу (например 195.199.199.199) а как бы зашли с 95.47.113.9. Нужно сделать чтобы исходный мой ip передавался 5.231.67.1. Что бы при переходе на 95.47.113.9 на сервере 5.231.67.1 фиксировался мой 195.199.199.199. Использоваться будет внешний VPS c 1 ip адрессом для доступа на 5.231.67.1 (оба ip внешние). Я реализовал такое на Zentyal в нутри сети. Но так как там все в 2 клика, мне нужно узнать на практике правила. Вся эта затея для того чтобы защитить 5.231.67.1 от udp ddos flood а то атака в 10 гигабит в мои планы не вписывалась. А так я скрою свой реальный ip от досеров и VPS будет выступать для фильтрации трафика.

Доброе время суток уважаемые коллеги!
Столкнулся я с такой, для себя, не тривиальной проблемой. Есть VDS у FIRSTVDS(не для рекламы) работающий в KVM. В контейнере крутится Centos. Стоит задача к этому Centos по IPSEC прикрутить ряд географически разнесенных офисов. В офисах стоят Zywall'ы. Из этого и вытекает что надо использовать IPSEC, так как эти чудные железки ни чего больше не умеют. Уже почти неделю бьюсь над этой задачей. Перепробовал кучу рецептов и примеров настройки. Но чует мое сердце что оплот зла кроется в другом.

Openswan был выбран случайно, так как Centos именно его пропагандирует, убран из своих репозиториев racoon входящий в состав ipsec-tools. Приступим:
Процедуры по редактированию  /etc/sysctl.conf были произведены

net.ipv4.ip_forward = 1 # разрешить пересылку пакетов между интерфейсами
net.ipv4.conf.all.send_redirects = 0 # отключаем icmp redirect
net.ipv4.conf.all.accept_redirects = 0 # отключаем icmp redirect
net.ipv4.conf.default.send_redirects = 0 # отключаем icmp redirect
net.ipv4.conf.default.accept_redirects = 0 # отключаем icmp redirect

В фаерволе порты открыты

iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 50 -j ACCEPT

На Centos'e ни каких виртуальных интерфейсов нет, поэтому в настойках ipsec.conf

left=1.1.1.1 # Указываем внешний ip адрес
leftsubnet=1.1.1.1/32 # указываем внутреннюю подсеть
У второй стороны все как подобает
right=2.2.2.2
rightsubnet=10.1.1.0/24
Авторизация по паролю
/etc/ipsec.secrets
2.2.2.2  1.1.1.1: PSK "pre_shared_key"
esp=des-sha1
ike=des-sha1-modp1024

В общем все достаточно стандартно, но туннель не поднимается. А самое интересное что при настройки туннели перестают возможными пинги со второй стороны. Как только удаляешь настройки туннеля, пинги снова идут.

Помогите разобраться с данным вопросом. Есть подозрения что моя концепция по решению данного вопроса не верна и есть более верный и простой способ

   Привет, я хотел бы узнать, каким образом некоторые сайты(сервисы) определяют мой внутренний локальный IP адрес, даже когда я выхожу в Интернет через NAT(именно NAT, не через Proxy)? Я думал, что NAT подменяет полностью IP адрес источника на указанный IP адрес в заголовке IP пакета. Второе, через Proxy тоже видны не смотря, на то что включены в конфиге опции как:

request_header_access  X-Forwarded-For deny all
request_header_access Via deny all
request_header_access Cache-Control deny all
forwarded_for off
request_header_access From deny all
request_header_access Server deny all
request_header_access User-Agent deny all
request_header_access WWW-Authenticate deny all
request_header_access Link deny all

   Как настроить NAT или Proxy, чтобы мои локальные IP адреса не были видны снаружи?

Всем привет!

Имеется планшет, выход в интернет через WI-FI и мой сервер. Есть приложение в андроиде, которое общается со своими серверами по HTTPS.

Есть ли какая-то возможность расшифровывать данный трафик на моем сервере tcpdump'ом?

Заранее благодарен за ответы!!!

Приветствую. Прочитал тут про возможность объединения сертификатов в certificate bundle и появился такой вопрос. Если узел, который выдал сертификат скомпрометирован, то получается и промежуточные сертификаты вместе с Trust External CA Root могут быть поддельными. Или последний все таки клиент сравнивает с собственной базой root CA ?

Добрый день. Я студент. Учусь в аспирантуре. Моя работа связана с модернизацией антивируса на андроид. За пример взял clamav. После долгой возни с его базами сигнатур всетаки получилось их открыть. Но там очень много файлов. Что конкретно каждый значит непонятно. Помогите пожалуйста разобраться.

Здравствуйте. У меня такая проблема.мне была поставлена следующая задача: Рассмотреть Syslog (найдите фриварное решение и разверните его на своей машине). То есть в данном разделе надо рассмотреть архитектуру решения и само решение (тот Sislog который найдете), настройка источника, настройка сервера и т.д. Все это со скриншотами.
На все про все у меня день, максимум 2, а я абсолютно не знаком с этой системой, можете подсказать где можно прочитать буквально по шагам как и что нажимать (глубоки знания данной системы мне сейчас не нужны, просто нужно выполнить задачу, поверхостно ознакомиться с данной программой. Может что посоветуете. Заранее спасибо. Желательно чтобы реализация была на Windows.

Добрый день. Есть некое высшее учебное заведение, системный администратор которого сейчас не может появится на связи (если кому-то интересно где он, могу в приват сказать). В этом ВУЗе есть почтовый сервер exim на FreeBSD, который явлется и интернет-шлюзом. Проблма в том, что IP-адресс этого сервера попал с спам-листы и перестала ходить почта на gmail и некоторые другие сервисы. С гуглом и другими проблема еще куда не шла. Но беда в том, что письма не могут отправить с этого домена в Министерство образования. Так как сис. админ сейчс недоступен по определенным причинам, попросили меня устранить эту проблему. FreeBSD я знаю не настолько хорошо чтобы сам решить эту проблему. На http://mxtoolbox.com/blacklists.aspx я ввел IP сервера, потом адрес домена и выдало несколько сервисов где он занесен в блек-листы. С двух я уже вытащил. С остальными не знаю как быть и что делать.
Вообщем несколько вопросов:
1. Как узнать причину по которой сервер попал в спам-листы?
2. Достаточно ли этих правил на интернет-шлюзе чтобы спам не отсылался с клиентских машин, если там есть вирусы? И работают ли они корректно, если они висят под одним номером? Или нужно для каждого правила свой номер присваивать?

00001        46        12919 allow tcp from table(11) to me dst-port 25 keep-state
00001         0            0 deny log logamount 100000 tcp from table(10) to any dst-port 25
00001         0            0 allow tcp from table(11) to me dst-port 445 keep-state
00001        11          528 deny log logamount 100000 tcp from table(10) to any dst-port 445

3. Как собственно вытащить IP и домен с блек-листов UCEPROTECTL3, Spamhaus ZEN, CBL.

Если есть человек, у которого есть 10-15 минут сводобного времени, я бы написал IP и название домена чтобы вы наглядно посмотрели. Может бы что-то подсказали.

Проверил только-что на http://cbl.abuseat.org/lookup.cgi IP сервера и там выдало следующее:
Your IP was observed making connections to TCP/IP IP address 216.66.15.109 (a conficker sinkhole) with a destination port 80, source port (for this detection) of 1866 at exactly 2014-12-23 11:51:49 (UTC). All of our detection systems use NTP for time synchronization, so the timestamp should be accurate within one second.

hi all! subj из коробки (с иксами и кде):

[user@fbsd10] /home/user% su
Password:
su: Sorry
[user@fbsd10] /home/user% sudo csh
Password:
Sorry, try again.
sudo: 1 incorrect password attempts
[user@fbsd10] /home/user% pkexec csh
==== AUTHENTICATING FOR org.freedesktop.policykit.exec ===
Authentication is needed to run `/bin/csh' as the super user
Authenticating as: user
Password: [ввожу пароль пользователя user]
==== AUTHENTICATION COMPLETE ===
[root@fbsd10] ~# id
uid=0(root) gid=0(wheel) groups=0(wheel),5(operator)

похоже, дело в /usr/local/share/polkit-1/actions/org.freedesktop.policykit.policy
работает также на PCBSD 10.х

На прошлой неделе синфлудили почтовый сервер нашей конторы. Отбился, благо был DoS, а не DDoS. Больше флуда не было. Стал присматривать за "netstat -nt | grep SYN_RECV" и увидел, что время от времени появляются одиночные подключения извне вида:

tcp        0      0 <мой IP>:25         <внешний IP>:80         SYN_RECV

Такие подключения могут повторяться по нескольку часов, и, что характерно, по одному (лишь один раз наблюдал сразу два), то есть на попытку DoSа не похоже. Причём порт, с которого приходят пакеты - всегда 80 или (реже) 443, а IP-адреса разные. Вреда от этого, конечно, никакого, но мало ли...

Коллеги, не сталкивались ли вы с чем-то подобным? Хотелось бы понять, что это за гаврики, стоит ли опасаться, или просто заб[иы]ть.

Добрый день
Обычно в системе (использую CentOS), настройки iptables можно править /etc/sysconfig/iptables.
Попалась система с установленным fail2ban, который сам генерирует конфиг для iptables. Вопрос, как можно изменить конфиг iptables, например закрыть определенные порты, или разрешить определенные адреса и т.д. при этом не ломая fail2ban?

Всем доброго
Надеюсь таким образом дойдет информация до ИТ службы втб24 что smtp сервер залетел в черный список dnsbl, ниже приведу одно из последних писем переписки с банком, я конечно понимаю что Россия страна дураков и поганых дорог, но может пора бы перестать тупить ...
( Заодно и другим будет наука жизни как работается в компаниях системным администратором в России, когда соприкасаешься со сторонними ресурсами обслуживаемых приходящими студентами - админами.
Фамилии и имена изменены ):

Уважаемый Бил Гейтс!

Сообщаем, что данное сообщение может быть передано в профильное подразделение Банка при указании наименования получателя данного запроса. К сожалению, в текущей ситуации информация не может быть перенаправлена для анализа.

С уважением,

Попова Анастасия

Управление клиентской поддержки

ВТБ 24 (ПАО)

From: "Бил Гейтс" [mailto:admin@microsoft.com]
Sent: Monday, December 08, 2014 10:03 AM
To: ВТБ24
Subject: Re: ВТБ24

Добрый день

Эта информация для ИТ службы vtb24 - для системного администратора, из этой информации следует что почтовый сервер mx01.vtb24.ru внесен в "черный" список антиспам/антивирус служб dnsbl.

( https://ru.wikipedia.org/wiki/DNSBL - DNSBL — DNS blacklist или DNS blocklist — списки хостов, хранимые с использованием системы архитектуры DNS. Обычно используются для борьбы со спамом. Почтовый сервер обращается к DNSBL, и проверяет в нём наличие IP-адреса клиента, с которого он принимает сообщение. При положительном ответе считается, что происходит попытка приёма спам-сообщения. Серверу отправителя сообщается ошибка 5xx (неустранимая ошибка) и сообщение не принимается. Почтовый сервер отправителя создаёт «отказную квитанцию» отправителю о недоставке почты. )

05.12.2014 15:16, ВТБ24 пишет:

    Уважаемый Бил Гейтс, добрый день!

    

    К сожалению, предоставленной Вами информации недостаточно для составления полного ответа.

    Для получения консультации рекомендуем Вам уточнить вопрос/изложить проблему или связаться со специалистом горячей линии по телефону (495) 777-24-24 или 8 (800)100-24-24 (звонок по России бесплатный).

    

    С уважением,

    Фурялин Дмитрий

    Управление клиентской поддержки

    ВТБ 24 (ПАО)

    

    From: admin@microsoft.com [mailto:admin@microsoft.com]
    Sent: Friday, December 05, 2014 10:17 AM
    To: ВТБ24
    Subject: Вопрос: Москва

    

    Последние 4 цифры карты
        

    ФИО
        

    Бил Гейтс

    Город
        

    Москва

    Телефон
        

    (800) 123-12-12

    E-mail
        

    admin@microsoft.com

    Вопрос
        

    - для ИТ службы vtb24.ru - Выписка из лог файла нашей почтовой системы: .. blocked using fl.chickenboner.biz (total: 6) .. 1 mx01.vtb24.ru .. ..

    

Если клиент запрашивает https сайт можно ли его перебросить на ip:port из wpad.dat? Доступа к wpad.dat у меня нет(его даёт другая организация):

http://example.com/wpad.dat

Если бы они давали просто ip и порт своего proxy, тогда, конечно, сделал бы так:

iptables -t nat -A OUTPUT -p tcp --dport 443 -j DNAT --to-destination SQUIDIP:3129

А с wpad'ом можно ли придумать нечто аналогичное?

Доброго времени суток, помогите пожалуйста новичку!

Задача: Нужно чтобы сервер(с1) не знал что трафик к нему идет от сервера(с2).
с1 знает IP с2, поэтому надо как-то изменить заголовок пакетов. К настройкам с1 я доступа не имею, на с2 я могу прописать только адрес и порт куда ему послать трафик. Никаких настроек прокси и т.п. там нет. Все сервера и я находимся в разных странах.Я решил (возможно ошибся) что можно изменить src_addr пробросив трафик через себя, т.е. сказать с2 направлять трафик на мой внешний адрес, который я имею когда поднимаю VPN и переправлять пакеты на с1 через шлюз моего провайдера доступа в интернет(3G-modem). Но у меня ничего не выходит. Проброс трафика получается только если использовать шлюз VPN-a, но тогда нет смысла. Если я пробрасываю внешний IP на сайт который показывает IP (2ip.ru и т.п.) через шлюз VPN-a, то вижу тот-же IP,  как если бы я просто зашел на этот сайт без всяких пробросов. А надо чтоб показался адрес выданный мне 3G-провайдером.
Несколько дней рылся в гугле, но ничего подобного не нашел. Может этот вариант вообще тупиковый? Но как тогда решить задачу?

Добрый день! Подскажите примером если можно
Как обойтись без второго ната, если задача такая:
Есть два белых IP, один IP нужно раздать на подсеть 192.168.0.0., другой Ip нужно раздать двум серверам и сделать проброс портов(я так понимаю для этого нужно поднять второй natd и занатить подсеть например 192.168.1.0 и сделать форвардинг портов?). Имеем   шлюз freebsd 9.3 с двумя сетевыми картами(инет\локалка)

Всем привет.
Пытаюсь прикрутить geoip к iptables чтобы забанить китай.
Установил xtables-addons-common
Скачал и распаковал куда надо базу geoip, но при добавлении правила в iptables мне выдает ошибку:
Could not open /usr/share/xt_geoip/LE/CN.iv4: No such file or directory

Лезу в этот каталог и вижу файлы с расширением только .iv0 в том числе и CN.iv0
Где мне взять тот файл с расширением .iv4?

Здравствуйте!
Прошу помощи, не могу сам разобраться.
Ситуация такая, есть интернет по кабелю, воткнут в роутер, в роутер воткнут raspberry pi(ОС rasbian, основан на debian) имеет адресс 192.168.1.40.
В другом месте есть сервак на ubuntu 12.10 с интернетом, с установленным там teamspeak сервером.
Задача: подключаться к серверу teamspeak через интернет от первой точки.
Сделано: ubuntu подключается к raspberry с помощью openvpn и попадают в сеть 10.10.100.1(сервер rasbian) и 10.10.100.22(клиент ubuntu).
На роутере проброшен порт 9987 UDP на адресс 192.168.9.40(когда там стоял тоже ubuntu с teamspeak сервером и это было достаточно, всё работало)теперь там стоит raspberry, а на него нет порта teamspeak:(
На raspberry настроен iptables такого вида(видом было на самом деле уже очень много)
*mangle
:PREROUTING ACCEPT
:INPUT ACCEPT
:FORWARD ACCEPT
:OUTPUT ACCEPT
:POSTROUTING ACCEPT
COMMIT

*filter
:INPUT ACCEPT
:FORWARD ACCEPT
:OUTPUT ACCEPT

-A FORWARD -i tun0 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o tun0 -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT
:INPUT ACCEPT
:OUTPUT ACCEPT
:POSTROUTING ACCEPT
-A PREROUTING -i eth0 -p udp -m udp --dport 9987 -j DNAT --to-destination 10.10.100.22

-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

что имеем с такими правилами, пытаемся подключиться клиентом teamspeak на внешний адрес роутера, выдает ошибку подключения
Смотрим tcpdump -i tun0 на обоих сереверах и видим
на raspberry
16:38:58.908512 IP user.ru.52362 > 10.10.100.22.9987: UDP, length 34
16:03:11.062634 IP user.ru.52362 > 10.10.100.22.9987: UDP, length 177
16:03:11.062634 IP user.ru.52362 > 10.10.100.22.9987: UDP, length 34
и еще несколько похожих строк

на ubuntu
16:03:11.062634 IP user.ru.52362 > 10.10.100.22.9987: UDP, length 34
16:03:11.062634 IP user.ru.52362 > 10.10.100.22.9987: UDP, length 176
16:03:11.062634 IP user.ru.52362 > 10.10.100.22.9987: UDP, length 34
и еще несколько похожих строк

пакеты идут в одну сторону, обратно не идут

Если подключаться к teamspeak серверу, напрямую по локалке то работает, также работает если подключится к серверу впн и по тунелю уже к teamspeak серверу(в впн стоит, чтоб клиенты видели друг друга).

Почему через внешний адрес не работает? Буду рад любым советам.

Здравствуйте.
Подскажите как можно установить демона (sshd,pptpd может друго что посоветуете) через телнет на роутеры asus, dlink и т.п..
make, dpkg, rpm не работают уже 3 дня сижу не могу разобраться.
Цель: создать цепочку в три роутера (туннель), что-бы весь трафик шел через него.
Спасибо.

Собственно сабж.
Столкнулся случайно с тем, что при "убивании" процесса xfce4-screensaver с консоли происходит разблокировка экрана пользователя. Это нормально?

skif@ubuntu-mob:~$ uname -a
Linux ubuntu-mob 3.13.0-36-generic #63-Ubuntu SMP Wed Sep 3 21:30:07 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux
skif@ubuntu-mob:~$ cat /etc/lsb-release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=14.04
DISTRIB_CODENAME=trusty
DISTRIB_DESCRIPTION="Ubuntu 14.04.1 LTS"
skif@ubuntu-mob:~$ dpkg -l | grep xubuntu-desktop
ii  xubuntu-desktop                                       2.180                                               amd64        Xubuntu desktop system
s

Коллеги, в связи с уязвимостью в bash, стала задача обновить его на продакшн вэб сервере, т.к. Bash  является шеллом по умолчанию. На сервере
FreeBSD версии 7.2-RELEASE-p4, досталось всё это мне от предыдущего админа, и т.к. с этим сервером работать не приходилось лично мне до сего дня, то не могу в данный момент сказать насколько там Bash актуален, т.е. зависим ли nginx от Bash, если не зависим тогда вероятно можно было бы с bash сменить шелл по умолчанию.
Коллеги, с FreeBSD работал немного, с принципами портов и пакетов знаком, но  времени крайне мало чтобы решать тонкие моменты, т.к. параллельно и другие есть задачи, поэтому нужна ваша помощь.
Каким максимально быстрым/правильным/безопастным путем решить эту задачу, можно ли решить эту задачу без обновления всей системы ?
Спасибо!

Попробовал пользоваться ipkungfu дабы рутинные операции автоматизировать, в результате он генерирует следующие правила:

# Generated by iptables-save v1.4.14 on Tue Sep 30 14:56:55 2014
*nat
:PREROUTING ACCEPT [61:5293]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Tue Sep 30 14:56:55 2014
# Generated by iptables-save v1.4.14 on Tue Sep 30 14:56:55 2014
*mangle
:PREROUTING ACCEPT [61:5293]
:INPUT ACCEPT [61:5293]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A OUTPUT -p icmp -j TOS --set-tos 0x10/0x3f
-A OUTPUT -p tcp -m tcp --dport 20 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -p tcp -m tcp --dport 21 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -p tcp -m tcp --dport 21 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -p tcp -m tcp --dport 25 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -p udp -m udp --dport 53 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -p tcp -m tcp --dport 63 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -p tcp -m tcp --dport 80 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -p tcp -m tcp --dport 110 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -p tcp -m tcp --dport 113 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -p tcp -m tcp --dport 123 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -p tcp -m tcp --dport 143 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -p tcp -m tcp --dport 443 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -p tcp -m tcp --dport 993 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -p tcp -m tcp --dport 995 -j TOS --set-tos 0x08/0x3f
-A OUTPUT -p tcp -m tcp --dport 1080 -j TOS --set-tos 0x10/0x3f
-A OUTPUT -p tcp -m tcp --dport 6000:6063 -j TOS --set-tos 0x08/0x3f
COMMIT
# Completed on Tue Sep 30 14:56:55 2014
# Generated by iptables-save v1.4.14 on Tue Sep 30 14:56:55 2014
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:syn-flood - [0:0]
-A INPUT -s 192.168.1.0/24 -i lo -m state --state NEW -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 0.0.0.1/32 -i lo -j LOG --log-prefix "IPKF_IPKungFu "
-A INPUT -m recent --rcheck --seconds 120 --name badguy --rsource -j DROP
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -m limit --limit 3/sec -j LOG --log-prefix "IPKF_flags_ALL: "
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m limit --limit 3/sec -j LOG --log-prefix "IPKF_flags_NONE: "
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -m limit --limit 3/sec -j LOG --log-prefix "IPKF_PORTSCAN_nmap_XMAS: "
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -m limit --limit 3/sec -j LOG --log-prefix "IPKF_PORTSCAN_nmap_FIN: "
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -m limit --limit 3/sec -j LOG --log-prefix "IPKF_flags_SYN_FIN: "
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 3/sec -j LOG --log-prefix "IPKF_flags_SYN_RST: "
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -m limit --limit 3/sec -j LOG --log-prefix "IPKF_SYN_RST_ACK_FIN_URG: "
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m limit --limit 3/sec -j LOG --log-prefix "IPKF_PORTSCAN_nmap_NULL: "
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j DROP
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p tcp -m state --state INVALID -m limit --limit 3/sec -j LOG --log-prefix "IPKF_Invalid_TCP_Flag: "
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 13 -m limit --limit 3/sec -j LOG --log-prefix "IPKF_ICMP_Timestamp: "
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 13 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
-A INPUT -i eth0 -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -m limit --limit 3/sec -j LOG --log-prefix "IPKF_New_Not_SYN: "
-A INPUT -i eth0 -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -i eth0 -p tcp -m multiport --dports 137,6666 -j DROP
-A INPUT -i eth0 -p udp -m multiport --dports 1434 -j DROP
-A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.1.0/24 -o eth0 -p udp -m state --state INVALID -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 192.168.1.0/24 -o eth0 -p tcp -m state --state INVALID -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth0 -m recent --rcheck --seconds 120 --name badguy --rsource -j DROP
-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -m limit --limit 3/sec -j LOG --log-prefix "IPKF_flags_ALL: "
-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m limit --limit 3/sec -j LOG --log-prefix "IPKF_flags_NONE: "
-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -m limit --limit 3/sec -j LOG --log-prefix "IPKF_flags_FIN_URG_PSH: "
-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -m limit --limit 3/sec -j LOG --log-prefix "IPKF_PORTSCAN_nmap_XMAS: "
-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -m limit --limit 3/sec -j LOG --log-prefix "IPKF_flags_SYN_FIN: "
-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 3/sec -j LOG --log-prefix "IPKF_flags_SYN_RST: "
-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -m limit --limit 3/sec -j LOG --log-prefix "IPKF_SYN_RST_ACK_FIN_URG: "
-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m limit --limit 3/sec -j LOG --log-prefix "IPKF_PORTSCAN_nmap_NULL: "
-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j DROP
-A FORWARD -i eth0 -p tcp -m state --state INVALID -m limit --limit 3/sec -j LOG --log-prefix "IPKF_Invalid_TCP_flag: "
-A FORWARD -i eth0 -m state --state INVALID -j DROP
-A FORWARD -i eth0 -p icmp -m icmp --icmp-type 13 -m limit --limit 3/sec -j LOG --log-prefix "IPKF_ICMP_Timestamp: "
-A FORWARD -i eth0 -p icmp -m icmp --icmp-type 13 -j DROP
-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
-A FORWARD -i eth0 -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -m limit --limit 3/sec -j LOG --log-prefix "IPKF_New_Not_SYN: "
-A FORWARD -i eth0 -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
-A FORWARD -i eth0 -p tcp -m multiport --dports 137,6666 -j DROP
-A FORWARD -i eth0 -p udp -m multiport --dports 1434 -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state NEW -j ACCEPT
-A syn-flood -m limit --limit 10/sec --limit-burst 24 -j RETURN
-A syn-flood -m limit --limit 3/sec -j LOG --log-prefix "IPKF_SYN_flood: "
-A syn-flood -j DROP
COMMIT

Это базовый набор, которые будет дополняться уже вручную.
К такому набору есть немало вопросов, например:
зачем вот это правило: -A INPUT -m recent --rcheck --seconds 120 --name badguy --rsource -j DROP
какие пакеты под него подпадают?
Ну и общие вопросы - кто как формирует правила фаервола на серверах, бэстпрактикс?
Насколько оправданно использование ipkungfu на серверах?

День Добрый!
Настроил ipsec туннель между двумя FreeDSD 10.0 шлюзами.
Канал интернета между шлюзами 100 мбит.
Пробую копировать информацию с рабочих станций за шлюзами, скорость до 2.5 мб/сек.
Один из шлюзов стоит на Hyper-V.

-->>В чем может быть причина такой низкой скорости? <---- Помогите разобраться!!!!

FreeBSD-10.0-RELEASE-i386-dvd1.iso
Стоит вот этот релиз.
Для FreeBSD на виртуалке выделено 5 гб. оперативки и 4 процессора. Я не уверен что используются все ресурсы, так как не знаю как это проверить.
Второй шлюз стоит на машине с i7 и 8 гб. оперативки.

Я пробовал настраивать туннель с шифрованием, без, с gif интерфейсом и без него, но скорость все-равно больше не становится.

На всякий случай скажу, к виртуалке у меня подключено 2 устаревших сетевых адаптера.

Заранее благодарю!

Здравствуйте!
Есть сервер в локалке с роутером, на роутере сделан проброс порта 8080 до сервера.
Роутер TP-Link 3220 с Мегафон М100-4, статика.
В связи со спецификой Мегафона прямой доступ между устройствами, использующими интернет от Мегафон невозможен.

Задача - обеспечить возможность удаленного доступа по внешнему ip на сервер с любых устройств, использующих интернет Мегафон (это беспорядочный набор мобильных телефонов)

У меня есть такая идея - дома стоит Asus RT-N16 со статикой. Он умеет telnet, iptables. Хотелось бы через него гнать весь трафик. То есть все заходят по ip:port на Asus RT-N16, а он уже редиректит все на TP-Link 3220 и обратно.

Пусть ip Asus RT-N16 = 1.1.1.1
ip TP-Link 3220 = 2.2.2.2
Я прописал:
iptables -A INPUT -p tcp -m multiport --dports 8080 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d 1.1.1.1 --dport 111 -j DNAT --to-destination 2.2.2.2:111
iptables -t nat -I POSTROUTING -d 2.2.2.2 ! -s 1.1.1.1 -j SNAT --to-source 1.1.1.1

но оно не сработало.

Провожу аудит сети после увольнения системного администратора и заметил два непонятных нюанса в сети. Помогите разобраться.

1. Роутер Linksys EA6400 - две штуки. Работают в режиме точки
2. Роутер D-Link DAP-1360/D1 - одна штука. Работает в режиме точки.

Просканировав nmap'ом их, увидел, что у них открыты странные порты. У Linksys'ов открыт порт 10000/tcp, а у D-Link'а открыт 8888/tcp. На pastebin выложил лог nmap'а.

http://pastebin.com/mSmfWcGK

Пытаюсь понять, это какой-то троян/бэкдор или системные службы. Подскажите.

Спасибо.

Привет всем,
подключаюсь с машины с Windows через интернет к серверу sshd на Ubuntu для работы через тоннель. Подключение проходит нормально. Для подключения использую параметры командной строки:
ssh -i id_rsa -L 127.0.0.1:999:192.168.10.10:999 -p 443 admin@95.172.95.95
После авторизации образуется тоннель и выполняется вход в командную оболочку под пользователем admin.

Вопрос: мне от этого подключения нужен только тоннель, командная оболочка не нужна. Как ее запретить для подключающегося пользователя? Либо может быть запретить выполнение любых команд в ней?
Отключать нужно по логике со стороны sshd... Почитал справку - как сделать не нашел. Есть только упоминание об этом в описании параметра конф.файла AllowTcpForwarding: "пока пользователям не запрещен доступ к командной оболочке"...

AllowTcpForwarding
    Определяет, будет ли разрешено перенаправление TCP. По умолчанию ``yes''. Имейте ввиду, что отключение пересылки TCP не увеличит безопасность пока пользователям не запрещен доступ к командной оболочке, так как они всегда могут установить свои собственные перенаправления.

Вообще было бы идеально, чтобы для каких-то пользователей можно было бы запретить командную оболочку, а для каких-то разрешить...

Дано:

1-й файл, контрольная сумма: 0x30A83700, размер: 588800
2-й файл, контрольная сумма: 0x27D65500, размер: 70983868
3-й файл, контрольная сумма: 0xC072BC00, размер: 3560767488  

Найти: Алгоритм расчёта контрольной суммы. :D

---
Для второго файла, CRC32 и Adler не канают.

Adler32: 0x5b53aaa9
CRC32:   0xc78df808

Подскажите где купить недорого comodo positive ssl
Нашлось из путевого только https://rus.gogetssl.com/domain-validation/comodo-positive-ssl/
Есть ли еще варианты, желательно наши продавцы.