С помощью udisk:

# udisksctl unlock --block-device /dev/sda4
# udisksctl mount --block-device /dev/mapper/PUSSYCATS-VOLNAME

Или вручную:

# cryptsetup open --key-file=/secret.key /dev/sda4 cryptlvm
# vgchange -a y --ignorelockingfailure PUSSYCATS
# mount /dev/PUSSYCATS/VOLNAME /mnt

Где PUSSYCATS - имя твой VG, а VOLNAME - имя тома. Ты сам их давал, когда создавал.

>[оверквотинг удален]
>         #  Port on
> which to listen.
>         #  Allowed values
> are:
>         #    
>    integer port number (1812)
>         #    
>    0 means "use /etc/services for the proper port"
>         port = 0
> }

нашел ответ!
при выполнении FREERADIUS -X
служба FREERADIUS должна быть остановлена
service freeradius stop

>[оверквотинг удален]
>         #  Port on
> which to listen.

Failed binding to authentication address 127.0.0.1 port 1812
https://atozsofts.com/blog/funny-wifi-names/
>         #  Allowed values
> are:
>         #    
>    integer port number (1812)
>         #    
>    0 means "use /etc/services for the proper port"
>         port = 0
> }

> Сейчас можно получить ЭЦП  для госуслуг и прочих вещей. Недорого. 1000
> рублей.

Купи лучше пива на эти деньги.

> 1. Как я понял российские ГОСТ на эту тему являются просто узакониванием
> западных имеющихся алгоритмов?

Нет. У нас свой, особый путь.

> 2. Почему при получении ЭЦП закрытый ключ генерируется на стороне выдающей организации,
> а не мной, с дальнейшей передачей CSR запроса на получение сертификата?

Чтобы майору не нужно было лишний раз вставать со стула.

> 3. Есть ли гарантии, что закрытый ключ после выдачи мне флешки с
> ним и сертификатом у выдающей стороны будет уничтожен? Иначе кто знает,
> что им можно потом наподписывать.

Ну а для чего тебе это впаривают?. Как кто-то недавно заметил, существует огромный пласт людей, которые не желают брать кредиты, не хотят вести активную общественную жизнь, и это создает ощутимые проблемы банковскому и правоохранительному секторам...

> 3. Есть ли гарантии ... ?

гарантии вам может дать страховой полис

>[оверквотинг удален]
> который смотрит внутрь локальной сети.
> В локалке есть сервер 192.168.1.50
> Выход из локалки настроен через 10.0.0.1 с маскарадингом.
> Какими правилами можно задать переброс порта при обращение по 10.0.0.2:25 на 192.168.1.50:2500
> был бы один ip на eth0, то прописал бы
> iptables –t NAT –A PREROUTING –i eth0 –p tcp –dport 25 –j
> DNAT –-to 192.168.1.50:2500
> iptables –A FORWARD –i eth0 –p tcp –dport 25 –d 192.168.1.50
> –j ACCEPT
> как быть с двумя ip не соображу

в цепочке PREROUTING  можно убрать интерфейс и указать -d IP (на выбор)
и в цепочке форвард тот-же подход

> Есть интерфейс eth0 c двумя ip 10.0.0.1 и 10.0.0.2, и интерфейс eth1
> который смотрит внутрь локальной сети.
> В локалке есть сервер 192.168.1.50
> Выход из локалки настроен через 10.0.0.1 с маскарадингом.
> Какими правилами можно задать переброс порта при обращение по 10.0.0.2:25 на 192.168.1.50:2500

С помощью iptables - никак. Ты пытаешься сделать несимметричную маршрутизацию - вход через 10.0.0.2, а выход через 10.0.0.1.

Теоретически можно нагнуть 192.168.1.50, чтобы пакеты соединений на порт 2500 не шли по default route на 10.0.0.1, а уходили на 10.0.0.2 - http://www.tldp.org/HOWTO/Adv-Routing-HOWTO/lartc.netfilter....

На 10.0.0.2 сделаешь SNAT и вроде как заработает.

А практически это разбрасывание граблей при уборке граблями подводных камней. Идущий за тобой обязательно наткнётся на подводные грабли.

Подумай, как не делать того, что ты делаешь.

номер правила явно не указан - потому и нули. ставится ясен пень последним с соответствующим номером.
:default - проверка динамических правил теперь тоже со своими flowname.
да идите уже ман почитайте. только не старый в интернетах в вольных переводах, а тот что в системе. заодно еще много чего нового найдете.

> Здравствуйте.
> Подскажите, пожалуйста, не могу разобраться. Есть Debian 8, установлен pptpd, белый внешний
> адрес. Внутренняя сеть формата 192.168.1.х, после подключения с windows-клиента извне,
> получаемый remoteip вида 192.168.3.х, видны и доступны все компьютеры сети, кроме,
> например 192.168.1.111. Причем, если по rdp подключиться к компьютеру, например, 192.168.1.222,
> то с него можно по rdp зайти на 192.168.1.111, а сразу
> после подключения по vpn - нет. В чем может быть проблема,
> всю голову сломал.
> С уважением, Константин, заранее спасибо за ответ.

отключите  файерволл  и проверьте дефолт маршрут на 192.168.1.111

видимо раньше ppp+ натился в твою локалку...

> Путь до файла правил естественно исправлю. Тип "OPEN" уберу. Пока добавляю правила
> на лету. Внёс следующие правила:
> 01000 allow ip from x.x.x.x/a to me
> 01100 allow ip from y.y.y.y/b to me
> Но при задании правила
> 10000 deny ip from any to me
> Заблокировал доступ к серверу вообще. Пришлось с консоли снимать это правило. Что
> я забыл, неправильно понял и сделал не так?

А в обратную сторону пакеты должны ходить или как

> мне надо завернуть все исходящие в мир из внутренней сети и приходящие
> на ЛАН freebsd все пакеты которые идут на ip в мире
> x.x.x.x port x
> на внутренний локальный Ip шник y.y.y.y port x, котрый находится на другой
> машине

Per rectum ad astra.
Настройте DNS правильно.
Вашим путем теоретически пойти можно, но nat lan-to-lan - это как минимум странно, а в практической реализации еще и криво.

> Здравствуйте.
> Подскажите пожалуйста правил на ipfw
> в ситуации:
> есть 2 интерфейса freebsd (лан-ван)
> мне надо завернуть все исходящие в мир из внутренней сети и приходящие
> на ЛАН freebsd все пакеты которые идут на ip в мире
> x.x.x.x port x
> на внутренний локальный Ip шник y.y.y.y port x, котрый находится на другой
> машине
> Спасибо

man ipfw /forward ( - примерно пятое попадание) кто за вас будет? Хотя, значительно лучше будет с самого начала.

Если с английским совсем туго, начать можно отсюда: https://www.opennet.dev/man.shtml?topic=ipfw&category=8&russi.... Но ман своей версии *bsd, всё равно, прочитать потом нужно будет - с момента публикации на сайте могли произойти немаленькие изменения.

> Добрый день.
> Во время запуска сервера linux, ferm не стартует
> Starting Firewall: fermiptables-restore: host/network `mail.ru` not found
> Строка из конфигурации
> saddr 192.168.0.12 proto (udp tcp) daddr (mail.ru) dport (443) ACCEPT;
> Если ее закоментировать, или mail.ru сменить на ip-адрес, то ferm загрузится.
> Если после перезагрузки сервера запустить вручную Ferm, то firewall запустится.
> Что можно сделать?
> Еще смущает, даже если сервер 10 раз корректно запустится, а потом опять
> dns не увидит. И без firewall останусь временно.

Указать, чтоб сервис рестартовал если вдруг упал
man systemd.service

описание параметра
Restart=

> saddr 192.168.0.12 proto (udp tcp) daddr (mail.ru) dport (443) ACCEPT;
> Что можно сделать?

- указать daddr в виде ip
- поменять порядок запуска служб так, чтобы ферма стартовала после того, как запустятся все прочие сетевые приблуды
- написать скрипт, который будет мониторить и стартовать файрвол

>[оверквотинг удален]
> (uid=0)
> Jul 19 15:11:09 deb systemd-logind[802]: New session 3371 of user lion.
> Jul 19 15:11:09 deb systemd: pam_unix(systemd-user:session): session opened for user lion
> by (uid=0)
> Jul 19 15:11:09 deb sshd[9219]: pam_unix(sshd:session): session closed for user lion
> Jul 19 15:11:09 deb systemd-logind[802]: Removed session 3371.
> Jul 19 15:11:09 deb systemd: pam_unix(systemd-user:session): session closed for user lion
> после входа систему выполнил команду например dir и сразу вышел, а в
> bash_history виденная моя команда не прописалось.
> Где нужно настроить чтоб виденные команды запивались в файл?

Вот так нормально будет:

Mar 14 17:25:52 server193741 bash: HISTORY: PID=8543 UID=0 less /var/log/messages

?

Не вы первый.
Следует хотя бы разделить задачу: провайдер, атакующий, форумы.

В последнее время многие активно пишущие в рунете свои мысли столкнулись с аналогичными проблемами. Провайдер, конечно, "при чём", но не надо делать из него профессионального дьявола. Схема работает несколько иначе.
Есть государство, есть граждане. Граждане иногда выражают своё мнение, идущее в разрез с линией представителей "охраняющих" государство. Благодаря интернету выражать свои мысли большему числу людей стало проще, это уже не кухонные беседы. И в нормальном государстве мнение его жителей учитывается.

Делать всех граждан счастливыми неимоверно трудно, дорого и таки да нужно работать. Поэтому "охранники" приняли более простое решение спонсировать некую маргинальную группу граждан, объединив их в коммерческое предприятие. Эти граждане засирают весь интернет сообщениями как "всё хорошо". Но качество их работы, мягко говоря, низкое, благодаря этому их действия вызывают скорей обратный эффект. Но для изменения статистики разделения голосов и мнений представителей страны в сети таких маргиналов достаточно. Для более же глубокой работы по населению задействованы не менее маргинальные, но легче обучаемые представители молодежи так называемые умные призывники.

На базе известного продукта сервиса мониторинга с удобным ситуационным центром интернета была создана система реагирования, позволяющая контроллировать пульс рунета. Продукт, изначально предназначенный для предупреждения инцидентов и утечек, встал на страже интересов "охранки".

Как это работает: Стоит появится в сети какому-то, идущему в разрез с линией партии, новому сообщению, срабатывает индикатор вышеупомянутой программы, боты и маргиналы принимают целеуказание и данное сообщение топится минусами или убирается как можно дальше через создание множества новых тем(да, те самые котики и их вариации), автор ставится на контроль (да, тут задействован провайдер) вплоть до изменения маршрутизации персонально для этого пользователя, затем начинается адресная работа - сделать жизнь данного индивида невыносимой. Это не так сложно как кажется на первый взгляд. Пользователь сети, имевший неосторожность реализовать право на выражение своих мыслей в соответствии с Конституцией, получает личного "куратора". Теперь все его сообщения, весь его  интернет-траффик перлюстрируется(да, я хотел бы быть психом-параноиком, но к сожалению на дворе 2018, мы живём в России и вы прекрасно знаете имя авторши этого закона). Скачиваемые приложения, образы и обновления ОС и пр. идут с внедренными закладками. Это нетрудно сделать даже в пределах одной локалки, но если вы контроллируете всю сеть страны никто и не заметит как какой-нибудь firefox, хром и его расширения стали неродными, то же самое касается образов и обновлений Windows, Mac OS и последнее время популярных дистрибутивов Linux. Скачивая какой либо продукт с сайта производителя через рунет вы не можете быть уверенным в том, что скачиваете "родное" приложение с "родного" сайта. Утечки неотозванных сертификатов крупнейших производителей ПО этому только способствуют. Запад только начал осмысливать проблему и меры против того же касперского это лишь первые звоночки. Я понимаю как нарисованная картина выглядит для впервые столкнувшегося с этой темой.

Дело телеграма в этом плане показательно, это один из немногих способов общения оставшийся неподконтрольным охранке. Все топовые развлекательные сайты и форумы "сотрудничают" в той или иной форме. На большинстве сетевых ресурсов добровольными модераторами являются "сотрудники". Именно для расширения сферы влияния и был принят план по всеобщей интернетизации страны. По сути все IT-шники стали заложниками "тёмных", уподобившись представителям романа Быкова "Орфография" и разделившись на "елагинцев" и "крестовцев". Одни либеральничали, другие сотрудничали, но все кончили одинаково плохо. Выжил только тот, кто свалил...

> 0b01011001 XOR 0b11111111 ->  0b10100110
> 0b11111010 XOR 0b11111111 ->  0b00000101
> 0b10001001 XOR 0b11111111 ->  0b01110110
> ...

> Вопрос такой. Есть корпоративный сервис отправки SMS сообщений, который

Если руководство реально озабочено целевым использованием сервиса, проще собирать логи отправлений, содержащие сведения об отправителях и отправляемых сообщениях, анализировать их раз в неделю и по результатам выписывать живительных любителям халявы.
Судя по винегрету, на котором у вас все это реализовано, административный вариант будет еще и надежнее в техническом отношении...

>[оверквотинг удален]
> Вопрос: нужно определиться с алгоритмом шифрования. Предполагается симметричное шифрование,
> размещение ключа на компьютере оператора и на редиректоре.
> Главное требование: результатам шифрования должна быть символьная строчка с набором символов,
> пригодных для подстановки в GET запрос.
> Программа оператора (которая будет шифровать) это MS Access. И тут главный вопрос,
> как зашифровать? что бы потом можно было расшифровать на PHP. Не
> силён я в Access.
> Программа редиректора (который будет расшифровывать) - PHP.
> Про base_64 и url_decode знаю. Крайний вариант их использовать, если алгоритм с
> требуемым свойством выдавать текстовую строчку, отсутствует.

закрыть доступ к сервису бэсик авторизацией?
сервис оператора соответственно будет сам авторизоваться
минимум самопала. все штатно.

Смотрите самое первое что приходит:
1- отправлять данные не GET методом, а POST методом (зачем все светить в адресной строке, в логах и в поисковиках)
2- шифруйте данные стойкими шифрами используя асимметричные ключи (private/public)
3- перейти на HTTPS (от лишних глаз хоть какая-та маскировка, можно параноиком быть и требовать клиентский сертификат)
4- читать читать и еще раз читать. зачем симметричное шифрование если кто-то из недобросовестных выложит пароль/ключ
5- и т.д. и т.п.

Была тоже такая проблема, вычислил, с телефона (Android) снимал и узнавал информацию.  

>[оверквотинг удален]
> ( бесплатная версия), но проблемы этоне снимает .
> Каким то образом данные все равно к нему  утекают ,  
> вирусов -  шпионов вроде не обнаружил , если  SecurityKISS
> Tunnel  не надежно шифрует  , то он не первый
> и нареканий в сети на него не нашел .
> Проконсультируйте пожалуйста  в  чем дело,  как и почему  
>  к нему утекают данные .  Может по какимм то
> другим параметрам кроме айпи ( он  у меня белый )
> он меня вычисляет .
> Благодарю за внимание.

У тебя левых сертификатов нет? При помощи них можно расшифровывать https. Попробуй просто переставить систему, чувствую, подвох там. Какой у тебя роутер? Мб он в интернет смотрит. Обнови его прошивку, смени пароли, можно перед этим скинуть его настройки.

> Хочу маршрутизировать трафик к заблокированным ресурсам через wireguard.
> Распарсил список блокировок отсюда https://github.com/zapret-info/z-i Объединил адрса
> по маскам там где это возможно.
>  Получилось ~60K записей, добавил все это в таблицу маршрутизации ip route
> add $IP/prefix via 10.0.0.1 dev wg0
> Как не странно все работает, ничего не изменилось по ощущениям.
> Какие могут быть проблемы от такого количества записей в таблице? Для iptables
> есть ipset, а для роутинга есть что-нибудь оптимизированное под сотни тысяч
> записей?

а чем вариант iptables + ipset + mark + ip rule не устраивает?

Че вы паритесь, неделька-лругая и можно будет спокойно дефаулт на vpn заворачивать :)

> Хотел узнать кто из секьюрити компаний продает подобные сертификаты?

Это не сертификат, а алгоритм подписи.
Попроси любую контору, чтоб бонусом ещё и подписала с PSS.

> Активные режим - это подключение между 20 портом и портом клиента >
> 1023 (сначала 21, затем 20 - >1023).

В активном режиме клиент сообщает серверу номер порта (из динамического диапазона 1024-65535) для того, чтобы сервер мог подключиться К КЛИЕНТУ для установки соединения для передачи данных. FTP-сервер подключается к заданному номеру порта КЛИЕНТА, используя со своей стороны номер TCP-порта 20 для передачи данных.

> 52 allow tcp from any to me dst-port 21,50000-60000 setup

Вы разрешили клиенту подключаться к СЕРВЕРУ, да еще и зарезали диапазон портов. У вас и пассивный ftp через ж#опу работать будет.

> Как восстановить файловую систему на внешнем жёстком диске и не потерять файлы？Поиск
> Google рекомендует Bitwar Восстановление данных, является надежным?

Это левое ПО.

http://www.cgsecurity.org/wiki/TestDisk_RU -- восстановление разделов
http://cgsecurity.org/wiki/PhotoRec -- восстановление файлов

> Google рекомендует Bitwar Восстановление данных, является надежным?

Восстановление данных из резервной копии является надёжным. Всё остальное - как повезёт.

> Как восстановить файловую систему на внешнем жёстком диске и не потерять файлы？Поиск
> Google рекомендует Bitwar Восстановление данных, является надежным?

Рекомендуют сперва ddrescue, а потом мучить образ или копию...

И что? 14 сентября 1752-го. Британия и иже с ними перешли на Григорианский календарь.

ncal 1918
                                  1918
    Январь            Февраль           Март              Апрель            
Пн  1  8 15 22 29       18 25              4 11 18 25     1  8 15 22 29  
Вт  2  9 16 23 30       19 26              5 12 19 26     2  9 16 23 30  
Ср  3 10 17 24 31       20 27              6 13 20 27     3 10 17 24      
Чт  4 11 18 25       14 21 28              7 14 21 28     4 11 18 25      
Пт  5 12 19 26       15 22              1  8 15 22 29     5 12 19 26      
Сб  6 13 20 27       16 23              2  9 16 23 30     6 13 20 27      
Вс  7 14 21 28       17 24              3 10 17 24 31     7 14 21 28      

    Май               Июнь              Июль              Август            
Пн     6 13 20 27        3 10 17 24     1  8 15 22 29        5 12 19 26  
Вт     7 14 21 28        4 11 18 25     2  9 16 23 30        6 13 20 27  
Ср  1  8 15 22 29        5 12 19 26     3 10 17 24 31        7 14 21 28  
Чт  2  9 16 23 30        6 13 20 27     4 11 18 25        1  8 15 22 29  
Пт  3 10 17 24 31        7 14 21 28     5 12 19 26        2  9 16 23 30  
Сб  4 11 18 25        1  8 15 22 29     6 13 20 27        3 10 17 24 31  
Вс  5 12 19 26        2  9 16 23 30     7 14 21 28        4 11 18 25      

    Сентябрь          Октябрь           Ноябрь            Декабрь          
Пн     2  9 16 23 30     7 14 21 28        4 11 18 25        2  9 16 23 30
Вт     3 10 17 24     1  8 15 22 29        5 12 19 26        3 10 17 24 31
Ср     4 11 18 25     2  9 16 23 30        6 13 20 27        4 11 18 25  
Чт     5 12 19 26     3 10 17 24 31        7 14 21 28        5 12 19 26  
Пт     6 13 20 27     4 11 18 25        1  8 15 22 29        6 13 20 27  
Сб     7 14 21 28     5 12 19 26        2  9 16 23 30        7 14 21 28  
Вс  1  8 15 22 29     6 13 20 27        3 10 17 24        1  8 15 22 29  

>lwn.net/Articles/747978/, где вполне себе чёрным по белому написано
> дословно "I'm announcing the release of the 4.9.84 kernel. All users
> of the 4.9 kernel series must upgrade."

"All users of the XX kernel series must upgrade." _просто_ забито у Грега КХ в _габлоне_ письма.  Это написано во _всех_ его письмах о релизах стабильных ядер.  Где-то даже был... а вот оно: https://github.com/gregkh/gregkh-linux/blob/master/stable/do...опублинован git со скриптами.

> В общем, народ, кто в теме, поясните, пожалуйста, несведущему. Спасибо.

Ну, может там есть цифровые подписи?

> На днях заметил, что на означенном в теме ресурсе, откуда я периодически
> скачиваю обновления для ядра, внезапно изменилась дата релиза скаченного мной ранее

скажите почему вы используете ядра из https://wiki.ubuntu.com/Kernel/MainlineBuilds?

>> These kernels are not supported and are not appropriate for production use.

>[оверквотинг удален]
> status-version 3
> log-append /var/log/openvpn/openvpn-client.log
> push «dhcp-option DNS 74.82.42.42»
> 268: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state
> UNKNOWN group default qlen 100
>     link/none
>     inet 192.168.230.100/22 brd 192.168.231.255 scope global tun0
>        valid_lft forever preferred_lft forever
>     inet6 2a00:1838:30:6810::1262/112 scope global
>        valid_lft forever preferred_lft forever

попробуй посмотреть mss

>[оверквотинг удален]
> несколько компов, настройка через ssh.
> iptables настроен через Arno's IPTABLES Firewall
> Вопрос: Почему 80, 4445, 10000 видно из вне а 443 502 10001
> не видно? У провайдера всё норм.
> -A EXT_INPUT_CHAIN -p tcp -m tcp --dport 80 -j ACCEPT
> -A EXT_INPUT_CHAIN -p tcp -m tcp --dport 4445 -j ACCEPT
> -A EXT_INPUT_CHAIN -p tcp -m tcp --dport 443 -j ACCEPT
> -A EXT_INPUT_CHAIN -p tcp -m tcp --dport 502 -j ACCEPT
> -A EXT_INPUT_CHAIN -p tcp -m tcp --dport 10000 -j ACCEPT
> -A EXT_INPUT_CHAIN -p tcp -m tcp --dport 10001 -j ACCEPT

Может они не слушаются сервисами. Посмотреть можно sudo netstat -ltpn.

>[оверквотинг удален]
> несколько компов, настройка через ssh.
> iptables настроен через Arno's IPTABLES Firewall
> Вопрос: Почему 80, 4445, 10000 видно из вне а 443 502 10001
> не видно? У провайдера всё норм.
> -A EXT_INPUT_CHAIN -p tcp -m tcp --dport 80 -j ACCEPT
> -A EXT_INPUT_CHAIN -p tcp -m tcp --dport 4445 -j ACCEPT
> -A EXT_INPUT_CHAIN -p tcp -m tcp --dport 443 -j ACCEPT
> -A EXT_INPUT_CHAIN -p tcp -m tcp --dport 502 -j ACCEPT
> -A EXT_INPUT_CHAIN -p tcp -m tcp --dport 10000 -j ACCEPT
> -A EXT_INPUT_CHAIN -p tcp -m tcp --dport 10001 -j ACCEPT

Чето я протупил и не прочитал сообщение.
Посмотри что у тебя в iptables -t nat -L

А чего это оно должно шифровать, если вы тестите трафик на его реальных адресах (169.254.181.113 и 169.254.73.114), а не на адресах которые получили для впн?
И да, 169.254.* не используют для локальной сети - моветон.

> IPv4 таблица маршрута
> ===========================================================================
>       169.254.0.0      
> 255.255.0.0         On-link  
>  169.254.181.113    266

если для обмена файлами используется 169.254.181.113 и 169.254.73.114, то скорей всего идет мимо vpn , неплохо бы таблицу маршрутизации с клиента увидеть

что делать? запитать сетевой кабель в обычную розетку.

>вопрос: "Как жить?"  Естественно хочется
> стратегию действий абонента в русле ИБ с учетом беззакония и полной
> безнаказанности злоумышленников.

Для провайдера все советы собраны в старом, но актуальном "Understanding, Preventing, and Defending Against Layer 2 Attacks", для абонента только покупка официального VPN и заворачивания в него всего трафика. Всё требует возни поэтому зная, что LTE подешевел, я бы банально ушёл туда.

> 3. А вот из сетки 192.168.100.0 пингуется только сам роутер (оба интерфейса)
> а дольше ни ни. Нихрена не понятно. Я грешным  дело

дефолтный шлюз роутера- он сам.
куда дальше то? :)

0.0.0.0         192.168.1.165   0.0.0.0         UG    0      0        0 ens32

>В результате написал и все работает, но (не смейтесь)
> не пойму почему оно работает и где логика. Если не трудно,
> то может разъясните и просветите начинающего адепта BSD.

вам расжевать каждое ваше правило?

>[оверквотинг удален]
> 220.72.145.24 - - [25/Oct/2017:19:18:24 +0300] "\x00" 400 174 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:24 +0300] "GET /cgi-bin/user/Config.cgi?.cab&action=get&category=Account.*
> HTTP/1.1" 301 186 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "\x00" 400 174 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "GET /shell?echo+jaws+123456;cat+/proc/cpuinfo
> HTTP/1.1" 301 186 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "\x00" 400 174 "-" "-" "-"
> После этих записей нагрузка CPU стала быстро расти до 100% и сайт
> висит!
> Что это такое?

Разведка или попытка взлома.
Смотри, есть ли у тебя файлы, перечисленные в запросах, доступны ли они снаружи.
Особенно интересный запрос:
GET /board.cgi?cmd=cat /etc/passwd, проверь, не появился ли новый пользак с правами рута или wheel.

>[оверквотинг удален]
> 220.72.145.24 - - [25/Oct/2017:19:18:24 +0300] "\x00" 400 174 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:24 +0300] "GET /cgi-bin/user/Config.cgi?.cab&action=get&category=Account.*
> HTTP/1.1" 301 186 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "\x00" 400 174 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "GET /shell?echo+jaws+123456;cat+/proc/cpuinfo
> HTTP/1.1" 301 186 "-" "-" "-"
> 220.72.145.24 - - [25/Oct/2017:19:18:25 +0300] "\x00" 400 174 "-" "-" "-"
> После этих записей нагрузка CPU стала быстро расти до 100% и сайт
> висит!
> Что это такое?

это http 301

боты нюхают дыры ...

> Ребят, такой вопрос: поддерживает ли ipfw nat - ipv6 адреса, если да,
> то можно какие нибудь примеры правил конфигурирования. Только нужен именно ipfw
> nat. Спасибо заранее.

в мане nat64lsn https://www.freebsd.org/cgi/man.cgi?ipfw(8)

Пример
cat > /etc/ipfw.script <<'EOF'
#!/bin/sh
fwcmd="/sbin/ipfw"
kldstat -q -m ipfw_nat64 || kldload ipfw_nat64
${fwcmd} -f flush
${fwcmd} nat64lsn NAT64 create prefix4 10.0.64.0/24
${fwcmd} add allow icmp6 from any to any icmp6types 135,136
${fwcmd} add nat64lsn NAT64 ip from 2001:db8:12::/64 to 64:ff9b::/96 in
${fwcmd} add nat64lsn NAT64 ip from any to 10.0.64.0/24 in
${fwcmd} add allow log ip from any to any
'EOF'