ДОбрый день!
В шифровании практический полный "0", потому хочу задать, как я думаю, достаточно простой вопрос :)

Как расшифровать радел :))

Дано:
ОС Debian

Раздел  /dev/sda4 является шифрованным, на котором настроен LVM.

Шифровался раздел с помощью ключа secret.key (ключ есть, пароль к ключу также есть):

cat /secret.key | cryptsetup --cipher aes-cbc-essiv:sha256 --key-file=-
--key-size=256 create lvm /dev/sda4

Далее вопрос достаточно простой, как мне с помощью ключа расшифровать и смонтировать этот раздел.

Гугл не помог, т.к. в основном натыкаюсь на LUKS.

Добрый день!
настраиваю PPTPD+FreeRADIUS
(pptpd v1.3.4
FreeRADIUS Version 2.1.10, for host i686-pc-linux-gnu, built on Sep 24 2012 at)

Вот по этому ману http://www.tux.in.ua/articles/66
PPTPD настроил и отдельно работает норм, сложности при подключении RADIUS

При выполнении freeradius -X
ошибка выскакивает!!!!!!!!!!!!!!!!!!
Failed binding to authentication address 127.0.0.1 port 1812: Address already in use
/etc/freeradius/radiusd.conf[240]: Error binding to port for 127.0.0.1 port 1812

выдержка по ошибке 240 строки

listen {
        #  Type of packets to listen for.
        #  Allowed values are:
        #       auth    listen for authentication packets
        #       acct    listen for accounting packets
        #       proxy   IP to use for sending proxied packets
        #       detail  Read from the detail file.  For examples, see
        #               raddb/sites-available/copy-acct-to-home-server
        #       status  listen for Status-Server packets.  For examples,
        #               see raddb/sites-available/status
        #       coa     listen for CoA-Request and Disconnect-Request
        #               packets.  For examples, see the file
        #               raddb/sites-available/coa-server
        #
        type = auth

        #  Note: "type = proxy" lets you control the source IP used for
        #        proxying packets, with some limitations:
        #
        #    * A proxy listener CANNOT be used in a virtual server section.
        #    * You should probably set "port = 0".
        #    * Any "clients" configuration will be ignored.
        #
        #  See also proxy.conf, and the "src_ipaddr" configuration entry
        #  in the sample "home_server" section.  When you specify the
        #  source IP address for packets sent to a home server, the
        #  proxy listeners are automatically created.

        #  IP address on which to listen.
        #  Allowed values are:
        #       dotted quad (1.2.3.4)
        #       hostname    (radius.example.com)
        #       wildcard    (*)
        ipaddr = 127.0.0.1

        #  OR, you can use an IPv6 address, but not both
        #  at the same time.
#       ipv6addr = ::   # any.  ::1 == localhost

        #  Port on which to listen.
        #  Allowed values are:
        #       integer port number (1812)
        #       0 means "use /etc/services for the proper port"
        port = 0
}

Сейчас можно получить ЭЦП  для госуслуг и прочих вещей. Недорого. 1000 рублей.
Ознакомился с процедурой получения и у меня возникли вопросы:
1. Как я понял российские ГОСТ на эту тему являются просто узакониванием западных имеющихся алгоритмов?
2. Почему при получении ЭЦП закрытый ключ генерируется на стороне выдающей организации, а не мной, с дальнейшей передачей CSR запроса на получение сертификата?
3. Есть ли гарантии, что закрытый ключ после выдачи мне флешки с ним и сертификатом у выдающей стороны будет уничтожен? Иначе кто знает, что им можно потом наподписывать.

Есть интерфейс eth0 c двумя ip 10.0.0.1 и 10.0.0.2, и интерфейс eth1 который смотрит внутрь локальной сети.
В локалке есть сервер 192.168.1.50
Выход из локалки настроен через 10.0.0.1 с маскарадингом.
Какими правилами можно задать переброс порта при обращение по 10.0.0.2:25 на 192.168.1.50:2500

был бы один ip на eth0, то прописал бы
iptables –t NAT –A PREROUTING –i eth0 –p tcp –dport 25 –j DNAT –-to 192.168.1.50:2500
iptables –A FORWARD –i eth0 –p tcp –dport 25 –d 192.168.1.50 –j ACCEPT

как быть с двумя ip не соображу

При динамическом добавлении очередного нового правила из командной строки вида
ipfw add allow ip from 192.168.5.7 to any keep-state
Получаю подтверждение:
00000 allow ip from 192.168.5.7 to any keep-state :default

НО
Если потом ввести ipfw show - правило показывает последний номер например:
44600         0            0 allow ip from 192.168.5.7 to any keep-state :default
И это только с динамическими правилами.

Вопрос:
00000 allow ip from 192.168.5.7 to any keep-state :default
Что это за :default в конце ?
Почему в подтверждении я вижу 00000 ? Что это означает?
Раньше так не было.

Здравствуйте.

Подскажите, пожалуйста, не могу разобраться. Есть Debian 8, установлен pptpd, белый внешний адрес. Внутренняя сеть формата 192.168.1.х, после подключения с windows-клиента извне, получаемый remoteip вида 192.168.3.х, видны и доступны все компьютеры сети, кроме, например 192.168.1.111. Причем, если по rdp подключиться к компьютеру, например, 192.168.1.222, то с него можно по rdp зайти на 192.168.1.111, а сразу после подключения по vpn - нет. В чем может быть проблема, всю голову сломал.

С уважением, Константин, заранее спасибо за ответ.

Здравствуйте. Давно не брал я в руки шашек, т.е. давненько не трогал настройки своего сервера FreeBSD. Встала задача закрыть любой доступ к имеющемуся серверу со всех сетей, кроме пары, принадлежащих моему предприятию. Сетевой интерфейс один. Сети две, разделённые аппаратным маршрутизатором. В своё время главк поставил свой маршрутизатор, разделяющий нашу сеть с сетью системы, откуда ещё выше происходит выход в Internet, забрали часть сервисов на себя. С тех пор в rc.conf прописаны строки:

# FireWall
firewall_enable="YES"
firewall_script="/etc/rc.firewall" # Which script to run to set up the firewall
firewall_type="OPEN"            # Firewall type (see /etc/rc.firewall)
firewall_quiet="NO"             # Set to YES to suppress rule display

Путь до файла правил естественно исправлю. Тип "OPEN" уберу. Пока добавляю правила на лету. Внёс следующие правила:
01000 allow ip from x.x.x.x/a to me
01100 allow ip from y.y.y.y/b to me
Но при задании правила
10000 deny ip from any to me
Заблокировал доступ к серверу вообще. Пришлось с консоли снимать это правило. Что я забыл, неправильно понял и сделал не так?

Здравствуйте.
Подскажите пожалуйста правил на ipfw
в ситуации:
есть 2 интерфейса freebsd (лан-ван)
мне надо завернуть все исходящие в мир из внутренней сети и приходящие на ЛАН freebsd все пакеты которые идут на ip в мире x.x.x.x port x
на внутренний локальный Ip шник y.y.y.y port x, котрый находится на другой машине
Спасибо

Добрый день.
Во время запуска сервера linux, ferm не стартует
Starting Firewall: fermiptables-restore: host/network `mail.ru` not found

Строка из конфигурации
saddr 192.168.0.12 proto (udp tcp) daddr (mail.ru) dport (443) ACCEPT;
Если ее закоментировать, или mail.ru сменить на ip-адрес, то ferm загрузится.

Если после перезагрузки сервера запустить вручную Ferm, то firewall запустится.

Что можно сделать?
Еще смущает, даже если сервер 10 раз корректно запустится, а потом опять dns не увидит. И без firewall останусь временно.

Добрый день уважаемые форумчане.
Есть сервер ОС Дебиан 8 и на наем настроен ssh доступ. Хочу чтоб каждая веденная команда пользователя логировалось. В файле .bachrc прописано shopt -s histappend чтоб все виденные команды сразу же прописывались в файле bash_history пользователя. Когда захожу через putty все веденные мои команды логируются в файле bash_history.
Но когда захожу через скрип и выполняю команду то моя команда не логируется в файле bash_history, но мой вход в систему логируется в файле /var/log/auth.log
Например вот лог того что я заходил с помощью скрипта по ssh на сервер
Jul 19 15:11:09 deb sshd[9219]: Accepted password for manager from 192.168.0.49 port 55750 ssh2
Jul 19 15:11:09 deb sshd[9219]: pam_unix(sshd:session): session opened for user lion by (uid=0)
Jul 19 15:11:09 deb systemd-logind[802]: New session 3371 of user lion.
Jul 19 15:11:09 deb systemd: pam_unix(systemd-user:session): session opened for user lion by (uid=0)
Jul 19 15:11:09 deb sshd[9219]: pam_unix(sshd:session): session closed for user lion
Jul 19 15:11:09 deb systemd-logind[802]: Removed session 3371.
Jul 19 15:11:09 deb systemd: pam_unix(systemd-user:session): session closed for user lion

после входа систему выполнил команду например dir и сразу вышел, а в bash_history виденная моя команда не прописалось.
Где нужно настроить чтоб виденные команды запивались в файл?

Хотел бы выслушать ваши мнения и советы по действиям при такой моделе угрозы:

Условия.
Враждебность провайдера. Кроме MITM он может атаковать клиента для получения доступа к системе. Это обязательное условие.
Врагу известен предполагаемый список форумов, чатов и т.п. где может быть жертва. Часть этих мест может администрироваться врагом. Полный отказ от них запрещен условиями.
Враг имеет базу старых сообщений жертвы и составлена модель для стилометрической идентификации авторства.
Враг имеет весь спектр средств нападения вместе с неизвестными широкой публике zerodays.

Меры защиты.
Запрещение любого не related входящего траффика в iptables.
Тор для серфинга.
Отключение скриптов на сайтах.
Песочница для тора и браузера.

Задачи.
Не допустить постороннего доступа к системе.
Не допустить привязку новых учеток и сообщений к личности автора.

Какие еще методы и инструменты защиты вы стали бы использовать? Anonymouth для противодействия стилометрии мне известен.

Дано: Случайные (норм. распред.) байты в ASCII диапазоне (0b00000000 - 0b11111111)

Например.

0b01011001
0b11111010
0b10001001
...

Найти:  Одно число (и операцию) при которых инверсия начальных битов будет максимальна.

x AND y ~= NOT x;

0b01011001 ->  0b10100110
0b11111010 ->  0b00000101
0b10001001 ->  0b01110110
...

Вопрос такой. Есть корпоративный сервис отправки SMS сообщений, который работает очень просто. На него отправляется GET запрос типа...

http : //vasya-pupkin.ru/sms.php?phone=+71234567890&time=2018-03-10 08:15:00&text=Проверка связи...

Данный сервис обслуживает программу контроля, в которой имеется кнопочка "создать СМС уведомление", по нажатию которой генерируется данный запрос и анализируется http код возврата сервера (если 200, то СМС поставлено в очередь)...

Т.к. сервис виден в сети, предполагается появление любителей халявы, прознавшие про возможность отправки сообщений за чужой счёт. Ну чего знающему человеку стоит в браузере набрать сию строчку и отправить любовную СМС своей пассии.

Поэтому появилась такая идея. На пути сервиса поставить какой-нибудь редиректор, который будет принимать запрос типа...
http : //petya-zalupkin.ru/sms.php?sms=wefijergiwekfokweqf[poerkphkekq
где "wefijergiwekfokweqf[poerkphkekq" это зашифрованная строка с параметрами телефона, времени, текста, ну скажем, в формате JSON, что-то типа...

{"phone":"+71234567890","time":"2018-03-10 08:15:00","text":"Проверка связи"}

Далее она расшифровывается редиректором, и запрос перенаправляется на реальный СМС сервис, а тот, в свою очередь, настраивается на приём запросов только от редиректора.

Вопрос: нужно определиться с алгоритмом шифрования. Предполагается симметричное шифрование, размещение ключа на компьютере оператора и на редиректоре.

Главное требование: результатам шифрования должна быть символьная строчка с набором символов, пригодных для подстановки в GET запрос.

Программа оператора (которая будет шифровать) это MS Access. И тут главный вопрос, как зашифровать? что бы потом можно было расшифровать на PHP. Не силён я в Access.

Программа редиректора (который будет расшифровывать) - PHP.

Про base_64 и url_decode знаю. Крайний вариант их использовать, если алгоритм с требуемым свойством выдавать текстовую строчку, отсутствует.

Здравствуйте участники форума .

У меня вопрос по безопасности в сети  .
Ситуация следующая,  есть  один гаденький тип с профессиональными навыками в области систем програмирования .
Этот нюхач  постоянно ведет слежку -  мониторит мой трафик ( предположительно  сниффер) и выставляет на показ  .
Пробывал несколько ВПНов , на данный момент решил использовать  SecurityKISS Tunnel ( бесплатная версия), но проблемы этоне снимает .
Каким то образом данные все равно к нему  утекают ,  вирусов -  шпионов вроде не обнаружил , если  SecurityKISS Tunnel  не надежно шифрует  , то он не первый и нареканий в сети на него не нашел .
Проконсультируйте пожалуйста  в  чем дело,  как и почему   к нему утекают данные .  Может по какимм то другим параметрам кроме айпи ( он  у меня белый ) он меня вычисляет .
Благодарю за внимание.

Добрый день.Начинаю изучать FreeBSD. Пытаюсь разобраться с принципами работы NAT, изучал схему прохождения пакета по стеку ipfw, если для самой машины все более менее ясно, то вот то, как работают правила для NAT я никак понять не могу. Вводные данные:
------------------
rc.conf
ifconfig_re0="inet 192.168.30.254 netmask 255.255.255.0"  #Локальная сеть
ifconfig_re1="DHCP" #Интернет от провайдера работает только при получении настроек по DHCP" #Интернет
firewall_enable="YES"
firewall_script="/etc/rules.fw"
firewall_nat_enable="YES"
gateway_enable="YES"

-----------------
/etc/sysctl.conf
net.inet.ip.fw.one_pass=1
-----------------

rules.fw
fwcmd="ipfw -q add"
ipfw -q -f flush

$fwcmd 00001 allow all from any to any via re0
ipfw nat 1 config log if re1 reset same_ports deny_in
$fwcmd 00100  nat 1 ip from any to any via re1
-----------------------------------------------------------

  
предположим я хочу пропинговать сервер гугла 8.8.8.8 c хоста из внутренней подсети.

Пакет с машины поступает на интерфейс re0 и получает тег in и reciv re0, после чего попадает в подсистему ipfw на вход в IN где пакет пробегает по правилам, проходит ее согласно правилу 00001 (пакет имеет тег reciv re0) после чего попадает в функцию Forward где происходят некие действия и после этого пакет направляется на выход OUT ipfw, где пакету теряет тег IN, получает OUT и тег xmit re1 после чего направляется по правилам IPFW. Пройдя по правилам и дойдя до 00100 пакет будет перенаправлен в модуль NAT где с ним совершатся необходимые действия и он снова вернется в out ipfw, где из-за опции net.inet.ip.fw.one_pass=1 он будет пропущен на "выход" без прохождения цепочки выходных правил.

    Это я так понимаю процесс прохождения пакета по IPFW если где-то не ошибся.
А теперь вопросы по тому, что именно мне не понятно.
  Если я хочу сделать правило пинг для самого гейта, то 2 правила вида:
$fwcmd 00001 pass udp from me to any 53 out via re1
$fwcmd 00001 pass udp from any 53 to me icmptype 0 in via re1
  Дают мне необходимый результат, насколько я понимаю, данные правила должны располагаться выше по порядку чем правило NAT, и тогда пакеты не будут заруливаться на нат.

   Но как быть с правилами пинг с внутреннего хоста на внешний?
Насколько я понимаю, все правила отрабатывают до попадания пакета в в функцию NAT, поскольку после преобразования пакета с подменой адреса источника пакет из-за параметра net.inet.ip.fw.one_pass=1 проходит цепочку out ipfw "насквозь" словно pass all.
  Как тогда должно выглядеть правило для ping с внутренних узлов на внешку?
Дописать такое правило:
  $fwcmd 00002 allow icmp from 192.168.30.10 to any out via re1 setup keep-state

И еще один момент, подскажите по правилу прохождения цепочки правил IPFW, продолжается ли прохождение в случае:
1) для пакета найдено блокирующее правило
2) для пакета найдено разрешающее правило

Извините за сумбур, пытаюсь все переварить. Большое спасибо всем, кто откликнется.

Попробовал прописать вот это правило:
  $fwcmd 00002 allow icmp from 192.168.30.10 to any out via re1 setup keep-state

Смотрю внешний интерфейс  tcpdump -ni re1 icmp
и идут вот такие ответы:
10:57:04.752135 IP 192.168.30.10 > 8.8.8.8: ICMP echo request, id 1, seq 568, length 40

Непонятно почему ip внутренний, а не самого шлюза, т.е. нат получается не работает, и ответы не приходят.

Хочу маршрутизировать трафик к заблокированным ресурсам через wireguard.
Распарсил список блокировок отсюда https://github.com/zapret-info/z-i Объединил адрса по маскам там где это возможно.
Получилось ~60K записей, добавил все это в таблицу маршрутизации ip route add $IP/prefix via 10.0.0.1 dev wg0
Как не странно все работает, ничего не изменилось по ощущениям.

Какие могут быть проблемы от такого количества записей в таблице? Для iptables есть ipset, а для роутинга есть что-нибудь оптимизированное под сотни тысяч записей?

Хотел узнать кто из секьюрити компаний продает подобные сертификаты?

Здравствуйте! Не могу никак разобраться в проблеме.
Данная конфигурация ipfw не дает возможности для подключения к ftp в активном режиме, работает только пассивный режим. Что я сделал не так? Заранее благодарю за ответ!
Активные режим - это подключение между 20 портом и портом клиента > 1023 (сначала 21, затем 20 - >1023).

em0 - внеш. сетевой интерфейс
igb0 - внутр. сет. инт.

00100    42     4570 allow ip from any to any via lo0
00101     0        0 check-state

00350     8      416 allow tcp from any to me dst-port 80,443 setup
00370     1       52 allow tcp from any to me dst-port 21,50000-60000 setup

00400  7109  1179738 allow ip from 192.168.1.0/24 to any in recv igb0
00500 11673 10432842 allow ip from me to any keep-state

00600  6325   873729 divert 8668 ip from 192.168.1.0/24 to any out xmit em0
00610  7557  8748806 divert 8668 ip from any to {внешний ip} in recv em0
00620     0        0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00630     6      504 allow icmp from any to any

65535   552    39649 deny ip from any to any

Как восстановить файловую систему на внешнем жёстком диске и не потерять файлы？Поиск Google рекомендует Bitwar Восстановление данных, является надежным?

1 января 1752 год - суббота.

Особо наблюдаем за Сентябрём :)

$ cal 1752
                            1752
       Январь               Февраль                 Март          
Вс Пн Вт Ср Чт Пт Сб  Вс Пн Вт Ср Чт Пт Сб  Вс Пн Вт Ср Чт Пт Сб  
          1  2  3  4                     1   1  2  3  4  5  6  7  
 5  6  7  8  9 10 11   2  3  4  5  6  7  8   8  9 10 11 12 13 14  
12 13 14 15 16 17 18   9 10 11 12 13 14 15  15 16 17 18 19 20 21  
19 20 21 22 23 24 25  16 17 18 19 20 21 22  22 23 24 25 26 27 28  
26 27 28 29 30 31     23 24 25 26 27 28 29  29 30 31              
                                                                  
       Апрель                 Май                   Июнь          
Вс Пн Вт Ср Чт Пт Сб  Вс Пн Вт Ср Чт Пт Сб  Вс Пн Вт Ср Чт Пт Сб  
          1  2  3  4                  1  2      1  2  3  4  5  6  
 5  6  7  8  9 10 11   3  4  5  6  7  8  9   7  8  9 10 11 12 13  
12 13 14 15 16 17 18  10 11 12 13 14 15 16  14 15 16 17 18 19 20  
19 20 21 22 23 24 25  17 18 19 20 21 22 23  21 22 23 24 25 26 27  
26 27 28 29 30        24 25 26 27 28 29 30  28 29 30              
                      31                                          
        Июль                 Август               Сентябрь        
Вс Пн Вт Ср Чт Пт Сб  Вс Пн Вт Ср Чт Пт Сб  Вс Пн Вт Ср Чт Пт Сб  
          1  2  3  4                     1         1  2 14 15 16  
 5  6  7  8  9 10 11   2  3  4  5  6  7  8  17 18 19 20 21 22 23  
12 13 14 15 16 17 18   9 10 11 12 13 14 15  24 25 26 27 28 29 30  
19 20 21 22 23 24 25  16 17 18 19 20 21 22                        
26 27 28 29 30 31     23 24 25 26 27 28 29                        
                      30 31                                       
      Октябрь                Ноябрь               Декабрь         
Вс Пн Вт Ср Чт Пт Сб  Вс Пн Вт Ср Чт Пт Сб  Вс Пн Вт Ср Чт Пт Сб  
 1  2  3  4  5  6  7            1  2  3  4                  1  2  
 8  9 10 11 12 13 14   5  6  7  8  9 10 11   3  4  5  6  7  8  9  
15 16 17 18 19 20 21  12 13 14 15 16 17 18  10 11 12 13 14 15 16  
22 23 24 25 26 27 28  19 20 21 22 23 24 25  17 18 19 20 21 22 23  
29 30 31              26 27 28 29 30        24 25 26 27 28 29 30  
                                            31 

На днях заметил, что на означенном в теме ресурсе, откуда я периодически скачиваю обновления для ядра, внезапно изменилась дата релиза скаченного мной ранее 4.9.83. Т.е. у меня прямо вот перед глазами файлы с именами, оканчивающимися примерно так: "201802221530_amd64.deb", а на сайте новые файлы с окончанием "201802261609_amd64.deb", ну и сама директория, соответственно от нового числа (26.02.2018) против ранее выпущенной 22.02.2018:
http://kernel.ubuntu.com/~kernel-ppa/mainline/v4.9.83/

Кроме того, добавилась новая версия ядра 4.9.85 с датой на два дня позже (28.02.2018), при этом версии 4.9.84 нет.

Но и это ещё не всё. Похожая ситуация и с некоторыми другими версиями ядра:
– у 4.4 26 февраля вышла 117, а 28 февраля – 119, нет 118;
– у 4.14 22 февраля вышла 21, а 28 февраля – 23, 22 нет;
– у 4.15 26 февраля 5, а 28 февраля – 7, 6 нет.

В связи с этим хотелось бы услышать от знающих людей, с чем может быть связано такое в принципе, стоит ли бояться, надо ли обновляться. Поиск по конкретной версии 4.9.84 (пропущенной на сайте) в числе прочего выдаёт https://lwn.net/Articles/747978/, где вполне себе чёрным по белому написано дословно "I'm announcing the release of the 4.9.84 kernel. All users of the 4.9 kernel series must upgrade."

В общем, народ, кто в теме, поясните, пожалуйста, несведущему. Спасибо.

Приветствую всех.
Пытаюсь настроить настроить опенвпн клиент для zaborona.help на Debian в качестве шлюза. С горем пополам тунель поднялся, маршруты добавились. Но, к сожалению, пакетики в тунель уходят, а ответа нет. К тому же, не смотря указанные вручную ДНСы в клиент конфиге, очевидно запросы отправляются не в тунель, а к провайдеру. C виндовой машиной за этим роутером, овпн клиент работает отлично.
Куда копать?

cat /etc/debian_version
8.10

uname -a
Linux 3.16.0-4-686-pae #1 SMP Debian 3.16.43-2 (2017-04-30) i686 GNU/Linux

/etc/openvpn/client.conf
dev tun
proto tcp
remote  vpn.zaborona.help 1194
client
resolv-retry infinite
ca "/etc/openvpn/ca.crt"
cert "/etc/openvpn/zaborona-help.crt"
key "/etc/openvpn/zaborona-help.key"
remote-cert-tls server
persist-key
persist-tun
cipher AES-128-CBC
comp-lzo
verb 3
status /var/log/openvpn/openvpn-status.log 1
status-version 3
log-append /var/log/openvpn/openvpn-client.log
push «dhcp-option DNS 74.82.42.42»

268: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 192.168.230.100/22 brd 192.168.231.255 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 2a00:1838:30:6810::1262/112 scope global
       valid_lft forever preferred_lft forever

Здравствуйте!

Возможно мой вопрос покажется очень тупым... Но сам я его не решил.
Есть web сервер на ubuntu server, через него так-же идёт интернет на несколько компов, настройка через ssh.
iptables настроен через Arno's IPTABLES Firewall
Вопрос: Почему 80, 4445, 10000 видно из вне а 443 502 10001 не видно? У провайдера всё норм.
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 80 -j ACCEPT
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 4445 -j ACCEPT
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 443 -j ACCEPT
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 502 -j ACCEPT
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 10000 -j ACCEPT
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 10001 -j ACCEPT

Добрый день! OVPN настроен в локальной сети между двумя компьютерами. При проверке в Wireshark, видны все файлы, которые передаются по локальной сети (между 169.254.181.113 и 169.254.73.114), насколько я понимаю, при vpn-соединении такого быть не должно. То есть, либо данные идут в обход vpn, либо ещё что-то. Подскажите, пожалуйста, в чём проблема и как исправить.  

На сервере прописал: route add 10.26.0.0 mask 255.255.255.0 169.254.181.113

server.conf
===========
local 0.0.0.0
port 443
proto tcp
dev tap
ca ..//easy-rsa//keys//ca.crt
cert ..//easy-rsa//keys//server.crt
key ..//easy-rsa//keys//server.key
dh ..//easy-rsa//keys//dh1024.pem
server 10.26.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1"
client-to-client
received during 60
keepalive 10 60
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status ..//log//openvpn-status.log
verb 3

client.conf
===========
client
dev tap
proto tcp
port 443
remote 169.254.181.113
redirect-gateway local def1
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
remote-cert-tls server
cipher AES-256-CBC
comp-lzo
verb 3

Лог сервера:
…
Thu Dec 14 12:06:24 2017 169.254.73.114:49200 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 1024 bit RSA
Thu Dec 14 12:06:24 2017 169.254.73.114:49200 [client1] Peer Connection Initiated with [AF_INET]169.254.73.114:49200
Thu Dec 14 12:06:24 2017 client1/169.254.73.114:49200 MULTI_sva: pool returned IPv4=10.26.0.4, IPv6=(Not enabled)
Thu Dec 14 12:06:25 2017 client1/169.254.73.114:49200 PUSH: Received control message: 'PUSH_REQUEST'
Thu Dec 14 12:06:25 2017 client1/169.254.73.114:49200 SENT CONTROL [client1]: 'PUSH_REPLY,redirect-gateway def1,route-gateway 10.26.0.1,ping 10,ping-restart 60,ifconfig 10.26.0.4 255.255.255.0,peer-id 0,cipher AES-256-GCM' (status=1)
Thu Dec 14 12:06:25 2017 client1/169.254.73.114:49200 Data Channel: using negotiated cipher 'AES-256-GCM'
Thu Dec 14 12:06:25 2017 client1/169.254.73.114:49200 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Thu Dec 14 12:06:25 2017 client1/169.254.73.114:49200 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Thu Dec 14 12:06:26 2017 client1/169.254.73.114:49200 MULTI: Learn: 00:ff:b1:d5:42:03 -> client1/169.254.73.114:49200

Лог клиента:
…
Thu Dec 14 12:06:25 2017 MANAGEMENT: >STATE:1513235185,GET_CONFIG,,,,,,
Thu Dec 14 12:06:25 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Thu Dec 14 12:06:25 2017 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,route-gateway 10.26.0.1,ping 10,ping-restart 60,ifconfig 10.26.0.4 255.255.255.0,peer-id 0,cipher AES-256-GCM'
Thu Dec 14 12:06:25 2017 OPTIONS IMPORT: timers and/or timeouts modified
Thu Dec 14 12:06:25 2017 OPTIONS IMPORT: --ifconfig/up options modified
Thu Dec 14 12:06:25 2017 OPTIONS IMPORT: route options modified
Thu Dec 14 12:06:25 2017 OPTIONS IMPORT: route-related options modified
Thu Dec 14 12:06:25 2017 OPTIONS IMPORT: peer-id set
Thu Dec 14 12:06:25 2017 OPTIONS IMPORT: adjusting link_mtu to 1659
Thu Dec 14 12:06:25 2017 OPTIONS IMPORT: data channel crypto options modified
Thu Dec 14 12:06:25 2017 Data Channel: using negotiated cipher 'AES-256-GCM'
Thu Dec 14 12:06:25 2017 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Thu Dec 14 12:06:25 2017 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Thu Dec 14 12:06:25 2017 interactive service msg_channel=0
Thu Dec 14 12:06:25 2017 ROUTE: default_gateway=UNDEF
Thu Dec 14 12:06:25 2017 open_tun
Thu Dec 14 12:06:25 2017 TAP-WIN32 device [Подключение по локальной сети 3] opened: \\.\Global\{B1D54203-71BD-4069-B15F-A6610D1A6C5E}.tap
Thu Dec 14 12:06:25 2017 TAP-Windows Driver Version 9.21
Thu Dec 14 12:06:25 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.26.0.4/255.255.255.0 on interface {B1D54203-71BD-4069-B15F-A6610D1A6C5E} [DHCP-serv: 10.26.0.0, lease-time: 31536000]
Thu Dec 14 12:06:25 2017 Successful ARP Flush on interface [14] {B1D54203-71BD-4069-B15F-A6610D1A6C5E}
Thu Dec 14 12:06:25 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Thu Dec 14 12:06:25 2017 MANAGEMENT: >STATE:1513235185,ASSIGN_IP,,10.26.0.4,,,,
Thu Dec 14 12:06:30 2017 TEST ROUTES: 1/1 succeeded len=0 ret=1 a=0 u/d=up
Thu Dec 14 12:06:30 2017 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.26.0.1
Thu Dec 14 12:06:30 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Thu Dec 14 12:06:30 2017 Route addition via IPAPI succeeded [adaptive]
Thu Dec 14 12:06:30 2017 C:\Windows\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.26.0.1
Thu Dec 14 12:06:30 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Thu Dec 14 12:06:30 2017 Route addition via IPAPI succeeded [adaptive]
Thu Dec 14 12:06:30 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Dec 14 12:06:30 2017 Initialization Sequence Completed
Thu Dec 14 12:06:30 2017 MANAGEMENT: >STATE:1513235190,CONNECTED,SUCCESS,10.26.0.4,169.254.181.113,443,169.254.73.114,49200

Маршрутизация на сервере:
C:\Windows\system32>route print
===========================================================================
Список интерфейсов
17...00 ff a4 c7 f9 0c ......TAP-Windows Adapter V9
13...08 00 27 d6 a8 94 ......Адаптер рабочего стола Intel(R) PRO/1000 MT
  1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
        10.26.0.0    255.255.255.0         On-link   169.254.181.113     11
        10.26.0.0    255.255.255.0         On-link         10.26.0.1    276
        10.26.0.1  255.255.255.255         On-link         10.26.0.1    276
      10.26.0.255  255.255.255.255         On-link   169.254.181.113    266
      10.26.0.255  255.255.255.255         On-link         10.26.0.1    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link   169.254.181.113    266
  169.254.181.113  255.255.255.255         On-link   169.254.181.113    266
  169.254.255.255  255.255.255.255         On-link   169.254.181.113    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link   169.254.181.113    266
        224.0.0.0        240.0.0.0         On-link         10.26.0.1    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link   169.254.181.113    266
  255.255.255.255  255.255.255.255         On-link         10.26.0.1    276
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
13    266 fe80::/64                On-link
17    276 fe80::/64                On-link
17    276 fe80::197:6291:2145:2b19/128
                                    On-link
13    266 fe80::f5a6:ab26:934d:b571/128
                                    On-link
  1    306 ff00::/8                 On-link
13    266 ff00::/8                 On-link
17    276 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует