> Ребят, такой вопрос: поддерживает ли ipfw nat - ipv6 адреса, если да,
> то можно какие нибудь примеры правил конфигурирования. Только нужен именно ipfw
> nat. Спасибо заранее.

в мане nat64lsn https://www.freebsd.org/cgi/man.cgi?ipfw(8)

Пример
cat > /etc/ipfw.script <<'EOF'
#!/bin/sh
fwcmd="/sbin/ipfw"
kldstat -q -m ipfw_nat64 || kldload ipfw_nat64
${fwcmd} -f flush
${fwcmd} nat64lsn NAT64 create prefix4 10.0.64.0/24
${fwcmd} add allow icmp6 from any to any icmp6types 135,136
${fwcmd} add nat64lsn NAT64 ip from 2001:db8:12::/64 to 64:ff9b::/96 in
${fwcmd} add nat64lsn NAT64 ip from any to 10.0.64.0/24 in
${fwcmd} add allow log ip from any to any
'EOF'

>[оверквотинг удален]
> микротик1: подсеть реальных ip.
> роутер: 1 реальный ip из подсети микротика1 и nat.
> роутер имеет, к примеру, подсети серых ip: 192.168.1.1/24, 192.168.2.1/24, 192.168.3.1/24,
> 192.168.4.1/24.
> микротик2 со своим uplink'om, и своею подсетью реальных ip.
> задача: пустить с линукса подсети 192.168.1.1 и 192.168.2.1 на микротик 1
> подсети 192.168.3.1, 192.168.4.1 на микротик 2.
> более наглядная схема по ссылке: http://images.vfl.ru/ii/1507227023/7c5fb300/18874900.png
> Возможна ли реализация такой схемы и как она будет выглядеть теоритически и
> практически?

Давненько у нас на опенете не
   https://duckduckgo.com/?q=%D0%B4%D0%B2&#...
строили двух провайдеров на линуксе!!111

> задача: пустить

route add net 192.168.1.0/24 gw 1.1.1.1 dev eth0
route add net 192.168.2.0/24 gw 1.1.1.1 dev eth0
route add net 192.168.3.0/24 gw 2.2.2.2 dev eth0
route add net 192.168.4.0/24 gw 2.2.2.2 dev eth0

https://duckduckgo.com/?q=policy+routing+linux+site%3Aw...

раздельные таблицы маршрутизации по исходящим адресам

> Во-первых, зачем проверять наличие этой директории?

Чтобы проверить твою ориентацию^W ^W, не гоняешь ли ты systemd.

> А во-вторых, как же должно запускаться обновление при наличии /run/systemd/system?

Если гоняешь, то им и запускай: https://github.com/lnicola/certbot-systemd-nginx/blob/master...

> Добрый день! Подскажите как с помощью iptables сделать localhost доступным из интернета
> ? Есть wifi роутер 192.168.1.1
> сервер kvm с centos7 192.168.2.230
> основная система 192.168.1.105 интернет вайфай
> Какие правила нужно прописать в iptables чтобы открыть доступ к серверу 192.168.2.230
> из вне ? Подскажите .

Смутные сомнения терзают меня. А как Вы себе представляете что такое " localhost " ?

> Добрый день! Подскажите как с помощью iptables сделать localhost доступным из интернета
> ? Есть wifi роутер 192.168.1.1
> сервер kvm с centos7 192.168.2.230
> основная система 192.168.1.105 интернет вайфай
> Какие правила нужно прописать в iptables чтобы открыть доступ к серверу 192.168.2.230
> из вне ? Подскажите .

ну и до кучи, вы уверены что Вам провайдер вообще выдаёт "белые" адреса, доступные снаружи
и  если выдаёт,что не режет порты типа 80/8080 и так далее?

> Доброго времени суток!
> Суть проблемы такова - существует локальная сеть, необходимо обнаружить, развернут ли в
> ней где-нибудь NAT и находится ли за ним ещё какая-нибудь сеть???
> Может кто-нибудь сталкивался с этой проблемой?
> Благодарю за помощь!

только анализом трафика по каждому хосту, вы можете с некой долей вероятности подозревать наличие там NAT.

> Доброго времени суток!
> Суть проблемы такова - существует локальная сеть, необходимо обнаружить, развернут ли в
> ней где-нибудь NAT и находится ли за ним ещё какая-нибудь сеть???
> Может кто-нибудь сталкивался с этой проблемой?
> Благодарю за помощь!

Но вы должны понимать, что современные реалии таковы, что каждый ставит себе на вход роутер и раздает по квартире(комнате) интернет через вайфай.
и вот этот роутер - он и работает как раз с использованием NAT.
Так что...Вы рискуете причислить к NAT- пользователям ВСЕХ :)

> Доброго времени суток!
> Суть проблемы такова - существует локальная сеть, необходимо обнаружить, развернут ли в
> ней где-нибудь NAT и находится ли за ним ещё какая-нибудь сеть???
> Может кто-нибудь сталкивался с этой проблемой?
> Благодарю за помощь!

По пинговать arping'ом серые адреса шлюзов по умолчанию. Пример с моей машины:
ARPING 192.168.0.1 from 92.63.XXX.XXX eth0
Unicast reply from 192.168.0.1 [10:BF:48:88:60:B1]  0.684ms
Unicast reply from 192.168.0.1 [1C:AF:F7:AE:FC:18]  0.877ms
Unicast reply from 192.168.0.1 [1C:7E:E5:D2:A4:4D]  0.983ms
Sent 1 probes (1 broadcast(s))
Received 3 response(s)
и
ARPING 192.168.1.1 from 92.63.XXX.XXX eth0
Unicast reply from 192.168.1.1 [1C:AF:F7:AE:FC:18]  0.833ms
Unicast reply from 192.168.1.1 [14:DD:A9:F1:1D:D0]  1.027ms
Unicast reply from 192.168.1.1 [78:24:AF:7E:88:08]  1.161ms
Unicast reply from 192.168.1.1 [00:11:2F:57:9C:2A]  1.262ms
Unicast reply from 192.168.1.1 [00:17:9A:30:D1:A2]  1.458ms
Unicast reply from 192.168.1.1 [00:1D:0F:D4:05:2C]  1.576ms
Sent 1 probes (1 broadcast(s))
Received 6 response(s)
Эти маки скорее всего натят

> Доброго времени суток!
> Суть проблемы такова - существует локальная сеть, необходимо обнаружить, развернут ли в
> ней где-нибудь NAT и находится ли за ним ещё какая-нибудь сеть???
> Может кто-нибудь сталкивался с этой проблемой?
> Благодарю за помощь!

йота, перелогинься

>[оверквотинг удален]
> не запускается!
> Пробовал по схеме -
> /sbin/iptables-save > /etc/iptables
> /sbin/iptables-restore < /etc/iptables
> vim /etc/rc.d/rc.local
> /sbin/iptables-restore < /etc/iptables
> Правила записываются в файл, восстанавливаются из него (проверял), но это всё если
> ручками без ребута, а после ребута - ничего не делает, типа
> я ничего и не прописал в rc.local.
> Или чего я не так написал?

в centos 7 не рекомендуется использовать iptables если вы не понимаете что делаете.
Там другой штатный файрвол с несколько другой логикой работы.

В CentOS есть штатное место хранения правил /etc/sysconfig/iptables
Но это в том случае, если вы установили iptables-services (CentOS 7)
Но судя по тому что у вас, вы не устанавливали , а используете firewalld, там правила храняться уже по другому, в /etc/firewalld/ , разбитые на зоны, и сохранять их надо по другому, через --permanent

В вашем случае, отключите firewalld, установите iptables-services и храните все в /etc/sysconfig/iptables , если лень разбираться с firewalld.

И не придумывайте велосипед с сохранением в левый файл, бросьте уже эти дебиано-убунтушные замашки.

Всего лишь нужно использовать /двойное/ отрицание - и можно полностью сломать мозг.

> Исходные данные: есть openvpn шлюз на linux с интрефейсами:
> eth0 - смотрит в локалку 192.168.1.0/24
> tun0 - смотрит в vpn сеть - 10.0.0.0/30
> Задача:
> Нужно, чтобы отбрасывались все пакеты, кроме тех, которые:
> а) приходят по порту 22 с ip 192.168.1.100;
> б) приходят по порту 1194 с ip 192.168.1.1;
> в) пакеты, которые приходят на интерфейс tun0 по порту 3389 перенаправлялись на
> адрес 192.168.1.100;

iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT
iptables -A INPUT -p tcp --dport 1194 -s 192.168.1.1 -j ACCEPT

iptables -A INPUT -j DROP или iptables -P INPUT DROP

Также не забываем про FORWARD т.к. в постановке задачи не говорится про то, что делать с транзитными пакетами.
Не забываем про -m state и  разрешение всего остального, что еще может быть необходимым (например DNS-ответы).

многие недоадмины любяь пробрасывать 3389, потом удивляются, что их поломали

> Гуглил долго, но не нашёл.

http://lmgtfy.com/?q=openvpn+overhead

> И как влияет включение сжатия?

Очевидно, что служебной информации становится больше - передается флаг, что включено сжатие.

> Добрый день!
> Есть задача поднять OpenVPN канал, но нужно выяснить, какую полосу под него
> запросить.
> Есть ли какие-то справочные данные, по которым можно узнать, сколько служебной информации
> добавляется OpenVPN к передаваемой информации в случае использования TCP или UDP?
> Протокол шифрования AES-256.
> И как влияет включение сжатия?
> Гуглил долго, но не нашёл.

Что вполне логично, т.к. все сильно зависит от типа трафика и размеров пакетов.
превышение может быть до 300%

https://www.opennet.dev/tips/2999_iptables_block_tor.shtml Не знаю как в ТТК, а в Ростелекоме метод срабатывает.

> Здравствуйте. Имеем:
> Сервера на фрибсд и линуксе с поднятыми ип на них. Для проксирования
> используем 3proxy. Но блокировки провайдера срабатывают даже через прокси при попытке
> захода на нужный сайт. В данном случае ттк (редирект на http://fz139.ttk.ru/)
> Подскажите, существует ли способ с помощью iptables/ipfw решить данную проблему?
> Спасибо.

Вы с Украины? Обратитесть в Минкомсвязь России, они помогут советом и добрым словом.

""Посещаемость заблокированных Украиной российских социальных сетей и сайтов не уменьшилась, заявил заместитель министра связи и массовых коммуникаций России Алексей Волин. У «Одноклассников» этот показатель остался прежним, уверен он, и единственное изменение, которое можно заметить, — скачок числа IP-адресов из Нидерландов, так как именно эта страна по умолчанию устанавливается VPN-сервисами. По словам Волина, украинцы освоили VPN и не обращают внимание на блокировки."" --https://rublacklist.net/29933/

""То, что они планируют запретить россиянам, не так давно ими открыто рекомендовалось <https://rublacklist.net/28638/> украинцам после того, как Президентом Порошенко и СНБО был запрещён доступ к нескольким российским интернет-сервисам. Утверждалось, что блокировки ничего не дадут, сложившаяся ситуация породит в украинцах правовой нигилизм, а также повысит их компьютерную и интернет-грамотность."" --https://rublacklist.net/30510/

> Здравствуйте. Имеем:
> Сервера на фрибсд и линуксе с поднятыми ип на них.

ну... если бы ip не были подняты было бы интереснее..наверное... ну подняты.. ну и что?
А обычно сервера без поднятых Ip? Или это какие-то особые ип подняты и если они подняты - то все сразу должны понять все?

> Для проксирования
> используем 3proxy.

эээ... проксирования откуда куда и чего?
где стоит прокси? как к нему идут пакеты?
прокси в виде шлюза в локальной сети?
каскадированный прокси через америку или нидерланды?

>Но блокировки провайдера срабатывают даже через прокси при попытке
> захода на нужный сайт. В данном случае ттк (редирект на http://fz139.ttk.ru/)

ну, очевидно, два варианта:
сайт к которому вы обращаетесь находится на ресурсах провайдера ТТК, и провайдер закрыл доступ к этому сайту для всех без исключения, поскольку блокирует ВХОДЯЩИЕ запросу к сайту
Решения этой задачи не существует для вас вероятнее всего, поскольку решение такое: попросите провайдера открыть доступ или опротестуйте решение суда.

вариант два - вы ходите в интернет через прокси, который имеет адрес у провайдера ТТК, и соответственно  провайдер блокирует запросы ИСХОДЯЩИЕ от этого прокси.
Ну..надо использовать прокси вне провайдера блокирующего запросы. vpn соединение например через нидерланды или америку.

> Подскажите, существует ли способ с помощью iptables/ipfw решить данную проблему?

вы даже изложить толком проблему не можете... о каком  iptables/ipfw  может идти речь?

> Спасибо.

да незачто...

> Всем доброго времени суток!
> Существует проблема, компьютеры подключены к сети, но не введены в домен. Необходимо
> вычислить эти компы. Результат - это ip-адреса этих компов. Есть соображения,
> как это сделать?
> Благодарю за помощь!

ну, очевидно нужно составить список компов в сети (запросить его у службы поддержки)
и вывести список компов в домене (запросить его у домен-админа)

полученные списки сравнить.

компьютеры присутствующие в первом списке и отсутствующие во втором- соответственно и будут ответом на поставленный вопрос.

Пройтись powershell скриптом по ip адресам, и попытаться от админа домена открыть сессию (smb на \\ip\C$, wmic выборку или psexec'ом hostname сделать)

> Приветствую,
> заполняю табличку по 1Г. В защищаемом контуре есть СУБД на Oracle Linux
> 7.
> Есть требование "Должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ".
> Есть также отдельное требование по регистрации событий входа в ОС.
> У кого-нибудь есть понимание, что хотели авторы первого требования и, как это
> реализовано в Linux?

да.
нанять специалиста.

> У кого-нибудь есть понимание, что хотели авторы первого требования и, как это
> реализовано в Linux?

Халявно и по-лоховски - через MAC-адреса, то есть свитч должен за ними следить. Более серьёзно - через Kerberos, когда действительно идентифицируешь экземпляр ОС.

2017-05-10 "пропало" более 10 тысяч вирусов!!!

201702/21/    10097383
201702/21/    10098498
  201702/21/    10067302
201702/22/    10098993
201702/22/    10101892
201702/22/    10102064
201702/22/    10102576
201702/22/    10102592
201702/23/    10103117
201702/23/    10105506
201702/23/    10106059
201702/23/    10106089
201702/23/    10107039
201702/23/    10107172
201702/24/    10107172
201702/24/    10109099
201702/25/    10109149
201702/25/    10110101
201702/26/    10111646
201702/26/    10114556
201702/26/    10114902
201702/27/    10115136
  201702/27/    10115089
201702/27/    10115117
201702/27/    10116406
201702/27/    10116436
201702/27/    10117073
201702/28/    10117073
201702/28/    10117073
201702/28/    10119235
201702/28/    10119607
201703/01/    10120278
201703/01/    10121301
201703/01/    10123276
201703/01/    10123300
201703/02/    10138347
201703/02/    10141217
201703/02/    10149368
201703/02/    10149375
201703/03/    10150643
201703/03/    10158729
201703/03/    10158878
201703/04/    10158878
201703/04/    10163019
201703/04/    10163078
201703/04/    10169659
201703/04/    10173443
201703/05/    10173449
201703/05/    10161144
201703/05/    10161184
201703/05/    10161213
201703/06/    10161213
201703/06/    10161242
201703/06/    10163158
  201703/06/    10163129
  201703/07/    10163129
201703/07/    10163379
201703/08/    10163379
201703/08/    10187905
201703/08/    10198927
201703/09/    10199042
201703/09/    10206006
  201703/09/    10205968
  201703/09/    10205963
  201703/09/    10206002
  201703/10/    10206002
201703/10/    10209687
201703/10/    10210185
201703/10/    10210196
201703/10/    10210861
201703/11/    10210861
201703/13/    10210861
201703/13/    10218387
201703/13/    10218693
201703/14/    10218693
201703/14/    10220851
201703/14/    10222344
  201703/14/    10222324
  201703/15/    10222324
201703/15/    10224699
201703/15/    10227201
201703/15/    10235647
201703/16/    10235647
201703/16/    10241797
201703/16/    10241712
201703/17/    10241712
  201703/17/    10228686
201703/17/    10257331
201703/17/    10257451
201703/18/    10257451
201703/19/    10263355
201703/20/    10286999
201703/20/    10287095
201703/20/    10292679
  201703/20/    10292182
201703/20/    10292764
201703/21/    10292764
201703/21/    10294601
201703/21/    10302941
201703/22/    10302941
201703/22/    10319604
201703/22/    10320496
201703/23/    10329310
201703/23/    10331369
  201703/23/    10331259
  201703/23/    10331261
201703/24/    10335857
201703/24/    10342380
201703/24/    10348875
201703/24/    10350460
201703/25/    10350460
201703/26/    10350460
201703/27/    10350460
201703/27/    10366111
  201703/28/    10366051
201703/28/    10366729
201703/29/    10370192
201703/29/    10370195
201703/30/    10370195
201703/30/    10373149
201703/30/    10382409
201703/31/    10382409
201703/31/    10386547
201703/31/    10389205
201704/01/    10389232
201704/01/    10391005
201704/01/    10392472
201704/02/    10392472
201704/03/    10394402
201704/03/    10397396
201704/03/    10399530
  201704/03/    10399498
201704/03/    10399573
201704/04/    10399573
201704/05/    10399573
201704/05/    10400086
201704/05/    10400122
201704/05/    10414090
201704/06/    10414663
201704/06/    10414738
  201704/06/    10335068
201704/06/    10428599
201704/06/    10506932
201704/06/    10507318
201704/07/    10507318
201704/07/    10514144
201704/07/    10516293
201704/08/    10516293
201704/08/    10519434
201704/10/    10519434
201704/10/    10528309
201704/11/    10529452
201704/11/    10532756
201704/11/    10535097
201704/11/    10535294
201704/11/    10535325
201704/12/    10535325
201704/12/    10545935
201704/12/    10549488
  201704/12/    10548774
  201704/12/    10548786
  201704/13/    10548786
201704/13/    10550166
201704/13/    10551069
  201704/13/    10551048
201704/13/    10551109
201704/14/    10551109
201704/14/    10555287
  201704/14/    10555283
201704/15/    10561236
  201704/15/    10561230
201704/15/    10569216
201704/15/    10569233
  201704/15/    10569084
201704/15/    10581308
201704/16/    10581308
201704/16/    10585352
201704/17/    10585352
201704/18/    10585352
201704/19/    10586171
201704/19/    10586190
201704/19/    10673462
201704/19/    10673504
201704/20/    10673645
201704/20/    10673873
201704/20/    10673911
201704/21/    10673911
201704/22/    10676684
201704/23/    10676684
201704/24/    10676684
201704/24/    10677207
201704/25/    10677262
201704/25/    10677582
  201704/25/    10677324
  201704/26/    10677324
  201704/26/    10677359
    201704/27/    8730269
  201704/27/    10677296
  201704/28/    10677296
201704/28/    10677822
201704/29/    10677822
201704/30/    10677822
201704/30/    10677822
201704/30/    10677862
201704/30/    10681041
201705/01/    10681041
201705/02/    10681041
201705/02/    10681764
  201705/02/    10670990
  201705/03/    10670990
  201705/03/    10673983
  201705/03/    10674113
  201705/04/    10674113
  201705/04/    10674425
    201705/04/    10671202
    201705/04/    10673076
    201705/05/    10673076
    201705/05/    10673615
  201705/05/    10675399
  201705/05/    10675482
  201705/06/    10675482
  201705/07/    10675482
  201705/08/    10675482
  201705/09/    10675482
  201705/10/    10675482
  201705/10/    10675056
    201705/10/    10665236
    201705/11/    10665236
    201705/11/    10665474
    201705/12/    10665474
    201705/12/    10665750
    201705/12/    10669894
    201705/13/    10669978
    201705/14/    10669978
    201705/15/    10669978
  201705/15/    10673885
201705/15/    10674442
201705/15/    10675010
201705/16/    10675010
201705/16/    10675048
201705/17/    10675048
201705/18/    10689360
201705/18/    10689727
  201705/18/    10680532

> В теории количество вирей должно только увеличиваться. А на практике иногда уменьшается
> на десятки тысяч! Особо в securiteinfo.hdb

https://www.securiteinfo.com/services/anti-spam-anti-virus/i...

> Причём удобство не просто нулевое, у меня складывается впечатление, что авторы LE
> целенаправленно усложнили жизнь  и пользователям сертификатов и разработчикам.

Если бы авторы LE усложнили жизнь разработчикам, вряд ли бы вы легко и непринужденно наваяли бы свою панель.

> На данный момент почти все администраторы используют LE либо посредством консоли
>(certbot), либо в веб-интерфейсе панели управления  хостингом (ISPmanager, VestaCP),
> или-же используют ещё какие-то костыли. Всё это неудобно.

Что именно неудобно? Можете ответить конкретно, аргументированно?

> Люди традиционно привыкли...

...платить за сертификаты. Вы это исправить не запланировали?
...менять сертификаты вручную раз в ... Может быть ваша панель исправляет это?

> заказывать сертификат в веб-панели, на длительный срок, с
> поддоменом www, с поддержкой wildcard и прочими удобствами.

С какими такими удобствами заказывается сертификат в веб-панелях?
Я как-то их там особо не замечал. Сначала где-то CSR составь, залей его в панель, получи файл верификации и потом залей на свой сервер вручную, дождись пока тебя проверят, скачай сертификат - это называется удобство?

Не встречал проблем с получением поддомена www в случае использования LE.

И поддержку wildcard вы не реализуете тоже.

Так какие такие актуальные проблемы решает ваша панель?

Я не говорю, что никаких проблем у LE нет.
Они есть, но для меня ваша панель вряд ли станет инструментом, решающим эти проблемы.

На мой взгляд, как раз таки лезть в какую-то веб-панель для заказа сертификата - это и есть неудобно. При этом неважно, ваша ли это панель или панель центра выдачи сертификатов.

> Всего этого у Let`s Encrypt нет и это нужно исправить хотябы частично. Потому я
> решил написать веб-панель в которой-бы можно было управлять сертификатами LE максимально
> комфортно.

Что значит - управлять сертификатами? Для меня управление сертификатами заканчивается сразу по окончанию конфигурации веб-сервера - дальше всё делает автоматика.

В чем обещанный комфорт? В том, что для получения сертификата надо дать панели рутовый доступ к серверу и вбить еще пяток параметров?

Какие актуальные задачи/проблемы решает ваша панель?

На мой взгляд, вписать _одну_ нужную строчку (список хостов сертификата) в файлик со списком сертификатов и выполнить _одну_ простую команду в консоли - гораздо проще, чем лезть в какую-либо панель.

Цитата из документации Панели:

>Предполагается, что в конфигах веб-сервера уже прописаны пути к файлам сертификата. В
>панели JustEncrypt вам нужно указать путь к файлу в который будет сохранён сертификат.

Интересное предположение. Т.е. на момент того, как админ лезет в панель:

- конфиги веб-сервера таки необходимо поправить;
- конфиги веб-сервера в это время являются сломанными, т.к. ссылаются на несуществующий файл сертификата.

Отличное решение, не находите?

Если конфиги веб-сервера необходимо править, значит ты уже в консоли сервера.
В этой же консоли прекрасно добавляется одна строка в нужный файл конфигурации (certbot или кто там что использует), выполняется одна консольная команда и всё - сертификат получен и лежит в стандартном ожидаемом месте со стандартным ожидаемым именем.

При этом не надо лезть ни в какие панели и увеличивать пробег мыши с непонятными целями.

Позиционирование вашей панели также какое-то странное:

>Важно: панель JustEncrypt предназначена для системных администраторов имеющих опыт работы
>с сервером по SSH и опыт настройки веб-сервера путём правки конфигов. Если вы не умеете
>настраивать конфиги веб-сервера, то сначала нужно этому научиться.

ИМХО, тем кто это всё умеет - ваша панель полезной не будет.

Если те, кто это всё умеют - пользуются прямым входом аккаунтом root по SSH ... да еще и соглашаются вбить рут-пароль в какую-то панель, которая потом положит его в MySQL.... нунизнаю.

Я в целом не против вашей панели и вашего труда.
Своих пользователей оно наверняка найдет, на opennet они толпами ходят.
Но вот ваши исходные предпосылки, аргументация и, отчасти, само решение - лично меня не убедили.

Не могу взять в толк, о каких конкретно проблемах LE вы толкуете, а уж, тем более, сложностях в выпуске, установке и обновлении. Уж тут всё автоматизировано донельзя.
Разве что отсутствие GUI можно отнести к проблеме.
Ограничения же есть. Они разумны и понятны. Можете принимать их или нет - вопрос ваш.
По опыту же достаточно один раз установить клиент ACME (выбор тут теперь богатый) настроить сервер(ы), выпустить сертификат и добавить в cron команду запуска обновления и забыть про этот вопрос.

Спасибо, поглядим

ненужно

Конечно, может кому и пригодиться, но вот по поводу удобства, это вы зря...

Всё отлично сделали,а если у кого-то руки из **** растут, так что он не может все это дело автоматизировать, то, я думаю, это проблема кривизны его рук.

Возможно не нравится, слово PPPOE в имени блока. Типа динамический пул.
inetnum:        94.180.120.0 - 94.180.127.255
netname:        ERTH-NSK-PPPOE-5-NET
Почтовик еще в sorbs, от туда выписываться можно бесконечно долго. Попробуйте через провайдера, возможно они как владельцы адресации помогут.

> Пишут что можно как-то через -j RETURN, но пока не нашел толкового
> примера

А что, без примеров уже совсем никак?

Эка загнул...
Придеться тогда извращаться и делать инкапсуляцию, если вы L2  хотите в ipsec засунуть.

>[оверквотинг удален]
> почту.
> Предлагаемые инструменты не подходят, т.к. они по Windows, т.к. gozi заточен под
> Windows.
> Поддержка запустила антивирус, но он ничего не нашел.
> Поддержка запустила: tcpdump -nnvvXS host 87.106.18.141(тогда CBL выдавало другой адрес)
> -w /root/traf.pcap -c 100000
> но никаких обращений к 87.106.18.141 зафиксировано не было.
> А CBL говорит что активность есть: "It was last detected at 2017-02-07
> 01:00 GMT "
> Какие будут идеи?

1) Вы от записи трафика какой эффект ожидали получить?
Допустим, в трафике есть такие запросы. Что дальше?

2) Т.к. адреса меняются, надо писать весь трафик на указанные порты, а не один айпи.
Потом по результатам обновления страницы CBL можно сделать поиск в записанном трафике.

> Дано: документированные показания злонамеренного вмешательства в трафик.
> Нужно: что почитать на тему подготовки данных форензики к подаче материалов в
> прокуратуру и суд.

Смените профессию.
Это даже не постановка задачи, это мизулинщина в чистом виде.

> Дано: документированные показания злонамеренного вмешательства в трафик.
> Нужно: что почитать на тему подготовки данных форензики к подаче материалов в
> прокуратуру и суд.

Полякова Т. - Организационное и правовое обеспечение информационной безопасности (Академический курс) - 2016
все нужные статьи и терминология указаны,на universite внимание обращать не надо-ему одиноко "за бортом".

> Дано: документированные показания злонамеренного вмешательства в трафик.
> Нужно: что почитать на тему подготовки данных форензики к подаче материалов в
> прокуратуру и суд.

http://bezopasnik.org/article/book/95.pdf

Скорей всего у Вас что-то не так с провыйдерским DNS. Попробуйте поменять его на 208.67.222.222 (OpenDNS).

> Почему? Как сделать чтобы обрабатывались оба правила и пакет после первого с
> dst 79.2.2.2 уходил на 192.168.33.33?

После того как пакет достиг адреса назначения- исчезает. Вообще. Перестает существовать.
как он может после этого еще куда-то попасть?

ну так и покажите ему (пользователю) свою страницу о балансе сразу на 33.33

или, если уж так сильно хочется, показывайте свою заглушку на странице 2.2 ,
а потом с этой страницы делайте перенаправление на страницу 33.33 ,
но уже средствами самой страницы (редирект, пхп, перл и т.д.)

>[оверквотинг удален]
> или он оставляет только какой-то один на выходе из PREROUTINGа?
> Как тогда это обойти? Мне бы и POSTROUTING подошел, но там вроде
> нельзя DNAT. Возможно вместо первого DNAT нужно отдельный прокси разворачивать, какой
> тогда лучше?
> (пробовал squid, но на него моих знаний или мощности не хватает, все
> виснет).
> Или есть какое-то более простое решение?
> Вроде простая задача, примерно как у любого провайдера при нулевом балансе открывается
> домашняя страница с предупреждением,
> но мне это еще нужно через дополнительную сеть пустить.

Если правило подошло по критериям, то действия ACEPT, DROP, REJECT отрабатывают и дальнейшие правила в не рассматриваются, это точно. Для действия DNAT видимо тоже самое, дальше пакет попадает наверное в цепочку FORWARD.

Благодарю за комментарии!
Очень помогло, нашел решение через Bridge и создание дополнительной сети.

$IPT -t nat -A PREROUTING -d $INET_ADDR -p tcp --dport $NEXTCLOUD_HTTP_DNAT -j DNAT --to-destination $APPLICATIONS_IP:$NEXTCLOUD_HTTP_PORT
$IPT -t nat -A POSTROUTING  -s $LAN_NTWK -d $APPLICATIONS -p tcp --dport $NEXTCLOUD_HTTP_PORT -j SNAT --to-source $
LAN_ADDR

Заработало в итоге, но работает только при обращение по IP, если вместо IP указать FQDN (DynDNS) не работает правило.

Лучше использовать классические системы обнаружения вторжений сразу после установки. Проверять систему ими перед каждым обновлением и сразу после обновления создавать новые хеши.

Мой скрипт сработает только в Gentoo и надёжно сработает только если содержимое /var/db/pkg/ сразу после установки было записан на ROM носитель.

Перепишите правила ipfw раз не понимаете логику keep-state.
Увеличение net.inet.ip.fw.dyn_max  решит проблему на какой-то срок.

> Имеем три типа документов ворд.docx, ексель.xlsx, и поверпоинт.ppt

Почему проблемы вендузячьей "фирмочки" должны волновать кого-то ещё?
Обратитесь в Майкрософт - вы же у них софт регулярно покупаете - они вам точно помогут!

Перевести всё в растровый pdf с отключенными функциями копирования,редактирования,сохранения и печати,рельефным фоном на 90% решит вопрос.
Если добавить интерфейс удаленного открытия файла,то будет решен и вопрос с копированием самого файла. Можно использовать и postscript,всё станет еще сексуальней.

PDFCreator. Позволяет распечатать документ на виртуальном принтере в формате pdf. Позволяет запаролить печать и модификацию файла, позволяет добавить к документу водяной знак, может работать как сервер печати. То есть группа редакторов создает или редактирует файл, например doc, затем кладет этот файл в определенную папку откуда файл конвертируется в pdf с нужными параметрами и перекладывается в папку для читателей. Эти процессы можно автоматизировать скриптами. Сама программа бесплатна.

Так тебе не INPUT, а FORWARD для этих портов нужно - это раз.

уменьши диапазон RTP портов на asterisk, полюбе тебе 10к портов не нужно, и сделай разрешение на них.

ну, или, если не asterisk, а конечные устройства у тебя, смотри у них в настройках диапазон RTP, и действуй в соответствии с этим.

Откройте для себя sudo.
А руту сделайте
passwd -d

Непонятно, для чего два openvpn туннеля. Это два разных пользователя vpn или интернет находится за одним из туннелей?

так же не понятно про прокси, то ли к ним нужно через vpn подключаться , то ли прокси через vpn должны в инет идти.
Конечную задачу опишите. и как 2 vpn и 2 прокси должны взаимодействовать.

>[оверквотинг удален]
> в конце установки соединения, после обоих соединений так делал, потом соответсвенно
> запускаю опять две штуки 3proxy.
> В итоге захожу на 2ip.ru с обоих портов прокси и вижу что
> интернет идет в обход опенвпн.
> Еще пробовал изучать iptables, думал что можно вообще без 3proxy перенаправлять пакеты
> на tun0-00 и tun1-00, тоже не получилось, и для меня iptables
> очень сложно показалось, не понимаю толком.
> Подскажите пожалуйста как можно сделать такой сервер, чтоб в нем поднять пару
> openvpn и заходить через них в интернет одновременно используя прокси на
> разных портах которые будут соответствовать разным openvpn соединениям в этом сервере.

В простейшем случае никак, оба прокси будут ходить через один и тот же маршрут по умолчанию (через один и тот же VPN). Зависит от очередности поднятия VPN. Заставить с одного сервера ходить через разные VPN в инет это уже видимо не вашего уровня задача, тут нужно маркировать трафик iptables и маршрутизацию посложнее настраивать. В Вашем случае выход видится - два сервера на них по VPNу. Указываете один в качестве прокси - ходите через один канал, указываете другой - через другой.

> За решение под ключ готов заплатить.

Способы решения:

1. Отсыпь той травы, что ты курил, описывая проблему, чтобы понять, что ты имеешь в виду
2. Походу, обычная XY-проблема. Вернись к началу и расскажи, зачем ты всё это делаешь

Возможно, что тебе не нужно два OpenVPN. Возможно, что тебе нужно два параллельных OpenVPN, а не один в другом. Возможно, что там нужно помудрить с `ip rule'. Возможно, что не нужно это делать вообще.

Указывайте версию FreeBSD!!!

via - пакеты проходящие через этот интерфейс. Это два направления in и out.

В вашем случае надо создавать два правила для обработки src IP = 10.10.0.50  и dst IP = 10.10.0.50

> сделал так:
> ipfw pipe 1000 config bw 6Mbit/s
> ipfw add pipe 1000 ip from 192.168.59.0/24 to any out
> ipfw add pipe 1000 ip from any to 192.168.59.0/24 in
> Правила не работает (((

Есно.

pipe - односторонняя труба.

Вы хотите ограничить трубу 6 мбитам для всех IP из сети 192.168.59.0/24

Простой случай:

ipfw pipe 1000 config bw 6Mbit/s dst-ip 0xffffffff
ipfw pipe 1001 config bw 6Mbit/s src-ip 0xffffffff
ipfw add pipe 1000 ip from any to 192.168.59.0/24 in 
ipfw add pipe 1001 ip from 192.168.59.0/24 to any out 

Сложный случай:

int=vlan1
gray_net=10.0.0.0/8,192.168.0.0/16,239.0.0.0/8
ipfw pipe 1000 config bw 6Mbit/s dst-ip 0xffffffff gred 0.1/10/80/0.95
ipfw pipe 1001 config bw 6Mbit/s src-ip 0xffffffff gred 0.1/10/80/0.95
ipfw add pipe 1000 ip from not me,${gray_net} to 192.168.59.0/24 in  via $int
ipfw add pipe 1001 ip from 192.168.59.0/24 to not me,${gray_net} out via $int

> iptables -t mange -I POSTROUTING -o eth1 -j TTL --ttl-set 64
> В результате получаю "no chain/target/match by that name"

-t mangle же, нет?