forum.opennet.ru


Форум Информационная безопасность

как сделать доступным localhost из интернета ,

Grek77, (Linux iptables, ipchains) 11-Сен-17, 08:26 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Смутные сомнения терзают меня А как Вы себе представляете что такое localhost, ЫЫ (?), 10:18 , 11-Сен-17 (1)
> Добрый день! Подскажите как с помощью iptables сделать localhost доступным из интернета
> ? Есть wifi роутер 192.168.1.1
> сервер kvm с centos7 192.168.2.230
> основная система 192.168.1.105 интернет вайфай
> Какие правила нужно прописать в iptables чтобы открыть доступ к серверу 192.168.2.230
> из вне ? Подскажите .
Смутные сомнения терзают меня. А как Вы себе представляете что такое " localhost " ?
сообщить модератору +/– ответить

Сервер на локальном пк , Grek77 (ok), 10:49 , 11-Сен-17 (2)
>> Добрый день! Подскажите как с помощью iptables сделать localhost доступным из интернета
>> ? Есть wifi роутер 192.168.1.1
>> сервер kvm с centos7 192.168.2.230
>> основная система 192.168.1.105 интернет вайфай
>> Какие правила нужно прописать в iptables чтобы открыть доступ к серверу 192.168.2.230
>> из вне ? Подскажите .
> Смутные сомнения терзают меня. А как Вы себе представляете что такое "
> localhost " ?
Сервер на локальном пк
сообщить модератору +/– ответить

https yandex ru yandsearch text iptables проброс портов, ЫЫ (?), 11:00 , 11-Сен-17 (3)
>>> Добрый день! Подскажите как с помощью iptables сделать localhost доступным из интернета
>>> ? Есть wifi роутер 192.168.1.1
>>> сервер kvm с centos7 192.168.2.230
>>> основная система 192.168.1.105 интернет вайфай
>>> Какие правила нужно прописать в iptables чтобы открыть доступ к серверу 192.168.2.230
>>> из вне ? Подскажите .
>> Смутные сомнения терзают меня. А как Вы себе представляете что такое "
>> localhost " ?
> Сервер на локальном пк
https://yandex.ru/yandsearch?&text= iptables проброс портов
сообщить модератору +/– ответить

Сделал так iptables -t nat -A PREROUTING -d 192 168 1 0 24 -p tcp -m tcp --dport, Grek77 (ok), 11:45 , 11-Сен-17 (4)
>>>> Добрый день! Подскажите как с помощью iptables сделать localhost доступным из интернета
>>>> ? Есть wifi роутер 192.168.1.1
>>>> сервер kvm с centos7 192.168.2.230
>>>> основная система 192.168.1.105 интернет вайфай
>>>> Какие правила нужно прописать в iptables чтобы открыть доступ к серверу 192.168.2.230
>>>> из вне ? Подскажите .
>>> Смутные сомнения терзают меня. А как Вы себе представляете что такое "
>>> localhost " ?
>> Сервер на локальном пк
> https://yandex.ru/yandsearch?&text= iptables проброс портов
Сделал так:
iptables -t nat -A PREROUTING -d 192.168.1.0/24 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.230:80
iptables -t nat -A PREROUTING -d 192.168.2.230/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.1
Правильно ли я пробросил порты?
сообщить модератору +/– ответить

gt оверквотинг удален Достаточно одного правила на wifi роутереiptables -t nat, ПавелС (ok), 12:35 , 11-Сен-17 (5)
>[оверквотинг удален]
>>>>> ? Есть wifi роутер 192.168.1.1
>>>>> сервер kvm с centos7 192.168.2.230
>>>>> основная система 192.168.1.105 интернет вайфай
>>>>> Какие правила нужно прописать в iptables чтобы открыть доступ к серверу 192.168.2.230
>>>>> из вне ? Подскажите .
>>>> Смутные сомнения терзают меня. А как Вы себе представляете что такое "
>>>> localhost " ?
>>> Сервер на локальном пк
>> https://yandex.ru/yandsearch?&text= iptables проброс портов
> Сделал так:
Достаточно одного правила на wifi роутере
iptables -t nat -A PREROUTING -d <здесь твой белый интернет адрес WAN на роутере>/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.230:80
Если интернет адрес всё время разный то правило немножко другое
iptables -t nat -A PREROUTING -i "wan0 или как у тебя называется" -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.230:80
Следующее правило лишнее
> iptables -t nat -A PREROUTING -d 192.168.2.230/32 -p tcp -m tcp --dport
> 80 -j DNAT --to-destination 192.168.1.1
> Правильно ли я пробросил порты?
сообщить модератору +/– ответить

сперва прочитатьhttps en wikipedia org wiki Private_networkи долго думать, vg (??), 14:56 , 11-Сен-17 (6)
сперва прочитать
https://en.wikipedia.org/wiki/Private_network
и долго думать
сообщить модератору +/– ответить
gt оверквотинг удален Спасибо, Grek77 (ok), 16:27 , 11-Сен-17 (7)
>[оверквотинг удален]
> iptables -t nat -A PREROUTING -d <здесь твой белый интернет адрес WAN
> на роутере>/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination
> 192.168.2.230:80
> Если интернет адрес всё время разный то правило немножко другое
> iptables -t nat -A PREROUTING -i "wan0 или как у тебя называется"
> -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.230:80
> Следующее правило лишнее
>> iptables -t nat -A PREROUTING -d 192.168.2.230/32 -p tcp -m tcp --dport
>> 80 -j DNAT --to-destination 192.168.1.1
>> Правильно ли я пробросил порты?
Спасибо
сообщить модератору +/– ответить

ну и до кучи, вы уверены что Вам провайдер вообще выдаёт белые адреса, доступн, stalker37 (ok), 21:46 , 11-Сен-17 (8)
> Добрый день! Подскажите как с помощью iptables сделать localhost доступным из интернета
> ? Есть wifi роутер 192.168.1.1
> сервер kvm с centos7 192.168.2.230
> основная система 192.168.1.105 интернет вайфай
> Какие правила нужно прописать в iptables чтобы открыть доступ к серверу 192.168.2.230
> из вне ? Подскажите .
ну и до кучи, вы уверены что Вам провайдер вообще выдаёт "белые" адреса, доступные снаружи
и если выдаёт,что не режет порты типа 80/8080 и так далее?
сообщить модератору +/– ответить

Поиск NAT в сети,

Vasya1985, (Проблемы с безопасностью / Другая система) 07-Июл-17, 12:51 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

только анализом трафика по каждому хосту, вы можете с некой долей вероятности по, ыы (?), 13:52 , 07-Июл-17 (1)
Но вы должны понимать, что современные реалии таковы, что каждый ставит себе на , ыы (?), 13:54 , 07-Июл-17 (2)

Моя ЛВС не выходит в интернет, я хочу узнать, существует ли NAT в сети и компью, Vasya1985 (ok), 14:03 , 07-Июл-17 (3) –1

http www sflow org detectNAT , Олег (??), 19:09 , 07-Июл-17 (4)

TTL очень часто подправляют, уже многие роутеры по умолчанию это делают Как вари, _KUL (ok), 14:47 , 10-Июл-17 (5)
> http://www.sflow.org/detectNAT/
TTL очень часто подправляют, уже многие роутеры по умолчанию это делают.
Как вариант, можно поискать устройства, которые осуществляют маршрутизацию. Т.е. заведомо известную сеть всем, попробовать по маршрутизировать через каждый узел в броадкасте, и если через кого то пройдёт, то более подробнее проводить анализ над данным узлом.
сообщить модератору +/– ответить

NAT как бы придуман как раз чтобы не маршрутизировать, ыы (?), 15:04 , 10-Июл-17 (6) –1
>> http://www.sflow.org/detectNAT/
> TTL очень часто подправляют, уже многие роутеры по умолчанию это делают.
> Как вариант, можно поискать устройства, которые осуществляют маршрутизацию. Т.е. заведомо
> известную сеть всем, попробовать по маршрутизировать через каждый узел в броадкасте,
> и если через кого то пройдёт, то более подробнее проводить анализ
> над данным узлом.
NAT как бы придуман как раз чтобы не маршрутизировать
сообщить модератору –1 +/– ответить

не правы, нат подменяет источник адресат железка с нат должна маршрутизировать , _KUL (ok), 15:02 , 11-Июл-17 (9) –1
>>> http://www.sflow.org/detectNAT/
>> TTL очень часто подправляют, уже многие роутеры по умолчанию это делают.
>> Как вариант, можно поискать устройства, которые осуществляют маршрутизацию. Т.е. заведомо
>> известную сеть всем, попробовать по маршрутизировать через каждый узел в броадкасте,
>> и если через кого то пройдёт, то более подробнее проводить анализ
>> над данным узлом.
> NAT как бы придуман как раз чтобы не маршрутизировать
не правы, нат подменяет источник/адресат. железка с нат должна маршрутизировать трафик через себя.
сообщить модератору –1 +/– ответить

в том то и дело, что при маршрутизации- источник адресат не подменяется Маршрут, ыы (?), 15:34 , 11-Июл-17 (11) –2
>>>> http://www.sflow.org/detectNAT/
>>> TTL очень часто подправляют, уже многие роутеры по умолчанию это делают.
>>> Как вариант, можно поискать устройства, которые осуществляют маршрутизацию. Т.е. заведомо
>>> известную сеть всем, попробовать по маршрутизировать через каждый узел в броадкасте,
>>> и если через кого то пройдёт, то более подробнее проводить анализ
>>> над данным узлом.
>> NAT как бы придуман как раз чтобы не маршрутизировать
> не правы, нат подменяет источник/адресат. железка с нат должна маршрутизировать трафик
> через себя.
в том то и дело, что при маршрутизации- источник/адресат. не подменяется.
Маршрутизация НЕ ПОДМЕНЯЕТ источник/адресат. в этом смысл.
НАТ - подменяет, как раз для того чтобы пускать через себя не маршрутизируемые сегменты. тоетсь те сегменты котоыре нельзя маршрутизировать. не в физическом смысле а в организационном. Например серые сети НЕЛЬЗЯ маршрутизировать в интернет. поэтому ставят НАТ.
который сеть не маршрутизирует а подменяет источник/адресат
сообщить модератору –2 +/– ответить

gt оверквотинг удален подменяющая железка с натом выполняет МАРШРУТИЗАЦИЮ, их , _KUL (ok), 15:08 , 12-Июл-17 (12)
>[оверквотинг удален]
>>> NAT как бы придуман как раз чтобы не маршрутизировать
>> не правы, нат подменяет источник/адресат. железка с нат должна маршрутизировать трафик
>> через себя.
> в том то и дело, что при маршрутизации- источник/адресат. не подменяется.
> Маршрутизация НЕ ПОДМЕНЯЕТ источник/адресат. в этом смысл.
> НАТ - подменяет, как раз для того чтобы пускать через себя не
> маршрутизируемые сегменты. тоетсь те сегменты котоыре нельзя маршрутизировать. не в физическом
> смысле а в организационном. Например серые сети НЕЛЬЗЯ маршрутизировать в интернет.
> поэтому ставят НАТ.
> который сеть не маршрутизирует а подменяет источник/адресат
подменяющая железка с натом выполняет МАРШРУТИЗАЦИЮ, их и ищем
серый.исходящ/белый.назнач ---> NAT+маршрутизация ---> белый.исходящ./белый.назнач.
сообщить модератору +/– ответить

gt оверквотинг удален Я позволю себе вмешаться в вашу дискуссию, c вот такой ц, zanswer CCNA RS and S (?), 08:18 , 27-Авг-17 (14)
>[оверквотинг удален]
>>> через себя.
>> в том то и дело, что при маршрутизации- источник/адресат. не подменяется.
>> Маршрутизация НЕ ПОДМЕНЯЕТ источник/адресат. в этом смысл.
>> НАТ - подменяет, как раз для того чтобы пускать через себя не
>> маршрутизируемые сегменты. тоетсь те сегменты котоыре нельзя маршрутизировать. не в физическом
>> смысле а в организационном. Например серые сети НЕЛЬЗЯ маршрутизировать в интернет.
>> поэтому ставят НАТ.
>> который сеть не маршрутизирует а подменяет источник/адресат
> подменяющая железка с натом выполняет МАРШРУТИЗАЦИЮ, их и ищем
> серый.исходящ/белый.назнач ---> NAT+маршрутизация ---> белый.исходящ./белый.назнач.
Я позволю себе вмешаться в вашу дискуссию, c вот такой цитатой:
RFC 2663 - IP Network Address Translator (NAT) Terminology and Considerations
"3. What is NAT?
   Network Address Translation is a method by which IP addresses are
   mapped from one address realm to another, providing transparent
   routing to end hosts. There are many variations of address
   translation that lend themselves to different applications. However,
   all flavors of NAT devices should share the following
   characteristics.
          a) Transparent Address assignment.
          b) Transparent routing through address translation.
             (routing here refers to forwarding packets, and not
             exchanging routing information)
          c) ICMP error packet payload translation.
   Below is a diagram illustrating a scenario in which NAT is enabled on
   a stub domain border router, connected to the Internet through a
   regional router made available by a service provider.
       \ | /                  .                               /
   +---------------+  WAN     .           +-----------------+/
   |Regional Router|----------------------|Stub Router w/NAT|---
   +---------------+          .           +-----------------+\
                              .                      |        \
                              .                      |  LAN
                              .               ---------------
                        Stub border
        Figure 1: A typical NAT operation scenario"
"3.2. Transparent routing
   A NAT router sits at the border between two address realms and
   translates addresses in IP headers so that when the packet leaves one
   realm and enters another, it can be routed properly. Because NAT
   devices have connections to multiple address realms, they must be
   careful to not improperly propagate information (e.g., via routing
   protocols) about networks from one address realm into another, where
   such an advertisement would be deemed unacceptable.
   There are three phases to Address translation, as follows. Together
   these phases result in creation, maintenance and termination of state
   for sessions passing through NAT devices."
Иными словами, NAT маршрутизатор, выполняет процесс маршрутизации, названный в контексте NAT, как прозрачная маршрутизация, но тем не менее, маршрутизация.
сообщить модератору +/– ответить

По пинговать arping ом серые адреса шлюзов по умолчанию Пример с моей машины AR, aaa (??), 09:39 , 11-Июл-17 (7)
> Доброго времени суток!
> Суть проблемы такова - существует локальная сеть, необходимо обнаружить, развернут ли в
> ней где-нибудь NAT и находится ли за ним ещё какая-нибудь сеть???
> Может кто-нибудь сталкивался с этой проблемой?
> Благодарю за помощь!
По пинговать arping'ом серые адреса шлюзов по умолчанию. Пример с моей машины:
ARPING 192.168.0.1 from 92.63.XXX.XXX eth0
Unicast reply from 192.168.0.1 [10:BF:48:88:60:B1]  0.684ms
Unicast reply from 192.168.0.1 [1C:AF:F7:AE:FC:18]  0.877ms
Unicast reply from 192.168.0.1 [1C:7E:E5:D2:A4:4D]  0.983ms
Sent 1 probes (1 broadcast(s))
Received 3 response(s)
и
ARPING 192.168.1.1 from 92.63.XXX.XXX eth0
Unicast reply from 192.168.1.1 [1C:AF:F7:AE:FC:18]  0.833ms
Unicast reply from 192.168.1.1 [14:DD:A9:F1:1D:D0]  1.027ms
Unicast reply from 192.168.1.1 [78:24:AF:7E:88:08]  1.161ms
Unicast reply from 192.168.1.1 [00:11:2F:57:9C:2A]  1.262ms
Unicast reply from 192.168.1.1 [00:17:9A:30:D1:A2]  1.458ms
Unicast reply from 192.168.1.1 [00:1D:0F:D4:05:2C]  1.576ms
Sent 1 probes (1 broadcast(s))
Received 6 response(s)
Эти маки скорее всего натят
сообщить модератору +/– ответить

gt оверквотинг удален И горе тем у кого на компе виртуалка поднята , ыы (?), 11:27 , 11-Июл-17 (8) +1
>[оверквотинг удален]
> ARPING 192.168.1.1 from 92.63.XXX.XXX eth0
> Unicast reply from 192.168.1.1 [1C:AF:F7:AE:FC:18]  0.833ms
> Unicast reply from 192.168.1.1 [14:DD:A9:F1:1D:D0]  1.027ms
> Unicast reply from 192.168.1.1 [78:24:AF:7E:88:08]  1.161ms
> Unicast reply from 192.168.1.1 [00:11:2F:57:9C:2A]  1.262ms
> Unicast reply from 192.168.1.1 [00:17:9A:30:D1:A2]  1.458ms
> Unicast reply from 192.168.1.1 [00:1D:0F:D4:05:2C]  1.576ms
> Sent 1 probes (1 broadcast(s))
> Received 6 response(s)
> Эти маки скорее всего натят
И горе тем у кого на компе виртуалка поднята... :)
сообщить модератору +1 +/– ответить
gt оверквотинг удален так вы найдете только колизии в бродкасте а злодей може, _KUL (ok), 15:05 , 11-Июл-17 (10)
>[оверквотинг удален]
> ARPING 192.168.1.1 from 92.63.XXX.XXX eth0
> Unicast reply from 192.168.1.1 [1C:AF:F7:AE:FC:18]  0.833ms
> Unicast reply from 192.168.1.1 [14:DD:A9:F1:1D:D0]  1.027ms
> Unicast reply from 192.168.1.1 [78:24:AF:7E:88:08]  1.161ms
> Unicast reply from 192.168.1.1 [00:11:2F:57:9C:2A]  1.262ms
> Unicast reply from 192.168.1.1 [00:17:9A:30:D1:A2]  1.458ms
> Unicast reply from 192.168.1.1 [00:1D:0F:D4:05:2C]  1.576ms
> Sent 1 probes (1 broadcast(s))
> Received 6 response(s)
> Эти маки скорее всего натят
так вы найдете только колизии в бродкасте. а злодей может и на 192.168.168.192 интерфейсе маршрутизацию делать.
сообщить модератору +/– ответить

йота, перелогинься, None (??), 11:03 , 18-Авг-17 (13)
> Доброго времени суток!
> Суть проблемы такова - существует локальная сеть, необходимо обнаружить, развернут ли в
> ней где-нибудь NAT и находится ли за ним ещё какая-нибудь сеть???
> Может кто-нибудь сталкивался с этой проблемой?
> Благодарю за помощь!
йота, перелогинься
сообщить модератору +/– ответить

Правила iptables не сохраняются.,

commanderTom, (Linux iptables, ipchains) 10-Авг-17, 18:50 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

gt оверквотинг удален в centos 7 не рекомендуется использовать iptables если в, ыы (?), 19:23 , 10-Авг-17 (1)
В CentOS есть штатное место хранения правил etc sysconfig iptables Но это в том, shadow_alone (ok), 00:30 , 11-Авг-17 (2) +1
В CentOS есть штатное место хранения правил /etc/sysconfig/iptables
Но это в том случае, если вы установили iptables-services (CentOS 7)
Но судя по тому что у вас, вы не устанавливали , а используете firewalld, там правила храняться уже по другому, в /etc/firewalld/ , разбитые на зоны, и сохранять их надо по другому, через --permanent
В вашем случае, отключите firewalld, установите iptables-services и храните все в /etc/sysconfig/iptables , если лень разбираться с firewalld.
И не придумывайте велосипед с сохранением в левый файл, бросьте уже эти дебиано-убунтушные замашки.
сообщить модератору +1 +/– ответить

А что, в дебианах с убунтами уже убрали пакет iptables-persistent , Аноним (-), 01:36 , 11-Авг-17 (3) –1
> И не придумывайте велосипед с сохранением в левый файл, бросьте уже эти
> дебиано-убунтушные замашки.
А что, в дебианах с убунтами уже убрали пакет iptables-persistent ?
сообщить модератору –1 +/– ответить

Нет, есть родимый Но из коробки его никогда не стояло А написал об этом, потом, shadow_alone (ok), 01:38 , 11-Авг-17 (4) +1

> А что, в дебианах с убунтами уже убрали пакет iptables-persistent ?
Нет, есть родимый.
Но из коробки его никогда не стояло :)
А написал об этом, потому что, кто не знал об этом пакете, пытались всегда сделать велосипед, типа .sh скриптов и т.д.
сообщить модератору +1 +/– ответить

а почему вы решили, что я использую на самом деле firewalld Папки etc firewalld , commanderTom (ok), 20:03 , 12-Авг-17 (5)
> В CentOS есть штатное место хранения правил /etc/sysconfig/iptables
> Но это в том случае, если вы установили iptables-services (CentOS 7)
> Но судя по тому что у вас, вы не устанавливали , а
> используете firewalld, там правила храняться уже по другому, в /etc/firewalld/ ,
> разбитые на зоны, и сохранять их надо по другому, через --permanent
> В вашем случае, отключите firewalld, установите iptables-services и храните все в /etc/sysconfig/iptables
> , если лень разбираться с firewalld.
> И не придумывайте велосипед с сохранением в левый файл, бросьте уже эти
> дебиано-убунтушные замашки.
а почему вы решили, что я использую на самом деле firewalld?
Папки etc/firewalld у меня нет, в /sbin/ тоже ничего на firewalld нет.
сообщить модератору +/– ответить

А потому что вы изобрели велосипед с sh скриптом, и еще потому что это CentOS7, shadow_alone (ok), 20:05 , 12-Авг-17 (6)
> а почему вы решили, что я использую на самом деле firewalld?
> Папки etc/firewalld у меня нет, в /sbin/ тоже ничего на firewalld нет.
А потому что вы изобрели велосипед с .sh скриптом, и еще потому что это CentOS7 , а там by default стоит firewalld
сообщить модератору +/– ответить

systemctl status firewalldservice not be foundМожет таки его нет, т к я ста, commanderTom (ok), 15:52 , 13-Авг-17 (7)
>> а почему вы решили, что я использую на самом деле firewalld?
>> Папки etc/firewalld у меня нет, в /sbin/ тоже ничего на firewalld нет.
> А потому что вы изобрели велосипед с .sh скриптом, и еще потому
> что это CentOS7 , а там by default стоит firewalld
:*(
#systemctl status firewalld
service not be found
Может таки его нет, т.к. я ставил ос с cd-диска 700 мб минимальную установку?
Но, опять же, не помню, чтобы я спецом ставил iptables...
Но файлы, к нему относящиеся, присутствуют в том же etc/sysconfig/
сообщить модератору +/– ответить

впрочем у меня и iptables нету Что за дичь, не пойму сам service iptables s, commanderTom (ok), 18:40 , 13-Авг-17 (8)
впрочем у меня и iptables нету...
Что за дичь, не пойму сам...
#service iptables status
Unit iptables.service colud not be found
Откуда тогда файлы, к нему относящиеся, в наличии имеются... (/sbin/@iptables, @iptables-restore, @iptables-save)
сообщить модератору +/– ответить

Потому что вы заблуждаетесь в том, что эти файлы относятся к этому сервису Указа, PavelR (??), 07:34 , 15-Авг-17 (9)
> впрочем у меня и iptables нету...
> Что за дичь, не пойму сам...
> #service iptables status
> Unit iptables.service colud not be found
> Откуда тогда файлы, к нему относящиеся, в наличии имеются... (/sbin/@iptables, @iptables-restore,
> @iptables-save)
Потому что вы заблуждаетесь в том, что эти файлы относятся к этому сервису.
Указанные файлы (кстати это вообще симлинки куда-то) - это непосредственно iptables, а вам нужна обертка над ним - либо firewalld, либо iptables-persistent или как там её зовут..
Это разные компоненты.
сообщить модератору +/– ответить

gt оверквотинг удален ок, понял примерно Спасибо , commanderTom (ok), 02:15 , 16-Авг-17 (10)
>[оверквотинг удален]
>> #service iptables status
>> Unit iptables.service colud not be found
>> Откуда тогда файлы, к нему относящиеся, в наличии имеются... (/sbin/@iptables, @iptables-restore,
>> @iptables-save)
> Потому что вы заблуждаетесь в том, что эти файлы относятся к этому
> сервису.
> Указанные файлы (кстати это вообще симлинки куда-то) - это непосредственно iptables, а
> вам нужна обертка над ним - либо firewalld, либо iptables-persistent или
> как там её зовут..
> Это разные компоненты.
ок, понял примерно. Спасибо.
сообщить модератору +/– ответить
да, это всё вообще было что-то левое, ведущее на xtables-multi какой-то Вот что , commanderTom (ok), 19:12 , 19-Авг-17 (11)
> Указанные файлы (кстати это вообще симлинки куда-то) - это непосредственно iptables, а
> вам нужна обертка над ним - либо firewalld, либо iptables-persistent или
> как там её зовут..
> Это разные компоненты.
да, это всё вообще было что-то левое, ведущее на xtables-multi какой-то.
Вот что установка minimal значит...
Поставил iptables, net-tools заодно и ещё по мелочи...
Всё заработало, правила подхватываются после ребута, и самое главное, ради чего всё затевалось - с удаленной машины пускает по ssh и фтп, что и нужно было!
сообщить модератору +/– ответить

Проброс порта 3389 во внутреннюю сеть,

gremlintv32, (Linux iptables, ipchains) 07-Фев-17, 11:42 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Всего лишь нужно использовать двойное отрицание - и можно полностью сломать мо, PavelR (??), 12:55 , 07-Фев-17 (1) +1
Всего лишь нужно использовать /двойное/ отрицание - и можно полностью сломать мозг.
сообщить модератору +1 +/– ответить

Что посоветуете Нужно всего лишь по закрывать все лишнее настроить nat на одн, gremlintv32 (ok), 15:29 , 07-Фев-17 (2)
> Всего лишь нужно использовать /двойное/ отрицание - и можно полностью сломать мозг.
Что посоветуете? Нужно всего лишь по закрывать все лишнее + настроить nat на одном порту(3389) для сети openvpn:
192.168.1.1(шлюз)->192.168.1.200(openvpn srv) <- открыт только порт 1194 для 192.168.1.1
192.168.1.100(win)->192.168.1.200(openvpn srv) <- открыт только порт 22 для 192.168.1.100
10.0.0.6(openvpn client)->10.0.0.1(openvpn server)->192.168.1.100(win rdp) <- проброс порта 3389 на 192.168.1.100 все остальное закрыто

сообщить модератору +/– ответить

iptables -A INPUT -p tcp --dport 22 -s 192 168 1 100 -j ACCEPTiptables -A INPUT , PavelR (??), 16:07 , 07-Фев-17 (3)
> Исходные данные: есть openvpn шлюз на linux с интрефейсами:
> eth0 - смотрит в локалку 192.168.1.0/24
> tun0 - смотрит в vpn сеть - 10.0.0.0/30
> Задача:
> Нужно, чтобы отбрасывались все пакеты, кроме тех, которые:
> а) приходят по порту 22 с ip 192.168.1.100;
> б) приходят по порту 1194 с ip 192.168.1.1;
> в) пакеты, которые приходят на интерфейс tun0 по порту 3389 перенаправлялись на
> адрес 192.168.1.100;
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT
iptables -A INPUT -p tcp --dport 1194 -s 192.168.1.1 -j ACCEPT
iptables -A INPUT -j DROP или iptables -P INPUT DROP
Также не забываем про FORWARD т.к. в постановке задачи не говорится про то, что делать с транзитными пакетами.
Не забываем про -m state и разрешение всего остального, что еще может быть необходимым (например DNS-ответы).
сообщить модератору +/– ответить

gt оверквотинг удален Спасибо FORWARD тоже блокируются в сети 192 168 1 0 24А, gremlintv32 (ok), 16:11 , 07-Фев-17 (4)
>[оверквотинг удален]
>> б) приходят по порту 1194 с ip 192.168.1.1;
>> в) пакеты, которые приходят на интерфейс tun0 по порту 3389 перенаправлялись на
>> адрес 192.168.1.100;
> iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT
> iptables -A INPUT -p tcp --dport 1194 -s 192.168.1.1 -j ACCEPT
> iptables -A INPUT -j DROP или iptables -P INPUT DROP
> Также не забываем про FORWARD т.к. в постановке задачи не говорится про
> то, что делать с транзитными пакетами.
> Не забываем про -m state и разрешение всего остального, что еще
> может быть необходимым (например DNS-ответы).
Спасибо! FORWARD тоже блокируются в сети 192.168.1.0/24
А как быть с пробросом 3389?
Такое правило будет работать:
iptables -t nat -A PREROUTING -i tun0 -p tcp --dport 3389 -j DNAT \ --to-destination 192.168.1.100:3389
?
сообщить модератору +/– ответить

gt оверквотинг удален эти пакеты пойдут через FORWARD , разрешайте прохождение, reader (ok), 17:19 , 07-Фев-17 (5)
>[оверквотинг удален]
>> Также не забываем про FORWARD т.к. в постановке задачи не говорится про
>> то, что делать с транзитными пакетами.
>> Не забываем про -m state и разрешение всего остального, что еще
>> может быть необходимым (например DNS-ответы).
> Спасибо! FORWARD тоже блокируются в сети 192.168.1.0/24
> А как быть с пробросом 3389?
> Такое правило будет работать:
> iptables -t nat -A PREROUTING -i tun0 -p tcp --dport 3389 -j
> DNAT \ --to-destination 192.168.1.100:3389
> ?
эти пакеты пойдут через FORWARD , разрешайте прохождение этих пакетов там
сообщить модератору +/– ответить
gt оверквотинг удален Правило будет работать так, как оно написано Достигнете, PavelR (??), 18:59 , 07-Фев-17 (6)
>[оверквотинг удален]
>> iptables -A INPUT -p tcp --dport 22 -s 192.168.1.100 -j ACCEPT
>> iptables -A INPUT -p tcp --dport 1194 -s 192.168.1.1 -j ACCEPT
>> iptables -A INPUT -j DROP или iptables -P INPUT DROP
>> Также не забываем про FORWARD т.к. в постановке задачи не говорится про
>> то, что делать с транзитными пакетами.
>> Не забываем про -m state и разрешение всего остального, что еще
>> может быть необходимым (например DNS-ответы).
> Спасибо! FORWARD тоже блокируются в сети 192.168.1.0/24
> А как быть с пробросом 3389?
> Такое правило будет работать:
Правило будет работать так, как оно написано. Достигнете ли вы того, чего хотите - не известно, т.к. правила "поштучно" не работают, а работает вся кофигурация в целом.
сообщить модератору +/– ответить

многие недоадмины любяь пробрасывать 3389, потом удивляются, что их поломали, None (??), 11:06 , 18-Авг-17 (7)
многие недоадмины любяь пробрасывать 3389, потом удивляются, что их поломали
сообщить модератору +/– ответить

Обход блокировки провайдера,

DeepMind, (BSD ipfw, ipf, ip-filter / FreeBSD) 19-Июл-17, 10:14 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

https www opennet ru tips 2999_iptables_block_tor shtml Не знаю как в ТТК, а в, Аноним (-), 10:41 , 19-Июл-17 (1)
https://www.opennet.dev/tips/2999_iptables_block_tor.shtml Не знаю как в ТТК, а в Ростелекоме метод срабатывает.
сообщить модератору +/– ответить
Вы с Украины Обратитесть в Минкомсвязь России, они помогут советом и добрым сло, Andrey Mitrofanov (?), 10:43 , 19-Июл-17 (2) –2
> Здравствуйте. Имеем:
> Сервера на фрибсд и линуксе с поднятыми ип на них. Для проксирования
> используем 3proxy. Но блокировки провайдера срабатывают даже через прокси при попытке
> захода на нужный сайт. В данном случае ттк (редирект на http://fz139.ttk.ru/)
> Подскажите, существует ли способ с помощью iptables/ipfw решить данную проблему?
> Спасибо.
Вы с Украины? Обратитесть в Минкомсвязь России, они помогут советом и добрым словом.

""Посещаемость заблокированных Украиной российских социальных сетей и сайтов не уменьшилась, заявил заместитель министра связи и массовых коммуникаций России Алексей Волин. У «Одноклассников» этот показатель остался прежним, уверен он, и единственное изменение, которое можно заметить, — скачок числа IP-адресов из Нидерландов, так как именно эта страна по умолчанию устанавливается VPN-сервисами. По словам Волина, украинцы освоили VPN и не обращают внимание на блокировки."" --https://rublacklist.net/29933/
""То, что они планируют запретить россиянам, не так давно ими открыто рекомендовалось <https://rublacklist.net/28638/> украинцам после того, как Президентом Порошенко и СНБО был запрещён доступ к нескольким российским интернет-сервисам. Утверждалось, что блокировки ничего не дадут, сложившаяся ситуация породит в украинцах правовой нигилизм, а также повысит их компьютерную и интернет-грамотность."" --https://rublacklist.net/30510/
сообщить модератору –2 +/– ответить
ну если бы ip не были подняты было бы интереснее наверное ну подняты ну, ыы (?), 11:16 , 19-Июл-17 (3) –2
> Здравствуйте. Имеем:
> Сервера на фрибсд и линуксе с поднятыми ип на них.
ну... если бы ip не были подняты было бы интереснее..наверное... ну подняты.. ну и что?
А обычно сервера без поднятых Ip? Или это какие-то особые ип подняты и если они подняты - то все сразу должны понять все?
> Для проксирования
> используем 3proxy.
эээ... проксирования откуда куда и чего?
где стоит прокси? как к нему идут пакеты?
прокси в виде шлюза в локальной сети?
каскадированный прокси через америку или нидерланды?
>Но блокировки провайдера срабатывают даже через прокси при попытке
> захода на нужный сайт. В данном случае ттк (редирект на http://fz139.ttk.ru/)
ну, очевидно, два варианта:
сайт к которому вы обращаетесь находится на ресурсах провайдера ТТК, и провайдер закрыл доступ к этому сайту для всех без исключения, поскольку блокирует ВХОДЯЩИЕ запросу к сайту
Решения этой задачи не существует для вас вероятнее всего, поскольку решение такое: попросите провайдера открыть доступ или опротестуйте решение суда.
вариант два - вы ходите в интернет через прокси, который имеет адрес у провайдера ТТК, и соответственно провайдер блокирует запросы ИСХОДЯЩИЕ от этого прокси.
Ну..надо использовать прокси вне провайдера блокирующего запросы. vpn соединение например через нидерланды или америку.

> Подскажите, существует ли способ с помощью iptables/ipfw решить данную проблему?
вы даже изложить толком проблему не можете... о каком iptables/ipfw может идти речь?
> Спасибо.
да незачто...
сообщить модератору –2 +/– ответить

gt оверквотинг удален Ещё раз более подробно гуманитарным простым языком да, , DeepMind (ok), 12:27 , 19-Июл-17 (4)
>[оверквотинг удален]
> А обычно сервера без поднятых Ip? Или это какие-то особые ип подняты
> и если они подняты - то все сразу должны понять все?
>> Для проксирования
>> используем 3proxy.
> эээ... проксирования откуда куда и чего?
> где стоит прокси? как к нему идут пакеты?
> прокси в виде шлюза в локальной сети?
> каскадированный прокси через америку или нидерланды?
>>Но блокировки провайдера срабатывают даже через прокси при попытке
>> захода на нужный сайт. В данном случае ттк (редирект на http://fz139.ttk.ru/)
Ещё раз более подробно гуманитарным простым языком (да, я гуманитарий). Имеется сервер с арендованными выделенными ipv4. Сделали из них прокси с авторизацией по логину-паролю, используя 3proxy. Хостеры разные. С недавнего времени стали поступать жалобы, что через прокси нельзя попасть на сайты, внесенные в реестр запрещенных сайтов (а раньше такого не было, да). Тему https://www.opennet.dev/tips/2999_iptables_block_tor.shtml я читал. На линуксе пробовал. С провайдером ТТК точно не сработало. Вот и я и спрашиваю - как быть и что делать.

сообщить модератору +/– ответить

1 не использовать DNS провайдера2 нанять специалиста-_не_гуманитария, omnomnin (?), 18:06 , 19-Июл-17 (5)
> Вот и я и спрашиваю - как быть и что делать.
1) не использовать DNS провайдера
2) нанять специалиста-_не_гуманитария
сообщить модератору +/– ответить

Его DNS и не используется, DeepMind (ok), 19:00 , 19-Июл-17 (6)
>> Вот и я и спрашиваю - как быть и что делать.
> 1) не использовать DNS провайдера
Его DNS и не используется

сообщить модератору +/– ответить

Это не значит, что провайдер все Ваши запросы к DNS не заворачивает к себе или н, stalker37 (ok), 20:56 , 19-Июл-17 (8)
>>> Вот и я и спрашиваю - как быть и что делать.
>> 1) не использовать DNS провайдера
> Его DNS и не используется
Это не значит, что провайдер все Ваши запросы к DNS не заворачивает к себе или не занимается DNS-спуфингом

сообщить модератору +/– ответить

gt оверквотинг удален белый адрес сервера в адресном пространстве ТТК значит и, ыы (?), 20:56 , 19-Июл-17 (7)
>[оверквотинг удален]
>> каскадированный прокси через америку или нидерланды?
>>>Но блокировки провайдера срабатывают даже через прокси при попытке
>>> захода на нужный сайт. В данном случае ттк (редирект на http://fz139.ttk.ru/)
> Ещё раз более подробно гуманитарным простым языком (да, я гуманитарий). Имеется сервер
> с арендованными выделенными ipv4. Сделали из них прокси с авторизацией по
> логину-паролю, используя 3proxy. Хостеры разные. С недавнего времени стали поступать жалобы,
> что через прокси нельзя попасть на сайты, внесенные в реестр запрещенных
> сайтов (а раньше такого не было, да). Тему https://www.opennet.dev/tips/2999_iptables_block_tor.shtml
> я читал. На линуксе пробовал. С провайдером ТТК точно не сработало.
> Вот и я и спрашиваю - как быть и что делать.
белый адрес сервера в адресном пространстве ТТК?
значит имеет место второй вариант.
купите еще гдето сервер..в америке.. организуйте между этими серверами тоннель...
сообщить модератору +/– ответить

Как возможно выяснить, какие компы в сети не введены в домен?,

Vasya1985, (Безопасное программирование) 10-Июл-17, 13:39 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

ну, очевидно нужно составить список компов в сети запросить его у службы поддер, ыы (?), 13:45 , 10-Июл-17 (1)
> Всем доброго времени суток!
> Существует проблема, компьютеры подключены к сети, но не введены в домен. Необходимо
> вычислить эти компы. Результат - это ip-адреса этих компов. Есть соображения,
> как это сделать?
> Благодарю за помощь!
ну, очевидно нужно составить список компов в сети (запросить его у службы поддержки)
и вывести список компов в домене (запросить его у домен-админа)
полученные списки сравнить.
компьютеры присутствующие в первом списке и отсутствующие во втором- соответственно и будут ответом на поставленный вопрос.
сообщить модератору +/– ответить

Выгрузку из AD сформировал выполнив следующую команду Get-ADComputer -Filter -, Vasya1985 (ok), 15:40 , 10-Июл-17 (4) –1

>> Существует проблема, компьютеры подключены к сети, но не введены в домен. Необходимо
>> вычислить эти компы. Результат - это ip-адреса этих компов. Есть соображения,
>> как это сделать?
>> Благодарю за помощь!
> ну, очевидно нужно составить список компов в сети (запросить его у службы
> поддержки)
> и вывести список компов в домене (запросить его у домен-админа)
> полученные списки сравнить.
> компьютеры присутствующие в первом списке и отсутствующие во втором- соответственно и будут
> ответом на поставленный вопрос.
Выгрузку из AD сформировал выполнив следующую команду:
Get-ADComputer -Filter * -Properties * | FT Name
Осталось сформировать список всех компов в сети. (запросить его у службы поддержки без вариантов). Есть соображения, как лучше этот список сформировать?
сообщить модератору –1 +/– ответить

Пройтись powershell скриптом по ip адресам, и попытаться от админа домена открыт, _KUL (ok), 14:38 , 10-Июл-17 (2)
Пройтись powershell скриптом по ip адресам, и попытаться от админа домена открыть сессию (smb на \\ip\C$, wmic выборку или psexec'ом hostname сделать)
сообщить модератору +/– ответить

и повторять процесс каждые 5 минут в течении месяца , ыы (?), 15:02 , 10-Июл-17 (3) +1
> Пройтись powershell скриптом по ip адресам, и попытаться от админа домена открыть
> сессию (smb на \\ip\C$, wmic выборку или psexec'ом hostname сделать)
... и повторять процесс каждые 5 минут в течении месяца... :)
сообщить модератору +1 +/– ответить

Выгрузку из AD сформировал выполнив следующую команду Get-ADComputer -Filter -, Vasya1985 (ok), 16:57 , 10-Июл-17 (5) –1
>> Пройтись powershell скриптом по ip адресам, и попытаться от админа домена открыть
>> сессию (smb на \\ip\C$, wmic выборку или psexec'ом hostname сделать)
> ... и повторять процесс каждые 5 минут в течении месяца... :)
Выгрузку из AD сформировал выполнив следующую команду:
Get-ADComputer -Filter * -Properties * | FT Name
Осталось сформировать список всех компов в сети. (запросить его у службы поддержки без вариантов). Есть соображения, как лучше этот список сформировать?
сообщить модератору –1 +/– ответить

Ну вы же ведете учет компьютеров в сети, правда Или они у вас бесконтрольно под, ыы (?), 17:18 , 10-Июл-17 (6)
>>> Пройтись powershell скриптом по ip адресам, и попытаться от админа домена открыть
>>> сессию (smb на \\ip\C$, wmic выборку или psexec'ом hostname сделать)
>> ... и повторять процесс каждые 5 минут в течении месяца... :)
> Выгрузку из AD сформировал выполнив следующую команду:
> Get-ADComputer -Filter * -Properties * | FT Name
> Осталось сформировать список всех компов в сети. (запросить его у службы поддержки
> без вариантов). Есть соображения, как лучше этот список сформировать?
Ну вы же ведете учет компьютеров в сети, правда? Или они у вас бесконтрольно подключаются?
ну.. снимать списки оборудования с коммутаторов.

сообщить модератору +/– ответить

Да, компы учтены Только те, которые введены в домен Коммутаторов огромное коли, Vasya1985 (ok), 17:36 , 10-Июл-17 (7)

> Ну вы же ведете учет компьютеров в сети, правда? Или они у
> вас бесконтрольно подключаются?
> ну.. снимать списки оборудования с коммутаторов.
Да, компы учтены. Только те, которые введены в домен.
Коммутаторов огромное количество, с каждого снимать невозможно. Вот если только скриптом...
сообщить модератору +/– ответить

Мысль прямо скажем несколько странная Мне и в голову не пришло что может возник, ыы (?), 11:32 , 11-Июл-17 (8)
>> Ну вы же ведете учет компьютеров в сети, правда? Или они у
>> вас бесконтрольно подключаются?
>> ну.. снимать списки оборудования с коммутаторов.
> Да, компы учтены. Только те, которые введены в домен.
> Коммутаторов огромное количество, с каждого снимать невозможно. Вот если только скриптом...
Мысль прямо скажем несколько странная. Мне и в голову не пришло что может возникнуть желание снимать данные со свичей НЕ скриптом...
Конечно скриптом.
сообщить модератору +/– ответить
Снять активность с единой точки маршрутизации arp, dhcp, snmp, syslog и т д p s, _KUL (ok), 14:54 , 11-Июл-17 (9)
>> Ну вы же ведете учет компьютеров в сети, правда? Или они у
>> вас бесконтрольно подключаются?
>> ну.. снимать списки оборудования с коммутаторов.
> Да, компы учтены. Только те, которые введены в домен.
> Коммутаторов огромное количество, с каждого снимать невозможно. Вот если только скриптом...
Снять активность с единой точки маршрутизации. arp, dhcp, snmp, syslog и т.д.
p.s. если у вас доступа к l2/l3 уровням сети нет, то задача не решаема.
сообщить модератору +/– ответить

Идентификация ПК в Linux,

Z5, (Авторизация и аутентификация) 25-Май-17, 11:36 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

да нанять специалиста , ыы (?), 15:15 , 25-Май-17 (1) –2
> Приветствую,
> заполняю табличку по 1Г. В защищаемом контуре есть СУБД на Oracle Linux
> 7.
> Есть требование "Должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ".
> Есть также отдельное требование по регистрации событий входа в ОС.
> У кого-нибудь есть понимание, что хотели авторы первого требования и, как это
> реализовано в Linux?
да.
нанять специалиста.
сообщить модератору –2 +/– ответить
Халявно и по-лоховски - через MAC-адреса, то есть свитч должен за ними следить , ACCA (ok), 22:51 , 25-Май-17 (2)
> У кого-нибудь есть понимание, что хотели авторы первого требования и, как это
> реализовано в Linux?
Халявно и по-лоховски - через MAC-адреса, то есть свитч должен за ними следить. Более серьёзно - через Kerberos, когда действительно идентифицируешь экземпляр ОС.
сообщить модератору +/– ответить

Так сертифицируют свичи или сервер с СУБД Оракл Свичи и вообще внешнее оборудо, ыы (?), 08:57 , 26-Май-17 (3)
>> У кого-нибудь есть понимание, что хотели авторы первого требования и, как это
>> реализовано в Linux?
> Халявно и по-лоховски - через MAC-адреса, то есть свитч должен за ними
> следить. Более серьёзно - через Kerberos, когда действительно идентифицируешь экземпляр
> ОС.
Так сертифицируют свичи или сервер с СУБД Оракл? Свичи (и вообще внешнее оборудование) включены в эту сертификацию?
Вы когда нибудь эту сертификацию проходили или это вы по наитию придумали?
И к стати более серьезно - то на той стороне может и не быть "экземпляра ОС". Есть оборудование которое не имеет ОС.
сообщить модератору +/– ответить

О сертификации пока речи не было Речь шла о непонятном требовании, а именно об , Z5 (ok), 10:38 , 26-Май-17 (4) +1
>>> У кого-нибудь есть понимание, что хотели авторы первого требования и, как это
>>> реализовано в Linux?
>> Халявно и по-лоховски - через MAC-адреса, то есть свитч должен за ними
>> следить. Более серьёзно - через Kerberos, когда действительно идентифицируешь экземпляр
>> ОС.
> Так сертифицируют свичи или сервер с СУБД Оракл? Свичи (и вообще внешнее
> оборудование) включены в эту сертификацию?
> Вы когда нибудь эту сертификацию проходили или это вы по наитию придумали?
> И к стати более серьезно - то на той стороне может и
> не быть "экземпляра ОС". Есть оборудование которое не имеет ОС.
О сертификации пока речи не было. Речь шла о непонятном требовании, а именно об идентификации оборудования - Должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ.
Переформулирую вопрос, как можно применить указанное требование к информационной системе (ИС)?
В составе ИС есть сервер приложений на Windows и СУБД Oracle на Linux. С ИС работают бизнес пользователи и администраторы со своих рабочих станций. Еще в защищаемом контуре есть пассивное и активное сетевое оборудование, но про них отдельный разговор.
сообщить модератору +1 +/– ответить

gt оверквотинг удален DNS - тоже идентификация , fantom (??), 13:33 , 27-Май-17 (5)
>[оверквотинг удален]
>> не быть "экземпляра ОС". Есть оборудование которое не имеет ОС.
> О сертификации пока речи не было. Речь шла о непонятном требовании, а
> именно об идентификации оборудования - Должна осуществляться идентификация терминалов,
> ЭВМ, узлов сети ЭВМ.
> Переформулирую вопрос, как можно применить указанное требование к информационной системе
> (ИС)?
> В составе ИС есть сервер приложений на Windows и СУБД Oracle на
> Linux. С ИС работают бизнес пользователи и администраторы со своих рабочих
> станций. Еще в защищаемом контуре есть пассивное и активное сетевое оборудование,
> но про них отдельный разговор.
DNS - тоже идентификация.
сообщить модератору +/– ответить
gt оверквотинг удален 802 1x macsec, тень_pavel_simple (?), 18:36 , 29-Май-17 (6)
>[оверквотинг удален]
>> не быть "экземпляра ОС". Есть оборудование которое не имеет ОС.
> О сертификации пока речи не было. Речь шла о непонятном требовании, а
> именно об идентификации оборудования - Должна осуществляться идентификация терминалов,
> ЭВМ, узлов сети ЭВМ.
> Переформулирую вопрос, как можно применить указанное требование к информационной системе
> (ИС)?
> В составе ИС есть сервер приложений на Windows и СУБД Oracle на
> Linux. С ИС работают бизнес пользователи и администраторы со своих рабочих
> станций. Еще в защищаемом контуре есть пассивное и активное сетевое оборудование,
> но про них отдельный разговор.
802.1x/macsec
сообщить модератору +/– ответить
gt оверквотинг удален _Кто_ _когда_ _откуда_ вошёл на сервер Эта информация д, ПавелС (ok), 20:26 , 31-Май-17 (7)
>[оверквотинг удален]
>> не быть "экземпляра ОС". Есть оборудование которое не имеет ОС.
> О сертификации пока речи не было. Речь шла о непонятном требовании, а
> именно об идентификации оборудования - Должна осуществляться идентификация терминалов,
> ЭВМ, узлов сети ЭВМ.
> Переформулирую вопрос, как можно применить указанное требование к информационной системе
> (ИС)?
> В составе ИС есть сервер приложений на Windows и СУБД Oracle на
> Linux. С ИС работают бизнес пользователи и администраторы со своих рабочих
> станций. Еще в защищаемом контуре есть пассивное и активное сетевое оборудование,
> но про них отдельный разговор.
_Кто_ _когда_ _откуда_ вошёл на сервер. Эта информация должна быть однозначна, и пользователь сам её не предоставляет/не подменяет.
сообщить модератору +/– ответить

gt оверквотинг удален В смысле откуда не подменяет предоставляет Например е, ПавелС (ok), 20:36 , 31-Май-17 (8)
>[оверквотинг удален]
>> именно об идентификации оборудования - Должна осуществляться идентификация терминалов,
>> ЭВМ, узлов сети ЭВМ.
>> Переформулирую вопрос, как можно применить указанное требование к информационной системе
>> (ИС)?
>> В составе ИС есть сервер приложений на Windows и СУБД Oracle на
>> Linux. С ИС работают бизнес пользователи и администраторы со своих рабочих
>> станций. Еще в защищаемом контуре есть пассивное и активное сетевое оборудование,
>> но про них отдельный разговор.
> _Кто_ _когда_ _откуда_ вошёл на сервер. Эта информация должна быть однозначна, и
> пользователь сам её не предоставляет/не подменяет.
В смысле "откуда" не подменяет/предоставляет. Например если сервер логирует IP, то надо ДНС с обратной зоной просмотра и резолвить через неё.
сообщить модератору +/– ответить

Антивирусные базы в ClamAV,

Аноним, (Блокирование спама и вирусов) 18-Май-17, 17:20 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

2017-05-10 пропало более 10 тысяч вирусов 201702 21 10097383201702 21 , Аноним (-), 17:23 , 18-Май-17 (1)
2017-05-10 "пропало" более 10 тысяч вирусов!!!
201702/21/    10097383
201702/21/    10098498
  201702/21/    10067302
201702/22/    10098993
201702/22/    10101892
201702/22/    10102064
201702/22/    10102576
201702/22/    10102592
201702/23/    10103117
201702/23/    10105506
201702/23/    10106059
201702/23/    10106089
201702/23/    10107039
201702/23/    10107172
201702/24/    10107172
201702/24/    10109099
201702/25/    10109149
201702/25/    10110101
201702/26/    10111646
201702/26/    10114556
201702/26/    10114902
201702/27/    10115136
  201702/27/    10115089
201702/27/    10115117
201702/27/    10116406
201702/27/    10116436
201702/27/    10117073
201702/28/    10117073
201702/28/    10117073
201702/28/    10119235
201702/28/    10119607
201703/01/    10120278
201703/01/    10121301
201703/01/    10123276
201703/01/    10123300
201703/02/    10138347
201703/02/    10141217
201703/02/    10149368
201703/02/    10149375
201703/03/    10150643
201703/03/    10158729
201703/03/    10158878
201703/04/    10158878
201703/04/    10163019
201703/04/    10163078
201703/04/    10169659
201703/04/    10173443
201703/05/    10173449
201703/05/    10161144
201703/05/    10161184
201703/05/    10161213
201703/06/    10161213
201703/06/    10161242
201703/06/    10163158
  201703/06/    10163129
  201703/07/    10163129
201703/07/    10163379
201703/08/    10163379
201703/08/    10187905
201703/08/    10198927
201703/09/    10199042
201703/09/    10206006
  201703/09/    10205968
  201703/09/    10205963
  201703/09/    10206002
  201703/10/    10206002
201703/10/    10209687
201703/10/    10210185
201703/10/    10210196
201703/10/    10210861
201703/11/    10210861
201703/13/    10210861
201703/13/    10218387
201703/13/    10218693
201703/14/    10218693
201703/14/    10220851
201703/14/    10222344
  201703/14/    10222324
  201703/15/    10222324
201703/15/    10224699
201703/15/    10227201
201703/15/    10235647
201703/16/    10235647
201703/16/    10241797
201703/16/    10241712
201703/17/    10241712
  201703/17/    10228686
201703/17/    10257331
201703/17/    10257451
201703/18/    10257451
201703/19/    10263355
201703/20/    10286999
201703/20/    10287095
201703/20/    10292679
  201703/20/    10292182
201703/20/    10292764
201703/21/    10292764
201703/21/    10294601
201703/21/    10302941
201703/22/    10302941
201703/22/    10319604
201703/22/    10320496
201703/23/    10329310
201703/23/    10331369
  201703/23/    10331259
  201703/23/    10331261
201703/24/    10335857
201703/24/    10342380
201703/24/    10348875
201703/24/    10350460
201703/25/    10350460
201703/26/    10350460
201703/27/    10350460
201703/27/    10366111
  201703/28/    10366051
201703/28/    10366729
201703/29/    10370192
201703/29/    10370195
201703/30/    10370195
201703/30/    10373149
201703/30/    10382409
201703/31/    10382409
201703/31/    10386547
201703/31/    10389205
201704/01/    10389232
201704/01/    10391005
201704/01/    10392472
201704/02/    10392472
201704/03/    10394402
201704/03/    10397396
201704/03/    10399530
  201704/03/    10399498
201704/03/    10399573
201704/04/    10399573
201704/05/    10399573
201704/05/    10400086
201704/05/    10400122
201704/05/    10414090
201704/06/    10414663
201704/06/    10414738
  201704/06/    10335068
201704/06/    10428599
201704/06/    10506932
201704/06/    10507318
201704/07/    10507318
201704/07/    10514144
201704/07/    10516293
201704/08/    10516293
201704/08/    10519434
201704/10/    10519434
201704/10/    10528309
201704/11/    10529452
201704/11/    10532756
201704/11/    10535097
201704/11/    10535294
201704/11/    10535325
201704/12/    10535325
201704/12/    10545935
201704/12/    10549488
  201704/12/    10548774
  201704/12/    10548786
  201704/13/    10548786
201704/13/    10550166
201704/13/    10551069
  201704/13/    10551048
201704/13/    10551109
201704/14/    10551109
201704/14/    10555287
  201704/14/    10555283
201704/15/    10561236
  201704/15/    10561230
201704/15/    10569216
201704/15/    10569233
  201704/15/    10569084
201704/15/    10581308
201704/16/    10581308
201704/16/    10585352
201704/17/    10585352
201704/18/    10585352
201704/19/    10586171
201704/19/    10586190
201704/19/    10673462
201704/19/    10673504
201704/20/    10673645
201704/20/    10673873
201704/20/    10673911
201704/21/    10673911
201704/22/    10676684
201704/23/    10676684
201704/24/    10676684
201704/24/    10677207
201704/25/    10677262
201704/25/    10677582
  201704/25/    10677324
  201704/26/    10677324
  201704/26/    10677359
    201704/27/    8730269
  201704/27/    10677296
  201704/28/    10677296
201704/28/    10677822
201704/29/    10677822
201704/30/    10677822
201704/30/    10677822
201704/30/    10677862
201704/30/    10681041
201705/01/    10681041
201705/02/    10681041
201705/02/    10681764
  201705/02/    10670990
  201705/03/    10670990
  201705/03/    10673983
  201705/03/    10674113
  201705/04/    10674113
  201705/04/    10674425
    201705/04/    10671202
    201705/04/    10673076
    201705/05/    10673076
    201705/05/    10673615
  201705/05/    10675399
  201705/05/    10675482
  201705/06/    10675482
  201705/07/    10675482
  201705/08/    10675482
  201705/09/    10675482
  201705/10/    10675482
  201705/10/    10675056
    201705/10/    10665236
    201705/11/    10665236
    201705/11/    10665474
    201705/12/    10665474
    201705/12/    10665750
    201705/12/    10669894
    201705/13/    10669978
    201705/14/    10669978
    201705/15/    10669978
  201705/15/    10673885
201705/15/    10674442
201705/15/    10675010
201705/16/    10675010
201705/16/    10675048
201705/17/    10675048
201705/18/    10689360
201705/18/    10689727
  201705/18/    10680532
сообщить модератору +/– ответить
https www securiteinfo com services anti-spam-anti-virus improve-detection-rat, eRIC (ok), 13:54 , 19-Май-17 (2)
> В теории количество вирей должно только увеличиваться. А на практике иногда уменьшается
> на десятки тысяч! Особо в securiteinfo.hdb
https://www.securiteinfo.com/services/anti-spam-anti-virus/i...
сообщить модератору +/– ответить

Централизованное управление сертификатами Let`s Encrypt,

pas9x, (Шифрование, SSH, SSL / Другая система) 05-Май-17, 21:09 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Если бы авторы LE усложнили жизнь разработчикам, вряд ли бы вы легко и непринужд, PavelR (??), 22:17 , 05-Май-17 (1) +2

Я написал её не легко и непринуждённо Был большой геморрой с протоколом ACME ко, pas9x (ok), 00:45 , 06-Май-17 (3) –1

Мне жаль людей, которым приходится днями и ночами сидеть и втыкать в веб-панель,, PavelR (??), 06:09 , 06-Май-17 (5) +1
>Проблему отсутствия веб-интерфейса. Когда у тебя куча серверов и веб-панелей то уследить за
>нормальной работой https на всех серверах становится сложно. Проще рулить всем из
>веб-интерфейса.
Мне жаль людей, которым приходится днями и ночами сидеть и втыкать в веб-панель, чтобы следить за нормальной работой https на всех своих трех серверах.
LE сделал весьма человеческое уведомление в случае, если автоматика админа не поменяла сертификат, и отправляет его на E-Mail. Этого достаточно для того, чтобы уследить за сроком действия сертификата.
Для контроля за нормальной работой https в целом у нормальных админов есть система мониторинга.
>Извините, на ваш троллинг отвечать я больше не собираюсь, поскольку очевидно, что ваша
>задача в данном топике - всячески обосрать мою разработку.
Рано вы в своих комментариях на г-но изошли.
сообщить модератору +1 +/– ответить
я правильно понимаю, что панель находится гдето в инете, а сами сервера которыми, ыы (?), 11:20 , 06-Май-17 (7) +1
> Проблему отсутствия веб-интерфейса. Когда у тебя куча серверов и веб-панелей то уследить
> за нормальной работой https на всех серверах становится сложно. Проще рулить
> всем из веб-интерфейса.
я правильно понимаю, что панель находится гдето в инете, а сами сервера которыми вы управляете- тоже раскиданы гдето по просторам интернета, на разных хостингах, с разными конфигурациями, разным набором софта и разными веб-серверами?
каким образом ваша веб-панель лазит на эти сервера? какие права она требует для своей работы на этих серверах? где и как она хранит учетные данные для такового доступа?
я правильно понимаю что для работы такой панели у PHP должен быть разрешен exec?
сообщить модератору +1 +/– ответить

Правильно Но не обязательно так Если у хостера свой ДЦ то и управление сервера, pas9x (ok), 12:10 , 06-Май-17 (9)
> я правильно понимаю, что панель находится гдето в инете, а сами сервера
> которыми вы управляете- тоже раскиданы гдето по просторам интернета, на разных
> хостингах, с разными конфигурациями, разным набором софта и разными веб-серверами?
Правильно. Но не обязательно так. Если у хостера свой ДЦ то и управление серверами внутри его сети. И панельку компания естественно поставит где-то внутри своей сети.
> каким образом ваша веб-панель лазит на эти сервера? какие права она требует
> для своей работы на этих серверах? где и как она хранит
> учетные данные для такового доступа?
Уважаемый, всё ведь подробно расписано в мануалах :) Панель подключается к внешним серверам по SSH. Не обязательно вбивать в панель рутовый логин+пароль, можно и пользовательский. Просто при юзерском доступе чуть сложнее будет перезагрузить веб-сервер, но это тоже мелочи жизни.
> я правильно понимаю что для работы такой панели у PHP должен быть
> разрешен exec?
Не совсем понял суть вашего вопроса. В PHP есть функция exec(), вот документация к ней: http://php.net/manual/en/function.exec.php
Если вы об этой функции - неправильно. Эта функция нигде в панели не используется. Хотя если-бы и использовалась то всёравно не вижу в этом проблемы. После загрузки сертификата на ваш сервер по SSH панель (опционально) может выполнить на вашем сервере какую-нибудь команду, например service httpd reload, чтобы сервер подхватил обновлённый сертификат.
Вы можете установить панель на небольшую VPS-ку внутри сети, закрыть ей доступ в интернет и не беспокоиться что злой разработчик внедрит в неё бекдор и украдёт ваши пароли. Кроме того исходники ведь открыты.
сообщить модератору +/– ответить
Веб-приложение т е php-скрипты работают под обычным пользовательским аккаунто, pas9x (ok), 12:18 , 06-Май-17 (10)
> какие права она требует
> для своей работы на этих серверах? где и как она хранит
> учетные данные для такового доступа?
Веб-приложение (т.е. php-скрипты) работают под обычным пользовательским аккаунтом так-же как CMS на обычном веб-хостинге. А чтобы панель сама продлевала/выгружала сертификаты нужно поставить на ежедневный запуск файл cron.php.
Пароли к внешним SSH-серверам хранятся в локальной sqlite-базе в зашифрованном виде (алгоритм AES-256).
И да, всё это уже написано в мануалах которые никто упорно не хочет читать :) Возможно с первого взгляда они не совсем понятны; постараюсь написать их более понятным языком. http://pascalhp.net/justencrypt/index.php?p=manual
сообщить модератору +/– ответить

Не могу взять в толк, о каких конкретно проблемах LE вы толкуете, а уж, тем боле, xm (ok), 23:26 , 05-Май-17 (2)

При большом количестве серверов сайтов становится проще рулить сертификатами из , pas9x (ok), 00:49 , 06-Май-17 (4)
> Не могу взять в толк, о каких конкретно проблемах LE вы толкуете,
> а уж, тем более, сложностях в выпуске, установке и обновлении. Уж
> тут всё автоматизировано донельзя.
При большом количестве серверов/сайтов становится проще рулить сертификатами из одного места. Когда сертификатов много - мне больше нравится веб-интерфейс чем консоль. Кроме того, консольный LE-клиент иногда ломается (когда авторы LE меняют протокол) и становится нужным обновлять клиента на всех серверах, что не очень-то удобно. Проще обновить одну панель чем обновлять клиента на всех серверах. Это особенно актуально, например, для хостинг-провайдеров имеющих большое количество разных веб-панелек.
сообщить модератору +/– ответить

Вы забыли взять слова хостинг-провайдеров в кавычки , PavelR (??), 06:12 , 06-Май-17 (6) +1
>> Не могу взять в толк, о каких конкретно проблемах LE вы толкуете,
>> а уж, тем более, сложностях в выпуске, установке и обновлении. Уж
>> тут всё автоматизировано донельзя.
> При большом количестве серверов/сайтов становится проще рулить сертификатами из одного
> места. Когда сертификатов много - мне больше нравится веб-интерфейс чем консоль.
> Кроме того, консольный LE-клиент иногда ломается (когда авторы LE меняют протокол)
> и становится нужным обновлять клиента на всех серверах, что не очень-то
> удобно. Проще обновить одну панель чем обновлять клиента на всех серверах.
> Это особенно актуально, например, для хостинг-провайдеров имеющих большое количество
> разных веб-панелек.
Вы забыли взять слова "хостинг-провайдеров" в кавычки.
сообщить модератору +1 +/– ответить

Спасибо, поглядим, Вася (??), 11:56 , 06-Май-17 (8)
Спасибо, поглядим
сообщить модератору +/– ответить

Хоть кто-то сказал спасибо , pas9x (ok), 18:57 , 06-Май-17 (12)
> Спасибо, поглядим
Хоть кто-то сказал спасибо)
сообщить модератору +/– ответить

ненужно, Аноним (-), 16:36 , 06-Май-17 (11)
ненужно

сообщить модератору +/– ответить
Конечно, может кому и пригодиться, но вот по поводу удобства, это вы зря Всё о, shadow_alone (ok), 11:28 , 07-Май-17 (13)
Конечно, может кому и пригодиться, но вот по поводу удобства, это вы зря...
Всё отлично сделали,а если у кого-то руки из **** растут, так что он не может все это дело автоматизировать, то, я думаю, это проблема кривизны его рук.
сообщить модератору +/– ответить

IP не хотят удалять из черного списка barracudacentral.org,

propeller25, (Блокирование спама и вирусов / Linux) 20-Фев-17, 09:18 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Возможно не нравится, слово PPPOE в имени блока Типа динамический пул inetnum , hostmaster (??), 10:26 , 20-Фев-17 (1)

А больше нет вариантов Я конечно созвонюсь с провом, если это единственная пр, propeller25 (ok), 10:34 , 20-Фев-17 (2)
> Возможно не нравится, слово PPPOE в имени блока. Типа динамический пул.
> inetnum:        94.180.120.0 - 94.180.127.255
> netname:        ERTH-NSK-PPPOE-5-NET
> Почтовик еще в sorbs, от туда выписываться можно бесконечно долго. Попробуйте через
> провайдера, возможно они как владельцы адресации помогут.
А больше нет вариантов?   Я конечно созвонюсь с провом, если это единственная правда.

сообщить модератору +/– ответить

А в общем то все эти блэклисты только на письма ноков провайдера и реагируют И , stalker37 (ok), 23:52 , 20-Фев-17 (3)
А в общем то все эти блэклисты только на письма ноков провайдера и реагируют. И то в зависимости от погоды на марсе
сообщить модератору +/– ответить

А подскажите подробнее, пожалуйста Как составлять разговор с провайдером Можно , propeller25 (ok), 05:46 , 21-Фев-17 (4)
> А в общем то все эти блэклисты только на письма ноков провайдера
> и реагируют. И то в зависимости от погоды на марсе
А подскажите подробнее, пожалуйста. Как составлять разговор с провайдером?
Можно по шагам. 1, 2, 3. Что ему говорить? Чтобы что сделал? Если сменить имя, то на какое именно?
Спасибо огромное за помощь!
сообщить модератору +/– ответить

Имя у Вас кошерное4 122 180 94 in-addr arpa name mail2 sdprint ru А так , stalker37 (ok), 23:10 , 21-Фев-17 (5)
>> А в общем то все эти блэклисты только на письма ноков провайдера
>> и реагируют. И то в зависимости от погоды на марсе
> А подскажите подробнее, пожалуйста. Как составлять разговор с провайдером?
> Можно по шагам. 1, 2, 3.   Что ему говорить? Чтобы
> что сделал?  Если сменить имя, то на какое именно?
> Спасибо огромное за помощь!
Имя у Вас кошерное
4.122.180.94.in-addr.arpa       name = mail2.sdprint.ru.
А так просто опишите проблему админам провайдера и если они адекватные то поймут о чём речь и помогут. ну или напишите  официальное письмо с описанием проблемы и просьбой помочь с её решением.
сообщить модератору +/– ответить

Написал письмо Получил ответ -----------------------------------------------Добр, propeller25 (ok), 08:32 , 22-Фев-17 (6)

> Имя у Вас кошерное
> 4.122.180.94.in-addr.arpa       name = mail2.sdprint.ru.
> А так просто опишите проблему админам провайдера и если они адекватные то
> поймут о чём речь и помогут. ну или напишите  официальное
> письмо с описанием проблемы и просьбой помочь с её решением.
Написал письмо.
Получил ответ:
-----------------------------------------------
Добрый день!
Изменение имени сети никак не повлияет на нахождение ее с базах динамических IP, т.к. ресурсы считают таковыми все сети, где нет корректной, резолвящейся в существующий домен PTR-записи.
Сейчас PTR сети 94.180.122.0/24 указана х.х.х.х.static-business.nsk.ertelecom.ru

Запрос на удаление был направлен на ресурс, как правило обрабатывается он в течение 24-48 часов.
Просьба по истечении этого времени повторно проверить отправку почты, в случае ошибок так же просим Вас приложить автоответ (NDR).
Спасибо!
-----------------------------------------------------
И какая разница кто нажмет на "removal"  на сайте у баракуды? Я или провайдер.
Просят приложить автоответ  NDR.  А в нем не указана причина блокировки.
Как быть дальше?
сообщить модератору +/– ответить

Провайдер может сделать учетки в крупные базы типа спамхаус, сорбс, барракуда и , hostmaster (??), 12:48 , 22-Фев-17 (7)
Провайдер может сделать учетки в крупные базы типа спамхаус, сорбс, барракуда и добавить в личном кабинете свои блоки адресов. Для этих блоков можно указать как они используются: статика - фикс.каналы, и динамика типа nat,pppoe,dhcp. После этого репутация у динамических пулов будет плохая и никакие корректные PTR, отсутствие жалоб на спам не помогут.
Проблему можно решать по-разному:
-попросить админа сервера получателя не фильтровать ваши письма.
-пересылать письма через другой релей.
-сменить IP адрес своего почтовика.
-ничего не делать.
сообщить модератору +/– ответить

Ааа Значит таки у провайдера свои методы удаления IP из блеклистов Все ясно,, propeller25 (ok), 12:53 , 22-Фев-17 (8)
> Провайдер может сделать учетки в крупные базы типа спамхаус, сорбс, барракуда и
> добавить в личном кабинете свои блоки адресов. Для этих блоков можно
> указать как они используются: статика - фикс.каналы, и динамика типа nat,pppoe,dhcp.
> После этого репутация у динамических пулов будет плохая и никакие корректные
> PTR, отсутствие жалоб на спам не помогут.
> Проблему можно решать по-разному:
> -попросить админа сервера получателя не фильтровать ваши письма.
> -пересылать письма через другой релей.
> -сменить IP адрес своего почтовика.
> -ничего не делать.
Ааа. Значит таки у провайдера свои методы удаления IP из блеклистов. Все ясно, почему они мне так ответили. Тогда нужно подождать эти 48 часов, как они пишут.
Спасибо огромное за разъяснения!!! Очень помогаете мне.
сообщить модератору +/– ответить

В итоге так ничего и не пофиксили А как можно быстро посмотреть логи постфикса н, propeller25 (ok), 06:03 , 27-Фев-17 (9)
>> Проблему можно решать по-разному:
>> -попросить админа сервера получателя не фильтровать ваши письма.
>> -пересылать письма через другой релей.
>> -сменить IP адрес своего почтовика.
>> -ничего не делать.
> Ааа.  Значит таки у провайдера свои методы удаления IP из блеклистов.
>  Все ясно, почему они мне так ответили.  Тогда нужно
> подождать эти 48 часов, как они пишут.
> Спасибо огромное за разъяснения!!!  Очень помогаете мне.
В итоге так ничего и не пофиксили.
А как можно быстро посмотреть логи постфикса на спам?  Может учетку чью-то взломали и спам все-же есть.

А еще у меня не прописана SPF запись.  Это как-то может повлиять на блэклисты?

сообщить модератору +/– ответить

gt оверквотинг удален После недельной переписки с провайдером все пофиксили Н, propeller25 (ok), 07:25 , 01-Мрт-17 (10)
>[оверквотинг удален]
>>> -пересылать письма через другой релей.
>>> -сменить IP адрес своего почтовика.
>>> -ничего не делать.
>> Ааа.  Значит таки у провайдера свои методы удаления IP из блеклистов.
>>  Все ясно, почему они мне так ответили.  Тогда нужно
>> подождать эти 48 часов, как они пишут.
>> Спасибо огромное за разъяснения!!!  Очень помогаете мне.
> В итоге так ничего и не пофиксили.
> А как можно быстро посмотреть логи постфикса на спам?  Может учетку
> чью-то взломали и спам все-же есть.
После недельной переписки с провайдером все пофиксили. Но пров не признается как он это сделал).  Спасибо всем, кто помогал мне, огромное!

сообщить модератору +/– ответить

Но пров не признается как он это сделал Когда я убил несколько месяцев переписки, Pahanivo (ok), 15:49 , 29-Мрт-17 (11)
Но пров не признается как он это сделал.
Когда я убил несколько месяцев переписки с sorbs чтобы вытащить от туда блок /19 у меня не было желания об этом рассказывать, но было жуткое желание матерится и убивать ...

сообщить модератору +/– ответить

несколько исключений в правило iptables,

gremlintv32, (Linux iptables, ipchains / Linux) 11-Фев-17, 19:20 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

А что, без примеров уже совсем никак , PavelR (??), 20:41 , 11-Фев-17 (1)
> Пишут что можно как-то через -j RETURN, но пока не нашел толкового
> примера
А что, без примеров уже совсем никак?
сообщить модератору +/– ответить

Ну нубье я в iptables, что еще сказать в свое оправдание Вам оно как 2 пакета, gremlintv32 (ok), 21:00 , 11-Фев-17 (2)
>> Пишут что можно как-то через -j RETURN, но пока не нашел толкового
>> примера
> А что, без примеров уже совсем никак?
Ну нубье я в iptables, что еще сказать в свое оправдание )))
Вам оно как 2 пакета переслать, а мне нужно еще посидет, поварить котелком для этого))
сообщить модератору +/– ответить
Ну допустим я создал пользовательскую цепочку locals iptables -N localsДопустим, gremlintv32 (ok), 22:47 , 11-Фев-17 (3)
>> Пишут что можно как-то через -j RETURN, но пока не нашел толкового
>> примера
> А что, без примеров уже совсем никак?
Ну допустим я создал пользовательскую цепочку 'locals'
iptables -N locals
Допустим создал несколько return целей для этой цепочки
iptables -A locals -d 172.16.0.0/16 -j RETURN
iptables -A locals -d 192.168.0.0/16 -j RETURN
Как мне теперь "впихнуть" их:
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 ! -> ВОТ ТУТ -< -o eth0 -j MASQUERADE
?
сообщить модератору +/– ответить

gt оверквотинг удален Вот без примера действительно уж никак Незнаю сколько бы, gremlintv32 (ok), 00:06 , 12-Фев-17 (4)
>[оверквотинг удален]
>> А что, без примеров уже совсем никак?
> Ну допустим я создал пользовательскую цепочку 'locals'
> iptables -N locals
> Допустим создал несколько return целей для этой цепочки
> iptables -A locals -d 172.16.0.0/16 -j RETURN
> iptables -A locals -d 192.168.0.0/16 -j RETURN
> Как мне теперь "впихнуть" их:
> iptables -t nat -A POSTROUTING -s 10.0.0.0/24 ! -> ВОТ ТУТ -<
> -o eth0 -j MASQUERADE
> ?
Вот без примера действительно уж никак.
Незнаю сколько бы у меня ушло времени, чтобы понять эти "дебри".
И за это, отдельное спасибо товарищу с импортного форума.
Теперь все работает как я и хотел:
   #создаем цепочку в таблице nat с названием locals
   iptables -N locals -t nat
   # "направляем" все ip сети 10.0.0.0/24 цепочки POSTROUTING в цепочку locals
   iptables -A POSTROUTING -t nat -s 10.0.0.0/24 -j locals
   # прекращаем обработку в цепочке locals всего что ломаеться на адреса  диапазонов        172.16.0.0/16 и 192.168.0.0/16
   iptables -A locals -t nat -d 172.16.0.0/16 -j RETURN
   iptables -A locals -t nat -d 192.168.0.0/16 -j RETURN
   # и наконец маскарадинг "подходящих" запросов на 0.0.0.0/0
   iptables -A locals -t nat -o eth0 -j MASQUERADE
Вроде бы все правильно понял. А если нет - сильно не пинайте, только учусь :)
сообщить модератору +/– ответить

в данном случае цепочки лишнее iptables -t nat -A POSTROUTING -s 10 0 0 0 24 -d , reader (ok), 22:15 , 17-Фев-17 (5)
в данном случае цепочки лишнее
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 172.16.0.0/16 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 192.168.0.0/16 -o eth0 -j ACCEPT
# NAT для всего остального что выходит от нас, что бы провайдер не ругался,
# но не забываем об INVALID
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
сообщить модератору +/– ответить

ipsec на мосту,

Trasv, (VPN, IPSec / OpenBSD) 12-Фев-17, 11:43 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Эка загнул Придеться тогда извращаться и делать инкапсуляцию, если вы L2 хоти, shadow_alone (ok), 13:19 , 12-Фев-17 (1)
Эка загнул...
Придеться тогда извращаться и делать инкапсуляцию, если вы L2 хотите в ipsec засунуть.
сообщить модератору +/– ответить

У меня пока нет понимания, как это должно работать IPSec туннель между двумя O, Trasv (?), 15:26 , 12-Фев-17 (2)
> Эка загнул...
> Придеться тогда извращаться и делать инкапсуляцию, если вы L2 хотите в
> ipsec засунуть.
У меня пока нет понимания, как это должно работать. IPSec туннель между двумя OpenBSD ставится вообще без проблем, кучей разных способов. Но как добиться того, чтобы широковещалки и dhcp запросы проходили прозрачно и пинги бегали.
сообщить модератору +/– ответить

Сделай туннель, такой чтобы широковещалки и dhcp запросы проходили прозрачно и , PavelR (??), 09:30 , 13-Фев-17 (3)
>> Эка загнул...
>> Придеться тогда извращаться и делать инкапсуляцию, если вы L2 хотите в
>> ipsec засунуть.
> У меня пока нет понимания, как это должно работать. IPSec туннель
> между двумя OpenBSD ставится вообще без проблем, кучей разных способов. Но
> как добиться того, чтобы широковещалки и dhcp запросы проходили прозрачно и
> пинги бегали.
Сделай туннель, такой "чтобы широковещалки и dhcp запросы проходили прозрачно и
пинги бегали". Затем заверни трафик туннеля в IPSec.
сообщить модератору +/– ответить

Каким образом трафик в туннель завернуть Через pf route-to или через статичес, Trasv (?), 07:02 , 15-Фев-17 (4)

> Сделай туннель, такой "чтобы широковещалки и dhcp запросы проходили прозрачно и
> пинги бегали". Затем заверни трафик туннеля в IPSec.
Каким образом трафик в туннель завернуть? Через pf (route-to) или через статические маршруты?
сообщить модератору +/– ответить

как-то эти буквы не сочетаются со словами широковещалки Я не опенбсдшник, но с, PavelR (??), 22:02 , 15-Фев-17 (5)
>> Сделай туннель, такой "чтобы широковещалки и dhcp запросы проходили прозрачно и
>> пинги бегали". Затем заверни трафик туннеля в IPSec.
> Каким образом трафик в туннель завернуть? Через pf (route-to) или через статические
> маршруты?
как-то эти буквы не сочетаются со словами "широковещалки".
Я не опенбсдшник, но схема такая:
1) https://www.google.com/#q=openbsd+bridge+tunnel
2) http://man.openbsd.org/etherip.4
По второй ссылке расписано требуемое вам решение.

сообщить модератору +/– ответить

Да, спасибо Сейчас с ipsec разбираюсь По мануалу, что по ссылке, как только по, Trasv (?), 20:28 , 16-Фев-17 (6)

> 2) http://man.openbsd.org/etherip.4
> По второй ссылке расписано требуемое вам решение.
Да, спасибо. Сейчас с ipsec разбираюсь. По мануалу, что по ссылке, как только поднимается ipsec туннель, etherip разваливается. Буду искать причину.
сообщить модератору +/– ответить

В моем понимании это означает, что ipsec не подымается , PavelR (??), 21:13 , 16-Фев-17 (7)
>> 2) http://man.openbsd.org/etherip.4
>> По второй ссылке расписано требуемое вам решение.
> Да, спасибо. Сейчас с ipsec разбираюсь. По мануалу, что по ссылке, как
> только поднимается ipsec туннель, etherip разваливается. Буду искать причину.
В моем понимании это означает, что ipsec не подымается.
сообщить модератору +/– ответить

Если использовать, по мануалу, ipsec conf типа статикesp from 1 2 3 4 to 4 3 2 1, Trasv (?), 23:04 , 16-Фев-17 (8)
>>> 2) http://man.openbsd.org/etherip.4
>>> По второй ссылке расписано требуемое вам решение.
>> Да, спасибо. Сейчас с ipsec разбираюсь. По мануалу, что по ссылке, как
>> только поднимается ipsec туннель, etherip разваливается. Буду искать причину.
> В моем понимании это означает, что ipsec не подымается.
Если использовать, по мануалу, ipsec.conf типа статик
esp from 1.2.3.4 to 4.3.2.1 spi 0x4242:0x4243 \
        authkey file "xxxx:yyyy" enckey file "xxx.enc1:xxx.enc2"
flow esp proto etherip from 1.2.3.4 to 4.3.2.1

то в etherip не идут пакеты, те фактически IPSec не работает и соответственно все внешнии соединения
рвутся.
Но при использовании второго варианта с isakmpd
ike esp proto etherip from 1.2.3.4 to 4.3.2.1
ike passive esp proto etherip from 4.3.2.1 to 1.2.3.4
все отлично работает(просто нужно было добавить passive и скопировать ключи). Шифрованный туннель работает прекрасно. Почему не работает первый вариант я так и не понял. Надо попробовать еще раз.

сообщить модератору +/– ответить

HTTPS сертификаты google.com,

Ordu, (Разное) 28-Янв-17, 22:33 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Скорей всего у Вас что-то не так с провыйдерским DNS Попробуйте поменять его на, вулкан (?), 23:03 , 28-Янв-17 (1) +1
Скорей всего у Вас что-то не так с провыйдерским DNS. Попробуйте поменять его на 208.67.222.222 (OpenDNS).
сообщить модератору +1 +/– ответить

Еще одна возможность - кто-то назначил IP контакта гуглу в файле hosts, или же в, вулкан (?), 23:11 , 28-Янв-17 (2)
Еще одна возможность - кто-то назначил IP контакта гуглу в файле hosts, или же в системе есть активный зловред.
сообщить модератору +/– ответить

hosts чист Ну, в смысле засран он конкретно, но мною лично Я сейчас проверил, , Ordu (ok), 23:32 , 28-Янв-17 (4)
> Еще одна возможность - кто-то назначил IP контакта гуглу в файле hosts,
> или же в системе есть активный зловред.
hosts чист. Ну, в смысле засран он конкретно, но мною лично. Я сейчас проверил, там нет никаких добавлений и google там не упомянут ни разу.
Насчёт зловреда не скажу, но думаю вряд ли.
сообщить модератору +/– ответить

Да, реально Это помогло Либо роутер занимается какой-то хнёй, либо провайдер , Ordu (ok), 23:30 , 28-Янв-17 (3)
> Скорей всего у Вас что-то не так с провыйдерским DNS. Попробуйте поменять
> его на 208.67.222.222 (OpenDNS).
Да, реально. Это помогло. Либо роутер занимается какой-то хнёй, либо провайдер. Скорее провайдер, потому что как раз тут интернет лежал полчаса. Видимо админы там что-то химичили, вот и нахимичили.
сообщить модератору +/– ответить

В наше время DNS провайдера лучше вообще на роутере сменить, у меня после смены , DiJey (ok), 12:54 , 31-Янв-17 (5)
>> Скорей всего у Вас что-то не так с провыйдерским DNS. Попробуйте поменять
>> его на 208.67.222.222 (OpenDNS).
> Да, реально. Это помогло. Либо роутер занимается какой-то хнёй, либо провайдер. Скорее
> провайдер, потому что как раз тут интернет лежал полчаса. Видимо админы
> там что-то химичили, вот и нахимичили.
В наше время DNS провайдера лучше вообще на роутере сменить, у меня после смены например стали доступны всякие rutreker.org т.п. залоченные РКН.
сообщить модератору +/– ответить

Последовательная смена адреса назначения, как?,

Pioner678, (Linux iptables, ipchains) 28-Янв-17, 15:52 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

После того как пакет достиг адреса назначения- исчезает Вообще Перестает сущес, Square1 (?), 16:55 , 28-Янв-17 (1)

> Почему? Как сделать чтобы обрабатывались оба правила и пакет после первого с
> dst 79.2.2.2 уходил на 192.168.33.33?
После того как пакет достиг адреса назначения- исчезает. Вообще. Перестает существовать.
как он может после этого еще куда-то попасть?
сообщить модератору +/– ответить
ну так и покажите ему пользователю свою страницу о балансе сразу на 33 33или, , Аноним (-), 20:01 , 28-Янв-17 (2)
ну так и покажите ему (пользователю) свою страницу о балансе сразу на 33.33
или, если уж так сильно хочется, показывайте свою заглушку на странице 2.2 ,
а потом с этой страницы делайте перенаправление на страницу 33.33 ,
но уже средствами самой страницы (редирект, пхп, перл и т.д.)
сообщить модератору +/– ответить
gt оверквотинг удален Если правило подошло по критериям, то действия ACEPT, DR, ПавелС (ok), 16:37 , 29-Янв-17 (3)
>[оверквотинг удален]
> или он оставляет только какой-то один на выходе из PREROUTINGа?
> Как тогда это обойти? Мне бы и POSTROUTING подошел, но там вроде
> нельзя DNAT. Возможно вместо первого DNAT нужно отдельный прокси разворачивать, какой
> тогда лучше?
> (пробовал squid, но на него моих знаний или мощности не хватает, все
> виснет).
> Или есть какое-то более простое решение?
> Вроде простая задача, примерно как у любого провайдера при нулевом балансе открывается
> домашняя страница с предупреждением,
> но мне это еще нужно через дополнительную сеть пустить.
Если правило подошло по критериям, то действия ACEPT, DROP, REJECT отрабатывают и дальнейшие правила в не рассматриваются, это точно. Для действия DNAT видимо тоже самое, дальше пакет попадает наверное в цепочку FORWARD.
сообщить модератору +/– ответить
Благодарю за комментарии Очень помогло, нашел решение через Bridge и создание до, Pioner678 (ok), 20:45 , 29-Янв-17 (4)
Благодарю за комментарии!
Очень помогло, нашел решение через Bridge и создание дополнительной сети.
сообщить модератору +/– ответить

Подмена внешнего адреса локальным,

rdiamond, (Linux iptables, ipchains / Linux) 12-Янв-17, 12:58 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

IPT -t nat -A PREROUTING -d INET_ADDR -p tcp --dport NEXTCLOUD_HTTP_DNAT -j D, rdiamond (ok), 15:54 , 12-Янв-17 (1)
$IPT -t nat -A PREROUTING -d $INET_ADDR -p tcp --dport $NEXTCLOUD_HTTP_DNAT -j DNAT --to-destination $APPLICATIONS_IP:$NEXTCLOUD_HTTP_PORT
$IPT -t nat -A POSTROUTING -s $LAN_NTWK -d $APPLICATIONS -p tcp --dport $NEXTCLOUD_HTTP_PORT -j SNAT --to-source $
LAN_ADDR
Заработало в итоге, но работает только при обращение по IP, если вместо IP указать FQDN (DynDNS) не работает правило.
сообщить модератору +/– ответить

Бред какой-то, само по себе заработало Проблема исчерпана , rdiamond (ok), 16:00 , 12-Янв-17 (2)
Бред какой-то, само по себе заработало.
Проблема исчерпана.
сообщить модератору +/– ответить

Вы будете смеяться, но все как-то странно, правило IPT -t nat -A POSTROUTING -, rdiamond (ok), 18:27 , 12-Янв-17 (3)
> Бред какой-то, само по себе заработало.
> Проблема исчерпана.
Вы будете смеяться, но все как-то странно, правило
$IPT -t nat -A POSTROUTING -s $LAN_NTWK -d $APPLICATIONS -p tcp --dport $NEXTCLOUD_HTTP_PORT -j SNAT --to-source $LAN_ADDR
работает только в случае если на шлюзе ($LAN_ADDR) запущен tcpdump, если он выключен то и трафик не ходит, как такое возможно?
tcpdump -vni br0 host 10.90.90.102 and port 8480
сообщить модератору +/– ответить

мы таки уже смеёмся 9786 попкорна много жги ещёнеисповедимы пути твои, госпо, Аноним (-), 19:17 , 12-Янв-17 (4)
> Вы будете смеяться
мы таки уже. смеёмся ☺
попкорна много. жги ещё
> все как-то странно, правило работает только в случае если на шлюзе запущен tcpdump,
> если он выключен то и трафик не ходит, как такое возможно?
> tcpdump -vni br0 host 10.90.90.102 and port 8480
неисповедимы пути твои, господи. чудеса да и только
а если не снифирить, а пингать попробоввть - трафик бежит?
сообщить модератору +/– ответить

А вы зря смеялись, tcpdump без опции -p включает promiscious режим, потому и раб, rdiamond (ok), 20:07 , 12-Янв-17 (5)
>> Вы будете смеяться
> мы таки уже. смеёмся ☺
> попкорна много. жги ещё
>> все как-то странно, правило работает только в случае если на шлюзе запущен tcpdump,
>> если он выключен то и трафик не ходит, как такое возможно?
>> tcpdump -vni br0 host 10.90.90.102 and port 8480
> неисповедимы пути твои, господи. чудеса да и только
> а если не снифирить, а пингать попробоввть - трафик бежит?
А вы зря смеялись, tcpdump без опции -p включает promiscious режим, потому и работает.
Вообщем проблему решил
up ip link set $IFACE promisc on down ip link set $IFACE promisc of
сообщить модератору +/– ответить

молодец, что решил, но обломалвыходит мы зря таки смеялись и никаких чудесну, чт, Аноним (-), 20:42 , 12-Янв-17 (6)
молодец, что решил, но обломал
выходит мы зря таки смеялись и никаких чудес
ну, что же, тогда будем сыпать пепел на голову
сообщить модератору +/– ответить

Защита документов на портале,

n0rz3r, (Разное / Другая система) 17-Дек-16, 20:25 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Почему проблемы вендузячьей фирмочки должны волновать кого-то ещё Обратитесь в, Led (ok), 01:00 , 18-Дек-16 (1)
> Имеем три типа документов ворд.docx, ексель.xlsx, и поверпоинт.ppt
Почему проблемы вендузячьей "фирмочки" должны волновать кого-то ещё?
Обратитесь в Майкрософт - вы же у них софт регулярно покупаете - они вам точно помогут!
сообщить модератору +/– ответить
Перевести всё в растровый pdf с отключенными функциями копирования,редактировани, Ujif (?), 17:24 , 18-Дек-16 (2) –1
Перевести всё в растровый pdf с отключенными функциями копирования,редактирования,сохранения и печати,рельефным фоном на 90% решит вопрос.
Если добавить интерфейс удаленного открытия файла,то будет решен и вопрос с копированием самого файла. Можно использовать и postscript,всё станет еще сексуальней.
сообщить модератору –1 +/– ответить
PDFCreator Позволяет распечатать документ на виртуальном принтере в формате pdf, tonys (??), 15:27 , 22-Дек-16 (4) –1
PDFCreator. Позволяет распечатать документ на виртуальном принтере в формате pdf. Позволяет запаролить печать и модификацию файла, позволяет добавить к документу водяной знак, может работать как сервер печати. То есть группа редакторов создает или редактирует файл, например doc, затем кладет этот файл в определенную папку откуда файл конвертируется в pdf с нужными параметрами и перекладывается в папку для читателей. Эти процессы можно автоматизировать скриптами. Сама программа бесплатна.
сообщить модератору –1 +/– ответить

Остаётся решить вопрос с ограничением скачивания спасибо за идею с pdfcreator , n0rz3r1 (?), 17:32 , 22-Дек-16 (5)
> PDFCreator. Позволяет распечатать документ на виртуальном принтере в формате pdf. Позволяет
> запаролить печать и модификацию файла, позволяет добавить к документу водяной знак,
> может работать как сервер печати. То есть группа редакторов создает или
> редактирует файл, например doc, затем кладет этот файл в определенную папку
> откуда файл конвертируется в pdf с нужными параметрами и перекладывается в
> папку для читателей. Эти процессы можно автоматизировать скриптами. Сама программа бесплатна.
Остаётся решить вопрос с ограничением скачивания?))спасибо за идею с pdfcreator
сообщить модератору +/– ответить

Iptables и Виртуальная АТС,

mutagen_spree, (Linux iptables, ipchains / Linux) 14-Дек-16, 07:57 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Так тебе не INPUT, а FORWARD для этих портов нужно - это раз уменьши диапазон RT, shadow_alone (ok), 08:10 , 14-Дек-16 (1)
Так тебе не INPUT, а FORWARD для этих портов нужно - это раз.
уменьши диапазон RTP портов на asterisk, полюбе тебе 10к портов не нужно, и сделай разрешение на них.
ну, или, если не asterisk, а конечные устройства у тебя, смотри у них в настройках диапазон RTP, и действуй в соответствии с этим.
сообщить модератору +/– ответить

Дело в том что своего asteriska у меня нет, и я не пойму куда мне пробрасывать э, mutagen_spree (ok), 08:15 , 14-Дек-16 (2)
> Так тебе не INPUT, а FORWARD для этих портов нужно - это
> раз.
> уменьши диапазон RTP портов на asterisk, полюбе тебе 10к портов не нужно,
> и сделай разрешение на них.
Дело в том что своего asteriska у меня нет, и я не пойму куда мне пробрасывать эти порты.
сообщить модератору +/– ответить

пробрасывать ничего никуда не надо, разрешите форвард для SIP и RTP - вот и всёТ, shadow_alone (ok), 08:18 , 14-Дек-16 (3)
> Дело в том что своего asteriska у меня нет, и я не
> пойму куда мне пробрасывать эти порты.
пробрасывать ничего никуда не надо, разрешите форвард для SIP и RTP - вот и всё
Только вначале выясните какие RTP порты на конечных устройствах настроены.
сообщить модератору +/– ответить

Добавил -A FORWARD -p udp --dport 5060 -j ACCEPT и -A FORWARD -p udp -m multipor, mutagen_spree (ok), 09:27 , 14-Дек-16 (4)
>> Дело в том что своего asteriska у меня нет, и я не
>> пойму куда мне пробрасывать эти порты.
> пробрасывать ничего никуда не надо, разрешите форвард для SIP и RTP -
> вот и всё
> Только вначале выясните какие RTP порты на конечных устройствах настроены.
Добавил -A FORWARD -p udp --dport 5060 -j ACCEPT и
-A FORWARD -p udp -m multiport --dports 10000:20000 -j ACCEPT.
В настройках sip-клиента указал Range of ports used for RTP 10000:20000
не заработало. iptables -L -n-v показывает:
Chain FORWARD (policy DROP 504 packets, 74867 bytes)
pkts bytes target     prot opt in     out     source               destination
14529   12M bad_tcp_pkts  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0
15561   13M ULOG       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ULOG copy_range 0 nlgroup 1 queue_threshold 1
14856   13M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 lan_inet   all  --  eth1   ppp0    0.0.0.0/0            0.0.0.0/0
  690 88893 lan_inet   all  --  eth1   eth2    0.0.0.0/0            0.0.0.0/0
    2  1174 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5060
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 10000:20000
    0     0 allowed    tcp  --  ppp0   *       0.0.0.0/0            192.168.23.9         tcp dpt:443
получается через 5060 идут пакеты нормально, а по 10000:20000 не идут
сообщить модератору +/– ответить

tcpdump очень поможет , серг (?), 09:42 , 14-Дек-16 (5)
tcpdump очень поможет
сообщить модератору +/– ответить
это на IN FORWARD,а на OUT вы ж не знаете RTP порты назначения -A FORWARD -p u, shadow_alone (ok), 09:45 , 14-Дек-16 (6)
это на IN FORWARD,
а на OUT?
вы ж не знаете RTP порты назначения...
-A FORWARD -p udp -m multiport -d IP.AD.DRE.SS --dports 10000:20000 -j ACCEPT.
-A FORWARD -p udp -m multiport -s IP.AD.DRE.SS --sports 10000:20000 -j ACCEPT.
IP.AD.DRE.SS - адрес клиента
и опять же, нахрена вам такой диапазон то в 10к?
если уж вы установили порты RTP на клиенте, нахрена такие то?
ну сделайте 10000-10020 - для одного клиента то.... нахрена 10к портов?
сообщить модератору +/– ответить

Ну клиент то не один будет А диапазон ставлю как на большинстве источников сове, mutagen_spree (ok), 10:01 , 14-Дек-16 (7)
> это на IN FORWARD,
> а на OUT?
> вы ж не знаете RTP порты назначения...
> -A FORWARD -p udp -m multiport -d IP.AD.DRE.SS --dports 10000:20000 -j ACCEPT.
> -A FORWARD -p udp -m multiport -s IP.AD.DRE.SS --sports 10000:20000 -j ACCEPT.
> IP.AD.DRE.SS - адрес клиента
> и опять же, нахрена вам такой диапазон то в 10к?
> если уж вы установили порты RTP на клиенте, нахрена такие то?
> ну сделайте 10000-10020 - для одного клиента то.... нахрена 10к портов?
Ну клиент то не один будет. А диапазон ставлю как на большинстве источников советуют. Провайдер не предоставил такой информации
сообщить модератору +/– ответить

Если вам посоветуют с балкона прыгнуть Самому понять что столько портов для одн, shadow_alone (ok), 10:03 , 14-Дек-16 (8)
> Ну клиент то не один будет. А диапазон ставлю как на большинстве
> источников советуют. Провайдер не предоставил такой информации
Если вам посоветуют с балкона прыгнуть? Самому понять что столько портов для одного клиента нах не нужно, что не позволяет?
делайте правила без адреса тогда...
сообщить модератору +/– ответить

Все заработало, спасибо огромное Уменьшил диапазон и добавил -A FORWARD -p ud, mutagen_spree (ok), 10:12 , 14-Дек-16 (9)
>> Ну клиент то не один будет. А диапазон ставлю как на большинстве
>> источников советуют. Провайдер не предоставил такой информации
> Если вам посоветуют с балкона прыгнуть? Самому понять что столько портов для
> одного клиента нах не нужно, что не позволяет?
> делайте правила без адреса тогда...
Все заработало, спасибо огромное!!! Уменьшил диапазон и добавил -A FORWARD -p udp -m multiport --sport 10000:10020 -j ACCEPT как вы сказали и вуаля.
сообщить модератору +/– ответить

Сделай на разных клиентах разные диапазоны, например1 10000-100202 10021-10040, shadow_alone (ok), 10:17 , 14-Дек-16 (10)
Сделай на разных клиентах разные диапазоны, например
1. 10000-10020
2. 10021-10040
3. 10041-10060
и так далее,
а потом открой FORWARD на весь диапазон
например, на 5 клиентов - 10000-10100
сообщить модератору +/– ответить


Пометить прочитанным Создать тему	1 \| 2 \| 3 \| 4 \| 5 \| 6 \| 7 \| 8 \| 9 \| 10 \| Архив \| Избранное \| Мое \| Новое \| ☳ \| ☶ \| ⚟