Добрый день
Кто от имеет опыт с какими-то системами которые полностью фиксируют действи администратора в консоли (мс). Полный лог действий.
Причем учесть что парк машин около 500 шт.

Добрый день! Я настроил схему на freebsd sendmail+clamav+spamassassin+procmail. Письма с вирусами идут в карантин, спамассассин добавляет к спаму слово SPAM. Score ставится более менее правильно, далее procmail спам ложит в отдельную папку. Это все замечательно работает для локальных почтовых ящиков. Но я этот сервер сделал как для  антиспам-почтовый сервер пересылки. Только сейчас понял, что procmail не отрабатывает письма которые пересылаются дальше. Или каким-нибудь образом все таки можно? Чем заменить мне procmail, чтобы пересылаемые письма, которые spamassassin посчитал спамом оставлять на локальном сервере? Если что сильно не бейте) Мне желательно оставить уже настроенную связку spamassassin+clamav+sendmail(в принципе sendmail можно заменить)

Доброго времени!

Есть ip 94.180.122.4 На нем висит почтовый сервер на postfix.

Записи в зоне и обратная ptr запись имеются.
На некоторые домены не отправляется почта и приходит ответ, что мой айпи в блеклисте barracudacentral.org

Несколько раз отсылал им запросы на удаление из базы - все в пустую! репутация poor и все тут.

На мои фидбеки они тоже не отвечают(

Проверил ip на openrelay - отрицательно.

Правилом закрыл отправку на 25, 587 и 465 порты кроме почтовика.

Помогите, пожалуйста разобраться в чем причина.

Добрый день!
Создал на основе двух OpenBSD6 сетевой мост между двумя зданиями. Все прекрасно, сеть без проблем, DHCP сервер и BOOTPC работают через мост без проблем. Подскажите, где прочитать или найти гайд по настройке IPSec на сетевом мосту. Все что я находил в сети относится к двум разным сетям и прочим NAT. У меня же просто одно сеть один большой диапазон. Хотелось бы такой же прозрачности на сетевом мосту, только с шифрованием.  

как добавить сразу несколько исключений в правило iptables?
Допустим, есть правило:
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 ! -d 192.168.2.0/24 -o eth0 -j MASQUERADE
как в него добавить еще один диапазон(допустим 172.16.0.0/16) после -d?
Пишут что можно как-то через -j RETURN, но пока не нашел толкового примера

Есть выделенный сервер под CentOS 6 - Minimal.

Его IP оказался в черном списке CBL с формулировкой "This IP is infected with, or is NATting for a machine infected with s_gozi" (полный текст ниже) и многие почтовые серверы теперь блокируют с него почту.

Предлагаемые инструменты не подходят, т.к. они по Windows, т.к. gozi заточен под Windows.

Поддержка запустила антивирус, но он ничего не нашел.

Поддержка запустила: tcpdump -nnvvXS host 87.106.18.141(тогда CBL выдавало другой адрес) -w /root/traf.pcap -c 100000
но никаких обращений к 87.106.18.141 зафиксировано не было.

А CBL говорит что активность есть: "It was last detected at 2017-02-07 01:00 GMT "

Какие будут идеи?

Полный текст:

IP Address 1.1.1.1 is listed in the CBL. It shows signs of being infected with a spam sending trojan, malicious link or some other form of botnet.

It was last detected at 2017-02-07 01:00 GMT (+/- 30 minutes), approximately 8 hours ago.

It has been relisted following a previous removal at 2017-01-20 17:55 GMT (17 days, 15 hours, 5 minutes ago)

This IP is infected with, or is NATting for a machine infected with s_gozi

Note: If you wish to look up this bot name via the web, remove the "s_" before you do your search.

This was detected by observing this IP attempting to make contact to a s_gozi Command and Control server, with contents unique to s_gozi C&C command protocols.

This was detected by a TCP/IP connection from "1.1.1.1" on port "53194" going to IP address "192.42.116.41" (the sinkhole) on port "80".

The botnet command and control domain for this connection was "ebinburg.ru".

Behind a NAT, you should be able to find the infected machine by looking for attempted connections to IP address "192.42.116.41" or host name "ebinburg.ru" on any port with a network sniffer such as wireshark. Equivalently, you can examine your DNS server or proxy server logs to references to "192.42.116.41" or "ebinburg.ru". See Advanced Techniques for more detail on how to use wireshark - ignore the references to port 25/SMTP traffic - the identifying activity is NOT on port 25.

Please note that some of the above quoted information may be empty ("") or "na" or "-". In those cases, the feed has declined or is unable to give us that information. Hopefully enough information will be present to allow you to pinpoint the connections. If not, the destination ports to check are usually port 80, 8080, 443 or high ports (around 16000) outbound from your network. Most of these infections spray these connections in high volume, and they should stand out.

This detection corresponds to a connection at 2017-02-07 00:55:04 (GMT - this timestamp is believed accurate to within one second).

These infections are rated as a "severe threat" by Microsoft. It is a trojan downloader, and can download and execute ANY software on the infected computer.

You will need to find and eradicate the infection before delisting the IP address.

Norton Power Eraser is a free tool and doesn't require installation. It just needs to be downloaded and run. One of our team has tested the tool with Zeus, Ice-X, Citadel, ZeroAccess and Cutwail. It was able to detect and clean up the system in each case. It probably works with many other infections.

We strongly recommend that you DO NOT simply firewall off connections to the sinkhole IP addresses given above. Those IP addresses are of sinkholes operated by malware researchers. In other words, it's a "sensor" (only) run by "the good guys". The bot "thinks" its a command and control server run by the spambot operators but it isn't. It DOES NOT actually download anything, and is not a threat. If you firewall the sinkhole addresses, your IPs will remain infected, and they will STILL be delivering your users/customers personal information, including banking information to the criminal bot operators.

If you do choose to firewall these IPs, PLEASE instrument your firewall to tell you which internal machine is connecting to them so that you can identify the infected machine yourself and fix it.

We are enhancing the instructions on how to find these infections, and more information will be given here as it becomes available.

Virtually all detections made by the CBL are of infections that do NOT leave any "tracks" for you to find in your mail server logs. This is even more important for the viruses described here - these detections are made on network-level detections of malicious behaviour and may NOT involve malicious email being sent.

This means: if you have port 25 blocking enabled, do not take this as indication that your port 25 blocking isn't working.

The links above may help you find this infection. You can also consult Advanced Techniques for other options and alternatives. NOTE: the Advanced Techniques link focuses on finding port 25(SMTP) traffic. With "sinkhole malware" detections such as this listing, we aren't detecting port 25 traffic, we're detecting traffic on other ports. Therefore, when reading Advanced Techniques, you will need to consider all ports, not just SMTP.

Pay very close attention: Most of these trojans have extremely poor detection rates in current Anti-Virus software. For example, Ponmocup is only detected by 3 out of 49 AV tools queried at Virus Total.

Thus: having your anti-virus software doesn't find anything doesn't prove that you're not infected.

While we regret having to say this, downloaders will generally download many different malicious payloads. Even if an Anti-Virus product finds and removes the direct threat, they will not have detected or removed the other malicious payloads. For that reason, we recommend recloning the machine - meaning: reformatting the disks on the infected machine, and re-installing all software from known-good sources.

Исходные данные: есть openvpn шлюз на linux с интрефейсами:
eth0 - смотрит в локалку 192.168.1.0/24
tun0 - смотрит в vpn сеть - 10.0.0.0/30
Задача:
Нужно, чтобы отбрасывались все пакеты, кроме тех, которые:
а) приходят по порту 22 с ip 192.168.1.100;
б) приходят по порту 1194 с ip 192.168.1.1;
в) пакеты, которые приходят на интерфейс tun0 по порту 3389 перенаправлялись на адрес 192.168.1.100;

Правильно ли прописаны следующие правила:
а) iptables -A INPUT ! -s 192.168.1.100 -p tcp --dport 22 -j DROP
б) iptables -A INPUT ! -s 192.168.1.1 -p tcp --dport 1194 -j DROP
в) iptables -t nat -A PREROUTING -i tun0 -p tcp --dport 3389 -j DNAT \ --to-destination 192.168.1.100:3389

  

Хочу поинтересоваться у знатоков, что означает следующая ситуация.

Я в фф набрал в адресной строке https://www.google.com/maps
В ответ мне фф пишет: The owner of www.google.com has configured their website improperly. blah-blah-blah...

Я тыкаю в кнопочку ?Advanced и там написана самая мякотка:

www.google.com uses an invalid security certificate.
The certificate is only valid for the following names:
*.vk.com, vk.com

Эмм... Как связаны гугл и вк? Что за срань творится в этом мире? vk.com пытается перехватить мой трафик с гуглом? Но это же глупость, не?

Здравствуйте!

Стоит задача переадресовать пользователя который открывает какую-то страницу "A" (78.1.1.1) на определенную страницу "Б" (79.2.2.2),
где например ему показывается информация о предоставлении услуг, недостаточном балансе и т.п.,
и все это далее завернуть в другой процесс "C" (192.168.33.33, в общем случае это какой-то прокси или другая сеть).

Просто переадресация работает нормально, делаю так:
iptables -t nat -A PREROUTING -i $DEV -p tcp -j DNAT --to-destination 79.2.2.2

Затем заворачиваю это все в 192.168.33.33:
iptables -t nat -A PREROUTING -i $DEV -p tcp -j DNAT --to-destination 192.168.33.33
Но это правило игнорируется, все уходит сразу в 79.2.2.2 и больше никуда не идет.

Почему? Как сделать чтобы обрабатывались оба правила и пакет после первого с dst 79.2.2.2 уходил на 192.168.33.33?
Не могу до конца понять как работает DNAT, если по одному и тому-же пакету через него дважды делают подмену адреса назначения,
или он оставляет только какой-то один на выходе из PREROUTINGа?
Как тогда это обойти? Мне бы и POSTROUTING подошел, но там вроде нельзя DNAT. Возможно вместо первого DNAT нужно отдельный прокси разворачивать, какой тогда лучше?
(пробовал squid, но на него моих знаний или мощности не хватает, все виснет).
Или есть какое-то более простое решение?

Вроде простая задача, примерно как у любого провайдера при нулевом балансе открывается домашняя страница с предупреждением,
но мне это еще нужно через дополнительную сеть пустить.

Здравствуйте участники форума .

У меня вопрос по безопасности в сети  .
Ситуация следующая,  есть  один гаденький тип с профессиональными навыками в области систем програмирования .
Этот нюхач  постоянно ведет слежку -  мониторит мой трафик ( предположительно  сниффер) и выставляет на показ  .
Пробывал несколько ВПНов , на данный момент решил использовать  SecurityKISS Tunnel ( бесплатная версия), но проблемы этоне снимает .
Каким то образом данные все равно к нему  утекают ,  вирусов -  шпионов вроде не обнаружил , если  SecurityKISS Tunnel  не надежно шифрует  , то он не первый и нареканий в сети на него не нашел .
Проконсультируйте пожалуйста  в  чем дело,  как и почему   к нему утекают данные .  Может по какимм то другим параметрам кроме айпи ( он  у меня белый ) он меня вычисляет .
Благодарю за внимание.

Всем привет,
понимаю что тема поднималась не раз, и по писку я много чего нашел, но все же ничего найденного мне не помогло.

шлюз Ubuntu 16

внутр инт br0 10.90.90.1
внеш инт eth1 X.X.X.X

$IPT -P INPUT DROP
$IPT -P FORWARD ACCEPT (сделаем временно ACCEPT)
$IPT -P OUTPUT ACCEPT

$IPT -t nat -A PREROUTING  -p icmp -d 1.2.3.4 -j DNAT --to-destination 10.90.90.3
$IPT -t nat -A POSTROUTING  -d 10.90.90.3 -j SNAT --to-source 10.90.90.1

Every 2.0s: iptables -t nat -vnL                                                                                                                                                                                     Thu Jan 12 13:02:59 2017

Chain PREROUTING (policy ACCEPT 1116 packets, 306K bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 LOG        tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5301 LOG flags 0 level 4 prefix "ipt:Synology HTTP "
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5301 to:10.90.90.3:5001
  134  8040 DNAT       icmp --  *      *       0.0.0.0/0            1.2.3.4              to:10.90.90.3
    0     0 LOG        tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5122 LOG flags 0 level 4 prefix "ipt:SSH "
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5122 to:10.90.90.1:22
    0     0 LOG        tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:51022 LOG flags 0 level 4 prefix "ipt:SSH "
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:51022 to:10.90.90.10:22
    0     0 LOG        tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5322 LOG flags 0 level 4 prefix "ipt:SSH "
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5322 to:10.90.90.3:22
    0     0 LOG        tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5422 LOG flags 0 level 4 prefix "ipt:SSH "
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5422 to:10.90.90.4:22
    0     0 LOG        tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:57081 LOG flags 0 level 4 prefix "ipt:ROCAM_HTTP "
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:57081 to:10.90.90.70:81
    0     0 LOG        tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5195 LOG flags 0 level 4 prefix "ipt:OpenVPN "
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5195 to:10.90.90.1:1194
    0     0 LOG        tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5321 LOG flags 0 level 4 prefix "ipt:FTP "
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5321 to:10.90.90.3:21
    0     0 DNAT       tcp  --  eth1   *       0.0.0.0/0            0.0.0.0/0            tcp dpts:55536:55599 to:10.90.90.3:55536-55599

Chain INPUT (policy ACCEPT 181 packets, 23275 bytes)
pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 174 packets, 18474 bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       icmp --  *      *       0.0.0.0/0            1.2.3.4              to:10.90.90.4

Chain POSTROUTING (policy ACCEPT 259 packets, 34942 bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 SNAT       all  --  *      *       0.0.0.0/0            10.90.90.3           to:10.90.90.1
  229 14046 MASQUERADE  all  --  *      eth1    10.90.90.0/24        0.0.0.0/0

Пакеты попадают в правило DNAT, но не отрабатывается по SNAT.

Система оказалась заражённой.. Необходимо использовать стандартные системы обнаружения вторжений создающие хеши всех системных файлов и настроек сразу после установки.

Нашёл зловредов загрузившись с чистого LiveCD и используя самописный скрипт system_check.sh:

https://www.opennet.dev/openforum/vsluhforumID15/4338.html#11

http://pastebin.com/z4ZFFpdS

$ openssl dgst -sha512 system_check.sh
SHA512(system_check.sh)= 92b05e89cc58a3c7feec3b7e3fe3dd0559816d366f7658b2ac2b98b92dafbbfb5389f38e5e3e3e7c507558aa29cac02f32804cee1b4596b25798fb4cd46c00ac

$ openssl dgst -whirlpool system_check.sh
whirlpool(system_check.sh)= 7ed1f24ddc44e2476d0c250d899a845eea618d0df178e894d843baced2a52a84906c09ae90ac09a06b23cea38bf25c42c2668dade0c66c0bdf5f67453d29bbd9

Здравствуйте.

Есть сервер:
FreeBSD ... 11.0-RELEASE-p1 FreeBSD 11.0-RELEASE-p1 #0 r306420: Thu Sep 29 01:43:23 UTC 2016 root@releng2.nyi.freebsd.org:/usr/obj/usr/src/sys/GENERIC amd64
Xeon E5-2690, 4GB RAM, SSD RAID 1

На сервере крутится apache24 + php56 + mysql57
Несколько сайтов, один из которых - простенький интернет-магазин под OpenCart.
Суммарная посещаемость всех сайтов - >100000 страниц, ~10000 уникальных в сутки.

Раз в несколько дней, в основном на выходных происходит "Ipfw: Cannot allocate dynamic state, consider increasing net.inet.ip.fw.dyn_max" с вполне понятными последствиями.

Содержимое net.inet.ip.fw.:

net.inet.ip.fw.dyn_keep_states: 0
net.inet.ip.fw.dyn_keepalive: 1
net.inet.ip.fw.dyn_short_lifetime: 5
net.inet.ip.fw.dyn_udp_lifetime: 10
net.inet.ip.fw.dyn_rst_lifetime: 1
net.inet.ip.fw.dyn_fin_lifetime: 1
net.inet.ip.fw.dyn_syn_lifetime: 20
net.inet.ip.fw.dyn_ack_lifetime: 300
net.inet.ip.fw.dyn_max: 16384
net.inet.ip.fw.dyn_count: 615
net.inet.ip.fw.curr_dyn_buckets: 256
net.inet.ip.fw.dyn_buckets: 256
net.inet.ip.fw.enable: 1
net.inet.ip.fw.static_count: 22
net.inet.ip.fw.default_to_accept: 0
net.inet.ip.fw.tables_sets: 0
net.inet.ip.fw.tables_max: 128
net.inet.ip.fw.default_rule: 65535
net.inet.ip.fw.verbose_limit: 0
net.inet.ip.fw.verbose: 1
net.inet.ip.fw.autoinc_step: 100
net.inet.ip.fw.one_pass: 1

Настройки ipfw из rc.conf и ipfw.rules

# FIREWALL
firewall_enable="YES"
firewall_type="client"
firewall_logging="YES"
firewall_script="/etc/ipfw.rules"

#!/bin/sh

INTERNET_ADAPTER="em0"

THIS_HOST=...
ADM_HOST=...
DNS_SERVER=...
ISP_GATE=...
OFFICE=...
SERVER_VPN=...
A_HOME=...

KS="keep-state"

ipfw -q -f flush

ipfw -q add 00100 check-state

ipfw -q add 00200 allow all from any to any via lo0

ipfw -q add 00300 deny all from any to any frag
ipfw -q add 00400 deny tcp from any to any established

# Allow SSH
ipfw -q add 00444 allow tcp from $ADM_HOST to $THIS_HOST 11149 in $KS
ipfw -q add 00445 allow tcp from $A_HOME to $THIS_HOST 11149 in $KS

# Allow DNS
ipfw -q add 00500 allow tcp from $THIS_HOST to ${DNS_SERVER} 53 out via $INTERNET_ADAPTER setup $KS
ipfw -q add 00510 allow udp from $THIS_HOST to ${DNS_SERVER} 53 out via $INTERNET_ADAPTER $KS

# Allow PING
ipfw -q add 00900 allow icmp from any to any $KS

# Allow NTP
ipfw -q add 01000 allow tcp from $THIS_HOST to any 123 out via $INTERNET_ADAPTER $KS

# Allow FTP Client
ipfw -q add 01100 allow tcp from $THIS_HOST to any 21 out via $INTERNET_ADAPTER $KS
ipfw -q add 01110 allow tcp from $THIS_HOST to any 1024-65535 out via $INTERNET_ADAPTER $KS

# Allow FTP Server
ipfw -q add 01120 allow tcp from any to $THIS_HOST 21 in via $INTERNET_ADAPTER $KS
ipfw -q add 01130 allow tcp from any to $THIS_HOST 1024-3305 in via $INTERNET_ADAPTER $KS
ipfw -q add 01150 allow tcp from any to $THIS_HOST 3307-65535 in via $INTERNET_ADAPTER $KS

# Allow HTTP & HTTPS
ipfw -q add 01200 allow tcp from any to ${THIS_HOST} 80 in via $INTERNET_ADAPTER $KS
ipfw -q add 01210 allow udp from any to ${THIS_HOST} 80 in via $INTERNET_ADAPTER $KS
ipfw -q add 01220 allow tcp from any to ${THIS_HOST} 443 in via $INTERNET_ADAPTER $KS
ipfw -q add 01230 allow udp from any to ${THIS_HOST} 443 in via $INTERNET_ADAPTER $KS

# Allow HTTP & HTTPS from WebServer
ipfw -q add 01240 allow tcp from ${THIS_HOST} to any 80 out via $INTERNET_ADAPTER $KS
ipfw -q add 01250 allow tcp from ${THIS_HOST} to any 443 out via $INTERNET_ADAPTER $KS

# Allow MySQL
ipfw -q add 01300 allow tcp from $OFFICE to ${THIS_HOST} 3306 in via $INTERNET_ADAPTER $KS

# Allow SMTP
ipfw -q add 01400 allow log tcp from $THIS_HOST to any 25 out via $INTERNET_ADAPTER $KS

# LOG All BLOCKING
#ipfw -q add 65534 deny log ip from any to any

Большинство "просроченных" динамических правил естественно по правилу 1200 (входной HTTP).
Вопрос.
Как поступать в таком случае?
1. Где-то косяк в правилах файерволла?
2. Увеличить net.inet.ip.fw.dyn_max или уменьшить net.inet.ip.fw.dyn_ack_lifetime?

Здравствуйте Уважаемые форумчане. У меня к Вам есть вопрос. Недавно знакомый преподаватель обратился ко мне со следующей просьбой. Ее маленькая но гордая фирмочка занимается обучением. Многие материалы она разрабатывает сама и постепенно копит что то вроде методичек. Жизнь не стоит на месте и одни работники уходят и на их место приходят другие. Само собой новым преподавателям нужно давать доступ к наработкам что бы они могли и готовиться и показывать их на проекторах. Но тут же не составляет труда эти материалы скопировать на флешку и унести все себе домой. У нее возник резонный вопрос а можно ли каким то образом ограничить эти права для тех или иных пользователей. Разумеется если бы речь шла только о защите файлов на выделенной машине или нескольких машинах сложности бы это не вызвало. Теперь мы медленно перейдем к техническому заданию которое после долго обсуждения у нас сформировалось.
И так ТЗ:
Имеем три типа документов ворд.docx, ексель.xlsx, и поверпоинт.ppt
Общий объем около 5 гигабайт.
Что бы хотелось получить:
Доступ для определенных пользователей (преподавателей по найму) только для чтения этих документов как на работе так и дома.
Возможность копирования, удаления, редактирования, печати этих документов только директором фирмы (ну или еще несколькими доверенными людьми).
Адекватная стоимость этого решения.
Мы прекрасно понимаем что защитить эти документы от принтскрина и прочих аналоговых методов  не представляется возможным в таких условиях.
Что было сделано:
Порыв новости и архивы наткнулся на казалось бы шикарное решение  
Nextcloud 11 дает нам возможность развернуть онлайн хранилище с настройками доступа, а ONLYOFFICE дает возможность редактировать это все дело в браузере. Все бы было шикарно но как только мы получаем документ на чтение в ONLYOFFICE функционал этого редактора позволяет нам сохранить этот документ на диск и потом творить с ним всякие бесчинства. Т.е. функция защиты работает только с документом который находиться на портале но не что не мешает этот документ сохранить, да и правая кнопка мыши работает так что можно тупо все скопировать в буфер.
Отсюда уважаемые форумчане вопрос. Есть ли какое то решение такой вот задачки или стоит в корне изменить политику к распространению файлов и просто замкнуться и настроить политики на компьютерах их около 5 но в перспективе открытие филиалов которые не будут подконтрольны? Вообщем то проситься какой то портал на котором есть онлайн читалка вышеперечисленных документов и возможность раздачи на эти документы или папки с документами прав. Возможно кто нибудь сталкивался с подобным и есть чем поделиться. Спасибо всем за внимание.

Доброго времени суток. В нашей конторе решили подключить Виртуальную АТС, от МТС. Имеется шлюз на Debian. При настройке файрвола возникли сложности. Порт 5060 вроде не понадобилось открывать, клиент регистрируется на сервере. А вот с RTP трафиком возникли проблемы. В интернете все пишут что надо открыть порты с 10000:20000   iptables -A INPUT -p udp -m udp –dport 10000:20000 -j ACCEPT. Но это не помогает. Перепробовал разные способы, не пойму куда девается трафик.
От их техподдержки помощи никакой добиться не удалось
З.Ы. Если политику по умолчанию для FORWARD сделать ACCEPT, то работает нормально.

Подскажите как быть. Заранее благодарен

Дано: документированные показания злонамеренного вмешательства в трафик.
Нужно: что почитать на тему подготовки данных форензики к подаче материалов в прокуратуру и суд.

Добрый день.
У меня задача которую я не могу решить. Буду рад если вы мне поможете.

я пытаюсь настроить /etc/pam.d/su-l

на текущий момент
#%PAM-1.0
auth required pam_wheel.so use_uid
auth     sufficient     pam_rootok.so
auth     include        common-auth
account  sufficient     pam_rootok.so
account  include        common-account
password include        common-password
session  include        common-session
session  optional       pam_xauth.so

Но мне надо не это. я хочу чтобы под рутом могли зайти только пользователи в группе while. А остальные пользователи применившие su - name_user могли переключаться на других пользователей, но не могли переключиться на root. Реализуемо ли это? Я вычитал, что можно сделать свой модуль wheel, но который будет проверять UID либо GUID на кого переключаются. Но не знаю даже с какого конца подойти к проблеме.

Коллеги, возник вопрос по ipfw - если в правилах указывается интерфейс (via em0 и тд) и в сорсе или дестнейшне содержится any, то имеется ввиду, что any - это сеть, описанная за интерфейсом или вообще любая адресация ?
Мне нужно перенести правила с ipfw на Check Point, на CP естественно нет разграничения по интерфейсам, там все на уровне ядра обрабатывается.
Пример, чтобы было понятнее, что я имею ввиду:

#${fwcmd} add allow ip from any to 10.10.0.50 via ifdmz

на CP это правило будет выглядеть как

any   10.10.0.50 accept или сорс -(сеть, описанная за ifdmz) дест - 10.10.0.50 ?

Спасибо!

Помогите разобраться:
Задача

xl0 <------- 6Mbit/s --------> vlan1

Имеется канал 10Мбит/с (интернет) интерфейс xl0
Локальная сеть (192.168.59.0/24) интерфейс vlan1
Хочу посредством ipfw pipe ограничить канал (интернета) для локальных пользователей.

сделал так:
ipfw pipe 1000 config bw 6Mbit/s
ipfw add pipe 1000 ip from 192.168.59.0/24 to any out
ipfw add pipe 1000 ip from any to 192.168.59.0/24 in

Правила не работает (((

Добрый день.
Проблема в следующем, есть роутер TPLink WR740N v6, необходимо избежать отслеживания провайдером TTL. Прошил его с помощью патченой OpenWRT прошивки от WR841:
https://forum.openwrt.org/viewtopic.php?id=64002
Установил модуль iptables_mod_ipopt и пытаюсь выполнить команду:
iptables -t mange -I POSTROUTING -o eth1 -j TTL --ttl-set 64
В результате получаю "no chain/target/match by that name", и действительно в proc/net/ip_tables_targets TTL просто нет, говорят что возможно сборка вообще без config_ip_nf_target_ttl.
Пытался решить проблему с помощью:
insmod xt_NF
который нашел в lib/modules, в результате таргет TTL появляется, но при попытке выполнения iptables роутер уходит в ребут.
Я очень слаб в линуксе, тем более в ядре, тем более в таких миниатюрнюх сборках. В чем может быть проблема? Люди советуют пересобирать ядро), но неужели нет возможности решить проблему иначе?
P.S. В WR740Nv4 с ddwrt таргет TTL есть, все работает

Здравствуйте люди добрые.

У меня ни как не получается сделать proxy из openvpn.

Есть debian 7
На нем поднимаю два опенвпн соединения (не уверен что так правильно потому что я так понимаю второе соединение поднимается через первое)
Потом запускаю два 3proxy сервера на разных портах, в external прописываю ip tun0-00 и tun1-00 соответственно
Пробую разными браузерами с прописаными этими прокси на этих разных портах проверять работу интернета, работает только один (впрочем я так и предполагал)

Потом еще пробовал после установки соединения опенвпн удалять маршруты которые он прописывает в конце установки соединения, после обоих соединений так делал, потом соответсвенно запускаю опять две штуки 3proxy.
В итоге захожу на 2ip.ru с обоих портов прокси и вижу что интернет идет в обход опенвпн.

Еще пробовал изучать iptables, думал что можно вообще без 3proxy перенаправлять пакеты на tun0-00 и tun1-00, тоже не получилось, и для меня iptables очень сложно показалось, не понимаю толком.

Подскажите пожалуйста как можно сделать такой сервер, чтоб в нем поднять пару openvpn и заходить через них в интернет одновременно используя прокси на разных портах которые будут соответствовать разным openvpn соединениям в этом сервере.
За решение под ключ готов заплатить.

Изучаю вопрос замены запроса логин/пароль при авторизации на странице php с логин/пароль на запрос сертификата. Насколько я понимаю, после того, как httpd принял сертификат пользователя, можно в полной мере доверять переменным $_SERVER[SSL_CLIENT_*], полученным от сертификата? Ну там [SSL_CLIENT_S_DN_CN] в качестве username, [SSL_CLIENT_I_DN_Email] в качестве email и прочее (там уж по желанию).

Ошибиться нельзя, т.к. в данном случае я не просто разрешаю/отклоняю доступ к какой-то директории на сервере, а пускаю пользователя на основании данных от его сертификата к его переписке.

Я правильно понимаю, что эти переменные ($_SERVER[SSL_CLIENT_*]) подделать нельзя, они устанавливаются только если сервер признал сертификат пользователя?

Сразу признаюсь я не шарю.  Поэтому прошу советов.
Есть в сети некий сервер,  через него проходят все https запросы. Но у него самоподписанного сертификат.  Это север безопасного,  о них я ничего не знаю,  как скорее всего и они о том как работает их сервер.  В сети есть ещё один сервер SUSE software repository. Он работает по https. На своей SUSE я захожу в yast - software repository - add - extension and modules from reg server...  - local registration server.  Ввожу адрес сервера жму некст и получаю ошибку unable to get local issuer sertificate. И показывает сертификат сервера безопасного.  Но не выдаёт кнопки для подтверждения валидность сертификата.  Пробовал это же проделать в сегменте сети где нет редиректа трафика на сервер безопасного. Там запрос сертификата идёт с сервера обновлений нажимаю подтвердить сертификат и все ок. Помогите как настроить работу через сервер ИБ. Я могу как то в моей SUSE послать запрос серверу ИБ и прописать их сертификат к себе в доверенные?

Уважаемые форумчане!
Данный пост был создан что-бы поделиться с сообществом информацией, которую возможно кто-то из вас сочтет интересной или полезной, а так-же спросить совета у более компетентных участников. Попробую не сильно разводить воду, просто хотелось услышать если кто-либо сталкивался с чем-то подобным, или возможно какие нибудь ваши советы и мысли. Так-же заранее прошу не пинать слишком сильно так как в сфере ит безопасности я чуть менее чем полный нуб. Тем не менее на мой взгляд этой теме самое место в данном разделе, пускай даже если в качестве интересной истории.

Итак, начну по порядку. Началось все с того что после цепи определенных событий была поставлена цель настроить свою систему с обеспечением хотя-бы минимально разумного уровня безопасности. Все до чего мои руки пока успели добраться, это проверка роутера и установка антивируса с файрволлом. Но даже на данном этапе, сказать что полученные результаты меня удивили было-бы не сказать ничего.

Оказывается существует некая компания по имени Akamai Technologies, являющаяся посредником трафика между крупнейшими мировыми сервисами в интернете и конечными пользователями. Установленный файрволл Windows firewall control показывает что на ip адреса принадлежащие данной конторе (23.78.113.15 - 95.100.8.218 - 95.100.8.218) регулярно и очень настойчиво стучится процесс explorer.exe который по идее этого делать не должен. Поправьте если я ошибаюсь. Механизм происходящего до конца мне не ясен, но с самого начала было очевидно что происходит что-то не очень понятное, т.к. уведомления о попытках соединения приходят во время определенных действий (выхода системы из сна, открытия и работы с папками, документами, браузером итд).

Поверхностное гугление выявило дальнейшие результаты. Оказывается сервисы Akamai Technologies, и так стоящей чуть ли не на самом верху "пищевой цепочки" роутинга в интернете, глубоко интегрированы с такими популярными приложениями как acrobat reader и flash. То есть по факту выясняется что при установке по меньшей мере двух из самых часто используемых приложений adobe на персональный компьютер, (в каких то случаях?) ваши личные данные начинают пересылаться компании Akamai. Было бы интересно узнать что это за информация и каким образом это отображено в их пользовательском соглашении.

Если быть совсем кратким, то похоже что после установки acrobat reader с их официального сайта, виндовсом создается некий непонятный пользователь с именем из трех ромбовидных симболов, внутри папки которого и содержится исключительно информация adobe acrobat, каким то образом связанная с попытками соединиться с приведенными айпи адресами. Возможно есть и входящий трафик с них тоже, но проверить это я еще не успел. Но как бы все это ни странно звучало, как минимум в этих фактах я уверен практически на все сто, поскольку систему как раз устанавливал недавно с нуля и до установки компонентов adobe данного пользователя не присутствовало (хотя точно помню что видел точно такого же юзера когда копался в папках одной из прошлых сборок системы).  

Что мы имеем в остатке:
-Некая компания очень высокого ранга обрабатывает трафик между крупнейшими сервисами в интернете и конечными пользователями
-Компания тесно интегрирована с очень популярным по которое устанавливается пользователями на свои пк
-Установка компонентов по и обмен информацией происходит без явного уведомления пользователя в неком полу-теневом режиме по умолчанию
-Информация присутствующая в интернете по данному вопросу на первый взгляд очень разрозненна узко специализированна и скудна

В связи с чем и хотел спросить у вас всех - нормально ли это? Софт какой-то непонятной компании лезет ко мне на компьютер и начинает слать трафик куда-то, не ставя при этом в известность меня. На англоязычных форумах пишут что основатели Akamai из Израиля и США каким-то образом связаны со спец. службами, производя сбор пользовательской информации. Прилагаю пару скриншотов для наглядного подтверждения всего вышеописанного. Сталкивался ли кто-нибудь с этим вопросом? Как можно глубже проверить всю информацию и процессы в системе что-бы понять что именно происходит? Возможно ли в данном случае использование глубоко интегрированных технологий легитимной компании в своих целях например некими третьими лицами?

Всем буду очень признателен за любые ответы и комментарии.

Всем доброго

Обратил внимание на интересный факт, в Windows 10, по крайней мере с настройками по умолчанию, на окне блокировки экрана показывается в цикле содержимое папки "Изображения" включая ее подпапки.
То есть в случае наличия конфиденциальной информации в папке "Изображения" и/или в ее под папках есть возможность просмотреть содержимое этих файлов.
Далее разбираться с этой проблемой не было желания, так как имхо но эта ОС годится только для домашнего применения (и только для этого и использую ее).

Скрин окна блокировки экрана:
http://img-fotki.yandex.ru/get/51393/1422118.2/0_f77c0_1b31c...

Скрин содержимого папки "Изображения" и файла Logo.jpg:
http://img-fotki.yandex.ru/get/41743/1422118.2/0_f77c1_651e4...

Скрин настроек Windows 10 по умолчанию:
http://img-fotki.yandex.ru/get/41743/1422118.2/0_f77c2_71880...

Не получается использовать nmap 7.12 через openvpn соединение.

eth2 интерфейс openvpn
192.168.1.1 хост в сети куда проброшен туннель

$nmap -sP -e eth2 192.168.1.1
host seems down

при этом
$ping 192.168.1.1
64 bytes from 192.168.1.1: icmp_seq=4 ttl=63 time=0.700 ms

может кто сталкивался,где крутить?

Всех приветствую. С тех пор как железный веб-сервер вырос до гипервизора с ворохом виртуалок столкнулся со следующей проблемой. Есть один внешний IP, который обрабатывает шлюз на FreeBSD. Во внутренней сети (за NAT) крутятся виртуалки с бэкендами на разных вариациях Linux. Если с HTTP всё понятно - на шлюзе делается фронтэнд с proxy_pass в nginx с указанием виртуалок с серыми IP, то как реализовать подобное с SSH (SFTP) и FTP? Допустим, использовать FTP в 2016-ом совсем некомильфо, но как решить проброс SSH-туннеля? Гугление показало вот такой способ: http://www.cyberciti.biz/faq/linux-unix-ssh-proxycommand-pas.../ (с командой ProxyCommand), но для конечных пользователей он совершенно неудобен, да и не поддерживается FileZilla/WinSCP. То есть в идеале должен быть такой механизм:

Пользователь     ->     Шлюз          ->           Виртуалка
10.20.30.40             77.50.40.30:22             192.168.1.105:22
#SSH login user a       user a=192.168.1.105       SSH user a
                        user b=192.168.1.110
                        user c=192.168.1.115

Есть ли корректное (без тупого порт-форвардинга по скрипту) и безопасное (чтобы юзеры не попадали на шлюз или другую виртуалку) решение? Уверен, что не я один с таким сталкивался.

Имеется:
ОС - CentOS 7 (SELinux - отключено, firewalld - отключено)
На нем поднят и настроен Asterisk 1.8. Пока только на внутреннюю связь, т.е. звонки ходят в локалке. Сетевой интерфейс 1 с локальным адресом.
Развернут домен (на другом сервере), Астериск находится в нем.
В качестве "звонилок" используется Zoiper как в виде приложений для Win(на рабочих станциях), так и в виде приложений Android (на телефонах).
Соответственно настроен iptables под SIP и SSH.
Происходит следующее:
Уходя вечером выключается комп с установленным Zoiper, а мобильный гасит его сам при выходе из зоны WiFi. Утром включается комп, запускается Zoiper на компе и параллельно при подключении к WiFi на мобильном. Оба сообщают о тайм-ауте регистрации и звонки соответственно не ходят. Консоль Астериска показывает что пиры не зарегистрированы. Делаю: service iptables stop - телефоны тут же регистрируются, звонки начинают ходить.
Далее: service iptables start - все в порядке, телефоны в системе, звонки ходят. и так до очередного отключения Zoiper'ов на срок более 15 мин( периодически выхожу покурить и мобильный выходит из зоны вайфая, по возвращении и переподключении вайфая телефон нормально регистрируется, большее время не пробовал).
Вопрос - куда копать. правила файервола прилагаю.

Chain INPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
2        2   290 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:50000:65000
3      260 84282 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
4        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
5        0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:!0x17/0x02 state NEW
6        3   156 ACCEPT     tcp  --  ens32  *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25356
7        0     0 ACCEPT     udp  --  ens32  *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
8        0     0 ACCEPT     udp  --  ens32  *       0.0.0.0/0            0.0.0.0/0            udp dpt:123
9     2322  226K undef_in   all  --  *      *       0.0.0.0/0            0.0.0.0/0
10       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5060
11       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5061
12       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:10000:20000
13       0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:4569
14       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5038
15       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5060 STRING match  "friendly-scanner" ALGO name bm TO 65535
16       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5060 STRING match  "sip-scan" ALGO name bm TO 65535
17       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5060 STRING match  "sundayddr" ALGO name bm TO 65535
18       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5060 STRING match  "iWar" ALGO name bm TO 65535
19       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5060 STRING match  "sipsak" ALGO name bm TO 65535
20       0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5060 STRING match  "sipvicious" ALGO name bm TO 65535
21       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x06/0x02 TCPMSS clamp to PMTU
2        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
3        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
4        0     0 undef_fw   all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0
2      212 83836 ACCEPT     all  --  *      ens32   0.0.0.0/0            0.0.0.0/0
3        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
4        0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:!0x17/0x02 state NEW
5        0     0 undef_out  all  --  *      *       0.0.0.0/0            0.0.0.0/0
6        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25
7        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25

Chain undef_fw (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 6 prefix "-- FW -- DROP "
2        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain undef_in (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     2322  226K LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 6 prefix "-- IN -- DROP "
2     2322  226K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain undef_out (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 6 prefix "-- OUT -- DROP "
2        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Заранее спасибо

Не знаю в какую ветку форума писать, решил сюда. На мой почтовый ящик вдруг посыпались сотнями тысяч, (не преувеличиваю), подобные сообщения. Причем в домене - только на мой. Скажите, пожалуйста, чтобы это могло быть? Ибо я несведущ. Спасибо.

"This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  thed0n26@aol.com
    SMTP error from remote mail server after initial connection:
    host mailin-04.mx.aol.com [152.163.0.68]: 421 4.7.1 :
    (DNS:NR) https://postmaster.aol.com/error-codes#421dnsnr:
    retry timeout exceeded
  offthemeter00@aol.com
    SMTP error from remote mail server after initial connection:
    host mailin-04.mx.aol.com [152.163.0.100]: 421 4.7.1 :
    (DNS:NR) https://postmaster.aol.com/error-codes#421dnsnr:
    retry timeout exceeded
  suedath@hotmail.com
    SMTP error from remote mail server after MAIL FROM:<dmitry@typo3.ru.net> SIZE=2625:
    host mx3.hotmail.com [65.55.37.72]: 421 RP-001 (COL004-MC1F44) Unfortunately, some messages from 80.90.178.210 weren't sent. Please try again. We have limits for how many messages can be sent per hour and per day. You can also refer to http://mail.live.com/mail/troubleshooting.aspx#errors.:........

Приветствую.
Не могу что-то додуматься до правил с ресентом.
Суть, имеем диапазон портов, 111-222, нужно сделать следующее, с использованием recent.
Если на заданные порты приходит 5 пакетов за 10сек, заносим IP в ACCEPT
Если менее, дропаем и баним ип за 30 минут, по /24 маске.