Смотрим в таблицы

iptables -nvL

Порядок правил важен, правила проверяются до первого совпадения.

Тестируем с внешних хостов, смотрим на счетчики.

Вроде как получилось.
Вот: iptables -A INPUT  -m geoip ! --source-country UA,RU -p tcp -m multiport ! --dports 25,995,143,993,465,587 -j DROP

> Решил добавить разрешение для почты
> iptables -A INPUT ! -i lo -p tcp -m multiport ! --dports
> 25,110,995,143,993 -m geoip ! --source-country UA,RU -j DROP
> Вот где тут косяк? Почта с того же GMAIL не приходит. Да
> и с mail.ru тоже.?

а как она придёт на lo то? она на внешний фейс приходит

> обычные люди про conntrack не знают и привыкли так:

Обычные люди юзают контрак для отладки, потом парсят и делают правила bpf

И ваще, айпистол уже отстой nftables рулит!

> в общем и целом оно работает, НО! через ~ минуту бездействия подвисает

Лечу по фото, дорого. Весь файервол показывай.

> столкнулся с такой непоняткой:
> документация утверждает, что надо так:
> iptables -A INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
> обычные люди про conntrack не знают и привыкли так:
> iptables -A INPUT -m state --state NEW

Обычные люди и про iptables не слышали.

И да, есть многое на свете, друг Горацио, что не записано http://www.opennet.dev/openforum/vsluhforumID10/5303.html в man iptables

> в общем и целом оно работает, НО! через ~ минуту бездействия подвисает
> и потом приходится ждать, пока дойдёт новое соединение и сессия отвиснет.
> ssh криво открывает новые соединения или что?
> но по логам там и фтп такой же косяк ловит, правда это

У меня
http://www.opennet.dev/openforum/vsluhforumID1/93014.html#1
http://www.opennet.dev/openforum/vsluhforumID10/4463.html#16
были smpt+pop3 на аналоговых модемах или через "vpn"-ы на виндовых клиентах.

> iptables -A INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j
> DROP
> обычные люди про conntrack не знают и привыкли так:
> iptables -A INPUT -m state --state NEW -p tcp ! SYN,RST,ACK,FIN SYN
> -j DROP
> в общем и целом оно работает

Это совершенно разные подходы. Первый использует таблицу conntrack ядра для определения статуса соединения. Второй использует напрямую флаги в tcp пакете. Первый вариант не будет работать, если, например, выключен conntrack. Второй вариант будет работать всегда. Выберите какой-то один подход. Либо с использованием tcp флагов, либо с использованием conntrack.

Пример для conntrack:
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT

1
http://unix.stackexchange.com/questions/108169/what-is-the-d...

Говорят, одно и то же, но формального "-m state" устаревшим не объявляли.
См.также man iptables -- там наборы состояний чуть разные =модули выдают информацию чуть в разных разрезах.

2
man iptables

3
> Это значит пропускать

Во-первых, в показанной строке нет _действия, только условие.
Во-вторых, на мой взгляд, в man iptables всё написано.

>[оверквотинг удален]
> 1. -m state --state (NEW,ESTABLISHED,...)
> 2. -m conntrack --ctstate" (NEW,ESTABLISHED,DNAT,...)
> 2-ой вопроc:
> Разница между ESTABLISHED и RELATED? У меня с ESTABLISHED'ом все безупречно работает,
> а зачем нужно состояние RELATED? Только для протоколов наподобие ICMP?
> 3-ый вопрос:
> Что означает -A FORWARD -m conntrack --ctstate DNAT? Это значит пропускать(forward'ить)
> пакет, только если он DNAT'ился(прошел через DNAT), так? Например, не происходило
> forwarding если пакет SNAT'ился.
> Заранее, всем спасибо за ответы.

https://ru.wikibooks.org/wiki/Iptables#.D0.9A.D1.80.D0.B8.D1...

> Кроме критерия conntrack, стоит упомянуть и его идеологического предшественника — критерий state. Изначально для определения состояния соединения использовался именно он, то есть вместо -m conntrack --ctstate ESTABLISHED,RELATED использовалось -m state --state ESTABLISHED,RELATED. Подобные формулировки до сих пор сохраняются во многих руководствах по iptables. Однако в настоящее время критерий state считается устаревшим, и разработчики iptables рекомендуют использовать вместо него критерий conntrack. Также заметим, что критерий conntrack обладает более широкими возможностями, нежели state, и позволяет использовать дополнительную информацию о соединении, в частности, состояние самого соединения (ctstatus), факт применения к нему трансляции адресов, тайм-аут для «повисших» соединений (ctexpire) и т. п.

разница... ну например в NEW conntrack считает только первый SYN-пакет именно NEW, а все остальные уже установленным соединением
в принципе правильно, чо, экономия ресурсов же

про всё остальное там тоже есть

> вот правило: -A INPUT -p udp --sport 123 -j DROP
> т.е. траф прекрасно приходит

Это у тебя траф неправильный. Меняй его немедленно.

> что я делаю не так?

iftop показывает весь трафик, до того, как он отфильтруется.

в общем 2 атаки по ~5 мин выглядят так в 'iptables -nvL':
num   pkts bytes target     prot opt in     out     source               destination        
1      18M 8602M DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp spt:123

до этого там чисто было

>[оверквотинг удален]
> попробовал:
> curl -i -X HEAD "http://website" -A '() { :;}; echo "Warning: Server
> Vulnerable"'
> вроде как на консоли нету:
> Warning: Server Vulnerable
> пробовал:
> curl -i -X HEAD "http://website" -A '() { :;}; ping -c10 192.168.1.100'
> на себя, тоже ничего не увидел.
> ОС FreeBSD Apache nginx
> обновиться не могу. как можно подлотаться?

а разъясните, пожалуйста, разницу между "подлатать" и "обновиться"?

> как понять что меня ломанули, или заботали?

Подождать немного, появятся симптомы... сыпь трафика, слабость выполнения обычных задач, повышенная температура процессора. Возможна непроизвольная активность админов вашего провайдера.

> Есть ли еще варианты, желательно наши продавцы.

В гугле бан?

Comodo Positive SSL всего $ 3.50 / год на https://www.cheapsslshop.com/comodo-positive-ssl

> Если клиент запрашивает https сайт можно ли его перебросить на ip:port из
> wpad.dat? Доступа к wpad.dat у меня нет(его даёт другая организация):
> http://example.com/wpad.dat
> Если бы они давали просто ip и порт своего proxy, тогда, конечно,
> сделал бы так:
> iptables -t nat -A OUTPUT -p tcp --dport 443 -j DNAT --to-destination
> SQUIDIP:3129
> А с wpad'ом можно ли придумать нечто аналогичное?

а если в браузере прописать этот прокси для https, соединение с сайтами по https происходит?

Я не правильно понял:'LOG_INPUT:' | 'NOLOG_INPUT:' | 'LOG_OUTPUT:' | 'NOLOG_OUTPUT:'
Я думал, что эти опции могут отключить вывод в сислог сообщение о том, что команда была использована таким-то пользователем. Но это не так. Она открывает/закрывает только вывод команды в сислог. Вопрос по поводу NOLOG_OUTPUT отпал. остался вопрос как сделать так, чтобы в сислог не писался спам о том, что пользователь набрал в шеле определенную команду:
sudo any_command. Все остальные команды примененные с использованием sudo от этого пользователя писались в сислог.

>[оверквотинг удален]
> Имеется сеть, не маленькая, топология - дерево. Головная боль, это IPTV. Проблема
> в том, что клиенты толи по своей воле, толи нет, бывают
> включают ненужное оборудование в порт телевиденья в последствии чего от него
> начинает идти флуд в сеть (он запрашивает All Group), забивается канал
> и у всех абонентов начинает сыпать тв. Вопрос заключается в том,
> как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по
> макам? Или еще что нибудь.....
> Краткая схемка:
> Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box
> Abonent

В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним

> есть openssl с поддержкой GOST

поторопился я с этим, чего-то не работает, ставил по инструкции: https://www.evernote.com/shard/s185/sh/ceb0b021-47e7-4c61-ab...
(первая часть)

при запуске ругается:

[root@net-console-01 /var/home/lion/openssl-1.0.2]# /gost-ssl/bin/openssl ciphers
Error configuring OpenSSL
140166502999720:error:26078067:engine routines:ENGINE_LIST_ADD:conflicting engine id:eng_list.c:117:
140166502999720:error:2606906E:engine routines:ENGINE_add:internal list error:eng_list.c:266:
140166502999720:error:260B6067:engine routines:DYNAMIC_LOAD:conflicting engine id:eng_dyn.c:560:
140166502999720:error:260BC066:engine routines:INT_ENGINE_CONFIGURE:engine configuration error:eng_cnf.c:191:section=gost_section, name=dynamic_path, value=/gost-ssl/lib/engines/libgost.so
140166502999720:error:0E07606D:configuration file routines:MODULE_RUN:module initialization error:conf_mod.c:223:module=engines, value=engine_section, retcode=-1

>[оверквотинг удален]
> request_header_access Via deny all
> request_header_access Cache-Control deny all
> forwarded_for off
> request_header_access From deny all
> request_header_access Server deny all
> request_header_access User-Agent deny all
> request_header_access WWW-Authenticate deny all
> request_header_access Link deny all
>    Как настроить NAT или Proxy, чтобы мои локальные IP
> адреса не были видны снаружи?

Некоторые сервисы передают IP в теле пакета, куда НАТ не "заглядывает", ибо не его задача.

>[оверквотинг удален]
> другой ip? Делаю так iptables -t nat -A PREROUTING -d 95.47.113.9
> -p tcp --dport 89 -j DNAT --to-destination 5.231.67.1:80 iptables -t nat
> -A POSTROUTING -d 5.231.67.1 -p tcp --dport 80 -j SNAT --to-source
> 95.47.113.9
> Когда я перехожу по адресу 95.47.113.9 отображается сайт по адресу 5.231.67.1 так
> и должно быть, но на адресе 5.231.67.1 в логах веб сервера
> пишется не мой ip с которого я захожу (например 195.199.199.199) а
> как бы зашли с 95.47.113.9. Нужно сделать чтобы исходный мой ip
> передавался 5.231.67.1. Что бы при переходе на 95.47.113.9 на сервере 5.231.67.1
> фиксировался мой 195.199.199.199. Использоваться будет внешний VPS c 1 ip адрессом

такое можно сделать если проброс будет идти через туннель между VPS и веб сервером, т.к. нужно организовать правильное хождение ответных пакетов, подробности будут понятны после понимания как работает сеть

точней что бы хотя бы ответы шли через туннель.

> для доступа на 5.231.67.1 (оба ip внешние). Я реализовал такое на
> Zentyal в нутри сети. Но так как там все в 2
> клика, мне нужно узнать на практике правила. Вся эта затея для
> того чтобы защитить 5.231.67.1 от udp ddos flood а то атака
> в 10 гигабит в мои планы не вписывалась. А так я
> скрою свой реальный ip от досеров и VPS будет выступать для
> фильтрации трафика.

чем лог дебаг на сервере не угодил?

попробуйте stunnel

> Всем привет!
> Имеется планшет, выход в интернет через WI-FI и мой сервер. Есть приложение
> в андроиде, которое общается со своими серверами по HTTPS.
> Есть ли какая-то возможность расшифровывать данный трафик на моем сервере tcpdump'ом?
> Заранее благодарен за ответы!!!

Зависит от мощей сервера, алгоритмов шифрования, необходимой оперативности или возможности стырить корневой сертификат одного из удостоверяющих центров(ну или купить корпоративную систему безопасности, элементом который таковой является)...

Если у вас что-то слабее вычислительного кластера из ТОП-500 кластеров мира - то про дешифровку в сроки "до пенсии" можно забыть вне зависимости от алгоритма шифрования.

Если вы в состоянии стырить корневой сертификат одного из удостоверяющих центров - то можете стать очень богатым человеком но скорее всего ненадолго...

Есть еще вариант тщательного исследования ПО планшета и сервера, поиск слабостей/уязвимостей и попытка дешифровки...

Так что более-менее нормальный ответ на ваш вопрос:
Возможность гипотетическая есть, но в условиях обычного домашнего пользователя настолько близка к нулю, что от нуля практически не отличима.

> Добрый день. Я студент. Учусь в аспирантуре.

Студентам, которые учатся в аспирантуре, ничего не светит "на поприще науки".

открыть исходники clamav религия не позволяет?

> Приветствую. Прочитал тут про возможность объединения сертификатов в certificate bundle
> и появился такой вопрос. Если узел, который выдал сертификат скомпрометирован, то
> получается и промежуточные сертификаты вместе с Trust External CA Root могут
> быть поддельными. Или последний все таки клиент сравнивает с собственной базой
> root CA ?

Проверяется цепочка до root CA. И клиент безусловно использует собственную базу root CA.

Пример иерархии для Comodo - https://www.instantssl.su/articles/121-which-is-root-which-i...

Если один из промежуточных сертификатов будет поддельный - проверка не пройдет, так как он не будет подписан вышестоящим.

> [user@fbsd10] /home/user% su
> Password:
> su: Sorry

%username% в группе wheel есть?

> Здравствуйте. У меня такая проблема.мне была поставлена следующая задача: Рассмотреть
> Syslog (найдите фриварное решение и разверните его на своей машине).

Учиться надо во время семестра, а не во время сессии!

>[оверквотинг удален]
> CBL.
> Если есть человек, у которого есть 10-15 минут сводобного времени, я бы
> написал IP и название домена чтобы вы наглядно посмотрели. Может бы
> что-то подсказали.
> Проверил только-что на http://cbl.abuseat.org/lookup.cgi IP сервера и там выдало следующее:
> Your IP was observed making connections to TCP/IP IP address 216.66.15.109 (a
> conficker sinkhole) with a destination port 80, source port (for this
> detection) of 1866 at exactly 2014-12-23 11:51:49 (UTC). All of our
> detection systems use NTP for time synchronization, so the timestamp should
> be accurate within one second.

1. причина как правило рассылка спама :)
2.
   2.1 последние 2 правила не относятся к почте.
   2.2 таблица не полная, корректного ответа не существует.

Когда приходит отбой - как правило в теле письма указывается причина и иногда напрямую указан блеклист, куда вас занесли.

http://www.dnsbl.info/dnsbl-database-check.php

> Добрый день! Подскажите примером если можно
> Как обойтись без второго ната, если задача такая:
> Есть два белых IP, один IP нужно раздать на подсеть 192.168.0.0., другой
> Ip нужно раздать двум серверам и сделать проброс портов(я так понимаю
> для этого нужно поднять второй natd и занатить подсеть например 192.168.1.0
> и сделать форвардинг портов?). Имеем   шлюз freebsd 9.3 с
> двумя сетевыми картами(инет\локалка)

Привет!
Вариантов куча. Алиасами ты можешь на один интерфейс(внешний) повесить твои белые ip и натить спокойно что-те нужно. Посмотри обязательно man natd там хорошо написано с примерами и загляни на сайт фри в хендбуке все описано. Ну и соответственно правилами файервола разрешаем пакеты, протоколы, направления кому и куда. Замахаешься настраивать-стукни в мыло-помогу.

> Добрый день! Подскажите примером если можно
> Как обойтись без второго ната, если задача такая:
> Есть два белых IP, один IP нужно раздать на подсеть 192.168.0.0., другой
> Ip нужно раздать двум серверам и сделать проброс портов(я так понимаю
> для этого нужно поднять второй natd и занатить подсеть например 192.168.1.0
> и сделать форвардинг портов?). Имеем   шлюз freebsd 9.3 с
> двумя сетевыми картами(инет\локалка)

Блин, вы где такие бородатые мануалы берет, вашу мать? Начиная с FreeBSD 7, ядерный nat интегрирован в ipfw. Или что, прикольно гонять КАЖДЫЙ пакет из kernel в userland и обратно? Да и задача твоя намного проще решится ч/з ядерный нат.

Вроде бы всё задуманное получается, но получается когда я вручную запускаю два ната так:
natd -a IP1 -p 8668
natd -a IP2 -p 8778
Как мне их запустить через rc.conf?

> Добрый день! Подскажите примером если можно
> Как обойтись без второго ната, если задача такая:
> Есть два белых IP, один IP нужно раздать на подсеть 192.168.0.0., другой
> Ip нужно раздать двум серверам и сделать проброс портов(я так понимаю
> для этого нужно поднять второй natd и занатить подсеть например 192.168.1.0
> и сделать форвардинг портов?). Имеем   шлюз freebsd 9.3 с
> двумя сетевыми картами(инет\локалка)

man ipfw (раздел nat)

> например закрыть определенные порты, или разрешить определенные адреса и т.д.

Это сам f2b умеет.

У f2b отдельная таблица, чтоб разрешать надо перед ним свои правила всунуть,
чтоб банить то, что он пропустил - после него свои правила всунуть.

Курить мануал iptables на тему флагов -I и -A

> где теперь и как прописывать монтирование, которое в случае перезагрузки оси исполнится?

Вроде же в fstab. Сейчас Поттеринг только-только чуть-туть починит-починит.
https://bugzilla.redhat.com/show_bug.cgi?id=1034921
https://bugzilla.redhat.com/show_bug.cgi?id=1023737

В fstab прописываем строчку вида:
//10.10.0.3/shara1  /mnt/ cifs ro,nosuid,noexec,sec=ntlmv2,credentials=/etc/cifs.cred,_netdev 0 0

файл  с паролями:
username=MyUserName
password=p@$$w0rd
domain=MyDomain

Вот такие чудики, использующие dnsbl и подрывают связность интернета.
Используете его хотя бы в качестве одного из факторов, придающих дополнительный вес письмам при анализе на спам.

> я конечно понимаю что Россия страна дураков и поганых дорог, но может пора бы перестать тупить ...

И в первую очередь вот таких дебилов, которые не разбираются вааааааааааще ни в чем, но уже лезут со своими советами.  

Уважаемый говноадмин - ты школьнег и галимая лошара.
Не пиши больше, выкинь комп, уволься из одминов, иди подметай дворы.  

Елси чо, то сервера mail.ru, rambler, yandex, google постоянно находятся в DNSBL,
иди строчи донос, какие они лохи - научи их правильно работать. :D  

2014-12-09 23:56:37 H=f385.i.mail.ru [185.5.136.56] Warning: mail.ru is listed at spam.dnsbl.sorbs.net (127.0.0.6: Spam Received See: http://www.sorbs.net/lookup.shtml?185.5.136.56

2014-12-10 01:45:44 H=mail-la0-f52.google.com [209.85.215.52] Warning: mail-la0-f52.google.com is listed at spam.dnsbl.sorbs.net (127.0.0.6: Spam Received See: http://www.sorbs.net/lookup.shtml?209.85.215.52)
2014-12-10 01:45:44 H=mail-la0-f43.google.com [209.85.215.43] Warning: mail-la0-f43.google.com is listed at spam.dnsbl.sorbs.net (127.0.0.6: Spam Received See: http://www.sorbs.net/lookup.shtml?209.85.215.43)
2014-12-10 02:34:52 H=mail-lb0-f172.google.com [209.85.217.172] Warning: mail-lb0-f172.google.com is listed at spam.dnsbl.sorbs.net (127.0.0.6: Spam Received See: http://www.sorbs.net/lookup.shtml?209.85.217.172)
2014-12-10 02:45:47 H=mail-la0-f52.google.com [209.85.215.52] Warning: mail-la0-f52.google.com is listed at spam.dnsbl.sorbs.net (127.0.0.6: Spam Received See: http://www.sorbs.net/lookup.shtml?209.85.215.52)
2014-12-10 02:45:47 H=mail-lb0-f177.google.com [209.85.217.177] Warning: mail-lb0-f177.google.com is listed at spam.dnsbl.sorbs.net (127.0.0.6: Spam Received See: http://www.sorbs.net/lookup.shtml?209.85.217.177

Слабо айпишнеги пула гугли забанить?

>  списки хостов, хранимые с использованием системы архитектуры DNS. Обычно используются для борьбы со спамом.

Они используются для таких лохов, которые оплатят внесение в белый список за xxxx$

а я умилился вот от этого: blocked using fl.chickenboner.biz

Настолько меганадежный поставщик DNSBL списков, что в некоторых корпоративных прокси как "suspicious" внесен.

Суперадмин, как я понимаю ИТ-услуги в www.it-ramenskoe.ru лучше не заказывать? Или вы там таки не работаете, это просто ваш любимый сайт?

>[оверквотинг удален]
> себя, т.е. сказать с2 направлять трафик на мой внешний адрес, который
> я имею когда поднимаю VPN и переправлять пакеты на с1 через
> шлюз моего провайдера доступа в интернет(3G-modem). Но у меня ничего не
> выходит. Проброс трафика получается только если использовать шлюз VPN-a, но тогда
> нет смысла. Если я пробрасываю внешний IP на сайт который показывает
> IP (2ip.ru и т.п.) через шлюз VPN-a, то вижу тот-же IP,
>  как если бы я просто зашел на этот сайт без
> всяких пробросов. А надо чтоб показался адрес выданный мне 3G-провайдером.
>  Несколько дней рылся в гугле, но ничего подобного не нашел. Может
> этот вариант вообще тупиковый? Но как тогда решить задачу?

http://www.opennet.dev/openforum/vsluhforumID10/4997.html

> Всем привет.
> Пытаюсь прикрутить geoip к iptables чтобы забанить китай.
> Установил xtables-addons-common
> Скачал и распаковал куда надо базу geoip, но при добавлении правила в
> iptables мне выдает ошибку:
> Could not open /usr/share/xt_geoip/LE/CN.iv4: No such file or directory
> Лезу в этот каталог и вижу файлы с расширением только .iv0 в
> том числе и CN.iv0
> Где мне взять тот файл с расширением .iv4?

вопрос отпал. сгенерировал новую базу

Добавил строку
-A POSTROUTING -o tun0 -j SNAT --to-source 10.10.100.1
и всё заработало

> Здравствуйте.
> Подскажите как можно установить демона (sshd,pptpd может друго что посоветуете) через телнет
> на роутеры asus, dlink и т.п..
> make, dpkg, rpm не работают уже 3 дня сижу не могу разобраться.
> Цель: создать цепочку в три роутера (туннель), что-бы весь трафик шел через
> него.
> Спасибо.

вам на ixbt уже ответили.
нужна прошивка поддерживающая установку сторониих пакетов из реп optware/entware.
на стоковых прошивках такого не сделаешь.

> есть 6 серверов. все они являются впнсерверами и подключены между собой. сервера
> в разных странах.
> как настроить маршрутизацию, чтобы можно было трафик пускать через несколько серверов?
> например
> сервера по странам UA,RU,MD,RO,PL,DE
> клиент подключился к UA трафик пошел на RU потом на MD и
> вышел в мир через DE.
> Или такой вариант client --> MD = RO = Pl = RU
> --> Internet.

подмена ip отправителя будет на каждом сервере?
> в какую сторону смотреть? динамическая маршрутизация? на ospf? или как это все
> организовать грамотно?

на основании чего выбирается цепочка серверов?

см. Tor и не изобретай лисапЭд

Как вариант, в   mangle  маркировать траффик входящий например меткой UA+ своя функция от urandom и к примеру функция будет выдавать 1,2,3,4 и 5.  исходя из этого делать маршрут на сл. впн  к примеру  UA1  все нулевые маршруты уйдут на DE UA2 на MD и т.д.  Так же в условии маркировки проверять откуда пришел пакет (от клиента  или от сл. сервера) и так же маркировать и выпускать на сл. промежуточный сервер или отправлять пакет в интернет по дефолтному нулевому маршруту.

http://www.cyberciti.biz/tips/linux-prevent-normal-users-fro...

>[оверквотинг удален]
> Отключать нужно по логике со стороны sshd... Почитал справку - как сделать
> не нашел. Есть только упоминание об этом в описании параметра конф.файла
> AllowTcpForwarding: "пока пользователям не запрещен доступ к командной оболочке"...
> AllowTcpForwarding
>     Определяет, будет ли разрешено перенаправление TCP. По умолчанию
> ``yes''. Имейте ввиду, что отключение пересылки TCP не увеличит безопасность пока
> пользователям не запрещен доступ к командной оболочке, так как они всегда
> могут установить свои собственные перенаправления.
> Вообще было бы идеально, чтобы для каких-то пользователей можно было бы запретить
> командную оболочку, а для каких-то разрешить...

На всякий случай опишу, зачем это нужно, может быть кто-нибудь подскажет другую реализацию?
Нужно подключить 1С на удаленном ПК к ключу 1С и файловой базой 1С, которые находятся за прокси-севером (Ubuntu) в локальной сети.
Т.е. я хотел сделать ssh-тоннели для нужных портов от удаленного ПК к ПК с ключом 1С и базой 1С и подключать по ним сетевую 1С.

>[оверквотинг удален]
> Отключать нужно по логике со стороны sshd... Почитал справку - как сделать
> не нашел. Есть только упоминание об этом в описании параметра конф.файла
> AllowTcpForwarding: "пока пользователям не запрещен доступ к командной оболочке"...
> AllowTcpForwarding
>     Определяет, будет ли разрешено перенаправление TCP. По умолчанию
> ``yes''. Имейте ввиду, что отключение пересылки TCP не увеличит безопасность пока
> пользователям не запрещен доступ к командной оболочке, так как они всегда
> могут установить свои собственные перенаправления.
> Вообще было бы идеально, чтобы для каких-то пользователей можно было бы запретить
> командную оболочку, а для каких-то разрешить...

Надо создать специального usera с шелом nologin и им подключаться через ssh

ну так как bash по-умолчанию в FreeBSD не инсталлируется и не предлагается в качестве шелла по-умолчанию, то думаю можно его снести на хрен, предварительно конечно всем пользователям у которых он в качестве шелла поставив что-то другое.
Ну а если очень хочется bash, ну можно наверно скачать исходники и патчи с сайта проекта и самому собрать, из портов я думаю его уже не получится новый получить-собрать, 7-ка уже не актуальна.