А INPUT -j ufw-user-input  де ?

    /etc/default/ufw: high level configuration, such as default policies, IPv6 support and kernel modules to use
    /etc/ufw/before[6].rules: rules in these files are evaluated before any rules added via the ufw command
    /etc/ufw/after[6].rules: rules in these files are evaluated after any rules added via the ufw command
    /etc/ufw/sysctl.conf: kernel network tunables
    /var/lib/ufw/user[6].rules or /lib/ufw/user[6].rules (0.28 and later): rules added via the ufw command (should not normally be edited by hand)
    /etc/ufw/ufw.conf: sets whether or not ufw is enabled on boot, and in 9.04 (ufw 0.27) and later, sets the LOGLEVEL
    /etc/ufw/after.init: initialization customization script run after ufw is initialized (ufw 0.34 and later)
    /etc/ufw/before.init: initialization customization script run before ufw is initialized (ufw 0.34 and later)

After modifying any of the above files, activate the new settings with:
$ sudo ufw disable
$ sudo ufw enable

reload очевидно вызывает iptables-restore.
iptables-restore берет ваш файл, очищает существующие правила и грузит в netfilter те, что лежат в файле. По сути он просто к каждой строке файла спереди добавляет iptables и исполняет. Если есть какие-то ошибки в процессе, он вроде бы отматывает назад (тут не уверен).

Короче, reload нужно сделать, чтобы обновленные правила из файла начали работать при обработке пакетов.

>на лоре затруднились с ответом

Потому что линукс в названии там для отвода глаз.

Так вообще настройка фаерволла на iptables хорошо описана в книжке Hardening Linux. Причем там пример в стиле юникс - скрипт подряд вызывает команды и в конце рабочий фаерволл. Вы можете и на ufw настроить хорошо, но понимание лучше приходит на кондовых примерах.
Удачи.

Вот что говорит tcpdump на пингуемой машине:
21:48:24.356378 IP 10.129.0.254 > 10.132.0.195: ICMP echo request, id 16, seq 12, length 64
21:48:24.356424 IP 10.132.0.195 > 10.129.0.254: ICMP echo reply, id 16, seq 12, length 64

Хотя с другого облака, откуда я пингую ответ не приходит:
# ping 10.132.0.195
PING 10.132.0.195 (10.132.0.195) 56(84) bytes of data.
^C
--- 10.132.0.195 ping statistics ---
12 packets transmitted, 0 received, 100% packet loss, time 11250ms

> Шлюз на Debian 7.11 (3.2.0-4-686-pae), iptables v1.4.14.

Про Debian 7.11 не припомню, хочешь README от Slackware 7.1?

у nf_conntrack_ftp есть параметр ports, можно попробовать добавить нестандартный.

> нужна помощь опытного человека, в создании безопасного VPN соединения для сёрфа плохих
> сайтов

каков бюджет?

> нужна помощь опытного человека, в создании безопасного VPN соединения для сёрфа плохих
> сайтов

можешь мне написать какого уровня безопасность необходима и для каких задач.

нет

Детсад-кул-хакер?

> Здравсвуйте!
> Подскажите. Есть машина. На ней у меня есть локальный администратор. Могу ли
> я с правами лок адм одной машины назначить лок адм другой
> по сети??😓😓😞
> Помогите плз

Да.

> Есть 2 машины. На 1-й крутится игровой сервер, а 2 будет выступать
> в качестве моста.

Сколько IP адресов у каждой машины вообще? По одному?

> Пытался сделать что-то наподобие этого, но оказалось безуспешно

Смотрите сниффером.

> iptables -t nat -A PREROUTING -p tcp -d 2.2.2.2 --dport 255 -j
> DNAT --to-destination 1.1.1.1:256
> iptables -t nat -A POSTROUTING -p tcp --dst 1.1.1.1 --dport 256 -j
> SNAT --to-source 2.2.2.2
> iptables -A FORWARD -d 1.1.1.1 -p tcp --dport 256 -j ACCEPT

Ещё не забудте
echo 1 > /proc/sys/net/ipv4/ip_forward

>Поднимать свой VPN-сервер дорого,....

:)

> поэтому есть желание воспользоваться готовыми сервисами

Три года под PureVPN. Причём и куча знакомых тоже. Всё превосходно.
https://goo.gl/gDqZJM

> Поэтому вопрос: кто с этим сталкивался и кого вы можете посоветовать для
> покупки VPN?

А что, обязательно платный?

> Есть задача организовать безопасное VPN-соединение с шифрованием. Поднимать свой VPN-сервер
> дорого, поэтому есть желание воспользоваться готовыми сервисами, предоставляющими эти
> слуги.
> Гугление по запросу «buy secure vpn» показало, что очень много кто занимается
> этим бизнесом, и непонятно кому можно доверять и с кем приятно
> будет работать.
> Поэтому вопрос: кто с этим сталкивался и кого вы можете посоветовать для
> покупки VPN?

Есть много сервисов , с которыми можно работать - Hide me VPN , Zoog VPN , у которых есть план three - 2гб в месяц , и неплохая техподдержка.

> Есть задача организовать безопасное VPN-соединение с шифрованием. Поднимать свой VPN-сервер
> дорого, поэтому есть желание воспользоваться готовыми сервисами, предоставляющими эти
> слуги.
> Гугление по запросу «buy secure vpn» показало, что очень много кто занимается
> этим бизнесом, и непонятно кому можно доверять и с кем приятно
> будет работать.
> Поэтому вопрос: кто с этим сталкивался и кого вы можете посоветовать для
> покупки VPN?

OVH.com vps стоит 3,5 бакса в месяц за 2гб ОЗУ, 40гб ссд, есть KVM, куда еще дешевле, старче?

> Всем привет.
> НИ КОГО НЕ ОБВИНЯЮ! ДЕЛЮСЬ СВОИМИ МЫСЛЯМИ!

Я за удаление этого поста.

> возможно кто-то уже сталкивался с такой задачей, или просто есть идеи?

Ага, шапочка из фольги, говорят, помогает.

По теме - бред какой-то несешь. Взломают, не взломают... Облако еще приплел, его взломать сложнее, мда... Ну свое облако подними, если тебе так спокойнее.
Либо настрой файрвол, обновляй своевременно ОС/софт и не парь мозг себе и людям, либо вози свои данные на троллейбусе.

Ну что же ты так, недопараноил.

> есть машина[A] которая rsunc-ом общается с сервером [В] в сети, забирает данные и
> отправляет результат своей работы.

Предположим, что в данных, которые отдаёт [В], сидит троян. При попытке обработки данных на [А] его запускает. Дальше нафантазируешь сам.

Всё, что для взлома - это знать, как устроен обработчик на [A].

> аппаратно изолировать
> сохранив при этом возможность передачи данных

Противоречие. Или надо переопределить термины, чтобы появилось пересечение между "ещё можно обмениваться данными" и "уже аппаратно изолированно".

Пусть оператор читает с экрана одной машины и набивает данные на другой. Это достаточно изолированно?
Или пусть одна машина показывает на экране QR, а другая распознаёт веб-камерой.
Не так давно описывали сценарий проникновения в изолированную сеть когда одна машина пищала динамиком, а другая слушала микрофоном.

Или пусть оператор на внешних носителях таскает данные, хотя иранские центрифуги от Stuxnet это не спасло.

Вроде бы, можно порт USB перевести в роль device, так чтобы одни компьютер представлялся флешкой другому. Это всё еще считается за аппаратную изоляцию, или уже нет? Хотя, я бы больше доверил сети IP.

Вам про изолированную сеть дело писали, она может быть просто шнурком от одной машины к другой.
Интернет - сервер А - изолированная сеть - сервер Б.

Если процесс позволяет, сервер Б можно держать отключённым, от эенергии и/или от изолированной сети, и включать только когда надо переборсить данные.
Для каждой транзакции, сервер А можно загружать с RO носителя и на время отключать от Internet.

Короче, это не столько вопрос технологии, сколько строгости протокола и масштаба неудобств которые вы готовы терпеть.

> смысл чтобы обмениваться данными без участия сетевых программ и протоколов.

Как вариант - SAN (СХД) технологии.
[машина_А] подключается к FC-switch или SAS-switch и монтирует LUN, выделенный для совместного использования с [машина_С с rsync].
На серверах нужна поддержка кластерной файловой системы (shared disks). Или можно просто по очереди монтировать этот LUN по расписанию. :)

> Добрый день настроил точку доступа микротик для доступа к wi-fi. На точке
> работает 2 сети, основная, для офиса и гостевая -виртуальная. Для гостевой
> настроен vlan 20, точка соединена с сетью единственным кабелем.
>   Основная сеть 192.168.31.0/24 и гостевая 192.168.32.0/24.
>   Шлюз на freebsd11. re0-$Lan и re1-$Inet. Для vlan поднял интерфейс
> re0.20-$Vlan, поднял DHCP и сделал привязку к интерфейсу $Vlan.
>   Теперь вопрос, каким правилом можно запретить трафик между $Lan и
> $Vlan. На текущий момент хосты друг друга без проблем видят.
>   Умолчальное правило для IPFW allow ane from any via $Lan

   Добавил 2 таких правила:
$fwcmd 12 deny all from 192.168.32.0/24 to any out via $Lan
$fwcmd 12 deny all from 192.168.31.0/24 to any out via $Vlan
  И получил что хотел.
Нубский вопрос, почему не работает правило вида:
$fwcmd 12 deny all from $Vlan to any out xmit $Lan
Выдает ошибку announ host ""re0.20""
Насколько безопасна такая реализация правил, как наверху, заблочит ли это вирусы от "клиентов" со стороны и любопытных товарищей?

> Интересует наиболее полный список гугловых сетей. Иногда совершенно неожиданные появляются
> такие, которых у меня нет в списках. Хотелось бы забанить максимально
> надежно. Может быть кто-то уже составляет такие списки ?
> Спасибо.

https://www.gstatic.com/ipranges/goog.json

https://developer.aladdin-rd.ru/jacarta2_sdk/2.4.1/descripti...

>JaCarta-2 ГОСТ и JaCarta ГОСТ. Что нового?
>В JaCarta-2 ГОСТ в сравнении с JaCarta ГОСТ:
>        реализована автоматическая защита передаваемых данных между ПК и устройством с помощью защищённого протокол обмена (Secure Messaging);

А по каким алгоритмам шифруется канал данных?
https://developer.aladdin-rd.ru/archive/jc_mobile_sdk/2.4/ap...

>JC_PKI_SECURE_MESSAGING_MODE SecureMessagingMode
>    Режим защищенного обмена между токеном и компьютером:
>        JC_PKI_SECURE_MESSAGING_MODE_OFF (0x00) – защищенный канал выключен;
>        JC_PKI_SECURE_MESSAGING_MODE_RSA (0x01) – защищенный канал на ключевых парах по алгоритму RSA;
>        JC_PKI_SECURE_MESSAGING_MODE_EC (0x02) – защищенный канал на ключевых парах по алгоритму EC;

RSA и EC ? А разве они есть в моделях ГОСТ? Чето вообще непонятно.
И какие длины ключей?

Какой вопрос такой и вопрос: а зачем, вот на сегодняшний день, покупать криптожелезо непонятно кого, неизвестно как работающее и заранее точно зная что оно расшифровуется даже без бутылки ?

К вашему сведению - сервак в локалке с пробросом из-вне - угроза всей локалке.
Нормальные люди в таком случае делают DMZ и пихаюи сервак туда, откуда доступа к самой локалке нет.
В таком случаем, если впереди стоит актуальный WAF, например, то сервак более защищен, потому как городить всё это на самом серваке не комильфо.
Ну и по степени защищенности, с учетом использования всех возможностей:
1. сервак в DMZ
2. сервак с белым ip
3. сервак в локалке.

Не стоит забывать о том, что сервак может иметь белый ip и быть за файволом.

Вы же сами последней фразой расставили все точки над i - при одинаково настроенных фаерволах - т.е. при доступе только к 80/443 портам разницы никакой.

в папке /root

Если у вас под веб-сервером понимается апп-сервер, то без разницы. Атаковать будут не на уровне протокола, а на уровне приложения.

В локалку имеет смысл убрать, если у вас винда вместо ОС - для защиты от червей.

В качестве общего правила - настраивайте любой сервер так, как если завтра будет пентест, по результатам которого вас уволят или наоборот, повысят. Концепция защищенных локалок с шлюзами, на которых происходит вся безопасность, уже серьезно устарела.

У тебя каша в голове.

Вот смотри - беру я древнюю версию Apache с кучей дыр и сажаю на "белом" IP. Конфигурирую его на отдачу static и больше ничего. Можно ли его взломать? Это уж вряд ли - там нет никаких ресурсов, чтобы ими воспользоваться.

Теперь я беру последнюю версию HAProxy, высаживаю его на AWS VPC, оттуда новомоднейший WireGuard тащит трафик из локалки, где вообще все внешние порты закрыты. В локалке работает какая-нибудь новомодная хня вроде Express JS с новомодным фреймворком. В котором есть какой-то баг.

И меня ломанули через HTTP. При полном попустительстве HAProxy, AWS VPC, WireGuard и проч. Потому, что ломали на 7 уровне OSI.

Располагать сервер за натом нормально. Ненормально надеяться только на защиту периметра. Свой файервол должен быть и у сервера.

1) слишком мало полезной для диагностики информации
2) PAX не является частью стокового ядра - тебе на форум к патчеделам если патчил сам или на форум твоего дистра если дистр (который ты даже не удосужился обозначить) поставляет ядро с этим патчем

понасобирают гна по интернетам не понимая как оно работает и зачем оно нужно, а потом такие "памагите аааааа сервер ни работает, мамка ругать будет"

pax с mmap_check для ima .. ну такая себе заявочка на совместимость. вирь за клавиатурой сидит, вот точно говорю - убери его подальше от техники и все будет работать.

https://forums.grsecurity.net/viewtopic.php?t=2750#p11162

>[оверквотинг удален]
> 1. Есть две площадки. На каждой поднято по одному серверу на ОС
> Убунта 18.04 (ядро 5.3.ххх) + Strongswan (5.8.1). Сервера спрятаны за роутерами
> Cisco (DNAT), при этом сервера строят IPSec на нестандартных портах, не
> udp/500 и udp/4500. Решено обеспечить отказоустойчивость - на каждой площадке использовать
> по два сервера в режиме MASTER/BACKUP c использованием сервиса keepalived (VRRP).
> Но столкнулся с проблемой "тупняка" установки нового туннеля, когда основной сервер
> в пределах площадки уходит в состояние BACKUP (при этом стопается сервис
> ipsec), а резервный сервер  получает статус MASTER и пытается установить
> новый туннель. Порой туннель не устанавливается пока не перезагрузить ipsec на
> удаленном сервере-партнере.

Если я хоть что-то понял, то... была похожая ситуация (без цисок и vpn) в случае с построением отказоустойчивого шлюза, когда было важно обеспечить удержание открытых сессий клиентов в рабочем состоянии при переключении с мастера на слейва (гы, all lives matter). Но это было на фряхе, и там задачка решилась при помощи pfsync. Поищи аналог на линуксе. По-моему, проблемы одного поля ягоды.

А почему не держать оба тунеля в апе, и разрулить на уровне роутинга BGP?
Давно уходят от мастер-слейв, ECMP тебе в помощь

> Продаю спорт.добавки на сайте, нужна норм "абуза". Порекомендуйте.

Что означает 'нужна норм абуза' ?

> Продаю спорт.добавки на сайте, нужна норм "абуза". Порекомендуйте.

Больше спросить негде? На школофорумах забанили?

> Продаю спорт.добавки на сайте, нужна норм "абуза". Порекомендуйте.

Inferno name, Bulletproof web, Dalmaktris, Iqhost, Abusehosting как минимум одни из самых нормальных. Если принципиальны какие-то технические отличия, то на хост-треккере любом чекайте каждый и выбирайте уже по результатам мониторинга. Максимально подробно прочекать здесь можно: https://www.host-tracker.com/ru/InstantCheck/Create/ 

> Продаю спорт.добавки на сайте, нужна норм "абуза". Порекомендуйте.

Звучит как-то знакомо.
Баширов и Петров? В смысле торговля вразнос с доставкой на дом не идёт?

https://en.wikipedia.org/wiki/Anti-Spam_SMTP_Proxy

> Будем получать квалифицированную ЭЦП. В нормальной ситуации с ssl я генерирую закрытый
> ключ, делаю csr и получаю открытый ключ.
> А как обстоит дело с этим в нашем ЭЦП?
> По телефону дали понять что все делается в УЦ на их оборудовании.
> На вопрос о закрытом ключе толком ответить не могут.

Закрытй ключ остаётся у них. Могут сказать, что нет, но это ложь.

> Будем получать квалифицированную ЭЦП. В нормальной ситуации с ssl я генерирую закрытый
> ключ, делаю csr и получаю открытый ключ.
> А как обстоит дело с этим в нашем ЭЦП?
> По телефону дали понять что все делается в УЦ на их оборудовании.
> На вопрос о закрытом ключе толком ответить не могут.

Делал через Taxcom. Через браузер csr. Возможно нужен CrypToPro.

> Будем получать квалифицированную ЭЦП. В нормальной ситуации с ssl я генерирую закрытый
> ключ, делаю csr и получаю открытый ключ.
> А как обстоит дело с этим в нашем ЭЦП?
> По телефону дали понять что все делается в УЦ на их оборудовании.
> На вопрос о закрытом ключе толком ответить не могут.

Ты и только ты, всегда сам, должен создавать приватный ключ. Публичную часть ключа, с распечаткой, подписью и печатью несеш им лично для удостоверения что это ты. Удостоверяющий центр подписывает только публичную часть ключа.

Если удостоверяющий центр скажет давайте мы за вас создадим приватный ключ не соглашайтесь - это развод лохов.

Для РФ генерил в КриптоПро которое завилось только под виндой, версия под GNU/Linux не работала (8 лет назад).

> На вопрос о закрытом ключе толком ответить не могут.

Такие удостоверяющие центры, которые требуют отдать им приватный ключ, или сами создают приватный ключ и отдают клиенту надо лишать лицензии!

http://www.consultant.ru/document/cons_doc_LAW_112701/c50517.../

Приватный ключ:
5) ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи;

Публичный ключ:
6) ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее - проверка электронной подписи);

Результат деятельности Российского УЦ (сертификат на ваш публичный ключ):
2) сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи;
14) вручение сертификата ключа проверки электронной подписи - передача доверенным лицом удостоверяющего центра созданного этим удостоверяющим центром сертификата ключа проверки электронной подписи его владельцу;

Русский УЦ:
7) удостоверяющий центр - юридическое лицо, индивидуальный предприниматель либо государственный орган или орган местного самоуправления, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом;

Проверки Российского УЦ (подписать своим приватным ключом заявку на получение сертификата):
15) подтверждение владения ключом электронной подписи - получение удостоверяющим центром, уполномоченным федеральным органом доказательств того, что лицо, обратившееся за получением сертификата ключа проверки электронной подписи, владеет ключом электронной подписи, который соответствует ключу проверки электронной подписи, указанному таким лицом для получения сертификата;

Пару приватный-публичный ключ вы создаете САМИ ЛИЧНО НА СВОЕМ ОБОРУДОВАГИИ.

Законодатель дает право создать приватный ключ по вашему обращению:

http://www.consultant.ru/document/cons_doc_LAW_112701/

ст. 13, п.1, пп. 7:
7) создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;

Он обязан соблюдать конфиденциальность приватных ключей:
ст. 13, п.2, пп. 4:
4) обеспечивать конфиденциальность созданных удостоверяющим центром ключей электронных подписей;

Сертификаты ключей проверки электронных подписей УЦ создайте всегда сам и на своем оборудовании:

ст.13, п.1, пп.1:
1) создает сертификаты ключей проверки электронных подписей и выдает такие сертификаты лицам, обратившимся за их получением (заявителям)...

ст.14, п.1:
1. Удостоверяющий центр осуществляет создание и выдачу сертификата ключа проверки электронной подписи на основании соглашения между удостоверяющим центром и заявителем.

ст.17, п.1:
1. Квалифицированный сертификат подлежит созданию с использованием средств аккредитованного удостоверяющего центра.

Прочел ФЕДЕРАЛЬНЫЙ ЗАКОН N 63 ОБ ЭЛЕКТРОННОЙ ПОДПИСИ

Отбило охоту получать квалифицированную ЭП следующие два пункта:

ст. 18
п. 1, пп. 4
4) предложить использовать шифровальные (криптографические) средства, указанные в части 19 статьи 14.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", физическим лицам, обратившимся к нему в целях проведения идентификации без его личного присутствия путем предоставления сведений из единой системы идентификации и аутентификации и информации из единой биометрической системы (для предоставления биометрических персональных данных физического лица в целях проведения его идентификации в аккредитованном удостоверяющем центре без его личного присутствия посредством сети "Интернет"), и указать страницу сайта в информационно-телекоммуникационной сети "Интернет", с которой безвозмездно предоставляются эти средства. При этом в случае, если физическое лицо для предоставления своих биометрических персональных данных в целях проведения его идентификации в аккредитованном удостоверяющем центре без его личного присутствия посредством информационно-телекоммуникационной сети "Интернет" при выдаче сертификата ключа проверки электронной подписи отказывается от использования шифровальных (криптографических) средств, аккредитованный удостоверяющий центр обязан отказать такому лицу в проведении идентификации и выдаче сертификата ключа проверки электронной подписи.

Комент: А почему не предложить сразу вшить чип в *опу, а если не захотят то отказывать такому лицу.

п. 3
3. При получении квалифицированного сертификата заявителем он должен быть ознакомлен аккредитованным удостоверяющим центром с информацией, содержащейся в квалифицированном сертификате. Подтверждение ознакомления с информацией, содержащейся в квалифицированном сертификате, осуществляется под расписку посредством использования заявителем квалифицированной электронной подписи при наличии у него действующего квалифицированного сертификата либо посредством простой электронной подписи заявителя - физического лица, ключ которой получен им при личном обращении в соответствии с правилами использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме, устанавливаемых Правительством Российской Федерации, при условии идентификации гражданина Российской Федерации с применением информационных технологий без его личного присутствия путем предоставления сведений из единой системы идентификации и аутентификации и информации из единой биометрической системы. Указанное согласие, подписанное электронной подписью, в том числе простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица. Удостоверяющий центр обязан хранить информацию, подтверждающую ознакомление заявителя с информацией, содержащейся в квалифицированном сертификате, в течение всего срока осуществления своей деятельности.

Комент: Почему не предусмотрена личная подпись на бумаге? Зачем мне еще надо получать простую ЭЦП?

Мой ответ cap_fowner.

> Если не смотреть в текущие реализации *nix, то по Вашему мнению.
> Кто должен обладать правом смены группы файла - cap_chown или cap_fowner?

cap_chgrp ?? )))

> Добрый день!
> Не уверен, в нужный ли раздел пишу, но рискну...
> Есть клиент OpenVPN на устройстве под Windows или Android.
> Есть свой сервер с сервером OpenVPN, в конфиге указано push "redirect-gateway def1
> bypass-dhcp".
> Если клиент устанавливает VPN соединение через GSM, то видна как сеть VPN,
> так и работает интернет, клиент получает IP сервера.
> Но! Если клиент работает в локальной сети через роутер, то сеть VPN
> открывается, но интернет на устройстве клиента не работает.

Я так понимаю, это происходит на одном и том-же кленте.
Покажите таблицу маршрутизации клиента, когда он подключём к VPN через GSM, и когда "в локальной сети через роутер".

Проверьте, что значит "не работает интернет", может, дело в ДНС. Имена хостов резольвятся?

> Всем привет, кто может подсказать что означает timestamp в pcap файле в
> WireShark. Трафик перехвачен между двумя удаленными хостами в promiscuous mode. Время
> начала передачи информации от А до Б или ещё чего?
> СПС

Ещё чего.

Есть такая совершенно повёрнутая на пакетах TCP/IP дама по имени Лора Чапел (Laura Chappell). Мне посчастливилось попасть на её курс по анализу трафика в WireShark. Лет, наверное, 15 назад это было, но ответить на этот вопрос могу, кажется, даже ночью. При создании pcap время берётся из компьютера, на котором установлена WireShark или подобная программа. Если время выставлено неверно, то и в pcap оно будет неправильным. Подробнее можно в прочитать на тему pcap timestamps у экспертов на англ. сайте https://www.elvidence.com.au/understanding-time-stamps-in-pa...

> Возможно ли сделать так что бы скрипт с главного сайта мог при
> просмотре проверить на каком сайте-каталоге видео воспроизводиться?

Воспроизводится видео на компьютере пользователя очевидно.
С какой ноды дикой CDN-сети качаются файлы проверить можно. Естесссно...

> И самое главное, как
> проверить подлинность воспроизводимого видео-файла?

Если ваше видео - это нарезанное мелкими кусочками файло - то crc на каждый такой кусочек. И проверять перед воспроизведением.

>  То что партнёр-анонимус не подсовывает
> вместо нужного видео какую нибудь рекламу или Чёрного Властелина?

Сейчас модно контент вообще в пиринг засовывать. в этом случае корректность данных обеспечивается силами технологии, и неважно подсовывает кто-то невалидный контент или нет.
поищите в поисковиках как видео отдают через p2p сети.

> И не слишком ли легко это будет обойти?

Обойти проверку crc очень сложно, если она считается по полному файлу а не только по его заголовку.

Осталось догадаться, каким механизмом тебе надо.

И ещё что про тебя и твой механизм думает TCP. То есть на .3 приходит "SYN", а после этого .3 и .2 два раза ответят вызывающему "SYN_ACK"?

> По факту, на старый хост трафик дублируется, но в пакете не меняется
> dst_host.
> На 10.10.10.2 tcpdump-ом вижу что влетает трафик для 10.10.10.3, и логично, он
> не обрабатывается тем механизмом, которым мне надо.
> Подскажите пожалуйста, чего не хватает чтобы продублированный трафик влетел на старый хост
> с его значением dst_host?

На втором хосте сделать правило PREROUTING, с DNAT на желаемый адрес. Тогда пакет будет прилетать с правильным dst_host, но работать это всё равно не будет. TCP зависит от сессии.

Ещё можно сделать так чтобы 10.10.10.2 считал адрес 10.10.10.3 своим. Например, назначить .3 алиасом на интерфейсе lo.
Имейте в виду, что в таком случае 10.10.10.2 и 10.10.10.3 не смогут общаться друг с другом используя эти адреса.
Имейте в виду, что при использовании TCP, второй сервер тоже будет пытаться провести handshake с клиентом. В лучшем случае второй handshake будет игнорирован, вторая сессия TCP установлена не будет и .2 ничего н еполучит. В худшем это замусорит сессию с .3 и она тоже не установится. Переходите на UDP.

Можно попытаться что-то намутить с UDP multicast на шлюзе.

Конкретно по данному вирю не знаю, в общем:

https://en.m.wikipedia.org/wiki/WannaCry_ransomware_attack

Бороться антивирусником, не тыкать по ссылке в письме, верифицировать данные с помощью PGP перед использованием.

Делать бекап данных на DVD, Blueray дисках и не держать всего на жестком диске включенного компа.

как там "'s' in docker stands for security" или типа того
>Сможет ли скайп идентифицировать пользователя/машину?

скайп идентифицирует пльзователя по логину, не?
> Сможет ли скайп выйти из докера в ОС?

даже если сейчас нет, то кто знает? это же еще и от настроек докера зависит.

замените "Docker vs apparmor" на "Docker with apparmor"

Через iptables и routing это можно сделать, но не нужно.

Есть нюанс - в результате у тебя IIS выставлен голой жопой в интернет, что плохо закончится и для IIS и для Internet.

Что следует сделать - SSL на IIS выключить, пусть отдаёт HTTP. На LINSRV запустить тот же HAPROXY или NGINX, сделать reverse proxy c SSL на нём.

Вам правильно посоветовали, не надо публиковать вебсервисы пробросом портов. Прокси справляется с этой задачей лучше.

Если же всё-таки очень надо, то обсуждали недавно:
https://www.opennet.dev/openforum/vsluhforumID10/5518.html
https://www.opennet.dev/openforum/vsluhforumID10/5529.html

Вкратце, понадобится:
Чтоб был packet forwarding.
Чтоб netfilter разрешил пакетам ходить.
Правило DNAT чтоб скрыть IIS_SRV_WIN от GATEWAY.
Правило SNAT чтоб скрыть GATEWAY от IIS_SRV_WIN.
MASQUERADE не нужен.

Но лучше через прокси.

> пишет "устройство ещё используется". но оно 200% не может ничем использоваться.
> выдернул диск из usb(он уже шпиндель остановил) и без диска попробовал 'cryptsetup
> plainClose sdc_crypt' , также пишет что устройство используется.

Покажите вывод от "lsblk --fs" и "dmsetup info -c".

После того как отмонтировал файловую систему, командой umount, надо закрыть шифрование устройство:

cryptsetup close sdc_crypt

> Не могу понять как запустить два xorg от разных пользователей.

Не знаю, какую задачу вы решаете, но подозреваю что она похожа на ту, которую недавно решил для себя я.
Хотелось в штатном Ubuntu Desktop (конкретно 18.04 Mate), не трогая дефолтный логин и, возможно, графическуя сессию на vt7, иметь киоск с неким дашбордом на vt8.
При загрузке на экране показывается киоск. Если с машиной надо повзаимодействовать, то руками переключаюсь на нормальный десктоп Alt-Ctrl-F7, делаю что надо, закрываю или блокирую сессию, переключаюсь обратно Alt-Ctrl-F8.

Вот кусок моей technical memory:

apt-get install openbox nodm

NEWUSER=kioskuser
NEWGECOS="Kiosk User"
adduser --disabled-password --quiet --gecos "${NEWGECOS}" ${NEWUSER}

install -b -m 755 /dev/stdin /home/${NEWUSER}/runkiosk.sh << EOF
#!/bin/sh

xset -dpms
xset s off
#openbox-session &
#xterm
#chromium-browser --app=https://xxxxxxxx
#firefox https://xxxxxxxx
firefox --kiosk --url=xxxxxxx

EOF

cat >> /etc/default/nodm
NODM_ENABLED=true
NODM_USER=${NEWUSER}
NODM_XSESSION=/home/${NEWUSER}/runkiosk.sh
NODM_X_OPTIONS=':8 vt8 -nolisten tcp'
EOF

/etc/init.d/nodm stop
/etc/init.d/nodm start

Масштабировать на N kioskuser не пробовал, но не вижу почему бы ему не.
Это дело сожительствует с Mate Desktop, но совершенно от него не зависит. Без всего, думаю, nodm будет работать точно так-же.

> Не могу понять как запустить два xorg от разных пользователей.

там скорей всего для каждого Xorg определен своя переменная DISPLAY=":1" и DISPLAY=":2", поэтому в параметрах этого не видно

Какова цель? Многомесная система (maltihead)?

Немного дополню предыдущее сообщение

При выполнении ping 10.1.2.1 -l 321

Последовательность пакетов выглядит так

27    Client IP        Server IP        ESP    448        ESP (SPI=0xc77bcd31)
45    Client IP        Server IP        ESP    448        ESP (SPI=0xc77bcd31)
46    10.1.2.3        10.1.2.1        ICMP    365        Echo (ping) request  id=0x0001, seq=2171/31496, ttl=127 (reply in 47)
47    10.1.2.1        10.1.2.3        ICMP    365        Echo (ping) reply    id=0x0001, seq=2171/31496, ttl=64 (request in 46)
48    Server IP        Client IP        ESP    448        ESP (SPI=0xcdd4a265)
52    Client IP        Server IP        ESP    448        ESP (SPI=0xc77bcd31)

То есть приходят ESP пакеты и на этом всё заканчивается. Один раз он на пинг всё-таки ответил.

Если же делать просто ping 10.1.2.1 то получается вот так
65    Client IP        Server IP        ESP    152        ESP (SPI=0xc77bcd31)
66    10.1.2.3        10.1.2.1        ICMP    76        Echo (ping) request  id=0x0001, seq=2173/32008, ttl=127 (reply in 67)
67    10.1.2.1        10.1.2.3        ICMP    76        Echo (ping) reply    id=0x0001, seq=2173/32008, ttl=64 (request in 66)
68    Server IP        Client IP        ESP    152        ESP (SPI=0xcdd4a265)
72    Client IP        Server IP        ESP    152        ESP (SPI=0xc77bcd31)
73    10.1.2.3        10.1.2.1        ICMP    76        Echo (ping) request  id=0x0001, seq=2174/32264, ttl=127 (reply in 74)
74    10.1.2.1        10.1.2.3        ICMP    76        Echo (ping) reply    id=0x0001, seq=2174/32264, ttl=64 (request in 73)
75    Server IP        Client IP        ESP    152        ESP (SPI=0xcdd4a265)
80    Client IP        Server IP        ESP    152        ESP (SPI=0xc77bcd31)
81    10.1.2.3        10.1.2.1        ICMP    76        Echo (ping) request  id=0x0001, seq=2175/32520, ttl=127 (reply in 82)
82    10.1.2.1        10.1.2.3        ICMP    76        Echo (ping) reply    id=0x0001, seq=2175/32520, ttl=64 (request in 81)
83    Server IP        Client IP        ESP    152        ESP (SPI=0xcdd4a265)
86    Client IP        Server IP        ESP    152        ESP (SPI=0xc77bcd31)
87    10.1.2.3        10.1.2.1        ICMP    76        Echo (ping) request  id=0x0001, seq=2176/32776, ttl=127 (reply in 88)
88    10.1.2.1        10.1.2.3        ICMP    76        Echo (ping) reply    id=0x0001, seq=2176/32776, ttl=64 (request in 87)
89    Server IP        Client IP        ESP    152        ESP (SPI=0xcdd4a265)

Буду очень благодарен, если у кого-то есть идеи, почему такое может быть.
Если интересна используемая конфигурация, то она описана в соседней ветке https://www.opennet.dev/openforum/vsluhforumID10/5497.html

чем отличается подключение к серверу "напрямую" и через Wi-Fi?  В роутере, видимо, какой-то айпиэс

>[оверквотинг удален]
> said: 450 4.1.8 <address@mydomain>: Sender address rejected: Domain not found (in
> reply to RCPT TO command))
> Oct 18 09:36:52 pmg postfix/qmgr[15496]: 8D9D240F04: from=<address@mydomain>, size=24021,
> nrcpt=1 (queue active)
> Oct 18 09:37:28 pmg postfix/smtp[24756]: 8D9D240F04: to=<mail@mymail.ru>, relay=192.168.0.161[192.168.0.161]:25,
> delay=60802, delays=60767/0.02/5.1/30, dsn=4.1.8, status=deferred (host 192.168.0.161[192.168.0.161]
> said: 450 4.1.8 <address@mydomain>: Sender address rejected: Domain not found (in
> reply to RCPT TO command))
> На простые адреса gmail.com письма приходят и уходят.
> Подскажите, что нужно поправить. Попадались советы в postfix убрать reject_unknown_domain.

Что показывает
host mydomain
?

mydomain домен у вас не резолвится.

Sender address rejected: Domain not found. indicates that the email is rejected because the sender's domain is unable to be resolved properly because: the certain DNS records (A, MX, PTR) are missing for the domain. the Name Servers of for sending domain are not responding.

Лучше улучшить настройки спам фильтра Iredmail, чем ставить дополнительно ProxmoxMailGateway.