Спасибо за помощь :)

Дело было в том, что в конфиге /etc/xl2tpd/xl2tpd.conf в секции global не хватало определения опции listen-addr

Прописал.

После этого всё заработало.

Всем спасибо!

Тему можно закрывать.

Хеллоу

Никто не в курсе, что конкретно даёт proxyarp в /etc/ppp/options.xl2tpd?

С уважением,
Даниил.

> В вики опеннета http://wiki.opennet.ru/SecurityTop написана такая фраза
> "обязательно заключив в chroot окружение"
> Можете объснить подробней как это сделать? Я так понял тут речь не
> про докер идет.

В простейшем варианте
chroot <путь> <команда>

Вот не люблю такие советы, но куда ж без них :)
man chroot

> Можете объснить подробней как это сделать? Я так понял тут речь не
> про докер идет.

Про похожую штуку - https://help.ubuntu.com/community/BasicChroot
Или попроще - https://support.rackspace.com/how-to/create-a-chroot-jail/

> В вики опеннета http://wiki.opennet.ru/SecurityTop написана такая фраза
> "обязательно заключив в chroot окружение"
> Можете объснить подробней как это сделать? Я так понял тут речь не
> про докер идет.

Надо скопировать в каталог программу, её конфиги, и все нужные so в структуру подкаталогов как в системе. Потом запускать командой chroot. Если пакетный менеджер может устанавливать в заданный каталог программу с зависимости то это упрощает дело.

> В вики опеннета http://wiki.opennet.ru/SecurityTop написана такая фраза
> "обязательно заключив в chroot окружение"
> Можете объснить подробней как это сделать? Я так понял тут речь не
> про докер идет.

Хромированный доступ для владельцев доменов не является эквивалентом полного доступа к серверу. Вместо этого он призван стать полезным инструментом для выполнения элементарных операций, таких как изменение разрешений, копирование и перемещение файлов и выполнение тестового поиска файлов. Если вы заметили, что вам необходимо добавлять все больше и больше программного обеспечения в шаблон среды chrooted для небольшого числа клиентов, вы можете рассмотреть возможность предложить им обновление для их хостинга на выделенных или виртуальных серверах.

https://wiki.gentoo.org/wiki/Chrooting_proxy_services

> Я создал VPN канал и подключил 1 пользователя. Отключил шифрование.

Хорошая заявка.

> При этом, почему то скорость upload очень низкая
> ...
> Тесты проводились на сайте speedtest и с одним сервером.

Не верьте Speedtest. Самостоятельно измеряйте скорость между клиентом и сервером.
Например iperf. Или тупо трансфером файлов. Сравнивайте результаты внутри VPN и снаружи.

> Сетевуха интегрирована на мамке.

1) интегрируй в папку, но папка может и люлей отсыпать
2) научись правильно задавать вопросы, полезной инфы около 0, даже "имя_драйвера_сетевухи" какогото лешего поменял, конкретно указывай железо

> Сетевуха интегрирована на мамке.

Обновить/перезаписать BIOS.

Иптабли тут не очень помогут. Если костылять на коленке, то можно смотреть заголовки пакетов tcpdump'ом и считать в них айпишники awk'ом.

> Если с помощью IPtables это сделать нельзя, то, может быть, подскажете, какие
> другие варианты возможны?

Для dd-wrt есть пакет iftop.

В Tomato функция IP-Traffic доступна через WebUI, просто кликни галочку.

> - Роутер DIR300

...

> Вопрос: можно ли с помощью правил в iptables как-то определить на какой
> Ну например, если трафик на какой-то хост более 1Мб/сек, то сделать запись
> в лог (чтобы в логе можно было
> p.s.
> Если с помощью IPtables это сделать нельзя, то, может быть, подскажете, какие
> другие варианты возможны?

Другие варианты, один из, видимо, искать по слову  netflow.

>[оверквотинг удален]
> - все пакеты с состоянием ESTABLISHED,RELATED как-то разделять: на каждый IP -
> своя метка
> - потом подсчитывать по каждой метке колич. пакетов за определенной время
> - потом уже записать в лог информацию кто и откуда льет трафик
> Но как это реализовать с помощью правил не знаю. Может, кто что
> подскажет?
> Буду благодарен :)
> p.s.
> Если с помощью IPtables это сделать нельзя, то, может быть, подскажете, какие
> другие варианты возможны?

Мегабиты в ИПтаблзе - нельзя, а вот Пакеты в секунду можно, вот только умеет ли это iptables в dd-wrt незнаю.

Гуглить не пробовали?

https://catonmat.net/traffic-accounting-with-iptables

> p.s.
> Если с помощью IPtables это сделать нельзя, то, может быть, подскажете, какие
> другие варианты возможны?

Если вам не столько для "ограничить", сколько для "посмотреть", то я это решал с помощью pmacct. На "большом" софтовом роутере на x86 с "большим" Линуксом.

Говорят, pmacct на OpenWRT портировали:
https://www.mail-archive.com/pmacct-discussion@pmacct.n...
В случае с DIR300, хранение и обработку придётся вести на внешнем устройстве, у этого ресурсов маловато.
https://openwrt.org/toh/hwdata/d-link/d-link_dir-300_b1

вы на прикеоле короче походу
Роутер DIR300
вы совсем? разбейте его молотком
нечего тебе не поможет

>[оверквотинг удален]
> - все пакеты с состоянием ESTABLISHED,RELATED как-то разделять: на каждый IP -
> своя метка
> - потом подсчитывать по каждой метке колич. пакетов за определенной время
> - потом уже записать в лог информацию кто и откуда льет трафик
> Но как это реализовать с помощью правил не знаю. Может, кто что
> подскажет?
> Буду благодарен :)
> p.s.
> Если с помощью IPtables это сделать нельзя, то, может быть, подскажете, какие
> другие варианты возможны?

Найдите шпаргалку по "netfilter packet flow" ( типа http://clip2net.com/clip/m17268/1259352160-clip-92kb.png ). Исходя из того, что вы написали, трудно сказать в чём дело, но, может, со шпаргалкой, вам самому станет понятнее.

Не пытайтесь создать сразу сложную схему, особенно оесли она не получается с диагнозом "странно". Сделайте что-то совсем простое, и, потом, постепенно усложняйте.

> # Подменяю ip отправителя при обращении к порту 666 протокол udp
> /sbin/iptables -t nat -A POSTROUTING -j SNAT --to-source 8.8.8.8 -p udp --dport 666

Предположу, что это правило просто не применяется. Если вы в PREROUTING перенаправили пакет на 127.0.0.1, что пойдёт по цепочке INPUT, то никакого POSTROUTING ему уже не светит.

> # Перенапрявляю все обращения к порту 666 на локальный интерфейс.
> /sbin/iptables -t nat -A PREROUTING -p udp --dport 666 -j REDIRECT --destination 127.0.0.1

Вы точно REDIRECT хотели, а не DNAT?

> # Пытаюсь логировать все это
> /sbin/iptables -A INPUT -p udp --dport 666 -j LOG --log-prefix "iptabless: "

Если до этого правила в INPUT уже был применён какой-то "-j <action>", например ACCEPT, то это уже применятся не будет.

> /sbin/iptables -A OUTPUT -p udp --dport 666 -j LOG --log-prefix "iptabless: "

Если до этого правила в OUTPUT уже был применён какой-то "-j <action>", например ACCEPT, то это уже применятся не будет.

> /sbin/iptables -A FORWARD -p udp --dport 666 -j LOG --log-prefix "iptabless: "

Если до правила в FORWARD уже был применён какой-то "-j <action>", например ACCEPT, то это уже применятся не будет.

> cat messages | grep iptables
> # Ничего не работает и в логах пусто. Где я неправ?

Поделитесь, чего вы, собственно, пытаетесь достичь?
(Если всё равно, куда попадать, то и неважно, в какую сторону идти.)

> Хочу по вводу ключевой фразы получить приватный ключ.
> openssl ecparam -name secp521r1 -genkey -rand file_name.txt
> - запускаю, получается каждый раз разный.

Оно, вообще-то, так и задумано. Чтобы ключи не повторялись.

> Как сделать, чтоб разные запуски openssl -genkey давали одинаковый ключ?

Взять исходники и переписать под свои (идиотские) хотелки?

> Спасибо!

Да не за что.

> Разбираюсь с OpenSSL.
> Хочу по вводу ключевой фразы получить приватный ключ.
> openssl ecparam -name secp521r1 -genkey -rand file_name.txt
> - запускаю, получается каждый раз разный.
> Думал, что -rand это seed для начала поиска ключа.
> Как сделать, чтоб разные запуски openssl -genkey давали одинаковый ключ?
> Спасибо!

cp старыйключ новыйключ

> openssl ecparam -name secp521r1 -genkey -rand file_name.txt
> - запускаю, получается каждый раз разный.

Правильно, пусть лучше так и останется.

> Думал, что -rand это seed для начала поиска ключа.

-rand file(s)
    a file or files containing random data used to *seed the random number generator*...

> Как сделать, чтоб разные запуски openssl -genkey давали одинаковый ключ?

Детально воспроизвести состояние Вселенной, хотя-бы в ближайших окресностях вашего генератора случайных чисел. Чем лучше у вас генератор, тем точнее придётся воспроизводить. Гиблое дело, в общем.

Ну или https://www.xkcd.com/221/

> Всем привет. Вопрос может быть для кого-то банален, но я затрудняюсь в
> его ответе. Вот смотрите.
> У меня есть сервер, где интернет от провайдера 100мбит.
> Если я закрою ВСЕ порты через iptables. Будет ли возможность меня задосить,
> если посылать трафик свыше 100мбит на мой сервер с закрытыми портами?
> Получается тупо забивать полосу пропускания. Но если порта закрыты.. я хз.
> Помогите с ответом, заранее спасибо!
> Вопрос: Можно ли мне перекрыть доступ в интернет с помощью DoS (атака
> свыше 100Мбит), если у меня закрыты все порты?

Да, можно. Нужно скрывать IP от атакующего.

> Если я закрою ВСЕ порты через iptables. Будет ли возможность меня задосить,
> если посылать трафик свыше 100мбит на мой сервер с закрытыми портами?

Да, будет. Например трафиком UDP, или ICMP, или TCP SYN Flood. Для этого может даже меньше 100mbps потребуется.

> Вопрос: Можно ли мне перекрыть доступ в интернет с помощью DoS (атака
> свыше 100Мбит), если у меня закрыты все порты?

Да, можно. Кроме тупого съедания пропускной способности канала или локальных ресурсов для обработки "висящих" подключений, провайдеру это может надоесть и он вас отключит. Типа, разбиритесь сами со своими хакерами, потом приходите.

> Всем привет. Вопрос может быть для кого-то банален, но я затрудняюсь в
> его ответе. Вот смотрите.
> У меня есть сервер, где интернет от провайдера 100мбит.
> Если я закрою ВСЕ порты через iptables. Будет ли возможность меня задосить,
> если посылать трафик свыше 100мбит на мой сервер с закрытыми портами?
> Получается тупо забивать полосу пропускания. Но если порта закрыты.. я хз.
> Помогите с ответом, заранее спасибо!
> Вопрос: Можно ли мне перекрыть доступ в интернет с помощью DoS (атака
> свыше 100Мбит), если у меня закрыты все порты?

даже если серевер выключить - канал все равно можно будет зафлудить

> Вопрос: Можно ли мне перекрыть доступ в интернет с помощью DoS (атака
> свыше 100Мбит), если у меня закрыты все порты?

Ну так твоя система сперва получит пакеты, а потом разберется что они никуда не предназначены. Проблема в том что "место" в проводе до этого момента они все-таки занимали, и если тебе этого нальют много и с разных сторон, на остальное бандвиза может и не остаться. Ну вот нет в TCP/IP способа сообщить прововским роутерам что пакеты тебя не интересуют. В очень клинических случаях очень интенсивные потоки срача провы могут и сунуть в null route, но это уже у провайдеров, заметивших бесполезные крутые потоки флуда.

> Всем привет. Вопрос может быть для кого-то банален, но я затрудняюсь в
> его ответе. Вот смотрите.
> У меня есть сервер, где интернет от провайдера 100мбит.
> Если я закрою ВСЕ порты через iptables. Будет ли возможность меня задосить,
> если посылать трафик свыше 100мбит на мой сервер с закрытыми портами?
> Получается тупо забивать полосу пропускания. Но если порта закрыты.. я хз.
> Помогите с ответом, заранее спасибо!
> Вопрос: Можно ли мне перекрыть доступ в интернет с помощью DoS (атака
> свыше 100Мбит), если у меня закрыты все порты?

порты должны быть закрыты это и коту понятно!
по мимо портов у вас есть еще много интересного.
с чего вы вовообще взяли что на вас идет ддос атака, если бы шла атака вы бы здесь не писали вам бы этого не дали, шла атака и на телефон и на все что можно только.

если бы реально была бы атака, как я делаю, я вырубаю сервера, физичиски вырубаю.

наймите на работу программиста в месяц будетие платить 120-140 к за то будет все пучком
з.ы. 100 мегабит это сильно

я скажу как защититься ну при вашем уровне заний если он есть в чем я сомневаюсь по написанию данной статьи, нужно как минимум что бы пакеты которые не с ствоей шифровкой просто не принимались.
понимаешь о чем я?
если нет, ты скорее всего обычный добавший зверь
что тебя вообще  в эту степь занесло если ты пытаешься админить
а извиняюсь дос не ддос, т.е. кто то один бытается тебе загадить канал?) отключи торенты.
мне дико читать подобное, меня в последнее время бомбит все сильнее и сильнене от подобных статей(

не кода не чего не дам потому что какую то херь полную написал... не вижу не заний не чего, не попуток даже защититься, закрытием портов, почитайте что такое ip
а как сеть работает без ай пи адресов? не не слышал? как по верх сети работает... иди в ... извини... не хотел писать... тебе бы заливку зделать что бы ты ахерел разок, что бы не слышал такой херни не от кого.

@moderator Просьба удалить тему.

Открылись:

- второй сайт
https://longnetwork.github.io/

- дополнительный обозреватель звеньев
http://explorer.crypton.cf/

- шахты для добычи монеты Long
http://longpool.crypton.cf/
https://alt.mnshare.info/

Вышла предварительная версия программы отправки сообщений в формате HTML5 + CSS. В целях безопасности самоисполняемые задачи отсекаются.

> DIR-300
> как обезопасить себя от взлома?

К сожалению, у DIR-300 слишком мало оперативки и места на встроенной флешке для запуска поддерживаемых веток Linux. Возможно, как-то и получится его запустить, собрав только с нужным функционалом, но будет очень тесно. Так что если Linux на данном роутере безальтернативен, то скорее всего в морг.

Чтобы перестали ломиться в впн (равно как и на другие сервисы) — перевесить на нестандартный порт.

> но запросов 10-15 в день имеется.

Пффф. "Что-то меня Гондурас беспокоит. А ты его не чеши" :)

> 1. Какова вероятность того, что эти незваные гости рано или поздно все-таки смогут войти, хоть их никто и не приглашал?

Если пароль простой - то перебором подберут. Но с 10-15 запросами в день подбирать будут очень долго. Хотя, учитывая "Firmware: DD-WRT v24-sp2 (03/25/13) std" (т.е. прошивка от 2013 года), могут пробить через уязвимости, которых за 7 лет накопилось очень много в компонентах прошивки.

понял, спасибо за советы

для начала перевешу на другой порт, а тем временем поищу прошивку поновее

Вернее, найти прошивку не проблема, а вот протестировать ее, а то в одной один баг вылазит, в другой - еще какой-то, в третей vpn не пашет и т.д.

что здесь за нубы засели...
вы не пгнимаете что
я не буду комкентировать
выбросите

>[оверквотинг удален]
> uid 0
> Jan  1 21:52:09 DD-WRT daemon.err pptpd[14611]: CTRL: EOF or bad error
> reading ctrl packet length.
> Jan  1 21:52:09 DD-WRT daemon.err pptpd[14611]: CTRL: couldn't read packet header
> (exit)
> Jan  1 21:52:09 DD-WRT daemon.err pptpd[14611]: CTRL: CTRL read failed
> Jan  1 21:52:09 DD-WRT daemon.debug pptpd[14611]: CTRL: Reaping child PPP[14612]
> Jan  1 21:52:09 DD-WRT daemon.info pppd[14612]: Exit.
> Jan  1 21:52:09 DD-WRT daemon.info pptpd[14611]: CTRL: Client 92.63.194.92 control connection
> finished

https://help.ubuntu.ru/wiki/encfs_cloud

> нужно чтобы он пробрасывал эти пакеты на другой сервер в локальной
> сети с таким же портом.
> где:
> 10.20.80.4 локальный сервер с которого шлём пакеты
> 10.20.11.6 локальный сервер на который приходят пакеты
> 10.20.11.4 локальный сервер на который надо пробросить пакеты с 10.20.11.6
> 2115 - порт на который кидаем
> Пробую так, но результата нет.
> iptables -t nat -A PREROUTING --dst 10.20.11.6 -p tcp --dport 2115 -j
> DNAT --to-destination 10.20.11.4

Разобрался сам вот таким образом
iptables -t nat -A PREROUTING -i ens31 -p tcp --dport 2115 -j DNAT --to 10.20.11.4:2115
iptables -t nat -A POSTROUTING -o ens31 -j MASQUERADE

> Всем добрый день! Помогите пожалуйста разобраться с правильным написанием правила проброса
> портов.
> Есть сервер в локальной сети на который мы посылаем какие-то пакеты и
> нужно чтобы он пробрасывал эти пакеты на другой сервер в локальной
> сети с таким же портом.
> где:
> 10.20.80.4 локальный сервер с которого шлём пакеты
> 10.20.11.6 локальный сервер на который приходят пакеты
> 10.20.11.4 локальный сервер на который надо пробросить пакеты с 10.20.11.6
> 2115 - порт на который кидаем

https://www.opennet.dev/man.shtml?topic=iptables&category=8&r...

ерунду спрашиваете.
вам нужно делать таким образом

iptables -A INPUT -p tcp --tcp-flags FIN,SYN,RST,ACK SYN --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags SYN,ACK ACK --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags FIN,SYN,RST,ACK SYN,ACK --sport 80 -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags SYN,ACK ACK --sport 80 -j ACCEPT

Нет пока, в том году счет в марте был

> Выставили уже комуто или это у всех так???

Нам сегодня прилетел.

> Во многих современных мессенджерах, чтобы зарегаться, нужно указывать номер телефона,
> который потом тебе приходит код для активации аккаунта. Но таким образом
> пользователь деанонизируется, так как по номеру телефона его легко вычислить. Как
> убрать это звено в мессенджере? Но так, чтобы какой-либо пользователь-злоумышленник не
> смог наплодить миллиард аккаунтов и задосить сервер?

По отпечаткам пальцев :)

С какой целью интересуетесь?

Когда мне несколько лет назад снилось, как я создавал аккаунты чтобы полонценно мордокнигу краулить, мы покупали самые дешёвые симки в минимаркете. Они протухали месяцев через 6, порядка десятки штук нам хватило. Не в РФ. Для массовости не подходит, дорого.

Чтобы лично полноценно посидеть в чате, есть риск что потребуется воссатновить доступ, а симка уже превратилась в тыкву. Можно держать для таких случаев специальную "анонимную симку" купленную за границей, где не заставляют её привязывать к паспорту. Держать у себя в перманентном роуминге, или в руках друга за границей. Не знаю как на это посмотрит законодательство.

Если вы изучаете опции с точки зрения организатора чата, то можно применить прстой принцип: Пусть зарегистрировать и использовать аккаунт будет "дорого". Достаточно дёшево чтобы не отпугнуть пользователя, но слишком дорого чтобы массивное ботоводство было рентабельным.
"Дорого" не обязательно в деньгах. Пусть пользователь вычисляет что-нибудь громоздкое при регистрации, и/или тратит внутричатовые кредиты при отправке сообщений.
Посмотрите на экономические методы, которые прдлагаются для борьбы со спамом в электронной почте. Они могут быть неприменимы практически для e-mail из-за разрозненности, но работоспособны в централизованной платформе.

> Во многих современных мессенджерах, чтобы зарегаться, нужно указывать номер телефона,
> который потом тебе приходит код для активации аккаунта. Но таким образом
> пользователь деанонизируется, так как по номеру телефона его легко вычислить. Как
> убрать это звено в мессенджере? Но так, чтобы какой-либо пользователь-злоумышленник не
> смог наплодить миллиард аккаунтов и задосить сервер?

Не понял, вы свой чат делаете?

> Но так, чтобы какой-либо пользователь-злоумышленник не
> смог наплодить миллиард аккаунтов и задосить сервер?

1) Потребовать разрулить капчу.
2) или proof of work при логине и периодически чтобы онлайн висеть. Тогда миллиард аккаунтов станет довольно затратным в содержании и на ддос придется нескольким датацентрам пахать а это уже дорого.

> - в таблице FILTER->FORWARD есть какие-то пакеты (видно на скрине), но это не совсем то, т.к., когда я подключаюсь к камерам наблюдения, то трафик на самом деле 0,5Мб/сек, а в журнале FORWARD записалось каких-то 300 байт и на этом все

Потому что остальные пакеты попали под -m state --state ESTABLISHED,RELATED и были ACCEPT'нуты ранее, а остались только запросы на установку соединения (TCP SYN). ACCEPT означает прекращение обработки пакета в данной цепочке и передачу его далее.

> - но, включая системный журнал на своем роутере на вкладке Security->Firewall->Log Management

я спокойно вижу как эти все пакеты проходят и идут по назначению, а вот как их мне перехватить (в каком месте, какой командой) я не знаю
Если там логируются вообще все пакеты, рекомендую это отключить, а логировать только нужное (нарисовать правило iptables с -j LOG).

Для записи — logread -f и awk с обработкой вывода в помощь. Не рекомендую организовывать периодическую запись на встроенную флешку роутера, она от этого быстро сдохнет.

> Всем привет. Требуется получить срок действия сертификата с помощью bash в Linux.
> Ключ состоит из файлов:
> header.key
> masks.key
> name.key
> primary.key и т. д.
> Как я понял нужная мне информация хранится в файле header.key. Утилита keytool
> ее не берет. Подскажите, пожалуйста, с решением вопроса! Заранее спасибо!

КриптоПро? кури здесь http://www.cryptopro.ru/category/faq/linuxunix/rabota-s-klyu...

Уважаемый Аноним, вы очень обще ставите вопрос. Боюсь, что в рамках форума на него будет трудно ответить. Поможет, если вы выработаете и покажете список мер, указывая какую конкретную задачу решает каждая, а в форуме их "поругают".

Посмотрите https://www.cyberciti.biz/tips/linux-security.html, и вообще выдачу на поисковый запрос "debian server hardening".

Насколько враждебны пользователи?
Вы говорите "публичный", это в смысле в Интернете, но для своих, или в смысле что туда будет ходить кто попало без SMS?

> Достаточно ли будет на голом дебиане добавить правила в фаервол, что бы
> нельзя было делать исходящие соединения?

Нет, не достаточно. Надо следить за входящими соединениями, конфигурацией тех сервисов, которые опубликованны, не ставить ничего лишнего, следить за обновлениями, банить наугодных, награждать праведных и не впадать в уныние.

Конкретно касаемо исходящих соединений. От чего вы защищаетесь? От пользователей которые будут целенаправленно стараться закачать какую-нибудь малварь это не поможет, при наличии SSH есть несколько способов этого добиться не делая исходящих соединений. Мера больше тетральная, но я могу представить себе кейсы когда она будет реально способствовать.
Я бы наоборот, рекомендовал дропать все входящие, кроме тех которые точно нужны, в качестве меры защиты пользователей которые норовят запускать левые сервисы в userspace, и им сразу прилетает подарок из Интернета.

Технические рекомендаци найдите в доках, их много, они разные. Некоторые более смысленные, некоторые так себе. Посмотрите несколько, обратите особое внимание на меры в которых разные источники совпадают, скорее всего они наиболее важны.

А что касается не технических мер:..
Устанавливайте только минимально необходимый софт.
Идентифицируйте ВСЕХ своих пользователей.
Следите, чтобы пользователи не делились друг с другом ключами и паролями.
Пусть за каждого пользователя кто-нибудь персонально поручится. В рамках организации на роль поручителя хорошо подходит начальник отдела, но это не всегда и не точно.
Заранее приготовьте план, что будете делать если/когда заподозрите что вас таки сломали. В смысле, как будете сносить всё и устанавливать заново. Если это как следует спланировать и отрепетировать, то оно не так трудеёмко как кажется.

Удачи.

> Здравствуйте,
> хочу поднять публичный сервер debian, на которой смогут заходить разные пользователи по
> ssh,
> запускать предустановленные программы(vim,mc,ls,make,gcc,gdb и т.д).
> Посоветуйте мануал или как настроить сервер, что бы его не поламали и
> не ddos-ли с него.
> Достаточно ли будет на голом дебиане добавить правила в фаервол, что бы
> нельзя было делать исходящие соединения?

Лучше будет пойти по пути ограничения возможности запуска программ. Если у юзера будет только bin/sh и перечисленные программы, не будет разрешений на сеть, есть шанс, что взломают не так быстро. Особенно если доступ будет не анонимным.
Вам ещё придется квотировать место, проц и память.
Может оказаться проще выдавать каждому по персональной виртуальной машине.

Хочу поднять публичный сервер, такой же как тут: https://overthewire.org/wargames/ . Что бы люди могли там запускать что угодно(в том числе gdb,gcc,perl,python), но что бы не мешали друг другу и не могли ddos-ть/брутфорсить сервера в нете.

> Достаточно ли будет на голом

Судя по вопросу, ответ должен быть "нет" или "не сможешь"...

Хотя, кто ж тебя знает...  https://duckduckgo.com/?q=selinux+play+machine
...и твою модель угроз.

> Здравствуйте, пытаюсь просканировать хост на открытые порты, но хост фильтруется брандмауэром,
> есть ли у nmap возможности для обхода фильтра?

Если она есть у вас, то есть  и у nmap.

порядок правил имеет значение

>[оверквотинг удален]
> -N LOGGING
> -A INPUT -j LOGGING
> -A OUTPUT -j LOGGING
> -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level
> 4
> -A LOGGING -j DROP
> -A INPUT -i lo -j ACCEPT
> -A OUTPUT -o lo -j ACCEPT
> Все локальные пакеты отбрасываются.
> Почему так происходит?

У тебя сначала пакеты попадают в LOGGING, а потом дропаются.
Сначала пускай локальный трафик, а потом ставь правило

-N LOGGING
-A INPUT -i lo -j ACCEPT
-A OUTPUT -i lo -j ACCEPT
-A INPUT -j LOGGING
-A OUTPUT -j LOGGING
-A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
-A LOGGING -j DROP

у тебя в итоге все пакеты будут отброшены, кроме локальных. Пакет не являющимся локальным - пройдет в цепочку LOGGING - зафиксируется в логах и отбросится. Дальше он в систему не пройдет.

> Заранее благодарен :)

Зачем тебе такие сложные материи, если ты даже гуглом пользоваться неспособен?

https://www.opennet.dev/docs/RUS/vpn_ipsec/

> Всем привет.
> Подскажите пожалуйста простыми словами, как работает связка данных протоколов.
> На данный момент для меня это выглядит как-то так
> 1) UDP-connection
> 2) ???
> 3) Profit!!!
> Заранее благодарен :)

Простыми словами вы сами себе ответили :)

> Всем привет.
> Подскажите пожалуйста простыми словами, как работает связка данных протоколов.
> На данный момент для меня это выглядит как-то так
> 1) UDP-connection
> 2) ???
> 3) Profit!!!
> Заранее благодарен :)

Вот тут рассказали.
https://www.linux.org.ru/forum/admin/15152181?cid=15152448

Спасибо! :)

Тему можно закрывать.

> #!/bin/sh
> # EN: Free for non-commercial use. Commersoal users must resive wriren permission
> of the author.
> # RU: Свободна для некоммерческого использования. Коммерсанты должны получить письменное
> согласие автора.

Сдаётся мне, мил человек, что ты нарушаешь правила форума
постингом несвободной х**ни.

А "иcпросить разрешения у автора", у "Аноним-а @opennet 17-Июл-19 15:52"
это вообще прекрасный образчик б**л*гидхаб-лицензирования -- не на опенет, то есть точно.

Варез, пиратка и противоправное распространение "конь-тента" не здесь и против правил тож.

> И если я попадаю в ESTABLISHED, есть возможность отфильтровать пакеты? Спасибо.

тебе виднее куда ты там попадаешь
советую попасть сначала в гугл и основательно почитать базовую документацию

но если пакет уже попал в ACCEPT/DROP - то остальные правила после него уже необрабатываются,
это основная аксиома работы с iptables , советую отойти от консоли пока его не поймёшь

твои правила в том виде что они есть лишены смысла

> -A INPUT -p udp -m multiport --dports 27015:27020 -m state --state NEW -m hashlimit --hashlimit-upto 104/sec --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT

убери -m state NEW и поставь правило выше -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

так оно будет работать как ты хочешь

Мне тут напомнил некий хамовитый мистер, что я забыл указать дистр.
Исправляюсь: Debian 8.2, обновленный до 8.3.
64-битный.
DE LXDE.

How to solve the ClamAV error “This version of the ClamAV engine is outdated” on Debian 5.0 (Lenny)

Friday, April 16, 2010 posted by Till

As of today, all ClamAV 0.94 or older installs will stop working. The Debian project has not released updates for their current stable release (5.0) yet to solve this, but there is a workaround. The Debain volatile project provides newer clamav versions. The installation steps to install ClamAV 0.95.3 on Debian lenny are:

1) Add the debian volatile repository to the sources list:

echo "deb http://volatile.debian.org/debian-volatile lenny/volatile main contrib non-free" >> /etc/apt/sources.list

2) Update the sources and install the new clamav package:

aptitude update

aptitude install clamav

aptitude upgrade

> Т.е. получается, что не успев выпустить версию 0.98.7, разработчики уже требуют версию 0.99, а иначе они блокируют обновление.

Неправда.

> Сколько лет пытаюсь использовать Clamav, столько и досаждают вечные проблемы с ним.
> Как говорится, антивирус на Линуксе "не очень-то и хотелось", поэтому забрасываю его
> в дальний угол и забываю.
> Но сегодня захотелось разобраться с ним, надеюсь с вашей помощью это получится.

Вы странно как-то разбираетесь. Не пробовали читать, что оно пишет? А то ж вот у меня сомнения, что Вы прочитаете ответы, на которые люди время потратят.

> Проблем несколько.
> 1. При попытке обновится как правило, получаю такую ошибку:
> ERROR: /var/log/clamav/freshclam.log is locked by another process
> ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).

Вам слова "используется другим процессом", "лог-файл занят" совсем ничего не говорят?

Я смутно припоминаю существование в debian-ах некоего freshclamd, который-таки "сам" ходит за бновлениями базы (пускает freshclam [без 'd']).

> Обычно прибиваю этот лог, и ошибка пропадает.

По секрету: можно также почитать-таки лог. Вдруг поспособствует пониманию? Это только предположение.

>каждый раз заниматься этим садомазохизмом, может, есть грамотное решение?
> начала выяснить первопричины этой ошибки, которой не должно быть изначально.

Посмотрите, кто "держит" лог (lsof, fuser, ps ax|grep clam в конце-то...) и примите "грамотное решение". Что мешает-то?

> # freshclam
> ClamAV update process started at Thu Jan 28 20:45:37 2016
> WARNING: Your ClamAV installation is OUTDATED!
> WARNING: Local version: 0.98.7 Recommended version: 0.99
> DON'T PANIC! Read http://www.clamav.net/support/faq

Ну, тут всё B) просто. Есть авторы clamav и есть _дистрибутив_ Debian.

Апстрим (авторы) считает, что как только они выпкстили следующую версию своего сканера все-все должны бежать-бежать и обновляться (все старые версии "видят" новую версию в скачаных базах). Совсем не помогает, что clamav кто-то там продал [крайний раз] "лидерам сетевых безопасностей" Cisco и теперь www.clamav.net/support/faq слегка не существует. https://github.com/vrtadmin/clamav-faq/blob/master/faq/faq-u... находится кнопочкой [Поиск]. Там в ответе про "installation is OUTDATED" приведена точка зрения апстрима.

У Debian-а с бегом-бегом всё не так оптимистично. https://packages.debian.org/src:clamav говорит нам, что сейчас _все_ выпуски, кроме sid и stretch, обновлены именно до этой версии 0.98.7, но в невыпущенном stretch и нестабильном sid уже есть 0.99+dfsg-1 -- авторы дистрибутива работают над Вашей проблемой и есть надежда (см., например, https://lists.debian.org/debian-stable-announce/2015/05/msg0...), что и эта версия попадёт во все "сьюты".  Когда будет готова, или, если хотите, когда Debian будет готов.

> И выходит, политика разработчиков приводит к тому, чтобы обновить базы, я должен
> неизвестно сколько ждать появления в репозитарии рекомендуемую 0.99, а до этого

Я также рекомендую посмотреть слово "Recommended" в словаре.

Это необязательное требование.

Так что, вполне вероятно, в какой-то из возможных вселенных, да, "грамотное решение" может заключаться в "работает, не трогай" и, да, "ждать появления в репозитарии".

> я не могу обновиться и вынужден использоваться старые антивирусные базы. Нечего

Вас обманули излишне настойчивые "рекомендации". Текущие базы работают. Вроде как.

> сказать - забота о безопасности.
> И так из года в год.
> Прошу просветить в этой затянувшейся проблеме.

Согласен! Всё против нас.

Читай ответы анонимуса:
https://www.linux.org.ru/forum/security/14986716?cid=14987178

> Доброго времени суток уважаемые!!
> Возник один вопрос по IPSEC. У нас есть ресурс на внешнем ip
> адресе а клиент хочет к нему подключится через ipsec туннель и
> вот возник вопрос возможно ли такое осуществить если да то какими
> методами.
> если инфы мало напишите я по мере возможности предоставлю инфу.
> Заранее спасибо!!

Port knocking and ssh forwarding.

> Доброго времени суток уважаемые!!
> Возник один вопрос по IPSEC. У нас есть ресурс на внешнем ip
> адресе а клиент хочет к нему подключится через ipsec туннель и
> вот возник вопрос возможно ли такое осуществить если да то какими
> методами.
> если инфы мало напишите я по мере возможности предоставлю инфу.
> Заранее спасибо!!

Клиенту НАДО по IPSEC, или он просто ХОЧЕТ?
Если народ "слабо плавает в этом вопросе", то в 9 случаях из 10 IPSEC там нафиг не нужен....
Главный вопрос какую проблему решить-то пытаются?

> Возник один вопрос по IPSEC. У нас есть ресурс на внешнем ip
> адресе а клиент хочет к нему подключится через ipsec туннель и
> вот возник вопрос возможно ли такое осуществить если да то какими
> методами.

Во FreeBSD, например, это делается чисто средствами системы.
man if_ipsec

> Добрый день
> Кто от имеет опыт с какими-то системами которые полностью фиксируют действи администратора
> в консоли (мс). Полный лог действий.
> Причем учесть что парк машин около 500 шт.

1. Стандартно, почти никак. Чайники не в теме, а хацкеры все равно наипут и shell и мс (не расскажу).

2. Трахаться c Linux Security Modules и прочими системами хуков на syscallы.

3. Хардкор вариант - перекопмилить mc, {ba,z,c,tc}sh с логированием всех действий.

Есть такая утилита script - позволяет записывать все действия в файл,  запихать ее в
login/logout скрипты соотв. шелла. например для bash это будет ~/.bash_profile, ~/.bashrc и ~/.bash_logout.
но как уже выразились компетентные люди от продвинутых пользователей это не спасет.

Еще помимо script есть auditd, тоже вариант.

Для того чтобы включить ведение логов пользователя root через связку auditd и pam нужно добавить в файл /etc/pam.d/system-auth-ac строку.
session required pam_tty_audit.so disable=* enable=root

Лог будет вестись в /var/log/audit/audit.log Для просмотра логов можно использовать команду aureport --tty -ts todayПараметры ключа -ts следующие: now, recent, today, yesterday, this-week, week-ago, this-month, this-yearлистинг команды aureport --tty -ts today

Данный способ фиксирует все нажатия пользователя на клавиатуре, что приводит к образованию небольшого мусора в в отчете. В частности при использовании midnight commander.Также следует учесть что данный метод не фиксирует команды выбранные из истории шелла.

Данный момент следует учитывать при использовании данного метода. Но при всем этом данный способ ведет лог всей консоли.

Да еще забыл добавить что логи можно централизованно хранить.
Для этого используется плагин audisp-remote. Он входит в пакет audisp-plugins, нужно устанавливать дополнительно.

Еще как вариант подменять шел, давно как-то такое делал, собирал свой bash,  году в 2001, но зачем изобретать велик, есть готовые решения, хотя на питоне можно обертку написать для баш, вариантов короче много.

> Добрый день
> Кто от имеет опыт с какими-то системами которые полностью фиксируют действи администратора
> в консоли (мс). Полный лог действий.
> Причем учесть что парк машин около 500 шт.

Кастомный бинарник bash - это то что я видел на практике (в одной компании на G такое было). Для этого понадобится программист на C. Который еще и поддерживать это будет (и делать бэкпорты security-фиксов).

Другой вариант для бедняков - запихать все admin-задачи в свои кастомные скрипты и уже от них плясать (не выдавая полного доступа к shell). Но это тоже не идеально т.к. нужен хороший bash-guru что пишет скрипты без уязвисмостей.

Есть система мониторинга и управления сетью NOC. Она рассчитана для профессионалов. Кроме всего прочего есть возможность вести лог команд вводимых на активном сетевом оборудовании и компьютерах.

Вот пример для GNU/Linux: https://kb.nocproject.org/plugins/servlet/mobile?contentId=2...

> Как реализовать ?
> С осени ищу мануалы, везде спрашиваю - в ответ тишина :(

https://www.centos.org/forums/viewtopic.php?t=67580

> Как реализовать ?
> С осени ищу мануалы, везде спрашиваю - в ответ тишина :(

https://bugzilla.redhat.com/1416715

" Ваш звонок очень важен, ждите, пжлст. "
   Или не.
//I am afraid there are no plans for such backport.//

#>> Мусорку - автоматически не получаемую обновлений безопасности

А обновлятели безопасности не хотят/не могут в v1.1.x, вроде.

Консенсус ентерпрайзус.

порядок прохождения пакетов при one_pass=1 меняется
диапазон адресов из блока 192.168.0.0/21 перекрывает блок 192.168.7.224/27
есть опечатки
${FwCMD} add deny ip from any to 10.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 10.0.0/8 in via ${LanOut2}

'ipfw list' при one_pass=1 можно увидеть? В начале правил всякие #${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}/${LanOut2} точно неактивны?

Судя по
> :FORWARD ACCEPT [0:0]

, это не он.  Значит,

> *nat
> :PREROUTING ACCEPT [185:11544]
> -A PREROUTING -d 195.xxx.xxx.xxx/32 -p tcp -m tcp --dport 5554 -j DNAT
> --to-destination 192.168.42.10:5554

ppp client ( 192.168.42.10) должен "знать" входящие внешние, c WAN, ip и отвечать на них: на клиенте в файерволе открыть для приходящих [белых, видимо] ip и default gateway поставить - на роуткр (ppp server).

Либо, если без роутинга и пр., можно извратиться и маскарадить внутрь то, что форвардится, чтобы для .42.10 все эти соединения выглядели пришедшими с .42.1.

>[оверквотинг удален]
> COMMIT
> *nat
> :PREROUTING ACCEPT [185:11544]
> :INPUT ACCEPT [82:4649]
> :OUTPUT ACCEPT [4:290]
> :POSTROUTING ACCEPT [6:406]
> -A PREROUTING -d 195.xxx.xxx.xxx/32 -p tcp -m tcp --dport 5554 -j DNAT
> --to-destination 192.168.42.10:5554
> -A POSTROUTING -s 192.168.42.0/24 -o eth0 -j MASQUERADE
> COMMIT

Не много не по теме, как разбанить ip на своем сервере?

> ДВС.
> Есть планшет, хожу с него али. Только через wifi - т.е. канал
> в мир контролируется мною.
> Захотелось свой мониторинг цен на нужные мне продукты.
> В тырнетах нашёл как и откуда брать данные: curl 'https://m.ru.aliexpress.com/ajaxapi/product/ajaxDetail.do?pr...'
> -H 'referer: https://m.ru.aliexpress.com/'
> Судя по этому - протокол обычный https.
> Хочется расковырять механизм - где там по каким путям что лежит, но..
> https. Прокси в приложении не настраивается (или не нашёл).
> Не подскажите, как бы подсмотреть, по каким ссылкам гуляет приложение?

curl никакого отношения к аллиексперс не имеет. единственная ссылка по которой он гуляет - та которую ты ему указал.

тот тред на котором ты нашел эту ссылку в тырнете рассчитан на людей понимающих основы технологии.

в треде они обсуждали два варианта получения ответа от аллиекспесс - путем модификации запроса в браузере, и путем прямого запроса через курл. запрос при этом один и тот же. что он возвращает? ну, возможно json.

кстати этот запрос просто так не работает. надо вероятно сперва зайти на реферер, получить куки, потом отдать куки вместе с запросом.

ps/ и да, курл поддерживает прокси. плохо искал наверное :)

ps2/ jncencndbt ,fpjds[ ghtlcnfdktybq j nt[yjkjubb ktxbncz xntybtv kbnthfnehs

> ДВС.
> Есть планшет, хожу с него али. Только через wifi - т.е. канал
> в мир контролируется мною.
> Захотелось свой мониторинг цен на нужные мне продукты.
> В тырнетах нашёл как и откуда брать данные: curl 'https://m.ru.aliexpress.com/ajaxapi/product/ajaxDetail.do?pr...'
> -H 'referer: https://m.ru.aliexpress.com/'
> Судя по этому - протокол обычный https.
> Хочется расковырять механизм - где там по каким путям что лежит, но..
> https. Прокси в приложении не настраивается (или не нашёл).
> Не подскажите, как бы подсмотреть, по каким ссылкам гуляет приложение?

можно попробовать подсмотреть (поковырять, потыкать палочкой)
например так:

используем ПК, браузер Firefox

логинимся на ali, включаем "Разработка" (ну там иконка ещё такая, как гаечный ключ)),
далее, врубаем "Инструменты разработки" (Ctrl+Shift+I),
нас интересует "Сеть" (поэтому, можно сразу нажать заветные три Ctrl+Shift+Q),
ходим по своим необходимым нам линкам, подставляем (меняем) если нужно referer,
наблюдаем много интересного, думаем, делаем выводы и действуем

P.S. Забыл добавить, крайне желательно использовать Microsoft Windows 10,
большому брату (Билу Гейтсу?, дяди Сэму?) также будет любопытно, не обламывайте их ))

Проксируется HTTP или TCP?

> Веб сервер(сервера) спрятан за nginx который перенаправляет запросы, в зависимости от домена
> на разные веб сервера. Захотелось за-https-ситься.
> Куда надо привинчивать сертификат ? На nginx ? Или можно на сам
> сервер с Индейцем ?

можно и так и так. в зависимости от конкретных идей.

> Веб сервер(сервера) спрятан за nginx который перенаправляет запросы, в зависимости от домена
> на разные веб сервера. Захотелось за-https-ситься.
> Куда надо привинчивать сертификат ? На nginx ? Или можно на сам
> сервер с Индейцем ?

Я обычно, генерю серт на первом nginx'e, ибо внутри сети не всегда можно корректно серт прописать.

> Веб сервер(сервера) спрятан за nginx который перенаправляет запросы, в зависимости от домена
> на разные веб сервера. Захотелось за-https-ситься.
> Куда надо привинчивать сертификат ? На nginx ? Или можно на сам
> сервер с Индейцем ?

в вашей схеме первый удар принимает nginx и дальше проксируют запросы в Apache. лучше будет сделать это на стороне nginx, дабы не грузить Apache. (SSL Offloding/SSL Termination понятие в помощь)

делать это на nginx и на Apache смысла не вижу, грузить обе стороны еще SSL заботами.