Доброго времени суток уважаемые.
Ситуация такая мы с клиентом хотим между собой настроить ipsec туннель для передачи данных.
так вот они нам прислали таблицу для заполнения и вот тут у меня возникли вопросы как все это перевести в конфиг файл.
Таблица состоит из таких вот строк.

Details of VPN Gateway        
Encryption Mode            |Site to Site Tunnel Mode | Site to Site Tunnel Mode
Equipment Type            |Juniper               | Linux CentOS (strongSwan)
        
Setting of IPSEC connection        
Phase 1        
Authentication Method        |Pre-Shared Key     |Pre-Shared Key
Encryption Scheme        |IKE         |IKE
Diffie-Hellman Group        |Group 2     |Group 2
Encryption Algorithm        |3DES         |3DES
Hashing Algorithm        |SHA1         |SHA1
Main or Aggressive Mode        |Main mode     |Main mode
Lifetime (for renegotiation)    |86400s         |86400s
Phase 2        
Encapsulation (ESP or AH)    |ESP         |ESP
Encryption Algorithm        |3DES         |3DES
Authentication Algorithm    |SHA1         |SHA1
Perfect Forward Secrecy        |Group 2     |Group 2
Lifetime (for renegotiation)    |3600s         |3600s
Lifesize in KB             |0         |0
        
Tunnel Configuration        
Local IP address |192.168.120.150 |192.168.0.5
Peer IP address     |1.1.1.1         |2.2.2.2

буду очень благодарен за помощь.

Здравствуйте,
Насколько безопасно запускать скайп в докере? Сможет ли скайп идентифицировать пользователя/машину? Сможет ли скайп выйти из докера в ОС?

Здравствуйте,
хочу поднять публичный сервер debian, на которой смогут заходить разные пользователи по ssh,  
запускать предустановленные программы(vim,mc,ls,make,gcc,gdb и т.д).
Посоветуйте мануал или как настроить сервер, что бы его не поламали и не ddos-ли с него.

Достаточно ли будет на голом дебиане добавить правила в фаервол, что бы нельзя было делать исходящие соединения?

Во многих современных мессенджерах, чтобы зарегаться, нужно указывать номер телефона, который потом тебе приходит код для активации аккаунта. Но таким образом пользователь деанонизируется, так как по номеру телефона его легко вычислить. Как убрать это звено в мессенджере? Но так, чтобы какой-либо пользователь-злоумышленник не смог наплодить миллиард аккаунтов и задосить сервер?

Приветствую всех думающих людей! Хочу представить вашему вниманию для ознакомления и обсуждения новую концепцию коммуникационного программного обеспечения с открытым исходным кодом. Не сочтите за рекламу, выгодоприобретатель в данном случае либо не определён, либо все.
LONG NETWORK Core - программа для обмена зашифрованными сообщениями (от ПК до ПК, "no man in the middle"), криптографический мессенджер, монета Longcoin, доска объявлений, в будущем площадка для торговли товарами и услугами на базе данных типа блокчейн с открытым исходным кодом, написанным на основе Bitcoin Core 0.12.1.

Подробности и загрузки - http://longcoin.online/

Тема на форуме Bitcointalk.org
https://bitcointalk.org/index.php?topic=5158823.new#new

Канал обсуждения в Discord. Можно попросить немного монет - непременно выручат.
https://discord.gg/QAnjK7U

Обозреватель блокчейна
http://18.222.122.61/explorer/

Криптообменники для приобретения монеты LONG через торги (пары к BTC, LTC, DOGE, DASH и др.)
https://ex4ange.org/
https://trade.crypton.cf/

Окно сообщений
http://longcoin.online/wp-content/uploads/2019/06/99.png

Здравствуйте.

Есть почтовый сервер IredMail (v0.9.6), перед ним стоит ProxmoxMailGateway (v6.0-6) фильтрующий только входящую почту. Всё работает, но не приходят и не отправляются письма только на адреса домена (mydomain) компании на gmail. Входящие письма застревают в Deferred Mail

Oct 18 08:26:51 pmg postfix/qmgr[15496]: 8D9D240F04: from=<address@mydomain>, size=24021, nrcpt=1 (queue active)
Oct 18 08:27:26 pmg postfix/smtp[24078]: 8D9D240F04: to=<mail@mymail.ru>, relay=192.168.0.161[192.168.0.161]:25, delay=56601, delays=56565/0.02/5.1/30, dsn=4.1.8, status=deferred (host 192.168.0.161[192.168.0.161] said: 450 4.1.8 <address@mydomain>: Sender address rejected: Domain not found (in reply to RCPT TO command))
Oct 18 09:36:52 pmg postfix/qmgr[15496]: 8D9D240F04: from=<address@mydomain>, size=24021, nrcpt=1 (queue active)
Oct 18 09:37:28 pmg postfix/smtp[24756]: 8D9D240F04: to=<mail@mymail.ru>, relay=192.168.0.161[192.168.0.161]:25, delay=60802, delays=60767/0.02/5.1/30, dsn=4.1.8, status=deferred (host 192.168.0.161[192.168.0.161] said: 450 4.1.8 <address@mydomain>: Sender address rejected: Domain not found (in reply to RCPT TO command))

На простые адреса gmail.com письма приходят и уходят.

Подскажите, что нужно поправить. Попадались советы в postfix убрать reject_unknown_domain.

Здравствуйте, пытаюсь просканировать хост на открытые порты, но хост фильтруется брандмауэром, есть ли у nmap возможности для обхода фильтра?

Всем привет.

Подскажите пожалуйста простыми словами, как работает связка данных протоколов.

На данный момент для меня это выглядит как-то так

1) UDP-connection
2) ???
3) Profit!!!

Заранее благодарен :)

Всем хеллоу.

Есть:
  Linux - 4.19.0-5-amd64 #1 SMP Debian 4.19.37-5 (2019-06-19) x86_64 GNU/Linux
  xl2tpd version: xl2tpd-1.3.12
  Linux strongSwan U5.7.2/K4.19.0-5-amd64
  Dnsmasq version 2.80

/etc/ipsec.conf

        config setup
           charondebug="enc 0, net 0, ike 0, cfg 0, knl 0, lib 0, job 0, dmn 0"

        conn vpnserver
           authby=secret
           auto=add
           type=transport
           left={ip-2}
           leftprotoport=17/1701
           right=%any
           rightprotoport=17/%any
           rekey=no

/etc/dnsmasq.conf

dhcp-range=10.1.2.3,static
dhcp-option=option:router
dhcp-option=121,10.1.2.1/32,10.1.2.2,{ip-1}/32,10.1.2.2
dhcp-option=249,10.1.2.1/32,10.1.2.2,{ip-1}/32,10.1.2.2
dhcp-option=vendor:MSFT,2,1i

/etc/xl2tpd/xl2tpd.conf

        [global]
            ipsec saref = yes

        [lns default]
            ip range = 10.1.2.3-10.1.2.25
            local ip = 10.1.2.2
            require chap = yes
            refuse pap = yes
            require authentication = yes
            pppoptfile = /etc/ppp/options.xl2tpd

/etc/ppp/options.xl2tpd

require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
debug
auth
name vpnserver
proxyarp
mtu 1372

/etc/iptables/rules.v4

        *filter

        -A INPUT -i lo -j ACCEPT
        -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
        -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

        -A INPUT -p udp --dport 4500 -j ACCEPT
        -A INPUT -p udp --dport 500 -j ACCEPT

        -A INPUT -p udp -m policy --dir in --pol ipsec -m udp --dport l2tp -j ACCEPT
        -A INPUT -p udp -m udp --dport l2tp -j REJECT --reject-with icmp-port-unreachable

        -A INPUT -i ppp+ -s 10.1.2.0/24 -j ACCEPT
        -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

        -A INPUT -j DROP

        -A FORWARD -s 8.8.8.8 -j ACCEPT
        -A FORWARD -d 8.8.8.8 -j ACCEPT

        -A FORWARD -j REJECT

        -A OUTPUT -j ACCEPT

        -A OUTPUT -p udp -m policy --dir out --pol ipsec -m udp --sport l2tp -j ACCEPT
        -A OUTPUT -p udp -m udp --sport l2tp -j REJECT --reject-with icmp-port-unreachable

        COMMIT

        *nat
        -A POSTROUTING -o ens3 -s 10.1.2.0/24 --jump MASQUERADE
        #-I POSTROUTING 1 -j LOG

        COMMIT

/etc/network/interfaces

auto ens3
iface ens3 inet static
        address {ip-1}
        netmask 255.255.255.255
        gateway 10.0.0.1
        pointopoint 10.0.0.1
        up ip addr add {ip-2}/32 dev ens3
        down ip addr del {ip-2}/32 dev ens3

auto dummy0
iface dummy0 inet static
        address 10.1.2.1
        netmask 255.255.255.0
        pre-up ip link add dummy0 type dummy

/etc/modules

dummy

/etc/sysctl.conf

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
net.ipv4.ip_forward = 1

ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:54:00:57:d7:ec brd ff:ff:ff:ff:ff:ff
    inet {ip-1} peer 10.0.0.1/32 brd {ip-1} scope global ens3
       valid_lft forever preferred_lft forever
    inet {ip-2}/32 scope global ens3
       valid_lft forever preferred_lft forever
3: dummy0: <BROADCAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN group default qlen 1000
    link/ether f6:ed:c9:9f:fc:ef brd ff:ff:ff:ff:ff:ff
    inet 10.1.2.1/24 brd 10.1.2.255 scope global dummy0
       valid_lft forever preferred_lft forever

В результате всего этого имеем

Aug  7 03:46:43 - charon: 00[DMN] signal of type SIGINT received. Shutting down
Aug  7 03:46:43 - ipsec[585]: 00[DMN] Starting IKE charon daemon (strongSwan 5.7.2, Linux 4.19.0-5-amd64, x86_64)
Aug  7 03:46:43 - ipsec[585]: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Aug  7 03:46:43 - ipsec[585]: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Aug  7 03:46:43 - ipsec[585]: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Aug  7 03:46:43 - ipsec[585]: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Aug  7 03:46:43 - ipsec[585]: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Aug  7 03:46:43 - ipsec[585]: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Aug  7 03:46:43 - ipsec[585]: 00[CFG]   loaded IKE secret for {ip-2}
Aug  7 03:46:43 - ipsec[585]: 00[LIB] loaded plugins: charon aes rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default connmark stroke updown counters
Aug  7 03:46:43 - ipsec[585]: 00[LIB] dropped capabilities, running as uid 0, gid 0
Aug  7 03:46:43 - ipsec[585]: 00[JOB] spawning 16 worker threads
Aug  7 03:46:43 - ipsec[585]: 05[CFG] received stroke: add connection 'vpnserver'
Aug  7 03:46:43 - ipsec[585]: 05[CFG] added configuration 'vpnserver'
Aug  7 03:46:43 - ipsec[585]: 00[DMN] signal of type SIGINT received. Shutting down
Aug  7 03:46:43 - ipsec[585]: charon stopped after 200 ms
Aug  7 03:46:43 - ipsec[585]: ipsec starter stopped
Aug  7 03:46:43 - systemd[1]: Stopping strongSwan IPsec IKEv1/IKEv2 daemon using ipsec.conf...
Aug  7 03:46:43 - systemd[1]: strongswan.service: Succeeded.
Aug  7 03:46:43 - systemd[1]: Stopped strongSwan IPsec IKEv1/IKEv2 daemon using ipsec.conf.
Aug  7 03:46:43 - systemd[1]: Started strongSwan IPsec IKEv1/IKEv2 daemon using ipsec.conf.
Aug  7 03:46:43 - ipsec[684]: Starting strongSwan 5.7.2 IPsec [starter]...
Aug  7 03:46:43 - systemd[1]: Stopping LSB: layer 2 tunelling protocol daemon...
Aug  7 03:46:43 - xl2tpd[613]: death_handler: Fatal signal 15 received
Aug  7 03:46:43 - xl2tpd[694]: Stopping xl2tpd: xl2tpd.
Aug  7 03:46:43 - systemd[1]: xl2tpd.service: Succeeded.
Aug  7 03:46:43 - systemd[1]: Stopped LSB: layer 2 tunelling protocol daemon.
Aug  7 03:46:43 - systemd[1]: Starting LSB: layer 2 tunelling protocol daemon...
Aug  7 03:46:43 - charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.7.2, Linux 4.19.0-5-amd64, x86_64)
Aug  7 03:46:43 - xl2tpd[711]: Enabling IPsec SAref processing for L2TP transport mode SAs
Aug  7 03:46:43 - xl2tpd[711]: IPsec SAref does not work with L2TP kernel mode yet, enabling force userspace=yes
Aug  7 03:46:43 - xl2tpd[711]: setsockopt recvref[30]: Protocol not available
Aug  7 03:46:43 - xl2tpd[711]: Not looking for kernel support.
Aug  7 03:46:43 - xl2tpd[703]: Starting xl2tpd: xl2tpd.
Aug  7 03:46:43 - systemd[1]: Started LSB: layer 2 tunelling protocol daemon.
Aug  7 03:46:43 - xl2tpd[712]: xl2tpd version xl2tpd-1.3.12 started on -.info PID:712
Aug  7 03:46:43 - xl2tpd[712]: Written by Mark Spencer, Copyright (C) 1998, Adtran, Inc.
Aug  7 03:46:43 - xl2tpd[712]: Forked by Scott Balmos and David Stipp, (C) 2001
Aug  7 03:46:43 - xl2tpd[712]: Inherited by Jeff McAdams, (C) 2002
Aug  7 03:46:43 - xl2tpd[712]: Forked again by Xelerance (www.xelerance.com) (C) 2006-2016
Aug  7 03:46:43 - xl2tpd[712]: Listening on IP address 0.0.0.0, port 1701
Aug  7 03:46:43 - charon: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Aug  7 03:46:43 - charon: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Aug  7 03:46:43 - charon: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Aug  7 03:46:43 - charon: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Aug  7 03:46:43 - charon: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Aug  7 03:46:43 - charon: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Aug  7 03:46:43 - charon: 00[CFG]   loaded IKE secret for {ip-2}
Aug  7 03:46:43 - charon: 00[LIB] loaded plugins: charon aes rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default connmark stroke updown counters
Aug  7 03:46:43 - charon: 00[LIB] dropped capabilities, running as uid 0, gid 0
Aug  7 03:46:43 - charon: 00[JOB] spawning 16 worker threads
Aug  7 03:46:43 - systemd[1]: Stopping dnsmasq - A lightweight DHCP and caching DNS server...
Aug  7 03:46:43 - ipsec[684]: charon (710) started after 40 ms
Aug  7 03:46:43 - charon: 05[CFG] received stroke: add connection 'vpnserver'
Aug  7 03:46:43 - charon: 05[CFG] added configuration 'vpnserver'
Aug  7 03:46:43 - dnsmasq[649]: exiting on receipt of SIGTERM
Aug  7 03:46:43 - systemd[1]: dnsmasq.service: Succeeded.
Aug  7 03:46:43 - systemd[1]: Stopped dnsmasq - A lightweight DHCP and caching DNS server.
Aug  7 03:46:43 - systemd[1]: Starting dnsmasq - A lightweight DHCP and caching DNS server...
Aug  7 03:46:43 - dnsmasq[740]: dnsmasq: syntax check OK.
Aug  7 03:46:43 - dnsmasq[748]: started, version 2.80 cachesize 150
Aug  7 03:46:43 - dnsmasq[748]: DNS service limited to local subnets
Aug  7 03:46:43 - dnsmasq[748]: compile time options: IPv6 GNU-getopt DBus i18n IDN DHCP DHCPv6 no-Lua TFTP conntrack ipset auth DNSSEC loop-detect inotify dumpfile
Aug  7 03:46:43 - dnsmasq-dhcp[748]: DHCP, static leases only on 10.1.2.3, lease time 1h
Aug  7 03:46:43 - dnsmasq[748]: reading /etc/resolv.conf
Aug  7 03:46:43 - dnsmasq[748]: using nameserver 8.8.8.8#53
Aug  7 03:46:43 - dnsmasq[748]: using nameserver 8.8.4.4#53
Aug  7 03:46:43 - dnsmasq[748]: read /etc/hosts - 5 addresses
Aug  7 03:46:43 - systemd[1]: Started dnsmasq - A lightweight DHCP and caching DNS server.
Aug  7 03:46:55 - charon: 07[NET] received packet: from {ip-client}[15822] to {ip-2}[500] (408 bytes)
Aug  7 03:46:55 - charon: 07[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V ]
Aug  7 03:46:55 - charon: 07[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:01
Aug  7 03:46:55 - charon: 07[IKE] received MS NT5 ISAKMPOAKLEY vendor ID
Aug  7 03:46:55 - charon: 07[IKE] received NAT-T (RFC 3947) vendor ID
Aug  7 03:46:55 - charon: 07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Aug  7 03:46:55 - charon: 07[IKE] received FRAGMENTATION vendor ID
Aug  7 03:46:55 - charon: 07[ENC] received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20
Aug  7 03:46:55 - charon: 07[ENC] received unknown vendor ID: 26:24:4d:38:ed:db:61:b3:17:2a:36:e3:d0:cf:b8:19
Aug  7 03:46:55 - charon: 07[ENC] received unknown vendor ID: e3:a5:96:6a:76:37:9f:e7:07:22:82:31:e5:ce:86:52
Aug  7 03:46:55 - charon: 07[IKE] {ip-client} is initiating a Main Mode IKE_SA
Aug  7 03:46:55 - charon: 07[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384
Aug  7 03:46:55 - charon: 07[ENC] generating ID_PROT response 0 [ SA V V V V ]
Aug  7 03:46:55 - charon: 07[NET] sending packet: from {ip-2}[500] to {ip-client}[15822] (160 bytes)
Aug  7 03:46:55 - charon: 08[NET] received packet: from {ip-client}[15822] to {ip-2}[500] (228 bytes)
Aug  7 03:46:55 - charon: 08[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
Aug  7 03:46:55 - charon: 08[IKE] remote host is behind NAT
Aug  7 03:46:55 - charon: 08[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
Aug  7 03:46:55 - charon: 08[NET] sending packet: from {ip-2}[500] to {ip-client}[15822] (212 bytes)
Aug  7 03:46:55 - charon: 09[NET] received packet: from {ip-client}[15823] to {ip-2}[4500] (76 bytes)
Aug  7 03:46:55 - charon: 09[ENC] parsed ID_PROT request 0 [ ID HASH ]
Aug  7 03:46:55 - charon: 09[CFG] looking for pre-shared key peer configs matching {ip-2}...{ip-client}[192.168.98.25]
Aug  7 03:46:55 - charon: 09[CFG] selected peer config "vpnserver"
Aug  7 03:46:55 - charon: 09[IKE] IKE_SA vpnserver[1] established between {ip-2}[{ip-2}]...{ip-client}[192.168.98.25]
Aug  7 03:46:55 - charon: 09[ENC] generating ID_PROT response 0 [ ID HASH ]
Aug  7 03:46:55 - charon: 09[NET] sending packet: from {ip-2}[4500] to {ip-client}[15823] (76 bytes)
Aug  7 03:46:55 - charon: 11[NET] received packet: from {ip-client}[15823] to {ip-2}[4500] (444 bytes)
Aug  7 03:46:55 - charon: 11[ENC] parsed QUICK_MODE request 1 [ HASH SA No ID ID NAT-OA NAT-OA ]
Aug  7 03:46:55 - charon: 11[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ
Aug  7 03:46:55 - charon: 11[IKE] received 3600s lifetime, configured 0s
Aug  7 03:46:55 - charon: 11[IKE] received 250000000 lifebytes, configured 0
Aug  7 03:46:55 - charon: 11[ENC] generating QUICK_MODE response 1 [ HASH SA No ID ID NAT-OA NAT-OA ]
Aug  7 03:46:55 - charon: 11[NET] sending packet: from {ip-2}[4500] to {ip-client}[15823] (204 bytes)
Aug  7 03:46:55 - charon: 12[NET] received packet: from {ip-client}[15823] to {ip-2}[4500] (60 bytes)
Aug  7 03:46:55 - charon: 12[ENC] parsed QUICK_MODE request 1 [ HASH ]
Aug  7 03:46:55 - charon: 12[IKE] CHILD_SA vpnserver{1} established with SPIs c14bb892_i 06c946b0_o and TS {ip-2}/32[udp/l2f] === {ip-client}/32[udp/l2f]
Aug  7 03:46:56 - xl2tpd[712]: control_finish: Peer requested tunnel 13 twice, ignoring second one.
Aug  7 03:46:58 - xl2tpd[712]: control_finish: Peer requested tunnel 13 twice, ignoring second one.
Aug  7 03:47:02 - xl2tpd[712]: control_finish: Peer requested tunnel 13 twice, ignoring second one.
Aug  7 03:47:10 - xl2tpd[712]: control_finish: Peer requested tunnel 13 twice, ignoring second one.
Aug  7 03:47:20 - xl2tpd[712]: control_finish: Peer requested tunnel 13 twice, ignoring second one.
Aug  7 03:47:26 - xl2tpd[712]: Maximum retries exceeded for tunnel 35573.  Closing.
Aug  7 03:47:26 - xl2tpd[712]: Connection 13 closed to {ip-client}, port 1701 (Timeout)
Aug  7 03:47:30 - charon: 15[NET] received packet: from {ip-client}[15823] to {ip-2}[4500] (76 bytes)
Aug  7 03:47:30 - charon: 15[ENC] parsed INFORMATIONAL_V1 request 3378750910 [ HASH D ]
Aug  7 03:47:30 - charon: 15[IKE] received DELETE for ESP CHILD_SA with SPI 06c946b0
Aug  7 03:47:30 - charon: 15[IKE] closing CHILD_SA vpnserver{1} with SPIs c14bb892_i (648 bytes) 06c946b0_o (0 bytes) and TS {ip-2}/32[udp/l2f] === {ip-client}/32[udp/l2f]
Aug  7 03:47:30 - charon: 16[NET] received packet: from {ip-client}[15823] to {ip-2}[4500] (92 bytes)
Aug  7 03:47:30 - ipsec[684]: 00[DMN] Starting IKE charon daemon (strongSwan 5.7.2, Linux 4.19.0-5-amd64, x86_64)
Aug  7 03:47:30 - ipsec[684]: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Aug  7 03:47:30 - ipsec[684]: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Aug  7 03:47:30 - ipsec[684]: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Aug  7 03:47:30 - ipsec[684]: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Aug  7 03:47:30 - ipsec[684]: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Aug  7 03:47:30 - ipsec[684]: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Aug  7 03:47:30 - ipsec[684]: 00[CFG]   loaded IKE secret for {ip-2}
Aug  7 03:47:30 - ipsec[684]: 00[LIB] loaded plugins: charon aes rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default connmark stroke updown counters
Aug  7 03:47:30 - ipsec[684]: 00[LIB] dropped capabilities, running as uid 0, gid 0
Aug  7 03:47:30 - ipsec[684]: 00[JOB] spawning 16 worker threads
Aug  7 03:47:30 - ipsec[684]: 05[CFG] received stroke: add connection 'vpnserver'
Aug  7 03:47:30 - ipsec[684]: 05[CFG] added configuration 'vpnserver'
Aug  7 03:47:30 - ipsec[684]: 07[NET] received packet: from {ip-client}[15822] to {ip-2}[500] (408 bytes)
Aug  7 03:47:30 - ipsec[684]: 07[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V ]
Aug  7 03:47:30 - ipsec[684]: 07[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:01
Aug  7 03:47:30 - ipsec[684]: 07[IKE] received MS NT5 ISAKMPOAKLEY vendor ID
Aug  7 03:47:30 - ipsec[684]: 07[IKE] received NAT-T (RFC 3947) vendor ID
Aug  7 03:47:30 - ipsec[684]: 07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Aug  7 03:47:30 - ipsec[684]: 07[IKE] received FRAGMENTATION vendor ID
Aug  7 03:47:30 - ipsec[684]: 07[ENC] received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20
Aug  7 03:47:30 - ipsec[684]: 07[ENC] received unknown vendor ID: 26:24:4d:38:ed:db:61:b3:17:2a:36:e3:d0:cf:b8:19
Aug  7 03:47:30 - ipsec[684]: 07[ENC] received unknown vendor ID: e3:a5:96:6a:76:37:9f:e7:07:22:82:31:e5:ce:86:52
Aug  7 03:47:30 - ipsec[684]: 07[IKE] {ip-client} is initiating a Main Mode IKE_SA
Aug  7 03:47:30 - ipsec[684]: 07[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384
Aug  7 03:47:30 - ipsec[684]: 07[ENC] generating ID_PROT response 0 [ SA V V V V ]
Aug  7 03:47:30 - ipsec[684]: 07[NET] sending packet: from {ip-2}[500] to {ip-client}[15822] (160 bytes)
Aug  7 03:47:30 - ipsec[684]: 08[NET] received packet: from {ip-client}[15822] to {ip-2}[500] (228 bytes)
Aug  7 03:47:30 - ipsec[684]: 08[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
Aug  7 03:47:30 - charon: 16[ENC] parsed INFORMATIONAL_V1 request 1455205357 [ HASH D ]
Aug  7 03:47:30 - ipsec[684]: 08[IKE] remote host is behind NAT
Aug  7 03:47:30 - ipsec[684]: 08[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
Aug  7 03:47:30 - ipsec[684]: 08[NET] sending packet: from {ip-2}[500] to {ip-client}[15822] (212 bytes)
Aug  7 03:47:30 - ipsec[684]: 09[NET] received packet: from {ip-client}[15823] to {ip-2}[4500] (76 bytes)
Aug  7 03:47:30 - ipsec[684]: 09[ENC] parsed ID_PROT request 0 [ ID HASH ]
Aug  7 03:47:30 - ipsec[684]: 09[CFG] looking for pre-shared key peer configs matching {ip-2}...{ip-client}[192.168.98.25]
Aug  7 03:47:30 - ipsec[684]: 09[CFG] selected peer config "vpnserver"
Aug  7 03:47:30 - ipsec[684]: 09[IKE] IKE_SA vpnserver[1] established between {ip-2}[{ip-2}]...{ip-client}[192.168.98.25]
Aug  7 03:47:30 - ipsec[684]: 09[ENC] generating ID_PROT response 0 [ ID HASH ]
Aug  7 03:47:30 - ipsec[684]: 09[NET] sending packet: from {ip-2}[4500] to {ip-client}[15823] (76 bytes)
Aug  7 03:47:30 - ipsec[684]: 11[NET] received packet: from {ip-client}[15823] to {ip-2}[4500] (444 bytes)
Aug  7 03:47:30 - ipsec[684]: 11[ENC] parsed QUICK_MODE request 1 [ HASH SA No ID ID NAT-OA NAT-OA ]
Aug  7 03:47:30 - ipsec[684]: 11[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ
Aug  7 03:47:30 - ipsec[684]: 11[IKE] received 3600s lifetime, configured 0s
Aug  7 03:47:30 - ipsec[684]: 11[IKE] received 250000000 lifebytes, configured 0
Aug  7 03:47:30 - ipsec[684]: 11[ENC] generating QUICK_MODE response 1 [ HASH SA No ID ID NAT-OA NAT-OA ]
Aug  7 03:47:30 - ipsec[684]: 11[NET] sending packet: from {ip-2}[4500] to {ip-client}[15823] (204 bytes)
Aug  7 03:47:30 - ipsec[684]: 12[NET] received packet: from {ip-client}[15823] to {ip-2}[4500] (60 bytes)
Aug  7 03:47:30 - ipsec[684]: 12[ENC] parsed QUICK_MODE request 1 [ HASH ]
Aug  7 03:47:30 - ipsec[684]: 12[IKE] CHILD_SA vpnserver{1} established with SPIs c14bb892_i 06c946b0_o and TS {ip-2}/32[udp/l2f] === {ip-client}/32[udp/l2f]
Aug  7 03:47:30 - ipsec[684]: 15[NET] received packet: from {ip-client}[15823] to {ip-2}[4500] (76 bytes)
Aug  7 03:47:30 - ipsec[684]: 15[ENC] parsed INFORMATIONAL_V1 request 3378750910 [ HASH D ]
Aug  7 03:47:30 - ipsec[684]: 15[IKE] received DELETE for ESP CHILD_SA with SPI 06c946b0
Aug  7 03:47:30 - ipsec[684]: 15[IKE] closing CHILD_SA vpnserver{1} with SPIs c14bb892_i (648 bytes) 06c946b0_o (0 bytes) and TS {ip-2}/32[udp/l2f] === {ip-client}/32[udp/l2f]
Aug  7 03:47:30 - ipsec[684]: 16[NET] received packet: from {ip-client}[15823] to {ip-2}[4500] (92 bytes)
Aug  7 03:47:30 - ipsec[684]: 16[ENC] parsed INFORMATIONAL_V1 request 1455205357 [ HASH D ]
Aug  7 03:47:30 - ipsec[684]: 16[IKE] received DELETE for IKE_SA vpnserver[1]
Aug  7 03:47:30 - charon: 16[IKE] received DELETE for IKE_SA vpnserver[1]
Aug  7 03:47:30 - charon: 16[IKE] deleting IKE_SA vpnserver[1] between {ip-2}[{ip-2}]...{ip-client}[192.168.98.25]
Aug  7 03:47:57 - xl2tpd[712]: Unable to deliver closing message for tunnel 35573. Destroying anyway.
Aug  7 03:48:20 - systemd[1]: Started Session 3 of user root.

Пробовал подключение через двух разных провайдеров - результат идентичный => вряд ли провайдер блокирует что-то.

С этим конфигом всё работало на debian 9 Результат стал таким при применении обозначенных конфигов на debian 10. А может чего-то перепутано... :)

Хелп плз :)

Продаю спорт.добавки на сайте, нужна норм "абуза". Порекомендуйте.

#!/bin/sh
# EN: Free for non-commercial use. Commersoal users must resive wriren permission of the author.
# RU: Свободна для некоммерческого использования. Коммерсанты должны получить письменное согласие автора.
crt_dir='/etc/ssl/certs'
out_dir=~
out_file="${out_dir}/my_ssl_certs.list"
out_list="${out_dir}/fingerprint.list"
rm -f "${out_file}" "${out_list}"
touch "${out_list}"
for c in `ls "${crt_dir}"`
  do
    #list=`openssl x509 -sha1 -modulus -noout -inform PEM -in "${crt_dir}/${c}"`
    list=`openssl x509 -sha1 -fingerprint -noout -inform PEM -in "${crt_dir}/${c}"`
    if [[ `grep "${list}" "${out_list}"` == '' ]]
      then
        echo "${list}" >> "${out_list}"
        echo "${crt_dir}/${c}" >> "${out_file}"
        openssl x509 -sha1 -subject -issuer -email -fingerprint -ocspid -ocsp_uri -serial -hash -modulus -alias -startdate -enddate -dates -purpose -pubkey -inform PEM -in "${crt_dir}/${c}" >> "${out_file}"
        echo '
' >> "${out_file}"
    fi
  done
sort "${out_list}" |awk -F'=' '{print $2}' >"${out_list}_"
mv "${out_list}_" "${out_list}"
exit 0

Скрипт создает два файла в домашнем каталоге пользователя: my_ssl_certs.list и fingerprint.list

Эти файлы в теории должны быть одинаковы у всех пользователей сети Интернет во всем мире.

Расхождение определяем утелитой 'diff'.

В этом случае лучше меньше чем больше!

Расхождения возможны в следующих случаях:

1. Включение сертификатов фирм с пониженной социальной ответственностью: CAcert Inc. Я бы удалил..

2. Включение сертификатов социально безответственность фирм: Startcom, Wosign. Этих надо удалять!

3. ОДИН сертификат вашего антивирусника которому необходимо сделать MitM для сканирования на вирусы всего сетевого трафика включая HTTPS. Этот сертификат необходим, он должен создавался антивирусным ПО на вашем компе при настройке или на антивирусное шлюзе. Берегите секретный ключ этого сертификата! Сертификат может быть вообще единственный это нормально, тогда в скрипте надо указать каталог откуда берёт сертификаты антивирусных шлюз.

4. Остальные это вирусные для MitM. Удалять!

Доброго времени суток уважаемые!!
Возник один вопрос по IPSEC. У нас есть ресурс на внешнем ip адресе а клиент хочет к нему подключится через ipsec туннель и вот возник вопрос возможно ли такое осуществить если да то какими методами.
если инфы мало напишите я по мере возможности предоставлю инфу.
Заранее спасибо!!

Всем привет, форумчане. Вообщем есть правила:
-P INPUT DROP
-A INPUT -i -lo -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -p udp -m multiport --dports 27015:27020 -m state --state NEW -m hashlimit --hashlimit-upto 104/sec --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name CSS -j ACCEPT

Использую такой метод защиты от DoS атак UDP протокола.
Приложение передает не более 104 пакета в секунду.
По сути защита не должна пускать тех, кто превышает 104 пакета.
Когда я атакую свой выделенный сервер, оно так и происходит...
Например я посылаю 150 000 пакетов...
Но через некоторое время почему-то я попадаю в состояние ESTABLISHED и большое количество пакетов попадает в приложение. Возможно я что-то напутал в правилах?
И если я попадаю в ESTABLISHED, есть возможность отфильтровать пакеты? Спасибо.

Как реализовать ?

С осени ищу мануалы, везде спрашиваю - в ответ тишина :(

ДВС.
Есть планшет, хожу с него али. Только через wifi - т.е. канал в мир контролируется мною.
Захотелось свой мониторинг цен на нужные мне продукты.
В тырнетах нашёл как и откуда брать данные: curl 'https://m.ru.aliexpress.com/ajaxapi/product/ajaxDetail.do?pr...' -H 'referer: https://m.ru.aliexpress.com/'
Судя по этому - протокол обычный https.
Хочется расковырять механизм - где там по каким путям что лежит, но.. https. Прокси в приложении не настраивается (или не нашёл).
Не подскажите, как бы подсмотреть, по каким ссылкам гуляет приложение?

Веб сервер(сервера) спрятан за nginx который перенаправляет запросы, в зависимости от домена на разные веб сервера. Захотелось за-https-ситься.
Куда надо привинчивать сертификат ? На nginx ? Или можно на сам сервер с Индейцем ?

ДОбрый день!
В шифровании практический полный "0", потому хочу задать, как я думаю, достаточно простой вопрос :)

Как расшифровать радел :))

Дано:
ОС Debian

Раздел  /dev/sda4 является шифрованным, на котором настроен LVM.

Шифровался раздел с помощью ключа secret.key (ключ есть, пароль к ключу также есть):

cat /secret.key | cryptsetup --cipher aes-cbc-essiv:sha256 --key-file=-
--key-size=256 create lvm /dev/sda4

Далее вопрос достаточно простой, как мне с помощью ключа расшифровать и смонтировать этот раздел.

Гугл не помог, т.к. в основном натыкаюсь на LUKS.

-P INPUT DROP
-P OUTPUT DROP
-P FORWARD DROP

-N LOGGING
-A INPUT -j LOGGING
-A OUTPUT -j LOGGING
-A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
-A LOGGING -j DROP

-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

Все локальные пакеты отбрасываются.
Почему так происходит?

Сейчас можно получить ЭЦП  для госуслуг и прочих вещей. Недорого. 1000 рублей.
Ознакомился с процедурой получения и у меня возникли вопросы:
1. Как я понял российские ГОСТ на эту тему являются просто узакониванием западных имеющихся алгоритмов?
2. Почему при получении ЭЦП закрытый ключ генерируется на стороне выдающей организации, а не мной, с дальнейшей передачей CSR запроса на получение сертификата?
3. Есть ли гарантии, что закрытый ключ после выдачи мне флешки с ним и сертификатом у выдающей стороны будет уничтожен? Иначе кто знает, что им можно потом наподписывать.

Есть интерфейс eth0 c двумя ip 10.0.0.1 и 10.0.0.2, и интерфейс eth1 который смотрит внутрь локальной сети.
В локалке есть сервер 192.168.1.50
Выход из локалки настроен через 10.0.0.1 с маскарадингом.
Какими правилами можно задать переброс порта при обращение по 10.0.0.2:25 на 192.168.1.50:2500

был бы один ip на eth0, то прописал бы
iptables –t NAT –A PREROUTING –i eth0 –p tcp –dport 25 –j DNAT –-to 192.168.1.50:2500
iptables –A FORWARD –i eth0 –p tcp –dport 25 –d 192.168.1.50 –j ACCEPT

как быть с двумя ip не соображу

При динамическом добавлении очередного нового правила из командной строки вида
ipfw add allow ip from 192.168.5.7 to any keep-state
Получаю подтверждение:
00000 allow ip from 192.168.5.7 to any keep-state :default

НО
Если потом ввести ipfw show - правило показывает последний номер например:
44600         0            0 allow ip from 192.168.5.7 to any keep-state :default
И это только с динамическими правилами.

Вопрос:
00000 allow ip from 192.168.5.7 to any keep-state :default
Что это за :default в конце ?
Почему в подтверждении я вижу 00000 ? Что это означает?
Раньше так не было.

Схема такая:

WAN(eth0) + ppp server (ipsec+xl2tp) ( 192.168.42.1) -> ppp client ( 192.168.42.10)

На 192.168.42.10 висит открытый порт (5554)  нужно сделать так чтобы он был доступен на внешнем ip. Но почему-то это не работает. В чем ошибка ?

*filter
:INPUT ACCEPT [207:14108]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1268:287059]
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol none -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -i eth0 -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp+ -o eth0 -j ACCEPT
-A FORWARD -s 192.168.42.0/24 -d 192.168.42.0/24 -i ppp+ -o ppp+ -j ACCEPT
-A FORWARD -j DROP
COMMIT
*nat
:PREROUTING ACCEPT [185:11544]
:INPUT ACCEPT [82:4649]
:OUTPUT ACCEPT [4:290]
:POSTROUTING ACCEPT [6:406]
-A PREROUTING -d 195.xxx.xxx.xxx/32 -p tcp -m tcp --dport 5554 -j DNAT --to-destination 192.168.42.10:5554
-A POSTROUTING -s 192.168.42.0/24 -o eth0 -j MASQUERADE
COMMIT

Здравствуйте. Давно не брал я в руки шашек, т.е. давненько не трогал настройки своего сервера FreeBSD. Встала задача закрыть любой доступ к имеющемуся серверу со всех сетей, кроме пары, принадлежащих моему предприятию. Сетевой интерфейс один. Сети две, разделённые аппаратным маршрутизатором. В своё время главк поставил свой маршрутизатор, разделяющий нашу сеть с сетью системы, откуда ещё выше происходит выход в Internet, забрали часть сервисов на себя. С тех пор в rc.conf прописаны строки:

# FireWall
firewall_enable="YES"
firewall_script="/etc/rc.firewall" # Which script to run to set up the firewall
firewall_type="OPEN"            # Firewall type (see /etc/rc.firewall)
firewall_quiet="NO"             # Set to YES to suppress rule display

Путь до файла правил естественно исправлю. Тип "OPEN" уберу. Пока добавляю правила на лету. Внёс следующие правила:
01000 allow ip from x.x.x.x/a to me
01100 allow ip from y.y.y.y/b to me
Но при задании правила
10000 deny ip from any to me
Заблокировал доступ к серверу вообще. Пришлось с консоли снимать это правило. Что я забыл, неправильно понял и сделал не так?

Здравствуйте.
Подскажите пожалуйста правил на ipfw
в ситуации:
есть 2 интерфейса freebsd (лан-ван)
мне надо завернуть все исходящие в мир из внутренней сети и приходящие на ЛАН freebsd все пакеты которые идут на ip в мире x.x.x.x port x
на внутренний локальный Ip шник y.y.y.y port x, котрый находится на другой машине
Спасибо

Добрый день.
Во время запуска сервера linux, ferm не стартует
Starting Firewall: fermiptables-restore: host/network `mail.ru` not found

Строка из конфигурации
saddr 192.168.0.12 proto (udp tcp) daddr (mail.ru) dport (443) ACCEPT;
Если ее закоментировать, или mail.ru сменить на ip-адрес, то ferm загрузится.

Если после перезагрузки сервера запустить вручную Ferm, то firewall запустится.

Что можно сделать?
Еще смущает, даже если сервер 10 раз корректно запустится, а потом опять dns не увидит. И без firewall останусь временно.

Добрый день уважаемые форумчане.
Есть сервер ОС Дебиан 8 и на наем настроен ssh доступ. Хочу чтоб каждая веденная команда пользователя логировалось. В файле .bachrc прописано shopt -s histappend чтоб все виденные команды сразу же прописывались в файле bash_history пользователя. Когда захожу через putty все веденные мои команды логируются в файле bash_history.
Но когда захожу через скрип и выполняю команду то моя команда не логируется в файле bash_history, но мой вход в систему логируется в файле /var/log/auth.log
Например вот лог того что я заходил с помощью скрипта по ssh на сервер
Jul 19 15:11:09 deb sshd[9219]: Accepted password for manager from 192.168.0.49 port 55750 ssh2
Jul 19 15:11:09 deb sshd[9219]: pam_unix(sshd:session): session opened for user lion by (uid=0)
Jul 19 15:11:09 deb systemd-logind[802]: New session 3371 of user lion.
Jul 19 15:11:09 deb systemd: pam_unix(systemd-user:session): session opened for user lion by (uid=0)
Jul 19 15:11:09 deb sshd[9219]: pam_unix(sshd:session): session closed for user lion
Jul 19 15:11:09 deb systemd-logind[802]: Removed session 3371.
Jul 19 15:11:09 deb systemd: pam_unix(systemd-user:session): session closed for user lion

после входа систему выполнил команду например dir и сразу вышел, а в bash_history виденная моя команда не прописалось.
Где нужно настроить чтоб виденные команды запивались в файл?

Здравствуйте.

Подскажите, пожалуйста, не могу разобраться. Есть Debian 8, установлен pptpd, белый внешний адрес. Внутренняя сеть формата 192.168.1.х, после подключения с windows-клиента извне, получаемый remoteip вида 192.168.3.х, видны и доступны все компьютеры сети, кроме, например 192.168.1.111. Причем, если по rdp подключиться к компьютеру, например, 192.168.1.222, то с него можно по rdp зайти на 192.168.1.111, а сразу после подключения по vpn - нет. В чем может быть проблема, всю голову сломал.

С уважением, Константин, заранее спасибо за ответ.

Хотел бы выслушать ваши мнения и советы по действиям при такой моделе угрозы:

Условия.
Враждебность провайдера. Кроме MITM он может атаковать клиента для получения доступа к системе. Это обязательное условие.
Врагу известен предполагаемый список форумов, чатов и т.п. где может быть жертва. Часть этих мест может администрироваться врагом. Полный отказ от них запрещен условиями.
Враг имеет базу старых сообщений жертвы и составлена модель для стилометрической идентификации авторства.
Враг имеет весь спектр средств нападения вместе с неизвестными широкой публике zerodays.

Меры защиты.
Запрещение любого не related входящего траффика в iptables.
Тор для серфинга.
Отключение скриптов на сайтах.
Песочница для тора и браузера.

Задачи.
Не допустить постороннего доступа к системе.
Не допустить привязку новых учеток и сообщений к личности автора.

Какие еще методы и инструменты защиты вы стали бы использовать? Anonymouth для противодействия стилометрии мне известен.

Дано: Случайные (норм. распред.) байты в ASCII диапазоне (0b00000000 - 0b11111111)

Например.

0b01011001
0b11111010
0b10001001
...

Найти:  Одно число (и операцию) при которых инверсия начальных битов будет максимальна.

x AND y ~= NOT x;

0b01011001 ->  0b10100110
0b11111010 ->  0b00000101
0b10001001 ->  0b01110110
...

  
Добрый день настроил точку доступа микротик для доступа к wi-fi. На точке работает 2 сети, основная, для офиса и гостевая -виртуальная. Для гостевой настроен vlan 20, точка соединена с сетью единственным кабелем.
  Основная сеть 192.168.31.0/24 и гостевая 192.168.32.0/24.
  Шлюз на freebsd11. re0-$Lan и re1-$Inet. Для vlan поднял интерфейс re0.20-$Vlan, поднял DHCP и сделал привязку к интерфейсу $Vlan.
  Теперь вопрос, каким правилом можно запретить трафик между $Lan и $Vlan. На текущий момент хосты друг друга без проблем видят.
  Умолчальное правило для IPFW allow ane from any via $Lan