Задать вопрос

krosh

Ответы пользователя по тегу Компьютерные сети

  • Как настроить маршрутизацию между клиентами vpn сервера?

    @krosh
    l2tp/ipsec - это протоколы, не версия сервиса. Скорей всего вы используете StrongSwan. Переходите на IKEv2, уже все правильные ребята так давно сделали, это проще в поддержке чем l2tp.

    Вам нужно добавить два статических маршрута на дебиан сервере и на микротике.

    Дебиан: ip route add 172.30.0.0/24 via eth0
    Микротик: ip route add 192.168.42.0/24 via eth0

    Команды написаны условно. eth0 - вирт. адаптер впн-подключения. Не забудьте разрешить форвард-трафик на обех роутерах, чтобы трафик до подсети проходил. В инет трафик будет идти по дефолтовому маршруту, а в прописанную подсеть через интерфейс впн-подключения.
    Ответ написан
    Комментировать
    Комментировать

  • Не работает интернет по сети?

    @krosh
    Обновите драйвер сетевой карты либо с прилагаемого диска, либо с сайта производителя. Перезагрузите комп, проверьте.
    Ответ написан
    Комментировать
    Комментировать

  • Почему не видит внешний ip адрес пользователя?

    @krosh
    Это нормально, так NAT (Network Address Translation, сетевая трансляция адресов) и работает - подменяет в заголовках пакета один адрес на другой, поэтому у Вас и получается проброс портов и сокрытие внутренней сети от внешнего наблюдателя.

    Вы будете видеть правильные удаленные адреса в случае с маршрутизируемой сетью, т.е. когда не будет NAT, а будет просто проброс трафика с одного интерфейса на другой. Ну или прокси-сервер ставить. Еще есть варинат с VPN-сервером, но тогда каждому клиенту нужно будет ставить vpn-клиента и все будут в одной виртуальной подсети, но все же на конечном сервере Вы будете видеть серые адреса, хотя на VPN-сервере сможете соотнести белый-серый. Наверное других способов тут нет.

    Правила в INPUT не работают, можете их убрать. И рекомендуется MASQUERADE менять на SNAT, если внешний адрес постоянный.
    Ответ написан
    Комментировать
    Комментировать

  • Почему при SYN-сканировании портов отсутствует RST?

    @krosh
    Потому что так работает nmap. RST не отправляется специально:

    Эту технику часто называют сканированием с использованием полуотрытых соединений, т.к. вы не открываете полного TCP соединения. Вы посылаете SYN пакет, как если бы вы хотели установить реальное соединение и ждете. Ответы SYN/ACK указывают на то, что порт прослушивается (открыт), а RST (сброс) на то, что не прослушивается. Если после нескольких запросов не приходит никакого ответа, то порт помечается как фильтруемый. Порт также помечается как фильтруемый, если в ответ приходит ICMP сообщение об ошибке недостижимости (тип 3, код 1,2, 3, 9, 10 или 13).


    https://nmap.org/man/ru/man-port-scanning-techniqu...

    Если запускать nmap с правами обычного пользователя, у него не будет доступа к сети в обход ОС и тогда сканирование пойдет CONNECT-методом. Это дольше по времени, заметнее на целевой системе и вот тогда RST-пакет отправляется.
    Ответ написан
    4 комментария
    4 комментария

  • Как настроить bridge между Ububntu и LXC?

    @krosh
    Предположим, что у Вас есть внутренняя сеть для контейнеров 192.168.0.0.24 через lxcbr0 и она настроена (между хостом и контейнерами ходят пинги). 

    iptables -t nat -A PREROUTING -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.0.10:22
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -o eno1 -j SNAT --to-source 11.22.33.44
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT


    11.22.33.44 - внешний адрес хоста.
    Ответ написан
    Комментировать
    Комментировать

  • Как правильно настроить iptables с ipset?

    @krosh 
    iptables -I FORWARD 1 -m state --state RELATED,ESTABLISHED -m comment --comment "РАЗРЕШЕНО Установленные соединения" -j ACCEPT
iptables -I FORWARD 2 -s 192.168.1.35 -m set --match-set MYSET dst -m comment --comment "РАЗРЕШЕНО Доступ по списку MYSET" -j ACCEPT
iptables -P FORWARD DROP
    Ответ написан
    Комментировать
    Комментировать

  • Нужно ли уведомлять РКН, если в политике обработки персональных данных изменилась одна строка?

    @krosh
    Нет, насколько я слышал.
    Но лучше спросить у знающих ребят: https://p-d-n.ru/
    Они и обосновать смогут.
    Ответ написан
    Комментировать
    Комментировать

  • Как закрыть доступ по IP для grafana?

    @krosh
    iptables -A INPUT -m tcp -p tcp --dport 3000 -j DROP

    а лучше так
    iptables  -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p icmp -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
    iptables -P INPUT DROP
    Ответ написан
    2 комментария
    2 комментария

  • Iptables или UFW | Настройка OpenVPN Server?

    @krosh
    Ключевые слова для поиска: "шлюз iptables".

    Опция для проброса трафика через хост:
    echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
    sysctl -p

    Для выхода в интернет используем SNAT вместо маскарадинга (но это если у Вас статический внешний IPv4):
    iptables -t nat -A POSTROUTING -o eth0 -s 10.8.0.0/24 -j SNAT --to-source 211.233.44.5

    Предварительно, при этом предполагаем, что других правил нет, т.к. эти должны идти первыми:
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p icmp -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT
    iptables -А FORWARD -s 10.8.0.0/24 -j ACCEPT
    iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

    Разрешаем 1194/udp, SSH:
    iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
    iptables -I INPUT -p udp -m udp --dport 1194 -j ACCEPT

    Блокируем все остальное:
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    Ответ написан
    1 комментарий
    1 комментарий

  • Что за ошибка nmap "rttvar has grown to over 2.3 seconds decreasing to 2.0"?

    @krosh
    RTT = round trip time, значение промежутка времени, в течении которого будет ожидаться ответ на запрос, перед тем как прекратить попытки или совершить еще одну. Вычисляется для каждого хоста (и группы хостов) отдельно.

    Посмотрите в лог:
    nmap -d2 -vv -p8000 -iL ip_part2.txt -oG res_part2.txt --host-timeout 500 > tmpnmap1.log


    Ошибка появляется постоянно или иногда? Возможно это из-за перебоев в доставке.
    Еще можно посмотреть с опцией -T1 будет ошибка или нет?
    Ответ написан
    6 комментариев
    6 комментариев

  • Неопознаная сеть у домен-контроллера в VirtualBox, как исправить?

    @krosh
    Либо DNS поднимается поздно, либо не прописан адрес шлюза, а без него автоматически сеть определяется как публичная.
    Ответ написан
    Комментировать
    Комментировать