Ответы пользователя по тегу Linux
  • Замена в iptables?

    @krosh
    iptables-save > tmp.save
    sed -i 's/AAA(рандомное число)AAA/AAAA(нужное число)AAA/g' tmp.save
    iptables-restore < tmp.save
    Ответ написан
    4 комментария
  • [Криптопро] Как проверить подпись на сервере?

    @krosh
    У вас нет критерия поиска сертификата.
    Попробуйте:
    cryptcp -dn test -nochain -vsignf -mroot test.txt
    Ответ написан
  • Правила IPTABLES в качестве прокси сервера?

    @krosh
    1. DNAT iptables, как написали выше. И про обратные правила SNAT и в FORWARD не забудьте.

    2. haproxy в целом, может работать так, как вам нужно хотя и не предназначена для этого. Настройка простая, попробуйте.
    Ответ написан
    Комментировать
  • Как запретить форвардинг между двумя интерфейсами на одной машине?

    @krosh
    Запрет трафика с одного на другой интерфейс:
    iptables -A FORWARD -o tun0 -i tun2 -j REJECT

    Если надо запретить клиенту идти на другой впн-сервер:
    iptables -A FORWARD -s 10.10.0.0/24 -i tun2 -j REJECT


    Или просто отключите форвардинг на сервере:
    sysctl -w net.ipv4.ip_forward=0или в /etc/sysctl.conf
    Ответ написан
  • Вывод результата работы сервиса Linux?

    @krosh
    journalctl -f -u myscript

    Если предположить, что Вы использовали возможности systemd.

    Либо перенаправление > логов в файл и команда tail -f
    Ответ написан
    2 комментария
  • Как завернуть dns трафик в vpn?

    @krosh
    У iptables есть действие REDIRECT, но оно работает только локально. Других способов изменить трафик у него нет, это маршрутизация и Вам нужно изучить работу iproute2.

    Можно попробовать SNAT применять к трафику 53/udp, чтобы далее пакеты шли уже по новому маршруту. Но тут надо тестировать, может и не сработает.

    Простой вариант: заблокировать проходящий трафик в цепочке FORWARD 53/udp, 53/tcp и поставить локально что-то вроде dnsmasq, и все запросы локальной сети им обрабатывать, а его настроить на работу через vpn.

    Чтобы трафик до DNS-сервера с роутера шел через нужный интерфейс, нужно либо прописать статический маршрут, либо пользоваться source policy routing.

    Но статический маршрут должен хорошо в вашем случае работать. Например так:
    ip route add 8.8.8.8 dev tun+

    Логично предположить, что если клиенты локальной сети пользуются одним известным DNS-сервером и не будут его сами менять, то статический маршрут на роутере решит Вашу проблему.
    Ответ написан
    Комментировать
  • Как организовать направление трафика с 3proxy в OpenVPN в машине за роутером?

    @krosh
    Добавьте/поправьте в 3proxy,cfg:
    proxy -n -a -p3128 -i192.168.1.2 -e10.0.0.1

    Ну и проверьте, чтобы был доступ на порт 3128 из сети 192.168.1.0 и процессы сервера имели доступ в впн-сеть 10.0.0.0.

    ip_forward вернуть на место, прокси его не использует. Трафик между интерфейсами заблокировать (если надо).
    Ответ написан
    1 комментарий
  • Как настроить iptables на vds с виртуализацией openvz?

    @krosh
    Во-первых, о каком дистрибутиве идет речь? Возможно у Вас firewalld вместо iptables, вот и не получается работать. Задавая вопросы такого типа нужно показывать, что у Вас во всех таблицах и цепочках:
    iptables-save

    Во-вторых, это логично, что в OpenVZ-контейнерах что-то не работает, т.к. используются возможности хостового ядра, а нужны Вам модуль туда не подгружен, а Вы на это не имеете прав. Если не нравится, то нужно переходить или к другому хостеру, или на KVM.

    Просто проверяйте в следующих раз так:
    lsmod |grep nf_conntrack

    В-третьих, судя по приведенной ссылке на форум хостера, у Вас ничего не получится - такая политика.

    Поэтому придется фильтровать по принципу "разрешено все, что не запрещено":
    iptables -A INPUT -p tcp -m tcp -s X.X.X.X --dport 3306 -j ACCEPT
    iptables -A INPUT -p tcp -m tcp --dport 3306 -j DROP


    Понять, что блокировать можно так:
    netstat -lntpu
    либо nmap с другого хоста.

    Ставьте в правилах только блокировки на конкретные сервисы и не переживайте за остальное.
    Ответ написан
    Комментировать
  • Как установить Debian 9 Stretch на программный RAID1 (не ставится GRUB)?

    @krosh
    grub-install /dev/sd{o,m,n}

    Не забудьте в RAID1 GRUB поставить в MBR на все три диска.
    Ответ написан
    Комментировать
  • Как узнать все активно использующийся UDP порты зная только IP адрес?

    @krosh
    nmap -sU -sV -p- 192.168.1.1
    nmap -sU -sV -p 27015-27500 192.168.1.1

    man nmap

    -sU (Различные типы UDP сканирования)
    В то время как большинство сервисов Интернета используют TCP протокол, UDP службы также широко распространены. Тремя наиболее популярными являются DNS, SNMP и DHCP (используют порты 53, 161/162 и 67/68). Т.к. UDP сканирование в общем случае медленнее и сложнее TCP, то многие специалисты по безопасности игнорируют эти порты. Это является ошибкой, т.к. существуют UDP службы, которые используются атакующими. К счастью, Nmap позволяет инвентаризировать UDP порты.

    UDP сканирование запускается опцией -sU. Оно может быть скомбинировано с каким-либо типом TCP сканирования, например SYN сканирование (-sS), чтобы использовать оба протокола за один проход.

    UDP сканирование работает путем посылки пустого (без данных) UDP заголовка на каждый целевой порт. Если в ответ приходит ICMP ошибка о недостижимости порта (тип 3, код 3), значит порт закрыт. Другие ICMP ошибки недостижимости (тип 3, коды 1, 2, 9, 10 или 13) указывают на то, что порт фильтруется. Иногда, служба будет отвечать UDP пакетом, указывая на то, что порт открыт. Если после нескольких попыток не было получено никакого ответа, то порт классифицируется как открыт|фильтруется. Это означает, что порт может быть открыт, или, возможно, пакетный фильтр блокирует его. Функция определения версии (-sV) может быть полезна для дифференциации действительно открытых портов и фильтруемых.

    Большой проблемой при UDP сканировании является его медленная скорость работы. Открытые и фильтруемые порты редко посылают какие-либо ответы, заставляя Nmap отправлять повторные запросы, на случай если пакеты были утеряны. Закрытые порты часто оказываются еще большей проблемой. Обычно они в ответ возвращают ICMP ошибку о недостижимости порта. Но в отличии от RST пакетов отсылаемых закрытыми TCP портами в ответ на SYN или сканирование с установкой соединения, многие хосты ограничивают лимит ICMP сообщений о недостижимости порта по умолчанию. Linux и Solaris особенно строги в этом плане. Например, ядро Linux 2.4.20 огранивает количество таких сообщений до одного в секунду (в net/ipv4/icmp.c).

    Nmap обнаруживает такого рода ограничения и соответственно сокращает количество запросов, чтобы не забивать сеть бесполезными пакетами, которые все равно будут отброшены целевой машиной. К сожалению, при ограничении в стиле Linux (один пакет в секунду) сканирование 65,536 портов займет более 18 часов. К способам увеличения скорости UDP сканирования относятся: параллельное сканирование нескольких хостов, сканирование в первую очередь только наиболее популярных портов, сканирование из-за брандмауэра и использование --host-timeout дял пропуска медленных хостов.

    https://nmap.org/man/ru/man-port-specification.html
    Ответ написан
    Комментировать
  • Как правильно настроить iptables с ipset?

    @krosh
    iptables -I FORWARD 1 -m state --state RELATED,ESTABLISHED -m comment --comment "РАЗРЕШЕНО Установленные соединения" -j ACCEPT
    iptables -I FORWARD 2 -s 192.168.1.35 -m set --match-set MYSET dst -m comment --comment "РАЗРЕШЕНО Доступ по списку MYSET" -j ACCEPT
    iptables -P FORWARD DROP
    Ответ написан
    Комментировать
  • Как в iptables открыть порт только для частной сети?

    @krosh
    Странно, но правила выглядят рабочими. Может что-то не так на стороне клиента?

    Вместо iptables -A INPUT -j DROP
    используйте iptables -P INPUT DROP

    Рекомендую пользоваться:
    iptables-save > ipt.rules
    iptables-restore < ipt.rules


    Попробуйте посмотреть лог. Надо перед ACCEPTами добаивить:
    iptables -A INPUT -p tcp --dport 22 -j LOG
    iptables -A OUTPUT -p TCP --sport 22 -j LOG


    и потом
    journalctl -f

    SSH-клиент работает?
    Если -P OUTPUT ACCEPT, работает?
    Нужно посмотреть вывод на сервере и клиенте
    ip a
    iptables-save
    netstat -plnt


    Ну и вообще нет смысла на хосте ограничивать OUTPUT. Это логично делать на пограничном МЭ. Софт сам будет слать данные в сеть? Зачем эти ограничения? Если INPUT будет фильтроваться, значит и ответных пакетов не будет. А если злоумышленник взломает сервер, то логично, что он сможет добавить исключение для своего приложения.
    Ответ написан
    Комментировать
  • Iptables или UFW | Настройка OpenVPN Server?

    @krosh
    Ключевые слова для поиска: "шлюз iptables".

    Опция для проброса трафика через хост:
    echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
    sysctl -p

    Для выхода в интернет используем SNAT вместо маскарадинга (но это если у Вас статический внешний IPv4):
    iptables -t nat -A POSTROUTING -o eth0 -s 10.8.0.0/24 -j SNAT --to-source 211.233.44.5

    Предварительно, при этом предполагаем, что других правил нет, т.к. эти должны идти первыми:
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p icmp -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT
    iptables -А FORWARD -s 10.8.0.0/24 -j ACCEPT
    iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

    Разрешаем 1194/udp, SSH:
    iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
    iptables -I INPUT -p udp -m udp --dport 1194 -j ACCEPT

    Блокируем все остальное:
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    Ответ написан
    1 комментарий
  • Как раздать интернет на вторую сетевую карту?

    @krosh
    1. Ви-фи карта должна уметь быть точкой доступа. Не все на это способны, проверяйте.

    2. У вас типичный шлюз. Настраивайте по любой инструкции, например: https://wiki.archlinux.org/index.php/Internet_shar... Добейтесь успешной работы в пересылке пакетов из "локальной сети" в интернет и переходите к п. 3.

    3. Настройка Редсокса для локального трафика и проходящего мимо немного различается.
    # If you want to configure socksifying router, you should look at
    # doc/iptables-packet-flow.png and doc/iptables-packet-flow-ng.png and
    # wikipedia/File:Netfilter-packet-flow.svg
    # Note, you should have proper `local_ip' value to get external packets with
    # redsocks, default 127.0.0.1 will not go. See iptables(8) manpage regarding
    # REDIRECT target for details.
    # Depending on your network configuration iptables conf. may be as easy as:
    root# iptables -t nat -A PREROUTING --in-interface eth_int -p tcp -j REDSOCKS

    4. Зачем Вам это? Используйте ВПН или ТОР если переживаете о безопасности.
    Ответ написан
  • Почему при установке дополнительного ip 10.0.0.233 узел доступен, пакеты отправляются, а ответа нет(Gateway default 192.168.0.1)?

    @krosh
    Маска подсети тут ни при чем. Куда шлюзу отвечать на запросы из сети 10.0.0.0/24? Конечно по своему дефолтовому маршруту, который похоже смотрит в сеть провайдера.

    Добавьте статический маршрут на шлюзе для возврата пакетов 10.0.0.0/24 обратно в локальную сеть. Ну и правила файерволла надо проверить.

    Какой резон вешать два серых адреса из разных пространств и идти с ними в интернет?
    Ответ написан
    Комментировать
  • Корректное правило в iptables?

    @krosh
    Если уж говорите про шлюз, то частично проблемы поможет создать такая команда:
    iptables -A FORWARD -s 10.20.32.233 -j DROP

    Чтобы сломать работу в локальной сети надо почитать про протокол ARP и воспользоваться с умом методами arp spoofing.

    А пинги с шлюза идут возможно из-за того, что в цепочке правил выше стоит разрешающее правило. Ставьте дроп выше и смотрите на результат.
    Ответ написан
    Комментировать
  • Настройка правил Iptables?

    @krosh
    Рекомендую использовать dnsmasq.

    Конфиг не смотрел, раз tcp-трафик ходит, то все работает.
    Ответ написан
    Комментировать
  • Что за ошибка nmap "rttvar has grown to over 2.3 seconds decreasing to 2.0"?

    @krosh
    RTT = round trip time, значение промежутка времени, в течении которого будет ожидаться ответ на запрос, перед тем как прекратить попытки или совершить еще одну. Вычисляется для каждого хоста (и группы хостов) отдельно.

    Посмотрите в лог:
    nmap -d2 -vv -p8000 -iL ip_part2.txt -oG res_part2.txt --host-timeout 500 > tmpnmap1.log


    Ошибка появляется постоянно или иногда? Возможно это из-за перебоев в доставке.
    Еще можно посмотреть с опцией -T1 будет ошибка или нет?
    Ответ написан
    6 комментариев