Задать вопрос
  • Как заставить одну программу выходить в сеть только через USB-модем, а остальное — по витой паре?

    @younghacker
    Господа, не путайте сетевые профили и адаптеры. Например у меня 5 VPN адаптеров. Каким образом в винде их выбрать отдельно? Винда всё слепит воедино. Или например 4 железные сетевухи. Все попадают в "Локальная сеть". В стандартной оснастке я не нашёл как их получить в таком виде чтобы прицепить к правилу Firewall. Хочу дропать весь трафик через ETH0 за исключением трафика на скажем 8.8.8.8:443 (условно) а остальной трафик разрешить выводить через дефаул гейт который настроен чере TUN0?
    В линуксе это парочка строчек. В винде - понятия не имею кроме как написать тулзу через API.
  • Как заставить одну программу выходить в сеть только через USB-модем, а остальное — по витой паре?

    @younghacker
    Ход мысли верный. По старой линуксовой привычке я тоже так думал. Думал что в винде можно через стандартную оснастку управления файрволом, netsh, wmi или PowerShell можно привязать правило к интерфейсу. Но увы. Per interface rule могут работать только если самому их запрограммировать. Проект виндового iptables где-то с 2011 не поддерживается, и у него проблемы с 64 битными системами. Я искал OpenSource решения. Вероятно есть какие-то файрволы которые это умеют.
  • Распределенный cron с ожиданием выполнения?

    @younghacker
    Бакула умеет запускать скрипты перед и после задания, выстраивать задания в очередь. Это позволяет сделать, например слепок файловой системы перед и затирание слепка после задачи. Есть GUI, есть CLI, есть статистика. Не вижу почему она не может решить задачу описанную ТС.

    На практике наш BareOS ежедневно укладывает на сторадж порядка 200 гигов уже сжатых данных с 12-ти железных и пары десятков виртуальных серверов.
  • Ovpn client на микротике. DNS request timed out до КД?

    @younghacker
    В догонку. Антивирусы там есть? Выключите файрвол.
  • Ovpn client на микротике. DNS request timed out до КД?

    @younghacker
    Max: Пингов в описании я не увидел. Но ладно, есть так есть.
    Итак. Клиент 192.168.3.60 нормально пингует контроллер домена 192.168.0.28. Значит роутинг работает. Но сервер не отвечает на DNS запрос отправленный с 192.168.3.60. С ним всё в порядке?
    1) Проверьте настройку Firewall на контроллере домена. Попробуйте временно отключить и проверить снова.
    2) Контроллер домена настроен так что не хочет отвечать в чуждую подсеть.
    3) Микротик один или второй или оба режет обращение на 53 порт. Я бы попробовал поставить WinCAP/WireShark на контроллер домена и посмотрел-бы что там приходит на него.
  • Centos 7, почему не запускается openvpn клиент?

    @younghacker
    Вопрос был задан больше чем полгода назад. И с того времени ТС не показал никакой активности. Какой смысл гадать на кофейной гуще? :)
  • Как объяснить данное поведение bash, в случае init.d/openvpn start?

    @younghacker
    Это не решение проблемы. Это выяснение проблемного места. Настройте selinux для openvpn и всё работать работать. Отключение selinux это плохо.
  • Как подключиться к VNC?

    @younghacker
    Вы же об этом ни разу не написали! :)
    Если после ввода пароля VNC клиента появляется чёрный экран, то скорее всего на сервере с той стороны не запущено ничего что должно было бы передавать экран. Грубо говоря вам отображался чистый X без kde, gnome или xterm. Тоесть речь шла не о проблеме подключения, подключение прекрасно работало. А проблема была в настройке vnc на стороне сервера.
  • Как подключиться к VNC?

    @younghacker
    Ну и порты 5900 и 5901 закройте.
  • Как подключиться к VNC?

    @younghacker
    # service vncserver stop
    # chkconfig vncserver off
    это его выключит и он не будет запускаться при рестарте.
    Чтобы удалить полностью:
    # rpm -qa | grep -i vnc
    появится имя пакета(тов). выберите сервер и передайте его yum remove
    # yum remove vncserver
    смотрите какие зависимости он будет удалять, чтобы не снёс чего-то ещё что вам нужно.

    О проблеме с vnc не понял, ведь всё работало. :)
    Но управлять сервером конечно лучше и удобнее через ssh.
  • Как подключиться к VNC?

    @younghacker
    Что касательно производительности то лучше в самый верх iptbles добавлять цепочку, которая "проглотит" уже установленные связи. Чтобы не гоняла их по всей таблице. Туда же и все локальные соединения.

    -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A INPUT -p icmp -j ACCEPT # если нужны ответы на внешние пинги
    -A INPUT -i lo -j ACCEPT

    А после этого (ниже) добавить всё, что нужно отдать наружу.
    Например для ftp и ssh

    -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j SSH
    -A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j FTP
    ...
    -A INPUT -j DROP
    # или
    -A INPUT -j REJECT --reject-with icmp-host-prohibited
    ftp и ssh нужно тоже объявить в заголовке *filter
    :FTP - [0:0]
    :SSH - [0:0]

    и настроить fail2ban чтобы он баны засовывал именно в цепочки SSH и FTP. Так ваш сервер будет терять меньше времени на обработку пакета в iptables.
  • Как подключиться к VNC?

    @younghacker
    Да, оставить только те порты которые необходимы.
    Вопрос не в сложности пароля, а в том чтобы найти коллизию. Ну и зачем вам лишние бесполезные запросы и трафик… fail2ban их будет блокировать.

    # yum install fail2ban

    А это?
    $ ssh root@x.x.x.x
    root@x.x.x.x's password:

    К чему для ssh вход по паролю? Чтобы подбирали? Сделайте сертификат и ходите по нему, а проль отключите в конфиге sshd (аккуратно, чтобы не остаться без доступа). И баньте на 10 минут с первой же ошибочной попытки. Вход по паролю сразу будет ошибкой.

    vnc то заработал? у меня подсоединился на порт :1 (5901)
  • Как подключиться к VNC?

    @younghacker
    Дмитрий Илларионов:
    Немедленно установите fail2ban! Закройте все лишние сервисы торчащие наружу!!!
    PORT STATE SERVICE
    21/tcp open ftp
    22/tcp open ssh
    80/tcp open http
    443/tcp closed https
    465/tcp open smtps
    587/tcp open submission
    993/tcp open imaps
    995/tcp open pop3s
    2525/tcp open ms-v-worlds
    3306/tcp open mysql
    5432/tcp closed postgresql
    5900/tcp closed vnc
    5901/tcp open vnc-1
    8083/tcp open us-srv
    12000/tcp closed cce4x
  • Как подключиться к VNC?

    @younghacker
    Дмитрий Илларионов: Вы хоть адреса-то поменяли бы перед тем как публиковать свою подноготную!!!
    У меня работает. Парльчик подскажете или подбирать? :)

    $ vncviewer x.x.x.x:1
    
    TigerVNC Viewer 32-bit v1.3.0 (20140319)
    Built on Mar 19 2014 at 17:09:08
    Copyright (C) 1999-2011 TigerVNC Team and many others (see README.txt)
    See http://www.tigervnc.org for information on TigerVNC.
    
    Mon Jan 11 09:30:36 2016
     CConn:       connected to host x.x.x.x port 5901
    
    Mon Jan 11 09:30:37 2016
     CConnection: Server supports RFB protocol version 3.8
     CConnection: Using RFB protocol version 3.8
  • Как зарезать права учётной записи гостя, чтобы он мог запускать только браузер?

    @younghacker
    hjk: Вам верно говорят: запуск от имени другого пользователя. Для windows: runas /user:guglemugle "c:\program files\goglechrome\chrome.exe"
    для linux: su --login guglemugle -c "/home/guglemugle/google.sh"

    Вы должны чётко понимать что всё что можете Вы от своей "учётки", может и любая программа запущенная от вашей учётной записи.

    Чтобы гуглхром не рылся в ваших записях есть две рекомендации:
    1) Не ставить его совсем. Я ей следую. Незачем чужому поисковику сидеть в моём компьютере. Есть и другие браузеры. Они не лучше но хоть с виду это "другая епархия".
    2) Поставить но "заломать пальцы". Ставим хром от учётки админа, внимательно читая все кнопочки и ссылочки в момент инсталяции. Убираем те которые пытаются втюхать какой-то сервис или улучшить за ваш счёт свои монопольные позиции. После установки удаляем всё что он наставил тайно в сервисы: sc delete googlobla-bla-bla...
    Идём в NTFS свойства папки Program files и снимаем все права всем пользователям. Оставляем только админам, системе и добавляем локального пользователя guglemugle (его нужно завести заранее) с правами "читать и запускать". Этим мы добиваемся чтобы никто не смог запустить хром кроме guglemugle. Делаем командный файлик
    guglemugle.cmd делаем на него ярлык, бросаем на рабочий стол.

    Конечно же вам понадобится и папка для обмена файлами. Либо замапьте его (guglemugle) папку через directory junctions (но поставьте правильно права) либо подключите через сеть в свою сессию net use (вы подсоединяете в свою сессию папку гугла, а не наоборот!) или пользуйтесь Public папками либо стандарными в винде, либо создайте свою например C:\_AXTUNG_GOOGLE_ и настройте туда Download папку хрома. Помните что guglemugle должен иметь туда доступ без ввода паролей вашей "учётки".

    В общем то всё! Теперь этот перец не сможет лазить по файлам других пользователей, а в его песочнице есть только шлак стянутый из интернета. Сервисы удалены он не сможет тайно шариться по диску и ставить всё что ему вздумается, а он сам вытряхнут в отдельную песочницу. Но он сможет видеть состояние рабочего стола. Хотите чтобы не видел? Запускайте на отдельном виртуальном рабочем столе. Например Seamless terminal server windows, когда приложение доставляется к вам в виде окна, а не в виде рабочего стола. А дальше мы переходим к виртуализации. Но это отдельная и очень интересная тема.

    Внимание: При запуске из другой сессии у некоторых приложений возникают сложности при попытке открыть explorer и другие приложения запущенные в контексте другой сессии. Это лечится только через терминальную сессию или альтернативным приложением.
  • Как завернуть трафик определенного порта?

    @younghacker
    Можете на машине где запускается TeamViewer прописать фиксированный маршрут на сервер TeamViewer в обход VPN. route add адрес_сервера gw физический_неvpn_нтерфейс

    Хотя странно, пишут что должно работать и через 80 и 443
  • Как защитить рабочую станцию от сброса пароля администратора в windows?

    @younghacker
    Алексей Константинов: что мешает загрузится с USB и сбросить пароль админа на локальной винде? Автор не спрашивает о защите логина в домен. Как я понял речь о сбросе пароля на самой клиенской машине, что даёт возможность поставить любой софт.
    К сожалению физический доступ не исключает даже простого изъятия диска и изменения его содержимого, или чтения хеша и поиска в таблицах или брутфорса пароля.
  • Как поднять VPN сервер на linux mint?

    @younghacker
    У Вас на сервере есть и клиентский конфиг?
    > Autostarting VPN 'myvpn-client'
    Я думаю что врядли Вы строите связку OpenVPN серверов и клиентов. Поэтому в каталоге /etc/openvpn/ на сервере оставьте только один серверный конфиг. Тоесть файл с расширением .conf должен быть один.
    На клиенте соответственно только клиентский конфиг.

    Затем включите детальный лог на сервере
    log /var/log/openvpn.log
    verb 6

    После этого перезапустите openvpn
    # service openvpn stop
    # ps -afx | grep openvpn
    должно быть пусто
    Затем:
    # service openvpn start

    Затем откройте лог файл
    /var/log/openvpn.log
    И посмотрите что там за проблемы.

    Когда отладите всё верните log verbosity обратно на уровень 3. Иначе лог "распухнет" быстро и сильно.
  • Почему не работает форвардинг на Centos?

    @younghacker
    Если tcpdump полностью молчит на стороне сервера либо ошибка (не тот интерфейс или фильтр) или vpn не установился (включите уровень логирования vpn verbose 6 и посмотрите в лог vpn).
    Также стоит посмотреть на стороне сервера iptables. Может там режется с левым по его мнению адресом 192.168.243.0/24

    Посмотрите адрес интерфейса сервера и пинганите его со стороны клиента без указания адреса источника. Пинг пойдёт между адресами VPN туннеля. Сервер должен ответить если firewall не запрещает и если VPN поднят.

    Также на том сервере должен быть включён роутинг в ядре.