0
10.х.х.х:480хх
_
получается Динамически назначаемые номера портов, наверно браузер изначально
включает в посыл информации: что принимать будет - Динамически назначаемые
номера портов. Вопрос, мне это наверно не нужно, нав
суббота, 21 марта 2020 г., 19:50:04 UTC+3 пользователь Dmitry Alexandrov
написал:
> "L. Gogolev" wrote:
> > суббота, 21 марта 2020 г., 17:20:02 UTC+3 пользователь Dmitry Alexandrov
> > написал:
> >> А теперь уже везде nft(8)
> >
> > версии стабильные есть?
>
> Ну если именно он идет из коробки
суббота, 21 марта 2020 г., 15:10:03 UTC+3 пользователь L. Gogolev написал:
> Здравствуйте.
>
>Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить
> только браузер и обновления.
> Но смотрю, посредством $ ss state all , много чего есть. Наверно
> внутренние соке
, рановато им ещё
пользоваться. Управляющая утилита (собственно nft) на сложных задачах
падает по нехватке памяти.
Это я в нее списочек адресов из-под РКН попытался засунуть. Даже близко не.
iptables + ipset в той же позе работает как часы. Плюс к этому ipset
позволяет провести проверку на попадан
"L. Gogolev" wrote:
> суббота, 21 марта 2020 г., 17:20:02 UTC+3 пользователь Dmitry Alexandrov
> написал:
>> А теперь уже везде nft(8)
>
> версии стабильные есть?
Ну если именно он идет из коробки в стабильном (десятом) Дебиане, то наверное
да.
signature.asc
Description: PGP signature
суббота, 21 марта 2020 г., 17:20:02 UTC+3 пользователь Dmitry Alexandrov
написал:
> И вдогонку: вы вообще напрасно связались с UFW. Это же, кажется, не более
> чем приблуда для превращения казавшегося многим неудобного языка iptables(8)
> в нечто iproute2-подобное. А теперь уже ве
суббота, 21 марта 2020 г., 16:50:02 UTC+3 пользователь Dmitry Alexandrov
написал:
> "L. Gogolev" wrote:
> > Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить
> > только браузер и обновления.
>
> С какой вам это целью? Так или иначе, разрешить «только [некий] браузер ил
И вдогонку: вы вообще напрасно связались с UFW. Это же, кажется, не более чем
приблуда для превращения казавшегося многим неудобного языка iptables(8) в
нечто iproute2-подобное. А теперь уже везде nft(8), который и так
iproute2-подобный.
signature.asc
Description: PGP signature
"L. Gogolev" wrote:
> Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить
> только браузер и обновления.
С какой вам это целью? Так или иначе, разрешить «только [некий] браузер или
обновления» — это не совсем файерволл, а скорее мандатный контроль, типа
Apparmorʼа.
> Н
Здравствуйте.
Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить
только браузер и обновления.
Но смотрю, посредством $ ss state all , много чего есть. Наверно
внутренние сокеты, которые вероятно при такой логике, от желания, перестанут
работать. Да и вопрос,
2015-01-08 7:34 GMT+03:00 Ста Деюс :
> Доброго времени суток.
>
>
> Я только что установил Д-7.7 с помощью сетевого установочного диску.
> Загрузившись пару раз с ЖМД, и установив/удалив ещё несколько пакетов
> (по Сети), я заметил, что
>
> iptables -nvL
>
> показ
Доброго времени суток.
Я только что установил Д-7.7 с помощью сетевого установочного диску.
Загрузившись пару раз с ЖМД, и установив/удалив ещё несколько пакетов
(по Сети), я заметил, что
iptables -nvL
показывает всё по нулям. -- Кто мог сбросить счётчики пакетов?
Я специально, тогда, сделал
At Tue, 18 Jun 2013 20:15:23 +0400,
Alex Dubinin wrote:
>
> [1 ]
> 17.06.2013 12:39, Victor Wagner пишет:
> > On 2013.06.15 at 14:29:18 +0400, Alex Dubinin wrote:
> >
> >>> mac меняется легко.
> >> Ну не как способ защиты, а идея была например разрешить коннект к SSH
> >> только с перечисленных M
17.06.2013 12:39, Victor Wagner пишет:
> On 2013.06.15 at 14:29:18 +0400, Alex Dubinin wrote:
>
>>> mac меняется легко.
>> Ну не как способ защиты, а идея была например разрешить коннект к SSH
>> только с перечисленных MAC. Идея была примерно такая.
> В ssh для этой цели предусмотрены криптографиче
17.06.2013 04:06, Mikhail A Antonov пишет:
> Правила, которые я привёл делают так:
> * 3 коннекта в минуту - разрешено.
> * Больше 3 коннектов в минуту - в дроп.
> * Если за минуту дропа пришла ещё одна попытка подключиться - таймер
> доставания из дропа начинает отсчёт заново.
> * Плюс заведомо бе
16.06.2013 10:40, Alex Dubinin пишет:
> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
> Эта строка точно дописана? Никак не пойму что она делает? По-моему она
> должна "маркировать" что-то как-то например так:
> iptables -A INPUT -p tcp -m tcp --dp
16.06.2013 02:06, Mikhail A Antonov пишет:
> Для SSH удобно делать так:
> iptables -N SSH
> iptables -A INPUT -p tcp --dport 22 -j SSH
> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m re
15.06.2013 14:29, Alex Dubinin пишет:
> Ну не как способ защиты, а идея была например разрешить коннект к SSH
> только с перечисленных MAC. Идея была примерно такая.
Для SSH удобно делать так:
iptables -N SSH
iptables -A INPUT -p tcp --dport 22 -j SSH
iptables -A INPUT -p tcp --dport 22 -m
At Sat, 15 Jun 2013 13:58:47 +0400,
Mikhail A Antonov wrote:
>
> [1 ]
> 15.06.2013 11:31, Alex Dubinin пишет:
>
> > Сама идея интерессная, но
> Но бестолкова в данном случае.
>
> > Т.о. как я понял фильтровать по mac не получится, потому как
> > оборудование провайдера перебивает мой mac своим.
At Sat, 15 Jun 2013 13:51:50 +0400,
Artem Chuprina wrote:
>
> MAC-адреса ставятся в заголовках Ethernet-пакетов, а отношение к
> делу имеет в основном устройство IP.
Артем, при всем уважении, FIX:
> MAC-адреса ставятся в заголовках Ethernet-фреймов, а отношение к
> делу имеет в основном устройст
15.06.2013 13:58, Mikhail A Antonov пишет:
> 15.06.2013 11:31, Alex Dubinin пишет:
> Фильтрацию по MAC можно использовать только в пределах одного
> L2-сегмента. Чаще всего её используют чтобы соседи не воровали
> интернет друг у друга. На свитче привязка порт+mac, на шлюзе - mac+ip.
> Когда-то дав
15.06.2013 11:31, Alex Dubinin пишет:
> Решил поиграться с фильтрацией по mac'ам.
Фильтрацию по MAC можно использовать только в пределах одного L2-сегмента.
Чаще всего её используют чтобы соседи не воровали интернет друг у друга.
На свитче привязка порт+mac, на шлюзе - mac+ip.
Когда-то давно считал
Andrey Rahmatullin -> debian-russian@lists.debian.org @ Sat, 15 Jun 2013
15:00:18 +0600:
>> >> Т.о. как я понял фильтровать по mac не получится, потому как
>> >> оборудование провайдера перебивает мой mac своим. Так должно быть? Можно
>> >> ли это поменять? Ну например обратившись к прову?
On Sat, Jun 15, 2013 at 12:41:50PM +0400, Artem Chuprina wrote:
> >> Т.о. как я понял фильтровать по mac не получится, потому как
> >> оборудование провайдера перебивает мой mac своим. Так должно быть? Можно
> >> ли это поменять? Ну например обратившись к прову? Потому как очень
> >> хочется та
At Sat, 15 Jun 2013 11:31:59 +0400,
Alex Dubinin wrote:
>
> Jun 15 11:18:03 srv kernel: [845908.278759] Web: IN=eth0 OUT=
> MAC=68:05:ca:01:f1:04:00:1b:0d:e5:f7:00:08:00 SRC=SRC_IP DST=DST_IP
> Т.о. как я понял фильтровать по mac не получится, потому как
> оборудование провайдера перебивает мой m
Andrey Rahmatullin -> debian-russian@lists.debian.org @ Sat, 15 Jun 2013
13:50:35 +0600:
>> Т.о. как я понял фильтровать по mac не получится, потому как
>> оборудование провайдера перебивает мой mac своим. Так должно быть? Можно
>> ли это поменять? Ну например обратившись к прову? Потому как
On Sat, Jun 15, 2013 at 11:31:59AM +0400, Alex Dubinin wrote:
> Т.о. как я понял фильтровать по mac не получится, потому как
> оборудование провайдера перебивает мой mac своим.
Ламерская формулировка, но результат примерно такой...
> Так должно быть?
Да.
> Можно ли это поменять? Ну например о
On Sat, Jun 15, 2013 at 12:07:32PM +0400, Alex Dubinin wrote:
> > Фильтрацией чего?
> Фильтрацией пакетов
Каких пакетов? Где?
> > Вы бы почитали что-нибудь базовое про то, как устроен Ethernet.
> Базовые основы я знаю.
А чего тогда спрашиваете?
> P.S. Спасибо за дельный совет - теперь я точно ра
15.06.2013 11:50, Andrey Rahmatullin пишет:
> Фильтрацией чего?
Фильтрацией пакетов
> Вы бы почитали что-нибудь базовое про то, как устроен Ethernet.
Базовые основы я знаю.
P.S. Спасибо за дельный совет - теперь я точно разберусь в своём вопросе.
signature.asc
Description: OpenPGP digital signa
On Sat, Jun 15, 2013 at 11:31:59AM +0400, Alex Dubinin wrote:
> Решил поиграться с фильтрацией по mac'ам.
Фильтрацией чего?
> Т.о. как я понял фильтровать по mac не получится, потому как
> оборудование провайдера перебивает мой mac своим. Так должно быть? Можно
> ли это поменять? Ну например обра
Решил поиграться с фильтрацией по mac'ам. Сама идея интерессная, но
столкнулся с такой проблемой: настроил логирование пакетов (для начала),
чтобы так сказать потренироваться. И не прогадал. В логах появляются
такие строки:
Jun 15 11:18:03 srv kernel: [845908.278759] Web: IN=eth0 OUT=
MAC=68:05:ca
26.09.2011 11:55, Ilya Sapytsky пишет:
> Добрый день!
> есть у меня некая сеть, где transparent squid стоит, но понадобилось для
> одной машины сделать исключение.
> Нарисовал в правилах вместо
> $IPT -t nat --append PREROUTING --protocol tcp --dport 80 --in-interface
> $IF_GINT --jump REDIRECT --t
REDIRECT --to-port 3128
echo 5
а мне в ответ
2
iptables v1.4.2: Couldn't load target `gors':/lib/xtables/libipt_gors.so:
cannot open shared object file: No such file or directory
Try `iptables -h' or 'iptables --help' for more information.
3
4
iptables: Invalid argument
Спасибо, но мне нужно обеспечить некоторый специальный протокол на
выделенный порт.
Поэтому нужно олноценное IP соединение.
Но у меня уже все заработало.
Просто я имел дело с iptables пару лет назад, когда конфигурировал
файервол, и уже подзабыл.
Помощь debian-russian уже оказалась
On 19.05.2011 10:05, Nikolai Kondratiev wrote:
Заработало.
Если вам нужно только по ssh давать команды на сервер 1, то можно было
обойтись без iptables, а использовать только ssh, как мне здесь в
прошлом году подсказали:
на сервере_1 один раз дать команду проброса порта:
(в вашем случае
1) попробуйте tcpdump'ом на компе 77.77.77.77 посмотреть, как ходят
пакетики, может, что-то прояснится.
2) а какие модули загружены на 77.77.77.77 ?
ip_nat, ip_conntrack присутствуют?
Grue
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Tr
Заработало.
Добавил
iptables -t nat -A POSTROUTING -d 88.88.88.88 -j MASQUERADE
Итого, результат:
# stop firewall сбрасываются все iptables
/etc/init.d/firewall stop
# forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp --dport -j DNAT
--to-destinat
Нет, не работает.
На сервере 1 (77.77.77.77) выполняю:
# stop firewall
/etc/init.d/firewall stop
# forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp --dport -j DNAT
--to-destination 88.88.88.88:5555
iptables -A FORWARD -p tcp --dport -j ACC
On 19.05.2011 10:36, Николай Кондратьев wrote:
Добрый день всем!
Помогите, пожалуйста, настроить iptables.
Имеются два сервера с фиксированными IP-адресами.
Сервер 1: 77.77.77.77
Сервер 2: 88.88.88.88
Сервер 2 имеет файервол, который пропускает обращения от севера 1 на
порт . Других
Добрый день всем!
Помогите, пожалуйста, настроить iptables.
Имеются два сервера с фиксированными IP-адресами.
Сервер 1: 77.77.77.77
Сервер 2: 88.88.88.88
Сервер 2 имеет файервол, который пропускает обращения от севера 1 на
порт . Других возможностей конфигурировать этот сервер нет.
Для
Решено!
Надо было поставить пакет iptables из sid (версия 1.4.10-1) взамен тому
что есть в squeeze (версия 1.4.8-3).
Тогда ipset v6.0 на ядре 2.6.38-rc7 работает :)
--
Best regards
Rubik Andrey
email: tirnota...@gmail.com
GPGKey: 1024D / 2EA8E207 2010-03-01
7E60 4450 CD90 6E2D E949 6254 7FDC
В Вск, 13/03/2011 в 17:09 +0300, Stanislav Maslovski пишет:
> On Sun, Mar 13, 2011 at 03:56:09PM +0300, Rubik Andrey wrote:
> > В Вск, 13/03/2011 в 15:39 +0300, Alex Kuklin пишет:
> > > Непонятно пока, я ipset не использовал.
> > > А как выглядит правило, если посмотреть
On Sun, Mar 13, 2011 at 03:56:09PM +0300, Rubik Andrey wrote:
> В Вск, 13/03/2011 в 15:39 +0300, Alex Kuklin пишет:
> > Непонятно пока, я ipset не использовал.
> > А как выглядит правило, если посмотреть iptables-save?
> > Может, переформулировать его так, как оно хранит
В Вск, 13/03/2011 в 15:39 +0300, Alex Kuklin пишет:
> Непонятно пока, я ipset не использовал.
> А как выглядит правило, если посмотреть iptables-save?
> Может, переформулировать его так, как оно хранится "унутре"?
Не помогло :(
# iptables-save
# Generated by iptables-save v
On 13.03.2011 15:36, Rubik Andrey wrote:
Создана таблица в ipset:
ipset -N ddos iphash
Есть правило в iptables:
iptables -A INPUT -p tcp --dport 80 -m set --match-set ddos src -j DROP
Не могу его удалить:
iptables -D INPUT -p tcp --dport 80 -m set --match-set ddos src -j DROP
iptables: Bad
Всем доброго дня!
Создана таблица в ipset:
ipset -N ddos iphash
Есть правило в iptables:
iptables -A INPUT -p tcp --dport 80 -m set --match-set ddos src -j DROP
Не могу его удалить:
iptables -D INPUT -p tcp --dport 80 -m set --match-set ddos src -j DROP
iptables: Bad rule (does a matching rule
использую Shorewall для работы с iptables
особых проблем не наблюдаю, правдя для элеметарных правил создает кучу правил
тут прочитал про еще одну надстройку, на дня попробую ее на своем
домашнем роутере
LLC Master-Byte
Munko O. Bazarzhapov
JabberID: v...@aginskoe.ru
ICQ:169245258
mail: vec
Hello,
Max Kosmach wrote:
Гугл говорит, что скрипт из init.d, который делал iptables-save давно
уже выпилили и надо смотреть на http://wiki.debian.org/Firewalls .
Помимо уже озвученных способов есть еще
iptables-persistent
(http://packages.debian.org/search?keywords=iptables-persistent
19.02.2011 12:59, Oleg Motienko пишет:
Привет.
Подскажите правильный debian-way для запуска iptables .
Пользуюсь своим скриптом из rc.local , также пробовал firehol, но
почему-то мне кажется, что это не true way.
Гугл говорит, что скрипт из init.d, который делал iptables-save давно
уже
> А какая паранойя-то мешает поднять правила после поднятия интерфейсов?
> или время загрузки в 2-3 секунды достаточно для целенаправленной атаки
> на несуществующие сервисы?
На несуществующие недостаточно. А на те, которые за эти 2-3 секунды успеют
стать существующими - вполне.
--
Творить -
Sun, 20 Feb 2011 16:10:46 +0200 було написано Dmitry E. Oboukhov
:
то есть без знаний синтаксиса iptables никуда. а если мы его знаем то
какой смысл в этом проекте? ладно бы еще постоянно приходилось решать
очень сложные задачи (аналогия с ЯП, скажем Си vs Perl бы подошла),
но с фаерволами
AB> Да, я регулярно проверию iptables-save и смотрю, не
~~
то есть без знаний синтаксиса iptables никуда. а если мы его знаем то
какой смысл в этом проекте? ладно бы еще постоянно приходилось решать
очень сложные задачи (аналогия с ЯП, скажем Си vs P
>>> Я в rc.local держу скрипт, который очищает таблицы и заливает
>>> iptables-restore из файла. Файл в /etc/ и всё, ТруЪ
>> Ну, с точностью до того, что в rc.local файрвол грузить уже поздновато...
>>
В> А какая паранойя-то мешает поднять правила после поднятия
В
вопрос в том что
проще изучить "сложный" А *и* сомнительно "упрощающий" В, или только
"сложный" А.
вот мне показалось что это именно тот случай :)
А я проверил свои подозрения. Оказалось, что реально упрощающий, а не
сомнительно.
Да, я регулярно проверию iptable
Sun, 20 Feb 2011 14:23:23 +0200 було написано Artem Chuprina
:
А ты вот скажи, как опытный пользователь, знающий инструмент: ferm
пользуется
механизмом iptables-restore (т.е. заливает транзакционно, "всё или
ничего")
или загружает правила по одному? Аналогом iptables-apply
20.02.2011 16:20, Artem Chuprina пишет:
Я в rc.local держу скрипт, который очищает таблицы и заливает
iptables-restore из файла. Файл в /etc/ и всё, ТруЪ
Ну, с точностью до того, что в rc.local файрвол грузить уже поздновато...
А какая паранойя-то мешает поднять правила после
> Я в rc.local держу скрипт, который очищает таблицы и заливает
> iptables-restore из файла. Файл в /etc/ и всё, ТруЪ
Ну, с точностью до того, что в rc.local файрвол грузить уже поздновато...
--
Нажатие на кнопку "Запомнить пароль" не поможет ВАМ запомнить пароль.
-- http://b
20.02.2011 12:31, Alexey Boyko пишет:
Sat, 19 Feb 2011 12:52:00 +0200 було написано Artem Chuprina
:
Подскажите правильный debian-way для запуска iptables .
Пользуюсь своим скриптом из rc.local , также пробовал firehol, но
почему-то мне кажется, что это не true way.
Гугл говорит, что скрипт
Умеет и то и то. И даже может шелл скрипт сделать. Который воткнёт
правила без самого ferm'а.
--
sergio.
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4d610ac0
AB>>> ps: в очередной раз порекоммендую ferm
>>
>> мне когда-то его порекомендовали, я его поразглядывал и понял, что с
>> правилами iptables (при том что его синтаксис постоянно расширяется)
>> разобраться-то попроще чем с цельным языком его конфига. или по
&g
> > AB> ps: в очередной раз порекоммендую ferm
> >
> > мне когда-то его порекомендовали, я его поразглядывал и понял, что с
> > правилами iptables (при том что его синтаксис постоянно расширяется)
> > разобраться-то попроще чем с цельным языком его конфига.
Sun, 20 Feb 2011 12:42:23 +0200 було написано Dmitry E. Oboukhov
:
AB> ps: в очередной раз порекоммендую ferm
мне когда-то его порекомендовали, я его поразглядывал и понял, что с
правилами iptables (при том что его синтаксис постоянно расширяется)
разобраться-то попроще чем с цельным язы
AB> ps: в очередной раз порекоммендую ferm
мне когда-то его порекомендовали, я его поразглядывал и понял, что с
правилами iptables (при том что его синтаксис постоянно расширяется)
разобраться-то попроще чем с цельным языком его конфига. или по
меньшей мере одинаково
:)
--
... mpd is
> >> Подскажите правильный debian-way для запуска iptables .
> >>
> >> Пользуюсь своим скриптом из rc.local , также пробовал firehol, но
> >> почему-то мне кажется, что это не true way.
> >>
> >> Гугл говорит, что скрипт из init.d, кото
Sat, 19 Feb 2011 12:52:00 +0200 було написано Artem Chuprina
:
Подскажите правильный debian-way для запуска iptables .
Пользуюсь своим скриптом из rc.local , также пробовал firehol, но
почему-то мне кажется, что это не true way.
Гугл говорит, что скрипт из init.d, который делал iptables
19 февраля 2011 г. 12:59 пользователь Oleg Motienko
написал:
> Привет.
>
> Подскажите правильный debian-way для запуска iptables .
>
> Пользуюсь своим скриптом из rc.local , также пробовал firehol, но
> почему-то мне кажется, что это не true way.
>
> Гугл говорит, что с
> Подскажите правильный debian-way для запуска iptables .
>
> Пользуюсь своим скриптом из rc.local , также пробовал firehol, но
> почему-то мне кажется, что это не true way.
>
> Гугл говорит, что скрипт из init.d, который делал iptables-save давно
> уже выпилили и
Привет.
Подскажите правильный debian-way для запуска iptables .
Пользуюсь своим скриптом из rc.local , также пробовал firehol, но
почему-то мне кажется, что это не true way.
Гугл говорит, что скрипт из init.d, который делал iptables-save давно
уже выпилили и надо смотреть на http
2010/8/26 Sohin Vyacheslaw :
> Hi2all ,
> с помощью iptables можно составить правило, позволяющее доступ к одному из
> портов, на котором висит didiwiki определенным ip-адресам в сети?
Оно, по большей части, для того и предназначено.
--
С уважением,
Константин Матюхин
Hi2all ,
с помощью iptables можно составить правило, позволяющее доступ к одному
из портов, на котором висит didiwiki определенным ip-адресам в сети?
Best wishes,
Сохин Вячеслав
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe"
On 06.02.2010 18:14, Dmitry Marin wrote:
> В Сбт, 06/02/2010 в 17:25 +0300, Yuriy Kaminskiy пишет:
>
>> PS ага, [записывает], чтобы узнать ip-адрес James Brown достаточно
>> поглядеть кто
>> на torrents.ru аннонсирует порт 58663 ;-)
>
> Ну вот кто за язык тянул!? Теперь человек будет мучаться,
Пу
кальный порт не биндится (используется стандартным
образом выделяемый случайный порт из local_range), и в какой-либо специальной
обработке в iptables не нуждается (исходящие обычно разрешены, входящие -
попадают под ESTABLISHED).
> Т.е. я должен прописать проброс одного и того же (одних и
у компилить?
P.S. Последнее я еще ни разу, за почти год моего линуксоидства, не
пробовал, но надо когда-то начинать видимо :-)
>> iptables 1.4.2
>>
>> Схема подлкючения: компьютер подключен к роутеру (nat), который
>> подключен к WAP.
>> На роутере включена переа
В Сбт, 06/02/2010 в 17:25 +0300, Yuriy Kaminskiy пишет:
> PS ага, [записывает], чтобы узнать ip-адрес James Brown достаточно
> поглядеть кто
> на torrents.ru аннонсирует порт 58663 ;-)
Ну вот кто за язык тянул!? Теперь человек будет мучаться, заворачивать
траффик в tor :-))
--
С уважением, Дмит
у компилить?
P.S. Последнее я еще ни разу, за почти год моего линуксоидства, не
пробовал, но надо когда-то начинать видимо :-)
>> iptables 1.4.2
>>
>> Схема подлкючения: компьютер подключен к роутеру (nat), который
>> подключен к WAP.
>> На роутере включена переа
олезна.
> iptables 1.4.2
>
> Схема подлкючения: компьютер подключен к роутеру (nat), который
> подключен к WAP.
> На роутере включена переадресация портов.
> /Примечание-1: /когда я еще не настроил конфиг iptables, я пытался
> вручную настроить на роутере переадресацию
Dmitry Marin wrote:
> В Сбт, 06/02/2010 в 06:55 +, James Brown пишет:
>
>
>> Соответственно, открываю порт, указанный в настройках transmission:
>> $iptables -A INPUT -i $INET_IFACE -p udp -m udp --dport 58663 -j ACCEPT
>> $iptables -A OUTPUT -
В Сбт, 06/02/2010 в 06:55 +, James Brown пишет:
>
> Соответственно, открываю порт, указанный в настройках transmission:
> $iptables -A INPUT -i $INET_IFACE -p udp -m udp --dport 58663 -j ACCEPT
> $iptables -A OUTPUT -o $INET_IFACE -p udp -m udp --sport 586
ОС - Lenny AMD64
Transmission 1.22 (6191) (пакеты transmission-gtk и transmission-common)
iptables 1.4.2
Схема подлкючения: компьютер подключен к роутеру (nat), который
подключен к WAP.
На роутере включена переадресация портов.
/Примечание-1: /когда я еще не настроил конфиг iptables, я пытался
On Tue, Dec 01, 2009 at 08:36:06PM +0300, George Shuklin wrote:
> Где правильно хранить то, что грузят iptables-restore?
>
>
> Если restore делается из pre-up/post-down, то, видимо, правила должны
> храниться в чём-то вида /etc/network/iptables.eth0 и т.д.?
У меня в /etc/netw
,-[Tue, Dec 01, 2009 at 20:36 +0300, George Shuklin:]
|Где правильно хранить то, что грузят iptables-restore?
|
|
|Если restore делается из pre-up/post-down, то, видимо, правила должны
храниться в чём-то вида /etc/network/iptables.eth0 и т.д.?
|
|Или есть более правильные места
Где правильно хранить то, что грузят iptables-restore?
Если restore делается из pre-up/post-down, то, видимо, правила должны храниться
в чём-то вида /etc/network/iptables.eth0 и т.д.?
Или есть более правильные места?
--
wBR,George.
--
To UNSUBSCRIBE, email to debian-russian-requ
Stanislav Maslovski wrote:
>> Идет syn-flood до 20-100 тыс запросов в секунду.
>> В syn-flood атаке явно выраженные пакеты, которые не похожи на валидные
>> (отсутствие timestamp и так далее)
>> Спасибо за правило, очень помогло, уже надропало пакетов на 10Gb
>
> Ясно. А какая нагрузка на проц п
On Mon, Sep 28, 2009 at 07:29:06AM +, Sydoruk Yaroslav wrote:
> Stanislav Maslovski wrote:
> > On Sun, Sep 27, 2009 at 11:59:32PM +0400, Stanislav Maslovski wrote:
> >> On Sun, Sep 27, 2009 at 02:32:14PM +, Sydoruk Yaroslav wrote:
> >> > 3. нужно блокать такие syn пакет у которых например
Stanislav Maslovski wrote:
> On Sun, Sep 27, 2009 at 11:59:32PM +0400, Stanislav Maslovski wrote:
>> On Sun, Sep 27, 2009 at 02:32:14PM +, Sydoruk Yaroslav wrote:
>> > 3. нужно блокать такие syn пакет у которых например offset=0.
>>
>> --u32 "0 >> 22 & 0x3C @ 12 >> 12 = 0"
>
> На всякий случ
On Sun, Sep 27, 2009 at 11:59:32PM +0400, Stanislav Maslovski wrote:
> On Sun, Sep 27, 2009 at 02:32:14PM +, Sydoruk Yaroslav wrote:
> > 2. нужно блокать такие syn пакет у которых например wscale
> >присудствует/отсутвует в пакете.
>
> --protocol tcp --syn [!] --tcp-option 10
On Sun, Sep 27, 2009 at 11:59:32PM +0400, Stanislav Maslovski wrote:
> On Sun, Sep 27, 2009 at 02:32:14PM +, Sydoruk Yaroslav wrote:
> > 3. нужно блокать такие syn пакет у которых например offset=0.
>
> --u32 "0 >> 22 & 0x3C @ 12 >> 12 = 0"
На всякий случай уточняю:
--protocol tcp --syn --ma
On Sun, Sep 27, 2009 at 02:32:14PM +, Sydoruk Yaroslav wrote:
>
> Приветствую всех.
> Вывод tcpdump:
>
> IP(tos 0x0, ttl 45, id 20494, offset 0, flags [DF], proto TCP (6), length 60)
> x.60060 > x.80: S, cksum 0x5c93 (correct), 1974571823:1974571823(0) win 5840
>
> 0x: 00e0 81
Приветствую всех.
Вывод tcpdump:
IP(tos 0x0, ttl 45, id 20494, offset 0, flags [DF], proto TCP (6), length 60)
x.60060 > x.80: S, cksum 0x5c93 (correct), 1974571823:1974571823(0) win 5840
0x: 00e0 815e 7b56 0017 e077 cecb 0800 4500
0x0010: 003c 500e 4000 2d06 f832 515a 12
Alexander Tiurin -> debian-russian@lists.debian.org @ Tue, 15 Sep 2009
10:52:22 +0400:
>> В man iptables на предмет осознания того, что цепочка INPUT - это для
>> пакетов, _адресованных нам_. В ней ToS менять тождественно
>> бессмысленно, поскольку эти пакеты дальше уже
14 сентября 2009 г. 23:54 пользователь Artem Chuprina написал:
>
> В man iptables на предмет осознания того, что цепочка INPUT - это для
> пакетов, _адресованных нам_. В ней ToS менять тождественно
> бессмысленно, поскольку эти пакеты дальше уже не пойдут.
>
Эта штука осознан
Alexander Tiurin -> debian-russian@lists.debian.org @ Mon, 14 Sep 2009
22:27:16 +0400:
AT> На роутере инретфейс eth1 192.168.5.1/24
AT> Локальный хост 192.168.5.2
AT> На роутере для примера, пытаюсь изменить поле TOS на входящих от всех
AT> возможных локальных хостов
На роутере инретфейс eth1 192.168.5.1/24
Локальный хост 192.168.5.2
На роутере для примера, пытаюсь изменить поле TOS на входящих от всех
возможных локальных хостов
iptables -t mangle -A INPUT -i eth1 -p tcp -j TOS --set-tos 0x10
В целом по mangle имею
Chain PREROUTING (policy ACCEPT)
target
On Fri, Aug 21, 2009 at 08:02:35PM +0400, Alexandr Sagadeev wrote:
> Stanislav Maslovski пишет:
>> On Fri, Aug 21, 2009 at 06:57:07PM +0400, Alexandr Sagadeev wrote:
>>
>> Ух какая забавная зубодробилка. C iptables-save и iptables-restore
>> выйдет гораздо проще
Stanislav Maslovski пишет:
On Fri, Aug 21, 2009 at 06:57:07PM +0400, Alexandr Sagadeev wrote:
Ух какая забавная зубодробилка. C iptables-save и iptables-restore
выйдет гораздо проще и удобнее в том плане, что изменения можно
вносить на лету и по готовности из сохранять.
Но твой вариант
6346:6347"
> gnutella_udp="-p udp --dport 6346:6347"
>
> for p in "$bittorrent" "$eDonkey_tcp" "$eDonkey_udp" "$kdemlia_tcp" \
> "$kdemlia_udp" "$Overnet_tcp" "$Overnet_udp" "$gnutella_tcp" \
>
-p udp --dport 1300 -d 10.3.6.246 -j DNAT --to-destination
10.192.22.1
и все заработало
всем спасибо за помощь!
-Original Message-
From: Nick
To: Debian Russian Mailing List
Date: Fri, 21 Aug 2009 15:55:12 +0300
Subject: Re: проброс портов iptables
> >
> > -A FORW
la_tcp="-p tcp --dport 6346:6347"
gnutella_udp="-p udp --dport 6346:6347"
for p in "$bittorrent" "$eDonkey_tcp" "$eDonkey_udp" "$kdemlia_tcp" \
"$kdemlia_udp" "$Overnet_tcp" "$Overnet_udp" "$gnutella_
>
> -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> -A FORWARD -m state --state NEW -i eth0 -s 10.192.22.0/27 -j ACCEPT
> COMMIT
Может добавить
-A FORWARD -p tcp -m state --state NEW -i eth1 -m tcp --dport 4089 -j ACCEPT
-A FORWARD -p udp -m state --state NEW -i eth1 -m udp --dport
fixec пишет:
> -Original Message-
> From: Andrey Tataranovich
> To: debian-russian@lists.debian.org
> Date: Fri, 21 Aug 2009 13:18:31 +0300
> Subject: Re: проброс портов iptables
>
>
>> 12:15 Fri 21 Aug, fixec wrote:
>>
>>> имею
Результаты 1 - 100 из 714 matches
Mail list logo
