Вышел релиз freepbx17 на дебиан 12.

https://github.com/FreePBX/sng_freepbx_debian_install

прошлые версии перестают поддерживать.

может кто-то уже попробовал? впечатление, глюки и тд.?

Ubuntu Linux 22.04.5 + proftpd + fail2ban

Прикол с портами в конфиге jail.local.

Несколько месяцев не трогал фильтры f2b, систему апгрейдил, тут что-то приспичило)))

Меняю Max delay between matches и сохраняю, Ports to block ftp,ftp-data,ftps,ftps-data не трогал.

Получаю Failed to save jail : Invalid port name, number or range; use a single port name, number or a range in the form start:end; to specify multiple ports, separate them with commas

Вот с этим ftp-data,ftps-data не едет.

f2b стартует в конфигурации Ports to block ftp,20

Может кто сталкивался с таким приколом?

Уважаемые!

Плз подскажите, допускает ли синтаксис iptables заменять в адресе ip цифры на символ-агрегатор, например:

192.168.22.11

192.168.23.11

192.168.100.11

можно ли описать это как-то так 192.168.*.11 или как-то иначе?

допустима ли такая маска 255.255.0.255 ?

Уважаемые!

Плз подскажите, где можно доходчиво прочитать по синтаксису и настройкам fail2ban failregex?

что-то лыжи не едут))) задача усложнилась. есть аж 2 строки

2024/10/11 21:20:13 DEB [RTSP] [conn 91.193.177.93:21564] [s->c] RTSP/1.0 401 Unauthorized
CSeq: 2

сделал так

^.* DEB \[RTSP\] \[conn <HOST>:\d+\] \[s->c\] RTSP\/1\.0 401 Unauthorized\nCSeq: 2$

эмулятор находит, а f2b не находит, а без \nCSeq: 2 находит, но это нужный признак. Есть мысли?

Уважаемые!

Видимо, 22 порт самый востребованный для взлома.

Поставил в дроп row сеть, вижу по tcpdump, что пакеты от забаненной сети идут.

Как посмотреть где в системе эти пакеты дропаются?

Плз подскажите, примерно сколько максимально дропов может обрабатываться в секунду?

Чтобы это совсем не попадало на сервер, надо перед серваком ставить файрвол?

Уважаемые!

сейчас вношу сети в бан в мангл прерутинг.

плз подскажите, может есть еще более простые способы?

Вышел шибко косячный апгрейд Webmin 2.200))))

Не устанавливайте, ждите исправления)))

Приветствую, Уважаемые!

Конфигурация вебмин и proftpd на стандартных портах.

Возник вопрос, как правильно в инпут прописать разрешения для lo,

чтобы вебмин и его терминал работали, и lo не

задваивал обращения к proftpd.

Что посоветуете?

Сейчас работает такое и в таком прорядке:

# Generated by iptables-save v1.8.7 on Mon Jul  1 19:01:05 2024
*mangle
:PREROUTING ACCEPT [2988:648365]
:INPUT ACCEPT [2957:645796]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1993:679002]
:POSTROUTING ACCEPT [1993:679002]
COMMIT
# Completed on Mon Jul  1 19:01:05 2024
# Generated by iptables-save v1.8.7 on Mon Jul  1 19:01:05 2024
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1981:678570]
:f2b-proftpd - [0:0]
-A INPUT -p tcp -m multiport --dports 21,20,990,989 -j f2b-proftpd
-A INPUT -i lo -p tcp -m tcp ! --dport 21 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 49200:54000 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 3/sec --limit-burst 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 12/0 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
-A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 12/0 -j ACCEPT
-A OUTPUT -p icmp -j DROP
-A f2b-proftpd -s 59.46.124.38/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 58.226.181.97/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 40.71.29.110/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 35.205.205.158/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 211.149.132.198/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 194.71.217.74/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 177.54.147.173/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 119.28.71.111/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 104.199.31.214/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -s 103.6.223.149/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-proftpd -j RETURN
COMMIT
# Completed on Mon Jul  1 19:01:05 2024
# Generated by iptables-save v1.8.7 on Mon Jul  1 19:01:05 2024
*nat
:PREROUTING ACCEPT [950:109886]
:INPUT ACCEPT [173:8540]
:OUTPUT ACCEPT [17:1344]
:POSTROUTING ACCEPT [17:1344]
COMMIT
# Completed on Mon Jul  1 19:01:05 2024

Здравствуйте, Уважаемые!

Плз, подскажите, как настроить webmin, что бы он писал

инфо по аутентификации в файл /var/log/auth.log?

Приветствую, Уважаемые!

Я начинаю только, плз, яйцами не кидать))) У самого что-то не получается.

Нужно: Чтобы кто угодно набрал rtsp://user:pass@216.120.11.37:10500 и получил видео. Vps ubuntu+wireguard server 216.120.11.37, wg порт 41321, порт на который нужно пробросить ртсп камеру 10500. Адрес камеры на wg клиенте 192.168.5.10 порт 554. iptables умучал уже. С сервера через wg камера пингуется.

PostUp = iptables -I INPUT -p udp –dport 41321 -j ACCEPT

PostUp = iptables -I FORWARD -i ens18 -o wg0 -j ACCEPT

PostUp = iptables -t nat -A PREROUTING -p tcp -d 216.120.11.37 – dport 10500 -j DNAT –to-destination 192.168.5.10:554

#PostUp = iptables -I FORWARD -i wg0 -j ACCEPT

PostUp = iptables -t nat -A POSTROUTING -p tcp -d 192.168.5.10 -j SNAT –to-source 216.120.11.37:10500

PostUp = iptables -t nat -A POSTROUTING -o ens18 -j MASQUERADE

PostDown = iptables -D INPUT -p udp –dport 41321 -j ACCEPT

PostDown = iptables -D FORWARD -i ens18 -o wg0 -j ACCEPT

PostDown = iptables -t nat -A PREROUTING -p tcp -d 216.120.11.37 –dport 10500 -j DNAT –to-destination 192.168.5.10:554

#PostDown = iptables -D FORWARD -i wg0 -j ACCEPT

PostDown = iptables -t nat -D POSTROUTING -p tcp -d 192.168.5.10 -j SNAT –to-source 216.120.11.37:10500

PostDown = iptables -t nat -D POSTROUTING -o ens18 -j MASQUERADE

Уже неделю долблюсь об iptables))) Плз, помогите поправить!!!