Сообщения bart212k

ipv6 открыть порт 8082

Форум — Admin

Всем привет. Пытаюсь открыть порт 8082 наружу, посмотрите по правилам, всё ли норм?

/ # ip6tables –list

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     ipv6-icmp    anywhere             anywhere             ipv6-icmp !echo-request
ACCEPT     all      anywhere             ff00::/8
dslite     all      anywhere             anywhere
srvcntrl   all      anywhere             anywhere
fwports    all      anywhere             anywhere
fwinput    all      anywhere             anywhere
lan_access  all      anywhere             anywhere
ACCEPT     tcp      anywhere             anywhere             tcp dpt:8082
ACCEPT     ipv6-icmp    anywhere             anywhere             limit: avg 10/sec burst 5



Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     ipv6-icmp    anywhere             anywhere             ipv6-icmp !echo-request
ACCEPT     all      anywhere             ff00::/8
mapping    all      anywhere             anywhere
ipfilter   all      anywhere             anywhere
fwforward  all      anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain dslite (1 references)
target     prot opt source               destination

Chain fwforward (1 references)
target     prot opt source               destination

Chain fwinput (1 references)
target     prot opt source               destination

Chain fwports (1 references)
target     prot opt source               destination
DROP       tcp      anywhere             anywhere             tcp dpt:58000
ACCEPT     tcp      anywhere             anywhere             tcp dpt:58000
ACCEPT     udp      anywhere             anywhere             udp dpt:5060
ACCEPT     udp      anywhere             anywhere             udp dpts:4000:4012
ACCEPT     udp      anywhere             anywhere             udp dpt:dhcpv6-client

Chain ipfilter (1 references)
target     prot opt source               destination

Chain lan_access (1 references)
target     prot opt source               destination

Chain mapping (1 references)
target     prot opt source               destination

Chain srvcntrl (1 references)
target     prot opt source               destination

Chain webfilter (0 references)
target     prot opt source               destination

Chain webpolicy (0 references)
target     prot opt source               destination

Chain wfmode (0 references)
target     prot opt source               destination

ipv6

bart212k
(14.12.21 00:30:48 MSK)

5 комментариев

Нету других ip в ifconfig eth0:1 Итд

Форум — Admin

Всем привет. Вопрос на сервере добавлены IP, они раньше было в ifconfig и выводились так: eth0 - основной серверский eth0:1 - доп 1 eth0:2 - доп 2 итд

После ребута сервера они все пропали и при команде Ifconfig показывется только основной сервервский. хотя все остальные также работают и пингуются с другово инета т.е они в сети все IP при вводе команды ip a - есть. Вопрос это нормально что они не поднялись в ifconfig ? так впринципе все работает, просто удивлен почему их там нету?

bart212k
(28.12.20 00:26:53 MSK)

4 комментария

Хочу убрать софтовый RAID и подключить SSD. Как сделать грамотнее?

Форум — Linux-hardware

Всем привет. Сейчас на сервере CENTOS крутится в софтовом рейде 2 диска по 500 гб. Скорость низкая, да и пора их менять. Купил SSD в замен. Как бы безболезненно сделать замену убрав RAID, просто подключив SSD и скопировать с него всё?

raid0

bart212k
(21.10.20 15:03:37 MSK)

12 комментариев

Не работает IPv6 трафик, даже в локальной сети

Форум — Admin

Ребят такая проблема, есть роутер МГТС, там есть ipv6, но по каким-то причинам, он только пингуется из вне, а так чтобы попасть на какой-то порт не пускает... Вот думаю это провайдер глушит все порты на ipv6 кроме пинга или это iptables?

Поднял на 2222 порту SSH, из вне никак к нему не подключится, пишет следующее: The checked port (2222, service EtherNet/IP-1) is offline/unreachable

Reason: Connection refused (111)

iptables-save моего роутера... Посмотрите пож-та.


# Generated by iptables-save v1.4.16.3 on Fri Aug 14 12:06:49 2020
*raw
:PREROUTING ACCEPT [56800:10255250]
:OUTPUT ACCEPT [29614:30538625]
:HIGH_PRI_PACKETS - [0:0]
:HIGH_RING_SESSION - [0:0]
:RAW_PRE_ALGS - [0:0]
-A PREROUTING -j RAW_PRE_ALGS
-A PREROUTING -j HIGH_RING_SESSION
-A PREROUTING -j HIGH_PRI_PACKETS
-A OUTPUT -p udp -m multiport --sports 5060 -j CT --helper sip
-A HIGH_RING_SESSION -p igmp -j MARK --set-xmark 0x100000/0x100000
-A HIGH_RING_SESSION -p ipv6-icmp -j MARK --set-xmark 0x100000/0x100000
-A HIGH_RING_SESSION -p udp -m udp --sport 123 -j MARK --set-xmark 0x100000/0x100000
-A HIGH_RING_SESSION -p udp -m udp --sport 67 -j MARK --set-xmark 0x100000/0x100000
-A HIGH_RING_SESSION -p udp -m udp --sport 68 -j MARK --set-xmark 0x100000/0x100000
-A HIGH_RING_SESSION -p udp -m udp --dport 67 -j MARK --set-xmark 0x100000/0x100000
-A HIGH_RING_SESSION -p udp -m udp --dport 68 -j MARK --set-xmark 0x100000/0x100000
-A HIGH_RING_SESSION -p udp -m udp --sport 53 -j MARK --set-xmark 0x100000/0x100000
-A HIGH_RING_SESSION -p udp -m udp --dport 53 -j MARK --set-xmark 0x100000/0x100000
-A HIGH_RING_SESSION -p udp -m udp --sport 546 -j MARK --set-xmark 0x100000/0x100000
-A HIGH_RING_SESSION -p udp -m udp --sport 547 -j MARK --set-xmark 0x100000/0x100000
-A HIGH_RING_SESSION -p udp -m udp --dport 546 -j MARK --set-xmark 0x100000/0x100000
-A HIGH_RING_SESSION -p udp -m udp --dport 547 -j MARK --set-xmark 0x100000/0x100000
-A HIGH_RING_SESSION -p udp -m udp --dport 5060 -j MARK --set-xmark 0x100000/0x100000
-A HIGH_RING_SESSION -p tcp -m tcp --dport 7547 -j MARK --set-xmark 0x100000/0x100000
-A RAW_PRE_ALGS -p tcp -m multiport --dports 21 -j CT --helper ftp
-A RAW_PRE_ALGS -p tcp -m multiport --sports 21 -j CT --helper ftp
-A RAW_PRE_ALGS -p udp -m multiport --dports 69 -j CT --helper tftp
-A RAW_PRE_ALGS -p udp -m multiport --sports 69 -j CT --helper tftp
-A RAW_PRE_ALGS -p tcp -m multiport --dports 6667 -j CT --helper irc
-A RAW_PRE_ALGS -p tcp -m multiport --sports 6667 -j CT --helper irc
-A RAW_PRE_ALGS -p tcp -m multiport --dports 1723 -j CT --helper pptp
-A RAW_PRE_ALGS -p tcp -m multiport --sports 1723 -j CT --helper pptp
-A RAW_PRE_ALGS -p tcp -m multiport --dports 554 -j CT --helper rtsp
-A RAW_PRE_ALGS -p tcp -m multiport --sports 554 -j CT --helper rtsp
-A RAW_PRE_ALGS -p udp -m udp --sport 500 --dport 500 -j CT --helper ipsec
-A RAW_PRE_ALGS -p udp -m udp --sport 500 --dport 500 -j CT --helper ipsec
-A RAW_PRE_ALGS -p udp -m multiport --dports 1719 -j CT --helper RAS
-A RAW_PRE_ALGS -p udp -m multiport --sports 1719 -j CT --helper RAS
-A RAW_PRE_ALGS -p tcp -m multiport --dports 1720 -j CT --helper Q.931
-A RAW_PRE_ALGS -p tcp -m multiport --sports 1720 -j CT --helper Q.931
COMMIT
# Completed on Fri Aug 14 12:06:49 2020
# Generated by iptables-save v1.4.16.3 on Fri Aug 14 12:06:49 2020
*nat
:PREROUTING ACCEPT [50663:9219756]
:INPUT ACCEPT [4908:495637]
:OUTPUT ACCEPT [10971:1260971]
:POSTROUTING ACCEPT [10695:1178121]
:POST_DMZ - [0:0]
:POST_DMZ_WAN0 - [0:0]
:POST_DMZ_WAN1 - [0:0]
:POST_LOCAL - [0:0]
:POST_NAT - [0:0]
:POST_NAT_WAN0 - [0:0]
:POST_NAT_WAN1 - [0:0]
:POST_PORT_MAP - [0:0]
:POST_PORT_MAP_WAN0 - [0:0]
:POST_PORT_MAP_WAN1 - [0:0]
:POST_PORT_TRG - [0:0]
:POST_PORT_TRG_WAN0 - [0:0]
:POST_PORT_TRG_WAN1 - [0:0]
:POST_SNAT - [0:0]
:POST_SNAT_WAN0 - [0:0]
:POST_SNAT_WAN1 - [0:0]
:PRE_DMZ - [0:0]
:PRE_DMZ_WAN0 - [0:0]
:PRE_DMZ_WAN1 - [0:0]
:PRE_LOCAL - [0:0]
:PRE_MGNT_LAN - [0:0]
:PRE_MGNT_WAN - [0:0]
:PRE_PORT_MAP - [0:0]
:PRE_PORT_MAP_WAN0 - [0:0]
:PRE_PORT_MAP_WAN1 - [0:0]
:PRE_PORT_TRG - [0:0]
:PRE_PORT_TRG_WAN0 - [0:0]
:PRE_PORT_TRG_WAN1 - [0:0]
:PRE_SNAT - [0:0]
:PRE_SNAT_WAN0 - [0:0]
:PRE_SNAT_WAN1 - [0:0]
:PRE_UPNP - [0:0]
-A PREROUTING -j PRE_LOCAL
-A PREROUTING -j PRE_SNAT
-A PREROUTING -j PRE_PORT_TRG
-A PREROUTING -j PRE_PORT_MAP
-A PREROUTING -j PRE_UPNP
-A PREROUTING -j PRE_DMZ
-A POSTROUTING -j POST_LOCAL
-A POSTROUTING -j POST_SNAT
-A POSTROUTING -j POST_DMZ
-A POSTROUTING -j POST_PORT_TRG
-A POSTROUTING -j POST_PORT_MAP
-A POSTROUTING -j POST_NAT
-A POST_DMZ -m connmark ! --mark 0x2/0x3e -j POST_DMZ_WAN1
-A POST_DMZ -m connmark ! --mark 0x2/0x3e -j POST_DMZ_WAN0
-A POST_NAT -o nas1 -j POST_NAT_WAN1
-A POST_NAT -o nas0 -j POST_NAT_WAN0
-A POST_NAT_WAN0 -s 192.168.0.0/16 -o nas0 -j MASQUERADE
-A POST_NAT_WAN0 -s 172.16.0.0/12 -o nas0 -j MASQUERADE
-A POST_NAT_WAN0 -s 10.0.0.0/8 -o nas0 -j MASQUERADE
-A POST_NAT_WAN1 -s 192.168.0.0/16 -o nas1 -j MASQUERADE
-A POST_NAT_WAN1 -s 172.16.0.0/12 -o nas1 -j MASQUERADE
-A POST_NAT_WAN1 -s 10.0.0.0/8 -o nas1 -j MASQUERADE
-A POST_PORT_MAP -m connmark ! --mark 0x2/0x3e -j POST_PORT_MAP_WAN1
-A POST_PORT_MAP -m connmark ! --mark 0x2/0x3e -j POST_PORT_MAP_WAN0
-A POST_PORT_MAP_WAN0 -s 192.168.1.0/24 -d 192.168.1.74/32 -p tcp -m tcp --dport 2222 -j SNAT --to-source 10.132.33.183
-A POST_PORT_TRG -o nas1 -j POST_PORT_TRG_WAN1
-A POST_PORT_TRG -o nas0 -j POST_PORT_TRG_WAN0
-A POST_SNAT -o nas1 -j POST_SNAT_WAN1
-A POST_SNAT -o nas0 -j POST_SNAT_WAN0
-A PRE_DMZ -j PRE_DMZ_WAN1
-A PRE_DMZ -j PRE_DMZ_WAN0
-A PRE_LOCAL -m helper --helper sip -j ACCEPT
-A PRE_LOCAL ! -i br0 -p udp -m udp --dport 68 -j ACCEPT
-A PRE_LOCAL -i br0 -j PRE_MGNT_LAN
-A PRE_LOCAL ! -i br0 -j PRE_MGNT_WAN
-A PRE_LOCAL -i nas0 -p tcp -m tcp --dport 7547 -j ACCEPT
-A PRE_MGNT_LAN -i br0 -p tcp -m tcp --dport 80 -j DNAT --to-destination :80
-A PRE_MGNT_LAN -i br0 -p tcp -m tcp --dport 23 -j DNAT --to-destination :23
-A PRE_MGNT_LAN -i br0 -p tcp -m tcp --dport 22 -j DNAT --to-destination :22
-A PRE_MGNT_WAN -i nas0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination :80
-A PRE_PORT_MAP -j PRE_PORT_MAP_WAN1
-A PRE_PORT_MAP -j PRE_PORT_MAP_WAN0
-A PRE_PORT_MAP_WAN0 -d 10.132.33.183/32 -p tcp -m tcp --dport 8888 -j DNAT --to-destination 192.168.1.74:2222 --base 8888
-A PRE_PORT_TRG -i nas1 -j PRE_PORT_TRG_WAN1
-A PRE_PORT_TRG -i nas0 -j PRE_PORT_TRG_WAN0
-A PRE_SNAT -i nas1 -j PRE_SNAT_WAN1
-A PRE_SNAT -i nas0 -j PRE_SNAT_WAN0
COMMIT
# Completed on Fri Aug 14 12:06:49 2020
# Generated by iptables-save v1.4.16.3 on Fri Aug 14 12:06:49 2020
*mangle
:PREROUTING ACCEPT [174662:34786758]
:INPUT ACCEPT [84792:10583073]
:FORWARD ACCEPT [44033:15567447]
:OUTPUT ACCEPT [76207:45011655]
:POSTROUTING ACCEPT [120841:60600093]
:DNS_DSCP - [0:0]
:DNS_PBIT - [0:0]
:IGMP_DSCP - [0:0]
:IGMP_PBIT - [0:0]
:IP_PING_DSCP - [0:0]
:IP_PING_PBIT - [0:0]
:MGNT_DSCP - [0:0]
:MGNT_PBIT - [0:0]
:NTP_DSCP - [0:0]
:NTP_PBIT - [0:0]
:OUTPUT_QOS_CLS_POLICY - [0:0]
:POST_QOS_CLS_POLICY - [0:0]
:POST_QOS_CLS_POLICY_WAN - [0:0]
:PRE_DRP - [0:0]
:PRE_QOS_CLS_POLICY - [0:0]
:PRE_QOS_CLS_POLICY_WAN - [0:0]
:PRE_QOS_CLS_WLAN_MAIN - [0:0]
:PRE_RP - [0:0]
:REMOTE_ACCESS - [0:0]
:VOIP - [0:0]
-A PREROUTING -i br0 -j PRE_DRP
-A PREROUTING -i br0 -j PRE_RP
-A PREROUTING -j REMOTE_ACCESS
-A PREROUTING -j PRE_QOS_CLS_POLICY
-A FORWARD -o br0 -m dscp --dscp 0x08 -j SC_MARK --set-xmark 0x400/0xffffffff
-A FORWARD -o br0 -m dscp --dscp 0x08 -j RETURN
-A OUTPUT -j MGNT_DSCP
-A OUTPUT -j MGNT_PBIT
-A OUTPUT -j VOIP
-A OUTPUT -j DNS_DSCP
-A OUTPUT -j DNS_PBIT
-A OUTPUT -j IGMP_DSCP
-A OUTPUT -j IGMP_PBIT
-A OUTPUT -j IP_PING_DSCP
-A OUTPUT -j IP_PING_PBIT
-A OUTPUT -p udp -m udp --dport 123 -j NTP_DSCP
-A OUTPUT -p udp -m udp --dport 123 -j NTP_PBIT
-A OUTPUT -j OUTPUT_QOS_CLS_POLICY
-A POSTROUTING -j POST_QOS_CLS_POLICY
-A POST_QOS_CLS_POLICY -o nas0+ -j POST_QOS_CLS_POLICY_WAN
-A POST_QOS_CLS_POLICY -o nas1+ -j POST_QOS_CLS_POLICY_WAN
-A POST_QOS_CLS_POLICY -o nas2+ -j POST_QOS_CLS_POLICY_WAN
-A POST_QOS_CLS_POLICY -o nas3+ -j POST_QOS_CLS_POLICY_WAN
-A POST_QOS_CLS_POLICY -o nas4+ -j POST_QOS_CLS_POLICY_WAN
-A POST_QOS_CLS_POLICY -o ppp+ -j POST_QOS_CLS_POLICY_WAN
-A PRE_QOS_CLS_POLICY -i nas0+ -j PRE_QOS_CLS_POLICY_WAN
-A PRE_QOS_CLS_POLICY -i nas1+ -j PRE_QOS_CLS_POLICY_WAN
-A PRE_QOS_CLS_POLICY -i nas2+ -j PRE_QOS_CLS_POLICY_WAN
-A PRE_QOS_CLS_POLICY -i nas3+ -j PRE_QOS_CLS_POLICY_WAN
-A PRE_QOS_CLS_POLICY -i nas4+ -j PRE_QOS_CLS_POLICY_WAN
-A PRE_QOS_CLS_POLICY -i ppp+ -j PRE_QOS_CLS_POLICY_WAN
-A PRE_QOS_CLS_POLICY -i ra0 -j PRE_QOS_CLS_WLAN_MAIN
-A PRE_QOS_CLS_POLICY -i ra1 -j PRE_QOS_CLS_WLAN_MAIN
-A REMOTE_ACCESS -i br0 -p tcp -m tcp --dport 80 -j CONNMARK --set-xmark 0x1/0x1
-A REMOTE_ACCESS -i br0 -p tcp -m tcp --dport 23 -j CONNMARK --set-xmark 0x1/0x1
-A REMOTE_ACCESS -i br0 -p tcp -m tcp --dport 22 -j CONNMARK --set-xmark 0x1/0x1
-A REMOTE_ACCESS -i nas0 -p tcp -m tcp --dport 8080 -j CONNMARK --set-xmark 0x1/0x1
-A VOIP -p udp -m udp --sport 5060 -j MARK --set-xmark 0x200000/0x200000
-A VOIP -p udp -m udp --sport 50000:60000 -j MARK --set-xmark 0x200000/0x200000
-A VOIP -p udp -m udp --sport 5060 -j MARK --set-xmark 0x1000000/0x1c00000
-A VOIP -p udp -m udp --sport 50000:60000 -j MARK --set-xmark 0x1800000/0x1c00000
COMMIT
# Completed on Fri Aug 14 12:06:49 2020
# Generated by iptables-save v1.4.16.3 on Fri Aug 14 12:06:49 2020
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [444:52773]
:FWD_ADVANCED - [0:0]
:FWD_ALGS - [0:0]
:FWD_ALGS_H.245 - [0:0]
:FWD_ALGS_Q.931 - [0:0]
:FWD_ALGS_RAS - [0:0]
:FWD_ALGS_ftp - [0:0]
:FWD_ALGS_ipsec - [0:0]
:FWD_ALGS_irc - [0:0]
:FWD_ALGS_l2tp - [0:0]
:FWD_ALGS_pptp - [0:0]
:FWD_ALGS_rtsp - [0:0]
:FWD_ALGS_sip - [0:0]
:FWD_ALGS_tftp - [0:0]
:FWD_DMZ - [0:0]
:FWD_DMZ_WAN0 - [0:0]
:FWD_DMZ_WAN1 - [0:0]
:FWD_DOS_WAN0 - [0:0]
:FWD_DOS_WAN1 - [0:0]
:FWD_FW - [0:0]
:FWD_GENERAL - [0:0]
:FWD_ICMP - [0:0]
:FWD_LOCK - [0:0]
:FWD_LOCK_LAN - [0:0]
:FWD_LOCK_WAN0 - [0:0]
:FWD_LOCK_WAN1 - [0:0]
:FWD_PARENT_CTRL - [0:0]
:FWD_POLICY - [0:0]
:FWD_POLICY_IN_LAN - [0:0]
:FWD_POLICY_IN_WAN0 - [0:0]
:FWD_POLICY_IN_WAN1 - [0:0]
:FWD_POLICY_OUT_LAN - [0:0]
:FWD_POLICY_OUT_WAN0 - [0:0]
:FWD_POLICY_OUT_WAN1 - [0:0]
:FWD_PORT_MAP - [0:0]
:FWD_PORT_MAP_WAN0 - [0:0]
:FWD_PORT_MAP_WAN1 - [0:0]
:FWD_PORT_TRG - [0:0]
:FWD_PORT_TRG_WAN0 - [0:0]
:FWD_PORT_TRG_WAN1 - [0:0]
:FWD_SHORT - [0:0]
:FWD_SKIP - [0:0]
:FWD_SNAT - [0:0]
:FWD_SNAT_WAN0 - [0:0]
:FWD_SNAT_WAN1 - [0:0]
:FWD_SPI - [0:0]
:FWD_TCPMSS - [0:0]
:FWD_TCPSCAN0 - [0:0]
:FWD_TCPSCAN1 - [0:0]
:FWD_UPNP - [0:0]
:FWD_URL_FILTER - [0:0]
:FWD_VPN - [0:0]
:FWD_WHITE_BLACK - [0:0]
:INPUT_DOS_LAN - [0:0]
:INPUT_DOS_WAN0 - [0:0]
:INPUT_DOS_WAN1 - [0:0]
:INPUT_FRAGGLE_LAN - [0:0]
:INPUT_FRAGGLE_WAN0 - [0:0]
:INPUT_FRAGGLE_WAN1 - [0:0]
:INPUT_FW - [0:0]
:INPUT_LAN_SRC - [0:0]
:INPUT_MGNT - [0:0]
:INPUT_MGNT_LAN - [0:0]
:INPUT_MGNT_WAN - [0:0]
:INPUT_MGNT_WAN0 - [0:0]
:INPUT_MGNT_WAN1 - [0:0]
:INPUT_MGNT_WAN_TRUST_NETWORK - [0:0]
:INPUT_REPLY_PING - [0:0]
:INPUT_RESPONSE_PING - [0:0]
:INPUT_SHORT - [0:0]
:INPUT_SMURF_LAN - [0:0]
:INPUT_SMURF_WAN0 - [0:0]
:INPUT_SMURF_WAN1 - [0:0]
:INPUT_SPI - [0:0]
:INPUT_TCPSCAN0 - [0:0]
:INPUT_TCPSCAN1 - [0:0]
:INPUT_WAN_SERVICE0 - [0:0]
:INPUT_WAN_SERVICE1 - [0:0]
:INPUT_WINNUKE_LAN - [0:0]
:INPUT_WINNUKE_WAN0 - [0:0]
:INPUT_WINNUKE_WAN1 - [0:0]
:udpEcho_packets - [0:0]
-A INPUT -p igmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j INPUT_MGNT
-A INPUT -j INPUT_SHORT
-A INPUT -j INPUT_REPLY_PING
-A INPUT -j INPUT_FW
-A INPUT -j INPUT_SPI
-A INPUT -i eth0.6.10 -j ACCEPT
-A INPUT -j udpEcho_packets
-A FORWARD -j FWD_WHITE_BLACK
-A FORWARD -j FWD_SKIP
-A FORWARD -j FWD_PARENT_CTRL
-A FORWARD -j FWD_URL_FILTER
-A FORWARD -j FWD_GENERAL
-A FORWARD -j FWD_TCPMSS
-A FORWARD -j FWD_LOCK
-A FORWARD -j FWD_POLICY
-A FORWARD -j FWD_ADVANCED
-A FORWARD -j FWD_SHORT
-A FORWARD -j FWD_PORT_TRG
-A FORWARD -j FWD_SNAT
-A FORWARD -j FWD_PORT_MAP
-A FORWARD -j FWD_UPNP
-A FORWARD -j FWD_DMZ
-A FORWARD -j FWD_VPN
-A FORWARD -j FWD_ALGS
-A FORWARD -j FWD_FW
-A FORWARD -j FWD_SPI
-A FORWARD -j FWD_ICMP
-A OUTPUT -j CONNMARK --set-xmark 0x2/0x3e
-A OUTPUT -o br0 -p icmp -j ACCEPT
-A OUTPUT -p icmp -m conntrack --ctstate INVALID -j DROP
-A FWD_ALGS -j FWD_ALGS_l2tp
-A FWD_ALGS -j FWD_ALGS_ftp
-A FWD_ALGS -j FWD_ALGS_tftp
-A FWD_ALGS -j FWD_ALGS_sip
-A FWD_ALGS -j FWD_ALGS_pptp
-A FWD_ALGS -j FWD_ALGS_rtsp
-A FWD_ALGS -j FWD_ALGS_ipsec
-A FWD_ALGS -j FWD_ALGS_irc
-A FWD_ALGS -j FWD_ALGS_RAS
-A FWD_ALGS -j FWD_ALGS_Q.931
-A FWD_ALGS -j FWD_ALGS_H.245
-A FWD_ALGS_Q.931 -p tcp -m multiport --sports 1720 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FWD_ALGS_Q.931 -p tcp -m multiport --dports 1720 -j ACCEPT
-A FWD_ALGS_Q.931 -m helper --helper "Q.931" -j ACCEPT
-A FWD_ALGS_RAS -p udp -m multiport --dports 1718 -j ACCEPT
-A FWD_ALGS_RAS -p udp -m multiport --sports 1718 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FWD_ALGS_RAS -p udp -m multiport --sports 1719 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FWD_ALGS_RAS -p udp -m multiport --dports 1719 -j ACCEPT
-A FWD_ALGS_RAS -m helper --helper RAS -j ACCEPT
-A FWD_ALGS_RAS -p tcp -m multiport --dports 1503 -j ACCEPT
-A FWD_ALGS_RAS -p tcp -m multiport --sports 1503 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FWD_ALGS_ftp -p tcp -m multiport --sports 21 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FWD_ALGS_ftp -p tcp -m multiport --dports 21 -j ACCEPT
-A FWD_ALGS_ftp -m helper --helper ftp -j ACCEPT
-A FWD_ALGS_ipsec -p esp -j ACCEPT
-A FWD_ALGS_ipsec -p ah -j ACCEPT
-A FWD_ALGS_ipsec -p udp -m udp --sport 500 --dport 500 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FWD_ALGS_ipsec -p udp -m udp --sport 500 --dport 500 -j ACCEPT
-A FWD_ALGS_ipsec -m helper --helper ipsec -j ACCEPT
-A FWD_ALGS_irc -p tcp -m multiport --sports 6667 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FWD_ALGS_irc -p tcp -m multiport --dports 6667 -j ACCEPT
-A FWD_ALGS_irc -m helper --helper irc -j ACCEPT
-A FWD_ALGS_l2tp -p udp -m multiport --sports 1701 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FWD_ALGS_l2tp -p udp -m multiport --dports 1701 -j ACCEPT
-A FWD_ALGS_pptp -p tcp -m multiport --sports 1723 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FWD_ALGS_pptp -p tcp -m multiport --dports 1723 -j ACCEPT
-A FWD_ALGS_pptp -m helper --helper pptp -j ACCEPT
-A FWD_ALGS_rtsp -p tcp -m multiport --sports 554 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FWD_ALGS_rtsp -p tcp -m multiport --dports 554 -j ACCEPT
-A FWD_ALGS_rtsp -m helper --helper rtsp -j ACCEPT
-A FWD_ALGS_tftp -p udp -m multiport --sports 69 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FWD_ALGS_tftp -p udp -m multiport --dports 69 -j ACCEPT
-A FWD_ALGS_tftp -m helper --helper tftp -j ACCEPT
-A FWD_DMZ -i nas1 -j FWD_DMZ_WAN1
-A FWD_DMZ -i nas0 -j FWD_DMZ_WAN0
-A FWD_DOS_WAN0 -p udp -m limit --limit 100/sec --limit-burst 100 -m conntrack --ctstate INVALID,NEW -j RETURN
-A FWD_DOS_WAN0 -p udp -m limit --limit 1/min --limit-burst 1 -m conntrack --ctstate INVALID,NEW -j LOG --log-prefix "{Firewall-33554433,300} UDP flood attack from WAN0 has been detected,"
-A FWD_DOS_WAN0 -p udp -m conntrack --ctstate INVALID,NEW -j DROP
-A FWD_DOS_WAN1 -p udp -m limit --limit 100/sec --limit-burst 100 -m conntrack --ctstate INVALID,NEW -j RETURN
-A FWD_DOS_WAN1 -p udp -m limit --limit 1/min --limit-burst 1 -m conntrack --ctstate INVALID,NEW -j LOG --log-prefix "{Firewall-33554433,300} UDP flood attack from WAN1 has been detected,"
-A FWD_DOS_WAN1 -p udp -m conntrack --ctstate INVALID,NEW -j DROP
-A FWD_FW -i nas1 -p udp -j FWD_DOS_WAN1
-A FWD_FW -i nas1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j FWD_TCPSCAN1
-A FWD_FW -i nas1 -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j FWD_TCPSCAN1
-A FWD_FW -i nas1 -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j FWD_TCPSCAN1
-A FWD_FW -i nas1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j FWD_TCPSCAN1
-A FWD_FW -i nas1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j FWD_TCPSCAN1
-A FWD_FW -i nas1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j FWD_TCPSCAN1
-A FWD_FW -i nas1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j FWD_TCPSCAN1
-A FWD_FW -i nas1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG RST -j FWD_TCPSCAN1
-A FWD_FW -i nas0 -p udp -j FWD_DOS_WAN0
-A FWD_FW -i nas0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j FWD_TCPSCAN0
-A FWD_FW -i nas0 -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j FWD_TCPSCAN0
-A FWD_FW -i nas0 -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j FWD_TCPSCAN0
-A FWD_FW -i nas0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j FWD_TCPSCAN0
-A FWD_FW -i nas0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j FWD_TCPSCAN0
-A FWD_FW -i nas0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j FWD_TCPSCAN0
-A FWD_FW -i nas0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j FWD_TCPSCAN0
-A FWD_FW -i nas0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG RST -j FWD_TCPSCAN0
-A FWD_ICMP -i br0 -p icmp -j ACCEPT
-A FWD_LOCK -i br0 ! -o br0 -j FWD_LOCK_LAN
-A FWD_LOCK -i nas1 -j FWD_LOCK_WAN1
-A FWD_LOCK -i nas0 -j FWD_LOCK_WAN0
-A FWD_POLICY -i br0 -j FWD_POLICY_IN_LAN
-A FWD_POLICY -o br0 -j FWD_POLICY_OUT_LAN
-A FWD_POLICY -i nas1 -j FWD_POLICY_IN_WAN1
-A FWD_POLICY -o nas1 -j FWD_POLICY_OUT_WAN1
-A FWD_POLICY -i nas0 -j FWD_POLICY_IN_WAN0
-A FWD_POLICY -o nas0 -j FWD_POLICY_OUT_WAN0
-A FWD_PORT_MAP -i nas1 -j FWD_PORT_MAP_WAN1
-A FWD_PORT_MAP -i nas0 -j FWD_PORT_MAP_WAN0
-A FWD_PORT_MAP_WAN0 -d 192.168.1.74/32 -i nas0 -j LOG --log-prefix "[PortMapping], ACCEPT"
-A FWD_PORT_MAP_WAN0 -d 192.168.1.74/32 -i nas0 -j ACCEPT
-A FWD_PORT_TRG -i nas1 -j FWD_PORT_TRG_WAN1
-A FWD_PORT_TRG -i nas0 -j FWD_PORT_TRG_WAN0
-A FWD_SHORT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A FWD_SHORT -p icmp -m conntrack --ctstate RELATED -j ACCEPT
-A FWD_SKIP -d 224.0.0.0/4 -j ACCEPT
-A FWD_SNAT -i nas1 -j FWD_SNAT_WAN1
-A FWD_SNAT -i nas0 -j FWD_SNAT_WAN0
-A FWD_SPI -i br0 -m conntrack --ctstate NEW -j ACCEPT
-A FWD_TCPMSS -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FWD_TCPSCAN0 -m limit --limit 10/sec --limit-burst 1 -j RETURN
-A FWD_TCPSCAN0 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "[Firewall] TCP Scan"
-A FWD_TCPSCAN0 -j DROP
-A FWD_TCPSCAN1 -m limit --limit 10/sec --limit-burst 1 -j RETURN
-A FWD_TCPSCAN1 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "[Firewall] TCP Scan"
-A FWD_TCPSCAN1 -j DROP
-A INPUT_DOS_LAN -p udp -m limit --limit 100/sec --limit-burst 100 -m conntrack --ctstate INVALID,NEW -j RETURN
-A INPUT_DOS_LAN -p udp -m limit --limit 1/min --limit-burst 1 -m conntrack --ctstate INVALID,NEW -j LOG --log-prefix "{Firewall-33554434,300} UDP flood attack from LAN has been detected,"
-A INPUT_DOS_LAN -p icmp -m limit --limit 100/sec --limit-burst 100 -m conntrack --ctstate INVALID,NEW -j RETURN
-A INPUT_DOS_LAN -p icmp -m limit --limit 1/min --limit-burst 1 -m conntrack --ctstate INVALID,NEW -j LOG --log-prefix "{Firewall-33554436,300} ICMP flood attack from LAN has been detected,"
-A INPUT_DOS_WAN0 -p udp -m limit --limit 100/sec --limit-burst 100 -m conntrack --ctstate INVALID,NEW -j RETURN
-A INPUT_DOS_WAN0 -p udp -m limit --limit 1/min --limit-burst 1 -m conntrack --ctstate INVALID,NEW -j LOG --log-prefix "{Firewall-33554433,300} UDP flood attack from WAN0 has been detected,"
-A INPUT_DOS_WAN0 -p udp -m conntrack --ctstate INVALID,NEW -j DROP
-A INPUT_DOS_WAN0 -p icmp -m limit --limit 100/sec --limit-burst 100 -m conntrack --ctstate INVALID,NEW -j RETURN
-A INPUT_DOS_WAN0 -p icmp -m limit --limit 1/min --limit-burst 1 -m conntrack --ctstate INVALID,NEW -j LOG --log-prefix "{Firewall-33554433,300} ICMP flood attack from WAN0 has been detected,"
-A INPUT_DOS_WAN0 -p icmp -m conntrack --ctstate INVALID,NEW -j DROP
-A INPUT_DOS_WAN0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 100/sec --limit-burst 100 -j RETURN
-A INPUT_DOS_WAN0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "{Firewall-33554433,300} TCP SYN flood attack from WAN0 has been detected,"
-A INPUT_DOS_WAN0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT_DOS_WAN0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -m limit --limit 100/sec --limit-burst 100 -j RETURN
-A INPUT_DOS_WAN0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "{Firewall-33554433,300} TCP FIN flood attack from WAN0 has been detected,"
-A INPUT_DOS_WAN0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j DROP
-A INPUT_DOS_WAN1 -p udp -m limit --limit 100/sec --limit-burst 100 -m conntrack --ctstate INVALID,NEW -j RETURN
-A INPUT_DOS_WAN1 -p udp -m limit --limit 1/min --limit-burst 1 -m conntrack --ctstate INVALID,NEW -j LOG --log-prefix "{Firewall-33554433,300} UDP flood attack from WAN1 has been detected,"
-A INPUT_DOS_WAN1 -p udp -m conntrack --ctstate INVALID,NEW -j DROP
-A INPUT_DOS_WAN1 -p icmp -m limit --limit 100/sec --limit-burst 100 -m conntrack --ctstate INVALID,NEW -j RETURN
-A INPUT_DOS_WAN1 -p icmp -m limit --limit 1/min --limit-burst 1 -m conntrack --ctstate INVALID,NEW -j LOG --log-prefix "{Firewall-33554433,300} ICMP flood attack from WAN1 has been detected,"
-A INPUT_DOS_WAN1 -p icmp -m conntrack --ctstate INVALID,NEW -j DROP
-A INPUT_DOS_WAN1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 100/sec --limit-burst 100 -j RETURN
-A INPUT_DOS_WAN1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "{Firewall-33554433,300} TCP SYN flood attack from WAN1 has been detected,"
-A INPUT_DOS_WAN1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT_DOS_WAN1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -m limit --limit 100/sec --limit-burst 100 -j RETURN
-A INPUT_DOS_WAN1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "{Firewall-33554433,300} TCP FIN flood attack from WAN1 has been detected,"
-A INPUT_DOS_WAN1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j DROP
-A INPUT_FRAGGLE_LAN -m limit --limit 10/sec --limit-burst 20 -j RETURN
-A INPUT_FRAGGLE_LAN -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "{Firewall-33554442,300} Fraggle attack from LAN has been detected, DROP"
-A INPUT_FRAGGLE_LAN -j DROP
-A INPUT_FRAGGLE_WAN0 -m limit --limit 10/sec --limit-burst 20 -j RETURN
-A INPUT_FRAGGLE_WAN0 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "{Firewall-33554441,300} Fraggle attack from WAN0 has been detected, DROP"
-A INPUT_FRAGGLE_WAN0 -j DROP
-A INPUT_FRAGGLE_WAN1 -m limit --limit 10/sec --limit-burst 20 -j RETURN
-A INPUT_FRAGGLE_WAN1 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "{Firewall-33554441,300} Fraggle attack from WAN1 has been detected, DROP"
-A INPUT_FRAGGLE_WAN1 -j DROP
-A INPUT_FW -i br0 -p udp -j INPUT_DOS_LAN
-A INPUT_FW -i br0 -p icmp -j INPUT_DOS_LAN
-A INPUT_FW -i br0 -p tcp -m multiport --dports 137,138,139,113,53 -m tcp --tcp-flags URG URG -j INPUT_WINNUKE_LAN
-A INPUT_FW -i br0 -p icmp -m icmp --icmp-type 8 -m addrtype --dst-type BROADCAST -j INPUT_SMURF_LAN
-A INPUT_FW -i br0 -p udp -m addrtype --dst-type BROADCAST -j INPUT_FRAGGLE_LAN
-A INPUT_FW ! -i br0 -p icmp -j INPUT_RESPONSE_PING
-A INPUT_FW -s 192.168.1.0/24 ! -i br0 -p tcp -j INPUT_LAN_SRC
-A INPUT_FW -s 192.168.1.0/24 ! -i br0 -p udp -j INPUT_LAN_SRC
-A INPUT_FW -i nas1 -p udp -j INPUT_WAN_SERVICE1
-A INPUT_FW -i nas1 -p tcp -j INPUT_WAN_SERVICE1
-A INPUT_FW -i nas1 -p udp -j INPUT_DOS_WAN1
-A INPUT_FW -i nas1 -p icmp -j INPUT_DOS_WAN1
-A INPUT_FW -i nas1 -p tcp -m multiport --dports 137,138,139,113,53 -m tcp --tcp-flags URG URG -j INPUT_WINNUKE_WAN1
-A INPUT_FW -i nas1 -p icmp -m icmp --icmp-type 8 -m addrtype --dst-type BROADCAST -j INPUT_SMURF_WAN1
-A INPUT_FW -i nas1 -p udp -m addrtype --dst-type BROADCAST -j INPUT_FRAGGLE_WAN1
-A INPUT_FW -i nas1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j INPUT_TCPSCAN1
-A INPUT_FW -i nas1 -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j INPUT_TCPSCAN1
-A INPUT_FW -i nas1 -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j INPUT_TCPSCAN1
-A INPUT_FW -i nas1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j INPUT_TCPSCAN1
-A INPUT_FW -i nas1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j INPUT_TCPSCAN1
-A INPUT_FW -i nas1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j INPUT_TCPSCAN1
-A INPUT_FW -i nas1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j INPUT_TCPSCAN1
-A INPUT_FW -i nas1 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG RST -j INPUT_TCPSCAN1
-A INPUT_FW -i nas0 -p udp -j INPUT_WAN_SERVICE0
-A INPUT_FW -i nas0 -p tcp -j INPUT_WAN_SERVICE0
-A INPUT_FW -i nas0 -p udp -j INPUT_DOS_WAN0
-A INPUT_FW -i nas0 -p icmp -j INPUT_DOS_WAN0
-A INPUT_FW -i nas0 -p tcp -m multiport --dports 137,138,139,113,53 -m tcp --tcp-flags URG URG -j INPUT_WINNUKE_WAN0
-A INPUT_FW -i nas0 -p icmp -m icmp --icmp-type 8 -m addrtype --dst-type BROADCAST -j INPUT_SMURF_WAN0
-A INPUT_FW -i nas0 -p udp -m addrtype --dst-type BROADCAST -j INPUT_FRAGGLE_WAN0
-A INPUT_FW -i nas0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j INPUT_TCPSCAN0
-A INPUT_FW -i nas0 -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j INPUT_TCPSCAN0
-A INPUT_FW -i nas0 -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j INPUT_TCPSCAN0
-A INPUT_FW -i nas0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j INPUT_TCPSCAN0
-A INPUT_FW -i nas0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j INPUT_TCPSCAN0
-A INPUT_FW -i nas0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j INPUT_TCPSCAN0
-A INPUT_FW -i nas0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j INPUT_TCPSCAN0
-A INPUT_FW -i nas0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG RST -j INPUT_TCPSCAN0
-A INPUT_LAN_SRC -m limit --limit 10/sec --limit-burst 10 -j RETURN
-A INPUT_LAN_SRC -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "{Firewall-33554443,300} LAN source attack from WAN has been detected, DROP"
-A INPUT_LAN_SRC -j DROP
-A INPUT_MGNT -p udp -m udp --dport 68 -j ACCEPT
-A INPUT_MGNT -i br0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT_MGNT -i br0 -j INPUT_MGNT_LAN
-A INPUT_MGNT ! -i br0 -j INPUT_MGNT_WAN
-A INPUT_MGNT_LAN -i br0 -p tcp -m tcp --dport 80 -m connmark --mark 0x1/0x1 -j ACCEPT
-A INPUT_MGNT_LAN -i br0 -p tcp -m tcp --dport 80 -j DROP
-A INPUT_MGNT_LAN -i br0 -p tcp -m tcp --dport 443 -j DROP
-A INPUT_MGNT_LAN -i br0 -p tcp -m tcp --dport 23 -m connmark --mark 0x1/0x1 -j ACCEPT
-A INPUT_MGNT_LAN -i br0 -p tcp -m tcp --dport 23 -j DROP
-A INPUT_MGNT_LAN -i br0 -p tcp -m tcp --dport 22 -m connmark --mark 0x1/0x1 -j ACCEPT
-A INPUT_MGNT_LAN -i br0 -p tcp -m tcp --dport 22 -j DROP
-A INPUT_MGNT_LAN -i br0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT_MGNT_WAN -i nas1 -j INPUT_MGNT_WAN1
-A INPUT_MGNT_WAN -i nas0 -j INPUT_MGNT_WAN0
-A INPUT_MGNT_WAN -i nas0 -p tcp -m tcp --dport 80 -m connmark --mark 0x1/0x1 -j ACCEPT
-A INPUT_MGNT_WAN -i nas0 -p tcp -m tcp --dport 80 -j DROP
-A INPUT_MGNT_WAN -i nas0 -p tcp -m tcp --dport 443 -j DROP
-A INPUT_MGNT_WAN -i nas0 -p tcp -m tcp --dport 23 -j DROP
-A INPUT_MGNT_WAN -i nas0 -p tcp -m tcp --dport 22 -j DROP
-A INPUT_MGNT_WAN -i nas0 -p tcp -m tcp --dport 7547 -j ACCEPT
-A INPUT_MGNT_WAN -i nas0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT_MGNT_WAN_TRUST_NETWORK -j DROP
-A INPUT_SHORT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT_SMURF_LAN -m limit --limit 10/sec --limit-burst 20 -j RETURN
-A INPUT_SMURF_LAN -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "{Firewall-33554440,300} Smurf attack from LAN has been detected, DROP"
-A INPUT_SMURF_LAN -j DROP
-A INPUT_SMURF_WAN0 -m limit --limit 10/sec --limit-burst 10 -j RETURN
-A INPUT_SMURF_WAN0 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "{Firewall-33554439,300} Smurf attack from WAN0 has been detected, DROP"
-A INPUT_SMURF_WAN0 -j DROP
-A INPUT_SMURF_WAN1 -m limit --limit 10/sec --limit-burst 10 -j RETURN
-A INPUT_SMURF_WAN1 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "{Firewall-33554439,300} Smurf attack from WAN1 has been detected, DROP"
-A INPUT_SMURF_WAN1 -j DROP
-A INPUT_SPI -i br0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT_SPI -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT_TCPSCAN0 -m limit --limit 10/sec --limit-burst 1 -j RETURN
-A INPUT_TCPSCAN0 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "[Firewall] TCP Scan"
-A INPUT_TCPSCAN0 -j DROP
-A INPUT_TCPSCAN1 -m limit --limit 10/sec --limit-burst 1 -j RETURN
-A INPUT_TCPSCAN1 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "[Firewall] TCP Scan"
-A INPUT_TCPSCAN1 -j DROP
-A INPUT_WAN_SERVICE0 -p udp -m multiport --dports 53,67,137,138,139,445 -j LOG --log-prefix "[Firewall], DROP"
-A INPUT_WAN_SERVICE0 -p udp -m multiport --dports 53,67,137,138,139,445 -j DROP
-A INPUT_WAN_SERVICE0 -p tcp -m multiport --dports 53,67,137,138,139,445 -j LOG --log-prefix "[Firewall], DROP"
-A INPUT_WAN_SERVICE0 -p tcp -m multiport --dports 53,67,137,138,139,445 -j DROP
-A INPUT_WAN_SERVICE1 -p udp -m multiport --dports 53,67,137,138,139,445 -j LOG --log-prefix "[Firewall], DROP"
-A INPUT_WAN_SERVICE1 -p udp -m multiport --dports 53,67,137,138,139,445 -j DROP
-A INPUT_WAN_SERVICE1 -p tcp -m multiport --dports 53,67,137,138,139,445 -j LOG --log-prefix "[Firewall], DROP"
-A INPUT_WAN_SERVICE1 -p tcp -m multiport --dports 53,67,137,138,139,445 -j DROP
-A INPUT_WINNUKE_LAN -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "{Firewall-33554438,300} Winnuke attack from LAN has been detected, DROP"
-A INPUT_WINNUKE_LAN -j DROP
-A INPUT_WINNUKE_WAN0 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "{Firewall-33554437,300} Winnuke attack from WAN0 has been detected, DROP"
-A INPUT_WINNUKE_WAN0 -j DROP
-A INPUT_WINNUKE_WAN1 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "{Firewall-33554437,300} Winnuke attack from WAN1 has been detected, DROP"
-A INPUT_WINNUKE_WAN1 -j DROP
COMMIT
# Completed on Fri Aug 14 12:06:49 2020

iptables

bart212k
(14.08.20 12:08:27 MSK)

3 комментария

xl2tpd не хочет работать

Форум — Admin

Имею centos 7.0 xl2tpd version: xl2tpd-1.3.14

Суть подключится из под NAT к L2TP серверу, сервер пытаюсь настроить сам, пока не успешно.

Вот конфиги:

[global]
; ipsec saref = yes
;listen-addr = 
auth file = /etc/ppp/chap-secrets
port = 1701
[lns default]
ip range = 10.0.1.10-10.0.1.254
local ip = 10.0.1.1
require chap = yes
refuse pap = yes
require authentication = yes
name = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

options.xl2tpd

name l2tpd
ms-dns 8.8.8.8
ms-dns 8.8.4.4
require-mschap-v2
auth
mtu 1460
mru 1460
crtscts
hide-password
modem
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
debug avp = yes 
debug network = yes 
debug packet = yes
debug state = yes
debug tunnel = yes 
nodefaultroute
debug
lock
connect-delay 5000
logfile /var/log/xl2tpd.log

Дальше через ZYXEL Kenetic пытаюсь коннектится, вижу такие логи

Nov 22 01:31:11pppd[26614]Plugin pppol2tp.so loaded.
Nov 22 01:31:11pppd[26614]pppd 2.4.4-4 started by root, uid 0
Nov 22 01:31:11ndmNetwork::Interface::L2TP: "L2TP0": added host route to 146.158.12.62 via 192.168.1.1.
Nov 22 01:31:11pppd[26616]l2tp_control v2.02 
Nov 22 01:31:11pppd[26616]l2tp: remote host: 146.158.12.62 
Nov 22 01:31:11pppd[26616]l2tp: bind: 192.168.1.5 
Nov 22 01:31:11pppd[26616]l2tp: timeout of sccrp, retry sccrq, try: 1 
Nov 22 01:31:13pppd[26616]l2tp: timeout of sccrp, retry sccrq, try: 2 
Nov 22 01:31:13pppd[26616]l2tp: timeout of sccrp, retry sccrq, try: 3 
Nov 22 01:31:15pppd[26616]l2tp: timeout of sccrp, retry sccrq, try: 4 
Nov 22 01:31:15pppd[26616]l2tp: timeout of sccrp, retry sccrq, try: 5 
Nov 22 01:31:15pppd[26616]l2tp: sccrq failed, fatal

Вот что говорит tcpdump


01:26:51.804100 IP 109-252-X-X.nat.spd-mgts.ru.11602 > test-site.ru.ru.l2tp:  l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *PROTO_VER(1.0) *HOST_NAME(barT) *FRAMING_CAP(S) *ASSND_TUN_ID(40357)
01:26:53.810628 IP 109-252-X-X.nat.spd-mgts.ru.11602 > test-site.ru.ru.l2tp:  l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *PROTO_VER(1.0) *HOST_NAME(barT) *FRAMING_CAP(S) *ASSND_TUN_ID(40357)
01:26:55.817698 IP 109-252-X-X.nat.spd-mgts.ru.11602 > test-site.ru.ru.l2tp:  l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *PROTO_VER(1.0) *HOST_NAME(barT) *FRAMING_CAP(S) *ASSND_TUN_ID(40357)
01:27:11.892499 IP 109-252-X-X.nat.spd-mgts.ru.11602 > test-site.ru.ru.l2tp:  l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *PROTO_VER(1.0) *HOST_NAME(barT) *FRAMING_CAP(S) *ASSND_TUN_ID(31797)
01:27:13.899272 IP 109-252-X-X.nat.spd-mgts.ru.11602 > test-site.ru.ru.l2tp:  l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *PROTO_VER(1.0) *HOST_NAME(barT) *FRAMING_CAP(S) *ASSND_TUN_ID(31797)
01:27:15.905569 IP 109-252-X-X.nat.spd-mgts.ru.11602 > test-site.ru.ru.l2tp:  l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *PROTO_VER(1.0) *HOST_NAME(barT) *FRAMING_CAP(S) *ASSND_TUN_ID(31797)

Подскажите что не так, почему не коннектится и блин как вывести логи xl2tpd ????

l2tp

bart212k
(22.11.19 01:32:49 MSK)

1 комментарий

Пустить порт с VPN в сеть

Форум — Admin

Есть Сервер в Италии К нему коннектится роутер, создаётся подключение PPTP (ppp0) с IP 10.0.0.2 Как сделать так чтобы вебморда роутера на 10.0.0.2:80 была видна по внешнему IP в италии? на МОЙ_ИП_ВДС:8888

Делаю так:

iptables -t nat -A PREROUTING -p tcp -d МОЙ_ИП_ВДС --dport 8888 -j DNAT --to-destination 10.0.0.2:80

Что делаю не так? Вот мой IPTABLES

# Generated by iptables-save v1.6.0 on Fri Feb  8 18:51:09 2019
*filter
:INPUT ACCEPT [9917:2211313]
:FORWARD ACCEPT [6534:2277660]
:OUTPUT ACCEPT [8596:1836047]
:f2b-ssh - [0:0]
:f2b-sshd - [0:0]
-A INPUT -p tcp -m tcp --dport 8888 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 22 -j f2b-ssh
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -p tcp -m multiport --dports 22 -j f2b-ssh
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -i ppp* -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o ppp* -j ACCEPT
-A FORWARD -i lo -o ppp* -j ACCEPT
-A FORWARD -i ppp* -o lo -j ACCEPT

COMMIT
# Completed on Fri Feb  8 18:51:09 2019
# Generated by iptables-save v1.6.0 on Fri Feb  8 18:51:09 2019
*nat
:PREROUTING ACCEPT [893:116197]
:INPUT ACCEPT [546:90782]
:OUTPUT ACCEPT [26:1547]
:POSTROUTING ACCEPT [67:3484]
-A PREROUTING -d МОЙ_ИП_VDS -p tcp -m tcp --dport 8888 -j DNAT --to-destination 10.0.0.2:80
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Feb  8 18:51:09 2019

iptables, vds

bart212k
(08.02.19 20:53:32 MSK)

22 комментария

Убил u-boot на роутере, как восстановить, образ есть...

Форум — Linux-hardware

При прошивки убился u-boot пытаюсь разобраться почему. Подключаю программатор ch341 где точка там красный провод на щипцах, флешку видит, но не опазнаёт, прошить не могу... Да ещё заметил что программатор начинает греться прилично так.. На флешке написано: 61089B вообще такую флеш нигде не видел...

Что делать идти покупать другую spi флешку?

Вот адрес откуда снимался дамп 0x000000000000-0x000000200000 : «u-boot»

вот где лежал u-boot образ его почему-то 2мб у меня, тоже не понимаю как он может быть такой большой?

u-boot

bart212k
(30.01.19 13:57:57 MSK)

85 комментариев (стр. 2)

Распаковать Squashfs и упаковать обратно

Форум — General

здравствуйте друзья! Есть Squashfs, само собой режим read only. Надо взять распаковать, поменять пару строчек текста и запаковать обратно. Как правильно это сделать?

Squashfs filesystem, little endian, non-standard signature, version 4.0, compression:gzip, size: 11594585 bytes, 1515 inodes, blocksize: 65536 bytes, created: 2018-03-27 08:01:12

Делаю так:

unsquashfs mtd9.bak

Меняю пару строчек, при этом удаляю столько же символов Комментов, т.е файл больше стать не должен. упаковываю так

mksquashfs  squashfs-root mtd9_new.bak -b 65536

в итоге почему-то получается объём больше на 2 мб, почему???

dd, squashfs

bart212k
(21.01.19 23:26:10 MSK)

26 комментариев

Как скомпилировать чтобы заработало приложение под MIPS 32

Форум — Linux-install

удалить

mips

bart212k
(07.01.19 20:40:45 MSK)

1 комментарий

Что значит поставить приложение в докер

Форум — Development

Что значит поставить приложение в Докер? Я понимаю докер это скрипты какие-то? Вот мне надо собрать приложение под процессор HI3518E200 (arm926) как это сделать? как поставить в докер, объясните пожалуйста. Спасибо!

сборка программ

bart212k
(30.12.18 16:51:45 MSK)

14 комментариев

Настройка IPv6 centos 7.0 x64

Форум — Admin

Не получается натсроить IPv6 на centos 7 ( Linux version 3.10.0-693.21.1.el7.x86_64 (builder@kbuilder.dev.centos.org) (gcc version 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC) ) #1 SMP Wed Mar 7 19:03:37 UTC 2018)

Добавил в ifcfg-eth0

IPV6INIT=yes
IPV6ADDR=IPv6 адрес
IPV6_DEFAULTGW=IPv6 шлюз

создал route6-eth0 добавил

IPv6 шлюз dev eth0
default via IPv6 шлюз

в итоге при вызове ifconfig eth0 появилась строчка с inet6 2a00:6d40_***** prefixlen 64 scopeid 0x0<global>

Но команда ping6 говорит следующее:

connect: Network is unreachable

Что ещё сделать?

ipv6

bart212k
(27.04.18 13:13:10 MSK)

6 комментариев

PPTPD клиенты не видят друг друга.

Форум — Admin

Есть след. проблема при подключение к VPN серверу, клиенты не видят друг друга...

Конфиг pptpd

localip 10.0.0.1
remoteip 10.0.0.100-102
auth
proxyarp
option /etc/ppp/options.pptpd

конфиг: IPTABLES pptpd server

-A INPUT -s 37.190.111.1 -p tcp -m tcp --dport 1723 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH 
-A INPUT -p tcp -m tcp --dport 21 -j fail2ban-pureftpd 
-A INPUT -m state --state INVALID -j DROP 
-A INPUT -i lo -j ACCEPT 
-A INPUT -d 127.0.0.0/8 -j REJECT --reject-with icmp-port-unreachable 

-A INPUT -p icmp -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 25 --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec --limit-burst 10 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 25 --tcp-flags FIN,SYN,RST,ACK SYN -j DROP 
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT 
-A INPUT -p udp -m udp --dport 53 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 113 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT 
-A INPUT -p udp -m udp --dport 3306 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 1433 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: MSSQL " 
-A INPUT -p tcp -m tcp --dport 1433 -j DROP 
-A INPUT -p tcp -m tcp --dport 6670 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Deepthrt " 
-A INPUT -p tcp -m tcp --dport 6670 -j DROP 
-A INPUT -p tcp -m tcp --dport 6711 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Sub7 " 
-A INPUT -p tcp -m tcp --dport 6711 -j DROP 
-A INPUT -p tcp -m tcp --dport 6712 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Sub7 " 
-A INPUT -p tcp -m tcp --dport 6712 -j DROP 
-A INPUT -p tcp -m tcp --dport 6713 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Sub7 " 
-A INPUT -p tcp -m tcp --dport 6713 -j DROP 
-A INPUT -p tcp -m tcp --dport 12345 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Netbus " 
-A INPUT -p tcp -m tcp --dport 12345 -j DROP 
-A INPUT -p tcp -m tcp --dport 12346 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Netbus " 
-A INPUT -p tcp -m tcp --dport 12346 -j DROP 
-A INPUT -p tcp -m tcp --dport 20034 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Netbus " 
-A INPUT -p tcp -m tcp --dport 20034 -j DROP 
-A INPUT -p tcp -m tcp --dport 31337 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: BO " 
-A INPUT -p tcp -m tcp --dport 31337 -j DROP 
-A INPUT -p tcp -m tcp --dport 6000 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: XWin " 
-A INPUT -p tcp -m tcp --dport 6000 -j DROP 
-A INPUT -p udp -m udp --dport 33434:33523 -j DROP 
-A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p igmp -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m tcp --dport 443 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 5/min -j LOG --log-prefix "Firewalled packet:" 
-A INPUT -p tcp -j REJECT --reject-with tcp-reset 
-A INPUT -j DROP 
-A INPUT -s 89.35.160.61/32 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -s 188.143.232.37/32 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m tcp --dport 4949 -j ACCEPT 
-A INPUT -s 192.168.1.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 3129 -j DROP 
-A FORWARD -m state --state INVALID -j DROP 
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 5/min -j LOG --log-prefix "Firewalled packet:" 
-A FORWARD -p tcp -j REJECT --reject-with tcp-reset 
-A FORWARD -i ppp+ -o eth0 -j ACCEPT 
-A FORWARD -i eth0 -o ppp+ -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 3128 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 6660:6669 -j DROP 
-A OUTPUT -p tcp -m tcp --dport 7000 -j DROP 
-A OUTPUT -p tcp -m owner --uid-owner mail -m tcp --dport 25 -j ACCEPT 
-A OUTPUT -p tcp -m owner --uid-owner root -m tcp --dport 25 -j ACCEPT 
-A OUTPUT -d 127.0.0.1/32 -p tcp -m tcp --dport 25 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable 
-A OUTPUT -j ACCEPT 
COMMIT

у клиента

pptp-pptp_clien Link encap:Point-to-Point Protocol
          inet addr:10.0.0.101  P-t-P:10.0.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:1218 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1252 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:64
          RX bytes:8904 (8.6 KiB)  TX bytes:11474 (11.2 KiB)

есть интернет, он видит сервер 10.0.0.1 но вот другого клиента 10.0.0.100 он не видит, даже пинг не проходит... Маршрут чтобы трафик шёл через PPTP прописал, он судя по traceroute идёт... Но всё равно 0 внимания

Вот маршрут какой вписал route add -net 10.0.0.100 netmask 255.255.255.255 dev pptp-pptp_clien

После него если сделать traceroute видим что трафик идёт как надо

traceroute to 10.0.0.100 (10.0.0.100), 30 hops max, 38 byte packets 1 10.0.0.1 (10.0.0.1) 0.000 ms 0.000 ms 10.000 ms 2^C

Помогите, как сделать чтобы были видны клиенты друг другу, чтобы пинговать можно было...

Сервер сам видит всех и пинги проходят и порты открыты к ним...

pptpd

bart212k
(23.04.18 16:30:52 MSK)

2 комментария

Не получается раздать интернет через PPTPD (CENTOS 5.6)

Форум — Admin

Всем привет. Centos 5.6, поставил PPTPD, настроил, подключаюсь, выдается IP 10.0.0.100, соединение установлено, лазить по сайтам сервера могу(которые на этом сервере), в интернет выйти не могу.

ping показывает IP узла, но не пингует... Видимо каких-то правил IPTABLES не хватает???

eth0 - это интернет с белым IP(статика)

ppp0 - это подключение VPN, которое появляется при подключение пользователя к сети.

Задача разрешить ppp0 выходить в инет через eth0

localip 10.0.0.1 remoteip 10.0.0.100

Включил

net.ipv4.ip_forward = 1 (прописал) после sysctl -p

в IPTABLES прописал Маскарад (обозначил NAT)

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables- A FORWARD -i ppp0 -o eth0 -j ACCEPT 
iptables A FORWARD -i eth0 -o ppp0 -j ACCEPT

Вот конфиги: iptables-save


-A INPUT -s 37.190.111.1 -p tcp -m tcp --dport 1723 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH 
-A INPUT -p tcp -m tcp --dport 21 -j fail2ban-pureftpd 
-A INPUT -m state --state INVALID -j DROP 
-A INPUT -i lo -j ACCEPT 
-A INPUT -d 127.0.0.0/8 -j REJECT --reject-with icmp-port-unreachable 

-A INPUT -p icmp -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 25 --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec --limit-burst 10 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 25 --tcp-flags FIN,SYN,RST,ACK SYN -j DROP 
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT 
-A INPUT -p udp -m udp --dport 53 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 113 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT 
-A INPUT -p udp -m udp --dport 3306 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 1433 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: MSSQL " 
-A INPUT -p tcp -m tcp --dport 1433 -j DROP 
-A INPUT -p tcp -m tcp --dport 6670 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Deepthrt " 
-A INPUT -p tcp -m tcp --dport 6670 -j DROP 
-A INPUT -p tcp -m tcp --dport 6711 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Sub7 " 
-A INPUT -p tcp -m tcp --dport 6711 -j DROP 
-A INPUT -p tcp -m tcp --dport 6712 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Sub7 " 
-A INPUT -p tcp -m tcp --dport 6712 -j DROP 
-A INPUT -p tcp -m tcp --dport 6713 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Sub7 " 
-A INPUT -p tcp -m tcp --dport 6713 -j DROP 
-A INPUT -p tcp -m tcp --dport 12345 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Netbus " 
-A INPUT -p tcp -m tcp --dport 12345 -j DROP 
-A INPUT -p tcp -m tcp --dport 12346 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Netbus " 
-A INPUT -p tcp -m tcp --dport 12346 -j DROP 
-A INPUT -p tcp -m tcp --dport 20034 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Netbus " 
-A INPUT -p tcp -m tcp --dport 20034 -j DROP 
-A INPUT -p tcp -m tcp --dport 31337 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: BO " 
-A INPUT -p tcp -m tcp --dport 31337 -j DROP 
-A INPUT -p tcp -m tcp --dport 6000 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: XWin " 
-A INPUT -p tcp -m tcp --dport 6000 -j DROP 
-A INPUT -p udp -m udp --dport 33434:33523 -j DROP 
-A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p igmp -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m tcp --dport 443 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 5/min -j LOG --log-prefix "Firewalled packet:" 
-A INPUT -p tcp -j REJECT --reject-with tcp-reset 
-A INPUT -j DROP 
-A INPUT -s 89.35.160.61/32 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -s 188.143.232.37/32 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m tcp --dport 4949 -j ACCEPT 
-A INPUT -s 192.168.1.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 3129 -j DROP 
-A FORWARD -m state --state INVALID -j DROP 
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 5/min -j LOG --log-prefix "Firewalled packet:" 
-A FORWARD -p tcp -j REJECT --reject-with tcp-reset 
-A FORWARD -j DROP 
-A FORWARD -i ppp0 -o eth0 -j ACCEPT 
-A FORWARD -i eth0 -o ppp0 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 3128 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 6660:6669 -j DROP 
-A OUTPUT -p tcp -m tcp --dport 7000 -j DROP 
-A OUTPUT -p tcp -m owner --uid-owner mail -m tcp --dport 25 -j ACCEPT 
-A OUTPUT -p tcp -m owner --uid-owner root -m tcp --dport 25 -j ACCEPT 
-A OUTPUT -d 127.0.0.1/32 -p tcp -m tcp --dport 25 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable 
-A OUTPUT -j ACCEPT 
COMMIT

Что надо дописать чтобы интернет наконец-то заработал???(((

pptpd

bart212k
(26.03.18 00:07:31 MSK)

18 комментариев

RSS подписка на новые темы