LINUX.ORG.RU

Сообщения drac753

 

Проблемы с pg_probackup

Форум — Admin

День добрый, имеем Debian 11 + postgrespro-1c-16 Необходимо настроить бэкапы используя pg_backupro. Хранилище и и нстансе добавил, пытаюсь запустить full - получаю

postgres@PGAUTO:~$ pg_probackup-16 backup --threads=3 -B /backup_pg --instance backup -b FULL --stream --compress
WARNING: Control file "/backup_pg/backups/backup/S93KQV/backup.control" doesn't exist
WARNING: Control file "/backup_pg/backups/backup/S93JUP/backup.control" doesn't exist
INFO: Backup start, pg_probackup version: 2.5.13, instance: backup, backup ID: S93LBZ, backup mode: FULL, wal mode: STREAM, remote: false, compress-algorithm: zlib, compress-level: 1
ERROR: could not connect to database postgres: не удалось подключиться к серверу: Нет такого файла или каталога
        Он действительно работает локально и принимает
        соединения через Unix-сокет "/var/run/postgresql/.s.PGSQL.5432"?


Postgres pro не лежит 

root@PGAUTO:~# systemctl status postgrespro-1c-16.service
● postgrespro-1c-16.service - Postgres Pro 1c 16 database server
     Loaded: loaded (/lib/systemd/system/postgrespro-1c-16.service; enabled; vendor preset: enabled)
     Active: active (running) since Mon 2024-02-19 11:12:21 MSK; 2h 5min ago
    Process: 372 ExecStartPre=/opt/pgpro/1c-16/bin/check-db-dir ${PGDATA} (code=exited, status=0/SUCCESS)
   Main PID: 384 (postgres)
      Tasks: 10 (limit: 23394)
     Memory: 2.3G
        CPU: 11min 6.465s
     CGroup: /system.slice/postgrespro-1c-16.service
             ├─ 384 /opt/pgpro/1c-16/bin/postgres -D /var/lib/pgpro/1c-16/data
             ├─ 451 postgres: logger
             ├─ 452 postgres: checkpointer
             ├─ 453 postgres: background writer
             ├─ 455 postgres: walwriter
             ├─ 456 postgres: autovacuum launcher
             ├─ 457 postgres: logical replication launcher
             ├─2137 postgres: postgres auto 192.168.250.110(56752) idle
             ├─2868 postgres: postgres auto 192.168.250.110(60419) idle
             └─2869 postgres: postgres auto 192.168.250.110(60420) idle

фев 19 11:12:20 PGAUTO systemd[1]: Starting Postgres Pro 1c 16 database server...
фев 19 11:12:21 PGAUTO postgres[384]: 2024-02-19 11:12:21.307 MSK [384] СООБЩЕНИЕ:  передача вывода в протокол процессу сбора протоколов
фев 19 11:12:21 PGAUTO postgres[384]: 2024-02-19 11:12:21.307 MSK [384] ПОДСКАЗКА:  В дальнейшем протоколы будут выводиться в каталог "log".
фев 19 11:12:21 PGAUTO systemd[1]: Started Postgres Pro 1c 16 database server.
root@PGAUTO:~#

в pg_hba.conf 

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     peer
# IPv4 local connections:
host    all             all             127.0.0.1/32            md5
# IPv6 local connections:
host    all             all             ::1/128                 md5
# Allow replication connections from localhost, by a user with the
# replication privilege.
local   replication     all                                     peer
host    replication     all             127.0.0.1/32            md5
host    replication     all             ::1/128                 md5
host            all             all             192.168.250.176/32      trust
host            all             all             0.0.0.0/0       md5



Подскажите в чём проблем ? 

 

drac753
()

Странные проблемы с настройкой nftables

Форум — Admin

Здравствуйте коллеги. Имее debian 12 +zabbix+postgress - все работает. Включаю фаервол - начинает тормозит веб интерфейс и ssh (mc по 5 мин открывает). Где накосячил подскажите ?

nft list ruleset
table ip FirewallIPV4 {
        chain input {
       type filter hook input priority filter; policy drop;
                iifname "lo" accept
                ct state established,related accept
                ip saddr 192.168.9.0/24 icmp type { destination-unreachable, echo-request, parameter-problem } accept
                ip saddr 192.168.9.0/24 tcp dport 22 accept
                ip saddr 192.168.9.0/24 tcp dport 80 accept
                ip saddr 192.168.9.0/24 tcp dport 10051 accept
        }

        chain forward {
                type filter hook forward priority filter; policy drop;
        }

        chain output {
                type filter hook output priority filter; policy accept;
        }
}
table ip6 FirewallIPV6 {
        chain input {
                type filter hook input priority filter; policy drop;
        }

        chain forward {
                type filter hook forward priority filter; policy drop;
        }

        chain output {
                type filter hook output priority filter; policy drop;
        }
}

 

drac753
()

iptables проброс порта

Форум — Admin

Собственно хочу разрешить прхождение в локалку трафика с определенного ипшника (ip с 4000 порта) добавил правило, но оно не работает подскажите что делаю не так ?

iptables -A FORWARD -s ip1 -i ppp0 -o eth0 -p tcp –syn –dport 4000 -m conntrack –ctstate NEW -j ACCEPT

причем если убрать из правила -s ip1 то все работает

 

drac753
()

Iptables проброс порта в локалку с определенного ip

Форум — Admin

Добрый день имеем следующие работающие правила (пробрасываем из интернета порт с любого адреса на комп локальной сети)

 
iptables -A FORWARD -i ppp0 -o eth0 -p tcp --syn --dport 4000 -m conntrack --ctstate NEW -j ACCEPT 
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4000 -j DNAT --to-destination 192.168.*.*:4000 
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 4000 -d 192.168.*.* -j SNAT --to-source 192.168.*.* 

Необходимо модифицировать правило таким образом чтобы трафик пробрасывался в локалку только с двух белых ip
насколько я понимая нужно сделать так 
iptables -A FORWARD -s ip1 -i ppp0 -o eth0 -p tcp --syn --dport 4000 -m conntrack --ctstate NEW -j ACCEPT 
iptables -A FORWARD -s ip2 -i ppp0 -o eth0 -p tcp --syn --dport 4000 -m conntrack --ctstate NEW -j ACCEPT 
 
где ip1 и ip2 нужные ип адреса ? 

 

drac753
()

Squid и кэш

Форум — Admin

Собственно поднял на виртуалке squid c аутентификацией пользователей и блокировкой нежелательных сайтов

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid Basic Authentication
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl auth_users proxy_auth REQUIRED
acl bad_urls dstdom_regex -i "/etc/squid/badsites.lst"
http_access deny bad_urls
http_access allow auth_users
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny all
http_port 192.168.4.51:3128
coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320


В принципе все работает, возник вопрос по настройке кэша. 
Собственно вопрос - имеет ли смысл использовать кэш на жестком диске cache_dir или достаточно будет кэша в оперативке cache_mem ? 
 

 

drac753
()

Squid аутентификация пользователей по имени и паролю

Форум — Admin

установил apache2-utils, создал в /etc/squid/ файлик passwd для хранения имен и паролей. Задал на него права -rw-r--r-- 1 proxy proxy.

Создаю пользователя 
htpasswd /etc/squid/passwd petrovAA

New password: 
Re-type new password: 
Adding password for user petrovAA

Добавляю в squid.conf
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
#Аутентификация пользователей по имени и паролю
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid Basic Authentication
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl auth_users proxy_auth REQUIRED
http_access allow auth_users
#Аутентификация пользователей по имени и паролю
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny all
http_port 192.168.4.51:3128
coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

Открываю браузер у клиента ввожу имя ввожу имя и пароль жму ок, опять появляеотся окно ввода имени и пароля
В  access log

1583992401.840      0 192.168.4.77 TCP_DENIED/407 4626 POST http://update.googleapis.com/service/update2? - HIER_NONE/- text/html
1583992486.876      0 192.168.4.77 TCP_DENIED/407 3921 CONNECT armmf.adobe.com:443 - HIER_NONE/- text/html
1583992487.436      0 192.168.4.77 TCP_DENIED/407 3921 CONNECT armmf.adobe.com:443 - HIER_NONE/- text/html
1583992487.765      0 192.168.4.77 TCP_DENIED/407 3921 CONNECT armmf.adobe.com:443 - HIER_NONE/- text/html
1583992488.152      0 192.168.4.77 TCP_DENIED/407 4060 CONNECT armmf.adobe.com:443 - HIER_NONE/- text/html
1583992488.457      0 192.168.4.77 TCP_DENIED/407 3921 CONNECT armmf.adobe.com:443 - HIER_NONE/- text/html
1583992488.849      0 192.168.4.77 TCP_DENIED/407 3921 CONNECT armmf.adobe.com:443 - HIER_NONE/- text/html
1583992489.182      0 192.168.4.77 TCP_DENIED/407 3921 CONNECT armmf.adobe.com:443 - HIER_NONE/- text/html
1583992489.463      0 192.168.4.77 TCP_DENIED/407 4060 CONNECT armmf.adobe.com:443 - HIER_NONE/- text/html

     
Подскажите где ошибка 

 

drac753
()

Добавление скрипта с правилами фаервола в автозагрузку до старта сетевых интерфейсов

Форум — Admin

Собственно раньше было просто - кидаем скрипт в etc/networks/if-pre-up.d и дело в шляпе. Сейчас, скачал и установил debian 10.3, а там это так уже не работает. Собственно насколько я понял теперь скрипт можно добавить авто загрузку через SystemD. Набросал unit который должен запустить скрипт с правилами фаервола до запуска сетевых интерфейсов, подскажите не упустил ли чего ?


[Unit]

Description=IPTables rules
Before=network-pre.target
Wants=network-pre.target
After=local-fs.target


DefaultDependencies=no

[Service]
Type=oneshot
ExecStart=/usr/local/sbin/systemd-iptables.sh start
ExecStop=/usr/local/sbin/systemd-iptables.sh stop
ExecReload=/usr/local/sbin/systemd-iptables.sh restart
RemainAfterExit=yes

 

drac753
()

iptables заблокировать ipv6

Форум — Admin

В сети используется только ipv4, хочу заблочить любые пакет ipv6 достаточно ли для этого

#Запрет любого трафика по ipv6
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP

 
файл с правилами полностью
#!/bin/bash                                                                                                                                                                                                                                                                    
export IPT="iptables"
#Внешний интерфейс Интернет
export WAN=enp0s3
#Интерфейс к которому подключена локальная сеть
export LAN=enp0s8
#Очистка всех цепочек                                                                                                                                                                                                                                                               
$IPT -F INPUT                                                                                                                                                                                                                                                              
$IPT -F FORWARD                                                                                                                                                                                                                                                            
$IPT -F OUTPUT                                                                                                                                                                                                                                                             
$IPT -t nat -F PREROUTING                                                                                                                                                                                                                                                  
$IPT -t nat -F POSTROUTING                                                                                                                                                                                                                                                 
$IPT -t mangle -F
#Запрет любого трафика кроме кроме идущего через цепочку output
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP

#Запрет любого трафика по ipv6
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP

#разрешаем все входящие пакеты на интрефейс замыкания на себя иначе ничего не работает 
$IPT -A INPUT -i lo -j ACCEPT
#РАЗРЕШЕНЫ ТОЛЬКО ВХОДЯЩИЕ СОЗДАННЫЕ НАШИМИ ИСХОДЯЩИМИ
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Правила повышающие безопасность

#Блочим входящие tcp соединения не syn пакетом (либо ошибка либо атака)
$IPT -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j REJECT
$IPT -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT

# разрешаем пинги на обе сетевухи
$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# Отбрасывать все пакеты, которые не могут быть идентифицированы
# и поэтому не могут иметь определенного статуса.
#$IPT -A INPUT -m state --state INVALID -j REJECT
#$IPT -A FORWARD -m state --state INVALID -j REJECT

#разрешаем ssh на внешнем интерфейсе 

$IPT -A INPUT -i enp0s3 -p tcp --dport 22  -j ACCEPT
#разрешаем доступ из локальной сети на порты 22(ssh),3128 прокси squid,80 - apache веб морды
$IPT -A INPUT -i enp0s8 -p tcp -m multiport --dport 22,80,53,3128 -j ACCEPT
#Разрешаем запросы на сервер времени из локалки 
$IPT -A INPUT -i enp0s8 -p udp --dport 123 -j ACCEPT
#подстройка mtu без этого правила компы ходящие мимо прокси не открывают некоторые сайты
$IPT -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS  --clamp-mss-to-pmtu 
#Разрешаем хождение через цепочку форвард пакетов идущих в ответ на пакеты с локльной сети enp0s8 и
#из интернета это необходимо для проброса компов из сети наружу минуя прокси и для проброса портов в локалку
$IPT -A FORWARD -i enp0s3 -o enp0s8 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i enp0s8 -o enp0s3 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Пробрасуем комп из сети в нет

#$IPT -A FORWARD -s 192.168.4.19 -o enp0s3 -j ACCEPT

#Пробрасываем порт 3389 подключение к серверу терминалов на сервер терминалов в локальной сети 
$IPT -A FORWARD -i enp0s3 -o enp0s8 -p tcp --syn --dport 3389 -m conntrack --ctstate NEW -j ACCEPT
$IPT -t nat -A PREROUTING -i enp0s3 -p tcp --dport 3389 -j DNAT --to-destination 192.168.4.53:3389
$IPT -t nat -A POSTROUTING -o enp0s8 -p tcp --dport 3389 -d 192.168.4.53 -j SNAT --to-source 192.168.4.17

#Маскарадим то что прошло через цепочку forward
$IPT -t nat -I POSTROUTING -s 192.168.4.0/24 -o enp0s3 -j MASQUERADE

 ,

drac753
()

nmap как он это делает?

Форум — Admin

Собственно есть машина в сети с настроенным iptables (использую для различных экспериментов) enp0s3 - 192.168.3.50 enp0s8 - 192.168.4.17

export IPT="iptables"
#Внешний интерфейс Интернет
export WAN=enp0s3
#Интерфейс к которому подключена локальная сеть
export LAN=enp0s8
#Очистка всех цепочек                                                                                                                                                                                                                                                               
$IPT -F INPUT                                                                                                                                                                                                                                                              
$IPT -F FORWARD                                                                                                                                                                                                                                                            
$IPT -F OUTPUT                                                                                                                                                                                                                                                             
$IPT -t nat -F PREROUTING                                                                                                                                                                                                                                                  
$IPT -t nat -F POSTROUTING                                                                                                                                                                                                                                                 
$IPT -t mangle -F
#Запрет любого трафика кроме кроме идущего через цепочку output
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP
#разрешаем все входящие пакеты на интрефейс замыкания на себя иначе ничего не работает 
$IPT -A INPUT -i lo -j ACCEPT
# разрешаем пинги на обе сетевухи
$IPT -A INPUT -i -p icmp --icmp-type echo-reply -j ACCEPT
$IPT -A INPUT -i -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A INPUT -i -p icmp --icmp-type time-exceeded -j ACCEPT
$IPT -A INPUT -i -p icmp --icmp-type echo-request -j ACCEPT

#РАЗРЕШЕНЫ ТОЛЬКО ВХОДЯЩИЕ СОЗДАННЫЕ НАШИМИ ИСХОДЯЩИМИ
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Правила повышающие безопасность

#Блочим входящие tcp соединения не syn пакетом (либо ошибка либо атака)
$IPT -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
$IPT -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT
# Отбрасывать все пакеты, которые не могут быть идентифицированы
# и поэтому не могут иметь определенного статуса.
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP

#разрешаем ssh на внешнем интерфейсе 
$IPT -A INPUT -i enp0s3 -p tcp --dport 22  -j ACCEPT

#разрешаем доступ из локальной сети на порты 22(ssh),3128 прокси squid,80 - apache веб морды
$IPT -A INPUT -i enp0s8 -p tcp -m multiport --dport 22,80,53,3128 -j ACCEPT
#Разрешаем запросы на сервер времени из локалки 
$IPT -A INPUT -i enp0s8 -p udp --dport 123 -j ACCEPT
#подстройка mtu без этого правила компы ходящие мимо прокси не открывают некоторые сайты
$IPT -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS  --clamp-mss-to-pmtu 

#Разрешаем хождение через цепочку форвард пакетов идущих в ответ на пакеты с локльной сети enp0s8 

$IPT -A FORWARD -i enp0s3 -o enp0s8 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i enp0s8 -o enp0s3 -m state --state ESTABLISHED,RELATED -j ACCEPT
#Пробрасуем комп из сети в нет

#$IPT -A FORWARD -s 192.168.4.19 -o enp0s3 -j ACCEPT

#Маскарадим то что прошло через цепочку forward
$IPT -t nat -I POSTROUTING -s 192.168.4.0/24 -o enp0s3 -j MASQUERADE

Делаю nmap 192.168.3.50 другой машины в сети вижу 
PORT     STATE  SERVICE
22/tcp   open   ssh
53/tcp   closed domain
80/tcp   closed http
3128/tcp closed squid-http

Каким образом nmap увидел 53,80,3128 ведь доступ к ним открыт из локальной сети ?  

 ,

drac753
()

iptable вопрос по правилу для проброса порта

Форум — Admin

Что не так в этом правиле проброса порта, вроде бы все правильно задал ?

iptables -t nat -A PREROUTING -i ppp0 -p tcp –dport 4000 -j DNAT –to-destination 192.168.3.131:4000

iptables v1.4.8: option -p' requires an argument Tryiptables -h’ or ‘iptables –help’ for more information.

 

drac753
()

iptables проброс порта снаружи на комп в локальной сети

Форум — Admin

День добрый имеем шлюз на Debian (раздаем пользователям в локалке интернет squid, sams2 и т.п.) c настроенным фаерволом iptables.

eth1 - подключен кабель от провайдера с интернетом

ppp0- интернет с белым статическим ip 77.*.*.55 центрального офиса

eth0- локалка с ip 192.168.3.125 (шлюз)

77.*.*.40 - белый ip удаленного офиса

Необходимо пробросить порт tcp 4000 с ppp0 (На него будут стучатся клиенты из удаленного офиса для подключения к серверу терминалов) на ip 192.168.3.131 порт 3389.

192.168.3.131 сервер терминалов на Windows в локальной сети главного офиса, к которому необходимо подключаться по rdp клиентам из удаленного офиса

#!/bin/bash                                                                                                                                                                                                                                                                    
                                                                                                                                                                                                                                                                              
modprobe ip_tables                                                                                                                                                                                                                                                             
modprobe ip_conntrack                                                                                                                                                                                                                                                          
modprobe ip_conntrack_ftp                                                                                                                                                                                                                                                      
modprobe ip_conntrack_irc                                                                                                                                                                                                                                                      
modprobe iptable_nat                                                                                                                                                                                                                                                           
#этот модуль позволяет работать с ftp в пассивном режиме                                                                                                                                                                                                                       
modprobe ip_nat_ftp                                                                                                                                                                                                                                                            
modprobe ip_nat_irc                                                                                                                                                                                                                                                            
#очистка цепочек                                                                                                                                                                                                                                                               
iptables -F INPUT                                                                                                                                                                                                                                                              
iptables -F FORWARD                                                                                                                                                                                                                                                            
iptables -F OUTPUT                                                                                                                                                                                                                                                             
iptables -t nat -F PREROUTING                                                                                                                                                                                                                                                  
iptables -t nat -F POSTROUTING                                                                                                                                                                                                                                                 
iptables -t mangle -F                                                                                                                                                                                                                                                          
#Запрет всего
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#разрешаем все входящие пакеты на интрефейс замыкания на себя иначе ничего не работает 
iptables -A INPUT -i lo -j ACCEPT

#РАЗРЕШЕНЫ ТОЛЬКО ВХОДЯЩИЕ СОЗДАННЫЕ НАШИМИ ИСХОДЯЩИМИ
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Правила повышающие безопасность
#Блочим входящие tcp соединения не syn пакетом (либо ошибка либо атака)
iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT

#Фильтруем ICMP по типам

#iptables -A INPUT -p icmp -j ACCEPT
#iptables -A OUTPUT -p icmp -j ACCEPT

iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 4 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 12 -j ACCEPT

#Запрещаем пинги из локальной сети 
#iptables -I FORWARD -s 192.168.3.0/24 -p icmp -j DROP

#Разрешаем принимать dns запросы на 53 udp и tcp порт от сервера горгаза 192.168.3.74

#iptables -A INPUT -i eth0 -s 192.168.3.127 -p udp --dport 53  -j ACCEPT
#iptables -A INPUT -i eth0 -s 192.168.3.127 -p tcp --dport 53  -j ACCEPT

#Разрешаем использование dns на 192.168.3.125
iptables -A INPUT -i eth0 -p udp --dport 53  -j ACCEPT

#разрешаем доступ из локальной сети на порты 22(ssh),3128 прокси squid,80 - apache веб морды

iptables -A INPUT -i eth0 -p tcp -m multiport --dport 22,80,53,3128,4000 -j ACCEPT

#Разрешаем запросы на сервер времени 
iptables -A INPUT -i eth0 -p udp --dport 123 -j ACCEPT

#подстройка mtu без этого правила компы ходящие мимо прокси не открывают некоторые сайты
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS  --clamp-mss-to-pmtu 

#Разрешаем хождение через цепочку форвард пакетов идущих в ответ на пакеты с eth0
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Маскарадим то что прошло через цепочку forward
iptables -t nat -I POSTROUTING -s 192.168.3.0/24 -o ppp0 -j MASQUERADE

Собственно с фаерволом не работал больше года много успел забыть 
Думаю делать так 

1)Разрешаем доступ 4000 порту на ppp0 с ip филиала

iptables -A INPUT -i ppp0 -s 77.*.*.40 -p tcp --dport 4000 -j ACCEPT

2)iptables -t nat -A PREROUTING -i ppp0 -p tcp –dport 4000 -j DNAT --to-destination 192.168.3.131:3389 

3)iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 3389 -d 192.168.3.131 -j SNAT --to-source 192.168.3.125:4000

4)iptables -A FORWARD -d 192.168.3.131 -i ppp0 -p tcp -m tcp --dport 3389 -j ACCEPT


Нужно ли еще разрешать хождение ответных пакетов через FORWARD
от 192.168.3.131 к ppp0? Или достаточно указанного ранее правила iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

 

 

drac753
()

Вопрос по применению правил Iptables

Форум — Admin

ОС Debian 10 подключен через SSH Накидал правила для фаервола, добавил их в автозагрузку через systemd

#!/bin/bash
#
# Объявление переменных
export IPT="iptables"

#Внешний интерфейс Интернет
export WAN=enp0s3
#Интерфейс к которому подключена локальная сеть
export LAN=enp0s8

# Очистка всех цепочек iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# разрешаем локальный траффик для loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o $LAN -j ACCEPT
# разрешаем пинги
$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# Разрешаем исходящие соединения самого сервера
$IPT -A OUTPUT -o $WAN -j ACCEPT

# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
# Пропускать все уже инициированные соединения, а также дочерние от них
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Пропускать новые, а так же уже инициированные и их дочерние соединения
$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Разрешить форвардинг для уже инициированных и их дочерних соединений
$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

# Включаем фрагментацию пакетов. Необходимо из-за разных значений MTU
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Отбрасывать все пакеты, которые не могут быть идентифицированы
# и поэтому не могут иметь определенного статуса.
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP

# Приводит к связыванию системных ресурсов, так что реальный
# обмен данными становится не возможным, обрубаем
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP


Применю правила (systemctl restart iptables.service(имя созданного мной юнита))
через iptables -vL вижу что правила применились, однако ssh подключение не отвалилось. Собственно вопрос почему так ?  

 

drac753
()

Поблема с apt

Форум — Admin

Добрый день. Имеем debian 9

sources.list

deb http://ftp.ru.debian.org/debian/ stable main non-free contrib deb-src http://ftp.ru.debian.org/debian/ stable main non-free contrib

делаю

root@debian:/etc/apt# aptitude update

Игнор http://ftp.ru.debian.org/debian stable InRelease Из кэша http://ftp.ru.debian.org/debian stable Release

Получается игнорируется репозитарий, подскажите в чем проблема ?

 

drac753
()

Проблема с печатью из Windows на Linux

Форум — Admin

Имеем доменную машину с Windows XP SP3 Prof с расшареным принтером + комп с Debian 8 c cups 1.7.5-11 . Хочу настроить печть из дебиан через винду. Захожу в веб морду cups и настраиваю принтер

smb://имяпользователя:пароль@192.168.3.19/123
пытаюсь печатать получаю
Приостановлено с
Ср 29 июл 2015 09:04:32 
"Session setup failed: NT_STATUS_LOGON_FAILURE"
В чем может быть косяк ? Ясно вижу что проблема с авторизацией но учетка точно работает и права необходимые точно есть (учетка-админ домена)

 

drac753
()

смена владельца каталога

Форум — Admin

имеем каталог 1234 с владельцем root необходимо поменять владельца на dracon

root@debiantest:/home/dracon/rab# ls -l 
итого 4208
drwxr-xr-x  2 dracon dracon    4096 Июн 24 14:37 1
drwxr-xr-x  2 dracon dracon    4096 Июн 17 11:00 123
drwxr-x--x  3 root   root      4096 Ноя 19 08:19 1234
drwxr-xr-x  4 dracon dracon    4096 Июн 16 10:23 1с7
drwxr-xr-x  4 dracon dracon    4096 Окт 11  2012 1с8 лекарство
drwxr-xr-x  2 dracon dracon    4096 Окт  6 09:14 debian новый часовой пояс +3
drwxr-xr-x  7 dracon dracon    4096 Ноя 10 11:32 iso
-rw-r--r--  1 dracon dracon   16624 Сен 26 11:56 KOMPAS-3D_V14.torrent
drwxr-xr-x  4 root   root      4096 Сен 23 16:02 lexa
drwxr-xr-x  2 dracon dracon    4096 Сен 19 13:17 live cd с mdadm
drwxr-xr-x  4 dracon dracon    4096 Июл 14 16:19 music
drwxr-xr-x  2 dracon dracon    4096 Апр  2  2014 neizmenkonfig
drwxr-xr-x 37 dracon dracon   12288 Ноя 19 08:44 obmen
drwxr-xr-x 17 dracon dracon    4096 Окт 13 14:37 polsoft
-rw-r-----  1 dracon dracon   17421 Окт 21 11:18 [rutor.org]ATI+ADD.torrent
-rw-r--r--  1 dracon dracon   49299 Сен 26 11:53 [rutracker.org].t4618712.torrent
drwxr-x--x  3 root   root      4096 Апр  7  2014 to4
drwxr-xr-x  2 dracon dracon    4096 Апр  2  2014 web2014
drwxr-xr-x  2 dracon dracon    4096 Сен 25 09:37 winxp
drwxr-xr-x  4 dracon dracon    4096 Окт 13 14:30 Дзекунов
drwxr-xr-x  4 dracon dracon    4096 Апр  2  2014 Доки по настройке
drwxr-xr-x  8 dracon dracon    4096 Авг 11 08:46 Документы ОИТ
-rw-r--r--  1 dracon dracon   18727 Окт 28 10:52 ипшки.odt
-rw-r--r--  1 dracon dracon   13840 Ноя  6 14:38 Ипшки новые
drwxr-xr-x  3 dracon dracon    4096 Ноя 12 11:20 книги
drwxr-xr-x  3 dracon dracon    4096 Сен 26 13:02 Компас14
drwxr-xr-x  3 dracon dracon    4096 Сен  8 12:11 мороховская
drwxr-xr-x  5 dracon dracon    4096 Окт 13 14:38 отключение перехода на зимнее время
-rw-------  1 dracon dracon   18312 Май  6  2014 Пароли на ресурсы
-rw-------  1 dracon dracon   19203 Окт 31 10:56 Пароли Юзеров.odt
drwxr-xr-x  3 dracon dracon    4096 Сен 24 10:12 погл
-rw-r--r--  1 dracon dracon  164554 Окт  6 09:56 Потенциально опасная программ 1.jpeg
drwxr-xr-x  2 dracon dracon    4096 Апр  2  2014 сеть организаций
drwxr-xr-x  2 dracon dracon    4096 Окт 13 10:53 служебные доки
-rw-------  1 dracon dracon   12490 Апр  2  2014 Софт  на каменскгаз
-rw-r--r--  1 dracon dracon       2 Ноя  5 14:30 Текстовый файл
drwxr-xr-x  3 dracon dracon    4096 Апр  2  2014 темы kde
-rw-r--r--  1 dracon dracon 3816448 Ноя 14 14:00 Чертежи с изменениямиДокумент Microsoft Office Visio.vsd
находяст к талоге rab делаю
root@debiantest:/home/dracon/rab# chown -R dracon /1234 
chown: невозможно получить доступ к «/1234»: Нет такого файла или каталога
подскажите в чем затупил?

drac753
()

Вопрос по Bacula

Форум — Admin

В логах выскакивает такая ошибка

12-Nov 23:10 backup-dir JobId 45: shell command: run AfterJob "/etc/bacula/scripts/delete_catalog_backup"
12-Nov 23:10 backup-dir JobId 45: Error: Runscript: AfterJob returned non-zero status=200. ERR=Permission denied
права на delete_catalog_backup
-rw-r--r-- 1 root root   341 Апр 24  2013 btraceback.gdb
-rw------- 1 root root   104 Окт 29 10:28 delete_catalog_backup
-rwxr-xr-x 1 root root 10954 Апр 24  2013 disk-changer
-rwxr-xr-x 1 root root 16948 Апр 24  2013 dvd-handler
-rwxr-xr-x 1 root root  2501 Апр 24  2013 make_catalog_backup
-rwxr-xr-x 1 root root  1646 Апр 16  2013 make_catalog_backup_awk
-rwxr-xr-x 1 root root  4182 Апр 24  2013 make_catalog_backup.pl
-rwxr-xr-x 1 root root  8360 Апр 24  2013 mtx-changer
-rw-r--r-- 1 root root  1506 Апр 24  2013 mtx-changer.conf
-rw-r--r-- 1 root root   256 Апр 24  2013 query.sql
получается насколько я понял проблема с прравами ?Какие они должны быть?

drac753
()

Debian+бесперебойник вопрос по рпботе связки

Форум — Admin

debian7 ибп apc Back-ups es 700 цепляется к usb порту системника шнуром Установил и настроил apcupsd

связка работает - выдергиваю ибп из сети он пищит и через нужный интервал тушит комп.
Вставляю вилку ибп в разетку писк прекращается ибп зажигает индикатор возобновления питания, но комп не стартует. Думал проблема в настройках биоса , но проделал следующий эксперимент - тушу комп и выключаю ибп , затем просто включаю ибп комп стартует , то есть в биосе включение компа при подаче питания настроено.
Собственно подскажите в чем может быть проблема ?

drac753
()

Принтер для debian

Форум — Admin

Собственно какой взять имел опыт работы с canon остался очень не доволен ими , раньше юзал hp laserjet 1022 им был полностью доволен но их уже не выпускают посоветуйте что взять из подобного , использую последний debian.

drac753
()

bacula параметр Archive Device = /home/bacula

Форум — Admin

собственно какие права должны быть на /home/bacula ?

drac753
()

Переход на новый часовой пояс

Форум — Admin

есть комп который выполняет роль ntp сервера для локальной сети, скачал на него tzdata_2014h-1_all.deb и установил его

oot@proxy:/home/rab/new time +3# dpkg -i tzdata_2014h-1_all.deb 
(Чтение базы данных ... на данный момент установлено 28400 файлов и каталогов.)
Подготовка к замене пакета tzdata 2012g-0squeeze1 (используется файл tzdata_2014h-1_all.deb) ...
Распаковывается замена для пакета tzdata ...
Настраивается пакет tzdata (2014h-1) ...

Current default time zone: 'Europe/Moscow'
Local time is now:      Wed Oct  8 13:50:45 MSK 2014.
Universal Time is now:  Wed Oct  8 09:50:45 UTC 2014.
Run 'dpkg-reconfigure tzdata' if you wish to change it.


root@proxy:/home/rab/new time +3# dpkg-reconfigure tzdata

Current default time zone: 'Europe/Moscow'
Local time is now:      Wed Oct  8 13:51:05 MSK 2014.
Universal Time is now:  Wed Oct  8 09:51:05 UTC 2014.

root@proxy:/home/rab/new time +3# zdump -v /etc/localtime | grep 2014
/etc/localtime  Sat Oct 25 21:59:59 2014 UTC = Sun Oct 26 01:59:59 2014 MSK isdst=0 gmtoff=14400
/etc/localtime  Sat Oct 25 22:00:00 2014 UTC = Sun Oct 26 01:00:00 2014 MSK isdst=0 gmtoff=10800
видим что переход на час назад произойдет
root@proxy:/home/rab/new time +3# date -R
Wed, 08 Oct 2014 13:52:32 +0400
часовой пояс остался тем же +4 не произойдет ли следующая ситуация - проходит переход на час назад а затем система по ntp отбрасывает его обратно ведь часовой пояс не поменялся ?

drac753
()

RSS подписка на новые темы