FileSet {
  Name = "WindowsSet"
  Include {
    Options {
      signature = MD5
      ignore Case = yes
      wildfile = "*.mp3"
      wildfile = "*.mp4"
      wildfile = "*.wav"
      wildfile = "*.3gp"
      wildfile = "*.gif"
      wildfile = "*.avi"
      wildfile = "ntuser.dat"
      wilddir = "tmp"
      wilddir = "TMP"
      wilddir = "Temporary Internet Files"
      wilddir = "recycled"
      # wilddir = "ALTA"
      # regexfile = "*.dt"
      exclude = yes
          }
#    
#  Put your list of files here, preceded by 'File =', one per line
#    or include an external list with:
#
#    File = <file-name
#
#  Note: / backs up everything on the root partition.
#    if you have other partitions such as /usr or /home
#    you will probably want to add them too.
#
#  By default this is defined to point to the Bacula binary
#    directory to give a reasonable FileSet to backup to
#    disk storage during initial testing.
#
    File = "C:/Documents and Settings"
  }
  }

2-Апр 09:44 andrey-fd JobId 15:      Could not stat "C:/Documents and Settings/dracon/Рабочий стол": ERR=�������� � �������.

12-Апр 09:44 andrey-fd JobId 15:      Could not open directory "C:/Documents and Settings/dracon/Шаблоны": ERR=�� ������� ����� ��������� ����.

12-Апр 09:44 andrey-fd JobId 15:      Could not stat "C:/Documents and Settings/Expterm": ERR=�������� � �������.

12-Апр 09:44 andrey-fd JobId 15:      Could not stat "C:/Documents and Settings/LocalService": ERR=�������� � �������.

12-Апр 09:44 andrey-fd JobId 15:      Could not stat "C:/Documents and Settings/NetworkService": ERR=�������� � �������.

12-Апр 09:44 andrey-fd JobId 15:      Could not stat "C:/Documents and Settings/sjg": ERR=�������� � �������.

12-Апр 09:44 andrey-fd JobId 15:      Could not stat "C:/Documents and Settings/sjg.KAGAZ": ERR=�������� � �������.

12-Апр 09:44 andrey-fd JobId 15:      Could not stat "C:/Documents and Settings/spg": ERR=�������� � �������.

12-Апр 09:44 andrey-fd JobId 15:      Could not stat "C:/Documents and Settings/Администратор": ERR=�������� � �������.

12-Апр 09:44 andrey-fd JobId 15:      Could not stat "C:/Documents and Settings/колесников": ERR=�������� � �������.

12-Апр 09:44 andrey-fd JobId 15:      Could not stat "C:/Documents and Settings/мастер СПГ": ERR=�������� � �������.

12-Апр 09:44 andrey-fd JobId 15:      Could not stat "C:/Documents and Settings/моисеев": ERR=�������� � �������.

12-Апр 09:44 andrey-fd JobId 15:      Could not stat "C:/Documents and Settings/пелемов": ERR=�������� � �������.

root@debian:~# bat 
No protocol specified
bat: cannot connect to X server :0

Disk /dev/sdb: 500.1 GB, 500107862016 bytes
255 heads, 63 sectors/track, 60801 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x0001ce30

   Device Boot      Start         End      Blocks   Id  System
/dev/sdb1               1         122      975872   fd  Linux raid autodetect
Partition 1 does not end on cylinder boundary.
/dev/sdb2             122       60802   487407617    5  Extended
/dev/sdb5             122         608     3905536   82  Linux swap / Solaris
/dev/sdb6             609       60802   483501056   fd  Linux raid autodetect

root@backup:~# sfdisk -d /dev/sda | sfdisk /dev/sdd --force

получаю 

Disk /dev/sdd: 500.1 GB, 500107862016 bytes
255 heads, 63 sectors/track, 60801 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000

   Device Boot      Start         End      Blocks   Id  System
/dev/sdd1               1         122      975872   fd  Linux raid autodetect
Partition 1 does not end on cylinder boundary.
/dev/sdd2             122       60802   487407617    5  Extended
/dev/sdd5             122         608     3905536   82  Linux swap / Solaris
/dev/sdd6             609       60802   483501056   fd  Linux raid autodetect

host wifiserega {
   hardware ethernet 0C:DF:A4:DF:FF:61;
   fixed-address 192.168.3.141;
}
host vasyanout {
   hardware ethernet E0:06:E6:27:56:86;
   fixed-address 192.168.3.145;
}

root@proxy:/etc/dhcp# cat dhcpd.conf 
#
# Sample configuration file for ISC dhcpd for Debian
#
#

# The ddns-updates-style parameter controls whether or not the server will
# attempt to do a DNS update when a lease is confirmed. We default to the
# behavior of the version 2 packages ('none', since DHCP v2 didn't
# have support for DDNS.)
ddns-update-style none;

# option definitions common to all supported networks...
#option domain-name "example.org";
#option domain-name-servers ns1.example.org, ns2.example.org;

#default-lease-time 600;
#max-lease-time 7200;

# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
authoritative;

# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
log-facility local7;

# No service will be given on this subnet, but declaring it helps the 
# DHCP server to understand the network topology.

#subnet 10.152.187.0 netmask 255.255.255.0 {
#}

# This is a very basic subnet declaration.

#subnet 10.254.239.0 netmask 255.255.255.224 {
#  range 10.254.239.10 10.254.239.20;
#  option routers rtr-239-0-1.example.org, rtr-239-0-2.example.org;
#}

# This declaration allows BOOTP clients to get dynamic addresses,
# which we don't really recommend.

#subnet 10.254.239.32 netmask 255.255.255.224 {
#  range dynamic-bootp 10.254.239.40 10.254.239.60;
#  option broadcast-address 10.254.239.31;
#  option routers rtr-239-32-1.example.org;
#}

# настройки сети

   subnet 192.168.3.0 netmask 255.255.255.0 {
#  Диапазон выдаваемых адресов
#  range 10.5.5.26 10.5.5.30;
#  ip днс сервака
   option domain-name-servers 192.168.3.74;
#  option domain-name "internal.example.org";
#  ip шлюза
   option routers 192.168.3.125;
   option broadcast-address 192.168.3.255;
#  время аренды ip
   default-lease-time 600;
   max-lease-time 7200;
}

# Hosts which require special configuration options can be listed in
# host statements.   If no address is specified, the address will be
# allocated dynamically (if possible), but the host-specific information
# will still come from the host declaration.

#host passacaglia {
#  hardware ethernet 0:0:c0:5d:bd:95;
#  filename "vmunix.passacaglia";
#  server-name "toccata.fugue.com";
#}

# Fixed IP addresses can also be specified for hosts.   These addresses
# should not also be listed as being available for dynamic assignment.
# Hosts for which fixed IP addresses have been specified can boot using
# BOOTP or DHCP.   Hosts for which no fixed address is specified can only
# be booted with DHCP, unless there is an address range on the subnet
# to which a BOOTP client is connected which has the dynamic-bootp flag
# set.

host wifivovakip {
   hardware ethernet A0:71:A9:64:A2:B8;
   fixed-address 192.168.3.142;
}

host wifiserega {
   hardware ethernet 0C:DF:A4:DF:FF:61;
   fixed-address 192.168.3.141;
}

host wifiigor {
   hardware ethernet D0:B3:3F:38:E0:AD;
   fixed-address 192.168.3.143;
}

host telefonVM {
   hardware ethernet 0C:C6:6A:8B:04:E1;
   fixed-address 192.168.3.144;
}

host vasyanout {
   hardware ethernet E0:06:E6:27:56:86;
   fixed-address 192.168.3.145;
}
host vrem {
   hardware ethernet 9C:B7:0D:83:A4:53;
   fixed-address 192.168.3.146;
}
#You can declare a class of clients and then do address allocation
# based on that.   The example below shows a case where all clients
# in a certain class get addresses on the 10.17.224/24 subnet, and all
# other clients get addresses on the 10.0.29/24 subnet.

#class "foo" {
#  match if substring (option vendor-class-identifier, 0, 4) = "SUNW";
#}

#shared-network 224-29 {
#  subnet 10.17.224.0 netmask 255.255.255.0 {
#    option routers rtr-224.example.org;
#  }
#  subnet 10.0.29.0 netmask 255.255.255.0 {
#    option routers rtr-29.example.org;
#  }
#  pool {
#    allow members of "foo";
#    range 10.17.224.10 10.17.224.250;
#  }
#  pool {
#    deny members of "foo";
#    range 10.0.29.10 10.0.29.230;
#  }
#}

делаю
полмечаю диск как сбойный 

mdadm --manage /dev/md0 --fail /dev/sdd1

Выводим его из массива (mdadm)

mdadm --manage /dev/md0 --fail /dev/sdd1

смотрим

root@serverbackup:~# mdadm --detail /dev/md0
/dev/md0:
        Version : 1.2
  Creation Time : Mon Mar 18 11:00:14 2013
     Raid Level : raid5
     Array Size : 1465148928 (1397.27 GiB 1500.31 GB)
  Used Dev Size : 488382976 (465.76 GiB 500.10 GB)
   Raid Devices : 4
  Total Devices : 3
    Persistence : Superblock is persistent

    Update Time : Thu Mar 21 14:06:18 2013
          State : clean, degraded
 Active Devices : 3
Working Devices : 3
 Failed Devices : 0
  Spare Devices : 0

         Layout : left-symmetric
     Chunk Size : 512K

           Name : serverbackup:0  (local to host serverbackup)
           UUID : 1d501f90:cbfcf7ee:15761fed:3e30f025
         Events : 96

    Number   Major   Minor   RaidDevice State
       0       8        1        0      active sync   /dev/sda1
       1       8       17        1      active sync   /dev/sdb1
       2       8       33        2      active sync   /dev/sdc1
       3       0        0        3      removed
 

/dev/sdd1 удален из рэйда

root@serverbackup:~# mdadm --detail /dev/md0
/dev/md0:
        Version : 1.2
  Creation Time : Mon Mar 18 11:00:14 2013
     Raid Level : raid5
     Array Size : 1465148928 (1397.27 GiB 1500.31 GB)
  Used Dev Size : 488382976 (465.76 GiB 500.10 GB)
   Raid Devices : 4
  Total Devices : 4
    Persistence : Superblock is persistent

    Update Time : Wed Mar 20 08:35:39 2013
          State : clean
 Active Devices : 4
Working Devices : 4
 Failed Devices : 0
  Spare Devices : 0

         Layout : left-symmetric
     Chunk Size : 512K

           Name : serverbackup:0  (local to host serverbackup)
           UUID : 1d501f90:cbfcf7ee:15761fed:3e30f025
         Events : 40

    Number   Major   Minor   RaidDevice State
       0       8        1        0      active sync   /dev/sda1
       1       8       17        1      active sync   /dev/sdb1
       2       8       33        2      active sync   /dev/sdc1
       3       8       49        3      active sync   /dev/sdd1

mdadm --manage /dev/md0 --fail /dev/sda1
затем
mdadm --manage /dev/md0 --remove /dev/sda1

Смотрим  результат cat /proc/mdstat , если диск выведен успешно то 

Отмонтируем его - umount & sync /dev/sda1
Удаляем ус-во echo 1 >/sys/block/sda1/device/delete
Физически удаляем диск
Вставляем новый винт 
echo "- - -" >/sys/class/scsi_host/hostX/scan

проверяем fdisk -l появился ли новый винт, если все нормально 
mdadm готовим его к вводу в raid 

fdisk /dev/имя винта
n(создаём раздел)
тип р 
номер 1
затем задаём идентификатор для раздела 
t
fd
применяем изменения w
добавляем в массив
mdadm --manage /dev/md0 --add /dev/sdb1
ждем синхронизации

Поидее все

#!/bin/bash

modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe iptable_nat
#этот модуль позволяет работать с ftp в пассивном режиме
modprobe ip_nat_ftp
modprobe ip_nat_irc
#очистка цепочек
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t mangle -F
#Запрет всего
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP




#разрешаем все входящие пакеты на интрефейс замыкания на себя иначе ничего не работает 
iptables -A INPUT -i lo -j ACCEPT

#РАЗРЕШЕНЫ ТОЛЬКО ВХОДЯЩИЕ СОЗДАННЫЕ НАШИМИ ИСХОДЯЩИМИ
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#Правила повышающие безопасность
#Блочим входящие tcp соединения не syn пакетом (либо ошибка либо атака)

iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT

#Фильтруем ICMP

#iptables -A INPUT -p icmp -j ACCEPT
#iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 4 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 12 -j ACCEPT

#Запрещаем ping из локалки на нетовские сайты

iptables -A FORWARD -s 192.168.4.0/24 -p icmp -j DROP

#Разрешаем принимать от 2003 сервера dns запросы 

iptables -A INPUT -i eth0 -s 192.168.4.1 -p udp --dport 53  -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.4.1 -p tcp --dport 53  -j ACCEPT

#разрешаем доступ из локальной сети на порты 
iptables -A INPUT -i eth0 -p tcp -m multiport --dport 80,3128 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 123 -j ACCEPT
#Разрешаем хождение через цепочку форвард пакетов идущих в ответ на пакеты с eth0
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Пробрасывем ip внет на всех портах 192.168.4.50 - тот кого надо прокинуть
#iptables -A FORWARD -s 192.168.4.66-o ppp0 -j ACCEPT
#Пробрасывем ip внет на 25,110  портах 192.168.3.90 - тот кого надо прокинуть
#iptables -A FORWARD -s 192.168.3.90 -o ppp0 -p tcp -m multiport --dport 25,110 -j ACCEPT



#Маскарадим то что прошло через цепочку forward
iptables -t nat -I POSTROUTING -s 192.168.4.0/24 -o ppp0 -j MASQUERADE

#!/bin/bash

modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe iptable_nat
#этот модуль позволяет работать с ftp в пассивном режиме
modprobe ip_nat_ftp
modprobe ip_nat_irc
#очистка цепочек
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t mangle -F
#Запрет всего
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#разрешаем все входящие пакеты на интрефейс замыкания на себя иначе ничего не работает 
iptables -A INPUT -i lo -j ACCEPT

#РАЗРЕШЕНЫ ТОЛЬКО ВХОДЯЩИЕ СОЗДАННЫЕ НАШИМИ ИСХОДЯЩИМИ
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Правила повышающие безопасность
#Блочим входящие tcp соединения не syn пакетом (либо ошибка либо атака)
iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT

#Фильтруем ICMP по типам

iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 4 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 12 -j ACCEPT


#Запрещаем пинги из локальной сети 

iptables -I FORWARD -s 192.168.3.0/24 -p icmp -j DROP

#Разрешаем принимать dns запросы на 53 udp и tcp порт от сервера горгаза 192.168.3.74

iptables -A INPUT -i eth0 -s 192.168.3.74 -p udp --dport 53  -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.3.74 -p tcp --dport 53  -j ACCEPT

#разрешаем доступ из локальной сети на порты 22(ssh),3128 прокси squid,80 - apache веб морды

iptables -A INPUT -i eth0 -p tcp -m multiport --dport 22,80,3128 -j ACCEPT

#Разрешаем хождение через цепочку форвард пакетов идущих в ответ на пакеты с eth0

iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Пробрасывем ip внет на всех портах 192.168.3.50 - тот кого надо прокинуть
#iptables -A FORWARD -s 192.168.3.50 -o ppp0 -j ACCEPT
#Пробрасывем ip внет на 25,110  портах 192.168.3.90 - тот кого надо прокинуть
#iptables -A FORWARD -s 192.168.3.90 -o ppp0 -p tcp -m multiport --dport 25,110 -j ACCEPT

###Компы ходящие мимо прокси !!!####



iptables -A FORWARD -s 192.168.3.97 -o ppp0 -j ACCEPT

# андрей линукс 

iptables -A FORWARD -s 192.168.3.15 -o ppp0 -j ACCEPT
iptables -A FORWARD -s 192.168.3.82 -d ftp.kamenskgaz-ru.1gb.ru -o ppp0 -j ACCEPT

#Спг Люdа почта на webmail

iptables -A FORWARD -s 192.168.3.19 -d webmail.1gb.ru -o ppp0 -j ACCEPT
iptables -A FORWARD -s 192.168.3.19 -d webmail-10.1gb.ru -o ppp0 -j ACCEPT



iptables -A FORWARD -s 192.168.3.90 -o ppp0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.3.90 -o ppp0 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.3.90 -d 212.42.44.151 -o ppp0 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.3.90 -d 87.226.173.6 -o ppp0 -p tcp --dport 80 -j ACCEPT
#iptables -A FORWARD -s 192.168.3.90 -d kamenskgaz-ru.1gb.ru -o ppp0 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -s 192.168.3.90 -d kamenskgaz-ru.1gb.ru -o ppp0 -j ACCEPT

iptables -A FORWARD -s 192.168.3.90 -d ftp.kamenskgaz-ru.1gb.ru -o ppp0 -j ACCEPT
iptables -A FORWARD -s 192.168.3.90 -d serverfst.eias.ru -o ppp0 -p tcp --dport 80 -j ACCEPT



iptables -A FORWARD -s 192.168.3.81 -d onp-r61.nalog.ru -o ppp0 -j ACCEPT
iptables -A FORWARD -s 192.168.3.81 -d sos40.keydisk.ru -o ppp0 -j ACCEPT
iptables -A FORWARD -s 192.168.3.81 -d rostov.pfr190p.keydisk.ru -o ppp0 -j ACCEPT
iptables -A FORWARD -s 192.168.3.81 -d 94.79.10.44 -o ppp0 -j ACCEPT
iptables -A FORWARD -s 192.168.3.81 -d iit.keydisk.ru -o ppp0 -j ACCEPT
iptables -A FORWARD -s 192.168.3.81 -d gpr.keydisk.ru -o ppp0 -j ACCEPT
iptables -A FORWARD -s 192.168.3.81 -d edi.iitrust.ru -o ppp0 -j ACCEPT



iptables -A FORWARD -s 192.168.3.85 -d 212.42.44.151 -o ppp0 -p tcp -m multiport --dport 80,9000,443 -j ACCEPT



#iptables -A FORWARD -s 192.168.3.127 -o ppp0 -p  tcp -m multiport --dport 25,21,20,110 -j ACCEPT
iptables -A FORWARD -s 192.168.3.127 -o ppp0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.3.127 -o ppp0 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -s 192.168.3.127 -o ppp0 -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -s 192.168.3.127 -o ppp0 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.3.127 -d 93.153.157.82 -o ppp0 -p tcp --dport 65229 -j ACCEPT
iptables -A FORWARD -s 192.168.3.127 -d pop3-21.1gb.ru -o ppp0 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.3.127 -d 193.161.85.43 -o ppp0 -p tcp --dport 4003 -j ACCEPT
iptables -A FORWARD -s 192.168.3.127  -d 62.75.180.22 -o ppp0 -p tcp --dport 4003 -j ACCEPT


iptables -A FORWARD -s 192.168.3.84 -o ppp0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.3.84 -o ppp0 -p tcp --dport 110 -j ACCEPT

#Компы и другие устройства цепляющиеся через WiFi


#Маскарадим то что прошло через цепочку forward
iptables -t nat -I POSTROUTING -s 192.168.3.0/24 -o ppp0 -j MASQUERADE

iptables -A FORWARD -s 192.168.3.19 -d webmail.1gb.ru -o ppp0 -j ACCEPT
iptables -A FORWARD -s 192.168.3.19 -d webmail-10.1gb.ru -o ppp0 -j ACCEPT

iperf -c Server_IP

# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

driftfile /var/lib/ntp/ntp.drift


# Enable this if you want statistics to be logged.
statsdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable


# You do need to talk to an NTP server or two (or three).
#server ntp.your-provider.example

# pool.ntp.org maps to about 1000 low-stratum NTP servers.  Your server will
# pick a different set every time it starts up.  Please consider joining the
# pool: <http://www.pool.ntp.org/join.html>
server 0.debian.pool.ntp.org iburst
server 1.debian.pool.ntp.org iburst
server 2.debian.pool.ntp.org iburst
server 3.debian.pool.ntp.org iburst


# Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
# details.  The web page <http://support.ntp.org/bin/view/Support/AccessRestrictions>
# might also be helpful.
#
# Note that "restrict" applies to both servers and clients, so a configuration
# that might be intended to block requests from certain clients could also end
# up blocking replies from your own upstream servers.

# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery

# Local users may interrogate the ntp server more closely.
restrict 127.0.0.1
restrict ::1

# Clients from this (example!) subnet have unlimited access, but only if
# cryptographically authenticated.
restrict 192.168.4.0 mask 255.255.255.0 notrust


# If you want to provide time to your local subnet, change the next line.
# (Again, the address is an example only.)
#broadcast 192.168.123.255

# If you want to listen to time broadcasts on your local subnet, de-comment the
# next lines.  Please do this only if you trust everybody on the network!
#disable auth
#broadcastclient

# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery

планировал сделать так 
restrict 192.168.4.0 mask 255.255.255.0 nomodify notrap nopeer
но в дефолтном конфиге вижу 
restrict 192.168.3.0 mask 255.255.255.0 notrust , как это отрабатывает ?

#!/bin/bash

modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe iptable_nat
#этот модуль позволяет работать с ftp в пассивном режиме
modprobe ip_nat_ftp
modprobe ip_nat_irc
#очистка цепочек
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t mangle -F
#Запрет всего
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#разрешаем все входящие пакеты на интрефейс замыкания на себя иначе ничего не работает 
iptables -A INPUT -i lo -j ACCEPT

#РАЗРЕШЕНЫ ТОЛЬКО ВХОДЯЩИЕ СОЗДАННЫЕ НАШИМИ ИСХОДЯЩИМИ
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Правила повышающие безопасность
#Блочим входящие tcp соединения не syn пакетом (либо ошибка либо атака)
iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT

#Фильтруем ICMP по типам

iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 12 -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 4 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 12 -j ACCEPT


#Запрещаем пинги из локальной сети 

iptables -I FORWARD -s 192.168.3.0/24 -p icmp -j DROP

#Разрешаем принимать dns запросы на 53 udp и tcp порт от сервера горгаза 192.168.3.74

iptables -A INPUT -i eth0 -s 192.168.3.74 -p udp --dport 53  -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.3.74 -p tcp --dport 53  -j ACCEPT

#разрешаем доступ из локальной сети на порты 22(ssh),3128 прокси squid,80 - apache веб морды

iptables -A INPUT -i eth0 -p tcp -m multiport --dport 22,80,3128 -j ACCEPT

#Разрешаем хождение через цепочку форвард пакетов идущих в ответ на пакеты с eth0

iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Пробрасывем ip внет на всех портах 192.168.3.50 - тот кого надо прокинуть
#iptables -A FORWARD -s 192.168.3.50 -o ppp0 -j ACCEPT
#Пробрасывем ip внет на 25,110  портах 192.168.3.90 - тот кого надо прокинуть
#iptables -A FORWARD -s 192.168.3.90 -o ppp0 -p tcp -m multiport --dport 25,110 -j ACCEPT

###Компы ходящие мимо прокси !!!####

iptables -A FORWARD -s 192.168.3.127 -o ppp0 -p tcp --dport 25 -j ACCEPT
#не работает 
#iptables -A FORWARD -s 192.168.3.127 -d 0.0.0.0/24 -o ppp0 -p tcp --dport 25 -j ACCEPT



#Маскарадим то что прошло через цепочку forward
iptables -t nat -I POSTROUTING -s 192.168.3.0/24 -o ppp0 -j MASQUERADE

#iptables -A FORWARD -s 192.168.3.127 -d 0.0.0.0/24 -o ppp0 -p tcp --dport 25 -j ACCEPT

iptables -A FORWARD -s 192.168.3.127 -o ppp0 -p tcp --dport 25 -j ACCEPT

root@debtest:/etc/network/if-pre-up.d# cat firewall 
#!/bin/bash

modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe iptable_nat
#этот модуль позволяет работать с ftp в пассивном режиме
modprobe ip_nat_ftp
modprobe ip_nat_irc
#очистка цепочек
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t mangle -F
#Запрет всего
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#разрешаем все входящие пакеты на интрефейс замыкания на себя иначе ничего не работает 
iptables -A INPUT -i lo -j ACCEPT

#РАЗРЕШЕНЫ ТОЛЬКО ВХОДЯЩИЕ СОЗДАННЫЕ НАШИМИ ИСХОДЯЩИМИ
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Правила повышающие безопасность
#Блочим входящие tcp соединения не syn пакетом (либо ошибка либо атака)
iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT

#Фильтруем ICMP
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

####################################################
iptables -A INPUT -i eth0 -s 192.168.4.1 -j DROP

iptables -A INPUT -i eth0 -s 192.168.4.1 -p udp --dport 53  -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.4.1 -p tcp --dport 53  -j ACCEPT
#####################################################
#разрешаем доступ из локальной сети на порты 21(ftp),22(ssh),53(dns),9999(внутрисетевой репозитраий),110 и 143 - pop3 smtp, 995 и 993 - pops smtps
iptables -A INPUT -i eth0 -p tcp -m multiport --dport 22,80,3128 -j ACCEPT



#Разрешаем хождение через цепочку форвард пакетов идущих в ответ на пакеты с eth0
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Маскарадим то что прошло через цепочку forward
iptables -t nat -I POSTROUTING -s 192.168.4.0/24 -o ppp0 -j MASQUERADE

iptables -A INPUT -i eth0 -s 192.168.4.1 -j DROP

iptables -A INPUT -i eth0 -s 192.168.4.1 -p udp --dport 53  -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.4.1 -p tcp --dport 53  -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type 0,3,4,11,12 -j ACCEPT
вылазиет 
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.8: Invalid ICMP type `0,3,4,11,12'

#!/bin/bash

modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe iptable_nat
#этот модуль позволяет работать с ftp в пассивном режиме
modprobe ip_nat_ftp
modprobe ip_nat_irc
#очистка цепочек
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t mangle -F
#Запрет всего
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#разрешаем все входящие пакеты на интрефейс замыкания на себя иначе ничего не работает 
iptables -A INPUT -i lo -j ACCEPT

#РАЗРЕШЕНЫ ТОЛЬКО ВХОДЯЩИЕ СОЗДАННЫЕ НАШИМИ ИСХОДЯЩИМИ
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Правила повышающие безопасность
#Блочим входящие tcp соединения не syn пакетом (либо ошибка либо атака)
iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT

#разрешаем любые входящие и исходящие по icmp
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

#разрешаем доступ из локальной сети на порты 21(ftp),22(ssh),53(dns),9999(внутрисетевой репозитраий),110 и 143 - pop3 smtp, 995 и 993 - pops smtps

iptables -A INPUT -i eth0 -p tcp -m multiport --dport 22,53,80,3128 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT

#Разрешаем хождение через цепочку форвард пакетов идущих в ответ на пакеты с eth0
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT


#Комп главбуха каменск газа 
iptables -A FORWARD -s 192.168.4.66 -o ppp0 -j ACCEPT

#Компы и другие устройства цепляющиеся через WiFi


#Маскарадим то что прошло через цепочку forward
iptables -t nat -I POSTROUTING -s 192.168.4.0/24 -o ppp0 -j MASQUERADE

named.conf 
include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";

named.conf.default-zones 
// prime the server with knowledge of the root servers
zone "." {
        type hint;
        file "/etc/bind/db.root";
};

// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912

zone "localhost" {
        type master;
        file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
        type master;
        file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
        type master;
        file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
        type master;
        file "/etc/bind/db.255";
};

named.conf.local 
//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

named.conf.options 
options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable 
        // nameservers, you probably want to use them as forwarders.  
        // Uncomment the following block, and insert the addresses replacing 
        // the all-0's placeholder.

        // forwarders {
        //      0.0.0.0;
        // };

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

acl mynetwork {192.168.0.0/24; 127.0.0.1; };

 options {
     directory "/var/cache/bind";
     auth-nxdomain no;
     listen-on-v6 { none; };
     allow-query { mynetwork; };
 };

#!/bin/bash
#этот модуль позволяет работать с ftp в пассивном режиме
modprobe nf_conntrack_ftp
#очистка цепочек
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t mangle -F
#Запрет всего
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#включение логов iptables
#iptables -I OUTPUT -o eth0 -j LOG
#префиксы сообщений iptables
#iptables -A INPUT -p tcp  -j LOG --log-prefix "input tcp"
#iptables -A INPUT -p icmp -j LOG --log-prefix "input icmp"
#логи входящих tcp udp icmp
#iptables -A INPUT -j LOG --log-level 4


#разрешаем все входящие пакеты на интрефейс замыкания на себя иначе ничего не работает 
iptables -A INPUT -i lo -j ACCEPT
#РАЗРЕШЕНЫ ТОЛЬКО ВХОДЯЩИЕ СОЗДАННЫЕ НАШИМИ ИСХОДЯЩИМИ
iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT
#Правила повышающие безопасность
#Блочим входящие tcp соединения не syn пакетом (либо ошибка либо атака)
iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT
#разрешаем любые входящие и исходящие по icmp
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

#разрешаем доступ из сети на порты 21(ftp),22(ssh),53(dns),9999(внутрисетевой репозитраий),110 и 143 - pop3 smtp, 995 и 993 - pops smtps
iptables -A INPUT -i eth0 -p tcp -m multiport --dport 22,80,3128,20,110,25,21 -j ACCEPT
#Разрешаем доступ из нета на порты 25,465,993,995 25 почта ,остальные для почт клиентов
#iptables -A INPUT -i ppp0 -p tcp -m multiport --dport 25,465,995,993 -j ACCEPT
#заварачиваем веб трафик на проксик
iptables -t nat -A PREROUTING -s 192.168.3.0/24 -i eth1 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-ports 3128

#Включаем Nat
iptables -A FORWARD -s 192.168.3.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.3.0/24 -j ACCEPT

#Банк клиенты , почтовые клиенты и прочаее
#serega pilemov
iptables -t nat -A POSTROUTING -s 192.168.3.127 -d 0.0.0.0/0  -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.127 -d 0.0.0.0/0  -p tcp --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.127 -d 0.0.0.0/0  -p tcp --dport 20 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.127 -d 0.0.0.0/0  -p tcp --dport 21 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.127 -d 93.153.157.82  -p tcp --dport 65229  -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.127 -d 193.161.85.43 -p tcp --dport 4003  -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.127 -d 62.75.180.22 -p tcp --dport 4003  -j MASQUERADE