Сообщения saliery

Сессионные переменные в PHP 5.4

Форум — Admin

Здравствуйте! Всегда стояла PHP 5.3, теперь пришлось невольно обновиться до PHP 5.6. Скажите, пожалуйста, как организовать register_globals = On и session_register() ? В интернете нашёл следующие варианты:

1. Эмуляция register_globals = On: в php.ini вставляем с заменой

auto_prepend_file = /etc/php/5.6/apache2/globals.php

содержимое globals.php:

<?php
extract($_REQUEST);

2. Эмуляция session_register(): на самом сайте пишем:

<?php session_start(); ?>
<?php

function session_register() {
$args = func_get_args();

foreach ($args as $key) {

if (!isset($GLOBALS[$key])) {$GLOBALS[$key] = NULL;}
$_SESSION[$key] =& $GLOBALS[$key];

}

}

session_register("var1");

?>

Не работает такой вариант. Подскажите, пожалуйста, что я не так делаю?

php, глобальный, регистрация, сессии

saliery
(10.04.22 18:45:57 MSK)

16 комментариев

Установка PHP 5 на Ubuntu 20.04

Форум — Admin

Здравствуйте!

Пытаюсь установить PHP 5 на Ubuntu 20.04. Как известно, популярный репозиторий - это ondrej. При установке возникает проблема с локалями, если подтвердить, то русские буквы при отображении сайта превращаются в знаки вопроса. Как с этим быть - не знаю.

Co-installable PHP versions: PHP 5.6, PHP 7.x and most requested extensions are included.
Only Supported Versions of PHP (http://php.net/supported-versions.php ) for Supported Ubuntu Releases (https://wiki.ubuntu.com/Releases) are provided.
Don't ask for end-of-life PHP versions or Ubuntu release, they won't be provided.
Debian oldstable and stable packages are provided as well: https://deb.sury.org/ #debian-dpa
You can get more information about the packages at https://deb.sury.org
 
IMPORTANT: The <foo>-backports is now required on older Ubuntu releases.
BUGS&FEATURES: This PPA now has a issue tracker: https://deb.sury.org/#bug-reporting
 
CAVEATS:
1. If you are using php-gearman, you need to add ppa:ondrej/pkg-gearman
2. If you are using apache2, you are advised to add ppa:ondrej/apache2
3. If you are using nginx, you are advised to add ppa:ondrej/nginx-mainline or ppa:ondrej/nginx
 
PLEASE READ: If you like my work and want to give me a little motivation, please consider donating regularly: https://donate.sury.org/
 
WARNING: add-apt-repository is broken with non-UTF-8 locales, see
https://github.com/oerdnj/deb.sury.org/issues/56 for workaround:
 
# LC_ALL=C.UTF-8 add-apt-repository ppa:ondrej/php
More info: https://launchpad.net/~ondrej/+archive/ubuntu/php
Press [ENTER] to continue or Ctrl-c to cancel adding it.

Решил зайти на сам репозиторий от ondrej и попытаться оттуда выцепить сборку, но не могу собрать её, пакеты не устанавливаются.

Репозиторий от ondrej: https://ppa.launchpadcontent.net/ondrej/php/ubuntu/pool/main/p/php5.6/

Какие есть способы решения, подскажите, пожалуйста. Версия PHP может быть от 5.3 до 5.6.

Нашёл одну инструкцию: https://www.looklinux.com/how-to-compile-php-5-6-with-apache-worker-support/ Попытался по ней выполнить, выходит такая ошибка:

configure: error: Cannot find OpenSSL's <evp.h>

По этой ссылке сделал, конфликтов никаких нет, но как запустить, не знаю, не работает PHP: https://bogachev.biz/2015/05/29/ustanovka-php-iz-ishodnikov/

Подскажите, пожалуйста, что делать?

php

saliery
(06.04.22 01:04:13 MSK)

19 комментариев

Ошибка при перезапуске Bind9

Форум — Admin

Здравствуйте! Стоит Ubuntu 16.04. При перезапуске Bind9 выскакивает среди других вот такое сообщение: couldn't add command channel ::1#953: address not available

Подскажите, пожалуйста, как устранить эту ошибку?

IPTables прикладываю:

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 124.12.164.0/24 -j MASQUERADE -o ens3
-A POSTROUTING -o eth0 -s 124.12.164.0/24 -j MASQUERADE
COMMIT

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]


# ХАК
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol none -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -i eth0 -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp+ -o eth0 -j ACCEPT
-A FORWARD -s 124.12.164.0/24 -d 124.12.164.0/24 -i ppp+ -o ppp+ -j ACCEPT
-A FORWARD -j DROP


# Разрешаем весь трафик на петлевом интерфейсе
-A INPUT -i lo -j ACCEPT

# Запретить внешним пакетам использовать петлевой адрес
-A INPUT -i eth0 -s 127.0.0.1 -j DROP
-A FORWARD -i eth0 -s 127.0.0.1 -j DROP
-A INPUT -i eth0 -d 127.0.0.1 -j DROP
-A FORWARD -i eth0 -d 127.0.0.1 -j DROP

# Все, что приходит из Интернета, должно иметь настоящий интернет-адрес
-A FORWARD -i eth0 -s 124.12.0.0/16 -j DROP
-A FORWARD -i eth0 -s 172.16.0.0/12 -j DROP
-A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP
-A INPUT -i eth0 -s 124.12.0.0/16 -j DROP
-A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
-A INPUT -i eth0 -s 10.0.0.0/8 -j DROP

# Разрешаем всё для ВПН-клиентов
-A INPUT -i ppp+ -s 124.12.164.0/24 -j ACCEPT


# Разрешаем входящие соединения к L2TP, но только с шифрованием!
-A INPUT -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

# Разрешаем IPSec
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -p udp --dport 500 -j ACCEPT
-A INPUT -p udp --dport 4500 -j ACCEPT

# Разрешаем доступ к серверу по SSH
-A INPUT -m tcp -p tcp --dport 2002 -j ACCEPT


# Разрешаем входящие ответы на исходящие соединения
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# NAT для локальной сети (ВПН-клиентов)
-A FORWARD -i ppp+ -o ens3 -s 124.12.164.0/24 -j ACCEPT
-A FORWARD -i ens3 -o ppp+ -d 124.12.164.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Блокировать исходящие NetBios (если у вас запущены машины с Windows в частной подсети). Это не повлияет на NetBios трафик, который проходит через VPN-туннель, но он остановится локальные машины Windows от вещания себя интернет.
-A FORWARD -p tcp --sport 137:139 -o eth0 -j DROP
-A FORWARD -p udp --sport 137:139 -o eth0 -j DROP
-A OUTPUT -p tcp --sport 137:139 -o eth0 -j DROP
-A OUTPUT -p udp --sport 137:139 -o eth0 -j DROP

# Проверка правильности адреса источника на пакетах, выходящих в интернет
-A FORWARD ! -s 124.12.164.0/24 -i eth1 -j DROP

# Разрешить локальную петлю
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -d 127.0.0.1 -j ACCEPT

# Drop входящих эхо-запросов
-A INPUT -p icmp --icmp-type echo-request -j DROP

# Drop пакетов из частных подсетей
-A INPUT -i eth1 -j DROP
-A FORWARD -i eth1 -j DROP

# Сохранять состояние соединений из локальной машины и частных подсетей
-A OUTPUT -m state --state NEW -o eth0 -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -m state --state NEW -o eth0 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Включаем Самбу
-A INPUT -p tcp -m tcp --dport 445 --source 124.12.164.0/24 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 139 --source 124.12.164.0/24 -j ACCEPT
-A INPUT -p udp -m udp --dport 137 --source 124.12.164.0/24 -j ACCEPT
-A INPUT -p udp -m udp --dport 138 --source 124.12.164.0/24 -j ACCEPT

-A INPUT -i eth0 -s 124.12.164.0/24 -p udp --dport 137:138 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -d 124.12.164.0/24 -p udp --sport 137:138 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -s 124.12.164.0/24 -p tcp --dport 139 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -d 124.12.164.0/24 -p tcp --sport 139 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -d 124.12.164.0/24 -p udp --sport 445 -m state --state ESTABLISHED -j ACCEPT

-I INPUT -i eth0 -p tcp --dport 135 -j DROP
-I INPUT -i eth0 -p tcp --dport 136 -j DROP
-I INPUT -i eth0 -p tcp --dport 137 -j DROP
-I INPUT -i eth0 -p tcp --dport 138 -j DROP
-I INPUT -i eth0 -p tcp --dport 139 -j DROP
-I INPUT -i eth0 -p tcp --dport 445 -j DROP
-I INPUT -i eth0 -p tcp --dport 1701 -j DROP
COMMIT

bind9, iptables, ubuntu, предупреждения

saliery
(10.10.19 21:17:02 MSK)

12 комментариев

Отключить GeoIP в Bind9 Ubuntu

Форум — Admin

Здравствуйте! Подскажите, пожалуйста, как удалить GeoIP? Стоит Ubuntu 16.04.

Дело в том, что выскакивает сообщение при перезапуске Bind: GeoIP NetSpeed (type 10) DB not available

Как можно решить это?

bind9, geoip, ubuntu

saliery
(10.10.19 20:43:13 MSK)

2 комментария

Настройка Firewall для XL2TPD & Samba

Форум — Security

Здравствуйте! Имеется Ubuntu 16.04 и VPN-сервер: XL2TPD PPP IPSec Libreswan Samba (папка с общим доступом находится на сервере Ubuntu). Уже один раз меня хакали. Не хочу, чтобы впредь это повторялось. Как грамотно прописать правила для iptables, чтобы не было открытого прямого доступа?

Я сделал так (/etc/iptables/rules.v4):

# eth0 подключен к интернету.
# eth1 подключен к частной подсети.
 
# Внешний интерфейс сервера
IF_EXT="ens3"
 
# Внутренние интерфейсы (обслуживающие ВПН-клиентов)
IF_INT="ppp+"
 
# Сеть, адреса из которой будут получать ВПН-клиенты
NET_INT="112.128.72.0/24"
 
LOOP="127.0.0.1"
 
 
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s ${NET_INT} -o eth0 -j MASQUERADE
-t nat -A POSTROUTING -s ${NET_INT} -j MASQUERADE -o ${IF_EXT}
-t nat -A POSTROUTING -o eth0 -s ${NET_INT} -j MASQUERADE
COMMIT
 
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
 
#
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol none -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -i eth0 -o ${IF_INT} -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ${IF_INT} -o eth0 -j ACCEPT
-A FORWARD -s ${NET_INT} -d ${NET_INT} -i ${IF_INT} -o ${IF_INT} -j ACCEPT
-A FORWARD -j DROP
 
 
# Разрешаем весь трафик на петлевом интерфейсе
-A INPUT -i lo -j ACCEPT
 
# Запретить внешним пакетам использовать петлевой адрес
-A INPUT -i eth0 -s ${LOOP} -j DROP
-A FORWARD -i eth0 -s ${LOOP} -j DROP
-A INPUT -i eth0 -d ${LOOP} -j DROP
-A FORWARD -i eth0 -d ${LOOP} -j DROP
 
# Все, что приходит из Интернета, должно иметь настоящий интернет-адрес
-A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP
-A FORWARD -i eth0 -s 172.16.0.0/12 -j DROP
-A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP
-A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
-A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
-A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
 
# Разрешаем всё для ВПН-клиентов
-A INPUT -i ${IF_INT} -s ${NET_INT} -j ACCEPT
 
 
# Разрешаем входящие соединения к L2TP
# Но только с шифрованием!
-A INPUT -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT
 
# Разрешаем IPSec
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -p udp --dport 500 -j ACCEPT
-A INPUT -p udp --dport 4500 -j ACCEPT
 
# Разрешаем доступ к серверу по SSH
-A INPUT -m tcp -p tcp --dport 2002 -j ACCEPT
 
 
# Разрешаем входящие ответы на исходящие соединения
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# NAT для локальной сети (ВПН-клиентов)
-A FORWARD -i ${IF_INT} -o ${IF_EXT} -s ${NET_INT} -j ACCEPT
-A FORWARD -i ${IF_EXT} -o ${IF_INT} -d ${NET_INT} -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# Блокировать исходящие NetBios (если у вас запущены машины с Windows
# в частной подсети). Это не повлияет на NetBios
# трафик, который проходит через VPN-туннель, но он остановится
# локальные машины Windows от вещания себя
# интернет.
-A FORWARD -p tcp --sport 137:139 -o eth0 -j DROP
-A FORWARD -p udp --sport 137:139 -o eth0 -j DROP
-A OUTPUT -p tcp --sport 137:139 -o eth0 -j DROP
-A OUTPUT -p udp --sport 137:139 -o eth0 -j DROP
 
# Проверка правильности адреса источника на пакетах, выходящих в интернет
-A FORWARD -s ! ${NET_INT} -i eth1 -j DROP
 
# Разрешить локальную петлю
-A INPUT -s ${LOOP} -j ACCEPT
-A INPUT -d ${LOOP} -j ACCEPT
 
# Drop входящих эхо-запросов
-A INPUT -p icmp --icmp-type echo-request -j DROP
 
# Drop пакетов из частных подсетей
-A INPUT -i eth1 -j DROP
-A FORWARD -i eth1 -j DROP
 
# Сохранять состояние соединений из локальной машины и частных подсетей
-A OUTPUT -m state --state NEW -o eth0 -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -m state --state NEW -o eth0 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Самба ВКЛ
-A INPUT -p tcp -m tcp --dport 445 –s ${NET_INT} -j ACCEPT
-A INPUT -p tcp -m tcp --dport 139 –s ${NET_INT} -j ACCEPT
-A INPUT -p udp -m udp --dport 137 –s ${NET_INT} -j ACCEPT
-A INPUT -p udp -m udp --dport 138 –s ${NET_INT} -j ACCEPT
 
-A INPUT -i eth0 -s ${NET_INT} -p udp --dport 137:138 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -d ${NET_INT} -p udp --sport 137:138 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -s ${NET_INT} -p tcp --dport 139 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -d ${NET_INT} -p tcp --sport 139 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -d ${NET_INT} -p udp --sport 445 -m state --state ESTABLISHED -j ACCEPT
 
-I INPUT -i eth0 -p tcp --dport 137 -j DROP
-I INPUT -i eth0 -p tcp --dport 138 -j DROP
-I INPUT -i eth0 -p tcp --dport 139 -j DROP
-I INPUT -i eth0 -p tcp --dport 445 -j DROP
-I INPUT -i eth0 -p tcp --dport 1701 -j DROP
 
COMMIT

Подскажите, пожалуйста, всё ли правильно у меня написано?

iptables, libreswan, samba, ubuntu, xl2tpd

saliery
(19.08.19 15:21:31 MSK)

2 комментария

Настройка Firewall для XL2TPD & Samba

Форум — Security

Я сделал так (/etc/iptables/rules.v4):

# eth0 подключен к интернету.
# eth1 подключен к частной подсети.
 
# Внешний интерфейс сервера
IF_EXT="ens3"
 
# Внутренние интерфейсы (обслуживающие ВПН-клиентов)
IF_INT="ppp+"
 
# Сеть, адреса из которой будут получать ВПН-клиенты
NET_INT="112.128.72.0/24"
 
LOOP="127.0.0.1"
 
 
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s ${NET_INT} -o eth0 -j MASQUERADE
-t nat -A POSTROUTING -s ${NET_INT} -j MASQUERADE -o ${IF_EXT}
-t nat -A POSTROUTING -o eth0 -s ${NET_INT} -j MASQUERADE
COMMIT
 
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
 
#
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol none -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -i eth0 -o ${IF_INT} -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ${IF_INT} -o eth0 -j ACCEPT
-A FORWARD -s ${NET_INT} -d ${NET_INT} -i ${IF_INT} -o ${IF_INT} -j ACCEPT
-A FORWARD -j DROP
 
 
# Разрешаем весь трафик на петлевом интерфейсе
-A INPUT -i lo -j ACCEPT
 
# Запретить внешним пакетам использовать петлевой адрес
-A INPUT -i eth0 -s ${LOOP} -j DROP
-A FORWARD -i eth0 -s ${LOOP} -j DROP
-A INPUT -i eth0 -d ${LOOP} -j DROP
-A FORWARD -i eth0 -d ${LOOP} -j DROP
 
# Все, что приходит из Интернета, должно иметь настоящий интернет-адрес
-A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP
-A FORWARD -i eth0 -s 172.16.0.0/12 -j DROP
-A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP
-A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
-A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
-A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
 
# Разрешаем всё для ВПН-клиентов
-A INPUT -i ${IF_INT} -s ${NET_INT} -j ACCEPT
 
 
# Разрешаем входящие соединения к L2TP
# Но только с шифрованием!
-A INPUT -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT
 
# Разрешаем IPSec
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -p udp --dport 500 -j ACCEPT
-A INPUT -p udp --dport 4500 -j ACCEPT
 
# Разрешаем доступ к серверу по SSH
-A INPUT -m tcp -p tcp --dport 2002 -j ACCEPT
 
 
# Разрешаем входящие ответы на исходящие соединения
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# NAT для локальной сети (ВПН-клиентов)
-A FORWARD -i ${IF_INT} -o ${IF_EXT} -s ${NET_INT} -j ACCEPT
-A FORWARD -i ${IF_EXT} -o ${IF_INT} -d ${NET_INT} -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# Блокировать исходящие NetBios (если у вас запущены машины с Windows
# в частной подсети). Это не повлияет на NetBios
# трафик, который проходит через VPN-туннель, но он остановится
# локальные машины Windows от вещания себя
# интернет.
-A FORWARD -p tcp --sport 137:139 -o eth0 -j DROP
-A FORWARD -p udp --sport 137:139 -o eth0 -j DROP
-A OUTPUT -p tcp --sport 137:139 -o eth0 -j DROP
-A OUTPUT -p udp --sport 137:139 -o eth0 -j DROP
 
# Проверка правильности адреса источника на пакетах, выходящих в интернет
-A FORWARD -s ! ${NET_INT} -i eth1 -j DROP
 
# Разрешить локальную петлю
-A INPUT -s ${LOOP} -j ACCEPT
-A INPUT -d ${LOOP} -j ACCEPT
 
# Drop входящих эхо-запросов
-A INPUT -p icmp --icmp-type echo-request -j DROP
 
# Drop пакетов из частных подсетей
-A INPUT -i eth1 -j DROP
-A FORWARD -i eth1 -j DROP
 
# Сохранять состояние соединений из локальной машины и частных подсетей
-A OUTPUT -m state --state NEW -o eth0 -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -m state --state NEW -o eth0 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Самба ВКЛ
-A INPUT -p tcp -m tcp --dport 445 –s ${NET_INT} -j ACCEPT
-A INPUT -p tcp -m tcp --dport 139 –s ${NET_INT} -j ACCEPT
-A INPUT -p udp -m udp --dport 137 –s ${NET_INT} -j ACCEPT
-A INPUT -p udp -m udp --dport 138 –s ${NET_INT} -j ACCEPT
 
-A INPUT -i eth0 -s ${NET_INT} -p udp --dport 137:138 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -d ${NET_INT} -p udp --sport 137:138 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -s ${NET_INT} -p tcp --dport 139 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -d ${NET_INT} -p tcp --sport 139 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -d ${NET_INT} -p udp --sport 445 -m state --state ESTABLISHED -j ACCEPT
 
-I INPUT -i eth0 -p tcp --dport 137 -j DROP
-I INPUT -i eth0 -p tcp --dport 138 -j DROP
-I INPUT -i eth0 -p tcp --dport 139 -j DROP
-I INPUT -i eth0 -p tcp --dport 445 -j DROP
-I INPUT -i eth0 -p tcp --dport 1701 -j DROP
 
COMMIT

Подскажите, пожалуйста, всё ли правильно у меня написано?

libreswan, samba, ubuntu, vpn, xl2tpd

saliery
(27.07.19 19:14:39 MSK)

1 комментарий

Безопасность XL2TPD PPP IPSec Libreswan Samba

Форум — Security

Здравствуйте! Имеется Ubuntu 16.04 и VPN-сервер: XL2TPD PPP IPSec Libreswan Samba (папка с общим доступом находится на сервере Ubuntu). Уже один раз меня хакали (Trojan.Bugat заскочил ко мне). Не хочу, чтобы впредь это повторялось. Как грамотно прописать правила для iptables, чтобы не было открытого доступа?

Пока что я в файле сделал 2 фильтра:

[code]

Generated by iptables-save v1.6.0 on Fri Jul 19 11:49:27 2019

*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -I INPUT -i eth0 -p tcp –dport 139 -j DROP -I INPUT -i eth0 -p tcp –dport 445 -j DROP COMMIT

Completed on Fri Jul 19 11:49:27 2019

[/code]

Какие будут ещё пожелания и дополнения?

Результат команды sudo netstat -tuwpln:

[code] tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 1103/dovecot tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 1103/dovecot tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1592/apache2 tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1041/sshd tcp 0 0 120.195.54.101:53 0.0.0.0:* LISTEN 921/named tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 921/named tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 1810/master tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 921/named tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 1843/smbd tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 979/mysqld tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 1843/smbd

tcp6 0 0 :::25 :::* LISTEN 1810/master tcp6 0 0 :::445 :::* LISTEN 1843/smbd tcp6 0 0 :::139 :::* LISTEN 1843/smbd

udp 0 0 120.195.54.101:53 0.0.0.0:* 921/named udp 0 0 127.0.0.1:53 0.0.0.0:* 921/named udp 0 0 120.195.54.255:137 0.0.0.0:* 1828/nmbd udp 0 0 120.195.54.101:137 0.0.0.0:* 1828/nmbd udp 0 0 0.0.0.0:137 0.0.0.0:* 1828/nmbd udp 0 0 120.195.54.255:138 0.0.0.0:* 1828/nmbd udp 0 0 120.195.54.101:138 0.0.0.0:* 1828/nmbd udp 0 0 0.0.0.0:138 0.0.0.0:* 1828/nmbd udp 0 0 127.0.0.1:4500 0.0.0.0:* 1583/pluto udp 0 0 120.195.54.101:4500 0.0.0.0:* 1583/pluto udp 0 0 0.0.0.0:1701 0.0.0.0:* 1677/xl2tpd udp 0 0 127.0.0.1:500 0.0.0.0:* 1583/pluto udp 0 0 120.195.54.101:500 0.0.0.0:* 1583/pluto [/code]

ipsec, iptables, libreswan, samba, xl2tpd

saliery
(20.07.19 19:28:29 MSK)

4 комментария

Перейти на домен, если нет заданного субдомена

Форум — General

Здравствуйте! Стоит Ubuntu 12.04, есть несколько доменов, у некоторых есть субдомены. Задача: если в строку браузера ввели отсутствующий субдомен, чтобы он переходил на домен этого субдомена.

В Файл /etc/apache2/httpd.conf вставил следующее:


<Directory />
Options Includes -Indexes FollowSymLinks
AllowOverride All
Order allow,deny
allow from all
ErrorDocument 404 /404.htm

RewriteEngine On
RewriteCond %{HTTP_HOST} !^%{SERVER_NAME}%{REQUEST_URI} [NC]
RewriteRule ^(.*)$ http://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]

</Directory>

Не работает. Идёт редирект на домен, который стоит в файле «000-default». Подскажите, пожалуйста, в чём дело.

apache, перенаправление вывода, редирект, субдомен

saliery
(10.07.19 11:26:00 MSK)

12 комментариев

Сделать редирект в файле default-000 Apache

Форум — General

Здравствуйте! Как мне сделать редирект при вводе IP-адреса, чтобы открывался домен «domain.ru» ? Он есть на этом же IP, только CSS там не срабатывают, почему-то. Видимо, прав нет. Страница отображается некорректно. Поэтому я хочу сделать редирект. Делаю так:

[code]

<VirtualHost звёздочка:80>
ServerName www.domain.ru
ServerAlias domain.ru
Redirect permanent / http://domain.ru
ServerAdmin webmaster@localhost
DocumentRoot /var/www
```
  Options FollowSymLinks
```
```
  AllowOverride None
```
<Directory /var/www/>

  Options Indexes FollowSymLinks MultiViews

```
  AllowOverride None
```
```
  Order allow,deny
```
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory «/usr/lib/cgi-bin»>
```
  AllowOverride None
```

  Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch

```
  Order allow,deny
```
```
  Allow from all
```
ErrorLog ${APACHE_LOG_DIR}/error.log
решётка Possible values include: debug, info, notice, warn, error, crit,
решётка alert, emerg.
LogLevel warn
CustomLog ${APACHE_LOG_DIR}/access.log combined
Alias /doc/ «/usr/share/doc/»
<Directory «/usr/share/doc/»>

   Options Indexes MultiViews FollowSymLinks

```
   AllowOverride None
```
```
   Order deny,allow
```
```
   Deny from all
```

   Allow from 127.0.0.0/255.0.0.0 ::1/128

* [/code]

Не работает.

apache, default, редирект

saliery
(04.07.19 22:20:50 MSK)

5 комментариев

Установить PHP 5.3.29 на Ubuntu 16.04

Форум — General

Доброго времени суток! Так уж сложилось, что у провайдера сменилась Ubuntu с 12.04 на 16.04. PHP там стала 7.0.33, а мне нужно 5.3.хх. В принципе любая версия от 5.0 до 5.4. На 5.4 не будут работать скрипты. Желательно 5.3.xx

Скачал с сайта PHP архив 5.3.29, установил, а как его привести в действие - не знаю, как запустить его.

Делаю так:

- Скачиваю: https://www.php.net/distributions/php-5.3.29.tar.gz
- Сохраняю в папку /1
- sudo tar -xvf /1/php-5.3.29.tar.gz
- cd php-5.3.29
- ./configure
- sudo make
- sudo make && make install
Вроде, всё проходит на ура, а как запустить, не знаю. Подскажите, пожалуйста.

downgrade, php, ubuntu, xenial

saliery
(03.07.19 11:45:34 MSK)

13 комментариев

DNS BIND, пара вопросов

Форум — General

Доброго времени суток! Стоит Ubuntu 16.04 с Bind9.

1. В логах выводит предупреждения: named[2383]: managed-keys-zone: Unable to fetch DNSKEY set '.': operation canceled В чём может быть причина?

2. Нужно ли что-то писать в файле /etc/resolv.conf ? nameserver ~мой-айпи~ (нужен ли он?) nameserver 8.8.8.8

Сами сайты находятся на другом IP (DNS Slave), а на мастере нет сайтов, только DNS и всё.

3. Как прописывать обратную зону для нескольких доменов, ведь она одна указывается на 1 IP? Есть ли пример какой-нибудь, а то я в интернете не нашёл чёткого понимания.

У провайдера, у которого я арендую сервер, есть опция «Изменить обратную DNS запись» - этого, возможно, достаточно?

bind9, ubuntu

saliery
(01.07.19 19:08:56 MSK)

11 комментариев

Запрет приёма писем postfix

Форум — Admin

Здравствуйте! Подскажите, пожалуйста, как мне запретить приём неадресованных мне писем? Раньше такого не было, а сейчас письма валятся как из ведра.

Заголовок одного из таких писем:

Return-Path: <oxduvpb@geremans.co.ua> X-Original-To: мой_реальный_почтовый_адрес Delivered-To: мой_реальный_почтовый_адрес Received: from geremans.co.ua (mail.geremans.co.ua [85.25.152.209]) by mail.weboptimal.ru (Postfix) with ESMTP id DD29214295 for <мой_реальный_почтовый_адрес>; Tue, 5 Jul 2016 07:06:46 +0400 (MSK) Received: from geremans.co.ua (unknown [95.213.169.20]) by geremans.co.ua (Postfix) with ESMTPA id 71E4D408BC5; Tue, 5 Jul 2016 03:31:57 +0300 (EEST) Message-ID: <e0a301d1d66d$cd124140$f727be25@oxduvpb> From: «=?windows-1251?B?ztHAIDExMDA=?=» <oxduvpb@geremans.co.ua> To: <kuksa@aqua.laser.ru> Subject: =?windows-1251?B?1O7t4PD8Ld3r5ery8O747url8A==?= Date: Tue, 05 Jul 2016 03:32:05 +0300 MIME-Version: 1.0 Content-Type: multipart/related; type=«multipart/alternative»; boundary="----=_NextPart_000_0006_01D1D66B.D63C5D20" X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Windows Live Mail 14.0.8117.416 X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416

-------------

Содержимое main.cf:

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) biff = no append_dot_mydomain = no readme_directory = no

smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key smtpd_use_tls=yes smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

mydomain = weboptimal.ru mydestination = localhost myhostname = mail.$mydomain myorigin = $mydomain alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases mynetworks = 127.0.0.0/8 mailbox_command = procmail -a «$EXTENSION» recipient_delimiter = + inet_interfaces = all

local_recipient_maps = hash:/etc/postfix/recipients smtpd_reject_unlisted_sender = yes

virtual_mailbox_domains = $mydomain, areal.ru virtual_mailbox_base = /var/mail/ virtual_mailbox_maps = hash:/etc/postfix/vmailbox

virtual_uid_maps = hash:/etc/postfix/virtual_uid_maps virtual_gid_maps = $virtual_uid_maps

smtpd_sasl_auth_enable = yes smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth broken_sasl_auth_clients = yes smtpd_sasl_authenticated_header = yes

smtpd_helo_required = yes

smtpd_recipient_restrictions = permit_sasl_authenticated, reject_invalid_helo_hostname, reject_unknown_client, reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_mynetworks, reject_unauth_pipelining, reject_unauth_destination, check_relay_domains, reject_unlisted_recipient, reject_unverified_recipient, reject_rbl_client zombie.dnsbl.sorbs.net, reject_rbl_client cbl.abuseat.org, reject_rbl_client zen.spamhaus.org, reject_rbl_client bl.spamcop.net, reject_rbl_client multihop.dsbl.org, reject_rbl_client work.rsbs.express.ru, reject_rbl_client dnsbl.sorbs.net

smtpd_data_restrictions = reject_unauth_pipelining, reject_multi_recipient_bounce, permit

smtpd_sender_restrictions = reject_non_fqdn_recipient, reject_unknown_address, reject_unlisted_recipient, reject_unverified_sender, permit_sasl_authenticated, permit_mynetworks, reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_unknown_client_hostname, reject_unknown_sender_domain, reject_unknown_hostname, reject_rbl_client zombie.dnsbl.sorbs.net, reject_rbl_client cbl.abuseat.org, reject_rbl_client zen.spamhaus.org, reject_rbl_client bl.spamcop.net, reject_rbl_client multihop.dsbl.org, reject_rbl_client work.rsbs.express.ru, reject_rbl_client dnsbl.sorbs.net, reject_rhsbl_sender dsn.rfc-ignorant.org, permit

smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_reverse_client_hostname, reject_unknown_client, reject_rbl_client zen.spamhaus.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client bl.spamcop.net

local_destination_concurrency_limit = 2 default_destination_concurrency_limit = 10

mailbox_size_limit = 104857600 message_size_limit = 15728640

anvil_rate_time_unit = 60s smtpd_client_message_rate_limit = 10

recipient_bcc_maps = hash:/etc/postfix/recipient_bcc

postfix, postfixadmin, запреты

saliery
(05.07.16 15:10:22 MSK)

8 комментариев

RSS подписка на новые темы