LINUX.ORG.RU

Сообщения vip71541

 

python + zipfile

Всем привет. Есть скрипт по созданию zip файла. Юзаю встроенную библиотеку zipfile. Пытаюсь проверить созданный архив после его создания. И всегда получаю, что архив битый. Хотя если проверят 7zip архив целый. Для проверки юзаю его внутрен параметр. Согласно доке https://docs.python.org/3.7/library/zipfile.html

 ZipFile.testzip()
    Read all the files in the archive and check their CRC’s and file headers. Return the name of the first bad file, or else return None.
Тестовый арихв состоит из 2 папок(1 пустая,2 с текс.документом) 2 архива c 7z-архивами, 1 ворд. документа.
В чем может быть ошибка. Кто юзал эту либу. Сам код:
import os
import zipfile
from zipfile import ZIP_LZMA
import shutil
path_folder = "C:\\Temp\\test_7zip"
archive_name = '111111.zip'
zip_file_test = zipfile.ZipFile(archive_name, mode='w', compression=ZIP_LZMA, allowZip64=True)

rootdir = os.path.basename(path_folder)

for  dirpath, dirnames, filenamaes in os.walk(path_folder):
    for filenama in filenamaes:
        filepath = os.path.join(dirpath, filenama)
        parentpath = os.path.relpath(filepath, path_folder)
        arcname = os.path.join(rootdir, parentpath)
        zip_file_test.write(filepath, arcname)
test_archive = zip_file_test.testzip()
print(test_archive)
if test_archive is not None:
    print(f"Archive is corrupted")
else:
    print(f" Archive is not corrupted")
zip_file_test.close()

vip71541
()

Python + pysftp

Доброго дня.

cnopts = pysftp.CnOpts()
cnopts.hostkeys = None
sftp = pysftp.Connection(host, username='user', password='password ', cnopts=cnopts)
Как можно сделать чтобы этот кусок кода загружался по определённому условию например когда доступен 22 порт на сервер. Саму проверку порта я реализовал. НО проблема состоит в том что при загрузке скрипта когда доходит до загрузки этих строк в самом конф. файле сразу идет подключение, и если начинать экспериментировать с открытием/закрытием порта то падает в ошибку (если порт закрыт) или нет.

То есть что-то типа если функция проверки порта возвращает True идет загрузка кода. Если False то этот кусок кода не загружается с конфига. Если такое возможно...

vip71541
()

Узнать полное имя файла зная его «getctime»

Всем привет. Начала изучать Python, так же начал потихоньку писать свои первые скрипты. Подскажите новенькому как зная «getctime» узнать полное имя файла. Вот пример моего скрипта.

import os
my_list = []
path ="C:\\Temp\\backup_logs\\logs\\"
#
dir_list = os.listdir(path)
for files in dir_list:
    info = os.path.getctime(path + files)
    my_list.append(info)
print(my_list)
max_value = max(my_list)
print(max_value)



в этой скрипет я получаю timestamp в таком виде 1538056652.05772
можно конечного его конвертировать:

file_name = datetime.fromtimestamp(max_value).strftime('%d.%m.%Y %H.%M.%S')

но это как-то мне кажется немного кривовато + еще после конвертации только имя файла и не полное имя.
 
vip71541
()

IPFW и пассивный фтп

Все салют кто подскажет как его правильно открыть для локл.сети в IPFW. Знаю что тема не новая... В iptables есть состояние RELATED и nf_nat_ftp/nf_conntrack_ftp, а в IPFW я так понимаю такого нет. Сейчас он работает так:

00159  0    0 skipto 65000 tcp from 192.168.10.0/24 to any dst-port 21,1024-65535 out xmit em0 keep-state
00211 skipto 65000 tcp from any 21,1024-65535 to *.*.*.*  in recv em0
65000  0    0 nat 90 ip from any to any via em0
Так не есть хорошо так как открыты порты выше 1024...НАТ ядерный средствами IPFW :
# IPFW
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE=100
options IPFIREWALL_FORWARD
options IPFIREWALL_NAT
options LIBALIAS
options IPDIVERT
options DUMMYNET
options HZ=1000
Кто что подскажет...

vip71541
()

iptables dnat/snat ftp

Всем привет. Знаю что тема не нова, юзал поиск нотак и ответа не нашел... Есть гейт на федоре15 на ней поднят iptables и есть машинка на win2003R2 standart и IIS6.0 с фтп серваком и с серым айпи. Пытаюсь пробросить фпт с белого адреса на серый в активном режиме на сервер заходит(но залить с внешки а залить ничего не могу говорит «доступ запрещен»), а вот в пассивном падает на команде PASV(но аутентификация проходит нормально). С нутри сети клиенты ходят к нему как в пассивном так и в активном режиме нормально без проблем...

Вот конфиги iptables 
----
 # Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
#
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m conntrack --ctstate  ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
#
#
#	Allow ICMP!
-A INPUT -m conntrack --ctstate NEW -p icmp --icmp-type 8 -m limit --limit 3/minute --limit-burst 5 -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -p icmp --icmp-type 8 -j DROP
#-A OUTPUT -p icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
#
#
#	Allow local host!
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo  -j ACCEPT
#
#
#	SSH, Block SSH bots!
-A INPUT -m conntrack --ctstate NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -m tcp -p tcp --dport 22 -m recent --set --name SSH-Bots-Block
-A INPUT -m conntrack --ctstate NEW -m tcp -p tcp --dport 22 -m recent --update --seconds 30 --hitcount 1 --rttl --name SSH-Bots-Block -j REJECT
#
#
#	Open radius-client!
-A OUTPUT -m conntrack --ctstate NEW -m tcp -p tcp --dport 1812 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m udp -p udp --dport 1812 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m tcp -p tcp --dport 1813 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m udp -p udp --dport 1813 -j ACCEPT
#
#
#	NTP update time!
-A INPUT -m conntrack --ctstate NEW -m udp -p udp --sport 123 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m udp -p udp --dport 123 -j ACCEPT
#
#
#	Open access for munin!
-A INPUT -m conntrack --ctstate NEW -s 192.168.10.0/24  -m tcp -p tcp --dport 80 --sport 1024:65535 -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -s 192.168.10.0/24  -m udp -p udp --dport 80 --sport 1024:65535 -j ACCEPT
#	Open access to port 8080!
-A INPUT -m conntrack --ctstate NEW -s 192.168.10.0/24  -m tcp -p tcp --dport 8080 --sport 1024:65535 -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -s 192.168.10.0/24  -m udp -p udp --dport 8080 --sport 1024:65535 -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -s 192.168.10.0/24  -m tcp -p tcp --dport 3128 --sport 1024:65535 -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -s 192.168.10.0/24  -m udp -p udp --dport 3128 --sport 1024:65535 -j ACCEPT
#
#
#	Open update for local machines DNS!
-A INPUT -m conntrack --ctstate NEW -m tcp -p tcp --sport 53 --dport 1024:65535 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m tcp -p tcp --sport 1024:65535 --dport 53 -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -m udp -p udp --sport 53 --dport 1024:65535 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m udp -p udp --sport 1024:65535 --dport 53 -j ACCEPT
#
#
#	Open DNS for local subnet!
-A INPUT -m conntrack --ctstate NEW -m udp -p udp -s 192.168.10.0/24 --sport 1024:65535 -d 192.168.10.8 --dport 53 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m udp -p udp -s 192.168.10.8 --sport 53 -d 192.168.10.0/24 --dport 1024:65535 -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -m tcp -p tcp -s 192.168.10.0/24 --sport 1024:65535 -d 192.168.10.8 --dport 53 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m tcp -p tcp -s 192.168.10.8 --sport 53 -d 192.168.10.0/24 --dport 1024:65535 -j ACCEPT
#
#	Open DNS for vpn subnet!
-A INPUT -m conntrack --ctstate NEW -m udp -p udp -s 172.16.99.0/28 --sport 1024:65535 -d 172.16.99.1 --dport 53 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m udp -p udp -s 172.16.99.1 --sport 53 -d 172.16.99.0/28 --dport 1024:65535 -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -m tcp -p tcp -s 172.16.99.0/28 --sport 1024:65535 -d 172.16.99.1 --dport 53 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m tcp -p tcp -s 172.16.99.1 --sport 53 -d 172.16.99.0/28 --dport 1024:65535 -j ACCEPT
#
#
#	Open 80,443 ports!
-A INPUT -m conntrack --ctstate NEW -m tcp -p tcp --sport 1024:65535  --dport 80 -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -m udp -p udp --sport 1024:65535 --dport 80 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m tcp -p tcp --sport 1024:65535 --dport 80 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m udp -p udp --sport 1024:65535 --dport 80 -j ACCEPT
#
#
#	Open site artur.com.ua for certificate
-A OUTPUT -m conntrack --ctstate NEW -m tcp -p tcp --sport 1024:65535 --dport 8088 -j ACCEPT
#
#
#
#-A INPUT -m state --state NEW,ESTABLISHED -m tcp -p tcp --sport 1024:65535  --dport 443 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m tcp -p tcp --sport 1024:65535  --dport 443 -j ACCEPT
#
#
#	Open FTP Active,Passive!
-A INPUT -m conntrack --ctstate NEW -m tcp -p tcp --sport 21 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m tcp -p tcp --dport 21 -j ACCEPT
#
#-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -m tcp -p tcp --sport 20 -j ACCEPT
#-A OUTPUT -m conntrack --ctstate NEW -m tcp -p tcp --sport 20 -j ACCEPT
#
#-A INPUT -m conntrack --ctstate ESTABLISHED -m tcp -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
#-A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -m tcp -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
#
#
#
#	Open xl2tpd!
-A INPUT -m conntrack --ctstate NEW -m tcp -p tcp --dport 1701 -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -m udp -p udp --dport 1701 -j ACCEPT
#
#
#
-A INPUT -j REJECT --reject-with icmp-host-prohibited
#-A INPUT -j DROP
#
#
#	Open ftp,http,https,rdp for local subnet!
-A FORWARD -m conntrack --ctstate NEW -m tcp -p tcp -s 192.168.10.0/24 --sport 1024:65535 -d 0/0 --dport 21 -j ACCEPT
-A FORWARD -m conntrack --ctstate NEW -m tcp -p tcp -s 192.168.10.0/24 --sport 1024:65535 -d 0/0 --dport 80 -j ACCEPT
-A FORWARD -m conntrack --ctstate NEW -m tcp -p tcp -s 192.168.10.0/24 --sport 1024:65535 -d 0/0 --dport 443 -j ACCEPT
-A FORWARD -m conntrack --ctstate NEW -m tcp -p tcp -s 192.168.10.0/24 --sport 1024:65535 -d 0/0 --dport 3389 -j ACCEPT
#
#
#	Open ftp,http,https,rdp fol vpn subnet
-A FORWARD -m conntrack --ctstate NEW -m tcp -p tcp -s 172.16.99.0/28 --sport 1024:65535 -d 0/0 --dport 21 -j ACCEPT
-A FORWARD -m conntrack --ctstate NEW -m tcp -p tcp -s 172.16.99.0/28 --sport 1024:65535 -d 0/0 --dport 80 -j ACCEPT
-A FORWARD -m conntrack --ctstate NEW -m tcp -p tcp -s 172.16.99.0/28 --sport 1024:65535 -d 0/0 --dport 443 -j ACCEPT
-A FORWARD -m conntrack --ctstate NEW -m tcp -p tcp -s 172.16.99.0/28 --sport 1024:65535 -d 0/0 --dport 3389 -j ACCEPT
#
#
#
-A FORWARD -m conntrack --ctstate NEW -p icmp --icmp-type 0 -j ACCEPT
-A FORWARD -m conntrack --ctstate NEW -p icmp --icmp-type 8 -j ACCEPT
#
#
#	Open RDP
#-A FORWARD -m tcp -p tcp --dport 3389 -d 192.168.10.77 -j ACCEPT
-A FORWARD -i eth1 -d 192.168.10.12 -m tcp -p tcp -m multiport --dports 20,21 -j ACCEPT
-A FORWARD -o eth1 -d 192.168.10.12 -m tcp -p tcp -m multiport --dports 20,21 -j ACCEPT
-A FORWARD -i eth1 -d 192.168.10.12 -m state --state RELATED,ESTABLISHED -m tcp -p tcp --dport 1024:65535 -j ACCEPT
-A FORWARD -o eth1 -s 192.168.10.12 -m state --state RELATED,ESTABLISHED -m tcp -p tcp --sport 1024:65535 -j ACCEPT
#
#
#
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
#
*nat
#-A PREROUTING -m tcp -p tcp -i eth1 --dport 3389 -j DNAT --to-destination 192.168.10.77:3389
-A PREROUTING -m tcp -p tcp -i eth1 --dport 21 -j DNAT --to-destination 192.168.10.12
#
-A POSTROUTING -o eth1 -s 192.168.10.0/24 -j SNAT --to-source *.*.*.90
-A POSTROUTING -o eth1 -s 172.16.99.0/28 -j SNAT --to-source *.*.*.90
-A POSTROUTING -s 192.168.10.12 -o eth1 -m tcp -p tcp -m multiport --sports 20,21 -j SNAT --to-source *.*.*.90
#
#
COMMIT

В чем костыль найти не могу...

vip71541
()

IPSec FeeBSD-?

Всем салют. Опишу ситуацию: есть 2 филиала связаны между собой IPSec`о шлюзами на обеих филиала является FeeBSD 8.2p2. IPSec поднят между 2 сетями через ipsec-tools,на обеих шлюзах статические белый адреса разных ISP, обе внутрн. сети видны все нормально. Теперь вопрос-Возможно ли со 2 филиала средствами FreeBSD загнать весь трафик в тунель кроме того что для внутрн.сети так и для наружной(www,icq и т.д), что бы можно было рулить с одного места доступом в инет?? Сейчас каждая сеть ходит в инет через свой шлюз... Спасибо.

vip71541
()

clamav+.rar архивы

Всем салют. Поставил clamav на федору 15 и оказалось что он не понимает .rar архивы.Ставил через yum install clamav. Поставились вот такие пакеты

clamav-server-0.97-1501.fc15.i686
clamav-0.97-1501.fc15.i686
clamav-lib-0.97-1501.fc15.i686
clamav-update-0.97-1501.fc15.i686
clamav-filesystem-0.97-1501.fc15.noarch
clamav-data-empty-0.97-1501.fc15.noarch
Что надо доставить что-бы он их сканил. Пробные вирус брал с http://www.eicar.org/anti_virus_test_file.htm Когда делаю zip он находит
clamscan tst-virus2.zip 
----------- SCAN SUMMARY -----------
Known viruses: 975578
Engine version: 0.97
Scanned directories: 1
Scanned files: 20
Infected files: 1
Data scanned: 0.09 MB
Data read: 0.08 MB (ratio 1.10:1)
Time: 9.693 sec (0 m 9 s)
когда также только rar
 clamscan test-virus.rar
test-virus.rar: OK

----------- SCAN SUMMARY -----------
Known viruses: 975578
Engine version: 0.97
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 4.707 sec (0 m 4 s)
И еще вопрос в догонку почему он когда обновляется пишет что версия антивируса устарела если посмотреть в freshclam.log
ClamAV update process started at Thu Jun 23 09:27:26 2011
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.97 Recommended version: 0.97.1
DON'T PANIC! Read http://www.clamav.net/support/faq
main.cvd is up to date (version: 53, sigs: 846214, f-level: 53, builder: sven)
daily.cld is up to date (version: 13230, sigs: 130697, f-level: 60, builder: guitar)
bytecode.cld is up to date (version: 143, sigs: 40, f-level: 60, builder: edwin)
или ее еще в репозит. не обновили я так понимаю ...

vip71541
()

iptables+limit+icmp

Всем салют. Знаю что тема не нова но не могу ограничить пинг на шлюз. Сразу скажу в тестовых целях... Временно Есть вот такие правила

-A INPUT -p icmp --icmp-type 8 -j ACCEPT 
я пишу так 
-A INPUT -p icmp --icmp-type 8 -m limit --limit 3/minute --limit-burst 3 -j ACCEPT
Если я правильно понял IPTables Tutorial 1.1.19 то будут проходит 3 пакета за одну минуту. Кто пнет куда копать? ОС Федора 14,iptables v1.4.9 вывод lsmod может модуль нужен
lsmod  |grep nf
nf_nat_ftp              1663  0
nf_conntrack_ftp        9047  1 nf_nat_ftp
nf_nat                 16298  2 nf_nat_ftp,iptable_nat

vip71541
()

DNAT и Iptables

Всем Добрый День. Знаю что тема не новая... Но не могу найти ошибку? может кто что подскажет. Есть машинка Федора 14 шлюз для инета надо пробросить порт 3389 в лок.сеть. Конф: eth0-lan eth1-wan с белым адресом. Вот что пишу в Iptables

*nat
-A PREROUTING -m tcp -p tcp -d 89.28.*.* --dport 3389 -j DNAT --to-destination 192.168.10.77:3389
#
-A POSTROUTING -o eth1 -s 192.168.10.0/24 -j SNAT --to 89.28*.*
SNAT я так понимаю писать не надо в этом случае. И что-то надо добавлять в цепочку Forward Подскажите где может быть проблема что RDP не ходит... Вот вывод tcpdump
13:40:11.451758 IP 193.110.177.177.57419 > 89.28.*.*.ms-wbt-server: Flags [S], seq 188176884, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
13:40:14.451065 IP 193.110.177.177.57419 > 89.28.*.*.ms-wbt-server: Flags [S], seq 188176884, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

vip71541
()

Помощь в тестировании HDD?

Нуждаюсь в помощи бывалых так как сам это делаю впервые! Есть машинка на ней ОС Федора14 надо протестить винт на ошибки файловой системы, не доставая его(например через ssh). Начал искать команды для этого :

нашел вот что :
fsck.ext4  -p dev/номер диска Automatic repair (no questions)
Когда я ее запускаю мене выдает вот такое
fsck.ext4 -p /dev/sda1
/dev/sda1 is mounted.

WARNING!!!  The filesystem is mounted.   If you continue you ***WILL***
cause ***SEVERE*** filesystem damage.

Do you really want to continue (y/n)? no

check aborted.
диск один и он sda1 и на нем же стоить и система...
вывод 
 df -TH
Filesystem    Type     Size   Used  Avail Use% Mounted on
/dev/sda1     ext4      75G   4.8G    67G   7% /
tmpfs        tmpfs     1.1G      0   1.1G   0% /dev/shm

vip71541
()

squid и ftp

Всем Салют. Интересует такой вопрос есть умеет ли squid работать по пассивному фтп? У меня сотот ОС Fedora 14 поднят iptables в них 2 правила:

-A FORWARD -m conntrack --ctstate NEW -m tcp -p tcp -s 192.168.10.0/24 --sport 1024:65535 -d 0/0 --dport 21 -j ACCEPT
-A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
модули соответствующие подгружены тоже... 
через них пассивный фтп работает нормально но без прокси, только прописываю на клиенте проски не работает. squid стоит с базовыми параметрами(устанавл. через yum install squid). Как его открыть?

vip71541
()

xl2tpd+radiusclient-авторизация в AD на w2k3 r2?

Всем салют. Проблема в настройке данной связки. Есть машинка с ОС-Федора 14, на ней стоят пакеты xl2tpd,raduisclient-ng. Вот конфиг. всех файлов:

xl2tpd.conf
[global]

[lns default]
ip range = 172.16.99.1-172.16.99.14
local ip = 172.16.99.14
require chap = yes
refuse pap = yes
require authentication = yes
name = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
exclusive = yes
---------------------
options.xl2tpd
ipcp-accept-local 3
ipcp-accept-remote 8
ms-dns 172.16.99.14
noccp
auth
mtu 1460
mru 1460
defaultroute
debug
lock
logfile /var/log/pppd
nodeflate
nobsdcomp
nopcomp
noaccomp
noproxyarp
plugin radius.so
plugin radatt.so
-------------------
radiusclient.conf
auth_order radius
login_tries 4
login_timeout 60
nologin /etc/nologin
issue /etc/radiusclient-ng/issue
authserver localhost
acctserver localhost
servers /etc/radiusclient-ng/servers
dictionary /usr/share/radiusclient-ng/dictionary
login_radius /usr/sbin/login.radius
seqfile /var/run/radius.seq
mapfile /etc/radiusclient-ng/port-id-map
default_realm
radius_timeout 10
radius_retries 3
#bindaddr *
login_local /bin/login
------------------
проблема в том когда клиент(Win XPSP3) подключ. начинает проход проверку пользователя и пароля вылетает с ошибкой вот лог
Plugin radius.so loaded.
RADIUS plugin initialized.
Plugin radattr.so loaded.
RADATTR plugin initialized.
speed 8 not supported
using channel 100
Using interface ppp0
Connect: ppp0 <--> /dev/pts/2
sent [LCP ConfReq id=0x1 <mru 1460> <asyncmap 0x0> <auth chap MD5> <magic 0xa619befc>]
rcvd [LCP ConfReq id=0x0 <mru 1400> <magic 0x66d17a11> <pcomp> <accomp> <callback CBCP>]
sent [LCP ConfRej id=0x0 <pcomp> <accomp> <callback CBCP>]
rcvd [LCP ConfReq id=0x1 <mru 1400> <magic 0x66d17a11>]
sent [LCP ConfAck id=0x1 <mru 1400> <magic 0x66d17a11>]
sent [LCP ConfReq id=0x1 <mru 1460> <asyncmap 0x0> <auth chap MD5> <magic 0xa619befc>]
rcvd [LCP ConfAck id=0x1 <mru 1460> <asyncmap 0x0> <auth chap MD5> <magic 0xa619befc>]
sent [CHAP Challenge id=0xbb <6ba70603fd115d9843dd17b4fc15407e943b>, name = "LinuxVPNserver"]
rcvd [LCP Ident id=0x2 magic=0x66d17a11 "MSRASV5.20"]
rcvd [LCP Ident id=0x3 magic=0x66d17a11 "MSRAS-0-VIDEO-EVG-VIRT"]
rcvd [CHAP Response id=0xbb <c9fb107efee85414ccdc37106c8940d7>, name = "AMA\\vpn-evg"]
Peer AMA\\vpn-evg failed CHAP authentication
sent [CHAP Failure id=0xbb ""]
sent [LCP TermReq id=0x2 "Authentication failed"]
rcvd [LCP TermAck id=0x2 "Authentication failed"]
Connection terminated.
Кто подскажет где я промазал в настройках. Словарь радиуса для майкрософта подключен, в /ect/radiusclient-ng/servers сервер радиуса прописан и прописан секретный ключ. Мое предположение ему на нравится протокол > CHAP он использует 1 версию, как сказать что-бы использовал MS CHAPv2...

vip71541
()

xl2tpd и параметр 'redial'

Всем Добрый день. Есть такая проблема когда ставлю опцию redial в конфиг xl2tpd.conf то сервис xl2tpd не стартует и выдает вот такое сообщение в логаг

xl2tpd[10137]: parse_config: line 28: 'redial' not valid in this context
Куда его только не писал в секцию global или lns, хотя в мане можно и туда и туда одинаковый результат... Если ее ставлю в коммент то xl2tpd стартует нормально но не пытается установить соединение после разрыва связи... ОС - федора14 Вот отстал.конф-
;
; This is a minimal sample xl2tpd configuration file for use
; with L2TP over IPsec.
;
; The idea is to provide an L2TP daemon to which remote Windows L2TP/IPsec
; clients connect. In this example, the internal (protected) network 
; is 192.168.1.0/24.  A special IP range within this network is reserved
; for the remote clients: 192.168.1.128/25
; (i.e. 192.168.1.128 ... 192.168.1.254)
;
; The listen-addr parameter can be used if you want to bind the L2TP daemon
; to a specific IP address instead of to all interfaces. For instance,
; you could bind it to the interface of the internal LAN (e.g. 192.168.1.98
; in the example below). Yet another IP address (local ip, e.g. 192.168.1.99)
; will be used by xl2tpd as its address on pppX interfaces.

[global]
; listen-addr = 192.168.1.98
;
; requires openswan-2.5.18 or higher - Also does not yet work in combination
; with kernel mode l2tp as present in linux 2.6.23+
; ipsec saref = yes
; forceuserspace = yes
;
; debug tunnel = yes

[lns default]
;redial = yes ----щас она за коммент.
ip range = 172.16.99.1-172.16.99.14
local ip = 172.16.99.14
require chap = yes
refuse pap = yes
require authentication = yes
name = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
exclusive = yes
==================================
ipcp-accept-local 3
ipcp-accept-remote 8
ms-dns 172.16.99.14
noccp
auth
mtu 1460
mru 1460
defaultroute
debug
lock
logfile /var/log/pppd
require-mppe-128
nodeflate
nobsdcomp
nopcomp
noaccomp
noproxyarp



vip71541
()

xl2tpd и iptables

Всем добрый вечер. Нужна помощь в настойке севера l2tp для дальнейшего использование как VPN-Server'a только по протоколу l2tp. Проблема состоит в том что когда клиент подключается получает адрес здесь все нормально, но когда с него пытаюсь зайти куда не будь, пакеты с флагом syn уходят и назад не приходят. В Iptables порт udp 1701 открыт как бы что еще надо открыть...? Интерфейс ppp0 создается. IP сервера пингуется, а пакеты наружу не ходят (см tcpdump)

Вот конфиг:

xl2tpd.conf

;
; This is a minimal sample xl2tpd configuration file for use
; with L2TP over IPsec.
;
; The idea is to provide an L2TP daemon to which remote Windows L2TP/IPsec
; clients connect. In this example, the internal (protected) network 
; is 192.168.1.0/24.  A special IP range within this network is reserved
; for the remote clients: 192.168.1.128/25
; (i.e. 192.168.1.128 ... 192.168.1.254)
;
; The listen-addr parameter can be used if you want to bind the L2TP daemon
; to a specific IP address instead of to all interfaces. For instance,
; you could bind it to the interface of the internal LAN (e.g. 192.168.1.98
; in the example below). Yet another IP address (local ip, e.g. 192.168.1.99)
; will be used by xl2tpd as its address on pppX interfaces.

[global]
; listen-addr = 192.168.1.98
;
; requires openswan-2.5.18 or higher - Also does not yet work in combination
; with kernel mode l2tp as present in linux 2.6.23+
; ipsec saref = yes
; forceuserspace = yes
;
; debug tunnel = yes

[lns default]
ip range = 172.16.99.1-172.16.99.14
local ip = 172.16.99.14
require chap = yes
refuse pap = yes
require authentication = yes
name = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
exclusive = yes

options.xl2tpd

ipcp-accept-local
ipcp-accept-remote
ms-dns  192.168.10.8
noccp
auth
mtu 1460
mru 1460
nodefaultroute
debug
lock

Вот вывод tcpdump 

 tcpdump -i ppp0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
16:34:40.376403 IP 172.16.99.1.dkmessenger > hb-in-f99.1e100.net.http: Flags [s], seq 1845365273, win 64240, options [mss 1360,nop,nop,sackOK], length 0
16:34:40.376449 IP 172.16.99.14 > 172.16.99.1: ICMP host hb-in-f99.1e100.net unreachable - admin prohibited, length 56
16:34:44.937402 IP 172.16.99.1.skkserv > hb-in-f99.1e100.net.http: Flags [s], seq 3124551113, win 64240, options [mss 1360,nop,nop,sackOK], length 0
16:34:44.937449 IP 172.16.99.14 > 172.16.99.1: ICMP host hb-in-f99.1e100.net unreachable - admin prohibited, length 56
16:34:47.814403 IP 172.16.99.1.skkserv > hb-in-f99.1e100.net.http: Flags [s], seq 3124551113, win 64240, options [mss 1360,nop,nop,sackOK], length 0
vip71541
()

Iptables и FTP

День добрый. Нуждаюсь в помоще.Не могу ни как открыть пассивный и активный. Поиском пользовался похожие темы находил но не работает. Есть машинка на ней стоит ОС Федора 14 с 2 сетевыми картами eth0-lan(192.168.10.0/24) eth1-wan(белый адрес 89.28.205.*) и поднят Iptables, в них есть такие правила:

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT DROP [0:0]

-A FORWARD -m state --state NEW -m tcp -p tcp -s 192.168.10.0/24 --sport 1024:65535 -d 0/0 --dport 21 -j ACCEPT

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

# *nat -A POSTROUTING -o eth1 -s 192.168.10.0/24 -j SNAT --to 89.28.205.* #

Подгружены след. модули lsmod |grep ftp

nf_nat_ftp 1663 0

nf_conntrack_ftp 9047 1 nf_nat_ftp

nf_nat 16298 2 nf_nat_ftp,iptable_nat

Вот что пишет когда пытаюсь куда-то зайти:

ftp

ftp> open dlink.ru.

ftp> Connection time out

Кто что скажет... Спасибо

vip71541
()

RSS подписка на новые темы