firewalld как написать правило.

firewalld как написать правило.

Добрый день. Как написать правило, которое отслеживает маркированные пакеты? Например как такую строчку перевести в синтаксис firewalld rich-rule: iptables -t mangle -A INPUT -m mark –mark 1 Спасибо.

Проблема с доступом на первый сервер при Double VPN

Возникли проблемы с настройкой DoubleVPN Делал по статье: https://habr.com/ru/sandbox/78897/ Все работает, все поднимается pc->server1->server2->internet = OK!

server1 - 10.8.0.0/24 (pc->server1 = tun0, server1->server2 = tun1) server2 - 10.8.1.0/24

Но нет доступа с pc к server1 Доступ пропадает после того, как прописываешь на server1

Помогите достучаться до server1 по втуреннему IP!

Отключение горячих клавиш для определенной программы?

В Window rules можно устанавливать отключение всех горячих клавиш для программы глобально (Ignore global shortcuts). Есть ли вариант отключать не все клавиши, а только определенные? Дело в том, что глобальный Альт+'Перетаскивание мышкой'(и пару других сочетаний) во многих программах перекрывает родные сочетания клавиш. Самый простой вариант, конечно, сменить Альт на Мету, но может быть есть другие решения вопроса?

iptables - --tcp-option 2

Подскажите пожалуйста как работает правило --tcp-option 2 в iptables В прямом виде оно выглядит вот так

-A INPUT -p tcp --tcp-option ! 2 -j REJECT --reject-with tcp-reset

Что значит --tcp-option 2

Расставить все точки над i

Может всё-же я дождусь какого-либо официального ответа на предмет списка запрещённых на ЛОРе мировоззрений, обладатели которых будут забанены или ограничены в правах?

Почему такой простой вопрос так старательно обходится модераторским составом? Ведь в правилах есть список того, что на ЛОР запрещено, что мешает добавить туда же пунктик о запрещённых/подлежащих ограничениям мировоззрениях и политических, сексуальных, культурных и прочих пристрастиях?

Всякие гуманитарные жоповерчения типа : Какое вам дело до того, что пишут в никах другие? (комментарий) вообще-то недостойны технического форума, ибо неконкретны, некорректны и совершенно нелогичны.

Когда персонаж ставит себе в ник число, случайно совпадающее с неонацистским лозунгом, его аватарка случайно ссылается на вещество, молекула которого имеет форму свастики

Вот объясните мне, в чём проблема? Ну нравятся пассажиру неонацистские лозунги и свастика, что с того? В правилах на это никаких ограничений нету, там не написано, что неонацистам нельзя на ЛОР.

А если бы у пассажира был ник с каким-нибудь 69 и радуга на аватарке (или там какие-нибудь иезуитские/коммунистические/ЛММшные/whatever циферки и символы) - его бы так же обвинили в наличии неких взглядов или шланговании и на этом основании забанили? Очевидно нет.

Следовательно, причина бана заключается исключительно и только в том, что наличие определённых взглядов запрещено на ЛОР.

Пользователи форума очень часто выбирают себе ники и аватарки согласно своему мировоззрению, политическим, сексуальным, культурным и даже гастрономическим предпочтениям, это совершенно нормально и естественно. Однако, как выясняется, некоторые личные предпочтения могут привести к бану, даже если юзер вообще ни разу в сообщениях не занимался оффтопичной пропагандой своих мировоззрений или предпочтений. При этом, какие-то другие личные предпочтения выраженные в никах, аватарках и пр. не преследуются вообще никак.

Де-факто, есть набор определённых взглядов/предпочтений, носителям которых (или тем, кто косит под таких носителей с целью троллинга) на ЛОР не рады.

Собственно непонятно, что мешает из де-факто сделать де-юре и раз и навсегда сделать забанивание носителей запрещённых взглядов (или троллей под них косящих) простым и рутинным процессом, а не драмой с многодневными флеймами и срачами?

Неонацист/мормон/любитель_свинины/вегетарианец ? Всё, забанен по пункту 14.88 правил.

В общем, огласите весь список, пожалуйста.

UDEV, RULES, не отрабатывает скрипт!

Есть правило,которое отрабатывает при подключении определенного носителя. Правило точно работает(ставил заглушку на создание текстового файла), скрипт если запускать руками тоже работает.

А вот скрипт из под правила не отрабатывает.

sudo mv /media/linaro/DC8A-BBAE/* /mnt/yandex.disk/test2

sudo find /mnt/yandex.disk/test -name «*.zip» -exec mv '' /media/linaro/DC8A-BBAE \;

Не работает правило Iptables

Настраиваю «роутер».Два интерфейса:

Эта схема работала до вчера.пока я не начал играть с dns.А конкретно с dnsmasq.Вот тема www.linux.org.ru/forum/admin/14319089?lastmod=1530432699737

Теперь при запуске правила

Где я допустил ошибку,ткните носом.

Поясните за монтирование

1.Если в Nautilus выбрать не смонтированный ntfs раздел диска, то он монтируется автоматически в пространство пользователя, и даже не спрашивает никаких паролей. Где сказать, чтоб он спрашивал пароль?

2. В файле fstab раздел /home прописан только с одной опцией: default, а монтируется с relatime. Где прописан relatime?

Система: Ubuntu 18.04

Iptables - закрыть всё, кроме некоторых

Приветствую, господа. Собстнна, сабж. Поднят опенвпн на впс, дебиан 9. Задача: 1. Дать отдельным ип доступ по опенвпн(upd, 1950 порт) в сеть. Моих кривых рук хватило только на: iptables -A INPUT ! -s xxx.xxx.xxx.xxx -j DROP и так повторять, пока не наберётся нужное нам кол-во 2. Закрыть любые дыры\утечки - заблокировать все входящие\исходящие, кроме тех ип, что указаны выше + заблокировать все порты, кроме 443, 1950, 22 и 80-го.

Комментарии в стиле «кури основы» приветствуются, но, увы, с Линуксом работать тесно не требуется, нужно только установить данные правила.

Помощь с пакетом PPA debian/rules

Помогите написать правильно файл debian/rules

Файл ./install.sh установочный, он копирует тему в urs/share/theme и лежит в архиве .orig.tar.gz

Но Launchpad пишет, что покет не может быть собран:

dpkg-buildpackage: info: host architecture amd64 fakeroot debian/rules clean dh clean dh_auto_clean dh_clean debian/rules build dh build dh_update_autotools_config dh_auto_configure dh_auto_build dh_auto_test fakeroot debian/rules binary dh binary dh_auto_test dh_testroot dh_prep debian/rules override_dh_auto_install make[1]: Entering directory '/<<PKGBUILDDIR>>' ./install.sh Please run as root. debian/rules:12: recipe for target 'override_dh_auto_install' failed make[1]: *** [override_dh_auto_install] Error 1 make[1]: Leaving directory '/<<PKGBUILDDIR>>' debian/rules:9: recipe for target 'binary' failed make: *** [binary] Error 2 dpkg-buildpackage: error: fakeroot debian/rules binary gave error exit status 2

Помогите с ошибками в правилах iptables

Привет, ребят помогите найти ошибки. Хотелось бы еще защититься от сканирования портов. Мои правила (реальные ip заменил):

*filter :FORWARD DROP [0:0] :INPUT DROP [0:0] :OUTPUT ACCEPT [0:0] :SSH-RDP - [0:0] #-A OUTPUT -o eth1 -p icmp -j DROP -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i eth0 -s 192.168.0.0/22 -j ACCEPT #adobe -A INPUT -i lo -p tcp --dport 443 -j DROP -A INPUT -i lo -j ACCEPT #-A INPUT -p icmp -j ACCEPT -A INPUT -p gre -j ACCEPT -A INPUT -p tcp --dport 1723 -j ACCEPT #-A INPUT -p tcp -m conntrack -m hashlimit --dport 22222 -j SSH-RDP --ctstate NEW --hashlimit-upto 3/hour --hashlimit-burst 3 --hashlimit-mode srcip,dstport --hashlimit-name SSH -A INPUT -j LOG --log-level debug --log-prefix «DROP input packet: » #################################################################################### #razreshaem uzhe ustanovlennie soedineniya -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT #razreshaem operatoram vesj inet -A FORWARD -s 192.168.1.138 -i eth0 -j ACCEPT #razreshaem nuzhnie porti -A FORWARD -s 192.168.0.0/22 -i eth0 -p tcp -m multiport --dports 21,25,110,143,443,843,1443,5672,5190,5222,8000,8080,9091 -j ACCEPT -A FORWARD -s 192.168.0.0/22 -i eth0 -p tcp -m multiport --dports 80,1723,3389 -j ACCEPT #Adobe -A FORWARD -s 192.168.0.0/22 -i eth0 -p tcp -m multiport --dports 1935 -j ACCEPT #UDP -A FORWARD -s 192.168.0.0/22 -i eth0 -p udp -j ACCEPT #Reg #-A FORWARD -d 192.168.2.0/24 -i eth1 -p tcp -m multiport --dports 32423 -j ACCEPT #Reg2 #-A FORWARD -d 192.168.1.33/32 -i eth1 -p tcp -m tcp --dport 3456 -j ACCEPT #kom -A FORWARD -s 10.10.10.2/32 -i eth0 -j ACCEPT -A FORWARD -s 192.168.0.0/22 -d 10.10.10.0/30 -i eth0 -j ACCEPT #vnutrennie pakety -A FORWARD -s 192.168.0.0/22 -d 192.168.0.0/22 -i eth0 -j ACCEPT #ping-pong -A FORWARD -p icmp -j ACCEPT #VPN -A FORWARD -p gre -j ACCEPT #Adobe -A FORWARD -i eth0 -s 192.168.0.0/16 -d 192.150.16.0/24 -j ACCEPT #fonts -A FORWARD -i eth0 -s 192.168.0.0/16 -d 74.84.201.72 -j ACCEPT #RDP -A FORWARD -p tcp -m conntrack -m hashlimit -d 192.168.1.10 --dport 3389 -j SSH-RDP --ctstate NEW --hashlimit-upto 10/hour --hashlimit-burst 10 --hashlimit-mode srcip,dstport --hashlimit-name RDP -A FORWARD -j LOG --log-level debug --log-prefix «DROP forward packet: » #ssh-rdp: -A SSH-RDP -j LOG --log-level debug --log-prefix «SSH-RDP connect: » -A SSH-RDP -j ACCEPT #cams -A FORWARD -d 192.168.1.33/32 -p tcp -m multiport --dports 3456,3456 -j ACCEPT -A FORWARD -s 192.168.0.0/22 -p tcp -m multiport --dports 3456,3456 -j ACCEPT #tax -A FORWARD -s 192.168.1.0/24 -d 194.195.196.197 -p tcp --dport 7777 -j ACCEPT COMMIT

*nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A POSTROUTING -s 192.168.0.0/22 -o eth1 -j SNAT --to-source 173.174.175.176 -A POSTROUTING -s 192.168.0.0/22 -o eth2 -j SNAT --to-source 165.166.167.168 -A POSTROUTING -s 10.10.10.2 -o eth1 -j SNAT --to-source 173.174.175.176 -A POSTROUTING -s 10.10.10.2 -o eth2 -j SNAT --to-source 165.166.167.168 -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.10:3389 #-A PREROUTING -i eth2 -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.10:3389 #cams -A PREROUTING -i eth1 -p tcp -m tcp --dport 3456 -j DNAT --to-destination 192.168.1.33:3456 -A PREROUTING -i eth1 -p tcp -m tcp --dport 3456 -j DNAT --to-destination 192.168.1.33:3456 -A PREROUTING -i eth2 -p tcp -m tcp --dport 3456 -j DNAT --to-destination 192.168.1.33:3456 -A PREROUTING -i eth2 -p tcp -m tcp --dport 3456 -j DNAT --to-destination 192.168.1.33:3456 -A PREROUTING -p tcp -d 173.174.175.176--dport 3456 -j DNAT --to-destination 192.168.1.33:3456 #-A PREROUTING -p tcp -d 173.174.175.176--dport 3456 -j DNAT --to-destination 192.168.1.33:3456 COMMIT

*mangle :FORWARD ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A POSTROUTING -p icmp -j MARK --set-mark 10 COMMIT # Completed

📎📎📎📎📎📎📎📎📎📎