LINUX.ORG.RU

Форум

Активные теги:

 , , , , , , , , , , , , , , , , , , ,

Давайте не спеша поищем аналоги командам iptables в nftables

Форум — Admin

Привет. У меня есть несколько команд iptables. Сейчас iptables объявляют legacy, и поэтому я ищу аналоги этим командам в nftables. Если вы тоже, то не стесняйтесь, задавайте вопрос в комментах. Всеобщим мозговым штурмом найдём решения!

Первой командой в моей записной книжке идёт эта:

sudo iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -i ppp0 -j DROP

Мне её на ЛОРе советовали когда-то давно, я не помню кто именно. ppp0 это не модем, как вы могли подумать, а оптоволоконное соединение. Первая строчка разрешает принимать ответы на запросы с нашего компа. Вторая команда запрещает все остальные соединения.

Мне нужно было также открыть один порт, и я спросил у того человека, куда вставлять команду. Он сказал, что вставлять перед последней командой. Она запрещает всё, что не было разрешено ранее. А если вставить после неё, то не сработает.

Собственно, вот команда для открытия порта:

sudo iptables -A INPUT -i ppp0 -p tcp --dport 2000 -j ACCEPT
sudo iptables -A INPUT -i ppp0 -p udp --dport 2001 -j ACCEPT

Ещё я раздаю интернет из ppp0 в eth1. Вот команда, которой я раздаю интернет:

sysctl net.ipv4.ip_forward=1
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Чтобы защитить интерфейс eth1, я выполнил это:

iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ppp0 -j DROP

Как вы видите, эта команда идентична первой, только для FORWARD (переадресуемого трафика).

И наконец, самое сложное. Я не понимаю, как работает эта команда. В общем, она «пробрасывает» порт 2000, который я ранее открыл, на другой комп, который подключен к eth1:

iptables -A PREROUTING -t nat -i ppp0 -p tcp --dport 2000 -j DNAT --to [IP ноутбука]:2000
iptables -A INPUT -p tcp -m state --state NEW --dport 2000 -i ppp0 -j ACCEPT

Собственно, это всё, что было в моей записной книжечке. Буду рад, если кто-нибудь знает аналоги этим командам на nftables, и напишет их в комменты :-)

 ,

ZenitharChampion ()

postfix+opendkim подпись спуфингового письма

Форум — Admin

добрый день

обнаружил нынче в почте письмо, отправителем которого значился мой адрес. несколько удивленный этим фактом, полез смотреть внутрь, и обнаружил, что слегка легитимный сервер, тупо подмена From.

Return-Path: <pavel.kesler@expo-sochi.ru>
Delivered-To: me@mydomain.org
Received: by mail.mydomain.org (Postfix, from userid 115)
	id AF3E0FDE8F; Sun, 17 Feb 2019 02:32:38 +0300 (MSK)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=mydomain.org; s=mail;
	t=1550359958; bh=sUf8VWPXX+cYhlkgNOetUuy2AhZpdYo9ZJg8iplVET4=;
	h=Date:Subject:To:From:From;
	b=koiFVqWusT3OSNN0KCEa8/VbK5Np1QbUN1APO0Z+7qtBrszqp56VOfrXtm0Ix7uqz
	 40veaFGcRv+u+onUrKv2xNdDKat5BNmV95G8wgbY3WJ7Ty1+XuAhvbZldYd20gFQDc
	 8yZYGHLVYlZmrKb6J02SLAeA0fsst1A29f612axo=
Received-SPF: None (mailfrom) identity=mailfrom; client-ip=80.250.219.18; helo=mail.expo-sochi.ru; envelope-from=pavel.kesler@expo-sochi.ru; receiver=<UNKNOWN> 
Received: from mail.expo-sochi.ru (unknown [80.250.219.18])
	(using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))
	(No client certificate requested)
	by mail.mydomain.org (Postfix) with ESMTPS id 82777FDE83
	for <me@mydomain.org>; Sun, 17 Feb 2019 02:32:35 +0300 (MSK)
X-Footer: ZXhwby1zb2NoaS5ydQ==
Received: from localhost ([127.0.0.1])
	by mail.expo-sochi.ru with ESMTPSA
	(using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256 bits))
	for me@mydomain.org;
	Sun, 17 Feb 2019 02:31:09 +0300
Date: Sun, 17 Feb 2019 00:32:20 +0100
X-aid: 9584699490
Content-Transfer-Encoding: base64
Content-Type: text/plain; charset=UTF-8
X-Mailer: iPad Mail (15G77)
Message-ID: <hlavf5vp3fkl02f0lqddqc1rbghgjj085tya@www.expo-sochi.ru>
Organization: Lkxtmmedgzfpx
X-Sender: pavel.kesler@expo-sochi.ru
Subject: mail
To: me@mydomain.org
Errors-To: security@expo-sochi.ru
X-Complaints-To: <abuse@mail.expo-sochi.ru>
From: <me@mydomain.org>
пошел в боевом настроение курить конфиги и читать интернеты, узнавать много нового, в том числе о себе, в том числе не очень приятного. в итоге для меня было открытием, что spf не судит по полю From (http://www.openspf.org/FAQ/Envelope_from_scope). а также отсутствие не костыльных решений отлупа писем с полем From, содержащем домен сервера принимающей стороны (при отсутствии авторизации это же абсолютная норма. или я ошибаюсь?). а потом я остановил взгляд на том, что на этом письме стоит DKIM подпись моего сервера. начал слать себе письма с другого сервера с подменой поля From, вербозные логи говорят следующее.
Feb 19 00:51:40 mail postfix/smtpd[21759]: connect from mail.test.ru[0.0.0.0]
Feb 19 00:51:41 mail policyd-spf[21765]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=0.0.0.0; helo=mail.test.ru; envelope-from=root@test.ru; receiver=<UNKNOWN>
Feb 19 00:51:41 mail postfix/smtpd[21759]: 4C620EC130: client=mail.test.ru[0.0.0.0]
Feb 19 00:51:41 mail postfix/cleanup[21766]: 4C620EC130: message-id=<20190218215102.A16B5607F5B@mail.test.ru>
Feb 19 00:51:41 mail opendkim[21564]: 4C620EC130: mail.test.ru [0.0.0.0] not internal
Feb 19 00:51:41 mail opendkim[21564]: 4C620EC130: not authenticated
Feb 19 00:51:41 mail opendkim[21564]: 4C620EC130: no signature data
Feb 19 00:51:41 mail postfix/qmgr[21314]: 4C620EC130: from=<root@test.ru>, size=746, nrcpt=1 (queue active)
Feb 19 00:51:41 mail spamd[20702]: spamd: connection from ::1 [::1]:47136 to port 783, fd 5
Feb 19 00:51:41 mail spamd[20702]: spamd: setuid to debian-spamd succeeded
Feb 19 00:51:41 mail spamd[20702]: spamd: creating default_prefs: /var/lib/spamassassin/.spamassassin/user_prefs
Feb 19 00:51:41 mail spamd[20702]: spamd: processing message <20190218215102.A16B5607F5B@mail.test.ru> for debian-spamd:115
Feb 19 00:51:41 mail postfix/smtpd[21759]: disconnect from mail.test.ru[0.0.0.0] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
Feb 19 00:51:41 mail spamd[20702]: spamd: clean message (1.1/3.0) for debian-spamd:115 in 0.5 seconds, 696 bytes.
Feb 19 00:51:41 mail spamd[20702]: spamd: result: . 1 - DKIM_ADSP_ALL,RCVD_IN_DNSWL_NONE,SPF_PASS scantime=0.5,size=696,user=debian-spamd,uid=115,required_score=3.0,rhost=::1,raddr=::1,rport=47136,mid=<20190218215102.A16B5607F5B@mail.test.ru>,autolearn=no autolearn_force=no
Feb 19 00:51:41 mail postfix/pickup[21313]: E79C8ED2A6: uid=115 from=<root@test.ru>
Feb 19 00:51:41 mail postfix/pipe[21767]: 4C620EC130: to=<me@mydomain.org>, relay=spamassassin, delay=1.3, delays=0.77/0.02/0/0.52, dsn=2.0.0, status=sent (delivered via spamassassin service)
Feb 19 00:51:41 mail postfix/qmgr[21314]: 4C620EC130: removed
Feb 19 00:51:41 mail postfix/cleanup[21766]: E79C8ED2A6: message-id=<20190218215102.A16B5607F5B@mail.test.ru>
Feb 19 00:51:41 mail opendkim[21564]: E79C8ED2A6: DKIM-Signature field added (s=mail, d=mydomain.org)
Feb 19 00:51:41 mail spamd[20701]: prefork: child states: II
Feb 19 00:51:42 mail postfix/qmgr[21314]: E79C8ED2A6: from=<root@test.ru>, size=1080, nrcpt=1 (queue active)
Feb 19 00:51:42 mail postfix/qmgr[21314]: E79C8ED2A6: removed
ниже привожу конфиги, а здесь возникшие вопросы: 1) я накосячил с конфигом, или что это за поведение opendkim? 2) как красиво закрыться от подобного спуфинга без dmarc? check_sender_access оперирует в данном случае полем Return-Path. header_checks не позволит ходить письмам внутри домена.

main.cf (то, что не по теме - убрал)

milter_default_action = accept
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891

smtpd_client_restrictions =
 permit_mynetworks
 permit_sasl_authenticated
 check_client_access hash:/etc/postfix/whitelist  
 warn_if_reject reject_unknown_client_hostname
 reject_rbl_client bl.spamcop.net
 reject_rbl_client zen.spamhaus.org
 permit
 
smtpd_helo_restrictions =
 permit_mynetworks
 permit_sasl_authenticated
 check_helo_access pcre:/etc/postfix/checks/helo_checks.pcre
 reject_invalid_helo_hostname
 reject_unknown_helo_hostname
 reject_non_fqdn_helo_hostname
 warn_if_reject reject_unknown_helo_hostname
 permit
 
smtpd_sender_restrictions =
 permit_mynetworks
 reject_non_fqdn_sender
 reject_unknown_sender_domain
 reject_sender_login_mismatch
 permit_sasl_authenticated
 permit
 
smtpd_recipient_restrictions =
 permit_mynetworks
 permit_sasl_authenticated
 reject_unauth_pipelining
 reject_non_fqdn_recipient
 reject_unknown_recipient_domain
 reject_unauth_destination
 check_policy_service unix:private/policy-spf
 reject_unlisted_recipient
 check_sender_access pcre:/etc/postfix/checks/sender_checks.pcre
 permit
 
smtpd_data_restrictions =
 permit_mynetworks
 permit_sasl_authenticated
 reject_unauth_pipelining
 permit
 
smtpd_end_of_data_restrictions =
 permit_mynetworks
 permit_sasl_authenticated
 reject_multi_recipient_bounce
 permit

opendkim.conf

Syslog			yes
KeyTable		file:/etc/postfix/dkim/keytable
SigningTable		file:/etc/postfix/dkim/signingtable
SubDomains              yes
LogWhy yes
SyslogSuccess	yes
Canonicalization        relaxed/simple
Mode                    sv
Socket                  inet:8891@localhost
ReportAddress           postmaster@mydomain.org
SendReports             yes
PidFile               /var/run/opendkim/opendkim.pid
UserID                opendkim

 ,

byy ()

Можно ли обезопасить себя от смерти при нехватке памяти?

Форум — Desktop

Бывает такая ситуёвина, что запущено некоторое количество тяжёлых приложений, которые выжерают всю память, за ней своп и вешают намертво систему, не давая возможности себя убить. Можно ли с этим как-то бороться? Мне кажется, что это в корне неправильно.

 , ,

BrightBig ()

Постраничная нафигация на форуме

Форум — Lor-source

Подскажите, пожалуйста, уж больно любопытно стало, почему в темах, в которых много страниц, в навигации по страницам присутствуют все страницы? Я на многих ресурсах сталкивался, что в таких ситуациях происходит разбиение (бывают разные варианты) типа (находимся на странице 11):

1 2 3 ... 10 11 12 ... 23 24 25

А тут, как я понял, такого нет. С чем связано?

 , , ,

BrightBig ()

Еще одна почтовая тема: exim4 и localdomains

Форум — Admin

Расклад такой есть exim4 на локальном домене domain.com.ua , MX-записи указывают на GSuite (там ящики юзеров «на приём»). Конфиг экзима дефолтный для VestaCP.

Проблема в том, что пока я не сделал костыль в виде удаления симлинки на domain.com.ua из /etc/exim4/domains, я получал классический

Unrouteable address

Потому как отправлял от имени user@domain.com.ua MX-записи домена, которого находятся у GMail (может не совсем правильно, но близко к истине).

Вопрос: как заставить exim4 по-человечески и локальный адрес резолвить (который на самом деле у Гмыла) и весь остальной мир не потерять по MX ?

 , , ,

Twissel ()

А есть ли ЯП, которые умеют обходиться без системы сборки?

Форум — Development

Которые умеют модифицировать исходники в зависимости от environment на машине разработчика. Например, на которых можно сделать ORM не отдельной тулзой, как Hibernate в жабке (да и, наверное, почти любой ORM) а просто отдельной либой? Ну и далее по списку - сборка целей с различными настройками компилятора, запуск тестов и т.п.

Т.е., такие ЯП для которых не надо никаких мейков, смейков и прочих мавенов - запустил компилер, скормил исходник - программа собралась.

Условно (помня о том, что ЛИСП гомоиконный) ASDF, похоже, делает то, о чём я говорю. Возможно, даже и безусловно - не сильно вдавался в подробности.

А ещё?

 , ,

next_time ()

Почему zram не используют везде?

Форум — Desktop

Почитал по zram, мол мастхэв для убогих компьютеров, поставил, настроил, пока своего мнения ещё не заимел на этот счёт. Но вот вопрос возник, если zram по сути жмёт данные в части памяти и алгоритмы там не прожорливые, почему его советуют только для слабых устройств, а не засунут в ядро по дефолту? Ведь памяти никогда не бывает много, ну и жать он начинает, когда значительная часть уже забита?

 , , ,

BrightBig ()

wayland как замена Х-ов.

Форум — Desktop

Здравствуйте.

Хочу спросить на счет wayland.

Собственно в википедии о нем написано следующее:

Кардинальное отличие от X.org заключается в том, что Wayland лишь управляет буферами (плоскостями) окон и возлагает всю отрисовку их содержимого на тулкиты (GTK, Qt и т. д.). API рисования (drawing API) полностью отсутствует. Все версии протокола строго определены, а само версионирование продумано

Из чего выходит что wayland должен от'єдать куда меньше ресурсов чем иксы.

Вопрос - на сколько этот графический сервер готов для использования в качестве полной замени X сервера.

 ,

indigofera ()

Помогите протестировать ssh в виртуальной машине

Форум — General

Подскажите как настроить virtualbox, чтобы протестировать работу ssh (сервер и клиент). Я в этом новичок, сейчас изучаю ssh, поднял 2 виртуалки с ubuntu, тип соединения NAT. Но как понять какой у них IP (видимо одинаковый) и как сделать чтобы они друг друга видели, пока непонятно. Если надо поднять новый IP на каждой, подскажите как. Слышал что ifconfig уже не работает, там даже команды такой нет. Вобщем надо, чтобы виртуалки как-то увидели друг друга, подскажите плз.

Перемещено jollheef из opensource

 , , , ,

anonymous ()

ThinkPad X1 Carbon полуживой

Форум — Linux-hardware

Доброе время суток.
Лор дай совет.
Есть вариант купить ThinkPad X1 Carbon, который не включается, пока не передернуть маленькую батарейку на плате.(до этого 3 раза мигает и выключается)
Какой шанс того, что если залить туда свежий биос он начнет нормально работать?

 , ,

smilessss ()

битлор

Форум — Talks

а что это за тема с битлор? а шкворцем уже барыжить можно?

 

ananas ()

Аутентификация sssd Samba4 AD при первом входе.

Форум — Admin

Есть небольшая проблема с аутентификацией пользователей через SSSD в AD на Samba4. При входе нового пользователя с установленным чекбоксом «требовать смену пароля при следующем входе», получаю Access Denited. Если чекбокс снять, пользователь логинится без проблем. Если после удачного входа опять поставить чекбокс, выдается сообщение о необходимости смены пароля.

Т. е. проблема появляется исключительно при первом входе пользователя у которого установлена смена пароля. Гугление результата не дало. Обсуждают, когда совсем не пускает, а не только первый раз, как у меня.

Логи выложить могу, но, там ничего интересного нет)

Клиент mint/ubuntu. Сервер CentOS 7 SAMBA 4.9.4

 , ,

AndrK189100 ()

Не работает suspend на amd ryzen

Форум — Linux-hardware

Сап, лор.

По совету из прошлого своего треда, купил любые проц и материнку, а именно:

  • AMD Ryzen 5 2600
  • ASRock B450M Pro4

Бивис последний, ось fedora 29.

Все хорошо, кроме того, что не работает suspend. При этом, при попытке проснуться еще и сбрасываются настройки бивиса.

Пробовал менять параметры, хоть как-то связанные со сном и энергопотреблением, но устал гуглить сотни 2/3/4-х буквенных аббревиатур в итоге ничего но не помогло. По нагугленным советам, пробовал включать сервис acpid, но тоже не помогло.

Кто-нибудь сталкивался и победил, или нужно ждать, когда потенциал раскроется?

 ,

MyLittleLoli ()

dockerized mailserver — mailcow

Форум — Admin

Стоит ли на практике для продакшена использовать почтовик упакованный по докер-контейнерам? Кто юзает на практике?

Насколько я понимаю, очевидные плюсы docker-compose/docker это быстрый деплой и более эффективное масштабирование всей системы, когда ей понадобится больше системных ресурсов, чем первично предполагалось. Говорят, особенно это удобно, когда ресурсы мы и берём у «облака» и т.д. и т.п.

Так вот, насколько оправдано использовать докер для почтового сервера? Стильно, модно, молодёжно оставим за скобками — iRedMail вон тоже пилят и без всякого докера

 , , ,

Twissel ()

кто-нибудь смог запустить orbiter 2016 в wine ?

Форум — Games

Доброго времени суток

appdb как обычно заполнял то ли сын маминой подруги, то ли yellow dog, у них всё gold: https://appdb.winehq.org/objectManager.php?sClass=version&iId=34749

При этом по дефолту orbiter даже не запустится. Единственный шанс - создавать 32-битный wineprefix. После этого запускается, даже частично работает, но все окна через секунду после появления проваливаются в background, как будто фокус по наведению мыши, а не по клику

Есть идеи?

 ,

router ()

Thinkpad x1 отвалился SSD

Форум — Talks

Короче, перестал работать ssd. Ну я такой подумал: всё, хана ему. Заменил, вроде всё ок. Проходит три дня — та же история.

Помянуть ноут, или я что-нибудь не знаю? gen1, 3460.

Линукс тут при том, что x1 у нас тут в моде.

 , ,

Dispetcher14 ()

Как навсегда убрать программу с автозагрузки?

Форум — General

Всех приветствую! Есть у меня такая прога на Debian как Bitmask, это VPN такой. Так вот после обновления он начал каждый раз автоматически загружаться при каждом старте системы, а это нужно далеко не всегда да и к тому же если он загружается без наличия интернета, его конфиги такие как логин и пароль стираются и для подключения их нужно вводить по новой, такая специфика этого приложения. Использую среду LXDE и в ней в графическом интерфейсе есть параметр «настройка параметров сесси рабочего стола» так вот там убираю галочку автозагрузки Bitmask и этот VPN не загружется уже при старте системы, но стоит мне его запустить вручную, как он снова начинает загружаться сам. Как отключить автозагрузку конкретного приложения навсегда?

 , ,

Abrakadabr ()

Поясните за Яву - зачем используют массив строк для одной строки?

Форум — Development

В ходе исправления бага:

https://bugreports.qt.io/browse/QTBUG-68813

Разработчик фреймверка написал такой код:

https://codereview.qt-project.org/#/c/252757/2/src/android/jar/src/org/qtproj...

В нем есть такая функция:

    public static String loadMainLibrary(final String mainLibrary, final String nativeLibraryDir)
    {
        final String[] res = new String[1];
        res[0] = null;
        m_qtThread.run(new Runnable() {
            @Override
            public void run() {
                try {
                    String mainLibNameTemplate = "lib" + mainLibrary + ".so";
                    File f = new File(nativeLibraryDir + mainLibNameTemplate);
                    if (!f.exists()) {
                        try {
                            ActivityInfo info = m_activity.getPackageManager().getActivityInfo(m_activity.getComponentName(),
                                    PackageManager.GET_META_DATA);
                            String systemLibraryDir = QtNativeLibrariesDir.systemLibrariesDir;
                            if (info.metaData.containsKey("android.app.system_libs_prefix"))
                                systemLibraryDir = info.metaData.getString("android.app.system_libs_prefix");
                            f = new File(systemLibraryDir + mainLibNameTemplate);
                        } catch (Exception e) {
                            e.printStackTrace();
                            return;
                        }
                    }
                    if (!f.exists())
                        return;
                    System.load(f.getAbsolutePath());
                    res[0] = f.getAbsolutePath();
                } catch (Exception e) {
                    Log.e(QtTAG, "Can't load '" + mainLibrary + "'", e);
                }
            }
        });
        return res[0];
    }

Вопрос. Зачем он вместо создания строки создает массив строк, а потом возвращает первый элемент?

 ,

Xintrea ()

man -H Page not found

Форум — General
man -H ls

генерирует html и тут же открывает его в браузере, если переменная $BROWSER установлена.

Но проблема в том, что это срабатывает иногда с 1, иногда со 2 раза. То есть часто браузер ругается что File not found.

И что то я не пойму как оно работает...

 ,

armid ()

Redmine + GitLab

Форум — Web-development

Доброго всем!

Админу получилось на одной машине связать Redmine и Git и даже поиспользовать на тестовом проекте.

Но наши девелоперы настолько суровы, что невзрачному Git'у предпочитают взрачный GitLab, развёрнутый на другой машине.

Уважаемый лорщик(-ца), помоги пожалуйста админу понять, можно ли скрестить Redmine и GitLab пусть даже на одной тачке?

Можешь, помочь админу полностью? Помоги админу полностью. Пожалуйста, я тебя прошу, можешь?

Всем бобра!

 ,

Ramirezkiv2 ()

RSS подписка на новые темы