LINUX.ORG.RU

Избранные сообщения censured

Как избавиться от too many open files 3proxy

Форум — Admin

Всем доброго дня!

Я не сильно шарю в Линуксе, разве что, на уровне любителя.

Настраиваю IPv6-прокси, поначалу все работает, через день или два начинаются траблы - то работают прокси, то нет. То валидны, то нет, плавающая такая проблема.

В логе пишет, что too many open files.

Пробовал расширить лимиты через команды в терминале, не помогает. Перезапуск процесса прокси-сервера дает положительный результат, но потом через время проблема опять повторяется.

Кто может подсказать, как решить проблему? И вообще дело именно в too many open files или может быть в чем-то другом?

 ,

Yura1206 ()

Маршрут для маркированного трафика, туплю - спасайте

Форум — Admin

Требуется завернуть маркированный через Netfilter трафик на клиенте завернуть в туннель к серверу, а остальной пустить по default маршруту.

Имеется:

  • Клиент - gateway маленькой сети на Centos
  • Сервер - Облачный шлюз - на Centos
  1. Сервер, с поднятым туннелем:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether fa:16:3e:2d:70:4a brd ff:ff:ff:ff:ff:ff
    inet 16.124.9.234/32 brd 51.38.50.121 scope global dynamic eth0
       valid_lft 60677sec preferred_lft 60677sec
5: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none 
    inet 10.8.0.1/24 scope global wg0
       valid_lft forever preferred_lft forever

wg0 - порт wireguard туннеля

  1. Клиент с поднятым подключением:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 38:d5:47:28:4d:e2 brd ff:ff:ff:ff:ff:ff
    inet 10.204.163.19/30 brd 10.204.163.19 scope global noprefixroute eth0
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether ca:b2:ad:cd:81:5f brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.1/24 brd 192.168.1.255 scope global noprefixroute eth1
       valid_lft forever preferred_lft forever
6: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet 10.8.0.100/32 scope global wg0
       valid_lft forever preferred_lft forever

eth0 - внешняя сеть eth1 - внутренняя сеть wg0 - порт wireguard туннеля

  1. Модуль ядра для маркировки пакетов на клиенте - загружен:
# lsmod | grep -i "mark"
xt_mark                16384  1
  1. Параметры ядра на клиенте:
  • влючен форвардинг
  • отключен rpfilter - что бы ядро, не отбрасывало пакеты, вернувшиеся с другого интерфейса
# sysctl -p
net.ipv4.ip_forward = 1
net.ipv4.tcp_fwmark_accept = 1
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0
  1. Пакеты в ядре клиента маркируются простым правилом:
iptables -A PREROUTING -t mangle -s 192.168.1.222 -j MARK --set-mark 1
  1. Добавлено правило на клиенте - создана таблица wire для маркированного трафика:
ip rule add fwmark 1 table wire
  1. Требуется прописать маршрут для пакетов из таблицы wire в интерфейс wg0
  • Внутрення сеть: 192.168.0.0/24
  • Адреса в туннеле: 1.8.0.0/24

Самоизоляционный тупняк на меня напал - спасайте.

 , , ,

bslpzk ()

Lutris 0.5.0

Новости — Игры
Группа Игры

Состоялся значительный релиз Lutris — игровой платформы для Linux, которая позволяет устанавливать и запускать игры без лишних хлопот, в том числе из GOG, Steam, Battle.net, Origin, Uplay с помощью специально подготовленных сценариев.

( читать дальше... )

>>> Подробности

 , , , ,

Turbid ()

FreeBSD на десктопе: первые впечатления

Галерея — Скриншоты

Наконец домучил я FreeBSD 11.1. Делюсь первыми впечатлениями, окончательное мнение о системе уже буду делать хотя бы через месяц активного юзания. Итак, начну с основного: графическое окружение. Из всего «многообразия», доступного на фре, выбрал Xfce, как самое наименее завязанное на Linux или вообще какое-либо окружение. Изначально хотел KDE 4, но там мне так и не удалось настроить монтирование дисковых накопителей по клику в файловом менеджере....да вообще никак не удалось, только через консоль. Настроить монтирование через HAL на современных фрях, как я понял, вообще невозможно, но без HAL хреново работают KDE 4 и GNOME. В Xfce без него не отображаются значки дисков в Thunar, потому решил сделать хоть что-то, тобы исправить ситуацию. По совету местных поставил Automount, так что флешки и внешний винт теперь монтируются сразу при подключении. Что поделать - нету в BSD аналога линуксового Udisks2.....хотя один из наших соотечественников пилит его аналог под названием bsdisks, но судя по всему - только для KDE Plasma 5 (в зависимостях Qt5). Так что вот так. В остальном же ощущение, будто юзаешь Линукс года эдак 2009, который при этом косит под Линукс-современный :) Не хочу никого обидеть, просто лучше описать это чувство не могу. При копировании или распаковке чего-то толстожопого, система может наглухо зависнуть, и потом ВНЕЗАПНО отвиснуть. Возможно я накосячил, делал всё по своей же статье. Рабочий опенсорсный софт работает не хуже, чем в Линуксе, настройка самой системы особых сложностей не вызывает. Пока так.

З.Ы. хотел поставить «родную» для FreeBSD графическую оболочку Lumina, но это просто эталон вырвиглазия и неюзабельности!

>>> Просмотр (1600x900, 112 Kb)

 , ,

Sunderland93 ()

Тайлинг на XFCE

Галерея — Скриншоты

После долгого использования awesome wm я начал понимать, что меня достало бесконечно ковырять
конфиги на lua, да и вообще, хочется, чтобы просто работало, а не отваливалось между обновлениями.

Вернулся на любимую крысу, с которой никогда не было проблем, но и радости от использования тоже.
Начала мучить ностальгия по тайлингу, и я решил адаптировать xfce под это дело.

Получилось, на мой взгляд, архиудобно. Перенес все хоткеи, окнами управляю с клавиатуры,
а вместе с этим у меня появились все плюшки DE.

Мой привычный layout: 4 рабочих стола, переключение по win+(1-4), win+shift+(1-4) - перенести окно
на рабочий стол, win+r запускалка программ, win+5 максимизирует окно, а второе нажатие отображает
по центру, win+f - фуллскрин. Максимизированные окна я только переношу на разные рабочие столы. Немаксимизированные окна я перемещаю между столами и, если на одном рабочем столе, то раскидываю
по углам и сторонам клавишами win+numpad_1-9
7-8-9
4-5-6
1-2-3
Кадой цифре соответствует часть экрана. Можно мышевозить, можно работать только клавой.

http://i.imgur.com/zNH98C9.jpg - рабочий стол
http://i.imgur.com/Fs6uNo4.png - браузер с лором
http://i.imgur.com/f42aR45.png - выпадающий терминал по f12

>>> Просмотр (1920x1080, 320 Kb)

 , ,

arty_bishop ()

3proxy помощь в настройке

Форум — Admin

Подскажите как настроить прокси ipv6 с разными логинами и паролями на каждом из них. Настраивал прокси по этому мануалу: http://wiki.ihor.ru/linux:centos:как_установить_3proxy В мануале логин и пароль указывается для всех сразу.

 , ,

tkinc2 ()

tor+privoxy как проверить работоспособность?

Форум — Security

Есть связка tor+privoxy, настраивалось отсюда В /etc/privoxy/config добавил forward-socks4a / 127.0.0.1:9050 . И в настройках браузера указал прокси 127.0.0.1:8118 и для socks4 127.0.0.1:9050
Всплывает странность: check.torproject.org выдаёт один айпишник, geoiptool.com другой, 2ip.ru третий, отличающийся только на последней цифре чуть-чуть. В чем подвох?
Вроде всё работает, НО! Как проверить, что в этой связке действительно участвует privoxy и как наглядно показать это «заказчику»?

 , ,

Pyzia ()

Linux таки готов к десктопу

Галерея — Скриншоты

Не прошло и двадцати лет, как сообщество в лице его не худших представителей , выбрав самое лучшее , что было за это время, выкатило на суд общественности и бизнеса решение для организации «быстрого и мощного десктопа» в привычном для большинства пользователей интерфейсе (ну вы поняли)

Не забыты и сторонние разработчики , в общем, всё как у взрослых.

на скрине версия широкоизвестного в узких кругах дистрибутива Q4OS версии 1.2 , выпущенного 27 апреля 2015 года (то есть на днях). Естественно, что данный релиз базируется на Debian 8 (Jessie).

Шрифт: Tahoma (сглаживание не использовалось)

>>> Просмотр (2080x3176, 2194 Kb)

 , , , ,

Pm7vLB ()

aircrack-ng, wpa2, пакеты

Форум — Security

А сколько нужно перехватить пакетов в aireplay-ng что бы схватить хендшейк?

 

CAHO ()

It works!

Галерея — Рабочие места

Привет, ЛОР.
На фото домашнее рабочее место - столик, два монитора, чай каркаде со льдом, геймпад (куда ж без него, на рабочем месте-то:)). На одном мониторе ЛОР, на втором - Assassin's Creed IV: Black Flag, YOBA 2014 года, которая запущена на семёрочке максимальной, которая запущена в qemu-kvm, который запущен на Gentoo ~amd64. Проброшенная в виртуалку видеокарта - Radeon R9 270X

Прошлое фото было больше года назад, с того времени много чего изменилось:

  • Я сделал второй этаж пригодным для жизни. Ремонт длился болше полугода, и вот месяц назад я таки сюда въехал
  • Ещё прошлым летом сменил ту ЭЛТху на DELL U2312HM. Глаза мне безумно благодарны
  • Сам компьютер обрёл таки корпус, самодельный, из двух барабанов от стиральной машинки
  • На процессоре висит килограмовый Zalman'овский кулер, т.к стоковый для AMD FX8350 осточертел своим рёвом
  • Три месяца назад докупил второй монитор и вторую видеокарту
  • Кот, с сожалению, находится в городе в данный момент. Сильно плохо ему было тут, под окном вечно орут всякие звери, и он сходил с ума

На фоне можно увидеть матрас без кровати - он так и будет, высокие постели - зло. Второй монитор иногда разворачиваю в сторону матраса, и смотрю кино. Окно на втором фото в районе 4-5 часов вечера начинает мешать работать - светит в голову и в мониторы. Решается жалюзями. Диванчик будет переставлен, вместо него - возьму кресло с одним деревянным поручнем под правую руку, для мышки. Но, в принципе, и с дивана неплохо работается и играется.
Алсо, дико напрягает ворох проводов, но я ещё не придумал что с этим можно сделать.

Ругайте! :)

Второе фото

>>> Просмотр (2560x1920, 1290 Kb)

NeverLoved ()

Мое рабочее место

Галерея — Рабочие места

Вот мое рабочее место.

  • Монитор Dell UltraSharp U2414H на подставке MSA 14
  • ноутбук dell inspiron m5110 подключен к монитору
  • Нетбук Dell inspiron 3137
  • netgear wnr3500l v2 с томатом на борту
  • samsung S3
  • подставка под мой телефон из скрепки
  • в правой тумбе спрятан коммутатор TP-LINK TL SG-1008
  • на стуле под кроватью лежит сумка для ноутбука maxpedition spatha

>>> Просмотр (1920x1440, 1022 Kb)

 ,

Jack_Vo ()

Разукрашка

Галерея — Скриншоты

После прочтения поста вспомнил свои прошлогодние затеи с раскрашиванием терминалов. Заново прочитал это и это, немного перепелил вывод скрипта под себя.

Скрипт автоматом генерирует цветовую схему для терминалов и GTK2/3, настроен под тёмную гамму. Я использую для этих наркоманств угловатую тему Mist, но вы можете перепилить под ту же более симпатичную и аккуратную oomox, сделать опцию для светлого оформления и терминалов (или, если хотите, я могу).

( Ну и как работает твоя развалюха? )

Скрипт

Mist-Colorized

PNG

>>> Просмотр (2715x1207, 1342 Kb)

 , , , ,

zezic ()

Обновлен проприетарный драйвер broadcom-sta для беспроводных сетевых карт

Новости — Hardware and Drivers
Группа Hardware and Drivers

Вчера, 10 сентября, была выпущена новая версия проприетарного драйвера для беспроводных сетевых карт на базе Broadcom. Основные изменения:

  • Поддержка ядер до 3.8.x.
  • Добавлена поддержка чипов bcm43142 и bcm4352.
  • Прекращена поддержка WEXT.

>>> Страничка загрузки

 ,

leg0las ()

Wi-Fi Linux Mint

Форум — Linux-install

Привет всем) Помогите пожалуйста как настроить Wi-Fi на Linux Mint Я его включаю и он горит оранжевым цветом вместо зеленого, а автоматически точку доступа не находит... в чем может быть загвоздка? если в драйверах, то какие где их взять?

Geeker ()

Установка драйвера Realtek RTL8111/8168B

Форум — Linux-hardware

Скачиваю драйвера с realtek.com, копирую на ноут (ос-backtrack 5 r1 x64), запускаю, пишет «bad format». Что делать?

SkyAlex ()

Slackware + Xfce4

Галерея — Скриншоты

Дистрибутив - Slackware.
Среда рабочего стола - Xfce4.
Файловый менеджер - PCManFM и Thunar
Эмулятор терминала - Xfce4-terminal.
Док - Cairo-Dock.

Если интересно.

Сразу два новшества для себя открыл - дистрибутив Slackware (мое первое знакомство) и Xfce4 - решил, все-таки, поставить, уже давно не использовал его и достаточно критически к нему относился.

>>> Просмотр (1366x768, 327 Kb)

 ,

Dontes ()

Атака через подстановку аргументов при использовании масок в командной строке

Форум — Security

http://www.opennet.ru/opennews/art.shtml?num=40100

Как раз из серии «broken by design». (Чую что сейчас набегут «знатоки» со стандартной отмазкой «это не баг, это фича». Так вот, можете называть ЭТО как угодно, но мне данная «фича» не нравится).

Поэтому, похоже радикальное решение данной проблемы может быть только одно - переход на не-Unixlike OS. Но как насчёт менее радикальных вариантов? Может быть можно придумать какой-то workaround? Я например подумал, что это как раз из тех случаев, когда использовать файловый менеджер лучше, чем командную строку

 , , , ,

Deleted ()

iptables redirect all

Форум — General

Привет всем! не могу настроить редирект, задача такая, есть клиент под шлюзом, у него дефолтовый маршрут этот шлюз, у шлюза дефолтовый инет, надо клиенту сделать так, чтоб при запросе одного адреса, его перекидывало на другой, в том числе и пинги, остальное ему закрыть, как это сделать? пока что к успехам ничего не привело, еще проблема в том что каждый клиент висит на своем интерфейсе шлюза (на отдельном vlan)

 

init_ ()

Как лучше бэкапить почтовый сервер?

Форум — Admin

debian 7.
exim4.
postfixadmin + mysql.
Kaspersky Security 8.0 for Linux Mail Server, который использует встроенный в себя postgres.
Места занято жалких 3 Гб, потому что почта на сервере не хранится. Есть скрипт наипростейшего бэкапа при помощи tar.

#!/bin/bash

REMOTE_DIR="/mnt/network_disk/mail/backups/"

aptitude clean
mount -t cifs //192.168.10.1/network_disk /mnt/network_disk -o credentials=/etc/smb_password
DATE="`date '+%Y-%m-%d_%Hh_%Mm'`"

service exim4 stop
service dovecot stop
service klms stop
service klmsdb stop
service apache2 stop
service php5-fpm stop
service mysql stop
service nagios-nrpe-server stop

tar -czvpf "$REMOTE_DIR/backup-$DATE.tar.gz" \
--directory=/ --exclude='proc/*' --exclude='sys/*' --exclude='dev/*' --exclude='mnt/network_disk/*' --exclude='run/*'  /


service mysql start
service php5-fpm start
service apache2 start
service klmsdb start
service klms start
service dovecot start
service exim4 start
service nagios-nrpe-server start

umount /mnt/network_disk
На всякий случай останавливаются все возможные сервисы, чтобы обеспечить хоть какую-то атомарность, потому что я не уверен на 100%, что при разворачивании из бэкапа ничего не сломается. Внимание, вопрос: как лучше всего бэкапить __всю__ систему целиком и обеспечить атомарность бэкапа?
В принципе я понимаю, что тот же mysql можно не останавливать, потому что в него пишется что-то только тогда, когда ручками добавляются пользователи или меняются пароли через postfixadmin.
Возникает проблема с klmsdb (postgresql для каспера) или нет, я не знаю.
Не поломаются ли логи в бэкапе, если ничего из этого не останавливать? Например, если в то время, как приходит новое сообщение, будет копироваться /var/log/exim4/mainlog, может ли он сохраниться в неполноценном виде?
Прошу поделиться опытом такого рода бэкапов или посоветовать, что нужно и можно бэкапить наживую.
Может я зря все останавливаю и можно об этом не беспокоиться.
P.S. Еще раз замечу, что все подряд останавливается на всякий случай. Минимум половину из этих сервисов можно из скрипта выкинуть. Бэкап делать ночью cron'ом. Выключение на 2 минуты никто не заметит, кроме мониторинга.

 , , ,

getup ()

Исключить один локальный IP из правила iptables

Форум — Admin

Подскажите с вопросом. Для всей сети установлен редирект 80-го порта на порт 82:

-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 82
Пробую исключить один ip-адрес, добавляю такое правило:
iptables -t nat -A PREROUTING -p tcp -s 192.168.4.20 --dport 80 -j ACCEPT

Но с этого ip все запросы продолжают редиректится на 82-й порт.

Вот полный список правил:

# Generated by iptables-save v1.3.5 on Wed Dec 18 12:32:23 2013
*nat
:PREROUTING ACCEPT &#91;15554697:1315407495]
:POSTROUTING ACCEPT &#91;4619401:326614583]
:OUTPUT ACCEPT &#91;8726588:575556815]
-A PREROUTING -d 192.168.2.47 -p tcp -m tcp --dport 5000 -j DNAT --to-destination 192.168.4.230:3389 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 82 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 82 
-A PREROUTING -i eth1 -p tcp -m tcp --dport 3128 -j REDIRECT --to-ports 82 
-A POSTROUTING -s 192.168.4.0/255.255.255.0 -d 192.168.4.230 -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.4.1 
-A POSTROUTING -o eth0 -j MASQUERADE 
COMMIT
# Completed on Wed Dec 18 12:32:23 2013
# Generated by iptables-save v1.3.5 on Wed Dec 18 12:32:23 2013
*mangle
:PREROUTING ACCEPT &#91;1209102367:896492018415]
:INPUT ACCEPT &#91;1049463888:853150834048]
:FORWARD ACCEPT &#91;159500404:43333997116]
:OUTPUT ACCEPT &#91;1148653505:946219156804]
:POSTROUTING ACCEPT &#91;1308179306:989559680853]
COMMIT
# Completed on Wed Dec 18 12:32:23 2013
# Generated by iptables-save v1.3.5 on Wed Dec 18 12:32:23 2013
*filter
:INPUT DROP &#91;378149:75871322]
:FORWARD DROP &#91;0:0]
:OUTPUT DROP &#91;0:0]
:drop-lan - &#91;0:0]
-A INPUT -s 192.168.1.12 -i eth0 -j ACCEPT 
-A INPUT -m state --state INVALID -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset 
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP 
-A INPUT -s 127.0.0.0/255.0.0.0 -i eth0 -j DROP 
-A INPUT -s 169.254.0.0/255.255.0.0 -i eth0 -j DROP 
-A INPUT -i lo -j ACCEPT 
-A INPUT -i pptp+ -j ACCEPT 
-A INPUT -i tun+ -j ACCEPT 
-A INPUT -i eth1 -j ACCEPT 
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 0 -j ACCEPT 
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 3 -j ACCEPT 
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT 
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 11 -j ACCEPT 
-A INPUT -i eth0 -p udp -m udp --sport 67 --dport 68 -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --sport 67 --dport 68 -j ACCEPT 
-A INPUT -d 192.168.2.47 -p tcp -m tcp --dport 20 -j ACCEPT 
-A INPUT -d 192.168.2.47 -p tcp -m tcp --dport 21 -j ACCEPT 
-A INPUT -d 192.168.2.47 -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -d 192.168.2.47 -p tcp -m tcp --dport 143 -j ACCEPT 
-A INPUT -d 192.168.2.47 -p udp -m udp --dport 1194 -j ACCEPT 
-A INPUT -d 192.168.2.47 -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -d 192.168.2.47 -p tcp -m tcp --dport 81 -j ACCEPT 
-A INPUT -d 192.168.2.47 -p tcp -m tcp --dport 83 -j ACCEPT 
-A INPUT -d 192.168.2.47 -p tcp -m tcp --dport 25 -j ACCEPT 
-A INPUT -d 192.168.2.47 -p tcp -m tcp --dport 1922 -j ACCEPT 
-A INPUT -d 192.168.2.47 -p tcp -m tcp --dport 1875 -j ACCEPT 
-A INPUT -i eth0 -p udp -m udp --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i eth0 -p tcp -m tcp --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -d 192.168.4.230 -o eth1 -p tcp -m tcp --dport 3389 -j ACCEPT 
-A FORWARD -s 192.168.4.0/255.255.255.0 -p tcp -m tcp --dport 1214 -j DROP 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -i eth1 -j ACCEPT 
-A FORWARD -i pptp+ -j ACCEPT 
-A FORWARD -i tun+ -j ACCEPT 
-A OUTPUT -d 192.168.1.12 -o eth0 -j ACCEPT 
-A OUTPUT -o lo -j ACCEPT 
-A OUTPUT -o pptp+ -j ACCEPT 
-A OUTPUT -o tun+ -j ACCEPT 
-A OUTPUT -o eth1 -j ACCEPT 
-A OUTPUT -o eth0 -p icmp -j ACCEPT 
-A OUTPUT -o eth0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT 
-A OUTPUT -o eth0 -p tcp -m tcp --sport 68 --dport 67 -j ACCEPT 
-A OUTPUT -s 192.168.2.47 -o eth0 -p tcp -m tcp --sport 20 -j ACCEPT 
-A OUTPUT -s 192.168.2.47 -o eth0 -p tcp -m tcp --sport 21 -j ACCEPT 
-A OUTPUT -s 192.168.2.47 -o eth0 -p tcp -m tcp --sport 80 -j ACCEPT 
-A OUTPUT -s 192.168.2.47 -o eth0 -p tcp -m tcp --sport 143 -j ACCEPT 
-A OUTPUT -s 192.168.2.47 -o eth0 -p udp -m udp --sport 1194 -j ACCEPT 
-A OUTPUT -s 192.168.2.47 -o eth0 -p tcp -m tcp --sport 22 -j ACCEPT 
-A OUTPUT -s 192.168.2.47 -o eth0 -p tcp -m tcp --sport 81 -j ACCEPT 
-A OUTPUT -s 192.168.2.47 -o eth0 -p tcp -m tcp --sport 83 -j ACCEPT 
-A OUTPUT -s 192.168.2.47 -o eth0 -p tcp -m tcp --sport 25 -j ACCEPT 
-A OUTPUT -s 192.168.2.47 -o eth0 -p tcp -m tcp --sport 1922 -j ACCEPT 
-A OUTPUT -s 192.168.2.47 -o eth0 -p tcp -m tcp --sport 1875 -j ACCEPT 
-A OUTPUT -o eth0 -j ACCEPT 
-A drop-lan -j DROP 
COMMIT

 

winhex ()