openvpn ограничение подключений для одноо пользователя
Форум — Admin
Есть openvpn server часть конфига
duplicate-cn
username-as-common-name
auth-user-pass-ferify /path/to/script/ via-env это duplicate-cn
username-as-common-name Есть openvpn server часть конфига
duplicate-cn
username-as-common-name
auth-user-pass-ferify /path/to/script/ via-env это duplicate-cn
username-as-common-name Есть статья по моделирование различных видов нат https://wiki.asterisk.org/wiki/display/TOP/NAT+Traversal+Testing
LAN eth0 172.16.0.1/24 подключен клиент с адресом 172.16.0.2/24 WAN eth1 46.148.11.12 (пример)
Simulating the various kinds of NATs can be done using Linux iptables. In these examples, eth0 is the private network and eth1 is the public network.
Full-cone
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source <public ip goes here> iptables -t nat -A PREROUTING -i eth0 -j DNAT --to-destination <private ip goes here>
Restricted cone
iptables -t nat POSTROUTING -o eth1 -p tcp -j SNAT --to-source <public ip goes here> iptables -t nat POSTROUTING -o eth1 -p udp -j SNAT --to-source <public ip goes here> iptables -t nat PREROUTING -i eth1 -p tcp -j DNAT --to-destination <private ip goes here> iptables -t nat PREROUTING -i eth1 -p udp -j DNAT --to-destination <private ip goes here> iptables -A INPUT -i eth1 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth1 -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth1 -p tcp -m state --state NEW -j DROP iptables -A INPUT -i eth1 -p udp -m state --state NEW -j DROP
Port-restricted cone
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source <public ip goes here>
Symmentric
echo «1» > /proc/sys/net/ipv4/ip_forward iptables --flush iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE --random iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
примеры не рабочие. В итоге получилось при:
Full-cone идут только пинги в мир, tcp&udp трафик не идет
Restricted cone Port-restricted cone Symmentric Вопрос: есть ли рабочие примеры, как сделать тестовый стенд с различными видами NAT?
Спасибо за помощь.
Суть вопроса в следующем, нужно открыть порт ТСП, с помощью TURN/STUN/ICE, то есть должна быть модель клиент сервер. полно статей типа http://habrahabr.ru/company/toptechphoto/blog/203306/ но что куда писать и как открыть порт у клиента за натом не понятно, подскажите с реализацией.
ообщения в dmesg
Unaligned AIO/DIO on inode 4326977 by AioMgr0-N; performance will be poor.
Суть проблемы такая, что данные при скачивании файла, записать в файл, то есть меня интересует скорость скачивания. Мне надо кажый час по крону запускать проверку скорости и записывать в файл время и скорость, как записывать скорость я не могу понять, есть идеи?
root@host:~# curl -LO http://nd.st.amhost.net/4m.test.bin
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 4096k 100 4096k 0 0 4126k 0 --:--:-- --:--:-- --:--:-- 4311k
root@host:~# curl -LO http://nd.st.amhost.net/4m.test.bin
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 4096k 100 4096k 0 0 3879k 0 0:00:01 0:00:01 --:--:-- 4380k
==============================================================================================================================
root@host:~# wget -O /dev/null http://nd.st.amhost.net/4m.test.bin
--2015-03-18 15:02:48-- http://nd.st.amhost.net/4m.test.bin
Resolving nd.st.amhost.net (nd.st.amhost.net)... 46.165.193.9
Connecting to nd.st.amhost.net (nd.st.amhost.net)|46.165.193.9|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 4194304 (4.0M) [application/octet-stream]
Saving to: `/dev/null'
100%[========================================================================================================================================================================>] 4,194,304 4.48M/s in 0.9s
2015-03-18 15:02:49 (4.48 MB/s) - `/dev/null' saved [4194304/4194304]
root@host:~#как с этим бороться?
This IP is infected with, or is NATting for a machine infected with s_kovter
Note: If you wish to look up this bot name via the web, remove the "s_" before you do your search.
This was detected by observing this IP attempting to make contact to a s_kovter Command and Control server, with contents unique to s_kovter C&C command protocols.
This was detected by a TCP/IP connection from 1.1.1.1 on port 62391 going to IP address 192.42.116.41 (the sinkhole) on port 80.
The botnet command and control domain for this connection was "bestbuy9a.biz".
Подскажите, с помощью чего можно настроить отказоустойчивость из двух серверов в разных ДЦ, например НЛ и США? можно ссылки и примеры? Heartbeat, BGP, DNS что будет и как лучше?
вывод команды
ls -lah
drwxr-xr-x 2 postfix postfix 4,0K Дек 1 2012 postfix
drwxrwxrwx 2 root root 1016M Янв 6 16:45 pp5
drwxr-xr-x 2 root root 4,0K Мар 31 2014 pycentral
перепробовал кучу способов http://serverfault.com/questions/183821/rm-on-a-directory-with-millions-of-files
http://superuser.com/questions/680119/deleting-millions-of-files
http://www.slashroot.in/which-is-the-fastest-method-to-delete-files-in-linux
и не чего не помогает, более 24 часов уже не могу удалить хоть один файл из директории pp5 Может у кого то есть опыт? mkfs не предлагать...
создаю screen -AdmS pg 'ping 8.8.8.8' и через минуту получаю такую же копию в screen -ls и так каждую минуту добавляется сессия screen. в чем причина?
Создаю туннель на выделенном сервере Debian 7.7 x64
root@debian:~# strace -e open -f sshpass -p guest ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null guest@11.11.11.11 -C -N -D 127.0.0.1:22220 -f
вывод обрезан
[pid 10451] open("/dev/tty", O_RDWR) = 4
[pid 10451] open("/dev/tty", O_RDWR) = 4
debug1: Enabling compression at level 6.
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to 11.11.11.11 ([11.11.11.11:22).
debug1: Local connections to 127.0.0.1:22220 forwarded to remote address socks:0
debug1: Local forwarding listening on 127.0.0.1 port 22220.
debug1: channel 0: new [port listener]
debug1: Entering interactive session.
^CProcess 10451 detached
root@debian:~# debug1: channel 0: free: port listener, nchannels 1
debug1: Killed by signal 1.
^Cсоздаю туннель на debian 7.7 x64 (тот же образ) установлен на virtualbox или qemu
получаю ошибку
root@debian:~# strace -e open -f sshpass -p guest ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null guest@11.11.11.11 -C -N -D 127.0.0.1:22220 -f
Warning: Permanently added '11.11.11.11' (RSA) to the list of known hosts.
[pid 10454] open("/dev/tty", O_RDWR) = 4
[pid 10454] open("/dev/tty", O_RDWR) = 4
Process 10455 attached
Process 10454 detached
[pid 10453] --- SIGCHLD (Child exited) @ 0 (0) ---
--- SIGHUP (Hangup) @ 0 (0) ---
Process 10455 detached
root@debian:~# если создавать туннель в режиме -v verbose то все впорядке, но надо в режиме -f fork_after_authentication
почему на виртуальных машинах не работает - я не понимаю.
есть сорс по адресу https://github.com/OpenVPN/openvpn Скачал, распаковал, далее по инструкции
configure.ac -- script to rebuild our configure
script and makefile.
root@jessie:~/openvpn-master# ./configure.ac
bash: warning: setlocale: LC_ALL: cannot change locale (ru_RU.UTF-8)
./configure.ac: line 1: dnl: command not found
./configure.ac: line 2: dnl: command not found
./configure.ac: line 3: dnl: command not found
./configure.ac: line 4: dnl: command not found
./configure.ac: line 5: dnl: command not found
./configure.ac: line 6: dnl: command not found
./configure.ac: line 7: syntax error near unexpected token `('
./configure.ac: line 7: `dnl Copyright (C) 2002-2010 OpenVPN Technologies, Inc. <sales@openvpn.net>'
что за dnl? как собрать опенвпн без configure?
cat /proc/version
Linux version 3.16.5-gentoo (root@localhost) (gcc version 4.7.3 (Gentoo 4.7.3-r1 p1.4, pie-0.5.5) ) #1 SMP Sun Nov 16 19:27:07 EET 2014
что это за проблема?
[ 358.455066] traps: notification-da[2693] trap int3 ip:7f8e314857be sp:7fff0810b250 error:0
[ 359.048430] traps: notification-da[2923] trap int3 ip:7ff3eae097be sp:7fffe0bad090 error:0
[ 359.481880] traps: notification-da[2927] trap int3 ip:7fca4ccb87be sp:7fff32d75a50 error:0
[ 359.879317] traps: notification-da[2931] trap int3 ip:7f7e345267be sp:7fffe27aa6d0 error:0
[ 360.247051] traps: notification-da[2935] trap int3 ip:7f985df937be sp:7fff0fdfd930 error:0
[ 360.568951] traps: notification-da[2939] trap int3 ip:7f378b7337be sp:7fffa566be70 error:0
[ 361.038594] traps: notification-da[2943] trap int3 ip:7f2428e007be sp:7fff187b6560 error:0
[ 361.408446] traps: notification-da[2947] trap int3 ip:7f4c43e917be sp:7fff5ce43f10 error:0
[ 361.717018] traps: notification-da[2951] trap int3 ip:7f29346407be sp:7ffff6124de0 error:0
[ 361.975221] traps: notification-da[2955] trap int3 ip:7f0aef6ef7be sp:7fff99298fb0 error:0
[ 363.470424] do_trap: 3 callbacks suppressed
[ 363.470429] traps: notification-da[2971] trap int3 ip:7f7c840bd7be sp:7fff3aa7e6d0 error:0
[ 363.749622] traps: notification-da[2975] trap int3 ip:7f064f4a37be sp:7ffff59b92c0 error:0
[ 364.274435] traps: notification-da[2979] trap int3 ip:7f311cb727be sp:7fffb6907560 error:0
[ 364.599085] traps: notification-da[2983] trap int3 ip:7f978a5447be sp:7fff1ae1e400 error:0
[ 364.936959] traps: notification-da[2987] trap int3 ip:7fbdfbded7be sp:7fffe71c1a70 error:0
[ 365.357201] traps: notification-da[2991] trap int3 ip:7f61912fd7be sp:7fffd1959ee0 error:0
[ 365.651917] traps: notification-da[2995] trap int3 ip:7f67c79637be sp:7fff89a55bd0 error:0
[ 365.896748] traps: notification-da[2999] trap int3 ip:7f706132d7be sp:7fffee43aed0 error:0
[ 366.429506] traps: notification-da[3003] trap int3 ip:7fd24ced77be sp:7fff25578df0 error:0
[ 366.749886] traps: notification-da[3007] trap int3 ip:7f2eebf307be sp:7fff0f3e7160 error:0
При генерации сертификатов openssl работает одно ядро процессора, можно как то включить в openssl при генерацию сертификатов все ядра процессора? Получается мощный сервер 8миядерный генерирует сертификаты по скорости как селерон.
можно пример с этой командой
openssl dhparam -out dh8192.pem 8192сделал такие настройки /etc/rsyslog.conf
kern.warning /var/log/iptables.log
*.info;kern.!warning;mail.none;authpriv.none;cron.none /var/log/messages
Что нет так сделано?
Как экранировать одинарные кавычки в bash? мне надо sudo «sed -i '1!d' path» передать по ssh в этом виде через bash скипрт, но обратный слэшь не экранирует символ одинарных кавычек
Есть дебиан сервер, на нем bind9 Можно так сделать чтобы запросы, приходящие от разных клиентов, обрабатывались так чтобы отдавать разные днс сервера? например запрос пришел из 188.199.10.25 ему отдать днс гугла 8.8.8.8 запрос пришел из 190.23.11.23 ему отдавать днс другой и так далее
Такая ситуация, при подключении к опенвпн, меняются маршруты, и при отключении от впнсервера маршруты меняются назад, так вот, можно отключить возврат назад маршрутов при отключении от сервера впн?
Подскажите, каким образом блокировать торренты клиентов за натом? ipp2p сделать не получается, у меня Debian wheezy.
Всем привет, есть машина на Debian, из локалки бывают случаи сканирование портов (22,3389) в «мир», можно как то настроить чтобы избежать сканирования портов в «мир»?
Есть два сервера, к примеру внешний ip первого serv1 1.1.1.1 и внешний ip второго serv2 2.2.2.2 Далее,
serv1:
eth0 -1.1.1.1
tap1 - 192.168.1.1/24
tap1:1 - 192.168.1.101/24
tun0 10.1.0.1
serv2:
eth0 - 2.2.2.2
tap1 192.168.1.2/24
serv1 и serv2 подключены между собой через впн по tap интерфесу. друг друга пингуют по адресам на tap* Задача в том, чтобы когда пользователь опенвпн получает адрес 10.0.10.2, его через iproute2 перебрасываю на serv2 через адрес 192.168.1.2, и на serv2 вижу трафик от адреса 192.168.1.1 (то есть от serv1, адрес пользователя опенвпн 10.1.0.2 не передается на serv2) задача в том чтобы пользователей опенвпн из сети 10.1.0.0/16 направлять на tap1 tap1:1 сервера serv1, чтобы их можно было идентифицировать на serv2, такое возможно?
| следующие → |