Я рекомендую — Настройка шлюза с помощью FireHOL

FireHOL это мощный построитель конфигураций iptables, невероятно гибкий и простой в использовании.

Пример как быстро и легко настроить шлюз.

Есть вопрос! — Финт для iptables.

Здравствуйте. Совершенно точно уверен, что iptables умеет делать вот что:
я стучусь телнетом на порт, например, 5985, после чего на N минут открывается другой порт (22, например), причём открывается именно для адреса, с которого я постучался на 5985. Как делать/что гуглить?

Скрипты на bash — Linux + 2 ISP

Эта тема неоднократно обсасывалась на куче форумов, но всё же.
Часто бывает такая ситуация, что на работе есть два канала - основной и резервный. Основной всем хорош - и широкий, и стабильный, и как вообще. Но и второй канал тоже неплох и обидно, что пользуется только в экстренных случаях.

Есть проблема! — Не могу подружить комп с роутером

Привет всем.

Проблема у меня такая:

Комп подключен к интернету через 3g модем,
роутер подключен к компу по локальной сети и должен пользоваться интернетом с модема.

Не могу заставить роутер пользоваться интернетом компа.

Есть вопрос! — [РЕШЕНО] - conntrack не обрывает tcp соединения

Из FAQ
Can I use conntrack to "cut" established TCP connections?

In short, yes.

РЕШЕНИЕ: волшебное слово - это "ctstate INVALID"

How-to`s — Раздавалка интернета

Появилась задача раздавать сеть, принимаемую через 2 интерфейса (в данном случае eth0 и ppp0) и раздавать на другой (wlan0), а так же потребовалась работа клиентской части dc++,icq,jabber и ftp с сети wlan0

Решение оказалось очень простым, для красноглазого фаната =)

Есть проблема! — Точка доступа после рестарта

Доброе время суток,

настроил точку доступа wifi согласно этой статье. Все работало.

После рестарта точка хоть и видна, к ней можно подключиться, но инет она не шарит.

OS Archlinux

# cat /proc/sys/net/ipv4/ip_forward
1
# cat /etc/conf.d/iptables


Пробовал получать адрес для br0
# dhcpcd br0
Результата не дало.

Прошу помочь разобраться.


Заранее спасибо!

Linux Network Administration — TARPIT без patch-o-matic

Нередко приходится видеть в логах брутфорс ssh или ftp или не менее назойливый скан httpd-директории. Иногда атаки совершаются не только с внешних адресов, но и с хостов с домашней локальной сети, где куча виндовых пользователей, подхвативших вирусы.

Есть масса способов защититься от этого, и я использую fail2ban. В сравнении с аналогичными программами он обладает более широкой функциональностью и гибкостью — позволяет использовать регексы для нестандартных сервисов и менять правила блокировки. Но хочется не просто защитить свой сервер от атак, а еще и слегка проучить атакующего.

Стандартными средствами iptables этого не сделать, но в расширенном варианте patch-o-matic, патче для ядра linux, есть цель TARPIT, позволяющая создать «ловушку» для нежелательных tcp-соединений.

Есть вопрос! — Объединение двух сетей

Дано:

GW1:
INET(*.*.*.*)
LAN1(192.168.0.0/24)
LAN2(172.0.0.0/16)

GW2:
LAN2(172.0.10.0/16)
LAN1(192.168.10.0/24)

Linux Network Administration — Механизм PMTUD

Долго думал, какой блог выбрать, сначала склонялся к "Пятиминутке ненависти", но "Linux Network Administration" победил.

Вообще, написать об этой не очевидной сетевой проблеме, проявляющейся по-разному, но имеющей один корень, меня побудил один интересный случай.

Совсем недавно одному удаленному бухгалтеру понадобилось подключаться по RDP к нашему терминальному серверу для работы с 1C. Виндовый админ выделил нужные права, завел учетку, с моей стороны тоже проблем нет: IP клиента статический, а RDP использует TCP порт 3389, который сразу и был проброшен на терминальный сервер:

1 2	iptables -t nat -A PREROUTING -p tcp -s $ext_term_access -d $INET_IP --dport 3389 -j DNAT --to-destination $SRV1C iptables -A FORWARD -p TCP -s $ext_term_access --dport 3389 -d $SRV1C -j ACCEPT

Проверили конфигурацию с внешнего компьютера, успешно соединились, клиенту сразу был дан ответ «Готово, подключайтесь». Ко всеобщему удивлению клиент не смог соединиться, с его стороны соединение «зависало», не выдавая ошибок.