FreeBSD 9.2 и «хитрый NAT» в PF

Итак, стоит задача пробросить пакеты «с мира» внутрь сети, да еще и «отнатить» их на внутреннем интерфейсе. Для визуализации задачи вот такая схемка:

Host_A (IP 91.91.91.91) -> Host_B (WAN_IP 15.15.15.15 -> LAN_IP 192.168.100.100) -> Host_C (LAN_Router) -> Host_D (IP 172.15.99.99)

Это все довольно просто делается на FreeBSD в PF, если на out политик нету, то достаточно трех правил:

INET_IF = "em0"
INET_LOCAL = "em1"
BACULA_SD = "172.15.99.99"

rdr on $INET_IF proto tcp from 91.91.91.91 to $INET_IF port 9103 -> $BACULA_SD port 9103
nat on $INET_LOCAL from 91.91.91.91 to $BACULA_SD -> $INET_LOCAL
pass in quick log on $INET_IF inet proto tcp from 91.91.91.91 to any port 9103 flags S/SA keep state

Правда провозился я долго, оказалось что тупо забыл включить ip-forwarding 🙂 Читать полностью

BMW E21 — Kamei Front Spoiler

Итак, авто у меня еще нету, а вот ништяками потихоньку «обростаю». Случайно попалась на глаза вот такая замечательная штучка — абсолютно новый Kamei Front Spoiler (Art.-Nr. 4 4219), не удержался от покупки 🙂 Вчера доставили в Украину из Германии, встречаем:
BMW E21 - Kamei Front Spoiler
BMW E21 - Kamei Front Spoiler
Читать полностью

Harman/Kardon PM665 — Профилактика кнопок и регуляторов

Владельцам Harman/Kardon PM665 и PM665 Vxi посвящается! Те кто пользуется данными усилителями знают — периодически вылазят «старческие болячки» в виде «шуршания» многочисленных кнопочек и резисторов громкости/темброблока. В оправдание Harman-а как бренда скажу, что к сожалению, эта болячка рано или поздно вылазит в винтажной технике любых производителей. Решить эту проблему можно несколькими способами, например, заменить все старые кнопки новыми или проще — обработать старые кнопочки специальной жидкостью для чистки контактов — Kontakt 60. Я выбрал второй вариант, как более простой, если вам тоже неохота искать замену оригинальным деталям и перепаивать их — читайте дальше! Читать полностью

FreeBSD — Настройка Nginx + PHP-FPM в chroot

Давно у меня в голове засела идея избавиться от apache2 на своих серверах. Зачем нужен этот древний тяжеленный мамонт? Ради модуля php? Ну так все хостинги давно уже обкатали режим php-fpm -это когда специфически собранный PHP работает сам по себе как сервис для компиляции php файликов. Стабильность и функциональность данного варианта работы PHP отличная! Остается статика, всякие картинки, стили, java-скрипты …. тут среди попсовых решений Nginx впереди планеты всей! Таким образом получаем простенькую систему из PHP-FPM + Nginx способную заменить Apache2 + mod_php + PHP. К тому же для большей безопасности и гибкости в настройке PHP-FPM поддерживает pools — это значит что PHP под каждый отдельный web-ресурс можно сконфигурить отдельно, к примеру сайту #1 дать 64MB RAM, а сайту #5 — 2048MB и тд, а любые превышения лимитов одним пулом не будут влиять на работу других. Для большей безопасности каждый пул можно разместить в его личном chroot-окружении, что на уровне FS изолирует все пулы друг от друга. Сладко??? Тогда в бой!
Установка PHP с флагом FPM:
Устанавливаем порт /usr/ports/lang/php5 с опцией PHP-FPM. При необходимости устанавливаем /usr/ports/lang/php5-extensions
Установка nginx:
Также из портов устанавливаем nginx, у меня он собран с такими опциями:

HTTP=on: Enable HTTP module
HTTP_ADDITION=on: Enable http_addition module
HTTP_CACHE=on: Enable http_cache module
HTTP_GZIP_STATIC=on: Enable http_gzip_static module
HTTP_GUNZIP_FILTER=on: Enable http_gunzip_filter module
HTTP_IMAGE_FILTER=on: Enable http_image_filter module
HTTP_PERL=on: Enable http_perl module
HTTP_REALIP=on: Enable http_realip module
HTTP_REWRITE=on: Enable http_rewrite module
HTTP_STATUS=on: Enable http_stub_status module
WWW=on: Enable html sample files

Читать полностью

Ubuntu 14.04 — Iptables TARPIT

Опять линукс … возвращение на родину после бздьовых годков 🙂 После ipfw и pf в FreeBSD/OpenBSD линуховый iptables вызывает рвотные рефлексы 🙁 Но есть одна фишка которую я просто обожаю в iptables — TARPIT. Это «ложка дегтя» для всяких какеров и прочей нечести блуждающей в инете в поисках чего бы побрутфорсить 🙂 Не успел поднять ProFTPD как поломились китайские боты подбирать пароли 🙂 Ну ничего, пока их немного — скормлю ручками их TARPIT-у … пусть развлекаются! Можно конечно и DROP применять, но TARPIT с одной стороны блочит трафик напрочь, как DROP, а с другой не рвет TCP сессию … а какбы «специально держит ее», чтобы атакующий не мог закрыть соединение. Таким образом тратятся ресурсы как сервера (они тратятся и при DROP), так и бота. Думаю если бы мы жили в идеальном мире и все Linux сервера применяли вместо DROP TARPIT — ботам пришлось бы ой как тяжко 🙂 Но …. мир не идеален — но мы к таковому стремимся!
Читать полностью

Joomla — Сброс пароля админа «по быстрому»!

Есть сайт на Joomla, доступ к ней забыт 150 лет назад, вот попросили в нем покопаться, обновить и проверить все ли в порядке 🙂 Туманная задача, но для начала надо бы хоть в админку попасть. Это оказалось не так сложно, имея доступ к SQL базе, можно вот такими двумя командами sql получить админский доступ в консоль Joomla:

mysql> INSERT INTO `pref_users` (`name`, `username`, `password`, `params`) VALUES ('Administrator2', 'newadmin', 'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '');
Query OK, 1 ROW affected (0.00 sec)

mysql> INSERT INTO `pref_user_usergroup_map` (`user_id`,`group_id`) VALUES (LAST_INSERT_ID(),'8');
Query OK, 1 ROW affected (0.00 sec)

mysql> quit

Теперь у нас в Joomla появился пользователь newadmin с паролем secret.
Читать полностью

Ubuntu 14.04 — Установка Apache-ITK и «dependency problems — leaving unconfigured»

Ностальгия по бубунте …. Начинал я свою Open Source жизнь именно из Ubuntu. Помню очень хорошо что товарищ поделился оригинальным установочным диском (когдато их бесплатно рассылали почтой) Ubuntu 6.06 Dapper Drake. Учитывая что Linux я видел на тот момент только изредка на работе изза спины нашего админа, я неслабо загордился тем фактом что установить убунту смог самостоятельно … хоть и со второго раза 🙂 Мой выбор первого дистрибутива был весьма обдуманный и сознательный. Позитива прибавляло то что бубунту юзали админы на работе — могли чтото подсказать и подсказывали 🙂 Иногда даже по ssh подрубались на мой домашний комп чтобы помочь поставить Video Drivers — ох уж этот Radeon! Так вот я начал с 6.06, а дальше пошло-поехало …. Весь путь по OpenSource можно показать более визуально:
Читать полностью

Ubuntu 14.04 — Downgrade PHP to 5.2 version

Столкнулся на работе с переносом древнего проекта написанного на PHP 5.2 Пробовал запустить его на свежем пыхе — не получилось. Пообщавшись с разработчиком выяснил что взлетит только на PHP 5.2 Особо вникать не стал … надо так надо! Хостер предоставил чистенькую виртуалочку с Ubuntu 14.04 Вот так пришлось извернуться чтобы на свеженькую убунту поставить пых закостенелой версии. Читать полностью

BMW E21 — Оригинальные каталоги

На просторах интернета много закромов и уголков в которые попадаешь случайно в поисках какойто одной ерунды, а находишь другую 🙂 Вот случайно удалось выискать некие каталоги BMW E21. Насколько я понимаю — это рекламные проспекты, которые выдавали в продажные представительства как рекламное чтиво для скучающих клиентов. Тем не менее поглазеть на красивые фото узлов и агрегатов и концепции дизайна авто в задуманном разработчиками виде весьма интересно. Вот спешу поделиться:

BMW E21 — Limited Edition S, E

BMW E21 - Limited Edition E S

Описание дополнительного оснащения нескольких вариантов ограниченных серий S и E.
Формат документа: отсканенные JPG
Количество страниц: 8
Формат архива: zip
Размер архива: 1 MB
Скачать!

Читать полностью

Proftpd Bruteforce — Достойный ответ для подбирателей паролей

Бредовое вступление.
Давно я чтото не делился с вами своими простенькими поделиями на bash. Не от того что перестал их писать, просто лень описывать 🙂 Но вот чтото захотелось …. Ловите!

Последнее время розвелось много ботов-подбирателей паролей ко всему чему угодно. Рано или поздно это надоедает! Да и ничего хорошего от ботов ждать не приходится, только создают никому ненужную сетевую активность, засоряют логи и грузят сервис непотребными действиями. Решил дать достойный отпор, ибо задолбало!
Потихоньку-неспеша накропал такой вот скриптец, который брутфорсеров отправляет в некую таблицу фаервола, где им имитируется 99% потерь в канале 🙂
Читать полностью