Поправьте если не прав

[fisher74]

потому как ваши вапросы мне не понятны при чём тут весь скрипт итаблеса?

Угадайте, как будет влиять дропирование пакетов при такой последовательности правил

-A INPUT -s 192.168.0.0/16 ! -d 192.168.0.0/16 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -d 192.168.1.0/24 -j DROP

конкретно ошибка ip_tables: TARPIT target: invalid size 0 != 8 раньше иё не было был ли у вас такой случай? если нет говарите честно тип "извини друг не знаю у меня такого не было"

В решении проблем нужно быть всегда последовательным.
К тому же ошибка выходит когда? на какую команду? Мой уровень в телепатии далёк от 80-ого.
Судя по всему, Вы используете ядерный модуль TARPIT, собранный не для этого ядра, либо используете его неправильно
попосил бы показать

Код: [Выделить]

sudo iptables-save | grep TARPITно Вы же будете сомневаться в необходимости этого, сетовать и задавать новые вопросы

да и PS
геоайпи амно не верьте всё это чушь

Это Вы к чему???

[remonik]

при рестарте всего скрипа иптаблеса выходит вышеозначенная ошибка (я кажется говарил уже что при рестарте) ране иё не было, по поводу геоайпи geoip модуль xtables за него говарю амно полное в общем не верьте просто предупреждаю так на всякий... правила дропа такие (в общем то стандартные)
iptables -A INPUT -s IP1,IP2,IP3 -j DROP

[fisher74]

Вот Вы опять...
Я Вас прошу одно, Вы показываете другое.
Зачем Вы тогда вопросы задаёте, если сами с собой общаетесь? Тогда уж решите проблему и после этого пишите мемуары.

[remonik]

вы меня просите светануть своим скриптом (который крутится на карпаротивном веб-сервер) на весь рунет? хм а если не показал то "да пошёл ты! сам разбирайся! напишешь мемуары дай знать " я паказал вам строки которые непосредственно относятся к проблемме в общем понятно с вами дорогой "коллега" социальная инженерия цветёт и процветает
из цепочек иптаблеса можно его проанализировать изходя из полученной инфы задать параметры в нмапе довольно быстро найти хост и либо подвесить его (что в принципе глупо) куда луче попытаться взять над ним контроль дабы в последующем можно было бы использовать допустим как один из серверов рассылки спама ну и или там не знаю чего ещё
знаю знаю ваш ответ заранее "вы идиот!, во фантаст-писатель!, да тебе бы сказки писать и или детективные романы по киберпанку!"
старые одмины меня поймут когда показ своих конфигов был равносилен показу сваго исподнего

[fisher74]

Вы, как "старый админ" ответьте на мой вопрос, который я Вам задал чуть выше, дабы дать Вам понять, зачем мне нужны все правила цепочки INPUT

Угадайте, как будет влиять дропирование пакетов при такой последовательности правил

-A INPUT -s 192.168.0.0/16 ! -d 192.168.0.0/16 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -d 192.168.1.0/24 -j DROP

Я Вас не прошу светить адреса. Никто Вам не мешает внешний адрес заменить на 1.2.3.4. К тому же Ваш корпоративный (кстати, подучите русский язык) сервер мне отродясь не нужен, мне своих за уши хватает.

И, кстати, самокритика у Вас, привлекая изощрённую фантазию, слишком разыгралась. Успокаивайте её.

[remonik]

коллега бох с ним проехали уже я же попросил просянить другой вапрос по поводу rsyslog возникали ли у вас такие ситуации?

[fisher74]

Хорошо. Буду отвечать по Вашим правилам: Нет, такие ситуации не возникали.
Потому как в моём конфиге ротации rsyslog строка переинициализации выглядит так

$ grep reload /etc/logrotate.d/rsyslog
                reload rsyslog >/dev/null 2>&1 || true

[remonik]

хитрите социнженерия дала сбой? я веть про айпи даже не заикался если чё я сказал что проанализировав скрипт иптаблеса можно установить параметры фильтра иптаблеса затем основываясь на этих параметрах задать кретерии поиска хоста и сервера соответственно канечно же это гемор при чём хороший такой гемор но... но это и хороший хлебушек
вы хотите чтобы я показал вам весь скрипт но я вас даже не знаю
скопипащю слова главгероя одного из моих любимых фильмов "Тебе что не говарили!? На первом свидании без языка!"
Гильермо дель Торро "Хелбой"
без обид но я действительно вас не знаю спасибо за рсислог просто у меня по умалачанию стояло так
invoke-rc.d rsyslog reload > /dev/null и всё работало но потом почему перестало именно вестить запись в новосозданный файл
ещё раз спасибо за помощь

[fisher74]

хитрите социнженерия дала сбой? я веть про айпи даже не заикался если чё я сказал что проанализировав скрипт иптаблеса можно установить параметры фильтра иптаблеса затем основываясь на этих параметрах задать кретерии поиска хоста и сервера соответственно канечно же это гемор при чём хороший такой гемор но... но это и хороший хлебушек
вы хотите чтобы я показал вам весь скрипт но я вас даже не знаю

Знание параметров "фильтра айпитаблеса" без знания точек соприкосновения с внешней сетью сложно в употреблении.
А если Вас закажут - то сломают без этих данных, я Вас уверяю. Тем более с Вашими знаниями в области построения firewall на основе iptables (без обид) боюсь, что защита выстроена не максимально возможно.
К тому же есть практические случаи открытия ворот с помощью "потерянных" Cd-дисков/флешек и др. в туалетах нужной компании. Закройте туалеты... и в корридоры никого не выпускайте

Параноя должна быть в пределах разумного.

Я Вас тоже не знаю.
Вы просили помощи, я Вам пытался помочь. Но, извините, без анализов даже профессора медицины не лечат.

[remonik]

я и сказал спасибо
ещё раз спасибо Вам коллега

[remonik]

в общем разобрался от чего у меня такая байда происходила ip_tables: TARPIT target: invalid size 0 != 8
всё просто на самом деле я до xtabless поставил ipset при установке xtabless не удалился пакет то есть он остался в ядре netfilter-extensions-modules-2.6.26-2-amd64 происходила конфузея ну в общем всё в поряде все цели пашут иптаблес более не матюгается
спасибо всем и да прибудет с вами сила и всё такое