Re: redirezione della porta 80
Il 04/10/21 19:38, Matteo Bini ha scritto:
Ciao Piviul.
Io utilizzerei nftables [1] e farei così.
Aggiungerei le seguenti righe al file di configurazione di nftables
(/etc/nftables.conf):
table inet nat {
chain prerouting {
type nat hook prerouting priority 0;
}
}
Dopodiché scriverei uno script bash di questo tipo:
nft -f /etc/nftables.conf
nft add rule inet nat prerouting tcp dport 80 dnat ip to $IP
Scegli tu come valorizzare la variabile IP. Questo script è per IPv4.
In questo modo, quando viene eseguito lo script, nftables cancella tutte le
regole in memoria e le va a ripescare dal file di configurazione, poi aggiunge
la regola che interessa a te, ovvero il reindirizzamento di tutti i pacchetti
per la porta 80 a un certo IP.
Sulla wiki di nftables ho trovato un esempio simile a quello che ti serve [2].
Saluti.
--
Matteo Bini
[1] https://wiki.nftables.org/
[2]
https://wiki.nftables.org/wiki-nftables/index.php/Performing_Network_Address_Translation_(NAT)#Destination_NAT
grazie Matteo, sono riuscito anche se non dovrebbe nattare. Ho
installato firewalld come consigliato da debian e utilizzato
firewall-cmd per impostare le regole, veramente molto semplice:
firewall-cmd
--remove-forward-port=port=80:proto=tcp:toport=80:toaddr=$IP_OLD
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=80:toaddr=$IP_NEW
dove IP_OLD lo prendo andando a leggere il risultato di firewall-cmd
--list-forward-ports:
# firewall-cmd --list-forward-ports | sed
's/^port=80:proto=tcp:toport=80:toaddr=//'
Ciao e grazie!
Piviul
Re: redirezione della porta 80
On Mon, Oct 04, 2021 at 03:12:58PM +0200, Piviul wrote: > Ciao a tutti, sono molto arrugginito in materia anche perché l'ultima volta > che ho avuto necessità analoghe si utilizzava ancora iptables... > > Comunque avrei bisogno di redirezionare tutto il traffico in entrata sulla > porta 80 verso un altro ip, sempre sulla stessa porta. Una volta impostato > come valore di default, da script avrei bisogno di cambiare l'ip di > destinazione ma solo per un breve periodo, poi riportarlo nuovamente al suo > valore di default. > > Qualcuno potrebbe darmi un aiutino? > > Piviul > sudo apt install redir man redir -- Saluton, Marco Ciampa
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il lun 4 ott 2021, 22:04 Mauro ha scritto: > > On 04/10/21 21:37, Davide Prina wrote: > > > > ma file2ban dovrebbe essere sufficiente installarlo > > > non esattamente. Fail2ban si presenta con una sfilza di filtri da paura, > Ciao Davide e Mauro, grazie delle risposte; Mauro ha chiarito i limiti e le difficoltà di fail2ban. Aggiungo per Davide che l'oggetto è la sicurezza di un sistema di videosorveglianza (abbastanza naif e basato sul solo motion); ho previsto l'apertura della porta 22 per l'amministrazione del sistema via SSH, occorre poi aprire le porte per l'uso di motion, una per il webcontrol (un controllo limitato dei parametri di motion) ed una per ogni telecamera. Ovviamente i dati (visualizzazione di un paio di prati) non hanno alcuna importanza e segretezza, sono più che altro un pretesto per farmi approfondire i temi della rete e della sicurezza; l'unica cosa fastidiosa sarebbe l'uso della mia macchina per attività criminose. Riassumo, senza ripetere, le domande che avevo posto: 1) la disabilitazione dell'accesso per password rende SSH ragionevolmente sicuro? 2) l'uso di SSL/TLS rende ragionevolmente sicura la connessione alle porte di pmotion e telecamerep? con "ragionevolmente sicuro" intendo che possa fare a meno di fail2ban. Grazie, ciao, Giuliano PS: ho qualche problema su openssl; mi sa che tornerò all'attacco :-)
R: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Ciao, fail2ban su SSH lo lascerei solo per bloccare chi fa tentativi e quindi, una volta bannato, rifiutare le connessioni da quell’IP senza neanche fare attivare la risposta del daemon SSH. Capisco che implementare fail2ban sul collegamento https potrebbe essere difficoltoso. Però se il log dell’applicativo web che gestisce l’autenticazione è facile da interpretare, una regular expression che becchi il fallimento si può inventare. Pare che Motion abbia implementato i log sul failed logon un po’ di tempo fa: https://github.com/Motion-Project/motion/issues/348 https://github.com/Motion-Project/motion/pull/434 Chiedo scusa se queste cose sono state già dette, mi sono sicuramente perso dei pezzi. Ciao da Lorenzo Da: Giuliano Curti Inviato: martedì 5 ottobre 2021 12:24 A: debian-italian Oggetto: Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder) Il lun 4 ott 2021, 22:04 Mauro mailto:ma...@teppisti.it>> ha scritto: On 04/10/21 21:37, Davide Prina wrote: > > ma file2ban dovrebbe essere sufficiente installarlo non esattamente. Fail2ban si presenta con una sfilza di filtri da paura, Ciao Davide e Mauro, grazie delle risposte; Mauro ha chiarito i limiti e le difficoltà di fail2ban. Aggiungo per Davide che l'oggetto è la sicurezza di un sistema di videosorveglianza (abbastanza naif e basato sul solo motion); ho previsto l'apertura della porta 22 per l'amministrazione del sistema via SSH, occorre poi aprire le porte per l'uso di motion, una per il webcontrol (un controllo limitato dei parametri di motion) ed una per ogni telecamera. Ovviamente i dati (visualizzazione di un paio di prati) non hanno alcuna importanza e segretezza, sono più che altro un pretesto per farmi approfondire i temi della rete e della sicurezza; l'unica cosa fastidiosa sarebbe l'uso della mia macchina per attività criminose. Riassumo, senza ripetere, le domande che avevo posto: 1) la disabilitazione dell'accesso per password rende SSH ragionevolmente sicuro? 2) l'uso di SSL/TLS rende ragionevolmente sicura la connessione alle porte di pmotion e telecamerep? con "ragionevolmente sicuro" intendo che possa fare a meno di fail2ban. Grazie, ciao, Giuliano PS: ho qualche problema su openssl; mi sa che tornerò all'attacco :-)
Re: lv raidintegrity problem
On Mon, Oct 04, 2021 at 09:28:27AM +0200, Piviul wrote: > Ciao a tutti, in un volume logico in raid 1 vorrei attivare la > raidintegrity. Se la attivo però al reboot la partizione non viene trovata > perché il volume non è attivato; per risolvere basta attivare il volume con > lvchange; se rimuovo la raidintegrity tutto torna a funzionare > correttamente... > > qualcuno ha qualche suggerimento? Non usare LVM ma mdadm? Scherzo ma non troppo, attivare il raid in lvm al boot mi pare sfidare la sorte... Comunque se risolvi postalo che mi interessa... -- Saluton, Marco Ciampa
Re: lv raidintegrity problem
Il 05/10/21 13:12, Marco Ciampa ha scritto: On Mon, Oct 04, 2021 at 09:28:27AM +0200, Piviul wrote: Ciao a tutti, in un volume logico in raid 1 vorrei attivare la raidintegrity. Se la attivo però al reboot la partizione non viene trovata perché il volume non è attivato; per risolvere basta attivare il volume con lvchange; se rimuovo la raidintegrity tutto torna a funzionare correttamente... qualcuno ha qualche suggerimento? Non usare LVM ma mdadm? Scherzo ma non troppo, attivare il raid in lvm al boot mi pare sfidare la sorte... non ho provato ancora a mettere la raidintegrity nel LV di root; se non ho capito male però la raidintegrity serve quando in lettura le 2 copie non collimano, una sorta di codice di parità per capire quale delle 2 copie sia quella corretta. Comunque il problema non riguarda il LV di root ma altre partizioni in raid a cui avrei voluto aggiungere la raidintegrity ma se tutte le volte devo renderle attive a manina... strano però no? Poi c'è un altra cosa che non capisco: # lvs -a LV VG Attr LSize Pool Origin Data% Meta% Move Log Cpy%Sync Convert [...] proxmox-store backup-server-vg rwi-aor--- 1.30t 100.00 [proxmox-store_rimage_0] backup-server-vg iwi-aor--- 1.30t [proxmox-store_rimage_1] backup-server-vg iwi-aor--- 1.30t [proxmox-store_rmeta_0] backup-server-vg ewi-aor--- 4.00m [proxmox-store_rmeta_1] backup-server-vg ewi-aor--- 4.00m root backup-server-vg mwi-aom--- 8.00g [root_mlog] 100.00 [root_mimage_0] backup-server-vg iwi-aom--- 8.00g [root_mimage_1] backup-server-vg iwi-aom--- 8.00g [root_mlog] backup-server-vg lwi-aom--- 4.00m perché i 2 volumi logici root e proxmox-store pur essendo entrambi in mirror e generati direi allo stesso modo hanno attributi diversi? bah... Non so, ci penso su un po', quasi apro un bug report a lvm... ma a voi non fa così? se aggiungete la raid integrity ad un volume logico in raid 1 poi riavviando il pc si autoattiva il volume si autoattiva? Piviul
Re: dpkg-reconfigure keyboard-configuration
Il giorno Mon, 4 Oct 2021 21:15:27 +0200 Davide Prina ha scritto: > > > > > service keyboard-setup restart > > immagino che tu stia usando una stable o una testing e quindi hai > systemd > > per riavviare > # systemctl restart NOMESERVIZIO > k debian wiki allora è molto vecchio https://wiki.debian.org/Keyboard c' è service keyboard-setup restart in ogni caso sempre da debian wiki: dopo la modifica con editor e systemctl restart keyboard-setup.service si avranno risultati richiesti dopo reboot --->> per averli subito: In console virtuale setupcon (funziona) in X udevadm trigger --subsystem-match=input --action=change ( a me non funziona) molto ballerino in X : setxkbmap de setxkbmap fr setxkbmap us -- Filippo
Re: lv raidintegrity problem
On Tue, Oct 05, 2021 at 03:30:25PM +0200, Piviul wrote: > > Il 05/10/21 13:12, Marco Ciampa ha scritto: > > On Mon, Oct 04, 2021 at 09:28:27AM +0200, Piviul wrote: > > > Ciao a tutti, in un volume logico in raid 1 vorrei attivare la > > > raidintegrity. Se la attivo però al reboot la partizione non viene trovata > > > perché il volume non è attivato; per risolvere basta attivare il volume > > > con > > > lvchange; se rimuovo la raidintegrity tutto torna a funzionare > > > correttamente... > > > > > > qualcuno ha qualche suggerimento? > > Non usare LVM ma mdadm? Scherzo ma non troppo, attivare il raid in lvm al > > boot mi pare sfidare la sorte... > > non ho provato ancora a mettere la raidintegrity nel LV di root; se non ho > capito male però la raidintegrity serve quando in lettura le 2 copie non > collimano, una sorta di codice di parità per capire quale delle 2 copie sia > quella corretta. Comunque il problema non riguarda il LV di root ma altre > partizioni in raid a cui avrei voluto aggiungere la raidintegrity ma se > tutte le volte devo renderle attive a manina... strano però no? > > Poi c'è un altra cosa che non capisco: > > > # lvs -a > > LV VG Attr LSize Pool > > Origin Data% Meta% Move Log Cpy%Sync Convert > > [...] > > proxmox-store backup-server-vg rwi-aor--- 1.30t > > 100.00 > > [proxmox-store_rimage_0] backup-server-vg iwi-aor--- 1.30t > > [proxmox-store_rimage_1] backup-server-vg iwi-aor--- 1.30t > > [proxmox-store_rmeta_0] backup-server-vg ewi-aor--- 4.00m > > [proxmox-store_rmeta_1] backup-server-vg ewi-aor--- 4.00m > > root backup-server-vg mwi-aom--- > > 8.00g [root_mlog] 100.00 > > [root_mimage_0] backup-server-vg iwi-aom--- 8.00g > > [root_mimage_1] backup-server-vg iwi-aom--- 8.00g > > [root_mlog] backup-server-vg lwi-aom--- 4.00m > perché i 2 volumi logici root e proxmox-store pur essendo entrambi in mirror > e generati direi allo stesso modo hanno attributi diversi? > > bah... > > Non so, ci penso su un po', quasi apro un bug report a lvm... ma a voi non > fa così? se aggiungete la raid integrity ad un volume logico in raid 1 poi > riavviando il pc si autoattiva il volume si autoattiva? > > Piviul Devo ancora "giocarci" con il raid di LVM. Ho come l'impressione che sia un prodotto ancora un po' immaturo o forse la documentazione non è esaustiva / aggiornata. Cosa dice in proposito? E cosa sono questi attributi? E... ma hai messo Proxmox in RAID SW LVM? Che coraggio! Ma mi sa che le prestazioni siano sotto le scarpe... lo avevo fatto con mdadm ma avevo abbandonato proprio per questione di prestazioni... meglio una scheda RAID con cache tamponata... -- Saluton, Marco Ciampa
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il mar 5 ott 2021, 15:58 Mario Vittorio Guenzi ha scritto: > Buongiorno > > .. Lorenzo e Mario Vittorio, grazie dei vostri suggerimenti, mi serviranno per approfondire l'argomento. Ciao, Giuliano
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il 04/10/21 19:19, Giuliano Curti ha scritto: Potrei risolvere la parte motion / telecamere con openssl perché motion gestisce sia il webcontrol che le stream con modalità TLS: vi sembra una soluzione adatta? Su openssl devo studiare tutto, quindi tornerò a chiedere consigli, ma intanto mi chiedevo se è una strada ragionevole da percorrere o una cavolata. Ciao Giuliano, non conosco l'argomento motion, cam ip ecc... ma fail2ban un po' si. Il problema è l'autenticazione: chi si occupa dell'autenticazione? Motion tramite TLS? Ma se un utente fallisce l'autenticazione in quale file di log, motion o chi per lui, scrive il tentativo fallito? Una volta che lo hai scoperto poi devi analizzare la riga relativa al failing log e devi trovare una espressione regolare per riconoscerla e per identificare l'ip del pc da cui è partita l'autenticazione; se non ricordo male quando hai queste informazioni devi creare una nuova jail con questi valori e a questo punto fail2ban sa contare quanti tentativi sono stati fatti e banna dopo un certo numero di tentativi falliti l'ip che li ha prodotti per un certo periodo di tempo. Più o meno il processo è quello quindi come prima cosa devi scoprire in quale file di log vengono scritti i failing auth. Spero di esser stato chiaro Piviul
Re: dpkg-reconfigure keyboard-configuration
On 05/10/21 16:05, Filippo Dal Bosco - wrote: debian wiki allora è molto vecchio purtroppo molte pagine della documentazione di Debian non vengono aggiornate, in questo caso specifico non saprei. Non ho letto questa pagina e non conosco a fondo questo argomento. https://wiki.debian.org/Keyboard c' è service keyboard-setup restart questo è per System V, ora i sistemi Debian sono basati su systemd. Systemd è compatibile con gli script di init di System V, anche se, secondo me, a tendere andranno a scomparire. systemctl restart keyboard-setup.service si avranno risultati richiesti dopo reboot però la domanda è cosa vuoi fare? Io ho capito che eri partito a chiedere un'informazione generale, ma senza dover ottenere un risultato specifico. setxkbmap de setxkbmap fr setxkbmap us ma se vuoi avere più layout di tastiera, allora puoi usare i tool del Desktop Environment che utilizzi e impostarli da li. Di solito tutti ti permettono di avere un menù a discesa dove scegliere la tastiera e la attivano immediatamente. Nota: se stai usando Gnome o Kde probabilmente stai usando wayland (in realtà è solo il nome del protocollo) e non X. wayland offre prestazioni nettamente migliori rispetto a X e inoltre offre un livello di sicurezza che X non ha. Ciao Davide -- Browser: http://www.mozilla.org/products/firefox GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: dpkg-reconfigure keyboard-configuration
Il giorno Tue, 5 Oct 2021 19:16:48 +0200 Davide Prina ha scritto: > ma se vuoi avere più layout di tastiera, allora puoi usare i tool del > Desktop Environment che utilizzi e impostarli da li. Di solito tutti > ti permettono di avere un menù a discesa dove scegliere la tastiera e > la attivano immediatamente. memore dei tempi del dos 3,1 e dei menu a tendina ( a mio soggettivo parere rimangono i più funzionali e null' altro, dopo, è stato inventato) uso mate. Oltre l' icona nel Centro Controllo il comando per tastiera è mate-keyboard-properties -- Filippo
