Архив для ‘ Work ’ Категории

Яндекс Диск как служба Windows

http://araxgroup.ru/content/view/114/
https://support.microsoft.com/ru-ru/kb/251192
https://arny.ru/it/software/yandeks-disk-kak-sluzhba-windows/

Сброс пароля в роутере с OpenWrt + wireless client

На роутере TP-Link TL-WR1043ND с прошивкой OpenWrt забыли пароль. Сбросить его оказалось очень просто. Опишу процедуру пошагово:
1) На компьютере с которого производятся все действия прописывается IP-адрес 192.168.1.2 независимо от того, какой IP-адрес прописан на роутере.
2) Подключаем роутер к компьютеру по LAN, а не через Wi-Fi.
3) Отключаем роутер от сети и снова включаем его. Через несколько секунд светодиод SYS начнет медленно мигать, в этот момент нажимаем на кнопку Reset, расположенную на задней стенке роутера, и удерживаем ее до тех пор, пока светодиод SYS не начнет мигать быстро. Как только это произошло, отпускаем Reset и подключаемся к роутеру через TELNET !!! (а не ssh) по адресу 192.168.1.1 . Если все сделали правильно, то оказываемся в консоли.
4) Выполняем команду mount_root
5) Выполняем команду passwd и вводим новый пароль.
Готово.

http://any-key.net/openwrt-password-reset/

OpenWrt wireless client
http://stackoverflow.com/questions/29555697/luci-openwrt-wifi-bridge-client-how-to-configure

Mikrotik Capsman Signal range

Чтобы андройды адекватно чувствовали себя в роуминге wifi необходимо, уcтановить
в Access List -> Interface (ALL) — Signal Range (-85..120)

Поставить Android Rouming Wifi — из play market или Android_rouming_wifi_fix на память

Роутинг звонков elastix — Управление исходящей маршрутизацией

Управление исходящей маршрутизацией вызовов
Междугородка 810Z.

Cudload backup > Яндекс.Диск, Google Drive, Dropbox

https://habrahabr.ru/sandbox/100732/

Fail2ban работа с NAT RDP

Стырено с Хабра — Спасибо.
Fail2ban работа с NAT

Большинство используют Fail2ban для защиты различных программ на сервере. Но как быть, если надо защитить сервис, находящийся внутри локальной сети? Тут нам понадобится связка из iptables для маркировки трафика и Fail2ban для принятия решения по блокировке.

Всё будем делать на Centos 6.

Заставим iptables писать свой лог в отдельный файл, как тут — https://habrahabr.ru/post/259169/.

Определяемся, какой сервис будем защищать — пускай это будет сервер терминалов RDP на порту 3389.

Стандартное правило обычно выглядит вот так:

-A PREROUTING -i eth1 -p tcp -m tcp —dport 3389 -j DNAT —to-destination 192.168.1.209:3389

Теперь нам надо добавить к стандартному правилу проброса порта во внутреннюю сеть. Вида (eth1 — внешний интерфейс, порт 3389 (сервер терминалов) и внутренний адрес сервера 192.168.1.209):

Правила маркировки пакетов с помощью iptables, чтобы получить вот такие строчки в iptables:

-A PREROUTING -i eth1 -p tcp -m tcp —dport 3389 -m state —state NEW -m hashlimit —hashlimit 1/hour —hashlimit-burst 5 —hashlimit-mode srcip —hashlimit-name RDP —hashlimit-htable-expire 31000 -j LOG —log-prefix «Iptables: RDP 3389 detected: »
-A PREROUTING -i eth1 -p tcp -m tcp —dport 3389 -j LOG —log-prefix «Iptables: hashlimit: »
-A PREROUTING -i eth1 -p tcp -m tcp —dport 3389 -j DNAT —to-destination 192.168.1.209:3389

Почитать, что делает первая строчка и как она работает, можно вот тут https://habrahabr.ru/post/88461/.

Теперь пишем обработку файла iptables.log в Fail2ban.

Пишем в /etc/fail2ban/jail.local:

[rdp-bruteforce]
enabled = true
filter = rdp-bruteforce
action = iptables-nat[name=rdp-bruteforce, protocol=tcp]
logpath = /var/log/iptables.log
maxretry = 3 ; Три попытки
bantime = 86400 ; Бан на 1 сутки
findtime = 60 ; Время за которое должно повториться событие 1 минута

Пишем в /etc/fail2ban/filter.d/rdp-bruteforce.conf:

# Fail2Ban configuration file
#
# Author: AwS59
#
[Definition]
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named «host». The tag «» can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P[\w\-.^_]+)
# Values: TEXT
#
# Sample log: Feb 29 11:16:55 mars kernel: Iptables: hashlimit: IN=XXX OUT= MAC=XX:XX:XX:XX:XX: SRC=X.X.X.X DST=X.X.X.X LEN=X
# TOS=0x00 PREC=0x00 TTL=X ID=X DF PROTO=TCP SPT=X DPT=X WINDOW=X RES=0x00 SYN URGP=0
#
failregex = hashlimit: .* SRC=
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

Пишем в /etc/fail2ban/action.d/iptables-nat.conf:

[INCLUDES]
before = iptables-common.conf
[Definition]
# Option: actionstart
# Notes.: command executed once at the start of Fail2Ban.
# Values: CMD
#
actionstart = -t nat -N f2b-
-t nat -A f2b- -j
-t nat -I PREROUTING -p -j f2b-
# Option: actionstop
# Notes.: command executed once at the end of Fail2Ban
# Values: CMD
#
actionstop = -t nat -D PREROUTING -p -j f2b-
-t nat -F f2b-
-t nat -X f2b-

# Option: actioncheck
# Notes.: command executed once before each actionban command
# Values: CMD
#
actioncheck = -n -L PREROUTING -t nat | grep -q ‘f2b-[ \t]’
# Option: actionban
# Notes.: command executed when banning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: See jail.conf(5) man page
# Values: CMD
#
actionban = -t nat -I f2b- 1 -s -j DNAT —to
-I FORWARD -s -d -j ACCEPT
# Option: actionunban
# Notes.: command executed when unbanning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: See jail.conf(5) man page
# Values: CMD
#
actionunban = -t nat -D f2b- -s -j DNAT —to
-D FORWARD -s -d -j ACCEPT
[Init]

Осталось перезапустить службы iptables и Fail2ban и начинаем следить за iptables.log и появлением там строк с hashlimit и реакцией в Fail2ban на эти строчки.

sentinel smartkey 1c driver

Driver_Installation_SDI
http://sentinelcustomer.safenet-inc.com/sentineldownloads/?s=&c=all&p=Smartkey&o=Windows&t=all&l=all

usb vid_14a8&pid_0001 Катран драйвер для 1с ключа

Драйвер для ключа Катран
от XP до w2k12 R2

Linux (Xenserver 7) HASP проброс USB в Windows server 2012

1с с ключем HASP, нужно пробросить с Xenserver 7 в виртуалку w2k12.
Собственно брал USB over Network with XenServer 6 _ Citrix Blogs гайд нормальный, но проблема заключилась в том что собирается x86 софт, а XEN x64, что приводило к ошибке:

[root@srv-xen1 ~]# /usr/local/usb-redirector/bin/usbsrv
-bash: /usr/local/usb-redirector/bin/usbsrv: /lib/ld-linux.so.2: bad ELF interpreter: No such file or directory

 

Можно это лечить установкой glibc.i686, но ломка зависимостей в xenserver мне не улыбнулась.

Дальше смотрел в сторону usb/ip, но многие писали, что дружит не со всем. С hasp нет!
Пошел искать дальше.
https://virtualhere.com/ тот-же usb/ip, но меньше гемороя. И дрова свежие для всего.
1 usb бесплатно за остальные плати.

Installation is simple, figure out the architecture of your server device (for example x86_64), then on the linux server device:

wget http://www.virtualhere.com/sites/default/files/usbserver/vhusbdx86_64 (e.g x86_64, see list below) ()
chmod +x ./vhusbdx86_64 (to make that file executable)
sudo ./vhusbdx86_64 -b (to run it in the background)
Plug USB devices to share into your server and run the Client on the remote machines

vi /etc/sysconfig/iptables
вставить перед REJECT
-A RH-Firewall-1-INPUT -m state —state NEW -m tcp -p tcp —dport 7575 -j ACCEPT

service iptables restart

DEP Windows Server

DEP Windows поддерживает четыре варианта настройки DEP на уровне системы. Во всех этих вариантах может использоваться как программная, так и аппаратная реализация DEP.

OptIn Данное значение используется по умолчанию. На компьютерах, оснащенных процессорами с поддержкой DEP, функция DEP включена по умолчанию для ограниченного числа системных файлов и программ. При этом по умолчанию защищаются только системные файлы Windows.

OptOut По умолчанию функция DEP включена для всех процессов. В диалоговом окне Система панели управления можно вручную создать список приложений, для которых следует отключить DEP. Специалисты по информационным технологиям могут воспользоваться пакетом средств обеспечения совместимости приложений (Application Compatibility Toolkit), чтобы отключить функцию DEP для одной или нескольких программ. При этом вступают в силу исправления, обеспечивающие совместимость программ, для функции DEP.

AlwaysOn Функция DEP включается для всей системы. Все процессы работают с выполнением проверок DEP. В этом режиме нельзя отключить функцию DEP для отдельных приложений. Исправления, обеспечивающие совместимость программ, для функции DEP в силу не вступают. Программы, для которых с помощью пакета средств обеспечения совместимости приложений было отключено использование функции DEP, также работают с выполнением проверок DEP.

AlwaysOff Функция DEP отключена для всей системы, независимо от наличия аппаратной поддержки DEP. Процессор не работает в режиме PAE, если в файле Boot.ini не указан параметр /PAE.

Windows server 2003
Boot.ini > AlwaysOff

Windows Server 2012
cmd (с Админскими правами) > bcdedit.exe /set {current} nx AlwaysOff

У меня без полного отключения DEP не старовал 1c эмулятор ключа Eutron.