Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT
On Wed, Jun 28, 2017 at 10:09:49PM +0300, Andrey Tataranovich wrote: > On Wed, 28 Jun 2017 13:53:51 +0300 > Eugene Berdnikovwrote: > > > А просто "sysctl -w net.netfilter.nf_conntrack_helper=1" не помогает? > > Помогает. Тогда его в /etc/sysctl.conf. -- Eugene Berdnikov
Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT
On Wed, 28 Jun 2017 11:13:18 +0300 Михаил Касаджиковwrote: > Добавьте в iptables в таблицу raw правило для использования pptp: > > root@debby2: ~# iptables-save -t raw > # Generated by iptables-save v1.6.0 on Wed Jun 28 11:08:40 2017 > *raw > :PREROUTING ACCEPT [499445987:251052699965] > :OUTPUT ACCEPT [118702475:62694078445] > -A PREROUTING -p tcp -m tcp --dport 1723 -j CT --helper pptp > COMMIT > # Completed on Wed Jun 28 11:08:40 2017 > > Это дело стало необходимым потому что то ли в свежих ядрах, то ли в > дебиане (давно копал) теперь nat_helpers не применяются без явного на > то указания. После добавления правила pptp подключился без проблем. Ниже по треду предложили вариант с sysctl, который тоже работает. sysctl -w net.netfilter.nf_conntrack_helper=1 -- WBR, Andrey Tataranovich
Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT
On Wed, 28 Jun 2017 13:53:51 +0300 Eugene Berdnikovwrote: > А просто "sysctl -w net.netfilter.nf_conntrack_helper=1" не помогает? Помогает. -- WBR, Andrey Tataranovich
Validation failed
*** Errors validating /srv/www.debian.org/www/international/l10n/po/en_CA.ru.html: *** Line 183, character 374: "128513" is not a character number in the document character set *** Errors validating /srv/www.debian.org/www/international/l10n/po/en_GB.ru.html: *** Line 118, character 351: "128513" is not a character number in the document character set Line 311, character 337: "128513" is not a character number in the document character set Line 1290, character 241: "128513" is not a character number in the document character set -- You received this mail for the language code ru. Please edit webwml/english/devel/website/validation.data if this is not accurate Please also update webwml/english/devel/website/ with the new coordinator(s) data
Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT
Eugene Berdnikovписал(а) в своём письме Wed, 28 Jun 2017 13:53:51 +0300: On Wed, Jun 28, 2017 at 11:13:18AM +0300, Михаил Касаджиков wrote: Andrey Tataranovich писал(а) в своём письме Tue, 27 Jun 2017 20:04:29 +0300: >Может кто-то знает что нужно подкрутить в новом ядре чтобы начал >правильно работать NAT? > Добавьте в iptables в таблицу raw правило для использования pptp: ... Это дело стало необходимым потому что то ли в свежих ядрах, то ли в дебиане (давно копал) теперь nat_helpers не применяются без явного на то указания. А просто "sysctl -w net.netfilter.nf_conntrack_helper=1" не помогает? Хм… Я, когда это дело начиналось, прочитал что теперь включать настраивать эти помощники нужно не параметрами модулей, а через raw-CT и что так оно рекомендовано. И с тех пор указываю порт и модуль явно. А в sysctl заглянуть и забыл. Но, думаю, sysctl тоже должен помочь. -- Написано с помощью почтового клиента Opera: http://www.opera.com/mail/
Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT
On Wed, Jun 28, 2017 at 11:13:18AM +0300, Михаил Касаджиков wrote: > Andrey Tataranovichписал(а) в своём письме Tue, 27 > Jun 2017 20:04:29 +0300: > >Может кто-то знает что нужно подкрутить в новом ядре чтобы начал > >правильно работать NAT? > > > > Добавьте в iptables в таблицу raw правило для использования pptp: ... > Это дело стало необходимым потому что то ли в свежих ядрах, то ли в > дебиане (давно копал) теперь nat_helpers не применяются без явного > на то указания. А просто "sysctl -w net.netfilter.nf_conntrack_helper=1" не помогает? -- Eugene Berdnikov
Re: Маршрутизатор Debian Jessie с ядром из backports: не работает pptp через NAT
Andrey Tataranovichписал(а) в своём письме Tue, 27 Jun 2017 20:04:29 +0300: Доброго времени суток. Имеется сервер на Debian Jessie, который служит маршрутизатором сети. После апгрейдом ядра со штатного linux-image-3.16.0-4-amd64 (3.16.43-2+deb8u1) до linux-image-4.9.0-0.bpo.3-amd64 (4.9.30-2~bpo8+1) у клиентов сломалось подключение через pptp. Пробовал обновиться до linux-image-4.11.0-1-amd64 (4.11.6-1) из unstable, но ничего не поменялось. PPTP начинает работать, если перезагрузить маршрутизатор обратно на 3.16.43-2+deb8u1. Ввиду предстоящего апгрейда на stretch мне не хочется откатываться на старое ядро, да и маловероятно, что в ядре что-то глобально сломали - скорее всего я что-то упускаю относительно настроек. Когда pptp НЕ работает: $ sudo conntrack -L -p 47 gre 47 29 src=x.x.x.x dst=y.y.y.y srckey=0x0 dstkey=0x285d [UNREPLIED] src=y.y.y.y dst=z.z.z.z srckey=0x285d dstkey=0x0 mark=0 use=1 conntrack v1.4.2 (conntrack-tools): 1 flow entries have been shown. Когда pptp работает: $ sudo conntrack -L -p 47 gre 47 17995 src=x.x.x.x dst=y.y.y.y srckey=0x0 dstkey=0xbe6f src=y.y.y.y dst=z.z.z.z srckey=0xbe6f dstkey=0xc6ad [ASSURED] mark=0 use=1 conntrack v1.4.2 (conntrack-tools): 1 flow entries have been shown. x.x.x.x - локальный адрес клиента y.y.y.y - адрес VPN сервера z.z.z.z - внешний адрес маршрутизатора Может кто-то знает что нужно подкрутить в новом ядре чтобы начал правильно работать NAT? Добавьте в iptables в таблицу raw правило для использования pptp: root@debby2: ~# iptables-save -t raw # Generated by iptables-save v1.6.0 on Wed Jun 28 11:08:40 2017 *raw :PREROUTING ACCEPT [499445987:251052699965] :OUTPUT ACCEPT [118702475:62694078445] -A PREROUTING -p tcp -m tcp --dport 1723 -j CT --helper pptp COMMIT # Completed on Wed Jun 28 11:08:40 2017 Это дело стало необходимым потому что то ли в свежих ядрах, то ли в дебиане (давно копал) теперь nat_helpers не применяются без явного на то указания. -- Написано с помощью почтового клиента Opera: http://www.opera.com/mail/
[DONE] wml://{security/2017/dsa-3900.wml}
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- english/security/2017/dsa-3900.wml2017-06-28 09:43:07.0 +0500 +++ russian/security/2017/dsa-3900.wml 2017-06-28 11:04:30.857183692 +0500 @@ -1,52 +1,53 @@ - -security update +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи - -Several issues were discovered in openvpn, a virtual private network - -application. +Ð openvpn, пÑиложении Ð´Ð»Ñ ÑабоÑÑ Ñ Ð²Ð¸ÑÑÑалÑной ÑаÑÑной ÑеÑÑÑ, +бÑло обнаÑÑжено неÑколÑко пÑоблем. https://security-tracker.debian.org/tracker/CVE-2017-7479;>CVE-2017-7479 - -It was discovered that openvpn did not properly handle the - -rollover of packet identifiers. This would allow an authenticated - -remote attacker to cause a denial-of-service via application - -crash. +ÐÑло обнаÑÑжено, ÑÑо openvpn непÑавилÑно обÑабаÑÑÐ²Ð°ÐµÑ +вÑгÑÑÐ·ÐºÑ Ð¸Ð´ÐµÐ½ÑиÑикаÑоÑов пакеÑов. ÐÑо Ð¼Ð¾Ð¶ÐµÑ Ð¿Ð¾Ð·Ð²Ð¾Ð»Ð¸ÑÑ Ð°ÑÑенÑиÑиÑиÑÐ¾Ð²Ð°Ð½Ð½Ð¾Ð¼Ñ +ÑдалÑÐ½Ð½Ð¾Ð¼Ñ Ð·Ð»Ð¾ÑмÑÑÐ»ÐµÐ½Ð½Ð¸ÐºÑ Ð²ÑзваÑÑ Ð¾Ñказ в обÑлÑживании из-за аваÑийной +оÑÑановки пÑиложениÑ. https://security-tracker.debian.org/tracker/CVE-2017-7508;>CVE-2017-7508 - -Guido Vranken discovered that openvpn did not properly handle - -specific malformed IPv6 packets. This would allow a remote - -attacker to cause a denial-of-service via application crash. +Ðвидо ÐÑанкен обнаÑÑжил, ÑÑо openvpn непÑавилÑно обÑабаÑÑÐ²Ð°ÐµÑ +опÑеделÑннÑе ÑпеÑиалÑно ÑÑоÑмиÑованнÑе IPv6-пакеÑÑ. ÐÑо Ð¼Ð¾Ð¶ÐµÑ Ð¿Ð¾Ð·Ð²Ð¾Ð»Ð¸ÑÑ ÑдалÑÐ½Ð½Ð¾Ð¼Ñ +злоÑмÑÑÐ»ÐµÐ½Ð½Ð¸ÐºÑ Ð²ÑзваÑÑ Ð¾Ñказ в обÑлÑживании из-за аваÑийной оÑÑановки пÑиложениÑ. https://security-tracker.debian.org/tracker/CVE-2017-7520;>CVE-2017-7520 - -Guido Vranken discovered that openvpn did not properly handle - -clients connecting to an HTTP proxy with NTLMv2 - -authentication. This would allow a remote attacker to cause a - -denial-of-service via application crash, or potentially leak - -sensitive information like the user's proxy password. +Ðвидо ÐÑанкен обнаÑÑжил, ÑÑо openvpn непÑавилÑно обÑабаÑÑÐ²Ð°ÐµÑ +клиенÑÑкие подклÑÑÐµÐ½Ð¸Ñ Ðº HTTP-пÑокÑи Ñ Ð°ÑÑенÑиÑикаÑией NTLMv2. +ÐÑо Ð¼Ð¾Ð¶ÐµÑ Ð¿Ð¾Ð·Ð²Ð¾Ð»Ð¸ÑÑ ÑдалÑÐ½Ð½Ð¾Ð¼Ñ Ð·Ð»Ð¾ÑмÑÑÐ»ÐµÐ½Ð½Ð¸ÐºÑ Ð²ÑзваÑÑ +оÑказ в обÑлÑживании из-за аваÑийной оÑÑановки пÑиложениÑ, либо Ð¼Ð¾Ð¶ÐµÑ Ð¿ÑиводиÑÑ Ðº +ÑÑеÑке ÑÑвÑÑвиÑелÑной инÑоÑмаÑии (напÑимеÑ, полÑзоваÑелÑÑкого паÑÐ¾Ð»Ñ Ð¾Ñ Ð¿ÑокÑи). https://security-tracker.debian.org/tracker/CVE-2017-7521;>CVE-2017-7521 - -Guido Vranken discovered that openvpn did not properly handle - -some x509 extensions. This would allow a remote attacker to cause - -a denial-of-service via application crash. +Ðвидо ÐÑанкен обнаÑÑжил, ÑÑо openvpn непÑавилÑно обÑабаÑÑÐ²Ð°ÐµÑ +некоÑоÑÑе ÑаÑÑиÑÐµÐ½Ð¸Ñ x509. ÐÑо Ð¼Ð¾Ð¶ÐµÑ Ð¿Ð¾Ð·Ð²Ð¾Ð»Ð¸ÑÑ ÑдалÑÐ½Ð½Ð¾Ð¼Ñ Ð·Ð»Ð¾ÑмÑÑÐ»ÐµÐ½Ð½Ð¸ÐºÑ Ð²ÑзваÑÑ +оÑказ в обÑлÑживании из-за аваÑийной оÑÑановки пÑиложениÑ. - -For the oldstable distribution (jessie), these problems have been fixed - -in version 2.3.4-5+deb8u2. +РпÑедÑдÑÑем ÑÑабилÑном вÑпÑÑке (jessie) ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ +в веÑÑии 2.3.4-5+deb8u2. - -For the stable distribution (stretch), these problems have been fixed in - -version 2.4.0-6+deb9u1. +Ð ÑÑабилÑном вÑпÑÑке (stretch) ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ Ð² +веÑÑии 2.4.0-6+deb9u1. - -For the testing distribution (buster), these problems have been fixed - -in version 2.4.3-1. +Ð ÑеÑÑиÑÑемом вÑпÑÑке (buster) ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ +в веÑÑии 2.4.3-1. - -For the unstable distribution (sid), these problems have been fixed in - -version 2.4.3-1. +РнеÑÑабилÑном вÑпÑÑке (sid) ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ Ð² +веÑÑии 2.4.3-1. - -We recommend that you upgrade your openvpn packages. +РекомендÑеÑÑÑ Ð¾Ð±Ð½Ð¾Ð²Ð¸ÑÑ Ð¿Ð°ÐºÐµÑÑ openvpn. # do not modify the following line -BEGIN PGP SIGNATURE-