Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » Egress filtering - regolki dla iptables.
#1 2015-05-21 11:22:28
Novi-cjusz - 
Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Egress filtering - regolki dla iptables.
Witam powtornie z prosba o pomoc. Jestem w trakcie czytania i nauki tutoriala (frozentux) iptables.
Szukam sposobu na filtrowanie ruchu wychodzacego.
O egress filtering jest wiele artykulow ale w wiekszosci ekstremalnie powierzchownych.
Moje pytanie jest: jak powinny wygladac regolki egress filtering dla iptables na Debianie, z opcja logowania?
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#2 2015-05-21 11:34:22
morfik - Cenzor wirtualnego świata
#3 2015-05-21 11:44:42
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: Egress filtering - regolki dla iptables.
Chce wiedziec/logowac/blokowac skompromitowany ruch wychodzacy.
Jakie:aplikacje-uslugi,protokoly,porty.
Co wychodzi z mojego kompa i dokad idzie.
W szczegolnosci wszystkie "ukryte"
Najlepiej "reverse IP" + "v - verbose"
Dotychczas przeczytalem moze 50 www - i same siano.Najpierw "LOG" pozniej "DROP" w lancuchu "OUTGOING" tylko czego?
Ostatnio edytowany przez Novi-cjusz (2015-05-21 11:51:46)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#4 2015-05-21 11:49:52
morfik - Cenzor wirtualnego świata
Re: Egress filtering - regolki dla iptables.
No to zrób sobie taki sam filtr jak masz na wejściu -- przepuszczaj related i established, weryfikuj stan new. To co chcesz przepuszczać, to przepuszczaj, resztę blokuj i loguj -- cała filozofia.
Offline
#5 2015-05-21 11:53:25
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: Egress filtering - regolki dla iptables.
Chyba niedokladnie, poniewaz komp moze inicjowac polaczenia niezwiazane z ruchem "INPUT"
Np, sciagasz instalujesz plikacje, nie uzywasz jej a ona mimo nawiazuje polaczenia, nie mowiac juz o systemie operacyjnym itp itd.
Ostatnio edytowany przez Novi-cjusz (2015-05-21 11:58:26)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#6 2015-05-21 11:57:15
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Egress filtering - regolki dla iptables.
Najłatwiej przez cgroup.
Kod:
iptables -S | grep 'OUTPUT DROP' -P OUTPUT DROP
Kod:
iptables -S | grep cgroup -A OUTPUT -m cgroup --cgroup 1 -j ACCEPT -A OUTPUT -m cgroup --cgroup 2 -j ACCEPT -A OUTPUT -m cgroup --cgroup 3 -j ACCEPT -A OUTPUT -m cgroup --cgroup 4 -j ACCEPT -A OUTPUT -m cgroup --cgroup 5 -j ACCEPT -A OUTPUT -m cgroup --cgroup 9 -j ACCEPT
Potrzebny jest support cgroup w [b]iptables[/b], nie wiem, czy dotarł do Debiana (na serwerach git netfiltera już jest łatka od dawna):
Kod:
iptables -m cgroup --help | tail -n2 cgroup match options: [!] --cgroup fwid Match cgroup fwid
W kernelu odpowiada za to moduł:
Kod:
CONFIG_NETFILTER_XT_MATCH_CGROUP=m
- jest w standardowych źródłach kernela, i w jaju aptosidowym dla Debiana.
O tym, w jakich grupach wylądują programy, decyduje demon [b]/usr/sbin/cgrulesengd[/b]
Konfiguracja demona [b]cgrulesengd[/b], fragment:
Kod:
egrep 'skypepulse|firefox|pidgin' /etc/cgroup/cgrules.conf *:firefox cpu,memory,net_cls users/firefox/ *:plugin-container cpu,memory,net_cls users/firefox/ *:skypepulse cpu,memory,net_cls voip/skype/ *:pidgin cpu,memory,net_cls users/pidgin/ *:filezilla cpu,memory,blkio,net_cls users/firefox/
Grupy u mnie tworzy skrypt [b]/usr/local/sbin/cgstart[/b], odpalany przy starcie systemu, w nim np Firefox wygląda tak:
Kod:
############################################ # Firefox mkdir -p $CGDIR/cpu/users/firefox echo 1 > $CGDIR/cpu/users/firefox/cgroup.clone_children echo "300" > $CGDIR/cpu/users/firefox/cpu.shares mkdir -p $CGDIR/memory/users/firefox echo '1'> $CGDIR/memory/users/firefox/cgroup.clone_children echo '1024m' > $CGDIR/memory/users/firefox/memory.max_usage_in_bytes echo '1024m' > $CGDIR/memory/users/firefox/memory.limit_in_bytes echo '1' > $CGDIR/memory/users/firefox/memory.oom_control mkdir -p $CGDIR/net_cls/users/firefox echo '3' > $CGDIR/net_cls/users/firefox/net_cls.classid echo '1' > $CGDIR/net_cls/users/firefox/cgroup.clone_children ################################################
Można też grupy tworzyć drogą oficjalną, przez [b]cgconfig[/b], ale u mnie coś nie chciało to działać.
Ostatnio edytowany przez Jacekalex (2015-05-21 12:02:49)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#7 2015-05-21 12:10:21
morfik - Cenzor wirtualnego świata
Re: Egress filtering - regolki dla iptables.
[quote=Novi-cjusz]Chyba niedokladnie, poniewaz komp moze inicjowac polaczenia niezwiazane z ruchem "INPUT"
Np, sciagasz instalujesz plikacje, nie uzywasz jej a ona mimo nawiazuje polaczenia, nie mowiac juz o systemie operacyjnym itp itd.[/quote]
Coś musi zainicjować połączenie, by to w ogóle mogło się mieć miejsce. Jeśli czyjaś maszyna, to pakiet w stanie NEW leci pod twój adres, a jeśli twoja maszyna inicjuje połaczenie, to ona wysyła pakiet ze stanem NEW pod czyjś adres. Zasada działania jest dokładnie taka sama tylko, że w drugą stronę.
Problemem są generalnie usługi świadczone na maszynach i nie ma znaczenia czy to "system operacyjny" (to tylko zbitka programów) — jeśli znasz porty, na których te usługi działają, to nie ma żadnego problemu z filtracją ruchu wyjściowego. Jeśli natomiast masz jakieś wymyślne usługi typu torrent co skaczą po wszystkich portach, to wtedy masz problem ale takich usług jest chyba niewiele — większość bez problemu można oznaczyć ręcznie.
Co do cgroups, to on póki co tylko on chyba się nadaje do tych bardziej wyrafinowanych usług sieciowych ale są już prace na firewallem w systemd, który nie będzie operował na samych porach ale już będzie się precyzowało usługi po procesach i właśnie tam , z tego co czytałem, znajdzie zastosowanie ten cgroups i skończy się problem z tymi wrednymi usługami latającymi po wszystkich portach — zabronisz procesowi korzystać z sieci albo zezwolisz mu na łączenie z konkretnymi adresami i ten nie będzie miał wyjścia. xD
Ostatnio edytowany przez morfik (2015-05-21 12:11:30)
Offline
#8 2015-05-21 12:25:42
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: Egress filtering - regolki dla iptables.
Jestesmy coraz blizej, jako czeladnik - amator potrzebuje nieco wiecej czasu na "ulozenie" sobie powyzszych wiadomosci.
Gdybym mogl jeszcze korzystajac z Waszej uprzejmosci poprosic o krotki tutorial odnosnie instalacji latki dla cgroups w iptables.
Gdzies popelnialem blad.
Kod:
root@debian:/home/anthony# mount | grep -i cgroup root@debian:/home/anthony#
Ostatnio edytowany przez Novi-cjusz (2015-05-21 12:27:24)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#9 2015-05-21 12:42:48
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Egress filtering - regolki dla iptables.
Tu są łatki do iptables:
https://git.netfilter.org/iptables/commit/?id=6465867eb48506687872b838b1ddfee61d1a0aeb
Czy masz support cgroup?
Kod:
grep CGROUP /boot/config-$(uname -r)
Kod:
cat /proc/cgroups
Zamontowanie grup w folderze [b]/cgroup[/b]
Kod:
awk 'NR>1 {print $1}' /proc/cgroups | while read -r a;
do b="/cgroup/$a"; mkdir -p "$b";
mount -tcgroup -o"$a" "cgroup:$a" "$b" 2>/dev/null; doneOstatnio edytowany przez Jacekalex (2015-05-21 12:45:37)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#10 2015-05-21 12:46:12
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: Egress filtering - regolki dla iptables.
Kod:
root@debian:/home/anthony# grep CGROUP /boot/config-$(uname -r) CONFIG_CGROUPS=y # CONFIG_CGROUP_DEBUG is not set CONFIG_CGROUP_FREEZER=y CONFIG_CGROUP_DEVICE=y CONFIG_CGROUP_CPUACCT=y CONFIG_CGROUP_MEM_RES_CTLR=y CONFIG_CGROUP_MEM_RES_CTLR_DISABLED=y CONFIG_CGROUP_MEM_RES_CTLR_SWAP=y # CONFIG_CGROUP_MEM_RES_CTLR_SWAP_ENABLED is not set CONFIG_CGROUP_PERF=y CONFIG_CGROUP_SCHED=y CONFIG_BLK_CGROUP=y # CONFIG_DEBUG_BLK_CGROUP is not set CONFIG_NET_CLS_CGROUP=y root@debian:/home/anthony# cat /proc/cgroups #subsys_name hierarchy num_cgroups enabled cpuset 0 1 1 cpu 0 1 1 cpuacct 0 1 1 memory 0 1 0 devices 0 1 1 freezer 0 1 1 net_cls 0 1 1 blkio 0 1 1 perf_event 0 1 1 root@debian:/home/anthony#
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#11 2015-05-21 12:48:21
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Egress filtering - regolki dla iptables.
Czyli cgroups jest na swoim miejscu.
Teraz zamontuj grupy, jak podałem wyżej i pokaż:
Kod:
mount | grep cgroup
Ostatnio edytowany przez Jacekalex (2015-05-21 12:48:49)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#12 2015-05-21 12:49:58
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: Egress filtering - regolki dla iptables.
Przepraszam, poprawiam:
Kod:
root@debian:/home/anthony# awk 'NR>1 {print $1}' /proc/cgroups | while read -r a;
> do b="/cgroup/$a"; mkdir -p "$b";
> mount -tcgroup -o"$a" "cgroup:$a" "$b" 2>/dev/null; done
root@debian:/home/anthony# mount | grep cgroup
cgroup:cpuset on /cgroup/cpuset type cgroup (rw,relatime,cpuset)
cgroup:cpu on /cgroup/cpu type cgroup (rw,relatime,cpu)
cgroup:cpuacct on /cgroup/cpuacct type cgroup (rw,relatime,cpuacct)
cgroup:devices on /cgroup/devices type cgroup (rw,relatime,devices)
cgroup:freezer on /cgroup/freezer type cgroup (rw,relatime,freezer)
cgroup:net_cls on /cgroup/net_cls type cgroup (rw,relatime,net_cls)
cgroup:blkio on /cgroup/blkio type cgroup (rw,relatime,blkio)
cgroup:perf_event on /cgroup/perf_event type cgroup (rw,relatime,perf_event)
root@debian:/home/anthony#Brakuje modulu: CONFIG_NETFILTER_XT_MATCH_CGROUP=m
Kod:
root@debian:/home/anthony# cat /boot/config-3.2.0-4-amd64 |grep -i cgroup CONFIG_CGROUPS=y # CONFIG_CGROUP_DEBUG is not set CONFIG_CGROUP_FREEZER=y CONFIG_CGROUP_DEVICE=y CONFIG_CGROUP_CPUACCT=y CONFIG_CGROUP_MEM_RES_CTLR=y CONFIG_CGROUP_MEM_RES_CTLR_DISABLED=y CONFIG_CGROUP_MEM_RES_CTLR_SWAP=y # CONFIG_CGROUP_MEM_RES_CTLR_SWAP_ENABLED is not set CONFIG_CGROUP_PERF=y CONFIG_CGROUP_SCHED=y CONFIG_BLK_CGROUP=y # CONFIG_DEBUG_BLK_CGROUP is not set CONFIG_NET_CLS_CGROUP=y root@debian:/home/anthony#
Kod:
root@debian:/home/anthony# insmod CONFIG_NETFILTER_XT_MATCH_CGROUP=m Error: could not load module CONFIG_NETFILTER_XT_MATCH_CGROUP=m: No such file or directory
Ostatnio edytowany przez Novi-cjusz (2015-05-21 13:06:27)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#13 2015-05-21 13:58:46
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Egress filtering - regolki dla iptables.
Nowsze jajo się kłania, ten moduł się pojawił dosyć niedawno, chyba w jaju 3.14, o ile pamiętam.
W aptosidowym 4.0.3 jest na pewno.
Ostatnio edytowany przez Jacekalex (2015-05-21 14:00:42)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#14 2015-05-21 14:04:41
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: Egress filtering - regolki dla iptables.
Dla mnie to oznacza nowy temat, Kernel upgrade.
Gdybys mogl podac linka do tutka z tym tematem?
Chcialem sie upewnic, czy to jest wlasciwa strona na upgrade kernela do uptosid? http://manual.aptosid.com/pl/sys-admin-kern-upg-pl.htm#kern-upgrade
[quote=Jacekalex]Nowsze jajo się kłania, ten moduł się pojawił dosyć niedawno, chyba w jaju 3.14, o ile pamiętam.
W aptosidowym 4.0.3 jest na pewno.[/quote]
Moje jajo: 3.2.0-4-amd64
Jest jakas rozpiska, ktory modul co robi dla iptables?
Ostatnio edytowany przez Novi-cjusz (2015-05-21 14:28:41)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#15 2015-05-21 16:31:50
morfik - Cenzor wirtualnego świata
#16 2015-05-21 16:48:04
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Egress filtering - regolki dla iptables.
[quote=Novi-cjusz]Dla mnie to oznacza nowy temat, Kernel upgrade.
Gdybys mogl podac linka do tutka z tym tematem?
Chcialem sie upewnic, czy to jest wlasciwa strona na upgrade kernela do uptosid? http://manual.aptosid.com/pl/sys-admin-kern-upg-pl.htm#kern-upgrade[/quote]
Repo:
Kod:
deb http://aptosid.com/debian unstable main fix.main deb-src http://aptosid.com/debian unstable main fix.main
Kod:
aptitude update
Do tego jeszcze w [b]/etc/apt/apt.conf[/b]
Kod:
APT::Default-Release "stable";
na wszelki wypadek (obecnie stable oznacza [b]Debiana Jessie[/b]).
I potem w [b]synaptic[/b]u wybierasz paczuszki [b]linux-image[/b], [b]linux-headers[/b] i co tam jeszcze potrzebujesz z gałęzi unstable.
Poza tym masz jajo 3.2.x? Co to za system? jakieś muzeum?
Przecież to jajo było w Wheezym, który już jest oldstable.
Stabilny [b]Debian Jessie[/b] wystartował na jaju 3.16, o ile pamiętam.
Ostatnio edytowany przez Jacekalex (2015-05-21 16:54:10)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#17 2015-05-21 17:08:58
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: Egress filtering - regolki dla iptables.
Poza tym masz jajo 3.2.x? Co to za system? jakieś muzeum?
Przecież to jajo było w Wheezym, który już jest oldstable.[/quote]
Wszystko prawda:Kod:
root@debian:/home/anthony# cat /etc/debian_version 7.8 root@debian:/home/anthony# dpkg -l | grep linux-image ii linux-image-3.2.0-4-amd64 3.2.68-1+deb7u1 amd64 Linux 3.2 for 64-bit PCs ii linux-image-amd64 3.2+46 amd64 Linux for 64-bit PCs (meta-package)Kod:
GNU nano 2.2.6 File: /etc/apt/sources.list Modified deb http://ftp.ie.debian.org/debian/ oldstable main contrib non-free ## uaktualnienia bezpieczeństwa deb http://security.debian.org/ oldstable/updates main contrib non-free ## często uaktualniane pakiety, np. dotyczące ## filtrowania spamu czy skanowania antywirusowego deb http://ftp.pl.debian.org/debian oldstable-updates main contrib non-free ## backporty - programy przepakietowane dla stable z testinga deb http://ftp.pl.debian.org/debian wheezy-backports main contrib non-free ## deb-multimedia - dodatkowe kodeki, odtwarzacze, etc. deb http://www.deb-multimedia.org/ oldstable main non-free ## backporty deb-multimedia - dodatkowe kodeki, odtwarzacze, etc. ## przepakietowane dla stable z testinga deb http://www.deb-multimedia.org/ wheezy-backports main deb http://http.us.debian.org/debian/ wheezy main deb http://aptosid.com/debian unstable main fix.main deb-src http://aptosid.com/debian unstable main fix.mainTaka zawartosc:
Kod:
APT::Default-Release "stable";daje mi taki komunikat podczas otwierania Synaptic:
Kod:
E: The value 'stable' is invalid for APT::Default-Release as such a release is not available in the sources E: _cache->open() failed, please report.Ostatnio edytowany przez Novi-cjusz (2015-05-21 17:36:28)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#18 2015-05-21 17:40:00
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Egress filtering - regolki dla iptables.
Stable oznacza aktualizację do Jessie, i musiałbyś dodać repozytoria Debiana stable/jessie.
U siebie ustaw [b]oldstable[/b] lub [b]wheezy[/b], jak chcesz zostać na Wheezym, albo zaktualizuj system do Jessie.
Czyli, np:
Kod:
APT::Default-Release "wheezy";
Ostatnio edytowany przez Jacekalex (2015-05-21 17:41:26)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#19 2015-05-21 18:12:21
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: Egress filtering - regolki dla iptables.
Modulu CONFIG_NETFILTER_XT_MATCH_CGROUP=m nadal nie ma
Kod:
root@debian:/home/anthony# awk 'NR>1 {print $1}' /proc/cgroups | while read -r a;
> do b="/cgroup/$a"; mkdir -p "$b";
> mount -tcgroup -o"$a" "cgroup:$a" "$b" 2>/dev/null; done
root@debian:/home/anthony# mount | grep cgroup
cgroup:cpuset on /cgroup/cpuset type cgroup (rw,relatime,cpuset)
cgroup:cpu on /cgroup/cpu type cgroup (rw,relatime,cpu)
cgroup:cpuacct on /cgroup/cpuacct type cgroup (rw,relatime,cpuacct)
cgroup:devices on /cgroup/devices type cgroup (rw,relatime,devices)
cgroup:freezer on /cgroup/freezer type cgroup (rw,relatime,freezer)
cgroup:net_cls on /cgroup/net_cls type cgroup (rw,relatime,net_cls)
cgroup:blkio on /cgroup/blkio type cgroup (rw,relatime,blkio)
cgroup:perf_event on /cgroup/perf_event type cgroup (rw,relatime,perf_event)
root@debian:/home/anthony# cat /boot/config-3.2.0-4-amd64 |grep -i cgroup
CONFIG_CGROUPS=y
# CONFIG_CGROUP_DEBUG is not set
CONFIG_CGROUP_FREEZER=y
CONFIG_CGROUP_DEVICE=y
CONFIG_CGROUP_CPUACCT=y
CONFIG_CGROUP_MEM_RES_CTLR=y
CONFIG_CGROUP_MEM_RES_CTLR_DISABLED=y
CONFIG_CGROUP_MEM_RES_CTLR_SWAP=y
# CONFIG_CGROUP_MEM_RES_CTLR_SWAP_ENABLED is not set
CONFIG_CGROUP_PERF=y
CONFIG_CGROUP_SCHED=y
CONFIG_BLK_CGROUP=y
# CONFIG_DEBUG_BLK_CGROUP is not set
CONFIG_NET_CLS_CGROUP=y
root@debian:/home/anthony# insmod CONFIG_NETFILTER_XT_MATCH_CGROUP=m
Error: could not load module CONFIG_NETFILTER_XT_MATCH_CGROUP=m: No such file or directory
root@debian:/home/anthony#Kod:
root@debian:/home/anthony# modinfo CONFIG_NETFILTER_XT_MATCH_CGROUP=m ERROR: Module CONFIG_NETFILTER_XT_MATCH_CGROUP=m not found.
Ostatnio edytowany przez Novi-cjusz (2015-05-21 18:15:01)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#20 2015-05-21 18:29:54
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Egress filtering - regolki dla iptables.
Kod:
root@debian:/home/anthony# modinfo CONFIG_NETFILTER_XT_MATCH_CGROUP=m ERROR: Module CONFIG_NETFILTER_XT_MATCH_CGROUP=m not found.Kod:
cat /boot/config-3.2.0-4-amd64[/quote]
W tym jaju go nie ma, nie było i nigdy nie będzie, cnoćbyś nawet zatańczył na uszach.
Ten moduł pojawił się później, o ile pamiętam, w kernelu 3.14 i nowszych.
Powinien być w jaju 3.16 - domyślnym w Debianie Jessie, albo w jaju Aptosida.
Debian Jessie, to aktualne wydanie stabilne Debiana.
https://www.debian.org/releases/stable/index.pl.html
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#21 2015-05-21 18:50:21
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: Egress filtering - regolki dla iptables.
Kod:
# CONFIG_AUFS_PROC_MAP is not set # CONFIG_AUFS_SP_IATTR is not set # CONFIG_AUFS_SHWH is not set # CONFIG_AUFS_BR_RAMFS is not set # CONFIG_AUFS_BR_FUSE is not set CONFIG_AUFS_BR_HFSPLUS=y CONFIG_AUFS_BDEV_LOOP=y # CONFIG_AUFS_DEBUG is not set CONFIG_ORE=m CONFIG_NETWORK_FILESYSTEMS=y CONFIG_NFS_FS=m CONFIG_NFS_V3=y CONFIG_NFS_V3_ACL=y CONFIG_NFS_V4=y CONFIG_NFS_V4_1=y CONFIG_PNFS_FILE_LAYOUT=m CONFIG_PNFS_BLOCK=m CONFIG_PNFS_OBJLAYOUT=m CONFIG_NFS_FSCACHE=y # CONFIG_NFS_USE_LEGACY_DNS is not set CONFIG_NFS_USE_KERNEL_DNS=y # CONFIG_NFS_USE_NEW_IDMAPPER is not set CONFIG_NFSD=m CONFIG_NFSD_V2_ACL=y CONFIG_NFSD_V3=y CONFIG_NFSD_V3_ACL=y CONFIG_NFSD_V4=y CONFIG_LOCKD=m CONFIG_LOCKD_V4=y CONFIG_NFS_ACL_SUPPORT=m CONFIG_NFS_COMMON=y CONFIG_SUNRPC=m CONFIG_SUNRPC_GSS=m CONFIG_SUNRPC_BACKCHANNEL=y CONFIG_SUNRPC_XPRT_RDMA=m CONFIG_RPCSEC_GSS_KRB5=m CONFIG_CEPH_FS=m CONFIG_CIFS=m # CONFIG_CIFS_STATS is not set CONFIG_CIFS_WEAK_PW_HASH=y CONFIG_CIFS_UPCALL=y CONFIG_CIFS_XATTR=y CONFIG_CIFS_POSIX=y # CONFIG_CIFS_DEBUG2 is not set CONFIG_CIFS_DFS_UPCALL=y CONFIG_CIFS_FSCACHE=y CONFIG_CIFS_ACL=y CONFIG_NCP_FS=m CONFIG_NCPFS_PACKET_SIGNING=y CONFIG_NCPFS_IOCTL_LOCKING=y CONFIG_NCPFS_STRONG=y CONFIG_NCPFS_NFS_NS=y CONFIG_NCPFS_OS2_NS=y # CONFIG_NCPFS_SMALLDOS is not set CONFIG_NCPFS_NLS=y CONFIG_NCPFS_EXTRAS=y CONFIG_CODA_FS=m CONFIG_AFS_FS=m # CONFIG_AFS_DEBUG is not set CONFIG_AFS_FSCACHE=y CONFIG_9P_FS=m CONFIG_9P_FSCACHE=y CONFIG_9P_FS_POSIX_ACL=y # # Partition Types # CONFIG_PARTITION_ADVANCED=y CONFIG_ACORN_PARTITION=y # CONFIG_ACORN_PARTITION_CUMANA is not set # CONFIG_ACORN_PARTITION_EESOX is not set CONFIG_ACORN_PARTITION_ICS=y # CONFIG_ACORN_PARTITION_ADFS is not set # CONFIG_ACORN_PARTITION_POWERTEC is not set CONFIG_ACORN_PARTITION_RISCIX=y CONFIG_OSF_PARTITION=y CONFIG_AMIGA_PARTITION=y CONFIG_ATARI_PARTITION=y CONFIG_MAC_PARTITION=y CONFIG_MSDOS_PARTITION=y CONFIG_BSD_DISKLABEL=y CONFIG_MINIX_SUBPARTITION=y CONFIG_SOLARIS_X86_PARTITION=y CONFIG_UNIXWARE_DISKLABEL=y CONFIG_LDM_PARTITION=y # CONFIG_LDM_DEBUG is not set CONFIG_SGI_PARTITION=y CONFIG_ULTRIX_PARTITION=y CONFIG_SUN_PARTITION=y CONFIG_KARMA_PARTITION=y CONFIG_EFI_PARTITION=y # CONFIG_SYSV68_PARTITION is not set CONFIG_NLS=y CONFIG_NLS_DEFAULT="utf8" CONFIG_NLS_CODEPAGE_437=m CONFIG_NLS_CODEPAGE_737=m CONFIG_NLS_CODEPAGE_775=m CONFIG_NLS_CODEPAGE_850=m CONFIG_NLS_CODEPAGE_852=m CONFIG_NLS_CODEPAGE_855=m CONFIG_NLS_CODEPAGE_857=m CONFIG_NLS_CODEPAGE_860=m CONFIG_NLS_CODEPAGE_861=m CONFIG_NLS_CODEPAGE_862=m CONFIG_NLS_CODEPAGE_863=m CONFIG_NLS_CODEPAGE_864=m CONFIG_NLS_CODEPAGE_865=m CONFIG_NLS_CODEPAGE_866=m CONFIG_NLS_CODEPAGE_869=m CONFIG_NLS_CODEPAGE_936=m CONFIG_NLS_CODEPAGE_950=m CONFIG_NLS_CODEPAGE_932=m CONFIG_NLS_CODEPAGE_949=m CONFIG_NLS_CODEPAGE_874=m CONFIG_NLS_ISO8859_8=m CONFIG_NLS_CODEPAGE_1250=m CONFIG_NLS_CODEPAGE_1251=m CONFIG_NLS_ASCII=m CONFIG_NLS_ISO8859_1=m CONFIG_NLS_ISO8859_2=m CONFIG_NLS_ISO8859_3=m CONFIG_NLS_ISO8859_4=m CONFIG_NLS_ISO8859_5=m CONFIG_NLS_ISO8859_6=m CONFIG_NLS_ISO8859_7=m CONFIG_NLS_ISO8859_9=m CONFIG_NLS_ISO8859_13=m CONFIG_NLS_ISO8859_14=m CONFIG_NLS_ISO8859_15=m CONFIG_NLS_KOI8_R=m CONFIG_NLS_KOI8_U=m CONFIG_NLS_UTF8=m CONFIG_DLM=m CONFIG_DLM_DEBUG=y # # Kernel hacking # CONFIG_TRACE_IRQFLAGS_SUPPORT=y CONFIG_PRINTK_TIME=y CONFIG_DEFAULT_MESSAGE_LOGLEVEL=4 CONFIG_ENABLE_WARN_DEPRECATED=y CONFIG_ENABLE_MUST_CHECK=y CONFIG_FRAME_WARN=2048 CONFIG_MAGIC_SYSRQ=y CONFIG_MAGIC_SYSRQ_DEFAULT_MASK=0x01b6 CONFIG_STRIP_ASM_SYMS=y CONFIG_UNUSED_SYMBOLS=y CONFIG_DEBUG_FS=y # CONFIG_HEADERS_CHECK is not set # CONFIG_DEBUG_SECTION_MISMATCH is not set CONFIG_DEBUG_KERNEL=y # CONFIG_DEBUG_SHIRQ is not set CONFIG_LOCKUP_DETECTOR=y CONFIG_HARDLOCKUP_DETECTOR=y # CONFIG_BOOTPARAM_HARDLOCKUP_PANIC is not set CONFIG_BOOTPARAM_HARDLOCKUP_PANIC_VALUE=0 # CONFIG_BOOTPARAM_SOFTLOCKUP_PANIC is not set CONFIG_BOOTPARAM_SOFTLOCKUP_PANIC_VALUE=0 CONFIG_DETECT_HUNG_TASK=y CONFIG_DEFAULT_HUNG_TASK_TIMEOUT=120 # CONFIG_BOOTPARAM_HUNG_TASK_PANIC is not set CONFIG_BOOTPARAM_HUNG_TASK_PANIC_VALUE=0 CONFIG_SCHED_DEBUG=y # CONFIG_SCHEDSTATS is not set CONFIG_TIMER_STATS=y # CONFIG_DEBUG_OBJECTS is not set # CONFIG_DEBUG_SLAB is not set # CONFIG_DEBUG_RT_MUTEXES is not set # CONFIG_RT_MUTEX_TESTER is not set # CONFIG_DEBUG_SPINLOCK is not set # CONFIG_DEBUG_MUTEXES is not set # CONFIG_DEBUG_LOCK_ALLOC is not set # CONFIG_PROVE_LOCKING is not set # CONFIG_SPARSE_RCU_POINTER is not set # CONFIG_LOCK_STAT is not set # CONFIG_DEBUG_ATOMIC_SLEEP is not set # CONFIG_DEBUG_LOCKING_API_SELFTESTS is not set CONFIG_STACKTRACE=y # CONFIG_DEBUG_STACK_USAGE is not set # CONFIG_DEBUG_KOBJECT is not set CONFIG_DEBUG_BUGVERBOSE=y CONFIG_DEBUG_INFO=y # CONFIG_DEBUG_INFO_REDUCED is not set # CONFIG_DEBUG_VM is not set # CONFIG_DEBUG_VIRTUAL is not set # CONFIG_DEBUG_WRITECOUNT is not set CONFIG_DEBUG_MEMORY_INIT=y # CONFIG_DEBUG_LIST is not set # CONFIG_TEST_LIST_SORT is not set # CONFIG_DEBUG_SG is not set # CONFIG_DEBUG_NOTIFIERS is not set # CONFIG_DEBUG_CREDENTIALS is not set CONFIG_ARCH_WANT_FRAME_POINTERS=y # CONFIG_FRAME_POINTER is not set CONFIG_BOOT_PRINTK_DELAY=y # CONFIG_RCU_TORTURE_TEST is not set CONFIG_RCU_CPU_STALL_TIMEOUT=60 # CONFIG_KPROBES_SANITY_TEST is not set # CONFIG_BACKTRACE_SELF_TEST is not set # CONFIG_DEBUG_BLOCK_EXT_DEVT is not set # CONFIG_DEBUG_FORCE_WEAK_PER_CPU is not set # CONFIG_DEBUG_PER_CPU_MAPS is not set # CONFIG_LKDTM is not set # CONFIG_CPU_NOTIFIER_ERROR_INJECT is not set # CONFIG_FAULT_INJECTION is not set # CONFIG_LATENCYTOP is not set CONFIG_SYSCTL_SYSCALL_CHECK=y # CONFIG_DEBUG_PAGEALLOC is not set CONFIG_USER_STACKTRACE_SUPPORT=y CONFIG_NOP_TRACER=y CONFIG_HAVE_FUNCTION_TRACER=y CONFIG_HAVE_FUNCTION_GRAPH_TRACER=y CONFIG_HAVE_FUNCTION_GRAPH_FP_TEST=y CONFIG_HAVE_FUNCTION_TRACE_MCOUNT_TEST=y CONFIG_HAVE_DYNAMIC_FTRACE=y CONFIG_HAVE_FTRACE_MCOUNT_RECORD=y CONFIG_HAVE_SYSCALL_TRACEPOINTS=y CONFIG_HAVE_C_RECORDMCOUNT=y CONFIG_RING_BUFFER=y CONFIG_EVENT_TRACING=y CONFIG_EVENT_POWER_TRACING_DEPRECATED=y CONFIG_CONTEXT_SWITCH_TRACER=y CONFIG_RING_BUFFER_ALLOW_SWAP=y CONFIG_TRACING=y CONFIG_GENERIC_TRACER=y CONFIG_TRACING_SUPPORT=y CONFIG_FTRACE=y # CONFIG_FUNCTION_TRACER is not set # CONFIG_IRQSOFF_TRACER is not set # CONFIG_SCHED_TRACER is not set # CONFIG_FTRACE_SYSCALLS is not set CONFIG_BRANCH_PROFILE_NONE=y # CONFIG_PROFILE_ANNOTATED_BRANCHES is not set # CONFIG_PROFILE_ALL_BRANCHES is not set # CONFIG_STACK_TRACER is not set CONFIG_BLK_DEV_IO_TRACE=y # CONFIG_KPROBE_EVENT is not set # CONFIG_FTRACE_STARTUP_TEST is not set # CONFIG_MMIOTRACE is not set # CONFIG_RING_BUFFER_BENCHMARK is not set # CONFIG_PROVIDE_OHCI1394_DMA_INIT is not set # CONFIG_FIREWIRE_OHCI_REMOTE_DMA is not set # CONFIG_DYNAMIC_DEBUG is not set # CONFIG_DMA_API_DEBUG is not set # CONFIG_ATOMIC64_SELFTEST is not set # CONFIG_ASYNC_RAID6_TEST is not set # CONFIG_SAMPLES is not set CONFIG_HAVE_ARCH_KGDB=y # CONFIG_KGDB is not set CONFIG_HAVE_ARCH_KMEMCHECK=y # CONFIG_TEST_KSTRTOX is not set CONFIG_STRICT_DEVMEM=y CONFIG_X86_VERBOSE_BOOTUP=y CONFIG_EARLY_PRINTK=y # CONFIG_EARLY_PRINTK_DBGP is not set # CONFIG_DEBUG_STACKOVERFLOW is not set # CONFIG_X86_PTDUMP is not set CONFIG_DEBUG_RODATA=y # CONFIG_DEBUG_RODATA_TEST is not set CONFIG_DEBUG_SET_MODULE_RONX=y # CONFIG_DEBUG_NX_TEST is not set # CONFIG_IOMMU_DEBUG is not set # CONFIG_IOMMU_STRESS is not set CONFIG_HAVE_MMIOTRACE_SUPPORT=y # CONFIG_X86_DECODER_SELFTEST is not set CONFIG_IO_DELAY_TYPE_0X80=0 CONFIG_IO_DELAY_TYPE_0XED=1 CONFIG_IO_DELAY_TYPE_UDELAY=2 CONFIG_IO_DELAY_TYPE_NONE=3 CONFIG_IO_DELAY_0X80=y # CONFIG_IO_DELAY_0XED is not set # CONFIG_IO_DELAY_UDELAY is not set # CONFIG_IO_DELAY_NONE is not set CONFIG_DEFAULT_IO_DELAY_TYPE=0 # CONFIG_DEBUG_BOOT_PARAMS is not set # CONFIG_CPA_DEBUG is not set CONFIG_OPTIMIZE_INLINING=y # CONFIG_DEBUG_STRICT_USER_COPY_CHECKS is not set # # Security options # CONFIG_KEYS=y # CONFIG_TRUSTED_KEYS is not set # CONFIG_ENCRYPTED_KEYS is not set CONFIG_KEYS_DEBUG_PROC_KEYS=y # CONFIG_SECURITY_DMESG_RESTRICT is not set CONFIG_SECURITY=y CONFIG_SECURITYFS=y CONFIG_SECURITY_NETWORK=y CONFIG_SECURITY_NETWORK_XFRM=y CONFIG_SECURITY_PATH=y # CONFIG_INTEL_TXT is not set CONFIG_LSM_MMAP_MIN_ADDR=65536 CONFIG_SECURITY_SELINUX=y # CONFIG_SECURITY_SELINUX_BOOTPARAM is not set # CONFIG_SECURITY_SELINUX_DISABLE is not set CONFIG_SECURITY_SELINUX_DEVELOP=y CONFIG_SECURITY_SELINUX_AVC_STATS=y CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1 # CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX is not set CONFIG_SECURITY_TOMOYO=y CONFIG_SECURITY_TOMOYO_MAX_ACCEPT_ENTRY=2048 CONFIG_SECURITY_TOMOYO_MAX_AUDIT_LOG=1024 # CONFIG_SECURITY_TOMOYO_OMIT_USERSPACE_LOADER is not set CONFIG_SECURITY_TOMOYO_POLICY_LOADER="/sbin/tomoyo-init" CONFIG_SECURITY_TOMOYO_ACTIVATION_TRIGGER="/sbin/init" CONFIG_SECURITY_APPARMOR=y CONFIG_SECURITY_APPARMOR_BOOTPARAM_VALUE=1 CONFIG_SECURITY_APPARMOR_COMPAT_24=y # CONFIG_IMA is not set # CONFIG_EVM is not set # CONFIG_DEFAULT_SECURITY_SELINUX is not set # CONFIG_DEFAULT_SECURITY_TOMOYO is not set # CONFIG_DEFAULT_SECURITY_APPARMOR is not set CONFIG_DEFAULT_SECURITY_DAC=y CONFIG_DEFAULT_SECURITY="" CONFIG_XOR_BLOCKS=m CONFIG_ASYNC_CORE=m CONFIG_ASYNC_MEMCPY=m CONFIG_ASYNC_XOR=m CONFIG_ASYNC_PQ=m CONFIG_ASYNC_RAID6_RECOV=m CONFIG_ASYNC_TX_DISABLE_PQ_VAL_DMA=y CONFIG_ASYNC_TX_DISABLE_XOR_VAL_DMA=y CONFIG_CRYPTO=y # # Crypto core or helper # CONFIG_CRYPTO_FIPS=y CONFIG_CRYPTO_ALGAPI=y CONFIG_CRYPTO_ALGAPI2=y CONFIG_CRYPTO_AEAD=m CONFIG_CRYPTO_AEAD2=y CONFIG_CRYPTO_BLKCIPHER=m CONFIG_CRYPTO_BLKCIPHER2=y CONFIG_CRYPTO_HASH=y CONFIG_CRYPTO_HASH2=y CONFIG_CRYPTO_RNG=m CONFIG_CRYPTO_RNG2=y CONFIG_CRYPTO_PCOMP=m CONFIG_CRYPTO_PCOMP2=y CONFIG_CRYPTO_MANAGER=y CONFIG_CRYPTO_MANAGER2=y # CONFIG_CRYPTO_USER is not set # CONFIG_CRYPTO_MANAGER_DISABLE_TESTS is not set CONFIG_CRYPTO_GF128MUL=m CONFIG_CRYPTO_NULL=m CONFIG_CRYPTO_PCRYPT=m CONFIG_CRYPTO_WORKQUEUE=y CONFIG_CRYPTO_CRYPTD=m CONFIG_CRYPTO_AUTHENC=m CONFIG_CRYPTO_TEST=m # # Authenticated Encryption with Associated Data # CONFIG_CRYPTO_CCM=m CONFIG_CRYPTO_GCM=m CONFIG_CRYPTO_SEQIV=m # # Block modes # CONFIG_CRYPTO_CBC=m CONFIG_CRYPTO_CTR=m CONFIG_CRYPTO_CTS=m CONFIG_CRYPTO_ECB=m CONFIG_CRYPTO_LRW=m CONFIG_CRYPTO_PCBC=m CONFIG_CRYPTO_XTS=m # # Hash modes # CONFIG_CRYPTO_HMAC=m CONFIG_CRYPTO_XCBC=m CONFIG_CRYPTO_VMAC=m # # Digest # CONFIG_CRYPTO_CRC32C=m CONFIG_CRYPTO_CRC32C_INTEL=m CONFIG_CRYPTO_GHASH=m CONFIG_CRYPTO_MD4=m CONFIG_CRYPTO_MD5=y CONFIG_CRYPTO_MICHAEL_MIC=m CONFIG_CRYPTO_RMD128=m CONFIG_CRYPTO_RMD160=m CONFIG_CRYPTO_RMD256=m CONFIG_CRYPTO_RMD320=m CONFIG_CRYPTO_SHA1=m CONFIG_CRYPTO_SHA1_SSSE3=m CONFIG_CRYPTO_SHA256=m CONFIG_CRYPTO_SHA512=m CONFIG_CRYPTO_TGR192=m CONFIG_CRYPTO_WP512=m CONFIG_CRYPTO_GHASH_CLMUL_NI_INTEL=m # # Ciphers # CONFIG_CRYPTO_AES=m CONFIG_CRYPTO_AES_X86_64=m CONFIG_CRYPTO_AES_NI_INTEL=m CONFIG_CRYPTO_ANUBIS=m CONFIG_CRYPTO_ARC4=m CONFIG_CRYPTO_BLOWFISH=m CONFIG_CRYPTO_BLOWFISH_COMMON=m CONFIG_CRYPTO_BLOWFISH_X86_64=m CONFIG_CRYPTO_CAMELLIA=m CONFIG_CRYPTO_CAST5=m CONFIG_CRYPTO_CAST6=m CONFIG_CRYPTO_DES=m CONFIG_CRYPTO_FCRYPT=m CONFIG_CRYPTO_KHAZAD=m CONFIG_CRYPTO_SALSA20=m CONFIG_CRYPTO_SALSA20_X86_64=m CONFIG_CRYPTO_SEED=m CONFIG_CRYPTO_SERPENT=m CONFIG_CRYPTO_TEA=m CONFIG_CRYPTO_TWOFISH=m CONFIG_CRYPTO_TWOFISH_COMMON=m CONFIG_CRYPTO_TWOFISH_X86_64=m CONFIG_CRYPTO_TWOFISH_X86_64_3WAY=m # # Compression # CONFIG_CRYPTO_DEFLATE=m CONFIG_CRYPTO_ZLIB=m CONFIG_CRYPTO_LZO=m # # Random Number Generation # CONFIG_CRYPTO_ANSI_CPRNG=m CONFIG_CRYPTO_USER_API=m CONFIG_CRYPTO_USER_API_HASH=m CONFIG_CRYPTO_USER_API_SKCIPHER=m CONFIG_CRYPTO_HW=y CONFIG_CRYPTO_DEV_PADLOCK=m CONFIG_CRYPTO_DEV_PADLOCK_AES=m CONFIG_CRYPTO_DEV_PADLOCK_SHA=m CONFIG_HAVE_KVM=y CONFIG_HAVE_KVM_IRQCHIP=y CONFIG_HAVE_KVM_EVENTFD=y CONFIG_KVM_APIC_ARCHITECTURE=y CONFIG_KVM_MMIO=y CONFIG_KVM_ASYNC_PF=y CONFIG_VIRTUALIZATION=y CONFIG_KVM=m CONFIG_KVM_INTEL=m CONFIG_KVM_AMD=m # CONFIG_KVM_MMU_AUDIT is not set CONFIG_VHOST_NET=m CONFIG_BINARY_PRINTF=y # # Library routines # CONFIG_RAID6_PQ=m CONFIG_BITREVERSE=y CONFIG_GENERIC_FIND_FIRST_BIT=y CONFIG_CRC_CCITT=m CONFIG_CRC16=m CONFIG_CRC_T10DIF=m CONFIG_CRC_ITU_T=m CONFIG_CRC32=y CONFIG_CRC7=m CONFIG_LIBCRC32C=m CONFIG_CRC8=m CONFIG_ZLIB_INFLATE=y CONFIG_ZLIB_DEFLATE=m CONFIG_LZO_COMPRESS=y CONFIG_LZO_DECOMPRESS=y CONFIG_XZ_DEC=y CONFIG_XZ_DEC_X86=y CONFIG_XZ_DEC_POWERPC=y CONFIG_XZ_DEC_IA64=y CONFIG_XZ_DEC_ARM=y CONFIG_XZ_DEC_ARMTHUMB=y CONFIG_XZ_DEC_SPARC=y CONFIG_XZ_DEC_BCJ=y # CONFIG_XZ_DEC_TEST is not set CONFIG_DECOMPRESS_GZIP=y CONFIG_DECOMPRESS_BZIP2=y CONFIG_DECOMPRESS_LZMA=y CONFIG_DECOMPRESS_XZ=y CONFIG_DECOMPRESS_LZO=y CONFIG_GENERIC_ALLOCATOR=y CONFIG_REED_SOLOMON=m CONFIG_REED_SOLOMON_DEC16=y CONFIG_TEXTSEARCH=y CONFIG_TEXTSEARCH_KMP=m CONFIG_TEXTSEARCH_BM=m CONFIG_TEXTSEARCH_FSM=m CONFIG_BTREE=y CONFIG_HAS_IOMEM=y CONFIG_HAS_IOPORT=y CONFIG_HAS_DMA=y CONFIG_CHECK_SIGNATURE=y CONFIG_CPU_RMAP=y CONFIG_DQL=y CONFIG_NLATTR=y CONFIG_LRU_CACHE=m CONFIG_AVERAGE=y CONFIG_CORDIC=m root@debian:/home/anthony#
Bede musial zrobic przeprowadzke do Jessie, bo innego rozwiazania nie widze.
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#22 2015-05-21 18:53:22
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Egress filtering - regolki dla iptables.
Na stabilnego Debiana, już dawno powinieneś moim zdaniem, stabilny Debian oznacza stabilność i wsparcie, a oldstable ma tylko łatane dziury bezpieczeństwa.
To zasadnicza różnica dla każdego użyszkodnika.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#23 2015-05-21 18:58:12
ArnVaker - Kapelusznik
- ArnVaker
- Kapelusznik
- Skąd: Midgard
- Zarejestrowany: 2009-05-06
Re: Egress filtering - regolki dla iptables.
W backportach jest 3.16.
[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]
Offline
#24 2015-05-21 19:16:28
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: Egress filtering - regolki dla iptables.
Wiem, juz sciagnolem i wypalilem, instalacja jutro. Bardzo dziekuje za dzisiejsza cierpliwosc.
Musze zmienic sposob instalacji tak zeby uniknac wypalania lytek CD tylko bezposrednio z USB, ekologicznie.
Ostatnio edytowany przez Novi-cjusz (2015-05-21 19:22:25)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
Strony: 1
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » Egress filtering - regolki dla iptables.
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00012 | SET CHARSET latin2 |
| 0.00005 | SET NAMES latin2 |
| 0.00090 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.15.226.71' WHERE u.id=1 |
| 0.00061 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.15.226.71', 1728238948) |
| 0.00050 | SELECT * FROM punbb_online WHERE logged<1728238648 |
| 0.00058 | DELETE FROM punbb_online WHERE ident='85.208.96.206' |
| 0.00051 | SELECT topic_id FROM punbb_posts WHERE id=287342 |
| 0.00005 | SELECT id FROM punbb_posts WHERE topic_id=27418 ORDER BY posted |
| 0.00058 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27418 AND t.moved_to IS NULL |
| 0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00104 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27418 ORDER BY p.id LIMIT 0,25 |
| 0.00069 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27418 |
| Total query time: 0.00568 s | |