Forum Debian Users Gang

Novi-cjusz · 2015-05-21 11:22:28

Witam powtornie z prosba o pomoc. Jestem w trakcie czytania i nauki tutoriala (frozentux) iptables.
Szukam sposobu na filtrowanie ruchu wychodzacego.
O egress filtering jest wiele artykulow ale w wiekszosci ekstremalnie powierzchownych.
Moje pytanie jest: jak powinny wygladac regolki egress filtering dla iptables na Debianie, z opcja logowania?

morfik · 2015-05-21 11:34:22

A co chcesz robić?

Novi-cjusz · 2015-05-21 11:44:42

Chce wiedziec/logowac/blokowac skompromitowany ruch wychodzacy.
Jakie:aplikacje-uslugi,protokoly,porty.
Co wychodzi z mojego kompa i dokad idzie.
W szczegolnosci wszystkie "ukryte"
Najlepiej "reverse IP" + "v - verbose"

Dotychczas przeczytalem moze 50 www - i same siano.Najpierw "LOG" pozniej "DROP" w lancuchu "OUTGOING" tylko czego?

Ostatnio edytowany przez Novi-cjusz (2015-05-21 11:51:46)

morfik · 2015-05-21 11:49:52

No to zrób sobie taki sam filtr jak masz na wejściu -- przepuszczaj related i established, weryfikuj stan new. To co chcesz przepuszczać, to przepuszczaj, resztę blokuj i loguj -- cała filozofia.

Novi-cjusz · 2015-05-21 11:53:25

Chyba niedokladnie, poniewaz komp moze inicjowac polaczenia niezwiazane z ruchem "INPUT"
Np, sciagasz instalujesz plikacje, nie uzywasz jej a ona mimo nawiazuje polaczenia, nie mowiac juz o systemie operacyjnym itp itd.

Ostatnio edytowany przez Novi-cjusz (2015-05-21 11:58:26)

Jacekalex · 2015-05-21 11:57:15

Najłatwiej przez cgroup.

Kod:

iptables -S | grep 'OUTPUT DROP'
-P OUTPUT DROP

Kod:

iptables -S | grep cgroup
-A OUTPUT -m cgroup --cgroup 1 -j ACCEPT
-A OUTPUT -m cgroup --cgroup 2 -j ACCEPT
-A OUTPUT -m cgroup --cgroup 3 -j ACCEPT
-A OUTPUT -m cgroup --cgroup 4 -j ACCEPT
-A OUTPUT -m cgroup --cgroup 5 -j ACCEPT
-A OUTPUT -m cgroup --cgroup 9 -j ACCEPT

Potrzebny jest support cgroup w iptables, nie wiem, czy dotarł do Debiana (na serwerach git netfiltera już jest łatka od dawna):

Kod:

iptables -m cgroup --help | tail -n2
cgroup match options:
[!] --cgroup fwid  Match cgroup fwid

W kernelu odpowiada za to moduł:

Kod:

CONFIG_NETFILTER_XT_MATCH_CGROUP=m

- jest w standardowych źródłach kernela, i w jaju aptosidowym dla Debiana.

O tym, w jakich grupach wylądują programy, decyduje demon /usr/sbin/cgrulesengd

Konfiguracja demona cgrulesengd, fragment:

Kod:

egrep 'skypepulse|firefox|pidgin'  /etc/cgroup/cgrules.conf 
*:firefox                                  cpu,memory,net_cls    users/firefox/
*:plugin-container                         cpu,memory,net_cls    users/firefox/
*:skypepulse                               cpu,memory,net_cls    voip/skype/
*:pidgin                                   cpu,memory,net_cls   users/pidgin/
*:filezilla                                 cpu,memory,blkio,net_cls      users/firefox/

Grupy u mnie tworzy skrypt /usr/local/sbin/cgstart, odpalany przy starcie systemu, w nim np Firefox wygląda tak:

Kod:

############################################
# Firefox 

mkdir -p $CGDIR/cpu/users/firefox
echo 1 > $CGDIR/cpu/users/firefox/cgroup.clone_children
echo "300" > $CGDIR/cpu/users/firefox/cpu.shares

mkdir -p $CGDIR/memory/users/firefox
echo '1'> $CGDIR/memory/users/firefox/cgroup.clone_children
echo '1024m' >   $CGDIR/memory/users/firefox/memory.max_usage_in_bytes
echo '1024m' >   $CGDIR/memory/users/firefox/memory.limit_in_bytes
echo '1' >   $CGDIR/memory/users/firefox/memory.oom_control 


mkdir -p $CGDIR/net_cls/users/firefox
echo '3' > $CGDIR/net_cls/users/firefox/net_cls.classid
echo '1' > $CGDIR/net_cls/users/firefox/cgroup.clone_children


################################################

Można też grupy tworzyć drogą oficjalną, przez cgconfig, ale u mnie coś nie chciało to działać.

Ostatnio edytowany przez Jacekalex (2015-05-21 12:02:49)

morfik · 2015-05-21 12:10:21

Novi-cjusz napisał(-a):
Chyba niedokladnie, poniewaz komp moze inicjowac polaczenia niezwiazane z ruchem "INPUT"
Np, sciagasz instalujesz plikacje, nie uzywasz jej a ona mimo nawiazuje polaczenia, nie mowiac juz o systemie operacyjnym itp itd.

Coś musi zainicjować połączenie, by to w ogóle mogło się mieć miejsce. Jeśli czyjaś maszyna, to pakiet w stanie NEW leci pod twój adres, a jeśli twoja maszyna inicjuje połaczenie, to ona wysyła pakiet ze stanem NEW pod czyjś adres. Zasada działania jest dokładnie taka sama tylko, że w drugą stronę.

Problemem są generalnie usługi świadczone na maszynach i nie ma znaczenia czy to "system operacyjny" (to tylko zbitka programów) — jeśli znasz porty, na których te usługi działają, to nie ma żadnego problemu z filtracją ruchu wyjściowego. Jeśli natomiast masz jakieś wymyślne usługi typu torrent co skaczą po wszystkich portach, to wtedy masz problem ale takich usług jest chyba niewiele — większość bez problemu można oznaczyć ręcznie.

Co do cgroups, to on póki co tylko on chyba się nadaje do tych bardziej wyrafinowanych usług sieciowych ale są już prace na firewallem w systemd, który nie będzie operował na samych porach ale już będzie się precyzowało usługi po procesach i właśnie tam , z tego co czytałem, znajdzie zastosowanie ten cgroups i skończy się problem z tymi wrednymi usługami latającymi po wszystkich portach — zabronisz procesowi korzystać z sieci albo zezwolisz mu na łączenie z konkretnymi adresami i ten nie będzie miał wyjścia. xD

Ostatnio edytowany przez morfik (2015-05-21 12:11:30)

Novi-cjusz · 2015-05-21 12:25:42

Jestesmy coraz blizej, jako czeladnik - amator potrzebuje nieco wiecej czasu na "ulozenie" sobie powyzszych wiadomosci.
Gdybym mogl jeszcze korzystajac z Waszej uprzejmosci poprosic o krotki tutorial odnosnie instalacji latki dla cgroups w iptables.
Gdzies popelnialem blad.

Kod:

root@debian:/home/anthony# mount | grep -i cgroup
root@debian:/home/anthony#

Ostatnio edytowany przez Novi-cjusz (2015-05-21 12:27:24)

Jacekalex · 2015-05-21 12:42:48

Tu są łatki do iptables:
https://git.netfilter.org/iptables/commit/?id=64658 … dfee61d1a0aeb

Czy masz support cgroup?

Kod:

grep CGROUP /boot/config-$(uname -r)

Kod:

cat /proc/cgroups

Zamontowanie grup w folderze /cgroup

Kod:

awk 'NR>1 {print $1}' /proc/cgroups | while read -r a; 
do   b="/cgroup/$a";   mkdir -p "$b";  
 mount -tcgroup -o"$a" "cgroup:$a" "$b" 2>/dev/null; done

Ostatnio edytowany przez Jacekalex (2015-05-21 12:45:37)

Novi-cjusz · 2015-05-21 12:46:12

Kod:

root@debian:/home/anthony# grep CGROUP /boot/config-$(uname -r)
CONFIG_CGROUPS=y
# CONFIG_CGROUP_DEBUG is not set
CONFIG_CGROUP_FREEZER=y
CONFIG_CGROUP_DEVICE=y
CONFIG_CGROUP_CPUACCT=y
CONFIG_CGROUP_MEM_RES_CTLR=y
CONFIG_CGROUP_MEM_RES_CTLR_DISABLED=y
CONFIG_CGROUP_MEM_RES_CTLR_SWAP=y
# CONFIG_CGROUP_MEM_RES_CTLR_SWAP_ENABLED is not set
CONFIG_CGROUP_PERF=y
CONFIG_CGROUP_SCHED=y
CONFIG_BLK_CGROUP=y
# CONFIG_DEBUG_BLK_CGROUP is not set
CONFIG_NET_CLS_CGROUP=y
root@debian:/home/anthony# cat /proc/cgroups
#subsys_name    hierarchy    num_cgroups    enabled
cpuset    0    1    1
cpu    0    1    1
cpuacct    0    1    1
memory    0    1    0
devices    0    1    1
freezer    0    1    1
net_cls    0    1    1
blkio    0    1    1
perf_event    0    1    1
root@debian:/home/anthony#

Jacekalex · 2015-05-21 12:48:21

Czyli cgroups jest na swoim miejscu.

Teraz zamontuj grupy, jak podałem wyżej i pokaż:

Kod:

mount | grep cgroup

Ostatnio edytowany przez Jacekalex (2015-05-21 12:48:49)

Novi-cjusz · 2015-05-21 12:49:58

Przepraszam, poprawiam:

Kod:

root@debian:/home/anthony# awk 'NR>1 {print $1}' /proc/cgroups | while read -r a; 
> do   b="/cgroup/$a";   mkdir -p "$b";  
>  mount -tcgroup -o"$a" "cgroup:$a" "$b" 2>/dev/null; done
root@debian:/home/anthony# mount | grep cgroup
cgroup:cpuset on /cgroup/cpuset type cgroup (rw,relatime,cpuset)
cgroup:cpu on /cgroup/cpu type cgroup (rw,relatime,cpu)
cgroup:cpuacct on /cgroup/cpuacct type cgroup (rw,relatime,cpuacct)
cgroup:devices on /cgroup/devices type cgroup (rw,relatime,devices)
cgroup:freezer on /cgroup/freezer type cgroup (rw,relatime,freezer)
cgroup:net_cls on /cgroup/net_cls type cgroup (rw,relatime,net_cls)
cgroup:blkio on /cgroup/blkio type cgroup (rw,relatime,blkio)
cgroup:perf_event on /cgroup/perf_event type cgroup (rw,relatime,perf_event)
root@debian:/home/anthony#

Brakuje modulu: CONFIG_NETFILTER_XT_MATCH_CGROUP=m

Kod:

root@debian:/home/anthony# cat /boot/config-3.2.0-4-amd64 |grep -i cgroup
CONFIG_CGROUPS=y
# CONFIG_CGROUP_DEBUG is not set
CONFIG_CGROUP_FREEZER=y
CONFIG_CGROUP_DEVICE=y
CONFIG_CGROUP_CPUACCT=y
CONFIG_CGROUP_MEM_RES_CTLR=y
CONFIG_CGROUP_MEM_RES_CTLR_DISABLED=y
CONFIG_CGROUP_MEM_RES_CTLR_SWAP=y
# CONFIG_CGROUP_MEM_RES_CTLR_SWAP_ENABLED is not set
CONFIG_CGROUP_PERF=y
CONFIG_CGROUP_SCHED=y
CONFIG_BLK_CGROUP=y
# CONFIG_DEBUG_BLK_CGROUP is not set
CONFIG_NET_CLS_CGROUP=y
root@debian:/home/anthony#

Kod:

root@debian:/home/anthony# insmod CONFIG_NETFILTER_XT_MATCH_CGROUP=m
Error: could not load module CONFIG_NETFILTER_XT_MATCH_CGROUP=m: No such file or directory

Ostatnio edytowany przez Novi-cjusz (2015-05-21 13:06:27)

Jacekalex · 2015-05-21 13:58:46

Nowsze jajo się kłania, ten moduł się pojawił dosyć niedawno, chyba w jaju 3.14, o ile pamiętam.
W aptosidowym 4.0.3 jest na pewno.

Ostatnio edytowany przez Jacekalex (2015-05-21 14:00:42)

Novi-cjusz · 2015-05-21 14:04:41

Dla mnie to oznacza nowy temat, Kernel upgrade.
Gdybys mogl podac linka do tutka z tym tematem?
Chcialem sie upewnic, czy to jest wlasciwa strona na upgrade kernela do uptosid? http://manual.aptosid.com/pl/sys-admin-kern-upg-pl.htm#kern-upgrade

Jacekalex napisał(-a):
Nowsze jajo się kłania, ten moduł się pojawił dosyć niedawno, chyba w jaju 3.14, o ile pamiętam.
W aptosidowym 4.0.3 jest na pewno.

Moje jajo: 3.2.0-4-amd64
Jest jakas rozpiska, ktory modul co robi dla iptables?

Ostatnio edytowany przez Novi-cjusz (2015-05-21 14:28:41)

morfik · 2015-05-21 16:31:50

Użyj modinfo i nazwa modułu.

Jacekalex · 2015-05-21 16:48:04

Novi-cjusz napisał(-a):
Dla mnie to oznacza nowy temat, Kernel upgrade.
Gdybys mogl podac linka do tutka z tym tematem?
Chcialem sie upewnic, czy to jest wlasciwa strona na upgrade kernela do uptosid? http://manual.aptosid.com/pl/sys-admin-kern-upg-pl.htm#kern-upgrade

Repo:

Kod:

deb http://aptosid.com/debian unstable main fix.main
deb-src http://aptosid.com/debian unstable main fix.main

Kod:

aptitude update

Do tego jeszcze w /etc/apt/apt.conf

Kod:

APT::Default-Release "stable";

na wszelki wypadek (obecnie stable oznacza Debiana Jessie).

I potem w synapticu wybierasz paczuszki linux-image, linux-headers i co tam jeszcze potrzebujesz z gałęzi unstable.

Poza tym masz jajo 3.2.x? Co to za system? jakieś muzeum?
Przecież to jajo było w Wheezym, który już jest oldstable.

Stabilny Debian Jessie wystartował na jaju 3.16, o ile pamiętam.

Ostatnio edytowany przez Jacekalex (2015-05-21 16:54:10)

Novi-cjusz · 2015-05-21 17:08:58

Poza tym masz jajo 3.2.x? Co to za system? jakieś muzeum?
Przecież to jajo było w Wheezym, który już jest oldstable.

Wszystko prawda:

Kod:

root@debian:/home/anthony# cat /etc/debian_version
7.8
root@debian:/home/anthony# dpkg -l | grep linux-image
ii  linux-image-3.2.0-4-amd64             3.2.68-1+deb7u1                    amd64        Linux 3.2 for 64-bit PCs
ii  linux-image-amd64                     3.2+46                             amd64        Linux for 64-bit PCs (meta-package)

Kod:

  GNU nano 2.2.6          File: /etc/apt/sources.list                 Modified  

deb http://ftp.ie.debian.org/debian/ oldstable main contrib non-free
## uaktualnienia bezpieczeństwa
deb http://security.debian.org/ oldstable/updates main contrib non-free
## często uaktualniane pakiety, np. dotyczące
## filtrowania spamu czy skanowania antywirusowego
deb http://ftp.pl.debian.org/debian oldstable-updates main contrib non-free
## backporty - programy przepakietowane dla stable z testinga
deb http://ftp.pl.debian.org/debian wheezy-backports main contrib non-free
## deb-multimedia - dodatkowe kodeki, odtwarzacze, etc.
deb http://www.deb-multimedia.org/ oldstable main non-free
## backporty deb-multimedia - dodatkowe kodeki, odtwarzacze, etc.
## przepakietowane dla stable z testinga
deb http://www.deb-multimedia.org/ wheezy-backports main
deb http://http.us.debian.org/debian/ wheezy main
deb http://aptosid.com/debian unstable main fix.main
deb-src http://aptosid.com/debian unstable main fix.main

Taka zawartosc:

Kod:

APT::Default-Release "stable";

daje mi taki komunikat podczas otwierania Synaptic:

Kod:

E: The value 'stable' is invalid for APT::Default-Release as such a release is not available in the sources
E: _cache->open() failed, please report.

Ostatnio edytowany przez Novi-cjusz (2015-05-21 17:36:28)

Jacekalex · 2015-05-21 17:40:00

Stable oznacza aktualizację do Jessie, i musiałbyś dodać repozytoria Debiana stable/jessie.

U siebie ustaw oldstable lub wheezy, jak chcesz zostać na Wheezym, albo zaktualizuj system do Jessie.

Czyli, np:

Kod:

APT::Default-Release "wheezy";

Ostatnio edytowany przez Jacekalex (2015-05-21 17:41:26)

Novi-cjusz · 2015-05-21 18:12:21

Modulu CONFIG_NETFILTER_XT_MATCH_CGROUP=m nadal nie ma

Kod:

root@debian:/home/anthony# awk 'NR>1 {print $1}' /proc/cgroups | while read -r a; 
> do   b="/cgroup/$a";   mkdir -p "$b";  
>  mount -tcgroup -o"$a" "cgroup:$a" "$b" 2>/dev/null; done
root@debian:/home/anthony# mount | grep cgroup
cgroup:cpuset on /cgroup/cpuset type cgroup (rw,relatime,cpuset)
cgroup:cpu on /cgroup/cpu type cgroup (rw,relatime,cpu)
cgroup:cpuacct on /cgroup/cpuacct type cgroup (rw,relatime,cpuacct)
cgroup:devices on /cgroup/devices type cgroup (rw,relatime,devices)
cgroup:freezer on /cgroup/freezer type cgroup (rw,relatime,freezer)
cgroup:net_cls on /cgroup/net_cls type cgroup (rw,relatime,net_cls)
cgroup:blkio on /cgroup/blkio type cgroup (rw,relatime,blkio)
cgroup:perf_event on /cgroup/perf_event type cgroup (rw,relatime,perf_event)
root@debian:/home/anthony# cat /boot/config-3.2.0-4-amd64 |grep -i cgroup
CONFIG_CGROUPS=y
# CONFIG_CGROUP_DEBUG is not set
CONFIG_CGROUP_FREEZER=y
CONFIG_CGROUP_DEVICE=y
CONFIG_CGROUP_CPUACCT=y
CONFIG_CGROUP_MEM_RES_CTLR=y
CONFIG_CGROUP_MEM_RES_CTLR_DISABLED=y
CONFIG_CGROUP_MEM_RES_CTLR_SWAP=y
# CONFIG_CGROUP_MEM_RES_CTLR_SWAP_ENABLED is not set
CONFIG_CGROUP_PERF=y
CONFIG_CGROUP_SCHED=y
CONFIG_BLK_CGROUP=y
# CONFIG_DEBUG_BLK_CGROUP is not set
CONFIG_NET_CLS_CGROUP=y
root@debian:/home/anthony# insmod CONFIG_NETFILTER_XT_MATCH_CGROUP=m
Error: could not load module CONFIG_NETFILTER_XT_MATCH_CGROUP=m: No such file or directory
root@debian:/home/anthony#

Kod:

root@debian:/home/anthony# modinfo  CONFIG_NETFILTER_XT_MATCH_CGROUP=m
ERROR: Module CONFIG_NETFILTER_XT_MATCH_CGROUP=m not found.

Ostatnio edytowany przez Novi-cjusz (2015-05-21 18:15:01)

Jacekalex · 2015-05-21 18:29:54

Kod:

root@debian:/home/anthony# modinfo  CONFIG_NETFILTER_XT_MATCH_CGROUP=m
ERROR: Module CONFIG_NETFILTER_XT_MATCH_CGROUP=m not found.

Kod:

cat /boot/config-3.2.0-4-amd64

W tym jaju go nie ma, nie było i nigdy nie będzie, cnoćbyś nawet zatańczył na uszach.

Ten moduł pojawił się później, o ile pamiętam, w kernelu 3.14 i nowszych.
Powinien być w jaju 3.16 - domyślnym w Debianie Jessie, albo w jaju Aptosida.

Debian Jessie, to aktualne wydanie stabilne Debiana.
https://www.debian.org/releases/stable/index.pl.html

Novi-cjusz · 2015-05-21 18:50:21

Kod:

# CONFIG_AUFS_PROC_MAP is not set
# CONFIG_AUFS_SP_IATTR is not set
# CONFIG_AUFS_SHWH is not set
# CONFIG_AUFS_BR_RAMFS is not set
# CONFIG_AUFS_BR_FUSE is not set
CONFIG_AUFS_BR_HFSPLUS=y
CONFIG_AUFS_BDEV_LOOP=y
# CONFIG_AUFS_DEBUG is not set
CONFIG_ORE=m
CONFIG_NETWORK_FILESYSTEMS=y
CONFIG_NFS_FS=m
CONFIG_NFS_V3=y
CONFIG_NFS_V3_ACL=y
CONFIG_NFS_V4=y
CONFIG_NFS_V4_1=y
CONFIG_PNFS_FILE_LAYOUT=m
CONFIG_PNFS_BLOCK=m
CONFIG_PNFS_OBJLAYOUT=m
CONFIG_NFS_FSCACHE=y
# CONFIG_NFS_USE_LEGACY_DNS is not set
CONFIG_NFS_USE_KERNEL_DNS=y
# CONFIG_NFS_USE_NEW_IDMAPPER is not set
CONFIG_NFSD=m
CONFIG_NFSD_V2_ACL=y
CONFIG_NFSD_V3=y
CONFIG_NFSD_V3_ACL=y
CONFIG_NFSD_V4=y
CONFIG_LOCKD=m
CONFIG_LOCKD_V4=y
CONFIG_NFS_ACL_SUPPORT=m
CONFIG_NFS_COMMON=y
CONFIG_SUNRPC=m
CONFIG_SUNRPC_GSS=m
CONFIG_SUNRPC_BACKCHANNEL=y
CONFIG_SUNRPC_XPRT_RDMA=m
CONFIG_RPCSEC_GSS_KRB5=m
CONFIG_CEPH_FS=m
CONFIG_CIFS=m
# CONFIG_CIFS_STATS is not set
CONFIG_CIFS_WEAK_PW_HASH=y
CONFIG_CIFS_UPCALL=y
CONFIG_CIFS_XATTR=y
CONFIG_CIFS_POSIX=y
# CONFIG_CIFS_DEBUG2 is not set
CONFIG_CIFS_DFS_UPCALL=y
CONFIG_CIFS_FSCACHE=y
CONFIG_CIFS_ACL=y
CONFIG_NCP_FS=m
CONFIG_NCPFS_PACKET_SIGNING=y
CONFIG_NCPFS_IOCTL_LOCKING=y
CONFIG_NCPFS_STRONG=y
CONFIG_NCPFS_NFS_NS=y
CONFIG_NCPFS_OS2_NS=y
# CONFIG_NCPFS_SMALLDOS is not set
CONFIG_NCPFS_NLS=y
CONFIG_NCPFS_EXTRAS=y
CONFIG_CODA_FS=m
CONFIG_AFS_FS=m
# CONFIG_AFS_DEBUG is not set
CONFIG_AFS_FSCACHE=y
CONFIG_9P_FS=m
CONFIG_9P_FSCACHE=y
CONFIG_9P_FS_POSIX_ACL=y

#
# Partition Types
#
CONFIG_PARTITION_ADVANCED=y
CONFIG_ACORN_PARTITION=y
# CONFIG_ACORN_PARTITION_CUMANA is not set
# CONFIG_ACORN_PARTITION_EESOX is not set
CONFIG_ACORN_PARTITION_ICS=y
# CONFIG_ACORN_PARTITION_ADFS is not set
# CONFIG_ACORN_PARTITION_POWERTEC is not set
CONFIG_ACORN_PARTITION_RISCIX=y
CONFIG_OSF_PARTITION=y
CONFIG_AMIGA_PARTITION=y
CONFIG_ATARI_PARTITION=y
CONFIG_MAC_PARTITION=y
CONFIG_MSDOS_PARTITION=y
CONFIG_BSD_DISKLABEL=y
CONFIG_MINIX_SUBPARTITION=y
CONFIG_SOLARIS_X86_PARTITION=y
CONFIG_UNIXWARE_DISKLABEL=y
CONFIG_LDM_PARTITION=y
# CONFIG_LDM_DEBUG is not set
CONFIG_SGI_PARTITION=y
CONFIG_ULTRIX_PARTITION=y
CONFIG_SUN_PARTITION=y
CONFIG_KARMA_PARTITION=y
CONFIG_EFI_PARTITION=y
# CONFIG_SYSV68_PARTITION is not set
CONFIG_NLS=y
CONFIG_NLS_DEFAULT="utf8"
CONFIG_NLS_CODEPAGE_437=m
CONFIG_NLS_CODEPAGE_737=m
CONFIG_NLS_CODEPAGE_775=m
CONFIG_NLS_CODEPAGE_850=m
CONFIG_NLS_CODEPAGE_852=m
CONFIG_NLS_CODEPAGE_855=m
CONFIG_NLS_CODEPAGE_857=m
CONFIG_NLS_CODEPAGE_860=m
CONFIG_NLS_CODEPAGE_861=m
CONFIG_NLS_CODEPAGE_862=m
CONFIG_NLS_CODEPAGE_863=m
CONFIG_NLS_CODEPAGE_864=m
CONFIG_NLS_CODEPAGE_865=m
CONFIG_NLS_CODEPAGE_866=m
CONFIG_NLS_CODEPAGE_869=m
CONFIG_NLS_CODEPAGE_936=m
CONFIG_NLS_CODEPAGE_950=m
CONFIG_NLS_CODEPAGE_932=m
CONFIG_NLS_CODEPAGE_949=m
CONFIG_NLS_CODEPAGE_874=m
CONFIG_NLS_ISO8859_8=m
CONFIG_NLS_CODEPAGE_1250=m
CONFIG_NLS_CODEPAGE_1251=m
CONFIG_NLS_ASCII=m
CONFIG_NLS_ISO8859_1=m
CONFIG_NLS_ISO8859_2=m
CONFIG_NLS_ISO8859_3=m
CONFIG_NLS_ISO8859_4=m
CONFIG_NLS_ISO8859_5=m
CONFIG_NLS_ISO8859_6=m
CONFIG_NLS_ISO8859_7=m
CONFIG_NLS_ISO8859_9=m
CONFIG_NLS_ISO8859_13=m
CONFIG_NLS_ISO8859_14=m
CONFIG_NLS_ISO8859_15=m
CONFIG_NLS_KOI8_R=m
CONFIG_NLS_KOI8_U=m
CONFIG_NLS_UTF8=m
CONFIG_DLM=m
CONFIG_DLM_DEBUG=y

#
# Kernel hacking
#
CONFIG_TRACE_IRQFLAGS_SUPPORT=y
CONFIG_PRINTK_TIME=y
CONFIG_DEFAULT_MESSAGE_LOGLEVEL=4
CONFIG_ENABLE_WARN_DEPRECATED=y
CONFIG_ENABLE_MUST_CHECK=y
CONFIG_FRAME_WARN=2048
CONFIG_MAGIC_SYSRQ=y
CONFIG_MAGIC_SYSRQ_DEFAULT_MASK=0x01b6
CONFIG_STRIP_ASM_SYMS=y
CONFIG_UNUSED_SYMBOLS=y
CONFIG_DEBUG_FS=y
# CONFIG_HEADERS_CHECK is not set
# CONFIG_DEBUG_SECTION_MISMATCH is not set
CONFIG_DEBUG_KERNEL=y
# CONFIG_DEBUG_SHIRQ is not set
CONFIG_LOCKUP_DETECTOR=y
CONFIG_HARDLOCKUP_DETECTOR=y
# CONFIG_BOOTPARAM_HARDLOCKUP_PANIC is not set
CONFIG_BOOTPARAM_HARDLOCKUP_PANIC_VALUE=0
# CONFIG_BOOTPARAM_SOFTLOCKUP_PANIC is not set
CONFIG_BOOTPARAM_SOFTLOCKUP_PANIC_VALUE=0
CONFIG_DETECT_HUNG_TASK=y
CONFIG_DEFAULT_HUNG_TASK_TIMEOUT=120
# CONFIG_BOOTPARAM_HUNG_TASK_PANIC is not set
CONFIG_BOOTPARAM_HUNG_TASK_PANIC_VALUE=0
CONFIG_SCHED_DEBUG=y
# CONFIG_SCHEDSTATS is not set
CONFIG_TIMER_STATS=y
# CONFIG_DEBUG_OBJECTS is not set
# CONFIG_DEBUG_SLAB is not set
# CONFIG_DEBUG_RT_MUTEXES is not set
# CONFIG_RT_MUTEX_TESTER is not set
# CONFIG_DEBUG_SPINLOCK is not set
# CONFIG_DEBUG_MUTEXES is not set
# CONFIG_DEBUG_LOCK_ALLOC is not set
# CONFIG_PROVE_LOCKING is not set
# CONFIG_SPARSE_RCU_POINTER is not set
# CONFIG_LOCK_STAT is not set
# CONFIG_DEBUG_ATOMIC_SLEEP is not set
# CONFIG_DEBUG_LOCKING_API_SELFTESTS is not set
CONFIG_STACKTRACE=y
# CONFIG_DEBUG_STACK_USAGE is not set
# CONFIG_DEBUG_KOBJECT is not set
CONFIG_DEBUG_BUGVERBOSE=y
CONFIG_DEBUG_INFO=y
# CONFIG_DEBUG_INFO_REDUCED is not set
# CONFIG_DEBUG_VM is not set
# CONFIG_DEBUG_VIRTUAL is not set
# CONFIG_DEBUG_WRITECOUNT is not set
CONFIG_DEBUG_MEMORY_INIT=y
# CONFIG_DEBUG_LIST is not set
# CONFIG_TEST_LIST_SORT is not set
# CONFIG_DEBUG_SG is not set
# CONFIG_DEBUG_NOTIFIERS is not set
# CONFIG_DEBUG_CREDENTIALS is not set
CONFIG_ARCH_WANT_FRAME_POINTERS=y
# CONFIG_FRAME_POINTER is not set
CONFIG_BOOT_PRINTK_DELAY=y
# CONFIG_RCU_TORTURE_TEST is not set
CONFIG_RCU_CPU_STALL_TIMEOUT=60
# CONFIG_KPROBES_SANITY_TEST is not set
# CONFIG_BACKTRACE_SELF_TEST is not set
# CONFIG_DEBUG_BLOCK_EXT_DEVT is not set
# CONFIG_DEBUG_FORCE_WEAK_PER_CPU is not set
# CONFIG_DEBUG_PER_CPU_MAPS is not set
# CONFIG_LKDTM is not set
# CONFIG_CPU_NOTIFIER_ERROR_INJECT is not set
# CONFIG_FAULT_INJECTION is not set
# CONFIG_LATENCYTOP is not set
CONFIG_SYSCTL_SYSCALL_CHECK=y
# CONFIG_DEBUG_PAGEALLOC is not set
CONFIG_USER_STACKTRACE_SUPPORT=y
CONFIG_NOP_TRACER=y
CONFIG_HAVE_FUNCTION_TRACER=y
CONFIG_HAVE_FUNCTION_GRAPH_TRACER=y
CONFIG_HAVE_FUNCTION_GRAPH_FP_TEST=y
CONFIG_HAVE_FUNCTION_TRACE_MCOUNT_TEST=y
CONFIG_HAVE_DYNAMIC_FTRACE=y
CONFIG_HAVE_FTRACE_MCOUNT_RECORD=y
CONFIG_HAVE_SYSCALL_TRACEPOINTS=y
CONFIG_HAVE_C_RECORDMCOUNT=y
CONFIG_RING_BUFFER=y
CONFIG_EVENT_TRACING=y
CONFIG_EVENT_POWER_TRACING_DEPRECATED=y
CONFIG_CONTEXT_SWITCH_TRACER=y
CONFIG_RING_BUFFER_ALLOW_SWAP=y
CONFIG_TRACING=y
CONFIG_GENERIC_TRACER=y
CONFIG_TRACING_SUPPORT=y
CONFIG_FTRACE=y
# CONFIG_FUNCTION_TRACER is not set
# CONFIG_IRQSOFF_TRACER is not set
# CONFIG_SCHED_TRACER is not set
# CONFIG_FTRACE_SYSCALLS is not set
CONFIG_BRANCH_PROFILE_NONE=y
# CONFIG_PROFILE_ANNOTATED_BRANCHES is not set
# CONFIG_PROFILE_ALL_BRANCHES is not set
# CONFIG_STACK_TRACER is not set
CONFIG_BLK_DEV_IO_TRACE=y
# CONFIG_KPROBE_EVENT is not set
# CONFIG_FTRACE_STARTUP_TEST is not set
# CONFIG_MMIOTRACE is not set
# CONFIG_RING_BUFFER_BENCHMARK is not set
# CONFIG_PROVIDE_OHCI1394_DMA_INIT is not set
# CONFIG_FIREWIRE_OHCI_REMOTE_DMA is not set
# CONFIG_DYNAMIC_DEBUG is not set
# CONFIG_DMA_API_DEBUG is not set
# CONFIG_ATOMIC64_SELFTEST is not set
# CONFIG_ASYNC_RAID6_TEST is not set
# CONFIG_SAMPLES is not set
CONFIG_HAVE_ARCH_KGDB=y
# CONFIG_KGDB is not set
CONFIG_HAVE_ARCH_KMEMCHECK=y
# CONFIG_TEST_KSTRTOX is not set
CONFIG_STRICT_DEVMEM=y
CONFIG_X86_VERBOSE_BOOTUP=y
CONFIG_EARLY_PRINTK=y
# CONFIG_EARLY_PRINTK_DBGP is not set
# CONFIG_DEBUG_STACKOVERFLOW is not set
# CONFIG_X86_PTDUMP is not set
CONFIG_DEBUG_RODATA=y
# CONFIG_DEBUG_RODATA_TEST is not set
CONFIG_DEBUG_SET_MODULE_RONX=y
# CONFIG_DEBUG_NX_TEST is not set
# CONFIG_IOMMU_DEBUG is not set
# CONFIG_IOMMU_STRESS is not set
CONFIG_HAVE_MMIOTRACE_SUPPORT=y
# CONFIG_X86_DECODER_SELFTEST is not set
CONFIG_IO_DELAY_TYPE_0X80=0
CONFIG_IO_DELAY_TYPE_0XED=1
CONFIG_IO_DELAY_TYPE_UDELAY=2
CONFIG_IO_DELAY_TYPE_NONE=3
CONFIG_IO_DELAY_0X80=y
# CONFIG_IO_DELAY_0XED is not set
# CONFIG_IO_DELAY_UDELAY is not set
# CONFIG_IO_DELAY_NONE is not set
CONFIG_DEFAULT_IO_DELAY_TYPE=0
# CONFIG_DEBUG_BOOT_PARAMS is not set
# CONFIG_CPA_DEBUG is not set
CONFIG_OPTIMIZE_INLINING=y
# CONFIG_DEBUG_STRICT_USER_COPY_CHECKS is not set

#
# Security options
#
CONFIG_KEYS=y
# CONFIG_TRUSTED_KEYS is not set
# CONFIG_ENCRYPTED_KEYS is not set
CONFIG_KEYS_DEBUG_PROC_KEYS=y
# CONFIG_SECURITY_DMESG_RESTRICT is not set
CONFIG_SECURITY=y
CONFIG_SECURITYFS=y
CONFIG_SECURITY_NETWORK=y
CONFIG_SECURITY_NETWORK_XFRM=y
CONFIG_SECURITY_PATH=y
# CONFIG_INTEL_TXT is not set
CONFIG_LSM_MMAP_MIN_ADDR=65536
CONFIG_SECURITY_SELINUX=y
# CONFIG_SECURITY_SELINUX_BOOTPARAM is not set
# CONFIG_SECURITY_SELINUX_DISABLE is not set
CONFIG_SECURITY_SELINUX_DEVELOP=y
CONFIG_SECURITY_SELINUX_AVC_STATS=y
CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1
# CONFIG_SECURITY_SELINUX_POLICYDB_VERSION_MAX is not set
CONFIG_SECURITY_TOMOYO=y
CONFIG_SECURITY_TOMOYO_MAX_ACCEPT_ENTRY=2048
CONFIG_SECURITY_TOMOYO_MAX_AUDIT_LOG=1024
# CONFIG_SECURITY_TOMOYO_OMIT_USERSPACE_LOADER is not set
CONFIG_SECURITY_TOMOYO_POLICY_LOADER="/sbin/tomoyo-init"
CONFIG_SECURITY_TOMOYO_ACTIVATION_TRIGGER="/sbin/init"
CONFIG_SECURITY_APPARMOR=y
CONFIG_SECURITY_APPARMOR_BOOTPARAM_VALUE=1
CONFIG_SECURITY_APPARMOR_COMPAT_24=y
# CONFIG_IMA is not set
# CONFIG_EVM is not set
# CONFIG_DEFAULT_SECURITY_SELINUX is not set
# CONFIG_DEFAULT_SECURITY_TOMOYO is not set
# CONFIG_DEFAULT_SECURITY_APPARMOR is not set
CONFIG_DEFAULT_SECURITY_DAC=y
CONFIG_DEFAULT_SECURITY=""
CONFIG_XOR_BLOCKS=m
CONFIG_ASYNC_CORE=m
CONFIG_ASYNC_MEMCPY=m
CONFIG_ASYNC_XOR=m
CONFIG_ASYNC_PQ=m
CONFIG_ASYNC_RAID6_RECOV=m
CONFIG_ASYNC_TX_DISABLE_PQ_VAL_DMA=y
CONFIG_ASYNC_TX_DISABLE_XOR_VAL_DMA=y
CONFIG_CRYPTO=y

#
# Crypto core or helper
#
CONFIG_CRYPTO_FIPS=y
CONFIG_CRYPTO_ALGAPI=y
CONFIG_CRYPTO_ALGAPI2=y
CONFIG_CRYPTO_AEAD=m
CONFIG_CRYPTO_AEAD2=y
CONFIG_CRYPTO_BLKCIPHER=m
CONFIG_CRYPTO_BLKCIPHER2=y
CONFIG_CRYPTO_HASH=y
CONFIG_CRYPTO_HASH2=y
CONFIG_CRYPTO_RNG=m
CONFIG_CRYPTO_RNG2=y
CONFIG_CRYPTO_PCOMP=m
CONFIG_CRYPTO_PCOMP2=y
CONFIG_CRYPTO_MANAGER=y
CONFIG_CRYPTO_MANAGER2=y
# CONFIG_CRYPTO_USER is not set
# CONFIG_CRYPTO_MANAGER_DISABLE_TESTS is not set
CONFIG_CRYPTO_GF128MUL=m
CONFIG_CRYPTO_NULL=m
CONFIG_CRYPTO_PCRYPT=m
CONFIG_CRYPTO_WORKQUEUE=y
CONFIG_CRYPTO_CRYPTD=m
CONFIG_CRYPTO_AUTHENC=m
CONFIG_CRYPTO_TEST=m

#
# Authenticated Encryption with Associated Data
#
CONFIG_CRYPTO_CCM=m
CONFIG_CRYPTO_GCM=m
CONFIG_CRYPTO_SEQIV=m

#
# Block modes
#
CONFIG_CRYPTO_CBC=m
CONFIG_CRYPTO_CTR=m
CONFIG_CRYPTO_CTS=m
CONFIG_CRYPTO_ECB=m
CONFIG_CRYPTO_LRW=m
CONFIG_CRYPTO_PCBC=m
CONFIG_CRYPTO_XTS=m

#
# Hash modes
#
CONFIG_CRYPTO_HMAC=m
CONFIG_CRYPTO_XCBC=m
CONFIG_CRYPTO_VMAC=m

#
# Digest
#
CONFIG_CRYPTO_CRC32C=m
CONFIG_CRYPTO_CRC32C_INTEL=m
CONFIG_CRYPTO_GHASH=m
CONFIG_CRYPTO_MD4=m
CONFIG_CRYPTO_MD5=y
CONFIG_CRYPTO_MICHAEL_MIC=m
CONFIG_CRYPTO_RMD128=m
CONFIG_CRYPTO_RMD160=m
CONFIG_CRYPTO_RMD256=m
CONFIG_CRYPTO_RMD320=m
CONFIG_CRYPTO_SHA1=m
CONFIG_CRYPTO_SHA1_SSSE3=m
CONFIG_CRYPTO_SHA256=m
CONFIG_CRYPTO_SHA512=m
CONFIG_CRYPTO_TGR192=m
CONFIG_CRYPTO_WP512=m
CONFIG_CRYPTO_GHASH_CLMUL_NI_INTEL=m

#
# Ciphers
#
CONFIG_CRYPTO_AES=m
CONFIG_CRYPTO_AES_X86_64=m
CONFIG_CRYPTO_AES_NI_INTEL=m
CONFIG_CRYPTO_ANUBIS=m
CONFIG_CRYPTO_ARC4=m
CONFIG_CRYPTO_BLOWFISH=m
CONFIG_CRYPTO_BLOWFISH_COMMON=m
CONFIG_CRYPTO_BLOWFISH_X86_64=m
CONFIG_CRYPTO_CAMELLIA=m
CONFIG_CRYPTO_CAST5=m
CONFIG_CRYPTO_CAST6=m
CONFIG_CRYPTO_DES=m
CONFIG_CRYPTO_FCRYPT=m
CONFIG_CRYPTO_KHAZAD=m
CONFIG_CRYPTO_SALSA20=m
CONFIG_CRYPTO_SALSA20_X86_64=m
CONFIG_CRYPTO_SEED=m
CONFIG_CRYPTO_SERPENT=m
CONFIG_CRYPTO_TEA=m
CONFIG_CRYPTO_TWOFISH=m
CONFIG_CRYPTO_TWOFISH_COMMON=m
CONFIG_CRYPTO_TWOFISH_X86_64=m
CONFIG_CRYPTO_TWOFISH_X86_64_3WAY=m

#
# Compression
#
CONFIG_CRYPTO_DEFLATE=m
CONFIG_CRYPTO_ZLIB=m
CONFIG_CRYPTO_LZO=m

#
# Random Number Generation
#
CONFIG_CRYPTO_ANSI_CPRNG=m
CONFIG_CRYPTO_USER_API=m
CONFIG_CRYPTO_USER_API_HASH=m
CONFIG_CRYPTO_USER_API_SKCIPHER=m
CONFIG_CRYPTO_HW=y
CONFIG_CRYPTO_DEV_PADLOCK=m
CONFIG_CRYPTO_DEV_PADLOCK_AES=m
CONFIG_CRYPTO_DEV_PADLOCK_SHA=m
CONFIG_HAVE_KVM=y
CONFIG_HAVE_KVM_IRQCHIP=y
CONFIG_HAVE_KVM_EVENTFD=y
CONFIG_KVM_APIC_ARCHITECTURE=y
CONFIG_KVM_MMIO=y
CONFIG_KVM_ASYNC_PF=y
CONFIG_VIRTUALIZATION=y
CONFIG_KVM=m
CONFIG_KVM_INTEL=m
CONFIG_KVM_AMD=m
# CONFIG_KVM_MMU_AUDIT is not set
CONFIG_VHOST_NET=m
CONFIG_BINARY_PRINTF=y

#
# Library routines
#
CONFIG_RAID6_PQ=m
CONFIG_BITREVERSE=y
CONFIG_GENERIC_FIND_FIRST_BIT=y
CONFIG_CRC_CCITT=m
CONFIG_CRC16=m
CONFIG_CRC_T10DIF=m
CONFIG_CRC_ITU_T=m
CONFIG_CRC32=y
CONFIG_CRC7=m
CONFIG_LIBCRC32C=m
CONFIG_CRC8=m
CONFIG_ZLIB_INFLATE=y
CONFIG_ZLIB_DEFLATE=m
CONFIG_LZO_COMPRESS=y
CONFIG_LZO_DECOMPRESS=y
CONFIG_XZ_DEC=y
CONFIG_XZ_DEC_X86=y
CONFIG_XZ_DEC_POWERPC=y
CONFIG_XZ_DEC_IA64=y
CONFIG_XZ_DEC_ARM=y
CONFIG_XZ_DEC_ARMTHUMB=y
CONFIG_XZ_DEC_SPARC=y
CONFIG_XZ_DEC_BCJ=y
# CONFIG_XZ_DEC_TEST is not set
CONFIG_DECOMPRESS_GZIP=y
CONFIG_DECOMPRESS_BZIP2=y
CONFIG_DECOMPRESS_LZMA=y
CONFIG_DECOMPRESS_XZ=y
CONFIG_DECOMPRESS_LZO=y
CONFIG_GENERIC_ALLOCATOR=y
CONFIG_REED_SOLOMON=m
CONFIG_REED_SOLOMON_DEC16=y
CONFIG_TEXTSEARCH=y
CONFIG_TEXTSEARCH_KMP=m
CONFIG_TEXTSEARCH_BM=m
CONFIG_TEXTSEARCH_FSM=m
CONFIG_BTREE=y
CONFIG_HAS_IOMEM=y
CONFIG_HAS_IOPORT=y
CONFIG_HAS_DMA=y
CONFIG_CHECK_SIGNATURE=y
CONFIG_CPU_RMAP=y
CONFIG_DQL=y
CONFIG_NLATTR=y
CONFIG_LRU_CACHE=m
CONFIG_AVERAGE=y
CONFIG_CORDIC=m
root@debian:/home/anthony#

Bede musial zrobic przeprowadzke do Jessie, bo innego rozwiazania nie widze.

Jacekalex · 2015-05-21 18:53:22

Na stabilnego Debiana, już dawno powinieneś moim zdaniem, stabilny Debian oznacza stabilność i wsparcie, a oldstable ma tylko łatane dziury bezpieczeństwa.
To zasadnicza różnica dla każdego użyszkodnika.

ArnVaker · 2015-05-21 18:58:12

W backportach jest 3.16.

Novi-cjusz · 2015-05-21 19:16:28

Wiem, juz sciagnolem i wypalilem, instalacja jutro. Bardzo dziekuje za dzisiejsza cierpliwosc.
Musze zmienic sposob instalacji tak zeby uniknac wypalania lytek CD tylko bezposrednio z USB, ekologicznie.

Ostatnio edytowany przez Novi-cjusz (2015-05-21 19:22:25)

Forum Debian Users Gang

Ogłoszenie

#1 2015-05-21 11:22:28

Novi-cjusz - Użytkownik

Egress filtering - regolki dla iptables.

#2 2015-05-21 11:34:22

morfik - Cenzor wirtualnego świata

Re: Egress filtering - regolki dla iptables.

#3 2015-05-21 11:44:42

Novi-cjusz - Użytkownik

Re: Egress filtering - regolki dla iptables.

#4 2015-05-21 11:49:52

morfik - Cenzor wirtualnego świata

Re: Egress filtering - regolki dla iptables.

#5 2015-05-21 11:53:25

Novi-cjusz - Użytkownik

Re: Egress filtering - regolki dla iptables.

#6 2015-05-21 11:57:15

Jacekalex - Podobno człowiek...;)

Re: Egress filtering - regolki dla iptables.

Kod:

Kod:

Kod:

Kod:

Kod:

Kod:

#7 2015-05-21 12:10:21

morfik - Cenzor wirtualnego świata

Re: Egress filtering - regolki dla iptables.

Novi-cjusz napisał(-a):

#8 2015-05-21 12:25:42

Novi-cjusz - Użytkownik

Re: Egress filtering - regolki dla iptables.

Kod:

#9 2015-05-21 12:42:48

Jacekalex - Podobno człowiek...;)

Re: Egress filtering - regolki dla iptables.

Kod:

Kod:

Kod:

#10 2015-05-21 12:46:12

Novi-cjusz - Użytkownik

Re: Egress filtering - regolki dla iptables.

Kod:

#11 2015-05-21 12:48:21

Jacekalex - Podobno człowiek...;)

Re: Egress filtering - regolki dla iptables.

Kod:

#12 2015-05-21 12:49:58

Novi-cjusz - Użytkownik

Re: Egress filtering - regolki dla iptables.

Kod:

Kod:

Kod:

#13 2015-05-21 13:58:46

Jacekalex - Podobno człowiek...;)

Re: Egress filtering - regolki dla iptables.

#14 2015-05-21 14:04:41

Novi-cjusz - Użytkownik

Re: Egress filtering - regolki dla iptables.

Jacekalex napisał(-a):

#15 2015-05-21 16:31:50

morfik - Cenzor wirtualnego świata

Re: Egress filtering - regolki dla iptables.

#16 2015-05-21 16:48:04

Jacekalex - Podobno człowiek...;)

Re: Egress filtering - regolki dla iptables.

Novi-cjusz napisał(-a):

Kod:

Kod:

Kod:

#17 2015-05-21 17:08:58

Novi-cjusz - Użytkownik

Re: Egress filtering - regolki dla iptables.

Kod:

Kod:

Kod:

Kod:

#18 2015-05-21 17:40:00

Jacekalex - Podobno człowiek...;)