Zareh Kasparian's questions

Eu tenho um arquivo de log como abaixo:

12-02-2022 15:18:22 +0330 SOCK5.6699 00000 user144 97.251.107.125:38605 1.1.1.1:443 51766 169369 0 CONNECT 1.1.1.1:443
12-02-2022 15:18:27 +0330 SOCK5.6699 00094 user156 32.99.193.2:51242 1.1.1.1:443 715 388 0 CONNECT 1.1.1.1:443
12-02-2022 15:18:56 +0330 SOCK5.6699 00000 user105 191.184.66.98:40048 1.1.1.1:443 18105 29029 0 CONNECT 1.1.1.1:443
12-02-2022 15:18:56 +0330 SOCK5.6699 00000 user105 191.184.66.98:40070 1.1.1.1:443 674 26805 0 CONNECT 1.1.1.1:443
12-02-2022 15:20:24 +0330 SOCK5.6699 00000 user143 112.199.63.119:60682 1.1.1.1:443 475 445 0 CONNECT 1.1.1.1:443
12-02-2022 15:20:37 +0330 SOCK5.6699 00000 user105 191.184.66.98:40102 1.1.1.1:443 12913 18780 0 CONNECT 1.1.1.1:443
12-02-2022 15:20:42 +0330 SOCK5.6699 00000 user143 112.199.63.119:60688 1.1.1.1:443 4530 34717 0 CONNECT 1.1.1.1:443
12-02-2022 15:20:44 +0330 SOCK5.6699 00000 user127 212.167.145.49:2972 1.1.1.1:443 827 267 0 CONNECT 1.1.1.1:443

meu objetivo é extrair duas partes deste arquivo de log:

1. Nome de usuário
2. Endereço IP da origem do usuário

abaixo está uma amostra das porções de dados necessárias.

12-02-2022 15:18:22 +0330 SOCK5.6699 00000 usuário144 97.251.107.125 :38605 1.1.1.1:443 51766 169369 0 CONECTAR 1.1.1.1:443

Então eu escrevi um script Python para extrair os dois itens e armazená-los em listas separadas e depois uni-los com a função zip.

import pprint
import collections

iplist=[]
for l in data:
    ip_port=l[53:71]
    iplist.append(ip_port.split(':')[0])


userlist=[]
for u in data:
    user=u[42:52]
    userlist.append(user.replace(" ", ""))

a=list(zip(iplist,userlist))
most_ip=collections.Counter(a).most_common(5)
pprint.pprint(most_ip)

Este código funciona bem e consigo obter o ip mais usado com seu nome de usuário correspondente. Também preciso mencionar que não usei o módulo re , pois estava listando o segundo IP (IP de destino que é 1.1.1.1 - que não me importo com isso)

Pergunta: Existe alguma outra maneira (mais legal) do que a maneira como escrevi o código?

Eu tenho muitos scripts shell e python no meu crontab que terminam com:

command.sh > /dev/null 2>&1

ou

command.sh 2>&1 >/dev/null

Eu sei que:

> é para redirecionar

/dev/nullé um buraco negro onde qualquer dado enviado, será descartado

2é o descritor de arquivo para Erro Padrão

>é para redirecionar

&é o símbolo para descritor de arquivo (sem ele, o seguinte 1 seria considerado um nome de arquivo)

1é o descritor de arquivo para Standard Out

Portanto command.sh >/dev/null 2>&1, redireciona a saída do meu programa para /dev/null. Inclua o erro padrão e a saída padrão.

ambos têm o mesmo resultado e funcionam bem, mas por que alguns usam o primeiro tipo e outros usam o outro?

Eu tenho a seguinte configuração como proxy L4 sobre Nginx e tudo funciona bem.

  stream {
 

    
    map $ssl_preread_server_name $name {
    hostnames;
    .ipchicken.com          $ssl_preread_server_name;
    .bbc.com                $ssl_preread_server_name;
    .bbc.co.uk              $ssl_preread_server_name;
    .bbci.co.uk             $ssl_preread_server_name;
    .neverssl.com           $ssl_preread_server_name;  #<-------
    
}


server {

    resolver 8.8.8.8;
    listen 443;
    ssl_preread on;
    proxy_connect_timeout 5s;
    proxy_pass $name:$server_port;
}

Mas quando o site HTTP é solicitado, como "http://neverssl.com/", o Nginx não está respondendo. Alguma ideia para esta questão?

Configurei um servidor Nginx como L4 Proxy(Forward Proxy With Stream Module), com a seguinte configuração no arquivo nginx.conf;

stream {
resolver 8.8.8.8;
server {
    listen 443;
    ssl_preread on;
    proxy_connect_timeout 5s;
    proxy_pass $ssl_preread_server_name:$server_port;
  } 
}

tudo funciona bem, com a configuração acima. mas digamos que eu queira limitar o acesso das URLs que passam para o meu servidor proxy. Não limitando o endereço IP, mas com nomes de URL.
Fiz uma pesquisa e configurei o seguinte arquivo de configuração e de alguma forma consegui controlar as URLs que passam para o meu proxy.
Mas a questão começa a partir daqui. Se um site grande for chamado, pois possui muitos links ou subdomínios carregados nos bastidores e sabendo que limitei os URLs permitidos e os subdomínios curinga não estão funcionando no bloco de fluxo, não consigo carregar o site solicitado completamente.
Existe uma solução para usá-lo no bloco de fluxo para oferecer suporte a curinga para o subdomínio do domínio? minha nova configuração está como abaixo:

stream {


 map $ssl_preread_server_name $name {
     ipchicken.com ipchicken.com;
     www.bbc.com www.bbc.com;
     www.bbc.co.uk www.bbc.co.uk;
     bbci.co.uk bbci.co.uk;
}


server {

    resolver 8.8.8.8;
    listen 443;
    ssl_preread on;
    proxy_connect_timeout 5s;
    proxy_pass $name:$server_port;
   }
 }

 events {
}

Eu tenho um servidor Issable em execução e integrado ao Cisco Call Manager corretamente. Estou usando o servidor Issabel como meu sistema IVR para atender chamadas sem chamadas diretas de ramal.

Meu cenário é o seguinte: Quando os chamadores ligam para o meu número DID, eu defini o IVR que funciona bem e peço ao usuário para digitar '0' para o operador.

Aqui está a configuração para o ivr principal.

[ivr-4] ; Main-Menu
include => ivr-4-custom
include => from-did-direct-ivr
exten => s,1,Set(TIMEOUT_LOOPCOUNT=0)
exten => s,n,Set(INVALID_LOOPCOUNT=0)
exten => s,n,Set(_IVR_CONTEXT_${CONTEXT}=${IVR_CONTEXT})
exten => s,n,Set(_IVR_CONTEXT=${CONTEXT})
exten => s,n,Set(__IVR_RETVM=)
exten => s,n,GotoIf($["${CDR(disposition)}" = "ANSWERED"]?skip)
exten => s,n,Answer
exten => s,n,Wait(1)
exten => s,n(skip),Set(IVR_MSG=custom/WelcomeMessage)
exten => s,n(start),Set(TIMEOUT(digit)=3)
exten => s,n,ExecIf($["${IVR_MSG}" != ""]?Background(${IVR_MSG}))
exten => s,n,WaitExten(5,)
exten => 291,1,Set(__IVR_DIGIT_PRESSED=291)
exten => 291,n(ivrsel-291),Goto(ext-miscdests,4,1)

exten => 0,1,Set(__IVR_DIGIT_PRESSED=0)
exten => 0,n(ivrsel-0),Goto(ext-miscdests,3,1)

O acima funciona bem se o chamador inserir apenas um dígito e, no meu caso, este é '0', que funciona corretamente. se o chamador entrar em '291' embora a opção de "discagem direta" esteja habilitada, a chamada não será passada para CUCM. Em outras palavras, o IVR só é capaz de entender um dígito e se houver mais de um dígito discado pelo chamador, a chamada cai.

Espero que você entenda meu problema, pois sou novo nos serviços VOIP.

Muito obrigado e melhores cumprimentos

Eu usei as seguintes regras para bloquear os scanners de porta por 24 horas e desbloquear o endereço IP do scanner após 24 horas e registrar o endereço IP do invasor.

iptables -A INPUT -m recent --name portscan --rcheck --seconds 86400 -j DROP
iptables -A FORWARD -m recent --name portscan --rcheck --seconds 86400 -j DROP

iptables -A INPUT -m recent --name portscan --remove
iptables -A FORWARD -m recent --name portscan --remove

 
iptables -A INPUT -p tcp -m tcp --dport 139 -m recente --name portscan --set -j LOG --log-prefix "portscan:"
iptables -A INPUT -p tcp -m tcp --dport 139 -m recente --name portscan --set -j DROP
iptables -A FORWARD -p tcp -m tcp --dport 139 -m recente --name portscan --set -j LOG --log-prefix "portscan:"
iptables -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP

tudo funciona bem, e o endereço IP do scanner está sendo bloqueado pelo iptables. mas não consigo encontrar o ip bloqueado em nenhuma das cadeias do iptables. O ip do scanner está sendo registrado apenas no arquivo kernel.log, e estou procurando uma maneira possível de remover um único ip em vez de reiniciar o próprio iptables.