FreeBSD (архив вопросов), sendmail, squid, squidGuard, firewall... |
Здравствуйте, гость ( Вход | Регистрация )
FreeBSD (архив вопросов), sendmail, squid, squidGuard, firewall... |
SergeyKa |
22.03.2003 - 15:55
Сообщение
#1
|
The NetWork Assistant Группа: Старейшины Сообщений: 342 Регистрация: 18.02.2003 Пользователь №: 6704 |
Все вопросы связаные с этой UNIX системой можно задавать здесь. Имеется опыт установки и администрирования.
24.09.2003 В настоящий момент тема доступна только для просмотра. |
Dron |
24.03.2003 - 23:07
Сообщение
#2
|
Networker Группа: Модераторы Сообщений: 754 Регистрация: 18.06.2002 Из: Dnepropetrovsk, Ukraine Пользователь №: 179 |
SergeyKa
А вопросы по Linux??? или только FreeBSD??? |
-------------------- Та Да....
|
|
SergeyKa |
25.03.2003 - 01:17
Сообщение
#3
|
The NetWork Assistant Группа: Старейшины Сообщений: 342 Регистрация: 18.02.2003 Пользователь №: 6704 |
Linux в общих чертах, только то что общее с UNIX
|
jacky |
27.03.2003 - 12:14
Сообщение
#4
|
Silver Member Группа: VIP Сообщений: 330 Регистрация: 4.10.2002 Пользователь №: 1307 |
SergeyKa
Сам я никогда не общался с nix системами, но всегда очень хотелось заняться ими, а именно как раз FreeBSD. Но вот не задача, для начала хотелось бы услышать: 1) какой Release на сегодняшний день удачный 2) где его можно содрать 3) естественно хотелось бы почитать всякие faqi по установке, настройке и т.д. и т.п. 4) процесс компиляции, пересборка ядра 5) Все товарищи работающие с BSD твердят handbook читай и будет тебе счастье ... Блин какие-то порты ??? что еще за сорцы ??? FreeBSD-CURRENT против FreeBSD-STABLE => http://www.freebsd.org.ru/handbook/current-stable.html |
-------------------- Мир был бы прекраснее, если бы ВСЕ женщины были замужем, а ВСЕ мужчины холостяками.
Габриэль Оноре Марсель |
|
SergeyKa |
27.03.2003 - 13:39
Сообщение
#5
|
The NetWork Assistant Группа: Старейшины Сообщений: 342 Регистрация: 18.02.2003 Пользователь №: 6704 |
1) Для начала однозначно STABLE 4.7, найдеш ниже - не беда главное стабильную версию
2) www.freebsd.org 3) http://www.opennet.ru/docs/BSD/FreeBSDR/index.html => http://---http://www.opennet.ru/docs/BSD/FreeBSDR/index.html ://http://www.opennet.ru/docs/BSD/Free....html [/color] =>http://---http://www.opennet.ru/docs/BSD/FreeBSDR/index.html - с помощью этого установишь 5) Ну дык начни, а потом спросишь - и будет тебе счастье! |
jacky |
28.03.2003 - 10:02
Сообщение
#6
|
Silver Member Группа: VIP Сообщений: 330 Регистрация: 4.10.2002 Пользователь №: 1307 |
SergeyKa
Ну вот я зашел на ftp.freebsd.org нашел там Release 4.7 и вот хочу спросить: 1) Там 4 iso образа, неужели все 4 нужны? Пожалуйста вкратце расскажи, он, я так понимаю первый диск, загрузочный? А остальные 3 диска какую ценность представляют? 2) + один mini диск??? Поясни пожалуйста что это за диск Просто хочу для начала выяснить какие диски качать? Думаю не я один задал бы этот вопрос, если бы впервые с этим сталкнулся, так что пожалуйста не ругайся ... |
-------------------- Мир был бы прекраснее, если бы ВСЕ женщины были замужем, а ВСЕ мужчины холостяками.
Габриэль Оноре Марсель |
|
SergeyKa |
28.03.2003 - 10:17
Сообщение
#7
|
The NetWork Assistant Группа: Старейшины Сообщений: 342 Регистрация: 18.02.2003 Пользователь №: 6704 |
Достаточно любого первого диска.
На остальных - порты (дополнительные программы), на мини усеченный вариант - все самое необходимое. |
Gamer |
3.04.2003 - 01:20
Сообщение
#8
|
Налоговик... Группа: Старейшины Сообщений: 527 Регистрация: 16.12.2001 Из: Москва Пользователь №: 217 |
Кстати по теме: Система фильтрации интернет траффика на основе squidGuard + Apache + Squid + Berkeley DB => http://onix.opennet.ru/squid/squidguard.html
|
-------------------- [url=http://www.bestfilez.net/chat]Заходи в IRC:[/url]
Сервер - [b]irc.rizon.net:6668[/b] Канал - [b]#bestfilez.net[/b] -------------------------- |
|
SergeyKa |
3.04.2003 - 09:02
Сообщение
#9
|
The NetWork Assistant Группа: Старейшины Сообщений: 342 Регистрация: 18.02.2003 Пользователь №: 6704 |
Я бы посоветовал не заморачиватся этой статьей. Конечно все прочитать я еще не успел, но что сразу бросилось в глаза -
В настройках Squid - redirect_children 1 - а значит squidGuard предполагается использовать для одной машины!!! А смысл??? Может проще вообще без него? |
Gamer |
3.04.2003 - 10:17
Сообщение
#10
|
Налоговик... Группа: Старейшины Сообщений: 527 Регистрация: 16.12.2001 Из: Москва Пользователь №: 217 |
SergeyKa а за что отвечат redirect_children 1? Какой принцип ее действия?
Также на сайте FreeBSD уже лежит релиз 5 версии, что о ней скажешь? Стоит ее ставить или нет? |
-------------------- [url=http://www.bestfilez.net/chat]Заходи в IRC:[/url]
Сервер - [b]irc.rizon.net:6668[/b] Канал - [b]#bestfilez.net[/b] -------------------------- |
|
SergeyKa |
3.04.2003 - 11:11
Сообщение
#11
|
The NetWork Assistant Группа: Старейшины Сообщений: 342 Регистрация: 18.02.2003 Пользователь №: 6704 |
Цитата Также на сайте FreeBSD уже лежит релиз 5 версии, что о ней скажешь? Стоит ее ставить или нет? Цитата Для начала однозначно STABLE 4.7, найдеш ниже - не беда главное стабильную версию 5 - Relase версия, а соответственно можно хлебнуть непоняток, вообщем не советую |
jacky |
7.04.2003 - 11:15
Сообщение
#12
|
Silver Member Группа: VIP Сообщений: 330 Регистрация: 4.10.2002 Пользователь №: 1307 |
Нашел у себя книженцию:
Absolute BSD—The Ultimate Guide to FreeBSD Michael Lucas NO STARCH PRESS San Francisco Copyright © 2002 Michael Lucas [img]http://www.pro-audit.ru/book/absolute_bsd.jpg[/img] В PDF формате 8 метров. Если кому надо могу выслать. Обнаружил еще одну: UNIX Administration—A Comprehensive Sourcebook for Effective Systems and Network Management Bozidar Levi CRC PRESS Copyright © 2002 by CRC Press LLC [img]http://www.pro-audit.ru/book/unix_admin.jpg[/img] В PDF формате 7 метров. Если кому надо могу выслать. Правда на английском, но всеравно в помощь пойдет ... А может у кого тоже найдется что-нибудь по Free? Сообщение было отредактировано jacky: 8.04.2003 - 15:03 |
-------------------- Мир был бы прекраснее, если бы ВСЕ женщины были замужем, а ВСЕ мужчины холостяками.
Габриэль Оноре Марсель |
|
SergeyKa |
7.04.2003 - 11:35
Сообщение
#13
|
The NetWork Assistant Группа: Старейшины Сообщений: 342 Регистрация: 18.02.2003 Пользователь №: 6704 |
По фре в оригинале можно почитать на www.freebsd.org
По русски кой чего перевели на www.freebsd.org.ua |
Gamer |
7.04.2003 - 12:25
Сообщение
#14
|
Налоговик... Группа: Старейшины Сообщений: 527 Регистрация: 16.12.2001 Из: Москва Пользователь №: 217 |
jacky выложи куда-нибудь эту книженцию.
|
-------------------- [url=http://www.bestfilez.net/chat]Заходи в IRC:[/url]
Сервер - [b]irc.rizon.net:6668[/b] Канал - [b]#bestfilez.net[/b] -------------------------- |
|
SergeyKa |
7.04.2003 - 20:35
Сообщение
#15
|
The NetWork Assistant Группа: Старейшины Сообщений: 342 Регистрация: 18.02.2003 Пользователь №: 6704 |
Встречаем!
FreeBSD 4.8-RELEASE ISO по прежнему доступны для свободного скачивания по следующим адресам - ftp://ftp.FreeBSD.org/pub/FreeBSD/ ftp://ftp12.FreeBSD.org/pub/FreeBSD/ ftp://ftp14.FreeBSD.org/pub/FreeBSD/ ftp://ftp.tw.FreeBSD.org/pub/FreeBSD/ ftp://ftp6.tw.FreeBSD.org/pub/FreeBSD/ ftp://ftp{2,4,7}.de.FreeBSD.org/pub/FreeBSD/ ftp://ftp.es.FreeBSD.org/pub/FreeBSD/ ftp://ftp.au.FreeBSD.org/pub/FreeBSD/ |
jacky |
8.04.2003 - 15:18
Сообщение
#16
|
Silver Member Группа: VIP Сообщений: 330 Регистрация: 4.10.2002 Пользователь №: 1307 |
Gamer
ALL Все книги можно получить через PM. Есть еще книга: Learning the Unix Operating System By Jerry Peek, Grace Todino & John Strang; ISBN 1-56592-390-1, 106 pages. Fourth Edition, January 1998. В CHM формате, 300 Кб. Стучать в ПМ. Сообщение было отредактировано jacky: 28.07.2003 - 16:56 |
-------------------- Мир был бы прекраснее, если бы ВСЕ женщины были замужем, а ВСЕ мужчины холостяками.
Габриэль Оноре Марсель |
|
Gamer |
14.04.2003 - 04:35
Сообщение
#17
|
Налоговик... Группа: Старейшины Сообщений: 527 Регистрация: 16.12.2001 Из: Москва Пользователь №: 217 |
jacky все слил, спасибо. Learning the Unix Operating System - эту книжку тоже выложи если не проблема.
|
-------------------- [url=http://www.bestfilez.net/chat]Заходи в IRC:[/url]
Сервер - [b]irc.rizon.net:6668[/b] Канал - [b]#bestfilez.net[/b] -------------------------- |
|
Gamer |
14.04.2003 - 19:25
Сообщение
#18
|
Налоговик... Группа: Старейшины Сообщений: 527 Регистрация: 16.12.2001 Из: Москва Пользователь №: 217 |
SergeyKa слушай помоги написать правило для ipwf. Задачи: разрешить доступ к серваку по всем портам из внутренней сетки 192.168.0.х (rl0), далее запретить доступ к серваку извне 10.х.х.х (vr0), но разрешить только для ипов 10.0.0.1 и 10.10.10.1.
Вот кое-что написал: #!/bin/sh ipfw='/sbin/ipfw -q' ournet='192.168.0.1/24' uprefix='192.168.0' ifout='vr0' ifuser='rl0' dns='10.0.0.1' dns2='10.10.10.1' ${ipfw} flush ${ipfw} add 100 check-state ${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout} ${ipfw} add 300 allow ip from any to any via lo ${ipfw} add 320 allow any from ${dns} to me via ${ifout} ${ipfw} add 320 allow any from ${dns2} to me via ${ifout} ${ipfw} add 360 allow any from ${ournet} to any via ${ifuser} ${ipfw} add 510 divert natd ip from ${ournet} to any out via ${ifout} ${ipfw} add 65535 deny ip from any to any |
-------------------- [url=http://www.bestfilez.net/chat]Заходи в IRC:[/url]
Сервер - [b]irc.rizon.net:6668[/b] Канал - [b]#bestfilez.net[/b] -------------------------- |
|
SergeyKa |
14.04.2003 - 23:11
Сообщение
#19
|
The NetWork Assistant Группа: Старейшины Сообщений: 342 Регистрация: 18.02.2003 Пользователь №: 6704 |
Ну вот чуствуется, что человек начал работать! Для начала оговорюсь - никогда не доверяй FIREWALL на 100% - абсолютной защиты он не дает!!!
То что я тебе подскажу - будут общие положения касаемые начальных настроек встроенного в FreeBSD ipfw (ipf - не юзаю, хотя он более гибкий) соответственно никакой ответственности я не несу ))) ОК! 1. Для начала загрузись чтивом 2. Определись какие службы ты хочеш использовать (www, smtp, pop3/imap4...) 3. Все что ты написал на 90% бред, начинать надо с роутинга, а потом уже братся за правила ipfw Сейчас поищу основные положения, а ты подумай что ты хочеш конкретно. Цитата запретить доступ к серваку извне что конкретно? Все порты не закроешь надо как то ответы получать из внешнего мира. Добавлено: Вооружайся словариком, и разбирайся в синтаксисе ipfw (engl man) => http://www.opennet.ru/man.shtml?topic=ipfw...gory=8&russian==>http://www.opennet.ru/man.shtml?topic=ipfw&category=8&russian= Вот так это происходит в Линуксе (особо не вдавайся, улови суть) => http://www.opennet.ru/docs/RUS/ipchains/index.html |
Gamer |
15.04.2003 - 02:11
Сообщение
#20
|
Налоговик... Группа: Старейшины Сообщений: 527 Регистрация: 16.12.2001 Из: Москва Пользователь №: 217 |
Млин просто если бы было время, тогда бы разобрался.
Мне просто срочно нужно. Вобщем что стоит на серваке: FreeBSD 4.4 (проапдейтил через CVSUpdate) Apache (порт 80) MySQL Ssh Natd Samba-2.2.8 PvPGN (6112) CS 1.5 Server (27015-20) Q3 Server (27960-65) Что нужно: 1 - чтобы из внутренней сетки (rl0) 192.168.0.0/24 все компы могли коннектиться к серваку и юзать все сервисы, и интернет через NAT. 2 - чтобы из внешней сетки 10.0.0.0/8 коннект был только с ДНС серверами, у которых адреса 10.0.0.1 и 10.10.10.1, а для других ипов запрет по всем портам. Впринципе все. Поставил PortSentry, настроил. Кстати, руководствовался этими статьями: FreeBSD в качестве сервера доступа => http://www.hub.ru/modules.php?name=Section...artid=24&page=1=>http://www.hub.ru/modules.php?name=Sections&sop=viewarticle&artid=24&page=1 IPFW - регулировщик трафика и firewall (брандмауер) для FreeBSD по-русски => http://ipfw.ism.kiev.ua/index.html |
-------------------- [url=http://www.bestfilez.net/chat]Заходи в IRC:[/url]
Сервер - [b]irc.rizon.net:6668[/b] Канал - [b]#bestfilez.net[/b] -------------------------- |
|
jacky |
15.04.2003 - 09:26
Сообщение
#21
|
Silver Member Группа: VIP Сообщений: 330 Регистрация: 4.10.2002 Пользователь №: 1307 |
Gamer
Цитата Learning the Unix Operating System - эту книжку тоже выложи если не проблема. Забирай там же. Там же лежит: Samba: UNIX and NT Networking James DeRoest Copyright © 2000 by the McGraw-Hill Companies. SAMBA, the important new set of tools for accessing UNIX files systems and printers from a Window client via Microsoft’s Server Message Block (SMB) is today’s hottest technology. This book provides UNIX administrators with all the tools needed to integrate Windows 2000 into corporate networks. UNIX system administrators and programmers will find SAMBA: UNIX & NT Internetworking to be their best and most up-to-date resource for unlocking the power of UNIX and successfully integrating Windows 2000 operating systems. [img]http://www.pro-audit.ru/book/samba.jpg[/img] |
-------------------- Мир был бы прекраснее, если бы ВСЕ женщины были замужем, а ВСЕ мужчины холостяками.
Габриэль Оноре Марсель |
|
SergeyKa |
15.04.2003 - 09:58
Сообщение
#22
|
The NetWork Assistant Группа: Старейшины Сообщений: 342 Регистрация: 18.02.2003 Пользователь №: 6704 |
Для начала спасибо за ссылки, долго искал переводы манов и подробности работы firewall для FreeBSD.
1. Пока не разобрался в механизме работы - советую не использовать динамических конструкций (${ipfw} add 100 check-state) и статической адресации (${ipfw} add 100 check-state) 2. Вот для начала без заморочек понятная конфигурация: ${fwcmd} add pass all from any to any via lo0 # Пропускаем все соединения с установленным битом RST или ACK ${fwcmd} add pass tcp from any to any established # Разрешаем все пакеты выходящие из внешнего интерфейса с внешнего IP наружу ${fwcmd} add pass ip from ${IPOut} to any out xmit ${LanOut} # Разрешаем почту, DNS ${fwcmd} add pass tcp from any to any 25,110 via ${LanOut} ${fwcmd} add pass tcp from any 25,110 to any via ${LanOut} ${fwcmd} add pass udp from any to any 53 via ${LanOut} ${fwcmd} add pass udp from any 53 to any via ${LanOut} # Внутри только друзья ${fwcmd} add pass all from any to any via ${LanIn} # Stop private networks (RFC1918) from entering the outside interface. ${fwcmd} add deny ip from 192.168.0.0/16 to any in via ${LanOut} ${fwcmd} add deny ip from 172.16.0.0/12 to any in via ${LanOut} ${fwcmd} add deny ip from 10.0.0.0/8 to any in via ${LanOut} # ICMP ${fwcmd} add pass icmp from any to any icmptypes 0,3,8,11 # Все остальное в лог ${fwcmd} add reject tcp from any to ${IPOut} via ${LanOut} in ${fwcmd} add deny log all from any to any via ${LanOut} ${fwcmd} add deny log ip from any to any Вот это уже рабочий скрипт, а дальше мудри ))) Закрывай и смотри что не работает |
Gamer |
15.04.2003 - 15:23
Сообщение
#23
|
Налоговик... Группа: Старейшины Сообщений: 527 Регистрация: 16.12.2001 Из: Москва Пользователь №: 217 |
jacky спасибо, слил.
SergeyKa ок сейчас посмотрю. Добавлено: Вот написал, но есть одна проблема: #!/bin/sh ipfw='/sbin/ipfw -q' ournet='192.168.0.1/24' uprefix='192.168.0' ifout='vr0' ifuser='rl0' ${ipfw} -f flush ${ipfw} add pass all from any to any via lo0 ${ipfw} add reject ip from ${ournet} to any in via ${ifout} ${ipfw} add divert natd all from any to any via vr0 ${ipfw} add pass all from 10.0.0.1/8 to any via vr0 - если не указать эту строку, то не работает инет через нат, пишет error write packet back Permission denied, а если указать, то все-равно из внешней сетки заходят. ${ipfw} add deny all from 10.0.0.0/8 to any in via vr0 - это запрещает всю внешнюю сетку, но мне нужен коннект с гейтом (10.0.0.1), как это оформить? ${ipfw} add pass tcp from any to any established ${ipfw} add pass all from any to any via rl0 ${ipfw} add pass icmp from any to any icmptypes 0,3,8,11 ${ipfw} add deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${ipfw} add deny all from any to any |
-------------------- [url=http://www.bestfilez.net/chat]Заходи в IRC:[/url]
Сервер - [b]irc.rizon.net:6668[/b] Канал - [b]#bestfilez.net[/b] -------------------------- |
|
SergeyKa |
16.04.2003 - 14:37
Сообщение
#24
|
The NetWork Assistant Группа: Старейшины Сообщений: 342 Регистрация: 18.02.2003 Пользователь №: 6704 |
Цитата ${ipfw} add pass all from 10.0.0.1/8 to any via vr0 - если не указать эту строку, то не работает инет через нат, пишет error write packet back Permission denied, а если указать, то все-равно из внешней сетки заходят. Мне понравилась вот эта связка. Тебе она подойдет, можеш использовать динамические правила, правда ИМХО нужны они для нагруженного сервака с кучей правил Файрвола Цитата # Пропускаем все соединения с установленным битом RST или ACK ${fwcmd} add pass tcp from any to any established # Разрешаем все пакеты выходящие из внешнего интерфейса с внешнего IP наружу ${fwcmd} add pass ip from ${IPOut} to any out xmit ${LanOut} PS: Читаю статью Кузмича, вот правило в безопасности которого я сомневаюсь, но вроде мужик умный - может все и правельно (IMG:style_emoticons/bfz/cranky.gif) ${ipfw} add 340 allow udp from any to me domain Касаемо ICMP Цитата ${fwcmd} add 00300 allow icmp from any to $внешний_IP in via $внешний_интерфейс icmptype 0,3,4,11,12 ${fwcmd} add 00301 allow icmp from $внешний_IP to any out via $внешний_интерфейс icmptype 3,8,12 # вот над этими двумя строками подумай, прежде чем включать в рабочий скрипт: они позволяют провайдеру пинговать тебя. # если служебные айпишники (для своих сотрудников) провайдер использует из своего общего адресного пространства (в # котором находятся и его собственные клиенты, помимо тебя), то лучше не включать. ${fwcmd} add 00302 allow icmp from $внешний_IP to $IP_адрес_провайдера out via $внешний_интерфейс icmptype 0,3,11 ${fwcmd} add 00303 allow icmp from $IP_адрес_провайдера to $внешний_IP in via $внешний_интерфейс icmptype 8 # стоит или не стоит выпускать из сети фрагментированные ICMP-пакеты из своей сети, решать тебе ${fwcmd} add 00304 allow icmp from $внешний_IP to any out via $внешний_интерфейс frag ${fwcmd} add 00305 deny log icmp from any to 255.255.255.255 in via $внешний_интерфейс ${fwcmd} add 00306 reject log icmp from any to 255.255.255.255 out via $внешний_интерфейс ${fwcmd} add 00306 deny log icmp from any to $маска_твоей_сети in via $внешний_интерфейс ${fwcmd} add 00307 reject log icmp from any to $маска_твоей_сети out via $внешний_интерфейс ${fwcmd} add 00308 deny log icmp from any to $твоя_сеть in via $внешний_интерфейс ${fwcmd} add 00309 reject log icmp from any to $твоя_сеть out via $внешний_интерфейс |
SergeyKa |
16.04.2003 - 16:41
Сообщение
#25
|
The NetWork Assistant Группа: Старейшины Сообщений: 342 Регистрация: 18.02.2003 Пользователь №: 6704 |
Возвращаясь к статье
${ipfw} add 500 fwd 127.0.0.1,3128 tcp from ${ournet} to any http out via ${ifout} ${ipfw} add 510 divert natd ip from ${ournet} to any out via ${ifout} Глупо предполагать, что пользователи имея полный доступ к внешней сети будут использовать локальную прокси. Я запретил http и https на локальном интерфейсе. ${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout} Этой строчки мало - Читай RFC1918 # Stop private networks (RFC1918) from entering the outside interface. ${fwcmd} add deny ip from 192.168.0.0/16 to any in via ${LanOut} ${fwcmd} add deny ip from 172.16.0.0/12 to any in via ${LanOut} ${fwcmd} add deny ip from 10.0.0.0/8 to any in via ${LanOut} |
Реклама
|
|
|
|
|
|
Текстовая версия | Сейчас: 19.04.2024 - 05:30 |
|