Manual odemne pro novacky Zaverem uvaha

Pentium pentium.konference at seznam.cz
Fri Jan 3 13:28:35 CET 2003
Previous message: Manual odemne pro novacky
Next message: Manual odemne pro novacky Zaverem uvaha
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
> options         IPFIREWALL_VERBOSE_LIMIT=100    #limit verbosity
> options         IPFIREWALL_DEFAULT_TO_ACCEPT    #allow everything by
> default

Vysvetlis mi to ? Ja to taky prevzal zrejmne od nekoho Diky Pripadne
dopln co tam dat. Diky

> options         IPFILTER                #ipfilter support
> options         IPFILTER_LOG            #ipfilter logging
> options         IPSTEALTH               #support for stealth
forwarding

Zaloha pokud by chtel prejit na IPfirewall to se hodi ne ?

Rc.Conf sem dal muj aby bylo jasne asi jak by mel vypadat nebo neco
vysvetlit ?

Uprava IPFW pravidel pro natd je dulezite pridat s prikazove radky:
ipfw add ${num} divert natd all from any to any via ${natd_interface}
Priklad konfigurace:
ipfw add 00050 divert natd all from any to any via ppp0
Vysvetleni:
${num} je cislo pravidla
${natd_interface} je adapter na vnejsi sit pro nas je to PPP0 Coz je
modem

Proto je podtim priklad popsal sem to vice
Jinak bych mohl tam dat odkaz na
http://www.freebsd.cz/~michal/doc/ipfw.html ma to dobre vysvetlene i
cesky IPFW a IP

> tcp_drop_synfin="YES"
> sshd_enable="YES"
Sem smazal

> linux_enable="YES"

radci pokud se jim neco dostane z linuxu k rukoum ne ?

> sendmail_enable="NONE"
Jen NONE kvuli tomu ze to nekdy sekne a hlasi chybi pri boot jako mne
ted jinak by se hodily zpravy o novych adresach atd..

 > sshd_enable="NONE"
Tohle nevim ani co znamena :{


Jinak vim dane ze je tam az az nedostatku ja to uvedl spis fakt jak
priklad kdy sem to ted nekomu poslal a on si na freebsd uz postavil to
co ja. Chci to obohatit o dalsi prikazy jedna se mi aby ten clovek
postupoval jak ja ja si zjistil neco o IPFW neco o DUMMYNETU atd..
Pokusim se to dotahnout do konce ,ale uznej ze je to citelnejsi nez
handsbook Ja nevedel o kompilaci jadra vubec nic. Treba jeste nevim ani
jak nekterym ip pristupu na net zabranim ,ale vzpomen jak sem byl
stastnej ze sem vubec spustil xwindows proto chci aby to zkusily tam
nasipat a bud jim to pujde tak jupi pokud ne tak se budou stourat v
radku po radku. Vim ze se chysta kniha cesky o FreeBSD tento rok takze
tam to snad vysvetlej lepe ,ale ta technicka anglictina je fak hrozna a
plno veci tam neni takhle vysvetlene. FreeBSD mam nejakou k nemu vazbu
mam ho rad proste jak mam rad Intel a Abit proste favorit na Linux/Unix
je freebsd. Kazdej mi radil abych utekl k RH. QOS je tam barevne s
grafem DHCP se nastavuje pres Web... Ale myslim ze je to skoda. Proc
neotevrit brany k freebsd moc se o nem nemluvi a to je chyba. Je jasne
ze nezanikne a ma sve stale cleny a tim ze sem neco napiseme se brany
neotevrou a nikomu se handsbook prekladat chtit nebude. ALe vemte si to
jinak proste zeijeme v cechach ,alespon ja tu ziju a tak vetsina lidi da
prednost CZ prostredi. Koukal sem se vsude po netu a moc ceskej prirucek
neni. Jedna dobre psana je treba
http://www.freebsd.cz/~michal/doc/ipfw.html
Ale v RH je treba priklad reseni to zde neni proto toto neni asi manual
ale priklad reseni DIAL UP pripojeni a NAT. Dns je definovane A v DHCP B
v dial up Bohuzel reseni na soucasnem behu DNS neni popsano sam ho
neznam a pokud uz nekdo nekde pouziva DNS asi problematiku zna a nebo se
obrati na reseni ve windows :{ Je to bohuzel ale podivejte se na ILS
server o jeho kvalitach muzeme diskutovat ale je to i jedno z
podnikovych reseni. Priklad local netw Mafra a MB Skoda to sou velke
spoplecnosti kde mam zname IT a sem IT takze tam o tom vim. V ramci WAN
je to samozrejmne jine. Ale to je jina kapitola a tam se system kupuje
jako celek 95%ceny SW+PRACE 5%HW :] Toto je reseni viz treba pro
www.czfree.net proste dnes lidi maj site jako konicek jako bylo treba CB
ja zacinal jako admin v dome deti a mladeze jeste v dosu na novellu
atd.. Dnes to co umim ja umi dite z 9 tridy v me dobe se o site nikdo
nezajimal modem skoro neznal. Za chvily nas (mne teda urcite) prevalcuje
male dite ,ktere si udela sit z plechovky od parku bezdratovou sit (to
uz existuje dnes {ano tak malo staci})
To je jedno to uz je OT jen to chci rict kazdemu kdo se treba rika co
sem ten koko furt neco pise. Ja sem admin pravej a takovy kecy to je
jasny tak jako ze dir je vypis adresaru. Je to dalsi inet magooor
PS
Je tu i nekolik lidi co mne pomohly a opravily preklepy za to jim moc
diky a pro ne to neplati. Ja to mysli pro lidi co mi posilaj odkaz na
handsbook. Styl hele d.. jukni se tady a nas machry nech psat nove jadra
a kecat o atomech. Handsbook jsem celej vytiskl roztridil na temata neco
precetl ,ale pokud clovek toto vubec nezna tak mu to moc nepomuze. Zase
se vracim ale reknete nekomu kdo nezna ze dir je vypis adresaru a co je
vypis no napis help dir  a cao a nebo mu vic pomuze priklad a
vysvetleni. Viz prirucka grada jak se zacina s dosem a jine Tp kompletni
pruvodce dir je vypis souboru z adresare
priklad dir /w Velkyma je adresar  ......
Proste prikaz,vysvetleni,ukazka
To je jedno skoda psani kdo chape chape kdo ne ne to je jedno ...
----- Original Message -----
From: Dan Lukes <dan at obluda.cz>
To: <users-l at freebsd.cz>
Sent: Thursday, January 02, 2003 1:09 PM
Subject: Re: Manual odemne pro novacky


> Pentium wrote:
>
> > 2. krok  priprava na funkcni nat,ipfw,dummynet
> >
> > kompilace jadra
> > server# cd  /usr/src/sys/i386/conf
> > server# cp GENERIC GATE
> >
> > edituj GATE a pridej na konec {je v adresari /usr/src/sys/i386/conf}
> > options         MROUTING                # Multicast routing
>
> Jsi presvedcen, ze novacek opravdu bude pouzivat multicast routing ?
> To neni zas az tak jednoducha vec na pouzivani - pridanim tohoto
optionu
> do jadra to rozhodne ani nahodou nekonci ...
>
> > options         IPFIREWALL_VERBOSE_LIMIT=100    #limit verbosity
> > options         IPFIREWALL_DEFAULT_TO_ACCEPT    #allow everything by
> > default
>
> Tyto dva optiony, zejmena ten druhy, ma pomerne vyznamne bezpecnostni
> dopady - kdyz uz jsi se rozhodl doporucit novackovi zmenu defaultniho
> nastaveni na jine, povazuji za bezpodminecne nutne ho s temito
nasledky
> seznamit tak, aby se podle toho mohl zaridit. Tedy - kdzy uz povazujes
> za nutne a/nebo vhodne toto nastaveni vubec menit (ja ho ve svych
> kernelech pouzivam take, ale ja uz asi nespadam do kategorie "novacek"
a
> vim presne proc ho tam mam a co dela).
>
> > options         IPFILTER                #ipfilter support
> > options         IPFILTER_LOG            #ipfilter logging
> > options         IPSTEALTH               #support for stealth
forwarding
>
> Tyto optiony nejsou pro naznacenou konfiguraci - tedy
nat+ipfw+dummynet
> potreba.
>
> > 3. krok Pridani pravidla do IPFW
> > Uprava IPFW pravidel pro natd je dulezite
> > ipfw add ${num} divert natd all from any to any via
${natd_interface}
> > ipfw add 00050 divert natd all from any to any via ppp0
>
>
> Nedomnivam se, ze editace rc.firewall je pro novacka spravna cesta jak
> rozfungovat nat. Predpoklada se, ze novacek bude editovat rc.conf -
> promenne "natd_enable", "natd_interface" a ti zkusenejsi novackove
> pripadne "natd_flags".
>
> Navic se obavam, ze $[num} bude pro vetsinu novacku nedefinovana
> promenna - i kdyz se neda vyloucit, ze to bude fungovat i za teto
> okolnosti, protoze se pravidlo proste prida nakonec, coz by cirou
> nahodou dokonce mohlo byt spravne misto ...
>
> > /etc/rc.conf
> ...
> > linux_enable="YES"
>
> To rozhodne neni pro popsanou konfiguraci nutne.
>
> > sendmail_enable="NONE"
>  > sshd_enable="NONE"
>
> Tohle (oboji) take nesouvisi s popsanou konfiguraci.
>
> > tcp_drop_synfin="YES"
> > sshd_enable="YES"
>
> Tataz pripominka - navic jde o duplicitni definici promenne
sshd_enable.
>
> -----
>
> Obecne mam k navodu jednu zasadni pripominku - domnivam se, ze pro
> novacka je dulezite, aby navod jasne deklaroval co se pokousi resit a
> pak resil to a prave jen to. V pripade, ze je ucelne pri reseni zminit
> nastaveni s resenym problemem nesouvisejici, je nutne to jasne uvest.
>
> Abych byl zcela konkretni - z tveho navodu by napriklad novacek mohl
> dojit k zaveru, ze pokud chce pouzivat nat+ipfw(+dummynet) tak musi
mit
> zakazany sendmail a v kernelu musi mit IPFIREWALL_DEFAULT_TO_ACCEPT a
> MROUTING - pritom nic z toho neni pravda z novacka to muze jedine
zmast.
>
> Pripominam, ze popsana konfigurace se evidentne nezabyva problemem DNS
> rezoluce pridelovanych jmen - ano, router je pres /etc/hosts zrejme
> zjisti, nicmene, nikdo jiny v siti prevodu internich jmen na IP a/nebo
> obracene nebude schopen - to vadiv, v zavislosti na konkretni
> konfiguraci site muze a nemusi. Typicky to bude vadit v pripade, ze
> uvnitr site nejaky server poskytujici sluzby (a nepovezi na routeru).
>
>
> Dan
>
>
>
> --
> Dan Lukes      tel: +420 2 21914205, fax: +420 2 21914206
> root  of FIONet,  KolejNET,  webmaster  of www.freebsd.cz
> AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz
>
>
Previous message: Manual odemne pro novacky
Next message: Manual odemne pro novacky Zaverem uvaha
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
More information about the Users-l mailing list