The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Маршрутизация на базе natd в ОС FreeBSD"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от opennews (ok) on 13-Окт-05, 13:06 
Краткая памятка (http://www.hub.ru/modules.php?name=Pages&op=showpage&pid=199) о том, как быстро поднять FreeBSD сервер с NAT и Firewall.


URL: http://www.hub.ru/modules.php?name=Pages&op=showpage&pid=199
Новость: http://www.opennet.dev/opennews/art.shtml?num=6237

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Makc2K email(ok) on 13-Окт-05, 13:06 
Автор статьи видимо забыл перенаправить пакетики в nat. По крайней мере я не заметил таких правил. А раз так, то для новичков это просто ловушка.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Александр email(??) on 14-Окт-05, 07:04 
ну это то просто - автор использует стандартный /etc/rc.firevall
и в статье показал только кусочек текста - те правила, которые он добавил
в секцию [OPEN], перенаправление пакетов в nat осталось за кадром.
Если бы подумал головой, использовал хотя бы секцию [SIMPLE],
все таки было бы по приличней.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от edwin (??) on 13-Окт-05, 13:32 
?:
> options IPFIREWALL
> options IPDIVERT
> Где 1, 2 строки - сама возможность маршрутизации
Ух ты как круто.
Это с каких таких пор пакетный фильтр маршрутизацию включает?

> icmp_log_redirect="YES"

;)))
Это чтоб журналы зафлудить разным хламом?

> разрешить логинится удаленно для root в файле /etc/ssh/sshd_config

Вообше перл из разряда "тупой и еще тупее".

> Такая конфигурация ipfw весьма параноидальна

Она никакая ;(((
Вердикт - статья к огромному сожалению _ПОЛНЫЙ_ _БРЕД_

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Buster email on 13-Окт-05, 13:55 
На том же ресурсе лежит статья, в которой всё описано гораздо лучше... :(
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Moralez email(ok) on 13-Окт-05, 14:02 
Крики "PermitRootLogin yes - ламмирство" тоже ламерство и отсутствие желания подумать головой. ;-)

На тех машинах, где sshd открыт для 1-2 IP-ов только идиот будет заводить лишнюю учётку или более того, париться с sudo...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Аноним on 13-Окт-05, 14:29 
> На тех машинах, где sshd открыт для 1-2 IP-ов только идиот будет заводить лишнюю учётку или более того, париться с sudo...

Не идиот, а нормальный администратор, заботящийся о безопасности системы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Buster email on 13-Окт-05, 16:45 
Ламерство работать под рутом. Это тебе скажет любой мало мальски работающий админ *NIX
Только идиоты недоумки, которые хотят чтобы их отымели ставят PermitRootLogin yes.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от mdv email on 14-Окт-05, 06:25 
На сервере не работают - он сам работает. А администрировать сервер как-то удобнее из-под рута. токмо вот напрямую логиниться рутом - моветон, так что permitrootlogin yes - смерти подобно... ощущал на своей шкуре.
А на рабочей станции да, под рутом работать не нужно и вредно. ;)

PS: из вспомнилось из su-перлов. "sudo su -" без пароля ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Moralez email(ok) on 14-Окт-05, 06:38 
>"напрямую логиниться рутом - моветон"
>А на рабочей станции да, под рутом работать не нужно и вредно.

На рабочей станции конечно. Там приходится не только конфиги ковырять да сервисы дёргать, но и заниматься повседневной работой. Впрочем, на рабочей станции sshd часто вообще не нужен.

Насчёт моветона подробнее. В например SuSE-шке ламеры работают, там по дефолту оно yes?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от mdv email on 14-Окт-05, 07:03 
>>"напрямую логиниться рутом - моветон"
>>А на рабочей станции да, под рутом работать не нужно и вредно.
>
>На рабочей станции конечно. Там приходится не только конфиги ковырять да сервисы
>дёргать, но и заниматься повседневной работой. Впрочем, на рабочей станции sshd
>часто вообще не нужен.
>
>Насчёт моветона подробнее. В например SuSE-шке ламеры работают, там по дефолту оно
>yes?


оно везде по дефолту yes. надо не забывать его в no ставить. причем логика дефолтного yes понятна. насчет моветона - истина вбитая старшими товарищами, а относительно ssh так еще и на своей шкуре осознанная. но ситуации бывают разные.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

51. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от в on 14-Окт-05, 10:32 
вспомните червя, который использовал эту "дефолтовую фичу" Suse для брутфорса пароля к root где-то полгода назад.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от _Nick_ (??) on 14-Окт-05, 06:40 
абсолютно все случаю - только по необходимости нужно подбирать.

На локалхосте дома "su -" пароля не должно требовать - ну нахрена время тратить без толку? ну а по ссх ходить на себя же....  лучше сразу в психушку сдаваться

В оффисе "su -" для определенных пользователей тоже  без пароля - ок.
И ремоте логин на другие компы под рутом - тоже не проблема. А для ускорения работы - еще и ключи мона разложить. Ну нафига изращаться, если тока доверенные люди могут стать рутом о поиметь ключ для доступа на другой комп по ссх?

Серванты в Нете - это уже чисто личная паранойя и объективная важность сервера: на веб сервант чудно рутом ходить (быстренько зашел, поправил че-то пару раз в день и ушел), на роутер/траффик_шейпер мона и прикрыть (и то чисто потому, что часто туда ходить просто не нужно - опять таки, зачастую), ну а сервант с базой данных личных данных каких-либо клиентов или бабла какого вообще тока с определенных ИП должен пускать на 22 порт (ну и внутри хоть 10 последовательных авторизаций мона насетапить - все определяет паранойя/необходимость).


Мир - не как параметр RemoteRootLogin yes или no...
Мир разнообразен... ;))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от mdv email on 14-Окт-05, 07:18 
>абсолютно все случаю - только по необходимости нужно подбирать.
>
[...]
>Мир - не как параметр RemoteRootLogin yes или no...
>Мир разнообразен... ;))

Да, мир разнообразен. Похоже у вас это не соотносится с тем, что вы не в состоянии предусмотреть ВСЕ возможные методы обхода защиты. по поводу root по ssh, то отключение permitrootlogin - просто еще одна цепь защиты. Если злоумышленник узнает пароль того регулярного пользователя который может делать su, то ему еще придется поломать голову над рутовым паролем и получением рутовских прав, по этой же причине никогда и нигде на серверах нельзя делать su - в рута без пароля. Злоумышленник может быть заинтересован в контроле за хостом, а не в данных хранящихся на нем. чем больше слабин вы допускаете в настройке безопасности уповая на файрвол и сознательность пользователей, тем больше вы огребете в непредвиденной ситуации.

Так что... Мир разнообразен и неоднозначен и лишнее телодвижение в сторону увеличения своей безопасности никому не помешает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от _Nick_ (??) on 14-Окт-05, 07:35 
>Так что... Мир разнообразен и неоднозначен и лишнее телодвижение в сторону увеличения
>своей безопасности никому не помешает.

ну почему все админы мыслят однобоко???!
ну я тоже админ, но пытаюсь взглянуть на все чуть с другой стороны.
Ну а если абсолютное секурити не настолько приоритетнее удобств в работе???
Ну неужели все так тугоумны, что не могут допустить такой ситуации??
Блин! А еще админы....  где блин ваша гибкость???

А если мне нужно БЫСТРО и МНОГО че-го то постоянно менять на серванте и в то же время ниразу некритично если его поламают?? (я это допустим мгновенно замечу и сервант у меня под рукой, кило бекапов и я мгновенно восстановлюсь даже после патча бермена??) Но НУЖНО как можно быстрее менять какие-то настйроки на этом серванте?

Не знаю кто как там раб своих принципов, но я оптимизирую свою работу и не буду делать без толку часто одно и тоже (вводить 2 пароля и т.д.).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от mdv email on 14-Окт-05, 08:02 
>>Так что... Мир разнообразен и неоднозначен и лишнее телодвижение в сторону увеличения
>>своей безопасности никому не помешает.
>
>ну почему все админы мыслят однобоко???!
>ну я тоже админ, но пытаюсь взглянуть на все чуть с другой
>стороны.
>Ну а если абсолютное секурити не настолько приоритетнее удобств в работе???
>Ну неужели все так тугоумны, что не могут допустить такой ситуации??
>Блин! А еще админы....  где блин ваша гибкость???
>
>А если мне нужно БЫСТРО и МНОГО че-го то постоянно менять на
>серванте и в то же время ниразу некритично если его поламают??
>(я это допустим мгновенно замечу и сервант у меня под рукой,
>кило бекапов и я мгновенно восстановлюсь даже после патча бермена??) Но
>НУЖНО как можно быстрее менять какие-то настйроки на этом серванте?
>
>Не знаю кто как там раб своих принципов, но я оптимизирую свою
>работу и не буду делать без толку часто одно и тоже
>(вводить 2 пароля и т.д.).

в общем я не отрицал того, что необходимость пользоваться напрямую рутом иногда есть. но ИНОГДА, а не систематически.
я вот только не могу понять следующих вещей:
1) чего можно БЫСТРО и МНОГО менять на боевом сервере, что требует рутовых прав? Если сервер не боевой, то и разговор другой и не надо сюда сферических коней в вакууме приплетать.
2) если все же надо что-то быстро и много поменять, то зачем при этом перелогиниваться? или вы делаете рестарт сервера после каждой правки sshd_config или изменения сетевой конфигурации? Вот мне надо, например обновить софт какой-то - login, su,скачал подготовленные сорцы, собрал,  остановил сервис, сбэкапился, проинсталлил, проврил конфигурацию, запустил сервис, проверил работу, ^D^D. процесс login+su - один.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от edwin (ok) on 14-Окт-05, 08:07 
>>Так что... Мир разнообразен и неоднозначен и лишнее телодвижение в сторону увеличения
>>своей безопасности никому не помешает.
>
>ну почему все админы мыслят однобоко???!
>ну я тоже админ, но пытаюсь взглянуть на все чуть с другой
>стороны.
>Ну а если абсолютное секурити не настолько приоритетнее удобств в работе???
>Ну неужели все так тугоумны, что не могут допустить такой ситуации??
>Блин! А еще админы....  где блин ваша гибкость???
>
>А если мне нужно БЫСТРО и МНОГО че-го то постоянно менять на
>серванте и в то же время ниразу некритично если его поламают??
>(я это допустим мгновенно замечу и сервант у меня под рукой,
>кило бекапов и я мгновенно восстановлюсь даже после патча бермена??) Но
>НУЖНО как можно быстрее менять какие-то настйроки на этом серванте?
>
>Не знаю кто как там раб своих принципов, но я оптимизирую свою
>работу и не буду делать без толку часто одно и тоже
>(вводить 2 пароля и т.д.).

Тебе религия не позволяет DSA ключи сгенерить и по ним на серваки ходить ?
Мне тоже знаеш ли надо не на одну машинку логиниться.
Но я поступил по людски - сгенерил ключи и как сыр в масле катаюсь ;))
И секюрность высокая.
А таких спецов как ты .... гм ... не будем выражаться

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

42. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от _Nick_ (??) on 14-Окт-05, 08:20 
> Тебе религия не позволяет DSA ключи сгенерить и по ним на серваки ходить ?

а ты бы не п...л раньше времени, а прочитал бы мой пост ранее про уровни необходимой безопасности. Там и про ключи есть и про "su -" без пароля.


...И знаешь сколько специалистов, которые ЧИТАТЬ даже не умеют есть??? ;(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

44. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от edwin (ok) on 14-Окт-05, 09:19 
>> Тебе религия не позволяет DSA ключи сгенерить и по ним на серваки ходить ?
>
>а ты бы не п...л раньше времени, а прочитал бы мой пост
>ранее про уровни необходимой безопасности. Там и про ключи есть и
>про "su -" без пароля.
>
>


Вы же написали про БЕЗПОЛЕЗНОМТЬ ключей:

> Ну нафига изращаться, если тока доверенные люди могут стать рутом о поиметь ключ для доступа на другой комп по ссх?

То есть Вы допускаете использование ключей, но через секунду начинаете с пеной у рта довазывать необходимость разрешить прямой root login.
То есть де факто Вы отрицаете ключи ...
А пропагандируете прямой root sheel
Не надо наводить тень на плетень.

P.S.
rlogin тоже удобно было ;))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

59. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от northbear (??) on 14-Окт-05, 20:18 

>А если мне нужно БЫСТРО и МНОГО че-го то постоянно менять на
>серванте и в то же время ниразу некритично если его поламают??
>(я это допустим мгновенно замечу и сервант у меня под рукой,
>кило бекапов и я мгновенно восстановлюсь даже после патча бермена??) Но
>НУЖНО как можно быстрее менять какие-то настйроки на этом серванте?

Я не понял что это за серванты такие? Ты не можешь потратить несколько секунд на набор пароля, но простой как минимум десять минут для восстановления системы тебе не критичен. Особенно представляю как ты будешь накатывать те "быстрые и многие" изменения, которые нужно было сделать за время простоя при восстановлении.

По-моему, это просто сон разума....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

62. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от _Nick_ (??) on 14-Окт-05, 21:15 
Вот пока кто-нибудь для себя не признает, что где-то можно хоть рута ремотно пускать без пароля, а где-то вообще обнулять /proc/sys/kernel/cap-bound нужно - НЕ БУДЕТ ТОЛКУ В ЭТОМ ФЛЕЙМЕ (во флейме есть столк?..)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Moralez email(ok) on 14-Окт-05, 07:38 
Как это, интересно, злоумышленник может узнать пароль обычного юзера и НЕ УЗНАТЬ рутячий, если всё это вводится с интервалом в пару секунд?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

40. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от mdv email on 14-Окт-05, 08:08 
>Как это, интересно, злоумышленник может узнать пароль обычного юзера и НЕ УЗНАТЬ
>рутячий, если всё это вводится с интервалом в пару секунд?
вы правда думаете, что узнать пароль можно только послушав интерактивную сессию ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

41. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Moralez email(ok) on 14-Окт-05, 08:15 
То есть, сказать нечего?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

43. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от mdv email on 14-Окт-05, 08:27 
>То есть, сказать нечего?
Есть. а вы поймете?

Ключевые слова - подсмотреть, подобрать, социальный инжиниринг.
сомневаюсь, что если у вас больше 2х серверов в подчинении, то у вас на обычного пользователя везде разные пароли и вы нигде не пользуетесь системной(с авторизацией в passwd) почтой через незасекуренный pop3/имап, а если везде разные, то возможно вы их где-то записываете, а еще возможно, что вам лень было еще одного пользователя заводить и вы кому-либо дали свой логин/пароль... вариантов море - напрягите воображение.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

47. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Moralez email(ok) on 14-Окт-05, 09:37 
Что-что?! Какой подсмотреть, подобрать и тем более с.и. (я не девочка-секретутка)? У меня 15 серваков, на всех 22-й порт открыт только с двух IP-ов (IPы офисов в моём городе). В другие города логинюсь рутом со своей рабочки (FreeBSD), смотрю логи, обновляю систему и софт. Пароли везде разные, лежат только в голове и в сейфе у шефа. У обычных юзеров пароли разные, но shell я им не даю (и не в wheel они), а со временем перенесу в ldap. Кто что подсмотрит или подберёт? По-моему, это вы напрягаете или даже перенапрягаете воображение. В нормальных условиях логин нерутом ни на грамм не увеличивает защищённость. А в тех условиях, где увеличивает, там просто всё плохо настроено (исключая случаи, где на серваке розданы shell-ы или подобное) :-\
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

48. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от mdv email on 14-Окт-05, 09:46 
>Что-что?! Какой подсмотреть, подобрать и тем более с.и. (я не девочка-секретутка)? У
>меня 15 серваков, на всех 22-й порт открыт только с двух
[...]
это вы такой правильный, а много ли еще таких?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

49. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Moralez email(ok) on 14-Окт-05, 10:08 
Что-то я не догоняю... Я в самом первом своём письме написал "если 22-й порт открыт для пары IPов, то это совершенно лишний геморрой".
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

50. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от mdv email on 14-Окт-05, 10:22 
>Что-то я не догоняю... Я в самом первом своём письме написал "если
>22-й порт открыт для пары IPов, то это совершенно лишний геморрой".
>
адреса, если что, можно и заспуфить.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

54. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Moralez email(ok) on 14-Окт-05, 10:56 
Вероятность примерно такого же порядка что и у "приедут на джипах с автоматами, заберут сервак и все важные файлики прочитают". Здорового админы полностью устроит вероятность невзлома в р-не 98%. Тем более, я не верю, что ваши меры предосторожности хоть что-то дадут, если за дело возьмутся серьёзные дядьки.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

56. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от BB (??) on 14-Окт-05, 11:51 
>Что-то я не догоняю... Я в самом первом своём письме написал "если
>22-й порт открыт для пары IPов, то это совершенно лишний геморрой".
>

Согласен с тобой, я-б еще перенес sshd на какой либо другой порт, например 10022 :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

57. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Grayich email(??) on 14-Окт-05, 11:57 
>>Что-то я не догоняю... Я в самом первом своём письме написал "если
>>22-й порт открыт для пары IPов, то это совершенно лишний геморрой".
>>
>
>Согласен с тобой, я-б еще перенес sshd на какой либо другой порт,
>например 10022 :)

иногда неизвестные порты привлекают взломщиков.. разве, что от ботов спасет :)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от edwin (ok) on 13-Окт-05, 19:42 
> На тех машинах, где sshd открыт для 1-2 IP-ов только идиот будет заводить лишнюю учётку или более того, париться с sudo...

Мальчик.
Я тебе секрет открою: иногда надо заботиться о безопастности.

> париться с sudo...
А с чем париться ?
Или для ВАс настройка данной проги есть проблема ?
Если так, то мне понятен истинный смысл Ваших высказываний.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Moralez email(ok) on 14-Окт-05, 05:33 
О безопасТности надо заботиться всегда, но посредством вдумчивого следования рекомендациям, а не тупого подражания. Админ, который считает, что поставив прогу, в истории которой были преценденты roothole-ов имея возможность не ставить глуп.

А на сервере НЕ РУТОМ делать вообще нефиг...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Grayich email(??) on 14-Окт-05, 06:22 
>О безопасТности надо заботиться всегда, но посредством вдумчивого следования рекомендациям, а не
>тупого подражания. Админ, который считает, что поставив прогу, в истории которой
>были преценденты roothole-ов имея возможность не ставить глуп.
>
>А на сервере НЕ РУТОМ делать вообще нефиг...


для этого существует команда SU, а не PermitRootLogin yes

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Moralez email(ok) on 14-Окт-05, 06:51 
Чем отличается su от PermitRootLogin?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от _Nick_ (??) on 14-Окт-05, 06:54 
> Насчёт моветона подробнее. В например SuSE-шке ламеры работают, там по
> дефолту оно yes?

о. Ну давайте еще поспорим о каких-то дефолтах каких-то имбицилов в разных наборах бинарей...
пиздец...

>Чем отличается su от PermitRootLogin?

для су - нужно еще знать под кем залогиниться, чтоб запустить этот su ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от mdv email on 14-Окт-05, 07:20 
>Чем отличается su от PermitRootLogin?
тем, что permitrootlogin позволяет получить сразу рутовый доступ к системе, а su - через промежуточного обычного пользователя...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

45. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от edwin (ok) on 14-Окт-05, 09:22 
>А на сервере НЕ РУТОМ делать вообще нефиг...

Ух ты.
А если это сервер разработки ?
Или баз дынных ?
Для кодинга надо root sheel ... мдя ... ;((
Или задампить базу тоже надо root sheel.
На реальных серваках есть вагон задач совсем не требующих прав root'а

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

46. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от mdv email on 14-Окт-05, 09:30 
>>А на сервере НЕ РУТОМ делать вообще нефиг...
>
>Ух ты.
>А если это сервер разработки ?
>Или баз дынных ?
>Для кодинга надо root sheel ... мдя ... ;((
>Или задампить базу тоже надо root sheel.
>На реальных серваках есть вагон задач совсем не требующих прав root'а


Да, но это же гораздо удобнее из-под рута делать все! ;) [шу.чу]

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

60. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от northbear (??) on 14-Окт-05, 20:25 

>А на сервере НЕ РУТОМ делать вообще нефиг...

До тех пор пока тебя не сломали...
Признайся, что ты понятия не имеешь, как настроить сервер так, чтобы для его обслуживания вообще не было необходимости заходить под рутом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

53. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от deskpot email on 14-Окт-05, 10:47 
> На тех машинах, где sshd открыт для 1-2 IP-ов

покажите мне такую машину. если важно, чтобы был минимальный простой при всяких ЧП, я должен иметь возможность к ней подсоединиться не только с рабочего места и из дома, но из гостей, интернет-кафе в Саратове, с помощью GPRS.

если это домашний тазик, где неважно, сколько и когда он падает -- ради бога. но свои домашние привычки переносить на боевые машины -- не стоит. более того -- не стоит докуменатцией плодить заведомо вредные привычки у новоадминов, от которых им потом будет надо избавляться.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от alish on 13-Окт-05, 14:02 
>options IPFIREWALL
>options IPDIVERT
>options IPFIREWALL_VERBOSE
>options IPFIREWALL_VERBOSE_LIMIT=10
>options DUMMYNET
>options TCP_DROP_SYNFIN
>
>Где 1, 2 строки - сама возможность >маршрутизации; 3, 4 - возможность вести логи и >ограничение их списка; 5 - требуется для ведения >статистики; 6 - отброс флуд-пакетов.

с каких пор dummynet требуется для статистики?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Tavik email(??) on 13-Окт-05, 14:25 
Статья не моя, поэтому не вчитывался...
Надо будет подправить...

Хорошая статья - я полагаю это оно:
http://www.hub.ru/modules.php?name=Pages&op=showpage&pid=35
http://www.hub.ru/modules.php?name=Pages&op=showpage&pid=36
http://www.hub.ru/modules.php?name=Pages&op=showpage&pid=37

На самом деле тут тоже есть ошибки, автор присылал их исправления как-то, но сначала у меня, а потом у него сдохли винты :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от ya email on 13-Окт-05, 22:37 
Извините что не по теме но складывается впечатление что как только что то важное положено на диск он ... ниминуемо сдыхает. Данный момент очень часто встречается на различных форумах среди юниксоидов. Ничего не имею против подобного класса ОСов, сам использую оные в работе ... но за последние 2 года с момента появления дисков seagate baracuda на моем рабочем компе не потерял ни байта важной и не очень информации ... при этом диск раз пять ремапился но установленная в те далекие времена XP продолжала исправно работать и восстанавливать мою инфу. Ну и совсем для меня естественно хранить несколько копий инфы в различных местах, делая резервные копии.

Говоря словами небезизвестного автора: - может в филармонии что то подправить ..................

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от _Nick_ (??) on 13-Окт-05, 22:53 
А что за ОС ты пользовал?? Так и не сказал.

Если что-то страше 10 лет релиза, то сравнивать с 2 летней давности XP уже нехорошо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Igor email(??) on 13-Окт-05, 16:52 
Правило передающее пакеты на обработку демону natd отсуствует, а значит работаь не будет. Надо хотябы после всех pip-ов добавить:
/sbin/ipfw add divert natd all from any to any via {$if}
И вообще почему статья маршрутизацией названа? natd вроде к прокси ближе...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от uldus (ok) on 13-Окт-05, 17:32 
>будет. Надо хотябы после всех pip-ов добавить:
>/sbin/ipfw add divert natd all from any to any via {$if}

Если natd_enable=YES, то в rc.firewall для типа "open"  вначале уже есть готовый блок для прописывания divert.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Stingo (??) on 13-Окт-05, 17:24 
NAT - network address translation и причем тут routing? А то что написано.. хм.. в топку.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Grayich email(??) on 13-Окт-05, 20:22 
вообщем непонятно на кого статья расчитана
для знающих она ненужна, новичков же она ничему хорошему ненаучит да и скорее только запутает
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от _Nick_ (??) on 13-Окт-05, 20:25 
>вообщем непонятно на кого статья расчитана
>для знающих она ненужна, новичков же она ничему хорошему ненаучит да и
>скорее только запутает

это для дебилов/маразматиков/извращенцев

ни один нормальный человек не будет подымать продакшн роутинг через юзер-левел. То же самое - и NAT через юзерлевел. Это все израты бсд.

Поставил Линуха, развернул кого куда нуна сорсроутингом и расслабился

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от edwin (ok) on 13-Окт-05, 20:51 
> Это все израты бсд.
Даже если тебе не нравиться natd(который к слову сказать неплохо работает), то есть замечательная альтернатива - pf или ipf(не все nat'ит).
Которые nat'т на kernel level
Или ты не слышал про такое?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

52. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от в on 14-Окт-05, 10:44 

>ни один нормальный человек не будет подымать продакшн роутинг через юзер-левел. То
>же самое - и NAT через юзерлевел. Это все израты бсд.

я вот юзаю 6-CURRENT и не парюсь, там поддержка nat в самом ipfw.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Av (??) on 13-Окт-05, 20:39 
У последного товарища, судя по всем мною виденным сообщениям, присутствует какой-то комплекс или аллергия могза на бсд  
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от _Nick_ (??) on 13-Окт-05, 21:03 
>У последного товарища, судя по всем мною виденным сообщениям, присутствует какой-то комплекс
>или аллергия могза на бсд

после ебли с фбсд/natd 2 года - конечно и комплекс и паранойя и аллергия

после линуха - все кака рукой сняло.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от BB (??) on 13-Окт-05, 21:59 
2 _Nick_ ты-б ищо про полуось вспомнил :) Для своего времени супер ОС была.
Эт я к тому что ipfw достаточн древен и сейчас есть более удобные/продвинутые механизмы обустройства nat,fw и пр. дел в *bsd
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от _Nick_ (??) on 13-Окт-05, 22:10 
>2 _Nick_ ты-б ищо про полуось вспомнил :) Для своего времени супер
>ОС была.
>Эт я к тому что ipfw достаточн древен и сейчас есть более
>удобные/продвинутые механизмы обустройства nat,fw и пр. дел в *bsd

тогда я прав в высказывании про маразматиков.
Какого хрена юзать древние "технологии" с натд, когда есть что-либо более человеческое??

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от stripe on 13-Окт-05, 22:41 
Ты не гибок. В сад.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от Moralez email(ok) on 14-Окт-05, 05:29 
Это не гибкость, а извраты. В BSD с маршрутизацией вообще не очень (уже обсуждалось недавно, нет, напр. multipath).
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

55. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от pavel (??) on 14-Окт-05, 11:01 
ipfw ,в отличие от pf - стандартный для bsd способ.Да, медленно, зато надежно.Нет тех приколов,которые были с pf/ipf...
>100gb  месяц
проходит у меня через сервер.
А про ssh-никакой дополнительной безопасности permitrootlogin no не добавляет.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

58. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от edwin (ok) on 14-Окт-05, 12:30 
>ipfw ,в отличие от pf - стандартный для bsd способ.

Не так и медленно.
Даже на больших роутерах работает хорошо.

> Нет тех приколов,которые были с pf/ipf...

Действительно, проблемы были.
Во вот сечйчас у меня кое где(FreeBSD 5.4) pf&altq стоит - НИКАКИХ нареканий.
Прекрастно работает


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

65. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от javid email(ok) on 12-Июн-09, 14:14 
я например Трахаюсь уже 3 дня, чтобы направлять етот вонючий трафик, в интернет.
и если у меня не получится я перейду на линукс, и проклину БЗД!!!!!!!!!!!.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

66. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от grayich (ok) on 12-Июн-09, 14:16 
страшно то как =)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

67. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от mdv (??) on 12-Июн-09, 15:19 
>я например Трахаюсь уже 3 дня, чтобы направлять етот вонючий трафик, в
>интернет.
>и если у меня не получится я перейду на линукс, и проклину
>БЗД!!!!!!!!!!!.

А чо трахаться то? надо настроить и всё. :)
Здесь вам не шахматы, здесь думать надо (c) ;)
Я думаю, что с линухом будут те же проблемы :)

Что не получается то?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

68. "Маршрутизация на базе natd в ОС FreeBSD"  +/
Сообщение от javid (ok) on 12-Июн-09, 21:19 
>А чо трахаться то? надо настроить и всё. :)
>Здесь вам не шахматы, здесь думать надо (c) ;)
>Я думаю, что с линухом будут те же проблемы :)
>
>Что не получается то?

думаю что нашел выход. надо в ppp.conf профиль создать. например после rl0: названия провайдера. ,,?? как вы думаете, мне так сказали, сам много раз прочел маны, форумы, вродебы все нормально.
вот сценарий- юникс 7.2 имеет 2 сетевухи, один внеш, другой внутрь. Айпи все правильно задано. он же как шлюз, к адсл модему который стоит как мост pppOE. другой комп с виндовс, как клиент должен выйти в интернет через все ето. здесь что надо, например настроить.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру