The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Добавление поддержки IP sets и пере..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Добавление поддержки IP sets и пере..."  
Сообщение от auto_tips (??) on 10-Апр-09, 01:23 
Настроим IP sets (http://ipset.netfilter.org/) в Debian.  Ipset позволяет использовать
большие таблицы IP и MAC адресов, подсетей номеров портов совместно с iptables (подключение через одно
правило, в таблице используется хэширование). Возможно быстрое обновление списка целиком.

Например:
   ipset -N servers ipmap --network 192.168.0.0/16
   ipset -A servers 192.168.0.1
   iptables -A FORWARD -m set --set servers dst,dst -j ACCEPT

Ставим исходные тексты ядра и устанавливаем необходимые для сборки пакеты:

   # apt-get install kernel-package libncurses5-dev fakeroot

   /usr/src# REV=`date +%F`
   /usr/src# KV=2.6.29

   /usr/src# wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-${KV}.tar.bz2
   /usr/src# wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-${KV}.tar.bz2.sign
   /usr/src# gpg --verify linux-${KV}.tar.bz2.sign

   /usr/src# tar xvjf linux-${KV}.tar.bz2
   /usr/src# ln -s linux-${KV} linux

Устанавливаем патчи ipset:

   # cd /usr/src/
   src # aptitude install git-core ipset
   src # git clone git://git.netfilter.org/ipset.git
   src # cd ipset/
   ipset # make KERNEL_DIR=/usr/src/linux patch_kernel
   cd kernel; ./patch_kernel /usr/src/linux

Собираем ядро:

   ipset # cd /usr/src/linux
   /usr/src/linux# make-kpkg clean
   /usr/src/linux# make menuconfig
   /usr/src/linux# cp .config ~/

Отвечаем yes на все что нам нужно.

Начинаем непосредственно компиляцию:

   /usr/src/linux# fakeroot make-kpkg --revision=${REV} kernel_image

Пьем чай. Спокойно. Оно заканчивается:

   dpkg --build /usr/src/linux/debian/linux-image-${KV} ..
   dpkg-deb: building package `linux-image-${KV}' in `../linux-image-${KV}_${REV}_amd64.deb'.
   make[2]: Leaving directory `/usr/src/linux-${KV}'
   make[1]: Leaving directory `/usr/src/linux-${KV}'

   /usr/src/linux#
   /usr/src/linux# dpkg -i ../linux-image-${KV}_${REV}_amd64.deb

Если не получилось, удаляем и компилируем с той же ${REV}:

   /usr/src/linux# dpkg -r linux-image-${KV}
   /usr/src/linux# REV=`date +%F`
   /usr/src/linux# rm -fr debian/
   /usr/src/linux# make menuconfig

И так далее как было выше.

После установки обновляем конфиг grub:

   /usr/src/linux# update-grub

   Searching for GRUB installation directory ... found: /boot/grub
   Searching for default file ... found: /boot/grub/default
   Testing for an existing GRUB menu.lst file ... found: /boot/grub/menu.lst
   Searching for splash image ... none found, skipping ...
   Found kernel: /vmlinuz-${REV}
   Updating /boot/grub/menu.lst ... done

Обязательно проверяем и перезагружаемся:

   /usr/src/linux# cat /boot/grub/menu.lst
   /usr/src/linux# reboot

Заключительный тест:

   ~ $ ping server

Debian 5.0 (Lenny и ipset).

Дополнение от pavel_simple:

В Debian 5.0 (Lenny), модулей ipset как таковых нет. Вместо этого имеется всё необходимое,
чтобы ими можно было воспользоваться.

1. устанавливаем пакеты.

   #apt-get build-dep netfilter-extensions-source
   #apg-get install netfilter-extensions-source
   #cd /usr/src
   #tar xjf netfilter-extensions.tar.bz2

2. собираем и устанавливаем

   #m-a a-i netfilter-extension

3. пользумся


URL: http://sanmai.livejournal.com/506508.html
Обсуждается: http://www.opennet.dev/tips/info/2026.shtml

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "IPSets это круто, но пока"  
Сообщение от Аноним (??) on 10-Апр-09, 01:23 
Да уж... IPSets это круто, но пока они обновяцца... Можно сдохнуть. Живой пример - зажим мирового трафика и украинский анлим... Пока мы с кошки получаем список префиксов и запуливаем его в IPSets (ну не умеют кошки нормально резать полосу, а умеющие стОят денех, как маленький провайдер со своей клиентской базой), проходит как раз столько времени, сколько надо, чтобы быстренько повесицца на ближайшем патч-корде...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "IPSets это круто, но пока"  
Сообщение от pavel_simple (ok) on 10-Апр-09, 03:32 
>Да уж... IPSets это круто, но пока они обновяцца... Можно сдохнуть. Живой
>пример - зажим мирового трафика и украинский анлим... Пока мы с
>кошки получаем список префиксов и запуливаем его в IPSets (ну не
>умеют кошки нормально резать полосу, а умеющие стОят денех, как маленький
>провайдер со своей клиентской базой), проходит как раз столько времени, сколько
>надо, чтобы быстренько повесицца на ближайшем патч-корде...

ммм... а вы наверное таблицы заполняете через... ммм жопу а не через restore, угадал?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Добавление поддержки IP sets и пересборка ядра в Debian GNU/..."  
Сообщение от anonymous email(??) on 10-Апр-09, 11:20 
Не трушно. Надо создать патч-пакет для ipset и дальше юзать:

fakeroot make-kpkg --revision=${REV} --added-patches ipset kernel_image

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Добавление поддержки IP sets и пересборка ядра в Debian GNU/..."  
Сообщение от pavel_simple. on 10-Апр-09, 13:49 
>Не трушно. Надо создать патч-пакет для ipset и дальше юзать:
>
>fakeroot make-kpkg --revision=${REV} --added-patches ipset kernel_image

ещё один... и что при обновлении пересобирать весь kernel?

вы до конца прочитали?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Добавление поддержки IP sets и пересборка ядра в Debian GNU/..."  
Сообщение от анонимус on 10-Апр-09, 22:12 
а что такое #m-a a-i ?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Добавление поддержки IP sets и пересборка ядра в Debian GNU/..."  
Сообщение от pavlinux (ok) on 11-Апр-09, 11:55 
А типа не судьба

make config
make
make modules_install
make install
vi /boot/grub/menu.lst
init 6


или без fakeroot не кошерно?


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Добавление поддержки IP sets и пересборка ядра в Debian GNU/..."  
Сообщение от pavel_simple. on 11-Апр-09, 21:39 
pavlin не читатель, павлин пейсатель -- для тупых и не умеющих читать до конца -- громко-громко

НЕ НУЖНО переделывать kernel чтобы поставить ipset в Debian. А так-же НЕ НУЖНО слушать/читать всякую херню которою постят на opennet'е. И ДА - НУЖНО читать документацию.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Добавление поддержки IP sets и пересборка ядра в Debian GNU/..."  
Сообщение от PavelR (??) on 11-Апр-09, 22:28 

module-assistant auto-install
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Добавление поддержки IP sets и пересборка ядра в Debian GNU/..."  
Сообщение от pavlinux (ok) on 12-Апр-09, 23:05 
Не слушайте бяку...

1. ядро демьяна выкидываем нах... как исходники так и бинарник
2. качаем последнюю ванилу
3. патчи которые нужны.
4. компилем.

И при следующем apt-get upgrade ваша система и настрокйи ipset не грохнутся, потому как ВЫ контролируете когда и что обновлять! Особенно ядро!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Добавление поддержки IP sets и пересборка ядра в Debian GNU/..."  
Сообщение от pavel_simple (ok) on 12-Апр-09, 23:58 
>Не слушайте бяку...
>
>1. ядро демьяна выкидываем нах... как исходники так и бинарник
>2. качаем последнюю ванилу
>3. патчи которые нужны.
>4. компилем.
>
>И при следующем apt-get upgrade ваша система и настрокйи ipset не грохнутся,
>потому как ВЫ контролируете когда и что обновлять! Особенно ядро!
>

именно -- не слушайте.  для павнина и извращенцев есть lfs

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Добавление поддержки IP sets и пересборка ядра в Debian GNU/..."  
Сообщение от pavlinux (ok) on 13-Апр-09, 11:50 
>>Не слушайте бяку...
> не слушайте.  для павнина и извращенцев есть lfs

Бе-бе-бе :-P

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Добавление поддержки IP sets и пересборка ядра в Debian GNU/..."  
Сообщение от pavel_simple (ok) on 13-Апр-09, 12:49 
>>>Не слушайте бяку...
>> не слушайте.  для павнина и извращенцев есть lfs
>
>Бе-бе-бе :-P

Ж:-)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру