Manual odemne pro novacky

Dan Lukes dan at obluda.cz
Thu Jan 2 13:09:43 CET 2003


Pentium wrote:

> 2. krok  priprava na funkcni nat,ipfw,dummynet
> 
> kompilace jadra
> server# cd  /usr/src/sys/i386/conf
> server# cp GENERIC GATE
> 
> edituj GATE a pridej na konec {je v adresari /usr/src/sys/i386/conf}
> options         MROUTING                # Multicast routing

Jsi presvedcen, ze novacek opravdu bude pouzivat multicast routing ?
To neni zas az tak jednoducha vec na pouzivani - pridanim tohoto optionu 
do jadra to rozhodne ani nahodou nekonci ...

> options         IPFIREWALL_VERBOSE_LIMIT=100    #limit verbosity
> options         IPFIREWALL_DEFAULT_TO_ACCEPT    #allow everything by
> default

	Tyto dva optiony, zejmena ten druhy, ma pomerne vyznamne bezpecnostni 
dopady - kdyz uz jsi se rozhodl doporucit novackovi zmenu defaultniho 
nastaveni na jine, povazuji za bezpodminecne nutne ho s temito nasledky 
seznamit tak, aby se podle toho mohl zaridit. Tedy - kdzy uz povazujes 
za nutne a/nebo vhodne toto nastaveni vubec menit (ja ho ve svych 
kernelech pouzivam take, ale ja uz asi nespadam do kategorie "novacek" a 
vim presne proc ho tam mam a co dela).

> options         IPFILTER                #ipfilter support
> options         IPFILTER_LOG            #ipfilter logging
> options         IPSTEALTH               #support for stealth forwarding

	Tyto optiony nejsou pro naznacenou konfiguraci - tedy nat+ipfw+dummynet 
potreba.

> 3. krok Pridani pravidla do IPFW
> Uprava IPFW pravidel pro natd je dulezite
> ipfw add ${num} divert natd all from any to any via ${natd_interface}
> ipfw add 00050 divert natd all from any to any via ppp0


	Nedomnivam se, ze editace rc.firewall je pro novacka spravna cesta jak 
rozfungovat nat. Predpoklada se, ze novacek bude editovat rc.conf - 
promenne "natd_enable", "natd_interface" a ti zkusenejsi novackove 
pripadne "natd_flags".

	Navic se obavam, ze $[num} bude pro vetsinu novacku nedefinovana 
promenna - i kdyz se neda vyloucit, ze to bude fungovat i za teto 
okolnosti, protoze se pravidlo proste prida nakonec, coz by cirou 
nahodou dokonce mohlo byt spravne misto ...

> /etc/rc.conf
...
> linux_enable="YES"

	To rozhodne neni pro popsanou konfiguraci nutne.

> sendmail_enable="NONE"
 > sshd_enable="NONE"

	Tohle (oboji) take nesouvisi s popsanou konfiguraci.

> tcp_drop_synfin="YES"
> sshd_enable="YES"

	Tataz pripominka - navic jde o duplicitni definici promenne sshd_enable.

-----

	Obecne mam k navodu jednu zasadni pripominku - domnivam se, ze pro 
novacka je dulezite, aby navod jasne deklaroval co se pokousi resit a 
pak resil to a prave jen to. V pripade, ze je ucelne pri reseni zminit 
nastaveni s resenym problemem nesouvisejici, je nutne to jasne uvest.

	Abych byl zcela konkretni - z tveho navodu by napriklad novacek mohl 
dojit k zaveru, ze pokud chce pouzivat nat+ipfw(+dummynet) tak musi mit 
zakazany sendmail a v kernelu musi mit IPFIREWALL_DEFAULT_TO_ACCEPT a 
MROUTING - pritom nic z toho neni pravda z novacka to muze jedine zmast.

	Pripominam, ze popsana konfigurace se evidentne nezabyva problemem DNS 
rezoluce pridelovanych jmen - ano, router je pres /etc/hosts zrejme 
zjisti, nicmene, nikdo jiny v siti prevodu internich jmen na IP a/nebo 
obracene nebude schopen - to vadiv, v zavislosti na konkretni 
konfiguraci site muze a nemusi. Typicky to bude vadit v pripade, ze 
uvnitr site nejaky server poskytujici sluzby (a nepovezi na routeru).


					Dan



-- 
Dan Lukes      tel: +420 2 21914205, fax: +420 2 21914206
root  of FIONet,  KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz




More information about the Users-l mailing list