Manual odemne pro novacky
Dan Lukes
dan at obluda.cz
Thu Jan 2 13:09:43 CET 2003
Pentium wrote:
> 2. krok priprava na funkcni nat,ipfw,dummynet
>
> kompilace jadra
> server# cd /usr/src/sys/i386/conf
> server# cp GENERIC GATE
>
> edituj GATE a pridej na konec {je v adresari /usr/src/sys/i386/conf}
> options MROUTING # Multicast routing
Jsi presvedcen, ze novacek opravdu bude pouzivat multicast routing ?
To neni zas az tak jednoducha vec na pouzivani - pridanim tohoto optionu
do jadra to rozhodne ani nahodou nekonci ...
> options IPFIREWALL_VERBOSE_LIMIT=100 #limit verbosity
> options IPFIREWALL_DEFAULT_TO_ACCEPT #allow everything by
> default
Tyto dva optiony, zejmena ten druhy, ma pomerne vyznamne bezpecnostni
dopady - kdyz uz jsi se rozhodl doporucit novackovi zmenu defaultniho
nastaveni na jine, povazuji za bezpodminecne nutne ho s temito nasledky
seznamit tak, aby se podle toho mohl zaridit. Tedy - kdzy uz povazujes
za nutne a/nebo vhodne toto nastaveni vubec menit (ja ho ve svych
kernelech pouzivam take, ale ja uz asi nespadam do kategorie "novacek" a
vim presne proc ho tam mam a co dela).
> options IPFILTER #ipfilter support
> options IPFILTER_LOG #ipfilter logging
> options IPSTEALTH #support for stealth forwarding
Tyto optiony nejsou pro naznacenou konfiguraci - tedy nat+ipfw+dummynet
potreba.
> 3. krok Pridani pravidla do IPFW
> Uprava IPFW pravidel pro natd je dulezite
> ipfw add ${num} divert natd all from any to any via ${natd_interface}
> ipfw add 00050 divert natd all from any to any via ppp0
Nedomnivam se, ze editace rc.firewall je pro novacka spravna cesta jak
rozfungovat nat. Predpoklada se, ze novacek bude editovat rc.conf -
promenne "natd_enable", "natd_interface" a ti zkusenejsi novackove
pripadne "natd_flags".
Navic se obavam, ze $[num} bude pro vetsinu novacku nedefinovana
promenna - i kdyz se neda vyloucit, ze to bude fungovat i za teto
okolnosti, protoze se pravidlo proste prida nakonec, coz by cirou
nahodou dokonce mohlo byt spravne misto ...
> /etc/rc.conf
...
> linux_enable="YES"
To rozhodne neni pro popsanou konfiguraci nutne.
> sendmail_enable="NONE"
> sshd_enable="NONE"
Tohle (oboji) take nesouvisi s popsanou konfiguraci.
> tcp_drop_synfin="YES"
> sshd_enable="YES"
Tataz pripominka - navic jde o duplicitni definici promenne sshd_enable.
-----
Obecne mam k navodu jednu zasadni pripominku - domnivam se, ze pro
novacka je dulezite, aby navod jasne deklaroval co se pokousi resit a
pak resil to a prave jen to. V pripade, ze je ucelne pri reseni zminit
nastaveni s resenym problemem nesouvisejici, je nutne to jasne uvest.
Abych byl zcela konkretni - z tveho navodu by napriklad novacek mohl
dojit k zaveru, ze pokud chce pouzivat nat+ipfw(+dummynet) tak musi mit
zakazany sendmail a v kernelu musi mit IPFIREWALL_DEFAULT_TO_ACCEPT a
MROUTING - pritom nic z toho neni pravda z novacka to muze jedine zmast.
Pripominam, ze popsana konfigurace se evidentne nezabyva problemem DNS
rezoluce pridelovanych jmen - ano, router je pres /etc/hosts zrejme
zjisti, nicmene, nikdo jiny v siti prevodu internich jmen na IP a/nebo
obracene nebude schopen - to vadiv, v zavislosti na konkretni
konfiguraci site muze a nemusi. Typicky to bude vadit v pripade, ze
uvnitr site nejaky server poskytujici sluzby (a nepovezi na routeru).
Dan
--
Dan Lukes tel: +420 2 21914205, fax: +420 2 21914206
root of FIONet, KolejNET, webmaster of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list