nixp.ru v3.0

30 мая 2017,
вторник,
14:16:16 MSK

DevOps с компанией «Флант»
Poor Fred написал 27 апреля 2005 года в 19:43 (600 просмотров) Ведет себя как мужчина; открыл 6 тем в форуме, оставил 47 комментариев на сайте.

У меня два вопроса, оба по администрированию.

Есть небольшой сервачок, раздающий интернет, адреса в локальной сети, а также служащий FTP, NFS и SMB сервером.

1. Соединение с инетом происходит через PPPoE. Но не через ADSL-модем, а напрямую. Будет ли работать ipfw? PPP сам транслирует адреса, так что natd не запускается, соответственно у ipfw не работает divert. Достаточно ли встроенного в РРР фильтра пакетов (или как он там называется)?

2. Стоит ли громоздить на сервачок клетку и пихать все сервисы туда? Или это стоит делать только для многопользовательских машин, типа сервер хостера или т.п.? Будет ли от этого какая-нибудь польза?

myst

1. не знаю

2. ИМХО нет. jail хорош, когда нужно изолировать, насколько это возможно, потенциально опасный сервис от остальной системы.

Genie
Но не через ADSL-модем, а напрямую.

PPPoE — суть Point-to-Point-Protocol-over-Ethernet.

для своей работы создаётся дополнительынй интерфейс ppp.

Будет ли работать ipfw?

ipfw — паектный фильтр. от типа интерфейса — не зависит.

работать будет, единственно, надо учесть динамичность появления/отключения интерфейса.

PPP сам транслирует адреса, так что natd не запускается, соответственно у ipfw не работает divert.

natd (и divert) имеет смысл использовать при предоставлении доступа +другим_ компьютерам сети.

для самого подключённого компа это может так и выглядт — что адреса транслируются сами….

хотя, тут мысль возникла: речь может идёт о программе ppp? тогда — я хз ;)

Стоит ли громоздить на сервачок клетку и пихать все сервисы туда?

все — не стОит, потому как ольшинство из сервисов сами умеют понижать себе для работы привелегии и потому существование оных довольно безопасно.

как правило, привелегии суперпользователя требуются только для открытия приоритетного порта, всё остальное — можно делать и от прав обычного непривилегированного пользователя.

на вскидку могу назвать только одного кандидата на «клетку», которог имеет смысл туда запихивать — named (bind).

Poor Fred
Genie
ipfw — паектный фильтр. от типа интерфейса — не зависит.

работать будет, единственно, надо учесть динамичность появления/отключения интерфейса.

natd (и divert) имеет смысл использовать при предоставлении доступа +другим_ компьютерам сети.

для самого подключённого компа это может так и выглядт — что адреса транслируются сами….

хотя, тут мысль возникла: речь может идёт о программе ppp? тогда — я хз ;)

Вот именно, соединяюсь с помощью РРР. Указано ppp_nat=«YES», так что он сам раздает интернет другим компам в сети. natd в этом случае не запускается. ipfw как-бы работает, но другим компам от этого никакой пользы нет, т.к. в этом случае они интернет не получают.

В манах написано, что при использовании РРР необходимость в natd отпадает. Ладно, пусть. Но настолько ли надежен фильтр пакетов РРР как «нормальные» фильтры? И есть русская статья по его настройке?

Прочитал статьи по настройке PPPoE, но там всегда описывается фиксированный адрес внешнего интерфейса. У меня же его нет. А можно ли фильтровать порт tun0 или сетевуху вообще без адреса нигде не нашел.

А если вручную писать правила, то что использовать в качестве внешнего интерфейса, tun, vr0 (это у меня так) и можно ли вообще так делать? Тут сложность возникает в том, что адреса у внешней сетевухи нету. Или иметь ввиду внешний адрес, который я получаю после соединения? Короче, всю голову сломал.

Genie

почитай, как настраивается для простого обычного диал-апа.

и немного подмени понятия: вместо связки модем, телефонная линия — сервер vpn и ip-пакеты.

основной процесс установки соединения и работы, принцип так сказать, остаётся тот же. ;)

и фильтрация пакетов, и nat, и процее — можно прикручивать к созданному туннелльному интерфейсу аналогично установленному диалапному.

anonymous
Poor Fred
Вот именно, соединяюсь с помощью РРР. Указано ppp_nat=«YES», так что он сам раздает интернет другим компам в сети. natd в этом случае не запускается. ipfw как-бы работает, но другим компам от этого никакой пользы нет, т.к. в этом случае они интернет не получают.

В манах написано, что при использовании РРР необходимость в natd отпадает. Ладно, пусть. Но настолько ли надежен фильтр пакетов РРР как «нормальные» фильтры? И есть русская статья по его настройке?

Есть английская статья по настройке фильтрайии пакетов при коммутируемом соединении — /usr/share/doc/en/articles/dialup-firewall. divert там нет. При возникновениивопроса рекомендую обращаться, прежде всего, к документации, которая идет в поставке с системой.

Прочитал статьи по настройке PPPoE, но там всегда описывается фиксированный адрес внешнего интерфейса. У меня же его нет. А можно ли фильтровать порт tun0 или сетевуху вообще без адреса нигде не нашел.

А если вручную писать правила, то что использовать в качестве внешнего интерфейса, tun, vr0 (это у меня так) и можно ли вообще так делать? Тут сложность возникает в том, что адреса у внешней сетевухи нету. Или иметь ввиду внешний адрес, который я получаю после соединения? Короче, всю голову сломал.

Принципиально фильтровать можно, сделав фильтрующий мост. Но тебе это не надо, как я подозреваю.

Poor Fred
Genie
почитай, как настраивается для простого обычного диал-апа.

и немного подмени понятия: вместо связки модем, телефонная линия — сервер vpn и ip-пакеты.

Действительно, как это сам не сообразил. :)) Видно совсем уже забыл, что такое диал-ап. Спасибо за наводку.