Poor Fred
написал 27 апреля 2005 года в 19:43 (968 просмотров)
Ведет себя
как мужчина; открыл 6 тем в форуме, оставил 47 комментариев на сайте.
У меня два вопроса, оба по администрированию.
Есть небольшой сервачок, раздающий интернет, адреса в локальной сети, а также служащий FTP, NFS и SMB сервером.
1. Соединение с инетом происходит через PPPoE. Но не через ADSL-модем, а напрямую. Будет ли работать ipfw? PPP сам транслирует адреса, так что natd не запускается, соответственно у ipfw не работает divert. Достаточно ли встроенного в РРР фильтра пакетов (или как он там называется)?
2. Стоит ли громоздить на сервачок клетку и пихать все сервисы туда? Или это стоит делать только для многопользовательских машин, типа сервер хостера или т.п.? Будет ли от этого какая-нибудь польза?
Последние комментарии
- OlegL, 17 декабря в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
ecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.
1. не знаю
2. ИМХО нет. jail хорош, когда нужно изолировать, насколько это возможно, потенциально опасный сервис от остальной системы.
PPPoE — суть Point-to-Point-Protocol-over-Ethernet.
для своей работы создаётся дополнительынй интерфейс ppp.
ipfw — паектный фильтр. от типа интерфейса — не зависит.
работать будет, единственно, надо учесть динамичность появления/отключения интерфейса.
natd (и divert) имеет смысл использовать при предоставлении доступа +другим_ компьютерам сети.
для самого подключённого компа это может так и выглядт — что адреса транслируются сами….
хотя, тут мысль возникла: речь может идёт о программе ppp? тогда — я хз ;)
все — не стОит, потому как ольшинство из сервисов сами умеют понижать себе для работы привелегии и потому существование оных довольно безопасно.
как правило, привелегии суперпользователя требуются только для открытия приоритетного порта, всё остальное — можно делать и от прав обычного непривилегированного пользователя.
на вскидку могу назвать только одного кандидата на «клетку», которог имеет смысл туда запихивать — named (bind).
Вот именно, соединяюсь с помощью РРР. Указано ppp_nat=«YES», так что он сам раздает интернет другим компам в сети. natd в этом случае не запускается. ipfw как-бы работает, но другим компам от этого никакой пользы нет, т.к. в этом случае они интернет не получают.
В манах написано, что при использовании РРР необходимость в natd отпадает. Ладно, пусть. Но настолько ли надежен фильтр пакетов РРР как «нормальные» фильтры? И есть русская статья по его настройке?
Прочитал статьи по настройке PPPoE, но там всегда описывается фиксированный адрес внешнего интерфейса. У меня же его нет. А можно ли фильтровать порт tun0 или сетевуху вообще без адреса нигде не нашел.
А если вручную писать правила, то что использовать в качестве внешнего интерфейса, tun, vr0 (это у меня так) и можно ли вообще так делать? Тут сложность возникает в том, что адреса у внешней сетевухи нету. Или иметь ввиду внешний адрес, который я получаю после соединения? Короче, всю голову сломал.
почитай, как настраивается для простого обычного диал-апа.
и немного подмени понятия: вместо связки модем, телефонная линия — сервер vpn и ip-пакеты.
основной процесс установки соединения и работы, принцип так сказать, остаётся тот же. ;)
и фильтрация пакетов, и nat, и процее — можно прикручивать к созданному туннелльному интерфейсу аналогично установленному диалапному.
Есть английская статья по настройке фильтрайии пакетов при коммутируемом соединении — /usr/share/doc/en/articles/dialup-firewall. divert там нет. При возникновениивопроса рекомендую обращаться, прежде всего, к документации, которая идет в поставке с системой.
Принципиально фильтровать можно, сделав фильтрующий мост. Но тебе это не надо, как я подозреваю.
Действительно, как это сам не сообразил. :)) Видно совсем уже забыл, что такое диал-ап. Спасибо за наводку.