instalacia debian servera

Založil rumy, 18. 10. 2010, 16:36:13

Předchozí téma - Další téma

Palo M.

Citace od: rumy kdy 20. 10. 2010, 11:12:23
kebyze mam byt uprimny vecina linuxakov od ktorych som chcel helfnut sa na mna .... ze nech sa strapim oni sa to tiez museli naucit..
ale ja taky niesom a chcem spracovat navod ktomu a hodim ho aj sem ale to dam len vtedy ked to bude sto percentne.. preto by som bol rad kebyze mam problem a najde sa tu ze daky dobry linuxak aby mi pomohol..
Blbe, co?
A teraz vazne: Myslim, ze v tejto teme tu na fore sa zatial nemas na co stazovat. Za tych par dni odkedy si ju otvoril si uz dostal niekolko odpovedi.
Este by som ti dal vseobecnu radu: Skus lepsie formulovat svoje otazky. Urcite potom dostanes viac odpovedi a aj kvalitnejsich. Napriklad vo svojom prvom poste si napisal "lenze problem u mna nastal ze ked uz chcem konkretne urcite skupinu jedna a skupinu dva tak mi to uz nejde..", z coho som ja usudil, ze ti pridelovanie rozsahov DHCP-serverom nejde podla tvojich predstav - tak som ti napisal priklad konfiguracie, ale tu si nepotreboval... takze si sice dostal odpoved, ale ta ti velmi nepomohla. Skratka ked sa opytas neurcito, tak aj dostanes neurcitu odpoved (alebo odpoved na nieco ine, ako to co ta zaujima).
No a este jedna rada zadarmo (ked uz som sa rozbehol): Skus si po sebe precitat post predtym, ako ho definitivne odosles a oprav v nom chyby. Su k tomu najmenej dva prakticke dovody: 1. Niektori ludia maju problem porozumiet textu pisanemu s preklepmi a gramatickymi chybami. Je to porucha vnimania (podobne ako dyslexia), za ktoru nemozu - skratka zacnu citat text a nerozumeju mu. Nebudu bojovat so svojim hendikepom a lustit to ako hlavolam, skratka to nedocitaju a idu dalej. Oni nepotrebuju odpovedat na niecie otazky, ty si ten co chce odpoved. 2. Ked clovek vidi otazku a v nej je spusta preklepov, vacsina ludi si podvedome pomysli, ze tomu pytajucemu sa asi az tak nezalezi na odpovedi, ked si nedal zalezat ani na otazke.
Aby bolo jasne, toto nebola kritika tvojej osoby, to boli rady.

Citace od: rumy kdy 20. 10. 2010, 19:56:42
ale prisiel som na dost velky problem.. ze ked nastavim na pevno ip adresu z ineho rozsahu ako je urceny pre class ziaci napr z rozdahu ip adries pre vysokoslak tak mi aj tak ide net :( a to som si myslel ze ked tam nastavi inu ip adresu tak ze si to dhcp overi ci mac adresa sedi v zozname..ziaci..
Myslim, ze si prave narazil na to, na co som predtym upozornoval: "A takisto niekto moze manualne nastavit IP adresu a obist tak uplne DHCP server." A v tom je ten figel, ze ked si niekto na masine nastavi IP-adresu, tak jeho stroj DHCP-server vobec nekontaktuje. DHCP server teda nema ako a co kontrolovat...

Do iptables ale mozes dat aj pravidla na kontrolu MAC-adries. Ale aj tak potom budes celit dalsiemu uskaliu, na ktore som upozornoval: "MAC adresa sa da sfalsovat (naklonovat)." A takisto, firewall pri vacsom pocte klientov bude dost nabobtnaly a nehodi sa to velmi na dynamicke zmeny.

rumy

to:Palo M.
ja sa nejdem urazat to je vec nazoru atd.. a postrehu.. to ze spravim chybu alebo preklep, vedie niekedy aj za nasledok, to ze clovek je v urcitom strese..a nevie to tak napisat ako povedat z oci do oci.. treba sa aj na take veci pozriet..ale to je len na tuto reakciu a nikomu nic neberem.. nikoho tu neobvinujem alebo nieco podobne ludia ktory sa tu najdu tak pomozu...vies mam uz co to for precitanych a poviem ti 50% ludi robi chybu  ci uz v pisani alebo sformulovani otazok..
tak to je zase vsetko s mojej strany ja sa tu neurazam len som si tiez povedal svoj nazor.. lebo niekdy treba brat ohlad nato ci ta osoba vobec vie sformulovat otazku ci ta osoba nieje v strese..atd

a teraz spet k mojmu problemu este ma napadla takato vec :
v iptables by sa malo dat nastavit to ze aby si kontroloval mac z nejakeho suboru? ze napr : napisem si do suboru vsetky mac a v iptables by sa potom iba dako odvolal na tento subor stym, ze ak tu nieje mac adresa zapisana tak ju zahod alebo nieco take.. priznam sa ze ten prikaz co si tam napisal pre iptables mi vela nehovori :(

Palo M.

Citace od: rumy kdy 21. 10. 2010, 13:51:35
v iptables by sa malo dat nastavit to ze aby si kontroloval mac z nejakeho suboru? ze napr : napisem si do suboru vsetky mac a v iptables by sa potom iba dako odvolal na tento subor stym, ze ak tu nieje mac adresa zapisana tak ju zahod alebo nieco take.. priznam sa ze ten prikaz co si tam napisal pre iptables mi vela nehovori :(
Take nieco by nesedelo s principom kernel firewallu. Fakt by si si mal nastudovat tutorial k iptables. V skratke: Sucastou linuxoveho jadra su netfilter moduly, ktore robia filtrovanie siete. To filtrovanie sa deje pomocou pravidiel a tie pravidla nastavuje prikaz iptables. Keby mal kernel citat pravidla zo suboru pri kazdom jednom sietovom pakete, to by asi velmi rychle nebolo, ze? Monitorovanie suboru s pravidlami (ci sa nahodou nezmenili) je tiez na dlhe lakte...

Ak chces mat zoznam MAC-adries v subore, da sa to urobit jednoducho napriklad takto:
1. Jeden subor s MAC-adresami, povedzme meno allowed_macs
2. Jeden skript na aplikovanie firewallovych pravidiel (obsahuje vela riadkov s prikazom iptables, podobny ako napisal lime). Tento skript bude citat subor allowed_macs a nastavi pravidla pre vsetky MAC-adresy. Bude sa volat povedzme firewall_on.sh
3. Zakazdym, ked zmenis subor allowed_macs, musis spustit aj firewall_on.sh, aby sa nastavili aktualne pravidla.

Ked ale nemas nastudovane iptables, tazko sa ti bude vytvarat funkcny firewall_on.sh. Analogicky, kto nema nastudovane zaklady C++, ten tazko vytvori v C++ funkcny program...

rumy

jj suhlasim stebou.. a bohuzial ja ani hlavu na c++ a celkove kodenie nemam. :( ale nevadi este daco nastudujem a skusim nieco ine.. mam v hlave par napadov ktore by som vyskusal

lime

Kodit ani vela nemusis staci ti jeden for ;), aplikoval som to na svoj priklad a presne tak ako povedal Palo ;) stale musis pustit script, ale mas dve varianty bud cron a mas, alebo ked to chces ihned tak to spustis manualne ;)

v allowed_macs by bol, kazdy novy zapis do noveho riadocku ;), to iste mozes urobit aj pre pustenie IP do netu ;) bud v jednom cykle alebo urobis dalsi ;)

root#cat /etc/allowed_macs/allowed_macs

00:00:12:12:12:12 -s 192.168.6.2
00:00:12:12:10:10 -s 192.168.6.3

for mac in $(cat /etc/allowed_macs/allowed_macs);do

$IPTABLES -A eth1in -m mac --mac-source $mac -j RETURN

done

takze takto pri kazdom *nix systeme musis vediet scriptovat bez toho to nepojde, aky jazyk si zvolis je uz na tebe ale princip je rovnaky, hlavne je si danu problematiku dobre navrhnut a nastudovat popri tvorbe :D

rumy

takze mensia rekapitulacia co uz mam vsetko rozbehnute..:
1. operacny system je debian (instalacia bez desktopu alebo ako sa to vola)
2. dve sietove karty jedna je LAN-eth1 a druha WAN-eth0
3. nainstalovany ssh
4. nainstalovany mc
5. nainstalovany dhcp3-server
6. nainstalovany squid

konfiguracia..
1. nastavenie v dhcp.conf pre filtrovanie MAC na zaklade definovanych uzivatelov
2. nastavenie v IPTABLES INPUT, OUTPUT, FORWARD stym ze je to zabezpecene co sa tyka povelnych portov a zaroven aj obmedzenie ostatnych PC na zakladne MAC (tzv:. klient ktory sa chce pripojit do mojej siete nedostane IP adresu pokial nezadam jeho MAC do dhcp.conf, ak by si nastavil aj na pevno ip adresu a nebudem mat jeho mac zapisanu ...ostane iba v lokalnej sieti do internetu sa nedostane)
3. nastavenie SQUID.... je tu zadefinovane transparentne proxy a zadefinovany IPRANGE pre tych jednotlivych uzivatelov... ziaci v case 06:00-22:00 maju povoleny internet ako nahle pride desiata hodina net sa im vypne.. ostany uzivatelia nespadaju do tohto pravidla..

co by som chcel este od serva je FUP proste aby som obmedzil net niekomu ked bude stahovat velkou rychlostou a vela dat .. mate niekto dake napady?


rumy

Citace od: lime kdy 20. 10. 2010, 13:42:35
Nemussi pachovat :) je to implementovane len sa zmenilo --days na --weekdays testoval som to na

iptables v1.4.2 Debian GNU/Linux 5.0

/sbin/iptables  -A INPUT -p TCP --dport 21 -m time --timestart 17:00 --timestop 23:59 --weekdays Mon,Tue,Wed,Thu,Fri,Sat,Sun -j ACCEPT
chcem sa spytat a da sa v iptables nastavit tento cas aj pre urcity rozsah ip adries? aby vtom case bol zablokovany port 80 443..dikes za info