Денис Креминский
-
Публикации
129 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем Денис Креминский
-
-
Всем привет.
При рабочей нагрузке (три-четыре клиента-организации) сервер под freebsd, обслуживающий mpd/pptp-сессии, перезагружается примерно раз в сутки. При минимальной нагрузке -- одна рабочая станция -- проблем не заметно. Грешу на ng_pptpgre.c, но прежде чем включать дебаг ядра (сервер стоит в аппаратной и консоли не имеет), хочется спросить -- кто-нибудь еще сталкивался с подобной проблемой?
Смена аппаратной платформы и версии Fbsd с 4.10 на 5.2.1 проблему не решает.
Спасибо заранее!
-
сказали же: "Читайте про 802.1x"
А я и читаю :) И отвечаю совсем не на это, вы не раздражайтесь ток :)
-
VPN уже есть, используется для безопасного выхода радиоабонентов в Интернет. Интересует же защита от пиратского подключения к собственно радиосети.
-
Всем привет!
Подскажите, а кто как делает авторизацию пользователей в БСПД?
И вообще защищает он несанкционированного доступа?
А то вот читаю про WEP и грустно становится. Читаю про WPA и не вижу поддержки под FreeBSD...
Может, кто опытом и соображениями кратенько поделится?
-
Где можно взять драйвера для нее, на CCO их нету :(
эм... в конфигурации ядра пишем device an и получаем:
# dmesg
...
an0: <Cisco Aironet 350 Series> port 0x10c0-0x10ff,0x1000-0x107f mem 0xe0020000-
0xe002007f irq 7 at device 15.0 on pci0
an0: got RSSI <-> dBM map
an0: Ethernet address: 00:0c:xx:xx:xx:xx
...
# uname -a
FreeBSD xxx 4.10-RELEASE FreeBSD 4.10-RELEASE
-
Ну в общем сабж.... Конкретно интересует следующее, с чего начать что для этого нужно (имеется ввиду железо) И как оно работает ?? Я не думаю что там много отличий от ЛВС но не знаю с какого конца подобраться к этому вопросу... Я знаю тут много умных людей, HELP НЕИЗБЕЖЕН :)
Что-нибудь вроде Cisco UBR в центре, двунаправленные усилители в кабельной сети, модемы у абонентов.
Популярное центральное и абонентское оборудование выпускают cisco и motorola.
-
Я побывал на многих форумах, но ни на одном из них мне так и не дали вразумительного ответа вот на такую постановку задачи: "Существует налаженная инфраструктура локальной сети с несколькими сегментами, и соответственно фиксированными IP адресами - 192.168.х.у. В узлах сети стоят свитчи и хабы, а доступ к провайдеру осуществляется через маршрутизатор, разумеется, с NAT. Вопрос в следующем: если у меня есть один фиксированный локальный IP скажем 192.168.2.22 и я хочу создать маленькую подсеть посредствам VPN маршрутизатора и построить туннель с удалённым офисом, у меня "ЭТО" получится?" : )
Можно упростить задачу - возможно ли построить VPN туннель через маршрутизатор с NAT'ом?
Вся надежда на Nag
Общий ответ -- да, возможно.
проверенное решение -- mpd (freebsd) - pptp, natd (freebsd).
тонкость такого решения в том, что vpn работает по gre, и nat должен это поддерживать.
-
Ну а что толку-то, даже если Вы обнаружили помеху и возможно правильно определили направление ? Все-равно потом вызывать частотнадзор с оборудованием - пусть они и ловят. Им за это деньги платят.
Толк в том, что если помеха от собственного оборудования, его можно отвернуть в сторону, приглушить или выключить.
-
а если вумный ословод перебьет порты в настройках осла на приоритетные?
приоритетные порты должны быть с той стороны. что для большинства ословодов, читаем "для большей части интернета", редкость.
-
то есть, кустарными методами :) спасибо :)
А что, на профессиональные методы хватит финансов?
а профессиональные -- эт какие? :)
-
Денис Креминский, да, именно оно и надо. Только желательно не только
http, ftp, dns, smtp,а еще и усякие ICQ, MSN и т.д. Список портов желателен. Просто когда я попытался сделать только основные порты, стали жаловаться что половина страниц не работает. Видно чего то недоделал...
Если не сложно, предоставьте пожалуйста пример как оно у вас сделано.
Все еще нуждается в твикании (в основном по части захардкоденных констант внутри), но в такой конфигурации работало.
Поддерживает natd (кажется, требует punch для нормальной работы ftp в режиме НЕ-passive, без панча работает в passive, запихивая трафик в узкую трубу).
Требует ipfw2 (по умолчанию в 5.2.x-RELEASE) для stateful.
#!/bin/sh
ipfw_program="/sbin/ipfw"
ipfw_flags="-q"
ext_net="x.x.x.x/27"
ext_addr="x.x.x.x"
int_net="192.168.1.0/24"
int_addr="192.168.1.1"
loopback_iface="lo0"
int_iface="xl0" # will be allowed to pass any traffic!!!
ext_iface="xl1" # all packets containing private addresses will be denied here
in_bandwidth_limit="512Kbit/s" # total bandwidth limit (or NO)
out_bandwidth_limit="512Kbit/s" # total bandwidth limit (or NO)
in_misc_bandwidth_limit="64Kbit/s" # bandwidth limit per "misc" traffic
out_misc_bandwidth_limit="64Kbit/s" # bandwidth limit per "misc" traffic
their_free_tcp_ports="20,21,22,23,25,80,119,143,443"
their_free_udp_ports="53"
my_free_tcp_ports="20,21,22,25,80,443"
my_free_udp_ports="53"
my_open_tcp_ports="20,21,22,25,53,80,443"
my_open_udp_ports="53"
transparent_http_proxy="127.0.0.1,3128"
ntpdconffile="/etc/ntp.conf"
###############################################################################
# #
# #
# END OF CONFIGURATION VARIABLES. STOP HERE UNLESS YOU KNOW WHAT YOU'RE DOIN' #
# #
# #
###############################################################################
# Suck in the system configuration variables.
if [ -r /etc/defaults/rc.conf ]; then
. /etc/defaults/rc.conf
source_rc_confs
elif [ -r /etc/rc.conf ]; then
. /etc/rc.conf
fi
#
# flushing all rules
#
echo -n ' ipfw'
/sbin/sysctl -w net.inet.ip.fw.one_pass=0
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} -f flush
echo -n " +loopback"
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 10 pass all from any to any via ${loopback_iface} // loopback
if [ -n "${transparent_http_proxy}" ]; then
echo -n " >transparent_http_proxy"
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 100 fwd ${transparent_http_proxy} tcp from ${int_net} to not ${ext_net} 80 in via ${int_iface} // transparent http proxy
fi
case ${natd_enable} in
[Yy][Ee][ss])
echo -n " >nat"
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 200 divert natd all from ${int_net} to any out via ${ext_iface} // divert packets from local hosts
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 500 divert natd all from any to ${ext_net} in via ${ext_iface} // divert incoming packets
esac
echo -n " |default"
case ${out_bandwidth_limit} in
[Nn][Oo])
break
;;
*)
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 300 pipe 300 tcp from ${ext_net} not ${my_free_tcp_ports} to not ${ext_net} not 20,21,25,80 out via ${ext_iface} // pipe misc tcp outgoing except e-mail
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 300 pipe 300 udp from ${ext_net} not ${my_free_udp_ports} to not ${ext_net} out via ${ext_iface} // pipe misc udp outgoing
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} pipe 300 config bw ${out_misc_bandwidth_limit} delay 10
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 301 pipe 301 ip from ${ext_net} to not ${ext_net} out via ${ext_iface} // pipe all outgoing
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} pipe 301 config bw ${out_bandwidth_limit} delay 10
esac
case ${in_bandwidth_limit} in
[Nn][Oo])
break
;;
*)
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 310 pipe 310 tcp from not ${ext_net} not ${their_free_tcp_ports} to ${ext_net} not 20,21,25,80 in via ${ext_iface} // pipe misc tcp incoming except e-mail, ftp
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 310 pipe 310 udp from not ${ext_net} not ${their_free_udp_ports} to ${ext_net} in via ${ext_iface} // pipe misc udp incoming
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} pipe 310 config bw ${in_misc_bandwidth_limit} delay 10
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 311 pipe 311 ip from not ${ext_net} to ${ext_net} in via ${ext_iface} // pipe all incoming
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} pipe 311 config bw ${in_bandwidth_limit} delay 10
esac
echo -n " |icmp_band_limit"
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 400 pipe 400 icmp from any to any via ${ext_iface}
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 400 allow icmp from any to any
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} pipe 400 config bw 16000 delay 50
echo -n " check-state"
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 600 check-state // check dynamic rules
echo -n " +local-keep-state"
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 700 allow ip from ${int_net} to any in via ${int_iface} keep-state // remember nat clients
#
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface
#
# Prevent any "local" traffic or address spoofing
# on external iface other than diverted
#
echo -n " -private_ips:${ext_iface}"
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 800 deny all from 192.168.0.0/16 to any via ${ext_iface}
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 800 deny all from any to 192.168.0.0/16 via ${ext_iface}
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 800 deny all from any to 127.0.0.0/8
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 800 deny all from 10.0.0.0/8 to any via ${ext_iface}
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 800 deny all from any to 10.0.0.0/8 via ${ext_iface}
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 800 deny all from 172.16.0.0/12 to any via ${ext_iface}
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 800 deny all from any to 172.16.0.0/12 via ${ext_iface}
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 800 deny all from 0.0.0.0/8 to any via ${ext_iface}
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 800 deny all from any to 0.0.0.0/8 via ${ext_iface}
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 800 deny all from 169.254.0.0/16 to any via ${ext_iface}
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 800 deny all from any to 169.254.0.0/16 via ${ext_iface}
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 800 deny all from 192.0.2.0/24 to any via ${ext_iface}
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 800 deny all from any to 192.0.2.0/24 via ${ext_iface}
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 800 deny all from 224.0.0.0/4 to any via ${ext_iface}
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 800 deny all from any to 224.0.0.0/4 via ${ext_iface}
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 800 deny all from 240.0.0.0/4 to any via ${ext_iface}
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 800 deny all from any to 240.0.0.0/4 via ${ext_iface}
echo -n " -ip_spoof:${ext_iface}"
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 800 deny all from not ${ext_net} to any out via ${ext_iface} // prevent my ip spoof
echo -n " +my_open_ports"
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 900 allow tcp from any to ${ext_addr} ${my_open_tcp_ports} in via ${ext_iface} setup keep-state // tcp that we show
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 900 allow udp from any to ${ext_addr} ${my_open_udp_ports} in via ${ext_iface} keep-state // udp that we show
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 900 allow ip from ${int_addr} to ${int_net} out via ${int_iface} keep-state // if i want to connect to someone locally
#
# OBSOLETE with keep-state outgoing udp rules
#
#echo -n " +ntp_support"
#if [ -f ${ntpdconffile} ]; then
# servers=`cat ${ntpdconffile} | grep server | awk ' { print $2 } '`
# for server in ${servers}; do
# ${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 1000 allow udp from ${ext_addr} 123 to ${server} 123 keep-state // ntp
# done
#fi
echo -n " +outgoing"
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 1100 allow tcp from ${ext_net} to any out via ${ext_iface} keep-state // allow outgoing tcp
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 1100 allow udp from ${ext_net} to any out via ${ext_iface} keep-state // and udp
echo -n " -default"
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 65534 deny all from any to any via ${ext_iface} // deny the rest by default
echo -n " -port135"
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 650 deny ip from ${int_net} to any 135 in via ${int_iface} // Blast hack
echo -n " -port25"
${ipfw_program:-/sbin/ipfw} ${ipfw_flags} add 640 allow ip from ${int_net} to ${int_net} 25 in via ${int_iface} // allow local smtp to unix
echo .
-
1. Любой оптический прибор, бинокль или подзорная труба.
2. Ноутбук с радиокартой и анализатором.
3. Геодезическая карта местности.
По-моему это очевидно...
то есть, кустарными методами :) спасибо :)
-
А думать нынче не модно ?
эм... не могу понять как раздумья приведут к осчусчениям чужого опыта :)
-
Вопрос возник изза обилия ословодов. Анлимит, поэтому ословоды качают круглосуточно. И засирают большим количеством пакетов исходящий траффик, посему входящий тоже падает. По портам их не отследить, соединение устанавливается на любом. совсем прикрыть нельзя. Решили пойти от обратного - основные службы с одним приоритетом, а ве остальное с меньшим. Теперь вопрос: если кто такое делал, киньте пожалуйста список портов, которые необходимы для нормальной работы среднего пользователя. Желательно поразвернутее, т.е. не только http, ftp, smtp, но и всякие MSN, ICQ, Yahoo, shoutcast, или чего там пользователи еще юзают. Сам не знаю, т.к. подьзуюусь по старинке только основным.
Заранее спасибо.
З.Ы. Можно было бы оставить только основные порты, а потом согласно жалобам пользователей, но это не есть хорошо, это дополнительные проблемы...
Имею практику внедрения fbsd-шных "труб" (pipe) в такой конфигурации:
http, ftp, dns, smtp, все stateful (и запросы и ответы) загоняются в широкую трубу (ftp стоит особняком, но тоже побеждаем).
весь остальной трафик -- в узкую.
Если похоже, помогу с конфигурацией.
-
Где можно посмотреть %subj% для любой достаточно крупной сети любого города. Чтобы хотя бы глянуть как это выглядит вообще.
не в струю вышесказанного, но, имхо, в сабж.
-
Еще раз всем привет.
А кто каким инструментом пользуется в стандарте 802.11b для:
1. точного наведения антенн
2. выяснения обстановки с помехами
3. географического планирования частот
?
спасиба заранее :)
-
Всем привет.
А кто-нибудь трогал руками такую железку? Ну или другую какую в 802.16а.
Хочется понять насколько честно раздают обещания хорошей работы в городской среде.
Заранее спасибо :)
-
Всем привет.
А кто-нибудь пытался сниффить фреймы, отсылаемые роутерами RWR в эфир по протоколу rma, при помощи dstumbler или любого другого специализированного сниффера?
Как известно, dstumbler выводит на экран два списока: "увиденных" в эфире access-point'ов и подключенных к ним node'ов.
Так вот, имею интересный глюк: похоже, что каждый услышанный фрейм выводится на экран как отдельный access-point с mac-адресом 00:00:00... , при этом mac-адрес собственно revolution'а появляется в разделе подключенных к этой 00:00:00:00-точке node'ов.
Это особенности rma, dstumbler или кривизны ручек? :)
Заранее спасиба.
-
А почему бы просто с раздела DOS не установить ?
дык я б рад, но как? :) везде написано: "скиньте файлы на дос-раздел и загрузитесь с дискеты или cd-rom" :)
mountroot, таким образом, откуда делать и с какими параметрами?
он, насколько я понимаю, msdos: ведь не поддерживает. тока ufs: или mfs:
Все, разобрался :)
Загрузив ядро с dos-раздела, можно продолжить загрузку с usb-драйва, для чего в него достаточно скопировать содержимое mfsroot.
Пока поставить систему не удается -- не может создать /tmp, но sysinstall уже запустился...
-
А почему бы просто с раздела DOS не установить ?
дык я б рад, но как? :) везде написано: "скиньте файлы на дос-раздел и загрузитесь с дискеты или cd-rom" :)
mountroot, таким образом, откуда делать и с какими параметрами?
он, насколько я понимаю, msdos: ведь не поддерживает. тока ufs: или mfs:
-
Всем привет.
Имеется ноутбук IBM ThinkPad 240 без дисковода и CD-привода, но с PCMCIA ethernet-картой, ну и еще USB-drive на 128Мб. BIOS не поддерживает загрузку с чего бы то ни было, кроме дискет, жесткого диска и сидирома. У меня, ессна, только жесткий диск.
На ноут в незапамятные времена был установлен Win98. Он нормально грузится и поддерживает сетевую карту -- то есть, копировать файлы на досовский раздел можно без проблем.
Задача: установить FreeBSD 4.10.
Что было сделано:
Раздел с Win98 дефрагментирован и разбит на два с помощью fips. Получившийся таким образом второй раздел не отформатирован.
USB-драйв был отформатирован на другой машине с fbsd 4.10 под ufs, на него скинута инсталляция fbsd (минимальная -- kernel, каталоги bin, crypto, manpages, что влезло на 128 Мб).
На dos-раздел в корень скопирован весь первый компакт-диск 4.10 релиза.
Машина загружается в режиме ms-dos, после чего я пытаюсь запустить bsdboot -f kernel. (прим.: ядра пробовал разные: из boot.flp, kernel.generic, kernel из корня первого cd релиза)
Ядро загружается, даже обнаруживает usb-драйв, указывая, что у меня есть диск da0.
На этом все останавливается, так как нет раздела для mountroot.
С dos-раздела он не берется, usb-драйв, определяющийся как da0 и в другом юниксе нормально монтирующийся mount /dev/da0s1c /mnt, в данном случае дает:
mountroot> ufs:/dev/da0s1c
...
mount root failed: 22.
Что делать -- не знаю.
Может быть, можно как-то сделать ufs раздел, работая под dos?
Или программно загрузиться с usb?
-
Не думаю что оно может конкурировать с VIA.
а можно еще раз адресок? :)
-
Уважаемый All :)
А есть ли в родном Отечестве зубры, пробовавшие использовать сабж?
Для справки: http://www.soekris.com/net4521.htm
Интересно: как он ведет себя под FreeBSD в качестве беспроводного роутера/точки доступа, с какими pc-card/minipci/cf картами, сколько держит абонентов, какие есть подводные и надводные камни?
Может, кто-нибудь даже знает место в РФ, где их продают официально? :)
Спасибо заранее!
Насчет их "потребительских характеристик" ничего не скажу, а скажу на тему "где их купить".
Я пытался где-то с полгода назад. Нигде. Единственный способ, который был - выписывать из штатов со всеми вытекающими геммороями в виде таможни и доставки...
Если обнаружите, как их можно у нас достать, пожалуйста, сообщите.
Так :) вроде выписал. Увы, из штатов, но как только получу -- отчитаюсь ;)
-
Ну под юниксом afair из операторских решений только бутенкина поделка. :-) Больше я что-то ничего
вспомнить не могу.
а адресочек мона? :)
mpd и reboot
в Программное обеспечение, биллинг и *unix системы
Опубликовано · Жалоба на ответ
Проблема наблюдается на трех разных железках... хм...
спасибо за наводки на тюнинг и сисцтл.