Денис Креминский
-
Публикации
129 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем Денис Креминский
-
-
-
Неужто никто не делает? :-/
-
Проблема. Ставлю PPTPd, поднимается, пытаюсь соединиться с виндовой машины (w2kprof) - pptpd пишет:
GRE: read(fd=5,buffer=804d880,len8196) from PTY failed: status = 0 error = No error
CTRL: PTY read or GRE write failed (pty,gre)=(5,4)
На виндовой машине пишет ошибку 619 ("Указанный порт не подключен"). Что делать?
Понимаю, что это уже другой вопрос, но тем не менее: а mpd не спасет отца русской демократии? :)
mpd 3.18 + pptp, под fbsd 4.9, 4.10 и 5.2.1 <--> W2K, WXP, W2003Srv -- без проблем.
-
freebsd 4.9-4.10 полет нормальный, однако такие сообщения валятся пачками.
Не обращай внимания. Скорее всего нужно сделать дырку в файрволе для tcp 1723 и для gre.
У меня вот другой трабл: фряха 4.10 нестабильно работает, медленно умирают разные демоны, а потом и вовсе комп выключается самопроизвольно.
Эм... ACPI?
-
Всем привет.
А кто чем пользуется для защиты почтовых ящиков абонентов от спама под юниксом? Объемы smtp-трафика -- примерно 1.5Gb в день.
Интересны простые, но управляемые решения на основе токенов, в которых любой почтовый ящик может по выбору администратора:
а) не проверяться на спам вообще
б) проверяться на спам только с пометками писем (и последующими разборками в почтовом клиенте)
в) проверяться на спам с удалением спам-писем сразу на сервере
г) проверяться на спам с удалением наиболее очевидных спам-писем и пометкой подозрительных (для последующих разборок в почтовом клиенте)
Спасибо заранее!
-
У нас поднято : файловый архив, е-майл, внутрисетевое радио, форум, чат, что ещё можно добавить юзерам, чтобы не было накладно нам и было бесплатно юзерам (насамом деле конечтно не бесплатно за абонентку чуть чуть увеличенную и повышение конкурентоспособности :-))
ИМХО в идеале это должен быть портал, рассчитанный на самую крупную группу значимых абонентов.
Идея портала такова: я, как клиент, открываю браузер и портал появляется там в качестве первой страницы. Все, что мне нужно в моем городе с т.зр. информации, я могу сделать там. Поболтать с соседом по дому или бывшим одноклассником, продать машину или купить квартиру, заказать замороженные овощи или пиццу на ужин, выбрать ночной клуб, кинотеатр, кафе, познакомиться с девчонкой (парнем), похвастаться фотографиями из хорватии, выучить новый анекдот, скачать свежую электронную книгу последнего лауреата нобелевской премии и так далее и так далее. Выбирайте самое актуальное для ваших заказчиков.
-
Уважаемый All!
Вчера включил в FreeBSD 5.2.1 realtek SP906BB с драйвером от WinXP, ибо родных в природе нет :) Да-да, я знаю, что это звучит странно, но вопрос к тем, для кого это не так :)
Интересно, в частности, вот что: пытаюсь задать ssid через wicontrol, получаю сообщение о том, что flag deprecated и предложение воспользоваться ifconfig. Задаю ifconfig ssid без ошибок, но при просмотре параметров вижу: ssid ''.
Кроме этого, все-таки успешно добившись подключения карты к базовой станции, после отключения не вижу изменения статуса, который навсегда остается associated.
Может быть, это так и надо в такой, мягко говоря, кривой конфигурации, но вдруг есть какие-то рецепты? :)
Заранее спасиба!
-
Уважаемый All :)
А есть ли в родном Отечестве зубры, пробовавшие использовать сабж?
Для справки: http://www.soekris.com/net4521.htm
Интересно: как он ведет себя под FreeBSD в качестве беспроводного роутера/точки доступа, с какими pc-card/minipci/cf картами, сколько держит абонентов, какие есть подводные и надводные камни?
Может, кто-нибудь даже знает место в РФ, где их продают официально? :)
Спасибо заранее!
-
Уважаемые коллеги,
имею неприятную проблему, появляющуюся при связке NAT и PPTP.
Абонент подключен к центральному узлу через VPN, оба конца которого организованы на FreeBSD (сервер 4.9, клиент 4.10) и mpd 3.18, на дальнем от узла конце работает nat для абонента.
Проблема заключается в том, что передача больших файлов только в сторону "от абонента" осуществляется крайне плохо: SMTP и FTP не работают вовсе (после передачи 500-4000 байт передача прекращается). Передача файлов "к абоненту" происходит как положено.
При переключении абонента на внешние адреса без трансляции проблема уходит.
В mpd уже стоит set iface enable tcpmssfix. Изменение MTU на связке {vpn сервер} <-> {vpn клиент/nat сервер} как на большие (16000), так и на маленькие (1400) ничего не дает.
Куда рыть?
Заранее спасибо!
-
Ну так, про биллинг бы поподробнее. Что-нибудь готовое или самосбор?
В нашем случае биллинг ведется в UTM, но это не принципиально. Поскольку весь нелокальный трафик всегда проходит через центральный узел, учитывать его можно любым средством.
-
Имеется в виду как подсчитать весь локальный трафик чтобы сделать его хоть минимально платным? Всех перевести на VPN или PPPoE для того чтобы они не могли расшаривать ресурсы на своих компах и не гоняли по 10Гб/сут между собой?
И что потом они авторизуются, например по VPN, получают реальный IP и тогда весь трафик начинает литься через сервак который и ведет подсчет трафика? Или как? Намекните как примерно это делается...
Ответ не совсем в тему, но если сеть небольшая, проще ввести абон.плату, включающую в себя неограниченный локальный трафик. Про ответственность за перегруз сети мысль выше здравая.
ИМХО технические мероприятия по учету локального трафика слишком дорогостоящие, чтобы долго прожить и окупиться в условиях конкуренции, да и вообще движения европейского ценообразования в сторону фиксированной стоимости подключения в месяц.
-
я запрашваю скрипт браузером - http://myhost/index.php&var=123
по echo($var); ничего не возвращается.
в коде с переменной ничего не происходит.
в чём может быть засада? в какую сторону копать?
А если $_GET['var']?
-
Всем привет.
Не на правах рекламы, а вдруг кому понадобится. Сегодня добился рабочей конфигурации такого вида:
INTERNET | {VPN Server+система биллинга} | {облако БСПД} | {VPN клиент+natd+маршрутизатор} | | {абонент 1, {абонент 2, 81.24.x.x.} 192.168.x.x}
БСПД=беспроводная сеть передачи данных
Девайс [VPN клиент+natd+маршрутизатор] -- PC i386, может быть бездисковым. На 486 dx2-66 по 10BaseT дает 8 Мбит/с (ftp/smb) с практически незаметной загрузкой процессора.
Все под FreeBSD 4.x.
Схема позволяет:
а) использовать защищенные каналы в радиосети
б) экономить адреса, так как облако БСПД строится на любых адресах -- VPN все равно.
в) вести учет любого трафика кроме АБОНЕНТ1-АБОНЕНТ2 централизованно.
Ежели чего -- обрасчайтесь.
-
Привет всем!
Кто может подсказать по поводу 802.1x в беспроводных сетях?
Как я понял 802.1х обеспечивает авторизацию клиентов, то есть
неавторизованный клиент в сеть не "проскочит". А защищает ли это от "злого"
юзера изнутри сети?
То есть, сменить себе IP и/или МАС и прошедши авторизацию работать под
чужими реквизитами? То есть, другими словами, обеспечивает ли авторизация по
802.1х защиту от подмены IP и/или МАС или с этим надо бороться бругими
способами?
Имхо все зависит от топологии сети и функционала беспроводного железа. Если оно умеет делать более сложные схемы авторизации (микронетовские мосты, например, кроме MAC ничего толком не умеют), то в идеале вообще нужно ставить VPN/PPPoE с выдачей IP-адреса только после авторизации.
-
set iface enable tcpmssfix
а игры с MTU убери нафиг.
Merci beaucoup!!!
Все работает :)
-
...
sshd не влезает. и никакой crunch не помогает. Я его упарился на дискету пихать - кил 50-70 всего не хватает :) Бедный make до дыр протерся... А роутер без консоли и без ssh... если что-то глюканет - придется лечить по фотографии, даже ipfw show набрать неоткуда будет... с RS-232, разве что...
...
Ну мы же не о центральном узле говорим :) А о дешевой железке, которую надо конфигурировать только при перестройке всей сети, что происходит крайне редко.
-
P.P.S. С идеей однодискетной FreeBSD наигрался в свое время - ну не влезает на дискету ничего, кроме ipfw и telnetd'а... а с дискеты на 1700 кил загрузиться так и не удалось, хоть и прочесал половину исходников... может, /dev/brain перегрелся...
На 1.44Мб natd, pppd, snmpd, ipfw. продолжить? :)
рутер стоит, скажем, у заказчика. у которого денег нет на что-то приличное. включая сисадмина.
-
00008 0 0 divert 8668 ip from 192.10.10.64/26 to any out via ath0
00009 127 10965 divert 8668 ip from any to me in via ath0
До этих правил нет ни одного allow.....
Так и не понял в чём проблема...
если пакет удовлетворяет условиям правила номер, например, 7, то через 8 правило оно по умолчанию пропущено не будет.
-
Естественно. Сделай ipfw show, и посмотри, доходит ли до 8 и 9 правила хоть один пакет.
(хинт - после allow дальнейший просмотр правил прекращается).
...по умолчанию ;) вообще sysctl позволяет это поведение изменить.
-
У меня такая же проблема.
Попытаюсь обьяснить что должно получиться....
Есть рутер. Фря 5.2.1. Есть несколько плдсеток с реальными айпи.
На одном интерфейсе висит сетка с реальными айпи. Напр. 195.195.195.64/27. Тоесть на интерфейе висит 195.195.195.65/27 айпи, являющийся гейтом для клиентов с реальными айпи.
На этом же интерфейсе напр. dc0. Висит сеть 192.10.10.0/26. Тоесть у одних коиентов может быть айпи реальный у других фейк.
По умолчанию ipfw. deny from any to any.
Пропускаются нужные порты... нужные айпи. Всё работает. Для реальных айпи.
Настройка ната ... Буквально в пару шагов. В rc.conf прописал natd_enable, interface. А в ipfw прописал каким фейкам можно ходить.
natd сам записал в ipfw divert.
Фейки не работают....
Походу ... чтото в ipfw не дописал.
если указать интерфейс, на котором natd должен дивертить пакеты, то работать будет неверно.
в действительности диверт-правила ipfw прописывает не natd, тут я рекомендую изучить /etc/rc.firewall.
вообще natd не решает, какие пакеты из проходящих через него дивертить (ну, разве что если ему дать параметр дивертить только приватные адреса).
рыть все равно в сторону ipfw. повторюсь, думать надо о движении пакетов в _обе_ стороны.
-
у меня все аналогично
работает.
а експлорер какой версии
и скорее всего дело не во фрихе
проверено на:
MSIE 6.0.2600.0000
и
MSIE 6.0.3790.0
-
Это врядли :)
А смысл?
поясняю. ситуация с бесдисковым маршрутизатором.
дискета -- загрузочная, на ней -- ядро, нужные бинарники и пожатые гзипом конфигурационные файлы.
после загрузки с дискеты для пущей безопасности файловые системы уходят в рид-онли, а ядро -- в 3-й уровень секьюрити. в итоге редактировать конфигурационные файлы с консоли маршрутизатора не очень удобно. не говоря о том, что консоли может просто не быть. ну, можно же от бедности допустить в 21-м веке 80486 с AT-клавиатурой? :)
приходит в голову решение: берем дискету, идем к рабочей станции (надо ли говорить, что это будет Windows?), открываем на дискете конфигурационные файлы и меняем конфигурацию роутера.
отсюда и проблема: как смонтировать дискету?
-
а конфиг покажи
default:
load pptp0
load pptp1
pptp0:
new -i ng0 bundle0 pptp0
set ipcp ranges 192.168.хх.99/32 192.168.хх.98/32
load pptp_common
pptp1:
new -i ng1 bundle1 pptp1
set ipcp ranges 192.168.хх.99/32 192.168.хх.97/32
load pptp_common
pptp_common:
set iface disable on-demand
set bundle disable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 60 180
set ipcp yes vjcomp
set ipcp dns хх.хх.хх.хх
set iface enable proxy-arp
set bundle enable compression
set ccp yes mppc
set ccp yes mpp-e40
set ccp yes mpp-e128
set ccp yes mpp-stateless
set bundle yes crypt-reqd
set pptp self 192.168.yy.1
set pptp enable incoming
set pptp disable originate
set iface mtu 1500
set link mtu 1500
P.S.
# ifconfig ng0 mtu 1500
# ifconfig -a
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.200.99 --> 192.168.200.97 netmask 0xffffffff
#
проблема без изменений.
параллельно повторил конфигурацию на другой рабочей станции и другом аппаратном сервере VPN(mpd). результат -- тот же.
там же, на второй связке, поставил pptpd, все работает как положено. однако хочется все же добить mpd.
-
1500 не выставляет?
не-а. где рыть?
smtp и защита от spam под unix, операторские решения
в Программное обеспечение, биллинг и *unix системы
Опубликовано · Жалоба на ответ
А каждому пользователю можно индивидуально настройки менять?
Мне сказали инженеры, что sendmail не умеет письма отделять. Там фильтры, мол, и они тока на все-все письма работают. к-а-т-е-г-о-р-и-ч-е-с-к-и.