Re: Конфигуратор файрволла
AC == Artem Chuprina r...@ran.pp.ru writes: Victor Wagner - debian-russian@lists.debian.org: […] VW iptables-save/iptables-restore. VW Кто что посоветует? AC Вот их и посоветую. Вариант Shell-кода для /etc/init.d/, вызывающий ip6tables-restore(8) и iptables-restore(8) (но не *-save.) http://article.gmane.org/gmane.linux.debian.devel.firewall/6003 AC При смене конфига на ходу я еще использую iptables-apply. Любопытно… -- FSF associate member #7257 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/86zk9btb8g@gray.siamics.net
Re: debian + hostapd + pptp = pptp random disconnect
On Mon, May 14, 2012 at 02:01:40AM +0300, Gary Trotcko wrote: May 14 00:45:32 debian pptp[11703]: anon log[pptp_read_some:pptp_ctrl.c:544]: read returned zero, peer has closed May 14 00:45:32 debian pptp[11703]: anon log[callmgr_main:pptp_callmgr.c:258]: Closing connection (shutdown) May 14 00:45:32 debian pptp[11703]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 12 'Call-Clear-Request' Запишите дамп трафика и посмотрите, действительно ли обрывается контрольная коннекция pptp (tcp порт 1723). Если да, то далее нужно будет искать причину обрыва. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120514083508.gn2...@protva.ru
Re: Конфигуратор файрволла
14.05.2012 12:31, Ivan Shmakov пишет: VW iptables-save/iptables-restore. VW Кто что посоветует? AC Вот их и посоветую. Вариант Shell-кода для /etc/init.d/, вызывающий ip6tables-restore(8) и iptables-restore(8) (но не *-save.) Зачем? Есть же pre-up в interfaces. -- Best regards, Mikhail - WWW: http://www.antmix.pp.ru/ XMPP: ant...@stopicq.ru signature.asc Description: OpenPGP digital signature
Re: Как узнать в каких источниках из /etc/apt/sources.list лежит пакет??
Oleksandr Gavenko gaven...@gmail.com writes: […] Приблизительное можно зделать так: $ for f in /var/cache/apt/apt-file/*.gz; do \ if zcat $f | grep $PKG /dev/null; then \ echo $f; \ fi; \ done Проще: $ zgrep -l $PKG /var/cache/apt/apt-file/*.gz Лучше: $ zgrep -lF -- $PKG /var/cache/apt/apt-file/*.gz […] -- FSF associate member #7257 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/86r4untaey@gray.siamics.net
Re: XML
On Mon, May 14, 2012 at 03:43:54PM +0700, Ivan Shmakov wrote: Целевой формат значения не имеет. Он предназначен, прежде всего, не для чтения, Если человек использует где-либо формат, предназначенный не для чтения, за исключением формата зашифрованных сообщений, его из архитекторов надо гнать поганой метлой. Стоп. А как же всенародно любимый JPEG? Не кормите витуса. -- WBR, wRAR signature.asc Description: Digital signature
Re: Конфигуратор файрволла
Mikhail A Antonov b...@solarnet.ru writes: 14.05.2012 12:31, Ivan Shmakov пишет: iptables-save/iptables-restore. Кто что посоветует? Вот их и посоветую. Вариант Shell-кода для /etc/init.d/, вызывающий ip6tables-restore(8) и iptables-restore(8) (но не *-save.) Зачем? Есть же pre-up в interfaces. pre-up выполняются перед поднятием того конкретного интерфейса, к которому они относятся. Напротив, конфигурация iptables — общая для всех интерфейсов. На практике, использование pre-up на конкретном интерфейсе оставляет некоторый риск того, что -restore будут запущены перед поднятием этого интерфейса, но /после/ поднятия некоторого другого. (Или же ifupdown дает какие-либо гарантии относительно порядка поднятия auto-интерфейсов при запуске системы?) Использование pre-up (с идентичными -restore-командами) на всех интерфейсах неудобно тем, что команда -restore может выполнится «неожиданно» — при переконфигурировании интерфейса (ifdown vim ifup), подключении сетевого устройства, отмеченного как allow-hotplug, etc. — возможно, после правки «рабочей» конфигурации (# ip6tables -A, etc.), но перед правкой загружаемых командами -restore файлов. Напротив, код, размещенный в init.d/, будет автоматически исполнен единожды, при запуске системы; все последующие вызовы -restore произойдут исключительно по явному # service … start. -- FSF associate member #7257 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/86mx5bt9wo@gray.siamics.net
Re: Конфигуратор файрволла
14.05.2012 13:00, Ivan Shmakov пишет: Mikhail A Antonov b...@solarnet.ru writes: 14.05.2012 12:31, Ivan Shmakov пишет: iptables-save/iptables-restore. Кто что посоветует? Вот их и посоветую. Вариант Shell-кода для /etc/init.d/, вызывающий ip6tables-restore(8) и iptables-restore(8) (но не *-save.) Зачем? Есть же pre-up в interfaces. pre-up выполняются перед поднятием того конкретного интерфейса, к которому они относятся. Напротив, конфигурация iptables — общая для всех интерфейсов. pre-up для lo. Всё остальное для фаервола уже поздно. -- Best regards, Mikhail - WWW: http://www.antmix.pp.ru/ XMPP: ant...@stopicq.ru signature.asc Description: OpenPGP digital signature
Re: XML
On 2012.05.14 at 15:43:54 +0700, Ivan Shmakov wrote: Если человек использует где-либо формат, предназначенный не для чтения, за исключением формата зашифрованных сообщений, его из архитекторов надо гнать поганой метлой. Стоп. А как же всенародно любимый JPEG? Сравните с XPM -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120514093720.ga11...@wagner.pp.ru
Re: XML
Victor Wagner vi...@wagner.pp.ru writes: On 2012.05.14 at 15:43:54 +0700, Ivan Shmakov wrote: Если человек использует где-либо формат, предназначенный не для чтения, за исключением формата зашифрованных сообщений, его из архитекторов надо гнать поганой метлой. Стоп. А как же всенародно любимый JPEG? Сравните с XPM Сравнение будет не в пользу последнего. Отображение 24-разрядной тройки (R, G, B) в ASCII-последовательность не имеет большого смысла для фотографий и подобных им изображений. Кроме того, мне неизвестны способы скомбинировать XPM с «типовыми» упаковщиками для получения «прогрессивного» сжатого XPM (в то время как прогрессивный JPEG вполне себе существует.) Не могу не упомянуть и такой формат, как NetCDF. (И вариации на эту же тему — HDF4, HDF5, и, в некоторой степени, GeoTIFF.) Что касается часто отмечаемой «громоздкости» XML, замечу, что синтаксис последнего ортогонален кодировке. Так, Fast Infoset регламентирует использование для кодирования XML правил ASN.1, а значит и соответствующих «двоичных» кодировок (BER, CER, DER, etc.) Что, на мой взгляд, сразу же ставит XML в один ряд с такими «нечитаемыми» форматами, как упомянутый уже JPEG, PNG, Ogg, NetCDF, etc. -- FSF associate member #7257 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/867gwft746@gray.siamics.net
Re: Конфигуратор файрволла
Mikhail A Antonov b...@solarnet.ru writes: 14.05.2012 13:00, Ivan Shmakov пишет: Mikhail A Antonov b...@solarnet.ru writes: 14.05.2012 12:31, Ivan Shmakov пишет: […] Вариант Shell-кода для /etc/init.d/, вызывающий ip6tables-restore(8) и iptables-restore(8) (но не *-save.) Зачем? Есть же pre-up в interfaces. pre-up выполняются перед поднятием того конкретного интерфейса, к которому они относятся. Напротив, конфигурация iptables — общая для всех интерфейсов. pre-up для lo. Всё остальное для фаервола уже поздно. Разве ifup(8) гарантирует, что lo будет поднят до любого другого интерфейса? -- FSF associate member #7257 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/863973t6vb@gray.siamics.net
Re: Конфигуратор файрволла
14 мая 2012 г., 16:05 пользователь Ivan Shmakov oneing...@gmail.com написал: Вариант Shell-кода для /etc/init.d/, вызывающий ip6tables-restore(8) и iptables-restore(8) (но не *-save.) Зачем? Есть же pre-up в interfaces. pre-up выполняются перед поднятием того конкретного интерфейса, к которому они относятся. Напротив, конфигурация iptables -- общая для всех интерфейсов. pre-up для lo. Всё остальное для фаервола уже поздно. Разве ifup(8) гарантирует, что lo будет поднят до любого другого интерфейса? man ifup /-a [...] Interfaces are brought up in the order in which they are defined in /etc/network/interfaces. Не гарантирует, но гарантирует, что интерфейсы будут подниматься в порядке, описаном interfaces. Почему-то не думаю, что Витус переставит lo в зад. -- Stanislav
Re: Конфигуратор файрволла
14.05.2012 14:05, Ivan Shmakov пишет: Вариант Shell-кода для /etc/init.d/, вызывающий ip6tables-restore(8) и iptables-restore(8) (но не *-save.) Зачем? Есть же pre-up в interfaces. pre-up выполняются перед поднятием того конкретного интерфейса, к которому они относятся. Напротив, конфигурация iptables — общая для всех интерфейсов. pre-up для lo. Всё остальное для фаервола уже поздно. Разве ifup(8) гарантирует, что lo будет поднят до любого другого интерфейса? ... -a, --all If given to ifup, affect all interfaces marked auto. Interfaces are brought up in the order in which they are defined in /etc/network/interfaces. ... -- Best regards, Mikhail - WWW: http://www.antmix.pp.ru/ XMPP: ant...@stopicq.ru signature.asc Description: OpenPGP digital signature
Re: Конфигуратор файрволла
14.05.2012 07:49, Victor Wagner пишет: On 2012.05.13 at 21:35:09 +0400, Артём Н. wrote: Да, естественно. Потому что то что в руках, может быть телефоном, андроидным планшетом, корпоративной рабочей станцией, где ssh-клиент есть, а никакого стороннего софта ставить нельзя или вообще машиной из интернет-кафе. Вы будете конфигурировать файрвол на машине из интернет-кафе? Да, буду. Потому что оставить незаткнутой дырку в файрволле на несколько дней (которые мне потребуются для того, чтобы добраться до интернета с более защищенного рабочего места) хуже, чем подвергнуться риску утечки пароля посредством кейлоггера из интернет-кафе. У меня на этот случай специальный ssh-ключ есть, который в конце сессии я из authorized_keys выкину, и даже если троян уведет его секретную часть, это ему не поможет. o.O Корпоративные рабочие станции, я так думаю, конфигурируются централизованно. Конфигурировать СВОЮ машину, сидя за клавиатурой корпоративной рабочей станции. Зайти по ssh я оттуда могу, а запустить там левую GUI-приблуду - нет. Тьфу, что-то я вчера не въехал. С другой стороны... На рабочей станции, вероятно стоит не windows и там есть X, т.е. ssh -X, а графическая фенечка будет запускаться на сервере? Конфигурировать планшет - неудобно, в плане того, что неудобно вводить длинные Опять же - конфигурировать не планшет, а свою машину С ПЛАНШЕТА. Да, неудобно. Но если до более удобного терминала несколько дней, а дырку надо затыкать срочно... ... В случаях, когда нет под рукой локальной машины... А так часто приходится конфигурировать файрвол? Конфигурирование файрволла - это всегда аварийная ситуация. Делать это приходится редко, но готовым надо быть в любой момент. Причем задержка с выполнением этой операции на несколько часов может стоить очень дорого. Ну да, графическая утилита не имеет такой гибкости. Но что нужно делать срочно? Например, дроп всех пакетов с заданного IP? Какую дырку закрывать? Если появилась дырка, разве не придётся потом, всё-равно разбираться и штопать..? Может, есть плюсы в наглядном представлении конфигурации (и настройке, когда удобно и есть время), а быстро что-то прикрыть возможно через iptables, без лишних скриптов? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4fb0dbd3.6030...@yandex.ru
Re: Конфигуратор файрволла
14 мая 2012 г., 16:17 пользователь Артём Н. artio...@yandex.ru написал: Корпоративные рабочие станции, я так думаю, конфигурируются централизованно. Конфигурировать СВОЮ машину, сидя за клавиатурой корпоративной рабочей станции. Зайти по ssh я оттуда могу, а запустить там левую GUI-приблуду - нет. Тьфу, что-то я вчера не въехал. С другой стороны... На рабочей станции, вероятно стоит не windows и там есть X, т.е. ssh -X, а графическая фенечка будет запускаться на сервере? Э... Найдите работающие иксы для андроида, пожалуйста. Да еще чтоб по нашим gprs (нет, не 3g) могли нормально работать. Последние два месяца моя удалённая работа - как раз с андроида. ssh, в основном. И иногда - rdp. Очень иногда, ибо жутко неудобно и медленно (по интерфейсным причинам медленно, в основном). В случаях, когда нет под рукой локальной машины... А так часто приходится конфигурировать файрвол? Конфигурирование файрволла - это всегда аварийная ситуация. Делать это приходится редко, но готовым надо быть в любой момент. Причем задержка с выполнением этой операции на несколько часов может стоить очень дорого. Ну да, графическая утилита не имеет такой гибкости. Но что нужно делать срочно? Например, дроп всех пакетов с заданного IP? Какую дырку закрывать? Если появилась дырка, разве не придётся потом, всё-равно разбираться и штопать..? Может, есть плюсы в наглядном представлении конфигурации (и настройке, когда удобно и есть время), а быстро что-то прикрыть возможно через iptables, без лишних скриптов? Гм... Можете представить пример, когда конфигуратор будет нагляднее чего-то такого: for i in `seq 2 50 | grep -v 33`; do iptables -A FORWARD -j DROP done А это вполне может быть в скрипте pre-up. -- Stanislav
Re: Конфигуратор файрволла
On Mon, May 14, 2012 at 05:05:44PM +0700, Ivan Shmakov wrote: Mikhail A Antonov b...@solarnet.ru writes: pre-up для lo. Всё остальное для фаервола уже поздно. Разве ifup(8) гарантирует, что lo будет поднят до любого другого интерфейса? -a, --all If given to ifup, affect all interfaces marked auto. Interfaces are brought up in the order in which they are defined in /etc/network/interfaces. If given to ifdown, affect all defined interfaces. Interfaces are brought down in the order in which they are currently listed in the state file. Only interfaces defined in /etc/network/interfaces will be brought down. То есть порядок обхода интерфейсов детерминирован. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120514101406.ga7...@protva.ru
Re: XML
On Mon, May 14, 2012 at 01:37:20PM +0400, Victor Wagner wrote: On 2012.05.14 at 15:43:54 +0700, Ivan Shmakov wrote: Если человек использует где-либо формат, предназначенный не для чтения, за исключением формата зашифрованных сообщений, его из архитекторов надо гнать поганой метлой. Стоп. А как же всенародно любимый JPEG? Сравните с XPM И gzip-ом его, gzip-ом ;) -- WBR, Dmitry signature.asc Description: Digital signature
Re: Конфигуратор файрволла
14.05.2012 14:27, Stanislav Vlasov пишет: 14 мая 2012 г., 16:17 пользователь Артём Н. artio...@yandex.ru написал: Корпоративные рабочие станции, я так думаю, конфигурируются централизованно. Конфигурировать СВОЮ машину, сидя за клавиатурой корпоративной рабочей станции. Зайти по ssh я оттуда могу, а запустить там левую GUI-приблуду - нет. Тьфу, что-то я вчера не въехал. С другой стороны... На рабочей станции, вероятно стоит не windows и там есть X, т.е. ssh -X, а графическая фенечка будет запускаться на сервере? Э... Найдите работающие иксы для андроида, пожалуйста. Не сталкивался с андроидом, но пожалуйста: http://code.google.com/p/android-xserver/ :-) Насчёт того, рабочие ли, не знаю. Да еще чтоб по нашим gprs (нет, не 3g) могли нормально работать. Последние два месяца моя удалённая работа - как раз с андроида. ssh, в основном. И иногда - rdp. Очень иногда, ибо жутко неудобно и медленно (по интерфейсным причинам медленно, в основном). Понятно. В случае медленного соединения и постоянной работы с телефона (ну или что там ещё бывает?), вероятно, вариант с GUI непригоден. В случаях, когда нет под рукой локальной машины... А так часто приходится конфигурировать файрвол? Конфигурирование файрволла - это всегда аварийная ситуация. Делать это приходится редко, но готовым надо быть в любой момент. Причем задержка с выполнением этой операции на несколько часов может стоить очень дорого. Ну да, графическая утилита не имеет такой гибкости. Но что нужно делать срочно? Например, дроп всех пакетов с заданного IP? Какую дырку закрывать? Если появилась дырка, разве не придётся потом, всё-равно разбираться и штопать..? Может, есть плюсы в наглядном представлении конфигурации (и настройке, когда удобно и есть время), а быстро что-то прикрыть возможно через iptables, без лишних скриптов? Гм... Можете представить пример, когда конфигуратор будет нагляднее чего-то такого: for i in `seq 2 50 | grep -v 33`; do iptables -A FORWARD -j DROP done А это вполне может быть в скрипте pre-up. 1. Три строчки кода. print Heil, Welt!\n; тоже наглядно. :-\ Но это не означает того, что любой скрипт, написанный на этом языке, в целом не может быть сложен для понимания. 2. Вообще непонятно, что делает этот кусок, без контекста. Возможно додумать, что он запрещает форвард каким-то IP из подсети, кроме, содержащего 33, например. Но без контекста, - это всё догадки. Сейчас он просто добавляет много 47 одинаковых правил в FORWARD. Так что это? 3. Пример приводил. Я считаю, что fwbuilder - нагляднее. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4fb0e609.2060...@yandex.ru
Re: Конфигуратор файрволла
14 мая 2012 г., 17:01 пользователь Артём Н. artio...@yandex.ru написал: станции. Зайти по ssh я оттуда могу, а запустить там левую GUI-приблуду - нет. т.е. ssh -X, а графическая фенечка будет запускаться на сервере? Э... Найдите работающие иксы для андроида, пожалуйста. Не сталкивался с андроидом, но пожалуйста: http://code.google.com/p/android-xserver/ :-) Насчёт того, рабочие ли, не знаю. Issue 1:Most X applications crash on start-up Да еще чтоб по нашим gprs (нет, не 3g) могли нормально работать. Последние два месяца моя удалённая работа - как раз с андроида. ssh, в основном. И иногда - rdp. Очень иногда, ибо жутко неудобно и медленно (по интерфейсным причинам медленно, в основном). Понятно. В случае медленного соединения и постоянной работы с телефона (ну или что там ещё бывает?), вероятно, вариант с GUI непригоден. Планшет с 10-дюймовым экраном 1280x800 с 3g-модулем (работоспособность 3g очень сильно зависит от места). Пару месяцев пришлось только его дома иметь, пока ноут не починил. Ну да, графическая утилита не имеет такой гибкости. Но что нужно делать срочно? Например, дроп всех пакетов с заданного IP? Какую дырку закрывать? Если появилась дырка, разве не придётся потом, всё-равно разбираться и штопать..? Может, есть плюсы в наглядном представлении конфигурации (и настройке, когда удобно и есть время), а быстро что-то прикрыть возможно через iptables, без лишних скриптов? Гм... Можете представить пример, когда конфигуратор будет нагляднее чего-то такого: for i in `seq 2 50 | grep -v 33`; do iptables -A FORWARD -j DROP done А это вполне может быть в скрипте pre-up. 1. Три строчки кода. print Heil, Welt!\n; тоже наглядно. :-\ Но это не означает того, что любой скрипт, написанный на этом языке, в целом не может быть сложен для понимания. Это уже - культура написания. И внешний вид списка правил в гуях тоже может быть сложен для понимания, особенно, если на экран не влазит. 2. Вообще непонятно, что делает этот кусок, без контекста. Возможно додумать, что он запрещает форвард каким-то IP из подсети, кроме, содержащего 33, например. Но без контекста, - это всё догадки. Сейчас он просто добавляет много 47 одинаковых правил в FORWARD. Так что это? Тут прошу прощения, поторопился. Надо было iptables -A FORWARD -s 111.222.111.$i -j DROP 3. Пример приводил. Я считаю, что fwbuilder - нагляднее. Почитал на него документацию. Без мыши неработоспособен, ибо на том же андроиде с его тачскрином драг-н-дроп не то чтобы совсем невозможен - неудобен настолько, что им нельзя пользоваться. Конструкция из трёх строк там выльется в несколько экранов правил. Может быть оно и нагляднее, только если в трёх строках я вижу, что адрес, оканчивающийся на 33 таки не блокируется здесь, то среди N экранов можно и не углядеть. -- Stanislav
Re: debian + hostapd + pptp = pptp random disconnect
Хм, собственно вот, но... (( cat /var/log/messages | grep pppd May 14 13:30:46 debian pppd[11352]: Modem hangup May 14 13:30:46 debian pppd[11352]: Connect time 4.6 minutes. May 14 13:30:46 debian pppd[11352]: Sent 34894 bytes, received 61693 bytes. May 14 13:30:47 debian pppd[11352]: Connection terminated. May 14 13:30:48 debian pppd[11352]: Using interface ppp0 May 14 13:30:48 debian pppd[11352]: Connect: ppp0 -- /dev/pts/0 May 14 13:30:56 debian pppd[11352]: CHAP authentication succeeded: Welcome. May 14 13:30:56 debian pppd[11352]: CHAP authentication succeeded May 14 13:30:56 debian pppd[11352]: local IP address 80.242.110.65 May 14 13:30:56 debian pppd[11352]: remote IP address 195.66.139.28 tcpdump -i eth0 tcp port 1723 13:29:30.676173 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [P.], seq 4103653949:4103653965, ack 4202577046, win 3650, options [nop,nop,TS val 32806508 ecr 654449703], length 16: pptp CTRL_MSGTYPE=ECHORQ ID(3) 13:29:55.662113 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [P.], seq 0:16, ack 1, win 3650, options [nop,nop,TS val 32811781 ecr 654449703], length 16: pptp CTRL_MSGTYPE=ECHORQ ID(3) 13:29:55.662446 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [.], ack 16, win 62, options [nop,nop,TS val 654458202 ecr 32811781,nop,nop,sack 1 {0:16}], length 0 13:29:55.739219 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [P.], seq 1:21, ack 16, win 62, options [nop,nop,TS val 654458210 ecr 32811781], length 20: pptp CTRL_MSGTYPE=ECHORP ID(3) RESULT_CODE(1) ERR_CODE(0) 13:29:55.739405 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [.], ack 21, win 3650, options [nop,nop,TS val 32812773 ecr 654458210], length 0 13:30:46.979768 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463334 ecr 32812773], length 0 13:30:46.980456 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [P.], seq 16:32, ack 22, win 3650, options [nop,nop,TS val 32825584 ecr 654463334], length 16: pptp CTRL_MSGTYPE=CCRQ CALL_ID(0) 13:30:46.981123 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [F.], seq 32, ack 22, win 3650, options [nop,nop,TS val 32825584 ecr 654463334], length 0 13:30:47.188552 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463355 ecr 32812773], length 0 13:30:47.188877 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [.], ack 22, win 3650, options [nop,nop,TS val 32825636 ecr 654463355,nop,nop,sack 1 {21:22}], length 0 13:30:47.608535 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463397 ecr 32812773], length 0 13:30:47.608775 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [.], ack 22, win 3650, options [nop,nop,TS val 32825741 ecr 654463397,nop,nop,sack 1 {21:22}], length 0 13:30:48.448503 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463481 ecr 32812773], length 0 13:30:50.128529 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463649 ecr 32812773], length 0 13:30:53.498452 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463986 ecr 32812773], length 0 13:30:55.665424 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [.], ack 22, win 3650, options [nop,nop,TS val 32825951 ecr 654463481,nop,nop,sack 1 {21:22}], length 0 13:30:55.665534 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [R], seq 4202577067, win 0, length 0 13:30:55.665542 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [R], seq 4202577067, win 0, length 0 13:30:55.665564 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [R], seq 4202577067, win 0, length 0 13:30:55.665572 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [R], seq 4202577067, win 0, length 0 13:30:55.666073 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [R], seq 4202577067, win 0, length 0 13:30:55.666464 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [.], ack 22, win 3650, options [nop,nop,TS val 32826371 ecr 654463649,nop,nop,sack 1 {21:22}], length 0 13:30:55.74 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [R], seq 4202577067, win 0, length 0 13:30:55.667079 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [.], ack 22, win 3650, options [nop,nop,TS val 32827213 ecr 654463986,nop,nop,sack 1 {21:22}], length 0 13:30:55.667305 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [R], seq 4202577067, win 0, length 0 13:30:55.705798 IP 192.168.120.184.59274 192.168.117.208.1723: Flags [S], seq 497417327, win 14600, options [mss 1460,sackOK,TS val 32827755 ecr 0,nop,wscale 2], length 0 13:30:55.706265 IP 192.168.117.208.1723 192.168.120.184.59274: Flags [S.], seq 1377554967, ack 497417328, win 5792, options [mss 1460,sackOK,TS val 1232785412 ecr 32827755,nop,wscale 7], length 0
Re: Конфигуратор файрволла
Ну да, графическая утилита не имеет такой гибкости. Но что нужно делать срочно? Например, дроп всех пакетов с заданного IP? Какую дырку закрывать? Если появилась дырка, разве не придётся потом, всё-равно разбираться и штопать..? Может, есть плюсы в наглядном представлении конфигурации (и настройке, когда удобно и есть время), а быстро что-то прикрыть возможно через iptables, без лишних скриптов? Гм... Можете представить пример, когда конфигуратор будет нагляднее чего-то такого: for i in `seq 2 50 | grep -v 33`; do iptables -A FORWARD -j DROP done А это вполне может быть в скрипте pre-up. 1. Три строчки кода. print Heil, Welt!\n; тоже наглядно. :-\ Но это не означает того, что любой скрипт, написанный на этом языке, в целом не может быть сложен для понимания. Это уже - культура написания. И внешний вид списка правил в гуях тоже может быть сложен для понимания, особенно, если на экран не влазит. Это ещё и используемые алгоритмы, решаемые задачи, архитектура и ещё 100500 вещей. Если бы командные языки были нагляднее и удобнее, чем GUI, то GUI бы, наверное, не было? 3. Пример приводил. Я считаю, что fwbuilder - нагляднее. Почитал на него документацию. Без мыши неработоспособен, ибо на том же андроиде с его тачскрином драг-н-дроп не то чтобы совсем невозможен - неудобен настолько, что им нельзя пользоваться. Да, д-н-д, там не попользуешься. Зато есть контекстное меню: Скопировать-Вставить. :-) Конструкция из трёх строк там выльется в несколько экранов правил. Может быть оно и нагляднее, только если в трёх строках я вижу, что адрес, оканчивающийся на 33 таки не блокируется здесь, то среди N экранов можно и не углядеть. Нет, отчего же? Вы можете дописать этот кусок в функцию, вызываемую при окончании обработки правил. P.S.: Кстати, замечу, что вариант с добавлением большого количества правил, вероятно не самый лучший, поскольку, как говорят, замедляет работу. Тут вот: http://doc.emergingthreats.net/bin/viewfile/Main/EmergingFirewallRules?rev=1;filename=emerging-ipset-update.pl.txt есть скрипт, как раз для этого. Версия 2008-го использовала iptables. Текущая использует ipset. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4fb0f064.5060...@yandex.ru
Re: Как узнать в каких источниках из /etc/apt/sources.list лежит пакет??
Раз: $ for f in /var/cache/apt/apt-file/*.gz; do \ if zcat $f | grep $PKG /dev/null; then \ echo $f; \ fi; \ done Два: $ zgrep -l $PKG /var/cache/apt/apt-file/*.gz Три: $ zgrep -lF -- $PKG /var/cache/apt/apt-file/*.gz Ребята, а мне все-таки интересно - почему вас так apt-cache policy не устраивает? Вроде ж его уже даже советовали. -- ** * jabber: free...@jabber.mipt.ru * * Registered linux user #546240* ** -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87ipfzt1u5@ws00.freehck.ru
Re: XML
On 2012.05.14 at 13:45:41 +0300, Dmitry Nezhevenko wrote: Стоп. А как же всенародно любимый JPEG? Сравните с XPM И gzip-ом его, gzip-ом ;) gzip по нынешнем временам слабоват-с. lzma или xz - вот это сжималки XXI века. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120514120029.ga14...@wagner.pp.ru
Re: Конфигуратор файрволла
Артём Н. - debian-russian@lists.debian.org @ Mon, 14 May 2012 15:45:40 +0400: Гм... Можете представить пример, когда конфигуратор будет нагляднее чего-то такого: for i in `seq 2 50 | grep -v 33`; do iptables -A FORWARD -j DROP done А это вполне может быть в скрипте pre-up. 1. Три строчки кода. print Heil, Welt!\n; тоже наглядно. :-\ Но это не означает того, что любой скрипт, написанный на этом языке, в целом не может быть сложен для понимания. Это уже - культура написания. И внешний вид списка правил в гуях тоже может быть сложен для понимания, особенно, если на экран не влазит. АН Это ещё и используемые алгоритмы, решаемые задачи, архитектура и АН ещё 100500 вещей. Если бы командные языки были нагляднее и удобнее, АН чем GUI, то GUI бы, наверное, не было? Понимаешь, все зависит от того, что тебе надо делать - работать или изображать бурную деятельность. GUI сейчас в первую очередь используются для второго, хотя придуманы для первого. То есть сейчас, если я вижу гуй для конфигурации файрвола и тому подобных задач (по сути - программирования, т.е. выдачи заданий компьютеру), я почти уверен, что геморроя от попыток его использования будет столько, что следует поискать другой инструмент. Потому что если ты не можешь словами выразить то, чего хочешь, то ты все равно не выразишь, а если можешь, то словами это сделать удобнее. Гуй нужен для создания визуального представления для человека. Больше ни для чего. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87obprgcl2@wizzle.ran.pp.ru
Re: debian + hostapd + pptp = pptp random disconnect
On Mon, May 14, 2012 at 02:13:26PM +0300, Gary Trotcko wrote: Хм, собственно вот, но... (( cat /var/log/messages | grep pppd May 14 13:30:46 debian pppd[11352]: Modem hangup May 14 13:30:46 debian pppd[11352]: Connect time 4.6 minutes. May 14 13:30:46 debian pppd[11352]: Sent 34894 bytes, received 61693 bytes. May 14 13:30:47 debian pppd[11352]: Connection terminated. May 14 13:30:48 debian pppd[11352]: Using interface ppp0 May 14 13:30:48 debian pppd[11352]: Connect: ppp0 -- /dev/pts/0 May 14 13:30:56 debian pppd[11352]: CHAP authentication succeeded: Welcome. May 14 13:30:56 debian pppd[11352]: CHAP authentication succeeded May 14 13:30:56 debian pppd[11352]: local IP address 80.242.110.65 May 14 13:30:56 debian pppd[11352]: remote IP address 195.66.139.28 tcpdump -i eth0 tcp port 1723 13:29:30.676173 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [P.], seq 4103653949:4103653965, ack 4202577046, win 3650, options [nop,nop,TS val 32806508 ecr 654449703], length 16: pptp CTRL_MSGTYPE=ECHORQ ID(3) 13:29:55.662113 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [P.], seq 0:16, ack 1, win 3650, options [nop,nop,TS val 32811781 ecr 654449703], length 16: pptp CTRL_MSGTYPE=ECHORQ ID(3) 13:29:55.662446 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [.], ack 16, win 62, options [nop,nop,TS val 654458202 ecr 32811781,nop,nop,sack 1 {0:16}], length 0 13:29:55.739219 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [P.], seq 1:21, ack 16, win 62, options [nop,nop,TS val 654458210 ecr 32811781], length 20: pptp CTRL_MSGTYPE=ECHORP ID(3) RESULT_CODE(1) ERR_CODE(0) 13:29:55.739405 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [.], ack 21, win 3650, options [nop,nop,TS val 32812773 ecr 654458210], length 0 13:30:46.979768 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463334 ecr 32812773], length 0 Собственно, содержательная часть начинается с этого FINa (последний пакет). Сервер закрыл коннекцию без видимых причин. Отправляйте этот дамп провайдеру в качестве рекламации (желательно добавить ещё -vv -s0) и спрашивайте, какого чёрта так происходит. 13:30:46.980456 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [P.], seq 16:32, ack 22, win 3650, options [nop,nop,TS val 32825584 ecr 654463334], length 16: pptp CTRL_MSGTYPE=CCRQ CALL_ID(0) 13:30:46.981123 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [F.], seq 32, ack 22, win 3650, options [nop,nop,TS val 32825584 ecr 654463334], length 0 13:30:47.188552 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463355 ecr 32812773], length 0 13:30:47.188877 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [.], ack 22, win 3650, options [nop,nop,TS val 32825636 ecr 654463355,nop,nop,sack 1 {21:22}], length 0 13:30:47.608535 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463397 ecr 32812773], length 0 13:30:47.608775 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [.], ack 22, win 3650, options [nop,nop,TS val 32825741 ecr 654463397,nop,nop,sack 1 {21:22}], length 0 13:30:48.448503 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463481 ecr 32812773], length 0 13:30:50.128529 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463649 ecr 32812773], length 0 13:30:53.498452 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463986 ecr 32812773], length 0 Судя по пачке FINов от сервера, для которых нет никаких видимых на стороне клиента причин (т.е. отправленных от 192.168.120.184 на сервер пакетов), а также по аналогичной пачке RST ниже, похоже, что какой-то промежуточный узел активно закрывает коннекцию от имени клиента. То есть соединения портятся злоумышленником, в качестве которого может выступать прослушивающий соединения мониторинговый софт. Есть вирусы, пытающиеся перехватывать трафик для поиска адресов e-mail, паролей и прочего, они иногда так глючат. 13:30:55.665424 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [.], ack 22, win 3650, options [nop,nop,TS val 32825951 ecr 654463481,nop,nop,sack 1 {21:22}], length 0 13:30:55.665534 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [R], seq 4202577067, win 0, length 0 13:30:55.665542 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [R], seq 4202577067, win 0, length 0 13:30:55.665564 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [R], seq 4202577067, win 0, length 0 13:30:55.665572 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [R], seq 4202577067, win 0, length 0 13:30:55.666073 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [R], seq 4202577067, win 0, length 0 -- Eugene
Re: debian + hostapd + pptp = pptp random disconnect
Мммм Но почему при _выключенном_hostapd_ сессия на рвётся? Начать разбираться с провайдером можно было бы, но дело в том что он, мягко говоря, не приветствует подобные вещи (роутеры и пр.), у них политика такая - 1 канал на 1 хост. Хочешь больше, подключай ещё 1 кабель. -- Best Regards, Gary Trotcko
Re: Конфигуратор файрволла
14.05.2012 16:40, Artem Chuprina пишет: Артём Н. - debian-russian@lists.debian.org @ Mon, 14 May 2012 15:45:40 +0400: Гм... Можете представить пример, когда конфигуратор будет нагляднее чего-то такого: for i in `seq 2 50 | grep -v 33`; do iptables -A FORWARD -j DROP done А это вполне может быть в скрипте pre-up. 1. Три строчки кода. print Heil, Welt!\n; тоже наглядно. :-\ Но это не означает того, что любой скрипт, написанный на этом языке, в целом не может быть сложен для понимания. Это уже - культура написания. И внешний вид списка правил в гуях тоже может быть сложен для понимания, особенно, если на экран не влазит. АН Это ещё и используемые алгоритмы, решаемые задачи, архитектура и АН ещё 100500 вещей. Если бы командные языки были нагляднее и удобнее, АН чем GUI, то GUI бы, наверное, не было? Понимаешь, все зависит от того, что тебе надо делать - работать или изображать бурную деятельность. GUI сейчас в первую очередь используются для второго, хотя придуманы для первого. Тут не интерфейсы виноваты. :-) То есть сейчас, если я вижу гуй для конфигурации файрвола и тому подобных задач (по сути - программирования, т.е. выдачи заданий компьютеру), я почти уверен, что геморроя от попыток его использования будет столько, что следует поискать другой инструмент. Ну, в данном случае, никакого геморроя нет: 1. Хранится файлик с настройками правил для GUI. 2. Подгружается сгенерированный скрипт. 3. Если надо добавить/убавить - три клика мышкой, всё обновляется автоматически. Потому что если ты не можешь словами выразить то, чего хочешь, то ты все равно не выразишь В частном случае, согласен. а если можешь, то словами это сделать удобнее. Не всегда. Прописать длинное правило дольше, менее наглядно, сложнее (больше всего надо помнить и вспоминать), чем использовать GUI, а вероятность допустить ошибку выше. Блин, я себе представил платёжный терминал с консолью... Интересно, много народу будут им пользоваться, даже при наличии простых команд и инструкции? :-) Гуй нужен для создания визуального представления для человека. Больше ни для чего. Ага. Вот этот ГУЙ, как-раз только эту задачу и выполняет. Это и нравится. Кстати, CLI тоже нужен только для взаимодействия с человеком. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4fb10dba.7080...@yandex.ru
Re: dovecot before maildir create script
Artem Chuprina r...@ran.pp.ru wrote: Alexander GQ Gerasiov - debian-russian@lists.debian.org @ Fri, 11 May 2012 00:15:53 +0400: Коллеги, подскажите как прикрутить скрипт, который будет запускать до создания imap каталога пользователя (при первом входе). Писать обертку для login_executable как-то коряво... Dovecot дистрибутивный из сквизи. AGG Не совсем понимаю в чем смысл. Но мне кажется, что инициализация должна AGG быть при попытки доставки (MDA), а не при доступе по имапу. У нас это AGG делает maildrop и скрипт, который из него вызывается. В типичном случае при заведении нового пользователя заход на почитать случается раньше, чем первое письмо. Можно, конечно, при заведении пользователя слать ему welcome message, но это костыль... А дочитать документацию до плагина autocreate и прописать: plugin { autocreate = Trash autocreate2 = Junk autocreate3 = Sent autocreate4 = Drafts autosubscribe = Trash autosubscribe2 = Junk autosubscribe3 = Sent autosubscribe4 = Drafts } компартия запретила? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/vre789-hi2@kenga.kmv.ru
Re: debian + hostapd + pptp = pptp random disconnect
On Mon, May 14, 2012 at 04:15:22PM +0300, Gary Trotcko wrote: Мммм Но почему при _выключенном_hostapd_ сессия на рвётся? Это меня тоже занимало, продолжал чесать репу после того как написал последнее письмо. И нашёл признаки того, что у клиента поломан ip-шный стэк. Видно по этому фрагменту: 13:29:55.739405 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [.], ack 21, win 3650, options [nop,nop,TS val 32812773 ecr 654458210], length 0 13:30:46.979768 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463334 ecr 32812773], length 0 13:30:46.980456 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [P.], seq 16:32, ack 22, win 3650, options [nop,nop,TS val 32825584 ecr 654463334], length 16: pptp CTRL_MSGTYPE=CCRQ CALL_ID(0) Здесь такая нестыковка: после прихода от сервера пакета нулевой длины на клиенте счётчик байтов смещается на 1 (с ack=21 на ack=22). IMHO, это бага. Как реагирует на это ядро сервера -- неизвестно, но вполне вероятно, что оно начинает дропать все дальнейшие пакеты от клиента (которые выбежали за границу окна передачи), но при этом считать, что FIN остался без подтверждения. Если это так, то пачка FINов от сервера является простыми ретрансмиссиями первого, что похоже на правду, поскольку у них всех ecr=32812773. Ниже нашлась ещё одна фигня со строны клиента: 13:30:47.188877 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [.], ack 22, win 3650, options [nop,nop,TS val 32825636 ecr 654463355,nop,nop,sack 1 {21:22}], length 0 Сочетание ack=22 и sack={21:22} нелепо, таких пакетов быть не должно. В общем, похоже что включение hostapd приводит к поломке ip-стэка. Правда, я всё-таки не вижу причину для первоначального FINа от сервера. Но дамп неполный, не исключено, что коннекция сломалась задолго до того, как был запущен tcpdump, и первый FIN -- окончание процесса умирания по таймауту. Тогда никакие злоумышленники не при чём, конечно. :) -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120514141827.gc7...@protva.ru
Re: XML
Victor Wagner vi...@wagner.pp.ru writes: On 2012.05.14 at 13:45:41 +0300, Dmitry Nezhevenko wrote: Стоп. А как же всенародно любимый JPEG? Сравните с XPM И gzip-ом его, gzip-ом ;) gzip по нынешнем временам слабоват-с. lzma или xz - вот это сжималки XXI века. Тем не менее, обе обеспечивают далеко не всегда необходимое сжатие «без потерь», в отличие от. (BTW, как запретить convert(1) выполнять квантование цвета при преобразовании из JPEG в XPM?) Чтение и, в особенности, запись — напомню, что для записи PNM зачастую достаточно вызова fprintf () и fwrite (). (Чтение не многим сложнее.) В отличие от. Для включения изображений в интерпретируемый программный код — Base64 работает вне зависимости от формата. --cut: http://www.tcl.tk/man/tcl8.5/TkCmd/photo.htm -- -data string Specifies the contents of the image as a string. The string should contain binary data or, for some formats, base64-encoded data (this is currently guaranteed to be supported for GIF images). […] --cut: http://www.tcl.tk/man/tcl8.5/TkCmd/photo.htm -- PS. Отдельно можно обсудить и удобство «читаемого» .dat (из soxformat(7)), упакованного все теми же xz(1), lzma(1), etc., по сравнению с Ogg Vorbis. -- FSF associate member #7257 np. Childhood's End — Iron Maiden -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/86txzisul8@gray.siamics.net
Re: Конфигуратор файрволла
On 2012.05.14 at 17:41:24 +0400, Andrey Melnikoff wrote: Victor Wagner vi...@wagner.pp.ru wrote: Что народ порекомендует в качестве конфигуратора файрволла для машины имеющей достижимый извне но не совсем статический (выдаваемый провайдером по DHCP) адрес, которая предоставляет некоторое количество сетевых сервисов (спасибо Dynamic DNS) и является гейтвеем домашней (квартирной) сетки (со стороны квартирной сетки должно быть разрешено больше, чем со стороны внешнего интерфейса)? arno-iptables-firewall, есть в поставке. Ага, баг #325696 уже пофиксили, а из wiki убрать забыли. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4le789-hi2@kenga.kmv.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120514144048.ga17...@wagner.pp.ru
Re: Конфигуратор файрволла
Артём Н artio...@yandex.ru writes: 14.05.2012 16:40, Artem Chuprina пишет: […] Потому что если ты не можешь словами выразить то, чего хочешь, то ты все равно не выразишь В частном случае, согласен. а если можешь, то словами это сделать удобнее. Не всегда. Прописать длинное правило дольше, менее наглядно, сложнее (больше всего надо помнить и вспоминать), чем использовать GUI, а вероятность допустить ошибку выше. Хм. Есть большая разница между « », « » и « ». Наглядно? А если так: « », «nbsp;» и «ensp;»? Блин, я себе представил платёжный терминал с консолью... Интересно, много народу будут им пользоваться, даже при наличии простых команд и инструкции? :-) Любопытно, каково количество возможных команд (не считая различия в параметрах), которое можно дать с такого терминала? Гуй нужен для создания визуального представления для человека. Больше ни для чего. Ага. Вот этот ГУЙ, как-раз только эту задачу и выполняет. Это и нравится. Кстати, CLI тоже нужен только для взаимодействия с человеком. Здесь речь не столько о GUI vs. CLI, сколько о «меню» vs. «язык программирования.» Основная проблема «типовых» GUI — невозможность «записать» последовательность команд, отданных пользователем, для последующего повторного использования. В тех же случаях, когда такая возможность предоставляется (через определение «макрокоманд»), записанную последовательность нередко нельзя /параметризовать/. Напротив, при использовании языков, производных от POSIX Shell, все эти возможности, как правило, в наличии. Впрочем, с учетом появления Ubuntu HUD, не исключено, что CLI обретет «вторую жизнь» в рамках ныне существующей «GUI-инфраструктуры.» -- FSF associate member #7257 np. Swan Lake — Dark Moor -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/86mx5astor@gray.siamics.net
Re: debian + hostapd + pptp = pptp random disconnect
Gary Trotcko teego...@gmail.com wrote: Мммм Но почему при _выключенном_hostapd_ сессия на рвётся? Начать ifconfig и arp -an в момент разрыва покажи. разбираться с провайдером можно было бы, но дело в том что он, мягко говоря, не приветствует подобные вещи (роутеры и пр.), у них политика такая - 1 канал на 1 хост. Хочешь больше, подключай ещё 1 кабель. Голосовать деньгами надо от таких провайдеров. Ибо его не должно волновать, сколько электрочайников с прочими книгочиталками сидят за твоим роутером. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/v9j789-dd3@kenga.kmv.ru
Re: debian + hostapd + pptp = pptp random disconnect
Извиняюсь, за ненарочно отправленные письма не в рассылку.
Re: debian + hostapd + pptp = pptp random disconnect
2012/5/14 Andrey Melnikoff temnota+n...@kmv.ru: Gary Trotcko teego...@gmail.com wrote: Мммм Но почему при _выключенном_hostapd_ сессия на рвётся? Начать ifconfig и arp -an в момент разрыва покажи. Пока работает... разбираться с провайдером можно было бы, но дело в том что он, мягко говоря, не приветствует подобные вещи (роутеры и пр.), у них политика такая - 1 канал на 1 хост. Хочешь больше, подключай ещё 1 кабель. Голосовать деньгами надо от таких провайдеров. Ибо его не должно волновать, сколько электрочайников с прочими книгочиталками сидят за твоим роутером. Надо, но бежать некуда. Город небольшой, а провайдер, по сути локальный монополист. -- Best Regards, Gary Trotcko
Re: debian + hostapd + pptp = pptp random disconnect
2012/5/14 Eugene Berdnikov b...@protva.ru: On Mon, May 14, 2012 at 04:15:22PM +0300, Gary Trotcko wrote: Мммм Но почему при _выключенном_hostapd_ сессия на рвётся? Это меня тоже занимало, продолжал чесать репу после того как написал последнее письмо. И нашёл признаки того, что у клиента поломан ip-шный стэк. Видно по этому фрагменту: 13:29:55.739405 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [.], ack 21, win 3650, options [nop,nop,TS val 32812773 ecr 654458210], length 0 13:30:46.979768 IP 192.168.117.211.1723 192.168.120.184.56438: Flags [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463334 ecr 32812773], length 0 13:30:46.980456 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [P.], seq 16:32, ack 22, win 3650, options [nop,nop,TS val 32825584 ecr 654463334], length 16: pptp CTRL_MSGTYPE=CCRQ CALL_ID(0) Здесь такая нестыковка: после прихода от сервера пакета нулевой длины на клиенте счётчик байтов смещается на 1 (с ack=21 на ack=22). IMHO, это бага. Как реагирует на это ядро сервера -- неизвестно, но вполне вероятно, что оно начинает дропать все дальнейшие пакеты от клиента (которые выбежали за границу окна передачи), но при этом считать, что FIN остался без подтверждения. Если это так, то пачка FINов от сервера является простыми ретрансмиссиями первого, что похоже на правду, поскольку у них всех ecr=32812773. Ниже нашлась ещё одна фигня со строны клиента: 13:30:47.188877 IP 192.168.120.184.56438 192.168.117.211.1723: Flags [.], ack 22, win 3650, options [nop,nop,TS val 32825636 ecr 654463355,nop,nop,sack 1 {21:22}], length 0 Сочетание ack=22 и sack={21:22} нелепо, таких пакетов быть не должно. В общем, похоже что включение hostapd приводит к поломке ip-стэка. Правда, я всё-таки не вижу причину для первоначального FINа от сервера. Но дамп неполный, не исключено, что коннекция сломалась задолго до того, как был запущен tcpdump, и первый FIN -- окончание процесса умирания по таймауту. Тогда никакие злоумышленники не при чём, конечно. :) Приблизительно такую причину я и предполагал (эмпирически :)), Вот решил поиграться с опциями pptp - обратил внимание что выключена буферизация опцией --nobuffer. Запустил без неё - рабтает уже больше 4-х часов. Ждём-с... -- Best Regards, Gary Trotcko
Re: Конфигуратор файрволла
14.05.2012 18:50, Ivan Shmakov пишет: Не всегда. Прописать длинное правило дольше, менее наглядно, сложнее (больше всего надо помнить и вспоминать), чем использовать GUI, а вероятность допустить ошибку выше. Хм. Есть большая разница между « », « » и « ». Наглядно? А если так: « », «nbsp;» и «ensp;»? Причём тут интерфейс? Гуй нужен для создания визуального представления для человека. Больше ни для чего. Ага. Вот этот ГУЙ, как-раз только эту задачу и выполняет. Это и нравится. Кстати, CLI тоже нужен только для взаимодействия с человеком. Здесь речь не столько о GUI vs. CLI, сколько о «меню» vs. «язык программирования.» Основная проблема «типовых» GUI — невозможность «записать» последовательность команд, отданных пользователем, для последующего повторного использования. В тех же случаях, когда такая возможность предоставляется (через определение «макрокоманд»), записанную последовательность нередко нельзя /параметризовать/. В случае с GUI, о котором речь, эти проблемы не стоят. :-) Напротив, при использовании языков, производных от POSIX Shell, все эти возможности, как правило, в наличии. Это проблемы конкретного интерфейса. Нужен язык - достаточно встроить движок в интерфейс. Впрочем, с учетом появления Ubuntu HUD, не исключено, что CLI обретет «вторую жизнь» в рамках ныне существующей «GUI-инфраструктуры.» o.O Фигасе. Посмотрел что такое. Ну стоит у меня ubiquity в iceweasel (в репозитории увидел и решил посмотреть, что такое). Я даже помню, как он вызывается, но не пользуюсь. Есть подозрение, что ихний HUD постигнет та же учесть, что и десяток (или сотню?) подобных велосипедов. На компутерре почитал про него. Вход-выход из консольного режима... Есть, вообще, диалог запуска, плюс постоянно открытая консоль. Меню хотят поменять. Зачем, если такая система почему-то устоялась и прижилась? GUI развивается годов с 60-х (а об интерфейсах заботились ещё до появления компьютеров), так что, эксперименты - это хорошо, но, вероятно, такое уже кто-то сделал. У убунты, видимо, неплохой маркетинг. :-\ P.S.: Эх, в общем, к теме это уже всё не относится. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4fb13f39.1080...@yandex.ru
Re: Список пакетов, установленных из конкретного репозитория.
On Mon, May 14, 2012 at 11:05:05PM +0400, Dmitrii Kashin wrote: Вопрос: Как получить список пакетов, установленных из конкретного репозитория? google://aptitude search packages from one repo первая ссылка: http://superuser.com/questions/132346/find-packages-installed-from-a-certain-repository-with-aptitude -- wbr, alexander barakin aka sash-kan. -- i will be very thankful to you if you will use natural for the human order: first question, then the answer. signature.asc Description: Digital signature
Re: Конфигуратор файрволла
Артём Н. - debian-russian@lists.debian.org @ Mon, 14 May 2012 21:22:01 +0400: АН Меню хотят поменять. Зачем, если такая система почему-то устоялась АН и прижилась? GUI развивается годов с 60-х (а об интерфейсах АН заботились ещё до появления компьютеров), так что, эксперименты - АН это хорошо, но, вероятно, такое уже кто-то сделал. Я немного интересуюсь этим вопросом. На самом деле, экспериментов было немало, только лемминги об их результатах не в курсе. А наиболее распространенным, как обычно, оказывается самый плохой из приемлемых. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87bolqh7lv@wizzle.ran.pp.ru
Re: Список пакетов, установленных из конкретного репозитория.
14.05.2012 23:05, Dmitrii Kashin пишет: Вопрос: Как получить список пакетов, установленных из конкретного репозитория? Сейчас подумал, что было бы неплохо поставить положительные пины пакетам, которые iceweasel утянул по зависимостям с репозитория squeeze-backports, но вдруг понял, что не знаю, как сформировать список пакетов, которые установлены с конкретного репозитория. Потыкался по манам dpkg/apt-cache, но сходу не нашел решения. apt-show-versions -b | grep wheezy Не это? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4fb160ac.60...@yandex.ru
Re: Список пакетов, установленных из конкретного репозитория.
alexander barakin a...@barak.in writes: On Mon, May 14, 2012 at 11:05:05PM +0400, Dmitrii Kashin wrote: Вопрос: Как получить список пакетов, установленных из конкретного репозитория? http://superuser.com/questions/132346/find-packages-installed-from-a-certain-repository-with-aptitude Ух ты, как аптитуда искать, оказывается, умеет... Большое спасибо! Буду пользоваться. -- ** * jabber: free...@jabber.mipt.ru * * Registered linux user #546240* ** -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87zk9asbp3@ws00.freehck.ru
Re: Список пакетов, установленных из конкретного репозитория.
On Mon, May 14, 2012 at 11:05:05PM +0400, Dmitrii Kashin wrote: Вопрос: Как получить список пакетов, установленных из конкретного репозитория? Лирика: Недавно поставил iceweasel из бэкпортов. Конкретно - из репозитория mozilla.debian.net. Он требовал в обязательном порядке подключенный squeeze-backports, поэтому на время установки я поставил положительный пин для squeeze-backports. После установки iceweasel я поставил squeeze-backports отрицательный пин обратно, т.к. апгрейдить систему с бэкпортов желания не имею. Сейчас подумал, что было бы неплохо поставить положительные пины пакетам, которые iceweasel утянул по зависимостям с репозитория squeeze-backports, но вдруг понял, что не знаю, как сформировать список пакетов, которые установлены с конкретного репозитория. Потыкался по манам dpkg/apt-cache, но сходу не нашел решения. apt-show-versions уже предлагали. Если не устраивает его вывод, может быть устроит вот такой самописный скриптик (в аттаче). Запуск без аргументов дает полный список. С аргументом(ами) - селективно по origin. Пример: % list-by-repo Unofficial Multimedia Packages Origin: Unofficial Multimedia Packages i avidemux- Free video editor (GTK version). i A avidemux-common - Free video editor (Internationalization fi i A avidemux-plugins- Free video editor (plugins). i A deb-multimedia-keyring - GnuPG archive key of the deb-multimedia re i debian-multimedia-keyring - transitional package to install deb-multim i gstreamer0.10-ffmpeg- FFmpeg plugin for GStreamer i lame- LAME Ain't an MP3 Encoder i A libaften0 - audio AC3 encoder - runtime files i A libavformat53 - FFmpeg file format library. i A libavutil51 - FFmpeg avutil library - runtime files i libdvdcss-dev - Simple foundation for reading DVDs - devel i A libdvdcss2 - Simple foundation for reading DVDs - runti i libfaac0- AAC audio encoder - library files. i A libmjpegtools-2.0-0 - MJPEG video capture/editting/playback MPEG i A libmp3lame0 - LAME Ain't an MP3 Encoder (shared library) i A libpostproc52 - postproc shared libraries. i A libswscale2 - FFmpeg video scaling library. i A libvlc5 - multimedia player and streamer library i A libvlccore5 - base library for VLC and its modules i A libx264-124 - x264 video coding library i libxvidcore-dev - High quality ISO MPEG4 codec library -- de i A libxvidcore4- High quality ISO MPEG4 codec library i mjpegtools - MJPEG video capture/editting/playback MPEG ih mplayer - The Ultimate Movie Player i vlc - multimedia player and streamer i A vlc-data- Common data for VLC i A vlc-nox - multimedia player and streamer (without X * Total packages: 27 -- Stanislav #!/bin/sh # A trivial script to search for which packages are installed from which repo LISTS=/var/lib/apt/lists IFS=' ' if [ $1 ]; then echo $* else grep -h Origin: $LISTS/*Release | cut -d' ' -f2- | uniq fi | while read orgn; do echo echo Origin: $orgn echo command aptitude search ~i ~O\$orgn\ |\ awk 'BEGIN{c=0};{print;c++};END{print * Total packages: c}' done
Re: Конфигуратор файрволла
14 мая 2012 г., 17:45 пользователь Артём Н. artio...@yandex.ru написал: Может, есть плюсы в наглядном представлении конфигурации (и настройке, когда удобно и есть время), а быстро что-то прикрыть возможно через iptables, без лишних скриптов? Гм... Можете представить пример, когда конфигуратор будет нагляднее чего-то такого: for i in `seq 2 50 | grep -v 33`; do iptables -A FORWARD -j DROP done А это вполне может быть в скрипте pre-up. 1. Три строчки кода. print Heil, Welt!\n; тоже наглядно. :-\ Но это не означает того, что любой скрипт, написанный на этом языке, в целом не может быть сложен для понимания. Это уже - культура написания. И внешний вид списка правил в гуях тоже может быть сложен для понимания, особенно, если на экран не влазит. Это ещё и используемые алгоритмы, решаемые задачи, архитектура и ещё 100500 вещей. Если бы командные языки были нагляднее и удобнее, чем GUI, то GUI бы, наверное, не было? У всего есть своя область применения. Гуй - для того, что проще показать, чем описать. Для меня же файрволл описывается словами точнее, чем тыканьем мыши. 3. Пример приводил. Я считаю, что fwbuilder - нагляднее. Почитал на него документацию. Без мыши неработоспособен, ибо на том же андроиде с его тачскрином драг-н-дроп не то чтобы совсем невозможен - неудобен настолько, что им нельзя пользоваться. Да, д-н-д, там не попользуешься. Зато есть контекстное меню: Скопировать-Вставить. :-) Правой кнопки мыши тоже нет. Конструкция из трёх строк там выльется в несколько экранов правил. Может быть оно и нагляднее, только если в трёх строках я вижу, что адрес, оканчивающийся на 33 таки не блокируется здесь, то среди N экранов можно и не углядеть. Нет, отчего же? Вы можете дописать этот кусок в функцию, вызываемую при окончании обработки правил. Хм... И накой тогда нужен гуй, если бОльшая часть файрволла будет описана такими скриптами? P.S.: Кстати, замечу, что вариант с добавлением большого количества правил, вероятно не самый лучший, поскольку, как говорят, замедляет работу. Тут вот: http://doc.emergingthreats.net/bin/viewfile/Main/EmergingFirewallRules?rev=1;filename=emerging-ipset-update.pl.txt есть скрипт, как раз для этого. Версия 2008-го использовала iptables. Текущая использует ipset. Согласен, тут больше таблицы подошли бы, чем N правил. Пример для иллюстрации, а не для реального применения. -- Stanislav
Re: Update synaptic translation to 0.75.10
Исправления во вложении. Там я кое-что унифицировал (например, перевод Desktop Environment), но несколько вопросов и замечаний осталось. Сразу оговорюсь, что не пользуюсь этой программой, поэтому и задаю эти вопросы. «Force version»» в разных местах переводится по-разному -- не знаю, правильно ли это... То же самое с «Applying Changes». То же для «Icon Legend». Есть вот такое: msgid _Lock Version msgstr За_блокировать версию хотя в других местах -- lock переводится как «закреплённый», «закрепить» Может быть лучше переводить lock как «зафиксировать»? (а locked - «зафиксированные») essential -- переведено везде как «необходимые», но вообще-то в aptitude, например, это «пакеты первой необходимости», просто же «необходимые» -- это required. Или в synaptic имеется в виду что-то другое? Непонятен перевод: msgid Missing Recommends msgstr Отсутствуют рекомендованные markings file -- не понял, что это такое (что за «файл выбора»?), в некоторых местах Markings переводится как «отметки пакетов», так что я думаю, перевод здесь стоит синхронизировать. Может «файл отметок»? -- P.S. Прошу прощения, что отправил в личку. Писал из дурацкого веб-интерфейса gmail, который не знаю по какому закону выбирает то адрес рассылки, то отправителя. -- VZh http://vzhbanov.byethost33.com --- a/synpatic_0.75.10_ru.po 2012-05-14 11:03:30.0 +0400 +++ b/synpatic_0.75.10_ru.po 2012-05-14 11:01:13.0 +0400 @@ -12,7 +12,7 @@ Project-Id-Version: synaptic_0.70.10_ru\n Report-Msgid-Bugs-To: \n POT-Creation-Date: 2012-04-30 22:41+0400\n -PO-Revision-Date: 2012-04-30 23:17+0400\n +PO-Revision-Date: 2012-05-14 11:01+0400\n Last-Translator: Sergey Alyoshin alyoshi...@gmail.com\n Language-Team: russian debian-l10n-russian@lists.debian.org\n Language: \n @@ -106,12 +106,12 @@ #. TRANSLATORS: Alias for the Debian package section gnustep #: ../common/sections_trans.cc:44 msgid Gnustep Desktop Environment -msgstr Рабочий стол Gnustep +msgstr Среда Gnustep #. TRANSLATORS: Alias for the Debian package section hamradio #: ../common/sections_trans.cc:46 msgid Amateur Radio -msgstr Любительское радио +msgstr Радиолюбителям #. TRANSLATORS: Alias for the Debian package section haskell #: ../common/sections_trans.cc:48 @@ -126,7 +126,7 @@ #. TRANSLATORS: Alias for the Debian package section interpreters #: ../common/sections_trans.cc:52 msgid Interpreted Computer Languages -msgstr Языки программирования интерпретируемые +msgstr Интерпретируемые языки программирования #. TRANSLATORS: Alias for the Debian package section java #: ../common/sections_trans.cc:54 @@ -241,7 +241,7 @@ #. TRANSLATORS: Alias for the Debian package section tex #: ../common/sections_trans.cc:98 msgid TeX Authoring -msgstr Издательство TeX +msgstr Издательская система TeX #. TRANSLATORS: Alias for the Debian package section text #: ../common/sections_trans.cc:100 @@ -276,7 +276,7 @@ #. TRANSLATORS: Alias for the Debian package section xfce #: ../common/sections_trans.cc:112 msgid Xfce Desktop Environment -msgstr Рабочий стол Xfce +msgstr Среда Xfce #. TRANSLATORS: Alias for the Debian package section zope #: ../common/sections_trans.cc:114 @@ -292,7 +292,7 @@ #. TRANSLATORS: Alias for the Debian package section alien #: ../common/sections_trans.cc:118 msgid Converted From RPM by Alien -msgstr Преобразовано из RPM Alien +msgstr Преобразовано из RPM с помощью Alien #. TRANSLATORS: Ubuntu translations section #: ../common/sections_trans.cc:120 @@ -344,7 +344,7 @@ #: ../common/indexcopy.cc:107 msgid gzip failed, perhaps the disk is full. -msgstr Ошибка gzip, возможно, нет свободного места. +msgstr Ошибка gzip, возможно нет свободного места. #: ../common/indexcopy.cc:128 msgid Failed to reopen fd @@ -361,7 +361,7 @@ #: ../common/indexcopy.cc:441 msgid Cannot find filename or size tag -msgstr Невозможно найти тэг с названием файла или размером +msgstr Невозможно найти тег с названием файла или размером #: ../common/indexcopy.cc:485 msgid Error parsing file record @@ -401,7 +401,7 @@ #: ../common/rcdscanner.cc:284 msgid Insert a disc in the drive. -msgstr Вставьте диск в привод. +msgstr Вставьте диск в дисковод. #. Mount the new CDROM #: ../common/rcdscanner.cc:288 @@ -453,7 +453,7 @@ #: ../common/rcdscanner.cc:410 msgid Writing sources list... -msgstr Сохраняется список источников пакетов... +msgstr Сохранение списка источников пакетов... #: ../common/rcdscanner.cc:425 msgid Done! @@ -514,7 +514,7 @@ Successfully applied all changes. You can close the window now. msgstr \n -Все изменения полностью применены. Теперь вы можете закрыть окно. +Все изменения полностью применены. Теперь можно закрыть это окно. #: ../common/rinstallprogress.cc:42 msgid @@ -523,8 +523,8 @@ please expand the 'Details' panel below. msgstr \n -Не все изменения или обновления были успешны. Подробности об ошибках см. в -расширяемой панели ниже. +Не все изменения или обновления завершились успешно.