date:20120514

 AC == Artem Chuprina r...@ran.pp.ru writes:
 Victor Wagner - debian-russian@lists.debian.org:

[…]

 VW iptables-save/iptables-restore.

 VW Кто что посоветует?

 AC Вот их и посоветую.

Вариант Shell-кода для /etc/init.d/, вызывающий
ip6tables-restore(8) и iptables-restore(8) (но не *-save.)

http://article.gmane.org/gmane.linux.debian.devel.firewall/6003

 AC При смене конфига на ходу я еще использую iptables-apply.

Любопытно…

-- 
FSF associate member #7257


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/86zk9btb8g@gray.siamics.net

Re: debian + hostapd + pptp = pptp random disconnect

2012-05-14 Пенетрантность Mikhail A Antonov

On Mon, May 14, 2012 at 02:01:40AM +0300, Gary Trotcko wrote:
 May 14 00:45:32 debian pptp[11703]: anon
 log[pptp_read_some:pptp_ctrl.c:544]: read returned zero, peer has
 closed
 May 14 00:45:32 debian pptp[11703]: anon
 log[callmgr_main:pptp_callmgr.c:258]: Closing connection (shutdown)
 May 14 00:45:32 debian pptp[11703]: anon
 log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 12
 'Call-Clear-Request'

 Запишите дамп трафика и посмотрите, действительно ли обрывается
 контрольная коннекция pptp (tcp порт 1723). Если да, то далее
 нужно будет искать причину обрыва.
-- 
 Eugene Berdnikov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120514083508.gn2...@protva.ru

Re: Конфигуратор файрволла

14.05.2012 12:31, Ivan Shmakov пишет:
  VW iptables-save/iptables-restore.

  VW Кто что посоветует?

  AC Вот их и посоветую.

   Вариант Shell-кода для /etc/init.d/, вызывающий
   ip6tables-restore(8) и iptables-restore(8) (но не *-save.)
Зачем? Есть же pre-up в interfaces.

-- 
Best regards,
Mikhail
-
WWW: http://www.antmix.pp.ru/
XMPP: ant...@stopicq.ru



signature.asc
Description: OpenPGP digital signature

Re: Как узнать в каких источниках из /etc/apt/sources.list лежит пакет??

2012-05-14 Пенетрантность Andrey Rahmatullin

 Oleksandr Gavenko gaven...@gmail.com writes:

[…]

  Приблизительное можно зделать так:

  $ for f in /var/cache/apt/apt-file/*.gz; do \
  if zcat $f | grep $PKG /dev/null; then \
echo $f; \
  fi; \
done

Проще:

$ zgrep -l $PKG /var/cache/apt/apt-file/*.gz 

Лучше:

$ zgrep -lF -- $PKG /var/cache/apt/apt-file/*.gz 

[…]

-- 
FSF associate member #7257


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/86r4untaey@gray.siamics.net

Re: XML

On Mon, May 14, 2012 at 03:43:54PM +0700, Ivan Shmakov wrote:
   Целевой формат значения не имеет.  Он предназначен, прежде всего, не
   для чтения,
 
   Если человек использует где-либо формат, предназначенный не для
   чтения, за исключением формата зашифрованных сообщений, его из
   архитекторов надо гнать поганой метлой.
 
   Стоп.  А как же всенародно любимый JPEG?
Не кормите витуса.

-- 
WBR, wRAR


signature.asc
Description: Digital signature

Re: Конфигуратор файрволла

2012-05-14 Пенетрантность Mikhail A Antonov

 Mikhail A Antonov b...@solarnet.ru writes:
 14.05.2012 12:31, Ivan Shmakov пишет:

  iptables-save/iptables-restore.

  Кто что посоветует?

  Вот их и посоветую.

  Вариант Shell-кода для /etc/init.d/, вызывающий
  ip6tables-restore(8) и iptables-restore(8) (но не *-save.)

  Зачем?  Есть же pre-up в interfaces.

pre-up выполняются перед поднятием того конкретного интерфейса,
к которому они относятся.  Напротив, конфигурация iptables —
общая для всех интерфейсов.

На практике, использование pre-up на конкретном интерфейсе
оставляет некоторый риск того, что -restore будут запущены перед
поднятием этого интерфейса, но /после/ поднятия некоторого
другого.  (Или же ifupdown дает какие-либо гарантии относительно
порядка поднятия auto-интерфейсов при запуске системы?)

Использование pre-up (с идентичными -restore-командами) на всех
интерфейсах неудобно тем, что команда -restore может выполнится
«неожиданно» — при переконфигурировании интерфейса (ifdown 
vim  ifup), подключении сетевого устройства, отмеченного как
allow-hotplug, etc. — возможно, после правки «рабочей»
конфигурации (# ip6tables -A, etc.), но перед правкой
загружаемых командами -restore файлов.

Напротив, код, размещенный в init.d/, будет автоматически
исполнен единожды, при запуске системы; все последующие вызовы
-restore произойдут исключительно по явному # service … start.

-- 
FSF associate member #7257


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/86mx5bt9wo@gray.siamics.net

Re: Конфигуратор файрволла

14.05.2012 13:00, Ivan Shmakov пишет:
 Mikhail A Antonov b...@solarnet.ru writes:
 14.05.2012 12:31, Ivan Shmakov пишет:
   iptables-save/iptables-restore.

   Кто что посоветует?

   Вот их и посоветую.

   Вариант Shell-кода для /etc/init.d/, вызывающий
   ip6tables-restore(8) и iptables-restore(8) (но не *-save.)

   Зачем?  Есть же pre-up в interfaces.

   pre-up выполняются перед поднятием того конкретного интерфейса,
   к которому они относятся.  Напротив, конфигурация iptables —
   общая для всех интерфейсов.
pre-up для lo. Всё остальное для фаервола уже поздно.


-- 
Best regards,
Mikhail
-
WWW: http://www.antmix.pp.ru/
XMPP: ant...@stopicq.ru



signature.asc
Description: OpenPGP digital signature

Re: XML

2012-05-14 Пенетрантность Victor Wagner

On 2012.05.14 at 15:43:54 +0700, Ivan Shmakov wrote:

   Если человек использует где-либо формат, предназначенный не для
   чтения, за исключением формата зашифрованных сообщений, его из
   архитекторов надо гнать поганой метлой.
 
   Стоп.  А как же всенародно любимый JPEG?

Сравните с XPM

 


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120514093720.ga11...@wagner.pp.ru

Re: XML

 Victor Wagner vi...@wagner.pp.ru writes:
 On 2012.05.14 at 15:43:54 +0700, Ivan Shmakov wrote:

  Если человек использует где-либо формат, предназначенный не для
  чтения, за исключением формата зашифрованных сообщений, его из
  архитекторов надо гнать поганой метлой.

  Стоп.  А как же всенародно любимый JPEG?

  Сравните с XPM

Сравнение будет не в пользу последнего.  Отображение
24-разрядной тройки (R, G, B) в ASCII-последовательность не
имеет большого смысла для фотографий и подобных им изображений.

Кроме того, мне неизвестны способы скомбинировать XPM с
«типовыми» упаковщиками для получения «прогрессивного» сжатого
XPM (в то время как прогрессивный JPEG вполне себе существует.)

Не могу не упомянуть и такой формат, как NetCDF.  (И вариации на
эту же тему — HDF4, HDF5, и, в некоторой степени, GeoTIFF.)

Что касается часто отмечаемой «громоздкости» XML, замечу, что
синтаксис последнего ортогонален кодировке.  Так, Fast Infoset
регламентирует использование для кодирования XML правил ASN.1, а
значит и соответствующих «двоичных» кодировок (BER, CER, DER,
etc.)  Что, на мой взгляд, сразу же ставит XML в один ряд с
такими «нечитаемыми» форматами, как упомянутый уже JPEG, PNG,
Ogg, NetCDF, etc.

-- 
FSF associate member #7257


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/867gwft746@gray.siamics.net

Re: Конфигуратор файрволла

 Mikhail A Antonov b...@solarnet.ru writes:
 14.05.2012 13:00, Ivan Shmakov пишет:
 Mikhail A Antonov b...@solarnet.ru writes:
 14.05.2012 12:31, Ivan Shmakov пишет:

[…]

  Вариант Shell-кода для /etc/init.d/, вызывающий
  ip6tables-restore(8) и iptables-restore(8) (но не *-save.)

  Зачем?  Есть же pre-up в interfaces.

  pre-up выполняются перед поднятием того конкретного интерфейса, к
  которому они относятся.  Напротив, конфигурация iptables — общая для
  всех интерфейсов.

  pre-up для lo.  Всё остальное для фаервола уже поздно.

Разве ifup(8) гарантирует, что lo будет поднят до любого другого
интерфейса?

-- 
FSF associate member #7257


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/863973t6vb@gray.siamics.net

Re: Конфигуратор файрволла

2012-05-14 Пенетрантность Mikhail A Antonov

14 мая 2012 г., 16:05 пользователь Ivan Shmakov oneing...@gmail.com написал:

   Вариант Shell-кода для /etc/init.d/, вызывающий
   ip6tables-restore(8) и iptables-restore(8) (но не *-save.)

   Зачем?  Есть же pre-up в interfaces.

   pre-up выполняются перед поднятием того конкретного интерфейса, к
   которому они относятся.  Напротив, конфигурация iptables -- общая для
   всех интерфейсов.

   pre-up для lo.  Всё остальное для фаервола уже поздно.

Разве ifup(8) гарантирует, что lo будет поднят до любого другого
интерфейса?

man ifup
/-a
[...]
Interfaces are brought  up  in  the order  in  which they are defined
in /etc/network/interfaces.

Не гарантирует, но гарантирует, что интерфейсы будут подниматься в
порядке, описаном interfaces.
Почему-то не думаю, что Витус переставит lo в зад.

-- 
Stanislav

Re: Конфигуратор файрволла

14.05.2012 14:05, Ivan Shmakov пишет:
   Вариант Shell-кода для /etc/init.d/, вызывающий
   ip6tables-restore(8) и iptables-restore(8) (но не *-save.)

   Зачем?  Есть же pre-up в interfaces.

   pre-up выполняются перед поднятием того конкретного интерфейса, к
   которому они относятся.  Напротив, конфигурация iptables — общая для
   всех интерфейсов.

   pre-up для lo.  Всё остальное для фаервола уже поздно.

   Разве ifup(8) гарантирует, что lo будет поднят до любого другого
   интерфейса?
...
   -a, --all
  If  given  to  ifup,  affect  all  interfaces  marked
auto.  Interfaces are brought up in the order in which they are defined
in /etc/network/interfaces.
...


-- 
Best regards,
Mikhail
-
WWW: http://www.antmix.pp.ru/
XMPP: ant...@stopicq.ru



signature.asc
Description: OpenPGP digital signature

Re: Конфигуратор файрволла

14.05.2012 07:49, Victor Wagner пишет:
On 2012.05.13 at 21:35:09 +0400, Артём Н. wrote:

Да, естественно. Потому что то что в руках, может быть телефоном,
андроидным планшетом, корпоративной рабочей станцией, где ssh-клиент
есть, а никакого стороннего софта ставить нельзя или вообще машиной из
интернет-кафе.
Вы будете конфигурировать файрвол на машине из интернет-кафе?

Да, буду. Потому что оставить незаткнутой дырку в файрволле на несколько
дней (которые мне потребуются для того, чтобы добраться до интернета с
более защищенного рабочего места) хуже, чем подвергнуться риску утечки
пароля посредством кейлоггера из интернет-кафе.

У меня на этот случай специальный ssh-ключ есть, который в конце сессии я
из authorized_keys выкину, и даже если троян уведет его секретную часть,
это ему не поможет.
o.O

Корпоративные рабочие станции, я так думаю, конфигурируются централизованно.
Конфигурировать СВОЮ машину, сидя за клавиатурой корпоративной рабочей
станции. Зайти по ssh я оттуда могу, а запустить там левую GUI-приблуду
- нет.
Тьфу, что-то я вчера не въехал.
С другой стороны... На рабочей станции, вероятно стоит не windows и там есть X,
т.е. ssh -X, а графическая фенечка будет запускаться на сервере?

Конфигурировать планшет - неудобно, в плане того, что неудобно вводить
длинные
Опять же - конфигурировать не планшет, а свою машину С ПЛАНШЕТА.
Да, неудобно. Но если до более удобного терминала несколько дней, а
дырку надо затыкать срочно...
...
В случаях, когда нет под рукой локальной машины...
А так часто приходится конфигурировать файрвол?
Конфигурирование файрволла - это всегда аварийная ситуация. Делать это
приходится редко, но готовым надо быть в любой момент. Причем задержка с
выполнением этой операции на несколько часов может стоить очень дорого.
Ну да, графическая утилита не имеет такой гибкости.
Но что нужно делать срочно? Например, дроп всех пакетов с заданного IP?
Какую дырку закрывать? Если появилась дырка, разве не придётся потом, всё-равно
разбираться и штопать..?
Может, есть плюсы в наглядном представлении конфигурации (и настройке, когда
удобно и есть время), а быстро что-то прикрыть возможно через iptables, без
лишних скриптов?

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4fb0dbd3.6030...@yandex.ru

Re: Конфигуратор файрволла

14 мая 2012 г., 16:17 пользователь Артём Н. artio...@yandex.ru написал:
Корпоративные рабочие станции, я так думаю, конфигурируются централизованно.
Конфигурировать СВОЮ машину, сидя за клавиатурой корпоративной рабочей
станции. Зайти по ssh я оттуда могу, а запустить там левую GUI-приблуду
- нет.
Тьфу, что-то я вчера не въехал.
С другой стороны... На рабочей станции, вероятно стоит не windows и там есть
X,
т.е. ssh -X, а графическая фенечка будет запускаться на сервере?

Э... Найдите работающие иксы для андроида, пожалуйста.
Да еще чтоб по нашим gprs (нет, не 3g) могли нормально работать.
Последние два месяца моя удалённая работа - как раз с андроида.
ssh, в основном.
И иногда - rdp. Очень иногда, ибо жутко неудобно и медленно (по
интерфейсным причинам медленно, в основном).

В случаях, когда нет под рукой локальной машины...
А так часто приходится конфигурировать файрвол?
Конфигурирование файрволла - это всегда аварийная ситуация. Делать это
приходится редко, но готовым надо быть в любой момент. Причем задержка с
выполнением этой операции на несколько часов может стоить очень дорого.
Ну да, графическая утилита не имеет такой гибкости.
Но что нужно делать срочно? Например, дроп всех пакетов с заданного IP?
Какую дырку закрывать? Если появилась дырка, разве не придётся потом,
всё-равно
разбираться и штопать..?
Может, есть плюсы в наглядном представлении конфигурации (и настройке, когда
удобно и есть время), а быстро что-то прикрыть возможно через iptables, без
лишних скриптов?

Гм... Можете представить пример, когда конфигуратор будет нагляднее
чего-то такого:

for i in `seq 2 50 | grep -v 33`; do
iptables -A FORWARD -j DROP
done

А это вполне может быть в скрипте pre-up.

--
Stanislav

Re: Конфигуратор файрволла

2012-05-14 Пенетрантность Dmitry Nezhevenko

On Mon, May 14, 2012 at 05:05:44PM +0700, Ivan Shmakov wrote:
  Mikhail A Antonov b...@solarnet.ru writes:
   pre-up для lo.  Всё остальное для фаервола уже поздно.
 
   Разве ifup(8) гарантирует, что lo будет поднят до любого другого
   интерфейса?

   -a, --all
  If given to ifup, affect all interfaces marked auto.  Interfaces
  are brought up in  the  order  in  which  they  are  defined  in
  /etc/network/interfaces.  If given to ifdown, affect all defined
  interfaces.  Interfaces are brought down in the order  in  which
  they  are  currently  listed  in the state file. Only interfaces
  defined in /etc/network/interfaces will be brought down.

 То есть порядок обхода интерфейсов детерминирован.
-- 
 Eugene Berdnikov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120514101406.ga7...@protva.ru

Re: XML

On Mon, May 14, 2012 at 01:37:20PM +0400, Victor Wagner wrote:
 On 2012.05.14 at 15:43:54 +0700, Ivan Shmakov wrote:
 
Если человек использует где-либо формат, предназначенный не для
чтения, за исключением формата зашифрованных сообщений, его из
архитекторов надо гнать поганой метлой.
  
  Стоп.  А как же всенародно любимый JPEG?
 
 Сравните с XPM

И gzip-ом его, gzip-ом ;)
 
-- 
WBR, Dmitry


signature.asc
Description: Digital signature

Re: Конфигуратор файрволла

14.05.2012 14:27, Stanislav Vlasov пишет:
14 мая 2012 г., 16:17 пользователь Артём Н. artio...@yandex.ru написал:
Корпоративные рабочие станции, я так думаю, конфигурируются
централизованно.
Конфигурировать СВОЮ машину, сидя за клавиатурой корпоративной рабочей
станции. Зайти по ssh я оттуда могу, а запустить там левую GUI-приблуду
- нет.
Тьфу, что-то я вчера не въехал.
С другой стороны... На рабочей станции, вероятно стоит не windows и там есть
X,
т.е. ssh -X, а графическая фенечка будет запускаться на сервере?

Э... Найдите работающие иксы для андроида, пожалуйста.
Не сталкивался с андроидом, но пожалуйста:
http://code.google.com/p/android-xserver/
:-) Насчёт того, рабочие ли, не знаю.

Да еще чтоб по нашим gprs (нет, не 3g) могли нормально работать.
Последние два месяца моя удалённая работа - как раз с андроида.
ssh, в основном.
И иногда - rdp. Очень иногда, ибо жутко неудобно и медленно (по
интерфейсным причинам медленно, в основном).
Понятно. В случае медленного соединения и постоянной работы с телефона (ну или
что там ещё бывает?), вероятно, вариант с GUI непригоден.

Гм... Можете представить пример, когда конфигуратор будет нагляднее
чего-то такого:

for i in `seq 2 50 | grep -v 33`; do
iptables -A FORWARD -j DROP
done

А это вполне может быть в скрипте pre-up.
1. Три строчки кода.
print Heil, Welt!\n;
тоже наглядно. :-\ Но это не означает того, что любой скрипт, написанный на этом
языке, в целом не может быть сложен для понимания.
2. Вообще непонятно, что делает этот кусок, без контекста. Возможно додумать,
что он запрещает форвард каким-то IP из подсети, кроме, содержащего 33,
например. Но без контекста, - это всё догадки. Сейчас он просто добавляет много
47 одинаковых правил в FORWARD. Так что это?
3. Пример приводил. Я считаю, что fwbuilder - нагляднее.

Re: Конфигуратор файрволла

14 мая 2012 г., 17:01 пользователь Артём Н. artio...@yandex.ru написал:

станции. Зайти по ssh я оттуда могу, а запустить там левую GUI-приблуду
- нет.
т.е. ssh -X, а графическая фенечка будет запускаться на сервере?
Э... Найдите работающие иксы для андроида, пожалуйста.
Не сталкивался с андроидом, но пожалуйста:
http://code.google.com/p/android-xserver/
:-) Насчёт того, рабочие ли, не знаю.

Issue 1:Most X applications crash on start-up

Планшет с 10-дюймовым экраном 1280x800 с 3g-модулем (работоспособность
3g очень сильно зависит от места).
Пару месяцев пришлось только его дома иметь, пока ноут не починил.

Ну да, графическая утилита не имеет такой гибкости.
Но что нужно делать срочно? Например, дроп всех пакетов с заданного IP?
Какую дырку закрывать? Если появилась дырка, разве не придётся потом,
всё-равно
разбираться и штопать..?
Может, есть плюсы в наглядном представлении конфигурации (и настройке, когда
удобно и есть время), а быстро что-то прикрыть возможно через iptables, без
лишних скриптов?
Гм... Можете представить пример, когда конфигуратор будет нагляднее
чего-то такого:
for i in `seq 2 50 | grep -v 33`; do
iptables -A FORWARD -j DROP
done

Это уже - культура написания. И внешний вид списка правил в гуях тоже
может быть сложен для понимания, особенно, если на экран не влазит.

2. Вообще непонятно, что делает этот кусок, без контекста. Возможно додумать,
что он запрещает форвард каким-то IP из подсети, кроме, содержащего 33,
например. Но без контекста, - это всё догадки. Сейчас он просто добавляет
много
47 одинаковых правил в FORWARD. Так что это?

Тут прошу прощения, поторопился.
Надо было iptables -A FORWARD -s 111.222.111.$i -j DROP

3. Пример приводил. Я считаю, что fwbuilder - нагляднее.

Почитал на него документацию. Без мыши неработоспособен, ибо на том же
андроиде с его тачскрином драг-н-дроп не то чтобы совсем невозможен -
неудобен настолько, что им нельзя пользоваться.

--
Stanislav

Re: debian + hostapd + pptp = pptp random disconnect

Хм, собственно вот, но... ((

cat /var/log/messages | grep pppd
May 14 13:30:46 debian pppd[11352]: Modem hangup
May 14 13:30:46 debian pppd[11352]: Connect time 4.6 minutes.
May 14 13:30:46 debian pppd[11352]: Sent 34894 bytes, received 61693 bytes.
May 14 13:30:47 debian pppd[11352]: Connection terminated.
May 14 13:30:48 debian pppd[11352]: Using interface ppp0
May 14 13:30:48 debian pppd[11352]: Connect: ppp0 -- /dev/pts/0
May 14 13:30:56 debian pppd[11352]: CHAP authentication succeeded: Welcome.
May 14 13:30:56 debian pppd[11352]: CHAP authentication succeeded
May 14 13:30:56 debian pppd[11352]: local  IP address 80.242.110.65
May 14 13:30:56 debian pppd[11352]: remote IP address 195.66.139.28

tcpdump -i eth0 tcp port 1723
13:29:30.676173 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
[P.], seq 4103653949:4103653965, ack 4202577046, win 3650, options
[nop,nop,TS val 32806508 ecr 654449703], length 16: pptp
CTRL_MSGTYPE=ECHORQ ID(3)
13:29:55.662113 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
[P.], seq 0:16, ack 1, win 3650, options [nop,nop,TS val 32811781 ecr
654449703], length 16: pptp CTRL_MSGTYPE=ECHORQ ID(3)
13:29:55.662446 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
[.], ack 16, win 62, options [nop,nop,TS val 654458202 ecr
32811781,nop,nop,sack 1 {0:16}], length 0
13:29:55.739219 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
[P.], seq 1:21, ack 16, win 62, options [nop,nop,TS val 654458210 ecr
32811781], length 20: pptp CTRL_MSGTYPE=ECHORP ID(3) RESULT_CODE(1)
ERR_CODE(0)
13:29:55.739405 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
[.], ack 21, win 3650, options [nop,nop,TS val 32812773 ecr
654458210], length 0
13:30:46.979768 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
[F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463334 ecr
32812773], length 0
13:30:46.980456 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
[P.], seq 16:32, ack 22, win 3650, options [nop,nop,TS val 32825584
ecr 654463334], length 16: pptp CTRL_MSGTYPE=CCRQ CALL_ID(0)
13:30:46.981123 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
[F.], seq 32, ack 22, win 3650, options [nop,nop,TS val 32825584 ecr
654463334], length 0
13:30:47.188552 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
[F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463355 ecr
32812773], length 0
13:30:47.188877 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
[.], ack 22, win 3650, options [nop,nop,TS val 32825636 ecr
654463355,nop,nop,sack 1 {21:22}], length 0
13:30:47.608535 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
[F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463397 ecr
32812773], length 0
13:30:47.608775 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
[.], ack 22, win 3650, options [nop,nop,TS val 32825741 ecr
654463397,nop,nop,sack 1 {21:22}], length 0
13:30:48.448503 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
[F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463481 ecr
32812773], length 0
13:30:50.128529 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
[F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463649 ecr
32812773], length 0
13:30:53.498452 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
[F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463986 ecr
32812773], length 0
13:30:55.665424 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
[.], ack 22, win 3650, options [nop,nop,TS val 32825951 ecr
654463481,nop,nop,sack 1 {21:22}], length 0
13:30:55.665534 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
[R], seq 4202577067, win 0, length 0
13:30:55.665542 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
[R], seq 4202577067, win 0, length 0
13:30:55.665564 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
[R], seq 4202577067, win 0, length 0
13:30:55.665572 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
[R], seq 4202577067, win 0, length 0
13:30:55.666073 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
[R], seq 4202577067, win 0, length 0
13:30:55.666464 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
[.], ack 22, win 3650, options [nop,nop,TS val 32826371 ecr
654463649,nop,nop,sack 1 {21:22}], length 0
13:30:55.74 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
[R], seq 4202577067, win 0, length 0
13:30:55.667079 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
[.], ack 22, win 3650, options [nop,nop,TS val 32827213 ecr
654463986,nop,nop,sack 1 {21:22}], length 0
13:30:55.667305 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
[R], seq 4202577067, win 0, length 0
13:30:55.705798 IP 192.168.120.184.59274  192.168.117.208.1723: Flags
[S], seq 497417327, win 14600, options [mss 1460,sackOK,TS val
32827755 ecr 0,nop,wscale 2], length 0
13:30:55.706265 IP 192.168.117.208.1723  192.168.120.184.59274: Flags
[S.], seq 1377554967, ack 497417328, win 5792, options [mss
1460,sackOK,TS val 1232785412 ecr 32827755,nop,wscale 7], length 0

Re: Конфигуратор файрволла

Ну да, графическая утилита не имеет такой гибкости.
Но что нужно делать срочно? Например, дроп всех пакетов с заданного IP?
Какую дырку закрывать? Если появилась дырка, разве не придётся потом,
всё-равно
разбираться и штопать..?
Может, есть плюсы в наглядном представлении конфигурации (и настройке,
когда
удобно и есть время), а быстро что-то прикрыть возможно через iptables, без
лишних скриптов?
Гм... Можете представить пример, когда конфигуратор будет нагляднее
чего-то такого:
for i in `seq 2 50 | grep -v 33`; do
iptables -A FORWARD -j DROP
done

А это вполне может быть в скрипте pre-up.
1. Три строчки кода.
print Heil, Welt!\n;
тоже наглядно. :-\ Но это не означает того, что любой скрипт, написанный на
этом
языке, в целом не может быть сложен для понимания.
Это уже - культура написания. И внешний вид списка правил в гуях тоже
может быть сложен для понимания, особенно, если на экран не влазит.
Это ещё и используемые алгоритмы, решаемые задачи, архитектура и ещё 100500
вещей. Если бы командные языки были нагляднее и удобнее, чем GUI, то GUI бы,
наверное, не было?

3. Пример приводил. Я считаю, что fwbuilder - нагляднее.
Почитал на него документацию. Без мыши неработоспособен, ибо на том же
андроиде с его тачскрином драг-н-дроп не то чтобы совсем невозможен -
неудобен настолько, что им нельзя пользоваться.
Да, д-н-д, там не попользуешься. Зато есть контекстное меню:
Скопировать-Вставить. :-)

Конструкция из трёх строк там выльется в несколько экранов правил.
Может быть оно и нагляднее, только если в трёх строках я вижу, что
адрес, оканчивающийся на 33 таки не блокируется здесь, то среди N
экранов можно и не углядеть.
Нет, отчего же? Вы можете дописать этот кусок в функцию, вызываемую при
окончании обработки правил.

P.S.:
Кстати, замечу, что вариант с добавлением большого количества правил, вероятно
не самый лучший, поскольку, как говорят, замедляет работу.
Тут вот:
http://doc.emergingthreats.net/bin/viewfile/Main/EmergingFirewallRules?rev=1;filename=emerging-ipset-update.pl.txt
есть скрипт, как раз для этого. Версия 2008-го использовала iptables. Текущая
использует ipset.

Re: Как узнать в каких источниках из /etc/apt/sources.list лежит пакет??

2012-05-14 Пенетрантность Dmitrii Kashin


Раз:
 $ for f in /var/cache/apt/apt-file/*.gz; do \
 if zcat $f | grep $PKG /dev/null; then \
   echo $f; \
 fi; \
   done

Два:
 $ zgrep -l $PKG /var/cache/apt/apt-file/*.gz 

Три:
 $ zgrep -lF -- $PKG /var/cache/apt/apt-file/*.gz 

Ребята, а мне все-таки интересно - почему вас так apt-cache policy не
устраивает? Вроде ж его уже даже советовали.

-- 
**
*  jabber:  free...@jabber.mipt.ru   *
*   Registered linux user #546240*
**


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/87ipfzt1u5@ws00.freehck.ru

Re: XML

2012-05-14 Пенетрантность Victor Wagner

On 2012.05.14 at 13:45:41 +0300, Dmitry Nezhevenko wrote:

 Стоп.  А как же всенародно любимый JPEG?
  
  Сравните с XPM
 
 И gzip-ом его, gzip-ом ;)

gzip по нынешнем временам слабоват-с. lzma или xz - вот это сжималки XXI
века.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120514120029.ga14...@wagner.pp.ru

Re: Конфигуратор файрволла

2012-05-14 Пенетрантность Artem Chuprina

Артём Н. - debian-russian@lists.debian.org @ Mon, 14 May 2012 15:45:40 +0400:

Гм... Можете представить пример, когда конфигуратор будет нагляднее
чего-то такого:
for i in `seq 2 50 | grep -v 33`; do
iptables -A FORWARD -j DROP
done

А это вполне может быть в скрипте pre-up.
1. Три строчки кода.
print Heil, Welt!\n;
тоже наглядно. :-\ Но это не означает того, что любой скрипт, написанный
на этом
языке, в целом не может быть сложен для понимания.
Это уже - культура написания. И внешний вид списка правил в гуях тоже
может быть сложен для понимания, особенно, если на экран не влазит.
АН Это ещё и используемые алгоритмы, решаемые задачи, архитектура и
АН ещё 100500 вещей. Если бы командные языки были нагляднее и удобнее,
АН чем GUI, то GUI бы, наверное, не было?

Понимаешь, все зависит от того, что тебе надо делать - работать или
изображать бурную деятельность. GUI сейчас в первую очередь
используются для второго, хотя придуманы для первого.

То есть сейчас, если я вижу гуй для конфигурации файрвола и тому
подобных задач (по сути - программирования, т.е. выдачи заданий
компьютеру), я почти уверен, что геморроя от попыток его использования
будет столько, что следует поискать другой инструмент. Потому что если
ты не можешь словами выразить то, чего хочешь, то ты все равно не
выразишь, а если можешь, то словами это сделать удобнее.

Гуй нужен для создания визуального представления для человека. Больше
ни для чего.

Re: debian + hostapd + pptp = pptp random disconnect

On Mon, May 14, 2012 at 02:13:26PM +0300, Gary Trotcko wrote:
 Хм, собственно вот, но... ((
 
 cat /var/log/messages | grep pppd
 May 14 13:30:46 debian pppd[11352]: Modem hangup
 May 14 13:30:46 debian pppd[11352]: Connect time 4.6 minutes.
 May 14 13:30:46 debian pppd[11352]: Sent 34894 bytes, received 61693 bytes.
 May 14 13:30:47 debian pppd[11352]: Connection terminated.
 May 14 13:30:48 debian pppd[11352]: Using interface ppp0
 May 14 13:30:48 debian pppd[11352]: Connect: ppp0 -- /dev/pts/0
 May 14 13:30:56 debian pppd[11352]: CHAP authentication succeeded: Welcome.
 May 14 13:30:56 debian pppd[11352]: CHAP authentication succeeded
 May 14 13:30:56 debian pppd[11352]: local  IP address 80.242.110.65
 May 14 13:30:56 debian pppd[11352]: remote IP address 195.66.139.28
 
 tcpdump -i eth0 tcp port 1723
 13:29:30.676173 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
 [P.], seq 4103653949:4103653965, ack 4202577046, win 3650, options
 [nop,nop,TS val 32806508 ecr 654449703], length 16: pptp
 CTRL_MSGTYPE=ECHORQ ID(3)
 13:29:55.662113 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
 [P.], seq 0:16, ack 1, win 3650, options [nop,nop,TS val 32811781 ecr
 654449703], length 16: pptp CTRL_MSGTYPE=ECHORQ ID(3)
 13:29:55.662446 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
 [.], ack 16, win 62, options [nop,nop,TS val 654458202 ecr
 32811781,nop,nop,sack 1 {0:16}], length 0
 13:29:55.739219 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
 [P.], seq 1:21, ack 16, win 62, options [nop,nop,TS val 654458210 ecr
 32811781], length 20: pptp CTRL_MSGTYPE=ECHORP ID(3) RESULT_CODE(1)
 ERR_CODE(0)
 13:29:55.739405 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
 [.], ack 21, win 3650, options [nop,nop,TS val 32812773 ecr
 654458210], length 0

 13:30:46.979768 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
 [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463334 ecr
 32812773], length 0

 Собственно, содержательная часть начинается с этого FINa (последний пакет).
 Сервер закрыл коннекцию без видимых причин. Отправляйте этот дамп
 провайдеру в качестве рекламации (желательно добавить ещё -vv -s0)
 и спрашивайте, какого чёрта так происходит.

 13:30:46.980456 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
 [P.], seq 16:32, ack 22, win 3650, options [nop,nop,TS val 32825584
 ecr 654463334], length 16: pptp CTRL_MSGTYPE=CCRQ CALL_ID(0)
 13:30:46.981123 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
 [F.], seq 32, ack 22, win 3650, options [nop,nop,TS val 32825584 ecr
 654463334], length 0
 13:30:47.188552 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
 [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463355 ecr
 32812773], length 0
 13:30:47.188877 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
 [.], ack 22, win 3650, options [nop,nop,TS val 32825636 ecr
 654463355,nop,nop,sack 1 {21:22}], length 0
 13:30:47.608535 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
 [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463397 ecr
 32812773], length 0
 13:30:47.608775 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
 [.], ack 22, win 3650, options [nop,nop,TS val 32825741 ecr
 654463397,nop,nop,sack 1 {21:22}], length 0
 13:30:48.448503 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
 [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463481 ecr
 32812773], length 0
 13:30:50.128529 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
 [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463649 ecr
 32812773], length 0
 13:30:53.498452 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
 [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463986 ecr
 32812773], length 0

 Судя по пачке FINов от сервера, для которых нет никаких видимых на
 стороне клиента причин (т.е. отправленных от 192.168.120.184 на сервер
 пакетов), а также по аналогичной пачке RST ниже, похоже, что какой-то
 промежуточный узел активно закрывает коннекцию от имени клиента.
 То есть соединения портятся злоумышленником, в качестве которого может
 выступать прослушивающий соединения мониторинговый софт. Есть вирусы,
 пытающиеся перехватывать трафик для поиска адресов e-mail, паролей
 и прочего, они иногда так глючат.

 13:30:55.665424 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
 [.], ack 22, win 3650, options [nop,nop,TS val 32825951 ecr
 654463481,nop,nop,sack 1 {21:22}], length 0
 13:30:55.665534 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
 [R], seq 4202577067, win 0, length 0
 13:30:55.665542 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
 [R], seq 4202577067, win 0, length 0
 13:30:55.665564 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
 [R], seq 4202577067, win 0, length 0
 13:30:55.665572 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
 [R], seq 4202577067, win 0, length 0
 13:30:55.666073 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
 [R], seq 4202577067, win 0, length 0
-- 
 Eugene

Re: debian + hostapd + pptp = pptp random disconnect

Мммм  Но почему при _выключенном_hostapd_ сессия на рвётся? Начать
разбираться с провайдером можно было бы, но дело в том что он, мягко
говоря, не приветствует подобные вещи (роутеры и пр.), у них политика
такая  - 1 канал на 1 хост. Хочешь больше, подключай ещё 1 кабель.

-- 
Best Regards,
Gary Trotcko

Re: Конфигуратор файрволла

2012-05-14 Пенетрантность Andrey Melnikoff

14.05.2012 16:40, Artem Chuprina пишет:
Артём Н. - debian-russian@lists.debian.org @ Mon, 14 May 2012 15:45:40
+0400:

А это вполне может быть в скрипте pre-up.
1. Три строчки кода.
print Heil, Welt!\n;
тоже наглядно. :-\ Но это не означает того, что любой скрипт, написанный
на этом
языке, в целом не может быть сложен для понимания.
Это уже - культура написания. И внешний вид списка правил в гуях тоже
может быть сложен для понимания, особенно, если на экран не влазит.
АН Это ещё и используемые алгоритмы, решаемые задачи, архитектура и
АН ещё 100500 вещей. Если бы командные языки были нагляднее и удобнее,
АН чем GUI, то GUI бы, наверное, не было?

То есть сейчас, если я вижу гуй для конфигурации файрвола и тому
подобных задач (по сути - программирования, т.е. выдачи заданий
компьютеру), я почти уверен, что геморроя от попыток его использования
будет столько, что следует поискать другой инструмент.
Ну, в данном случае, никакого геморроя нет:
1. Хранится файлик с настройками правил для GUI.
2. Подгружается сгенерированный скрипт.
3. Если надо добавить/убавить - три клика мышкой, всё обновляется автоматически.

Потому что если
ты не можешь словами выразить то, чего хочешь, то ты все равно не
выразишь
В частном случае, согласен.

а если можешь, то словами это сделать удобнее.
Не всегда. Прописать длинное правило дольше, менее наглядно, сложнее (больше
всего надо помнить и вспоминать), чем использовать GUI, а вероятность допустить
ошибку выше.
Блин, я себе представил платёжный терминал с консолью... Интересно, много народу
будут им пользоваться, даже при наличии простых команд и инструкции? :-)

Гуй нужен для создания визуального представления для человека. Больше
ни для чего.
Ага. Вот этот ГУЙ, как-раз только эту задачу и выполняет. Это и нравится.
Кстати, CLI тоже нужен только для взаимодействия с человеком.

Re: dovecot before maildir create script

Artem Chuprina r...@ran.pp.ru wrote:
Alexander GQ Gerasiov - debian-russian@lists.debian.org @ Fri, 11 May 2012
00:15:53 +0400:

Коллеги, подскажите как прикрутить скрипт, который будет запускать до
создания imap каталога пользователя (при первом входе).
Писать обертку для login_executable как-то коряво...

Dovecot дистрибутивный из сквизи.

AGG Не совсем понимаю в чем смысл. Но мне кажется, что инициализация должна
AGG быть при попытки доставки (MDA), а не при доступе по имапу. У нас это
AGG делает maildrop и скрипт, который из него вызывается.

В типичном случае при заведении нового пользователя заход на почитать
случается раньше, чем первое письмо. Можно, конечно, при заведении
пользователя слать ему welcome message, но это костыль...
А дочитать документацию до плагина autocreate и прописать:
plugin {
autocreate = Trash
autocreate2 = Junk
autocreate3 = Sent
autocreate4 = Drafts
autosubscribe = Trash
autosubscribe2 = Junk
autosubscribe3 = Sent
autosubscribe4 = Drafts
}

компартия запретила?

Re: debian + hostapd + pptp = pptp random disconnect

On Mon, May 14, 2012 at 04:15:22PM +0300, Gary Trotcko wrote:
 Мммм  Но почему при _выключенном_hostapd_ сессия на рвётся?

 Это меня тоже занимало, продолжал чесать репу после того как
 написал последнее письмо. И нашёл признаки того, что у клиента
 поломан ip-шный стэк. Видно по этому фрагменту:

 13:29:55.739405 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
 [.], ack 21, win 3650, options [nop,nop,TS val 32812773 ecr
 654458210], length 0

 13:30:46.979768 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
 [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463334 ecr
 32812773], length 0

 13:30:46.980456 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
 [P.], seq 16:32, ack 22, win 3650, options [nop,nop,TS val 32825584
 ecr 654463334], length 16: pptp CTRL_MSGTYPE=CCRQ CALL_ID(0)

 Здесь такая нестыковка: после прихода от сервера пакета нулевой длины
 на клиенте счётчик байтов смещается на 1 (с ack=21 на ack=22).
 IMHO, это бага.

 Как реагирует на это ядро сервера -- неизвестно, но вполне вероятно,
 что оно начинает дропать все дальнейшие пакеты от клиента (которые
 выбежали за границу окна передачи), но при этом считать, что FIN остался
 без подтверждения. Если это так, то пачка FINов от сервера является
 простыми ретрансмиссиями первого, что похоже на правду, поскольку
 у них всех ecr=32812773.

 Ниже нашлась ещё одна фигня со строны клиента:

 13:30:47.188877 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
 [.], ack 22, win 3650, options [nop,nop,TS val 32825636 ecr
 654463355,nop,nop,sack 1 {21:22}], length 0

 Сочетание ack=22 и sack={21:22} нелепо, таких пакетов быть не должно.

 В общем, похоже что включение hostapd приводит к поломке ip-стэка.
 Правда, я всё-таки не вижу причину для первоначального FINа от сервера.
 Но дамп неполный, не исключено, что коннекция сломалась задолго до того,
 как был запущен tcpdump, и первый FIN -- окончание процесса умирания
 по таймауту. Тогда никакие злоумышленники не при чём, конечно. :)
-- 
 Eugene Berdnikov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120514141827.gc7...@protva.ru

Re: XML

Victor Wagner vi...@wagner.pp.ru writes:
On 2012.05.14 at 13:45:41 +0300, Dmitry Nezhevenko wrote:

Стоп. А как же всенародно любимый JPEG?

Сравните с XPM

И gzip-ом его, gzip-ом ;)

gzip по нынешнем временам слабоват-с. lzma или xz - вот это сжималки
XXI века.

Тем не менее, обе обеспечивают далеко не всегда необходимое
сжатие «без потерь», в отличие от.

(BTW, как запретить convert(1) выполнять квантование цвета при
преобразовании из JPEG в XPM?)

Чтение и, в особенности, запись — напомню, что для записи PNM
зачастую достаточно вызова fprintf () и fwrite (). (Чтение не
многим сложнее.) В отличие от.

Для включения изображений в интерпретируемый программный код —
Base64 работает вне зависимости от формата.

--cut: http://www.tcl.tk/man/tcl8.5/TkCmd/photo.htm --
-data string
Specifies the contents of the image as a string. The string
should contain binary data or, for some formats, base64-encoded
data (this is currently guaranteed to be supported for GIF
images). […]
--cut: http://www.tcl.tk/man/tcl8.5/TkCmd/photo.htm --

PS. Отдельно можно обсудить и удобство «читаемого» .dat (из
soxformat(7)), упакованного все теми же xz(1), lzma(1), etc., по
сравнению с Ogg Vorbis.

--
FSF associate member #7257 np. Childhood's End — Iron Maiden

Re: Конфигуратор файрволла

2012-05-14 Пенетрантность Victor Wagner

On 2012.05.14 at 17:41:24 +0400, Andrey Melnikoff wrote:

 Victor Wagner vi...@wagner.pp.ru wrote:
  Что народ порекомендует в качестве конфигуратора файрволла для 
  машины имеющей достижимый извне но не совсем статический (выдаваемый
  провайдером по DHCP) адрес, которая предоставляет некоторое количество
  сетевых сервисов (спасибо Dynamic DNS) и является гейтвеем домашней
  (квартирной) сетки (со стороны квартирной сетки должно быть разрешено
  больше, чем со стороны внешнего интерфейса)?
 
 arno-iptables-firewall, есть в поставке.
 
Ага, баг #325696 уже пофиксили, а из wiki  убрать забыли.

 -- 
 To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
 Archive: http://lists.debian.org/4le789-hi2@kenga.kmv.ru
 


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120514144048.ga17...@wagner.pp.ru

Re: Конфигуратор файрволла

2012-05-14 Пенетрантность Andrey Melnikoff

Артём Н artio...@yandex.ru writes:
14.05.2012 16:40, Artem Chuprina пишет:

[…]

Потому что если ты не можешь словами выразить то, чего хочешь, то ты
все равно не выразишь

В частном случае, согласен.

а если можешь, то словами это сделать удобнее.

Не всегда. Прописать длинное правило дольше, менее наглядно, сложнее
(больше всего надо помнить и вспоминать), чем использовать GUI, а
вероятность допустить ошибку выше.

Хм. Есть большая разница между « », « » и « ». Наглядно?

А если так: « », «nbsp;» и «ensp;»?

Блин, я себе представил платёжный терминал с консолью... Интересно,
много народу будут им пользоваться, даже при наличии простых команд и
инструкции? :-)

Любопытно, каково количество возможных команд (не считая
различия в параметрах), которое можно дать с такого терминала?

Гуй нужен для создания визуального представления для человека.
Больше ни для чего.

Ага. Вот этот ГУЙ, как-раз только эту задачу и выполняет. Это и
нравится. Кстати, CLI тоже нужен только для взаимодействия с
человеком.

Здесь речь не столько о GUI vs. CLI, сколько о «меню» vs. «язык
программирования.»

Основная проблема «типовых» GUI — невозможность «записать»
последовательность команд, отданных пользователем, для
последующего повторного использования. В тех же случаях, когда
такая возможность предоставляется (через определение
«макрокоманд»), записанную последовательность нередко нельзя
/параметризовать/.

Напротив, при использовании языков, производных от POSIX Shell,
все эти возможности, как правило, в наличии.

Впрочем, с учетом появления Ubuntu HUD, не исключено, что CLI
обретет «вторую жизнь» в рамках ныне существующей
«GUI-инфраструктуры.»

--
FSF associate member #7257 np. Swan Lake — Dark Moor

Re: debian + hostapd + pptp = pptp random disconnect

Gary Trotcko teego...@gmail.com wrote:
 Мммм  Но почему при _выключенном_hostapd_ сессия на рвётся? Начать
ifconfig и arp -an в момент разрыва покажи.

 разбираться с провайдером можно было бы, но дело в том что он, мягко
 говоря, не приветствует подобные вещи (роутеры и пр.), у них политика
 такая  - 1 канал на 1 хост. Хочешь больше, подключай ещё 1 кабель.
Голосовать деньгами надо от таких провайдеров. Ибо его не должно волновать,
сколько электрочайников с прочими книгочиталками сидят за твоим роутером.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/v9j789-dd3@kenga.kmv.ru

Re: debian + hostapd + pptp = pptp random disconnect

Извиняюсь, за ненарочно отправленные письма не в рассылку.

Re: debian + hostapd + pptp = pptp random disconnect

2012/5/14 Andrey Melnikoff temnota+n...@kmv.ru:
 Gary Trotcko teego...@gmail.com wrote:
 Мммм  Но почему при _выключенном_hostapd_ сессия на рвётся? Начать
 ifconfig и arp -an в момент разрыва покажи.
Пока работает...

 разбираться с провайдером можно было бы, но дело в том что он, мягко
 говоря, не приветствует подобные вещи (роутеры и пр.), у них политика
 такая  - 1 канал на 1 хост. Хочешь больше, подключай ещё 1 кабель.
 Голосовать деньгами надо от таких провайдеров. Ибо его не должно волновать,
 сколько электрочайников с прочими книгочиталками сидят за твоим роутером.
Надо, но бежать некуда. Город небольшой, а провайдер, по сути
локальный монополист.
-- 
Best Regards,
Gary Trotcko

Re: debian + hostapd + pptp = pptp random disconnect

2012/5/14 Eugene Berdnikov b...@protva.ru:
 On Mon, May 14, 2012 at 04:15:22PM +0300, Gary Trotcko wrote:
 Мммм  Но почему при _выключенном_hostapd_ сессия на рвётся?

  Это меня тоже занимало, продолжал чесать репу после того как
  написал последнее письмо. И нашёл признаки того, что у клиента
  поломан ip-шный стэк. Видно по этому фрагменту:

 13:29:55.739405 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
 [.], ack 21, win 3650, options [nop,nop,TS val 32812773 ecr
 654458210], length 0

 13:30:46.979768 IP 192.168.117.211.1723  192.168.120.184.56438: Flags
 [F.], seq 21, ack 16, win 62, options [nop,nop,TS val 654463334 ecr
 32812773], length 0

 13:30:46.980456 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
 [P.], seq 16:32, ack 22, win 3650, options [nop,nop,TS val 32825584
 ecr 654463334], length 16: pptp CTRL_MSGTYPE=CCRQ CALL_ID(0)

  Здесь такая нестыковка: после прихода от сервера пакета нулевой длины
  на клиенте счётчик байтов смещается на 1 (с ack=21 на ack=22).
  IMHO, это бага.

  Как реагирует на это ядро сервера -- неизвестно, но вполне вероятно,
  что оно начинает дропать все дальнейшие пакеты от клиента (которые
  выбежали за границу окна передачи), но при этом считать, что FIN остался
  без подтверждения. Если это так, то пачка FINов от сервера является
  простыми ретрансмиссиями первого, что похоже на правду, поскольку
  у них всех ecr=32812773.

  Ниже нашлась ещё одна фигня со строны клиента:

 13:30:47.188877 IP 192.168.120.184.56438  192.168.117.211.1723: Flags
 [.], ack 22, win 3650, options [nop,nop,TS val 32825636 ecr
 654463355,nop,nop,sack 1 {21:22}], length 0

  Сочетание ack=22 и sack={21:22} нелепо, таких пакетов быть не должно.

  В общем, похоже что включение hostapd приводит к поломке ip-стэка.
  Правда, я всё-таки не вижу причину для первоначального FINа от сервера.
  Но дамп неполный, не исключено, что коннекция сломалась задолго до того,
  как был запущен tcpdump, и первый FIN -- окончание процесса умирания
  по таймауту. Тогда никакие злоумышленники не при чём, конечно. :)

Приблизительно такую причину я и предполагал (эмпирически :)), Вот
решил поиграться с опциями pptp - обратил внимание что выключена
буферизация опцией --nobuffer. Запустил без неё - рабтает уже больше
4-х часов. Ждём-с...



-- 
Best Regards,
Gary Trotcko

Re: Конфигуратор файрволла

2012-05-14 Пенетрантность alexander barakin

14.05.2012 18:50, Ivan Shmakov пишет:

Хм. Есть большая разница между « », « » и « ». Наглядно?

А если так: « », «nbsp;» и «ensp;»?
Причём тут интерфейс?

Гуй нужен для создания визуального представления для человека.
Больше ни для чего.
Ага. Вот этот ГУЙ, как-раз только эту задачу и выполняет. Это и
нравится. Кстати, CLI тоже нужен только для взаимодействия с
человеком.

Здесь речь не столько о GUI vs. CLI, сколько о «меню» vs. «язык
программирования.»

Напротив, при использовании языков, производных от POSIX Shell,
все эти возможности, как правило, в наличии.
Это проблемы конкретного интерфейса. Нужен язык - достаточно встроить движок в
интерфейс.

Впрочем, с учетом появления Ubuntu HUD, не исключено, что CLI
обретет «вторую жизнь» в рамках ныне существующей
«GUI-инфраструктуры.»
o.O Фигасе. Посмотрел что такое. Ну стоит у меня ubiquity в iceweasel (в
репозитории увидел и решил посмотреть, что такое). Я даже помню, как он
вызывается, но не пользуюсь. Есть подозрение, что ихний HUD постигнет та же
учесть, что и десяток (или сотню?) подобных велосипедов.
На компутерре почитал про него. Вход-выход из консольного режима... Есть,
вообще, диалог запуска, плюс постоянно открытая консоль.
Меню хотят поменять. Зачем, если такая система почему-то устоялась и прижилась?
GUI развивается годов с 60-х (а об интерфейсах заботились ещё до появления
компьютеров), так что, эксперименты - это хорошо, но, вероятно, такое уже кто-то
сделал. У убунты, видимо, неплохой маркетинг. :-\

P.S.:
Эх, в общем, к теме это уже всё не относится.

Re: Список пакетов, установленных из конкретного репозитория.

On Mon, May 14, 2012 at 11:05:05PM +0400, Dmitrii Kashin wrote:
 
 Вопрос:
 Как получить список пакетов, установленных из конкретного репозитория?

google://aptitude search packages from one repo
первая ссылка:
http://superuser.com/questions/132346/find-packages-installed-from-a-certain-repository-with-aptitude
 

-- 
wbr, alexander barakin aka sash-kan.
-- 
i will be very thankful to you if you will use natural for the human order:
first question, then the answer.


signature.asc
Description: Digital signature

Re: Конфигуратор файрволла

2012-05-14 Пенетрантность Artem Chuprina

Артём Н. - debian-russian@lists.debian.org  @ Mon, 14 May 2012 21:22:01 +0400:

 АН Меню хотят поменять. Зачем, если такая система почему-то устоялась
 АН и прижилась?  GUI развивается годов с 60-х (а об интерфейсах
 АН заботились ещё до появления компьютеров), так что, эксперименты -
 АН это хорошо, но, вероятно, такое уже кто-то сделал.

Я немного интересуюсь этим вопросом.  На самом деле, экспериментов было
немало, только лемминги об их результатах не в курсе.  А наиболее
распространенным, как обычно, оказывается самый плохой из приемлемых.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/87bolqh7lv@wizzle.ran.pp.ru

Re: Список пакетов, установленных из конкретного репозитория.

2012-05-14 Пенетрантность Stanislav Maslovski

14.05.2012 23:05, Dmitrii Kashin пишет:
 
 Вопрос:
 Как получить список пакетов, установленных из конкретного репозитория?
 Сейчас подумал, что было бы неплохо поставить положительные пины
 пакетам, которые iceweasel утянул по зависимостям с репозитория
 squeeze-backports, но вдруг понял, что не знаю, как сформировать список
 пакетов, которые установлены с конкретного репозитория. Потыкался по
 манам dpkg/apt-cache, но сходу не нашел решения.
apt-show-versions -b | grep wheezy
Не это?


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4fb160ac.60...@yandex.ru

Re: Список пакетов, установленных из конкретного репозитория.

2012-05-14 Пенетрантность Dmitrii Kashin

alexander barakin a...@barak.in writes:
 On Mon, May 14, 2012 at 11:05:05PM +0400, Dmitrii Kashin wrote:
 Вопрос:
 Как получить список пакетов, установленных из конкретного репозитория?
 http://superuser.com/questions/132346/find-packages-installed-from-a-certain-repository-with-aptitude
  

Ух ты, как аптитуда искать, оказывается, умеет...
Большое спасибо! Буду пользоваться.

-- 
**
*  jabber:  free...@jabber.mipt.ru   *
*   Registered linux user #546240*
**


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/87zk9asbp3@ws00.freehck.ru

Re: Список пакетов, установленных из конкретного репозитория.

On Mon, May 14, 2012 at 11:05:05PM +0400, Dmitrii Kashin wrote:
 
 Вопрос:
 Как получить список пакетов, установленных из конкретного репозитория?
 
 Лирика:
 Недавно поставил iceweasel из бэкпортов. Конкретно - из репозитория
 mozilla.debian.net. Он требовал в обязательном порядке подключенный
 squeeze-backports, поэтому на время установки я поставил положительный
 пин для squeeze-backports. После установки iceweasel я поставил
 squeeze-backports отрицательный пин обратно, т.к. апгрейдить систему с
 бэкпортов желания не имею.
 
 Сейчас подумал, что было бы неплохо поставить положительные пины
 пакетам, которые iceweasel утянул по зависимостям с репозитория
 squeeze-backports, но вдруг понял, что не знаю, как сформировать список
 пакетов, которые установлены с конкретного репозитория. Потыкался по
 манам dpkg/apt-cache, но сходу не нашел решения.

apt-show-versions уже предлагали. Если не устраивает его вывод, может
быть устроит вот такой самописный скриптик (в аттаче). Запуск без
аргументов дает полный список. С аргументом(ами) - селективно по origin.

Пример:

% list-by-repo Unofficial Multimedia Packages

Origin: Unofficial Multimedia Packages

i   avidemux- Free video editor (GTK version).  
i A avidemux-common - Free video editor (Internationalization fi
i A avidemux-plugins- Free video editor (plugins).  
i A deb-multimedia-keyring  - GnuPG archive key of the deb-multimedia re
i   debian-multimedia-keyring   - transitional package to install deb-multim
i   gstreamer0.10-ffmpeg- FFmpeg plugin for GStreamer   
i   lame- LAME Ain't an MP3 Encoder 
i A libaften0   - audio AC3 encoder - runtime files 
i A libavformat53   - FFmpeg file format library.   
i A libavutil51 - FFmpeg avutil library - runtime files 
i   libdvdcss-dev   - Simple foundation for reading DVDs - devel
i A libdvdcss2  - Simple foundation for reading DVDs - runti
i   libfaac0- AAC audio encoder - library files.
i A libmjpegtools-2.0-0 - MJPEG video capture/editting/playback MPEG
i A libmp3lame0 - LAME Ain't an MP3 Encoder (shared library)
i A libpostproc52   - postproc shared libraries.
i A libswscale2 - FFmpeg video scaling library. 
i A libvlc5 - multimedia player and streamer library
i A libvlccore5 - base library for VLC and its modules  
i A libx264-124 - x264 video coding library 
i   libxvidcore-dev - High quality ISO MPEG4 codec library -- de
i A libxvidcore4- High quality ISO MPEG4 codec library  
i   mjpegtools  - MJPEG video capture/editting/playback MPEG
ih  mplayer - The Ultimate Movie Player 
i   vlc - multimedia player and streamer
i A vlc-data- Common data for VLC   
i A vlc-nox - multimedia player and streamer (without X 
* Total packages: 27

-- 
Stanislav
#!/bin/sh
# A trivial script to search for which packages are installed from which repo

LISTS=/var/lib/apt/lists
IFS='
'

if [ $1 ]; then
   echo $*
else
   grep -h Origin: $LISTS/*Release | cut -d' ' -f2- | uniq
fi | while read orgn; do
   echo 
   echo Origin: $orgn
   echo 
   command aptitude search ~i ~O\$orgn\ |\
awk 'BEGIN{c=0};{print;c++};END{print * Total packages:  c}'
done

Re: Конфигуратор файрволла