Re: firewall configuration tool
Firehol. Перепробовано много всего, он самый вменяемый, хорошая документация, легко настраивается. On Fri, 27 Aug 2010 10:24:34 +0300 Sohin Vyacheslaw philipz...@yandex.ua wrote: Добрый день, посоветуйте, плз сабж, желательно консольный (максимум ncursed) - надстройку над iptables Best wishes, Сохин Вячеслав -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c776832.60...@yandex.ua -- Роман Кисилев kisi...@kunpp.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100830101930.f0071ed6.kisi...@kunpp.ru
Re: firewall configuration tool
shorewall подойдёт? 27 августа 2010 г. 11:24 пользователь Sohin Vyacheslaw philipz...@yandex.ua написал: Добрый день, посоветуйте, плз сабж, желательно консольный (максимум ncursed) - надстройку над iptables Best wishes, Сохин Вячеслав -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c776832.60...@yandex.ua -- Best regards, Valery Mamonov.
Re: firewall configuration tool
Valery Mamonov пишет: shorewall подойдёт? maybe... проюзаю... а из $ apt-cache search firewall|grep iptables arno-iptables-firewall - single- and multi-homed firewall script with DSL/ADSL support firehol - An easy to use but powerful iptables stateful firewall ipkungfu - iptables-based Linux firewall iptstate - Top-like state for netfilter/iptables libiptables-parse-perl - Perl extension for parsing iptables firewall rulesets uif - Advanced iptables-firewall script uruk - Very small firewall script, for configuring iptables kmyfirewall - утилита для настройки межсетевого экрана iptables (KDE) альтернативы порядочные присутствуют: Best wishes, Сохин Вячеслав -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c776ca3.1050...@yandex.ua
Re: firewall configuration tool
2010/8/27 Sohin Vyacheslaw philipz...@yandex.ua: Valery Mamonov пишет: shorewall подойдёт? arno-iptables-firewall - single- and multi-homed firewall script with +1 за arno поскольку уже давненько использую и больше всего понравился простотой и безглюченностью. sudo dpkg-reconfigure arno-iptables-firewall для настройки. Из плюсов - можно НАТ. Из минусов - запреты на исходящие соединения и соединения с внутренней сетью не настраивает.
Re: Firewall script choice
On Fri, May 30, 2003 at 06:20:43AM +0400, Vlad wrote: Hello debian-russian, Выбираю скрипт для управления firewall. Что от него нужно, помимо фильтрации - редирект/маскарад портов, адресов, желательно шейпер и считалка. Сейчас смотрю на shorewall. На что еще стоит посмотреть? имхо на /dev/hands и обложившись доками написать, это будет лучше и для твоего случая и для самообразования :) -- Sova aka Ilya S. SapytskyDon't worry, be happy!
Re: Firewall script choice
On Fri, May 30, 2003 at 06:20:43AM +0400, Vlad wrote: Hello debian-russian, Выбираю скрипт для управления firewall. Что от него нужно, помимо фильтрации - редирект/маскарад портов, адресов, желательно шейпер и считалка. Сейчас смотрю на shorewall. На что еще стоит посмотреть? man iptables -- Best regards, Vlad mailto:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Gerasimov Dmitry e-mail: matrix AT podlipki DOT ru pgpoZEg58QMyq.pgp Description: PGP signature
Re: Firewall script choice
Ilya S. Sapytsky wrote: On Fri, May 30, 2003 at 06:20:43AM +0400, Vlad wrote: Hello debian-russian, Выбираю скрипт для управления firewall. Что от него нужно, помимо фильтрации - редирект/маскарад портов, адресов, желательно шейпер и считалка. Сейчас смотрю на shorewall. На что еще стоит посмотреть? имхо на /dev/hands и обложившись доками написать, это будет лучше и для твоего случая и для самообразования :) -- Sova aka Ilya S. SapytskyDon't worry, be happy! наш админ использует shorewall и доволен им.
Re: firewall
On Mon, Nov 18, 2002 at 01:12:26PM +0300, [EMAIL PROTECTED] wrote: Какой их файрволлов в debian наиболее мощный? Нужен скрипт, позволяющий forwarding/masq/redirect, по типу SuSEfirewall2 тебе файрвол или систему управления им? файрвол он в ядре. -- A: No Q: Should I quote below my post? Good luck! /AKA Druid
Re: Firewall/proxy memory requirements
Добрый день, 14 марта 2002 г., 17:35:55, Вы писали: Есть сервачок, на котором пашет некий набор сервисов (почта, лдапы, мискли, веб, и т.д.). Загрузка CPU -- порядка 10-15%. Однако, планируется за него (firewall/proxy -- iptables+squid) перевести десятка три-пять машинок. Вопрос: хватит ли памяти? VW Выше крыши. У меня сейчас за моей домашней машиной пять десятков VW машин сидят. Плюс три юзера локально. Памяти 192. А как с нагрузкой на CPU? А то у меня проблема сейчас с этим: начиная с утра (приход сотрудников на работу, штук 30) нагрузка возрастает до 100% и не опускается пока не перегрузишь squid. Потом до следующего рабочего дня... Началось буквально 2 недели назад, ничего не менял. Potato: PIII-733, памяти 256Мб, squid 2.4.4, kernel 2.2.19, ncsa-авторизация (5 процессов, из них только два жрут CPU, остальные нормально) Занятость CPU по TOP: 35% - squid 32% - ncsa_auth 30% - ncsa_auth PS думал кэш испортился - удалил и создал по новой - не помогло... -- Александр Охотников
Re: Firewall/proxy memory requirements
On Fri, Mar 15, 2002 at 10:41:02AM +0400, Ohotnikov A.N. wrote: А как с нагрузкой на CPU? А то у меня проблема сейчас с этим: начиная с утра (приход сотрудников на работу, штук 30) нагрузка возрастает до 100% и не опускается пока не перегрузишь squid. Потом до следующего рабочего дня... Началось буквально 2 недели назад, ничего не менял. Potato: PIII-733, памяти 256Мб, squid 2.4.4, kernel 2.2.19, ncsa-авторизация (5 процессов, из них только два жрут CPU, остальные нормально) Занятость CPU по TOP: 35% - squid 32% - ncsa_auth 30% - ncsa_auth А чего так много последние два? PS думал кэш испортился - удалил и создал по новой - не помогло... Я только swap.state сносил, раньше, до 2.4.*. Кстати вроде же 2.4.4 не так давно объявили. Может у вас DMA оторвали у IDE? -- Best regards, Sergey Chumakov 2:450/77[.43]
Re: Firewall/proxy memory requirements
On Fri, 15 Mar 2002, Ohotnikov A.N. wrote: А как с нагрузкой на CPU? Мне хватает того что остается от двух несчастных PII-233, чтобы фильмы смотреть. Правда, у меня наружу канал толстый, поэтому сквида с авторизацией не держу. Но чтобы 256 мб RAM и 733 MHz не хватало для поддержки proxy для 30-50 пользователей?!! У меня во время оно 10-15 человек на 486 с 16Мб проксились. А то у меня проблема сейчас с этим: начиная с утра (приход сотрудников на работу, штук 30) нагрузка возрастает до 100% и не опускается пока не Эти процессы явно busy wait делают. Глюка в них какая-то. Нужна ли тебе эта auth? Может ее оторвать нафиг - всем проще будет - и тебе и юзерам. И еще - а тебе жалко эти 100% загрузки? Если throughput и response time от этого не страдают, то какая разница сколько попугаев показывает top? -- Victor Wagner [EMAIL PROTECTED] Chief Technical Officer Office:7-(095)-748-53-88 Communiware.Net Home: 7-(095)-135-46-61 http://www.communiware.net http://www.ice.ru/~vitus
Re: Firewall/proxy memory requirements
А как с нагрузкой на CPU? А то у меня проблема сейчас с этим: начиная с утра (приход сотрудников на работу, штук 30) нагрузка возрастает до 100% и не опускается пока не перегрузишь squid. Потом до следующего рабочего дня... Началось буквально 2 недели назад, ничего не менял. Potato: PIII-733, памяти 256Мб, squid 2.4.4, kernel 2.2.19, ncsa-авторизация (5 процессов, из них только два жрут CPU, остальные нормально) Занятость CPU по TOP: 35% - squid 32% - ncsa_auth 30% - ncsa_auth ... Правда, у меня наружу канал толстый, поэтому сквида с авторизацией не держу. Но чтобы 256 мб RAM и 733 MHz не хватало для поддержки proxy для 30-50 пользователей?!! У меня во время оно 10-15 человек на 486 с 16Мб проксились. Наверно надо брать отвертку и напильник и расковыривать софт. Странно как-то это все выглядит. Мало того, добавлю: на P-133/32MB в одно время давным давно тому назад (года с два где-то) у меня жили где-то сотни с 2 юзеров и порядка столько же рабочих станций: sendmail, squid (с nsca-аутентификацией), popa3d, named, dhcpd, samba (шары, браузинг) + соединение нескольких подсетей (в смысле - маршрутизация пакетов). Что навскидку вспомню - база: RH-какой-то там очень старенький. 4.x или 5.x, ядро 2.1.132, sendmail-8.9.3, bind-8.2.3. Одновременно, разумеется, они все не ходили (уж так, чтобы секунда в секунду), но на всех хватало. Человек с пару десятков одновременно через сквиду сидели и на торможения не жаловались. -- With Best Regards, Denis A. Kulgeyko DK666-UANIC e-mail: [EMAIL PROTECTED] ICQ: 81607525 SMS: [EMAIL PROTECTED] -- UNIXes ... they are VERY friendly. But .. they chooses their friends VERY carefully ... :) ^]:wq!
Re: Firewall/proxy memory requirements
On Fri, Mar 15, 2002 at 02:27:12PM +0400, Ohotnikov A.N. wrote: Занятость CPU по TOP: 35% - squid 32% - ncsa_auth 30% - ncsa_auth SC А чего так много последние два? Знал бы - исправил бы ;) SC Я только swap.state сносил, раньше, до 2.4.*. Кстати вроде же 2.4.4 SC не так давно объявили. Это я уже от такой жизни начал пробовать новое :( SC Может у вас DMA оторвали у IDE? Нет (як было ATA100 так и осталось) А оторвать auth на время не пробовали, вообще отрывать по очереди или от максимума, начиная с ICP, логов и заканчивая delay_pool и SNMP. Иногда правда полезно сделать перерыв :) -- Best regards, Sergey Chumakov 2:450/77[.43]
Re: Firewall/proxy memory requirements
On Fri, Mar 15, 2002 at 10:41:02AM +0400, Ohotnikov A.N. wrote: Занятость CPU по TOP: 35% - squid 32% - ncsa_auth 30% - ncsa_auth Не верь показаниям top. Похоже в 2.4 что-то в /proc поломали и всем пофиг. -- Denis.
Re: Firewall/proxy memory requirements
On Thu, 14 Mar 2002 14:28:21 +0300 Ingvarr Zhmakin [EMAIL PROTECTED] wrote: IZ Доброго утра. IZ IZ Есть сервачок, на котором пашет некий набор сервисов (почта, лдапы, IZ мискли, веб, и т.д.). IZ Конфигурация: Celeron 800 + 256 Mb, ядро 2.4.18. IZ IZ Сейчас памяти ему хватает, свап трогает слабо. IZ Загрузка CPU -- порядка 10-15%. IZ IZ Однако, планируется за него (firewall/proxy -- iptables+squid) IZ перевести десятка три-пять машинок. squid -у нужна память, на то он и прокси-сервер. Если будет лежать в свапе, эфективность будет низкой. -- Tim Tereschenko
Re: Firewall/proxy memory requirements
On Thu, 14 Mar 2002 14:28:21 +0300 Ingvarr Zhmakin [EMAIL PROTECTED] wrote: IZ Есть сервачок, на котором пашет некий набор сервисов (почта, лдапы, IZ мискли, веб, и т.д.). IZ Конфигурация: Celeron 800 + 256 Mb, ядро 2.4.18. IZ Сейчас памяти ему хватает, свап трогает слабо. IZ Загрузка CPU -- порядка 10-15%. IZ Однако, планируется за него (firewall/proxy -- iptables+squid) IZ перевести десятка три-пять машинок. IZ Вопрос: хватит ли памяти? Должно хватить. iptables - вообще нетребовательная штучка (потому что ipchains точно нетребовательная). Для squid'a объем используемой памяти зависит _в_основном_ от размера кэша, а не от нагрузки. ЗЫ. Давно хотел тебя спросить: Ингварр - это ведь не настоящее имя, правда? В смысле, в паспорте другое? Или настоящее но очень экзотическое?
Re: Firewall/proxy memory requirements
On Thu, 14 Mar 2002, Ingvarr Zhmakin wrote: From: Ingvarr Zhmakin [EMAIL PROTECTED] Subject: Firewall/proxy memory requirements Доброго утра. Есть сервачок, на котором пашет некий набор сервисов (почта, лдапы, мискли, веб, и т.д.). Конфигурация: Celeron 800 + 256 Mb, ядро 2.4.18. Сейчас памяти ему хватает, свап трогает слабо. Загрузка CPU -- порядка 10-15%. Однако, планируется за него (firewall/proxy -- iptables+squid) перевести десятка три-пять машинок. Вопрос: хватит ли памяти? Выше крыши. У меня сейчас за моей домашней машиной пять десятков машин сидят. Плюс три юзера локально. Памяти 192. // предыстория: появились деньги на апгрейд -- неясно, добивать ли // память или заменить сетевухи на нормальные... Ingvarr. -- Victor Wagner [EMAIL PROTECTED] Chief Technical Officer Office:7-(095)-748-53-88 Communiware.Net Home: 7-(095)-135-46-61 http://www.communiware.net http://www.ice.ru/~vitus
Re: Firewall/proxy memory requirements
Вопрос: хватит ли памяти? // предыстория: появились деньги на апгрейд -- неясно, добивать ли // память или заменить сетевухи на нормальные... Я бы для начала поставил нормальные сетевухи. 50 активных пользователей -- это уже мало-мальски существенно. А что касается памяти -- так у меня и на 128mb все прилично работало (правда, на OpenBSD, но это не важно :) Примерно это и хотелось услышать. :-) Спасибо. Ingvarr.
Re: Firewall testing
On Wed, 19 Dec 2001 10:56:19 +0300 Ingvarr Zhmakin [EMAIL PROTECTED] wrote: Чем бы потестировать сервер на уязвимость? Нашел nessus и saint. Катит? Еще. Кто-нибудь может сказать что-то плохое про nmap? На счет этих ничего сказать не могу - не пользовался, но рискну предложить очень неплохой сканер уязвимостей Xspider. Его основной недостаток в том что он под windows. Зато по найденной уязвимости он может показать чем она грозит и предложить ссылку где об этой уязвимости можно почитать. URL: www.xspider.net.ru
Re: Firewall testing
On Wed, Dec 19, 2001 at 03:37:52PM +0300, Roman Kovalenko wrote: Чем бы потестировать сервер на уязвимость? Нашел nessus и saint. Катит? Еще. Кто-нибудь может сказать что-то плохое про nmap? На счет этих ничего сказать не могу - не пользовался, но рискну предложить очень неплохой сканер уязвимостей Xspider. Его основной недостаток в том что он под windows. Зато по найденной уязвимости он может показать чем она грозит и предложить ссылку где об этой уязвимости можно почитать. Спасибо. То, что под винды -- даже лучше. Ingvarr.
Re: Firewall testing
a) Have you done a manual audit of this server already (Securing Debian HOWTO and etc)? b) The only proble with nmap is RTFM: too many options. But there is a GUI in recent versions (?xnmap). c) Nessus by default uses nmap ... d) When was the SAINT updated last time? --- Ingvarr Zhmakin [EMAIL PROTECTED] wrote: þÅÍ ÂÙ ÐÏÔÅÓÔÉÒÏ×ÁÔØ ÓÅÒ×ÅÒ ÎÁ ÕÑÚ×ÉÍÏÓÔØ? îÁÛÅÌ nessus É saint. ëÁÔÉÔ? åÝÅ. ëÔÏ-ÎÉÂÕÄØ ÍÏÖÅÔ ÓËÁÚÁÔØ ÞÔÏ-ÔÏ ÐÌÏÈÏÅ ÐÒÏ nmap? __ Do You Yahoo!? Check out Yahoo! Shopping and Yahoo! Auctions for all of your unique holiday gifts! Buy at http://shopping.yahoo.com or bid at http://auctions.yahoo.com
Re: Firewall testing
Ingvarr Zhmakin wrote: Доброго утра. Чем бы потестировать сервер на уязвимость? Нашел nessus и saint. Катит? Еще. Кто-нибудь может сказать что-то плохое про nmap? Ingvarr. С Saint я толком не разобрался, но меня не впечатлило. Nessus штука не плохая, пытается протестить на известные дырки во всем, что только бывает. Но это конечно не панацея, так поиграть с ним можно. Про nmap только хорошее, если сканить _свою_ сеть ;) . Лучше сканера портов я не видел. GUI к нему кстати называется nmapfe.
Re: firewall
Привет, коллеги. On Sun, Jul 22, 2001 at 02:48:14PM +0400, Victor Wagner wrote: Советую посмотреть на file-rc Слегка усложнив пару файлов /etc/init.d/rc{,S} , оказывается, можно иметь таблицу инициализации системы в одном файле /etc/runlevel.conf Это BSD-изм какой-то получается. Все сервисы из одного скрипта поднимать. Неважно это shell-овский скрипт, или runlevel.conf, к которому прилагается специальный интерпретатор в виде усложненного rc. Вынужден не согласится и разъяснить очевидное (если всё же заглянуть в обсуждаемую программу). file-rc по-прежнему использует скрипты из /etc/init.d . Более того, ни один из {pre,post}{inst,rm} скриптов и не знает, что кучу линков в 7 каталогах заменили одним файлом. Если пожелаешь в любой момент вернуть линки, file-rc и это сделает. А вот править порядок запуска или отключать сервисы гораздо удобнее в одном файле. Вариант с линками был нужен в древние времена, когда лишние 200 строк скрипта имели значение для скорости запуска системы. Или, возможно, авторы sysvinit не захотели возиться с разбором файла конфигурации, а сделали как проще. К сожалению, эта простота укоренилась чересчур глубоко. Ни в Mandrake, ни в Altlinux я такой удобной программы не встречал. With best regards Auf Wiederlesen Oleg -- Oleg P. Philon Linux Lab, Gomel, Belarus tel +375 232 780804 mailto:[EMAIL PROTECTED] http://gomelug.agava.ru mailto:[EMAIL PROTECTED] http://anticommunist.narod.ru
Re: firewall
On 22 Jul 2001, Alexey V. Naidyonov wrote: Victor А я update-rc.d не пользуюсь. Поскольку он не дает возможности Victor разумно расставить порядок. Он сваливает все подряд на S20, и Victor оттуда оно все по алфавиту поднимается. Приходится руками править Victor все равно. update-rc.d firewall start 05 2 . start 10 3 4 5 . stop 95 0 1 6 . Не, можно, конечно, и руками :) Но можно и один раз man прочитать :) Прочитай еще раз что ты написал, и пойми что руками - через ln -s - короче. И думать не надо какие там параметры у update-rc.d. Команду ln обычно чаще используешь. Собственно, это то что я имел в виду, когда писал что update-rc.d предназначена для использования в postinst/prerm, а не вручную администратором. То как сделано в редхатоидах, где вся эта длинная строчка указывается в самом init-скрипте, как комментарий, а не в командной строке update-rc.d - гораздо удобнее. Потому что для системного администратора действие выключить сервис нафиг и включить как было гораздо более частое, чем действие изменить порядок выполнение А эта самая update-rc.d еще и ругается на тему а что это у вас инит-скрипт остался, а симлинки вы сносите? -- Victor Wagner [EMAIL PROTECTED] Chief Technical Officer Office:7-(095)-748-53-88 Communiware.Net Home: 7-(095)-135-46-61 http://www.communiware.net http://www.ice.ru/~vitus
Re: firewall
On Mon, 23 Jul 2001, Oleg P. Philon wrote: Это BSD-изм какой-то получается. Все сервисы из одного скрипта поднимать. Неважно это shell-овский скрипт, или runlevel.conf, к которому прилагается специальный интерпретатор в виде усложненного rc. Вынужден не согласится и разъяснить очевидное (если всё же заглянуть в обсуждаемую программу). file-rc по-прежнему использует скрипты из /etc/init.d . Более того, ни один из {pre,post}{inst,rm} скриптов Попробуй сначала понять, то что я написал, а потом уже оценивать, насколько преимущества очевидны. и не знает, что кучу линков в 7 каталогах заменили одним файлом. Если пожелаешь в любой момент вернуть линки, file-rc и это сделает. А вот править порядок запуска или отключать сервисы гораздо удобнее в одном файле. Вариант с линками был нужен в древние времена, когда лишние 200 строк скрипта имели значение для скорости запуска системы. Неправда. Запуск 20 субшеллов на 20 10-строчных скриптов с очевидностью много медленнее, чем выполнение 200 строк одного скрипта в одном шелле, как в BSD. SysV style появился достаточно поздно, когда скорость уже перестала лимитировать. Проблема тут в другом - удобство для системы управления пакетами versus удобство для человека-администратора. Поскольку я экспериментальных машин в принципе не держу, экспериментировать мне не хочется. Поэтому задам пару вопросов на осмысление: 1. Если я ставлю в систему новый пакет, у которого есть скрипт в init.d, откуда информация об этом пакете появится в данном общем файле конфигурации? Мне приходилось заниматься созданием шрифтовых пакетов для TeX, и скажу честно, задача редактирования /etc/texmf/dvips/updmap из postinst скрипта мне крайне не понравилась. 2. Что делать с информацией об удаленном пакете (который не purged?) -- Victor Wagner [EMAIL PROTECTED] Chief Technical Officer Office:7-(095)-748-53-88 Communiware.Net Home: 7-(095)-135-46-61 http://www.communiware.net http://www.ice.ru/~vitus
Re: firewall
--- Victor Wagner [EMAIL PROTECTED] wrote: Victor á Ñ update-rc.d ÎÅ ÐÏÌØÚÕÀÓØ. ðÏÓËÏÌØËÕ ÏÎ ÎÅ ÄÁÅÔ ×ÏÚÍÏÖÎÏÓÔÉ Victor ÒÁÚÕÍÎÏ ÒÁÓÓÔÁ×ÉÔØ ÐÏÒÑÄÏË. ïÎ Ó×ÁÌÉ×ÁÅÔ ×ÓÅ ÐÏÄÒÑÄ ÎÁ S20, É Victor ÏÔÔÕÄÁ ÏÎÏ ×ÓÅ ÐÏ ÁÌÆÁ×ÉÔÕ ÐÏÄÎÉÍÁÅÔÓÑ. ðÒÉÈÏÄÉÔÓÑ ÒÕËÁÍÉ ÐÒÁ×ÉÔØ Victor ×ÓÅ ÒÁ×ÎÏ. update-rc.d firewall start 05 2 . start 10 3 4 5 . stop 95 0 1 6 . îÅ, ÍÏÖÎÏ, ËÏÎÅÞÎÏ, É ÒÕËÁÍÉ :) îÏ ÍÏÖÎÏ É ÏÄÉÎ ÒÁÚ man ÐÒÏÞÉÔÁÔØ :) ÐÏÊÍÉ ÞÔÏ ÒÕËÁÍÉ - ÞÅÒÅÚ ln -s - ËÏÒÏÞÅ. é ÄÕÍÁÔØ ÎÅ ÎÁÄÏ ËÁËÉÅ ÔÁÍ ÐÁÒÁÍÅÔÒÙ Õ update-rc.d. ëÏÍÁÎÄÕ ln ÏÂÙÞÎÏ ÞÁÝÅ ÉÓÐÏÌØÚÕÅÛØ. óÏÂÓÔ×ÅÎÎÏ, ÜÔÏ ÔÏ ÞÔÏ Ñ ÉÍÅÌ × ×ÉÄÕ, ËÏÇÄÁ ÐÉÓÁÌ ÞÔÏ update-rc.d ÐÒÅÄÎÁÚÎÁÞÅÎÁ ÄÌÑ ÉÓÐÏÌØÚÏ×ÁÎÉÑ × postinst/prerm, Á ÎÅ ×ÒÕÞÎÕÀ ÁÄÍÉÎÉÓÔÒÁÔÏÒÏÍ. May I ask how you keep such links in a proper state after an updated package is installed (and update-rc.d ran) ? Put in to cron script which re-establish all manual ln commands every night :(( ? á ÜÔÁ ÓÁÍÁÑ update-rc.d ÅÝÅ É ÒÕÇÁÅÔÓÑ ÎÁ ÔÅÍÕ Á ÞÔÏ ÜÔÏ Õ ×ÁÓ ÉÎÉÔ-ÓËÒÉÐÔ ÏÓÔÁÌÓÑ, Á ÓÉÍÌÉÎËÉ ×Ù ÓÎÏÓÉÔÅ? This is easy. Just use -f = Yours, Pavel V. Epifanov. --- __ Do You Yahoo!? Make international calls for as low as $.04/minute with Yahoo! Messenger http://phonecard.yahoo.com/
Re: firewall
Victor == Victor Wagner [EMAIL PROTECTED] writes: Victor А я update-rc.d не пользуюсь. Поскольку он не дает возможности Victor разумно расставить порядок. Он сваливает все подряд на S20, и Victor оттуда оно все по алфавиту поднимается. Приходится руками править Victor все равно. update-rc.d firewall start 05 2 . start 10 3 4 5 . stop 95 0 1 6 . Не, можно, конечно, и руками :) Но можно и один раз man прочитать :) Victor Прочитай еще раз что ты написал, и пойми что руками - через ln -s Victor - короче. И думать не надо какие там параметры у Victor update-rc.d. Команду ln обычно чаще используешь. Ну, у меня под руками достаточно серверов, чтобы оно само собой запомнилось. Кроме того, можно сказать update-rc.d -h. Victor Собственно, это то что я имел в виду, когда писал что update-rc.d Victor предназначена для использования в postinst/prerm, а не вручную Victor администратором. Почему? Удобно же. Victor То как сделано в редхатоидах, где вся эта длинная строчка Victor указывается в самом init-скрипте, как комментарий, а не в Victor командной строке update-rc.d - гораздо удобнее. Потому что для Victor системного администратора действие выключить сервис нафиг и Victor включить как было гораздо более частое, чем действие изменить Victor порядок выполнение Да, это разумно. Может, внесли бы в whishlist соответствующего пакета? :) Victor А эта самая update-rc.d еще и ругается на тему а что это у вас Victor инит-скрипт остался, а симлинки вы сносите? Ага. Чтобы не ругалась, есть ключ -f :) -- Alexey V. Naidyonov
Re: firewall
On Sun, Jul 22, 2001 at 10:55:22AM +0400, Victor B. Wagner wrote: On Sat, 21 Jul 2001, Konstantin Sorokin wrote: Я ставлю в /etc/init.d/firewall и соответсвующие симлинки. А update-rc.d сам все правильно поставит? Вопрос, собственно, А я update-rc.d не пользуюсь. Поскольку он не дает возможности разумно расставить порядок. Он сваливает все подряд на S20, и оттуда оно все по алфавиту поднимается. Приходится руками править все равно. Хм Man update-rc.d update-rc.d [-n] [-f] name remove update-rc.d [-n] name defaults [NN | NN-start NN-stop] update-rc.d [-n] name start|stop NN runlevel runlevel ... . start|stop NN runlevel runlevel ... . ... вторая и третья строчки - это не то что надо? With MBR Max
Re: firewall
On Mon, 23 Jul 2001, Max Kosmach wrote: Хм Man update-rc.d update-rc.d [-n] [-f] name remove update-rc.d [-n] name defaults [NN | NN-start NN-stop] update-rc.d [-n] name start|stop NN runlevel runlevel ... . start|stop NN runlevel runlevel ... . ... вторая и третья строчки - это не то что надо? Если бы об этом еще догадывались майнтейнеры всех соответствующих пакетов... -- Victor Wagner [EMAIL PROTECTED] Chief Technical Officer Office:7-(095)-748-53-88 Communiware.Net Home: 7-(095)-135-46-61 http://www.communiware.net http://www.ice.ru/~vitus
Re: firewall
On Sat, 21 Jul 2001, Konstantin Sorokin wrote: Я ставлю в /etc/init.d/firewall и соответсвующие симлинки. А update-rc.d сам все правильно поставит? Вопрос, собственно, А я update-rc.d не пользуюсь. Поскольку он не дает возможности разумно расставить порядок. Он сваливает все подряд на S20, и оттуда оно все по алфавиту поднимается. Приходится руками править все равно. Естественно, скрипт устроен так что после firewall stop вообще никакие пакеты никуда не ходят. Если я правильно понимаю что-то типа: stop) ipchains -P input DENY ipchains -P output DENY ipchains -P forward DENY Так? Примерно. Главное не забыть все правила поудалять.
Re: firewall
Привет, коллеги. On Sun, Jul 22, 2001 at 10:55:22AM +0400, Victor B. Wagner wrote: А я update-rc.d не пользуюсь. Поскольку он не дает возможности разумно расставить порядок. Он сваливает все подряд на S20, и оттуда оно все по алфавиту поднимается. Приходится руками править все равно. Советую посмотреть на file-rc Слегка усложнив пару файлов /etc/init.d/rc{,S} , оказывается, можно иметь таблицу инициализации системы в одном файле /etc/runlevel.conf Пользуюсь уже года 3, проблем не имел. Похоже, оригинальные скрипты из sysvinit безнадежно устарели. With best regards Auf Wiederlesen Oleg -- Oleg P. Philon Linux Lab, Gomel, Belarus tel +375 232 780804 mailto:[EMAIL PROTECTED] http://gomelug.agava.ru mailto:[EMAIL PROTECTED]
Re: firewall
On Sun, 22 Jul 2001, Oleg P. Philon wrote: From: Oleg P. Philon [EMAIL PROTECTED] Subject: Re: firewall Привет, коллеги. On Sun, Jul 22, 2001 at 10:55:22AM +0400, Victor B. Wagner wrote: А я update-rc.d не пользуюсь. Поскольку он не дает возможности разумно расставить порядок. Он сваливает все подряд на S20, и оттуда оно все по алфавиту поднимается. Приходится руками править все равно. Советую посмотреть на file-rc Слегка усложнив пару файлов /etc/init.d/rc{,S} , оказывается, можно иметь таблицу инициализации системы в одном файле /etc/runlevel.conf Это BSD-изм какой-то получается. Все сервисы из одного скрипта поднимать. Неважно это shell-овский скрипт, или runlevel.conf, к которому прилагается специальный интерпретатор в виде усложненного rc. Пользуюсь уже года 3, проблем не имел. Похоже, оригинальные скрипты из sysvinit безнадежно устарели. Концепция sysVInit крайне удобна для систем с развитым package management, таких как Debian. Поскольку позволяет при установке пакета кинутть один файлик в /etc/init.d вместо того чтобы редактировать большой и сложный rc. Кроме того, она существуенно облегчает остановку и перезапуск сервисов по отдельности. Я, например, до сих пор не знаю, как называется утилита для управления bind8. Зачем это мне, если /etc/init.d/bind reload все за меня сделает. К сожалению, концепция управления инит-скриптами в Debian (причем это свойство именно Debian) не расчитана на какое-бы то ни было управление, кроме установки/удаления пакета. Т.е. ситуации когда я хочу временно отменить запуск сервиса, не снося пакета, или когдя я хочу сервис на машине иметь, но поднимать только руками при необходимости, майнтейнерами, похоже просто не рассматриваются. Т.е. update-rc.d предназначена не для выполнения администратором, а только для postinst/prerm скриптов. Но это не является врожденным пороком sys5init. В redhat-оидах, по-моему, desired порядковый номер пишется в начало init-скрипта в качестве коментария, и ntsysv его там замечательно находит. Если в Debian эту систему просто перенять, то единственная неприятность, которую мы огребем, будет состоять в том, что при апгрейде пакета, если мы модифицировали это число в init-скрипте, нас будут предупреждать о том, что конфигурационный файл /etc/init.d/whatever изменен. With best regards Auf Wiederlesen Oleg -- Oleg P. PhilonLinux Lab, Gomel, Belarus tel +375 232 780804 mailto:[EMAIL PROTECTED] http://gomelug.agava.ru mailto:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Victor Wagner [EMAIL PROTECTED] Chief Technical Officer Office:7-(095)-748-53-88 Communiware.Net Home: 7-(095)-135-46-61 http://www.communiware.net http://www.ice.ru/~vitus
Re: firewall
Victor == Victor B Wagner [EMAIL PROTECTED] writes: Victor On Sat, 21 Jul 2001, Konstantin Sorokin wrote: Я ставлю в /etc/init.d/firewall и соответсвующие симлинки. А update-rc.d сам все правильно поставит? Вопрос, собственно, Victor А я update-rc.d не пользуюсь. Поскольку он не дает возможности Victor разумно расставить порядок. Он сваливает все подряд на S20, и Victor оттуда оно все по алфавиту поднимается. Приходится руками править Victor все равно. update-rc.d firewall start 05 2 . start 10 3 4 5 . stop 95 0 1 6 . Не, можно, конечно, и руками :) Но можно и один раз man прочитать :) -- Alexey V. Naidyonov
Re: firewall
On Sat, 21 Jul 2001, Konstantin Sorokin wrote: Добрый день! А куда идеологически правильно в Debian вставлять скрипт для установки правил firewall? Я ставлю в /etc/init.d/firewall и соответсвующие симлинки. Естественно, скрипт устроен так что после firewall stop вообще никакие пакеты никуда не ходят.
Re: firewall
On Sat, Jul 21, 2001 at 01:51:15PM +0400, Victor B. Wagner wrote: On Sat, 21 Jul 2001, Konstantin Sorokin wrote: Добрый день! А куда идеологически правильно в Debian вставлять скрипт для установки правил firewall? Я ставлю в /etc/init.d/firewall и соответсвующие симлинки. А update-rc.d сам все правильно поставит? Вопрос, собственно, был в том, что поднимать firewall надо рано, но, наверное, после поднятия сети, но до поднятия сетевых сервисов. Так? Это можно все руками сделать, но вот хотелось бы идеологически правильно сделать. Естественно, скрипт устроен так что после firewall stop вообще никакие пакеты никуда не ходят. Если я правильно понимаю что-то типа: stop) ipchains -P input DENY ipchains -P output DENY ipchains -P forward DENY Так? -- WBR, Konstantin V. Sorokin GnuPG key fingerprint = 37A1 D039 0F07 774A BE34 428B 1E11 18BA 735B 7797 :wq pgpM3I86YRv38.pgp Description: PGP signature
Re: firewall
On Sat, 21 Jul 2001, Konstantin Sorokin wrote: Если я правильно понимаю что-то типа: stop) ipchains -P input DENY ipchains -P output DENY ipchains -P forward DENY Так? Я думаю что это: stop) ipchains -F Так оно как-то проще :-) Peter.