Olvin пишет:
Тогда ИМХО описать в dhcpd.conf фиксированные адреса с привязкой к
MAC
для нужных клиентов, а остальным выдавать левый адрес.
Левый клиент может сам запросить зарезервированный IP-адрес, и,
несмотря на привязку к совсем другому MAC'у, DHCP-сервер от ISC
отдаст
запрошенное
Maxim Tyurin wrote:
не работает запрещение, похоже dhcp плевать на дропы
Не работает :(
Он еще raw использует.
Тогда ИМХО описать в dhcpd.conf фиксированные адреса с привязкой к MAC
для нужных клиентов, а остальным выдавать левый адрес.
Левый клиент может сам запросить зарезервированный
Таскаев Илья пишет:
На форуме посоветовали:
Мне кажется - какая-то проблема с контроллером, на котором висит жёсткий
диск. Похоже это JMicron. Попробуйте или более свежий дистрибутив, или
покапаться в bios с режимом работы контроллера, или перевесить диск на
нормальный sata/ide
Завтра
Владимир пишет:
Хотелось бы (в идеале) сделать так, чтобы он смог играть за компом
только 2 часа (суммарно, т.е. возможно с перерывами), а в остальное
время (заранее задано с и по) только мультики смотреть, и без
доступа к сети. Есть ли софт, который может решить эту задачу? Т.е. я бы
хотел
Led пишет:
Есть ALD4.0.1. В системе есть пользователь guest.
Что и где нужно прописать, чтобы в текстовой консоли этот пользователь
не мог залогиниться,
useradd ... -s /bin/false
Хм... Меня чего-то клинило, что это ещё и доступ в иксы прикроет...
Проверил - таки нет :)
а при логине в иксах
Yura Kalinichenko пишет:
а при логине в иксах не запускался какой-нибудь WM или DE, а
запускалось строго заданное приложение, например, vlc или kaffeine?
Ну совсем без никакого WM не очень удобно - ведь в этом случае не будет
и никакого управления окнами. Я обычно в таких случаях ставлю
Есть ALD4.0.1. В системе есть пользователь guest.
Что и где нужно прописать, чтобы в текстовой консоли этот пользователь
не мог залогиниться, а при логине в иксах не запускался какой-нибудь WM
или DE, а запускалось строго заданное приложение, например, vlc или
kaffeine? При этом все другие
Michael Shigorin пишет:
Утром, когда в сети регистрируется около 800 станций под
различными виндами, возникают задержки при выделении адресов.
Как с этим можно бороться? Есть ли у кого-нибудь опыт?
dhcprelay в подсетях? (сам не сталкивался)
В чём выражаются эти задержки?
У нас тоже dhcpd.
Pavel пишет:
Кто-нибудь может пояснить мне этот момент? Ведь я-то вижу, что
uid=euid=user1 для процесса ping...
$ ls -la `which ping`
-rws--x--x 1 root root 30532 Май 9 00:36 /bin/ping
Он суидный :)
В курсе :)
Только вот по каманде ps axo euid,uid,pid,ppid,comm|grep ping я
вижу, что euid ==
Pavel пишет:
$ ping ya.ru
connect: Network is unreachable
Имя, как я понял, разрешить не удается?
В том то и дело, что удаётся. Иначе не было бы сообщения Network
unreachable.
А где у тебя DNS? В homelan? Имхо, это сообщение из-за невозможности
найти маршрут к нему.
На данный момент у тебя
Pavel пишет:
$ ping ya.ru
connect: Network is unreachable
Имя, как я понял, разрешить не удается?
В том то и дело, что удаётся. Иначе не было бы сообщения Network
unreachable.
Изменяются ли при выполнении ping'а счетчики в выводе:
iptables -t mangle -L OUTPUT -nv
для ping'а - нет,
Yuri Bushmelev пишет:
В сообщении от Суббота 09 августа 2008 Olvin написал(a):
для ping'а - нет, остаются прежними. А вот если что-то качнуть по
ftp/http - увеличиваются. Пробовал добавить iptables -t mangle -A OUTPUT
-p icmp -j MARK --set-mark 0
Для этого правила счётчик увеличивается, но если
Anton Vinogradov пишет:
Dmitriy Kruglikov wrote:
не долго думая, к сожалению, я поставил галочку на нужные мне сервисы,
полагая, что состояне сервисов галочки которых я оставил в покое не
изменится, нажал кнопку применить...
чем лишил себя вебинтерфейса и ssh напрочь...
Думаю, такое поведение
Pavel пишет:
если не ошибаюсь в цепочке mangle\OUTPUT
Самое главное, что ДО.
да, но разве окончательное решение о маршрутизации принимается не перед
mangle POSTROUTING?
цитата с http://iptables-tutorial.frozentux.net/
iptables-tutorial.html#TRAVERSINGOFTABLES
Table 6-2. Source local host
Serge wrote:
Система ALD4.0.1.
А где у нас цель ROUTE в iptables? Очень нужно, а нету. Как быть?
Нужно, чтобы интернет-трафик одного пользователя (по UID) направлялся по
одному ppp-интерфейсу, а другого пользователя - по другому
ppp-интерфейсу. Адреса ppp-соединений - динамические, провайдер
Система ALD4.0.1.
А где у нас цель ROUTE в iptables? Очень нужно, а нету. Как быть?
Нужно, чтобы интернет-трафик одного пользователя (по UID) направлялся по
одному ppp-интерфейсу, а другого пользователя - по другому
ppp-интерфейсу. Адреса ppp-соединений - динамические, провайдер один.
Serge wrote:
Система ALD4.0.1.
А где у нас цель ROUTE в iptables? Очень нужно, а нету. Как быть?
Нужно, чтобы интернет-трафик одного пользователя (по UID) направлялся по
одному ppp-интерфейсу, а другого пользователя - по другому
ppp-интерфейсу. Адреса ppp-соединений - динамические, провайдер
Alexander Vasiliev wrote:
Нужно, чтобы интернет-трафик одного пользователя (по UID) направлялся по
одному ppp-интерфейсу, а другого пользователя - по другому ppp-интерфейсу.
Адреса ppp-соединений - динамические, провайдер один. Пользователи работают
одновременно за одним компьютером.
Посмотрите
Alexander Vasiliev wrote:
А где у нас цель ROUTE в iptables? Очень нужно, а нету. Как быть?
Нужно, чтобы интернет-трафик одного пользователя (по UID) направлялся
по одному ppp-интерфейсу, а другого пользователя - по другому
ppp-интерфейсу. Адреса ppp-соединений - динамические, провайдер один.
Dmitriy Shadrinov пишет:
Почему 6762 под root'ом остаётся, когда все остальные
процессы под apache2? [paranoia on]
Как сделать так, чтобы всё запускалось под apache2?
[paranoia off]
Апач работает на 80 порту, никто кроме рута не имеет права
открывать порты ниже 1024, так что один процесс
Max Ivanov wrote:
Почему 6762 под root'ом остаётся, когда все остальные процессы под apache2?
[paranoia on]
Как сделать так, чтобы всё запускалось под apache2?
[paranoia off]
Апач работает на 80 порту, никто кроме рута не имеет права открывать
порты ниже 1024, так что один процесс рутовый будет
Почему 6762 под root'ом остаётся, когда все остальные процессы под apache2?
[paranoia on]
Как сделать так, чтобы всё запускалось под apache2?
[paranoia off]
# ps aux|grep http
root 6762 0.0 0.2 48512 548 ?Ss Jun21 0:01
/usr/sbin/httpd2
apache2 18818 0.0 0.1 48684 408
Vyacheslav A. Brunev пишет:
У меня давненько назрел вопрос, но что-то останавливало задать его здесь
теперь видимо созрел ;)
В сети и в частности на сайте: http://vsftpd.devnet.ru/rus/
есть замечательные пакеты (пропатченый и собранный vsftpd для разных
дистрибутивов) но к сожелению для
Eugene Prokopiev пишет:
Вообще говоря, планируется миграция на ISC DHCPd с DHCP-сервера из
состава Win2k3-server. Есть ли какие-нибудь рекомендации? Просто не
хотелось бы каждую из нескольких десятков зон руками прописывать...
И чем поможет GUI? Прописать в конфиге проще, особенно скриптом,
Хочу спросить: может, кто пользуется каким-нибудь GUI-средством для
управления dhcp-сервером? Желательно Web-based. Что можете посоветовать?
Вообще говоря, планируется миграция на ISC DHCPd с DHCP-сервера из
состава Win2k3-server. Есть ли какие-нибудь рекомендации? Просто не
хотелось бы
Dmitriy Kruglikov пишет:
Просьба по возможности лучше раскопать вопрос и завесить на
alterator-net-pptp: я всё ещё заинтересован в том, чтобы он
настраивал рабочие конфигурации в подавляющем большинстве
случаев, но не имею возможности проверить даже меньшинство,
а только один самый
Michael Shigorin пишет:
Можно подробнее про эти самые маршруты? В идеале -- приводя
всё в точности как есть. См. тж.
http://wiki.sisyphus.ru/admin/etcnet#vpn
Это давно учтено, именно поэтому и возник вопрос про static
routes (вспомнил, как называется!), отдаваемых dhcp-сервером.
DHCP
Pavel Usischev пишет:
Это давно учтено, именно поэтому и возник вопрос про static
routes (вспомнил, как называется!), отдаваемых dhcp-сервером.
DHCP отдаёт их через опцию 249 (ms-classless-static-routes),
WinXP её принимает охотно, а вот linux не хочет.
Просьба по возможности лучше раскопать
Алексей Шенцев пишет:
а можете объяснить неопытному, что это было,
использование php в апаче по умолчанию в Alt Linux отключено. Т.к. считается,
что использование php на вэб-сервере не безопасно из-за дырявости самого php.
Если я правильно сформулировал по чему так сделано. Если нет, то
Aleksey Avdeev пишет:
apache2-httpd-worker
Этот можно снести (именно он ставиться по умолчанию, но mod_php* с ним
не работают).
apache2-httpd-prefork
Этот вам поможет: именно с ним собраны наши mod_php*...
А почему не с worker? С ним глючит? Или что?
Т.е. альтернатива, как я понял, -
Имеем:
ALS4.0.1
apache2 + mod_php5
2.6.18-ovz-smp-alt17
при попытке service httpd2 start получаю такое:
[Wed Feb 20 17:03:56 2008] [crit] Apache is running a threaded MPM, but
your PHP Module is not compiled to be threadsafe. You need to recompile
PHP.
И не запускается. При этом то же
Anton Farygin wrote:
Имеем:
ALS4.0.1
apache2 + mod_php5
2.6.18-ovz-smp-alt17
при попытке service httpd2 start получаю такое:
[Wed Feb 20 17:03:56 2008] [crit] Apache is running a threaded MPM, but
your PHP Module is not compiled to be threadsafe. You need to recompile
PHP.
[skip]
Dmitry V. Levin wrote:
Anton Farygin wrote:
Имеем:
ALS4.0.1
apache2 + mod_php5
2.6.18-ovz-smp-alt17
при попытке service httpd2 start получаю такое:
[Wed Feb 20 17:03:56 2008] [crit] Apache is running a threaded MPM, but
your PHP Module is not compiled to be threadsafe. You need to
Система AL[D|S]4.0.1.
При попытке зайти на порт 9001 (ntop https), firefox мне сказал:
Firefox не может установить защищённое соединение с сайтом 127.0.0.1,
так как сайт использует устаревшую, небезопасную версию протокола SSL.
И не соединяет. Что делать? Я, конечно, понимаю, что можно
ABATAPA пишет:
При попытке зайти на порт 9001 (ntop https), firefox мне сказал:
Firefox не может установить защищённое соединение с сайтом 127.0.0.1,
так как сайт использует устаревшую, небезопасную версию протокола SSL.
И не соединяет. Что делать? Я, конечно, понимаю, что можно понизить
Peter Volkov пишет:
В ALM24 было такое, что пользователь имел доступ только к информации о
своих процессах, полный доступ (по крайней мере, на чтение) имели только
пользователи из группы proc.
Очень хотелось бы сделать такое же поведение и у AL[D|S]40. Что для
этого нужно? Ядро
В ALM24 было такое, что пользователь имел доступ только к информации о
своих процессах, полный доступ (по крайней мере, на чтение) имели только
пользователи из группы proc.
Очень хотелось бы сделать такое же поведение и у AL[D|S]40. Что для
этого нужно? Ядро используется 2.6.18-ovz-smp-alt17.
Konstantin A. Lepikhov пишет:
В ALM24 было такое, что пользователь имел доступ только к информации о
своих процессах, полный доступ (по крайней мере, на чтение) имели только
пользователи из группы proc.
Очень хотелось бы сделать такое же поведение и у AL[D|S]40. Что для
этого нужно? Ядро
Michael Shigorin пишет:
На машинке два интерфейса (вообще говоря, может ещё один-два
появится). Один из них - ppp.
Можно запускать на нём knockd из /etc/ppp/ip-up.d/
(гасить/закрывать, соответственно, в ip-down.d/).
А... В смысле, не пользоваться сервисом knockd, а пускать прямо так
демона
На машинке два интерфейса (вообще говоря, может ещё один-два появится).
Один из них - ppp. Хотелось бы, чтобы knockd слушал все интерфейсы, а не
какой-то один. Как это сделать? Запускать несколько экземпляров knockd?
Или можно как-то по другому? Планируются ли такие изменения скриптов
запуска
Хихин Руслан пишет:
Браузер по таймауту говорит, что невозможно отобразить страницу.
а access.log сквидовский ловит подобное:
-
1198840773.503 179912 192.168.100.1 TCP_MISS/504 1461 GET
http://www.google.ru/complete/search? - DIRECT/216.239.59.104
Anton Gorlov пишет:
Есть задача - автомтаом поднимать vpn, не ставя его дефолтгейтвеем и
заворачивать туда роутинг на кучку сетей.
Дано - 2 переменных - адресс сервера (который присваивается ppp
соединению) и клиентский IP динамические.
Нужно после поднятия линка добваить роутинг дял части
Gosha пишет:
С удивлением обнаружил следующее.
В настройках squid доступ в и-нет регулируется вот таким образом:
acl AllowDomains dstdomain .разрешенный.домен
acl HOST1 src ip-адрес
http_access allow HOST1 AllowDomains
а где http_access deny all в этом месте?
Все работает нормально.
Gosha пишет:
Ведь тогда он через любой открытый порт для CONNECT
сможет пролезать?
И есть только один реальный способ:
http_access deny CONNECT
сразу после разрешительной строчки.
Или я что-то не так понял?
А не нужно давать CONNECT на весь Интернет.
Тем более по всем портам.
Для https
Gosha пишет:
А не нужно давать CONNECT на весь Интернет.
Тем более по всем портам.
Для https вполне достаточно дать CONNECT на 443 порт.
Так этого и будет prixifier-у достаточно. :-)
Для этого ещё надо, чтобы именно заданный dst пропускал (как прокси)
запросы на 443 порт. Это там у них что
Michael Shigorin пишет:
Коллеги, тут возник вопрос по поводу того, как лучше перевести
hostname и в частности host в контексте alterator-net-general
(бишь это имя сетевой системы, устанавливаемое администратором).
Со стороны отдела документации поступило предложение заменить
хост на узел,
Michael Shigorin пишет:
Если кому нужно пользоваться Flash -- сейчас рекомендую обновить
плагин, а вообще сильно рекомендую FlashBlock для мозиллообразных.
http://secunia.com/advisories/26027/
Мой FF2 вообще валится на flash 9 (не на всех, но...)
Пришлось откатиться на Flash 7
Anatoliy Lisutin пишет:
hint:
$ head -c 8 /dev/urandom | uuencode -m - | sed -n 2p
Ldbw7ISNwiA=
для себя такое использую... Хотя (см. соседнее письмо) ожидать, что обычный
пользователь не убьёт сибя ап стену от такого пароля, было бы странно :))
FnrhsdFq!=
Что-то такое может подойти?
Нет ли у кого идей, каким образом можно пометить RTP-пакеты, если порты
и адреса отправителя и получателя (в случае использования sipnet.ru,
например) заранее неизвестны.
Собственно, требуется отдельно посчитать весь VoIP-трафик.
http://l7-filter.sourceforge.net/
Давно это дело видел. А у
Шенцев Алексей Владимирович пишет:
В сообщении от Monday 04 June 2007 01:51:16 Artem Zolochevskiy написал(а):
Максим, тут скорее проблема не в --uid-owner, а в том что на squid приходит
запрос с моего внешнего IP. Мысль с --uid-owner понятна. Но работать так не
будет (без правки доступа к
Eugene Prokopiev пишет:
если это терминал сервер(на линуксе), то может получится использовать
iptables (он вроде умеет uid различать)
Не получится... эта поддержка нифига не пашет как надо!
Пашет. Только для исходящего трафика.
Говорили вроде, что не работает на smp. Вы проверяли, все нормально?
Eugene Prokopiev пишет:
Можно. SNAT.
Но в случае с интернет-выходом так просто не получится. Что бы работала
предложенная вами схема, нужно, чтобы провайдер выделил IP-адреса в
количестве, равном предполагаемому количеству интернет-пользователей.
Причём сразу. Это по деньгам не все могут себе
Anton Farygin пишет:
Есть на одной единственной машине несколько пользователей (включая всех
системных). Один из этих пользователей - второстепенный. Хочется считать
трафик по этому пользователю отдельно от остальных (как исходящий, так и
входящий; с подсчётом исходящего трафика проблем нет -
ABATAPA пишет:
Как такой интерфейс проще всего создать?
Есть ли другие идеи?
Что мешает выдавать ему статический/DHCP адрес и считать трафик по этому
адресу?!
Машина одна. Сервера нету. Но пользователя два. Какой тут ещё DHSP?!
___
Sysadmins mailing
ABATAPA пишет:
Как такой интерфейс проще всего создать?
Есть ли другие идеи?
Что мешает выдавать ему статический/DHCP адрес и считать трафик по этому
адресу?!
Машина одна. Сервера нету. Но пользователя два. Какой тут ещё DHCP?!
___
Sysadmins mailing
Ivan Fedorov пишет:
Есть на одной единственной машине несколько пользователей (включая всех
системных). Один из этих пользователей - второстепенный. Хочется считать
трафик по этому пользователю отдельно от остальных (как исходящий, так и
входящий; с подсчётом исходящего трафика проблем нет -
Есть на одной единственной машине несколько пользователей (включая всех
системных). Один из этих пользователей - второстепенный. Хочется считать
трафик по этому пользователю отдельно от остальных (как исходящий, так и
входящий; с подсчётом исходящего трафика проблем нет - критерий
--uid-owner), но
Andrei Bulava пишет:
А что сейчас модно использовать для организации VPN-сервера с поддержкой
штатных Win-клиентов ? По большей части везде OpenVPN описан, но у него
свой клиент вроде как...
pptpd - Сервер сетевых соединений PPTP
Упаси вас господь от pptp. Мало того, что безопасность там хромает
Michael Shigorin пишет:
Если машина - шлюз, то ничего такого не надоразве что
запретить форвард всего кроме -p tcp --dport 80 -d
192.168.1.1, а также ESTABLISHED и RELATED. Если нет, то
только прокси. Возможно, прозрачный. Иначе никак. AFAIK.
В том то вся и проблема что 192.168.0.40 не шлюз ни в
Nikolay(computer-service.ru) пишет:
Здравствуйте уважаемое сообщество!
Помогите решить проблемку. Есть 2 сети 192.168.0.* и 192.168.1.* между ними
стоит ALT мастер 2.4(ядро 2.4)
с двумя сетевыми картами и двумя ip(192.168.0.40 и 192.168.1.40)
Нужно чтобы в одной сети(192.168.0.*) был виден
Genix пишет:
Подскажите, как сделать следующую схему:
Имеется postfix который обслуживает MX для company.com и office.company.com.
В первом домене заведены пользователи, всё ок.
А для второго, нужно складировать почту в какую-то очередь, из которой
бы второй сервер (конектится в рабочие часы
ABATAPA wrote:
да и попадание на трафике может получиться не малое.
Рассказать, как при DROP и при наличии добрых людей может быть попадание
на трафике, идущем со спутника?
Расскажите. Я, в общих чертах, представляю, как это, и не только со
спутника, но послушать детальное объяснение как
Michael Shigorin wrote:
Проверьте ещё, резолвит ли ping, запущенный рутом, а также
параметры монтирования.
Спасибо: дело в noexec на /var было.
Так. Объявляю сбор известных и малоизвестных особенностей ALT
Linux здеся:
http://www.freesource.info/wiki/AltLinux/Features
Хорошее начинание. А то
Michael Shigorin wrote:
Так. Объявляю сбор известных и малоизвестных особенностей ALT
Linux здеся:
http://www.freesource.info/wiki/AltLinux/Features
Я там вставил свои пять копеек, посмотрите, поправьте, если что.
Невозможность собрать ядро системы -- ой. Я, конечно,
тарбольную ваниллу давно
ALM2.4
Выход в инет был через обычный модем по dialup. Теперь появляется ADSL,
но хочется, чтобы тот, кто платит, ходил через ADSL, а кто не платит,
так и остался на dialup. Пользователей различаю по UID. ADSL-соединение
_постоянно_ (прерывать недопустимо), а модемное - эпизодическое.
Как
Есть сервер на ALM2.4, связывающий две локалки, связанные через шлюз
(машинка вида Duron 900MHz? 256MB RAM, 2x100MBit Ethernet). Пусть это
будут А и Б. Как сделать так, чтобы только некоторые из пользователей
сети А имели доступ к сети Б?
А теперь вот в чём загвоздка: сети домашние,
66 matches
Mail list logo