[EMAIL PROTECTED] - Digest Tuesday, May 22 2001 Volume 01 : Number 356 ---------------------------------------------------------------------- Date: Tue, 22 May 2001 10:59:18 +0200 From: "Martin H. Kellner" <[EMAIL PROTECTED]> Subject: Re: [PUG] dhcp und firewall - -1. Ich vergebe f�r Server nur feste IP-Adressen 1. Du musst Dich an irgendeiner Stelle ja mal festlegen, wer nun ins Internet darf und wer nicht. 2. a) IPTABLES unter Kernel 2.4.X kann MAC-Adresssen sperren, dann kann Du Dich auf eine Erfassung der MAC-Adressen beschr�nken. Die MAC-Adressen kann man aber doch auch f�lschen, wenn es drauf ankommt. 2. b) 3. Das manipulieren von IP-Adressen unter Windows geht unter win95-win98 einfach. unter NT kann man das nur wenn man Admin-Rechte auf der Workstation hat. Unter Win95-98 kann man policies anlegen, die auch das deutlich erschweren. Einer das das umgehen will muss Admin-Kenntnisse haben. > wegen der firewall auf dhcp verzichten. Und die IP Adressen in Bereiche mit > Internetzugang und ohne einzuteilen macht meiner Meinung nach wenig Sinn, weil > dann jeder, der seine IP Adresse an seinem Window Rechner manipulieren kann > (und das kann ja wirklich jeder, d.h. hier gibt es keine Sicherheit) dadurch > Internetzugang oder aehnliches bekommen kann. Wie gesagt Policies unter Windows einf�hren oder Kernel 2.4.X auf der Firewall. Gruss Namensvetter vom "Martin" Martin Kellner ------------------------------ Date: Tue, 22 May 2001 11:23:02 +0200 From: "Schmitt, Martin (Dregis SX)" <[EMAIL PROTECTED]> Subject: RE: [PUG] dhcp und firewall Hi Joachim! > Wie schaffe ich es, gezielt einigen dieser Rechner die jetzt > per dhcpd dynamisch > IP Adressen zugewiesen bekommen, denZugang zum Internet ueber > die firewall zu > gestatten, und anderen nicht. Das hier scheint die eigentliche Frage zu sein. Wie der andere Martin schon schreibt: Mit iptables kann man Regeln f�r MAC-Adressen vergeben, das w�rde allerdings ein m�glicherweise haariges Update auf Linux 2.4 erfordern. Au�erdem solltest Du in diesem Fall nochmal �berdenken, was Du da wie administrierst. Erst IP-Adressen per DHCP verteilen und dann Firewallregeln auf MAC-Adressen vergeben zu m�ssen, scheint mir ein guter Anla� zu sein, den ganzen Proze� nochmal von vorne bis hinten unter die Lupe zu nehmen, um sich zu fragen was man womit �berhaupt erreichen will. Ich frage mich allerdings was ganz anderes: Wozu m�ssen diese Maschinen denn durch die Firewall? Wenn da nur im Internet herumges�rft werden soll, w�rst Du f�r die gro�e Masse mit einem Squid-Proxy wahrscheinlich besser bedient. Der hat dann auch noch den Vorteil, da� eine simple Authentisierung und damit auch eine nutzerbezogene Protokollierung der WWW-Zugriffe realisierbar ist. Ich nehme ja mal stark an, da� die nicht alle rauswollen, um irgendwelche POP3-Accounts zu pollen. Ich bin absolut kein Masquerading-Fan. Was als Application Level Gateway gemacht werden kann, sollte so gemacht werden. - -martin ------------------------------ Date: Tue, 22 May 2001 14:28:44 +0000 From: Joachim Buermann <[EMAIL PROTECTED]> Subject: RE: [PUG] dhcp und firewall Hi Martin(s) Danke fuer die Tips. Kernel 2.4 waere eine Loesung, aber ich will das System nur ungern updaten (bin ziemlich im Zeitdruck, und bis Mitte Juni muessen wir noch einem Novell Server samt Backup System etc. durch ein Samba ersetzt haben). Was ich mir gewuenscht haette, waere eine Moeglichkeit, dass der dhcp Server bei der Anmeldung eines clients diesem seine IP Adresse reicht und anschliessend ein von mir definiertes script mit Uebergabe der IP Adresse nebst MAC aufruft. (So wie das der pppd macht, wenn ich vom Provider eine dynamische IP zugewiesen bekomme, die ich dann ebenfalls als ipchains rule verwenden kann). Leider hab' ich hier nichts konkretes gefunden. Squid waere vielleicht die Loesung. Aber wie sieht es da mit ftp aus. Mein (zugegeben alter Wissensstand ist: ftp nicht oder nur per Browser (passiv) moeglich???) Wie sieht's mit dem Resourcen Verbrauch aus. Hier stehen Pentium I mit 120MHz und 32MByte RAM? Hab' ich ne vernuenftige Chance, Squid in ein/zwei Tagen zum Laufen zu bringen. (Bei Postfix hat's geklappt, obwohl ich hier anfaenglich skeptisch war...) Der User sollte nicht merken, dass er durch einen Proxy geleitet wird. D.h. ich wuerde die Umleitung durch den firewall Rechner machen. Unsere bisherigen Erfahrungen mit Proxies waren nicht so beruehmt (wwwoffle), hier haben sich immer einige beschwert, dass die Seiten nicht richtig geupdatet wuerden, sie immer nur alten Kram zu sehen bekommen etc... Ich muss allerdings gestehen, dass ich mich mit Proxies noch nicht tiefer beschaeftigt habe. Dein (Martin?) Argument der Application Level Gateways ist mit Sicherheit der bessere firewall. Bisher hat mich aber irgendwie der Aufwand abgeschreckt. Ich werd' das ganze nochmal ueberdenken. Falls Ihr noch ne Idee oder 'nen Tip habt, lasst es mich wissen. (Nur wenn Ihr Zeit habt ;-) Bis dahin Joachim ______________________________________________________________________ Joachim Buermann -- [EMAIL PROTECTED] ZES ZIMMER Electronic Systems GmbH http://www.zes.com ------------------------------ Date: Tue, 22 May 2001 16:06:29 +0200 From: "Martin H. Kellner" <[EMAIL PROTECTED]> Subject: Re: [PUG] dhcp und firewall Ich werde ab sp�testens Mitte Juli ein ganzes "Mini-Netz" mit ca. 50 Arbeitsstationen per Squid+Kernel-2.4.X ins Internet schaffen. Ich finde eine Anmeldung per Squid �brigens auch ziemlich elegant. Was machst Du wenn die User die Pl�tze wechseln ? Klar Kennw�rter kann man auch weitergeben, doch wenn die user vorher auf das loggen hingewiesen werden, d�rfte das juristisch auch weniger Probleme machen. Ich fahre Squid 2.3.stable-irgendeinenummer neben Interbase und Samba auf einem K5 mit 133 MHz. Die meiste Nutzung hat der Squid. Alles unter Kernel 2.4.X. Squid habe ich vor ein paar Monaten gestartet und den Rechner nie mehr anger�hrt ausser zum Log lesen. Das reicht aus. Der Rechner hat auch nur 32 MByte. Ich werde ihn in der Zukunft als Transparent-Proxy verwenden, d.h. die Useer sehen nichts mehr vom Proxy, da er die Anfragen auf Port 80 direkt auf der selben Maschine auf den Squid-Port umleitet. Das macht dann iptables. Der Aufbau ist schon getestet. Zu Sicherheit werde ich mir noch Gedanken �ber etwas wie tripwire machen um regelm�ssig Ver�nderungen auf diesem Rechner �berpr�fen zu k�nnen. Zum Testen habe ich den Rechner in die bestehende Infrastruktur gestellt. Ein Linux-Gateway mit ISDN-Wahlverbindung und Kernel 2.0.36 und ipchains �bersetzt die Adressen sogar nochmal. Hat alles geklappt. Das Firmennetz ist so f�r die Userseite des neuen Squidrechners schon Internet. Man kann also jeden Mist in den Logs sehen. D.h. jeder Netbios-broadcast "zerschellt" dann schon an der Seite die ins Firmennetz zeigt. testrechner---------SQUIDNEU--------------------IPCHAINSALT | FIRMENNETZ---------------------------- Ich kenne die squid-installation nur per suse-7.1 oder direkt vom Sourcecode her. Mit ein paar Tips, z.B. gibt es ein Mini-How-to zum Thema squid+iptables (stichwort wohl eher transparent-proxy), sollte man es in ein paar stunden zum laufen bringen, wobei ich den Aufwand zum Anmeldung-Mechanismus nicht kenne. Gruss Martin Kellner ------------------------------ Date: Tue, 22 May 2001 18:07:24 +0200 From: Martin Schmitt <[EMAIL PROTECTED]> Subject: Re: [PUG] dhcp und firewall * Joachim Buermann wrote/schrieb: > haben). Was ich mir gewuenscht haette, waere eine Moeglichkeit, dass der dhcp > Server bei der Anmeldung eines clients diesem seine IP Adresse reicht und > anschliessend ein von mir definiertes script mit Uebergabe der IP Adresse nebst > MAC aufruft. (So wie das der pppd macht, wenn ich vom Provider eine dynamische > IP zugewiesen bekomme, die ich dann ebenfalls als ipchains rule verwenden kann). Ja, so hab ich das auch verstanden. Ich fragte mich nur, ob das eine "vern�nftige" L�sung ist. Ich denke, da� da die Arbeitsschritte nicht stimmen. Wenn Du anf�ngst, MAC-Adressen zu erfassen, die bestimmte Aktionen an der Firewall erzeugen sollen, kannst Du gleich in dhcpd.conf statische IP-Adressen f�r diese MAC-Adressen vergeben, den Schritt mit dem Script auslassen und die Regeln an der Firewall statisch f�r die besagten IP-Adressen eintragen. Und wenn Du so weit bist, kannst Du grade das ganze Netz inventarisieren, nur noch zentral sagen, welche Netzwerkkarte welche IP bekommen soll, und alles statisch machen. Ich will damit noch nicht mal sagen, da� das besonders unklug w�re. Wenn man die Rechner mit ihren MAC-Adressen sowieso in einer Datenbank hat, ist das sogar ein recht vern�nftiger Ansatz. Man hat dann einen Single Point of Administration f�r alle IPs im Netz. > Leider hab' ich hier nichts konkretes gefunden. > Squid waere vielleicht die Loesung. Aber wie sieht es da mit ftp aus. Mein > (zugegeben alter Wissensstand ist: ftp nicht oder nur per Browser (passiv) > moeglich???) Das wei� ich leider nicht. Ich benutze FTP nur im Browser, f�r alle ernstzunehmenden Sachen nehme ich scp oder rsync, das ist irgendwie einfacher, funktioniert aber nat�rlich nicht per Proxy und w�rde wahrscheinlich Masquerading erfordern, falls es nicht sowas wie einen SSH-Proxy gibt. Ich habe f�r FTP mal vor Jahren bei einem Kunden das TIS-Firewalltoolkit installiert, da konnten seine Leute dann per WS-FTP r�ber. > Wie sieht's mit dem Resourcen Verbrauch aus. Hier stehen Pentium I mit 120MHz > und 32MByte RAM? Das ist ja 'ne echte Powerstation. Ich hab einen Kunden mit 50 Stationen, der ist total begeistert, wie schnell das Internet ist, seit er �ber eine solche Maschine geht. :-) Falls Du noch Speicher �brig hast, wird der allerdings nicht schaden. ;-) > Hab' ich ne vernuenftige Chance, Squid in ein/zwei Tagen zum Laufen zu bringen. > (Bei Postfix hat's geklappt, obwohl ich hier anfaenglich skeptisch war...) Squid hast Du spielend inclusive Anleitunglesen und �bersetzen in einer Stunde laufen. Ciao, - -martin - -- "The day they take Linux away from us is the day they pry it from our cold, dead fingers!" ------------------------------ Date: Tue, 22 May 2001 18:28:01 +0200 From: Martin Schmitt <[EMAIL PROTECTED]> Subject: Re: [PUG] dhcp und firewall * Martin H. Kellner wrote/schrieb: > wobei ich den Aufwand zum > Anmeldung-Mechanismus nicht kenne. Piece of Cake! ;-) Hier mal f�r Debian Woody. In /etc/squid.conf: authenticate_program /usr/lib/squid/ncsa_auth /etc/squid.passwd acl password proxy_auth REQUIRED http_access allow password (Nicht untereinander, sondern jeweils da, wo's hingeh�rt!) Dann /etc/squid.passwd erzeugen, mit einer ersten Kombination User/Kennwort: htpasswd -bc /etc/squid.passwd myuser geheim Das "-c" dient dazu, die Datei neu anzulegen und kann (mu�?) f�r weitere User weggelassen werden: htpasswd -b /etc/squid.passwd anotheruser anothersecret (Das -b steht hier f�r "Batch", das ist einfacher + anschaulicher.) chown root:proxy /etc/squid.passwd chmod 640 /etc/squid.passwd Und Squid rekonfigurieren: squid -k reconfigure Das wars zu dem Thema. :-) Wenn man den Kommentar in der N�he von "authenticate_program" liest und "ncsa_auth" mal an der Kommandozeile testet, wird auch sofort klar, wie man in Windeseile eigene Authentisierungsmechanismen bauen kann. Ciao, - -martin - -- Life sucks and then you die. And that`s the good part. ------------------------------ Date: Tue, 22 May 2001 19:03:44 +0200 From: [EMAIL PROTECTED] (Uwe Walter) Subject: [PUG] =?iso-8859-1?Q?Statusver=E4nderung?= ??? Liebe Linuxfreunde, wenn man ls mit der Option -c ausf�hrt, werden Dateien nach ihrer letzten Statusver�nderung angezeigt. Was ist die Statusver�nderung? Ich wollte eigentlich Dateien eines bestimmten Datums listen lassen und bin auch schon zur L�sung gekommen. ls -lt /home/coder/C | grep 'Mai 22' Aber beim Lesen der manpage bin die auf diese Statusgeschichte gestossen. Ich habe es ausprobiert, kann aber mit der Ausgabe nichts anfangen. Dateien eines Users haben alle das gleich Datum und die gleiche Zeit. Ist die Vermutung richtig, dass das was mit der letzten �nderung von Benutzerrechten oder des Eigent�mers zu tun hat? So long.... Uwe - -- Uwe Walter Carl-Benz-Strasse 7a 65232 Taunusstein (06128)934760 (0174)4184483 ------------------------------ Date: Tue, 22 May 2001 14:38:41 -0400 (EDT) From: Andrius Ciziunas <[EMAIL PROTECTED]> Subject: [PUG] Linux geek looking for interesting new places...PLEASE HELP!! Hello all-- I usually don't do this, but I don't know where else to turn. If you're not interested, please, don't flame me, just use the delete button.:) A while ago, I decided that I'd like to find a new job. But, my purposes are what's a bit different. I'm happy where I am, but I feel a bit caged in. I'd like to live in and visit new countries, learn new lanuages, meet new and interesting people. So, I figured somewhere on the European continent would be the perfect place for that. I began looking for jobs for Unix/Linux guys in Europe. I tried many of the usual job websites, but those are full of recruiters, who are only out to make a buck and don't really care what kind of job they offer me. I also tried applying to the companies, themselves and got nowhere fast with them, too. They kept directing me to their various US offices, telling me that they needed European nationals or writing to me of their interest and disappearing soon afterward. So, I thought, maybe other Linux users could help. Does anyone out there need a Linux/Unix geek with varying years of experience with a few different *nix flavors and Linux distributions, who'd be interested in finding a job with a decent salary in Europe? Here are some of my qualifications: * Linux user since 1994 (have been using it as my primary OS and compiling everything from source since 1998). I've also had experience with various Linux distributions, such as: Debian, RedHat, Mandrake, SuSe and Slackware. * Have had about 1.5 years of experience administrating systems with various *nix flavors, including: HP-UX 11.x, AIX 4.x, SCO OpenServer 5.0.5 and FreeBSD. I also have a bit of experience using Sun and Digital Unix. I have also done some administration tasks with Windows95, 98, NT and 2000 and Novell Netware 5. * Have spent 1.5 years as an Oracle DBA on various Oracle 8.1.x databases. * Was chief technical lead on various technical implementations of systems. * Fluent in English and Lithuanian, fair command of Russian, some Latin. * Am willing to try new things, learn new languages and meet new and interesting people. * US citizen (with the possibility of achieving dual citizenship, sometime in the future). If anyone can help, that would be great. I'll send along my resume upon request. TIA. Andrius ------------------------------ End of [EMAIL PROTECTED] - Digest V1 #356 ************************************ -------------------------------------------------------------------------- Digest von "[EMAIL PROTECTED]" - http://www.pug.org
