Домашняя сеть

Аватар пользователя CMEX

Есть машина с ASP10. Витые пары по всем помещениям. Выход с Linux машины в и-нет через vpn (ADSL и кабельный модем). Подскажите пожалуйста, что лучше установить (какой сервер) для реализации домашней сети до 5 компьютеров с XP-SP2?

Аватар пользователя Archont

Re: Домашняя сеть

Ваш вопрос попросту непонятен.
Поясните подробнее, чего и для чего вы хотите.

Аватар пользователя sergeil

Re: Домашняя сеть

Цитата:
CMEX писал:
Есть машина с ASP10. Витые пары по всем помещениям. Выход с Linux машины в и-нет через vpn (ADSL и кабельный модем). Подскажите пожалуйста, что лучше установить (какой сервер) для реализации домашней сети до 5 компьютеров с XP-SP2?

Вы можете поставить ASPLinux в качестве шлюза между интернет и LAN, в котором будут находится Ваши Windows машины (по корпоративной схеме).

LAN организуется на диапазоне частных адресов 10.0.0.0/8, 192.168.0.0/24

Выход в интернет с WindowsXP - через проксю или NAT, которые реализуются на шлюзе (ASPLinux) ...

Аватар пользователя CMEX

Re: Домашняя сеть

Спасибо. Немного уточню 10.0.*.* и 192.168.*.* реализованы у провайдера. Логин к провайдеру один. Не возникнет ли конфликта по IP и по логину?

Аватар пользователя lystor

Re: Домашняя сеть

Можете выбрать ip-адреса из диапазона 172.16.0.0-172.31.0.0.

Аватар пользователя sergeil

Re: Домашняя сеть

Цитата:
CMEX писал:
Спасибо. Немного уточню 10.0.*.* и 192.168.*.* реализованы у провайдера. Логин к провайдеру один. Не возникнет ли конфликта по IP и по логину?

Может возникнуть.
Ваш диапазон не должен перекрытся с адресами провайдера. Есть еще один диапазон, который используется реже: 172.16.x.x - 172.31.x.x

http://www.faqs.org/rfcs/rfc1918.html
...
3. Private Address Space
The Internet Assigned Numbers Authority (IANA) has reserved the following three blocks of the IP address space for private internets:
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

Аватар пользователя CMEX

Re: Домашняя сеть

Теперь с IP ясно. А как быть с логином. VPN только для одного логина, т.е. Linux машина должна быть постоянно подключена к провайдеру, а остальные (XP), используя шлюз, будут выходить без проблем? И где прочитать о настройке локальной сети для eth1 (на eth0 у меня vpn с провайдером). К сожалению, даже в "коробочной версии" ASP нет нормальной инструкции (грубо говоря "для чайников") по настройке ASP. Мышь, VPN, make config и прочее постигаю при помощи форумов, но не из "талмудов" "коробочной версии". Поэтому извините заранее.

Аватар пользователя sergeil

Re: Домашняя сеть

Цитата:
CMEX писал:
Теперь с IP ясно. А как быть с логином. VPN только для одного логина, т.е. Linux машина должна быть постоянно подключена к провайдеру

Один интерфейс у Вас несущий, физическое соединение с провайдером, eth0. Провайдер Вас подключает, скорее всего по протоколу pptp. Эсли это так, то /etc/sysconfig/network-scripts/ifup-pptp
может быть для Вас очень интересен...

Вам необходимо или воспользоваться графическим frontend-ом, если таковой есть, или руками создать файл
/etc/sysconfig/network-scripts/ifcfg-pptp0

Смотрите http://www.uic.ru/directions/inet/home/asplinux.php

После поднятия pptp:
root# ifup pptp0
у Вас появится еще один сетевой интерфейс для общения с миром. У меня это ppp0.

Цитата:
а остальные (XP), используя шлюз, будут выходить без проблем?

Внутренним интерфейсов, подключенным в LAN у Вас будет eth1. WinXP будут подключены к ниму. У них не будет никакого понятия о pptp. Этим займется рутер...
Но для начала необходимо узнать каким протоколом подключил Вас провайдер. VPN - это Virtual Private Network. Это очень общее понятие...

Цитата:
И где прочитать о настройке локальной сети для eth1 (на eth0 у меня vpn с провайдером).

Ну, это по аналогии с eth0. Создайте файл /etc/sysconfig/network-scripts/ifcfg-eth1
Заполните правильными сетевыми реквизитами, и

root# ifup eth1

Вот Вам мой для образца...

[sergeil@homedesk include]$ cat /etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1
ONBOOT=yes
IPADDR=192.168.101.100
NETMASK=255.255.255.0
NETWORK=192.168.101.0
BROADCAST=192.168.101.255
USERCTL=no
PEERDNS=no
TYPE=Ethernet
BOOTPROTO=none
IPV6INIT=no

Аватар пользователя lystor

Re: Домашняя сеть

CMEX, вы в самом начале писали:

Цитата:
Есть машина с ASP10. Витые пары по всем помещениям. Выход с Linux машины в и-нет через vpn (ADSL и кабельный модем).

А у вас Linux-машина уже как-то настроена? Доступ из нее в сеть/интернет есть?
Также покажите результаты комманд:
/sbin/ip link sh
/sbin/ip address sh
/sbin/ip route sh

Аватар пользователя CMEX

Re: Домашняя сеть

@ sergeil и lystor
Спасибо за советы и вопросы Катается от смеха
pptp поднят и vpn соединение работает. сейчас пишу с Linux машины. настраивал внешнюю сеть при помощи pptp-command.
A - ip link sh:
1: lo: mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:02:44:64:89:6d brd ff:ff:ff:ff:ff:ff
3: eth1: mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:0e:2e:2c:98:05 brd ff:ff:ff:ff:ff:ff
4: sit0: mtu 1480 qdisc noop
link/sit 0.0.0.0 brd 0.0.0.0
6: ppp0: mtu 1500 qdisc pfifo_fast qlen 3
link/ppp
B - ip address sh
1: lo: mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 brd 127.255.255.255 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:02:44:64:89:6d brd ff:ff:ff:ff:ff:ff
inet 10.0.31.42/20 brd 10.0.31.255 scope global eth0
inet6 fe80::202:44ff:fe64:896d/64 scope link
valid_lft forever preferred_lft forever
3: eth1: mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:0e:2e:2c:98:05 brd ff:ff:ff:ff:ff:ff
4: sit0: mtu 1480 qdisc noop
link/sit 0.0.0.0 brd 0.0.0.0
6: ppp0: mtu 1500 qdisc pfifo_fast qlen 3
link/ppp
inet 10.0.11.172 peer 10.0.0.2/32 scope global ppp0
C - ip route sh
10.0.0.2 via 10.0.16.1 dev eth0
10.0.0.2 dev ppp0 proto kernel scope link src 10.0.11.172
10.0.16.0/20 dev eth0 proto kernel scope link src 10.0.31.42
169.254.0.0/16 dev eth0 scope link
default dev ppp0 scope link
default via 10.0.16.1 dev eth0
Сейчас я притормозил немного при настройке локалки или шлюза на eth1. Боюсь чего-то напортить, да и не знаю с чего начать. Пробовал сделать шлюз через Webmin, но не все понимаю. Особенно что касается default route. Я из-за него провозился с подключением к инет. Боюсь напортачить. Я уже более 10 раз переставлял ASP из-за мыши, видео и прочего. Теперь хочется чтобы без переустановки Linux.
Подскажите пожалуйста как правильно настроить firewall.
Пока хватит, а то уже клавиатупа "красная". Катается от смеха
P.S. Периодически слетает VPN соединение с провайдером. Как это решить? Хотя XP машина тоже не удерживает, да и не делает перезвон. Странно :-?

Аватар пользователя Archont

Re: Домашняя сеть

Г-н СМЕХ! У вас слишком много основополагающих вопросов. Поскольку вы, как видно, человек упорный и весьма пытливый, то полагаю, что вам необходимо внимательно ознакомиться с этим документом:
http://www.botik.ru/~rldp/ldp/nag-20/nag-20.htm
Там в достаточно простой и доступной форме даны ответы на эти ваши, и даже на невозникшие пока вопросы.
Конечно господа sergeil и lystor могут помочь вам по-бырому настроить вашу сеть, но намного полезнее и приятнее вам будет это сделать самостоятельно.

Один совет. Линукс от виндовоза отличается многим. В частности тем, что если что-то пошло не так, то линукс никогда (по крайней мере я не могу представить иного) не следует переустанавливать. На переустановках вы ничего не выигрываете. Вам может казаться, что вы экономите время, но это не так. Вы потом его еще не раз потеряете, если не поймете, что и почему не работает, и не настроите это самостоятельно. Линукс - это ВАША (а не дядюшки Билли) система.

Аватар пользователя sergeil

Re: Домашняя сеть

Цитата:
CMEX писал:
pptp поднят и vpn соединение работает. сейчас пишу с Linux машины. настраивал внешнюю сеть при помощи pptp-command.

Хорошее начало... Мои поздравления

Цитата:
2: eth0: mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:02:44:64:89:6d brd ff:ff:ff:ff:ff:ff
inet 10.0.31.42/20 brd 10.0.31.255 scope global eth0
inet6 fe80::202:44ff:fe64:896d/64 scope link
valid_lft forever preferred_lft forever

Host интерфейс для соединения с провайдером...
Через этот интерфейс необходимо разрешить некоторый , но не обязательно весь обмен. Я не доверяю сети провайдера. А Вы? Улыбка Фрагмент для правил firewall

function pptpLink()
{
    locIP=${1}
    vpnSRV=${2}

    $IPTABLES -A INPUT  -p gre -s $vpnSRV -d $locIP             -j ACCEPT
    $IPTABLES -A OUTPUT -p gre -s $locIP  -d $vpnSRV            -j ACCEPT

    $IPTABLES -A INPUT  -p gre -i eth1                          -j ACCEPT
    $IPTABLES -A OUTPUT -p gre -o eth1                          -j ACCEPT

    $IPTABLES -A INPUT  -p tcp -s $vpnSRV -d $locIP  --dport 1723 -j ACCEPT
    $IPTABLES -A OUTPUT -p tcp -d $vpnSRV -s $locIP  --sport 1723 -j ACCEPT

    $IPTABLES -A OUTPUT -p tcp -s $locIP  -d $vpnSRV --dport 1723 -j ACCEPT
    $IPTABLES -A INPUT  -p tcp -d $locIP  -s $vpnSRV --sport 1723 -j ACCEPT

    for ICMPTYPE in echo-request echo-reply
    do
        $IPTABLES -A INPUT  -p icmp --icmp-type $ICMPTYPE \
                                -s $vpnSRV -d $locIP               -j ACCEPT
        $IPTABLES -A OUTPUT -p icmp --icmp-type $ICMPTYPE \
                                -s $locIP  -d $vpnSRV              -j ACCEPT
    done


    for CHAIN in INPUT OUTPUT FORWARD
    do
        $IPTABLES -A $CHAIN -p icmp --icmp-type fragmentation-needed -j ACCEPT
    done
}

Но к этому мы еще вернемся ...

Цитата:
6: ppp0: mtu 1500 qdisc pfifo_fast qlen 3
link/ppp
inet 10.0.11.172 peer 10.0.0.2/32 scope global ppp0

Вот оно, наше окно в мир!
Катается от смеха

Цитата:
169.254.0.0/16 dev eth0 scope link

Если у Вам нет каких-то идей по поводу использования этой сети, то можно от нее избавится Улыбка
Если добавить в /etc/sysconfig/network
...
NOZEROCONF=yes

То эта псевдо-сетка настраиваться не будет ...

Цитата:
Сейчас я притормозил немного при настройке локалки или шлюза на eth1.

Не понял в чем проблема ... Драйвер сетевой карты установился ... Сетевое устройство eth1 ядру извесно.
Кстати, я не заметил, что-бы Вас провайдер использовал подсеть 192.168.0.0/16. Так что, Вы имеете полное право ею пользоваться... Осталось выбрать и настроить сеть для LAN
Пример я Вам уже привел...
Могу еще один ;-)
В данном примере я беду часть диапазона...
А именно 192.168.100.0/24

/etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1
ONBOOT=yes
IPADDR=192.168.100.100
NETMASK=255.255.255.0
NETWORK=192.168.100.0
BROADCAST=192.168.100.255
USERCTL=no
PEERDNS=no
TYPE=Ethernet
BOOTPROTO=none
IPV6INIT=no

Цитата:
Пробовал сделать шлюз через Webmin, но не все понимаю.

Есть две программы, которым я не доверяю. Это "kudzu" и "webmin"... Я избегаю ими пользоватся...
Кстати, в webmin по умолчанию пароль на root - пустая строка. Или немедленно назначте пароль или запретите старт этого сервиса. У Вас могут появится непрошенные "помощники".

Цитата:
Особенно что касается default route. Я из-за него провозился с подключением к инет. Боюсь напортачить. Я уже более 10 раз переставлял ASP из-за мыши, видео и прочего. Теперь хочется чтобы без переустановки Linux.

default route у Вас настроено pptp. Более трогать не следует.
На устройстве eth1 у Вас "default route" не будет...

Цитата:
Подскажите пожалуйста как правильно настроить firewall.
Пока хватит, а то уже клавиатупа "красная". Катается от смеха

А это следующий этап ... Как говорится отдельная песня ...
Вы еще марширутизацию не настроили...

Цитата:
P.S. Периодически слетает VPN соединение с провайдером. Как это решить?

Я это сделал двумя скриптами...
root# cat /etc/rc.d/rc.local.local

#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.

function pptpDog()
(
    while :
    do
        sleep 10;
        if [ ! -e /proc/sys/net/ipv4/neigh/ppp0 ] ;
        then
            if [ -f /etc/rc.d/rc.local.local.pptp0 -a -x /etc/rc.d/rc.local.local.pptp0 ]; then
                /etc/rc.d/rc.local.local.pptp0
            fi
        fi
    done
)

pptpDog &

# cat /etc/rc.d/rc.local.local.pptp0

#! /bin/bash

export PATH=$PATH:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

/sbin/ifdown pptp0
/bin/sleep 2

if [ -n "`ps -ef | grep pptp | grep -v ps`" ] ; then
    /usr/bin/killall pptp
    /bin/sleep 2
fi

if [ -n "`ps -ef | grep pppd  | grep -v ps`" ] ; then
    /usr/bin/killall pppd
    /bin/sleep 2
fi

/sbin/ifdown pptp0
/bin/sleep 2

/sbin/ifup pptp0 &
/bin/sleep 45

То есть, соединение мониторится и переустанавливается ...
Правда, у меня стоит статический путь на сервер VPN через устройство eth1. Дело в том, что после разрушения соединения pptp "default route" непонятен...

Цитата:
Странно :-?

Ничего странного... pptp - детище Micro$oft Катается от смеха

Аватар пользователя sergeil

Re: Домашняя сеть

Цитата:
Archont писал:
http://www.botik.ru/~rldp/ldp/nag-20/nag-20.htm

Посмотрел, быстро найти ответы не получилось.
Подход фундаментальный и правильный, но не учитывает наработок, которые уже присутствуют в ASPLinux...
Книга любопытная и полезная, но не тогда, когда результат нужен на вчера....

Спасибо за ссылку...
При случае постораюсь перечитать более внимательно.

Аватар пользователя CMEX

Re: Домашняя сеть

Спасибо!
eth1:
BOOTPROTO=none
TYPE=Ethernet
DEVICE=eth1
MTU=1500
NETMASK=255.255.255.0
BROADCAST=172.20.0.255
IPADDR=172.20.0.1
NETWORK=172.20.0.0
ONBOOT=yes
USERCTL=no
PEERDNS=no
IPV6INIT=no
Насколько я понимаю теперь нужно поднимать DHCP сервер. Или можно тупо подключать XP машину (через свич) к eth1, а ХР сделает все самостоятельно?
Забыл сказать, что 192.168 используется провайдером при адресации кабельных модемов.

Аватар пользователя sergeil

Re: Домашняя сеть

Цитата:
CMEX писал:
Спасибо!
eth1:
BOOTPROTO=none
TYPE=Ethernet
DEVICE=eth1
MTU=1500
NETMASK=255.255.255.0
BROADCAST=172.20.0.255
IPADDR=172.20.0.1
NETWORK=172.20.0.0
ONBOOT=yes
USERCTL=no
PEERDNS=no
IPV6INIT=no
Насколько я понимаю теперь нужно поднимать DHCP сервер. Или можно тупо подключать XP машину (через свич) к eth1, а ХР сделает все самостоятельно?

Поднимать DHCP сервер на 5 машин, я бы сказал, это как из пушки по воробьям стрелять. Ручная настройка TCP/IP - вполне приемлемый вариант Улыбка

1-я WinXP: 172.20.0.2 netmask 255.255.255.0 gw 172.20.0.1
2-я WinXP: 172.20.0.3 netmask 255.255.255.0 gw 172.20.0.1
3-я WinXP: 172.20.0.4 netmask 255.255.255.0 gw 172.20.0.1
4-я WinXP: 172.20.0.5 netmask 255.255.255.0 gw 172.20.0.1
5-я WinXP: 172.20.0.6 netmask 255.255.255.0 gw 172.20.0.1

Хотя, должен Вас сказать, Вы выбрали не совсем удобные (красивые) адреса или маску подсети. Если используется маска подсети 255.255.255.0, то желательно избегать таких адресов как "x.x.0.x"

Для маски подсети 255.255.255.0 я бы предпочел:
172.20.1.1, netmask 255.255.255.0 - сервер
172.20.1.2, netmask 255.255.255.0, gw 172.20.1.1 - WinXP1
172.20.1.3, netmask 255.255.255.0, gw 172.20.1.1 - WinXP2
172.20.1.4, netmask 255.255.255.0, gw 172.20.1.1 - WinXP3
172.20.1.5, netmask 255.255.255.0, gw 172.20.1.1 - WinXP4
172.20.1.6, netmask 255.255.255.0, gw 172.20.1.1 - WinXP5

Или, использовал-бы маску подсети 255.255.0.0

172.20.0.1, netmask 255.255.0.0 - сервер
172.20.0.2, netmask 255.255.0.0, gw 172.20.0.1 - WinXP1
172.20.0.3, netmask 255.255.0.0, gw 172.20.0.1 - WinXP2
172.20.0.4, netmask 255.255.0.0, gw 172.20.0.1 - WinXP3
172.20.0.5, netmask 255.255.0.0, gw 172.20.0.1 - WinXP4
172.20.0.6, netmask 255.255.0.0, gw 172.20.0.1 - WinXP5

Аватар пользователя CMEX

Re: Домашняя сеть

Ясно. Но как быть с DNS? Т.е. какие серверы прописать в настройках сетевой карты ХР? Или ХР машина будет использовать DNS Linux машины?

Аватар пользователя sergeil

Re: Домашняя сеть

Цитата:
CMEX писал:
Ясно. Но как быть с DNS? Т.е. какие серверы прописать в настройках сетевой карты ХР? Или ХР машина будет использовать DNS Linux машины?

Если Вы настроите на Linux-машине кэширующий DNS сервер, то можете пользовать Linux-машину. Обычно я так и делаю.
Но если используется NAT, то можна указать DNS сервера, которые Вам предоставил провайдер...

Аватар пользователя CMEX

Re: Домашняя сеть

Цитата:
sergeil писал:

Если Вы настроите на Linux-машине кэширующий DNS сервер, то можете пользовать Linux-машину. Обычно я так и делаю.
Но если используется NAT, то можна указать DNS сервера, которые Вам предоставил провайдер...

Приехали :-?

Аватар пользователя sergeil

Re: Домашняя сеть

Цитата:
CMEX писал:

Цитата:
sergeil писал:

Если Вы настроите на Linux-машине кэширующий DNS сервер, то можете пользовать Linux-машину. Обычно я так и делаю.
Но если используется NAT, то можна указать DNS сервера, которые Вам предоставил провайдер...

Приехали :-?

Поднятие кэширующего DNS сервера сводится к установке 2 пакетов:
1. bind
2. caching-nameserver

Проверьте, что-бы запуск сервиса осуществлялся при старте системы... У меня система стартует в "runlevel 3"

[sergeil@homedesk RPMS]$ chkconfig --list | grep named
named 0:выкл 1:выкл 2:выкл 3:вкл 4:выкл 5:выкл 6:выкл

Настройте NAT(MASQUERADE) или подымите PROXY (SQUID). Ваши внутренние адреса не будут маршрутизироватся в интернете.

Аватар пользователя CMEX

Re: Домашняя сеть

Понял. Начинаю изучать. Сейчас отстраиваю Linux машину у одного провайдера с кабельной сетью, а окончательно работать машина должна у другого провайдера с ADSL. В связи с этим NAT или SQUID наверное предпочтительнее. Но настривать буду через Webmin/ Графический интерфейс как-то привычнее.

Аватар пользователя Archont

Re: Домашняя сеть

Настройка DNS сервера - дело весьма непростое, поэтому предпочтительнее для вас использовать любые публичные DNS сервера (т.е. можно подставить адреса серверов разных провайдеров, тут главное, чтобы он вам отвечал не взирая на ваш адрес), как подсказал sergeil.
DHCP - зачем он вам? Это дополнительный потенциальный источник разнообразных головных болей.

Если результат вам нужен уже вчера. Ответьте СЕБЕ на вопрос, чего вы собственно хотите. Если вы хотите быстро сконфигурировать сеть под линукс, найдите специалиста в своем городе (и заплатите денег, если потребуется). Если вы хотите настроить сеть под линукс самостоятельно - читайте документацию, в первую очереди Руководство администратора сети.

Если вы изберете второй путь, то маленький советик вам. В целях безопасности не подключайте ваш шлюз к интернет надолго, пока ваш файрволл не пройдет аудит. Аудит - это либо вы пишете ваши правила сюда (если доверяете коллегам), либо в приват кому-то, либо сканируете порты вашего шлюза извне. В противном случае вы можете незаметно влететь на весьма немаленькие деньги.

Последнее. Если вам дорого ваше время, и если для вас на самом деле важен результат, НИКОГДА не пользуйтесь графическими конфигурялками. Загляните в любой конфигурационный файл сколько-нибудь сложного сервиса (например samba.conf), там вы увидите массу комментариев и примеров, что и как следует делать. Графические конфигурялки зачастую вырезают все с их точки зрения лишнее, и дай вам бог настроить сразу все правильно, и больше никогда не перенастраивать! Если же вам не повезет, то самое оптимальное после "работы" такой конфигурялки - переустановка пакета с угробленным файлом конфигурации. Это касается и Webmin, хотя и в меньшей степени, чем разные другие приблуды. Кроме того, Вебмин - это дыра в вашей защите.

Аватар пользователя CMEX

Re: Домашняя сеть

Спасибо всем за ответы и рекомендации

Цитата:
Archont писал:
Настройка DNS сервера - дело весьма непростое, поэтому предпочтительнее для вас использовать любые публичные DNS сервера (т.е. можно подставить адреса серверов разных провайдеров, тут главное, чтобы он вам отвечал не взирая на ваш адрес), как подсказал sergeil.

DNS мне нужен для локальных компьютеров с ХР. В свойствах подключения нужно указать адрес DNS сервера. А для того чтобы указать DNS провайдера мне и нужно настроить Linux машину соответствующим образом.

Цитата:
Archont писал:
DHCP - зачем он вам? Это дополнительный потенциальный источник разнообразных головных болей.

Как посоветовал sergeil, устанавливать DHCP я не буду, а пропишу адреса на ХР машинах вручную.

Цитата:
Archont писал:
Если результат вам нужен уже вчера. Ответьте СЕБЕ на вопрос, чего вы собственно хотите. Если вы хотите быстро сконфигурировать сеть под линукс, найдите специалиста в своем городе (и заплатите денег, если потребуется). Если вы хотите настроить сеть под линукс самостоятельно - читайте документацию, в первую очереди Руководство администратора сети.

Вопрос не в деньгах. Можно было тупо настроить XP, который мне знаком и не мучаться с сетью. Мне интересно настроить сеть самостоятельно под Linux. Для чего и была куплена коробочная версия ASPLinux v10 Deluxe, хотя сейчас понимаю, что в этой версии для установки шлюза нет нужды.

Цитата:
Archont писал:
Если вы изберете второй путь, то маленький советик вам. В целях безопасности не подключайте ваш шлюз к интернет надолго, пока ваш файрволл не пройдет аудит. Аудит - это либо вы пишете ваши правила сюда (если доверяете коллегам), либо в приват кому-то, либо сканируете порты вашего шлюза извне. В противном случае вы можете незаметно влететь на весьма немаленькие деньги.

Что получено после использования iptables-save:
# iptables-save
# Generated by iptables-save v1.2.11 on Thu Sep 1 17:40:58 2005
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [73273:32910180]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu Sep 1 17:40:58 2005
Что мне проделать дальше?

Цитата:
Archont писал:
Последнее. Если вам дорого ваше время, и если для вас на самом деле важен результат, НИКОГДА не пользуйтесь графическими конфигурялками. Загляните в любой конфигурационный файл сколько-нибудь сложного сервиса (например samba.conf), там вы увидите массу комментариев и примеров, что и как следует делать. Графические конфигурялки зачастую вырезают все с их точки зрения лишнее, и дай вам бог настроить сразу все правильно, и больше никогда не перенастраивать! Если же вам не повезет, то самое оптимальное после "работы" такой конфигурялки - переустановка пакета с угробленным файлом конфигурации. Это касается и Webmin, хотя и в меньшей степени, чем разные другие приблуды. Кроме того, Вебмин - это дыра в вашей защите.

Я бы с удовольствием выложил здесь всю конфигурацию Linux машины, с целью Аудита, но не знаю как это сделать. Во время последней установки, были загружены практически все пакеты с установочных дисков. Что и как можно убрать безболезненно я пока не знаю. А графический интерфейс немного понятнее, особенно после перехода из ХР к Linux. Как мне удалить Webmin и другие потенциально опасные приложения? Какие именно? Возможно ли это сделать через установку и удаление приложений?

Спасибо,
СМЕХ

Аватар пользователя Archont

Re: Домашняя сеть

Цитата:
CMEX писал:
Спасибо всем за ответы и рекомендации

Вопрос не в деньгах. Можно было тупо настроить XP, который мне знаком и не мучаться с сетью. Мне интересно настроить сеть самостоятельно под Linux. Для чего и была куплена коробочная версия ASPLinux v10 Deluxe, хотя сейчас понимаю, что в этой версии для установки шлюза нет нужды.

Что получено после использования iptables-save:
# iptables-save
# Generated by iptables-save v1.2.11 on Thu Sep 1 17:40:58 2005
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [73273:32910180]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu Sep 1 17:40:58 2005
Что мне проделать дальше?

Я бы с удовольствием выложил здесь всю конфигурацию Linux машины, с целью Аудита, но не знаю как это сделать. Во время последней установки, были загружены практически все пакеты с установочных дисков. Что и как можно убрать безболезненно я пока не знаю. А графический интерфейс немного понятнее, особенно после перехода из ХР к Linux. Как мне удалить Webmin и другие потенциально опасные приложения? Какие именно? Возможно ли это сделать через установку и удаление приложений?

Спасибо,
СМЕХ

1) Если умеете настраивать интернет-шлюз под ХР, настройте. А с линуксом разбирайтесь потихоньку на обычной рабочей станции. Вы с вашим уровнем знаний можете нанести весьма существенный вред вашей локальной сети и попасть на довольно приличные деньги (сотни или тысячи долларов), если сами будете конфигурировать шлюз под линукс.

2) Ваши правила для iptables не выдерживают никакой критики с точки зрения обеспечения безопасности.

3) Врядли кому-нибудь интересна вся совокупность ваших конфигурационных файлов. Здесь никто не занимается бесплатной настройкой серверов. Здесь люди подсказывают или помогают решить конкретную проблему.

Резюме: срочно ставьте шлюз под известной вам осью или нанимайте специалиста для установки шлюза под линукс, и отправляйтесь на www.linux.org.ru в раздел документации, FAQ и собственно на форум (ищите поиском ответы на ваши вопросы), а также на www.asplinux.ru, community.asplinux.ru, ну и на этом сайте уже очень много чего есть.
LOR написал первым, т.к. там на мой взгляд лучшая подборка ссылок на документацию и русскоязычные HOW-TO, а также лучший из известных мне FAQ.

Еще парочка хороших и полезных ресурсов:
http://unix.ginras.ru/
http://rus-linux.net/
http://www.bog.pp.ru/

А здесь вас научат строить файрволл на iptables:
http://linuxportal.ru/entry.php/1730_0_3_0_C

Аватар пользователя CMEX

Re: Домашняя сеть

Цитата:
Archont писал:

1) Если умеете настраивать интернет-шлюз под ХР, настройте. А с линуксом разбирайтесь потихоньку на обычной рабочей станции. Вы с вашим уровнем знаний можете нанести весьма существенный вред вашей локальной сети и попасть на довольно приличные деньги (сотни или тысячи долларов), если сами будете конфигурировать шлюз под линукс.

2) Ваши правила для iptables не выдерживают никакой критики с точки зрения обеспечения безопасности.

3) Врядли кому-нибудь интересна вся совокупность ваших конфигурационных файлов. Здесь никто не занимается бесплатной настройкой серверов. Здесь люди подсказывают или помогают решить конкретную проблему.

Резюме: срочно ставьте шлюз под известной вам осью или нанимайте специалиста для установки шлюза под линукс, и отправляйтесь на www.linux.org.ru в раздел документации, FAQ и собственно на форум (ищите поиском ответы на ваши вопросы), а также на www.asplinux.ru, community.asplinux.ru, ну и на этом сайте уже очень много чего есть.
LOR написал первым, т.к. там на мой взгляд лучшая подборка ссылок на документацию и русскоязычные HOW-TO, а также лучший из известных мне FAQ.

Еще парочка хороших и полезных ресурсов:
http://unix.ginras.ru/
http://rus-linux.net/
http://www.bog.pp.ru/

А здесь вас научат строить файрволл на iptables:
http://linuxportal.ru/entry.php/1730_0_3_0_C

Уважаемый Archont,
Во-первых, большое спасибо за конструктивные Катается от смеха предложения, а особенно за ссылки на главные страницы известных сайтов. Наиболее интересным оказался материал http://www.linux.org.ru/jump-message.jsp?msgid=1058857&lastmod=112565207... .
Во-вторых, не пугайте деньгами Катается от смеха . Своми намеками на то, что на этом сайте никто не будет бесплатно оказывать услуги, Вы дискредитируете этот сайт.
И в-третьих, с Вашей конкретной Катается от смеха помощью многие желающие изучить систему Linux и открыть для себя что-то новое, вернутся к более доступному Windows. Не все в душе программисты и не все могут отдавать компьютеру столько времени сколько потребуется чтобы перечитать все сайты о Linux, ведь в коробке с установочными дисками ASPLinux v10 ядро 2.6.9 лежит руководство для ядра 2.4.х, а firewall настраивают при помощи ipfw согласно этого же руководства, а не iptables Блюёт .

Еще раз спасибо и материальных благ,
СМЕХ

Аватар пользователя Archont

Re: Домашняя сеть

Цитата:
CMEX писал:

Уважаемый Archont,
Во-первых, большое спасибо за конструктивные Катается от смеха предложения, а особенно за ссылки на главные страницы известных сайтов. Наиболее интересным оказался материал http://www.linux.org.ru/jump-message.jsp?msgid=1058857&lastmod=112565207... .
Во-вторых, не пугайте деньгами Катается от смеха . Своми намеками на то, что на этом сайте никто не будет бесплатно оказывать услуги, Вы дискредитируете этот сайт.
И в-третьих, с Вашей конкретной Катается от смеха помощью многие желающие изучить систему Linux и открыть для себя что-то новое, вернутся к более доступному Windows. Не все в душе программисты и не все могут отдавать компьютеру столько времени сколько потребуется чтобы перечитать все сайты о Linux, ведь в коробке с установочными дисками ASPLinux v10 ядро 2.6.9 лежит руководство для ядра 2.4.х, а firewall настраивают при помощи ipfw согласно этого же руководства, а не iptables Блюёт .

Еще раз спасибо и материальных благ,
СМЕХ

Вы хотите ВСЕГО и СРАЗУ, НО БЕСПЛАТНО!
Так не бывает. ВСЁ и СРАЗУ можно получить за деньги. Если они вас не пугают Улыбка, получите!
Если не хотите за деньги, можете получить бесплатно, но НЕ ВСЁ или НЕ СРАЗУ.
Поскольку вы-таки хотите ВСЁ, я и отправил вас на главные страницы "известных" сайтов, т.к. судя по вашим вопросам и по правилам iptables читать вам надо ещё очень много, и начинать лучше именно с главных страниц.
Далее, я всё же позволю себе усомниться в том, что вы найдете волонтеров для настройки вашего сервера по переписке, даже на этом уважаемом ресурсе. В самом лучшем случае кто-то может захотеть помочь вам в удаленном администрировании.
Что же до доступности Windows, то этой доступности просто не существует, это кажимость доступности.
Если вы сознательно решили изучать линукс, вы должны свыкнуться с мыслью, что вам придется читать МНОГО разнообразной документации и руководств.

Не пренебрегайте моим советом по поводу отключения вашего Линукс-шлюза от сети и установки шлюза под известной вам осью. В настоящий момент ваша машина доступна для заражения какой угодно гадостью, которая будет непрерывно сканировать весь интернет с целью обнаружения и заражения доступных хостов. За 3-4 дня работы такая хрень вполне способна организовать вам 10-20 гигабайт траффика.

Аватар пользователя lystor

Re: Домашняя сеть

Archont, впредь попрошу вас выражать свои мысли так, чтобы в ваших сообщениях не встречались символы апострофа.
Надеюсь, что вы, а также все остальные посетители форума поняли о чем я.

Аватар пользователя Archont

Re: Домашняя сеть

Николай, на сколько я в курсе, слово "х-р-е-нь" (вынужден вставить пробелы, иначе оно полностью не отображается) в последнее время стало вполне литературным. По крайней мере его никто не может назвать нелитературным. Поэтому мне не совсем понятно, почему движок форума подвергает его обструкции.
Кстати, отправить вам это в "личку" почему-то не смог Грустный(

Аватар пользователя lystor

Re: Домашняя сеть

Цитата:
Archont писал:
Николай, на сколько я в курсе, слово "х-р-е-нь"в последнее время стало вполне литературным.

Archont, я проконсультировался с лингвистом: высказанное вами слово не является литературным.
Первое китайское предупреждение на первый раз прощается.
Наперед всем: у кого в сообщении появляется символ апострофа - это значит, что ваше слово или словосочетание есть в словаре слов, которые не могут встречаться на нашем форуме.
Штрафные санкции приведены в разделе FAQ "Поведение на форуме".

Цитата:
Кстати, отправить вам это в "личку" почему-то не смог

Попробуйте еще раз. Если что - пишите мне на аську или в раздел "О работе сайте" - проверим.

Аватар пользователя sergeil

Re: Домашняя сеть

Цитата:
Archont писал:
Цитата:
CMEX писал:

Давайте отделим технические вопросы от организационных+идеологических и продолжим.

Все вместе обсуждать невозможно...
Тема ушла во флейм.

RSS-материал