unsorted ~ Разные вопросы по Linux

Вопросы по Linux задаём здесь

C нами с 09.04.2005 Репутация: **0.1**

Очень хочу: mocp + crossfade , может у кого получалось..?

Возраст: 47 C нами с 17.10.2005 Репутация: **347.3**

может задам глупый вопрос, но этот показатель ОС является неотъемлемой частью ее надежности. На сколько Linux живуч, в плане регулярного "тупого отключения питания" т.е. когда система завершает свою работут не корректно ???

На работе настраивал роутер, чисто NAT, DHCP и ничего более, 5 месяцев назад, ОС на основе FreeBSD ( http://m0n0.ch/wall/ ). Исходя из 5-ти месячного опыта его работы, могу с уверенностью заявить, это абсолютно не убиваемая вещь !!! Системник ежедневно, иногда по несколько раз в день (проблемы с электричеством) тупо выключали с кнопки на БП. И при всем при этом вообще никаких проблем, свою задачу он выполнял ровно и как надо, не глючил, курс выживания, который я ему устроил он с уверенностью прошел, вобщем зачет Улыбочка

К NATу в комплект понадобился еще и файловый сервер. Решил не париться, на это же самое железо (на уровне продвинутого 3-его пня) воткнул Win_2003_Server, все настройки заняли 15 минут, НО, раз в неделю система жестко кидается на синий экран и больше из него не возвращается (несколько раз переустанавливал ее с образа) Весело

не выдерживает регулярного, не корректного завершения работы. Вобщем не зачет, пришлось снести.

Несколько дней назад поставил на это же самое железо Debian_5.0 (чисто консольный, с самым минимальным набором компонентов). Поднял NAT, VPN (PPTP), DHCP, SAMBA (WINS, NETBIOS), DNSMASQ. Все работает, пока ровно и прямо, уже несколько дней сервак уверенно восстанавливает свою работу с моим утренним приходом на работу и не требует ручного вмешательства, после некорректного завершения его работы. Вобщем тест только недавно стартовал и находится в самом разгаре, делайте ваши ставки дамы и господа Весело

На сколько его хватит ???

C нами с 16.11.2006 Репутация: **455.1**

Журналируемые ФС, как мне кажется, форсе!

Возраст: 47 C нами с 17.10.2005 Репутация: **347.3**

Dio NTFS тоже журналируемая, не выдерживает такого обращения сама ОС или твердо отваливается NAT на 2003-ей винде. Приходилось убивать службу и заного ее конфигурировать. Или просто синий экран смерти, причем в кротчайшие сроки, из 3-ех попыток сервак не протянул и недели Улыбочка

C нами с 09.04.2005 Репутация: **0.1**

ext3 унылое поделие... Которое надо регулярно проверять через fstab заветные циферки... Если поставить там нолики, и погонять сервер годик без проверок - прощай FS. Пережил на себе это лично. Больше ext3 не хочу. Не зря ведь проверка делается каждые 30 ребутов... Это всё не очень страшно, но 250 гб. информации проверяются час... А террабайт..? А файловая помойка из 5 терабайт..? - Нет. + Мороки с 5 процентов под нужды root... Плюс ещё 20 гиг не пойми куда... Плюс место под журнал + тюнить надо... Надоело.

Пока пробую жить с jfs. Всё ок.

Возраст: 50 C нами с 01.03.2005 Репутация: **226.6**

DALDON, что за циферки?
У меня 2.5 террабайта под ext3, примерно пару лет - проблем не возникало.
Периодические проверки выполняются быстро.
Что за морока с 5%? Зарезервированный объем настраивается за полторы секунды. Улыбочка

Я его только на системном разделе оставил.

C нами с 09.04.2005 Репутация: **0.1**

Griphon, логично, что он на системном разеделе и нужен только. И настраивается он не сложно... man tune.fs и man mk3fs но, дело не в этом:

Griphon, http://unsorted.ru/viewtopic.php?p=691252#691252 - Ваше же сообщение... И это тоже: http://unsorted.ru/viewtopic.php?p=691508#691508

А вот и мои : http://unsorted.ru/viewtopic.php?p=764065#764065 и так далее...

А вот и циферки... После параметров.

UUID=845ebf36-8af4-4bd6-9373-e92366f71abb /home           ext3    defaults        0       2

Возраст: 50 C нами с 01.03.2005 Репутация: **226.6**

DALDON, не понял про "ext3 унылое поделие". Улыбочка

Что ты имел в виду?
С зарезервированным объемом я разобрался и убрал его.
После этого потери объема практически нет. У ext есть особенность - объем под inode и журнал выделяется заранее. Из-за этого на террабайте "теряется" примерно 15 гигов.
На NTFS, про который я писал, происходит примерно то же самое, но драйвер ntfs-3g полный размер раздела возвращает равный размеру физического раздела, а ext - за вычетом служебного объема. Вот и появляются "потери".

Возраст: 47 C нами с 17.10.2005 Репутация: **347.3**

Вопрос такого плана, если поднимать корпоративный VPN сервер, то по какому протоколу это лучше сделать, интересует именно выбор из PPPoE и PPTP. В чем разница между ними, я не могу никак понять, есть ли плюсы и минусы одного над другим ???

Возраст: 44 C нами с 05.04.2005 Репутация: **121.1**

PPPoE по моему работает на уровне Ethernet, то есть два соединяющихся компьютера должны находится в одной подсети, иначе они не увидят MAC адреса друг-друга и не смогут запустит PPP other Ethernet.

PPTP работает поверх IP и может маршрутизироваться хоть сквозь весь интернет.

Возраст: 34 C нами с 17.10.2006 Репутация: **52.1**

seb писал(а):

два соединяющихся компьютера должны находится в одной подсети

Не обязательно.PPPoE соединение может маршрутизироваться в любые подсети и отличается от PPTP в основном тем, что не использует при подключении и передаче данных стек TCP/IP, а пользуется какой-то альтернативой модели OSI. PPPoE соединение считается более стабильным и защищенным.У московских провайдеров наблюдается тенденция перехода от VPN к PPPoE.
Еще есть чудо NAT соединение (используется теперь в Прогтехе, по крайней мере в моейм доме Улыбочка

). Для выхода в интернет по принципу NAT требуется только подключение по локальной сети.На пользовательскх ПК вручную ничего настраивать не надо, все делает DHCP.При включении компьютера сразу работает и локальная и глобальная сети - очень удобно.Привязка и иденттификация пользователя идет по МАС адресу.

Возраст: 47 C нами с 17.10.2005 Репутация: **347.3**

Valenok писал(а):

Не обязательно.PPPoE соединение может маршрутизироваться в любые подсети и отличается от PPTP в основном тем, что не использует при подключении и передаче данных стек TCP/IP, а пользуется какой-то альтернативой модели OSI. PPPoE соединение считается более стабильным и защищенным.У московских провайдеров наблюдается тенденция перехода от VPN к PPPoE.

вот что говорит про это Вики http://ru.wikipedia.org/wiki/PPPoE

Цитата:

Работа PPPoE осуществляется следующим образом. Существует Ethernet-среда, то есть несколько соединённых сетевых карт, которые адресуются MAC-адресами. Заголовки Ethernet-кадров содержат адрес отправителя кадра, адрес получателя кадра и тип кадра. Одну из карт слушает PPPoE сервер. Клиент посылает широковещательный Ethernet кадр, на который должен ответить PPPoE сервер (адрес отправителя кадра — свой MAC-адрес, адрес получателя кадра — FF:FF:FF:FF:FF:FF и тип кадра — PPPoE Discovery). PPPoE сервер посылает клиенту ответ (адрес отправителя кадра — свой MAC-адрес, адрес получателя кадра — МАС-адрес клиента и тип кадра — PPPoE Discovery). Если в сети несколько PPPoE серверов, то все они посылают ответ. Клиент выбирает подходящий сервер и посылает ему запрос на соединение. Сервер посылает клиенту подтверждение с уникальным идентификатором сессии, все последующие кадры в сессии будут иметь этот идентификатор. Таким образом, между сервером и клиентом создается виртуальный канал, который идентифицируется идентификатором сессии и MAC-адресaми клиента и сервера. Затем в этом канале поднимается PPP соединение, а уже в PPP пакеты упаковывается IP-трафик.

и каким же образом его можно маршрутизировать в другую подсеть ??? Улыбочка

C нами с 15.04.2005 Репутация: **133.2**

seb писал(а):

PPP other Ethernet

Другой Ethernet такой другой Смайлик

C нами с 22.01.2007 Репутация: **136.4**

Товарищи, подскажите еще маленький вопросик, как реализовать правильно NAT в убунту? В данный момент на шлюзе крутится прокси, через него и сижу, но это не совсем то что хотелось бы Грустно

Имеется два интерфейса:
eth0 - на который приходит авиэловская сеть, и eth1 - который раздает адреса в локальную домашнюю сеть.

После запуска впн, ifconfig кажет ppp0 - с внешним инетовским ИП адресом.

Как правильно заставить работать нат, чтобы тот пробрасывал в домовую локалку и инет и локальную сеть авиэла.

Я нарыл скрипт фаирвола в инете:

#!/bin/bash

OUT="eth0" # Имя исходящего интерфейса, смотрящего в интернет.
OUTADDR="10.110.155.141" # Адрес исходящего интерфейса
IN="eth1" # Имя входящего интерфейса, смотрящего в локальную сеть
INADDR="192.168.1.10" # Адрес входящего интерфейса
NETWORK="192.168.1.0/254" # Адресация вашей локальной сети
ANYWHERE="0.0.0.0/0" # Назначение, любое.
PORTS="1024:65535" # Порты, которые считаются локальными
MULTICAST="224.0.0.0/4" # Мультикаст пакеты, если у вас не используется оставьте как есть,
# если используется IP TV тогда надо удалить этот пункт

ADMINS="192.168.1.10 192.168.1.3" # IP адреса администраторов, имеют полный доступ на сервер, без каких либо ограничений.

##############################################################################################
# Здесь прописаны параметры запуска\остановки\статуса скрипта. лучше не трогайте =)
# Остановка скрипта
case "$1" in
stop)
echo "Shutting down firewall..."

iptables --flush
iptables --delete-chain
iptables --table nat --flush
iptables --table filter --flush
iptables --table nat --delete-chain
iptables --table filter --delete-chain

iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT

echo "...done"
;;
status)
echo $"Table: filter"
iptables --list
echo $"Table: nat"
iptables -t nat --list
;;
restart|reload)
$0 stop
$0 start
;;

##############################################################################################
# Запуск скрипта
start)
echo "Starting Firewall..."
echo ""

# Очистка таблиц и цепочек
iptables --flush
iptables --delete-chain
iptables --table nat --flush
iptables --table filter --flush
iptables --table nat --delete-chain
iptables --table filter --delete-chain

# Назначение глобальных политик фаервола
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

# Загружаем модули, для корректной работы VPN, Active ftp, DCC in IRC которые будут идти через нат.
modprobe ip_nat_ftp
modprobe ip_nat_pptp
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc

# Изменение параметров SYSCTL
# Включение форвардинга
echo 1 > /proc/sys/net/ipv4/ip_forward
# Включение форвардинга для VPN
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
# Увеличение размера очередей
echo 32000000 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
# Время ожидания до закрытия соединения
echo 14400 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
# Время ожидания до посылки FIN пакета
echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait
# Время ожидания до посылки FIN пакета
echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent
# Для защиты от syn флуда
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# Увеличиваем размер backlog очереди
echo 1280 > /proc/sys/net/ipv4/tcp_max_syn_backlog
# Число начальных SYN и SYNACK пересылок для TCP соединения
echo 4 > /proc/sys/net/ipv4/tcp_synack_retries
echo 4 > /proc/sys/net/ipv4/tcp_syn_retries
#Какие порты использовать в качестве локальных TCP и UDP портов
echo "16384 61000" > /proc/sys/net/ipv4/ip_local_port_range
Сколько секунд ожидать приема FIN до полного закрытия сокета
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
# Как часто посылать сообщение о поддержании keep alive соединения
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
# Сколько пакетов проверки keepalive посылать, прежде чем соединение будет закрыто.
echo 2 > /proc/sys/net/ipv4/tcp_keepalive_probes
# Зaпрещаем TCP window scaling
echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
# Запрещаем selective acknowledgements, RFC2018
echo 0 > /proc/sys/net/ipv4/tcp_sack
# Запрещаем TCP timestamps, RFC1323
echo 0 > /proc/sys/net/ipv4/tcp_timestamps
# Уличиваем размер буфера для приема и отправки данных через сокеты.
echo 1048576 > /proc/sys/net/core/rmem_max
echo 1048576 > /proc/sys/net/core/rmem_default
echo 1048576 > /proc/sys/net/core/wmem_max
echo 1048576 > /proc/sys/net/core/wmem_default
# Через какое время убивать соединеие закрытое на нашей стороне
echo 1 > /proc/sys/net/ipv4/tcp_orphan_retries

# Temporary eth0 completely disabled
#iptables -A INPUT -i $OUT -j DROP

# Admins - full control (even dagerous)
for admin_ips in $ADMINS; do

iptables -A INPUT -s $admin_ips -m state --state NEW -j ACCEPT
done

##############################################################################################

# Silently Drop Stealth Scans
# All of the bits are cleared
iptables -A INPUT -p icmp --icmp-type timestamp-request -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
# SYN and FIN are both set
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
# SYN and RST are both set
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
# FIN and RST are both set
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
# FIN is the only bit set, without the expected accompanying ACK
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
# PSH is the only bit set, without the expected accompanying ACK
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
# URG is the only bit set, without the expected accompanying ACK
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP

##############################################################################################

# Multicast - ignore
iptables -A INPUT -s $MULTICAST -j DROP
iptables -A INPUT -d $MULTICAST -j DROP

# any established or related conns are welcome
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Loopback
iptables -A INPUT -i lo -j ACCEPT

# Statistics and auths for customers, ping tests
for net_ips in $NETWORK; do

iptables -A INPUT -p icmp -i $IN --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp -i $OUT --icmp-type echo-request -j ACCEPT

done

############ Открываем нужные нам порты.
# FTP
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
# PASSIVE FTP
iptables -t filter -A INPUT -p tcp -m tcp --dport 50000:50500 -m state --state NEW -j ACCEPT
iptables -t filter -A INPUT -p udp -m udp --dport 50000:50500 -m state --state NEW -j ACCEPT
# APACHE
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT

########### OUTPUT

iptables -A OUTPUT -p icmp --icmp-type timestamp-reply -j DROP

########### NAT Вписываем сюда IP своих компьютеров в локальной сети.

iptables -t nat -A POSTROUTING -s 192.168.1.3 -o $OUT -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.10 -o $OUT -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.4 -o $OUT -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.6 -o $OUT -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.255 -o $OUT -j MASQUERADE

############ PORT FORWARD Сюда вписываем проброс портов локальную сеть.

iptables -t nat -A PREROUTING -p tcp -d $OUTADDR --dport 8230 -j DNAT --to-destination 192.168.1.10:8230
iptables -t filter -A FORWARD -i $OUT -d 192.168.1.10 -p tcp --dport 8230 -j ACCEPT

echo "...done"

echo "--> IPTABLES firewall loaded/activated <--"

##--------------------------------End Firewall---------------------------------##

;;
*)
echo "Usage: firewall (start|stop|restart|status) EXTIF INTIF"
exit 1
esac

exit 0

По сути он работает, но только пробрасывает что-то одно!
Либо локальную сеть:

OUT="eth0" # Имя исходящего интерфейса, смотрящего в интернет.
OUTADDR="10.110.155.141" # Адрес исходящего интерфейса

либо, если я добавлю:

OUT="ppp0" # Имя исходящего интерфейса, смотрящего в интернет.
OUTADDR="93.185.193.138" # Адрес исходящего интерфейса

... интернет.

Как заставить работать и локалку и интернет одновременно в таком случае? А в идеале, есть ли какая нибудь более простая команда в iptables, чтобы это все еще и в автозапуск воткнуть?

Возраст: 38 C нами с 27.06.2005 Репутация: **116.8**

#!/bin/bash

OUT_LOCAL="eth0" # Имя исходящего интерфейса, смотрящего в локальную сеть.
OUT_LOCAL_ADDR="10.110.155.141" # Адрес исходящего интерфейса
OUT_INET="ppp0" # Имя исходящего интерфейса, смотрящего в интернет.
OUT_INET_ADDR="aaa.bbb.ccc.ddd" # Адрес исходящего интерфейса

кусок пропустил - тут без изменений

# Statistics and auths for customers, ping tests
for net_ips in $NETWORK; do

iptables -A INPUT -p icmp -i $IN --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp -i $OUT_LOCAL --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp -i $OUT_INET --icmp-type echo-request -j ACCEPT

done

(пропущено)

########### NAT Вписываем сюда IP своих компьютеров в локальной сети, которые хотим пускать в локальную сеть

iptables -t nat -A POSTROUTING -s 192.168.1.3 -o $OUT_LOCAL -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.10 -o $OUT_LOCAL -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.4 -o $OUT_LOCAL -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.6 -o $OUT_LOCAL -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.255 -o $OUT_LOCAL -j MASQUERADE

########### а этим совсем повезло, их выпустят в интернет

iptables -t nat -A POSTROUTING -s 192.168.1.3 -o $OUT_INET -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.10 -o $OUT_INET -j MASQUERADE

############ PORT FORWARD Сюда вписываем проброс портов в домашнюю локальную сеть. (для локальной сети)

iptables -t nat -A PREROUTING -p tcp -d $OUT_LOCAL_ADDR --dport 8230 -j DNAT --to-destination 192.168.1.10:8230
iptables -t filter -A FORWARD -i $OUT_LOCAL -d 192.168.1.10 -p tcp --dport 8230 -j ACCEPT