Ничто не вызывает большего ужаса, чем невежество в действии

Набожный мусульманин садится в лондонское такси и просит, чтобы водитель выключил радио, ...

Релиз системы сборки CMake 3.15
Sat, 20 Jul 2019 05:56:14 +0300

Выпуск дистрибутива Deepin 15.11, развивающего собственное графическое окружение
Fri, 19 Jul 2019 23:13:20 +0300

Компилятор Rust добавлен в состав дерева исходных текстов Android
Fri, 19 Jul 2019 22:52:34 +0300

Обновление DNS-серверов BIND 9.14.4 и Knot 2.8.3
Fri, 19 Jul 2019 18:38:08 +0300

Выпуск Tinygo 0.7.0, компилятора языка Go на базе LLVM
Fri, 19 Jul 2019 15:07:57 +0300

Google увеличил размер вознаграждений за выявление уязвимостей в Chrome, Chrome OS и Google Play
Fri, 19 Jul 2019 07:52:42 +0300

Релиз системы обнаружения атак Snort 2.9.14.0
Fri, 19 Jul 2019 03:41:22 +0300

В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
Thu, 18 Jul 2019 22:48:40 +0300

В Chrome 76 будет блокирована лазейка для определения просмотра в режиме инкогнито
Thu, 18 Jul 2019 22:16:10 +0300

Обновление Firefox 68.0.1
Thu, 18 Jul 2019 21:24:05 +0300

Релиз Oracle Linux 8
Thu, 18 Jul 2019 19:14:07 +0300

Уязвимость в прошивках BMC-контроллеров, затрагивающая серверы многих производителей
Thu, 18 Jul 2019 11:30:50 +0300

Выпуск дистрибутива для создания межсетевых экранов OPNsense 19.7
Thu, 18 Jul 2019 09:13:24 +0300

Кеннет Рейц в поисках новых мейнтейнеров для своих репозиториев
Thu, 18 Jul 2019 07:16:37 +0300

Разработчики Fedora намерены прекратить формирование репозиториев для архитектуры i686
Wed, 17 Jul 2019 18:21:36 +0300

ISO-образы дистрибутива Nitrux стали платными
Wed, 17 Jul 2019 17:05:31 +0300

Возобновление работы по интеграции поддержки Tor в Firefox
Wed, 17 Jul 2019 10:53:05 +0300

В Firefox 70 страницы открытые по HTTP начнут помечаться как небезопасные
Wed, 17 Jul 2019 10:47:46 +0300

Релиз дистрибутива Network Security Toolkit 30
Wed, 17 Jul 2019 10:05:03 +0300

Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
Wed, 17 Jul 2019 09:23:11 +0300

Релиз Proxmox VE 6.0, дистрибутива для организации работы виртуальных серверов
Tue, 16 Jul 2019 23:48:06 +0300

Выпуск VirtualBox 6.0.10
Tue, 16 Jul 2019 22:25:48 +0300

Релиз PowerDNS Recursor 4.2 и инициатива DNS flag day 2020
Tue, 16 Jul 2019 11:11:34 +0300

Неофициальный Telegram-клиент MobonoGram 2019 оказался троянским ПО
Tue, 16 Jul 2019 08:21:25 +0300

Компания Epic Games пожертвовала 1.2 млн долларов Blender и развивает продукты для Linux
Tue, 16 Jul 2019 06:27:05 +0300

Выпуск дистрибутива Q4OS 3.8
Mon, 15 Jul 2019 23:51:19 +0300

Microsoft открыл код Quantum Development Kit для разработки квантовых алгоритмов
Mon, 15 Jul 2019 21:44:07 +0300

В зависимостях к npm-пакету с установщиком PureScript выявлены вредоносные изменения
Mon, 15 Jul 2019 13:43:23 +0300

В ночных сборках Firefox для Linux активирован WebRender для видеокарт NVIDIA
Mon, 15 Jul 2019 09:35:10 +0300

Представлен CoreCtrl 1.0, для привязки настроек оборудования к приложениям
Mon, 15 Jul 2019 08:52:25 +0300

Выпуск прокси-сервера Squid 4.8 с устранением критической уязвимости
Sun, 14 Jul 2019 19:17:07 +0300

Выпуск распределённой СУБД TiDB 3.0
Sat, 13 Jul 2019 23:08:34 +0300

Выпуск проекта DXVK 1.3 с реализацией Direct3D 10/11 поверх API Vulkan
Sat, 13 Jul 2019 22:50:17 +0300

Сведения об утечке паролей 33 млн пользователей Livejournal.com в 2014 году
Sat, 13 Jul 2019 12:14:17 +0300

Facebook открыл код JavaScript-движка Hermes
Fri, 12 Jul 2019 21:26:47 +0300

Релиз системы распознавания текста Tesseract 4.1
Fri, 12 Jul 2019 10:18:59 +0300

Разработчики Haiku развивают порты для RISC-V и ARM
Fri, 12 Jul 2019 09:27:46 +0300

Выпуск дистрибутива Clonezilla Live 2.6.2
Fri, 12 Jul 2019 09:00:53 +0300

Основатель QEMU и FFmpeg опубликовал JavaScript-движок QuickJS
Thu, 11 Jul 2019 23:10:38 +0300

Выпуск платформы для интернета вещей EdgeX 1.0
Thu, 11 Jul 2019 20:52:36 +0300

Настраиваем свою сеть VPN через L2TP VPN сеть-сеть с использованием IpSec OpenS/WAN
Настройка

В этом разделе мы последовательно рассмотрим все этапы построения сети и возможные проблемы возникающие в ходе настройки и эксплуатации.

Итак будем считать что наша сеть на первом этапе содержит 10 рабочих мест и один сервер. У нас установлен 1 16-ти портовый switch, у которого после подключения наших компьютеров осталось 5 свободных разъемов (вопросы по сборке аппаратной части рассмотрены в разделе «железо»).

Далее нам необходимо составить таблицу IP адресов, имен хостов, доступных для хоста служб, дисковых квот, адресов e@mail.

пример:

IP

имя

службы

квоты

e@mail

192.168.100.1

alex

SAMBA, Mail, WEB

/ (hda1)–200mb

/home (hdb5)-1gb

alex@myco.ru

IP адреса локальной сети должны быть 192.168.x.x , диапазон соответствует спецификации локальных сетей и игнорируется в internet. Напомним, что спецификация предусматривает три диапазона так называемых частных IP адресов, они могут использоваться в локальных сетях по усмотрению эксплуатирующей организации, но не должны появляться в интернете.

Вот эти зарезервированные диапазоны:

10.0.0.0 – 10.255.255.255/8 (16777216 хостов)

172.16.0.0 – 171.31.255.255/12 (1048576 хостов)

192.168.0.0 – 192.168.255.255/16 (65536 хостов)

Диапазоны принадлежат к разным классам сетей, для небольших офисов удобнее всего использовать адреса класса С, что мы и делаем.

И не забывайте, IP адреса назначаются не компьютерам, а сетевым интерфейсам, т.е. на одной машине может быть несколько одновременно действующих сетевых интерфейсов с разными адресами. В Linux также возможно присвоение каждому сетевому интерфейсу нескольких IP адресов, делается это с помощью команды ifconfig

пример:

ifconfig eth0:1 192.168.200.251 netmask 255.255.255.0

Если набрать после этой команды ifconfig без параметров можно увидеть примерно такой вывод:

linsrv:/ # ifconfig
eth0 Link encap:Ethernet HWaddr 00:04:76:21:A9:E9
inet addr:192.168.200.250 Bcast:192.168.200.255 Mask:255.255.255.0
inet6 addr: fe80::204:76ff:fe21:a9e9/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:27148270 errors:0 dropped:0 overruns:1 frame:0
TX packets:27549390 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3559403842 (3394.5 Mb) TX bytes:2777330446 (2648.6 Mb)
Interrupt:9 Base address:0xd800

eth0:1 Link encap:Ethernet HWaddr 00:04:76:21:A9:E9
inet addr:192.168.200.251 Bcast:192.168.200.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:9 Base address:0xd800

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:390849 errors:0 dropped:0 overruns:0 frame:0
TX packets:390849 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:458446193 (437.2 Mb) TX bytes:458446193 (437.2 Mb)

linsrv:/ #

В выводе видно, что сетевой интерфейс eth0 имеет два ip адреса. Кроме того возможна и смена MAC адреса сетевого интерфейса:

ifconfig eth0 down
ifconfig eth0 hw ether 00:00:00:00:00:00
ifconfig eth0 up

Новый MAC 00:00:00:00:00:00, но мы отвлеклись от темы, и так после подготовки всех необходимых данных, мы приступаем к настройке сервисных служб на нашем сервере. Начинаем с создания 10 учетных записей для наших сетевых машин (создаем юзеров с именами из составленной таблицы). Следующий шаг – выделение дисковых квот для юзеров. Это необходимо сделать, если вы не желаете в будущем бороться с проблемами из-за того что пользователь "ula" забил все свободное место на дисках видеофильмами или еще какой-нибудь дрянью.

Добавляем для квотируемых файловых систем в fstab в список параметров usrquota, после чего строка выглядит примерно так:

/dev/hdb2   /home  reiserfs  exec,dev,rw,usrquota  1 2

Файловые системы после этого надо перемонтировать, можно просто перегрузить сервер. Далее по порядку:

quotaon -u /dev/hdb2
quotacheck -vu /dev/hdb2
setquota -u feo 0 100000 0 0 /dev/hdb2

Теперь квоты в разделе /home включены и пользователь feo получил квоту в этом разделе в 100000b. Для остальных пользователей повторяем только последнюю команду. Желательно включить квоты во всех разделах, даже если присутствие юзера в разделе не предполагается.

После этого приступаем к настройке DNS, я рекомендую также настроить SAMBA и WEB, (статьи по настройке этих служб приведены в соответствующих разделах). Не лишним будет настроить и почту, даже если компьютеры находятся в одном помещении, наличие почтовой службы может заметно облегчить работу.

Во время настройки и запуска DNS в системном журнале (/var/log/messages) будет отображаться загрузка и работа службы имен, информации в журнале достаточно, чтобы разобраться с возникающими неполадками. Со временем, при росте сети, подключения новых подсетей, конфигурация службы будет усложняться, но на первом этапе необходимо создать минимальную конфигурацию и убедиться что служба работает. В целом настройка DNS не вызывает проблем, главное правильно написать файлы конфигурации.

Файловый сервер SAMBA настроить еще проще чем DNS т.к. вся настройка содержится в единственном файле smb.conf, правильность которого можно проверить с помощью команды testparm, единственную сложность может вызвать настройка уровня безопасности и создание файла паролей, но если все сделать по инструкции приведенной в разделе SAMBA, все пройдет гладко. Кроме того для отображения кириллицы следует использовать параметр unix charset = koi8-r. После запуска сервиса

/etc/rc.d/smb start

можно выполнить smbstatus и увидеть примерно следующий вывод.

linsrv:/ # smbstatus

Samba version 3.0.2a-SUSE
PID Username Group Machine
--------------------------------------------------------------
7274 feo users fera2 (192.168.100.10)

Service pid machine Connected at
--------------------------------------------------------------
garant 7274 fera2 Fri Jul 13 08:14:29 2007
Locked files:
Pid DenyMode Access R/W Oplock Name
--------------------------------------------------------------
7274 DENY_NONE 0x20089 RDONLY NONE /users/export/smb/GARANT/garant.exe Fri Jul 13 08:14:29 2007

linsrv:/ #

В данном случае к ресурсу уже подключился пользователь feo, который использует "Garant".

Наиболее сложно конфигурировать вебсервер. Не потому, что настройка каким-то образом запутана, а потому, что Apache имеет очень гибкую систему настроек, и следовательно варианты настроек просто безграничны. В самом простом случае любой дистрибутив Linux включает в себя вебсервер, сконфигурированный по умолчанию и способный отображать один сайт. Для этого нужно скопировать файлы своего сайта в каталог htdocs (в SuSe - /srv/web/htdocs), настроить отображение кириллицы, добавить в фаил mod_mime-defaults.conf строки:

# For russian, more than one charset is used (depends on client, mostly):
AddCharset WINDOWS-1251 .cp-1251 .win-1251
AddCharset CP866 .cp866
AddCharset KOI8-r .koi8-r .koi8-ru
AddCharset KOI8-ru .koi8-uk .ua
AddCharset ISO-10646-UCS-2 .ucs2
AddCharset ISO-10646-UCS-4 .ucs4
AddCharset UTF-8 .utf8

и запустить Apache.

На последнем этапе, после того как все службы настроены и работают, настраиваем сетевую фильтрацию и если есть необходимость подключения в Internet настраиваем NAT с помощью IPtables. Это необходимо сделать на последнем этапе, потому, что неправильная настройка фильтра может привести к неработоспособности сетевых служб, и будет сложно выяснить почему не работает служба, из-за неправильной конфигурации или из-за невозможности прохождения жизненно важных для службы пакетов.

В конечном итоге сеть должна соответствовать одной из схем приведенных в разделе Монтаж сети, в этом случае вы будете себя чувствовать в относительной безопасности, а ваша сеть будет максимально стабильна и производительна, тем самым окупая потраченные на неё деньги. Да , и не забывайте - хороший администратор (обязательный элемент хорошей сети) - решит все ваши проблемы (в пределах своей компетенции разумеется :)).

НОВОСТИ: Выпуск дистрибутива для создания межсетевых экранов OPNsense 19. ... Thu, 18 Jul 2019 09:13:24 +0300

После 6 месяцев разработки представлен выпуск дистрибутива для создания межсетевых экранов OPNsense 19.7, который является ответвлением от проекта pfSense, созданным с целью сформировать полностью открытый дистрибутив, который мог бы обладать функциональностью на уровне коммерческих решений для развёртывания межсетевых экранов и сетевых шлюзов. В отличие от pfSense, проект позиционируется как неподконтрольный одной компании, развиваемый при непосредственном участии сообщества и обладающий полностью прозрачным процессом разработки, а также предоставляющий возможность использования любых своих наработок в сторонних продуктах, в том числе коммерческих. Исходные тексты компонентов дистрибутива, а также используемые для сборки инструменты, распространяются под лицензией BSD. Сборки подготовлены в форме LiveCD и системного образа для записи на Flash-накопители (290 Мб).

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome