Építsünk Szervert

No title
1. oldal
ptsnk szervert - 0.5.2 (2001.07.20) !

Tartalomjegyzk
Bevezets
Ez az oldal azoknak keszl, akiket a sors rendszeradminisztrcira kenyszert, s a fontos kerdsekben a kvetkez segtsget kapjk: "mivel egy tzfal teleptse s belltsa szmos elvi s megvalstsbeli ismeretet ignyel, itt azt sajnos nincs mdunk rszletesen bemutatni." Slapic-nak ebben, termszetesen igaza van, de ez kb. olyan vlasz, mint amikor egy kezd megkrdezi melyik distrib-et vlassza, s azt mondjk neki, hogy mindegy, mert ugyanaz a kernel van hozz. Szval kszteni kell egy internetes gateway-t, tjrt, de se pnz, se tapasztalat, se semmi, s nem akarjuk rfecsrelni az egsz dlelttt. TUDOM, hogy ettl sokaknak felll a szr a htukon, s ebben IGAZUK IS VAN. Az let azonban bonyolult, s mgiscsak ssze kell hozni valamit. Ha a bels hlon totl amatrk vannak, s csak ideiglenesen, modemmel kapcsolodunk fel egy szolgltathoz, akkor egy alapvet Linux-os ismeretekkel rendelkez ember is ssze tud hozni egy ilyen rendszert. St. ssze kell hoznia, radsul ingyen, grbe pillantsokkal ksrve, a krnyez Win99-es gpek mgl.
Ha valakinek lehetsge van r, akkor krjen meg egy hozzrtt, hogy csinlja meg. Csak vgs esetben forduljon ehez a dokumentumhoz!
Ha valaki magtl nem tudn eldnteni, hogy profi-e, annak egy kis segtsg: Profi az akinek a hibazeneteket tartalmaz jegyzetfzetben nem azok a hibazenetek vannak amiket mr ltott, hanem azok amiket mg nem. A tartalomjegyzk Gefferth Andrs programjval kszlt. Kattints ide ha le akarod tolteni.
Alapismeretek:
Olaf Krich - Linux - halozati adminisztrtorok kziknyve Fred Blutzen, Christopher Hilton - Linux halozatok 2750 Ft A Win95 kliensek jl le vannak rva. Szab - Linux lepesrol lepesre 2??? Ft Linuxvilg folyirat. Klnsen a knny lmok cikksorozat. leen Frisch - Windows NT rendszeradminisztrci. Idzet a knyv 127. oldalrl "s mg tovbbi kettt [tartalmaz - mrmint partcit] (amiket trtnetesen a Linux opercis rendszer hasznl)." Azonnal megvettem. Drga, de j knyv. kb 4000 Ft Peter Norton, Mike Stockman - A hlzati biztonsg alapjairl 2660 Ft Windows (NT, 2000), Novell NetWare, Unix (Solaris, BSD, Linux) Kezdknek. Teht Neked :-) http://www.bmva.hu/linux/jegyzet http://server.kando-misk.sulinet.hu/linuxokt/dolgozat.htm http://server.kando-misk.sulinet.hu/linuxokt/dolgozat.htm SAG-HU 3 helyen http://home.sch.bme.hu/~bekesa/lr/index.html http://to.banki.hu/koli/doc/linux/sag-hu/index.html http://www.szif.hu/~ahorvath/Sag/ Miskolci Egyetem jegyzete:
http://www.szabilinux.hu/server/index.html
2013.09.23. 22:28:56
No title www.iit.uni-miskolc.hu/~vadasz/it02_szgpek/index.html Linux doksik magyarul http://linuxdoc.freeweb.hu/ Kernel fordts (Debian 2.2.x): CHIPTR: Linux 2.2 40-65. (RedHat 2.0.x CHIP 1998 julius 104-106) PAM: hitelests. CHIP 2001 prilis. 144-146. X terminlok ptse: http://linuxgazette.com/issue68/swieskowski.html Ht akor kezddjk.
2. oldal
ppp - kapcsolodas az internetre

CHIP 2000. november 169-170. Az IP hlzat szolgltati oldala. Segyik Istvn: Internet-meteorolgia I. Ha valaki egy egyetemi hlzaton akar egy alhlzatot nyitni - tipikusan egy tanszk szmra - akkor ezt a rszt tugorhatja. Itt emlekeztetnk az ISP trsekre, s egyb kalzkodsokra. Ezen a gpen minimlis mennyisg program fusson, s a rendszeres upgrade elengedhetetlen. Zyxel Omni Ta 128 kls ISDN modemet csatlakoztatok a COM1 ttyS0 portra. (A COM2 hibs :) Kls ISDN modemhez nem kell ISDN tmogats, ha a modem Hayes felletet nyjt. Minicom-mal kapcsolatot ltestek a modemmel. (A modemet s a minicom-ot is be kell lltani, br a default bellts OK szokott lenni.) AT parancsra a modem vlaszol OK ATZ0 reseteli a modemet s elhozza a 0 belltst AT&V kiirja az aktulis belltsokat Mindenflt tud a TA 128. CHAP - PAP konverzitl kezdve Asyncronrl syncronra konverzit is. 158 oldalas kziknyv. Amire vigyzzunk az az ATWn n=0-4 parancs, ami rgzti a belltsokat. Amit az ATZn-nel lehet elhvni. Ha itt nagyon elcsesznk valamit akkor lehet, hogy a legegyszerbb a firmware csere. Norml esetben egybl bejn a gp-modem kapcsolat a minicom-mal, s a minicom el is vgzi a modem inicializlst. Ekkor rjuk be az ATDTszolgltattelefonszm-ot CONNECT 115200/PPP 64000/NONE Mutatja, hogy megvan a kapcsolat. Username: promtnl rjuk be a felhasznli nevet, Password: -re pedig a jelszt. Mr minden OK. Ha Username helyett ~@$##%$##^%$^%$%$&$&^$%&^%^&%*&%&*%&*^&*^% NO CARRIER jn be, akkor ms tipus a szolgltatnl az azonosts. ISDN-nl szinte biztos.
2013.09.23. 22:28:56
No title Namost azta tallkoztam valami TA128 felirat modemmel, nem Zyxel. Annak kellett egy AT!L0=0 is. Figyelmesen el kell olvasni a kziknyvet. Lehet a Matv is a huny. Az ISDN drt vgre dugtunk egy digitlis telefont, s nem tudtunk vrosi szmot trcszni. s most ugyanez komolyabban, rszletesebben cHarley - charley@interware.hu segtsgvel.
3. oldal
Letlts
Kattints ide ha le akarod tolteni. Akarjad. A "/etc/ppp/options" legyen res, mert ez minden soros portra vonatkozik, helyette portonknt opcizunk. [Dadus] Szoval ezzel egyaltalan nem ertek egyet. Vannak olyan opciok (pl ms-dns egy server eseten, meg csomo egyeb) ami minden soros portnal ugyanaz. Akkor minek kulon leirni? Ha valamit nem ott tartunk ahol a helye van, akkor kesobb nehezen fogjuk megtalalni. [cancel] A Matavnet "pap" autentikcit hasznl, vagyis nem scriptel kne bejelentkezned. A kppp autentikcijt "pap" llitsd, az "/etc/ppp/ pap-secrets" file-t ki kne tlteni, a "/etc/ppp/options" tartalmt meg kitrlni. A kppp-nek meg mg bellitani, hogy a "pppd"-t debug opcival inditsa. A Matvnet szerverein nha nem indul el a ppp, nha tbbszr is konektni kell: Feb 24 21:22:26 dadus pppd[918]: sent [LCP ConfReq id=0x1 ] Feb 24 21:22:38 dadus last message repeated 4 times Feb 24 21:22:41 dadus pppd[918]: Terminating on signal 15. Feb 24 21:22:41 dadus pppd[918]: sent [LCP TermReq id=0x2 "User request"] Feb 24 21:22:44 dadus pppd[918]: sent [LCP TermReq id=0x3 "User request"] Feb 24 21:22:47 dadus pppd[918]: Connection terminated. Feb 24 21:22:47 dadus pppd[918]: Exit. Ez az els mai bejelenkezsem, ltszik hogy az els csomagomra nem kldtt semilyen vlaszt, ezrt leidzitett a pppd. [Dadus] Ha az options s a pap-secrets file-ok kztt ellentmonds van, akkor nem megy az azonosts ! Naszal a pap/chap secret file igy nzzen ki: [client(account)] [server(acoount)] [secret] [server IP] nandoraccount matavnet jelszo * matavnet nandoraccount jelszo * A masodik sor akkor kell, ha calback-kal megy, ha ott van, nemsok vizet zavar. Az IP-t vagy beirod vagy don't care "*" [netizen] Egyebek: A KDE kppp-jet hasznalnam, de mindig azt irja ki hogy: /dev/modem locked [Cronos] Egy elz prblkozsbl maradhatott egy lock file, amit nem tudott letrlni valami okbl, gyhogy most akkor manulisan kne trlni. A "/var/lock" knyvtrban valami ilyen file van : LCK...modem , ezt trld le nyugodtan. [Dadus] az Elender web oldaln egsz trheten le van rva lpsrl-lpsre mit kell csinlni a ppp-on, ppp-on-dialer szkriptekkel. (Vgre ezt is megltk, a Linux-ot is jegyzik!) Kiprbltam, nekem mkdik (Red Hat 6.2). A ppp-on-dialer-ben nekem eredetileg "ogin" volt "sername" helyett, ezt trtam, a ttyS0-t meg a sebessget is mindkt szkriptben. A # tail -f /var/log/messages pedig jl mutatja mi trtnik, illetve mi nem trtnik. Arrl rhattak volna tbbet, mit kell tenni, hogy a user-ek is tudjk indtani a ppp kapcsolatot, de ne legynk telhetetlenek, mr ez is valami. Taln a kvetkez verziban... [yoker] Adott egy telefonvonal egy hangpostval megldva. Ha a hangpostra zenet rkezik akkor azt jellegzetes berreg trcsahangal jelzi. Ez a berreg hang egsz addig jelen van amg nem trlm le az zenetet. Ez a rendszer meghibsodott s letrls utn tovbbra is jelen van a berreg trcsahang. A Matv aszt lltja, hogy beszorult a trcsahang s, hogy ez orszgos problma. Ez miatt a modem aszt mondja, hogy nincs vonal. Ettl a hanposta "szolgltatstl" nem tudok megszabadulni mert ez egy trs vonal s a matv aszt mondja, hogy ez jr hozz. n mr mondtam nekik, hogy fizetem tovbbra is a hangposta djt csak vigyk a fenbe nekem nincs r szksgem. A vlasz nemleges. Windows-ban megtudom mondani a modemnek, hogy hadja figyelmen kvl a trcsahangot, ekkor tudok internetre lpni de pdul faxolni mr nem tudok mert a fax programban nincs ilyen belltsi lehetsg. Teht a krdsem az, hogyan lehet a Linux-nak megmondani, hogy ne vegye figyelembe a trcsahangot? [sirkalmi] lehet, hogy ez segt majd. Nem n vagyok ilyen okos, ez is az Elender oldalrl van: "A modem inicializl stringet a sorban talljuk, ezt rjuk t a modem lersban szerepl init stringre (ltalban egy egyszer ATX is megteszi, de lehetsg van a modem 'finomhangolsra', lsd lers). Az ATX egybknt azt eredmnyezi, hogy a modem ne vrjon trcsahangra, hanem 'dumb' mdon lljon neki trcszni. Ez pldul olyan alkzpontok esetn hasznos, amelyek nem adnak szabvnyos trcsahangot."
2013.09.23. 22:28:56
No title A modem init. string-et a kppp-ben is lehet vltoztatni. [yoker]
4. oldal
Dummy: visszahurkol interface, Ethernet-tel nem rendelkez, de SLIP-pel rendelkez (Serial Line Internet Protokol) gpen lland IP cmmel rendelkez eszkz ltrehozsra. Mindez azrt kell, mert egy visszahurkolsi interface lehetsg van a Linux-ban - a 127.0.0.1, namost ha egy alkalmazs a 192.168.1.15 nek akar adatot kldeni, s nincs ilyen aktv eszkz - mivel a gp nincs hlzatba kapcsolva a dummy (nem valdi) eszkz fogadja az adatot. A diald dmon bels kommunikcira hasznlja a SLIP protokollt. Interfszek: eth - hlkrtya lo - loopback, visszahurkol interface. 127.0.0.1 ppp - Point-to-Point Protokol eszkz sl - SLIP eszkz. dummy - dummy eszkz.
ISDN EICON DIVA

/etc/conf.modules vagy /etc/modules.conf file-ba: options hisax type=11 A PCI buszos krtynak ennyi opci elg, meg fogja tallni. Klnben meg az /usr/src/linux/Documentation/isdn/README.HiSax fileba megtallod a hisax modul paramtereit. /etc/ppp/pap-secrets file-ba: internet-account-username ISPneve password * A konnekt script: #!/bin/sh msn=1234567 #sajat hivoszam call=1234567 #ISP hivoszama device=ippp0 local=172.16.1.2 remote=172.16.1.1 account=internet-account-username case "$1" in start) echo "Indit: ISDN *Xylyco* otthon :" echo 7 > /proc/sys/net/ipv4/ip_dynaddr /sbin/hisaxctrl HiSax 7 1 /sbin/isdnctrl system on /sbin/isdnctrl verbose 10 /sbin/isdnctrl addif $device /sbin/isdnctrl eaz $device $msn /sbin/isdnctrl addphone $device out $call /sbin/isdnctrl addphone $device in $msn /sbin/isdnctrl huptimeout $device 99999 /sbin/isdnctrl l2_prot $device hdlc /sbin/isdnctrl l3_prot $device trans /sbin/isdnctrl encap $device syncppp /sbin/isdnctrl dialmode $device manual /sbin/isdnctrl chargehup $device off /sbin/isdnctrl secure $device on /sbin/ifconfig ippp0 $local pointopoint $remote up /sbin/route del default 2> /dev/null /sbin/ipppd /dev/$device debug -detach defaultroute \ remotename ISPneve ms-get-dns \ ipcp-accept-local ipcp-accept-remote noipdefault user $account & ;; stop) echo "Leallit: ISDN *Xylyco* otthon:" /sbin/route del default /sbin/isdnctrl hangup $device /usr/bin/killall ipppd #ez lehet, hogy mashol van, nezd meg a pontos dirt. /sbin/ifconfig ippp0 down /sbin/isdnctrl pppunbind ippp0 /sbin/isdnctrl unbind ippp0 /sbin/isdnctrl delif ippp0 ;;
2013.09.23. 22:28:56
No title restart) $0 stop $0 start ;; *) echo "Usage: isdn-home {start|stop|restart}" exit 1 esac exit 0
5. oldal
Mivel a script-ben a "dialmode $device manual", s nem auto, a konnektlshoz a kvetkez parancs szksges: isdnctrl dial ippp0
A diszkonnekthez: isdnctrl hangup ippp0 vagy lelvd az egsz ISDN konfigot a script-el: isdn-home stop (mr ha te is ugyanezt a nevet adod a scriptnek) Alapban csak a root hasznlhatja, ha ms usernek is engedlyezni akarod, akkor a parancsokat (isdnctrl, ifconfig, route, killall) SETUID-osra kell tenni. llapotot lekrdezni: isdnctrl status all Az ipppd debug-al van indtva a scriptben, az isdn debugot meg a : isdnctrl verbose 1-tl 99-ig parancsal lehet lltani. Van KDE-s progi is hozz, a kisdn, ezt minden disztrib tartalmazza, de mieltt hasznlod a "kcmkisdn" paranccsal konfigolni kell. Nha nem hajland mkdni, ha sokat lltgatja az ember, ekkor parancssorbl: isdnctrl system on s meggygyul. [Dadus]
PPP szerver ksztse:

Persze, ha nem akarjuk, hogy kvlrl csatlakozzanak a rendszernkhz, akkor ez nem kell. Lsd mg: CHIP 2000. jnius 139-142, augusztus 127-128. Kell hozz az mgetty csomag amit minden disztribuci tartalmaz, a pppd ami szintn mindegyik disztriben megvan. De ha callback-re meg az "MSCHAP" azonostsra is szksg van, akkor az eredeti csomagot le kell cserlni: ftp://ftp.elte.hu/pub/linux/ ppp-cbcp/ Az "MSCHAP" autentikcihoz szksges valamelyik "libdes" csomag (azt hiszem RedHat al rpm csomagban is megvan): ftp:// ftp.psy.uq.oz.au/pub/Crypto/DES/ A szabvnyos "CHAP"-hoz ez nem szksges, csak a microsoft ltal mdostotthoz ( ha a windows-okban -lstd: w95 s Plus csomag,w98 "DialUp Server"; NT RAS Server belltsai- aktivlva van a "Microsoft Windows Authentication", akkor csak "MSCHAP"-al engednek be, vagyis ha a linux a cliens akkor az "MSCHAP" nagyon hasznos. A callback-rl a kernel ppp moduljnak is tudnia kell, erre a "/usr/src/linux/include/linux/ppp_defs.h" file-ban van hivatkozs: #define PPP_CBCP 0xc029 /* Callback Control Protocol */ Ha ez nincs meg le kell cserlni egy olyan header llomnyra ami tartalmaza, pl. a callback-os ppp csomag tartalmaz ilyen header file-t. Ez a problma a 2.2.x-es kerneleket nem rinti, csak a rgebbieket. Az "mgetty" bellitsai - Induljon az "/etc/inittab"-bl: mo:45:respawn:/usr/sbin/mgetty -a -D /dev/ttyS1 tt a 4-es s 5-s runlevelen indul (2. mez) a "ttyS1"-en (com2). Szksg szerint ez mdostand. Ezt SuSE-hez csinltam itt a default runlevel a 2-es, az xdm-es a 3-as (ugyanez a RedHat alatt emlkeim szerint a 3-as s az 5-s). Vagyis az mgetty monitorozsa nem indul a default runlevel-en, csak egy "init 4" vagy "init 5" parancs utn. Ezek megegyeznek a 2-es illetve a 3-as runlevellel, az mgetty indtst kivve. Teht az "/etc/rc.d/init.d/rc2.d" s rc4.d directory-k tartalma megegyezik, az rc3.d s a rc5.d szintn ( a szimbolikus linkek msolsra kivl az MC, mert a relatv utvonal hivatkozsokat nem bolygatja). Azrt ez a kevers, mert ha az mgetty nem ltja a modemet, kegyetlen sokat tud hisztizni, s ez periodikusan kpes elkvetni, de ha a modem llandan be van kapcsolva, ez az egsz cc elhagyhat, induljon az mgetty a default runlevelen oszt ksz. Az "/etc/mgetty/mgetty.config"-ban: port ttyS1 debug 8
2013.09.23. 22:28:56
No title data-only y speed 115200
6. oldal
A debug sor csak a belvshez szksges, ha mr stabil elhagyhat. (a "/var/log/mgetty.ttyS1"-be logol) Az "/etc/mgetty/login.config"ban: /AutoPPP/ - a_ppp /usr/sbin/pppd Ezrt j vlaszts az mgetty, mert kpes automatikusan elindtani a pppd-t. A "/etc/ppp/options" legyen res, mert ez minden soros portra vonatkozik, helyette portonknt opcizunk. A "/etc/ppp/options.ttyS1" tartalma: 10.1.1.1:10.1.1.2 netmask 255.255.255.0 -detach debug auth +pap #+chap #proxyarp login name pppserver ms-dns xxx.xxx.xxx.xxx modem lock crtscts callback server debug szintn elhagyhat a belvs utn. Az autentikcit a "+pap" vagy "+chap"-al vlasztunk, a login azt modja meg, hogy a sajt "/ etc/passwd" adatbzisunkkal azonositunk, ez egyuttal azt is jelenti, hogy a behvnak mint vals user-nek lteznie kell a linuxon. Ha ez a megolds nem szimpatikus, a login elhagyhat, de ekkor ki kell tlteni az "/etc/ppp/pap-secrets" vagy a "/etc/ppp/chap-secrets" fileokat, a vlasztott autentikcitl fggen. A "name" sor is ehhez kell a sajt nevnket szabjuk meg. Ebben az esetben pl. pap autentikcit hasznlva: Az "/etc/ppp/pap-secrets"-bl [A dadus user hopi2 jeszval] : # client server secret IP addresses dadus pppserver hopi2 10.1.1.0/24 pppserver dadus hopi2 10.1.1.0/24 Az elbbi "login"-os esetben pedig elg ennyi: * * "" 10.1.1.0/24 Ha van itt tbb bejegyzs is, pl. a kimen dialup-os internet elrs miatt, azoknak ezt meg kell elznik, mivel a ppp sorban viszsglja a file tartalmt, s az els egyeznl lell. Az IP cmnl az els a szerver, a msodik a behv kliens. Amennyiben a bels hlrl osztasz ki IP cmet szksges mg a "proxyarp" opci is. Az "ms-dns"-el el lehet kldeni a wines klienseknek a dns szerver cimt. A "callback server" opcinak rtelemszeren csak akkor hasznlhat, ha a callback-os ppp-t hasznlod. Az "/etc/ppp/callback-users"-ben: dadus * dadus2 1234567
2013.09.23. 22:28:56
No title
7. oldal
Brmilyen telefonszmon visszahvja a "dadus" usert, a dadus2-t csak a megszabott szmon. Ha a sambval ki akarsz ajnlani erforrsokat a ppp keresztl, az "interfaces" opcit kell hasznlni, de vigyzat nem a network cimeket kell ide rni, hanem csak a linux hlzati cmeit. Pl.az eth0 a 192.168.1.1-es cmen van, s egy komplett C osztlyu, a ppp0 meg a 10.1.1.1-en 255.255.255.240-es maszkkal: interfaces=192.168.1.1/24 10.1.1.1/28 [Dadus]
bind - name server

Azt mondjk, hogy rdemes egy Caching-only name servert belltani a ppp-s gpen. Ekkor a name server ugyan nem tud semmit, de tanul. gy cskkenti a halzati terhelst. $rpm -q bind bind-4.9.6-6 Hmmm... lehetne jabb is...Mr csak azrt is mert ezeken a rgi bind-eken mr sok lyukat talltak. /etc/named.boot ; ; Boot file for name server ; directory /var/named ; type domain source file cache . named.root /var/named/root.cache ; Ez a file egy vagy tbb DNS szerverre mutat. . 3600000 IN NS A.ROOT-SERVERS.NET. A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4 ; persze itt fel lehet sorolni mg sok nameservert is, szerintem kettt legalbb ; Az egyik a szolgltat, a msik a bels hln lev name server.3600000: a bejegyzs lettartalma Tapasztalt emberek viszont azt mondjk, hagyjuk a bind-et, legalbbis a PPP-s gpen. "squid is megcsinlja [nvfeloldsok cachelst], default-ba 5 child process-t indt erre: dns_children 5 s a felszabadul memrit oda lehet adni az squid-nak, ami default-ba 8Mb : cache_mem 8 MB" [Dadus] Az rlogin, s az egyb r parancsok, az ftp, s valamirt a telnet ignylik a szmbl nevet feloldst. Meg mg nem is tudom ki. Ezrt gy tnik a nvfelolds egy kritikus terlet. Oda kell r figyelni. Telnet helyett: SSH Linuxvilg: 2001 jan. 48-52, febr/mrc. 62-66 Szoval, hogyha a (telnet) kapcsolodas a lassu, akkor a tcpd ellenorzi a klienst, amihez DNS-t akar kerdezni, de az nem sikerul neki. es ki kell varnia a time-out ot. [NevemTeve] ($ telnet 192.168.1.5 Trying 192.168.1.5... Connected to 192.168.1.5. Escape character is '^]'. hossz sznet. )
2013.09.23. 22:28:56
No title Megoldasok: 1) DNS-szerver beallitasa (reverse mukodes is: IP->name)
8. oldal
2) A szerveren a hosts file-ba felvenni a kliens gpeket, s prioritst adni a hosts filenak a DNS fltt: /etc/nsswitch.conf -ban: hosts: files dns (glibc2 eseten). 3) A szerveren a /etc/hosts.allow file-ba felvenni a klienst ip-cimmel, vagy a lokalis halozat osszes gepet, pl: ALL:10.2.3.0/255.255.255.0 bovebben: man 5 hosts_access [NevemTeve] Hallottam olyan esetrl amikor a Win95-s kliensek valami miatt elkezdtk magukat keresglni, persze a szolgltat name servere sem tudta kiderteni kik is k valjban (ami nem csoda) s mivel nem adtk fel a keresst, s sok gprl volt sz 1000USD (forintban persze) volt a telefonszmla. (Gondolom ha nem lett volna nekik megadva a szolgltat name servere, akkor nem tudtk volna hvni, ha meg a PPP-s gpen fut name server akkor az a negatv prblkozsokat is cacheli, teht nem prblja meg tbbszr megkeresni kint azt a cmet amit egyszer mr nem tallt.) Fontosnak tnik a jl kitlttt hosts file-ok hasznlata. Ez esetben nem is kell tudniuk a PPP gp name serverrl, hiszen Web bngszs gyis a Squid-on keresztl zajlik, a levelez szerver cmt meg megadjuk a Windows hosts file-jban. Pldul a mail.elender.hu cme 212.108.200.67
diald
Most j lenne automatikusan ltrehozni a kapcsolatot. Slapic a 2.2-es CHIP-trban 33-37 oldalakon errl is r. Ahogy kibogarsztam, a pppd kpes erre ha meg tudjuk adni a sajt s a tvoli gp IP szmt. Azt hiszem, ez nem jellemz mivel a szolgltatk dinamikusan osztjk ezt ki. ltalban a diald-ot hasznljk automatikus trcszsra. Ha kell felpti a kapcsolatot, ha kell lebontja. A diald-hoz Linux halozatok 201.oldal. Kiegeszites: Azert, hogy a diald ne nyelje el az elso csomagot: echo 1 > /proc/sys/net/ipv4/ip_dynaddr Ha a connect /etc/ppp/ppp-on-dialer -t hasznaljuk akkor - logikusan - a telefonszmot direktben kell beirni az ATDT$Telefonszam helyett ATDT516000. Illetve ATDT0W516000. /etc/diald.conf mode ppp connect /etc/ppp/ppp-on-dialer device /dev/ttyS0 speed 115200 modem lock crtscts pppd-options name ppp-pc remotename myisp local 192.168.0.1 remote 192.168.0.2 dynamic defaultroute include /usr/lib/diald/standard.filter Ide msolom az egyik diald konfigom ledzsi rszlett (/etc/diald.conf), ez matvos terletre kszlt. Htha msoknak segtek vele, mert ezzel sokat tkldtem, nagyon nehezen rtettem meg a logikjt, htha ms is gy van ezzel. #restrict restrict 07:50:00 17:59:00 1-5 * *
2013.09.23. 22:28:56
No title impulse 780,60 restrict 07:50:00 14:59:00 6-7 * * impulse 780,60 restrict * * * * * impulse 300,3600,60 accept any 120 any
9. oldal
A legals sor azt mondja, hogy 120 mpercig nem vizsgl semmit, utna indulnak az idztsek: az els kt sor szerint htftl pntekig 7:50-tl 17:59-ig 780 mpercig engedi a kapcsolatot fennlni, majd erre jn egy 60 mperces trelmi id, ha nincs forgalom bont, ha van az idztst ujra indtja. A kvetkez kt sor ugyanez szombaton s vasrnap, csak ms idpontokkal. Az utols eltti kt sor a kedvezmnyes idszakra vonatkozik, a trelmi id itt is 60 mperc, de az idzts egy kicsit ms. Az els 300 mpercet nzi, hogy van-e forgalom (lehet, hogy valaki csak a leveleit tlti le, s nem hasznlja ki a kedvezmnyes idszakot), ha van utna mr 1 rra toljuk ki a leidzits rtkt. [Dadus] A csomagtovabbitashoz kell az echo 1 > /proc/sys/net/ipv4/ip_forward Mas tarcsaz programok is vannak pl: masqdialer -kliens progi kell hozz-
squid
J lenne, ha nem tlten le mindenki ugyanazt az oldalt - proxi szervert kell bezemelni. Slapic a 2.2-es CHIP-trban 104-107 oldalakon errl is r. Kolics.pdf helyett txt Az alap squid-ban nem szokott benne lenni az azonosts tmogatsa, ezert jra kell fordtani. configure, make, make install. Az auth_modules-ben van az ncsa_auth ami ezt vgzi. Jelszfile kszts a htpasswd programmal lehet. Lpjnk be a megfelel knyvtrba, aztn: htpasswd -c ./ujfile user1 htpasswd ./rgifle user2 /etc/squid.conf http_port 3128 icp_port 3130 authenticate_program /usr/bin/ncsa_auth /etc/squid/passwd error_directory /etc/squid/errors/Hungarian dns_children 5 acl password proxy_auth user1 user2 acl all src 0.0.0.0/0.0.0.0 acl my src 192.168.0.0/255.255.0.0 acl localhost src 127.0.0.1/255.255.255.255 http_access allow localhost http_access allow password http_access deny all icp_access allow all cache_effective_user nobody
2013.09.23. 22:28:56
No title cache_effective_group nobody cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log Megjegyzs:
10. oldal
Termszetesen a knyvtrak/file-ok neveire, s a futtat user/group valamint a knyvtrak tulajdonosainak belltsaira oda kell figyelni. Lehet squid felhasznlknt is futtatni. Netscape: /edit/preferences/Advanced/Proxies/Manual/gp cme s a port kell. Squid 3128 mint fent is ltszik. SQUID and WIN NT authentikci Tisztelt Hlgyek s Urak. A Mandrake Linux kapcsn volt mr egy kis sz a SQUID proxy szerver hazsnlatrl, de ott nem volt vlasz az NT (SMB) alap authentikcira sem. De mostanra ugy tnik egy darabig eljutottam ennek megoldsban a tapaszatlatok: 1. Mikor rdemes Proxy szervert hasznlni: Ha megfelelen sok useered akar kinzni a netre, ez gy 5-nl tbb akkor rdemes a proxyt belltani, majd ez letlti az oldalt, s ha vki ugyanazt kri, neki is kiadja NET hozzforduls nlkl. Ez sebbesgben s pnzben is jobb;) 2. Mi van ha adott egy NT hlzat, s azt szeretnnk, ha az NT DOMAINben lene megadva a user, s ott azonostannk, hogy ki hasznlhatja a proxyt. Erre a megolds az smb_auth kieg. hasznlata a SQUId-ben. Ez nem teljesen biztos hogy fennt van, ha nincs smb_auth nev prg a gpen (find / -name smb_auth) akkor fordtani kell. Szerencsre az ujabb SUSE biztosan tartalmazza ezt. A azonosts ugy trtnik, hogy az SMB_AUTH ellenrzi a PDC-n hogy van-e a usernek a //PDC/NETLOGON/PROXYAUTH filehoz olvassi joga ha van akkor mr csak a ACL lista alapjn dnti el mi lehet neki csinlni. Kiprbls Az smb_auth -W DOMAIN -U PDC -d paranccs utn br nem ir ki semmit, meg kell adni ausernevet s a passwordot, a -d kapcsolo azt mondja hogy rszletes listt adjon, az utols sz vagy ERR hiba , vagy OK ez kirly Pl: smb_auth -W GDOMAIN -U GPDC -d gamorra *********** Domain name: GDOMAIN Pass-through authentication: no Query address options: -U GPDC -R Domain controller IP address: 128.128.2.1 Domain controller NETBIOS name: GPDC01 Contents of //GPDC01/NETLOGON/proxyauth: allow OK Na ha ilyemit kapsz akkor j. A SQUID-t meg az authentic program rovat kitltsvel lehet rbirni ennek hasznlatra. authentic program -W GDOMAIN -U szerver cime itt tobb auth metodust is ki lehet valasztani, rdemes esetleg a /etc/passwd is beirni igy csak azok akik az NT, vagy magn a szerveren vannak, hasznlhatjk a proxyt. Persze az ACL (acces control list) helyes kitltsvel r lehet birni a usereket a helyes viselkedsre(NO PORNO NO TORGYAN), de errl mg nem tudok rszletesen irni, gy inkbb megkrnm pl TAXIN kollgt irjon a ACL-krl, vagy ppen akinek kedve van. Engem itt az ALL USER megolds rdekelne, nem szeretnm a Usereket egyesvel felsorolgatni, illetve, hogy nem tudtok-e olyan grafikus programot(KDE, NT) amivel az ACL lista GRAFIKUSAN szerkeszthet. Akinek csinlnia kellen ezt nincsen Unixos tapasztalata. Na dv Egyelre ennyi GAMORRA
mail
www.ppke.hu/~pasztor/spam.html Mirt hasznljunk Linux-os levelezszervert ? Ez a levl egy segtsg krs, de egyben figyelmeztets is azoknak, akik nagymennyisg e-mail-t raktroznak merevlemezkn. Pnteken nagy adatvesztssel jr lefagys volt nlunk. A jelensg: Outlook Express-t hasznlunk ( IE4.0-flt ). A szoksos tmrtst vgezte a httrtroln, mikor Dr Watson-nal ( NT figyelmeztetse ) lefagyott az Outlook Express. jraindtskor lthatatlann vltak
2013.09.23. 22:28:56
No title
11. oldal
az egyik mappa ( pont a hivatalos bejv ) utbbi 4 hnap mljei. jbli jraindtssal ismt nekillt tmrteni, mire az eddg csupn tartalmukat vesztett mlek vgrvnyesen eltntek.[Varga Ills Levente] Az outlook express leveleit t tudod konvertlni unixos mailbox formtumra az oe2mbx progival. a freshmeat.net-en rkeresve megtallod.[hORK] A csatolt filek meg kicsomagolhatk (IPM.Microsoft Mail) a www.fentun.com progijval "boot_device_not_accesible" s "nem tallja a windows2000 root system32ntoskernel.exe"-t Ezt nekem egyszer magtl hozta ssze a rendszer. gy, hogy egyik percben mg mkdtt -- majdnem egy vig huzamosan ebben a konfigban ment a rendszer. tbootolam win98-ba, ott matattam a CD-rval, majd visszabootoltam volna W2-be s a fennt lertak. Megprbltam a Repair Disk-el, aszonta a windows2000 root system32ntoskernel.exe nem tallhat, vagy srlt. Pakoljak mindent jra. jrapakoltam. Az sszes mailem elveszett persze. A doksik csak azrt nem, mert ms partcin troltam. Azta mindig "kicsit rettegek" minden bootolsnl. Htha valami misztikus ok miatt most megint... [sztyopka-remix] Vruskeress: http://www.amavis.org/ http://qmail-scanner.sourceforge.net/ http://linux.index.hu/?site=cikkek/avp.html Levelezs telnet segtsgvel telnet mail.elender.hu 25 HELO mail.elender.hu MAIL FROM:< innen@kuldom> RCPT TO:< ide@megy> DATA Subject: teszt Duma es egyebek - miert nem megy az outlook ? . QUIT Levelezs Netscape segtsgvel. A szolgltat POP3 protokollt biztost: Edit/Preferences/Mail &.../Identity email cm-et kell kitlteni valaki@freemail.c3.hu Edit/Preferences/Mail &.../Mail Servers incoming mail servers: freemail.c3.hu server type POP user name valaki outgoing mail server freemail.c3.hu user valaki Ez nem egy szerencss megolds ! Jobb lenne, ha a levlkldst a ppp gp oldan meg, s nem a kliensek csatlakoznnak kzvetlenl a szolgltat levelez gphez. n levlkldsre az internet szolgltat gpt hasznlom, de levl fogadsra egy egyetemi hln lev gpet. Ha valaki segt egy iskolai rendszert letben tartani, annak lehetsge van ilyen viszontszolgltatsokra. Esetleg korul lehet nezni az inter7.com hazatajan, ahol sokfele cuccost lehet talalni amik egymashoz vannak integralva: vpopmail: virtualis domainek es mailboxok kezelese rendszer userhasznalat nelkul (pop3 mailbox anelkul hogy usert kene felvenni a gepre a delikvensnek, tobb domainen, stb.) sqwebmail: webes mail felulet, egesz kellemesnek tunik, SSL-t is enged hasznalni bejelentkezeshez (nem tudjak lesniffelni a passwordodet), qmail es vpopmail tamogatas. courier-imap: IMAP4 server qmail-hez es vpopmail-hez. qmailadmin: adminisztracios felulet qmail, vpopmail, sqwebmail, ezmlm-hez. ezmlm: ez nem ott van a valtozatossag kedveert, ez egy levlistakezelo qmail-hez. [Finrod] A Szab fle knyvben van Exim lers. qmail-t meg vpopmail-t hasznalom. Azzal semmi gondom, csak hogy van egy ket feature amit meg hianyolok (de mar csinaljak), meg hogy kis kavaras van a debian csomaggal, ami miatt meg nem megy hozza a qmailadmin (de dolgoznak rajta). Az sqwebmail az elvileg megy a debianos vpopmail-el is, de nem probaltam. A debianos csomagokat a kovetkezokepp tudod begyujteni: qmail: (A 14. CHIP trban van rla lers Nagy Balzs-tl julian7@kva.hu * 80-85. oldal) letoltod a mirrorrol a qmail-src es az ucspi-tcp-src csomagokat (az unstable-t nyugodtan). http://www.szabilinux.hu/server/index.html 2013.09.23. 22:28:56
No title
12. oldal
ezutan build-ucspi-tcp es build-qmail Fel is installalhatod a csomagokat nyugodtan. Kozben elolvasgatod a qmail doksit piciket, hogy legyen rola fogalmad, milyen kellemes mailszerver is ez. Beallitod a ket beallitandot: (lasd README.Debian) 1. ~alias/.qmail-postmaster file valami ertelmeset tartalmazzon, vagy legyen postmaster usered. 2. Ha pine-t akarsz hasznalni akkor a /etc/pine.conf-ban: sendmail-path=/usr/lib/sendmail -oem -oi -t (tevedesek elkerulese vegett ez nem a sendmail sendmail file-ja, tehat nehogy megprobald feleroltetni melle a sendmail-t, ha mar levakarta :) 3. Elolvasod a /etc/init.d/qmail-t es amennyiben Maildir-t akarsz hasznalni, akkor annak megfeleloen cselekszel (es letrehozol minden usernek a homejaban a maildirmake paranccsal egy Maildir/ nevu maildirt, uj usereknek pedig automatikusan letrejon ez, ha az /usr/ local/sbin/adduser.local fileba behelyezed a kovetkezo sorokat: if [ -d $4 ] ; then maildirmake $4/Maildir chown -R $2.$3 $4/Maildir chmod -R g-s $4/Maildir fi 4. Korulnezel a /var/qmail/control konyvtarban hogy minden az aminek lennie kell (lasd doksi :) Ekkor van qmail-ed. vpopmail debian csomag: a http://www.sury.cz/Debian sitera elnezel. Ott rogton kapsz is egy szoveget hogy mit rakjal be a /etc/apt/ sources.list-edbe. Ezutan mar csak valogatsz dselect-el (kezdetnek javaslom a libvpopmail-freecdb authentikacios modszert amikor kerdez a dselect). Na akkor sqwebmail. Ehhez mar nem ertek, olvasd a doksit. Qmailadmin: detto. Ezmlm-et erdemes meg felrakni. Kitalalod hogy kell legyartani? :) Felinstallalod az ezmlm-src csomagot. Utana build-ezmlm es kesz vagy (felinstallalod a gyartott csomagot). Hat tovabbi kerdesed van, akkor a kuldj emailt (robi@piros.zold.net) [Finrod] A tcpserver egy kulonallo process minden porton, amit demonkent kell inditani. Igy nem tudjak egyes service-ek semmi koze a tobbihez. Nezd meg a tcpserver man page-et hogy hogy kell vele olyan programot futtatni ami ohozza van irva (ergo a megfelelo parametereket varja el). Inditani legegyszerubb ugy ahogy a qmail-nek a smtp demonat inditja a qmail initscriptje, csak a pidfile-t se art kezelni (talan a -13 verzioszamu csomagban mar benne van az is). Az access control a /etc/tcp.xxxx.cdb fileokban talalhato beallitasok alapjan tortenik. Ez a file binaris adatbazis, a forrasadata a /etc/tcp.xxxx fileban talalhato. Qmail-nel van smtp. Ebbol most fejbol nem tudom hogy lehet kigeneralni a cdb filet, mivel qmail-nel ezt a qmail-newmr progi csinalja, de az c program, tehat nehezen modosithato valoszinuleg. man cdb es probalni irkalni valami megfelelot. [Finrod] A qmail cdb file-jnak generlsa a doksi alapjn nlam gy mkdik (/etc/rc.d/rc.inet2 vge): # Start the tcpserver HyperSuperServer echo "Starting tcprules..." /usr/local/bin/tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp echo "Starting tcpserver..." /usr/local/bin/tcpserver -H -l cooltech.hu -x /etc/tcp.smtp.cdb -v -u 1004 -g 101 \ 0 smtp /var/qmail/bin/qmail-smtpd 2>&1 | /var/qmail/bin/splogger smtpd 3 & [Traxy] A tcprules hivast nincs ertelme a server inditasa ele tenni, ugyanis nem tolti be a filet. A cdb file egy olyan hashelt adatbazis amiben tetszoleges rekordot nagyon gyorsan (ket file seek) meg tudsz talalni kulcs alapjan. Tehat a tcprules-t akkor kell lefuttatni amikor modositod a forrasfilejat. [Finrod] A /etc/tcp.smtp file tartalma: 10.:allow,RELAYCLIENT="" A tcpserver futtatsakor a -H -l cegnev.domain paramtert nem rta a doksi, utlag tettem hozz, mert miutn a tcpservert elindtottam s be akartam telnet-elni a szerverre, mris trcszott a diald. A qmail hivatalos http://www.szabilinux.hu/server/index.html 2013.09.23. 22:28:56
No title levlistjn akadtam erre a megoldsra. [Traxy] Kt qmail-es link: http://www.agria.hu/qmail/top.html (j kiindulsi pont) http://www.i2k.net/~dougvw/mailqueue.html ez utbbi egy kezdknek is knnyen rthet step-by-step teleptsi tmutat telefonos csatlakozs esetre, de van benne nhny hinyossg ill. hiba. 1. a /var/qmail/control/virtualdomains fileba a ":alias-ppp" el be kell tenni a sajt domain nevedet (cegnev.hu), ill. egyb aldomaineket, amik vannak a hln (mail.cegnev.hu stb.) Ha ez nincs ott, akkor a cgen belli levelezs is kikerl az internetre, aminek semmi rtelme. [Traxi] A virtualdomains fileba csak akkor kell a sajat egyeb domainjeidet beletenni, ha nincsenek a locals fileban. Az rcpthosts fileban mindenkepp benne kell lenniuk. A ket szolgaltatohoz csatlakozassal vigyazz, mert csak az egyik fele fognak menni a csomagok amik kifele mennek. A masik csak a penzedet fogja fogyasztani. Mindez azert mert az az interfesz egy darab ip cimet tartalmaz, ahova sose cimzel altalaban packet-et, valamint a linux nem tud ket gateway-t hasznalni. Ahhoz mar router csomag kell. Ha pedig valakinek sikerult ket (kulonbozo) dialupra bekonfiguralni egy router csomagot, akkor tegye kozkinccse legyen szives a dolgot. Keszulunk egyebkent egy olyan szolgaltatast beinditani (Greydeer Networks Kft.) ami lehetove teszi az ETRN-szeru leveltovabbitast dinamikus ip-cimre is. [Finrod] 2. a maildirsmtp, ami tovbbtja a leveleket telefonos csatlakozskor, ignyli mind a fogad, mind a sajt (ltalban dinamikusan kiosztott) IP cmnket. Az ip-up-ban elszr kiderti az IP cmnket, aztn meghvja vele a maildirsmtp-t. Na ez nekem nem mkdtt, gyhogy trtam. Az eredeti gy nz ki: # find own hostname; dynamically assigned! # $4 is the assigned ipaddress, passed along by pppd ME=`host $4|head -1|cut -d" " -f2` echo "$ME" > $QCD/HOSTNAME Ezek utn a $ME vltozt hasznlta a maildirsmtp meghvsakor. Nekem ez gy nem mkdtt. A megolds az, ha a maildirsmtp utols paramtereknt egyszeren "$4"-t runk. Ez tartalmazza a kapott IP cmet. Szerencsre nekem fix IP cmem van, gy ilyen gondom nincs, n arra hasznlom a $4 paramtert, hogy teszteljem, hogy a levelez szolgltathoz (EuroWeb) csatlakoztam e be s csak akkor kldje a leveleket. Ha a diald csatlakozik a Matavnethez (ami az ltalnos internet szolgltatnk), akkor rtelem szeren nem ez lesz az IP cm, gy nem indul a maildirsmtp. [Traxy]
13. oldal
fetchmail
Levlletltsre szolgl kliens. Nem csak POP3 protokollt tmogat. Mkdse: Beolvassa a config file-t Megnzi a tvoli gp postaldjt tadja a leveleket az SMTP szervernknek. Egyfelhasznls postalda esetn a ~/.fetchmail file: poll mail.elender.hu protocol POP3 user cukorfalat password jelszo
2013.09.23. 22:28:56
No title A file-t csak mi olvashassuk ! A fetchmail parancsra leszedi a levelet. Tbbfelhasznls postalda esetn a .fetchmail file: Namost ez mg 7 oldal a Linux hlzatok knyvben ...
14. oldal
IP masquerading
Letlts
Itt megint rdemes cHarley-ra tmaszkodni. A magyar nyelv ipchains-hogyan.tar.gz Az IP lncokrl: CHIP 1999 prilis 154-156, mjus 188-189 A 2.4-es kernel behozta az iptables-t. Hogyan ?
Lssuk, a 2.2 kernel esetn mi van ?

Kernel fordtskor: CONFIG_IP_ALWAYS_DEFRAG = yes Illetve tiltsuk le a nem els fragmentek kijutst. Ez az -f opci. Az ehhez a szablyhoz tartoz esemny DENY legyen. Egyes szolgltatk nem cspik, ha valaki megosztja a modemet, s gy tbben neteznek egy kapcsolatrl. Maszkolshoz egy trkk. Sokig szvtam azzal, hogy nem ment a TCP maszkols a helyi szolgltatval... Mr mindent megprbltam, aztn rjttem, hogy tiltjk azt a porttartomnyt, amit a maszkolskor forrsportknt bellt a gp. Vglis rthet: k ezzel vdik magukat, hogy csak egy vgpont legyen a szeren. De a lnyeg: a kernel forrsban t lehet lltani azt a porttartomnyt, amit hasznl a masq, s ezek utn mr minden mkdik, mghozz gy, hogy a szolgltat errl mit sem tud (nem is tudhat). Az ip_masq.h fjlban (/usr/src/linux-2.x.x/include/net/) kell megkeresni a #define PORT_MASQ_BEGIN sort, s t kell lltani az rtket mondjuk (61000-rl) 8000-re. A 8000-es tartomny ltalnosan hasznlt, szval nem tudjk kitiltani :) Kernelfordts, s install! [bandi_] ltalban j szokott lenni a gyri kernel, de erre nem lehet garancit vllalni. rdemes a felhasznlkat alaposan lekorltozni. Az ipchains -P input ACCEPT meg forward MASQ stb persze lehetv teszi a kliens gpeknek a kijutst, de taln nem szerencss az ekkora szabadsg. Hat igen. Azota felnyomtak az egyik _vedtelen_ 2 eves szerveremet, igy azt mondom upgrade ezerrel, mindent letiltani ami nem nagyon kell. Ez az elso leiras olyan helyzetet mutat ahol kivulrol nem fenyeget semmi, de
korlatozni akarjuk az user-eket.

/sbin/ipchains -P input DENY - ez minden bejv kapcsolatot megtilt. Ezt egsztem ki engedlyekkel. ipchains -A input -s 192.168.2.100/32 -j ACCEPT - A ppp gptl mindent. ipchains -A input -j ACCEPT -i lo - A ppp gptl mindent. ipchains -A input -s ! 192.168.0.0/16 -j ACCEPT - Ez nem j! Kvlrl mindent. ipchains -A input -s 192.168.0.0/16 23 -d 192.168.2.100/32 -p tcp -j ACCEPT - Az intranet gpeit lehet telnetelni a PPP gprl. Beengedi a vlaszt. ipchains -A input -s 192.168.0.0/16 80 -d 192.168.2.100/32 -p tcp -j ACCEPT - A bels www szervereket el lehet rni a PPP gprl. ipchains -A input -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 25 -p tcp -j ACCEPT - Bellrl lehet levelet kldeni. ipchains -A input -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 110 -p tcp -j ACCEPT - s levelet letlteni POP3-al.
2013.09.23. 22:28:56
No title
15. oldal
ipchains -A input -s 192.168.0.0/16 -d 192.168.2.100/32 53 -p udp -j ACCEPT - Elrhet a PPP gp name servere. Ha kell egyltaln name server r. ipchains -A input -s 192.168.0.0/16 -d 192.168.2.100/32 3128 -p tcp -j ACCEPT - Elrhet a squid. ipchains -A input -s 192.168.0.0/16 -d 192.168.2.100/32 -p icmp -j ACCEPT - Meg lehet ping-elni a PPP gpet. ipchains -P forward DENY - Nem tovbbt semmit. ipchains -A forward -s 192.168.2.100/255.255.255.255 -j MASQ - A PPP gprl minden mehet. Kell ez ? Megnzem. ipchains -A forward -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 25 -p tcp -j MASQ - Bellrl maszkolja a levelezst ipchains -A forward -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 110 -p tcp -j MASQ - s a POP3 letltst. Torolni az egeszet: ipchains -F Lista: ipchains -L -n
Ha kvulrol kell vedekezni :

Ez meg nem az igazi. A gep valodi cime _nem_ 193.225.93.163 Ez abbol is lathato, hogy az a gep pingelheto. ipchains -F input - torol ipchains -P input DENY - bejovo tiltva ipchains -A input -s 193.225.93.163/32 -j ACCEPT - onmaga elfogadva ipchains -A input -j ACCEPT -i lo - onmaga elfogadva ipchains -A input -s 192.168.0.0/16 -j ACCEPT - belulrol mindent #EZT NE# ipchains -A input -s 193.225.93.0/24 -p icmp -j ACCEPT - kintrol ping engedelyezese #ESETLEG# ipchains -A input -s 193.225.93.0/24 23 -p tcp -j ACCEPT - innen lehet telnetelni #EZT NE# ipchains -A input -s 193.225.93.0/24 -d 193.225.93.163/32 23 -p tcp -j ACCEPT - ide lehet telnetelni !! ssh !! ipchains -A input -s 193.225.93.1/32 53 -p udp -j ACCEPT - name serverrol fogad ipchains -A input -s 0.0.0.0/0 -d 193.225.93.163/32 143 -p tcp -j ACCEPT - IMAP elerheto - ha kell levelezoszerver a gepre. POP3 eseten a 110es portot kell megengedni. Ha interneten levo levelezoszervert hasznalunk akkor ez nem kell. ipchains -A input -s 0.0.0.0/0 -d 193.225.93.163/32 25 -p tcp -j ACCEPT - SMTP itteni fele elerheto ipchains -A input -s 0.0.0.0/0 80 -d 193.225.93.163/32 -p tcp -j ACCEPT - kulso web szerver elerheto ipchains -A input -s 0.0.0.0/0 110 -d 193.225.93.163/32 -p tcp -j ACCEPT - kulso levelezo szerver POP3-al elerheto ipchains -A input -s 0.0.0.0/0 25 -d 193.225.93.163/32 -p tcp -j ACCEPT - kulso SMTP elerheto ipchains -A input -s 0.0.0.0/0 21 -d 193.225.93.163/32 -p tcp -j ACCEPT - ftp beszelgetes kulso geppel ipchains -A input -s 0.0.0.0/0 20 -d 193.225.93.163/32 -p tcp -j ACCEPT - ftp adat fogadas # Be van toltve az ip_masq_ftp modul ? [Pingvin] # modprobe ip_masq_ftp #Ha nincs (a squid-on keresztl akarunk ellenrizgetni) : # ftp > ls #435 Can't build data connections: Illegal seek. # Viszont, ha a netscape-et vagy az mc-t hasznljuk nem a 20-as, hanem egy # elre meg nem hatrozott portot hasznlunk, azaz a tvoli gp sszes # portjrl indul krst engedlyezni kell. # Persze a modulokat a kernelbe be is kell fordtani. De ez OK szokott lenni. # Fontos modulok mg az irc, quake. Ha valaki irc-zik vagy quake szerveren jtszik.
2013.09.23. 22:28:56
No title ipchains -P forward DENY - tovabbitas tiltva ipchains -A forward -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 -j MASQ - bentrol minden szabad
16. oldal
Az elso peldaban kintrol, a masodikban bentrol volt minden szabad. Ezeket kell osszekombinalni, de gondolom igy jobban at lehetett tekinteni.
Lssuk, a 2.4 kernel esetn mi van ?

----------- minta --------#!/bin/bash # START - delete, deny iptables -F iptables -X newblock iptables -X terblock iptables -X trablock iptables -A INPUT -j DROP iptables -A OUTPUT -j DROP iptables -A FORWARD -j DROP # MASQUERADE : eth0 - inTERnet iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # DEFAULT - deny iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD ACCEPT # NEW iptables -N newblock iptables -N terblock iptables -N trablock # INPUT, OUTPUT -> newblock iptables -A INPUT -j newblock iptables -A OUTPUT -j newblock iptables -A FORWARD -j ACCEPT # SORT # eth0 inTERnet iptables -A newblock -o eth0 -j terblock iptables -A newblock -i eth0 -j terblock iptables -A newblock -i lo -j ACCEPT iptables -A newblock -o lo -j ACCEPT # eth1 inTRAnet iptables -A newblock -i eth1 -j trablock iptables -A newblock -o eth1 -j trablock ############# PORTS START ################# # INTERNET eth0 # # TCP iptables -A terblock -d 192.168.0.0/255.255.0.0 -j DROP iptables -A terblock -s 192.168.0.0/255.255.0.0 -j DROP
2013.09.23. 22:28:56
No title # input tcp iptables -A terblock -i eth0 -p tcp --destination-port 1024:65535 -j ACCEPT # iptables -A terblock -i eth0 -p tcp --destination-port 20 -j ACCEPT iptables -A terblock -i eth0 -p tcp --destination-port 21 -j ACCEPT iptables -A terblock -i eth0 -p tcp --destination-port 22 -j ACCEPT iptables -A terblock -i eth0 -p tcp --destination-port 25 -j ACCEPT iptables -A terblock -i eth0 -p tcp --destination-port 80 -j ACCEPT iptables -A terblock -i eth0 -p tcp --destination-port 143 -j ACCEPT # output tcp iptables -A terblock -o eth0 -p tcp --source-port 1024:65535 -j ACCEPT # iptables -A terblock -o eth0 -p tcp --source-port 20 -j ACCEPT iptables -A terblock -o eth0 -p tcp --source-port 21 -j ACCEPT iptables -A terblock -o eth0 -p tcp --source-port 22 -j ACCEPT iptables -A terblock -o eth0 -p tcp --source-port 25 -j ACCEPT iptables -A terblock -o eth0 -p tcp --source-port 80 -j ACCEPT iptables -A terblock -o eth0 -p tcp --source-port 143 -j ACCEPT # UDP # input udp iptables -A terblock -i eth0 -p udp --destination-port 1024:65535 -j ACCEPT # output udp iptables -A terblock -o eth0 -p udp --source-port 1024:65535 -j ACCEPT # DROP iptables -A terblock -j DROP # INTRANET eth1 # # TCP ############ SaMBa NO !!! ############## # iptables -A trablock -d ! 192.168.1.0/255.255.255.0 -j DROP iptables -A trablock -s ! 192.168.1.0/255.255.255.0 -j DROP # input tcp iptables -A trablock -i eth1 -p tcp --destination-port 1024:65535 -j ACCEPT # iptables -A trablock -i eth1 -p tcp --destination-port 20 -j ACCEPT iptables -A trablock -i eth1 -p tcp --destination-port 21 -j ACCEPT iptables -A trablock -i eth1 -p tcp --destination-port 22 -j ACCEPT iptables -A trablock -i eth1 -p tcp --destination-port 25 -j ACCEPT iptables -A trablock -i eth1 -p tcp --destination-port 80 -j ACCEPT iptables -A trablock -i eth1 -p tcp --destination-port 143 -j ACCEPT # output tcp iptables -A trablock -o eth1 -p tcp --source-port 1024:65535 -j ACCEPT # iptables -A trablock -o eth1 -p tcp --source-port 20 -j ACCEPT iptables -A trablock -o eth1 -p tcp --source-port 21 -j ACCEPT iptables -A trablock -o eth1 -p tcp --source-port 22 -j ACCEPT iptables -A trablock -o eth1 -p tcp --source-port 25 -j ACCEPT iptables -A trablock -o eth1 -p tcp --source-port 80 -j ACCEPT iptables -A trablock -o eth1 -p tcp --source-port 143 -j ACCEPT # UDP # input udp iptables -A trablock -i eth1 -p udp --destination-port 1024:65535 -j ACCEPT # output tcp iptables -A trablock -o eth1 -p udp --source-port 1024:65535 -j ACCEPT # DROP iptables -A trablock -j DROP ############# PORTS STOP #################
17. oldal
2013.09.23. 22:28:56
No title
18. oldal
# END clear iptables -D INPUT -j DROP iptables -D OUTPUT -j DROP iptables -D FORWARD -j DROP # List iptables -n -L ----------- minta vge -------
Tesztels, biztonsg :
http://wigwam.sztaki.hu/ Kattints ide ha le akarod tolteni a Linux-os rszt [2000 mrc 28] A gpek kztti beszlgetsrl: a kliens kld egy SYN szinkronizcis csomagot a szerver kld egy SYN-ACK szinkronizcis + nyugtzs csomagot a kliens kld egy ACK csomagot. s mr mehet is a csevely. a kliens kld egy ACK s FIN csomagot amit a szerver nyugtz egy ACK csomaggal, s vge a kapcsolatnak. Az aktulis kapcsolatokrl tjkozdhatunk: $ netstat -ta Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 helyi.gep.hu:2915 tavoli.gep.hu:telnet ESTABLISHED tcp 0 0 *:www *:* LISTEN Lthat, hogy betelneteltnk egy tvoli gpre, illetve a 80-as www porton vrjuk a webes krseket. A t-TCP, u-UDP, w-RAW, x-UNIX kapcsolatokat mutat. Igen sokoldal program. rdemes megismerkedni vele. RedHat 6.1 (4 CD-s) rendszer esetn kell a SuSE 6.3 els CD-rl az alien A Debian 2.1-rl kt progi, amikbl az rpm-et kell csinlni alien -r libpcap0_0.4a6-2.deb alien -r nmap_1.51-2.deb aztn telepteni. Portpsztzs sorn kldhetnk SYS csomagokat. Ekkor, ha nyitott portot tallunk egy SYN-ACK csomagot kapunk vissza. Ha FIN csomagot kldnk azoktl a portoktl kapunk egy RST csomagot amik mgtt nem fut szolgltats. Nzzk meg a nyitott portokat : # nmap 192.168.1.2 Starting nmap V. 1.51 by Fyodor (fyodor@dhp.com, www.dhp.com/~fyodor/nmap/) Open ports on rendez2.aesop (192.168.1.2): Port Number Protocol Service 23 tcp telnet 135 tcp unknown 139 tcp netbios-ssn s mr ltszik is, hogy a vizsglt NT-re telnet dmon van teleptve. Ttelezzk fel, hogy egy Linux-ot vizsglunk, s nyitva talljuk az 53-as portot Ki lehet mgtte ? #fuser -n tcp 53 53/tcp: 497 Mr ismerjk a program azonostjt, nzzk meg ki is az: #ps aux | grep 497 http://www.szabilinux.hu/server/index.html 2013.09.23. 22:28:56
No title root 497 0.0 0.5 2264 176 ? S May06 0.00 named Teht a name server. J program mg a SATAN. Security Administrator's Tool for Analyzing Networks esetleg Security Analysis Tool for Auditing Networks ? Ezekkel a nevekkel mindig baj van, klnsen ha a nvad is elfelejtette mit jelent. Lsd az fvwm ablakkezelt. A sniffit segtsgvel lehallgathat a hlzati forgalom.
19. oldal
Az /etc/services-ben fel vannak sorolva a megfelel port szmok. Ha IMAP-et akarunk POP3 helyett hasznlni, akkor a 143-as port kell a 110-es helyett. Kell a pop-99.11.2-1.i386.rpm csomag (SuSE 6.3), vagy az imap 4.5-3 (RedHat 6.0), UPGRADE !!! valamint engedelyezni kell az /etc/ inetd.conf -ban ami kell. De ami nem kell azt tiltsuk le !!!!!! inetd helyett xinetd terjed Linuxvilg 2001 febr/mrc: 67-69 A Linuxrol meg annyit, hogy kis odafigyelessel sokat lehet javitani a biztonsagan. Alapveto dolog, hogy nem hagy olyan szolgaltatast futni a gepen az ember, amire nincs szukseg: ha egy TCP porton nincs senki, akkor nehezebb rajta bejonni, mintha egy hasznalaton kivuli, igy alkalmasint bekonfiguralatlan szolgaltatas valaszol rajta... Eloszor is nezzunk bele a /etc/rc.d-be, milyen modszerrel inditja az egyes runlevelek futo dolgait az adott disztribucio. En inkabb szeretem (es hasznalom) a System V felet, ezert azt irom le, mashol lehet, hogy maskepp kell. Ja, es van szep X-es config utility - en inkabbazt irom le, ahogy tutti mukodik... Tehat a /etc/rc.d/init.d-ben vannak a telepitett cuccok indito-leallito scriptjei, ezeket inditja el az rc. konyvtarakban talalhato linkek alapjan a kernel, mikor az adott runlevelt inicializalja. A K nevu rc. link ramutat az init.d-ben a hozza tartozo scriptre, amit egy "stop" parameterrel fog elinditani, es leallitja az illeto szolgaltatast, majd a S linkek altal mutatott scripteket egy "start" parameterrel mindezt a szamok sorrendjeben. A feladvany egyszeru: az S kezdobetut kell kis beture cserelni (a Linux case sensitive !), igy az adott szolgaltatas daemonja nem fog elindulni. A K-t nem kell bantani - legfeljebb olyat akar leallitani, ami nem is indult el. A torles azert nem szerencses, mert akkor macerasabb a visszallitas, ha egyszer megis kell. Masik hasonlo dolog a /etc/inetd.conf. Ebben is szolgaltatasok vannak. Ha pl. erkezik egy kerelem a telnet (23-as, lasd meg /etc/services) portra, akkor azt elkapja az Internet daemon, akinek a configja az inetd.conf. Ebben megkeresi (szinten /etc/services alapjan), hogy erre a portra neki van-e valakije, akit raindithatna, majd nagy orommel konstatlja, hogy van, meghozza: telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd Vagyis a telnet porton egy TCP kapcsolatot kerelmezo szamara elinditja a tcpd nevu programot azzal a parameterrel, hogy in.telnetd. (Kozben van meg socket tipus, protocol, flagek es a felhasznalo, akinek a jogaival ezt teszi.) Ha ezt a sort kikommentezzuk ('#' a sor elejere, majd inet daemon restart: /etc/rc.d/init.d/inet restart), akkor a telnet keresekre a gep tobbe nem fog valaszolni, mert az inetd elutasitja a 23-as porton bejovo kereseket. Ha a sor elejen a telnet szot a /etc/ services-ben megtalalhato masra csereljuk ki (vigyazat, portszamot kozvetlenul nem irhatunk ide, mindenkeppen kell a /etc/services!), akkor akar mas porton lehet betelnetelni a gepbe. Igazabol azonban nem ez a modja, ha a nyilt Internet fele egy portot akarunk szabadon hagyni magunknak - erre inkabb az SSH valo, de errol majd a legkozelebb. Ertelemszeruen a /etc/inetd.conf tobbi bejegyzese is ertelemszeruen mukodik, es hasonloan kommentezheto, modosithato tetszes szerint. De azert esszel es atgondolva, mit is teszunk veluk... :-) Kovetkezo lecke: a csomagszuro tuzfal (es talan az IP maszkolas is bele fog ferni...) [Epoilacoda]
Aprsgok
A route tbla
/etc/sysconfig/network (RedHat) GETAWAY belltsai resek legyenek. [ppp]# /sbin/route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.0.2 0.0.0.0 255.255.255.255 UH 1 0 2 sl0 192.168.1.0 192.168.2.1 255.255.255.0 UG 0 0 24 eth1 192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 1 eth1 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 7 lo 0.0.0.0 0.0.0.0 0.0.0.0 UG 0 0 58 sl0
2013.09.23. 22:28:56
No title
20. oldal
Naplzs
File: syslog.conf # Log all kernel messages to the console. # Logging much else clutters up the screen. *.* /var/log/syslog ipchains -A input -l s ha be van lltva a fenti naplzs, akkor minden kls prblkozs a syslog file-ba gylik. iptraf ? Szines, szagos, majdnem jo (halokartya-azonosito alapjan szamol byte-okat, vagy IP alapjan general csomaglog-ot (azaz utolag egy xferstats.proftpd-stilusu scripttel lehet belole olyan format gyurni, amit te szeretnel))... [Alen]
Tvoli adminisztrls
Webmin program - Chip 2000 dec. 156-158. oldal
Intranet szerver - SaMBa - Munkacsoport

Leiras: usingsamba.pdf [O'Reilly - llatos knyvek - 411 oldal] A Kossuth kiad lefordtotta, s kinyomtatta samba nven. n 2400-rt vettem, de vannak akik lltjk, hogy 4500-ba kerl. sambawin.pdf [Mohari Andrs (GDF) - 74 oldal] fellelhet: www.linux-perfect.hu/letolt.html Teleptsnk egy gyri SaMBt. Ezutn tltsk le a SaMBa forrst. ./configure make make install Ezutn szerkesszk t az /etc/rc.d/init.d/smb vagy samba file-t A start-ba kell egy: export TMPDIR=/tmp sor, mert a /root/tmp-be akarnak egyes SaMBk rni, ami ugye nem sikerl. Jelensg: user nem tud az smbclient -L gpneve -U userneve listt kapni. Meg az elrsi utakat is t kell rni. Pl: daemon /usr/local/samba/bin/smbd -D Keressk meg az eredeti samba file-okat, trljk s linkeljk be a helykre az /usr/local/samba/bin meg etc cuccot. Tapasztalataim szerint az SMB (Microsoft) nem egy bombabiztos rendszer. A munkacsoportban lehet olyan gp is, amely megoszt knyvtrakat, mgsem jelenik meg a Browse(tallzs) dobozban. Ezekre a gpekre ennek ellenre is megprblhatunk rcsatlakozni.[Hlzatkezelsi segdlet - Microsoft Press] Vegyk szre a megprblhatunk kittelt. Szerintem ne hasznljuk programok trolsra, mert az user ideges lesz, ha nem indulnak a programjai. Az adatokat legrosszabb esetben t lehet floppy-zni. Clszernek tnik egy Linux-os SaMBa szervert zemeltetni s a kliensekre Windows Commandert rakni. Ekkor ftp-vel is elrhetk az adatok. (A Linux-on fusson a wu-ftpd) Ha a Linux-on mindent jl megcsinltunk, s mgsem mkdik a rendszer akkor lehet, hogy a windows kliens bnzik. Pl egy Win3.11 azt irkssza ki nekem, hogy kb: A szerver nem kpes a megosztsokat kilistzni. Mieltt file servert ksztnk, nem rt megnzni mit tud a winy: # /sbin/hdparm -t /dev/hda /dev/hda: Timing buffered disk reads: 32 MB in 7.02 seconds = 4.56 MB/sec Ez gz. Lass mint a fene.
2013.09.23. 22:28:56
No title Adott seagate u10 egybknt udma66-os vinyo de most ata33-as buszon. mrs: hdparm -t /dev/hda Default: 4.23 MBbps hdpram -i 1 /dev/hda (32 bites md be): 7.88 MBps hdparm -i 1 -d1 /dev/hda (+ dma md): 9.32 MBps hdparm -i 1 -d 1 -X 66 /dev/hda (+udma mod be, habr a csipszet I440BX): 16.62 MBps [netizen] Ha mr a vinyrl van sz: Az fdisk segitsgvel rdemes kirni a particis tblt. Komplett partici lementse (floppyval prbld ki elszr) : cat /dev/fd0 | gzip > /mnt/tavoligep/floppyment Particis tbla feldert progi: gpart
21. oldal
A 2. alhlzaton 192.168.2.x van egy linux-os gp amely kapcsolatot biztost a klvilggal. A neve legyen ppp.felugy.aeszom 192.168.2.100. Adott kt alhlzat, amelyeket egy linux-os router kt ssze. (A rendszer iditasgai rszben fizikai (felhasznlk elhelyezkedse), rszben trtnelmi okokra vezethetek vissza)
Lthat, hogy a PPP gpen kt hlzati eszkz van. Teht a tzfalnak kt oldala van. Ha lenne benne egy msodik hlzati krtya, akkor arra r lehetne csatlakoztatni egy www, ftp szervert. Ezt a harmadik hlzati darabot, ami kvlrl is s bellrl is elrhet hvjk demilitarizlt znnak. Persze mindez kt tzfal gppel helyettesthet. Kpzeljnk el egy: Web - Egyetemi hlzat - Tanszki hlzat felllst. Panasz: idnknt nem mkdik az Internet. Kicsit automatizlni kellene a hibakeresst, gy, hogy a felhasznlk lssk, nem a Linux tzfal a sros. Ez a mdszer nem a szakma cscsa, de a kpzetlen felhasznlk bizalmt meg lehet vele nyerni. A windows hosts file-ba vegyk fel a kvetkez gpeket: 192.168.1.65 teszt1 # tanszki web szerver x.x.x.x teszt2 # megbzhat egyetemi web szerver y.y.y.y teszt3 # megbzhat web szerver (ibm, sun) gy a felhasznl a web bngszjvel be tudja azonostani a hiba helyt, illetve azt is meg tudja nzni, hogy az egyetemi routert vagy a name szervert javtgatjk-e. A kt alhlzat kztti router gpen engedlyezni kell a csomagtovbbtst echo 1 >/proc/sys/net/ipv4/ip_forward A kt alhlzat gpei ugyanabba a munkacsoportba tartozzanak. A router legyen a Master Browser s a wins szerver. Ha NT szervert teleptnk felismeri, hogy mr van egy Master Browser, s Backup Browser lesz belle. [Elender szervz] Az alaprtelmezett tjr a router gp legyen. Azaz 192.168.1.1 illetve a msodik alhlzaton 192.168.2.1
2013.09.23. 22:28:56
No title
22. oldal
Van egy Samba NetBIOS forwarder program. A http://malt-whisky.student.utwente.nl/software.html cmen elrhet. The NetBIOS forwarder is an extension for Samba, which enables 'routing' of netbios packets through a masquerading firewall. With this patch it's possible to let backend computers take part in the 'Network Neighbourhood'. You can even share your data on your backend computer with all hosts on your normal LAN! Ha biztosak akarunk lenni, hogy egy WinNT sem fog bekavarni a bngszlistba, lltsuk be a HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Browser/Parameters alatti MaintainServerList vltozt 0-nak. Szveg tipus. Tartomny esetn IsDomainMaster vltoz legyen 0. gy nem prblnak Browser gpek lenni.
IP cmek kiosztsa
Elszr is nevet meg IP szmot kell adni az intraneten levo gpeknek. A vlaszthat tartomnyok: A osztly - 10.0.0.0-10.255.255.255 B osztly - 172.16.0.0-172.31.255.255 C osztly - 192.168.0.0-192.168.255.255 A 192.168.x.x -et illik vlasztani. A gpeknek lehet egyenknt is nevet adni, de ez sokig tart s nehezen vltoztathat. Megoldst a bootp vagy a dhcp jelent. A M$ a WinNT szerverhez ad dhcp szervert. A bootp segtsgvel statikus cmek rendelhetk a gpekhez, dhcp-vel pedig dinamikus, ami akkor jelent elonyt, ha modil gpek csatlakoznak a halozathoz. Megvalsts R6/5.x esetn: Lers a Linux - lpsrl lpsre 200-203. oldal, illetve a CHIPtr LINUX 2.2 70-72.oldal. /etc/bootptab file # .global:gw=192.168.1.1:ds=193.225.93.1:hn:sm=255.255.255.0:dn=aesop:ht=ether:to=-3600: # sopron:ip=192.168.1.2:ha=0x0080C82EFCC8:tc=.global: teszt2:ip=192.168.1.1:ha=0x0000E844A6EE:tc=.global: teszt3:ip=193.225.93.124:ha=0x0000C0CEFAAA:tc=.global: # engedelyezni kell az /etc/inetd.conf -ban (inditas az inetd-vel) es az /etc/services -ben, illetve az rcx.d -kbl indit. Megvalsts R6/6.x esetn: R6/6.0 - dhcp-2.0-3 A bootp s a dhcp sszevonsa /rc.d/init.d/dhcpd daemon /usr/sbin/dhcpd -cf /etc/dhcpd.conf eth1 # Vegyk szre, hogy a bellts egy adott hlzati krtyra vonatkozik ! /etc/dhcpd.conf # shared-network VALAMI { subnet 192.168.1.0 netmask 255.255.255.0 { default-lease-time 600; max-lease-time 7200; option subnet-mask 255.255.255.0; option broadcast-address 192.168.1.255; option routers 192.168.1.1; option domain-name-servers 193.225.93.1; option domain-name "aesop"; } } host sopron{ hardware ethernet 00:80:C8:2E:FC:C8; fixed-address 192.168.1.2; http://www.szabilinux.hu/server/index.html 2013.09.23. 22:28:56
No title } #
23. oldal
DNS - WINS szerver

Mostmr minden gp ismeri nmagt, ismerjen meg msokat is ! A caching only DNS szerver ksztsrl fentebb mr volt sz. Nzzk meg a fenti rajzhoz tartoz DNS szervert. A szerver lehet a router gpen, de mshol is. A Win-es gpeken engedlyezzk a name server hasznlatt. Horvth Zsolt - Minek nevezzelek? CHIP 2000. november. 151-154. oldal. /etc/named.boot ; Sample /etc/named.boot file directory /var/named ; errl mr volt sz: cache . root.cache primary rendez.aeszom named.hosts primary 0.0.127.in-addr.arpa named.local primary 168.192.in-addr.arpa named.rev stub felugy.aeszom 192.168.2.1 named.hosts2 /var/named/root.cache ; ;Itt lehet name servereket felsorolni. Jelenleg ki van kommentezve ; ; last update: Feb 28, 1997 ; related version of root zone: 1997022800 ; ; ; formerly NS.INTERNIC.NET ; ;. 3600000 IN NS A.ROOT-SERVERS.NET. ;A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4 ; /var/named/named.hosts ; /var/named/named.hosts ; @ IN SOA szolg1.rendez.aeszom. root.szolg1.rendez.aeszom. ( 16 86400 3600 3600000 604800 ) IN NS szolg1.rendez.aeszom IN MX 10 szolg1.rendez.aeszom localhost. IN A 127.0.0.1 fire IN A 192.168.1.1 titkarsag IN A 192.168.1.2 szolg1 IN A 192.168.1.5 ; End of File /var/named/named.local ; /var/named/named.local ; @ IN SOA localhost. root.localhost. ( 1 360000 3600 3600000 604800 ) IN NS szolg1.rendez.aeszom. 1 IN PTR localhost. ; ; End of File
2013.09.23. 22:28:56
No title /var/named/named.rev ; /var/named/named.rev @ IN SOA szolg1.rendez.aeszom. ( 16 86400 3600 3600000 604800 ) IN NS szolg1.rendez.aeszom. 5.1 IN PTR szolg1.rendez.aeszom. 2.1 IN PTR titkarsag.rendez.aeszom. 1.1 IN PTR fire.rendez.aeszom. 100.2 IN PTR ppp.felugy.aeszom. ; End of File /var/named/named.hosts2 ; /var/named/named.hosts2 ; @ IN SOA szolg1.rendez.aeszom. root.szolg1.rendez.aeszom. ( 16 86400 3600 3600000 604800 ) IN NS szolg1.rendez.aeszom IN MX 10 szolg1.rendez.aeszom ; fire IN A 192.168.2.1 ppp IN A 192.168.2.100 ; End of File
24. oldal
Most akkor jjjenek a NetBIOS nevek. Ha nem akarunk DNS szervert pteni akkor a hosts.sam file alapjn minden gpen kell kszteni egy hosts file-t. A M$ az NT szerver-hez ad csak DNS szervert, de ms megvalstsok elrhetk munkallomson is. Mint az koztudoms a DOS gpek kis hlzatra kifejlesztett nem routolhato szerencstlensget egytt kell hasznlni a TCP/IP-vel. Eredetileg: -ethernet-NetBEUI-NetBIOS Jelenleg: -ethernet-IP-TCP-NetBIOS(pontosabban NetBT NetBIOS emultor) Teht ne teleptsk a Win-en a NetB***-t mert mr nem kell. Mivel TCP/IP-n fut routolhat. Csak az zenetszrst kell? tjuttatni a router-en. A NetBIOS nv keress sorrendje: Sajt puffer- belltott WINS szerver - nem routolhat csomag segtsgvel WINS szerver keress - lmhosts file - hosts file - DNS szerver. A M$ a WinNT szerverhez ad WINS szervert. Linux-os megvalsts: A SaMBa-hoz tartozik egy nmbd nev program. Ezt kell nmbd -H /etc/lmhosts-knt indtani. /etc/sbm.conf wins support = yes /etc/lmhosts Ezt a file-t NEM hasznlja az nmbd hogy vlaszoljon a nv krdsre. CSAK a loklis szerveren biztost nvfeloldst. Ami elmarad az elvrhat minimumtl. # # Sample Samba lmhosts file. # 192.9.200.1 TESTPC 192.9.200.20 NTSERVER#20 192.9.200.21 SAMBASERVER #
2013.09.23. 22:28:56
No title
25. oldal
Valami keveset mgiscsak tud. Errl a nmblookup -U winserver -R NetBIOS_nv tjkoztat. Illetve hasznlhat mg az smbclient -L NetBIOS_nv -R holkeresse is ahol -R wins, -R lmhosts stb llhat. nmblookup -M '-' pedig sok minden mellett kirja a master browserek listjt. rdemes tanulmnyozni ennek a kt programnak a lehetsgeit. Az smbclient-tel ftp szeren lehet elrni a win-es gpek megosztsait, az smbmount-tal pedig fel lehet azokat mountolni. Hiba: smb: > get read_socket_data: recv failure for 4. Error = Connection reset by peer Broken pipe Kikapcsoltk a Win-es gpet :-) A SaMBa segtsgvel az gy felcsatolt megosztsokat meg lehet osztani, mintha csak egy Linux-os erforrs lenne. Ha a SaMBa a /root/tmp -be akar irni, akkor az inditscriptbe kell egy export TMPDIR=/tmp sor. A M$ SMB alapveten kt hlzati modellel dolgozik: -Munkacsoport workgroup : Egyenrang gpek - minden megosztst gpenknt kell belltani. A bngszst a Master Browser s a Backup Browser intzi. NT-nl 32 gpenknt Win9x-nl 16 gpenknt lp be jabb BB. Az egyes alhlzatokat Master Browser-ek kssk ssze. Hasznljunk NT4 SP3-at, mert annak elfogadhat a halzatkezelse. [Elender szervz] SZVSZ az SP6a is j. Az SP6 hibs !
Nzznk egy smb.conf file-t !

[global] #### Names ####### netbios name = SZERVER workgroup = ETI server string = SaMBa 2.05 #### Char #### # Hogyan rakja fel: character set = iso8859-2 # Kliens : client code page = 850 # make_smbcodepage c /etc/codepages/src/codepage_def.850 /etc/codepages/codepage.850 # esetleg: valid chars = # # Nem mindegy, hogy milyen nyelv, verziszm Wint hasznl valaki, de az sem, # hogy a file-okat grafikus vagy karakteres felleten kezeli. # Nzzk meg Traxy tapasztalatait: # 1. varici (client code page s character set nincs megadva) # -t tartalmaz fileneveket nem lehet elrni, de ltrehozni igen. # 2. varici (client code page s character set = ISO8859-2) # hall. Olyan mappkat file-okat meg sem jelent, amiben van # 3. var. (minden ISO8859-2, mg a windz is) # a win kinzete sszeomlik, nem tudja kezelni az alap fontjait, -t tartalmaz # fileneveket tovbbra sem r el, rdekes s jelek jelennek meg helyett. # 4. var. (client code page, character set = 1250) # ltrehozhat, de aztn nem elrhet. az elz varicikban ltrehozott # llomnyok, amik nem tartalmaznak -t, sem elrhetek. # Az eredmnyt megosztom Veletek: (aki tudja attl bocs) # character set = iso8859-2 # valid chars = 0x8B:0x8A 0xFB:0xEB
2013.09.23. 22:28:56
No title
26. oldal
#Win NT 4.0 SP6a Hun. Az e:\ -rl msoltam f:\ -re. #Vegyk szre, hogy a hossz tkletes, mg az -t nem vitte t. #Lehet knldni Linux oldalon a Win karakterkezelsvel, de ... # #Ez a windows-ra vonatkozik: #Filenevek: A disken trolt filenevek unicode-osak. Ellenben van olyan filekezel funkcihalmaz a win-ben #amely a system locale (kdpdzs) alapjn akarja ltni a fileneveket (8 bites karakterek a filenvben a trolt 16 bites formtum #helyett). Ha az adott karakter nem szerepel a system kdlapon akkor az gy ltszik, hogy a filenv "rvnytelen" #karaktereket tartalmaz s ezrt nem lehet megnyitni. Ebbe akkor futsz bele trivilisan, ha a file tvoli gp megosztott #ktetn van, habr ekkor ilyen betket tartalmaz filenevet nem is tudsz ltrehozni a tvoli kteten. # #Soxor s meglls nlkl sulykoljk rencergizda bcsik, hogy filenvbe nem nyomtathat karaktert, szkzt, kezetes #bett, felkiltjelet, ":"-t ";"-t teht mindent ami nem szmlyegy van angol bet ne tegynk.... #[netizen] #Rszletesen: Kis Balzs: Windows 2000 Haladknyv... 200. oldal # #### Security #### # Akiket elfogad hosts allow = 192.168.2. 192.168.1. 127. # Lehet user, share, server is security = user #Van vendg = nobody, s van jelsz nlkli belps is. guest account = nobody # ez a null... lassthatja a bngszst null passwords = true map to guest = bad password password level = 0 # Win NT SP3 utn titkos jelsz lehetsges. Ha nem akarjuk akkor: # #EnablePlainTextPassword = 1 (dword vagy 32 bites rtk)-et kell ltrehozni a #(illetve W98-as gpen binris van belltva, s az OK) # #Win NT: #HKEY_LOCAL_MACHINES/SYSTEM/CURRENT_C.../SERVICES/RDR/PARAMETERS # #Win 98: #HKEY_LOCAL_MACHINES/SYSTEM/CURRENT_C.../SERVICES/VXD/VNETSUP-ban # #Termszetesen jraindts. # #Win NT 4.0 # #Esemnynapl: Az tirnyt nem tudott vltozkat inicializlni a #rendszerler adatbzisbl - Forrs: Rdr #A hozz tartoz hibazenet : Errl az llomsrl nem lehet bejelentkezni a fikba. #Grafikus felleten, illetve net use esetn krheti eltte a jelszt #de akkor enterre vagy jelsz nem megfelel, vagy a fenti hibazenet #ha jelszt runk be akkor a fenti hibazenet. #A net view-re viszont kilistazhatja a megosztsokat. http://www.szabilinux.hu/server/index.html 2013.09.23. 22:28:56
No title #A hiba forrsa: binris-knt lett ltrehozva a vltoz. # encrypt passwords = yes # #A sambapassword programmal -a opcival lehet j felhasznlt ltrehozni. smbpasswd file = /usr/local/samba/private/smbpasswd invalid users = root admin max connections = 20 #### Logging ########### debug level = 1 max log size = 50 log file = /usr/local/samba/var/log.connections #### Browser behaviour ######### interfaces = 192.168.1.1/24 192.168.2.1/24 lm announce = no lm interval = 0 #J ha a SaMBa a Master Browser local master = yes os level = 250 preferred master = yes #Ha nincs msik WINS szerver, akkor a SaMBa lesz az. #Egybknt no lenne, s meg kellene adni a szerver cimt. wins support = yes wins proxy = no dns proxy = no # Ezeket nzi t: name resolve order = wins lmhosts hosts bcast #### Tuning ########## socket options = TCP_NODELAY SO_SNDBUF=32768 SO_RCVBUF=32768 deadtime = 5 oplocks = yes read prediction = yes read size = 16384 max xmit = 16384 read raw = yes write raw = yes #### Print ######### # Szab Pter: Nyomtats Linux all. CHIP 2000. november 156-158. oldal. printcap name = /etc/printcap load printers = yes printing = bsd ################## [printers]
27. oldal
#Akkor most bemutatom a WinNT multitask kpessgeit. #Pillanat...csak a munkatrsam befejezi a nyomtatst. #Celeron 333 - 64 MB RAM - semmilyen alkalmazas nem fut. comment = HP LJ 4L browseable = no printable = yes public = yes writable = yes # #Teleptsk fel a nyomtatt - Kliens WinNT 4.0 SP4 #Nyomtat hozzadsa varzsl #Hlzati nyomtat \\SZERVER\lp #Hibazenet: A kiszolgln lev nyomtat nem rendelkezik megfelelen #teleptett NULL nyomtat-illesztprogrammal, stb. #Nyomtatni nem fog, csak csinl egy \\SZERVER\lp portot. #Nyomtat hozzadsa varzsl #Helyi nyomtat http://www.szabilinux.hu/server/index.html 2013.09.23. 22:28:56
No title #Nyomtat port: \\SZERVER\lp #Mr megy is a nyomtats. # #Ha a public = no akkor a Win9x OK, de #WinNT 4.0 SP6a vagy SP4 nem nyomtat #Fjlnv, knyvtrnv vagy ktetcimke szintaxisa nem megfelel. #Vagy : nem lehet nyomtatni hibazenetek #ismert nt bug: nt nem kuld usernevet a nyomtato share-hez, csak jelszot #Ket "megoldas" van: #1, guest is nyomtathat #2, nt-bol felveszel egy file share-t, es _utanna_ csatlakozol nyomtatohoz #[LAJBER Zoltan] # #Win98 - a nyomtat offline mdban van hibazenet #Win 98 jratelepts kell. [public] comment = public public = yes path = /home/public browseable = yes writable = no printable = no # #Ugyangy CD-t is meg lehet osztani. # [homes] comment = megosztas path = /home/%u public = yes # #Ha nincs megosztsnv, s nincs felhasznlnv, vagy rossz a jelsz akkor a public = yes, #s a /home/%u [global] guest account = nobody nobody-knt beengedi a felhasznlt. #Kell egy /home/nobody azt kapja mindenki aki rosszul akar belpni. Ez kell, ha az NT bnzik #Kliens WinNT 4.0 SP6a. Ha a fenti yes nincs bent, akkor az llomsrl nem lehet #bejelentkezni a fikba hibazenet rkezik. Igy a /home/nobody knyvtrat kapja #Ha egyltaln nem lehet bejelentkezni egy NT-rl, lehet SP4 vagy 5 is #ezzel a hibazenettel akkor kell csinlni egy ilyen public = yes megosztst #Ha ide tud csak belpni a kliens akkor a password.c szerint # #1) login as the given [adott] user with given password #2) login as a previously [korbbi] registered username with the given password #3) login as a session list username with the given password #4) login as a previously validated user/password pair #5) login as the "user =" user with given password #6) login as the "user =" user with no password (guest connection) #7) login as guest user with no password # #lehet, hogy sem user-nevet, sem megoszts nevet nem kldtt az NT-s gp #s a guest ok = yes miatt jutott be. #Ha user-nevet, vagy megoszts nevet kldtt volna, akkor azon az [user]nven #prbln belptetni a SaMBa. Ha a jelsz ekkor rossz lenne - az lenne a hiba #rdemes a /home/nobody -ban elhelyezni egy hiba file-t, amiben ez le van rva. # #jratelepteni az NT-t ? # #Igy nz ki mindez Linux alol. Se megoszts, se felhasznl. # #/usr/local/samba/bin/smbclient //szerver/nobody -U nobody #Password: MINDEGY, mivel se felhasznl, se megoszts #Domain=[ETI] OS=[Unix] Server=[Samba 2.0.5a] #smb: \> ls # hiba A /home/nobody/hiba file 31 Wed Mar 1 20:00:00 2000 # # 39636 blocks of size 131072. 27085 blocks available #smb: \> q # http://www.szabilinux.hu/server/index.html
28. oldal
2013.09.23. 22:28:56
No title # #Rszletesebb informcit kapunk, ha a [global] rszben #a debug szintet emeljk, pl. 3-ra. Ekkor a log.smb file #gyorsan n, s sok minden ltszik benne. # # browseable = yes writable = no printable = no # #A felhasznlnv s a megosztsnv kzl azt veszi felhasznlnvnek #amelyikhez rvnyes jelsz tartozik #Windows all net use \\szerver\megosztas jelszo /USER:\userneve mdon #kapcsolhat fel. Kattogtatva nem megy, mivel a Windows elszr elkldi amit gondol
29. oldal
#csak aztn krdezi meg mit is kne csinlni - de ekkorra mr be is lpett nobody-knt. #Az brn a public = no eset ltszik - nem lpteti be a SaMBa, hanem visszautastja, gy #lehetsg van megadni a valdi rtkeket. Errl ksbb. # #ha a public = yes, s van /home/nobody s path = /home/%u akkor #azt rakja fel, mindegy ki akar belpni, ha path = %p akkor a / -t. #
Nzznk meg egy alternatv megoldst : public = no

#Az alternatv megolds kattogtatva is megy, mivel nem engedi be a klienst, #es igy lehetoseg van a helyes adatok elkuldesere. #Lsd a fenti kpet. # #Kliens WinNT 4.0 SP4 bejelentkezett felhasznl: usernt #gp netbios neve: ntneve #Megprbljuk a usernt-t kattogtatva felrakni. #log.smb : #Couldn't find user 'ntneve' in UNIX password database. #NT hibazenet : #Hlzatnv nem tallhat # #A nyomorult figyelmen kvl hagyott minden bert adatot #s a netbios nevet akarta felhasznlni user nv helyett #A sikertelensg elkesertette az NT-t, ksbb mr meg sem prblt #csatlakozni a SaMBa szerverhez, csak a hibazenetet kldzgette. #Ha kijelentkeztem s jra bejelentkeztem akkor is. # #Irjuk be a megosztsnevet \\server\user1 #Tltsk ki a Csatlakozas maskent: user1 sort is az els csatlakozskor ! #Ekkor is 'ntneve' felhasznlknt prbl belpni elszr, de aztn j lesz. #Az eredeti problema: #SAMBA-val kiajanlva win9x-es masinaknak a userek homekonyvtarai, #benne a public_html konyvtar. #A userek samba fajl es direktory-inak jogai letrehozaskor
2013.09.23. 22:28:56
No title #0700, ami security szempontbol jo, de igy a vilag nem latja a #weboldalukat. #A megoldas, amit talaltam: #A fajl creation : 0740, ami a csoportjanak enged olvasast. #Ez meg nem olyan rossz - gondolom- ugyis mindenki a sajat #csoportjaban van, szoval ez a tobbieknek nem ad tobb jogot. #A public_html konyvtar csoportjat www-root -ra allitottam (debian #alatt az apache felhasznaloja) es a setgid bitjet is beallitottam. #Ezzel a public_html alatti fajljai olvashatoak az apache szamara, #a konyvtarak meg oroklik a setgid bitet. # #[Borkuti Peter] [homes] comment = megosztas # %p - szolgltats home knyvtrnak a neve. %u szolgltats felhasznljnak a neve # ennek kellene lenni a csatlakozs msknt-nek, de figyelmen kivul hagyhatja a windows. path = %p #path = /home/%u # #Az, hogy /home/%u, vagy a %p a megfelel a kliens dnti el. Azt hasznljuk amelyik muxik. # public = no browseable = yes writable = yes printable = no create mode = 0700 # # # #Kliens WinNT 4.0 SP4 bejelentkezett felhasznl: usernt #SaMBa felhasznlk: user1, user2, user3 #NT felhasznlk: Rendszergazda, usernt #Halozati meghajto csatlakoztatasa #Meghajto: F #Eleresi ut: \\server\homes vagy \\server\user1 #Csatlakozas maskent: user1 # #helytelen a jelszava vagy felhasznaloneve ismeretlen: # #\\server\homes vagy user1 #Csatlakozasi nev: user1 #Jelszo: ******** - user1 samba jelszava # #Ha user2-kent akarok csatlakozni es megadom, hogy #Csatlakozas maskent: user2 #Akkor hibauzenet: #A megadott felhasznaloi nev-jelszo par utkozik #valamely meglevo felhasznaloi nev-jelszo parral. # #Levlasztva az user1 csatlakozst mr be tud lpni user2-knt. # #Levlasztom az user2-t s felkapcsolom az user1-et #Ha a csatlakozs msknt-ben #nem adom meg, hogy user2 akkor megvan a kapcsolat. # #Fel tudom csatlakoztatni az user1-et user 1 jelszval #azutan az user2-t jelsz nlkl - elmentette a jelszt. #user3 csatlakoztatsnl: Hlzatnv nem tallhat # #user1 helyett user2, user2 helyett user3 - ugyanaz #azaz user1 nem csatlakoztathat: Hlzatnv nem tallhat # #user1 s user3 nem csatlakoztathat egyszerre. # #Nem az igazi. # #ppen ezrt hasznljuk a #path = /home/%u http://www.szabilinux.hu/server/index.html
30. oldal
2013.09.23. 22:28:56
No title #formt, br van amikor meg azzal nem csatlakoznak. # #s mg egy rakat szpsg #Az NT hlzatkezelse hagy nmi kvnnivalt maga utn. # #Az NT hibazenetek megjelensnek sebessgbl kvetkezik, hogy meg sem #prblja felpteni a kapcsolatot, megkeresni a gpet. # #Slyos hiba ! A Win98 - Megsrlnek a file-ok ! #A Realtek hlkrtyval van baj. Le kell tlteni a Realtek drivert. [AiRLAC] #Ms hlkrtykban is lehet Realtek chip, akkor is, ha ez nem ltszik. SMC. #Hmmm... Az ftp, ami msik protokoll a hibs driver-rel is OK-san megy. #St, nha ki is rja, hogy szar az adattvitel. Ezek szerint az ftp-zs #biztonsgosabb adattvitelt biztost. #Megbzhatan mkdik - nyomtats, ha sikerl belltani #Az NT nem mindig alkalmas nyomtat szervernek Win98 kliens esetn sem. #Hasznljunk SaMBa nyomtatszervert inkbb. # #Mit lehet akkor csinlni amikor azrt nem lehet az NT-n #megosztsokat csinlni mert: # #A szolgltats [Kiszolgl] lellt a kvetkez hibval: #Nincs elg szabad kiszolgl trolterlet a parancs vgrehajtshoz. # #Szervzcsomagot jra kell telepteni. # #Tancsok: # #A kliensen s a szerveren egyezzen meg a felhasznl neve s jelszava #s j ha a kliens gpnek a netbios neve egyben a felhasznal neve is. #a jelsz csak kisbetket tartalmazzon - alapesetben a Win kisbetsre #konvertlja - s akkor a sajt knyvtr biztonsgosan felcsatolhat #s a publikus anyagok is, amik lehetnek CD meghajtk is. # Namost, ha a Server s a Workgroup csoportban nem szerepel egyetlen gp sem, lehet, hogy betelt a MasterBrowser gp winyja. A log file-okat egyszer-egyszer le is kell zzni...
31. oldal
Intranet szerver - SaMBa - Tartomny

Vannak szerverek s munkallomsok. A szerverek lehetnek PDC - elsdleges tartomnyvezrlk BDC - tartalk domain controler-ek Stand Alone - egyedi szerverek Mindezt teleptskor mr el kell dnteni, mert nem lehet az NT-ket ide-oda pakolszni. Ha vltoztatni kell - akkor JRA KELL TELEPTENI a gpet !
WinNT server 4.0 mint PDC

A tartomnyok elnye a munkacsoportokkal szemben, hogy a felhasznlkat egy gpen tartjuk nyilvn. j felhasznl felvtele a tartomnyba a /Start/Programs/Administrative Tools (Common)/User Manager for Domains j szmtgp felvtele a Tartomnyba: Server Manager / Add Computer To Domain / WINNT WS or Server s adjuk meg a gp NetBIOS nevt. Vegynk fel egy j felhasznlt. A neve legyen linuxuser. Jelszava Lama Hogyan ri el a LINUXWS gprl a linuxuser az NT PDC (TERINFO) szervert ? Ha valaki az ftp szer parancssoros frtelmeket rszesti elnyben: $smbclient -L TERINFO -U linuxuser Added interface ip=192.168.1.1 bcast=192.168.1.255 nmask=255.255.255.0 Connecting to 192.168.1.4 at port 139 Password: Domain=[DOMAIN1] OS=[Windows NT 4.0] Server=[NT LAN Manager 4.0] Sharename Type Comment http://www.szabilinux.hu/server/index.html 2013.09.23. 22:28:56
No title --------- ---- ------NETLOGON Disk Logon server share ADMIN$ Disk Remote Admin IPC$ IPC Remote IPC stat Disk C$ Disk Default share D$ Disk Default share Server Comment --------- ------NTWS TERINFO Workgroup Master --------- ------DOMAIN1 TERINFO A stat megosztst elrni pedig (ha az smbmount nem szimpatikus) $smbclient //terinfo/stat -U linuxuser utastssal lehet. Listzni ls, kilpni exit. Ha hibs a jelsz: session setup failed: ERRDOS - ERRnoaccess (Access denied.) Ha j a jelsz - de ? session setup failed: ERRSRV - 2240
32. oldal
Mik a legnagyobb eltrsek a Munkacsoport s a Tartomny kztt ? A pldban szerepel egy NTWS nev NT 4.0 hu gp. Ha ezt a gpet belptetjk a DOMAIN1-be s a DOMAIN1-ben (TERINFO gp) nincs Rendszergazda felhasznl, akkor az NTWS gpre nem is lehet Rendszergazdaknt bejelentkezni. Admin-knt viszont igen. Admin a TERINFO gp rendszergazdja. Ha a TERINFO-n ltrehozunk Rendszergazda felhasznlt, akkor az NTWS gpre bejelentkezett Rendszergazda csak egy egyszer felhasznl. Semmifle plusz jogokkal nem rendelkezik. Az Admin viszont rendszergazda. Teht az NTWS gpen csak Admin-knt oszthatjuk meg az adatok alknyvtrat, s a LINUXWS gprl linuxuser-knt elrhetjk gy, hogy az NTSW gpen nincs se Admin, se linuxuser felhasznl. Munkacsoportos krnyezetben ltre kellene hozni egy Admin felhasznlt rendszergazda jogokkal s egy linuxuser felhasznlt user jogokkal az NTWS gpen, ami nagy szm WS s user esetn elg nyomaszt. Mivel az NT serveren nincs Power Users felhasznli csoport, ha azt akarjuk, hogy a linuxuser meg tudja osztani az NTWS gpen a nyomtatt s a file-okat akkor a Print Operators s Server Operators csoportba fel kell venni. Az User Manager / User Properties / Logon To - ban megadhat, hogy melyik gpekre jelentkezhet be. A gp Windows-os nevt kell belltani. Miutn ltrehoztunk egy LINUXWS gpet a tartomnyban a fenti smb.conf file kisebb mdostsval ltni is lehet a SaMBa megosztsokat. netbios name = LINUXWS workgroup = DOMAIN1 share modes = yes security = share encrypt passwords = yes smbpasswd file = /usr/local/samba/private/smbpasswd local master = no preferred master = no domain master = no wins support = no wins server = 192.168.1.4 Persze ez nem a teljes file. Ekkor kt felhasznli nv / jelsz listnk van. Egy a LINUXWS-en s egy a PDC-n. Vagy lltsuk le a SaMBa-t. Hozzuk ltre az NT-n a LINUXWS gpet, futtassuk a LINUXWS gpen az #smbpasswd -j DOMAIN1 -r terinfo parancsot. Akkor a .../samba/var/locks/browse.dat s wins.dat file-ok vltoznak. Az smb.conf-ot vltoztassuk meg kiss: #security = domain security = server domain logins = yes workgroup = DOMAIN1 password server = terinfo Ennek az az elnye, hogy a LINUXWS magosztsok a SaMBa s az NT-s jelszavakkal is elrhetk. Viszont tovbb tart az azonosts.
SaMBa server mint PDC
2013.09.23. 22:28:56
No title A 2.0.5a is nagyon j kis PDC, csak a W2k-t nem szereti. http://bioserve.latrobe.edu.au/samba/ntdomfaq.html Samba 2.0.7 will not accept Domain Logons from Win2000 although it will offer file shares to it. It will not do trust relationships. Viszont a 2.2 mr: http://fi.samba.org/samba/docs/samba-pdc-howto.html very new, they will be allowed to create a new machine account when first connecting a new NT or W2K machine to the domain. Nzznk meg egy 2.05a configot: [global] netbios name = NTServer # :-) workgroup = IRODA os level = 66 local master = yes preferred master = yes domain master = yes wins support = yes security = user domain logons = yes encrypt passwords = yes smb passwd file = /usr/local/samba/private/smbpasswd client code page = 850 character set = ISO8859-2 logon script = common.bat logon path = \\NTServer\homes\profile.nt logon home = \\aesz\homes\profile.9x domain admin users = administrator guest account = nobody unix password sync = true passwd program = /usr/bin/passwd %u passwd chat = *password* %n\n *password* %n\n *changed* min passwd length = 6 passwd chat debug = false load printers = no printing = lprng printcap name = /etc/printcap print command = /usr/bin/lpr -P%p -r %s lpq command = /usr/bin/lpq -P%p lprm command = /usr/bin/lprm -P%p %j lppause command = /usr/sbin/lpc hold %p %j lpresume command = /usr/sbin/lpc release %p %j queuepause command = /usr/sbin/lpc -P%p stop queueresume command = /usr/sbin/lpc -P%p start [netlogon] path = /home/samba/netlogon browseable = no writeable = no guest ok = no locking = no fake oplocks = yes A tbbi a szoksos. Mg annyit, hogy az NT belptetshez: Hozzunk ltre egy ntneve$ -t az /etc/passwd -ben. #adduser ntneve$ Aztn adjunk a /usr/local/samba/private/smbpasswd -hoz egy ntneve gpet. smbpasswd -a -m ntneve Ezutn mr be lehet lptetni az NT-t a tartomnyba.
33. oldal
2013.09.23. 22:28:56
No title
34. oldal
Intranet szerver - SaMBa - W2k

W2k mint kliens
----------- smb.conf mintafile ----------------# http://softwaredev.earthweb.com/sdopen/sdosser/article/0,,12406_630891_4,00.html debuglevel = 1 netbios name = quercus workgroup = ELABOR server string = Samba Server - Moe #hosts allow = 192.168.1. 127. interfaces = 192.168.1.0/24 127.0.0.1 printcap name = /etc/printcap load printers = yes print command = /usr/bin/lpr -r -P%p %s lpq command = /usr/bin/lpq -P%p lprm command = /usr/bin/lprm -P%p %j guest account = ftp # this tells Samba to use a separate log file for each machine # that connects log file = /var/log/samba/log.%m security = user encrypt passwords = yes smb passwd file = /etc/smbpasswd Unix password sync = Yes passwd program = /usr/bin/passwd %u passwd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* %n\n *passwd:*all*authentication*tokens*updated*successfully* socket options = TCP_NODELAY domain master = yes domain admin users = root add user script = /usr/sbin/adduser -n -g machines -c Machine -d /dev/null -s /bin/false %m$ domain logons = yes logon script = %U.bat [homes] comment = Home Directories browseable = yes writable = yes [printers] comment = All Printers path = /var/spool/samba public = yes browseable = yes guest ok = yes writable = yes printable = yes
[netlogon] comment = Network Logon Service path = /home/netlogon guest ok = yes writable = no share modes = no ------------------ minta vge --------------------A W2k alapveten jl mkdik. A TechNet CD sokat segt. Igy ltatlanban sokat tud (mr van telnet is) rendszernek nz ki. A Linux-os DHCP s SaMBa szervert jl hasznlja. Kpes kis/nagy bett egyarnt tartalmaz jelszt kldeni. Amit t kell lltani:
2013.09.23. 22:28:56
No title
35. oldal
telnet tlntadmin programmal az azonosts (NTLM) rtkt 1-re. Ez a megolds nem szerepel a W2k help-ben. gy szabvny mdon be lehet telnetelni a W2k-ra s karakteres felleten elg sok mindent be lehet lltani. Elg nygvenyels a UNIX telnethez kpest - valahogy nem az igazi. A telnet kliens viszont rosszabb mint volt, mivel mr az F1-F4 billentyket sem lehet hasznlni. Viszont szines.
Intranet szerver - NetWare - Mars

A NetWare-rl a CHIP 2000 augusztus 123-126.
Internet szerver - Apache

Messze nem teljes, s messze nem tkletes, de idt biztost arra, hogy utnna nzhess dolgoknak.
--------Tartalom--------ptsnk szervert ! Bevezets Alapismeretek: ppp - kapcsolodas az internetre Letlts ISDN EICON DIVA PPP szerver ksztse: bind - name server diald squid mail fetchmail IP masquerading Letlts 2.2 kernel korlatozni akarjuk az user-eket. Ha kvulrol kell vedekezni : 2.4 kernel Tesztels, biztonsg : Aprsgok A route tbla Naplzs Tvoli adminisztrls Intranet szerver - SaMBa - Munkacsoport IP cmek kiosztsa DNS - WINS szerver smb.conf - global smb.conf - printers smb.conf - public smb.conf - homes Mkdik ? Intranet szerver - SaMBa - Win Domain - tartomny WinNT 4.0 server mint PDC SaMBa server mint PDC Intranet szerver - SaMBa - W2k W2k mint kliens Intranet szerver - NetWare - Mars Internet szerver - Apache Az oldal megtekintsre az Amaya V2.2 bngszt NEM javaslom :-)
2013.09.23. 22:28:56

Építsünk Szervert

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Építsünk Szervert

Transféré par

Droits d'auteur :

Formats disponibles

No title

ptsnk szervert - 0.5.2 (2001.07.20) !

ppp - kapcsolodas az internetre

No title A modem init. string-et a kppp-ben is lehet vltoztatni. [yoker]

ISDN EICON DIVA

PPP szerver ksztse:

No title data-only y speed 115200

bind - name server

No title Megoldasok: 1) DNS-szerver beallitasa (reverse mukodes is: IP->name)

No title cache_effective_group nobody cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log Megjegyzs:

Lssuk, a 2.2 kernel esetn mi van ?

korlatozni akarjuk az user-eket.

Ha kvulrol kell vedekezni :

Lssuk, a 2.4 kernel esetn mi van ?

Intranet szerver - SaMBa - Munkacsoport

DNS - WINS szerver

Nzznk egy smb.conf file-t !

Nzznk meg egy alternatv megoldst : public = no

Intranet szerver - SaMBa - Tartomny

WinNT server 4.0 mint PDC

SaMBa server mint PDC

Intranet szerver - SaMBa - W2k

Intranet szerver - NetWare - Mars

Internet szerver - Apache

Vous aimerez peut-être aussi