Wypowiedzi
-
Przyznam, że tak przeczytałem sobie wątek z ciekawości pod względem stosowanych rozwiązań w różnych firmach i trochę się zmartwiłem komentarzami w stylu, że to jest feee bo trzeba przeczytać książkę albo jest zawiła konfiguracja.. Powoływanie się na PPTP w rozwiązaniach dla biznesu nie powinno mieć tutaj miejsca. Miałem wątpliwości czy zestawić sobie VPN w domu na darmowy dd-wrt i PPTP bo jak wiadomo z bezpieczeństwem tego połączenia jest dość słabo.
Nie uważam, że każdy musi mieć klucze RSA itd do zestawiania VPN ale warto się moim zdaniem zainteresować jednak rozwiązaniami bardziej profesjonalnymi niż wspomniany openvpn.
My przeszliśmy na SSL'owego VPN'a od Cisco, realizujemy go przy pomocy sprzętowej puszki świadczącej usługi bezpieczeństwa tzw. ASA. Rozwiązanie SSL ma jedną cechę, której nie przebije nic innego jeśli chodzi o rozwiązania VPN. Śmiga po porcie 443, a co za tym idzie, łączy się praktycznie w każdych warunkach a z tym bywało różnie nawet na AnyConnect od Cisco opartym na IPSec'u, który wykorzystywał np. kartę prepaidową od polskich operatorów, którzy dość mocno nat'ują swój ruch dla połączeń 3G.
Wracając do tego czytania.. Idiotyzmem jest moim zdaniem czytanie 1000 stronnej książki, która opisuje wszystkie dostępne rozwiązania dotyczące VPN od Cisco bez robienia praktycznego równolegle. Grunt to starać się orientować w tym jakie rozwiązania są dostępne, a następnie opierać się na fragmencie, który dotyczy naszego scenariusza dla danego wdrożenia.
Tyle ode mnie. -
Nie nastawiałbym się, że uda się coś odkupić.. W Polsce takie rozwiązania zazwyczaj pracują dużo dłużej niż okres spłacania sprzętu. Jak coś jest już na sprzedaż, to zazwyczaj już wypracowało swoje i szkoda na to kasy. Allegro nie jest taką najgorszą opcją, są sprzedawcy którzy posiadają kompletny sprzęt po leasingu z zagranicy w przyzwoitych cenach. Jednak te widełki, które podałeś są trochę małe i wykluczają się nawzajem. Macierze, które są w tym przedziale zazwyczaj oparte są jeszcze o komplet SCSI 73GB. W takim wypadku ciężko osiągnąć zakładane 2TB w wydajmy RAID (BTW. pasowałbym najlepiej 10 pod zapis). Jeśli z kolei miałbyś to postawić na SATA, na dzień dobry tracisz na wydajności dysków..
Z takich przystępnych aukcji:
http://allegro.pl/macierz-storagetek-11x146gb-3x300gb-...
http://allegro.pl/macierz-raid-dell-powervault-z-14x73...
Sprzedający jak najbardziej godny polecenia. -
Panowie i Panie, mam taki nietypowy problem.
Sytuacja wygląda następująco.. Windows Server 2008 na którym pracuję za pomocą zdalnego pulpitu. Do pracy potrzebuję korzystać z kart inteligentnych jednak nie wchodzi w grę lokalne wpinanie karty do komputera, z którego dokonuje połączenia.. chciałbym aby karta była na stałe podłączona do serwera.
Czy ktoś ma sposób jak wymusić obsługę lokalną usługi kart inteligentnych?
Pozdrawiam -
Krzysztof Koza:
printf "%b\n" "nazwa "{raz,dwa,trzy}
To na szybko, jutro dopisze reszte z obsluga wejscia, musze isc sie wyspac w koncu ;)Krzysztof Koza edytował(a) ten post dnia 28.04.10 o godzinie 00:03
Rozwiązanie poprawne..
Ja wykombinowałem sobie jeszcze tak:
echo raz dwa trzy cztery | sed 's/ /\
/g' | xargs -n 1 echo numer
Proszę o zadanie pytania -
To też osoba doprecyzowała.. :)
-
Z każdym.. za pomocą podstawowych narzędzi można osiągnąć taki wynik.. nie chcę narzędzi bo było by to za duże ułatwienie :)
Do kolegi powyżej.. zapomniałem wyłączyć parametry skryptu z specyfikacji..
Naturalnie wynik Twojego skryptu jest poprawny ale chodziło mi o wykorzystanie: echo, sed, xargsJacek Bukowski edytował(a) ten post dnia 23.04.10 o godzinie 14:01 -
To może ja zadam pytanko skoro ktoś odstąpił.. :)
Jak można zrobić pętle bez użycia standardowych funkcji (while, for)?
wejście powinno zawierać słowa: raz dwa trzy cztery oraz słowo numer
wyjście:
numer raz
numer dwa
numer trzy
numer czteryJacek Bukowski edytował(a) ten post dnia 23.04.10 o godzinie 13:14 -
Ok Panowie temat wraca.. i proszę o pomoc
Squid ma pełnić role proxy z analizatorem ruchu użytkowników
---WAN--[Router @ Debian]----LAN---[SQUID]
________________________|____________________
___________________SZKODNIKI_________________
ifconfig
eth0 Link encap:Ethernet HWaddr 00:0b:db:95:97:1c
inet addr:192.168.101.137 Bcast:192.168.101.255 Mask:255.255.255.0
inet6 addr: fe80::20b:dbff:fe95:971c/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:355166 errors:0 dropped:0 overruns:0 frame:0
TX packets:286091 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:398055960 (379.6 MiB) TX bytes:102171422 (97.4 MiB)
Interrupt:16
eth1 Link encap:Ethernet HWaddr 00:0b:db:95:97:1d
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::20b:dbff:fe95:971d/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:287090 errors:0 dropped:0 overruns:0 frame:0
TX packets:355294 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:102279346 (97.5 MiB) TX bytes:398270500 (379.8 MiB)
Interrupt:17
Konfig routera:
#!/bin/sh
# squid server IP
SQUID_SERVER="192.168.1.50"
# Interface connected to Internet
INTERNET="eth0"
# Interface connected to LAN
LAN_IN="eth1"
# Squid port
SQUID_PORT="3128"
# DO NOT MODIFY BELOW
# Clean old firewall
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
# Load IPTABLES modules for NAT and IP conntrack support
modprobe ip_conntrack
modprobe ip_conntrack_ftp
# For win xp ftp client
#modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
# Setting default filter policy
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
# Unlimited access to loop back
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Allow UDP, DNS and Passive FTP
iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT
# set this system as a router for Rest of LAN
iptables --table nat --append POSTROUTING --out-interface $INTERNET -j MASQUERADE
iptables --append FORWARD --in-interface $LAN_IN -j ACCEPT
# unlimited access to LAN
iptables -A INPUT -i $LAN_IN -j ACCEPT
iptables -A OUTPUT -o $LAN_IN -j ACCEPT
# DNAT port 80 request comming from LAN systems to squid 3128 ($SQUID_PORT) aka transparent proxy
iptables -t nat -A PREROUTING -i $LAN_IN -p tcp --dport 80 -j DNAT --to $SQUID_SERVER:$SQUID_PORT
# if it is same system
#iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT
# DROP everything and Log it
iptables -A INPUT -j LOG
iptables -A INPUT -j DROP
ifconfig servera squid:
eth0 Link encap:Ethernet HWaddr 00:0b:db:95:91:1a
inet addr:192.168.1.50 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::20b:dbff:fe95:911a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:11411 errors:0 dropped:0 overruns:0 frame:0
TX packets:3173 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1679473 (1.6 MiB) TX bytes:773840 (755.7 KiB)
Interrupt:16
Konfig squida:
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
access_log /var/log/squid/access.log squid
hosts_file /etc/hosts
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
# newer Squid's don't need "all", it's built in:
acl all src 0.0.0.0/0.0.0.0
# 1000MB max cache size (default is 100MB):
cache_dir ufs /var/spool/squid 1000 16 256
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
acl lan src 192.168.1.0/24
http_access allow localhost
http_access allow lan
http_access deny all
http_reply_access allow all
icp_access allow all
visible_hostname vmg.pl
always_direct allow all
coredump_dir /var/spool/squid
ip tables @ squid server
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
Przy takim konfigu nie ma komunikacji z żadną strona..
Nie zwraca komunikatów squida tylko zwyczajnie:
Połaczenie przerwane.
W logach na squidzie nic się nie zapisuje..
Tak sobie myślę czy moim problemem nie są przypadkiem asymetryczne vlany.. d-facto z komputerem 192.168.1.50 połączenie ma tylko brama.
Jak to działa w praktyce? Docelowo chciałbym aby brama przepuszczała ruch dodatkowo na server squida i aby on tam sobie prowadził zapis ruchu w access.log, a użyszkodnicy mają normalnie korzystać sobie z neta przez bramę główną.. pomyślałem sobie czy przypadkiem to nie jest tak, że bramą staje się server squid?
tak się wpiąłem jednym kompem w vlana z serverem squid i nie zmienia to postaci rzeczy.. w tym wypadku moja uwaga idzie na iptables.. nie wiem czy mam dobrze kierowany wzajemnie ruch między routerem, a serverem squid.. niestety leżę z iptables..
Proszę o wskazówki :-)Jacek Bukowski edytował(a) ten post dnia 22.04.10 o godzinie 21:11 -
Tak sobie szpieguje sieć w poszukiwaniu solucji i widzę, że chyba coś się pozmieniało ostatnim czasem.. czy Panowie z netfilters porobili jakieś czystki w pakietach? Potrzebowałbym w iptables zmiennej ROUTE aby kierować sobie ruch na squida zewnętrznego z zachowaniem adresów źródłowych ale nie za bardzo wiem w jaki sposób to teraz zrobić? kiedyś używało się patch-o-matic.. a teraz?
Proszę o porady teoretyczno-praktyczne :)
Jajko: 2.6.32 -
Oskar Wyciślak:
Uhm, czy to nie jest czołg na muchę ?
Przecież samo
iptables -t nat -A PREROUTING -i eth1 -p tcp -s ! 192.168.1.50 --dport 80 -j DNAT --to-destination 192.168.1.50:3128
wystarcza ;)
Przy samym tym.. net'u nie ma :>
Bartłomiej Tabak:
Panowie, a na ile komputerów i jakie łącze ten squid ?? Przecież to niczego tak naprawdę nie poprawia. Vyatta dobrze radzi sobie z routingiem itd. ale osobiście uważam ze squid w sieci to przesada, chyba że łącza brakuje.
Squid nie ma za zadanie robic cache tylko proxy ruchu sieciowego..
Analizy logów access.log dają nam pełen pogląd na aktywność userów przepuszczonych przez squida...Jacek Bukowski edytował(a) ten post dnia 31.03.10 o godzinie 22:03 -
Hej mam problem ze squidem.
Postawiłem go na oddzielnej maszynie której nadałem adres 192.168.1.50
Squid nasłuchuje na porcie numer 3128
Na routerze zapodałem takie 3 reguły:
Kod:
iptables -t nat -A PREROUTING -i eth1 -s ! 192.168.1.50 -p tcp --dport 80 -j DNAT --to 192.168.1.50:3128
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -d 192.168.1.50 -j SNAT --to 192.168.1.1
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.1.50 -i eth1 -o eth1 -p tcp --dport 3128 -j ACCEPT
I wszystko działa tylko że w access.log nie zapisuje adresów konkretnych komputerów źródłowych tylko routera
1269968832.589 1 192.168.1.1 TCP_DENIED/403 1392 GET http://google.pl/ - NONE/- text/html
1269968832.653 3 192.168.1.1 TCP_DENIED/403 1414 GET http://google.pl/favicon.ico - NONE/- text/html
1269968834.515 0 192.168.1.1 TCP_DENIED/403 1470 GET http://fabrykamuzy.pl/content/xml/streams/stream108.xm... - NONE/- text/html
1269968835.616 1 192.168.1.1 TCP_DENIED/403 1414 GET http://google.pl/favicon.ico - NONE/- text/html
1269968837.722 0 192.168.1.1 TCP_DENIED/403 1464 GET http://talkgadget.google.com/talkgadget/channel/tes … mp;clid=ACACB
1269968837.734 0 192.168.1.1 TCP_DENIED/403 1410 GET http://www.google.com/url?zx=7izcci-s5k250&q=ht … Fcleardot.gif -
1269968840.548 0 192.168.1.1 TCP_DENIED/403 1512 GET http://client-software.real.com/free/windows/instal … de/master.xml - NONE/- text/html
1269968842.455 0 192.168.1.1 TCP_DENIED/403 1556 GET
/i …
Klękam przed Wami i proszę o pomoc.. podejrzewam, że problem jest w przekierowaniu ruchu z bramy na squida.. Jak można zachować faktyczny adres źródłowy a nie ten bramow'y?
Natknąłem się na takie przekierowywanie ruchu..
iptables -t mangle -A FORWARD -p tcp --dport 80 \
-s ! 192.168.1.128 -j ROUTE --gw 192.168.1.128
oraz powrót po stronie squida
iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8081
tyle, że w tym celu wymagana jest łata na jajku dodająca ROUTE do iptables, a z racji vyatty na routerze wolałbym tego uniknąć..Jacek Bukowski edytował(a) ten post dnia 31.03.10 o godzinie 00:19