|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Ilya Kulagin 2:5020/871.18 01 Oct 2004 17:30:07
To : Anton Barabanov
Subject : root
--------------------------------------------------------------------------------
AB> Я вообще работать на этой машине не буду. Она будет роутером в инет.
То есть, на ней ещё понадобится почта, потом ещё какая-нибудь фигня. ftp тот же,
так что пользователя так и так заводить. Так лучше сразу.
AB> Hо, получается, что практически любое административное действие надо из
AB> под root?
Hе "практически", а вообще любое. То есть, администратор - это рут. Рут - это
администратор. Ой. Что-то я "Алису" вспомнил... Hо набор тех действий, которые
надо делать часто - невелик. Обычно ежедневно вообще достаточно читать почту.
Кстати, по pop3 рута тоже не пускают. Hо речь не об этом. А о пользе sudo,
которая вот в этом частном случае и пригождается.
AB> Как я понял, NAT можно сделать через natd, либо через ipnat. Если в двух
AB> словах, то в чём отличие?
natd - отдельный userspace демон, зато к нему есть хук (divert) в правилах ipfw.
ipnat - модуль ядра. К нему ещё тоже packet filter прилагается. Схему "как
ip-пакет проходит pf|ipfw|ipnat" я где-то видел, но вот где... Hа opennet,
кажется.
Работают оба. В том числе, лично у меня на 4.10 ipfw+natd, а в одном из филиалов
я поставил на пробу 5.3 и там ipfw+ipnat.
AB> от внешнего мира - то есть фаервол на входе должен пропускать только
AB> пакеты
AB> являющимися ответными запросам NAT, а все остальные молча дропать.
ну как минимум пакеты к named-у забыты. Ещё неплохая идея всё-таки разрешать
icmp. По крайней мере, ни разу не слышал о недостатках этой мысли. Ещё для ftp
понадобится кое-что... Короче, обычно правила
ipfw allow icmp from any to me
ipfw allow udp from any to any keep-state
ipfw allow tcp from any to any established
ipfw allow tcp from any to me 1024-65535
ipfw allow udp from any to me 1024-65535
ipfw allow ip from me to any
на рутере никому не мешают. Хотя, есть и иные мнения. Решать решайте сами,
sockstat в помощь.
AB> делается легко вне зависимости от того, используется ли natd или ipnat?
Да. Все простые вещи делаются, и довольно легко.
AB> Так же нужен сервер DNS. От него требуется только перенаправлять запросы
AB> из
AB> внутренней сети к DNS провайдера. Поддержки зоны и прочих наворотов не
AB> надо.
Зря. Свою "серую" (т.е. внутреннюю, с адресацией 192.168 и доменным именем
.local , например) сетку лучше сразу в него положить, как и 127.0.0.0/8 - у того
же сендмыла сразу станет существенно меньше проблем. Hе говоря о том, что имена
легче запоминать и набирать, чем адреса.
AB> достаточно named, встроенного в 4.10?
Вполне достаточно.
Примите уверение в совершеннейшем к Вам почтении
/kiv
quotd: Как я yже говоpил, я никогда не повтоpяюсь
--- kiv@work [Престарелые алкоголики] [Иллюзорных судаков не существует!]
* Origin: Moose 2:5020/871.18 (2:5020/871.18)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
root |
Ilya Kulagin |
01 Oct 2004 17:30:07 |
 root |
Anton Barabanov |
01 Oct 2004 19:33:08 |
  root |
Ilya Kulagin |
04 Oct 2004 11:00:08 |
 root |
Anton Barabanov |
04 Oct 2004 17:15:41 |
|
root |
Ilya Kulagin |
05 Oct 2004 11:45:02 |
|
Re: root |
Vasily Korytov |
01 Oct 2004 23:42:01 |
|
root |
Anton Barabanov |
02 Oct 2004 01:18:50 |
|
Re: root |
Vasily Korytov |
02 Oct 2004 12:53:26 |
|
root |
Alexander Shevchenko |
26 Oct 2004 10:16:15 |
|
|
