Hirdetés
-
Marvel Rivals - Középpontban Hela
gp Folytatódik a karakterbemutatók sorozata, a legújabb részben a Halál Istennője kerül a középpontba.
-
Toyota Corolla Touring Sport 2.0 teszt és az autóipar
lo Némi autóipari kitekintés után egy középkategóriás autót mutatok be, ami az észszerűség műhelyében készül.
-
A gyógyszeripar AI-forradalmasítására készül a Google
it A Google DeepMind bemutatta a következő-generációs gyógyszerfelfedező AI-modellt.
Új hozzászólás Aktív témák
-
Csicsóka
őstag
Sziasztok!
Ubuntu 9.10 alapú home servert üzemeltetek, számtalan szolgáltatást (apache, php, mysql, smb, nfs, ftp, ssh, torrentgui) szuperül kiszolgál. Ezen felül iptablessel meg is osztja a netet egy pci-os gigabit hálókártyán, (eth1) és egy switch-en keresztül két PC-nek.
Jó lenne összehozni, hogy egy USB-s wifi hálózati kütyün is elérhető lenne a netmegosztás. Így a laptop is jól érezhetné magát.
Szerintetek ez megoldható lenne az iptables szkript kiegészítésével?
jelenleg így néz ki az ide vágó része:
iptables --flush -t nat
iptables --table nat --append POSTROUTING --out-interface eth1 -j MASQUERADE
iptables --append FORWARD --in-interface eth0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forwardAz iptablesnek megadható vhogy, hogy a wlan1-re is továbbítson?
-
Csicsóka
őstag
Köszi az infót, kicsit tartottam is ezektől az USB-s kütyüktől.
Csak is azért gondolkoztam ebben, mert csak egy PCI slot van a lapon, és az meg már foglalt egy gigabites hálókártyával, ami a switch felé megy. Tehát nincs lehetőség PCI-os wifi kártyára, így nem is lehet AP-t összedobni. Más lapot pedig nem akarok a verhetetlen fogyasztás miatt.A gigabites lan+wifi routerek pedig 13 ezer körül kezdődnek, na meg hát egy home server azé' elegánsabb, gyorsabb, stabilabb, stb.
-
Csicsóka
őstag
Nekem szerencsém volt, mert a fent említett dugasztáp már itt pihent kihasználatlanul.
Anno, egy külső Spire USB-s IDE HDD házhoz adták, mint tartozék. Csak elő kellett venni és go.
Én először [itt] láttam, hogy ezzel üzemeltetik, és 13 w-ot mérnek.
Na gondoltam, ha ez így van, akkor kidobom a routerem a házából, és beleépítem a szerver házába, ami egy kiszuperált műholdvevő, hagy táplálja még azt is. Eredetileg a router egy AC 9 V-os sima EI magos dugasztápról üzemel, és 5 W körül vett fel AC 230 V-ról.
A router belsejében van a Graetz híd, a pufferkondi, és a tápegység. A puffer kondin 13 V DC-t mértem, ezért próbaképpen oda küldtem a DC 12 V-ot. Tökéletesen ment minden, a teljes fogyasztás még így is 18-21 W között alakul. Nem túl forró, megy napi ~18 órát.
-
Csicsóka
őstag
Sziasztok!
GSEJT alapú NAS-t üzemeltetek Debian Sid alapokon. Művelt pár érdekességet e deszka a napokban. A jelek egyértelműen RAM problémára utaltak, ezért a már bevált Memtest 86-hoz fordultam. Sajnos e progi ami eddig még mindenütt tette a dolgát, indítás után csonta fagy.
Semmi használható infót nem ad. A RAM nem tök rossz, mert napokig megy néha minden probléma nélkül vele a rendszer.Van erről vkinek infója, vagy esetleg akinek ilyen deszkája van, kipróbálná a memtest86-ot hogy megy e?
Tud e vki arról, hogy ez a lap erősen válogatós lenne meróia ügyben?
Jelenleg egy Kingmax KSDD48F-B8KU5 van benne. Lehet h nem teljesen szereti ezt?Köszi!
-
Csicsóka
őstag
Köszi az infót!
A BIOS-ban van ugyan RAM beállítási lehetőség, de csak listázza azt amit kiolvas a modulból, beállítani nem lehet semmit, minden inaktív (szürke).
DOS-os verzióra nem gondoltam, de indítottam Linux Grub alól, és úgy is hogy letöltöttem a lgfrisebb USB-s img-t majd dd-vel ráhúztam egy pendrive-ra. Egyik változat sem megy.
A régi DOS-os emm386 és hasonló módokat meg már szinte el is felejtettem oly régen is volt... -
-
Csicsóka
őstag
Örömmel hallom h elfér, mert jelenleg is egy alacsony profilú 10/100-as Realtek RTL-8139 van benne. A mostani 5 megás kábelmodemes nethez ez is bőven jó. Az alaplapi gigabites meg megy a belső háló felé. Ha még is kevés lenne egyszer, [láttam] már alacsony profilú gigabites kártyát jó olcsón, és akkor csere.
Egy kis fúrás faragástól nem riadok vissza, rengeteget csináltam már.
Köszi az infót![ Szerkesztve ]
-
Csicsóka
őstag
válasz
Laca 012
#4919
üzenetére
Láttam a képeiden, h alaposan megdolgoztatott az "átfordítás". Hasonló már nekem is jutott eszembe, mégpedig az, h egy kukás alaplapból kitermelt slot, és egy bármilyen pci-os kártyáról levágott érintkezősáv + szalagkábel megoldaná a problémát. Persze jó sok forrasztás, és pepecs meló lenne ez.
Nem láttam hazai boltokban ilyen kész risert, Te honnan rendelted? -
Csicsóka
őstag
válasz
tassika
#4938
üzenetére
Semmi baj sincs ezzel a vassal. Cimborámnál észrevétlenül teszi a dolgát, ami megfelelő stabilitásra utal. Elmondása szerint 3-5 wattot eszik, jó kis zöld cucc ez.
Sokan fikázzák a TP-Link-et, szerintem nem mindig jogosan. Nálam évekig ment egy router, az ég világon semmi gond nem volt vele. Csak azért mellőzöm, mert már a Gsejt osztja a netet, sok, sok más funkció mellett. -
Csicsóka
őstag
time-shift-et nem csináltam, de HD+torrent+NAS egész biztosan megy egy időben, mondjuk egy ZOTAC Ion vason. Az N-es Wifi AP módban nem triviális Linux alatt, ezért itt légy körültekintő. Olvass jól vissza ezen a fórumon, és látsz majd rá megoldást, pl. Laca jóvoltából. Linux téren ha elég jártas vagy, akkor egyértelműen Debian a nyerő, ha csak haladó vagy, akkor Ubuntu server. Ha most kezded, akkor ajánlom, h tölts le egy Lubuntu-t. Lesz egy abszolút egyszerű, minimális erőforrás igényű, de még is jól használható grafikus felületű rendszered, amire egyszerűen feltelepítheted azt a pár szerver csomagot ami még kell. Az ION platformon szélsebesen fut az XBMC, és persze nem nagy ügy a hardveres full HD-t is megcsinálni. Erre is jó alap a Lubuntu.
[ Szerkesztve ]
-
Csicsóka
őstag
Sziasztok!
Akadt egy kis gondom a hostapd, bridge témában.
A kérdésem az lenne, hogy nektek látják e a wifi-s, és lan kliensek a szerveren a samba megosztást?
Mert nekem mióta a rendszerben van a br0, ami hidat képez az eth1, és a wlan0 közt, nem látja egy kliens sem a smb megosztást. ping, ssh. sshfs, ftp megy szépen oda vissza.
Korábban amikor még csak wlan0 volt a rendszerben, minden ok volt. Az egész vhogy összefügg a bridge-el. Látom h nektek is bridge-es megoldások vannak, ezért lennék kíváncsi erre.
Köszi!
-
Csicsóka
őstag
válasz
balage25
#5239
üzenetére
Köszi, ezt már próbáltam korábban de nem jött be.
Az smbd minden meglévő interface-en figyel alapból.
Ezzel a megoldással, h felsoroljuk a kiválasztottakat, csak a biztonsági szintje növelhető.
Így a fel nem sorolt interface ki van zárva a figyelésből.Továbbra is érdekelne h megy e a samba azoknál, akik már megcsinálták a bridge-es megoldást.
-
Csicsóka
őstag
válasz
Laca 012
#5242
üzenetére
Ezt még azzal egészíteném ki, h első lépésként törölni kell az /etc/udev/rules.d/70-persistent-net.rules fáljból a régi tartalmat, majd reboot. Mert benne marad a régi gépből áthozott eth0, és hiába teszi bele új gépbe az egész oprendszert, ott már nem tud az udev megint egy eth0-t létrehozni, hanem az alaplapi valszeg eth2 lesz. A fájl tartalom törlése után az udev megint rendet rak, és ha nem túl régi az ubuntu, valszeg lesz eth0 és eth1.
-
Csicsóka
őstag
válasz
balage25
#5255
üzenetére
A következő a felállás:
Lubuntu 10.10 rendszer, mert a szerver egyben media központ is (XBMC), és netezésre is használom olykor. Gsejt lap 32 GB SSD, 1TB HDD.
eth0 dhcp-vel, ide jön a kábelmodem.
eth1 gigabit belső hálózat
wlan0 wifi AP mode, ath5k modullal, hostapd-velA klasszikus megoldás, amit ezen a fórumon, és itt, ésitt olvasható a 10.10-en egyszerűen nem működik, mert létre sem jön a br0, és így persze ip-t sem kap.
innentől kezdve meg már nem is megy a hostapd, tehát nuku master mode.
A bridge-t a bridge utils utasításaival kell létre hozni, ami így néz ki:brctl addbr br0
brctl addif br0 eth1
invoke-rc.d hostapd start
brctl addif br0 wlan0
brctl setfd br0 0ifconfig eth1 up
ifconfig wlan0 up
ifconfig br0 10.1.1.1 upinvoke-rc.d dhcp3-server start
A hostapd, és a dhcp server persze ki van véve a 2-es futási szintből, mert innen indulnak.
A port forward és maskolás ez:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -o eth0 -j MASQUERADE
iptables -A FORWARD -s 10.1.1.0/24 -o eth0 -j ACCEPT
iptables -A FORWARD -d 10.1.1.0/24 -m conntrack --ctstate ESTABLISHED,RELATED -i eth0 -j ACCEPTEz az egész egyébként az /etc/rc.local-ban van.
Mivel a bridge nem a interfaces-ben van ezért ez csak egyszerűen ilyen:
root@lubuntu-server:/etc# cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).# The loopback network interface
auto lo
iface lo inet loopback# The primary network interface
auto eth0
iface eth0 inet dhcp# The secondary network interface
auto eth1
iface eth1 inet manual#Wireless Setup
auto wlan0
iface wlan0 inet manualroot@lubuntu-server:~# cat /etc/hostapd/hostapd.conf
#wireless interface to use as AP
interface=wlan0#bridge device (needed for madwifi & nl80211 drivers)
bridge=br0#driver interface type (hostapd/wired/madwifi/prism54/test/none/nl80211/bsd)
# Use nl80211 for wifi drivers that implement MAC80211 interface
#You should set this to your relevant driver interface type
driver=nl80211
#ieee80211n=1#Enables logging to standard output (useful for debugging)
logger_stdout=-1
logger_stdout_level=2#Set SSID to use
ssid=UBUNTU_SERVER# Operation mode (a = IEEE 802.11a, b = IEEE 802.11b, g = IEEE 802.11g)
# note your card may not support every mode.
hw_mode=g#Channel to use (1-13)
channel=6# IEEE 802.11 specifies two authentication algorithms. hostapd can be
# configured to allow both of these or only one. Open system authentication
# should be used with IEEE 802.1X.
# Bit fields of allowed authentication algorithms:
# bit 0 = Open System Authentication
# bit 1 = Shared Key Authentication (requires WEP)
auth_algs=3#maximum number of stations (clients connecting to AP) allowed
# Maximum number of stations allowed in station table. New stations will be
# rejected after the station table is full. IEEE 802.11 has a limit of 2007
# different association IDs, so this number should not be larger than that.
max_num_sta=5#Enable WPA2
# This field is a bit field that can be used to enable WPA (IEEE 802.11i/D3.0)
# and/or WPA2 (full IEEE 802.11i/RSN):
# bit0 = WPA
# bit1 = IEEE 802.11i/RSN (WPA2) (dot11RSNAEnabled)
wpa=2#Set passphrase for WPA
wpa_passphrase=**********
wpa_key_mgmt=WPA-PSK# Set of accepted cipher suites (encryption algorithms) for pairwise keys
# (unicast packets). This is a space separated list of algorithms:
# CCMP = AES in Counter mode with CBC-MAC [RFC 3610, IEEE 802.11i/D7.0]
# TKIP = Temporal Key Integrity Protocol [IEEE 802.11i/D7.0]
# Group cipher suite (encryption algorithm for broadcast and multicast frames)
# is automatically selected based on this configuration. If only CCMP is
# allowed as the pairwise cipher, group cipher will also be CCMP. Otherwise,
# TKIP will be used as the group cipher.
# (dot11RSNAConfigPairwiseCiphersTable)
# Pairwise cipher for WPA (v1) (default: TKIP)
wpa_pairwise=TKIP CCMP
# Pairwise cipher for RSN/WPA2 (default: use wpa_pairwise value)
rsn_pairwise=CCMPA dhcp server a br0-ra dolgozik.
Így megoldva minden szép, van br0 ip-vel, megy a hostapd, tökéletesen működik minden, (ping, ssh, ftp) kivéve az smb-t.
Ez a samba conf tökéletesen működik ha nincs a rendszerben bridge.
root@lubuntu-server:~# ls /etc/samba
dhcp.conf gdbcommands smb.conf smb.conf.ucf-dist
root@lubuntu-server:~# cat /etc/samba/smb.conf
[global]
netbios name = UBUNTU-SERVER
guest account = nobody
guest ok = yes
local master = yes
workgroup = WORKGROUP
os level = 66
security = share
max log size = 1024
read only = no
# interfaces = br0
# bind interfaces only = true[Nas]
comment = Halozati meghajto
path = /media/Nas/Megoszt
browseable = Yes
writeable = Yes
guest ok = YesÜnnep után feldobok egy koala-t, v jaunti-t mert még ezekben biztos h ment rendesen minden. A neten olvasgatva ebben a témában, a 10.10-el másnak is volt baja.
-
Csicsóka
őstag
válasz
balage25
#5261
üzenetére
A network manager az elsők közt volt amit kiirtottam, gpkg --purge -al hogy még írmagja se maradjon. Ki nem állhatom, és egy szerveren, ahol minden statikusan belőtt, semmi keresni valója.
"net.ipv4.ip_forward=1" a /etc/sysctl.conf megoldást is ismerem, a végeredmény ua.
Egy szolgáltatást többféleképpen el lehet indítani, persze van ebben elég jó kis kavarodás az ubuntuban, főleg az upstart megjelenése óta. Ezért szeretem jobban a debian-t ott még a sid ág is normál System V init rendszert használ. Most meg az ubuntuban keresgélni kell hogy pld. az smbd-t hogy is lehet leállítani meg újra indítani. Mert ez már upstartos, tehát start smbd, stop smbd-re ért csak. Megint más pld. hostapd, transmission-daemon megmaradt a normál init-es megoldásban. Ezen a téren egyáltalán nem egységes az ubuntu, talán ez az ami legkevésbé tetszik benne.
invoke-rc.d ua azt az eredményt adja mint /etc/init.d/akármi start, stop, restart.... Én ezt szeretem használni, már jó pár éve.
-
Csicsóka
őstag
Ez a megoldás lenne az evidens, próbálkoztam is vele, de a 10.10-ben egyszerűen nem jött létre így a br0.
Az inerface-k nincsenek felhúzva, nem is látszanak csak az ifconfig -a -ra. ezért nem hiszem h ez zavarna, de majd teszek egy próbát így is ahogy neked van.
Köszi a segítséget! -
Csicsóka
őstag
válasz
Laca 012
#5267
üzenetére
W7 egyszerűen telepíthető USB-ről is. Windows 7 USB/DVD Download tool letölthető innen.
Az Express Gate installer letölthető az ASUS-tól, általában az adott vas oldaláról. Más alaplaphoz, netbook-hoz valóval vigyázni kell mert nem fog menni, ui meglehetősen hardver specifikus. A futó W7 alól lehet majd telepíteni, akár külső usb-re, vagy a hdd-re, lényeg h a gyökérbe kerüljön. Ott a bios megtalálja, és elindítja.
A bal oldali gombos Ubuntu indítás nem valószínű h megoldható, mert a BIOS az express gate speciális rendszerbetöltőjét keresi. Anno próbálkoztam én is ezt a desktop gépemen megoldani (abban is asus lap van) de nem sikerült. Sok időm pedig nem volt szétcincálni az express gate-t.
-
Csicsóka
őstag
Feldobtam egy Lucid server-t, és tökéletesen működik a bridge az interfaces-ben létrehozva. A fő problémám, a smb megosztás is tökéletesen látható a belső hálóról, és a wifi felől is.
A lubuntu 10.10 volt a ludas a témában, mert vele egyszerűen nem működik.
Köszönöm mindenkinek a tippeket!
-
Csicsóka
őstag
válasz
Laca 012
#5275
üzenetére
Forrást letölteni elég macera, mert nagyon lassan jön lefelé. Több nap letöltési időt ír, és tükörszervert akkoriban nem találtam.
A lapomhoz adott CD-n lévőt telepítettem egyszer fel. A gyökérbe csinált egy ASUS.000, és egy ASUS.SYS rejtett könyvtárat. Ebben van az egész cucc, dat és bin fájlokban. A te vasadhoz nem is adtak install CD-t? Mert azon ott lenne az express gate is. -
Csicsóka
őstag
válasz
Laca 012
#5344
üzenetére
10.04 egészen biztosan telepíthető USB-ről. Nem régen csináltam. Van egy 8 gigás pendrive-om, rajta grub2. A letöltött .iso fájlokat közvetlenül tudja bootolni, így most 5 különböző (ubuntu, lubuntu, linux mint) változat közt tudok választani.
Másik megoldás az unetbootin, sokféle linuxot képes usb-re varázsolni. Simán telepíthető tárolóból.
Nagyon király dózeres alkalmazás a pendrivelinux-tól itt.
Grub2 usb install leírás itt.
Szerver változat telepítésekor kell picit trükközni, mert a letöltött .iso-ban csak olyan kernel, és initrd van ami optikai meghajtót keres telepítő médiumként. Ezért le kell tölteni a megfelelő ket, és ki kell cserélni a két állományt. Utána megy minden simán. A pendrivelinuxos exe változat még ezt is megteszi helyettünk, és tuti server telepítő usb-t gyárt.
[ Szerkesztve ]
-
Csicsóka
őstag
válasz
birrbert
#5353
üzenetére
Kérdés: ha nem szeretném, hogy a pendrive-ot swap-ként használja az oprendszer, akkor csak annyit kell tennem, hogy egyszerűen nem hozom létre a swap partíciót,
Pontosan. Ha nincs swap, akkor nem használja. 1-2 Giga RAM esetén egy házi szerver nem is igényel swap területet. Nálam az oprendszer SSD-n van, ami ugyan csak nem szereti a sok írást. Ezért a gyökér fs ext2, noatime opcióval van felmountolva, és a teljes /tmp könyvtár, valamint a /var/log tmpfs-el (ramdisk) van megoldva. A btrfs lenne az ideális a flash tárolókhoz, de akkor meg külön /boot partíció kell ext2-3-al mert a grub nem települ btrfs-re.
Ha pendrive-ra kerül a rendszer, vagy is nem live módba használod, ezeket a megoldásokat érdemes használni nálad is.[ Szerkesztve ]
-
Csicsóka
őstag
válasz
Laca 012
#5355
üzenetére
Tehát elvileg használja...
Received 248 bytes from 193.110.57.4#53 in 925 ms
Received 248 bytes from 193.110.57.4#53 in 3 msPont ezért kérdeztem, hogy használod e a dnsmasq e remek képességét.
A dig parancs is használható a lekérdezésre, ott a Query time-ra kell figyelni.Látom h a szerverről indított kéréseket szépen cacheli, de mi a helyzet a kliensekről indított kérések esetén?
Nálam csak a dhcp3 server, és a dnsmasq összehangolása után működött úgy a dolog, ahogy az elvárható volt. Magyarul, a klienseknek a server a DNS kiszolgálója, ezért az egész hálózatot cacheli. Amit nem talál a cache-ben, azt lekérdezi a netszolgáltatótól. Az itthoni klienseknek fix ip-t a dhcp server ad, ha meg itt a lányom pasija, az ő gépe kap a tatományból egyet. Remekül gyorsítja a netezést.
-
Csicsóka
őstag
válasz
DavidDay
#5395
üzenetére
Akkor már inkább ez a házikó, 12 ezerért.
Benne van a paneltáp, és van hozzá egy 12V 8A-es külső táp. Pont atomos lapokhoz ajánlják.
Nekem egy ilyenben van most a gsejt szerver. Mivel ahhoz nem kell paneltáp, ezért az bekerült a PC-mbe. (Azóta 10 W-al kevesebbet eszik) A gsejt-et meg egy 12 V 2A-es kapcsoló üzemű dugasztáp eteti. -
Csicsóka
őstag
Kicsit belekavarodtam az eddig használt tűzfal szkriptembe, ezért lecseréltem egy shorewall-ra. Azért esett rá a választás, mert jól áttekinthető, jól dokumentált, egyszerűen megoldható vele a net megosztás. Jól együtt működik a dhcp-s külső és belső hálózattal, nem gond neki a bridge kezelése sem. Védi magát a szerver gépet, és a belső hálót is. Többféle támadást intéztem ellene, de a szerver láthatatlan volt a net felől. (persze a bentről indított kapcsolatokat engedélyezi befelé)
Bedobom ide a konfig fájlokat, hátha kell majd egyszer vkinek.
Felállás:
eth1: dhcp kábel modem
eth0: belső hálózat
wlan0: wifi
br0: dhcp wlan0 és eth0 hídja.emerson@ubuntu-server:~$ cat /etc/sysctl.conf
#
# /etc/sysctl.conf - Configuration file for setting system variables
# See /etc/sysctl.d/ for additional system variables.
# See sysctl.conf (5) for information.
##kernel.domainname = example.com
# Uncomment the following to stop low-level messages on console
#kernel.printk = 4 4 1 7##############################################################3
# Functions previously found in netbase
## Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
#net.ipv4.conf.default.rp_filter=1
#net.ipv4.conf.all.rp_filter=1# Uncomment the next line to enable TCP/IP SYN cookies
#net.ipv4.tcp_syncookies=1# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1Itt csak a IPv4 forward a lényeges, a többi változatlan.
emerson@ubuntu-server:~$ cat /etc/shorewall/interfaces
#
# Shorewall version 4.0 - Sample Interfaces File for two-interface configuration.
# Copyright (C) 2006 by the Shorewall Team
#
# This library is free software; you can redistribute it and/or
# modify it under the terms of the GNU Lesser General Public
# License as published by the Free Software Foundation; either
# version 2.1 of the License, or (at your option) any later version.
#
# See the file README.txt for further details.
#------------------------------------------------------------------------------
# For information about entries in this file, type "man shorewall-interfaces"
###############################################################################
#ZONE INTERFACE BROADCAST OPTIONS
net eth1 detect dhcp,tcpflags,nosmurfs,routefilter,logmartians
loc br0 detect dhcp,tcpflags,nosmurfsemerson@ubuntu-server:~$ cat /etc/shorewall/masq
#
# Shorewall version 4.0 - Sample Masq file for two-interface configuration.
# Copyright (C) 2006 by the Shorewall Team
#
# This library is free software; you can redistribute it and/or
# modify it under the terms of the GNU Lesser General Public
# License as published by the Free Software Foundation; either
# version 2.1 of the License, or (at your option) any later version.
#
# See the file README.txt for further details.
#------------------------------------------------------------------------------
# For information about entries in this file, type "man shorewall-masq"
###############################################################################
#INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK
eth1 br0
# Vagy így
#eth1 10.1.1.0/24Itt megadható címtartomány is ahogy látható is a példában.
emerson@ubuntu-server:~$ cat /etc/shorewall/policy
#
# Shorewall version 4.0 - Sample Policy File for two-interface configuration.
# Copyright (C) 2006 by the Shorewall Team
#
# This library is free software; you can redistribute it and/or
# modify it under the terms of the GNU Lesser General Public
# License as published by the Free Software Foundation; either
# version 2.1 of the License, or (at your option) any later version.
#
# See the file README.txt for further details.
#------------------------------------------------------------------------------
# For information about entries in this file, type "man shorewall-policy"
###############################################################################
#SOURCE DEST POLICY LOG LEVEL LIMIT
URSTloc net ACCEPT
loc $FW ACCEPT
loc all REJECT info$FW net ACCEPT
$FW loc ACCEPT
$FW all REJECT infonet $FW DROP info
net loc DROP info
net all DROP infoall all REJECT info
Alap szisztéma az, hogy belső hálóról (loc) mindent kiengedünk a szerver ($FW) felé és a net felé is. Ha ez nem jó mert korlátozni akarjuk a kifelé forgalmat, akkor ACCEPT helyett DROP kell, és majd a rules fájlban kell egyenként engedélyezni.
A szerver felől is engedünk mindent a net, és a belső háló felé is.
A net felől viszont mindent eldobunk, kivéve a bentről indított és már a kiépült kapcsolatokhoz tartozó csomagokat.
emerson@ubuntu-server:~$ cat /etc/shorewall/rules
#
# Shorewall version 4.0 - Sample Rules File for two-interface configuration.
# Copyright (C) 2006,2007 by the Shorewall Team
#
# This library is free software; you can redistribute it and/or
# modify it under the terms of the GNU Lesser General Public
# License as published by the Free Software Foundation; either
# version 2.1 of the License, or (at your option) any later version.
#
# See the file README.txt for further details.
#------------------------------------------------------------------------------
# For information about entries in this file, type "man shorewall-rules"
#############################################################################################################
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK
# PORT PORT(S) DEST LIMIT GROUP
#
# Accept DNS connections from the firewall to the network
#
# DNS(ACCEPT) $FW net
#
# Accept SSH connections from the local network for administration
#
# SSH(ACCEPT) loc $FW
#
# Allow Ping from the local network
#
# Ping(ACCEPT) loc $FW#
# Drop Ping from the "bad" net zone.. and prevent your log from being flooded..
## Ping(DROP) net $FW
#ACCEPT $FW loc icmp
#ACCEPT $FW net icmp
## Transmission peer port
ACCEPT net $FW tcp 51413
ACCEPT net $FW udp 51413Itt most csak egyetlen szabály él, mivel befelé minden el van dobva, és a transmission daemonnak kell befelé az 51413-as port ezért azt engedélyeztem. A kommentezett részben látható példa más portok nyitására/zárására is. (Ezeknek most nincs értelme, mert az alap szabály ami a policy-ben van úgy is felül bírálja.)
emerson@ubuntu-server:~$ cat /etc/shorewall/routestopped
#
# Shorewall version 4.0 - Sample Routestopped File for two-interface configuration.
# Copyright (C) 2006 by the Shorewall Team
#
# This library is free software; you can redistribute it and/or
# modify it under the terms of the GNU Lesser General Public
# License as published by the Free Software Foundation; either
# version 2.1 of the License, or (at your option) any later version.
#
# See the file README.txt for further details.
#------------------------------------------------------------------------------
# For information about entries in this file, type "man shorewall-routestopped"
##############################################################################
#INTERFACE HOST(S) OPTIONS
br0 -Ez egyértelmű. Ha nincs bridge akkor a belső interface kell.
emerson@ubuntu-server:~$ cat /etc/shorewall/zones
#
# Shorewall version 4.0 - Sample Zones File for two-interface configuration.
# Copyright (C) 2006 by the Shorewall Team
#
# This library is free software; you can redistribute it and/or
# modify it under the terms of the GNU Lesser General Public
# License as published by the Free Software Foundation; either
# version 2.1 of the License, or (at your option) any later version.
#
# See the file README.txt for further details.
#------------------------------------------------------------------------------
# For information about entries in this file, type "man shorewall-zones"
###############################################################################
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4
loc ipv4emerson@ubuntu-server:~$ cat /etc/shorewall/shorewall.conf
###############################################################################
# /etc/shorewall/shorewall.conf Version 4 - Change the following variables to
# match your setup
#
# This program is under GPL
# [http://www.gnu.org/licenses/old-licenses/gpl-2.0.txt]
#
# This file should be placed in /etc/shorewall
#
# (c) 1999,2000,2001,2002,2003,2004,2005,
# 2006,2007,2008 - Tom Eastep (teastep@shorewall.net)
#
# For information about the settings in this file, type "man shorewall.conf"
#
# Additional information is available at
# http://www.shorewall.net/Documentation.htm#Conf
###############################################################################
# S T A R T U P E N A B L E D
###############################################################################STARTUP_ENABLED=Yes
###############################################################################
# V E R B O S I T Y
###############################################################################VERBOSITY=1
###############################################################################
# L O G G I N G
###############################################################################LOGFILE=/var/log/messages
STARTUP_LOG=/var/log/shorewall-init.log
LOG_VERBOSITY=2
LOGFORMAT="Shorewall:%s:%s:"
LOGTAGONLY=No
LOGRATE=
LOGBURST=
LOGALLNEW=
BLACKLIST_LOGLEVEL=
MACLIST_LOG_LEVEL=info
TCP_FLAGS_LOG_LEVEL=info
SMURF_LOG_LEVEL=info
LOG_MARTIANS=Yes
###############################################################################
# L O C A T I O N O F F I L E S A N D D I R E C T O R I E S
###############################################################################IPTABLES=
IP=
TC=
IPSET=
PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin:/usr/local/sbin
SHOREWALL_SHELL=/bin/sh
SUBSYSLOCK=""
MODULESDIR=
CONFIG_PATH=/etc/shorewall:/usr/share/shorewall
RESTOREFILE=
IPSECFILE=zones
LOCKFILE=
###############################################################################
# D E F A U L T A C T I O N S / M A C R O S
###############################################################################DROP_DEFAULT="Drop"
REJECT_DEFAULT="Reject"
ACCEPT_DEFAULT="none"
QUEUE_DEFAULT="none"
NFQUEUE_DEFAULT="none"###############################################################################
# R S H / R C P C O M M A N D S
###############################################################################RSH_COMMAND='ssh ${root}@${system} ${command}'
RCP_COMMAND='scp ${files} ${root}@${system}:${destination}'###############################################################################
# F I R E W A L L O P T I O N S
###############################################################################IP_FORWARDING=Yes
ADD_IP_ALIASES=Yes
ADD_SNAT_ALIASES=No
RETAIN_ALIASES=No
TC_ENABLED=Internal
TC_EXPERT=No
CLEAR_TC=Yes
MARK_IN_FORWARD_CHAIN=No
CLAMPMSS=No
ROUTE_FILTER=Yes
DETECT_DNAT_IPADDRS=No
MUTEX_TIMEOUT=60
ADMINISABSENTMINDED=Yes
BLACKLISTNEWONLY=Yes
DELAYBLACKLISTLOAD=No
MODULE_SUFFIX=ko
DISABLE_IPV6=No
BRIDGING=No
DYNAMIC_ZONES=No
PKTTYPE=Yes
NULL_ROUTE_RFC1918=No
MACLIST_TABLE=filter
MACLIST_TTL=
SAVE_IPSETS=No
MAPOLDACTIONS=No
FASTACCEPT=No
IMPLICIT_CONTINUE=No
HIGH_ROUTE_MARKS=No
USE_ACTIONS=Yes
OPTIMIZE=0
EXPORTPARAMS=Yes
EXPAND_POLICIES=Yes
KEEP_RT_TABLES=No
DELETE_THEN_ADD=Yes
MULTICAST=No
DONT_LOAD=
AUTO_COMMENT=Yes
MANGLE_ENABLED=Yes
USE_DEFAULT_RT=No
RESTORE_DEFAULT_ROUTE=Yes
AUTOMAKE=No
WIDE_TC_MARKS=No
TRACK_PROVIDERS=No
ZONE2ZONE=2
###############################################################################
# P A C K E T D I S P O S I T I O N
###############################################################################BLACKLIST_DISPOSITION=DROP
MACLIST_DISPOSITION=REJECT
TCP_FLAGS_DISPOSITION=DROP
#LAST LINE -- DO NOT REMOVE
Itt csak az IP_FORWARDING=Yes-re kell figyelni.
Nem szabad elfeledni engedélyezni az indulást is!!
Itt be lehet állítani h várjon a ppp0 feléledéséig ha azon jön be a net.emerson@ubuntu-server:~$ cat /etc/default/shorewall
# prevent startup with default configuration
# set the following varible to 1 in order to allow Shorewall to startstartup=1
# If your Shorewall configuration requires detection of the ip address of a ppp
# interface, you must list such interfaces in "wait_interface" to get Shorewall
# to wait until the interface is configured. Otherwise the script will fail
# because it won't be able to detect the IP address.
#
# Example:
# wait_interface="ppp0"
# or
# wait_interface="ppp0 ppp1"
# or, if you have defined in /etc/shorewall/params
# wait_interface=#
# Startup options
#OPTIONS=""
# EOF
Most írok egy olyan szrkiptet, ami 23-06 óráig figyeli a klienseket, és ha egy sem használja a szervert, akkor az szépen le fog állni. Így nem megy feleslegesen éjszaka.
[ Szerkesztve ]
-
Csicsóka
őstag
válasz
DavidDay
#5422
üzenetére
Wifi kártya.... Nekem ugyan nem ilyen van, de tutira mennie kell. A többiek majd jól megmondják ha nem.
Pendrive... Pont úgy kell kezelni mint egy SSD-t. ext2 fájlrendszer legyen rajta, mert az nem nyírja naplózással a cellákat. noatime, nodiratime opcióval legyen mountolva.
Pl. /etc/fsatab
# / was on /dev/sda1 during installation
UUID=3da346b1-177e-4aef-95ec-765537d046f1 / ext2 noatime,nodiratime,errors=remount-ro 0 1A logolást nem célszerű kikapcsolni, mert néha fontos dolgok derülnek ki belőle.
tmpfs-t (RAMDISK) kell tenni a /var/log alá.# Log to RAM
tmpfs /var/log tmpfs defaults,noatime,mode=0755 0 0Hogy a gyakran írt /tmp könyvtár se terhelje a flash-t ezért az is mehet tmpfs-re.
# /tmp to RAM
tmpfs /tmp tmpfs defaults,noatime,mode=1777 0 0Swap nem kell!!!!
/etc/rc.local-ba beleírni ezeket.
for dir in apache apparmor apt cups dist-upgrade fsck news samba unattended-upgrades ; do
mkdir -p /var/log/$dir
done# HDD off 10 min.
hdparm -q -B 200 -S 120 /dev/sdbAz első ciklus létrehozza azokat a könyvtárakat a /var/log alá amikre a rendszernek szüksége van, mivel a ramdisk üres induláskor.
Az utolsó sor pedig 10 perc inaktivitás után leállítja a HDD-t (nálam sdb)A teljes rendszert memóriából futtatni nem szükséges, bár van rá mód, de ekkor live rendszer lesz.
A fenti megoldásokkal elérhető hogy a flash cellára csak minimális írás kerüljön, az olvasás meg nem árt neki.
-
Csicsóka
őstag
Igen oda, de ne feledd a logoknak létrehozni az üres könyvtárakat, mert van ami elhasal ha nincs meg a könyvtára a log-ban. Én az /etc/rc.local-ban szoktam létrehozni, úgy mint az előző példában is írtam.
Ennek a módszernek egyébként egyetlen hátránya van, ami máskor megy előny. Nem maradnak meg a log fájlok csak a következő reboot-ig.
Tehát nem lehet régiekben kutakodni. Ez más szemszögből nézve meg előny, mert nem kell logrotate, v más trükköt bevetni a mértéktelenül szaporodó méretű fájlok ellen. Nekem ez inkább előny, mint hátrány. Egy jól belőtt szerveren nem igen kell hetekre visszamenőleg logokat lesegetni. -
Csicsóka
őstag
.....hanem leállitás előtt az kiirhatná.
Ez is ki van már találva, használtam korábban, de ezen a szerveren nekem nincs rá szükségem. Kissé lelassítja a gép leállását, mert ekkor írja vissza a diskre az egész logot. Ezt megteszi minden leállításkor, és úgy rémlik h nem ritkítható működése. Van belőle .deb csomag jó kísérletezést! -
Csicsóka
őstag
Nálam nem megy állandóan a szerver, ezért írtam egy szkriptet, ami cron-ból futtatva 22-07 óra közt tíz percenként megpingeli a klienseket, és ha egy sem válaszol, leállítja azt.
Így néz ki:
root@ubuntu-server:~# cat /usr/local/bin/host_chk
#!/bin/bash
h_chk() {
rm -f /tmp/hosts 2>/dev/null
ping -c 2 reni && echo "1" > /tmp/hosts
ping -c 2 zoli && echo "1" >> /tmp/hosts
ping -c 2 emerson && echo "1" >> /tmp/hosts
cat /tmp/hosts | grep 1 || /sbin/shutdown -h now
}PID=`pidof -o %PPID /usr/bin/X`
[ -z "$PID" ] && h_chkexit 0
A szkript neve legyen host_chk és a /usr/local/bin-be illik tenni.
Futási jogot kell adni rá a chmod +x /usr/local/bin/host_chkA működés feltétele, hogy a kliensek szerepeljenek fix ip címmel az /etc/hosts fájlban.
Így a szkriptben elég csak névvel hivatkozni rá. (nálam zoli,reni,emerson) Ez adja a következő követelményt, a dhcp server fix ip-vel szolgálja ki a klienseket.Mivel én szoktam a szerveren netezni, ezért a szkript azzal indul, h megnézi fut e az X?.
Ha fut, történhet bármi, nem állítja le a szervert. Ha már nem használom, mindig kilépek konzolos módba, és akkor már aktív a kliensek figyelése. Ekkor sorban megpingeli a klienseket, és ha válaszol vmelyik, beír egy 1-est a /tmp/hosts fájlba.
Ez után megvizsgálja h van e legalább 1 db 1-es benne, ha van semmi sem történik, de ha már nincs 1 sem akkor shutdown.
Mind ez tíz percenként, cronból meghívva.crontab példa:
root@ubuntu-server:~# crontab -l
# m h dom mon dow command
*/10 22-23,00-07 * * * /usr/local/bin/host_chk &>/dev/null -
Csicsóka
őstag
"Az atomból ki tudnék hozni ilyen 25-30-at?"
A D525 kb. ennyit eszik A D945GSEJT 15W körül, ez utóbbit már többször lemértem.
Ilyet nyúzok már egy ideje home serverként, média központként (HD 720-ig) Ubuntu Lucid server szalad rajta. 1 db Buffalo SSD, és egy 1T-s green samu HDD. -
-
Csicsóka
őstag
válasz
ambipur
#5485
üzenetére
A 10.10-re inkább nem is mondok semmit, mert engem is szívatott a bridge-el. Egyszerűen nem ment az smb megosztás, se wifin, se dróton, minden más jó volt.
Én eleve Lucid serverről beszéltem, célszerű azt használni mert az már bizonyított itt többünknek.A mostani problémádnál valszeg nem megy a dhcp server, vagy nem jó sorrendben indulnak el a szolgáltatások.
Indítsd újra őket:
invoke-rc.d dnsmasq restart
invoke-rc.d hostapd restartA LAN hálón lévő gép(ek) kap ipt?
Ha nem akkor dobd ide a dnsmasq.conf-t.
A 10.10-el én dhcp3 servert használtam, ment rendesen, a dnsmasq csak DNS cache volt. -
Csicsóka
őstag
válasz
Laca 012
#5492
üzenetére
Nekem még ennyi sincs az interfaces-ben, és tökéletesen megy.
Igaz G-s atheros kártya, de ez nem befolyásolhat semmit.eth1-en jön be a net, mert az egy 10/100-as és az is elég. Az eth0 az alaplapi gigabit megy belső hálóra.
# The loopback network interface
auto lo
iface lo inet loopback# The primary network interface
auto eth1
iface eth1 inet dhcp#Bridge interface
auto br0
iface br0 inet static
address 10.1.1.1
network 10.1.1.0
netmask 255.255.255.0
broadcast 10.1.1.255
bridge-ports eth0 wlan0
bridge_fd 0
bridge_maxwait 0
bridge_stp off
bridge_ageintime 0Ez meg a dnsmasq.conf:
Fix ip itt van kiadva a három állandó itthoni kliensnek.dhcp-lease-max=51
dhcp-authoritative
interface=br0
bogus-priv
expand-hosts
domain=ubuntu-server.net
dhcp-range=10.1.1.50,10.1.1.100,24h
dhcp-host=00:26:18:86:4f:4b,10.1.1.61,24h
dhcp-host=5C:AC:4C:49:EA:69,10.1.1.62,24h
dhcp-host=00:24:21
E1:E2,10.1.1.63,24h
local=/localnet/
listen-address=10.1.1.1
read-ethersEgyébként szerintem le kéne túrni a 10.10-et, és feldobni egy lucid servert, mert így csak elbeszélünk egymás mellett. Mint látható nem egyforma a két rendszer, a hostapd csomag sem egyforma, de a bridge sem, mert az meg engem szívatott. Így távirányítani vkit
reménytelen.[ Szerkesztve ]
-
Csicsóka
őstag
válasz
birrbert
#5613
üzenetére
Nem melegszik túl ebben a házban?
Alattomos dolgokat csinálhat ha melege van.Egyébként nem kényes a környezetére, nekem sokáig ház nélkül ment.
Nálam a gsejt először 800-as RAM-ot kapott. Volt h napokig ment probléma nélkül, aztán elkezdett fagyni, és egyszer a /var/lig/dpkg/available fájlban egy kettőspontot pontos vesszőre cserélt csak úgy magától. Persze ettől szétzuhant a csomag kezelés. Alig találtam meg a hibás részt. Ekkor már erősen gyanakodtam a RAM-ra. A memtest el sem indult, egy új verziót kellett szerezni. A futtatásakor, volt h hibátlannak, és volt mikor tucatnyi hibával jelzett. A lényeg, nem emésztette a 800-as RAM-ot. 667-esre cseréltem és azóta kifogástalan. Lehet h ez is kényes erre?
-
Csicsóka
őstag
válasz
DavidDay
#5685
üzenetére
Nos, ha vissza olvasol jó sokat, láthatod h nekem nem is sikerült megoldani Maveric, és Natty alatt sem azt, h bridge-el normálisan menjen a wlan és a lan. Csak és kizárólagosan a Lucid és debian 6 alatt megy e kettő egyszerre hiba nélkül. Ha nem használtam bridge-t jól működött a wlan. Csináltam egy olyan megoldást is, hogy a Lucid-ra felhúztam egy 2.6.38-5-ös kerenelt a DVB-T tunerem miatt, és az addig kifogástalan rendszerre nem lehetett wifin csatlakozni. SSID látszott, de semmi egyéb. Se ip-t nem kapott sem dns-t. A lan ment. Egyedüli változtatás csak az új kernel volt. Próbaként kidobtan a bridge-t, és láss csodát megint jó lett a wifi. Az az érzésem, h a bridge kavar itt nekünk. Mert nélküle megy mindegyik ubuntu variáns. Jelenleg egy Natty van fent, mert kell a DVB-T, de csak bridge nélkül megy.
Natty-ben ezek vannak:
hostapd: 1:0.6.10-2
dnsmasq: 2.57-1
Nálam G-s kártya van ezért az alalp ath5k kernel modult használom.A Lucidban, és a debian6-ban minden gyári, keress rá a neten.
-
Csicsóka
őstag
válasz
DavidDay
#5688
üzenetére
Ha nem fontos neked túlzottan az ubuntu, akkor javaslom a debiant.
Nagyon jó lett ismét a stabil kiadás, elsőre megy vele minden.
Nekem különösen bejön,mert régen is használtam, és még normális System V init-et használ, nem pedig az Ubuntu féle upstart-ot, amit nagyon utálok. -
Csicsóka
őstag
válasz
birrbert
#5708
üzenetére
Nincs semmi logika. Egyszerűen egymás utáni sorokban kell megadni a futtatandó parancsokat. Persze az exit 0 elé legyen minden, mert ha utána szúrod be, akkor mint ha nem is lenne, még a végrehajtás előtt kilép.
Egyébként javaslom h használj shorewall tűzfalat, mert ezek az egyszerű iptables szkriptek amiket itt láttam h használtok, nem védik rendesen se magát a szervert, sem a belső hálót.
Korábban írtam ide jó részletesen minta shorewall konfigot, nem bonyolult, jól átlátható és csak kegyszer kell belőni majd hurcolható az /etc/shorewall könyvtár későbbi telepítésekre is.
-
Csicsóka
őstag
válasz
Laca 012
#5774
üzenetére
Ezt a teljesítményt a nyilt radeonhd Xorg driverrel hozta?
V feltetted az fglrx AMD drivert hozzá?
Nagyon szemezek ezzel a lappal, lehet h nyugdíjazom a gsejl-et nemsokára. Fogyasztásban majdnem ott van ahol a gsejt, de mivel én most is használom htpc-nek is, erre célra sokkal jobb nála. -
Csicsóka
őstag
válasz
Laca 012
#5783
üzenetére
Alap esetben a radeonhd-t használja, és ez most még nem ad hardveres gyorsítást a videok lejátszásához. Ezért külön szép teljesítmény tőle, hogy tisztán proci erővel bírta.
Hardveres gyorsítást AMD-nél még elég macerás megoldani, mert az fglrx driver önmagában nem képes rá. Kell még xvba, és vaapi, amit kézzel kell felhegeszteni. Az XBMC-t forrásból kell forgatni, mert a csomagoltban nincs xvba. Ezen a téren az AMD jócskán le van maradva az Nvidia mögött. Ott pár klikk és megy a hw gyorsítás. Egy biztos, míg nem látok a neten kézzelfogható eredményt a brazos xvba/vaapi megoldását illetően, nem fogok venni ilyen deszkát, mivel nekem filmezni is kell néha.
A GSEJT meg lehet h kiköltözik egy egyszerű kartondobozba, és megy mint csak szerver valahová eldugva, mert már nagyon a szívemhez nőtt...
-
Csicsóka
őstag
válasz
Laca 012
#6223
üzenetére
"A szerveren meg át tudod állítani a MAC addrest szerintem. (a vindózba 2 kattintás, akkor ebben miért ne lehetne?) Felesleges a szolgáltatót ezzel"
/etc/network/interfaces-be:
auto eth0
iface eth0 inet dhcp
hwaddress ether 00:11:22:33:44:55vagy
auto eth0
iface eth0 inet static
address ...
network ...
...
hwaddress ether 00:11:22:33:44:55Ennyi az egész. Innentől annak hazudja magát aminek csak akarod.
URST
E
Új hozzászólás Aktív témák
- Gaming notebook topik
- Linux kezdőknek
- Renault, Dacia topik
- AMD GPU-k jövője - amit tudni vélünk
- Robotporszívók
- Poco X6 5G - egy Redmi álruhában
- Gray Zone Warfare
- Debrecen és környéke adok-veszek-beszélgetek
- A mai napon érkezik a King Arthur: Legion IX
- VR topik (Oculus Rift, stb.)
- További aktív témák...
- Beszámítás! Intel Core i3 8100 4mag 4szál processzor garanciával hibátlan működéssel
- Beszámítás! Intel Core i7 2600K 4mag 8szál processzor garanciával hibátlan működéssel
- Beszámítás! Intel Core i7 4790 4mag 8szál processzor garanciával hibátlan működéssel
- Beszámítás! Intel Core i7 4790K 4mag 8szál processzor garanciával hibátlan működéssel
- Beszámítás! Intel Core i9 9900K 8mag 16szál processzor garanciával hibátlan működéssel
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: Ozeki Kft.
Város: Debrecen