Компиляция ядра FreeBSD

Обсуждаем OS FreeBSD и сервисы на ней.

Re: Компиляция ядра FreeBSD

Сообщение makky » 14 авг 2009, 09:56

slb51 писал(а):Прошу прощения за глупые, порой, вопросы. Я ещё очень слабо шарю в UNIX-подобных системах. Многое делаю просто из интереса. В принципе мне нужно ядро, которое будет осуществлять очень ограниченную функцию.

Как это?

slb51 писал(а):У меня есть локалка в виде домена Windows 2003, есть выход в корпоративную сеть через шлюз и в интернет через корпоративную сеть. Всё что мне нужно - это ограничить подключение пользователей. Надо дать разрешение группе пользователей только к имеющемуся списку сайтов, другой группе - только к одному сайту и третей группе - полный доступ, всем остальным запретить всё. Думаю, кроме ipfw для этого ничего больше не нужно.

И сквида с самбой, чтобы удобнее было.

slb51 писал(а):NAT- это просто для пробы. Может быть полезным окажется и proxy. Попутно можно защититься от внешних поползновений. Решил сделать это через FreeBSD, с которой до этого дела не имел. Отсюда и глупые вопросы. За помощь большое спасибо. Советы ясные, вразумительные и действенные.

А как ты без ната собрался например банк-клиентов выпускать или какой-то подобный софт?
Все это можно сделать на винде не хуже. Если пускаешь сразу в боевые условия, то даже лучше.. Лучше делать на том, что знаешь лучше. Если интерес для дальнейшей работы, то все это другое. Я тебе посоветовал для начала понять разницу между файрволом, проксей, натом.. Почитай про тсп/ип хоть немного.
А что ты сделал ради эксперимента?
Аватара пользователя
makky
посетитель
 
Сообщения: 119
Зарегистрирован: 19 окт 2008, 20:42
Откуда: msk

Re: Компиляция ядра FreeBSD

Сообщение root » 14 авг 2009, 11:34

slb51 писал(а):Думаю, кроме ipfw для этого ничего больше не нужно.

а я бы поставил squid в паре с IPFW

Код: Выделить всё
Port:  squid-2.7.6_1
Path:  /usr/ports/www/squid
Info:  HTTP Caching Proxy
Maint: tmseck@web.de
WWW:   http://www.squid-cache.org/


на этом основан один из наших "продуктов", дааавно написанных, как раз для офисных вариантов шлюзов
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Компиляция ядра FreeBSD

Сообщение makky » 14 авг 2009, 16:30

Уважаемый, UID 0...

Прозрачный прокси не поддерживает ntlm аутентификацию в active directory, поэтому рулежка группами пользователей на основе данных active directory будет просто невозможна. Конечно , может топик-стартеру это и не надо, но мне такое в сетках от 10 рыл очень помогает, особенно если рулежка производится не сильно компетентным лицом при отсутствии связи с админом, который все это замутил. Кроме того, становится невозможно проксировать https трафик. Вообщем минусов достаточно много как и плюсов.

Я лично использую как правильно два проксика: один прозрачный, второй жесткий. Если интересно могу выложить правила, которые придумал давно и давно использую везде, очень от всякой шняжки из сети помогает. =)

PS: топик посвящен компиляции ядра с минимумом функций для работы прокси сервера squid в гетерогенной сети. =)
PPS: Кстати, может тема для статейки...
А что ты сделал ради эксперимента?
Аватара пользователя
makky
посетитель
 
Сообщения: 119
Зарегистрирован: 19 окт 2008, 20:42
Откуда: msk

Re: Компиляция ядра FreeBSD

Сообщение slb51 » 17 авг 2009, 09:45

Разница между NAT, Proxy и Firewall понятна. Я думаю, что NAT мне не нужен, т.к. его функции уже реализованы средствами корпоративной сети вышестоящей организации. Я же в Windows ничего не настраиваю, просто указал шлюз в настройках DHCP. Ну и упражняюсь я, естественно, не на живой системе, так что могу позволить себе сколь угодно рискованные эксперименты. Что до остального, попробую.
slb51
новичок
 
Сообщения: 35
Зарегистрирован: 06 авг 2009, 15:32

Re: Компиляция ядра FreeBSD

Сообщение slb51 » 17 авг 2009, 09:58

на этом основан один из наших "продуктов", дааавно написанных, как раз для офисных вариантов шлюзов

Извини, я не разобрался, что, где и как надо искать на этом сайте. Там, наверное, как-то зарегистрироваться надо? Тоже не понял как.
slb51
новичок
 
Сообщения: 35
Зарегистрирован: 06 авг 2009, 15:32

Re: Компиляция ядра FreeBSD

Сообщение lehisnoe » 17 авг 2009, 10:41

slb51 писал(а):
на этом основан один из наших "продуктов", дааавно написанных, как раз для офисных вариантов шлюзов

Извини, я не разобрался, что, где и как надо искать на этом сайте. Там, наверное, как-то зарегистрироваться надо? Тоже не понял как.

Да, там нужно ввести в кач-ве логина и пароля guest (о чем написано прямо на главной странице). После авторизации попадаешь в админку системы.
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: Компиляция ядра FreeBSD

Сообщение slb51 » 21 авг 2009, 15:25

А из админки попадаешь только на описания продуктов и ссылки на Википедию. Я надеялся, что можно реально попробовать продукт.
slb51
новичок
 
Сообщения: 35
Зарегистрирован: 06 авг 2009, 15:32

Re: Компиляция ядра FreeBSD

Сообщение root » 21 авг 2009, 16:11

slb51 писал(а):Я надеялся, что можно реально попробовать продукт.

там можно все это
добавлять юзера, выставлять права и т.п.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Компиляция ядра FreeBSD

Сообщение Андрей » 10 ноя 2009, 08:32

Привет всем.
Поделитесь, кто и чего удаляет из стандартного ядра и может это посоветовать удалить другим.
Я понимаю, что может получиться так, что не будет поддержки некоторого оборудования, но разумеется в пределах разумного править конфиг.

Вопрос возник не на пустом месте.
На 6й фре стоит NAS. Купили машину - теперь нужно переделать на 7ку. Сравнил 2 конфига исходных - разница ощутима.

Попутно вопрос (может и глупый).
собираю ядро с опциями NEGRAPH.
добавил опции
Код: Выделить всё
options NEGRAPH_PPP
options NEGRAPH_PPTPGRE

В дальнейшем хочу использовать l2tp. Возникает вопрос есть ли опция NETGRAPH_L2TPGRE (или аналогичная) или в ней нет необходимости, т.к. l2tp протокол наследовавший pptp?
Если есть эта опция, то подскажите, какую еще опцию надо использовать для организации l2tp?
Можно ли компилироать опции l2tp и pptp в одном ядре и как это скажется на системе?

Заранее благодарен.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Компиляция ядра FreeBSD

Сообщение root » 10 ноя 2009, 12:08

Андрей писал(а):Поделитесь, кто и чего удаляет из стандартного ядра и может это посоветовать удалить другим.

лишние устройства, которых нет в системе, аля:
    SCSI устройства
    RAID массивы, которых нет, а если какой то есть, то оставлю только тот который установлен в сервер
    сетевухи, которые я точно никогда юзать не буду, особенно сетевухи "ISA Ethernet NICs", ISA порт чичас реально сложно найти :)
    "Wireless NIC cards"
    "USB support", "USB Serial devices", "USB Ethernet" - если поддержка USB не нужна
    "FireWire support"
    "PCCARD (PCMCIA) support"
    device fdc
    device atapifd # ATAPI floppy drives
    device atapist # ATAPI tape drives
    device gif # IPv6 and IPv4 tunneling
    device faith # IPv6-to-IPv4 relaying (translation)

Андрей писал(а):собираю ядро с опциями NEGRAPH.
добавил опции

а я бы добавил:
Код: Выделить всё
options NETGRAPH
options NETGRAPH_PPPOE
options NETGRAPH_SOCKET
options NETGRAPH_ECHO
options NETGRAPH_ETHER
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_L2TP
options NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE


Андрей писал(а):Возникает вопрос есть ли опция NETGRAPH_L2TPGRE (или аналогичная)

а ) все опции описаны в LINT, сделай "линт" и зри в него:
2) я тебе уже говорил, что прежде чем поднимать какой либо протокол, было бы совсем не лишним почитать о том как он работает, тогда подобных вопросов возникать не будет

Андрей писал(а):Можно ли компилироать опции l2tp и pptp в одном ядре и как это скажется на системе?

ну а почему нет то ? :) например, демон mpd "держит" оба:
Mpd поддерживает множество типов соединений:
.............
pptp – соединение точка-точка через Internet по протоколу PPTP (Point-to-Point Tunnelling Protocol). Данный протокол поддерживается большинством производителей операционных систем и оборудования.

l2tp – соединение через Internet используя протокол 2-го уровня L2TP (Layer Two Tunnelling Protocol). L2TP является дальнейшей реализацией протокола PPTP и также поддерживается современными производителями операционных систем и оборудования.
............
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Пред.След.

Вернуться в FreeBSD

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 39

cron