Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » UNIX » Общие вопросы по FreeBSD

Модерирует : ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110

Открыть новую тему     Написать ответ в эту тему

articlebot



Administrator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

FreeBSD
 

 
Господа! Общие вопросы по FreeBSD - это не помойка для всех подряд вопросов по данной ОС. Здесь можно задать вопрос, ради которого открывать отдельную тему не имеет смысла, то есть когда вопрос очень простой.
Если же вопрос касается настроек, конфигурированиях и т.д. и т.п. - следует открывать отдельные темы (а сначала воспользоваться фильтром тут и тут).

Официальные ресурсы по FreeBSD

FreeBSD
Офицальное руководство пользователя FreeBSD
Официальные книги  
FTP FreeBSD Fundation
Официальный форум FreeBSD
Полезные ссылки по FreeBSD

FreshPorts - уязвимости, обновления и другая информация по портам
Daemoniada, или За свободный десктоп - ОС FreeBSD, ее устройство и использование в мирных (то есть настольных) целях.  
bsd.opennet.ru - мини-портал информация по FreeBSD и OpenBSD на opennet.ru
Часто Задаваемые Вопросы по FreeBSD 2.X, 3.X и 4.X  - Большой ФАК по FreeBSD  
An Illustrated Guide To Installing FreeBSD - Иллюстрированное Руководство по Установке FreeBSD
news.gamma.ru  
fido7.ru.unix.bsd  
http://pascal.tsu.ru/
http://www.freebsddiary.org/ (англ.)
http://www.onlamp.com/bsd/ (англ.)
http://www.freebsdhowtos.com/ - огромное количество инструкций "как сделать" для операционной системы FreeBSD (англ)
http://flag.blackened.net/freebsd/index.html - инструкции по FreeBSD для ленивых  (англ)  
http://www.lissyara.su/?id=1007 Очень достойный ресурс по FreeBSD (Рус)
http://live.daemony.org/doc/ Ещё один достойный ресурс по FreeBSD (Рус)
 
Также обратите внимание на тему FreeBSD FAQ (Unix FreeBSD FAQ)
 
http://www.citytel.ru/minibsd/minibsd.html - миниатюрная FreeBSD
Поможем проекту *BSD
 

 
Предыдущая часть темы
 

Всего записей: 347 | Зарегистр. 25-05-2001 | Отправлено: 05:58 03-02-2009 | Исправлено: cchameleone, 18:17 01-09-2017
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
res2001
может... но мало вероятно. Он скоро перестанет читать сообщения и всёрано пропустит.
Будет автоматом стирать и ругатся что "блин задолбал этот спам"
 
P.S.
Психология....  
кстати я первое время тоже смотрел рапорты от File2Ban... сейчас как раз плююсь и ругаюсь. Всё руки не доходят отключить отсылку рапортов о забанивании IP

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 13:01 11-11-2013 | Исправлено: gryu, 13:06 11-11-2013
res2001



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я то же на стандартные сообщения особо внимания не обращаю, но и не удаляю, они мне валятся в отдельную папочку, когда надо, то можно всю хронологию посмотреть.
Я всегда ставлю на свои фриибсд aide, вот от нее отчеты всегда утром просматриваю - это более надежный вариант определения взломов.

Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 14:13 11-11-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Я всегда ставлю на свои фриибсд aide, вот от нее отчеты всегда утром просматриваю - это более надежный вариант определения взломов.
ну это разные вещи.  
File2Ban это средство противодействия определённому виду атак, а aide монитор проникновения в систему.

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 15:55 11-11-2013
res2001



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gryu
Согласен, просто aide - более универсальная вещь, хотя и обнаруживает изменения в файловой системе уже постфактум. Но лучше поздно, чем никогда.

Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 16:15 11-11-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
К вопросу о VirtualBox
 
Запуск машины с подключённым VNC по старому более не работает.  
Они опять перекроили запуск.  
Было  
# VBoxHeadless -s MicroXP -n -m 5900 -o password
 
Теперь вместо ключа -n для запуска VNC нужно запускать последовательно следующие команды
# VBoxManage setproperty vrdeextpack VNC    # указание на запуск VNC сервера
# VBoxManage modifyvm MicroXP --vrdeproperty VNCPassword=password    # Задание пароля для коннекта к серверу
# VBoxManage modifyvm MicroXP --vrdeauthlibrary null    # Указание на тип авторизации. В данном случае null что означает "типа только по паролю"
# VBoxManage modifyvm MicroXP --vrdeport 5900    #  указание порта VMC сервера
# VBoxHeadless --startvm MicroXP    # собссно сам запуск VM.  
 
... Мдя. Упростили... "всё для пользы пользователя"...

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 22:58 11-11-2013 | Исправлено: gryu, 02:12 12-11-2013
Hamilton67

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
res2001
gryu
Спасибо, воспользовался разовым решением. В будущем настрою сендмейл как надо.

Всего записей: 3 | Зарегистр. 08-11-2013 | Отправлено: 15:26 12-11-2013
mark74

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Пара вопросов по работе ipfw и natd
 
1. на сколько это годный вариант настройки роутера:
Код:
# ipfw show
00100    61556     7309080 allow ip from any to any via lo0
00200        0           0 deny ip from any to 127.0.0.0/8
00300        0           0 deny ip from 127.0.0.0/8 to any
01100 12223598  8438127373 allow ip from any to any via nfe0
02100    52335     4344843 deny ip from any to 192.168.0.0/16 in recv rl0
02200     4149     1129648 deny ip from 192.168.0.0/16 to any in recv rl0
02300        0           0 deny ip from any to 172.16.0.0/12 in recv rl0
02400        1          28 deny ip from 172.16.0.0/12 to any in recv rl0
02500       50        4314 deny ip from any to 10.0.0.0/8 in recv rl0
02600       10         408 deny ip from 10.0.0.0/8 to any in recv rl0
02700    53078     4541506 deny ip from any to 169.254.0.0/16 in recv rl0
02800     1078      160465 deny ip from 169.254.0.0/16 to any in recv rl0
03100     5554      311026 allow ip from any to any icmptypes 8 in recv rl0
04100 40085113 11198472796 divert 8668 ip from any to any via rl0
04200 11968184  8529880942 allow ip from any to any via rl0
65534        0           0 deny log logamount 50 ip from any to any
65535        0           0 allow ip from any to any

 
2. как увидеть статистику natd и установленные через natd на данный момент подключения, то есть задействованные проброшенные порты?

Всего записей: 458 | Зарегистр. 25-01-2009 | Отправлено: 12:13 13-11-2013
goletsa



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
00200        0           0 deny ip from any to 127.0.0.0/8  
00300        0           0 deny ip from 127.0.0.0/8 to any  

Чито?

Всего записей: 5776 | Зарегистр. 21-06-2005 | Отправлено: 18:35 13-11-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
goletsa
Да. Для ipfw весёлое правило.  
Однако что то подобное я уже видел и часто.
https://www.google.ru/search?q=deny+ip+from+127.0.0.0/8+to+any+&ie=utf-8&oe=utf-8&rls=org.mozilla:ru:official&client=firefox-a&gws_rd=cr&ei=JOCDUvqhN9Db4QSJuoCICw
 
Добавлено:
P.S.
А шото я не понял, однако..  
потупил немного и однако не понял вашего возмущения.  
Это же запрет петли(ээ лупбэк в смысле). Обращение к/от lo0. Нахрен к нему разрешать?

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 00:25 14-11-2013 | Исправлено: gryu, 00:33 14-11-2013
goletsa



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gryu

Цитата:
Нахрен к нему разрешать?  

Мне больше интересно зачем это запрещать?

Всего записей: 5776 | Зарегистр. 21-06-2005 | Отправлено: 03:39 14-11-2013
res2001



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
mark74
Вариант вполне годный вроде.
В правиле 65534 я бы убрал logamount 50 - пусть все пакеты логируются.
Но для такого простого фаера есть смысл воспользоваться стандартной генерилкой правил с помощью firewale_type="CLIENT" и других связанных настроек (или возможно других более подходящих значений firewall_type). Смотри /etc/rc.firewall
На счет статистики natd - статистика там куцая, фактически никакая, смотри man natd. И, кстати, рекомендую пересесть с natd на ipfw nat. Правда там статистика такая же куцая.
И вот у gryu с natd была проблема с загрузкой проца, смотри его пост на 73 странице.
Чтоб получить более внятную статистику надо пользоваться какими-нить счетчиками трафика или, как вариант, попробовать правила с ipfw count.
 
goletsa

Цитата:
Чито?  

Смотри правило 100. Вообще эти 2 можно смело убрать - на них все равно ничего не попадает.
 
gryu
Кстати, чем у тебя кончилась история с natd? Перешел на pf?

Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 09:19 14-11-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
res2001

Цитата:
Кстати, чем у тебя кончилась история с natd? Перешел на pf?  
Нет. Я там написал.  
Все эти проблемы были пока фаервол жил в режиме "опен".
Как только подключил рабочую заготовку конфига они исчезли.  
http://forum.ru-board.com/topic.cgi?forum=65&topic=3200&start=1500#5
 
goletsa
Цитата:
Мне больше интересно зачем это запрещать?  
Ну-у-у.
Я тут поднял свои "записки". txt-шники с надёрганной информацией в данном случае по ipfw. Источники разные. В основном форумы.
Так вот там среди всего прочего есть фраза со смыслом "а этим закрываем лупбэк. Вот за всю жизнь ни разу не видел туда обращения. И не надо."
... вероятно по принципу "лучше перебдеть, чем недобдеть"
 
 
 
Добавлено:
goletsa
Кстати у меня эти правила тоже стоят
00200      0         0 allow ip from any to any via lo0
00300      0         0 deny ip from any to 127.0.0.0/8
00400      0         0 deny ip from 127.0.0.0/8 to any  
 из моих записок. (надёрганых из инета)
Подробнее...

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 11:52 14-11-2013 | Исправлено: gryu, 12:10 14-11-2013
res2001



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gryu

Цитата:
Вот за всю жизнь ни разу не видел туда обращения. И не надо.

Я видел, даже сам настраивал и сейчас использую. (например прикручивал ssl через stunel для некоторых сервисов - сендмыл, лдап авторизация.
К тому же в приведенном выше примере правил обращения через локалхост явно были и не мало.
 
Вообще всегда оставляю разрешенным - сам к себе обращается, зачем запрещать - обе стороны доверенные  
Понятно - могут сломать, тогда может какой-нить хакерский сервис обращаться, но этим запретом взлом не предотвратишь, а если уже сломали и нужен подобный доступ то кулхацкер его без труда организует - фря то уже к тому времени сломана будет. Так что смысла это запрещать нет, имхо.
 
Добавлено:
300 и 400 правила видимо подразумевают обращение из вне на локалхост, но это не возможно, разве что злоймышленник сломает соседний комп в локалке и подделает IP пакет, указав МАС фряхи, а адрес локалхоста. Наверное есть такая атака. Но, думаю, подобные вещи должны отсекаться еще до фаервола, на уровне приема пакет стеком.
Кстати, интересно, отсекаются ли?

Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 12:11 14-11-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
res2001
Ну может.  
Правило это весьма распространено. Достаточно просто поиском это правило в инете поискать.  
 
Добавлено:

Цитата:
разве что злоймышленник сломает соседний комп в локалке и подделает IP пакет, указав МАС фряхи, а адрес локалхоста.

а вот это может быть..

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 12:15 14-11-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
О как!.  
А кто знает что может означать 199% загрузки процессора? Подробнее...

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 00:39 15-11-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
И ещё.  

Чисто тупая ситуация. Я несколько растерялся даже.
Дано.
Сервер на FreeBSD на котором крутится VBOX в ВМ которого работает Windows.  
Есть доступ к этой винде. По тимвьюверу.
К хостовой системе доступа нет.  
Задача:
Изменить настройки той самой BM в которой крутится та самая Windows XP через которую только и есть возможность подключится к хостовой FreeBSD.  
(сервер стоит за двумя NAT-ами и пробрость что бы то ни было для коннекта напрямую к серверу, невозможно )  
 
Т.е. putty из гостевой я запустил и на FreeBSD вышел.. а дальше?  
Для изменения настроек нужно:
1. Выключить VM  
2. Запустить командную строку изменяющую настройки VM.
3. Запустить VM опять последовательно несколькими командами  
(http://forum.ru-board.com/topic.cgi?forum=65&topic=3200&start=1580#6)
 
ну и каким образом выдернуть из под ХР табуретку так, чтобы пока она падает, успеть подсунуть другую?  

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 13:38 15-11-2013
res2001



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gryu
Пишешь шел скрипт с нужными командами, ставишь его в крон на запуск через ... 5 минут.
В скрипте должен быть предусмотрен старт ВМ, если необходимо.
 
Ну или проброс портов через 2 ната до фряхи.

Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 14:10 15-11-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
res2001
Угу. Уже сообразил.  
Только без скрипта. Просто в крон прописал запуск команд построчно  
Голова что то тупит. Со скриптами возится не стал. вдруг .. 1 ошибка  уже не исправишь.

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 16:57 15-11-2013
res2001



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gryu
Одна ошибка может быть и в кроне.
Но если команды выполняются достаточно долго, то следующая может запуститься по крону, когда еще предыдущая не закончилась. А это так же может привести к ошибке.
 
Те же команды в файл оформляешь в первой строке пишешь:
#!/bin/sh -
Добавляешь атрибут выполнения и его запуск в крон.
И в кроне можно сделать перенаправление вывода в файл, чтоб потом можно было оценить выполнение и наличие ошибок:
file.sh 1>log.txt 2>&1

Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 17:07 15-11-2013
Arkham

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток. Хотел бы решить следующую проблему. После переустановки ХР обратно на чистый ХР при загрузке системы, примерно в то же самое время когда на черном фоне старинным шрифтом описывались процессор, тактовая частота и прочее, возникает надпись вроде "Select the operating system to start" и снизу два варианта - обе "Windows XP Professional". Один из них, разумеется, нерабочий. Подскажите, пожалуйста, как сделать так, чтобы эта надпись больше не появлялась и чтобы ОС загружалась как обычно.

Всего записей: 8 | Зарегистр. 07-07-2013 | Отправлено: 18:21 15-11-2013
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110

Компьютерный форум Ru.Board » Операционные системы » UNIX » Общие вопросы по FreeBSD


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru