» Общие вопросы по FreeBSD

короче обновилось оно, теперь вроде проблем нет...
но отъело трафика 150 метров!!! бардак полнейший

ooptimum

Цитата:

не стоит бездумно пользоваться чужими конфигами, если до конца не понимаешь того, что в них написано.

Это да. Но я все равно не понял, почему у меня ничего не удалилось при первом же cvsup-е.
HighTower

Цитата:

но отъело трафика 150 метров!!! бардак полнейший

Блин, хотел тебе сказать, чтобы ты перед обновлением порты с дистрибута поставил. Забыл.

Вдогонку. Только что поставил 5.2.1 на свежий сервак, поставил из с этого же цд cvsup и запустил его со своим конфигом. Все обновилось. Все-таки косяк был в другом.
Возможно я ставил RELEASE, а HighTower CURRENT?

Возник такой вопрос, значит у меня ФриБСД 5.1,
смотрю в /usr/ports/www/apache13, там стоит версия Апача
1.3.27, на сайте лежит уже версия 1.3.29, чтобы информация
о портах была новой, мне нужно обновить локальное дерево портов,так?

Thomas78
Ну да.

В принципе можно и бинарный пакет новой версии скачать, если там зависимостей слишком много нету.

Demetrio

Хорошо, а много ли это трафика сожрёт? Обновление дерева, примерно...
Наверху тут писали, но я так и не понял, нормально..

В журнале Chip дали дистр 4.10 как он из себя? просто я чисто только на винде сижу вот и думаю стоит ли начинать осваивать фрю? что скажете?

Доброго времени суток.

FreeBSD 5.2.1
Все замечательно работало, уже начал кое в чем ковыряться. И тут бац.
При загрузке.

setrootbyname failed
ffs_mountroot: can't find rootvp
Root mount failed: 6
mountroot>

Скажите, пожалуйста, чего делать, или про что почитать

mountroot>help

1 загрузись с CD и проверь не похерил ли root раздел
2 имеет ли root раздел вид типа /dev/hd0s1a ("a" на конце показует что раздел "/")

ps. что конкретно делал то ?

bukaa

Цитата:

1 загрузись с CD и проверь не похерил ли root раздел

как это сделать? где почитать?

Цитата:

2 имеет ли root раздел вид типа /dev/hd0s1a ("a" на конце показует что раздел "/")

он пытается примаунтить /dev/ad0s4a, однако на "?" выдает список слайсов и ad0s4a в этом списке нету. получается что корневой раздел изменился (возможно из-за манипуляций с форматированием виндовых разделов и бутменеджером), попытка примаунтить имеющийся в наличии ad0s3a (ufs:ad0s3a) успеха не принесла. буду копать дальше. спасибо за ответ.

Цитата:

как это сделать? где почитать?

почитать:
FreeBSD Handbook
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/
http://bsd.opennet.ru/


Цитата:

... попытка примаунтить имеющийся в наличии ad0s3a (ufs:ad0s3a) ...

учти что там "хитрая" система обозначений ....
для загрузки ядра что то типа:
0:ad(0,a)/kernel
где
0:ad ---- ide primary master
(0, "----- s1--" a "----- раздел {\bf a} помеченый как root--" ) /kernel" --- путь к ядру---"
-------------------------------------------
для root раздела что-то подобное (точно не скажу, фряхи под рукой нет ... ):
ufs:ad(2,a)

Привет.

Подсобите _правильно_ составить список правил для фильтрующего моста.
значит имеется:
реальная подсеть x.x.x.224/28
две сетевые, объеденённые в мост-
- rl0 (c адрсеом x.x.x.226, смотрит наружу)
- rl1 (без адреса, смотрит внутрь)

на этой машине стоит почта, веб и днс сервер.

требуется разрешать всё исходящее из подсети, а входящие только ответы на запросы из подсети, ну и доступ по 25, 80, (53?) на x.x.x.226

сейчас такое, но мне не нравится что то

Цитата:

allow icmp from any to any
allow udp from any to any dst-port 53
allow udp from any 53 to any
allow tcp from any to x.x.x.226 dst-port 80
allow tcp from x.x.x.226 80 to any
allow tcp from any to x.x.x.226 dst-port 25
allow tcp from x.x.x.226 25 to any
ip from any to any via lo0
allow ip from x.x.x.224/28 to any
allow tcp from any to x.x.x.224/28 in established via rl0
allow udp from any to x.x.x.224/28 in established via rl0
deny log ip from any to any

но оно как то сранно работает...
например адрес вводим, он думает долго и не может открыть страницу, раза 2-3 скажешь перегрузить и опа - загружается...

при этом в security падает такое:

Цитата:

Aug 25 12:56:49 gate kernel: ipfw: 65534 Deny MAC in via rl1
Aug 25 12:57:21 gate last message repeated 11 times
Aug 25 12:58:40 gate last message repeated 7 times
Aug 25 12:58:44 gate kernel: ipfw: 65534 Deny MAC in via rl0

а если перед последним deny впихнуть такое
pass log all from any to any
то работает без таких проблем (или они редки), однако снаружи к нам на любую машину и на любой адрес можно произвести соединение и пишет такое:

Цитата:

Aug 25 13:00:13 gate kernel: ipfw: 65533 Accept MAC in via rl0
Aug 25 13:00:31 gate kernel: ipfw: 65533 Accept MAC in via rl1

что за ерунда и как сделать что мне требуется???

Цитата:

Deny MAC

сеть по arp бегает .... arp пакеты с MAC адресами не проходят ...
и скорее всего не проходят broadcast запросы ip-->mac

The following options are not implemented by ipfw1:
dst-ip, dst-port, layer2, mac, mac-type, src-ip, src-port.

bukaa
в 5.2 уже ipfw2

нашёл тут хак:
в файл /usr/src/sys/netinet/ip_fw2.c
вписать где

Цитата:

if (hlen == 0) { /* non-ip */
snprintf(SNPARGS(proto, 0), "MAC");

вот это


Цитата:

if (eh != NULL)
snprintf(SNPARGS(proto, 3),
" %02x:%02x:%02x:%02x:%02x:%02x %02x:%02x:%02x:%02x:%02x:%02x 0x%04x",
eh->ether_dhost[0], eh->ether_dhost[1],
eh->ether_dhost[2], eh->ether_dhost[3],
eh->ether_dhost[4], eh->ether_dhost[5],
eh->ether_shost[0], eh->ether_shost[1],
eh->ether_shost[2], eh->ether_shost[3],
eh->ether_shost[4], eh->ether_shost[5],
ntohs(eh->ether_type));

пересобрал ядро - теперь в логи пишет сами адреса мас...

и проблема порешалась так:

allow ip from any to any MAC ff:ff:ff:ff:ff:ff any

надеюсь безопасно.... т.к. все deny были с ff:ff:ff:ff:ff:ff в источники с одним их маков клиентов...



и ещё тут такое, что крон присылать стал письмо такое:

Цитата:

From: root (Cron Daemon)
To: root
Subject: Cron <root@gate> newsyslog
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <PATH=/etc:/bin:/sbin:/usr/bin:/usr/sbin>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <LOGNAME=root>
X-Cron-Env: <USER=root>

newsyslog: missing field in config file:

файл newsyslog такой:

Цитата:

# configuration file for newsyslog
# $FreeBSD: src/etc/newsyslog.conf,v 1.47 2003/08/07 21:04:40 fjoe Exp $
#
# Entries which do not specify the '/pid_file' field will cause the
# syslogd process to be signalled when that log file is rotated. This
# action is only appropriate for log files which are written to by the
# syslogd process (ie, files listed in /etc/syslog.conf). If there
# is no process which needs to be signalled when a given log file is
# rotated, then the entry for that file should include the 'N' flag.
#
# The 'flags' field is one or more of the letters: BCGJNUWZ or a '-'.
#
# Note: some sites will want to select more restrictive protections than the
# defaults. In particular, it may be desirable to switch many of the 644
# entries to 640 or 600. For example, some sites will consider the
# contents of maillog, messages, and lpd-errs to be confidential. In the
# future, these defaults may change to more conservative ones.
#
# logfilename [owner:group] mode count size when flags [/pid_file] [sig_num]

/var/log/all.log 600 7 * @T00 J
/var/log/amd.log 644 7 100 * J
/var/log/auth.log 600 7 100 * J
/var/log/console.log 600 5 100 * J
/var/log/cron 600 3 100 * J
/var/log/daily.log 640 7 * @T00 JN
/var/log/debug.log 600 7 100 * J
/var/log/kerberos.log 600 7 100 * J
/var/log/lpd-errs 644 7 100 * J
/var/log/maillog 640 7 * @T00 J
/var/log/messages 644 5 100 * J
/var/log/monthly.log 640 12 * $M1D0 JN
/var/log/ppp.log root:network 640 3 100 * J
/var/log/security 600 10 100 * J
/var/log/sendmail.st 640 10 * 168 B
/var/log/slip.log root:network 640 3 100 * J
/var/log/weekly.log 640 5 1 $W6D0 JN
/var/log/wtmp 644 3 * @01T05 B
/var/log/xferlog 600 7 100 * J
/var/log/auth.log 600 3 * * Z
/var/log/cyrus.log 600 3 * * Z

тут то что не так?

Как просмотреть в /var/log файл security, если открываю просмотрищиком там все @

zenia
Под рутом смотришь?

Demetrio

Да

загорелся идеей освоить Фрю, только нашел инфу русскую по ней в инте и вот облом сайт что то не хочет работать
http://www.freebsd.org.ua/
может есть у кого что то в этом духе предложить из ссылок? для начального уровня?

vworld
http://bsd.opennet.ru/

vworld
www.freebsd.org.ru

не знаю обсуждалось ли:

у меня грабли какие-то с сетевухами..
две сетевухи - одна для внутренней сети, вторая для внешнего адреса, но обе воткнуты (пока, потом внешняя на модем пойдет) в одну локалку..

пинги никуда не идут - сообщение типа

Цитата:

ххх.ххх.ххх.ххх(внешний адрес) is on lo0 but got reply from <mac address> on xl0
ууу.ууу.ууу.ууу(внутренний адрес текущего гэйтвея) is on xl0 but got reply from <mac address> on xl1

на хл0 настраивал внутренний собственный адрес
на хл1 настраивал внешний собственный адрес

чё та я в настройке перемудрил, где поправить?

Как определить по MAC адресу IP?
А то настроит фильтрующий мост, rl0 - смотрит наружу в прова, rl1 - внутрь в свич, так в security стало сыпаться нечно вроде:

Цитата:

ipfw: 65500 Reject MAC 03:00:00:00:00:01 {некоторые MACи клиенских машин} 0x00a6 in via rl1

вот этот 03:00:00:00:00:01 - не из моей подсети, т.к. arp -a ничего не знает о нём, тоже и 33:33:ff:be:64:f9 и 33:33:42:6f:6c:05 и прочие...

хотелось бы узнать что это за адреса такие и можно ли их разрешать...

и насколько безопасно разрешить все маки через rl1?

А можно ли сделать полную копию машины Freebsd, типа как в винде с помощью Ghost делается образ диска. Если можно, то как этот образ себя поведет если его востановить потом на машину не похожую по конфигурации с родительской?

Цитата:

и насколько безопасно разрешить все маки через rl1?

можеш получить arp spoof атаку в пределах сети бегающей по arp
пропиши:
1. arp таблицу на сервере для связи MAC-IP локальной подсети (arp -s или "arp control")
2. желательно прописать как можно больше статических связок IP-MAC для всешней подсети (особенно серверов), но тут проблема если меняют сетевую то и MAC меняется и нужно заново прописывать .....
2.a. win32 (кроме win 2003) "доверяет сети больше чем админу" если прописать arp -s ... то от arp spoof это не спасёт
3. разрешить все arp (если захотят завалить то и без arp завалят )
4. покопать в сторону arp proxy, может там чё есть ....


Цитата:

Как определить по MAC адресу IP

если arp кеширован arp -a |grep 03:00:00:00:00:01

ps. очень хорошо считует MAC адреса
nmap -sP sub_network/mask -T Aggressive
arp -a > out_file
)
------------------------------

Добавлено

Цитата:

А можно ли сделать полную копию машины Freebsd, типа как в винде с помощью Ghost делается образ диска. Если можно, то как этот образ себя поведет если его востановить потом на машину не похожую по конфигурации с родительской?

freebsd на не имеет защиты от нелицензионного копирования ...
на новом диске можно создать
1. разделы
2. поставить загрузчик
3. скопировать все каталоги

bukaa

Цитата:

freebsd на не имеет защиты от нелицензионного копирования ...
на новом диске можно создать
1. разделы
2. поставить загрузчик
3. скопировать все каталоги

А если смонтировать разделы по другому, работать тоже будет?

Цитата:

А если смонтировать разделы по другому, работать тоже будет?

как зделаеш так и будет
только /etc/fstab поправить надо

есть вопрос:
ставлю Фрю5.2.1 на машину с двумя сетевухами
одна сетевуха - внутренний интиерфейс, другая - с внешним адресом

машина будет работать в качестве шлюза, но пока обе карты воткнуты в сеть локальную.. как прописать правильно гэйтвеи (да и интерфейсы), чтобы работал и внутренний и внешний адрес (хотя обе воткнуты в локалку пока) - можно ли это?

пока пришлось карты для внешнего адреса освободить, ибо пинги во вне неуходили, оно как-то сома себя гэйтвеело и еще какая-то хрень.. извне пинговалось по внутреннему адресу, внешний молчал

могу ли я так сделать - как я понимаю потом мне просто надо будет воткнуть во внешнюю сетевыуху модем и в софте мнеять уже ничего не надо

Цитата:

пока пришлось карты для внешнего адреса освободить, ибо пинги во вне неуходили, оно как-то сома себя гэйтвеело и еще какая-то хрень.. извне пинговалось по внутреннему адресу, внешний молчал

то ли я русский плохо учил то ли ..... но этот кусок я не понял ..
перфразируй pls.

bukaa

Цитата:

то ли я русский плохо учил то ли ..... но этот кусок я не понял ..
перфразируй pls.

значит ставлю : xl0 - 192.168.0.1
xl1 - 195.195.195.195 (внешний)
Гейтовать - ЙЕС
Гейтвей - 192.168.0.0 (действующий ныне гейтвей)

и нифига не пашет.. если ставлю гейтвей, который гейтвей для нашего гейтвея - тоже не пашет, даже когда писал Гейтовать - НОУ..

освободил (не инициализировал интерфейс) xl1 - работаю нормально (использую ессно действующий для локалки гейтвей)

так вот что делать, чтоб два адреса (т.е. внешний) работало и можно было машинку уже как гейтвей тестить/юзать

ЗЫ. Давно уже знаимаюсь настройкой серверных систем, но когда сталкиваюсь с первоначальной настройкой сети (редко, но бывает) - всё время какие-то грабли %\

Добавлено
что значит "не пашет" - см. http://forum.ru-board.com/topic.cgi?forum=62&topic=0464&start=220#12
писал уже тут выше

Цитата:

Гейтвей - 192.168.0.0 (действующий ныне гейтвей)

ты не ошибся ?