» Общие вопросы по FreeBSD

Цитата:

Цитата:
А что про 6.2 релиз все молчат?

еще не смотрел. Как скачаю - поставлю сразу...

а что его смотреть - релиз как релиз. я обновился в тот же день как в cvs пометили релиз. полет нормальный. обновление с 6.1 как и всегда без проблем.

честно говоря, ожидать чудес не приходится. ибо ничего сверхсерьезного не сделано (audit во правда). для меня большим плюсом стала более стабильная работа iwi драйвера. я теперь на wifi в офисе сижу. удобно.

keyhell
обновление - это не плохо. Но мне это не подходит.

Цитата:

keyhell
обновление - это не плохо. Но мне это не подходит.

ну дык ставьте с нуля. кто вам мешает.
у меня на лаптопе система уже пару лет только обновлениями дошла до 6.2. на мой взгляд сейчас процедура обновления стала очень стабильной и простой.

fantome
вот такие у меня маршруты
Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
10.65/18 link#1 UC 0 0 lnc0
10.65.1.64 00:0e:7f:b4:4a:6e UHLW 1 0 lnc0 1179
10.65.2/24 192.168.0.11 UGS 0 0 lnc1
10.65.3.1 00:10:b5:ac:04:72 UHLW 1 26 lnc0 890
10.65.3.2 00:0b:6a:6f:e6:22 UHLW 1 31 lnc0 771
10.65.5.1 00:10:b5:a8:5b:df UHLW 1 18 lnc0 933
10.65.15.7 00:80:48:c6:b0:1d UHLW 1 18 lnc0
10.65.63.255 ff:ff:ff:ff:ff:ff UHLWb 1 32 lnc0
127.0.0.1 127.0.0.1 UH 0 2 lo0
192.168.0 link#2 UC 0 0 lnc1 =>
192.168.0/18 10.65.2.14 UGS 0 0 lnc0
192.168.0.11 00:0c:29:eb:c3:d2 UHLW 2 0 lo0
192.168.0.255 ff:ff:ff:ff:ff:ff UHLWb 1 49 lnc1

Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UH lo0
fe80::%lnc0/64 link#1 UC lnc0
fe80::20c:29ff:feeb:c3c8%lnc0 00:0c:29:eb:c3:c8 UHL lo0
fe80::%lnc1/64 link#2 UC lnc1
fe80::20c:29ff:feeb:c3d2%lnc1 00:0c:29:eb:c3:d2 UHL lo0
fe80::%lo0/64 fe80::1%lo0 U lo0
fe80::1%lo0 link#4 UHL lo0
ff01:1::/32 link#1 UC lnc0
ff01:2::/32 link#2 UC lnc1
ff01:4::/32 ::1 UC lo0
ff02::%lnc0/32 link#1 UC lnc0
ff02::%lnc1/32 link#2 UC lnc1
ff02::%lo0/32 ::1 UC lo0


а сообщения все равно появляются
пинги между сетками проходят. может это с ARP какие-то проблемы.

vovanj7
так сделай пару команд, добавь соотв. маршруты...

route add -net 10.65.1.0 netmask 255.255.192.0 metric 1 gw 192.168.0.1 dev lnc1
route add -net 192.168.0.1 netmask 255.255.255.0 metric 1 gw 10.65.1.0 dev lnc0

Цитата:

Так вот после установки второй сетевой и присвоения ей IP(10,65,1,1), постоянно появляется сообщение
jan 18 12.27.21 bsd kernel: arp 10.65.2.144 is on lnc0 but got reply from 00.00.0d..... on lnc1
jan 18 12.27.21 bsd kernel: arp 10.65.3,65 is on lnc0 but got reply from 00.00.0d..... on lnc1

Неудивительно обе сетевки у тебя в один хаб воткнуты.

Переключись на вторую консоль и не мучайся.
Либо пропиши в /etc/sysctl.conf
net.link.ether.inet.log_arp_wrong_iface=0

Добавлено:

Цитата:

вот такие у меня маршруты
Routing tables

А в rc.conf прописано
gateway_enable="YES"


Добавлено:

Цитата:

route add -net 10.65.1.0 netmask 255.255.192.0 metric 1 gw 192.168.0.1 dev lnc1
route add -net 192.168.0.1 netmask 255.255.255.0 metric 1 gw 10.65.1.0 dev lnc0

Во FreeBSD это работать не будет, это синтаксис linux.

10.65.1/24 192.168.0.1 UGS 0 0 lnc1[/q]
192.168.0/18 10.65.1.1 UGS 0 0 lnc0[/q]

так есть уже такие маршруты


Цитата:

Либо пропиши в /etc/sysctl.conf
net.link.ether.inet.log_arp_wrong_iface=0

это только отключит эти сообщения, но проблемы не решит

Цитата:

А в rc.conf прописано
gateway_enable="YES"

да

vovanj7

Цитата:

fantome
вот такие у меня маршруты
Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
10.65/18 link#1 UC 0 0 lnc0
10.65.1.64 00:0e:7f:b4:4a:6e UHLW 1 0 lnc0 1179
10.65.2/24 192.168.0.11 UGS 0 0 lnc1
10.65.3.1 00:10:b5:ac:04:72 UHLW 1 26 lnc0 890
10.65.3.2 00:0b:6a:6f:e6:22 UHLW 1 31 lnc0 771
10.65.5.1 00:10:b5:a8:5b:df UHLW 1 18 lnc0 933
10.65.15.7 00:80:48:c6:b0:1d UHLW 1 18 lnc0
10.65.63.255 ff:ff:ff:ff:ff:ff UHLWb 1 32 lnc0
127.0.0.1 127.0.0.1 UH 0 2 lo0
192.168.0 link#2 UC 0 0 lnc1 =>
192.168.0/18 10.65.2.14 UGS 0 0 lnc0
192.168.0.11 00:0c:29:eb:c3:d2 UHLW 2 0 lo0
192.168.0.255 ff:ff:ff:ff:ff:ff UHLWb 1 49 lnc1

Где здесь эти маршруты??? Этими маршрутами ты обеспечишь обмен пакетами между своими двумя сетевухами, которые стоят у тебя на компе...
IPv6 нас по понятным причинам не интересует...

10.65/18 link#1 UC 0 0 lnc0
10.65.1.64 00:0e:7f:b4:4a:6e UHLW 1 0 lnc0 1179


10.65.1/24 192.168.0.1 UGS 0 0 lnc1


10.65.3.1 00:10:b5:ac:04:72 UHLW 1 26 lnc0 890
10.65.3.2 00:0b:6a:6f:e6:22 UHLW 1 31 lnc0 771
10.65.5.1 00:10:b5:a8:5b:df UHLW 1 18 lnc0 933
10.65.15.7 00:80:48:c6:b0:1d UHLW 1 18 lnc0
10.65.63.255 ff:ff:ff:ff:ff:ff UHLWb 1 32 lnc0
127.0.0.1 127.0.0.1 UH 0 2 lo0
192.168.0 link#2 UC 0 0 lnc1 =>

192.168.0/18 10.65.1.1 UGS 0 0 lnc0

192.168.0.11 00:0c:29:eb:c3:d2 UHLW 2 0 lo0
192.168.0.255 ff:ff:ff:ff:ff:ff UHLWb 1 49 lnc1

это я пьяним был, когда писал, вот в этой таблице они есть

Цитата:

Цитата:Либо пропиши в /etc/sysctl.conf
net.link.ether.inet.log_arp_wrong_iface=0


это только отключит эти сообщения, но проблемы не решит

А вчем проблема-то?


Цитата:

Так вот после установки второй сетевой и присвоения ей IP(10,65,1,1), постоянно появляется сообщение
jan 18 12.27.21 bsd kernel: arp 10.65.2.144 is on lnc0 but got reply from 00.00.0d..... on lnc1
jan 18 12.27.21 bsd kernel: arp 10.65.3,65 is on lnc0 but got reply from 00.00.0d..... on lnc1

Эти сообщения говорят о том что ARP пакет предназначеный для одной карты был получен другой картой, что не удивительно т.к. они воткнуты в вдин хаб или свитч.

Решением проблемы будет полное (на физическом уровне) разделение сетей.
Либо наворачивание ализа на туже сетевку.




Добавлено:

А по поводу ната нужно понять что ты сам хочешь. Если нужно просто связать две сети, то нат не нужен. Нат нужен, чтобы спрятать внутреннюю сеть от чужих, причем так чтобы внутренним пользователям была доступна внешняя сеть.

Предлагаю реализовать нат так:
Интерфейсы: lnc0 10.65.1.1/18 - inside
lnc1 192.168.0.1/24 - outside
воткнуты в разные хабы.
Клиенты локалки (10.65.1.1/18) видят все.
Клиенты внешнего интерфейса смогут только пинговать ip 192.168.0.1.

Реализация:
/etc/rc.firewall
#!/bin/sh

/sbin/ipfw -q add 1000 allow all from any to any via lo0
/sbin/ipfw -q add 2000 allow all from 10.65.1.0/18 to any keep-state
/sbin/ipfw -q add 3000 allow icmp from 192.168.0.1/24 to me
/sbin/ipfw -q add 4000 allow all from me to any keep-state
/sbin/ipfw -q add 65535 deny all from any to any

/etc/ipnat.rules
MAP lnc1 10.65.1.0/18 -> 192.168.168.0.1/32 proxy port ftp ftp/tcp
MAP lnc1 10.65.1.0/18 -> 192.168.168.0.1/32 portmap tcp/udp 40000:65000
MAP lnc1 10.65.1.0/18 -> 192.168.168.0.1/32

В rc.conf
ipnat_enable="YES"
ipnat_rules="/etc/ipnat.rules"

Все теперь ты имеешь нат из сети 10.65.1.0/18 в сеть 192.168.0.0/24

Проверяем: включаем комп со стороны интерфейса lnc1, который будет эмуляцией компа в интернете и назначаем ему адрес из сети 192.168.0.0 например 192.168.0.10.
включаем комп - со стороны локалки и назначаем ему например адрес 10.65.1.100 шлюз 10.65.1.1.
Делаем ping 192.168.0.10 с внутреннего компа
на шлюзе tcpdump -i lnc1 -n
должен увидеть что-то такое:
18:45:09.790447 IP 192.168.0.1 > 192.168.0.10: ICMP echo request, id 512, seq 48896, length 40
,что говорит о том что твои запросы пинга идут с внешного интерфейса шлюза, те твой ип 10.65.1.100 заменяется на 192.168.0.1
на внутреннем же интерфейсе
tcpdump -i lnc0 -n
ты должен увидеть нечто подобное:
18:50:18.460087 IP 192.168.0.10 > 10.65.1.100: ICMP echo reply, id 512, seq 62209, length 40
,что свидетельствует о правильной работе ната.

Нужен совет

Есть 5 компьютеров и роутер DLink. Один из них нужно сделать сервером под FreeBSD 6.2. Четыре оставшиеся соедины в локальную сеть с помощью роутера для совместного доступа в инет через сервер. Т.е. схема такова:

Инет <-> Сервер <-> роутер <-> компьютеры

Сервер соответственно имеет 2 сетевые карты, встроенную - для Инета и PCI - для локалки.

В будущем на севере будет находиться сайт.

Подскажите как всё это хозяйство организовать под FreeBSD. Или укажите хороший линк в Инете. Литературу.

Сам искать пробовал но исчерпывающих ответом так и не нашёл.

Господа,
подскажите какое файрвол выбрать для использования с FreeBSD? Функциональность IPFW кажется недостаточной.

удалите пожалуйста это сообщение. оно было отправлено по ошибке

Ruppert

Цитата:

Функциональность IPFW кажется недостаточной

- ??!!
Шутите ?!
И конкретно поясните, что Вам нужно и что Вы не можете сделать
с помощью FreeBSD IPFW и IPFW2 ?

Цитата:

Есть 5 компьютеров и роутер DLink.

уже плохое начало. не надо DLink использовать. они делают плохое сетевое оборудование.


Цитата:

Инет <-> Сервер <-> роутер <-> компьютеры

зачем вам рутер между сетью и сервером?


Цитата:

Подскажите как всё это хозяйство организовать под FreeBSD. Или укажите хороший линк в Инете. Литературу.

прочтите FreeBSD handbook.
прочтите шапку в этой теме.



Добавлено:

Цитата:

Господа,
подскажите какое файрвол выбрать для использования с FreeBSD? Функциональность IPFW кажется недостаточной.

pf. разберетесь - вам хватит.


Цитата:

Шутите ?!
И конкретно поясните, что Вам нужно и что Вы не можете сделать
с помощью FreeBSD IPFW и IPFW2 ?

такие задачи, для которых может не хватать ipfw, - есть. вне всякого сомнения, таких задач довольно много. другое дело, что от автора действительно хотелось бы услышать его задачи.

Цитата:

задачи, для которых может не хватать ipfw, - есть. вне всякого сомнения, таких задач довольно много

И Вы шутите ?
Хотя, я Вам больше скажу, "таких задач" бесконечно много!
А если серьезно, то _функциональность_пакетных_фильтров_
практически одинакова. Алгоритмы и методы реализации - да могут отличаться.
А уж тем более каждый (юзер) может иметь свои предпочтения.
Потому, чтоб боле не флеймить:
Ruppert
Задачу в студию, тогда конкретно решим, чего Вам не хватает

Роутер Dlink достался на халяву, поэтому было решено через него подключить 4 компа к локалке.

В своей просьбе я забыл указать, что подключение к инету через выделенку. и что на локальных компах установлен Windows XP.

FreeBSD handbook читал.

Fokrem
Ну например:
http://www.opennet.ru/base/net/unix_server_short.txt.html

Вполне сностная статья для начала ,хотя есть много заморочек насчёт ядра.

Интересно а эта статья - unix_server_short.txt.html ещё актуальна, ведь её написали в 2002 г под древнее железо и древний FreeBSD?

Цитата:

И Вы шутите ?
Хотя, я Вам больше скажу, "таких задач" бесконечно много!
А если серьезно, то _функциональность_пакетных_фильтров_
практически одинакова. Алгоритмы и методы реализации - да могут отличаться.
А уж тем более каждый (юзер) может иметь свои предпочтения.
Потому, чтоб боле не флеймить:
Ruppert
Задачу в студию, тогда конкретно решим, чего Вам не хватает

спорить с вами я не буду. вы очевидно знаете больше.
прочтите внимательно документацию по pf, потом прочтите документацию по ipfw. потом думайте.
потом подумайте, что еще хочется видеть от packet filter (в общем значении этого слова), а потом напишите сюда еще раз, что разницы нет.

Drron

Цитата:

Либо наворачивание ализа на туже сетевку.

так я пробоавл, но во FreeBSD как это сделать? При добавлении алиса- у меня на существующую карту просто добавляется еще одип ИП. А в firewall нужно LanOut="lnc1" LanIn="lnc0" , но в данном случае-это одна и таже катрта
В Linux, вроде, при добавлении алиаса получается 2-е виртуальные катры.


Цитата:

А по поводу ната нужно понять что ты сам хочешь

Я хочу чтобы из сети 192.168.0.0 видели сеть 10.65.0.0 и в нет могли ходить(через прокси squid), а вот наоборот видеть незачем.

P.S. За предложеный вариант спасибо, я им воспользовался

Версия FreeBSD 6.2.

Какой-то скрипт грузит апач. Смотрю процессы с помощью команды top.

31079 www 1 124 0 26512K 18248K RUN 23:58 69.34% httpd

Как видите данный скрипт выполнялся в течении более чем 20 минут, и жрал до 70% процессорного времени.

Как можно посмотреть какой из скриптов php грузит апач?

keyhell
Анализатор прикладного уровня нужен. Чтоб резать флэш, картинки и прочее. Чтоб различные виды атак распозновал. ИПсек-трафик пропускал. Может чего в определениях напутал, ну уж извольте, пока микрософтизма только лечусь
PF не в кассу. Он тоже до прикладного уровня не дотягивается. Хотя я его видел только в опен- и очень давно.

Цитата:

Анализатор прикладного уровня нужен. Чтоб резать флэш, картинки и прочее.

Цитата:

Чтоб различные виды атак распозновал.

Цитата:

ИПсек-трафик пропускал. Может чего в определениях напутал, ну уж извольте, пока микрософтизма только лечусь

причем тут MS? просто вы неправильно ищете. вам нужны три разных продукта. все это сделать на UNIX/Linux сделать можно.


Цитата:

PF не в кассу. Он тоже до прикладного уровня не дотягивается. Хотя я его видел только в опен- и очень давно.

если внимательно прочитать документацию, а потом немного прочитать про то, как фильтруется трафик в принципе, то легко понять, что pf НИКОГДА (не то чтобы я был уверен на 100%, но все же именно НИКОГДА) не будет резать картинки/флеш и т.п.. Причина банальна - "Packet filtering takes place in the kernel." (c) man pf

теперь по теме: snort+pf+squid+...+...+...

вообще говоря, темы такие на форумах постоянно: читайте opennet.ru

keyhell
M$ тут как раз причём, потому как ищется более дешёвый аналог ISA, который обладает обозначенной функциональностью, но стоит пять килобаксов.
И вы абсолютно верно уверенны в том, что PF не будет ничего резать, потому как работает максимум с протоколами транспортного уровня. Просто я думал может за последнее время к нему прикрутили и "интеллектуальный" фильтр. А IPFW так вообще только на сетевом уровне работает.
Насколько удобно прикручивать линксовские решения в этой области к фри? Не сталкивались?

Извините за то что невтему, но у меня вопрос по установки FreeBSD:
У меня на одном жестком диске 3 раздела, на одном из которых стоит 2000,второй нетрогаем, а на третий я хочу установить FreeBSD 6.0 но я не хочу переустанавливать 2000 -ую. Можно ли как то это реализовать?
Я знаю что при установке FreeBSD предлагаеться устанавливать свой загрузщик, но у меня есть какое то чуство, что он потрет загрузчик 2000 -ой.

почти вся (за исключением некоторых аспектов) фун-ть ISA спокойно реализуется в Linux/UNIX. отдельного пакета (слава богу!) для этого нет. использование связки тех или иных продуктов даст вам то, что вы хотите.

P.S. для того, чтобы понять почему нельзя фильтровать картинки/флеш и tcp пакеты в одном процессе, надо всего лишь прочитать как работает squid (к примеру squid, потому что он как раз может резать вам картинки и т.п.) и ipfw/pf.

Добавлено:

Цитата:

Я знаю что при установке FreeBSD предлагаеться устанавливать свой загрузщик, но у меня есть какое то чуство, что он потрет загрузчик 2000 -ой.

потрет не означает, что грузиться в MS Win станет невозможно.

Ruppert
если коротко - то это комплес программ.

Микрософот просто все это объединило в одно ПО, причем очень монстрообразное, зато работает и позволяет не особо вдаваясь в подробности получить то что надо, не особо разбираясь в принципах работы, а почитав инструкцию и посмотрев примеры.

Для начала прочитай про сквид. Это прокси сервер. Он же умеет блокировать определенные расширения файлов.

Хммм... Изучаю FreeBSD 6.1 вторую неделю, поставил на неё KDE и эксперементировал с различными её настройками, последнее что помню: инсталлировал дополнительные шрифты.

Раньше у меня после загрузки ОС в консоли появлялось приглашение ввести лоигн/пароль, после авторизации я выполнял команду startx и загружалась KDE. Теперь после загрузки системы пояляется какая-то странная оболочка серого цвета с приглашением ввести логин/пароль, после того как я их ввожу, появляется белое окно консоли с текстом, но ввести команды в это окно не получается, текст просто не вводится. Никаких кнопок, инструкций, заголовков и т.п. на экране нет.

Полагаю, что я своими экспериментами незаметно для себя внес какие-то изменения в конфигурационные файлы. Подскажите, пожалуйста, как можно отключить загрузку этой оболочки? Или может можно как-то откатить систему?

Добавлено:
При попытке загрузиться в Save Mode компьютер завис, а вот в Single User Mode загрузился, сейчас попробую найти все что недавно правил. Правда интересный вопрос возник: в сингл юзер моде система не спросила у меня логин/пароль... как-то это странно.

Добавлено:
И startx в этом режиме (сингл юзер) не работает...

Цитата:

Правда интересный вопрос возник: в сингл юзер моде система не спросила у меня логин/пароль... как-то это странно.

man ttys
vi /etc/ttys


Цитата:

И startx в этом режиме (сингл юзер) не работает...

угу. и не должен.

сейчас у вас (после экспериментов) система стартует сразу в X. для того, чтобы разобраться (а кроме того просто подучить систему) рекомендую отличное чтиво: http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/