Építsünk szervert

7/27/2019 ptsnk szervert

1/35

1. oldalo title

2013.09.23. 22:28:56p://www.szabilinux.hu/server/index.html

ptsnk szervert - 0.5.2 (2001.07.20) !Tartalomjegyzk

BevezetsEz az oldal azoknak keszl, akiket a sors rendszeradminisztrcira kenyszert, s a fontos kerdsekben a kvetkez segtsget kapjk:

"mivel egy tzfal teleptse s belltsa szmos elvi s megvalstsbeli ismeretet ignyel, itt azt sajnos nincs mdunk rszletesen bemutatni."

Slapic-nak ebben, termszetesen igaza van, de ez kb. olyan vlasz, mint amikor egy kezd megkrdezi melyik distrib-et vlassza, s azt mondjkneki, hogy mindegy, mert ugyanaz a kernel van hozz.

Szval kszteni kell egy internetes gateway-t, tjrt, de se pnz, se tapasztalat, se semmi, s nem akarjuk rfecsrelni az egsz dlelttt.

TUDOM, hogy ettl sokaknak felll a szr a htukon, s ebben IGAZUK IS VAN. Az let azonban bonyolult, s mgiscsak ssze kell hoznivalamit.

Ha a bels hlon totl amatrk vannak, s csak ideiglenesen, modemmel kapcsolodunk fel egy szolgltathoz, akkor egy alapvet Linux-osismeretekkel rendelkez ember is ssze tud hozni egy ilyen rendszert. St. ssze kell hoznia, radsul ingyen, grbe pillantsokkal ksrve, a

krnyez Win99-es gpek mgl.

Ha valakinek lehetsge van r, akkor krjen meg egy hozzrtt, hogy csinlja meg. Csakvgs esetben forduljon ehez a dokumentumhoz!

Ha valaki magtl nem tudn eldnteni, hogy profi-e, annak egy kis segtsg:Profi az akinek a hibazeneteket tartalmaz jegyzetfzetben nem azok a hibazenetek vannak amiket mr ltott, hanem azok amiket mg nem.

A tartalomjegyzk Gefferth Andrs programjval kszlt.Kattints ide ha le akarod tolteni.

Alapismeretek:Olaf Krich - Linux - halozati adminisztrtorok kziknyve

Fred Blutzen, Christopher Hilton - Linux halozatok 2750 FtA Win95 kliensek jl le vannak rva.

Szab - Linux lepesrol lepesre 2??? Ft

Linuxvilg folyirat. Klnsen a knny lmok cikksorozat.

leen Frisch - Windows NT rendszeradminisztrci.Idzet a knyv 127. oldalrl "s mg tovbbi kettt [tartalmaz - mrmint partcit] (amiket trtnetesen a Linux opercis rendszer hasznl)."Azonnal megvettem. Drga, de j knyv. kb 4000 Ft

Peter Norton, Mike Stockman - A hlzati biztonsg alapjairl 2660 FtWindows (NT, 2000), Novell NetWare, Unix (Solaris, BSD, Linux)Kezdknek. Teht Neked :-)

http://www.bmva.hu/linux/jegyzet

http://server.kando-misk.sulinet.hu/linuxokt/dolgozat.htm

http://server.kando-misk.sulinet.hu/linuxokt/dolgozat.htm

SAG-HU 3 helyen

http://home.sch.bme.hu/~bekesa/lr/index.html

http://to.banki.hu/koli/doc/linux/sag-hu/index.html

http://www.szif.hu/~ahorvath/Sag/

Miskolci Egyetem jegyzete:


2/35

2. oldalo title


www.iit.uni-miskolc.hu/~vadasz/it02_szgpek/index.html

Linux doksik magyarul

http://linuxdoc.freeweb.hu/

Kernel fordts (Debian 2.2.x): CHIPTR: Linux 2.2 40-65. (RedHat 2.0.x CHIP 1998 julius 104-106)

PAM: hitelests. CHIP 2001 prilis. 144-146.

X terminlok ptse: http://linuxgazette.com/issue68/swieskowski.html

Ht akor kezddjk.

ppp - kapcsolodas az internetreCHIP 2000. november 169-170. Az IP hlzat szolgltati oldala. Segyik Istvn: Internet-meteorolgia I.

Ha valaki egy egyetemi hlzaton akar egy alhlzatot nyitni - tipikusan egy tanszk szmra - akkor ezt a rszt tugorhatja.

Itt emlekeztetnk az ISP trsekre, s egyb kalzkodsokra. Ezen a gpen minimlis mennyisg program fusson, s a rendszeres upgradeelengedhetetlen.

Zyxel Omni Ta 128 kls ISDN modemet csatlakoztatok a COM1 ttyS0 portra. (A COM2 hibs :) Kls ISDN modemhez nem kell ISDNtmogats, ha a modem Hayes felletet nyjt.Minicom-mal kapcsolatot ltestek a modemmel. (A modemet s a minicom-ot is be kell lltani, br a default bellts OK szokott lenni.)AT parancsra a modem vlaszol OK

ATZ0 reseteli a modemet s elhozza a 0 belltstAT&V kiirja az aktulis belltsokatMindenflt tud a TA 128. CHAP - PAP konverzitl kezdve Asyncronrl syncronra konverzit is. 158 oldalas kziknyv. Amire vigyzzunk azaz ATWn n=0-4 parancs, ami rgzti a belltsokat. Amit az ATZn-nel lehet elhvni. Ha itt nagyon elcsesznk valamit akkor lehet, hogy alegegyszerbb a firmware csere. Norml esetben egybl bejn a gp-modem kapcsolat a minicom-mal, s a minicom el is vgzi a modeminicializlst. Ekkor rjuk be azATDTszolgltattelefonszm-ot

CONNECT 115200/PPP 64000/NONE

Mutatja, hogy megvan a kapcsolat. Username: promtnl rjuk be a felhasznli nevet, Password: -re pedig a jelszt.

Mr minden OK.

Ha Username helyett

~@$##%$##^%$^%$%$&$&^$%&^%^&%*&%&*%&*^&*^% NO CARRIER

jn be, akkor ms tipus a szolgltatnl az azonosts. ISDN-nl szinte biztos.


3/35

3. oldalo title


Namost azta tallkoztam valami TA128 felirat modemmel, nem Zyxel. Annak kellett egy AT!L0=0 is. Figyelmesen el kell olvasni akziknyvet.

Lehet a Matv is a huny. Az ISDN drt vgre dugtunk egy digitlis telefont, s nem tudtunk vrosi szmot trcszni.

s most ugyanez komolyabban, rszletesebben cHarley - [email protected] segtsgvel.

Letlts

Kattints ide ha le akarod tolteni. Akarjad.

A "/etc/ppp/options" legyen res, mert ez minden soros portra vonatkozik, helyette portonknt opcizunk. [Dadus]

Szoval ezzel egyaltalan nem ertek egyet. Vannak olyan opciok (pl ms-dns egy server eseten, meg csomo egyeb) ami minden soros portnalugyanaz. Akkor minek kulon leirni? Ha valamit nem ott tartunk ahol a helye van, akkor kesobb nehezen fogjuk megtalalni. [cancel]

A Matavnet "pap" autentikcit hasznl, vagyis nem scriptel kne bejelentkezned. A kppp autentikcijt "pap" llitsd, az "/etc/ppp/pap-secrets" file-t ki kne tlteni, a "/etc/ppp/options" tartalmt meg kitrlni. A kppp-nek meg mg bellitani, hogy a "pppd"-t debugopcival inditsa. A Matvnet szerverein nha nem indul el a ppp, nha tbbszr is konektni kell:

Feb 24 21:22:26 dadus pppd[918]: sent [LCP ConfReq id=0x1 ]Feb 24 21:22:38 dadus last message repeated 4 timesFeb 24 21:22:41 dadus pppd[918]: Terminating on signal 15.Feb 24 21:22:41 dadus pppd[918]: sent [LCP TermReq id=0x2 "User request"]Feb 24 21:22:44 dadus pppd[918]: sent [LCP TermReq id=0x3 "User request"]Feb 24 21:22:47 dadus pppd[918]: Connection terminated.Feb 24 21:22:47 dadus pppd[918]: Exit.

Ez az els mai bejelenkezsem, ltszik hogy az els csomagomra nem kldtt semilyen vlaszt, ezrt leidzitett a pppd. [Dadus]

Ha az options s a pap-secrets file-ok kztt ellentmonds van, akkor nem megy az azonosts !

Naszal a pap/chap secret file igy nzzen ki:

[client(account)] [server(acoount)] [secret] [server IP]nandoraccount matavnet jelszo *matavnet nandoraccount jelszo *

A masodik sor akkor kell, ha calback-kal megy, ha ott van, nemsok vizet zavar. Az IP-t vagy beirod vagy don't care "*" [netizen]

Egyebek:

A KDE kppp-jet hasznalnam, de mindig azt irja ki hogy: /dev/modem locked[Cronos]Egy elz prblkozsbl maradhatott egy lock file, amit nem tudott letrlni valami okbl, gyhogy most akkor manulisan knetrlni. A "/var/lock" knyvtrban valami ilyen file van : LCK...modem , ezt trld le nyugodtan.[Dadus]

az Elender web oldaln egsz trheten le van rva lpsrl-lpsre mit kell csinlni a ppp-on, ppp-on-dialer szkriptekkel. (Vgre ezt ismegltk, a Linux-ot is jegyzik!) Kiprbltam, nekem mkdik (Red Hat 6.2). A ppp-on-dialer-ben nekem eredetileg "ogin" volt"sername" helyett, ezt trtam, a ttyS0-t meg a sebessget is mindkt szkriptben. A # tail -f /var/log/messages pedig jl mutatja mi

trtnik, illetve mi nem trtnik. Arrl rhattak volna tbbet, mit kell tenni, hogy a user-ek is tudjk indtani a ppp kapcsolatot, de nelegynk telhetetlenek, mr ez is valami. Taln a kvetkez verziban...[yoker]

Adott egy telefonvonal egy hangpostval megldva. Ha a hangpostra zenet rkezik akkor azt jellegzetes berreg trcsahangal jelzi. Eza berreg hang egsz addig jelen van amg nem trlm le az zenetet. Ez a rendszer meghibsodott s letrls utn tovbbra is jelen vana berreg trcsahang. A Matv aszt lltja, hogy beszorult a trcsahang s, hogy ez orszgos problma. Ez miatt a modem aszt mondja,hogy nincs vonal. Ettl a hanposta "szolgltatstl" nem tudok megszabadulni mert ez egy trs vonal s a matv aszt mondja, hogy ezjr hozz. n mr mondtam nekik, hogy fizetem tovbbra is a hangposta djt csak vigyk a fenbe nekem nincs r szksgem. A vlasznemleges. Windows-ban megtudom mondani a modemnek, hogy hadja figyelmen kvl a trcsahangot, ekkor tudok internetre lpni depdul faxolni mr nem tudok mert a fax programban nincs ilyen belltsi lehetsg. Teht a krdsem az, hogyan lehet a Linux-nakmegmondani, hogy ne vegye figyelembe a trcsahangot?[sirkalmi]

lehet, hogy ez segt majd. Nem n vagyok ilyen okos, ez is az Elender oldalrl van:"A modem inicializl stringet a sorban talljuk, ezt rjuk t a modem lersban szerepl init stringre (ltalban egy egyszer ATX ismegteszi, de lehetsg van a modem 'finomhangolsra', lsd lers). Az ATX egybknt azt eredmnyezi, hogy a modem ne vrjontrcsahangra, hanem 'dumb' mdon lljon neki trcszni. Ez pldul olyan alkzpontok esetn hasznos, amelyek nem adnak szabvnyostrcsahangot."


4/35

4. oldalo title


A modem init. string-et a kppp-ben is lehet vltoztatni.[yoker]

Dummy: visszahurkol interface, Ethernet-tel nem rendelkez, de SLIP-pel rendelkez (Serial Line Internet Protokol) gpen lland IP cmmelrendelkez eszkz ltrehozsra. Mindez azrt kell, mert egy visszahurkolsi interface lehetsg van a Linux-ban - a 127.0.0.1, namost ha egyalkalmazs a 192.168.1.15 nek akar adatot kldeni, s nincs ilyen aktv eszkz - mivel a gp nincs hlzatba kapcsolva a dummy (nem valdi)eszkz fogadja az adatot. A diald dmon bels kommunikcira hasznlja a SLIP protokollt. Interfszek:eth - hlkrtyalo - loopback, visszahurkol interface. 127.0.0.1ppp - Point-to-Point Protokol eszkz

sl - SLIP eszkz.dummy - dummy eszkz.

ISDN EICON DIVA

/etc/conf.modules vagy /etc/modules.conf file-ba:options hisax type=11A PCI buszos krtynak ennyi opci elg, meg fogja tallni. Klnben meg az /usr/src/linux/Documentation/isdn/README.HiSax file-ba megtallod a hisax modul paramtereit.

/etc/ppp/pap-secrets file-ba:

internet-account-username ISPneve password *

A konnekt script:

#!/bin/shmsn=1234567 #sajat hivoszamcall=1234567 #ISP hivoszamadevice=ippp0local=172.16.1.2remote=172.16.1.1account=internet-account-usernamecase "$1" instart)

echo "Indit: ISDN *Xylyco* otthon :"echo 7 > /proc/sys/net/ipv4/ip_dynaddr/sbin/hisaxctrl HiSax 7 1/sbin/isdnctrl system on/sbin/isdnctrl verbose 10/sbin/isdnctrl addif $device/sbin/isdnctrl eaz $device $msn/sbin/isdnctrl addphone $device out $call/sbin/isdnctrl addphone $device in $msn/sbin/isdnctrl huptimeout $device 99999/sbin/isdnctrl l2_prot $device hdlc/sbin/isdnctrl l3_prot $device trans/sbin/isdnctrl encap $device syncppp

/sbin/isdnctrl dialmode $device manual/sbin/isdnctrl chargehup $device off/sbin/isdnctrl secure $device on/sbin/ifconfig ippp0 $local pointopoint $remote up/sbin/route del default 2> /dev/null/sbin/ipppd /dev/$device debug -detach defaultroute \remotename ISPneve ms-get-dns \ipcp-accept-local ipcp-accept-remote noipdefault user $account &;;stop)echo "Leallit: ISDN *Xylyco* otthon:"/sbin/route del default/sbin/isdnctrl hangup $device

/usr/bin/killall ipppd #ez lehet, hogy mashol van, nezd meg a pontos dirt./sbin/ifconfig ippp0 down/sbin/isdnctrl pppunbind ippp0/sbin/isdnctrl unbind ippp0/sbin/isdnctrl delif ippp0;;


5/35

5. oldalo title


restart)$0 stop$0 start;;*)echo "Usage: isdn-home {start|stop|restart}"exit 1esacexit 0

Mivel a script-ben a "dialmode $device manual", s nem auto, a konnektlshoz a kvetkez parancs szksges:isdnctrl dial ippp0

A diszkonnekthez:isdnctrl hangup ippp0vagy lelvd az egsz ISDN konfigot a script-el:isdn-home stop(mr ha te is ugyanezt a nevet adod a scriptnek)Alapban csak a root hasznlhatja, ha ms usernek is engedlyezni akarod, akkor a parancsokat (isdnctrl, ifconfig, route, killall)

SETUID-osra kell tenni. llapotot lekrdezni:isdnctrl status allAz ipppd debug-al van indtva a scriptben, az isdn debugot meg a : isdnctrl verbose 1-tl 99-ig parancsal lehet lltani. Van KDE-s progiis hozz, a kisdn, ezt minden disztrib tartalmazza, de mieltt hasznlod a "kcmkisdn" paranccsal konfigolni kell. Nha nem hajlandmkdni, hasokat lltgatja az ember, ekkor parancssorbl:isdnctrl system ons meggygyul.[Dadus]

PPP szerver ksztse:Persze, ha nem akarjuk, hogy kvlrl csatlakozzanak a rendszernkhz, akkor ez nem kell.

Lsd mg: CHIP 2000. jnius 139-142, augusztus 127-128.

Kell hozz az mgetty csomag amit minden disztribuci tartalmaz, a pppd ami szintn mindegyik disztriben megvan.

De ha callback-re meg az "MSCHAP" azonostsra is szksg van, akkor az eredeti csomagot le kell cserlni: ftp://ftp.elte.hu/pub/linux/ppp-cbcp/

Az "MSCHAP" autentikcihoz szksges valamelyik "libdes" csomag (azt hiszem RedHat al rpm csomagban is megvan): ftp://ftp.psy.uq.oz.au/pub/Crypto/DES/

A szabvnyos "CHAP"-hoz ez nem szksges, csak a microsoft ltal mdostotthoz ( ha a windows-okban -lstd: w95 s Plus

csomag,w98 "DialUp Server"; NT RAS Server belltsai- aktivlva van a "Microsoft Windows Authentication", akkor csak"MSCHAP"-al engednek be, vagyis ha a linux a cliens akkor az "MSCHAP" nagyon hasznos. A callback-rl a kernel ppp moduljnakis tudnia kell, erre a "/usr/src/linux/include/linux/ppp_defs.h" file-ban van hivatkozs: #define PPP_CBCP 0xc029 /* Callback ControlProtocol */ Ha ez nincs meg le kell cserlni egy olyan header llomnyra ami tartalmaza, pl. a callback-os ppp csomag tartalmaz ilyenheader file-t. Ez a problma a 2.2.x-es kerneleket nem rinti, csak a rgebbieket. Az "mgetty" bellitsai - Induljon az "/etc/inittab"-bl:

mo:45:respawn:/usr/sbin/mgetty -a -D /dev/ttyS1

tt a 4-es s 5-s runlevelen indul (2. mez) a "ttyS1"-en (com2). Szksg szerint ez mdostand. Ezt SuSE-hez csinltam itt a defaultrunlevel a 2-es, az xdm-es a 3-as (ugyanez a RedHat alatt emlkeim szerint a 3-as s az 5-s). Vagyis az mgetty monitorozsa nem indul adefault runlevel-en, csak egy "init 4" vagy "init 5" parancs utn. Ezek megegyeznek a 2-es illetve a 3-as runlevellel, az mgetty indtstkivve. Teht az "/etc/rc.d/init.d/rc2.d" s rc4.d directory-k tartalma megegyezik, az rc3.d s a rc5.d szintn ( a szimbolikus linkekmsolsra kivl az MC, mert a relatv utvonal hivatkozsokat nem bolygatja). Azrt ez a kevers, mert ha az mgetty nem ltja a

modemet, kegyetlen sokat tud hisztizni, s ez periodikusan kpes elkvetni, de ha a modem llandan be van kapcsolva, ez az egsz ccelhagyhat, induljon az mgetty a default runlevelen oszt ksz. Az "/etc/mgetty/mgetty.config"-ban:

port ttyS1

debug 8


6/35

6. oldalo title


data-only y

speed 115200

A debug sor csak a belvshez szksges, ha mr stabil elhagyhat. (a "/var/log/mgetty.ttyS1"-be logol) Az "/etc/mgetty/login.config"-ban:

/AutoPPP/ - a_ppp /usr/sbin/pppd

Ezrt j vlaszts az mgetty, mert kpes automatikusan elindtani a pppd-t.

A "/etc/ppp/options" legyen res, mert ez minden soros portra vonatkozik, helyette portonknt opcizunk.

A "/etc/ppp/options.ttyS1" tartalma:

10.1.1.1:10.1.1.2

netmask 255.255.255.0

-detach

debug

auth

+pap

#+chap

#proxyarp

login

name pppserver

ms-dns xxx.xxx.xxx.xxx

modem

lock

crtscts

callback server

debug szintn elhagyhat a belvs utn. Az autentikcit a "+pap" vagy "+chap"-al vlasztunk, a login azt modja meg, hogy a sajt "/etc/passwd" adatbzisunkkal azonositunk, ez egyuttal azt is jelenti, hogy a behvnak mint vals user-nek lteznie kell a linuxon. Ha ez amegolds nem szimpatikus, a login elhagyhat, de ekkor ki kell tlteni az "/etc/ppp/pap-secrets" vagy a "/etc/ppp/chap-secrets" file-okat, a vlasztott autentikcitl fggen. A "name" sor is ehhez kell a sajt nevnket szabjuk meg. Ebben az esetben pl. papautentikcit hasznlva: Az "/etc/ppp/pap-secrets"-bl [A dadus user hopi2 jeszval] :

# client server secret IP addresses

dadus pppserver hopi2 10.1.1.0/24

pppserver dadus hopi2 10.1.1.0/24

Az elbbi "login"-os esetben pedig elg ennyi:

* * "" 10.1.1.0/24

Ha van itt tbb bejegyzs is, pl. a kimen dialup-os internet elrs miatt, azoknak ezt meg kell elznik, mivel a ppp sorban viszsglja afile tartalmt, s az els egyeznl lell. Az IP cmnl az els a szerver, a msodik a behv kliens. Amennyiben a bels hlrl osztaszki IP cmet szksges mg a "proxyarp" opci is. Az "ms-dns"-el el lehet kldeni a wines klienseknek a dns szerver cimt. A "callbackserver" opcinak rtelemszeren csak akkor hasznlhat, ha a callback-os ppp-t hasznlod. Az "/etc/ppp/callback-users"-ben:

dadus *

dadus2 1234567


7/35

7. oldalo title


Brmilyen telefonszmon visszahvja a "dadus" usert, a dadus2-t csak a megszabott szmon. Ha a sambval ki akarsz ajnlanierforrsokat a ppp keresztl, az "interfaces" opcit kell hasznlni, de vigyzat nem a network cimeket kell ide rni, hanem csak a linuxhlzati cmeit. Pl.az eth0 a 192.168.1.1-es cmen van, s egy komplett C osztlyu, a ppp0 meg a 10.1.1.1-en 255.255.255.240-es maszkkal:

interfaces=192.168.1.1/24 10.1.1.1/28

[Dadus]

bind - name serverAzt mondjk, hogy rdemes egy Caching-only name servert belltani a ppp-s gpen. Ekkor a name server ugyan nem tud semmit, de tanul. gycskkenti a halzati terhelst.

$rpm -q bind

bind-4.9.6-6

Hmmm... lehetne jabb is...Mr csak azrt is mert ezeken a rgi bind-eken mr sok lyukat talltak.

/etc/named.boot

; ; Boot file for name server ;

directory /var/named

; type domain source file

cache . named.root

/var/named/root.cache

; Ez a file egy vagy tbb DNS szerverre mutat.

. 3600000 IN NS A.ROOT-SERVERS.NET.

A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4

; persze itt fel lehet sorolni mg sok nameservert is, szerintem kettt legalbb

; Az egyik a szolgltat, a msik a bels hln lev name server.3600000: a bejegyzs lettartalma

Tapasztalt emberek viszont azt mondjk, hagyjuk a bind-et, legalbbis a PPP-s gpen.

"squid is megcsinlja [nvfeloldsok cachelst], default-ba 5 child process-t indt erre:

dns_children 5

s a felszabadul memrit oda lehet adni az squid-nak, ami default-ba 8Mb :

cache_mem 8 MB" [Dadus]

Az rlogin, s az egyb r parancsok, az ftp, s valamirt a telnet ignylik a szmbl nevet feloldst. Meg mg nem is tudom ki. Ezrt gy tnik anvfelolds egy kritikus terlet. Oda kell r figyelni.

Telnet helyett: SSHLinuxvilg: 2001 jan. 48-52, febr/mrc. 62-66

Szoval, hogyha a (telnet) kapcsolodas a lassu, akkor a tcpd ellenorzi a klienst, amihez DNS-t akar kerdezni, de az nem sikerul neki. es kikell varnia a time-out ot. [NevemTeve]

($ telnet 192.168.1.5

Trying 192.168.1.5...

Connected to 192.168.1.5.Escape character is '^]'.

hossz sznet. )


8/35

8. oldalo title


Megoldasok:

1) DNS-szerver beallitasa (reverse mukodes is: IP->name)

2) A szerveren a hosts file-ba felvenni a kliens gpeket, s prioritst adni a hosts filenak a DNS fltt: /etc/nsswitch.conf -ban: hosts: filesdns (glibc2 eseten).

3) A szerveren a /etc/hosts.allow file-ba felvenni a klienst ip-cimmel, vagy a lokalis halozat osszes gepet, pl: ALL:10.2.3.0/255.255.255.0

bovebben: man 5 hosts_access [NevemTeve]

Hallottam olyan esetrl amikor a Win95-s kliensek valami miatt elkezdtk magukat keresglni, persze a szolgltat name servere sem tudtakiderteni kik is k valjban (ami nem csoda) s mivel nem adtk fel a keresst, s sok gprl volt sz 1000USD (forintban persze) volt atelefonszmla. (Gondolom ha nem lett volna nekik megadva a szolgltat name servere, akkor nem tudtk volna hvni, ha meg a PPP-s gpen futname server akkor az a negatv prblkozsokat is cacheli, teht nem prblja meg tbbszr megkeresni kint azt a cmet amit egyszer mr nemtallt.) Fontosnak tnik a jl kitlttt hosts file-ok hasznlata. Ez esetben nem is kell tudniuk a PPP gp name serverrl, hiszen Web bngszsgyis a Squid-on keresztl zajlik, a levelez szerver cmt meg megadjuk a Windows hosts file-jban. Pldul a mail.elender.hu cme212.108.200.67

dialdMost j lenne automatikusan ltrehozni a kapcsolatot.

Slapic a 2.2-es CHIP-trban 33-37 oldalakon errl is r. Ahogy kibogarsztam, a pppd kpes erre ha meg tudjuk adni a sajt s a tvoli gp IPszmt. Azt hiszem, ez nem jellemz mivel a szolgltatk dinamikusan osztjk ezt ki. ltalban a diald-ot hasznljk automatikus trcszsra.Ha kell felpti a kapcsolatot, ha kell lebontja. A diald-hoz Linux halozatok 201.oldal. Kiegeszites: Azert, hogy a diald ne nyelje el az elsocsomagot:

echo 1 > /proc/sys/net/ipv4/ip_dynaddr

Ha a connect /etc/ppp/ppp-on-dialer -t hasznaljuk akkor - logikusan - a telefonszmot direktben kell beirni az ATDT$Telefonszam helyettATDT516000. Illetve ATDT0W516000.

/etc/diald.conf

mode ppp

connect /etc/ppp/ppp-on-dialer

device /dev/ttyS0

speed 115200

modem

lock

crtscts

pppd-options name ppp-pc

remotename myisp

local 192.168.0.1

remote 192.168.0.2

dynamic

defaultroute

include /usr/lib/diald/standard.filter

Ide msolom az egyik diald konfigom ledzsi rszlett (/etc/diald.conf), ez matvos terletre kszlt. Htha msoknak segtek vele,

mert ezzel sokat tkldtem, nagyon nehezen rtettem meg a logikjt, htha ms is gy van ezzel.

#restrict

restrict 07:50:00 17:59:00 1-5 * *


9/35

9. oldalo title


impulse 780,60

restrict 07:50:00 14:59:00 6-7 * *

impulse 780,60

restrict * * * * *

impulse 300,3600,60

accept any 120 any

A legals sor azt mondja, hogy 120 mpercig nem vizsgl semmit, utna indulnak az idztsek: az els kt sor szerint htftl pntekig7:50-tl 17:59-ig 780 mpercig engedi a kapcsolatot fennlni, majd erre jn egy 60 mperces trelmi id, ha nincs forgalom bont, ha van azidztst ujra indtja. A kvetkez kt sor ugyanez szombaton s vasrnap, csak ms idpontokkal. Az utols eltti kt sor akedvezmnyes idszakra vonatkozik, a trelmi id itt is 60 mperc, de az idzts egy kicsit ms. Az els 300 mpercet nzi, hogy van-eforgalom (lehet, hogy valaki csak a leveleit tlti le, s nem hasznlja ki a kedvezmnyes idszakot), ha van utna mr 1 rra toljuk ki aleidzits rtkt. [Dadus]

A csomagtovabbitashoz kell az

echo 1 > /proc/sys/net/ipv4/ip_forward

Mas tarcsaz programok is vannak pl: masqdialer -kliens progi kell hozz-

squidJ lenne, ha nem tlten le mindenki ugyanazt az oldalt - proxi szervert kell bezemelni. Slapic a 2.2-es CHIP-trban 104-107 oldalakon errl isr.

Kolics.pdf helyett txt

Az alap squid-ban nem szokott benne lenni az azonosts tmogatsa, ezert jra kell fordtani. configure, make, make install.

Az auth_modules-ben van az ncsa_auth ami ezt vgzi. Jelszfile kszts a htpasswd programmal lehet. Lpjnk be a megfelel knyvtrba,aztn:

htpasswd -c ./ujfile user1

htpasswd ./rgifle user2

/etc/squid.conf

http_port 3128

icp_port 3130

authenticate_program /usr/bin/ncsa_auth /etc/squid/passwd

error_directory /etc/squid/errors/Hungarian

dns_children 5

acl password proxy_auth user1 user2

acl all src 0.0.0.0/0.0.0.0

acl my src 192.168.0.0/255.255.0.0

acl localhost src 127.0.0.1/255.255.255.255

http_access allow localhost

http_access allow password

http_access deny all

icp_access allow all

cache_effective_user nobody


10/35

10. oldalo title


cache_effective_group nobody

cache_access_log /var/log/squid/access.log

cache_log /var/log/squid/cache.log

Megjegyzs:

Termszetesen a knyvtrak/file-ok neveire, s a futtat user/group valamint a knyvtrak tulajdonosainak belltsaira oda kell figyelni. Lehetsquid felhasznlknt is futtatni.

Netscape:

/edit/preferences/Advanced/Proxies/Manual/gp cme s a port kell. Squid 3128 mint fent is ltszik.

SQUID and WIN NT authentikci

Tisztelt Hlgyek s Urak.A Mandrake Linux kapcsn volt mr egy kis sz a SQUID proxy szerver hazsnlatrl, de ott nem volt vlasz az NT (SMB) alapauthentikcira sem. De mostanra ugy tnik egy darabig eljutottam ennek megoldsban a tapaszatlatok:1. Mikor rdemes Proxy szervert hasznlni:Ha megfelelen sok useered akar kinzni a netre, ez gy 5-nl tbb akkor rdemes a proxyt belltani, majd ez letlti az oldalt, s ha vkiugyanazt kri, neki is kiadja NET hozzforduls nlkl. Ez sebbesgben s pnzben is jobb;)

2. Mi van ha adott egy NT hlzat, s azt szeretnnk, ha az NT DOMAINben lene megadva a user, s ott azonostannk, hogy kihasznlhatja a proxyt.Erre a megolds az smb_auth kieg. hasznlata a SQUId-ben. Ez nem teljesen biztos hogy fennt van, ha nincs smb_auth nev prg agpen (find / -name smb_auth) akkor fordtani kell. Szerencsre az ujabb SUSE biztosan tartalmazza ezt.A azonosts ugy trtnik, hogy az SMB_AUTH ellenrzi a PDC-n hogy van-e a usernek a//PDC/NETLOGON/PROXYAUTH filehoz olvassi joga ha van akkor mr csak a ACL lista alapjn dnti el mi lehet neki csinlni.Kiprbls

Az smb_auth -W DOMAIN -U PDC -d paranccs utn br nem ir ki semmit, meg kell adni ausernevet s a passwordot, a -d kapcsolo aztmondja hogy rszletes listt adjon, az utols sz vagy ERR hiba , vagy OK ez kirly Pl:smb_auth -W GDOMAIN -U GPDC -dgamorra ***********Domain name: GDOMAIN

Pass-through authentication: noQuery address options: -U GPDC -RDomain controller IP address: 128.128.2.1Domain controller NETBIOS name: GPDC01Contents of //GPDC01/NETLOGON/proxyauth: allowOK

Na ha ilyemit kapsz akkor j.

A SQUID-t meg az authentic program rovat kitltsvel lehet rbirni ennek hasznlatra. authentic program -W GDOMAIN -U szervercime itt tobb auth metodust is ki lehet valasztani, rdemes esetleg a /etc/passwd is beirni igy csak azok akik az NT, vagy magn aszerveren vannak, hasznlhatjk a proxyt.Persze az ACL (acces control list) helyes kitltsvel r lehet birni a usereket a helyes viselkedsre(NO PORNO NO TORGYAN), de

err

l mg nem tudok rszletesen irni, gy inkbb megkrnm pl TAXIN kollgt irjon a ACL-kr

l, vagy ppen akinek kedve van.Engem itt az ALL USER megolds rdekelne, nem szeretnm a Usereket egyesvel felsorolgatni, illetve, hogy nem tudtok-e olyangrafikus programot(KDE, NT) amivel az ACL lista GRAFIKUSAN szerkeszthet. Akinek csinlnia kellen ezt nincsen Unixostapasztalata.Na dvEgyelre ennyiGAMORRA

mailwww.ppke.hu/~pasztor/spam.html

Mirt hasznljunk Linux-os levelezszervert ?

Ez a levl egy segtsg krs, de egyben figyelmeztets is azoknak, akik nagymennyisg e-mail-t raktroznak merevlemezkn.Pnteken nagy adatvesztssel jr lefagys volt nlunk. A jelensg: Outlook Express-t hasznlunk ( IE4.0-flt ). A szoksos tmrtstvgezte a httrtroln, mikor Dr Watson-nal ( NT figyelmeztetse ) lefagyott az Outlook Express. jraindtskor lthatatlann vltak


11/35

11. oldalo title


az egyik mappa ( pont a hivatalos bejv ) utbbi 4 hnap mljei. jbli jraindtssal ismt nekillt tmrteni, mire az eddg csupntartalmukat vesztett mlek vgrvnyesen eltntek.[Varga Ills Levente]

Az outlook express leveleit t tudod konvertlni unixos mailbox formtumra az oe2mbx progival. a freshmeat.net-en rkeresvemegtallod.[hORK]

A csatolt filek meg kicsomagolhatk (IPM.Microsoft Mail) a www.fentun.com progijval

"boot_device_not_accesible" s "nem tallja a windows2000 root system32ntoskernel.exe"-t Ezt nekem egyszer magtl hozta ssze arendszer. gy, hogy egyik percben mg mkdtt -- majdnem egy vig huzamosan ebben a konfigban ment a rendszer. tbootolamwin98-ba, ott matattam a CD-rval, majd visszabootoltam volna W2-be s a fennt lertak. Megprbltam a Repair Disk-el, aszonta awindows2000 root system32ntoskernel.exe nem tallhat, vagy srlt. Pakoljak mindent jra. jrapakoltam. Az sszes mailem elveszettpersze. A doksik csak azrt nem, mert ms partcin troltam.

Azta mindig "kicsit rettegek" minden bootolsnl. Htha valami misztikus ok miatt most megint...[sztyopka-remix]

Vruskeress:http://www.amavis.org/http://qmail-scanner.sourceforge.net/http://linux.index.hu/?site=cikkek/avp.html

Levelezs telnet segtsgvel

telnet mail.elender.hu 25HELO mail.elender.huMAIL FROM:< innen@kuldom>RCPT TO:< ide@megy>DATASubject: tesztDuma es egyebek - miert nem megy az outlook ?.QUIT

Levelezs Netscape segtsgvel. A szolgltat POP3 protokollt biztost:

Edit/Preferences/Mail &.../Identityemail cm-et kell kitlteni [email protected]

Edit/Preferences/Mail &.../Mail Servers

incoming mail servers: freemail.c3.hu server type POP user name valaki

outgoing mail server freemail.c3.hu user valaki

Ez nem egy szerencss megolds ! Jobb lenne, ha a levlkldst a ppp gp oldan meg, s nem a kliensek csatlakoznnak kzvetlenl aszolgltat levelez gphez.

n levlkldsre az internet szolgltat gpt hasznlom, de levl fogadsra egy egyetemi hln lev gpet. Ha valaki segt egy iskolai rendszert

letben tartani, annak lehetsge van ilyen viszontszolgltatsokra.Esetleg korul lehet nezni az inter7.com hazatajan, ahol sokfele cuccost lehet talalni amik egymashoz vannak integralva:vpopmail: virtualis domainek es mailboxok kezelese rendszer userhasznalat nelkul (pop3 mailbox anelkul hogy usert kene felvenni agepre a delikvensnek, tobb domainen, stb.)sqwebmail: webes mail felulet, egesz kellemesnek tunik, SSL-t is enged hasznalni bejelentkezeshez (nem tudjak lesniffelni apasswordodet), qmail es vpopmail tamogatas.courier-imap: IMAP4 server qmail-hez es vpopmail-hez.qmailadmin: adminisztracios felulet qmail, vpopmail, sqwebmail, ezmlm-hez.ezmlm: ez nem ott van a valtozatossag kedveert, ez egy levlistakezelo qmail-hez.[Finrod]

A Szab fle knyvben van Exim lers.

qmail-t meg vpopmail-t hasznalom. Azzal semmi gondom, csak hogy van egy ket feature amit meg hianyolok (de mar csinaljak), meghogy kis kavaras van a debian csomaggal, ami miatt meg nem megy hozza a qmailadmin (de dolgoznak rajta).Az sqwebmail az elvileg megy a debianos vpopmail-el is , de nem probaltam.A debianos csomagokat a kovetkezokepp tudod begyujteni:qmail: (A 14. CHIP trban van rla lers Nagy Balzs-tl [email protected] * 80-85. oldal)letoltod a mirrorrol a qmail-src es az ucspi-tcp-src csomagokat (az unstable-t nyugodtan).


12/35

12. oldalo title


ezutan build-ucspi-tcp es build-qmailFel is installalhatod a csomagokat nyugodtan. Kozben elolvasgatod a qmail doksit piciket, hogy legyen rola fogalmad, milyen kellemesmailszerver is ez.Beallitod a ket beallitandot: (lasd README.Debian)1. ~alias/.qmail-postmaster file valami ertelmeset tartalmazzon, vagy legyen postmaster usered.2. Ha pine-t akarsz hasznalni akkor a /etc/pine.conf-ban: sendmail-path=/usr/lib/sendmail -oem -oi -t(tevedesek elkerulese vegett ez nem a sendmail sendmail file-ja, tehat nehogy megprobald feleroltetni melle a sendmail-t, ha marlevakarta :)3. Elolvasod a /etc/init.d/qmail-t es amennyiben Maildir-t akarsz hasznalni, akkor annak megfeleloen cselekszel (es letrehozol mindenusernek a homejaban a maildirmake paranccsal egy Maildir/ nevu maildirt, uj usereknek pedig automatikusan letrejon ez, ha az /usr/

local/sbin/adduser.local fileba behelyezed a kovetkezo sorokat:

if [ -d $4 ] ; thenmaildirmake $4/Maildirchown -R $2.$3 $4/Maildirchmod -R g-s $4/Maildirfi4. Korulnezel a /var/qmail/control konyvtarban hogy minden az aminek lennie kell (lasd doksi :)Ekkor van qmail-ed.vpopmail debian csomag: a http://www.sury.cz/Debian sitera elnezel. Ott rogton kapsz is egy szoveget hogy mit rakjal be a /etc/apt/sources.list-edbe. Ezutan mar csak valogatsz dselect-el (kezdetnek javaslom a libvpopmail-freecdb authentikacios modszert amikorkerdez a dselect).Na akkor sqwebmail. Ehhez mar nem ertek, olvasd a doksit.

Qmailadmin: detto.Ezmlm-et erdemes meg felrakni. Kitalalod hogy kell legyartani? :)Felinstallalod az ezmlm-src csomagot. Utana build-ezmlm es kesz vagy (felinstallalod a gyartott csomagot).Hat tovabbi kerdesed van, akkor a kuldj emailt ([email protected])[Finrod]

A tcpserver egy kulonallo process minden porton, amit demonkent kell inditani. Igy nem tudjak egyes service-ek semmi koze a tobbihez.Nezd meg a tcpserver man page-et hogy hogy kell vele olyan programot futtatni ami ohozza van irva (ergo a megfelelo parametereketvarja el).Inditani legegyszerubb ugy ahogy a qmail-nek a smtp demonat inditja a qmail initscriptje, csak a pidfile-t se art kezelni (talan a -13verzioszamu csomagban mar benne van az is).Az access control a /etc/tcp.xxxx.cdb fileokban talalhato beallitasok alapjan tortenik.Ez a file binaris adatbazis, a forrasadata a /etc/tcp.xxxx fileban talalhato.

Qmail-nel van smtp.Ebbol most fejbol nem tudom hogy lehet kigeneralni a cdb filet, mivel qmail-nel ezt a qmail-newmr progi csinalja, de az c program,tehat nehezen modosithato valoszinuleg.man cdb es probalni irkalni valami megfelelot.

[Finrod]

A qmail cdb file-jnak generlsa a doksi alapjn nlam gy mkdik(/etc/rc.d/rc.inet2 vge):

# Start the tcpserver HyperSuperServerecho "Starting tcprules..."/usr/local/bin/tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtpecho "Starting tcpserver..."/usr/local/bin/tcpserver -H -l cooltech.hu -x /etc/tcp.smtp.cdb -v -u 1004 -g 101 \0 smtp /var/qmail/bin/qmail-smtpd 2>&1 | /var/qmail/bin/splogger smtpd 3 &

[Traxy]

A tcprules hivast nincs ertelme a server inditasa ele tenni, ugyanis nem tolti

be a filet. A cdb file egy olyan hashelt adatbazis amiben tetszoleges rekordot

nagyon gyorsan (ket file seek) meg tudsz talalni kulcs alapjan.

Tehat a tcprules-t akkor kell lefuttatni amikor modositod a forrasfilejat.

[Finrod]

A /etc/tcp.smtp file tartalma:10.:allow,RELAYCLIENT=""

A tcpserver futtatsakor a -H -l cegnev.domain paramtert nem rta a doksi,utlag tettem hozz, mert miutn a tcpservert elindtottam s be akartamtelnet-elni a szerverre, mris trcszott a diald. A qmail hivatalos


13/35

13. oldalo title


levlistjn akadtam erre a megoldsra.

[Traxy]

Kt qmail-es link:http://www.agria.hu/qmail/top.html (j kiindulsi pont)http://www.i2k.net/~dougvw/mailqueue.htmlez utbbi egy kezdknek is knnyen rthet step-by-step teleptsi tmutattelefonos csatlakozs esetre, de van benne nhny hinyossg ill. hiba.

1. a /var/qmail/control/virtualdomains fileba a ":alias-ppp" el be kell tennia sajt domain nevedet (cegnev.hu), ill. egyb aldomaineket, amik vannak ahln (mail.cegnev.hu stb.)Ha ez nincs ott, akkor a cgen belli levelezs is kikerl az internetre,aminek semmi rtelme.[Traxi]

A virtualdomains fileba csak akkor kell a sajat egyeb domainjeidet beletenni,

ha nincsenek a locals fileban.

Az rcpthosts fileban mindenkepp benne kell lenniuk.

A ket szolgaltatohoz csatlakozassal vigyazz, mert csak az egyik fele fognak

menni a csomagok amik kifele mennek. A masik csak a penzedet fogja fogyasztani.Mindez azert mert az az interfesz egy darab ip cimet tartalmaz, ahova sose

cimzel altalaban packet-et, valamint a linux nem tud ket gateway-t hasznalni.

Ahhoz mar router csomag kell. Ha pedig valakinek sikerult ket (kulonbozo)

dialupra bekonfiguralni egy router csomagot, akkor tegye kozkinccse legyen

szives a dolgot.

Keszulunk egyebkent egy olyan szolgaltatast beinditani (Greydeer Networks Kft.)

ami lehetove teszi az ETRN-szeru leveltovabbitast dinamikus ip-cimre is.

[Finrod]

2. a maildirsmtp, ami tovbbtja a leveleket telefonos csatlakozskor, ignylimind a fogad, mind a sajt (ltalban dinamikusan kiosztott) IP cmnket. Azip-up-ban elszr kiderti az IP cmnket, aztn meghvja vele a maildirsmtp-t.

Na ez nekem nem mkdtt, gyhogy trtam. Az eredeti gy nz ki:# find own hostname; dynamically assigned!# $4 is the assigned ipaddress, passed along by pppdME=`host $4|head -1|cut -d" " -f2`echo "$ME" > $QCD/HOSTNAMEEzek utn a $ME vltozt hasznlta a maildirsmtp meghvsakor.

Nekem ez gy nem mkdtt.

A megolds az, ha a maildirsmtp utols paramtereknt egyszeren "$4"-t runk.Ez tartalmazza a kapott IP cmet.

Szerencsre nekem fix IP cmem van, gy ilyen gondom nincs, n arra hasznlom a$4 paramtert, hogy teszteljem, hogy a levelez szolgltathoz (EuroWeb)csatlakoztam e be s csak akkor kldje a leveleket. Ha a diald csatlakozik aMatavnethez (ami az ltalnos internet szolgltatnk), akkor rtelem szerennem ez lesz az IP cm, gy nem indul a maildirsmtp.[Traxy]

fetchmail

Levlletltsre szolgl kliens. Nem csak POP3 protokollt tmogat. Mkdse:Beolvassa a config file-t

Megnzi a tvoli gp postaldjttadja a leveleket az SMTP szervernknek.

Egyfelhasznls postalda esetn a ~/.fetchmail file:poll mail.elender.hu protocol POP3 user cukorfalat password jelszo


14/35

14. oldalo title


A file-t csak mi olvashassuk !

A fetchmail parancsra leszedi a levelet.

Tbbfelhasznls postalda esetn a .fetchmail file:Namost ez mg 7 oldal a Linux hlzatok knyvben ...

IP masquerading

LetltsItt megint rdemes cHarley-ra tmaszkodni.

A magyar nyelv ipchains-hogyan.tar.gz

Az IP lncokrl: CHIP 1999 prilis 154-156, mjus 188-189

A 2.4-es kernel behozta az iptables-t. Hogyan ?

Lssuk, a 2.2 kernel esetn mi van ?

Kernel fordtskor: CONFIG_IP_ALWAYS_DEFRAG = yes

Illetve tiltsuk le a nem els fragmentek kijutst. Ez az -f opci.Az ehhez a szablyhoz tartoz esemny DENY legyen.

Egyes szolgltatk nem cspik, ha valaki megosztja a modemet, s gy tbben neteznek egy kapcsolatrl.

Maszkolshoz egy trkk.

Sokig szvtam azzal, hogy nem ment a TCP maszkols a helyi szolgltatval... Mr mindent megprbltam, aztn rjttem, hogy tiltjkazt a porttartomnyt, amit a maszkolskor forrsportknt bellt a gp. Vglis rthet: k ezzel vdik magukat, hogy csak egy vgpontlegyen a szeren.

De a lnyeg: a kernel forrsban t lehet lltani azt a porttartomnyt, amit hasznl a masq, s ezek utn mr minden mkdik,mghozz gy, hogy a szolgltat errl mit sem tud (nem is tudhat).

Az ip_masq.h fjlban (/usr/src/linux-2.x.x/include/net/) kell megkeresni a #define PORT_MASQ_BEGIN sort, s t kell lltani azrtket mondjuk (61000-rl) 8000-re. A 8000-es tartomny ltalnosan hasznlt, szval nem tudjk kitiltani :)

Kernelfordts, s install! [bandi_]

ltalban j szokott lenni a gyri kernel, de erre nem lehet garancit vllalni.

rdemes a felhasznlkat alaposan lekorltozni. Az ipchains -P input ACCEPT meg forward MASQ stb persze lehetv teszi a kliens gpekneka kijutst, de taln nem szerencss az ekkora szabadsg.

Hat igen. Azota felnyomtak az egyik _vedtelen_ 2 eves szerveremet, igy azt mondom upgrade ezerrel, mindent letiltani ami nem nagyon kell.

Ez az elso leiras olyan helyzetet mutat ahol kivulrol nem fenyeget semmi, de

korlatozni akarjuk az user-eket.

/sbin/ipchains -P input DENY - ez minden bejv kapcsolatot megtilt. Ezt egsztem ki engedlyekkel.

ipchains -A input -s 192.168.2.100/32 -j ACCEPT - A ppp gptl mindent.

ipchains -A input -j ACCEPT -i lo - A ppp gptl mindent.

ipchains -A input -s ! 192.168.0.0/16 -j ACCEPT - Ez nem j! Kvlrl mindent.

ipchains -A input -s 192.168.0.0/16 23 -d 192.168.2.100/32 -p tcp -j ACCEPT - Az intranet gpeit lehet telnetelni a PPP gprl. Beengedi avlaszt.

ipchains -A input -s 192.168.0.0/16 80 -d 192.168.2.100/32 -p tcp -j ACCEPT - A bels www szervereket el lehet rni a PPP gprl.

ipchains -A input -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 25 -p tcp -j ACCEPT - Bellrl lehet levelet kldeni.

ipchains -A input -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 110 -p tcp -j ACCEPT - s levelet letlteni POP3-al.


15/35

15. oldalo title


ipchains -A input -s 192.168.0.0/16 -d 192.168.2.100/32 53 -p udp -j ACCEPT - Elrhet a PPP gp name servere. Ha kell egyltaln nameserver r.

ipchains -A input -s 192.168.0.0/16 -d 192.168.2.100/32 3128 -p tcp -j ACCEPT - Elrhet a squid.

ipchains -A input -s 192.168.0.0/16 -d 192.168.2.100/32 -p icmp -j ACCEPT - Meg lehet ping-elni a PPP gpet.

ipchains -P forward DENY - Nem tovbbt semmit.

ipchains -A forward -s 192.168.2.100/255.255.255.255 -j MASQ - A PPP gprl minden mehet. Kell ez ? Megnzem.

ipchains -A forward -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 25 -p tcp -j MASQ - Bellrl maszkolja a levelezst

ipchains -A forward -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 110 -p tcp -j MASQ - s a POP3 letltst.

Torolni az egeszet: ipchains -F

Lista: ipchains -L -n

Ha kvulrol kell vedekezni :

Ez meg nem az igazi. A gep valodi cime _nem_ 193.225.93.163 Ez abbol is lathato, hogy az a gep pingelheto.

ipchains -F input - torol

ipchains -P input DENY - bejovo tiltva

ipchains -A input -s 193.225.93.163/32 -j ACCEPT - onmaga elfogadva

ipchains -A input -j ACCEPT -i lo - onmaga elfogadva

ipchains -A input -s 192.168.0.0/16 -j ACCEPT - belulrol mindent

#EZT NE# ipchains -A input -s 193.225.93.0/24 -p icmp -j ACCEPT - kintrol ping engedelyezese

#ESETLEG# ipchains -A input -s 193.225.93.0/24 23 -p tcp -j ACCEPT - innen lehet telnetelni

#EZT NE# ipchains -A input -s 193.225.93.0/24 -d 193.225.93.163/32 23 -p tcp -j ACCEPT - ide lehet telnetelni !! ssh !!

ipchains -A input -s 193.225.93.1/32 53 -p udp -j ACCEPT - name serverrol fogad

ipchains -A input -s 0.0.0.0/0 -d 193.225.93.163/32 143 -p tcp -j ACCEPT - IMAP elerheto - ha kell levelezoszerver a gepre. POP3 eseten a 110-es portot kell megengedni. Ha interneten levo levelezoszervert hasznalunk akkor ez nem kell.

ipchains -A input -s 0.0.0.0/0 -d 193.225.93.163/32 25 -p tcp -j ACCEPT - SMTP itteni fele elerheto

ipchains -A input -s 0.0.0.0/0 80 -d 193.225.93.163/32 -p tcp -j ACCEPT - kulso web szerver elerheto

ipchains -A input -s 0.0.0.0/0 110 -d 193.225.93.163/32 -p tcp -j ACCEPT - kulso levelezo szerver POP3-al elerheto

ipchains -A input -s 0.0.0.0/0 25 -d 193.225.93.163/32 -p tcp -j ACCEPT - kulso SMTP elerheto

ipchains -A input -s 0.0.0.0/0 21 -d 193.225.93.163/32 -p tcp -j ACCEPT - ftp beszelgetes kulso geppel

ipchains -A input -s 0.0.0.0/0 20 -d 193.225.93.163/32 -p tcp -j ACCEPT - ftp adat fogadas

# Be van toltve az ip_masq_ftp modul ? [Pingvin]

# modprobe ip_masq_ftp

#Ha nincs (a squid-on keresztl akarunk ellenrizgetni) :

# ftp > ls

#435 Can't build data connections: Illegal seek.

# Viszont, ha a netscape-et vagy az mc-t hasznljuk nem a 20-as, hanem egy# elre meg nem hatrozott portot hasznlunk, azaz a tvoli gp sszes

# portjrl indul krst engedlyezni kell.# Persze a modulokat a kernelbe be is kell fordtani. De ez OK szokott lenni.

# Fontos modulok mg az irc, quake. Ha valaki irc-zik vagy quake szerveren jtszik.


16/35

16. oldalo title


ipchains -P forward DENY - tovabbitas tiltva

ipchains -A forward -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 -j MASQ - bentrol minden szabad

Az elso peldaban kintrol, a masodikban bentrol volt minden szabad. Ezeket kell osszekombinalni, de gondolom igy jobban at lehetett tekinteni.

Lssuk, a 2.4 kernel esetn mi van ?

----------- minta ---------#!/bin/bash

# START - delete, deny

iptables -F

iptables -X newblockiptables -X terblockiptables -X trablock

iptables -A INPUT -j DROPiptables -A OUTPUT -j DROPiptables -A FORWARD -j DROP

# MASQUERADE : eth0 - inTERnet

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# DEFAULT - deny

iptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P FORWARD ACCEPT

# NEW

iptables -N newblock

iptables -N terblockiptables -N trablock

# INPUT, OUTPUT -> newblock

iptables -A INPUT -j newblockiptables -A OUTPUT -j newblockiptables -A FORWARD -j ACCEPT

# SORT

# eth0 inTERnet

iptables -A newblock -o eth0 -j terblockiptables -A newblock -i eth0 -j terblock

iptables -A newblock -i lo -j ACCEPTiptables -A newblock -o lo -j ACCEPT

# eth1 inTRAnet

iptables -A newblock -i eth1 -j trablockiptables -A newblock -o eth1 -j trablock

############# PORTS START #################

# INTERNET eth0 ## TCP

iptables -A terblock -d 192.168.0.0/255.255.0.0 -j DROPiptables -A terblock -s 192.168.0.0/255.255.0.0 -j DROP


17/35

17. oldalo title


# input tcpiptables -A terblock -i eth0 -p tcp --destination-port 1024:65535 -j ACCEPT#iptables -A terblock -i eth0 -p tcp --destination-port 20 -j ACCEPTiptables -A terblock -i eth0 -p tcp --destination-port 21 -j ACCEPTiptables -A terblock -i eth0 -p tcp --destination-port 22 -j ACCEPTiptables -A terblock -i eth0 -p tcp --destination-port 25 -j ACCEPTiptables -A terblock -i eth0 -p tcp --destination-port 80 -j ACCEPTiptables -A terblock -i eth0 -p tcp --destination-port 143 -j ACCEPT# output tcp

iptables -A terblock -o eth0 -p tcp --source-port 1024:65535 -j ACCEPT#iptables -A terblock -o eth0 -p tcp --source-port 20 -j ACCEPTiptables -A terblock -o eth0 -p tcp --source-port 21 -j ACCEPTiptables -A terblock -o eth0 -p tcp --source-port 22 -j ACCEPTiptables -A terblock -o eth0 -p tcp --source-port 25 -j ACCEPTiptables -A terblock -o eth0 -p tcp --source-port 80 -j ACCEPTiptables -A terblock -o eth0 -p tcp --source-port 143 -j ACCEPT

# UDP# input udpiptables -A terblock -i eth0 -p udp --destination-port 1024:65535 -j ACCEPT# output udp

iptables -A terblock -o eth0 -p udp --source-port 1024:65535 -j ACCEPT

# DROP

iptables -A terblock -j DROP

# INTRANET eth1 ## TCP

############ SaMBa NO !!! ##############

# iptables -A trablock -d ! 192.168.1.0/255.255.255.0 -j DROPiptables -A trablock -s ! 192.168.1.0/255.255.255.0 -j DROP

# input tcpiptables -A trablock -i eth1 -p tcp --destination-port 1024:65535 -j ACCEPT#iptables -A trablock -i eth1 -p tcp --destination-port 20 -j ACCEPTiptables -A trablock -i eth1 -p tcp --destination-port 21 -j ACCEPTiptables -A trablock -i eth1 -p tcp --destination-port 22 -j ACCEPTiptables -A trablock -i eth1 -p tcp --destination-port 25 -j ACCEPTiptables -A trablock -i eth1 -p tcp --destination-port 80 -j ACCEPTiptables -A trablock -i eth1 -p tcp --destination-port 143 -j ACCEPT# output tcpiptables -A trablock -o eth1 -p tcp --source-port 1024:65535 -j ACCEPT#

iptables -A trablock -o eth1 -p tcp --source-port 20 -j ACCEPTiptables -A trablock -o eth1 -p tcp --source-port 21 -j ACCEPTiptables -A trablock -o eth1 -p tcp --source-port 22 -j ACCEPTiptables -A trablock -o eth1 -p tcp --source-port 25 -j ACCEPTiptables -A trablock -o eth1 -p tcp --source-port 80 -j ACCEPTiptables -A trablock -o eth1 -p tcp --source-port 143 -j ACCEPT

# UDP# input udpiptables -A trablock -i eth1 -p udp --destination-port 1024:65535 -j ACCEPT# output tcpiptables -A trablock -o eth1 -p udp --source-port 1024:65535 -j ACCEPT

# DROP

iptables -A trablock -j DROP

############# PORTS STOP #################


18/35

18. oldalo title


# END clear

iptables -D INPUT -j DROPiptables -D OUTPUT -j DROPiptables -D FORWARD -j DROP

# List

iptables -n -L

----------- minta vge -------

Tesztels, biztonsg :

http://wigwam.sztaki.hu/

Kattints ide ha le akarod tolteni a Linux-os rszt [2000 mrc 28]

A gpek kztti beszlgetsrl:

a kliens kld egy SYN szinkronizcis csomagota szerver kld egy SYN-ACK szinkronizcis + nyugtzs csomagota kliens kld egy ACK csomagot.s mr mehet is a csevely.a kliens kld egy ACK s FIN csomagotamit a szerver nyugtz egy ACK csomaggal,s vge a kapcsolatnak.

Az aktulis kapcsolatokrl tjkozdhatunk:$ netstat -taActive Internet connections (servers and established)Proto Recv-Q Send-Q Local Address Foreign Address Statetcp 0 0 helyi.gep.hu:2915 tavoli.gep.hu:telnet ESTABLISHED

tcp 0 0 *:www *:* LISTENLthat, hogy betelneteltnk egy tvoli gpre, illetve a 80-as www porton vrjuk a webes krseket. A t-TCP, u-UDP, w-RAW, x-UNIXkapcsolatokat mutat. Igen sokoldal program. rdemes megismerkedni vele.

RedHat 6.1 (4 CD-s) rendszer esetn kell a SuSE 6.3 els CD-rl az alienA Debian 2.1-rl kt progi, amikbl az rpm-et kell csinlnialien -r libpcap0_0.4a6-2.debalien -r nmap_1.51-2.debaztn telepteni.

Portpsztzs sorn kldhetnk SYS csomagokat. Ekkor, ha nyitott portot tallunk egy SYN-ACK csomagot kapunk vissza.Ha FIN csomagot kldnk azoktl a portoktl kapunk egy RST csomagot amik mgtt nem fut szolgltats.Nzzk meg a nyitott portokat :

# nmap 192.168.1.2

Starting nmap V. 1.51 by Fyodor ([email protected], www.dhp.com/~fyodor/nmap/)Open ports on rendez2.aesop (192.168.1.2):Port Number Protocol Service23 tcp telnet135 tcp unknown139 tcp netbios-ssn

s mr ltszik is, hogy a vizsglt NT-re telnet dmon van teleptve.

Ttelezzk fel, hogy egy Linux-ot vizsglunk, s nyitva talljuk az 53-as portotKi lehet mgtte ?

#fuser -n tcp 5353/tcp: 497

Mr ismerjk a program azonostjt, nzzk meg ki is az:

#ps aux | grep 497


19/35

19. oldalo title


root 497 0.0 0.5 2264 176 ? S May06 0.00 named

Teht a name server.

J program mg a SATAN. Security Administrator's Tool for Analyzing Networks esetleg Security Analysis Tool for Auditing Networks ?Ezekkel a nevekkel mindig baj van, klnsen ha a nvad is elfelejtette mit jelent. Lsd az fvwm ablakkezelt.

A sniffit segtsgvel lehallgathat a hlzati forgalom.

Az /etc/services-ben fel vannak sorolva a megfelel port szmok. Ha IMAP-et akarunk POP3 helyett hasznlni, akkor a 143-as port kell a 110-eshelyett. Kell a pop-99.11.2-1.i386.rpm csomag (SuSE 6.3), vagy az imap 4.5-3 (RedHat 6.0), UPGRADE !!! valamint engedelyezni kell az /etc/inetd.conf -ban ami kell.

De ami nem kell azt tiltsuk le !!!!!!

inetd helyett xinetd terjedLinuxvilg 2001 febr/mrc: 67-69

A Linuxrol meg annyit, hogy kis odafigyelessel sokat lehet javitani a biztonsagan. Alapveto dolog, hogy nem hagy olyan szolgaltatastfutni a gepen az ember, amire nincs szukseg: ha egy TCP porton nincs senki, akkor nehezebb rajta bejonni, mintha egy hasznalatonkivuli, igy alkalmasint bekonfiguralatlan szolgaltatas valaszol rajta...Eloszor is nezzunk bele a /etc/rc.d-be, milyen modszerrel inditja az egyes runlevelek futo dolgait az adott disztribucio. En inkabbszeretem (es hasznalom) a System V felet, ezert azt irom le, mashol lehet, hogy maskepp kell. Ja, es van szep X-es config utility - en

inkabbazt irom le, ahogy tutti mukodik...Tehat a /etc/rc.d/init.d-ben vannak a telepitett cuccok indito-leallito scriptjei, ezeket inditja el az rc. konyvtarakban talalhato linkekalapjan a kernel, mikor az adott runlevelt inicializalja. A K nevu rc. link ramutat az init.d-ben a hozza tartozo scriptre, amit egy "stop"parameterrel fog elinditani, es leallitja az illeto szolgaltatast, majd a S linkek altal mutatott scripteket egy "start" parameterrel -mindezt a szamok sorrendjeben. A feladvany egyszeru: az S kezdobetut kell kis beture cserelni (a Linux case sensitive !), igy az adottszolgaltatas daemonja nem fog elindulni. A K-t nem kell bantani - legfeljebb olyat akar leallitani, ami nem is indult el. A torles azertnem szerencses, mert akkor macerasabb a visszallitas, ha egyszer megis kell.Masik hasonlo dolog a /etc/inetd.conf. Ebben is szolgaltatasok vannak. Ha pl. erkezik egy kerelem a telnet (23-as, lasd meg /etc/services)portra, akkor azt elkapja az Internet daemon, akinek a configja az inetd.conf. Ebben megkeresi (szinten /etc/services alapjan), hogy errea portra neki van-e valakije, akit raindithatna, majd nagy orommel konstatlja, hogy van, meghozza:telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd Vagyis a telnet porton egy TCP kapcsolatot kerelmezo szamara elinditja a tcpdnevu programot azzal a parameterrel, hogy in.telnetd. (Kozben van meg socket tipus, protocol, flagek es a felhasznalo, akinek a jogaivalezt teszi.) Ha ezt a sort kikommentezzuk ('#' a sor elejere, majd inet daemon restart: /etc/rc.d/init.d/inet restart), akkor a telnet

keresekre a gep tobbe nem fog valaszolni, mert az inetd elutasitja a 23-as porton bejovo kereseket. Ha a sor elejen a telnet szot a /etc/services-ben megtalalhato masra csereljuk ki (vigyazat, portszamot kozvetlenul nem irhatunk ide, mindenkeppen kell a /etc/services!),akkor akar mas porton lehet betelnetelni a gepbe. Igazabol azonban nem ez a modja, ha a nyilt Internet fele egy portot akarunkszabadon hagyni magunknak - erre inkabb az SSH valo, de errol majd a legkozelebb.Ertelemszeruen a /etc/inetd.conf tobbi bejegyzese is ertelemszeruen mukodik, es hasonloan kommentezheto, modosithato tetszes szerint.De azert esszel es atgondolva, mit is teszunk veluk... :-)Kovetkezo lecke: a csomagszuro tuzfal (es talan az IP maszkolas is bele fog ferni...)[Epoilacoda]

Aprsgok

A route tbla/etc/sysconfig/network (RedHat) GETAWAY belltsai resek legyenek.

[ppp]# /sbin/route -n

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

192.168.0.2 0.0.0.0 255.255.255.255 UH 1 0 2 sl0

192.168.1.0 192.168.2.1 255.255.255.0 UG 0 0 24 eth1

192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 1 eth1

127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 7 lo

0.0.0.0 0.0.0.0 0.0.0.0 UG 0 0 58 sl0


20/35

20. oldalo title


Naplzs

File: syslog.conf

# Log all kernel messages to the console.

# Logging much else clutters up the screen.

*.* /var/log/syslog

ipchains -A input -ls ha be van lltva a fenti naplzs, akkor minden kls prblkozs a syslog file-ba gylik.

iptraf ?Szines, szagos, majdnem jo (halokartya-azonosito alapjan szamol byte-okat, vagy IP alapjan general csomaglog-ot (azaz utolag egyxferstats.proftpd-stilusu scripttel lehet belole olyan format gyurni, amit te szeretnel))...[Alen]

Tvoli adminisztrls

Webmin program - Chip 2000 dec. 156-158. oldal

Intranet szerver - SaMBa - MunkacsoportLeiras: usingsamba.pdf [O'Reilly - llatos knyvek - 411 oldal]A Kossuth kiad lefordtotta, s kinyomtatta samba nven. n 2400-rt vettem, de vannak akik lltjk, hogy 4500-ba kerl.sambawin.pdf [Mohari Andrs (GDF) - 74 oldal] fellelhet:

www.linux-perfect.hu/letolt.html

Teleptsnk egy gyri SaMBt. Ezutn tltsk le a SaMBa forrst../configuremakemake installEzutn szerkesszk t az /etc/rc.d/init.d/smb vagy samba file-t

A start-ba kell egy:export TMPDIR=/tmpsor, mert a /root/tmp-be akarnak egyes SaMBk rni, ami ugye nem sikerl.Jelensg: user nem tud azsmbclient -L gpneve -U usernevelistt kapni. Meg az elrsi utakat is t kell rni. Pl:daemon /usr/local/samba/bin/smbd -D

Keressk meg az eredeti samba file-okat, trljk s linkeljk be a helykre az /usr/local/samba/bin meg etc cuccot.

Tapasztalataim szerint az SMB (Microsoft) nem egy bombabiztos rendszer.A munkacsoportban lehet olyan gp is, amely megoszt knyvtrakat, mgsem jelenik meg a Browse(tallzs) dobozban. Ezekre agpekre ennek ellenre is megprblhatunk rcsatlakozni.[Hlzatkezelsi segdlet - Microsoft Press]Vegyk szre a megprblhatunkkittelt.Szerintem ne hasznljuk programok trolsra, mert az user ideges lesz, ha nem indulnak a programjai. Az adatokat legrosszabb esetben t lehetfloppy-zni.Clszernek tnik egy Linux-os SaMBa szervert zemeltetni s a kliensekre Windows Commandert rakni. Ekkor ftp-vel is elrhetk az adatok.(A Linux-on fusson a wu-ftpd)Ha a Linux-on mindent jl megcsinltunk, s mgsem mkdik a rendszer akkor lehet, hogy a windows kliens bnzik. Pl egy Win3.11 aztirkssza ki nekem, hogy kb:

A szerver nem kpes a megosztsokat kilistzni.

Mieltt file servert ksztnk, nem rt megnzni mit tud a winy:

# /sbin/hdparm -t /dev/hda/dev/hda:Timing buffered disk reads: 32 MB in 7.02 seconds = 4.56 MB/sec

Ez gz. Lass mint a fene.


21/35

21. oldalo title


Adott seagate u10 egybknt udma66-os vinyo de most ata33-as buszon.mrs: hdparm -t /dev/hdaDefault: 4.23 MBbpshdpram -i 1 /dev/hda (32 bites md be): 7.88 MBpshdparm -i 1 -d1 /dev/hda (+ dma md): 9.32 MBpshdparm -i 1 -d 1 -X 66 /dev/hda (+udma mod be, habr a csipszet I440BX): 16.62 MBps[netizen]

Ha mr a vinyrl van sz:Az fdisk segitsgvel rdemes kirni a particis tblt.

Komplett partici lementse (floppyval prbld ki elszr) :cat /dev/fd0 | gzip > /mnt/tavoligep/floppymentParticis tbla feldert progi: gpart

A 2. alhlzaton 192.168.2.x van egy linux-os gp amely kapcsolatot biztost a klvilggal. A neve legyen ppp.felugy.aeszom 192.168.2.100.

Adott kt alhlzat, amelyeket egy linux-os router kt ssze. (A rendszer iditasgai rszben fizikai (felhasznlk elhelyezkedse), rszbentrtnelmi okokra vezethetek vissza)

Lthat, hogy a PPP gpen kt hlzati eszkz van. Teht a tzfalnak kt oldala van. Ha lenne benne egy msodik hlzati krtya, akkor arra rlehetne csatlakoztatni egy www, ftp szervert. Ezt a harmadik hlzati darabot, ami kvlrl is s bellrl is elrhet hvjk demilitarizltznnak. Persze mindez kt tzfal gppel helyettesthet.

Kpzeljnk el egy:

Web - Egyetemi hlzat - Tanszki hlzatfelllst. Panasz: idnknt nem mkdik az Internet.Kicsit automatizlni kellene a hibakeresst, gy, hogy a felhasznlk lssk, nem a Linux tzfal a sros. Ez a mdszer nem a szakma cscsa, de akpzetlen felhasznlk bizalmt meg lehet vele nyerni.A windows hosts file-ba vegyk fel a kvetkez gpeket:192.168.1.65 teszt1 # tanszki web szerverx.x.x.x teszt2 # megbzhat egyetemi web szervery.y.y.y teszt3 # megbzhat web szerver (ibm, sun)gy a felhasznl a web bngszjvel be tudja azonostani a hiba helyt, illetve azt is meg tudja nzni, hogy az egyetemi routert vagy a nameszervert javtgatjk-e.

A kt alhlzat kztti router gpen engedlyezni kell a csomagtovbbtstecho 1 >/proc/sys/net/ipv4/ip_forward

A kt alhlzat gpei ugyanabba a munkacsoportba tartozzanak. A router legyen a Master Browser s a wins szerver. Ha NT szervertteleptnk felismeri, hogy mr van egy Master Browser, s Backup Browser lesz belle. [Elender szervz]

Az alaprtelmezett tjr a router gp legyen. Azaz 192.168.1.1 illetve a msodik alhlzaton 192.168.2.1


22/35

22. oldalo title


Van egy Samba NetBIOS forwarder program. A http://malt-whisky.student.utwente.nl/software.html cmen elrhet.The NetBIOS forwarder is an extension for Samba, which enables 'routing' of netbios packets through a masquerading firewall. With this patchit's possible to let backend computers take part in the 'Network Neighbourhood'. You can even share your data on your backend computer withall hosts on your normal LAN!

Ha biztosak akarunk lenni, hogy egy WinNT sem fog bekavarni a bngszlistba, lltsuk be aHKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Browser/Parametersalatti MaintainServerListvltozt 0-nak. Szveg tipus.Tartomny esetn IsDomainMastervltoz legyen 0.gy nem prblnak Browser gpek lenni.

IP cmek kiosztsa

Elszr is nevet meg IP szmot kell adni az intraneten levo gpeknek. A vlaszthat tartomnyok:

A osztly - 10.0.0.0-10.255.255.255B osztly - 172.16.0.0-172.31.255.255C osztly - 192.168.0.0-192.168.255.255

A 192.168.x.x -et illikvlasztani.

A gpeknek lehet egyenknt is nevet adni, de ez sokig tart s nehezen vltoztathat.

Megoldst a bootp vagy a dhcp jelent.A M$ a WinNT szerverhez ad dhcp szervert.

A bootp segtsgvel statikus cmek rendelhetk a gpekhez, dhcp-vel pedig dinamikus, ami akkor jelent elonyt, ha modil gpek csatlakoznak ahalozathoz.

Megvalsts R6/5.x esetn:Lers a Linux - lpsrl lpsre 200-203. oldal, illetve a CHIPtr LINUX 2.2 70-72.oldal.

/etc/bootptab file

#.global:gw=192.168.1.1:ds=193.225.93.1:hn:sm=255.255.255.0:dn=aesop:ht=ether:to=-3600:#

sopron:ip=192.168.1.2:ha=0x0080C82EFCC8:tc=.global:teszt2:ip=192.168.1.1:ha=0x0000E844A6EE:tc=.global:teszt3:ip=193.225.93.124:ha=0x0000C0CEFAAA:tc=.global:#engedelyezni kell az /etc/inetd.conf -ban (inditas az inetd-vel) es az /etc/services -ben, illetve az rcx.d -kbl indit.

Megvalsts R6/6.x esetn:

R6/6.0 - dhcp-2.0-3A bootp s a dhcp sszevonsa

/rc.d/init.d/dhcpddaemon /usr/sbin/dhcpd -cf /etc/dhcpd.conf eth1# Vegyk szre, hogy a bellts egy adott hlzati krtyra vonatkozik !

/etc/dhcpd.conf

#shared-network VALAMI {subnet 192.168.1.0 netmask 255.255.255.0 {default-lease-time 600;max-lease-time 7200;option subnet-mask 255.255.255.0;option broadcast-address 192.168.1.255;option routers 192.168.1.1;option domain-name-servers 193.225.93.1;option domain-name "aesop";

}}

host sopron{hardware ethernet 00:80:C8:2E:FC:C8;fixed-address 192.168.1.2;


23/35

23. oldalo title


}#

DNS - WINS szerver

Mostmr minden gp ismeri nmagt, ismerjen meg msokat is !

A caching only DNS szerver ksztsrl fentebb mr volt sz. Nzzk meg a fenti rajzhoz tartoz DNS szervert. A szerver lehet a router gpen,de mshol is. A Win-es gpeken engedlyezzk a name server hasznlatt.

Horvth Zsolt - Minek nevezzelek? CHIP 2000. november. 151-154. oldal.

/etc/named.boot; Sample /etc/named.boot filedirectory /var/named; errl mr volt sz:cache . root.cacheprimary rendez.aeszom named.hostsprimary 0.0.127.in-addr.arpa named.localprimary 168.192.in-addr.arpa named.revstub felugy.aeszom 192.168.2.1 named.hosts2

/var/named/root.cache

;;Itt lehet name servereket felsorolni. Jelenleg ki van kommentezve;; last update: Feb 28, 1997; related version of root zone: 1997022800;;; formerly NS.INTERNIC.NET;;. 3600000 IN NS A.ROOT-SERVERS.NET.;A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4;

/var/named/named.hosts; /var/named/named.hosts;@ IN SOA szolg1.rendez.aeszom. root.szolg1.rendez.aeszom. (168640036003600000604800)IN NS szolg1.rendez.aeszomIN MX 10 szolg1.rendez.aeszomlocalhost. IN A 127.0.0.1fire IN A 192.168.1.1titkarsag IN A 192.168.1.2szolg1 IN A 192.168.1.5; End of File

/var/named/named.local; /var/named/named.local;@ IN SOA localhost. root.localhost. (136000036003600000604800

)IN NS szolg1.rendez.aeszom.1 IN PTR localhost.;; End of File


24/35

24. oldalo title


/var/named/named.rev; /var/named/named.rev@ IN SOA szolg1.rendez.aeszom. (168640036003600000604800)IN NS szolg1.rendez.aeszom.

5.1 IN PTR szolg1.rendez.aeszom.2.1 IN PTR titkarsag.rendez.aeszom.1.1 IN PTR fire.rendez.aeszom.100.2 IN PTR ppp.felugy.aeszom.; End of File

/var/named/named.hosts2; /var/named/named.hosts2;@ IN SOA szolg1.rendez.aeszom. root.szolg1.rendez.aeszom. (16864003600

3600000604800)IN NS szolg1.rendez.aeszomIN MX 10 szolg1.rendez.aeszom;fire IN A 192.168.2.1ppp IN A 192.168.2.100; End of File

Most akkor jjjenek a NetBIOS nevek. Ha nem akarunk DNS szervert pteni akkor a hosts.sam file alapjn minden gpen kell kszteni egyhosts file-t.

A M$ az NT szerver-hez ad csak DNS szervert, de ms megvalstsok elrhetk munkallomson is.

Mint az koztudoms a DOS gpek kis hlzatra kifejlesztett nem routolhato szerencstlensget egytt kell hasznlni a TCP/IP-vel.Eredetileg:-ethernet-NetBEUI-NetBIOSJelenleg:-ethernet-IP-TCP-NetBIOS(pontosabban NetBT NetBIOS emultor)Teht ne teleptsk a Win-en a NetB***-t mert mr nem kell.Mivel TCP/IP-n fut routolhat. Csak az zenetszrst kell? tjuttatni a router-en.

A NetBIOS nv keress sorrendje:Sajt puffer- belltott WINS szerver - nem routolhat csomag segtsgvel WINS szerver keress - lmhosts file - hosts file - DNS szerver.

A M$ a WinNT szerverhez ad WINS szervert.

Linux-os megvalsts:A SaMBa-hoz tartozik egy nmbd nev program. Ezt kell nmbd -H /etc/lmhosts-knt indtani.

/etc/sbm.confwins support = yes

/etc/lmhostsEzt a file-t NEM hasznlja az nmbd hogy vlaszoljon a nv krdsre. CSAK a loklis szerveren biztost nvfeloldst. Ami elmarad az elvrhatminimumtl.

## Sample Samba lmhosts file.#

192.9.200.1 TESTPC192.9.200.20 NTSERVER#20192.9.200.21 SAMBASERVER#


25/35

25. oldalo title


Valami keveset mgiscsak tud. Errl anmblookup -U winserver -R NetBIOS_nvtjkoztat. Illetve hasznlhat mg azsmbclient -L NetBIOS_nv -R holkeresseis ahol -R wins, -R lmhosts stb llhat.nmblookup -M '-'pedig sok minden mellett kirja a master browserek listjt. rdemes tanulmnyozni ennek a kt programnak a lehetsgeit. Az smbclient-tel ftpszeren lehet elrni a win-es gpek megosztsait, az smbmount-tal pedig fel lehet azokat mountolni.Hiba:smb: > get read_socket_data: recv failure for 4. Error = Connection reset by peer

Broken pipeKikapcsoltk a Win-es gpet :-)

A SaMBa segtsgvel az gy felcsatolt megosztsokat meg lehet osztani, mintha csak egy Linux-os erforrs lenne.

Ha a SaMBa a /root/tmp -be akar irni, akkor az inditscriptbe kell egy export TMPDIR=/tmp sor.

A M$ SMB alapveten kt hlzati modellel dolgozik:

-Munkacsoport workgroup :Egyenrang gpek - minden megosztst gpenknt kell belltani.A bngszst a Master Browser s a Backup Browser intzi. NT-nl 32 gpenknt Win9x-nl 16 gpenknt lp be jabb BB. Az egyesalhlzatokat Master Browser-ek kssk ssze.

Hasznljunk NT4 SP3-at,mert annak elfogadhat a halzatkezelse. [Elender szervz]

SZVSZ az SP6a is j. Az SP6 hibs !

Nzznk egy smb.conf file-t !

[global]#### Names #######

netbios name = SZERVERworkgroup = ETIserver string = SaMBa 2.05

#### Char ##### Hogyan rakja fel:character set = iso8859-2# Kliens :client code page = 850# make_smbcodepage c /etc/codepages/src/codepage_def.850 /etc/codepages/codepage.850# esetleg: valid chars = # # Nem mindegy, hogy milyen nyelv, verziszm Wint hasznl valaki, de az sem,# hogy a file-okat grafikus vagy karakteres felleten kezeli.# Nzzk meg Traxy tapasztalatait:# 1. varici (client code page s character set nincs megadva)# -t tartalmaz fileneveket nem lehet elrni, de ltrehozni igen.# 2. varici (client code page s character set = ISO8859-2)#

hall. Olyan mappkat file-okat meg sem jelent, amiben

van# 3. var. (minden ISO8859-2, mg a windz is)# a win kinzete sszeomlik, nem tudja kezelni az alap fontjait, -t tartalmaz# fileneveket tovbbra sem r el, rdekes s jelek jelennek meg helyett.# 4. var. (client code page, character set = 1250)# ltrehozhat, de aztn nem elrhet. az elz varicikban ltrehozott# llomnyok, amik nem tartalmaznak-t, sem elrhetek.# Az eredmnyt megosztom Veletek: (aki tudja attl bocs)# character set = iso8859-2# valid chars = 0x8B:0x8A 0xFB:0xEB


26/35

26. oldalo title


#Win NT 4.0 SP6a Hun. Az e:\ -rl msoltam f:\ -re.#Vegyk szre, hogy a hossz tkletes, mg az -t nem vitte t.#Lehet knldni Linux oldalon a Win karakterkezelsvel, de ...# #Ez a windows-ra vonatkozik:#Filenevek: A disken trolt filenevek unicode-osak. Ellenben van olyan filekezel funkcihalmaz a win-ben#amely a system locale (kdpdzs) alapjn akarja ltni a fileneveket (8 bites karakterek a filenvben a trolt 16 bites formtum#helyett). Ha az adott karakter nem szerepel a system kdlapon akkor az gy ltszik, hogy a filenv "rvnytelen"#karaktereket tartalmaz s ezrt nem lehet megnyitni. Ebbe akkor futsz bele trivilisan, ha a file tvoli gp megosztott#ktetn van, habr ekkor ilyen betket tartalmaz filenevet nem is tudsz ltrehozni a tvoli kteten.##Soxor s meglls nlkl sulykoljk rencergizda bcsik, hogy filenvbe nem nyomtathat karaktert, szkzt, kezetes#bett, felkiltjelet, ":"-t ";"-t teht mindent ami nem szmlyegy van angol bet ne tegynk....#[netizen]#Rszletesen: Kis Balzs: Windows 2000 Haladknyv... 200. oldal# #### Security ##### Akiket elfogadhosts allow = 192.168.2. 192.168.1. 127.# Lehet user, share, server issecurity = user#Van vendg = nobody, s van jelsz nlkli belps is.guest account = nobody# ez a null... lassthatja a bngszst null passwords = truemap to guest = bad passwordpassword level = 0# Win NT SP3 utn titkos jelsz lehetsges. Ha nem akarjuk akkor:##EnablePlainTextPassword = 1 (dword vagy 32 bites rtk)-et kell ltrehozni a#(illetve W98-as gpen binris van belltva, s az OK)##Win NT:#HKEY_LOCAL_MACHINES/SYSTEM/CURRENT_C.../SERVICES/RDR/PARAMETERS##Win 98:#HKEY_LOCAL_MACHINES/SYSTEM/CURRENT_C.../SERVICES/VXD/VNETSUP-ban##Termszetesen jraindts.##Win NT 4.0##Esemnynapl: Az tirnyt nem tudott vltozkat inicializlni a#rendszerler adatbzisbl - Forrs: Rdr#A hozz tartoz hibazenet : Errl az llomsrl nem lehet bejelentkezni a fikba.#Grafikus felleten, illetve net use esetn krheti eltte a jelszt#de akkor enterre vagy jelsz nem megfelel, vagy a fenti hibazenet#ha jelszt runk be akkor a fenti hibazenet.#A net view-re viszont kilistazhatja a megosztsokat.


27/35

27. oldalo title


#A hiba forrsa: binris-knt lett ltrehozva a vltoz.#encrypt passwords = yes##A sambapassword programmal -a opcival lehet j felhasznlt ltrehozni.smbpasswd file = /usr/local/samba/private/smbpasswdinvalid users = root adminmax connections = 20#### Logging ###########

debug level = 1

max log size = 50log file = /usr/local/samba/var/log.connections#### Browser behaviour #########interfaces = 192.168.1.1/24 192.168.2.1/24lm announce = nolm interval = 0#J ha a SaMBa a Master Browserlocal master = yesos level = 250preferred master = yes#Ha nincs msik WINS szerver, akkor a SaMBa lesz az.#Egybknt no lenne, s meg kellene adni a szerver cimt.wins support = yes

wins proxy = nodns proxy = no# Ezeket nzi t:name resolve order = wins lmhosts hosts bcast#### Tuning ##########socket options = TCP_NODELAY SO_SNDBUF=32768 SO_RCVBUF=32768deadtime = 5oplocks = yesread prediction = yesread size = 16384max xmit = 16384read raw = yeswrite raw = yes

#### Print ########## Szab Pter: Nyomtats Linux all. CHIP 2000. november 156-158. oldal. printcap name = /etc/printcapload printers = yesprinting = bsd##################

[printers]

#Akkor most bemutatom a WinNT multitask kpessgeit.#Pillanat...csak a munkatrsam befejezi a nyomtatst.#Celeron 333 - 64 MB RAM - semmilyen alkalmazas nem fut.comment = HP LJ 4Lbrowseable = noprintable = yespublic = yeswritable = yes##Teleptsk fel a nyomtatt - Kliens WinNT 4.0 SP4#Nyomtat hozzadsa varzsl

#Hlzati nyomtat \\SZERVER\lp#Hibazenet: A kiszolgln lev nyomtat nem rendelkezik megfelelen#teleptett NULL nyomtat-illesztprogrammal, stb.#Nyomtatni nem fog, csak csinl egy \\SZERVER\lp portot.#Nyomtat hozzadsa varzsl#Helyi nyomtat


28/35

28. oldalo title


#Nyomtat port: \\SZERVER\lp#Mr megy is a nyomtats.##Ha a public = no akkor a Win9x OK, de#WinNT 4.0 SP6a vagy SP4 nem nyomtat#Fjlnv, knyvtrnv vagy ktetcimke szintaxisa nem megfelel.#Vagy : nem lehet nyomtatni hibazenetek

#ismert nt bug: nt nem kuld usernevet a nyomtato share-hez, csak jelszot#Ket "megoldas" van:

#1, guest is nyomtathat#2, nt-bol felveszel egy file share-t, es _utanna_ csatlakozol nyomtatohoz#[LAJBER Zoltan]##Win98 - a nyomtat offline mdban van hibazenet#Win 98 jratelepts kell.

[public]comment = publicpublic = yespath = /home/publicbrowseable = yeswritable = no

printable = no##Ugyangy CD-t is meg lehet osztani.#

[homes]comment = megosztaspath = /home/%upublic = yes##Ha nincs megosztsnv, s nincs felhasznlnv, vagy rossz a jelsz akkor a public = yes,#s a /home/%u [global] guest account = nobody nobody-knt beengedi a felhasznlt.#Kell egy /home/nobody azt kapja mindenki aki rosszul akar belpni. Ez kell, ha az NT bnzik#Kliens WinNT 4.0 SP6a. Ha a fenti yes nincs bent, akkor az llomsrl nem lehet#bejelentkezni a fikba hibazenet rkezik. Igy a /home/nobody knyvtrat kapja#Ha egyltaln nem lehet bejelentkezni egy NT-rl, lehet SP4 vagy 5 is#ezzel a hibazenettel akkor kell csinlni egy ilyen public = yes megosztst#Ha ide tud csak belpni a kliens akkor a password.c szerint##1) login as the given [adott] user with given password#2) login as a previously [korbbi]registered username with the given password#3) login as a session list username with the given password#4) login as a previously validated user/password pair#5) login as the "user =" user with given password#6) login as the "user =" user with no password (guest connection)#7) login as guest user with no password##lehet, hogy sem user-nevet, sem megoszts nevet nem kldtt az NT-s gp#s a guest ok = yes miatt jutott be.#Ha user-nevet, vagy megoszts nevet kldtt volna, akkor azon az [user]nven#prbln belptetni a SaMBa. Ha a jelsz ekkor rossz lenne - az lenne a hiba#rdemes a /home/nobody -ban elhelyezni egy hiba file-t, amiben ez le van rva.##jratelepteni az NT-t ?##Igy nz ki mindez Linux alol. Se megoszts, se felhasznl.##/usr/local/samba/bin/smbclient //szerver/nobody -U nobody#Password: MINDEGY, mivel se felhasznl, se megoszts#Domain=[ETI] OS=[Unix] Server=[Samba 2.0.5a]#smb: \> ls# hiba A /home/nobody/hiba file 31 Wed Mar 1 20:00:00 2000## 39636 blocks of size 131072. 27085 blocks available#smb: \> q#


29/35

29. oldalo title


##Rszletesebb informcit kapunk, ha a [global] rszben#a debug szintet emeljk, pl. 3-ra. Ekkor a log.smb file#gyorsan n, s sok minden ltszik benne.##browseable = yeswritable = noprintable = no#

#A felhasznlnv s a megosztsnv kzl azt veszi felhasznlnvnek#amelyikhez rvnyes jelsz tartozik#Windows all net use \\szerver\megosztas jelszo /USER:\userneve mdon#kapcsolhat fel. Kattogtatva nem megy, mivel a Windows elszr elkldi amit gondol

#csak aztn krdezi meg mit is kne csinlni - de ekkorra mr be is lpett nobody-knt.#Az brn a public = no eset ltszik - nem lpteti be a SaMBa, hanem visszautastja, gy#lehetsg van megadni a valdi rtkeket. Errl ksbb.#

#ha a public = yes, s van /home/nobody s path = /home/%u akkor#azt rakja fel, mindegy ki akar belpni, ha path = %p akkor a / -t.#

Nzznk meg egy alternatv megoldst : public = no#Az alternatv megolds kattogtatva is megy, mivel nem engedi be a klienst,#es igy lehetoseg van a helyes adatok elkuldesere.#Lsd a fenti kpet.##Kliens WinNT 4.0 SP4 bejelentkezett felhasznl: usernt#gp netbios neve: ntneve

#Megprbljuk a usernt-t kattogtatva felrakni.#log.smb :#Couldn't find user 'ntneve' in UNIX password database.#NT hibazenet :#Hlzatnv nem tallhat##A nyomorult figyelmen kvl hagyott minden bert adatot#s a netbios nevet akarta felhasznlni user nv helyett#A sikertelensg elkesertette az NT-t, ksbb mr meg sem prblt#csatlakozni a SaMBa szerverhez, csak a hibazenetet kldzgette.#Ha kijelentkeztem s jra bejelentkeztem akkor is.##Irjuk be a megosztsnevet \\server\user1

#Tltsk ki a Csatlakozas maskent: user1 sort is az els

csatlakozskor !#Ekkor is 'ntneve' felhasznlknt prbl belpni elszr, de aztn j lesz.#Az eredeti problema:#SAMBA-val kiajanlva win9x-es masinaknak a userek homekonyvtarai,#benne a public_html konyvtar.#A userek samba fajl es direktory-inak jogai letrehozaskor


30/35

30. oldalo title


#0700, ami security szempontbol jo, de igy a vilag nem latja a#weboldalukat.

#A megoldas, amit talaltam:#A fajl creation : 0740, ami a csoportjanak enged olvasast.#Ez meg nem olyan rossz - gondolom- ugyis mindenki a sajat#csoportjaban van, szoval ez a tobbieknek nem ad tobb jogot.#A public_html konyvtar csoportjat www-root -ra allitottam (debian#alatt az apache felhasznaloja) es a setgid bitjet is beallitottam.#Ezzel a public_html alatti fajljai olvashatoak az apache szamara,

#a konyvtarak meg oroklik a setgid bitet.# #[Borkuti Peter]

[homes]comment = megosztas# %p - szolgltats home knyvtrnak a neve. %u szolgltats felhasznljnak a neve -# ennek kellene lenni a csatlakozs msknt-nek, de figyelmen kivul hagyhatja a windows.path = %p#path = /home/%u##Az, hogy /home/%u, vagy a %p a megfelel a kliens dnti el. Azt hasznljuk amelyik muxik.#public = no

browseable = yeswritable = yesprintable = nocreate mode = 0700####Kliens WinNT 4.0 SP4 bejelentkezett felhasznl: usernt#SaMBa felhasznlk: user1, user2, user3#NT felhasznlk: Rendszergazda, usernt#Halozati meghajto csatlakoztatasa#Meghajto: F#Eleresi ut: \\server\homes vagy \\server\user1

#Csatlakozas maskent: user1##helytelen a jelszava vagy felhasznaloneve ismeretlen:##\\server\homes vagy user1#Csatlakozasi nev: user1#Jelszo: ******** - user1 samba jelszava##Ha user2-kent akarok csatlakozni es megadom, hogy#Csatlakozas maskent: user2#Akkor hibauzenet:#A megadott felhasznaloi nev-jelszo par utkozik#valamely meglevo felhasznaloi nev-jelszo parral.

##Levlasztva az user1 csatlakozst mr be tud lpni user2-knt.##Levlasztom az user2-t s felkapcsolom az user1-et#Ha a csatlakozs msknt-ben#nem adom meg, hogy user2 akkor megvan a kapcsolat.##Fel tudom csatlakoztatni az user1-et user 1 jelszval#azutan az user2-t jelsz nlkl - elmentette a jelszt.#user3 csatlakoztatsnl: Hlzatnv nem tallhat##user1 helyett user2, user2 helyett user3 - ugyanaz#azaz user1 nem csatlakoztathat: Hlzatnv nem tallhat

##user1 s user3 nem csatlakoztathat egyszerre.##Nem az igazi.##ppen ezrt hasznljuk a#path = /home/%u


31/35

31. oldalo title


#formt, br van amikor meg azzal nem csatlakoznak.##s mg egy rakat szpsg#Az NT hlzatkezelse hagy nmi kvnnivalt maga utn.##Az NT hibazenetek megjelensnek sebessgbl kvetkezik, hogy meg sem#prblja felpteni a kapcsolatot, megkeresni a gpet.##Slyos hiba ! A Win98 - Megsrlnek a file-ok !#A Realtek hlkrtyval van baj. Le kell tlteni a Realtek drivert. [AiRLAC]

#Ms hlkrtykban is lehet Realtek chip, akkor is, ha ez nem ltszik. SMC.#Hmmm... Az ftp, ami msik protokoll a hibs driver-rel is OK-san megy.#St, nha ki is rja, hogy szar az adattvitel. Ezek szerint az ftp-zs#biztonsgosabb adattvitelt biztost.#Megbzhatan mkdik- nyomtats, ha sikerl belltani#Az NT nem mindig alkalmas nyomtat szervernek Win98 kliens esetn sem.#Hasznljunk SaMBa nyomtatszervert inkbb.##Mit lehet akkor csinlni amikor azrt nem lehet az NT-n#megosztsokat csinlni mert:##A szolgltats [Kiszolgl] lellt a kvetkez hibval:#Nincs elg szabad kiszolgl trolterlet a parancs vgrehajtshoz.

##Szervzcsomagot jra kell telepteni.##Tancsok:##A kliensen s a szerveren egyezzen meg a felhasznl neve s jelszava#s j ha a kliens gpnek a netbios neve egyben a felhasznal neve is.#a jelsz csak kisbetket tartalmazzon - alapesetben a Win kisbetsre#konvertlja - s akkor a sajt knyvtr biztonsgosan felcsatolhat#s a publikus anyagok is, amik lehetnek CD meghajtk is.#

Namost, ha a Server s a Workgroup csoportban nem szerepel egyetlen gp sem, lehet, hogy betelt a MasterBrowser gp winyja.

A log file-okat egyszer-egyszer le is kell zzni...

Intranet szerver - SaMBa - TartomnyVannak szerverek s munkallomsok. A szerverek lehetnekPDC - elsdleges tartomnyvezrlkBDC - tartalk domain controler-ekStand Alone - egyedi szerverek

Mindezt teleptskor mr el kell dnteni, mert nem lehet az NT-ket ide-oda pakolszni. Ha vltoztatni kell - akkor JRA KELL TELEPTENI agpet !

WinNT server 4.0 mint PDC

A tartomnyok elnye a munkacsoportokkal szemben, hogy a felhasznlkat egy gpen tartjuk nyilvn. j felhasznl felvtele a tartomnyba a/Start/Programs/Administrative Tools (Common)/User Manager for Domains

j szmtgp felvtele a Tartomnyba:Server Manager / Add Computer To Domain / WINNT WS or Server s adjuk meg a gp NetBIOS nevt.

Vegynk fel egy j felhasznlt. A neve legyen linuxuser. Jelszava LamaHogyan ri el a LINUXWS gprl a linuxuser az NT PDC (TERINFO) szervert ?

Ha valaki az ftp szer parancssoros frtelmeket rszesti elnyben:$smbclient -L TERINFO -U linuxuserAdded interface ip=192.168.1.1 bcast=192.168.1.255 nmask=255.255.255.0Connecting to 192.168.1.4 at port 139Password:Domain=[DOMAIN1] OS=[Windows NT 4.0] Server=[NT LAN Manager 4.0]

Sharename Type Comment


32/35

32. oldalo title


--------- ---- -------NETLOGON Disk Logon server shareADMIN$ Disk Remote AdminIPC$ IPC Remote IPCstat DiskC$ Disk Default shareD$ Disk Default share

Server Comment--------- -------

NTWSTERINFO

Workgroup Master--------- -------DOMAIN1 TERINFO

A stat megosztst elrni pedig (ha az smbmount nem szimpatikus)$smbclient //terinfo/stat -U linuxuserutastssal lehet. Listzni ls, kilpni exit.

Ha hibs a jelsz:session setup failed: ERRDOS - ERRnoaccess (Access denied.)

Ha j a jelsz - de ?session setup failed: ERRSRV - 2240

Mik a legnagyobb eltrsek a Munkacsoport s a Tartomny kztt ?A pldban szerepel egy NTWS nev NT 4.0 hu gp. Ha ezt a gpet belptetjk a DOMAIN1-be s a DOMAIN1-ben (TERINFO gp) nincsRendszergazda felhasznl, akkor az NTWS gpre nem is lehet Rendszergazdaknt bejelentkezni. Admin-knt viszont igen. Admin a TERINFOgp rendszergazdja. Ha a TERINFO-n ltrehozunk Rendszergazda felhasznlt, akkor az NTWS gpre bejelentkezett Rendszergazda csak egyegyszer felhasznl. Semmifle plusz jogokkal nem rendelkezik. Az Admin viszont rendszergazda.Teht az NTWS gpen csak Admin-knt oszthatjuk meg az adatok alknyvtrat, s a LINUXWS gprl linuxuser-knt elrhetjk gy, hogy azNTSW gpen nincs se Admin, se linuxuser felhasznl.Munkacsoportos krnyezetben ltre kellene hozni egy Admin felhasznlt rendszergazda jogokkal s egy linuxuser felhasznlt user jogokkal azNTWS gpen, ami nagy szm WS s user esetn elg nyomaszt.

Mivel az NT serveren nincs Power Users felhasznli csoport, ha azt akarjuk, hogy a linuxuser meg tudja osztani az NTWS gpen a nyomtatt s

a file-okat akkor a Print Operators s Server Operators csoportba fel kell venni. Az User Manager / User Properties / Logon To - ban megadhat,hogy melyik gpekre jelentkezhet be. A gp Windows-os nevt kell belltani.

Miutn ltrehoztunk egy LINUXWS gpet a tartomnyban a fenti smb.conf file kisebb mdostsval ltni is lehet a SaMBa megosztsokat.netbios name = LINUXWSworkgroup = DOMAIN1share modes = yessecurity = shareencrypt passwords = yessmbpasswd file = /usr/local/samba/private/smbpasswdlocal master = nopreferred master = nodomain master = no

wins support = nowins server = 192.168.1.4

Persze ez nem a teljes file. Ekkor kt felhasznli nv / jelsz listnk van. Egy a LINUXWS-en s egy a PDC-n.

Vagy lltsuk le a SaMBa-t. Hozzuk ltre az NT-n a LINUXWS gpet, futtassuk a LINUXWS gpen az#smbpasswd -j DOMAIN1 -r terinfoparancsot. Akkor a .../samba/var/locks/browse.dat s wins.dat file-ok vltoznak. Az smb.conf-ot vltoztassuk meg kiss:#security = domainsecurity = serverdomain logins = yesworkgroup = DOMAIN1password server = terinfo

Ennek az az elnye, hogy a LINUXWS magosztsok a SaMBa s az NT-s jelszavakkal is elrhetk. Viszont tovbb tart az azonosts.

SaMBa server mint PDC


33/35

33. oldalo title


A 2.0.5a is nagyon j kis PDC, csak a W2k-t nem szereti.http://bioserve.latrobe.edu.au/samba/ntdomfaq.html

Samba 2.0.7 will not accept Domain Logons from Win2000 although it will offer file shares to it. It will not do trust relationships.

Viszont a 2.2 mr:http://fi.samba.org/samba/docs/samba-pdc-howto.htmlvery new, they will be allowed to create a new machine account when first connecting a new NT or W2K machine to the domain.

Nzznk meg egy 2.05a configot:

[global]netbios name = NTServer # :-)workgroup = IRODA

os level = 66local master = yespreferred master = yesdomain master = yeswins support = yessecurity = userdomain logons = yesencrypt passwords = yes

smb passwd file = /usr/local/samba/private/smbpasswdclient code page = 850character set = ISO8859-2

logon script = common.batlogon path = \\NTServer\homes\profile.ntlogon home = \\aesz\homes\profile.9xdomain admin users = administratorguest account = nobody

unix password sync = truepasswd program = /usr/bin/passwd %upasswd chat = *password* %n\n *password* %n\n *changed*

min passwd length = 6passwd chat debug = false

load printers = noprinting = lprngprintcap name = /etc/printcapprint command = /usr/bin/lpr -P%p -r %slpq command = /usr/bin/lpq -P%plprm command = /usr/bin/lprm -P%p %jlppause command = /usr/sbin/lpc hold %p %jlpresume command = /usr/sbin/lpc release %p %jqueuepause command = /usr/sbin/lpc -P%p stopqueueresume command = /usr/sbin/lpc -P%p start

[netlogon]path = /home/samba/netlogonbrowseable = nowriteable = noguest ok = nolocking = nofake oplocks = yes

A tbbi a szoksos. Mg annyit, hogy az NT belptetshez:Hozzunk ltre egy ntneve$ -t az /etc/passwd -ben. #adduser ntneve$Aztn adjunk a/usr/local/samba/private/smbpasswd -hoz egy ntneve gpet.

smbpasswd -a -m ntneve

Ezutn mr be lehet lptetni az NT-t a tartomnyba.


34/35

34. oldalo title


Intranet szerver - SaMBa - W2k

W2k mint kliens

----------- smb.conf mintafile -----------------# http://softwaredev.earthweb.com/sdopen/sdosser/article/0,,12406_630891_4,00.html

debuglevel = 1netbios name = quercus

workgroup = ELABORserver string = Samba Server - Moe#hosts allow = 192.168.1. 127.interfaces = 192.168.1.0/24 127.0.0.1printcap name = /etc/printcapload printers = yesprint command = /usr/bin/lpr -r -P%p %slpq command = /usr/bin/lpq -P%plprm command = /usr/bin/lprm -P%p %jguest account = ftp

# this tells Samba to use a separate log file for each machine# that connects

log file = /var/log/samba/log.%msecurity = userencrypt passwords = yessmb passwd file = /etc/smbpasswdUnix password sync = Yespasswd program = /usr/bin/passwd %upasswd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* %n\n*passwd:*all*authentication*tokens*updated*successfully*socket options = TCP_NODELAY

domain master = yesdomain admin users = root

add user script = /usr/sbin/adduser -n -g machines -c Machine -d /dev/null -s /bin/false %m$domain logons = yeslogon script = %U.bat

[homes]comment = Home Directoriesbrowseable = yeswritable = yes

[printers]comment = All Printerspath = /var/spool/sambapublic = yes

browseable = yesguest ok = yeswritable = yesprintable = yes

[netlogon]

comment = Network Logon Servicepath = /home/netlogonguest ok = yeswritable = no

share modes = no

------------------ minta vge ---------------------

A W2k alapveten jl mkdik. A TechNet CD sokat segt. Igy ltatlanban sokat tud (mr van telnet is) rendszernek nz ki. A Linux-os DHCPs SaMBa szervert jl hasznlja. Kpes kis/nagy bett egyarnt tartalmaz jelszt kldeni. Amit t kell lltani:


35/35

35. oldalo title

telnettlntadmin programmal az azonosts (NTLM) rtkt 1-re.Ez a megolds nem szerepel a W2k help-ben. gy szabvny mdon be lehet telnetelni a W2k-ra s karakteres felleten elg sok mindent be lehetlltani. Elg nygvenyels a UNIX telnethez kpest - valahogy nem az igazi. A telnet kliens viszont rosszabb mint volt, mivel mr az F1-F4billentyket sem lehet hasznlni. Viszont szines.

Intranet szerver - NetWare - MarsA NetWare-rl a CHIP 2000 augusztus 123-126.

Internet szerver - Apache

Messze nem teljes, s messze nem tkletes, de idt biztost arra, hogy utnna nzhess dolgoknak.

--------Tartalom---------

ptsnk sze

Építsünk szervert

Documents