Építsünk szervert - 0.5.2 (2001.07.20) !

  • Tartalomjegyzék


    Bevezetés

    Ez az oldal azoknak keszül, akiket a sors rendszeradminisztrációra kenyszerít, és a fontos kerdésekben a következõ segítséget kapják:

    "mivel egy tûzfal telepítése és beállítása számos elvi és megvalósításbeli ismeretet igényel, itt azt sajnos nincs módunk részletesen bemutatni."

    Slapic-nak ebben, természetesen igaza van, de ez kb. olyan válasz, mint amikor egy kezdõ megkérdezi melyik distrib-et válassza, és azt mondják neki, hogy mindegy, mert ugyanaz a kernel van hozzá.

    Szóval készíteni kell egy internetes gateway-t, átjárót, de se pénz, se tapasztalat, se semmi, és nem akarjuk ráfecsérelni az egész délelõttöt.

    TUDOM, hogy ettõl sokaknak feláll a szõr a hátukon, és ebben IGAZUK IS VAN. Az élet azonban bonyolult, és mégiscsak össze kell hozni valamit.

    Ha a belsõ hálon totál amatõrök vannak, és csak ideiglenesen, modemmel kapcsolodunk fel egy szolgáltatóhoz, akkor egy alapvetõ Linux-os ismeretekkel rendelkezõ ember is össze tud hozni egy ilyen rendszert. Sõt. Össze kell hoznia, ráadásul ingyen, görbe pillantásokkal kísérve, a környezõ Win99-es gépek mögül.

    Ha valakinek lehetõsége van rá, akkor kérjen meg egy hozzáértõt, hogy csinálja meg. Csak végsõ esetben forduljon ehez a dokumentumhoz!

    Ha valaki magától nem tudná eldönteni, hogy profi-e, annak egy kis segítség:
    Profi az akinek a hibaüzeneteket tartalmazó jegyzetfüzetében nem azok a hibaüzenetek vannak amiket már látott, hanem azok amiket még nem.

    A tartalomjegyzék Gefferth András programjával készült.
    Kattints
    ide ha le akarod tolteni.

    Alapismeretek:

    Olaf Krich - Linux - halozati adminisztrátorok kézikönyve

    Fred Blutzen, Christopher Hilton - Linux halozatok 2750 Ft
    A Win95 kliensek jól le vannak írva.

    Szabó - Linux lepesrol lepesre 2??? Ft

    Linuxvilág folyóirat. Különösen a könnyű álmok cikksorozat.

    Æleen Frisch - Windows NT rendszeradminisztráció.
    Idézet a könyv 127. oldaláról "és még további kettõt [tartalmaz - mármint partíciót] (amiket történetesen a Linux operációs rendszer használ)." Azonnal megvettem. Drága, de jó könyv. kb 4000 Ft

    Peter Norton, Mike Stockman - A hálózati biztonság alapjairól 2660 Ft
    Windows (NT, 2000), Novell NetWare, Unix (Solaris, BSD, Linux)
    Kezdőknek. Tehát Neked :-)

    http://www.bmva.hu/linux/jegyzet

    http://server.kando-misk.sulinet.hu/linuxokt/dolgozat.htm

    http://server.kando-misk.sulinet.hu/linuxokt/dolgozat.htm

    SAG-HU 3 helyen

    http://home.sch.bme.hu/~bekesa/lr/index.html

    http://to.banki.hu/koli/doc/linux/sag-hu/index.html

    http://www.szif.hu/~ahorvath/Sag/

    Miskolci Egyetem jegyzete:

    www.iit.uni-miskolc.hu/~vadasz/it02_szgpek/index.html

    Linux doksik magyarul

    http://linuxdoc.freeweb.hu/

    Kernel fordítás (Debian 2.2.x): CHIPTÁR: Linux 2.2 40-65. (RedHat 2.0.x CHIP 1998 julius 104-106)

    PAM: hitelesítés. CHIP 2001 április. 144-146.

    X terminálok építése: http://linuxgazette.com/issue68/swieskowski.html


    Hát akor kezdõdjék.



    ppp - kapcsolodas az internetre

    CHIP 2000. november 169-170. Az IP hálózat szolgáltatói oldala. Segyik István: Internet-meteorológia I.

    Ha valaki egy egyetemi hálózaton akar egy alhálózatot nyitni - tipikusan egy tanszék számára - akkor ezt a részt átugorhatja.

    Itt emlekeztetnék az ISP törésekre, és egyéb kalózkodásokra. Ezen a gépen minimális mennyiségű program fusson, és a rendszeres upgrade elengedhetetlen.

    Zyxel Omni Ta 128 külsõ ISDN modemet csatlakoztatok a COM1 ttyS0 portra. (A COM2 hibás :) Külsõ ISDN modemhez nem kell ISDN támogatás, ha a modem Hayes felületet nyújt.
    Minicom-mal kapcsolatot létesítek a modemmel. (A modemet és a minicom-ot is be kell állítani, bár a default beállítás OK szokott lenni.)
    AT parancsra a modem válaszol OK
    ATZ0 reseteli a modemet és elõhozza a 0 beállítást
    AT&V kiirja az aktuális beállításokat
    Mindenfélét tud a TA 128. CHAP - PAP konverziótól kezdve Asyncronról syncronra konverziót is. 158 oldalas kézikönyv. Amire vigyázzunk az az ATWn n=0-4 parancs, ami rögzíti a beállításokat. Amit az ATZn-nel lehet elõhívni. Ha itt nagyon elcseszünk valamit akkor lehet, hogy a legegyszerûbb a firmware csere. Normál esetben egybõl bejön a gép-modem kapcsolat a minicom-mal, és a minicom el is végzi a modem inicializálását. Ekkor írjuk be az
    ATDTszolgáltatótelefonszám-ot

    CONNECT 115200/PPP 64000/NONE

    Mutatja, hogy megvan a kapcsolat. Username: promtnál írjuk be a felhasználói nevet, Password: -re pedig a jelszót.

    Már minden OK.

    Ha Username helyett

    ~@$##%$##^%$^%$%$&$&^$%&^%^&%*&%&*%&*^&*^% NO CARRIER

    jön be, akkor más tipusú a szolgáltatónál az azonosítás. ISDN-nél szinte biztos.

    Namost azóta találkoztam valami TA128 feliratú modemmel, nem Zyxel. Annak kellett egy AT!L0=0 is. Figyelmesen el kell olvasni a kézikönyvet.

    Lehet a Matáv is a hunyó. Az ISDN drót végére dugtunk egy digitális telefont, és nem tudtunk városi számot tárcsázni.

    És most ugyanez komolyabban, részletesebben cHarley - charley@interware.hu segítségével.

    Letöltés

    Kattints ide ha le akarod tolteni. Akarjad.

    A "/etc/ppp/options" legyen üres, mert ez minden soros portra vonatkozik, helyette portonként opciózunk. [Dadus]

    Szoval ezzel egyaltalan nem ertek egyet. Vannak olyan opciok (pl ms-dns egy server eseten, meg csomo egyeb) ami minden soros portnal ugyanaz. Akkor minek kulon leirni? Ha valamit nem ott tartunk ahol a helye van, akkor kesobb nehezen fogjuk megtalalni. [cancel]

    A Matavnet "pap" autentikációt használ, vagyis nem scriptel kéne bejelentkezned. A kppp autentikációját "pap" állitsd, az "/etc/ppp/pap-secrets" file-t ki kéne tölteni, a "/etc/ppp/options" tartalmát meg kitörölni. A kppp-nek meg még beállitani, hogy a "pppd"-t debug opcióval inditsa. A Matávnet szerverein néha nem indul el a ppp, néha többször is konektáni kell:

    Feb 24 21:22:26 dadus pppd[918]: sent [LCP ConfReq id=0x1 ]
    Feb 24 21:22:38 dadus last message repeated 4 times
    Feb 24 21:22:41 dadus pppd[918]: Terminating on signal 15.
    Feb 24 21:22:41 dadus pppd[918]: sent [LCP TermReq id=0x2 "User request"]
    Feb 24 21:22:44 dadus pppd[918]: sent [LCP TermReq id=0x3 "User request"]
    Feb 24 21:22:47 dadus pppd[918]: Connection terminated.
    Feb 24 21:22:47 dadus pppd[918]: Exit.

    Ez az első mai bejelenkezésem, látszik hogy az első csomagomra nem küldött semilyen választ, ezért leidőzitett a pppd. [Dadus]

    Ha az options és a pap-secrets file-ok között ellentmondás van, akkor nem megy az azonosítás !

    Naszal a pap/chap secret file igy nézzen ki:

    [client(account)] [server(acoount)] [secret] [server IP]
    nandoraccount matavnet jelszo *
    matavnet nandoraccount jelszo *

    A masodik sor akkor kell, ha calback-kal megy, ha ott van, nemsok vizet zavar. Az IP-t vagy beirod vagy don't care "*" [netizen]

    Egyebek:

    A KDE kppp-jet hasznalnam, de mindig azt irja ki hogy: /dev/modem locked
    [Cronos]
    Egy előző próbálkozásból maradhatott egy lock file, amit nem tudott letörölni valami okból, úgyhogy most akkor manuálisan kéne törölni. A "/var/lock" könyvtárban valami ilyen file van : LCK...modem , ezt töröld le nyugodtan.
    [Dadus]

    az Elender web oldalán egész tűrhetően le van írva lépésről-lépésre mit kell csinálni a ppp-on, ppp-on-dialer szkriptekkel. (Végre ezt is megéltük, a Linux-ot is jegyzik!) Kipróbáltam, nekem működik (Red Hat 6.2). A ppp-on-dialer-ben nekem eredetileg "ogin" volt "sername" helyett, ezt átírtam, a ttyS0-át meg a sebességet is mindkét szkriptben. A # tail -f /var/log/messages pedig jól mutatja mi történik, illetve mi nem történik. Arról írhattak volna többet, mit kell tenni, hogy a user-ek is tudják indítani a ppp kapcsolatot, de ne legyünk telhetetlenek, már ez is valami. Talán a következő verzióban...
    [yoker]

    Adott egy telefonvonal egy hangpostával megáldva. Ha a hangpostára üzenet érkezik akkor azt jellegzetes berregő tárcsahangal jelzi. Ez a berregő hang egész addig jelen van amíg nem törlöm le az üzenetet. Ez a rendszer meghibásodott és letörlés után továbbra is jelen van a berregő tárcsahang. A Matáv aszt állítja, hogy beszorult a tárcsahang és, hogy ez országos probléma. Ez miatt a modem aszt mondja, hogy nincs vonal. Ettől a hanposta "szolgáltatástól" nem tudok megszabadulni mert ez egy társ vonal és a matáv aszt mondja, hogy ez jár hozzá. Én már mondtam nekik, hogy fizetem továbbra is a hangposta díját csak vigyék a fenébe nekem nincs rá szükségem. A válasz nemleges. Windows-ban megtudom mondani a modemnek, hogy hadja figyelmen kívül a tárcsahangot, ekkor tudok internetre lépni de pédául faxolni már nem tudok mert a fax programban nincs ilyen beállítási lehetőség. Tehát a kérdésem az, hogyan lehet a Linux-nak megmondani, hogy ne vegye figyelembe a tárcsahangot?
    [sirkalmi]

    lehet, hogy ez segít majd. Nem én vagyok ilyen okos, ez is az Elender oldaláról van:
    "A modem inicializáló stringet a sorban találjuk, ezt írjuk át a modem leírásában szereplő init stringre (általában egy egyszerű ATX is megteszi, de lehetőség van a modem 'finomhangolására', lásd leírás). Az ATX egyébként azt eredményezi, hogy a modem ne várjon tárcsahangra, hanem 'dumb' módon álljon neki tárcsázni. Ez például olyan alközpontok esetén hasznos, amelyek nem adnak szabványos tárcsahangot."
    A modem init. string-et a kppp-ben is lehet változtatni.
    [yoker]

    Dummy: visszahurkoló interface, Ethernet-tel nem rendelkezö, de SLIP-pel rendelkezö (Serial Line Internet Protokol) gépen állandó IP címmel rendelkezö eszköz létrehozására. Mindez azért kell, mert egy visszahurkolási interface lehetöség van a Linux-ban - a 127.0.0.1, namost ha egy alkalmazás a 192.168.1.15 nek akar adatot küldeni, és nincs ilyen aktív eszköz - mivel a gép nincs hálózatba kapcsolva a dummy (nem valódi) eszköz fogadja az adatot. A diald démon belsö kommunikációra használja a SLIP protokollt. Interfészek:
    eth - hálókártya
    lo - loopback, visszahurkoló interface. 127.0.0.1
    ppp - Point-to-Point Protokol eszköz
    sl - SLIP eszköz.
    dummy - dummy eszköz.


    ISDN EICON DIVA


    /etc/conf.modules vagy /etc/modules.conf file-ba:
    options hisax type=11
    A PCI buszos kártyának ennyi opció elég, meg fogja találni. Különben meg az /usr/src/linux/Documentation/isdn/README.HiSax file-ba megtalálod a hisax modul paramétereit.

    /etc/ppp/pap-secrets file-ba:
    internet-account-username ISPneve password *

    A konnekt script:

    #!/bin/sh
    msn=1234567 #sajat hivoszam
    call=1234567 #ISP hivoszama
    device=ippp0
    local=172.16.1.2
    remote=172.16.1.1
    account=internet-account-username
    case "$1" in
    start)
    echo "Indit: ISDN *Xylyco* otthon :"
    echo 7 > /proc/sys/net/ipv4/ip_dynaddr
    /sbin/hisaxctrl HiSax 7 1
    /sbin/isdnctrl system on
    /sbin/isdnctrl verbose 10
    /sbin/isdnctrl addif $device
    /sbin/isdnctrl eaz $device $msn
    /sbin/isdnctrl addphone $device out $call
    /sbin/isdnctrl addphone $device in $msn
    /sbin/isdnctrl huptimeout $device 99999
    /sbin/isdnctrl l2_prot $device hdlc
    /sbin/isdnctrl l3_prot $device trans
    /sbin/isdnctrl encap $device syncppp
    /sbin/isdnctrl dialmode $device manual
    /sbin/isdnctrl chargehup $device off
    /sbin/isdnctrl secure $device on
    /sbin/ifconfig ippp0 $local pointopoint $remote up
    /sbin/route del default 2> /dev/null
    /sbin/ipppd /dev/$device debug -detach defaultroute \
    remotename ISPneve ms-get-dns \
    ipcp-accept-local ipcp-accept-remote noipdefault user $account &
    ;;
    stop)
    echo "Leallit: ISDN *Xylyco* otthon:"
    /sbin/route del default
    /sbin/isdnctrl hangup $device
    /usr/bin/killall ipppd #ez lehet, hogy mashol van, nezd meg a pontos dirt.
    /sbin/ifconfig ippp0 down
    /sbin/isdnctrl pppunbind ippp0
    /sbin/isdnctrl unbind ippp0
    /sbin/isdnctrl delif ippp0
    ;;
    restart)
    $0 stop
    $0 start
    ;;
    *)
    echo "Usage: isdn-home {start|stop|restart}"
    exit 1
    esac
    exit 0



    Mivel a script-ben a "dialmode $device manual", és nem auto, a konnektáláshoz a következő parancs szükséges:
    isdnctrl dial ippp0



    A diszkonnekthez:
    isdnctrl hangup ippp0
    vagy lelövöd az egész ISDN konfigot a script-el:
    isdn-home stop
    (már ha te is ugyanezt a nevet adod a scriptnek)
    Alapban csak a root használhatja, ha más usernek is engedélyezni akarod, akkor a parancsokat (isdnctrl, ifconfig, route, killall) SETUID-osra kell tenni. Állapotot lekérdezni:
    isdnctrl status all
    Az ipppd debug-al van indítva a scriptben, az isdn debugot meg a : isdnctrl verbose 1-től 99-ig parancsal lehet állítani. Van KDE-s progi is hozzá, a kisdn, ezt minden disztrib tartalmazza, de mielőtt használod a "kcmkisdn" paranccsal konfigolni kell. Néha nem hajlandó működni, ha
    sokat állítgatja az ember, ekkor parancssorból:
    isdnctrl system on
    és meggyógyul.
    [Dadus]


    PPP szerver készítése:

    Persze, ha nem akarjuk, hogy kívülrõl csatlakozzanak a rendszerünkhöz, akkor ez nem kell.

    Lásd még: CHIP 2000. június 139-142, augusztus 127-128.

    Kell hozzá az mgetty csomag amit minden disztribució tartalmaz, a pppd ami szintén mindegyik disztriben megvan.

    De ha callback-re meg az "MSCHAP" azonosításra is szükség van, akkor az eredeti csomagot le kell cserélni: ftp://ftp.elte.hu/pub/linux/ppp-cbcp/

    Az "MSCHAP" autentikációhoz szükséges valamelyik "libdes" csomag (azt hiszem RedHat alá rpm csomagban is megvan): ftp://ftp.psy.uq.oz.au/pub/Crypto/DES/

    A szabványos "CHAP"-hoz ez nem szükséges, csak a microsoft által módosítotthoz ( ha a windows-okban -lástd: w95 és Plus csomag,w98 "DialUp Server"; NT RAS Server beállításai- aktiválva van a "Microsoft Windows Authentication", akkor csak "MSCHAP"-al engednek be, vagyis ha a linux a cliens akkor az "MSCHAP" nagyon hasznos. A callback-ról a kernel ppp moduljának is tudnia kell, erre a "/usr/src/linux/include/linux/ppp_defs.h" file-ban van hivatkozás: #define PPP_CBCP 0xc029 /* Callback Control Protocol */ Ha ez nincs meg le kell cserélni egy olyan header állományra ami tartalmaza, pl. a callback-os ppp csomag tartalmaz ilyen header file-t. Ez a probléma a 2.2.x-es kerneleket nem érinti, csak a régebbieket. Az "mgetty" beállitásai - Induljon az "/etc/inittab"-ból:

    mo:45:respawn:/usr/sbin/mgetty -a -D /dev/ttyS1

    tt a 4-es és 5-ös runlevelen indul (2. mezö) a "ttyS1"-en (com2). Szükség szerint ez módosítandó. Ezt SuSE-hez csináltam itt a default runlevel a 2-es, az xdm-es a 3-as (ugyanez a RedHat alatt emlékeim szerint a 3-as és az 5-ös). Vagyis az mgetty monitorozása nem indul a default runlevel-en, csak egy "init 4" vagy "init 5" parancs után. Ezek megegyeznek a 2-es illetve a 3-as runlevellel, az mgetty indítását kivéve. Tehát az "/etc/rc.d/init.d/rc2.d" és rc4.d directory-k tartalma megegyezik, az rc3.d és a rc5.d szintén ( a szimbolikus linkek másolására kiváló az MC, mert a relatív utvonal hivatkozásokat nem bolygatja). Azért ez a keverés, mert ha az mgetty nem látja a modemet, kegyetlen sokat tud hisztizni, és ez periodikusan képes elkövetni, de ha a modem állandóan be van kapcsolva, ez az egész cécó elhagyható, induljon az mgetty a default runlevelen oszt kész. Az "/etc/mgetty/mgetty.config"-ban:

    port ttyS1

    debug 8

    data-only y

    speed 115200

    A debug sor csak a belövéshez szükséges, ha már stabil elhagyható. (a "/var/log/mgetty.ttyS1"-be logol) Az "/etc/mgetty/login.config"-ban:

    /AutoPPP/ - a_ppp /usr/sbin/pppd

    Ezért jó választás az mgetty, mert képes automatikusan elindítani a pppd-t.

    A "/etc/ppp/options" legyen üres, mert ez minden soros portra vonatkozik, helyette portonként opciózunk.

    A "/etc/ppp/options.ttyS1" tartalma:

    10.1.1.1:10.1.1.2

    netmask 255.255.255.0

    -detach

    debug

    auth

    +pap

    #+chap

    #proxyarp

    login

    name pppserver

    ms-dns xxx.xxx.xxx.xxx

    modem

    lock

    crtscts

    callback server

    debug szintén elhagyható a belövés után. Az autentikációt a "+pap" vagy "+chap"-al választunk, a login azt modja meg, hogy a saját "/etc/passwd" adatbázisunkkal azonositunk, ez egyuttal azt is jelenti, hogy a behívónak mint valós user-nek léteznie kell a linuxon. Ha ez a megoldás nem szimpatikus, a login elhagyható, de ekkor ki kell tölteni az "/etc/ppp/pap-secrets" vagy a "/etc/ppp/chap-secrets" file-okat, a választott autentikációtól függöen. A "name" sor is ehhez kell a saját nevünket szabjuk meg. Ebben az esetben pl. pap autentikációt használva: Az "/etc/ppp/pap-secrets"-böl [A dadus user hopi2 jeszóval] :

    # client server secret IP addresses

    dadus pppserver hopi2 10.1.1.0/24

    pppserver dadus hopi2 10.1.1.0/24

    Az elöbbi "login"-os esetben pedig elég ennyi:

    * * "" 10.1.1.0/24

    Ha van itt több bejegyzés is, pl. a kimenö dialup-os internet elérés miatt, azoknak ezt meg kell elözniük, mivel a ppp sorban viszsgálja a file tartalmát, és az elsö egyezönél leáll. Az IP címnél az elsö a szerveré, a második a behívó kliensé. Amennyiben a belsö hálóról osztasz ki IP címet szükséges még a "proxyarp" opció is. Az "ms-dns"-el el lehet küldeni a wines klienseknek a dns szerver cimét. A "callback server" opciónak értelemszerüen csak akkor használható, ha a callback-os ppp-t használod. Az "/etc/ppp/callback-users"-ben:

    dadus *

    dadus2 1234567

    Bármilyen telefonszámon visszahívja a "dadus" usert, a dadus2-t csak a megszabott számon. Ha a sambával ki akarsz ajánlani eröforrásokat a ppp keresztül, az "interfaces" opciót kell használni, de vigyázat nem a network cimeket kell ide írni, hanem csak a linux hálózati címeit. Pl.az eth0 a 192.168.1.1-es címen van, és egy komplett C osztályu, a ppp0 meg a 10.1.1.1-en 255.255.255.240-es maszkkal:

    interfaces=192.168.1.1/24 10.1.1.1/28

    [Dadus]


    bind - name server

    Azt mondják, hogy érdemes egy Caching-only name servert beállítani a ppp-s gépen. Ekkor a name server ugyan nem tud semmit, de tanul. Így csökkenti a halózati terhelést.

    $rpm -q bind

    bind-4.9.6-6

    Hmmm... lehetne újabb is...Már csak azért is mert ezeken a régi bind-eken már sok lyukat találtak.

    /etc/named.boot

    ; ; Boot file for name server ;

    directory /var/named

    ; type domain source file

    cache . named.root

    /var/named/root.cache

    ; Ez a file egy vagy több DNS szerverre mutat.

    . 3600000 IN NS A.ROOT-SERVERS.NET.

    A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4

    ; persze itt fel lehet sorolni még sok nameservert is, szerintem kettõt legalább

    ; Az egyik a szolgáltatóé, a másik a belsõ hálón levõ name server.3600000: a bejegyzés élettartalma

    Tapasztalt emberek viszont azt mondják, hagyjuk a bind-et, legalábbis a PPP-s gépen.

    "squid is megcsinálja [névfeloldások cachelését], default-ba 5 child process-t indít erre:

    dns_children 5

    És a felszabaduló memóriát oda lehet adni az squid-nak, ami default-ba 8Mb :

    cache_mem 8 MB" [Dadus]

    Az rlogin, és az egyéb r parancsok, az ftp, és valamiért a telnet igénylik a számból nevet feloldást. Meg még nem is tudom ki. Ezért úgy tûnik a névfeloldás egy kritikus terület. Oda kell rá figyelni.

    Telnet helyett: SSH
    Linuxvilág: 2001 jan. 48-52, febr/márc. 62-66

    Szoval, hogyha a (telnet) kapcsolodas a lassu, akkor a tcpd ellenorzi a klienst, amihez DNS-t akar kerdezni, de az nem sikerul neki. es ki kell varnia a time-out ot. [NevemTeve]

    ($ telnet 192.168.1.5

    Trying 192.168.1.5...

    Connected to 192.168.1.5.

    Escape character is '^]'.

    hosszú szünet. )

    Megoldasok:

    1) DNS-szerver beallitasa (reverse mukodes is: IP->name)

    2) A szerveren a hosts file-ba felvenni a kliens gépeket, és prioritást adni a hosts filenak a DNS fölött: /etc/nsswitch.conf -ban: hosts: files dns (glibc2 eseten).

    3) A szerveren a /etc/hosts.allow file-ba felvenni a klienst ip-cimmel, vagy a lokalis halozat osszes gepet, pl: ALL:10.2.3.0/255.255.255.0

    bovebben: man 5 hosts_access [NevemTeve]

    Hallottam olyan esetrõl amikor a Win95-ös kliensek valami miatt elkezdték magukat keresgélni, persze a szolgáltató name servere sem tudta kideríteni kik is õk valójában (ami nem csoda) és mivel nem adták fel a keresést, és sok géprõl volt szó 1000USD (forintban persze) volt a telefonszámla. (Gondolom ha nem lett volna nekik megadva a szolgáltató name servere, akkor nem tudták volna hívni, ha meg a PPP-s gépen fut name server akkor az a negatív próbálkozásokat is cacheli, tehát nem próbálja meg többször megkeresni kint azt a címet amit egyszer már nem talált.) Fontosnak tûnik a jól kitöltött hosts file-ok használata. Ez esetben nem is kell tudniuk a PPP gép name serveréről, hiszen Web böngészés úgyis a Squid-on keresztül zajlik, a levelező szerver címét meg megadjuk a Windows hosts file-jában. Például a mail.elender.hu címe 212.108.200.67


    diald

    Most jó lenne automatikusan létrehozni a kapcsolatot.

    Slapic a 2.2-es CHIP-tárban 33-37 oldalakon errõl is ír. Ahogy kibogarásztam, a pppd képes erre ha meg tudjuk adni a saját és a távoli gép IP számát. Azt hiszem, ez nem jellemzõ mivel a szolgáltatók dinamikusan osztják ezt ki. Általában a diald-ot használják automatikus tárcsázásra. Ha kell felépíti a kapcsolatot, ha kell lebontja. A diald-hoz Linux halozatok 201.oldal. Kiegeszites: Azert, hogy a diald ne nyelje el az elso csomagot:

    echo 1 > /proc/sys/net/ipv4/ip_dynaddr

    Ha a connect /etc/ppp/ppp-on-dialer -t hasznaljuk akkor - logikusan - a telefonszámot direktben kell beirni az ATDT$Telefonszam helyett ATDT516000. Illetve ATDT0W516000.

    /etc/diald.conf

    mode ppp

    connect /etc/ppp/ppp-on-dialer

    device /dev/ttyS0

    speed 115200

    modem

    lock

    crtscts

    pppd-options name ppp-pc

    remotename myisp

    local 192.168.0.1

    remote 192.168.0.2

    dynamic

    defaultroute

    include /usr/lib/diald/standard.filter

    Ide másolom az egyik diald konfigom leídözési részletét (/etc/diald.conf), ez matávos területre készült. Hátha másoknak segítek vele, mert ezzel sokat tökölödtem, nagyon nehezen értettem meg a logikáját, hátha más is így van ezzel.

    #restrict

    restrict 07:50:00 17:59:00 1-5 * *

    impulse 780,60

    restrict 07:50:00 14:59:00 6-7 * *

    impulse 780,60

    restrict * * * * *

    impulse 300,3600,60

    accept any 120 any

    A legalsó sor azt mondja, hogy 120 mpercig nem vizsgál semmit, utána indulnak az idözítések: az elsö két sor szerint hétfötöl péntekig 7:50-töl 17:59-ig 780 mpercig engedi a kapcsolatot fennálni, majd erre jön egy 60 mperces türelmi idö, ha nincs forgalom bont, ha van az idözítést ujra indítja. A következö két sor ugyanez szombaton és vasárnap, csak más idöpontokkal. Az utolsó elötti két sor a kedvezményes idöszakra vonatkozik, a türelmi idö itt is 60 mperc, de az idözítés egy kicsit más. Az elsö 300 mpercet nézi, hogy van-e forgalom (lehet, hogy valaki csak a leveleit tölti le, és nem használja ki a kedvezményes idöszakot), ha van utána már 1 órára toljuk ki a leidözités értékét. [Dadus]

    A csomagtovabbitashoz kell az

    echo 1 > /proc/sys/net/ipv4/ip_forward

    Mas tarcsazó programok is vannak pl: masqdialer -kliens progi kell hozzá-


    squid

    Jó lenne, ha nem töltené le mindenki ugyanazt az oldalt - proxi szervert kell beüzemelni. Slapic a 2.2-es CHIP-tárban 104-107 oldalakon errõl is ír.

    Kolics.pdf helyett txt

    Az alap squid-ban nem szokott benne lenni az azonosítás támogatása, ezert ûjra kell fordítani. configure, make, make install.

    Az auth_modules-ben van az ncsa_auth ami ezt végzi. Jelszófile készítés a htpasswd programmal lehet. Lépjünk be a megfelelő könyvtárba, aztán:

    htpasswd -c ./ujfile user1

    htpasswd ./régifle user2

    /etc/squid.conf

    http_port 3128

    icp_port 3130

    authenticate_program /usr/bin/ncsa_auth /etc/squid/passwd

    error_directory /etc/squid/errors/Hungarian

    dns_children 5

    acl password proxy_auth user1 user2

    acl all src 0.0.0.0/0.0.0.0

    acl my src 192.168.0.0/255.255.0.0

    acl localhost src 127.0.0.1/255.255.255.255

    http_access allow localhost

    http_access allow password

    http_access deny all

    icp_access allow all

    cache_effective_user nobody

    cache_effective_group nobody

    cache_access_log /var/log/squid/access.log

    cache_log /var/log/squid/cache.log

    Megjegyzés:

    Természetesen a könyvtárak/file-ok neveire, és a futtató user/group valamint a könyvtárak tulajdonosainak beállításaira oda kell figyelni. Lehet squid felhasználóként is futtatni.

    Netscape:

    /edit/preferences/Advanced/Proxies/Manual/gép címe és a port kell. Squid 3128 mint fent is látszik.


    SQUID and WIN NT authentikáció

    Tisztelt Hölgyek és Urak.
    A Mandrake Linux kapcsán volt már egy kis szó a SQUID proxy szerver hazsnálatáról, de ott nem volt válasz az NT (SMB) alapú authentikációra sem. De mostanra ugy tűnik egy darabig eljutottam ennek megoldásában a tapaszatlatok:
    1. Mikor érdemes Proxy szervert használni:
    Ha megfelelően sok useered akar kinézni a netre, ez úgy 5-nél több akkor érdemes a proxyt beállítani, majd ez letölti az oldalt, és ha vki ugyanazt kéri, neki is kiadja NET hozzáfordulás nélkül. Ez sebbeségben és pénzben is jobb;)
    2. Mi van ha adott egy NT hálózat, és azt szeretnénk, ha az NT DOMAINben lene megadva a user, és ott azonosítanánk, hogy ki használhatja a proxyt.
    Erre a megoldás az smb_auth kieg. használata a SQUId-ben. Ez nem teljesen biztos hogy fennt van, ha nincs smb_auth nevű prg a gépen (find / -name smb_auth) akkor fordítani kell. Szerencsére az ujabb SUSE biztosan tartalmazza ezt.
    A azonosítás ugy történik, hogy az SMB_AUTH ellenörzi a PDC-n hogy van-e a usernek a
    //PDC/NETLOGON/PROXYAUTH filehoz olvasási joga ha van akkor már csak a ACL lista alapján dönti el mi lehet neki csinálni. Kipróbálás

    Az smb_auth -W DOMAIN -U PDC -d paranccs után bár nem ir ki semmit, meg kell adni ausernevet és a passwordot, a -d kapcsolo azt mondja hogy részletes listát adjon, az utolsó szó vagy ERR hiba , vagy OK ez király Pl:
    smb_auth -W GDOMAIN -U GPDC -d
    gamorra ***********
    Domain name: GDOMAIN
    Pass-through authentication: no
    Query address options: -U GPDC -R
    Domain controller IP address: 128.128.2.1
    Domain controller NETBIOS name: GPDC01
    Contents of //GPDC01/NETLOGON/proxyauth: allow
    OK

    Na ha ilyemit kapsz akkor jó.

    A SQUID-t meg az authentic program rovat kitöltésével lehet rábirni ennek használatára. authentic program -W GDOMAIN -U szerver cime itt tobb auth metodust is ki lehet valasztani, érdemes esetleg a /etc/passwd is beirni igy csak azok akik az NT, vagy magán a szerveren vannak, használhatják a proxyt.
    Persze az ACL (acces control list) helyes kitöltésével rá lehet birni a usereket a helyes viselkedésre(NO PORNO NO TORGYAN), de erről még nem tudok részletesen irni, Így inkább megkérném pl TAXIN kollégát irjon a ACL-kről, vagy éppen akinek kedve van. Engem itt az ALL USER megoldás érdekelne, nem szeretném a Usereket egyesével felsorolgatni, illetve, hogy nem tudtok-e olyan grafikus programot(KDE, NT) amivel az ACL lista GRAFIKUSAN szerkeszthető. Akinek csinálnia kellen ezt nincsen Unixos tapasztalata.
    Na Üdv
    Egyelőre ennyi
    GAMORRA


    mail

    www.ppke.hu/~pasztor/spam.html

    Miért használjunk Linux-os levelezőszervert ?

    Ez a levél egy segítség kérés, de egyben figyelmeztetés is azoknak, akik nagymennyiségű e-mail-t raktároznak merevlemezükön. Pénteken nagy adatvesztéssel járó lefagyás volt nálunk. A jelenség: Outlook Express-t használunk ( IE4.0-félét ). A szokásos tömörítést végezte a háttértárolón, mikor Dr Watson-nal ( NT figyelmeztetése ) lefagyott az Outlook Express. Újraindításkor láthatatlanná váltak az egyik mappa ( pont a hivatalos bejövő ) utóbbi 4 hónap méljei. Újbóli újraindítással ismét nekiállt tömöríteni, mire az eddíg csupán tartalmukat vesztett mélek végérvényesen eltüntek.[Varga Illés Levente]

    Az outlook express leveleit át tudod konvertálni unixos mailbox formátumra az oe2mbx progival. a freshmeat.net-en rákeresve megtalálod.[hORK]

    A csatolt filek meg kicsomagolhatók (IPM.Microsoft Mail) a www.fentun.com progijával

    "boot_device_not_accesible" és "nem találja a windows2000 root system32ntoskernel.exe"-t Ezt nekem egyszer magától hozta össze a rendszer. Úgy, hogy egyik percben még működött -- majdnem egy évig huzamosan ebben a konfigban ment a rendszer. Átbootolam win98-ba, ott matattam a CD-íróval, majd visszabootoltam volna W2-be és a fennt leírtak. Megpróbáltam a Repair Disk-el, aszonta a windows2000 root system32ntoskernel.exe nem található, vagy sérült. Pakoljak mindent újra. Újrapakoltam. Az összes mailem elveszett persze. A doksik csak azért nem, mert más partíción tároltam.

    Azóta mindig "kicsit rettegek" minden bootolásnál. Hátha valami misztikus ok miatt most megint...
    [sztyopka-remix]

    Víruskeresés:
    http://www.amavis.org/
    http://qmail-scanner.sourceforge.net/
    http://linux.index.hu/?site=cikkek/avp.html

    Levelezés telnet segítségével

    telnet mail.elender.hu 25
    HELO mail.elender.hu
    MAIL FROM:< innen@kuldom>
    RCPT TO:< ide@megy>
    DATA
    Subject: teszt
    Duma es egyebek - miert nem megy az outlook ?
    .
    QUIT

    Levelezés Netscape segítségével. A szolgáltató POP3 protokollt biztosít:

    Edit/Preferences/Mail &.../Identity

    email cím-et kell kitölteni valaki@freemail.c3.hu

    Edit/Preferences/Mail &.../Mail Servers

    incoming mail servers: freemail.c3.hu server type POP user name valaki

    outgoing mail server freemail.c3.hu user valaki

    Ez nem egy szerencsés megoldás ! Jobb lenne, ha a levélküldést a ppp gép oldaná meg, és nem a kliensek csatlakoznának közvetlenül a szolgáltató levelezõ gépéhez.

    Én levélküldésre az internet szolgáltató gépét használom, de levél fogadásra egy egyetemi hálón levő gépet. Ha valaki segít egy iskolai rendszert életben tartani, annak lehetősége van ilyen viszontszolgáltatásokra.

    Esetleg korul lehet nezni az inter7.com hazatajan, ahol sokfele cuccost lehet talalni amik egymashoz vannak integralva:
    vpopmail: virtualis domainek es mailboxok kezelese rendszer userhasznalat nelkul (pop3 mailbox anelkul hogy usert kene felvenni a gepre a delikvensnek, tobb domainen, stb.)
    sqwebmail: webes mail felulet, egesz kellemesnek tunik, SSL-t is enged hasznalni bejelentkezeshez (nem tudjak lesniffelni a passwordodet), qmail es vpopmail tamogatas.
    courier-imap: IMAP4 server qmail-hez es vpopmail-hez.
    qmailadmin: adminisztracios felulet qmail, vpopmail, sqwebmail, ezmlm-hez.
    ezmlm: ez nem ott van a valtozatossag kedveert, ez egy levlistakezelo qmail-hez.
    [Finrod]

    A Szabó féle könyvben van Exim leírás.

    qmail-t meg vpopmail-t hasznalom. Azzal semmi gondom, csak hogy van egy ket feature amit meg hianyolok (de mar csinaljak), meg hogy kis kavaras van a debian csomaggal, ami miatt meg nem megy hozza a qmailadmin (de dolgoznak rajta).
    Az sqwebmail az elvileg megy a debianos vpopmail-el is, de nem probaltam.
    A debianos csomagokat a kovetkezokepp tudod begyujteni:
    qmail:
    (A 14. CHIP tárban van róla leírás Nagy Balázs-tól julian7@kva.hu * 80-85. oldal)
    letoltod a mirrorrol a qmail-src es az ucspi-tcp-src csomagokat (az unstable-t nyugodtan).
    ezutan build-ucspi-tcp es build-qmail
    Fel is installalhatod a csomagokat nyugodtan. Kozben elolvasgatod a qmail doksit piciket, hogy legyen rola fogalmad, milyen kellemes mailszerver is ez.
    Beallitod a ket beallitandot: (lasd README.Debian)
    1. ~alias/.qmail-postmaster file valami ertelmeset tartalmazzon, vagy legyen postmaster usered.
    2. Ha pine-t akarsz hasznalni akkor a /etc/pine.conf-ban: sendmail-path=/usr/lib/sendmail -oem -oi -t
    (tevedesek elkerulese vegett ez nem a sendmail sendmail file-ja, tehat nehogy megprobald feleroltetni melle a sendmail-t, ha mar levakarta :)
    3. Elolvasod a /etc/init.d/qmail-t es amennyiben Maildir-t akarsz hasznalni, akkor annak megfeleloen cselekszel (es letrehozol minden usernek a homejaban a maildirmake paranccsal egy Maildir/ nevu maildirt, uj usereknek pedig automatikusan letrejon ez, ha az /usr/local/sbin/adduser.local fileba behelyezed a kovetkezo sorokat:

    if [ -d $4 ] ; then
    maildirmake $4/Maildir
    chown -R $2.$3 $4/Maildir
    chmod -R g-s $4/Maildir
    fi
    4. Korulnezel a /var/qmail/control konyvtarban hogy minden az aminek lennie kell (lasd doksi :)
    Ekkor van qmail-ed.
    vpopmail debian csomag: a http://www.sury.cz/Debian sitera elnezel. Ott rogton kapsz is egy szoveget hogy mit rakjal be a /etc/apt/sources.list-edbe. Ezutan mar csak valogatsz dselect-el (kezdetnek javaslom a libvpopmail-freecdb authentikacios modszert amikor kerdez a dselect).
    Na akkor sqwebmail. Ehhez mar nem ertek, olvasd a doksit.
    Qmailadmin: detto.
    Ezmlm-et erdemes meg felrakni. Kitalalod hogy kell legyartani? :)
    Felinstallalod az ezmlm-src csomagot. Utana build-ezmlm es kesz vagy (felinstallalod a gyartott csomagot).
    Hat tovabbi kerdesed van, akkor a kuldj emailt (robi@piros.zold.net)
    [Finrod]

    A tcpserver egy kulonallo process minden porton, amit demonkent kell inditani. Igy nem tudjak egyes service-ek semmi koze a tobbihez.
    Nezd meg a tcpserver man page-et hogy hogy kell vele olyan programot futtatni ami ohozza van irva (ergo a megfelelo parametereket varja el).
    Inditani legegyszerubb ugy ahogy a qmail-nek a smtp demonat inditja a qmail initscriptje, csak a pidfile-t se art kezelni (talan a -13 verzioszamu csomagban mar benne van az is).
    Az access control a /etc/tcp.xxxx.cdb fileokban talalhato beallitasok alapjan tortenik.
    Ez a file binaris adatbazis, a forrasadata a /etc/tcp.xxxx fileban talalhato.
    Qmail-nel van smtp.
    Ebbol most fejbol nem tudom hogy lehet kigeneralni a cdb filet, mivel qmail-nel ezt a qmail-newmr progi csinalja, de az c program, tehat nehezen modosithato valoszinuleg.
    man cdb es probalni irkalni valami megfelelot.

    [Finrod]

    A qmail cdb file-jának generálása a doksi alapján nálam így működik
    (/etc/rc.d/rc.inet2 vége):

    # Start the tcpserver HyperSuperServer
    echo "Starting tcprules..."
    /usr/local/bin/tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp
    echo "Starting tcpserver..."
    /usr/local/bin/tcpserver -H -l cooltech.hu -x /etc/tcp.smtp.cdb -v -u 1004 -g 101 \
    0 smtp /var/qmail/bin/qmail-smtpd 2>&1 | /var/qmail/bin/splogger smtpd 3 &

    [Traxy]

    A tcprules hivast nincs ertelme a server inditasa ele tenni, ugyanis nem tolti
    be a filet. A cdb file egy olyan hashelt adatbazis amiben tetszoleges rekordot
    nagyon gyorsan (ket file seek) meg tudsz talalni kulcs alapjan.

    Tehat a tcprules-t akkor kell lefuttatni amikor modositod a forrasfilejat.

    [Finrod]

    A /etc/tcp.smtp file tartalma:
    10.:allow,RELAYCLIENT=""

    A tcpserver futtatásakor a -H -l cegnev.domain paramétert nem írta a doksi,
    utólag tettem hozzá, mert miután a tcpservert elindítottam és be akartam
    telnet-elni a szerverre, máris tárcsázott a diald. A qmail hivatalos
    levlistáján akadtam erre a megoldásra.

    [Traxy]

    Két qmail-es link:
    http://www.agria.hu/qmail/top.html (jó kiindulási pont)
    http://www.i2k.net/~dougvw/mailqueue.html
    ez utóbbi egy kezdőknek is könnyen érthető step-by-step telepítési útmutató
    telefonos csatlakozás esetére, de van benne néhány hiányosság ill. hiba.

    1. a /var/qmail/control/virtualdomains fileba a ":alias-ppp" elé be kell tenni
    a saját domain nevedet (cegnev.hu), ill. egyéb aldomaineket, amik vannak a
    hálón (mail.cegnev.hu stb.)
    Ha ez nincs ott, akkor a cégen belüli levelezés is kikerül az internetre,
    aminek semmi értelme.
    [Traxi]

    A virtualdomains fileba csak akkor kell a sajat egyeb domainjeidet beletenni,
    ha nincsenek a locals fileban.

    Az rcpthosts fileban mindenkepp benne kell lenniuk.

    A ket szolgaltatohoz csatlakozassal vigyazz, mert csak az egyik fele fognak
    menni a csomagok amik kifele mennek. A masik csak a penzedet fogja fogyasztani.
    Mindez azert mert az az interfesz egy darab ip cimet tartalmaz, ahova sose
    cimzel altalaban packet-et, valamint a linux nem tud ket gateway-t hasznalni.
    Ahhoz mar router csomag kell. Ha pedig valakinek sikerult ket (kulonbozo)
    dialupra bekonfiguralni egy router csomagot, akkor tegye kozkinccse legyen
    szives a dolgot.

    Keszulunk egyebkent egy olyan szolgaltatast beinditani (Greydeer Networks Kft.)
    ami lehetove teszi az ETRN-szeru leveltovabbitast dinamikus ip-cimre is.

    [Finrod]

    2. a maildirsmtp, ami továbbítja a leveleket telefonos csatlakozáskor, igényli
    mind a fogadó, mind a saját (általában dinamikusan kiosztott) IP címünket. Az
    ip-up-ban először kideríti az IP címünket, aztán meghívja vele a maildirsmtp-t.

    Na ez nekem nem működött, úgyhogy átírtam. Az eredeti így néz ki:
    # find own hostname; dynamically assigned!
    # $4 is the assigned ipaddress, passed along by pppd
    ME=`host $4|head -1|cut -d" " -f2`
    echo "$ME" > $QCD/HOSTNAME
    Ezek után a $ME változót használta a maildirsmtp meghívásakor.

    Nekem ez így nem működött.

    A megoldás az, ha a maildirsmtp utolsó paramétereként egyszerűen "$4"-t írunk.
    Ez tartalmazza a kapott IP címet.

    Szerencsére nekem fix IP címem van, így ilyen gondom nincs, én arra használom a
    $4 paramétert, hogy teszteljem, hogy a levelező szolgáltatóhoz (EuroWeb)
    csatlakoztam e be és csak akkor küldje a leveleket. Ha a diald csatlakozik a
    Matavnethez (ami az általános internet szolgáltatónk), akkor értelem szerűen
    nem ez lesz az IP cím, így nem indul a maildirsmtp.
    [Traxy]

    fetchmail

    Levélletöltésre szolgáló kliens. Nem csak POP3 protokollt támogat. Működése:
    Beolvassa a config file-t
    Megnézi a távoli gép postaládáját
    Átadja a leveleket az SMTP szerverünknek.

    Egyfelhasználós postaláda esetén a ~/.fetchmail file:
    poll mail.elender.hu protocol POP3 user cukorfalat password jelszo
    A file-t csak mi olvashassuk !
    A fetchmail parancsra leszedi a levelet.

    Többfelhasználós postaláda esetén a .fetchmail file:
    Namost ez még 7 oldal a Linux hálózatok könyvben ...


    IP masquerading

    Letöltés

    Itt megint érdemes cHarley-ra támaszkodni.

    A magyar nyelvű ipchains-hogyan.tar.gz

    Az IP láncokról: CHIP 1999 április 154-156, május 188-189

    A 2.4-es kernel behozta az iptables-t. Hogyan ?

    Lássuk, a 2.2 kernel esetén mi van ?

    Kernel fordításkor: CONFIG_IP_ALWAYS_DEFRAG = yes
    Illetve tiltsuk le a nem első fragmentek kijutását. Ez az -f opció.
    Az ehhez a szabályhoz tartozó esemény DENY legyen.

    Egyes szolgáltatók nem csípik, ha valaki megosztja a modemet, és így többen neteznek egy kapcsolatról.

    Maszkoláshoz egy trükk.

    Sokáig szívtam azzal, hogy nem ment a TCP maszkolás a helyi szolgáltatóval... Már mindent megpróbáltam, aztán rájöttem, hogy tiltják azt a porttartományt, amit a maszkoláskor forrásportként beállít a gép. Végülis érthető: ők ezzel védik magukat, hogy csak egy végpont legyen a szeren.

    De a lényeg: a kernel forrásban át lehet állítani azt a porttartományt, amit használ a masq, és ezek után már minden működik, méghozzá úgy, hogy a szolgáltató erről mit sem tud (nem is tudhat).

    Az ip_masq.h fájlban (/usr/src/linux-2.x.x/include/net/) kell megkeresni a #define PORT_MASQ_BEGIN sort, és át kell állítani az értéket mondjuk (61000-ről) 8000-re. A 8000-es tartomány általánosan használt, szóval nem tudják kitiltani :)

    Kernelfordítás, és install! [bandi_]

    Általában jó szokott lenni a gyári kernel, de erre nem lehet garanciát vállalni.

    Érdemes a felhasználókat alaposan lekorlátozni. Az ipchains -P input ACCEPT meg forward MASQ stb persze lehetõvé teszi a kliens gépeknek a kijutást, de talán nem szerencsés az ekkora szabadság.

    Hat igen. Azota felnyomtak az egyik _vedtelen_ 2 eves szerveremet, igy azt mondom upgrade ezerrel, mindent letiltani ami nem nagyon kell.

    Ez az elso leiras olyan helyzetet mutat ahol kivulrol nem fenyeget semmi, de

    korlatozni akarjuk az user-eket.

    /sbin/ipchains -P input DENY - ez minden bejövõ kapcsolatot megtilt. Ezt egészítem ki engedélyekkel.

    ipchains -A input -s 192.168.2.100/32 -j ACCEPT - A ppp géptõl mindent.

    ipchains -A input -j ACCEPT -i lo - A ppp géptõl mindent.

    ipchains -A input -s ! 192.168.0.0/16 -j ACCEPT - Ez nem jó! Kívülrõl mindent.

    ipchains -A input -s 192.168.0.0/16 23 -d 192.168.2.100/32 -p tcp -j ACCEPT - Az intranet gépeit lehet telnetelni a PPP géprõl. Beengedi a választ.

    ipchains -A input -s 192.168.0.0/16 80 -d 192.168.2.100/32 -p tcp -j ACCEPT - A belsõ www szervereket el lehet érni a PPP géprõl.

    ipchains -A input -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 25 -p tcp -j ACCEPT - Belülrõl lehet levelet küldeni.

    ipchains -A input -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 110 -p tcp -j ACCEPT - És levelet letölteni POP3-al.

    ipchains -A input -s 192.168.0.0/16 -d 192.168.2.100/32 53 -p udp -j ACCEPT - Elérhetõ a PPP gép name servere. Ha kell egyáltalán name server rá.

    ipchains -A input -s 192.168.0.0/16 -d 192.168.2.100/32 3128 -p tcp -j ACCEPT - Elérhetõ a squid.

    ipchains -A input -s 192.168.0.0/16 -d 192.168.2.100/32 -p icmp -j ACCEPT - Meg lehet ping-elni a PPP gépet.

    ipchains -P forward DENY - Nem továbbít semmit.

    ipchains -A forward -s 192.168.2.100/255.255.255.255 -j MASQ - A PPP géprõl minden mehet. Kell ez ? Megnézem.

    ipchains -A forward -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 25 -p tcp -j MASQ - Belülrõl maszkolja a levelezést

    ipchains -A forward -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 110 -p tcp -j MASQ - és a POP3 letöltést.

    Torolni az egeszet: ipchains -F

    Lista: ipchains -L -n

    Ha kívulrol kell vedekezni :

    Ez meg nem az igazi. A gep valodi cime _nem_ 193.225.93.163 Ez abbol is lathato, hogy az a gep pingelheto.

    ipchains -F input - torol

    ipchains -P input DENY - bejovo tiltva

    ipchains -A input -s 193.225.93.163/32 -j ACCEPT - onmaga elfogadva

    ipchains -A input -j ACCEPT -i lo - onmaga elfogadva

    ipchains -A input -s 192.168.0.0/16 -j ACCEPT - belulrol mindent

    #EZT NE# ipchains -A input -s 193.225.93.0/24 -p icmp -j ACCEPT - kintrol ping engedelyezese

    #ESETLEG# ipchains -A input -s 193.225.93.0/24 23 -p tcp -j ACCEPT - innen lehet telnetelni

    #EZT NE# ipchains -A input -s 193.225.93.0/24 -d 193.225.93.163/32 23 -p tcp -j ACCEPT - ide lehet telnetelni !! ssh !!

    ipchains -A input -s 193.225.93.1/32 53 -p udp -j ACCEPT - name serverrol fogad

    ipchains -A input -s 0.0.0.0/0 -d 193.225.93.163/32 143 -p tcp -j ACCEPT - IMAP elerheto - ha kell levelezoszerver a gepre. POP3 eseten a 110-es portot kell megengedni. Ha interneten levo levelezoszervert hasznalunk akkor ez nem kell.

    ipchains -A input -s 0.0.0.0/0 -d 193.225.93.163/32 25 -p tcp -j ACCEPT - SMTP itteni fele elerheto

    ipchains -A input -s 0.0.0.0/0 80 -d 193.225.93.163/32 -p tcp -j ACCEPT - kulso web szerver elerheto

    ipchains -A input -s 0.0.0.0/0 110 -d 193.225.93.163/32 -p tcp -j ACCEPT - kulso levelezo szerver POP3-al elerheto

    ipchains -A input -s 0.0.0.0/0 25 -d 193.225.93.163/32 -p tcp -j ACCEPT - kulso SMTP elerheto

    ipchains -A input -s 0.0.0.0/0 21 -d 193.225.93.163/32 -p tcp -j ACCEPT - ftp beszelgetes kulso geppel

    ipchains -A input -s 0.0.0.0/0 20 -d 193.225.93.163/32 -p tcp -j ACCEPT - ftp adat fogadas

    # Be van toltve az ip_masq_ftp modul ? [Pingvin]

    # modprobe ip_masq_ftp

    #Ha nincs (a squid-on keresztül akarunk ellenőrizgetni) :
    # ftp > ls
    #435 Can't build data connections: Illegal seek.

    # Viszont, ha a netscape-et vagy az mc-t használjuk nem a 20-as, hanem egy
    # elöre meg nem határozott portot használunk, azaz a távoli gép összes
    # portjáról induló kérést engedélyezni kell.

    # Persze a modulokat a kernelbe be is kell fordítani. De ez OK szokott lenni.

    # Fontos modulok még az irc, quake. Ha valaki irc-zik vagy quake szerveren játszik.

    ipchains -P forward DENY - tovabbitas tiltva

    ipchains -A forward -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 -j MASQ - bentrol minden szabad

    Az elso peldaban kintrol, a masodikban bentrol volt minden szabad. Ezeket kell osszekombinalni, de gondolom igy jobban at lehetett tekinteni.

    Lássuk, a 2.4 kernel esetén mi van ?

    ----------- minta ---------
    #!/bin/bash

    # START - delete, deny

    iptables -F

    iptables -X newblock
    iptables -X terblock
    iptables -X trablock

    iptables -A INPUT -j DROP
    iptables -A OUTPUT -j DROP
    iptables -A FORWARD -j DROP

    # MASQUERADE : eth0 - inTERnet

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    # DEFAULT - deny

    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD ACCEPT

    # NEW

    iptables -N newblock
    iptables -N terblock
    iptables -N trablock

    # INPUT, OUTPUT -> newblock

    iptables -A INPUT -j newblock
    iptables -A OUTPUT -j newblock
    iptables -A FORWARD -j ACCEPT

    # SORT

    # eth0 inTERnet

    iptables -A newblock -o eth0 -j terblock
    iptables -A newblock -i eth0 -j terblock

    iptables -A newblock -i lo -j ACCEPT
    iptables -A newblock -o lo -j ACCEPT

    # eth1 inTRAnet

    iptables -A newblock -i eth1 -j trablock
    iptables -A newblock -o eth1 -j trablock

    ############# PORTS START #################

    # INTERNET eth0 #
    # TCP

    iptables -A terblock -d 192.168.0.0/255.255.0.0 -j DROP
    iptables -A terblock -s 192.168.0.0/255.255.0.0 -j DROP

    # input tcp
    iptables -A terblock -i eth0 -p tcp --destination-port 1024:65535 -j ACCEPT
    #
    iptables -A terblock -i eth0 -p tcp --destination-port 20 -j ACCEPT
    iptables -A terblock -i eth0 -p tcp --destination-port 21 -j ACCEPT
    iptables -A terblock -i eth0 -p tcp --destination-port 22 -j ACCEPT
    iptables -A terblock -i eth0 -p tcp --destination-port 25 -j ACCEPT
    iptables -A terblock -i eth0 -p tcp --destination-port 80 -j ACCEPT
    iptables -A terblock -i eth0 -p tcp --destination-port 143 -j ACCEPT
    # output tcp
    iptables -A terblock -o eth0 -p tcp --source-port 1024:65535 -j ACCEPT
    #
    iptables -A terblock -o eth0 -p tcp --source-port 20 -j ACCEPT
    iptables -A terblock -o eth0 -p tcp --source-port 21 -j ACCEPT
    iptables -A terblock -o eth0 -p tcp --source-port 22 -j ACCEPT
    iptables -A terblock -o eth0 -p tcp --source-port 25 -j ACCEPT
    iptables -A terblock -o eth0 -p tcp --source-port 80 -j ACCEPT
    iptables -A terblock -o eth0 -p tcp --source-port 143 -j ACCEPT

    # UDP
    # input udp
    iptables -A terblock -i eth0 -p udp --destination-port 1024:65535 -j ACCEPT
    # output udp
    iptables -A terblock -o eth0 -p udp --source-port 1024:65535 -j ACCEPT

    # DROP

    iptables -A terblock -j DROP

    # INTRANET eth1 #
    # TCP

    ############ SaMBa NO !!! ##############

    # iptables -A trablock -d ! 192.168.1.0/255.255.255.0 -j DROP
    iptables -A trablock -s ! 192.168.1.0/255.255.255.0 -j DROP

    # input tcp
    iptables -A trablock -i eth1 -p tcp --destination-port 1024:65535 -j ACCEPT
    #
    iptables -A trablock -i eth1 -p tcp --destination-port 20 -j ACCEPT
    iptables -A trablock -i eth1 -p tcp --destination-port 21 -j ACCEPT
    iptables -A trablock -i eth1 -p tcp --destination-port 22 -j ACCEPT
    iptables -A trablock -i eth1 -p tcp --destination-port 25 -j ACCEPT
    iptables -A trablock -i eth1 -p tcp --destination-port 80 -j ACCEPT
    iptables -A trablock -i eth1 -p tcp --destination-port 143 -j ACCEPT
    # output tcp
    iptables -A trablock -o eth1 -p tcp --source-port 1024:65535 -j ACCEPT
    #
    iptables -A trablock -o eth1 -p tcp --source-port 20 -j ACCEPT
    iptables -A trablock -o eth1 -p tcp --source-port 21 -j ACCEPT
    iptables -A trablock -o eth1 -p tcp --source-port 22 -j ACCEPT
    iptables -A trablock -o eth1 -p tcp --source-port 25 -j ACCEPT
    iptables -A trablock -o eth1 -p tcp --source-port 80 -j ACCEPT
    iptables -A trablock -o eth1 -p tcp --source-port 143 -j ACCEPT

    # UDP
    # input udp
    iptables -A trablock -i eth1 -p udp --destination-port 1024:65535 -j ACCEPT
    # output tcp
    iptables -A trablock -o eth1 -p udp --source-port 1024:65535 -j ACCEPT

    # DROP

    iptables -A trablock -j DROP


    ############# PORTS STOP #################

    # END clear

    iptables -D INPUT -j DROP
    iptables -D OUTPUT -j DROP
    iptables -D FORWARD -j DROP

    # List

    iptables -n -L

    ----------- minta vége -------

    Tesztelés, biztonság :


    http://wigwam.sztaki.hu/

    Kattints ide ha le akarod tolteni a Linux-os részét [2000 márc 28]

    A gépek közötti beszélgetésről:
    a kliens küld egy SYN szinkronizációs csomagot
    a szerver küld egy SYN-ACK szinkronizációs + nyugtázás csomagot
    a kliens küld egy ACK csomagot.
    és már mehet is a csevely.
    a kliens küld egy ACK és FIN csomagot
    amit a szerver nyugtáz egy ACK csomaggal,
    és vége a kapcsolatnak.

    Az aktuális kapcsolatokról tájékozódhatunk:
    $ netstat -ta
    Active Internet connections (servers and established)
    Proto Recv-Q Send-Q Local Address Foreign Address State
    tcp 0 0 helyi.gep.hu:2915 tavoli.gep.hu:telnet ESTABLISHED
    tcp 0 0 *:www *:* LISTEN
    Látható, hogy betelneteltünk egy távoli gépre, illetve a 80-as www porton várjuk a webes kéréseket. A t-TCP, u-UDP, w-RAW, x-UNIX kapcsolatokat mutat. Igen sokoldalú program. Érdemes megismerkedni vele.

    RedHat 6.1 (4 CD-s) rendszer esetén kell a SuSE 6.3 első CD-ről az alien
    A Debian 2.1-ről két progi, amikből az rpm-et kell csinálni
    alien -r libpcap0_0.4a6-2.deb
    alien -r nmap_1.51-2.deb
    aztán telepíteni.

    Portpásztázás során küldhetünk SYS csomagokat. Ekkor, ha nyitott portot találunk egy SYN-ACK csomagot kapunk vissza.
    Ha FIN csomagot küldünk azoktól a portoktól kapunk egy RST csomagot amik mögött nem fut szolgáltatás.
    Nézzük meg a nyitott portokat :

    # nmap 192.168.1.2

    Starting nmap V. 1.51 by Fyodor (fyodor@dhp.com, www.dhp.com/~fyodor/nmap/)
    Open ports on rendez2.aesop (192.168.1.2):
    Port Number Protocol Service
    23 tcp telnet
    135 tcp unknown
    139 tcp netbios-ssn

    és már látszik is, hogy a vizsgált NT-re telnet démon van telepítve.

    Tételezzük fel, hogy egy Linux-ot vizsgálunk, és nyitva találjuk az 53-as portot
    Ki lehet mögötte ?
    #fuser -n tcp 53
    53/tcp: 497

    Már ismerjük a program azonosítóját, nézzük meg ki is az:

    #ps aux | grep 497
    root 497 0.0 0.5 2264 176 ? S May06 0.00 named

    Tehát a name server.

    Jó program még a SATAN. Security Administrator's Tool for Analyzing Networks esetleg Security Analysis Tool for Auditing Networks ? Ezekkel a nevekkel mindig baj van, különösen ha a névadó is elfelejtette mit jelent. Lásd az fvwm ablakkezelőt.

    A sniffit segítségével lehallgatható a hálózati forgalom.


    Az /etc/services-ben fel vannak sorolva a megfelelõ port számok. Ha IMAP-et akarunk POP3 helyett használni, akkor a 143-as port kell a 110-es helyett. Kell a pop-99.11.2-1.i386.rpm csomag (SuSE 6.3), vagy az imap 4.5-3 (RedHat 6.0), UPGRADE !!! valamint engedelyezni kell az /etc/inetd.conf -ban ami kell.

    De ami nem kell azt tiltsuk le !!!!!!

    inetd helyett xinetd terjed
    Linuxvilág 2001 febr/márc: 67-69

    A Linuxrol meg annyit, hogy kis odafigyelessel sokat lehet javitani a biztonsagan. Alapveto dolog, hogy nem hagy olyan szolgaltatast futni a gepen az ember, amire nincs szukseg: ha egy TCP porton nincs senki, akkor nehezebb rajta bejonni, mintha egy hasznalaton kivuli, igy alkalmasint bekonfiguralatlan szolgaltatas valaszol rajta...
    Eloszor is nezzunk bele a /etc/rc.d-be, milyen modszerrel inditja az egyes runlevelek futo dolgait az adott disztribucio. En inkabb szeretem (es hasznalom) a System V felet, ezert azt irom le, mashol lehet, hogy maskepp kell. Ja, es van szep X-es config utility - en inkabbazt irom le, ahogy tutti mukodik...
    Tehat a /etc/rc.d/init.d-ben vannak a telepitett cuccok indito-leallito scriptjei, ezeket inditja el az rc. konyvtarakban talalhato linkek alapjan a kernel, mikor az adott runlevelt inicializalja. A K nevu rc. link ramutat az init.d-ben a hozza tartozo scriptre, amit egy "stop" parameterrel fog elinditani, es leallitja az illeto szolgaltatast, majd a S linkek altal mutatott scripteket egy "start" parameterrel - mindezt a szamok sorrendjeben. A feladvany egyszeru: az S kezdobetut kell kis beture cserelni (a Linux case sensitive !), igy az adott szolgaltatas daemonja nem fog elindulni. A K-t nem kell bantani - legfeljebb olyat akar leallitani, ami nem is indult el. A torles azert nem szerencses, mert akkor macerasabb a visszallitas, ha egyszer megis kell.
    Masik hasonlo dolog a /etc/inetd.conf. Ebben is szolgaltatasok vannak. Ha pl. erkezik egy kerelem a telnet (23-as, lasd meg /etc/services) portra, akkor azt elkapja az Internet daemon, akinek a configja az inetd.conf. Ebben megkeresi (szinten /etc/services alapjan), hogy erre a portra neki van-e valakije, akit raindithatna, majd nagy orommel konstatlja, hogy van, meghozza:
    telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd Vagyis a telnet porton egy TCP kapcsolatot kerelmezo szamara elinditja a tcpd nevu programot azzal a parameterrel, hogy in.telnetd. (Kozben van meg socket tipus, protocol, flagek es a felhasznalo, akinek a jogaival ezt teszi.) Ha ezt a sort kikommentezzuk ('#' a sor elejere, majd inet daemon restart: /etc/rc.d/init.d/inet restart), akkor a telnet keresekre a gep tobbe nem fog valaszolni, mert az inetd elutasitja a 23-as porton bejovo kereseket. Ha a sor elejen a telnet szot a /etc/services-ben megtalalhato masra csereljuk ki (vigyazat, portszamot kozvetlenul nem irhatunk ide, mindenkeppen kell a /etc/services!), akkor akar mas porton lehet betelnetelni a gepbe. Igazabol azonban nem ez a modja, ha a nyilt Internet fele egy portot akarunk szabadon hagyni magunknak - erre inkabb az SSH valo, de errol majd a legkozelebb.
    Ertelemszeruen a /etc/inetd.conf tobbi bejegyzese is ertelemszeruen mukodik, es hasonloan kommentezheto, modosithato tetszes szerint. De azert esszel es atgondolva, mit is teszunk veluk... :-)
    Kovetkezo lecke: a csomagszuro tuzfal (es talan az IP maszkolas is bele fog ferni...)
    [Epoilacoda]


    Apróságok

    A route tábla

    /etc/sysconfig/network (RedHat) GETAWAY beállításai üresek legyenek.

    [ppp]# /sbin/route -n

    Kernel IP routing table

    Destination Gateway Genmask Flags Metric Ref Use Iface

    192.168.0.2 0.0.0.0 255.255.255.255 UH 1 0 2 sl0

    192.168.1.0 192.168.2.1 255.255.255.0 UG 0 0 24 eth1

    192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 1 eth1

    127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 7 lo

    0.0.0.0 0.0.0.0 0.0.0.0 UG 0 0 58 sl0

    Naplózás

    File: syslog.conf

    # Log all kernel messages to the console.

    # Logging much else clutters up the screen.

    *.* /var/log/syslog

    ipchains -A input -l
    és ha be van állítva a fenti naplózás, akkor minden külsö próbálkozás a syslog file-ba gyülik.

    iptraf ?
    Szines, szagos, majdnem jo (halokartya-azonosito alapjan szamol byte-okat, vagy IP alapjan general csomaglog-ot (azaz utolag egy xferstats.proftpd-stilusu scripttel lehet belole olyan format gyurni, amit te szeretnel))...
    [Alen]

    Távoli adminisztrálás

    Webmin program - Chip 2000 dec. 156-158. oldal


    Intranet szerver - SaMBa - Munkacsoport

    Leiras: usingsamba.pdf [O'Reilly - állatos könyvek - 411 oldal]
    A Kossuth kiadó lefordította, és kinyomtatta samba néven. Én 2400-ért vettem, de vannak akik állítják, hogy 4500-ba kerül.
    sambawin.pdf [Mohari András (GDF) - 74 oldal] fellelhető:

    www.linux-perfect.hu/letolt.html

    Telepítsünk egy gyári SaMBát. Ezután töltsük le a SaMBa forrást.
    ./configure
    make
    make install
    Ezután szerkesszük át az /etc/rc.d/init.d/smb vagy samba file-t

    A start-ba kell egy:
    export TMPDIR=/tmp
    sor, mert a /root/tmp-be akarnak egyes SaMBák írni, ami ugye nem sikerül.
    Jelenség: user nem tud az
    smbclient -L gépneve -U userneve
    listát kapni. Meg az elérési utakat is át kell írni. Pl:
    daemon /usr/local/samba/bin/smbd -D

    Keressük meg az eredeti samba file-okat, töröljük és linkeljük be a helyükre az /usr/local/samba/bin meg etc cuccot.

    Tapasztalataim szerint az SMB (Microsoft) nem egy bombabiztos rendszer.
    A munkacsoportban lehet olyan gép is, amely megoszt könyvtárakat, mégsem jelenik meg a Browse(tallózás) dobozban. Ezekre a gépekre ennek ellenére is megpróbálhatunk rácsatlakozni.[Hálózatkezelési segédlet - Microsoft Press]
    Vegyük észre a megpróbálhatunk kitételt.
    Szerintem ne használjuk programok tárolására, mert az user ideges lesz, ha nem indulnak a programjai. Az adatokat legrosszabb esetben át lehet floppy-zni.
    Célszerűnek tűnik egy Linux-os SaMBa szervert üzemeltetni és a kliensekre Windows Commandert rakni. Ekkor ftp-vel is elérhetők az adatok. (A Linux-on fusson a wu-ftpd)
    Ha a Linux-on mindent jól megcsináltunk, és mégsem működik a rendszer akkor lehet, hogy a windows kliens bénázik. Pl egy Win3.11 azt irkássza ki nekem, hogy kb:

    A szerver nem képes a megosztásokat kilistázni.

    Mielőtt file servert készítünk, nem árt megnézni mit tud a winyó:

    # /sbin/hdparm -t /dev/hda
    /dev/hda:
    Timing buffered disk reads: 32 MB in 7.02 seconds = 4.56 MB/sec

    Ez gáz. Lassú mint a fene.

    Adott seagate u10 egyébként udma66-os vinyo de most ata33-as buszon.
    mérés: hdparm -t /dev/hda
    Default: 4.23 MBbps
    hdpram -i 1 /dev/hda (32 bites mód be): 7.88 MBps
    hdparm -i 1 -d1 /dev/hda (+ dma mód): 9.32 MBps
    hdparm -i 1 -d 1 -X 66 /dev/hda (+udma mod be, habár a csipszet I440BX): 16.62 MBps
    [netizen]

    Ha már a vinyóról van szó:
    Az fdisk segitségével érdemes kiírni a particiós táblát.
    Komplett partició lementése (floppyval próbáld ki először) :
    cat /dev/fd0 | gzip > /mnt/tavoligep/floppyment
    Particiós tábla felderítő progi: gpart

    A 2. alhálózaton 192.168.2.x van egy linux-os gép amely kapcsolatot biztosít a külvilággal. A neve legyen ppp.felugy.aeszom 192.168.2.100.

    Adott két alhálózat, amelyeket egy linux-os router köt össze. (A rendszer idiótaságai részben fizikai (felhasználók elhelyezkedése), részben történelmi okokra vezethetõek vissza)

    Látható, hogy a PPP gépen két hálózati eszköz van. Tehát a tűzfalnak két oldala van. Ha lenne benne egy második hálózati kártya, akkor arra rá lehetne csatlakoztatni egy www, ftp szervert. Ezt a harmadik hálózati darabot, ami kívülről is és belülről is elérhető hívják demilitarizált zónának. Persze mindez két tűzfal géppel helyettesíthető.

    Képzeljünk el egy:
    Web - Egyetemi hálózat - Tanszéki hálózat
    felállást. Panasz: időnként nem működik az Internet.
    Kicsit automatizálni kellene a hibakeresést, úgy, hogy a felhasználók lássák, nem a Linux tűzfal a sáros. Ez a módszer nem a szakma csúcsa, de a képzetlen felhasználók bizalmát meg lehet vele nyerni.
    A windows hosts file-ba vegyük fel a következő gépeket:
    192.168.1.65 teszt1 # tanszéki web szerver
    x.x.x.x teszt2 # megbízható egyetemi web szerver
    y.y.y.y teszt3 # megbízható web szerver (ibm, sun)
    Így a felhasználó a web böngészőjével be tudja azonosítani a hiba helyét, illetve azt is meg tudja nézni, hogy az egyetemi routert vagy a name szervert javítgatják-e.

    A két alhálózat közötti router gépen engedélyezni kell a csomagtovábbítást
    echo 1 >/proc/sys/net/ipv4/ip_forward

    A két alhálózat gépei ugyanabba a munkacsoportba tartozzanak. A router legyen a Master Browser és a wins szerver. Ha NT szervert telepítünk felismeri, hogy már van egy Master Browser, és Backup Browser lesz belöle. [Elender szervíz]

    Az alapértelmezett átjáró a router gép legyen. Azaz 192.168.1.1 illetve a második alhálózaton 192.168.2.1

    Van egy Samba NetBIOS forwarder program. A http://malt-whisky.student.utwente.nl/software.html címen elérhető.
    The NetBIOS forwarder is an extension for Samba, which enables 'routing' of netbios packets through a masquerading firewall. With this patch it's possible to let backend computers take part in the 'Network Neighbourhood'. You can even share your data on your backend computer with all hosts on your normal LAN!

    Ha biztosak akarunk lenni, hogy egy WinNT sem fog bekavarni a böngészölistába, állítsuk be a
    HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Browser/Parameters
    alatti MaintainServerList változót 0-nak. Szöveg tipus.
    Tartomány esetén IsDomainMaster változó legyen 0.
    Így nem próbálnak Browser gépek lenni.

    IP címek kiosztása

    Először is nevet meg IP számot kell adni az intraneten levo gépeknek. A választható tartományok:

    A osztály - 10.0.0.0-10.255.255.255
    B osztály - 172.16.0.0-172.31.255.255
    C osztály - 192.168.0.0-192.168.255.255

    A 192.168.x.x -et illik választani.

    A gépeknek lehet egyenként is nevet adni, de ez sokáig tart és nehezen változtatható.

    Megoldást a bootp vagy a dhcp jelent.
    A M$ a WinNT szerverhez ad dhcp szervert.

    A bootp segítségével statikus címek rendelhetők a gépekhez, dhcp-vel pedig dinamikus, ami akkor jelent elonyt, ha modil gépek csatlakoznak a halozathoz.

    Megvalósítás R6/5.x esetén:
    Leírás a Linux - lépésről lépésre 200-203. oldal, illetve a CHIPtár LINUX 2.2 70-72.oldal.

    /etc/bootptab file

    #
    .global:gw=192.168.1.1:ds=193.225.93.1:hn:sm=255.255.255.0:dn=aesop:ht=ether:to=-3600:
    #
    sopron:ip=192.168.1.2:ha=0x0080C82EFCC8:tc=.global:
    teszt2:ip=192.168.1.1:ha=0x0000E844A6EE:tc=.global:
    teszt3:ip=193.225.93.124:ha=0x0000C0CEFAAA:tc=.global:
    #
    engedelyezni kell az /etc/inetd.conf -ban (inditas az inetd-vel) es az /etc/services -ben, illetve az rcx.d -kböl indit.

    Megvalósítás R6/6.x esetén:

    R6/6.0 - dhcp-2.0-3
    A bootp és a dhcp összevonása

    /rc.d/init.d/dhcpd
    daemon /usr/sbin/dhcpd -cf /etc/dhcpd.conf eth1
    # Vegyük észre, hogy a beállítás egy adott hálózati kártyára vonatkozik !

    /etc/dhcpd.conf

    #
    shared-network VALAMI {
    subnet 192.168.1.0 netmask 255.255.255.0 {
    default-lease-time 600;
    max-lease-time 7200;
    option subnet-mask 255.255.255.0;
    option broadcast-address 192.168.1.255;
    option routers 192.168.1.1;
    option domain-name-servers 193.225.93.1;
    option domain-name "aesop";
    }
    }

    host sopron{
    hardware ethernet 00:80:C8:2E:FC:C8;
    fixed-address 192.168.1.2;
    }
    #

    DNS - WINS szerver

    Mostmár minden gép ismeri önmagát, ismerjen meg másokat is !

    A caching only DNS szerver készítéséről fentebb már volt szó. Nézzük meg a fenti rajzhoz tartozó DNS szervert. A szerver lehet a router gépen, de máshol is. A Win-es gépeken engedélyezzük a name server használatát.

    Horváth Zsolt - Minek nevezzelek? CHIP 2000. november. 151-154. oldal.

    /etc/named.boot
    ; Sample /etc/named.boot file
    directory /var/named
    ; erről már volt szó:
    cache . root.cache
    primary rendez.aeszom named.hosts
    primary 0.0.127.in-addr.arpa named.local
    primary 168.192.in-addr.arpa named.rev
    stub felugy.aeszom 192.168.2.1 named.hosts2

    /var/named/root.cache
    ;
    ;Itt lehet name servereket felsorolni. Jelenleg ki van kommentezve
    ;
    ; last update: Feb 28, 1997
    ; related version of root zone: 1997022800
    ;
    ;
    ; formerly NS.INTERNIC.NET
    ;
    ;. 3600000 IN NS A.ROOT-SERVERS.NET.
    ;A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4
    ;

    /var/named/named.hosts
    ; /var/named/named.hosts
    ;
    @ IN SOA szolg1.rendez.aeszom. root.szolg1.rendez.aeszom. (
    16
    86400
    3600
    3600000
    604800
    )
    IN NS szolg1.rendez.aeszom
    IN MX 10 szolg1.rendez.aeszom
    localhost. IN A 127.0.0.1
    fire IN A 192.168.1.1
    titkarsag IN A 192.168.1.2
    szolg1 IN A 192.168.1.5
    ; End of File

    /var/named/named.local
    ; /var/named/named.local
    ;
    @ IN SOA localhost. root.localhost. (
    1
    360000
    3600
    3600000
    604800
    )
    IN NS szolg1.rendez.aeszom.
    1 IN PTR localhost.
    ;
    ; End of File

    /var/named/named.rev
    ; /var/named/named.rev
    @ IN SOA szolg1.rendez.aeszom. (
    16
    86400
    3600
    3600000
    604800
    )
    IN NS szolg1.rendez.aeszom.
    5.1 IN PTR szolg1.rendez.aeszom.
    2.1 IN PTR titkarsag.rendez.aeszom.
    1.1 IN PTR fire.rendez.aeszom.
    100.2 IN PTR ppp.felugy.aeszom.
    ; End of File

    /var/named/named.hosts2
    ; /var/named/named.hosts2
    ;
    @ IN SOA szolg1.rendez.aeszom. root.szolg1.rendez.aeszom. (
    16
    86400
    3600
    3600000
    604800
    )
    IN NS szolg1.rendez.aeszom
    IN MX 10 szolg1.rendez.aeszom
    ;
    fire IN A 192.168.2.1
    ppp IN A 192.168.2.100
    ; End of File

    Most akkor jöjjenek a NetBIOS nevek. Ha nem akarunk DNS szervert építeni akkor a hosts.sam file alapján minden gépen kell készíteni egy hosts file-t.

    A M$ az NT szerver-hez ad csak DNS szervert, de más megvalósítások elérhetők munkaállomáson is.

    Mint az koztudomású a DOS gépek kis hálózatára kifejlesztett nem routolhato szerencsétlenséget együtt kell használni a TCP/IP-vel.
    Eredetileg:
    -ethernet-NetBEUI-NetBIOS
    Jelenleg:
    -ethernet-IP-TCP-NetBIOS(pontosabban NetBT NetBIOS emulátor)
    Tehát ne telepítsük a Win-en a NetB***-t mert már nem kell.
    Mivel TCP/IP-n fut routolható. Csak az üzenetszórást kell? átjuttatni a router-en.

    A NetBIOS név keresés sorrendje:
    Saját puffer- beállított WINS szerver - nem routolható csomag segítségével WINS szerver keresés - lmhosts file - hosts file - DNS szerver.

    A M$ a WinNT szerverhez ad WINS szervert.

    Linux-os megvalósítás:
    A SaMBa-hoz tartozik egy nmbd nevű program. Ezt kell nmbd -H /etc/lmhosts-ként indítani.

    /etc/sbm.conf
    wins support = yes

    /etc/lmhosts
    Ezt a file-t NEM használja az nmbd hogy válaszoljon a név kérdésre. CSAK a lokális szerveren biztosít névfeloldást. Ami elmarad az elvárható minimumtól.

    #
    # Sample Samba lmhosts file.
    #
    192.9.200.1 TESTPC
    192.9.200.20 NTSERVER#20
    192.9.200.21 SAMBASERVER
    #

    Valami keveset mégiscsak tud. Erről a
    nmblookup -U winserver -R NetBIOS_név
    tájékoztat. Illetve használható még az
    smbclient -L NetBIOS_név -R holkeresse
    is ahol -R wins, -R lmhosts stb állhat.
    nmblookup -M '-'
    pedig sok minden mellett kiírja a master browserek listáját. Érdemes tanulmányozni ennek a két programnak a lehetségeit. Az smbclient-tel ftp szerűen lehet elérni a win-es gépek megosztásait, az smbmount-tal pedig fel lehet azokat mountolni.
    Hiba:
    smb: > get read_socket_data: recv failure for 4. Error = Connection reset by peer
    Broken pipe
    Kikapcsolták a Win-es gépet :-)

    A SaMBa segítségével az így felcsatolt megosztásokat meg lehet osztani, mintha csak egy Linux-os erőforrás lenne.

    Ha a SaMBa a /root/tmp -be akar irni, akkor az inditóscriptbe kell egy export TMPDIR=/tmp sor.

    A M$ SMB alapvetően két hálózati modellel dolgozik:

    -Munkacsoport workgroup :
    Egyenrangú gépek - minden megosztást gépenként kell beállítani.
    A böngészést a Master Browser és a Backup Browser intézi. NT-nél 32 gépenként Win9x-nél 16 gépenként lép be újabb BB. Az egyes alhálózatokat Master Browser-ek kössék össze.

    Használjunk NT4 SP3-at,
    mert annak elfogadható a halózatkezelése. [Elender szervíz]

    SZVSZ az SP6a is jó. Az SP6 hibás !

    Nézzünk egy smb.conf file-t !

    [global]
    #### Names #######
    netbios name = SZERVER
    workgroup = ETI
    server string = SaMBa 2.05
    #### Char ####
    # Hogyan rakja fel:
    character set = iso8859-2
    # Kliens :
    client code page = 850
    # make_smbcodepage c /etc/codepages/src/codepage_def.850 /etc/codepages/codepage.850
    # esetleg: valid chars = é
    # # Nem mindegy, hogy milyen nyelvű, verziószámú Wint használ valaki, de az sem,
    # hogy a file-okat grafikus vagy karakteres felületen kezeli.
    # Nézzük meg Traxy tapasztalatait:
    # 1. variáció (client code page és character set nincs megadva)
    # őű-t tartalmazó fileneveket nem lehet elérni, de létrehozni igen.
    # 2. variáció (client code page és character set = ISO8859-2)
    # halál. Olyan mappákat file-okat meg sem jelenít, amiben őű van
    # 3. var. (minden ISO8859-2, még a windóz is)
    # a win kinézete összeomlik, nem tudja kezelni az alap fontjait, őű-t tartalmazó
    # fileneveket továbbra sem ér el, érdekes ß és § jelek jelennek meg őű helyett.
    # 4. var. (client code page, character set = 1250)
    # őű létrehozható, de aztán nem elérhető. az előző variációkban létrehozott
    # álloményok, amik nem tartalmaznak őű-t, sem elérhetőek.
    # Az eredményt megosztom Veletek: (aki tudja attól bocs)
    # character set = iso8859-2
    # valid chars = 0x8B:0x8A 0xFB:0xEB

    #Win NT 4.0 SP6a Hun. Az e:\ -ről másoltam f:\ -re.
    #Vegyük észre, hogy a hosszú ű tökéletes, míg az ú-t nem vitte át.
    #Lehet kínlódni Linux oldalon a Win karakterkezelésével, de ...
    # #Ez a windows-ra vonatkozik:
    #Filenevek: A disken tárolt filenevek unicode-osak. Ellenben van olyan filekezelő funkcióhalmaz a win-ben
    #amely a system locale (kódpédzs) alapján akarja látni a fileneveket (8 bites karakterek a filenévben a tárolt 16 bites formátum
    #helyett). Ha az adott karakter nem szerepel a system kódlapon akkor az úgy látszik, hogy a filenév "érvénytelen"
    #karaktereket tartalmaz és ezért nem lehet megnyitni. Ebbe akkor futsz bele triviálisan, ha a file távoli gép megosztott
    #kötetén van, habár ekkor ilyen betűket tartalmazó filenevet nem is tudsz létrehozni a távoli köteten.
    #
    #Soxor és megállás nélkül sulykolják rencergizda bácsik, hogy filenévbe nem nyomtatható karaktert, szóközt, ékezetes
    #betűt, felkiáltójelet, ":"-t ";"-t tehát mindent ami nem számlyegy van angol betű ne tegyünk....
    #[netizen]

    #Részletesen: Kis Balázs: Windows 2000 Haladókönyv... 200. oldal
    # #### Security ####
    # Akiket elfogad
    hosts allow = 192.168.2. 192.168.1. 127.
    # Lehet user, share, server is
    security = user
    #Van vendég = nobody, és van jelszó nélküli belépés is.
    guest account = nobody
    # ez a null... lassíthatja a böngészést null passwords = true
    map to guest = bad password
    password level = 0
    # Win NT SP3 után titkos jelszó lehetséges. Ha nem akarjuk akkor:
    #
    #EnablePlainTextPassword = 1 (dword vagy 32 bites érték)-et kell létrehozni a
    #(illetve W98-as gépen bináris van beállítva, és az OK)
    #
    #Win NT:
    #HKEY_LOCAL_MACHINES/SYSTEM/CURRENT_C.../SERVICES/RDR/PARAMETERS
    #
    #Win 98:
    #HKEY_LOCAL_MACHINES/SYSTEM/CURRENT_C.../SERVICES/VXD/VNETSUP-ban
    #
    #Természetesen újraindítás.
    #
    #Win NT 4.0
    #
    #Eseménynapló: Az átirányító nem tudott változókat inicializálni a
    #rendszerleíró adatbázisból - Forrás: Rdr
    #A hozzá tartozó hibaüzenet : Erről az állomásról nem lehet bejelentkezni a fiókba.
    #Grafikus felületen, illetve net use esetén kérheti elötte a jelszót
    #de akkor enterre vagy jelszó nem megfelelö, vagy a fenti hibaüzenet
    #ha jelszót írunk be akkor a fenti hibaüzenet.
    #A net view-re viszont kilistazhatja a megosztásokat.
    #A hiba forrása: bináris-ként lett létrehozva a változó.
    #
    encrypt passwords = yes
    #
    #A sambapassword programmal -a opcióval lehet új felhasználót létrehozni.
    smbpasswd file = /usr/local/samba/private/smbpasswd
    invalid users = root admin
    max connections = 20
    #### Logging ###########
    debug level = 1
    max log size = 50
    log file = /usr/local/samba/var/log.connections
    #### Browser behaviour #########
    interfaces = 192.168.1.1/24 192.168.2.1/24
    lm announce = no
    lm interval = 0
    #Jó ha a SaMBa a Master Browser
    local master = yes
    os level = 250
    preferred master = yes
    #Ha nincs másik WINS szerver, akkor a SaMBa lesz az.
    #Egyébként no lenne, és meg kellene adni a szerver cimét.
    wins support = yes
    wins proxy = no
    dns proxy = no
    # Ezeket nézi át:
    name resolve order = wins lmhosts hosts bcast
    #### Tuning ##########
    socket options = TCP_NODELAY SO_SNDBUF=32768 SO_RCVBUF=32768
    deadtime = 5
    oplocks = yes
    read prediction = yes
    read size = 16384
    max xmit = 16384
    read raw = yes
    write raw = yes
    #### Print #########
    # Szabó Péter: Nyomtatás Linux alól. CHIP 2000. november 156-158. oldal. printcap name = /etc/printcap
    load printers = yes
    printing = bsd
    ##################

    [printers]

    #Akkor most bemutatom a WinNT multitask képességeit.
    #Pillanat...csak a munkatársam befejezi a nyomtatást.
    #Celeron 333 - 64 MB RAM - semmilyen alkalmazas nem fut.
    comment = HP LJ 4L
    browseable = no
    printable = yes
    public = yes
    writable = yes
    #
    #Telepítsük fel a nyomtatót - Kliens WinNT 4.0 SP4
    #Nyomtató hozzáadása varázsló
    #Hálózati nyomtató \\SZERVER\lp
    #Hibaüzenet: A kiszolgálón levő nyomtató nem rendelkezik megfelelően
    #telepített NULL nyomtató-illesztőprogrammal, stb.
    #Nyomtatni nem fog, csak csinál egy \\SZERVER\lp portot.
    #Nyomtató hozzáadása varázsló
    #Helyi nyomtató
    #Nyomtató port: \\SZERVER\lp
    #Már megy is a nyomtatás.
    #
    #Ha a public = no akkor a Win9x OK, de
    #WinNT 4.0 SP6a vagy SP4 nem nyomtat
    #Fájlnév, könyvtárnév vagy kötetcimke szintaxisa nem megfelelő.
    #Vagy : nem lehet nyomtatni hibaüzenetek

    #ismert nt bug: nt nem kuld usernevet a nyomtato share-hez, csak jelszot
    #Ket "megoldas" van:
    #1, guest is nyomtathat
    #2, nt-bol felveszel egy file share-t, es _utanna_ csatlakozol nyomtatohoz
    #[LAJBER Zoltan]
    #
    #Win98 - a nyomtató offline módban van hibaüzenet
    #Win 98 újratelepítés kell.

    [public]
    comment = public
    public = yes
    path = /home/public
    browseable = yes
    writable = no
    printable = no
    #
    #Ugyanígy CD-t is meg lehet osztani.
    #

    [homes]
    comment = megosztas
    path = /home/%u
    public = yes
    #
    #Ha nincs megosztásnév, és nincs felhasználónév, vagy rossz a jelszó akkor a public = yes,
    #és a /home/%u [global] guest account = nobody nobody-ként beengedi a felhasználót.
    #Kell egy /home/nobody azt kapja mindenki aki rosszul akar belépni. Ez kell, ha az NT bénázik
    #Kliens WinNT 4.0 SP6a. Ha a fenti yes nincs bent, akkor az állomásról nem lehet
    #bejelentkezni a fiókba hibaüzenet érkezik. Igy a /home/nobody könyvtárat kapja
    #Ha egyáltalán nem lehet bejelentkezni egy NT-ről, lehet SP4 vagy 5 is
    #ezzel a hibaüzenettel akkor kell csinálni egy ilyen public = yes megosztást
    #Ha ide tud csak belépni a kliens akkor a password.c szerint
    #
    #1) login as the given [adott] user with given password
    #2) login as a previously [korábbi]registered username with the given password
    #3) login as a session list username with the given password
    #4) login as a previously validated user/password pair
    #5) login as the "user =" user with given password
    #6) login as the "user =" user with no password (guest connection)
    #7) login as guest user with no password
    #
    #lehet, hogy sem user-nevet, sem megosztás nevet nem küldött az NT-s gép
    #és a guest ok = yes miatt jutott be.
    #Ha user-nevet, vagy megosztás nevet küldött volna, akkor azon az [user]néven
    #próbálná beléptetni a SaMBa. Ha a jelszó ekkor rossz lenne - az lenne a hiba
    #Érdemes a /home/nobody -ban elhelyezni egy hiba file-t, amiben ez le van írva.
    #
    #Újratelepíteni az NT-t ?
    #
    #Igy néz ki mindez Linux alol. Se megosztás, se felhasználó.
    #
    #/usr/local/samba/bin/smbclient //szerver/nobody -U nobody
    #Password: MINDEGY, mivel se felhasználó, se megosztás
    #Domain=[ETI] OS=[Unix] Server=[Samba 2.0.5a]
    #smb: \> ls
    # hiba A /home/nobody/hiba file 31 Wed Mar 1 20:00:00 2000
    #
    # 39636 blocks of size 131072. 27085 blocks available
    #smb: \> q
    #
    #
    #Részletesebb információt kapunk, ha a [global] részben
    #a debug szintet emeljük, pl. 3-ra. Ekkor a log.smb file
    #gyorsan nő, és sok minden látszik benne.
    #
    #
    browseable = yes
    writable = no
    printable = no
    #
    #A felhasználónév és a megosztásnév közül azt veszi felhasználónévnek
    #amelyikhez érvényes jelszó tartozik
    #Windows alól net use \\szerver\megosztas jelszo /USER:\userneve módon
    #kapcsolható fel. Kattogtatva nem megy, mivel a Windows először elküldi amit gondol

    #csak aztán kérdezi meg mit is kéne csinálni - de ekkorra már be is lépett nobody-ként.
    #Az ábrán a public = no eset látszik - nem lépteti be a SaMBa, hanem visszautasítja, így
    #lehetség van megadni a valódi értékeket. Erről később.
    #
    #ha a public = yes, és van /home/nobody és path = /home/%u akkor
    #azt rakja fel, mindegy ki akar belépni, ha path = %p akkor a / -t.
    #

    Nézzünk meg egy alternatív megoldást : public = no

    #Az alternatív megoldás kattogtatva is megy, mivel nem engedi be a klienst,
    #es igy lehetoseg van a helyes adatok elkuldesere.
    #Lásd a fenti képet.
    #
    #Kliens WinNT 4.0 SP4 bejelentkezett felhasználó: usernt
    #gép netbios neve: ntneve
    #Megpróbáljuk a usernt-t kattogtatva felrakni.
    #log.smb :
    #Couldn't find user 'ntneve' in UNIX password database.
    #NT hibaüzenet :
    #Hálózatnév nem található
    #
    #A nyomorult figyelmen kívül hagyott minden beírt adatot
    #és a netbios nevet akarta felhasználni user név helyett
    #A sikertelenség elkeserítette az NT-t, később már meg sem próbált
    #csatlakozni a SaMBa szerverhez, csak a hibaüzenetet küldözgette.
    #Ha kijelentkeztem és újra bejelentkeztem akkor is.
    #
    #Irjuk be a megosztásnevet \\server\user1
    #Töltsük ki a Csatlakozas maskent: user1 sort is az első csatlakozáskor !
    #Ekkor is 'ntneve' felhasználóként próbál belépni először, de aztán jó lesz.
    #Az eredeti problema:
    #SAMBA-val kiajanlva win9x-es masinaknak a userek homekonyvtarai,
    #benne a public_html konyvtar.
    #A userek samba fajl es direktory-inak jogai letrehozaskor
    #0700, ami security szempontbol jo, de igy a vilag nem latja a
    #weboldalukat.

    #A megoldas, amit talaltam:
    #A fajl creation : 0740, ami a csoportjanak enged olvasast.
    #Ez meg nem olyan rossz - gondolom- ugyis mindenki a sajat
    #csoportjaban van, szoval ez a tobbieknek nem ad tobb jogot.
    #A public_html konyvtar csoportjat www-root -ra allitottam (debian
    #alatt az apache felhasznaloja) es a setgid bitjet is beallitottam.
    #Ezzel a public_html alatti fajljai olvashatoak az apache szamara,
    #a konyvtarak meg oroklik a setgid bitet.
    # #[Borkuti Peter]

    [homes]
    comment = megosztas
    # %p - szolgáltatás home könyvtárának a neve. %u szolgáltatás felhasználójának a neve -
    # ennek kellene lenni a csatlakozás másként-nek, de figyelmen kivul hagyhatja a windows.
    path = %p
    #path = /home/%u
    #
    #Az, hogy /home/%u, vagy a %p a megfelelő a kliens dönti el. Azt használjuk amelyik muxik.
    #
    public = no
    browseable = yes
    writable = yes
    printable = no
    create mode = 0700
    #
    #
    #
    #Kliens WinNT 4.0 SP4 bejelentkezett felhasználó: usernt
    #SaMBa felhasználók: user1, user2, user3
    #NT felhasználók: Rendszergazda, usernt
    #Halozati meghajto csatlakoztatasa
    #Meghajto: F
    #Eleresi ut: \\server\homes vagy \\server\user1
    #Csatlakozas maskent: user1
    #
    #helytelen a jelszava vagy felhasznaloneve ismeretlen:
    #
    #\\server\homes vagy user1
    #Csatlakozasi nev: user1
    #Jelszo: ******** - user1 samba jelszava
    #
    #Ha user2-kent akarok csatlakozni es megadom, hogy
    #Csatlakozas maskent: user2
    #Akkor hibauzenet:
    #A megadott felhasznaloi nev-jelszo par utkozik
    #valamely meglevo felhasznaloi nev-jelszo parral.
    #
    #Leválasztva az user1 csatlakozást már be tud lépni user2-ként.
    #
    #Leválasztom az user2-t és felkapcsolom az user1-et
    #Ha a csatlakozás másként-ben
    #nem adom meg, hogy user2 akkor megvan a kapcsolat.
    #
    #Fel tudom csatlakoztatni az user1-et user 1 jelszóval
    #azutan az user2-t jelszó nélkül - elmentette a jelszót.
    #user3 csatlakoztatásnál: Hálózatnév nem található
    #
    #user1 helyett user2, user2 helyett user3 - ugyanaz
    #azaz user1 nem csatlakoztatható: Hálózatnév nem található
    #
    #user1 és user3 nem csatlakoztatható egyszerre.
    #
    #Nem az igazi.
    #
    #Éppen ezért használjuk a
    #path = /home/%u
    #formát, bár van amikor meg azzal nem csatlakoznak.
    #
    #És még egy rakat szépség
    #Az NT hálózatkezelése hagy némi kívánnivalót maga után.
    #
    #Az NT hibaüzenetek megjelenésének sebességéből következik, hogy meg sem
    #próbálja felépíteni a kapcsolatot, megkeresni a gépet.
    #
    #Súlyos hiba ! A Win98 - Megsérülnek a file-ok !
    #A Realtek hálókártyával van baj. Le kell tölteni a Realtek drivert. [AiRLAC]
    #Más hálókártyákban is lehet Realtek chip, akkor is, ha ez nem látszik. SMC.
    #Hmmm... Az ftp, ami másik protokoll a hibás driver-rel is OK-san megy.
    #Söt, néha ki is írja, hogy szar az adatátvitel. Ezek szerint az ftp-zés
    #biztonságosabb adatátvitelt biztosít.
    #Megbízhatóan működik - nyomtatás, ha sikerül beállítani
    #Az NT nem mindig alkalmas nyomtató szervernek Win98 kliens esetén sem.
    #Használjunk SaMBa nyomtatószervert inkább.
    #
    #Mit lehet akkor csinálni amikor azért nem lehet az NT-n
    #megosztásokat csinálni mert:
    #
    #A szolgáltatás [Kiszolgáló] leállt a következő hibával:
    #Nincs elég szabad kiszolgáló tárolóterület a parancs végrehajtásához.
    #
    #Szervízcsomagot újra kell telepíteni.
    #
    #Tanácsok:
    #
    #A kliensen és a szerveren egyezzen meg a felhasználó neve és jelszava
    #és jó ha a kliens gépének a netbios neve egyben a felhasznaló neve is.
    #a jelszó csak kisbetűket tartalmazzon - alapesetben a Win kisbetűsre
    #konvertálja - és akkor a saját könyvtár biztonságosan felcsatolható
    #és a publikus anyagok is, amik lehetnek CD meghajtók is.
    #

    Namost, ha a Server és a Workgroup csoportban nem szerepel egyetlen gép sem, lehet, hogy betelt a MasterBrowser gép winyója.
    A log file-okat egyszer-egyszer le is kell zúzni...


    Intranet szerver - SaMBa - Tartomány

    Vannak szerverek és munkaállomások. A szerverek lehetnek
    PDC - elsődleges tartományvezérlők
    BDC - tartalék domain controler-ek
    Stand Alone - egyedi szerverek

    Mindezt telepítéskor már el kell dönteni, mert nem lehet az NT-ket ide-oda pakolászni. Ha változtatni kell - akkor ÚJRA KELL TELEPÍTENI a gépet !

    WinNT server 4.0 mint PDC

    A tartományok előnye a munkacsoportokkal szemben, hogy a felhasználókat egy gépen tartjuk nyilván. Új felhasználó felvétele a tartományba a
    /Start/Programs/Administrative Tools (Common)/User Manager for Domains

    Új számítógép felvétele a Tartományba:
    Server Manager / Add Computer To Domain / WINNT WS or Server és adjuk meg a gép NetBIOS nevét.

    Vegyünk fel egy új felhasználót. A neve legyen linuxuser. Jelszava Lama
    Hogyan éri el a LINUXWS gépről a linuxuser az NT PDC (TERINFO) szervert ?

    Ha valaki az ftp szerű parancssoros förtelmeket részesíti előnyben:
    $smbclient -L TERINFO -U linuxuser
    Added interface ip=192.168.1.1 bcast=192.168.1.255 nmask=255.255.255.0
    Connecting to 192.168.1.4 at port 139
    Password:
    Domain=[DOMAIN1] OS=[Windows NT 4.0] Server=[NT LAN Manager 4.0]

    Sharename Type Comment
    --------- ---- -------
    NETLOGON Disk Logon server share
    ADMIN$ Disk Remote Admin
    IPC$ IPC Remote IPC
    stat Disk
    C$ Disk Default share
    D$ Disk Default share

    Server Comment
    --------- -------
    NTWS
    TERINFO

    Workgroup Master
    --------- -------
    DOMAIN1 TERINFO

    A stat megosztást elérni pedig (ha az smbmount nem szimpatikus)
    $smbclient //terinfo/stat -U linuxuser
    utasítással lehet. Listázni ls, kilépni exit.

    Ha hibás a jelszó:
    session setup failed: ERRDOS - ERRnoaccess (Access denied.)
    Ha jó a jelszó - de ?
    session setup failed: ERRSRV - 2240

    Mik a legnagyobb eltérések a Munkacsoport és a Tartomány között ?
    A példában szerepel egy NTWS nevű NT 4.0 hu gép. Ha ezt a gépet beléptetjük a DOMAIN1-be és a DOMAIN1-ben (TERINFO gép) nincs Rendszergazda felhasználó, akkor az NTWS gépre nem is lehet Rendszergazdaként bejelentkezni. Admin-ként viszont igen. Admin a TERINFO gép rendszergazdája. Ha a TERINFO-n létrehozunk Rendszergazda felhasználót, akkor az NTWS gépre bejelentkezett Rendszergazda csak egy egyszerű felhasználó. Semmiféle plusz jogokkal nem rendelkezik. Az Admin viszont rendszergazda.
    Tehát az NTWS gépen csak Admin-ként oszthatjuk meg az adatok alkönyvtárat, és a LINUXWS gépről linuxuser-ként elérhetjük úgy, hogy az NTSW gépen nincs se Admin, se linuxuser felhasználó.
    Munkacsoportos környezetben létre kellene hozni egy Admin felhasználót rendszergazda jogokkal és egy linuxuser felhasználót user jogokkal az NTWS gépen, ami nagy számú WS és user esetén elég nyomasztó.

    Mivel az NT serveren nincs Power Users felhasználói csoport, ha azt akarjuk, hogy a linuxuser meg tudja osztani az NTWS gépen a nyomtatót és a file-okat akkor a Print Operators és Server Operators csoportba fel kell venni. Az User Manager / User Properties / Logon To - ban megadható, hogy melyik gépekre jelentkezhet be. A gép Windows-os nevét kell beállítani.

    Miután létrehoztunk egy LINUXWS gépet a tartományban a fenti smb.conf file kisebb módosításával látni is lehet a SaMBa megosztásokat.
    netbios name = LINUXWS
    workgroup = DOMAIN1
    share modes = yes
    security = share
    encrypt passwords = yes
    smbpasswd file = /usr/local/samba/private/smbpasswd
    local master = no
    preferred master = no
    domain master = no
    wins support = no
    wins server = 192.168.1.4

    Persze ez nem a teljes file. Ekkor két felhasználói név / jelszó listánk van. Egy a LINUXWS-en és egy a PDC-n.

    Vagy állítsuk le a SaMBa-t. Hozzuk létre az NT-n a LINUXWS gépet, futtassuk a LINUXWS gépen az
    #smbpasswd -j DOMAIN1 -r terinfo
    parancsot. Akkor a .../samba/var/locks/browse.dat és wins.dat file-ok változnak. Az smb.conf-ot változtassuk meg kissé:
    #security = domain
    security = server
    domain logins = yes
    workgroup = DOMAIN1
    password server = terinfo

    Ennek az az előnye, hogy a LINUXWS magosztások a SaMBa és az NT-s jelszavakkal is elérhetők. Viszont tovább tart az azonosítás.

    SaMBa server mint PDC

    A 2.0.5a is nagyon jó kis PDC, csak a W2k-t nem szereti.
    http://bioserve.latrobe.edu.au/samba/ntdomfaq.html

    Samba 2.0.7 will not accept Domain Logons from Win2000 although it will offer file shares to it. It will not do trust relationships.

    Viszont a 2.2 már:
    http://fi.samba.org/samba/docs/samba-pdc-howto.html
    very new, they will be allowed to create a new machine account when first connecting a new NT or W2K machine to the domain.

    Nézzünk meg egy 2.05a configot:

    [global]
    netbios name = NTServer # :-)
    workgroup = IRODA

    os level = 66
    local master = yes
    preferred master = yes
    domain master = yes
    wins support = yes
    security = user
    domain logons = yes
    encrypt passwords = yes
    smb passwd file = /usr/local/samba/private/smbpasswd
    client code page = 850
    character set = ISO8859-2

    logon script = common.bat
    logon path = \\NTServer\homes\profile.nt
    logon home = \\aesz\homes\profile.9x
    domain admin users = administrator
    guest account = nobody

    unix password sync = true
    passwd program = /usr/bin/passwd %u
    passwd chat = *password* %n\n *password* %n\n *changed*
    min passwd length = 6
    passwd chat debug = false

    load printers = no
    printing = lprng
    printcap name = /etc/printcap
    print command = /usr/bin/lpr -P%p -r %s
    lpq command = /usr/bin/lpq -P%p
    lprm command = /usr/bin/lprm -P%p %j
    lppause command = /usr/sbin/lpc hold %p %j
    lpresume command = /usr/sbin/lpc release %p %j
    queuepause command = /usr/sbin/lpc -P%p stop
    queueresume command = /usr/sbin/lpc -P%p start

    [netlogon]
    path = /home/samba/netlogon
    browseable = no
    writeable = no
    guest ok = no
    locking = no
    fake oplocks = yes

    A többi a szokásos. Még annyit, hogy az NT beléptetéshez:
    Hozzunk létre egy ntneve$ -t az /etc/passwd -ben. #adduser ntneve$
    Aztán adjunk a
    /usr/local/samba/private/smbpasswd -hoz egy ntneve gépet.
    smbpasswd -a -m ntneve

    Ezután már be lehet léptetni az NT-t a tartományba.

    Intranet szerver - SaMBa - W2k

    W2k mint kliens

    ----------- smb.conf mintafile -----------------
    # http://softwaredev.earthweb.com/sdopen/sdosser/article/0,,12406_630891_4,00.html

    debuglevel = 1
    netbios name = quercus
    workgroup = ELABOR
    server string = Samba Server - Moe
    #hosts allow = 192.168.1. 127.
    interfaces = 192.168.1.0/24 127.0.0.1
    printcap name = /etc/printcap
    load printers = yes
    print command = /usr/bin/lpr -r -P%p %s
    lpq command = /usr/bin/lpq -P%p
    lprm command = /usr/bin/lprm -P%p %j
    guest account = ftp

    # this tells Samba to use a separate log file for each machine
    # that connects

    log file = /var/log/samba/log.%m
    security = user
    encrypt passwords = yes
    smb passwd file = /etc/smbpasswd
    Unix password sync = Yes
    passwd program = /usr/bin/passwd %u
    passwd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* %n\n *passwd:*all*authentication*tokens*updated*successfully*
    socket options = TCP_NODELAY

    domain master = yes
    domain admin users = root
    add user script = /usr/sbin/adduser -n -g machines -c Machine -d /dev/null -s /bin/false %m$
    domain logons = yes
    logon script = %U.bat

    [homes]
    comment = Home Directories
    browseable = yes
    writable = yes

    [printers]
    comment = All Printers
    path = /var/spool/samba
    public = yes
    browseable = yes
    guest ok = yes
    writable = yes
    printable = yes



    [netlogon]

    comment = Network Logon Service
    path = /home/netlogon
    guest ok = yes
    writable = no
    share modes = no

    ------------------ minta vége ---------------------

    A W2k alapvetően jól működik. A TechNet CD sokat segít. Igy látatlanban sokat tudó (már van telnet is) rendszernek néz ki. A Linux-os DHCP és SaMBa szervert jól használja. Képes kis/nagy betűt egyaránt tartalmazó jelszót küldeni. Amit át kell állítani:
    telnet
    tlntadmin programmal az azonosítás (NTLM) értékét 1-re.
    Ez a megoldás nem szerepel a W2k help-ben. Így szabvány módon be lehet telnetelni a W2k-ra és karakteres felületen elég sok mindent be lehet állítani. Elég nyögvenyelős a UNIX telnethez képest - valahogy nem az igazi. A telnet kliens viszont rosszabb mint volt, mivel már az F1-F4 billentyűket sem lehet használni. Viszont szines.

    Intranet szerver - NetWare - Mars

    A NetWare-röl a CHIP 2000 augusztus 123-126.


    Internet szerver - Apache


    Messze nem teljes, és messze nem tökéletes, de idõt biztosít arra, hogy utánna nézhess dolgoknak.



    --------Tartalom---------