FreeBSD

Привязка IP к портам, dhcp-relay

Опубликовано admin в Вс, 15/08/2010 - 21:04

Часто возникает потребность раздавать IP-адреса в зависимости от порта, на котором располагается клиент. Для этого может пригодиться функция агента dhcp-relay, которую сейчас поддерживают практически все современные управляемые свитчи. В этом примере был использован ADSL-свитч ZyXEL IES1248-71.Читать далее

( categories: )

Настройка DHCP Relay Option 82 на коммутаторах D-Link DES-3526, DES-3028, DES-3828

Опубликовано admin в Вс, 15/08/2010 - 20:12

Краткие теоретические сведения:

Коммутатор может быть сконфигурирован как агент DHCP Relay. В этом случае расширяются возможности применения DHCP-серверов в сети, поскольку уже не нужно использовать несколько DHCP-серверов, по одному в каждой подсети. Коммутатор просто перенаправляет DHCP-запрос от клиента в локальной подсети на удалённый DHCP-сервер.

Option 82 используется для передачи дополнительной информации в DHCP-запросе. Причём эту информацию добавляет сам коммутатор. Эта информация может быть использована для применения политик для увеличения уровня безопасности и эффективности.
Для простоты эти пакеты содержат информацию BOOTP, т.е. DHCP-запросы обрабатываются коммутатором также как BOOTP-запросы.
Читать далее

Удаленная замена FreeBSD на Debian/GNU Linux

Опубликовано admin в Сб, 14/08/2010 - 11:28
 
Оригинал: http://index.kaven.neolocation.net/switching.html (_http://index.kaven.neolocation.net/switching.html) 
 
   Удаление FreeBSD и установка Debian по SSH
 
   Задача - удалить freebsd и установить debian на далеком сервере.
 
   Итак, у нас есть :
 
   1. freebsd-сервер с доступом по ssh далеко в инете. RAM=>256Mb.
   2.  локальный  комп  с 500 Мб свободного места на винчестере и быстрым инетом
   3. инсталляционный CD debian sarge
 
   Краткий порядок действий:
 
   1. ставим базовую систему debian к себе на комп
   2.Читать далее  

Адекватны ли пользователи вашей системы?

Опубликовано admin в Пнд, 09/08/2010 - 17:13
image
Наверняка многие использовали для записи сессий командной строки программу script.
А кто-нибудь задавался вопросом, а можно ли использовать её в рамках повышения безопасности/мониторинга/проверки адекватности пользователей системы?
Любопытства ради решил прикрутить script ко всем пользователям системы и посмотреть, что из этого выйдет…
Читать далее
( categories: )

handbook - IPFW

Опубликовано admin в Пнд, 09/08/2010 - 15:14


    Перевод англицкого раздела handbook - касающийся IPFW. Прислал Andy.


   Примечание: Данный раздел находится в разработке. Содержание всегда может быть неточным.

   IPFIREWALL (IPFW) является поддерживаемым файрволлом FreeBSD, авторы и люди развивающие данное программное обеспечение являются добровольцами. Он использует правила наследования состояния и наследовние техники программирования для достижения того, что называется логикой Simple Stateful (простое состояние).Читать далее

( categories: )

FreeBSD Netgraph, считаем трафик

Опубликовано admin в Пнд, 26/07/2010 - 20:51
В продолжении темы о ядерной подсистеме графов Netgraph FreeBSD Netgraph на примере Ethernet тоннеля (_http://alexandr.sysoev.ru/node/71) попробуем посчитать трафик используя протокол Сisco netflow.

В прошлом обзоре мы познакомились с модулями ng_bridge, ng_ether и ng_ksocket и построили на их базе Ethernet тоннель через интернет, а сегодня я расскажу как, используя дополнительные модули netgraph, посчитать трафик, проходящий по этому тоннелю.
Читать далее

Netgraph ipfw и гибкий учет трафика через netflow

Опубликовано admin в Пнд, 26/07/2010 - 20:44
И снова здравствуйте!

Продолжим обзор модулей FreeBSD netgraph.
Сегодня у нас в гостях ng_ipfw, ng_one2many и старый друг ng_netflow.
С их помощью попробуем посчитать трафик по определенным условиям и посмотрим как это можно использовать на практике.

Что за модули?


ng_ipfw.gif
ng_ipfw — модуль, создающий интерфейс для доступа к подсистеме netgraph из фаервола IPFW. При загрузке в ядро, модуль автоматически создает свой узел в пространстве подсистемы netgraph с именем «ipfw:», и может присутствовать только в единственном экземпляре. Ng_ipfw принимает подключения к произвольным номерным хукам, номера хуков указываются в правилах ipfw. Каждый входящий в модуль пакет тэгируется по нескольким параметрам (ipfw правило, интерфейс, направление), для того чтобы его можно было идентифицировать при возврате обратно в ipfw. Не тэгированные пакеты, возвращаемые в фаервол, уничтожаются. Контрольных сообщений модуль не принимает.
Читать далее

Модификация ToS/DSCP/TTL/etc. на FreeBSD: ng_patch

Опубликовано admin в Пнд, 26/07/2010 - 14:03
Модификация ToS/DSCP/TTL/etc. на FreeBSD: ng_patch
Патчи, позволяющие матчить и изменять ToS/DSCP на FreeBSD, ходят в разных вариантах по сети уже лет шесть, вот очередная инкарнация (_http://www.freebsd.org/cgi/query-pr.cgi?pr=102471), например. К сожалению, ни один из них так и не попал в базовую систему, хотя пример по ссылке, скажем, для конкретной задачи удобнее того, что описано ниже. Даже возникает подозрение, что это всё потому, что предыдущие решения были недостаточно общие :) Вот ng_patch(4) (_http://www.freebsd.org/cgi/man.cgi?query=ng_patch) - и её, наконец, закоммиттили, а недавно смержили в 8-STABLE (r209843 (_http://svn.freebsd.org/changeset/base/209843)) и вчера - в 7-STABLE (r210019 (_http://svn.freebsd.org/changeset/base/210019)). Работает также на 6.4, если убрать в коде CSUM_SCTP, я проверял.
В настоящее время ng_patch - единственный штатный способ поменять что-то в проходящем пакете. Зато, в отличие от других решений (в том числе на других ОС), эта нода позволяет производить последовательность операций над произвольными байтами пакета, не только ToS или TTL. В мане рассмотрены примеры изменения ToS и TTL, я же расскажу чуть подробнее, с примером для DSCP.
Читать далее
( categories: )

FreeBSD Netgraph на примере Ethernet тоннеля

Опубликовано admin в Вс, 25/07/2010 - 19:45
Всем привет.

Думаю многим системным администраторам, работающим с FreeBSD, известно о существовании ядерной подсистемы Netgraph. Но не многие знают/понимают как это работает, и что из этого можно построить.

Расскажу что это такое, а также разберу на простом примере сборку Ethernet моста через интернет.

Читать далее
( categories: )

хитрости SSH

Опубликовано admin в Пнд, 05/07/2010 - 19:29

Ssh (secure shell) – это программа, позволяющая получить защищенный доступ к удаленным системам. Большинству из вас она должна быть хорошо знакома, однако не все знают, что ssh обладает рядом дополнительных мощных возможностей, таких как вход без запроса пароля, автоматическое выполнение комманд в удаленной системе и даже монтирование удаленных папок. Часть из них уже упоминалось в ранее выходивших статьях на эту тему, кое-что описывается на страницах нашего журнала впервые.
Читать далее
( categories: )
RSS-материал