Re: Wilcard w regule iptables
On 07/18/2011 11:12 AM, tower wrote: Witam Do całkiem sprawnie dzialającego firewalla muszę dodać regułę opartą na wilcardzie. Próbuje: iptables -I OUT_APACHE -d *.fbcdn.com -j ACCEPT iptables v1.3.3: host/network `*.fbcdn.com' not found iptables -I OUT_APACHE -d '*.fbcdn.com' -j ACCEPT iptables v1.3.3: host/network `*fbcdn.com' not found iptables -I OUT_APACHE -d "*.fbcdn.com" -j ACCEPT iptables v1.3.3: host/network "*.fbcdn.com" not found ale niestety żaden sposób nie jest poprawny. Bez wildcarda wpis jest poprawny takze DNS jest wpuszczany. Pozdrawiam! Nie wiem co dokładnie chcesz osiągnąć, ale iptables nie obsługuje znaków wieloznacznych. Nawet moduł string tego nie obsługuje. Domena iptables są adresy IP i to może właśnie ich spróbuj użyć zamiast nazwy domen. -- Grzegorz Kuczyński -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e240645.3020...@gmail.com
Re: Przejscie z Lenny do Squeeze
W dniu 15.03.2011 14:49, kuLa pisze: 3. apache2 poszedł gładko widzę, że nie masz dovecota więc i nie masz problemu z przejściem z 1.1 na 1.2 (różnica w configu) Na czym polega dokładnie ten problem z przejściem, zmieniły się nazwy opcji czy tylko jest nowa wersja pliku konfiguracyjnego? -- Grzegorz Kuczyński -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d7fa1c1.5020...@gmail.com
Re: Alias eth0:1 na zewnętrznym interfejsie, czy powoduje spowolnienia?
Nie, to nie to. -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4b911d98.8000...@gmail.com
Alias eth0:1 na zewnętrznym interfejsie, czy powoduje spowolnienia?
Witam Miałem ostatnio problem z swoim publicznym IP, został on zablokowany w niektórych sieciach (przez mailman i duże ilości poczty). W każdym bądź razie aby obejść ten problem dodałem do zewnętrznego interfejsu nowy publiczny adres, poprzez alias. Teraz cały ruch sieciowy jest udostępniany dla sieci wewnętrznej z innego adresu IP, co rozwiązało problem blokowania, natomiast serwer nadal pozostał przy swoim starym adresie - bo taki był warunek tego rozwiązania. Po tej zmianie zauważyłem jednak spowolnienie w ładowaniu się stron, czy może ktoś z was spotkał się z czymś takim, że aliasy na karcie sieciowej spowalniają w widoczny dla ludzkiego oka transfer sieciowy? -- Grzegorz Kuczyński -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4b9008c1.3080...@gmail.com
System IPS, czyli snort w trybie inline
Witam Postanowiłem postawiać sobie IPS/IDS. Snort w trybie IPS dział bez zarzutów. Teraz chcę aby snort mógł również blokować, skoro już wykrył np. skanowanie albo exploit. I tu się zaczyna problem :). Zgodnie z Snort Users Manual 2.8.4 any snort działał w trybie inline należy go skompilować z opcją --enable-inline - i tak tez zrobiłem. Następnie należy w zaporze załadować moduł ip_queue. Zgodnie z przykładem wysłać ruch do tego celu np. iptables -A FORWARD -j QUEUE lub iptables -A FORWARD -p tcp --dport 80 -j QUEUE. Oczywiście uruchamiam snort prawidłowo i mam w local.rules ma drop tcp $HOME_NET any <> $EXTERNAL_NET 80 (msg:"linux: "; content:"linux"; sid:102; rev:5;). Gdzie var HOME_NET to 192.168.44.0/24 var EXTERNAL_NET !$HOME_NET Domyślne polityki w fw są na ACCEPT (żeby nie było). Teraz z sieci wewnętrznej wpisuje sobie w google linux i internet w ogóle przestaje działać. Jak usunę regułę #iptables -A FORWARD -j QUEUE to internet działa a sygnatura z snort loguje, że występuje słowo linux w generowanym ruchu. Czyli wygląda na to, że ruch skierowany do celu QUEUE z niego nie wychodzi, nie jestem pewien, czy snort go w ogóle przetwarza, ale na pewno nie przepuszcza dalej. Próbowałem sygnatur pass na koniec, ładowałem moduły bridge (mostu nie stawiałem), nf_conntrack_netlink i pewnie wiele innych rzeczy, których już nie pamiętam. Zabierałem się również do kompilacji jądra, ale z tego co wyczytałem, to chyba wszystkie potrzebne moduły są już kompilowane. ebtables nie używałem. W READMY.inline snorta są wskazówki tylko chyba trochę za stare. Opisane są tam opcje, które należy dodać do preprocesora stream4 aby tryb inline dobrze działał tylko, że teraz jest już stream5 i takich opcji w ogóle nie ma! Z tego co czytałem na forum snort to teoretycznie to powinno działać, ale jakoś nie działa i pomyślałem, że ktoś tu wie dlaczego? Już chyba 3 dzień nad tym siedzę i... :) Zaczynam się już zastanawiać nad tym czemu w nowych sygnaturach nie ma ani jednej typu drop, skoro snort już od dawna jest IDS/IPS? przypadek, czy szara rzeczywistość? Pozdrawiam Grzegorz Kuczyński -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
postfix + virtualne domeny + mailman
Witam Mam postfixa skonfigurowanego z wirtualnymi domenami, wszystko jest ok, ale podczas integrowania z tym mailmana mam problem. Robię coś na kształt http://freemars.org/howto/mailman.html Problem jest w tym małym pliczku /etc/postfix/transport: example.com mailman: Jak tak wpiszę to mailman działa ale konta wirtualnych użytkowników stają się "user unknown" bo "relay=mailman" (z logów) jak zmienię w /etc/postfix/transport na: li...@example.com mailman: to rzeczywiście używa "relay=mailman" tylko wtedy gdy ta wiadomości jest do listy. Jak wyśle na konto w domenie rzeczywistej serwera to e-mail dotrze ale do domeny wirtualnej już nie. Próbowałem czegoś w stylu virtual.com virtual: ale nic nie pomaga. Przy wysyłaniu dostaje zwrotkę: "The mail server could not deliver mail to ad...@virtual.com. The account or domain may not exist, they may be blacklisted, or missing the proper dns entries." Jak to rozwiązać przez te transportowanie? Pozdrawiam Grzegorz Kuczyński -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: prawa do public_html
A może da się zrobić tak aby ich katalogi należały do grupy www-data ale sam użytkownik już nie - po co ma należeć do tej grupy. Grzegorz Kuczyński -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Systemy Unix?
Marcin Kasperski pisze: Proponuje zapoznac sie z openBSD lub netBSD , Solarisem i FreeBSD i bedziesz wiedzial wszystko. Z powyższych najbardziej "praktyczny" chyba Solaris. Choć trudno powiedzieć, co z nim będzie po przejęciu Suna. A poza listą, ileśtam dużych biznesów używa AIX-a A co to wcześniej Solaris nie należał do Sun? PS Dziiiśśś praaawdzwch Tru64 już ni ma PS2 Czy Mac OS/X klasyfikujemy jako Unix? Oczywiście, że się klasyfikuje i jest zgodny z Single UNIX Specification, a najlepszy jest tekst z ich strony strony: "...Ponadto system Mac OS X Server obejmuje najnowsze osiągnięcia techniczne społeczności open source BSD. Dystrybucja BSD — opracowana w ośrodku naukowym University of California, Berkeley — stanowi podstawę większości współczesnych implementacji UNIX. Mac OS X Server w większości bazuje na dystrybucji FreeBSD i obejmuje najnowsze osiągnięcia tej społeczności." Jeżeli chodzi o wolne systemy, to FreeBSD jest najstarszym żyjącym Uniksem (był częścią pierwowzoru). Natomiast pytanie nasuwa mi na myśl kolejne pytanie, czy dążenie do tradycyjnych Uniksów jest słuszne? Przecież to systemy z poprzednich dekad, teraz chyba bardziej liczy się ewolucja, inaczej Linux nie wypchnął by ich z TOP500. Po prostu Luniksa należy traktować jak kolejną wersje UNIX, tyle, że napisaną od nowa. -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Postfix virtual domain i problem z certyfikatem
Marcin Owsiany pisze: On Sun, Jun 28, 2009 at 10:00:22PM +0200, Grzegorz Kuczyński wrote: Próbowałem z smtpd_sasl_local_domain ale nic mi się nie udało. Co muszę z tym certyfikatem zrobić, jak to rozwiązać, żeby jeden certyfikat obsługiwał wszystkie domeny albo mieć oddzielne certyfikaty dla każdej? Jeśli chciałbyś osobny certyfikat dla każdej z domen, to potrzebowałbyś tyle samo dedykowanych adresów IP. Jedyne wyjście to zrobić adres w stylu "secure.twoja-glowna.domena" i kazać się użytkownikom łączyć z nim, zamiast z "poczta.domena-uzytkownika". Faktycznie, jeżeli wstawię jako serwer poczty główną domenę to rozwiązuje problem - ale konfiguracja klienta wygląda trochę dziwnie. Wiem, że na hostingach tak jest porobione, że na jednej maszynie jest wiele domen i każda ma oddzielny certyfikat - może to jakieś wewnętrzne przekierowanie z domena.uzytkownika.pl do domena.glowna.pl i dlatego się wpisuje w konfiguracji jako serwer domena.uzytkownika.pl? -- Teraz AC/OC + ubezpieczenie kosztow leczenia za granica http://link.interia.pl/f2230 -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Postfix virtual domain i problem z certyfikatem
Witam Przerobiłem swojego Postfixa tak aby obsługiwał więcej niż jedną domenę (autoryzacja przez Dovecot). Już jest wszystko ok, tylko jeden szczegół. Otóż przy staraj domenie, która została przeniesiona do wirtualnych pobiera certyfikat za pierwszym razem - certyfikat z nazwą tej domeny - ale dla innych domen za każdym razem pokazuje się informacja, iż to konto podejrzanie używa certyfikatu przeznaczonego dla innej domeny. Próbowałem z smtpd_sasl_local_domain ale nic mi się nie udało. Co muszę z tym certyfikatem zrobić, jak to rozwiązać, żeby jeden certyfikat obsługiwał wszystkie domeny albo mieć oddzielne certyfikaty dla każdej? Pozdrawiam Grzegorz Kuczyński -- Przekaz dalej wiadomosc: Zawsze warto oszczedzac. Teraz 5,5%! Sprawdz > http://link.interia.pl/f221c -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
/etc/passwd - bezpieczeństwo a powłoki logowania
Witam Robiłem mały porządek w pliku passwd i tknęło mnie ze nobody też ma /bin/sh! Pytanie jest już oczywiste. Czytałem trochę np. o wyższości /dev/null nad np. /bin/false?. Natomiast "Ci od FreeBSD" wyznają /usr/sbin/nologin (podobno nie blokuje niektórych usług)- do wszystkich kont usługowych. Chciałbym tak zrobić u siebie, tylko nie jestem pewien czy na pewno to nie będzie to miało jakiegoś skutku w działaniu usług obecnych i przyszłych? Mam też użytkowników, którym chcę dać tylko dostęp przez sftp ale bez /bin/sh, da się tak? A jakie Wy macie doświadczenia z zabezpieczaniu systemy od strony pliku /etc/passwd? Czy zmiana nazwy root w tym pliku da rzeczywiste odwzorowanie np. w listingach ls (testowałem i nie dało). W końcu czy zmiana nazwy z root ma w ogóle sens? Pozdrawiam Grzegorz Kuczyński -- Tanie rozmowy! Sprawdz >>> http://link.interia.pl/f2162 -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Minimalistyczna dystrybucja Linuxa
Aleksander Kurczyk pisze: ... Dlaczego nie Debian??? Chcę spróbować czegoś innego; FreeBSD, minimalizm, instalacja portów ze źródeł, porządek w systemie (nie ujmując Debianowi) ;) Skoro to ma być coś nowego, nie Debian i Slackware to czemu inny Linux? -- 10% zysku na lokacie bankowej z gwarancja BFG. Sprawdz! http://clk.tradedoubler.com/click?p=74281&a=1586724&g=17879004 -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Automatyczna konfiguracja klientów (vista) za pomocą PDC na sambie
Witam Posiadając kontroler domeny na sambie, do którego logują się klienci na Viscie chce aby np. stworzyć jakiś pliczek polityki uprawnień, wrzucić go do [netlogon] aby Vista sama go uruchamiała i wprowadzała zmiany w uprawnieniach logującego się użytkownika. Interesuje się ustawieniami w secpol.msc, gpedit.msc i ewentualnie rejestrem. jak takie coś zrobić, w jakim stopniu da się to zrobić i gdzie jest to ewentualnie opisane? Pozdrawiam. -- Szukasz pieniedzy? Wez podwójny limit zadłużenia w koncie direct. http://link.interia.pl/f20a3 -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Samba + Vista i profile mobilne [problem z uprawnieniami]
Witam W skrócie to tak: mam windows server 2003, domena, klienci Vista. Nie wiedzieć czemu ;) postanowiłem wywalić ten win srv i zamienić go na Debiana z sambą jako PDC, a klienci zostają z najlepszym systemem na świeci ;). 10 opisów jak to zrobić itp, w końcu poskładałem ten smb.conf do swoich potrzeba i upodobań, dodaje Viste do domeny, Witamy w domenie ;) loguje się i co widzę? przepiękny dymek informacyjny... coś w stylu załadowanie profilu nie powiodło się, został załadowany profil tymczasowy, po wylogowaniu zmiany nie zostaną zachowane... skontaktuj się sam z sobą ;). Patrze w logi i widzę (przepraszam, że nie podaje dokładnie szczegółów, pisze z pamięci, bo nie mam dostępu do serwera ponieważ musiałem przepiać dysk z działającym win srv) i widzę ze autoryzacja ok, ale chce stworzyć katalog test.V1 i tu odmowa dostępu identyfikowana czymś w stylu NT_DOMAIN_ACCESS_DENIED (ale nie dokładnie tak), ale wiadomo o co chodzi, gdzieś prawa poleciały. Profiles i netlogon mam w /home/samba/, do samby już mam 777. Głównie wzorowałem się na opisie z rozdziału "Domain Controller" samba HOWTO. Dodałem te grupy oraz odwzorowałem je na NT jak tam pisze. Testowego użytkownika test dodałem do grupy users, czyli jak rozumiem ntgroup="Domain Users". mimo to nie może zapisać swojego profilu. Podejrzewam, i pewnie słusznie ;) że mój błąd kryje się w tym lakonicznym zdaniu: "Add users to groups as required for access control on files, directories, printers, and as required for use in the Samba environment." Przyznaje się, że na Viscie nie było konta lokalnego test, czy musi być? Być może ktoś mi coś podpowie, może sam dojdę po jakimś czasie, bo domena już działa, jest tylko problem z uprawnieniami - wykończeniówka ;), i tu właśnie nie wiem czy to wina po stronie serwera czy Visty. Nie mam jak przetestować czy na XP np. działa. Przeczytałem już wiele postów, opisów itp. odnośnie problemów z tą domeną na sambie, a zwłaszcza z nowymi Windowsami jest wiele problemów. Teraz (już tak mam tego dość) bardziej mnie interesuje czy te profile mobilne są wogóle warte zachodu, wraz z ta cała domeną? Interesuje mnie scentralizowane logowanie (niech będzie ta domena), wymiana plików w sieci oraz dane użytkowników w jednym miejscu. Jednym zdaniem: PDC bez profili tylko z logowaniem oraz dyski sieciowe (z objaśnieniem, że tam mają zapisywać dane, na których im zależy, oraz których będą mogli użyć z innego komputera w sieci). Czy naprawdę tak wiele zyskuję konfigurując te profile? Bo zabawy jest co niemiara. Może ktoś z was otrzymuje podobny efekt do domeny z profilami mobilnymi robiąc to troszkę inaczej niż Microsoft ;) Dokładnie to chodzi o pracownie komputerową, więc to nie są jakieś super ważne dane, chodzi o to aby jak najmniej uczniowie mogli popsuć a ja miał jak najwięcej czasu na inne zajęcia ;). Bo domena na win srv 2003 w instalacji oprogramowania na 15 komputerach na raz jakoś nieszczególnie pomaga ;) bardziej to w teorii działa niż praktyce, do tego chyba zastosuje WPKG. Aha, Debian Lenny To żem skrócił ;) Pozdrawiam wszystkich z lisy. -- Zyskaj tak jak ja 9% na lokacie w pierwszym miesiacu! Sprawdz! http://link.interia.pl/f207b -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Dock dla gnome
Adam Mazowiecki pisze: -Original Message- From: Grzegorz Kuczy?ski To: Adam Mazowiecki <[EMAIL PROTECTED]>,debian-user-polish@lists.debian.org Date: Fri, 17 Oct 2008 08:05:31 +0200 Subject: Re: Dock dla gnome Cairo-Dock, ale on nie robi takiego wra?enia bez compiza (beryl nie jest ju? rozwijany). Mo?esz go zainstalowa? z compiz-fusion a sze?ciany itp wy??czy?. Na moim debianie to tak wygl?da: http://pl.youtube.com/watch?v=xiiSrajsjeA a teraz nawet lepiej... Całkiem niezle ci to wyszło. Możesz podać repo Debiana w ktorym jest Cairo-Dock dostepny? [np.: http://http.us.debian.org/debian/] lenny main contrib non-free PS. teraz ten dock jest o wiele lepszy pod względem wygody -- Drinkomat - aplikacja na telefon! Pobierz >> http://link.interia.pl/f1f38 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Dock dla gnome
Adam Mazowiecki pisze: Witam wszystkich Od niedawna przesiadlem sie z Windowsa na Debiana w wersji Testing (lenny). Uzywam na nim Gnome (nie mam zadnych Compizow, Beryli itp pulpitуw 3D) Chcialbym na nim zmienic dolna listwe gnome (gdzie pojawiaja sie uruchomione programy (nie wiem jak sie to nazywa) na dock (taki jak w mac os x). Najlepiej z takimi animacjami (chetnie bez koniecznosci uzywania tych pulitуw 3D (szescianow itp)). Tak by po najechaniu na ikony one sie powiekszaly, listy rozwijaly itd. Zna moze ktos taki programik (najlepiej dostepny w repozytorium w formie paczki deb (kompilacja programu to nie moj poziom). Moze ktos mi cos doradzic w tym stylu?? Cairo-Dock, ale on nie robi takiego wrażenia bez compiza (beryl nie jest już rozwijany). Możesz go zainstalować z compiz-fusion a sześciany itp wyłączyć. Na moim debianie to tak wygląda: http://pl.youtube.com/watch?v=xiiSrajsjeA a teraz nawet lepiej... -- Drogowa mapa Polski GPS - aplikacja na telefon! Pobierz >> http://link.interia.pl/f1f39 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
squid i squidGuard
Witam Zainstalowałem squida i chce go ustawić tak aby wymuszał ze z Internetem można się połączyć tylko za jego pomocą - autoryzacja poprzez moduł ncsa_auth. Problem w tym, że nie wiem jak zmusić squida aby nie pozwolił sie łączyć z Internetem inaczej jak tylko przez niego. Obecnie wystarczy wyłączyć proxy w przeglądarce. To też dobra opcja ale chce wiedzieć jak to zrobić aby nie można było wybierać czy się chce używać proxy czy nie. Jest mi to potrzebne do tego aby użyć squidGuard do filtrowania np. fraz 'gry' albo 'porno' - tu z kolei nie działają mi regułki, które znalazłem w necie. Proszę bardzo o podpowiedz jak to zrobić ... i jaka regułka będzie działała z tym filtrowaniem. Chciałbym jeszcze umieć tak skonfigurować proxy aby można było z niego korzystać z zewnątrz, a nie tylko jako localhost albo dla lokalnej sieci. -- Grzegorz Kuczyński -- Sprawdz gdzie lezy snieg, czy dzialaja armatki i jak przygotowane sa stoki >>> http://link.interia.pl/f1cfc -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]