Re: NetMeeting - porty ... eh ci ludzie spox windozow ;(
On Tue, Jan 28, 2003 at 11:08:07PM +0100, Marcin wrote: mianowicie z : http://netmeetingmasq.sourceforge.net/ i pliczkiem: http://netmeetingmasq.sourceforge.net/ip_masq_netmeeting.c Nie wiem co lepsze sourceforge czy patch-o-matic ? Zalezy jaka wersja kernela Cie interesuje: to z sf.net jest przeznaczone dla 2.0.x i 2.2.x p-o-m jest dla 2.4.x Pytanie drugie: NAJLEPSZYM rozwiazaniem jest sciagniecie patch-o-matic z netfilter.samba.org i zalozenie pacza h323_ip_conntrack (albo cos w tym guscie) nz zrodla kernela http://www.netfilter.org/documentation/pomlist/pom-extra.html#h323-conntrack-nat h323-conntrack-nat o ile dobrze rozumiem ? Jak najbardziej. Ponadto jest taki projekt co się zowie OpenH323 Gatekeeper i który może Cię zainteresować - www.gnugk.org. jesli nie podobaja ci sie moduly (choc jesli dobrze poczytasz, to dojdzesz do wniosku, ze samo usuniecie modulow nic nie daje (trzeba jeszcze odpowiednio zabezpieczyc pamiec przed modyfikacja - grsec)), to mozesz wkompilowac to w kernel podobnie jak irc_conntrack i ftp_conntrack. hmm, raczej wkompiluje w kernel. a moglbys mi rozjasnic nieco co trzeba by wlaczyc w GRSEC ? uzywam go, jednak jakos nic mi sie nie rzucilo specjalnego na oczy szczegolnego co by wypadalo wlaczyc extra dla tego patcha :( Chodziło mi o to, ze 'wyłączenie' modułów w konfiguracji kernela nie jest wcale ostatecznym rozwiązaniem w kwestii modyfikacji działającego jądra. Można się przed tym skuteczniej zabezpieczyć wyłączając moduły I włączając opcję grsec'a pt. CONFIG_GRKERNSEC_KMEM, ktora w menu widnieje pod nazwą 'Deny writing to /dev/kmem, /dev/mem, and /dev/port'. Cytat z Configure.help: If you say Y here, /dev/kmem and /dev/mem won't be allowed to be written to via mmap or otherwise to modify the running kernel. /dev/port will also not be allowed to be opened. If you have module support disabled, enabling this will close up four ways that are currently used to insert malicious code into the running kernel. pozdrawiam k. -- | /)/) | Grzegorz Kusnierz | GG: 1756511 |( xx\ | | |/'-._) | [EMAIL PROTECTED] | http://www.bezkitu.com | /#/ U | [EMAIL PROTECTED] | * radio * bez * kitu * | /#/ \__/#/
Re: NetMeeting - porty ... eh ci ludzie spox windozow ;(
Witam, Od razu na wstepie dzieki za pomoc szczegolnie dla Grzegorz Kusnierz :) Zalezy jaka wersja kernela Cie interesuje: wlasnie to zauwazylem :) Ponadto jest taki projekt co siê zowie OpenH323 Gatekeeper i który mo¿e Ciê zainteresowaæ - www.gnugk.org. ale to chodzi raczej o stawianie serwera netmeetingu, czyz nie ? a moze nie doczytalem ? (zrazilem sie tekstem jak zaczalem czytac bo stwierdzilem ze to jest stawianie serwera net meetinga, a teraz zaczyna do mnie docierac ze chyba nie zupelnie) Moglbys po polskawemu przyblizyc chocby trzema wyrazami do czego on jest ? zabezpieczyc pamiec przed modyfikacja - grsec)), to mozesz wkompilowac Chodzi³o mi o to, ze 'wy³±czenie' modu³ów w konfiguracji kernela nie jest wcale ale to w przypadku gdy sa konta shellowe na serwerze... o ile dobrze mysle... Czy ma to jakis sens jezeli ludzie nie maja shella ? No ew. bledy buffer overflow, hmmm If you say Y here, /dev/kmem and /dev/mem won't be allowed to dzieki :) A tak wogole to jest jakas konfiguracja tego ? Zapakuje to do kernela i to wszystko ? W tej wersji do kernela 2.2 bylo cos ale na ipfwadm (chyba). A jak jest z 2.4 ? -- Pozdrawiam, Marcin.
Re: NetMeeting - porty ... eh ci ludzie spox windozow ;(
ale to chodzi raczej o stawianie serwera netmeetingu, czyz nie ? nie :) A gatekeeper provides call control services to the H.323 endpoints. To cos takiego jak proxy, ktore rozpoznaje ktore polaczenie jest od kogo do kogo, i to maskuje - AFAIR dosc skutecznie, ale sie tym nie bawilem. A tak wogole to jest jakas konfiguracja tego ? Zapakuje to do kernela i to wszystko ? W tej wersji do kernela 2.2 bylo cos ale na ipfwadm (chyba). A jak jest z 2.4 ? eh, dawno tego - bardzo dawno - nie robilem, ale AFAIR wystarczylo wpuscic iptabelkami odpowiednie porty i przeforwardowac je na moj komputer DNATem - czyt: to samo z siebie nie dzialalo, DNAT tez sam z siebie nie dzialal, a w polaczeniu razem - owszem. -- Mati ([EMAIL PROTECTED]) Sounds like a Windows problem, try calling Microsoft support
Re: NetMeeting - porty ... eh ci ludzie spox windozow ;(
On Wed, Jan 29, 2003 at 10:54:46AM +0100, Marcin wrote: Witam, Od razu na wstepie dzieki za pomoc szczegolnie dla Grzegorz Kusnierz :) heh - bez przesady - w końcu po to jest ta lista :) Ponadto jest taki projekt co si? zowie OpenH323 Gatekeeper i który mo?e Ci? zainteresowa? - www.gnugk.org. ale to chodzi raczej o stawianie serwera netmeetingu, czyz nie ? a moze nie doczytalem ? (zrazilem sie tekstem jak zaczalem czytac bo stwierdzilem ze to jest stawianie serwera net meetinga, a teraz zaczyna do mnie docierac ze chyba nie zupelnie) Moglbys po polskawemu przyblizyc chocby trzema wyrazami do czego on jest ? Ja sobie po prostu taką nazwę przypomniałem gdzieś kiedyś zasłyszaną, wpisałem w google'u i trafiło. W sumie wiem tyle o tym, że raczej się kompetentny nie czuje zwłaszcza, że nigdy nie używałem (u mnie się nikt na niedziałanie NM nie skarży:) Ale... Poza tym, że gnugk spełnia rolę 'serwera', to od wersji 2.0 może robić za proxy, czego się zresztą przed chwilą z FAQa dowiedziałem :) 1.2. Can I use the GNU Gatekeeper for NAT/masquerading H323 calls through a firewall ? Use the proxy function that has been introduced in version 2.0. Jakoś się bardzo dalej nie wczytywałem, bo mam parę własnych zajęć, ale polecam: http://www.gnugk.org/h323manual.html /Section [Proxy] Obawiam się, że transparentnie się tego zrobić nie da (chociaż może) i enduserzy będą musieli sobie gdzieś coś wklepać - jak będę miał chwilę, to się zainteresuję. zabezpieczyc pamiec przed modyfikacja - grsec)), to mozesz wkompilowac Chodzi?o mi o to, ze 'wy??czenie' modu?ów w konfiguracji kernela nie jest wcale ale to w przypadku gdy sa konta shellowe na serwerze... o ile dobrze mysle... Czy ma to jakis sens jezeli ludzie nie maja shella ? No ew. bledy buffer overflow, hmmm Kwestia posiadania/nieposiadania shella nie jest tu rozstrzygająca, bo przecież istnieje masa zdalnych buffer overflow'ów. Ja sam tego nie użwyam ze względu na to, że na zewn. otwieram wyłącznie ssh i http, ale jeśli to byłby serwer 'podwyższonego ryzyka', to w kwestii uniemożliwienia modyfikacji kodu działającego jądra usunięcie modułów, włączenie CONFIG_GRKERNSEC_KMEM oraz CONFIG_GRKERNSEC_IO, a także mądre zastosowanie grsec'owych ACLi wydaje się być rozwiązaniem niezłym. If you say Y here, /dev/kmem and /dev/mem won't be allowed to dzieki :) hm..? a o co chodzi?:) no brzmi groźnie, ale brejkuje tylko parę rzeczy, z których na routerze się i tak najczęściej nie korzysta. A tak wogole to jest jakas konfiguracja tego ? Zapakuje to do kernela i to wszystko ? W tej wersji do kernela 2.2 bylo cos ale na ipfwadm (chyba). A jak jest z 2.4 ? Oj za dużo zaimków :) 'tego' czyli czego? 'to' czyli co? k. -- | /)/) | Grzegorz Kusnierz | GG: 1756511 |( xx\ | | |/'-._) | [EMAIL PROTECTED] | http://www.bezkitu.com | /#/ U | [EMAIL PROTECTED] | * radio * bez * kitu * | /#/ \__/#/
Re: NetMeeting - porty ... eh ci ludzie spox windozow ;(
Sprawdź jeszcze na tych stronach: http://www.openh323.org/ http://voip.inkom.biz/ -- Rafał Członka e-mail/JID rafi(at)jabberpl(dot)org http://h-86-190.dolsat.pl/
Re: NetMeeting - porty ... eh ci ludzie spox windozow ;(
Witam, Dziekuje wszystkim za zainteresowanie. Juz zabieram sie do lekturek :) Mam jednak pytanie zasadnicze: Czy jest wogole mozliwe cos takiego aby te babke (za NATem, u mnie w LANie) da sie wywolac z zewnatrz ? - proxy -hmmm wyjsc ok. ale wejsc ? raczej nie :( - forward portu - tez ogranicze sie tylko do jednej babki, a jak kto inny bedzie chcial ? jest to wogole mozliwe ? : Czy dobrze mysle ? -- Pozdrawiam i z gory dzieki, Marcin. Ps. ma to dzialac (dla tej babki do piatku inaczej rezygnuje :( ) Mysle uruchomic to w jakikolwiek sposob - na razie dostanie zewnetrzne IP - a jak wykombinuje to jej go zabiore. (problem ze tych zewn IP mam tylko 3 :( i mnie to strasznie wkurza :( ). Oczywiscie gdybym znalazl jakies fajne rozwiazanie to napisze o tym w grupie. Mysle tez o jakims FAQ :) Ale to potem. Najpierw musi dzialac.
Odp: Re[2]: NetMeeting - porty ... eh ci ludzie spox windozow ;(
Paweł Argail Kowalski [EMAIL PROTECTED] 03-01-27 22:48 Do: debian-user-polish debian-user-polish@lists.debian.org DW: Temat: Re[2]: NetMeeting - porty ... eh ci ludzie spox windozow ;( Ma ktos jakies rozwiazania ? mam niestety przykre doswiadczenia z netmeetingiem, to znaczy nawet dla siebie bylem zmuszony spatchowac kernel i zaladowac modul, bo nie chcialo dzialac, sam DNAT nie wystarczyl, niestety... chronicznie z kumplem to testowalismy zeby ze soba pogadac, i u obydwu konczylo sie na patchowaniu kernela, to po prostu nie dziala i koniec. Poza tym babka niech wyraznie dostanie info o tym, ze jak ma prywatne IP to niech sie pocaluje z netmeetingiem i nie marudzi, bo sama sie na takie warunki zgodzila ... Fakt niezaprzeczalny - jest z tym problem Generalnie proponuje patchomatic do iptables, i moduły h323* - sądze że powinno zadziałac. (nie sprawdzałem) -- Paweł Kowalski [EMAIL PROTECTED] [EMAIL PROTECTED] dziala ale nie do konca ja doszedlem do etapu, ze dzwiek/wizja byla ok ale problemy z wywolanie usera za natem zalogowanego do serwera ils dalej mialem doczytalem sie, ze jesli chodzi o 1 usera to mozna zrobic forwardowanie portow ale juz mi sie nie chcailo nad tym siedziec poprostu mialem inne zajecia i jakos potem nie wracalem do sprawy jesli chodzi o sam modul do maskarady to chyba mam cos innego niz jest na sourceforge jak chcesz to moge gdzies go odszukac daj znac na priv... pozdrawiam Tomek P.S. moze sa ludzie co zrobili NM w 100% chetnie skorzystam z doswiadczen
Re: Odp: Re[2]: NetMeeting - porty ... eh ci ludzie spox windozow ;(
dziala ale nie do konca ja doszedlem do etapu, ze dzwiek/wizja byla ok ale problemy z wywolanie usera za natem zalogowanego do serwera ils dalej mialem doczytalem sie, ze jesli chodzi o 1 usera to mozna zrobic forwardowanie portow ale juz mi sie nie chcailo nad tym siedziec poprostu mialem inne zajecia i jakos potem nie wracalem do sprawy jesli chodzi o sam modul do maskarady to chyba mam cos innego niz jest na sourceforge pewnie tego co ja, z patch-o-matic, i to dzialalo bez zadnego problemu, gadalem z ludzmi i ich widzialem, i oni mnie widzieli tak jak nalezy, ale to tez jest pies z kulawą nogą, i srednio fajna zabawa, ... moze sa ludzie co zrobili NM w 100% chetnie skorzystam z doswiadczen zrobilem dla swojego kompa na h323_conntrack, i dzialalo, nie mam wiekszej sieci (czyt: inni nie chca gadac), wiec sie nie przejmowalem, ale IMHO maskarada+netmeeting to sprawa raczej grząska... -- Mati ([EMAIL PROTECTED]) Sounds like a Windows problem, try calling Microsoft support
Re: NetMeeting - porty ... eh ci ludzie spox windozow ;(
Eh, mialo byc spod a nie spox : glupia literowka. Witam, Na wstepie dziekuje za pomoc. DNAT widze ze odpada. Nie mialem jeszcze okazji potestowac czy faktycznie, ale skoro tak piszecie to pewnie tak jest. Patch-o-matic oczywiscie znam i korzystam czasem, ale o patchu z pakietu patch-o-matic nie wiedzialem, spoxik :) popatrze dokladniej. za to kombinowalem z innym (na razie czytam czytam czytam) mianowicie z : http://netmeetingmasq.sourceforge.net/ i pliczkiem: http://netmeetingmasq.sourceforge.net/ip_masq_netmeeting.c Nie wiem co lepsze sourceforge czy patch-o-matic ? Pytanie drugie: NAJLEPSZYM rozwiazaniem jest sciagniecie patch-o-matic z netfilter.samba.org i zalozenie pacza h323_ip_conntrack (albo cos w tym guscie) nz zrodla kernela http://www.netfilter.org/documentation/pomlist/pom-extra.html#h323-conntrack-nat h323-conntrack-nat o ile dobrze rozumiem ? jesli nie podobaja ci sie moduly (choc jesli dobrze poczytasz, to dojdzesz do wniosku, ze samo usuniecie modulow nic nie daje (trzeba jeszcze odpowiednio zabezpieczyc pamiec przed modyfikacja - grsec)), to mozesz wkompilowac to w kernel podobnie jak irc_conntrack i ftp_conntrack. hmm, raczej wkompiluje w kernel. a moglbys mi rozjasnic nieco co trzeba by wlaczyc w GRSEC ? uzywam go, jednak jakos nic mi sie nie rzucilo specjalnego na oczy szczegolnego co by wypadalo wlaczyc extra dla tego patcha :( I tak na zakonczenie: macie jakies szczegolne doswiadczenia co nalezaloby przyciac i jak ustawic ten modul by nie zrzeral zasobow systemu ? i przede wszystkim aby to bylo BEZPIECZNE ? -- Pozdrawiam, Marcin.
NetMeeting - porty ... eh ci ludzie spox windozow ;(
Witam, Mam problem z jednym z klientow. Duzo googlowalem, obserwowalem tcpdumpem. Otoz babka uparla sie ze chce korzystac z takiego ustrojstwa Netmeeting - takie triko co to mozna kogos widziec i z nim rozmawiac. TYlko dlatego podpisala umowe - i zacznie placic jak jej to bedzie dzialac. Mam problem z portami. Jakie porty trzeba przekierowac ? Zastanawiaja mnie porty 1720 i 389 troche mi rozjasnilo: http://www.linuxvoodoo.com/howto/HOWTO/NetMeeting-HOWTO/using.html ale to malo ;( Jak uruchomic to tak aby babka mogla z tego korzystac ? - iptables, - kernel 2.4.x - NAT - serwera LDAP nie mam rozumiem ze trzeba zrobic DNATA. Ok. ale jak zrobic by kazdy mogl korzystac ? Jest to wogole mozliwe ? Special support is required on a NAT (IP Masquerade) router to allow H.323 traffic to pass through. If the NAT router is running Linux, two masquerading modules are available: http://www.coritel.it/coritel/ip/sofia/nat/nat2/nat2.htm http://netmeetingmasq.sourceforge.net/ I have not tested either of these modules. jednak patchowanie kernela odpada. Nie bede zakladal nie wiadomo jakich patchy na kernel. Zbyt wazny serwer - jego security. insmod ip_masq_netmeeting.o monitor_limit=40 bardzo dobre wytlumaczenie : http://netmeetingmasq.sourceforge.net/ip_masq_netmeeting.c ale niestesty ten nieszczesny modul do kernela : Ma ktos jakies rozwiazania ? -- Pozdrawiam, Marcin.
Re[2]: NetMeeting - porty ... eh ci ludzie spox windozow ;(
Ma ktos jakies rozwiazania ? mam niestety przykre doswiadczenia z netmeetingiem, to znaczy nawet dla siebie bylem zmuszony spatchowac kernel i zaladowac modul, bo nie chcialo dzialac, sam DNAT nie wystarczyl, niestety... chronicznie z kumplem to testowalismy zeby ze soba pogadac, i u obydwu konczylo sie na patchowaniu kernela, to po prostu nie dziala i koniec. Poza tym babka niech wyraznie dostanie info o tym, ze jak ma prywatne IP to niech sie pocaluje z netmeetingiem i nie marudzi, bo sama sie na takie warunki zgodzila ... Fakt niezaprzeczalny - jest z tym problem Generalnie proponuje patchomatic do iptables, i moduły h323* - sądze że powinno zadziałac. (nie sprawdzałem) -- Paweł Kowalski [EMAIL PROTECTED] [EMAIL PROTECTED]
Re: NetMeeting - porty ... eh ci ludzie spox windozow ;(
On Mon, Jan 27, 2003 at 09:03:37PM +0100, Marcin wrote: Witam, Mam problem z jednym z klientow. Duzo googlowalem, obserwowalem tcpdumpem. Otoz babka uparla sie ze chce korzystac z takiego ustrojstwa Netmeeting - takie triko co to mozna kogos widziec i z nim rozmawiac. TYlko dlatego podpisala umowe - i zacznie placic jak jej to bedzie dzialac. Mam problem z portami. Jakie porty trzeba przekierowac ? Zastanawiaja mnie porty 1720 i 389 troche mi rozjasnilo: http://www.linuxvoodoo.com/howto/HOWTO/NetMeeting-HOWTO/using.html ale to malo ;( Jak uruchomic to tak aby babka mogla z tego korzystac ? - iptables, - kernel 2.4.x - NAT - serwera LDAP nie mam rozumiem ze trzeba zrobic DNATA. Ok. ale jak zrobic by kazdy mogl korzystac ? Jest to wogole mozliwe ? Special support is required on a NAT (IP Masquerade) router to allow H.323 traffic to pass through. If the NAT router is running Linux, two masquerading modules are available: http://www.coritel.it/coritel/ip/sofia/nat/nat2/nat2.htm http://netmeetingmasq.sourceforge.net/ I have not tested either of these modules. jednak patchowanie kernela odpada. Nie bede zakladal nie wiadomo jakich patchy na kernel. Zbyt wazny serwer - jego security. insmod ip_masq_netmeeting.o monitor_limit=40 bardzo dobre wytlumaczenie : http://netmeetingmasq.sourceforge.net/ip_masq_netmeeting.c ale niestesty ten nieszczesny modul do kernela : Ma ktos jakies rozwiazania ? Strasznie mi sie nie chce, pisze z pamieci ale dobra: NAJLEPSZYM rozwiazaniem jest sciagniecie patch-o-matic z netfilter.samba.org i zalozenie pacza h323_ip_conntrack (albo cos w tym guscie) nz zrodla kernela jesli nie podobaja ci sie moduly (choc jesli dobrze poczytasz, to dojdzesz do wniosku, ze samo usuniecie modulow nic nie daje (trzeba jeszcze odpowiednio zabezpieczyc pamiec przed modyfikacja - grsec)), to mozesz wkompilowac to w kernel podobnie jak irc_conntrack i ftp_conntrack. sposob wyprobowany pzdr koniu. -- | /)/) | Grzegorz Kusnierz | GG: 1756511 |( xx\ | | |/'-._) | [EMAIL PROTECTED] | http://www.bezkitu.com | /#/ U | [EMAIL PROTECTED] | * radio * bez * kitu * | /#/ \__/#/