iptables

[Ivar Alm]

Kanske en fråga som dykt upp många gånger tidigare, men det har med port 
forwarding med iptables att göra.
Jag kör en server (DC-hub) på en lokal maskin 192.168.0.12 (windows) och har 
debianmaskinen som gateway för det lokala nätverket med ip 81.172.x.x.
eth0 är det externa kortet med ip 81.172.x.x, och eth1 det interna med ip 
192.168.0.1.
Jag kör port forwarding med raden:
iptables -t nat -A PREROUTING -p tcp --dport 4411 -i eth0 -j DNAT 
--to-destination 192.168.0.12:4411

Detta fungerar utmärkt med avseende på att inkommande uppkopplingar mot port 
4411 skickas till rätt port på den interna servern. Problemet uppkommer när 
de interna maskinerna vill nå servern. Jag kan inte ange adressen 
81.172.x.x:4411, utan måste ge den interna adressen 192.168.0.12:4411. 
Problemet med det är att dc-hubben får fel information, så att andra klienter 
inte kan nå de interna klienterna. Jag vill inte köra dem i passive mode.
Det jag vill kunna göra är att adressen 81.172.x.x:4411, som är hubbens adress 
för alla externa klienter ska kunna nås på samma sätt av de interna 
klienterna.

Jag har inte kunnat komma på hur jag ska tala om för iptables att även om 
interna datorer vill nå 81.172.x.x:4411, så ska även de uppkopplingarna 
skickas till 192.168.0.12:4411.

Nån som har en bra idé?

//Ivar

Re: Re: Diskutrymme

[Jan Björklund]

Hej Calle!
 
Jag hade igår c:a 14.8 GB diskutrymme.
Via lägg till/ta bort program försökte jag frigöra mer minne, men till min häpnad var disken nästan tom.
Återstod endast c:a 1.95 GB.
Vad kan detta bero på?
Finns något att göra?
 
Kan tårtbiten möjligen visa fel?
 
Mvh,
 
Jan Björklund







  IncrediMail - E-post har äntligen utvecklats - Klicka här

Re: iptables

[Oskar Fasth]

Jag vet inte riktigt hur DC-klienterna fungerar, men skulle man möjligen
kunna göra så här:
- Skaffa ett dynamiskt (eller statiskt, om du har fast ip) domännamn
till servern, ex. genom dyndns.org
- lägg till i /etc/hosts (och motsvarande fil i windows (det finns
faktiskt en)) på datorerna i det interna nätverket:

192.168.0.12dchub.foo.bar

där dchub.foo.bar är det domännamn servern har fått.

bara en idé, jag vet inte om det funkar.

/Oskar


On Sat, 2004-01-10 at 12:33, Ivar Alm wrote:
> Kanske en fråga som dykt upp många gånger tidigare, men det har med port 
> forwarding med iptables att göra.
> Jag kör en server (DC-hub) på en lokal maskin 192.168.0.12 (windows) och har 
> debianmaskinen som gateway för det lokala nätverket med ip 81.172.x.x.
> eth0 är det externa kortet med ip 81.172.x.x, och eth1 det interna med ip 
> 192.168.0.1.
> Jag kör port forwarding med raden:
> iptables -t nat -A PREROUTING -p tcp --dport 4411 -i eth0 -j DNAT 
> --to-destination 192.168.0.12:4411
> 
> Detta fungerar utmärkt med avseende på att inkommande uppkopplingar mot port 
> 4411 skickas till rätt port på den interna servern. Problemet uppkommer när 
> de interna maskinerna vill nå servern. Jag kan inte ange adressen 
> 81.172.x.x:4411, utan måste ge den interna adressen 192.168.0.12:4411. 
> Problemet med det är att dc-hubben får fel information, så att andra klienter 
> inte kan nå de interna klienterna. Jag vill inte köra dem i passive mode.
> Det jag vill kunna göra är att adressen 81.172.x.x:4411, som är hubbens 
> adress 
> för alla externa klienter ska kunna nås på samma sätt av de interna 
> klienterna.
> 
> Jag har inte kunnat komma på hur jag ska tala om för iptables att även om 
> interna datorer vill nå 81.172.x.x:4411, så ska även de uppkopplingarna 
> skickas till 192.168.0.12:4411.
> 
> Nån som har en bra idé?
> 
> //Ivar
> 
> 
> -- 
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
> 
> 
> 

Re: iptables

[Carl Ekman]

Om du tar bort "-i eth0" så bör det fungera som du vill.

 /Calle

> Jag har inte kunnat komma på hur jag ska tala om för iptables att även om
> interna datorer vill nå 81.172.x.x:4411, så ska även de uppkopplingarna
> skickas till 192.168.0.12:4411.

Re: iptables [tillägg]

[Oskar Fasth]

För att förtydliga (det gick visst lite fort) ifall min huvudpoäng inte 
framkommer 
alldeles klart: DC-klienterna konfigureras sedan att ansluta till dchub.foo.bar
istället för 192.168.0.12.

/oskar

>Jag vet inte riktigt hur DC-klienterna fungerar, men skulle man möjligen
>kunna göra så här:
>   - Skaffa ett dynamiskt (eller statiskt, om du har fast ip) domännamn
>till servern, ex. genom dyndns.org
>   - lägg till i /etc/hosts (och motsvarande fil i windows (det finns
>faktiskt en)) på datorerna i det interna nätverket:
>
>   192.168.0.12dchub.foo.bar
>
>där dchub.foo.bar är det domännamn servern har fått.

Starta program vid uppstart av X window

[Pär Lidén]

Jag undrar vilket som är det smidigaste sättet att starta program efter
uppstart av X? Jag hade tänkt starta upp tex. ICQ och nån xterm. Alltså en
så direkt morsvarighet som möjlighet till autostart-mappen i windows. Jag
kör debian testing, och använder fluxbox som fönsterhanterare.

Re: Låsa användare till sitt /home

[Marcus Lindström]

Nu har jag iaf ändrat så det bara går att köra ssh och inte telnet.
Jag har för avsikt att sätta upp en ftp-server lite senare, men just till 
webservern vill jag bara göra denna lilla ändring. Jag har en user som jag döpt 
till "demo", och det är denna jag vill sätta dessa begränsningar på.

Hur skriver jag för att  chroota demo?

Marcus

- Original Message - 
From: "Thomas Sjögren" <[EMAIL PROTECTED]>
To: "Marcus Lindström" <[EMAIL PROTECTED]>
Cc: 
Sent: Saturday, January 10, 2004 11:23 PM
Subject: Re: Låsa användare till sitt /home

On Sat, Jan 10, 2004 at 06:02:30PM +0100, Marcus Lindström wrote:
> Har för ett litet tag sedan satt upp en debian webserver.
> Jag skulle vilja låsa mina användare till enbart sitt home. Så när dom kör 
> Telnet eller SSH så ska dom inte kunna flytta sig utanför tex /home/kalle. 
> Dom ska dock kunna skapa egna kataloger/filer och röra sig i dessa, men inte 
> ta sig längre upp än till /home/kalle i strukturen. 

Vad du behöver göra är att chroot:a din användare till /home/kalle till
exempel.
Om du ska använda det till din webbserver så kanske en ftp-server skulle
vara ett bra alternativ, det flesta stödjer nämligen chroot.
Om du vill att dom ska använda ssh så kan du kolla in scponly[1].

[1] http://www.sublimation.org/scponly/

/Thomas
-- 
== [EMAIL PROTECTED] | [EMAIL PROTECTED]
== Encrypted e-mails preferred | GPG KeyID: 114AA85C
--

yfgyuf

[TmBerg]

yugyu

Re: Diskutrymme

[Per Blomqvist]

Jan Björklund wrote:

Hej Calle!
 
Jag hade igår c:a 14.8 GB diskutrymme.
Via lägg till/ta bort program försökte jag frigöra mer minne, men till 
min häpnad var disken nästan tom.

Återstod endast c:a 1.95 GB.
Vad kan detta bero på?
Finns något att göra?
 
Kan tårtbiten möjligen visa fel?
 
Mvh,
 
Jan Björklund




  /IncrediMail/ 
- *E-post har äntligen utvecklats* - *_Klicka här_* 



Du låter ju som en typisk Windows användare.
Och ser (faggot).

Re: Starta program vid uppstart av X window

[Carl Ekman]

Om man kör KDE eller GNOME så finns det separata inbyggda sätt att starta 
program (Autostart under KDE, sessioninställningarna under GNOME).

Annars är det traditionella sättet, med Xsession, att du skapar en .xinitrc i 
ditt hembibliotek som då laddar dina program inklusive fönsterhanterare...

Exempel:
#!/usr/bin/env bash
setmixer vol 30
xmodmap $HOME/.Xmodmap
fortune|xmessage -f-
exec /usr/bin/fluxbox

glöm inte "exec" före sista raden, så att du slipper ödsla minne på en onödig 
skalprocess...

Om man gör sådär behöver man se till att man använder "Xsession" som session. 
Kör du tex KDM eller GDM så kommer de default använda någon annan sorts 
session. Dumheter tycker jag, mycket bättre med en välarbetad Xsession för 
den burken. På mitt hemmasystem plockade jag förut bort alla sessioner utom 
Xsession och skrev om den så att den laddade KDE.. Så kan alla användare få 
en bra defaultsession och om de inte trivs med den så kan de skapa en 
egen .xinitrc.

> Jag undrar vilket som är det smidigaste sättet att starta program efter
> uppstart av X? Jag hade tänkt starta upp tex. ICQ och nån xterm. Alltså en
> så direkt morsvarighet som möjlighet till autostart-mappen i windows. Jag
> kör debian testing, och använder fluxbox som fönsterhanterare.

Låsa användare till sitt /home

[Marcus Lindström]

Hej
 
Har för ett litet tag sedan satt upp en debian 
webserver.
Jag skulle vilja låsa mina användare till enbart 
sitt home. Så när dom kör Telnet eller SSH så ska dom inte kunna flytta sig 
utanför tex /home/kalle. Dom ska dock kunna skapa egna kataloger/filer och röra 
sig i dessa, men inte ta sig längre upp än till /home/kalle i strukturen. 

 
Jag har hört att det ska vara lite knepigt, och 
jag är ingen guru på linux överhuvud taget.
Jag behöver alltså exempelkoder för att kunna 
göra detta.
 
 
Mvh Marcus

Re: yfgyuf

[TmBerg]

TmBerg wrote:


yugyu


Va bara ett test då några stycken av mina tidigare mail inte sett sitt 
ljus på listan. :(


/Thomas

Re: Diskutrymme

[Ivar Alm]

On Sunday 11 January 2004 00.24, Andreas Schuldei wrote:
> * Per Blomqvist ([EMAIL PROTECTED]) [040110 22:41]:
> > Du låter ju som en typisk Windows användare.
> > Och ser (faggot).
>
> vad är poengen med en sånt mail? om du vill förolämpa någon gör
> det inte här eller på andra debian listor.

Intressant att "Windowsanvändare" med automatik tolkas som en 
förolämpning... :-)
Å andra sidan så kan jag bara hålla med Per om att det låter ganska typiskt 
Windows att tolka sin tårtbit, så då är ändå mailet oerhört felriktat om det 
hamnar på debian-swedish.
Sen hör jag språkpolisen som sitter bakom mig säga att windowsanvändare är ett 
ord, likväl som debianlistor.

Godnatt.
//Ivar
PS. Var kom faggotten ifrån? Är inte det ett blåsinstrument? :-) .DS

Re: Diskutrymme

[Andreas Schuldei]

* Per Blomqvist ([EMAIL PROTECTED]) [040110 22:41]:
> Du låter ju som en typisk Windows användare.
> Och ser (faggot).

vad är poengen med en sånt mail? om du vill förolämpa någon gör
det inte här eller på andra debian listor.

Re: Låsa användar e till sitt /home

[Thomas Sjögren]

On Sun, Jan 11, 2004 at 12:03:29AM +0100, Marcus Lindström wrote:
> Nu har jag iaf ändrat så det bara går att köra ssh och inte telnet.
> Jag har för avsikt att sätta upp en ftp-server lite senare, men just till 
> webservern vill jag bara göra denna lilla ändring. Jag har en user som jag 
> döpt till "demo", och det är denna jag vill sätta dessa begränsningar på.
> 
> Hur skriver jag för att  chroota demo?

först behöver du installera scponly (finns tillgänglig för unstable, vet
inte om så är fallet för stable).
lägg till scponlyc till /etc/shells
but ut standardskalet för demo-användaren till scponlyc
nu behöver du flytta över lite libbar och filer för att allt ska
fungera.
tycker du ska ta en titt i INSTALL-filen och den shell-skriptet som
finns för att underlätta allt det här. all info finns i den vanliga
paketet för scponly: 
http://www.sublimation.org/scponly/scponly-3.9.tgz

/Thomas
-- 
== [EMAIL PROTECTED] | [EMAIL PROTECTED]
== Encrypted e-mails preferred | GPG KeyID: 114AA85C
--


signature.asc
Description: Digital signature

Re: iptables

[molle]

Om jag gissar rätt så behöver du lura dc-hubben att dina klienter från
lokala nätet använder det extärna ip:t, så andra klienter får rätt ip
(ditt extärna) när de försöker tanka från dig.

något liknande detta borde fungera:

iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.0/24 -d 192.168.0.12
--dport 4411 -j SNAT --to-source 81.172.x.x

(-d ska vara som det är pga att paketet har redan gått genom DNAT
regeln, alltså är destination redan det intärna ip:t)

sedan behöver du ändra ditt script så att även anrop från lokala nätet
kommer med i DNAT regeln. ta bort "-i eth0". då kan det vara bra och
lägga till "-d 81.172.x.x" så att du fortfarande kan använda andra
dc-hubbar :)

iptables -t nat -A PREROUTING -p tcp --dport 4411 -d 81.172.x.x -j DNAT
--to-destination 192.168.0.12:4411

jag är ganska trött och kan inte prova detta just nu, inte säker på att
det fungerar alls. hoppas det är till någon nytta iaf.

/Daniel Mollberg

On Sat, 2004-01-10 at 12:33, Ivar Alm wrote:
> Kanske en fråga som dykt upp många gånger tidigare, men det har med port 
> forwarding med iptables att göra.
> Jag kör en server (DC-hub) på en lokal maskin 192.168.0.12 (windows) och har 
> debianmaskinen som gateway för det lokala nätverket med ip 81.172.x.x.
> eth0 är det externa kortet med ip 81.172.x.x, och eth1 det interna med ip 
> 192.168.0.1.
> Jag kör port forwarding med raden:
> iptables -t nat -A PREROUTING -p tcp --dport 4411 -i eth0 -j DNAT 
> --to-destination 192.168.0.12:4411
> 
> Detta fungerar utmärkt med avseende på att inkommande uppkopplingar mot port 
> 4411 skickas till rätt port på den interna servern. Problemet uppkommer när 
> de interna maskinerna vill nå servern. Jag kan inte ange adressen 
> 81.172.x.x:4411, utan måste ge den interna adressen 192.168.0.12:4411. 
> Problemet med det är att dc-hubben får fel information, så att andra klienter 
> inte kan nå de interna klienterna. Jag vill inte köra dem i passive mode.
> Det jag vill kunna göra är att adressen 81.172.x.x:4411, som är hubbens 
> adress 
> för alla externa klienter ska kunna nås på samma sätt av de interna 
> klienterna.
> 
> Jag har inte kunnat komma på hur jag ska tala om för iptables att även om 
> interna datorer vill nå 81.172.x.x:4411, så ska även de uppkopplingarna 
> skickas till 192.168.0.12:4411.
> 
> Nån som har en bra idé?
> 
> //Ivar
> 

Re: Diskutrymme

[Carl Ekman]

Hej,

jag förstår inte riktigt vilket problem du har, och de bifogade bilderna var 
nog inte de du tänkt dig.

Du att du hade 14,8Gb diskutrymme ledigt igår och idag bara har 1,95Gbyte?
Men samtidigt hittar du inga filer som verkar ta upp all den plats som gått 
åt?

Du kan börja med att göra
 df -h

så ser hur mycket som används av de respektive partitionerna. Om det var så 
att du bara hade ett stort filsystem så kan jag rekommendera att du gör (som 
root, "su" först):

du -sh /*

och låter den tugga ett tag. Då kommer du få upp en lista över hur mycket 
plats som används i de respektive mapparna.

Låt oss säga att du hittar någonting i stil med:
12G  /var

då vet du att det som tar upp utrymmet ligger i /var

gör då 

du -sh /var/*

osv...

sen när du har hittat boven i dramat så kvarstår ju att tackla just det 
problemet... Släpp ett mail till om det inte löser sig.

 /Calle

> Jag hade igår c:a 14.8 GB diskutrymme.
> Via lägg till/ta bort program försökte jag frigöra mer minne, men till min
> häpnad var disken nästan tom.
> Återstod endast c:a 1.95 GB.
> Vad kan detta bero på?
> Finns något att göra?

Re: Låsa användare till sitt /home

[Carl Ekman]

> Jag skulle vilja låsa mina användare till enbart sitt home. Så när dom kör
> Telnet eller SSH så ska dom inte kunna flytta sig utanför tex /home/kalle.

En tanke, om det bara är de andra användarnas hembibliotek du vill skydda och 
inte resten av katalogstrukturen, är att göra chmod 700 /home/* ... Så att 
man bara har privatsaker där.

Du kan tex låta alla vara med i gruppen users, skapa en /pub som hör till 
gruppen users och är sticky (dvs alla skapade filer där ärver 
grupptillhörigheten), medan alla hembiblioteken är 700, om du vill ha både 
publika och privata filer.

 /Calle

Re: Låsa användar e till sitt /home

[Thomas Sjögren]

On Sat, Jan 10, 2004 at 06:02:30PM +0100, Marcus Lindström wrote:
> Har för ett litet tag sedan satt upp en debian webserver.
> Jag skulle vilja låsa mina användare till enbart sitt home. Så när dom kör 
> Telnet eller SSH så ska dom inte kunna flytta sig utanför tex /home/kalle. 
> Dom ska dock kunna skapa egna kataloger/filer och röra sig i dessa, men inte 
> ta sig längre upp än till /home/kalle i strukturen. 

Vad du behöver göra är att chroot:a din användare till /home/kalle till
exempel.
Om du ska använda det till din webbserver så kanske en ftp-server skulle
vara ett bra alternativ, det flesta stödjer nämligen chroot.
Om du vill att dom ska använda ssh så kan du kolla in scponly[1].

[1] http://www.sublimation.org/scponly/

/Thomas
-- 
== [EMAIL PROTECTED] | [EMAIL PROTECTED]
== Encrypted e-mails preferred | GPG KeyID: 114AA85C
--


signature.asc
Description: Digital signature

Re: Diskutrymme

[Per Blomqvist]

Andreas Schuldei wrote:

* Per Blomqvist ([EMAIL PROTECTED]) [040110 22:41]:


Du låter ju som en typisk Windows användare.
Och ser (faggot).



vad är poengen med en sånt mail? om du vill förolämpa någon gör
det inte här eller på andra debian listor.




Ingen poäng, råkade bara få utlopp ingivelse.
Han tålde det säkert.. Mer tårtbitar så blir mycket tomt?
"Faggot" är ändå inget svenskt ord.
Såg hans meddelande bra ut i ditt mutt-program?

//sorry