Re: [rlug] ipv6
practic desi exista aceleasi tabele/chain-uri sunt stack-uri complet separate. N-am folosit inca ip6tables, dar -t nat n-ar mai trebui sa existe. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
On 02/06/2011 01:40 PM, Gabriel wrote: practic desi exista aceleasi tabele/chain-uri sunt stack-uri complet separate. N-am folosit inca ip6tables, dar -t nat n-ar mai trebui sa existe. Cum sa nu, ai nevoie de nat, nu neaparat pt ca nu mai folosesti rfc1918. -- Teddy ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
N-am folosit inca ip6tables, dar -t nat n-ar mai trebui sa existe. Si in ipv6 nat-ul exista bine mersi, nu ai nevoie de el, ba chiar e nerecomandat, fiind contrrar filosofiei cu jde mii de adrese posibile. Dar pana la urma fiecare face cum doreste in gradina lui, eu am cerut recomandari ca sa-mi fac o idee de cum face lumea, ca vorba aia, best practices vin din experienta, foarte rar se merita sa reinventezi roata. Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Mapare UID pentru NFS
Salut, Exceptand munca manuala referitor la uid/gid poti sa combini NFS cu NIS sau LDAP. Andrei On 2/5/2011 10:58, Adrian Popa wrote: Salutare, Am inceput si eu sa ma joc cu NFS-ul si am reusit sa montez câteva share-uri de pe NAS-ul meu pe laptop folosind următoarele setări în /etc/exports: /nfs/Download *(rw,all_squash,sync,insecure,anonuid=65534,anongid=65534,no_subtree_check) Totul e bine si frumos, mai putin faptul ca fisierele de pe NAS au ca owner nobody (uid 99) si group jewab (gid 1000), iar userul cu care montez (si care vreau sa aiba drepturi rw) are uid 1000 si gid 1000. Am găsit pe net exemple de remapare a UID-urilor cu un parametru numit map_static=/etc/nfs.uid.map, iar fisierul ar avea un continut de genul: #remote local #adrianp@stingray - nobody uid 1000 99 ... care ar trebui sa rezolve problema drepturilor. Din păcate se pare că parametrul map_static nu mai e suportat de NFS de ceva vreme... (exportfs: /etc/exports:1: unknown keyword map_static=/etc/nfs.uid.map) Așa că - întrebarea mea este - ce variantă de remapare a drepturilor îmi recomandați să folosesc din următoarele la care m-am gândit (sau poate că există ceva ce mi-a scăpat): 1. schimbat uid 99 în uid 1000 și chown recursiv pe fisierele existente de pe NAS - Risc: e posibil ca anumite aplicatii de pe NAS sa depindă de uid-ul 99 și sa dau în alte belele) 2. schimbat uid 1000 în uid 99 și chown recursiv pe fișierele de pe laptop - Risc: S-ar putea să chițăie ubuntu că UID-ul userului e sub 1000 3. de vreme ce gid-ul e comun (din întâmplare), aș putea da drepturi rw pe grup + schimbat umask să aibă 0 pe grup și așa aș avea drepturi (dar umask-ul trebuie ajustat în ambele locuri) - problema o să fie când creez fisiere noi de pe laptop se vor salva pe NAS cu uid 1000, ceea ce nu-mi convine... Știu că există ceva servicii pentru nfs pentru maparea numelor, dar nu folosesc aceleași nume de utilizatori în ambele locuri, deci nu știu dacă mă ajută. So, există vreo posibilitate sa montez share-ul făcând remapping automat la UID/GID? Știu că NFS-ul nu a fost proiectat să fie montat ca un share samba (cu uid=xxx,gid=yyy), dar ca functionalitate, cam asta aș vrea. Mulțumesc, Adrian ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
Cum sa nu, ai nevoie de nat, nu neaparat pt ca nu mai folosesti rfc1918. alix-2d3:~# ip6tables -t nat -vnL ip6tables v1.4.2: can't initialize ip6tables table `nat': Table does not exist (do you need to insmod?) Perhaps ip6tables or your kernel needs to be upgraded. E de la mine? Din cate stiu, in acest moment nu exista o implementare a NAT66 nici pe Linux, nici pe Cisco, nici pe la altii. Dar, la cat de dinamice sunt lucrurile in zona asta, e foarte posibil sa ma insel. Let me know! Gabi old habits die hard ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Mapare UID pentru NFS
Sa ma complic cu NIS sau cu LDAP pentru un setup home-based mi se pare overkill :) Sa inteleg ca nu mai exista nici o optiune pentru mapare manuala? Thanks ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
On 06.02.2011 13:42, Tudor Gheorghe wrote: N-am folosit inca ip6tables, dar -t nat n-ar mai trebui sa existe. Cum sa nu, ai nevoie de nat, nu neaparat pt ca nu mai folosesti rfc1918. Pentru ce mai ai nevoie de nat ? Cioby PS. Imi imaginez o singura utilizare legitima de nat in ipv6 (dar nu sunt convins ca nu se poate face si altfel), dar sunt curios daca e la ce te gandesti tu. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
Pentru ce mai ai nevoie de nat ? Hmm, adrese neroutate, dar scoase in net prin nat? ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
On 06.02.2011 14:31, Bogdan-Stefan Rotariu wrote: Pentru ce mai ai nevoie de nat ? Hmm, adrese neroutate, dar scoase in net prin nat? Posibil, dar de ce atunci cand ai gazilioane de adrese disponibile? Doar pentru ca asa se face la ipv4 ? Care mai e avantajul la ipv6 atunci... Cioby ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
On 06.02.2011 14:31, Bogdan-Stefan Rotariu wrote: Pentru ce mai ai nevoie de nat ? Hmm, adrese neroutate, dar scoase in net prin nat? Posibil, dar de ce atunci cand ai gazilioane de adrese disponibile? Doar pentru ca asa se face la ipv4 ? Care mai e avantajul la ipv6 atunci... Pai, poate ca nu ai posibilitatea sa ai niste reguli de filtrare puse bine la punct, sau nu ai unde/cum sa le faci. Eu chiar vedeam util nat-ul, cel putin in cazul meu : balancer http(perlbal,nginx,whatever), www-uri, iesirea SNAT prin balancer. Poate inca nu sunt obisnuit cu huge amount of IP addresses si vad lucrurile diferit, dupa cum ai spus tu asa se face la ipv4 :) ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
On 06.02.2011 14:40, Bogdan-Stefan Rotariu wrote: On 06.02.2011 14:31, Bogdan-Stefan Rotariu wrote: Pentru ce mai ai nevoie de nat ? Hmm, adrese neroutate, dar scoase in net prin nat? Posibil, dar de ce atunci cand ai gazilioane de adrese disponibile? Doar pentru ca asa se face la ipv4 ? Care mai e avantajul la ipv6 atunci... Pai, poate ca nu ai posibilitatea sa ai niste reguli de filtrare puse bine la punct, sau nu ai unde/cum sa le faci. Adica nu poti face filtrare dar poti face nat ? Pare putin probabil. Cred ca situatia obisnuita e fix pe dos. Eu chiar vedeam util nat-ul, cel putin in cazul meu : balancer http(perlbal,nginx,whatever), www-uri, iesirea SNAT prin balancer. Nu ma pricep, care ar fi problema ca http(perlbal,nginx,whatever) sa aiba fiecare adresa IP proprie ? (lasand la o parte penuria de adrese?) Da, un balancer poate lua decizii mai educate decat simplul round-robin dns, dar asta e alta discutie. Chiar si in IPv4, daca vrei HTTPS oricum iti trebuie o adresa ip per wwwhost deci... Cioby ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
On 02/06/2011 02:47 PM, Dumitru Ciobarcianu wrote: Chiar si in IPv4, daca vrei HTTPS oricum iti trebuie o adresa ip per wwwhost deci... Scuze că stric discuția legată de IPv6. Se pot construi vhost-uri HTTPS multiple per IP folosind SNI ( doar să ofere suport serverul și clientul :-) ) Răzvan ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
2011/2/6 Razvan Deaconescu raz...@rosedu.org: On 02/06/2011 02:47 PM, Dumitru Ciobarcianu wrote: Chiar si in IPv4, daca vrei HTTPS oricum iti trebuie o adresa ip per wwwhost deci... Scuze că stric discuția legată de IPv6. Se pot construi vhost-uri HTTPS multiple per IP folosind SNI ( doar să ofere suport serverul și clientul :-) ) Back in the real world, lipsa suportului de SNI e suficient de raspandita incat sa nu iti permiti sa il implementezi.Mai ales ca nu stiu sa se poata implementa un mod elegant de failure. -- Petre. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
On 02/06/2011 02:27 PM, Dumitru Ciobarcianu wrote: On 06.02.2011 13:42, Tudor Gheorghe wrote: N-am folosit inca ip6tables, dar -t nat n-ar mai trebui sa existe. Cum sa nu, ai nevoie de nat, nu neaparat pt ca nu mai folosesti rfc1918. Pentru ce mai ai nevoie de nat ? Pentru aceleasi lucruri pt care ai nevoie si cu ipv4 si ip-uri publice. -- Teddy ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
Scuze că stric discuția legată de IPv6. Se pot construi vhost-uri HTTPS multiple per IP folosind SNI ( doar să ofere suport serverul și clientul :-) ) ce e aia ? din cate stiu eu nu prea aveai cum sa faci multiplu https pe acelasi ip pentru ca urla layer-ul de ssl ca nu se potriveste certificatul ar fi mers cu certificat cu wildcard, dar de obicei ai face chestia asta la massive hosting, si acolo cel mai probabil ai domeniile total diferite, deci wildcardul nu te ajuta mai deloc parca am auzit de niste certificate care sa se aplice la mai multe domenii diferite, dar nu mai stiu daca era wishlist sau ceva destul de obscur care nu prea se intalneste si nu e mai deloc suportat Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
On 06.02.2011 15:24, Tudor Gheorghe wrote: Pentru ce mai ai nevoie de nat ? Pentru aceleasi lucruri pt care ai nevoie si cu ipv4 si ip-uri publice. Pot sa te rog sa elaborezi putin ? NAT a fost inventat in principal din cauza penuriei de adrese ipv4, ceea ce in ipv6 sper ca esti de acord cu mine ca nu mai e cazul. Care alte aceleasi lucruri ? Cioby ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
Nu ma pricep, care ar fi problema ca http(perlbal,nginx,whatever) sa aiba fiecare adresa IP proprie ? (lasand la o parte penuria de adrese?) uite ca la balansare inca nu ma gandisem, si intr-adevar, nat-ul ramane cea mai buna alegere, ca ai cea mai mare flexibilitate si cele mai multe platforme suportate ar mai merge si cu DR, dar deja acolo se complica configuratiile, plus ca trebuie sa faci configurari majore si pe serverele din spate, iar uneori acest lucru nu e posibil nu stiu cu anycast-ul din ipv6 daca aduce ceva nou, dar sincer din cate am inteles anycast-ul se face per pachet, iar aici ai nevoie per conexiune, daca primul pachet se duce la un server si celalalt la altul, degeaba mai faci balansare, ca oricum nu merge m-am uitat si eu acuma pe un lenny, si cutzu nat pentru ipv6; ce-i drept, cutzu si ipvs (balansare) din pacate n-am un squeeze inca sa ma uit; chiar, sa vad daca a fost lansat pe piata Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
Pot sa te rog sa elaborezi putin ? NAT a fost inventat in principal din cauza penuriei de adrese ipv4, ceea ce in ipv6 sper ca esti de acord cu mine ca nu mai e cazul. Care alte aceleasi lucruri ? Mdea, una e pentru ce a fost inventat si alta e pentru ce a ajuns sa fie folosit, la o gama foarte larga de balansari si chiar si ca firewall :-D. Apropos, de curiozitate, citeam pe undeva ca se poate face bypass la un firewall (in ghilimele) bazat doar pe nat (adica sa ai probabil doar o regula de snat ori masquerade pe acolo). Mi-am stors creierii dar tot nu ma prind cum se poate ajunge in spatele retelei de afara ... ar fi niste metode prin comenzi de ftp sau alte genuri de upnp, dar asta presupun ceva interventie din spatele firewall-ului, sa dea userul un clicka-clicka ceva. Alte idei ? Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Mapare UID pentru NFS
Nu e mai simplu sa scoti all_squash si apoi sa faci chown fisierelor alora catre userul (uid-ul) care le va folosi de fapt de pe statia ta? ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
Pentru ce mai ai nevoie de nat ? Hmm, adrese neroutate, dar scoase in net prin nat? Te referi la ULA ( http://en.wikipedia.org/wiki/Unique_local_address ) ? ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
Te referi la ULA ( http://en.wikipedia.org/wiki/Unique_local_address ) ? sunt mai multe adrese nerutabile in ipv6, dar astea sunt corespondentul adreselor private din ipv4 Alex ps: daca mai adaugi si un private la unique local adress ramane acelasi lucru ca sens, dar in romana suna foarte bine prescurtarea :-P ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
On 06.02.2011 15:53, Alex 'CAVE' Cernat wrote: Pot sa te rog sa elaborezi putin ? NAT a fost inventat in principal din cauza penuriei de adrese ipv4, ceea ce in ipv6 sper ca esti de acord cu mine ca nu mai e cazul. Care alte aceleasi lucruri ? Mdea, una e pentru ce a fost inventat si alta e pentru ce a ajuns sa fie folosit, la o gama foarte larga de balansari si chiar si ca firewall :-D. Sa folosesti NAT ca firewall e ca si cum ti-ai pune o holograma pe tine si te-ai astepta sa-ti tina de frig. Iar cei care au nevoie de balansare nu cred ca sunt 1% din utilizatorii internetului si nu sunt convins ca nu se poate altfel dar pentru sake of argument accept :). Deci, balansare. Altceva ? Cioby ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
On 02/06/2011 06:58 PM, Dumitru Ciobarcianu wrote: Pot sa te rog sa elaborezi putin ? NAT a fost inventat in principal din cauza penuriei de adrese ipv4, ceea ce in ipv6 sper ca esti de acord cu mine ca nu mai e cazul. Care alte aceleasi lucruri ? Mdea, una e pentru ce a fost inventat si alta e pentru ce a ajuns sa fie folosit, la o gama foarte larga de balansari si chiar si ca firewall :-D. Sa folosesti NAT ca firewall e ca si cum ti-ai pune o holograma pe tine si te-ai astepta sa-ti tina de frig. Iar cei care au nevoie de balansare nu cred ca sunt 1% din utilizatorii internetului si nu sunt convins ca nu se poate altfel dar pentru sake of argument accept :). Deci, balansare. Altceva ? Facem o lista ? - transparent proxy -- Teddy ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
Faptul ca poti sa faci niste chestii nu inseamna neaparat ca e si bine sa le faci. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
On 02/06/2011 07:13 PM, Eugeniu Patrascu wrote: Faptul ca poti sa faci niste chestii nu inseamna neaparat ca e si bine sa le faci. Corect. http://lists.netfilter.org/pipermail/netfilter/2005-March/059463.html / When is support NAT table for Ip6tables? / Only over my dead body. We will never implement ipv6-to-ipv6 network address translation as long as I have any say in netfilter/iptables development. NAT is evil and causes horrible breakage of end-to-end on the internet. IPv6 has enough addresses and therefore no justification for NAT. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
Nu stiu cum sinteti voi, da' eu nu as lasa statii cu windows cu ip-uri publice pe internet. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
Facem o lista ? - transparent proxy Practic nat _exista_ in ipv4 pentru a putea fi un agent intre o retea privata si una publica. Teoretic avea si alte roluri interesante, ca mai sus _transparent proxy_ (ce isepe nu scotea in zilele de glorie clientii printr-un squid (chiar mai multe, poate legatre intre isepei)?), posibilitatea de a ascunde cati utilizatori sunt in spatele unei conexiuni, dupa cum am spus, utilitatea sa in balancere, nu neaparat cele http, [YOUR _nat_ HERE]. Nu stiu daca unii considera nat ca o masura de securitate, dar nu cred ca ar trebui sa o faca, poate doar din comoditate. Acu' cu IPv6, ar trebui sa puna si adminii burta pe munca, sa mai faca filtering, daca adresele vor fi intr-un fel sau altul publice :) ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Mapare UID pentru NFS
Buba e ca mai sunt procese care scriu/acceseaza fisierele local pe NAS si procesele alea ruleaza tot cu userul nobody (uid 99). Deci daca fac chown o sa mut problema de acces in alta parte... Am pus intrebarea pe lista asta in speranta ca exista ceva care sa ma ajute sa fac mappingul, dar daca nu exista sau daca ce vreau eu sa fac nu e recomandat in practica, inseamna ca incerc sa abuzez de NFS intr-un mod barbar si poate ar trebui sa-mi regandesc toata solutia :) 2011/2/6 Vali Dragnuta vali.dragn...@inode.ro Nu e mai simplu sa scoti all_squash si apoi sa faci chown fisierelor alora catre userul (uid-ul) care le va folosi de fapt de pe statia ta? ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
Pe 06.02.2011 19:26, Vali Dragnuta a scris: Nu stiu cum sinteti voi, da' eu nu as lasa statii cu windows cu ip-uri publice pe internet. I second that. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
On Sun, Feb 6, 2011 at 19:37, Radu Zoran r...@r2dev.ro wrote: Pe 06.02.2011 19:26, Vali Dragnuta a scris: Nu stiu cum sinteti voi, da' eu nu as lasa statii cu windows cu ip-uri publice pe internet. I second that. I do not. D'aia exista firewall-uri, sa fie folosite. NAT ca si masura de securitate, avand in vedere tipologia atacurilor din ziua de azi e fix caca. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
On 06.02.2011 19:26, Vali Dragnuta wrote: Nu stiu cum sinteti voi, da' eu nu as lasa statii cu windows cu ip-uri publice pe internet. Pentru ca ? Vorba unui colistash, Acu' cu IPv6, ar trebui sa puna si adminii burta pe munca, sa mai faca filtering. Securitatea (da, intre ghilimele) oferita de NAT este doar o himera. Oricum trebuie sa setezi filtering-ul cum trebuie. Cioby ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
On Sun, 2011-02-06 at 19:52 +0200, Dumitru Ciobarcianu wrote: On 06.02.2011 19:26, Vali Dragnuta wrote: Nu stiu cum sinteti voi, da' eu nu as lasa statii cu windows cu ip-uri publice pe internet. Pentru ca ? Vorba unui colistash, Acu' cu IPv6, ar trebui sa puna si adminii burta pe munca, sa mai faca filtering. --- Nu contesta nimeni asta Securitatea (da, intre ghilimele) oferita de NAT este doar o himera. Oricum trebuie sa setezi filtering-ul cum trebuie. --- Securitatea aia asigura cit de cit o decuplare implicita a unei retele private de retelele publice, in acelasi timp ascunzind detalii care nu este necesar sa fie disponibile in exterior (ex numarul si eventual tipul obiectelor din reteaua interna). Sint de acord, e un pic security by obscurity, dar are anumite beneficii. Eu personal nu consider ca am vreun beneficiu real sa dau ip-uri publice pentru toate frigiderele si prajitoarele de piine din retea. Cine considera ca e totul hunky-dory si nu exista de fapt niciun risc este desigur liber sa actioneze ca atare :). Si again, nu contest ca trebuie sa-ti setezi filteringul cum trebuie. PS : Abia astept sa inceapa sa iasa la suprafata toate bug-urile din stivele de networking ale diverselor sisteme de operare , acu ca' o sa inceapa sa se foloseasca mai mult ipv6. It will be 90's all over again. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Mapare UID pentru NFS
2011/2/5 Adrian Popa adrian.popa...@gmail.com Am găsit pe net exemple de remapare a UID-urilor cu un parametru numit map_static=/etc/nfs.uid.map, iar fisierul ar avea un continut de genul: #remote local #adrianp@stingray - nobody uid 1000 99 ... care ar trebui sa rezolve problema drepturilor. Din păcate se pare că parametrul map_static nu mai e suportat de NFS de ceva vreme... (exportfs: /etc/exports:1: unknown keyword map_static=/etc/nfs.uid.map) Optiunea map_static era suportata doar de serverul NFS userspace (care acum nu mai e folosit). Vei gasi mentiuni despre optiune doar prin tutoriale de acum 10 ani. Așa că - întrebarea mea este - ce variantă de remapare a drepturilor îmi recomandați să folosesc din următoarele la care m-am gândit (sau poate că există ceva ce mi-a scăpat): Daca userul tau e singurul care trebuie sa aiba acces pe NAS la fisierele alea, ai putea sa exporti directorul cu optiunile: all_squash,anonuid=99,anongid=1000 Mihai ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
Oricum, discutii despre IPv6 or sa fie din ce in ce mai multe de acum incolo mai ales ca in urma cu 3 zile ICANN a anuntat sfarsitul adreselor IPv4. Ce mai sunt disponibil mai sunt pe la registrii regnionali sau nationali. Oricum multe adrese IPv4 sunt nefolosite... si o curatenie adevarta ar mai fi adus multe adrese inapoi... (numai la mine in oras, si e destul de mic, sunt destule de clase /24 nefolosite sau folosite partial) da asta e subiect de offtopic. În data de 6 februarie 2011, 19:52, Dumitru Ciobarcianu dumitru.ciobarci...@ines.ro a scris: On 06.02.2011 19:26, Vali Dragnuta wrote: Nu stiu cum sinteti voi, da' eu nu as lasa statii cu windows cu ip-uri publice pe internet. Pentru ca ? Vorba unui colistash, Acu' cu IPv6, ar trebui sa puna si adminii burta pe munca, sa mai faca filtering. Securitatea (da, intre ghilimele) oferita de NAT este doar o himera. Oricum trebuie sa setezi filtering-ul cum trebuie. Cioby ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
On 02/06/2011 06:58 PM, Dumitru Ciobarcianu wrote: Sa folosesti NAT ca firewall e ca si cum ti-ai pune o holograma pe tine si te-ai astepta sa-ti tina de frig. Nu chiar nat te asigura ca no matter what (in afara de cazul ca-ti faci port forwarding) din afara nu se pot initia conexiuni inauntru. Supapa unidirectioanala fool proof. E foarte bun pentru utilizatorul casnic cu windows care asculta pe smb si poate fi spart la minut daca nu are ultimele update-uri. Am vazut suficiente calculatoare casnice cu xp sp2 fara firewall si cu updates pe off. Nu disput ca si-o merita, dar decit sa ajungem sa fie toata lumea parte din cite un botnet... -- Dan Borlovan Datagroup-Int ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
On 06.02.2011 20:29, Dan Borlovan wrote: On 02/06/2011 06:58 PM, Dumitru Ciobarcianu wrote: Sa folosesti NAT ca firewall e ca si cum ti-ai pune o holograma pe tine si te-ai astepta sa-ti tina de frig. Nu chiar nat te asigura ca no matter what (in afara de cazul ca-ti faci port forwarding) din afara nu se pot initia conexiuni inauntru. Supapa unidirectioanala fool proof. Care ne face all warm and fuzzy ca suntem protejati. _NOT_. 1. Accelasi lucru (din afara nu se pot initia conexiuni) se obtine cu -state ESTEABLISHED -j ACCEPT -j DROP 2. In anumite conditii (functie de echipament/NAT) se poate sa trimiti pachete din exterior catre interior. Nu tot timpul, nu orice pachet, dar se poate. Da, in teoria NAT spune ca nu se poate, dar in echipamentele existente in piata nu ruleaza teorie ci SO-uri facute de oameni supusi greselii. 3. Dupa cum spunea un colistash cu mai multa experienta decat mine in de-astea, vectorii actuali de malware such nu au nici o problema cu NAT sau cu faptul ca din afara nu se pot initia conexiuni. E foarte bun pentru utilizatorul casnic cu windows care asculta pe smb si poate fi spart la minut daca nu are ultimele update-uri. Am vazut suficiente calculatoare casnice cu xp sp2 fara firewall si cu updates pe off. Nu disput ca si-o merita, dar decit sa ajungem sa fie toata lumea parte din cite un botnet... Dap, nu va face parte la minut, va face parte la zi sau saptamana in momentul in care userul respectiv va da click pe AnnaKurnikova.jpg.exe sau (pentru ca userul este mai cunoscator si stie ca nu tre sa dea click pe exe) in momentul in care ie6 va rula ce vrea detinatorului site-ului care promite ultimul clip al lu' Lady Baba. Faptul ca se afla in spatele unui NAT nu l-a protejat cu nimic... Cioby ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
On 02/06/2011 08:47 PM, Dumitru Ciobarcianu wrote: Dap, nu va face parte la minut, va face parte la zi sau saptamana in momentul in care userul respectiv va da click pe AnnaKurnikova.jpg.exe De acord nu e o solutie corecta sau perfecta. Dar in viata reala orice protectie in plus ajuta. Parca am mai spus, si eu am fost tinar si idealist dar am crescut. Daca din start primesti ip public nu mai apuci sa-ti pui un antivirus sau update-urile si deja esti spart. Ce te faci cu asta si utilizatorii casnici care nu au diploma de sysadmin? Din acelasi motiv si la fel de gresite sint - filtratul la provider a porturilor 135:139 si 1433 - nepermisa iesirea pe portul 25 decit spre mailserver (si totusi eficienta si te scuteste de a intra in tot soiul de rbl-ul din care e greu sa iesi) - any kind of mail tampering - si totusi toata lumea are antivirus si antispam pe mailserver - ssh pe alt port decit 22 - si totusi scannerele automate cauta doar portul 22 - soafte cunoscute in alte cai decit cele standard (tot botii te cauta de /phpmyadmin /forum si alte 10 url-uri standard) Si totusi desi sint doar piedici pentru kiddies si spamboti ajuta mult Normal ca exista o gramada de vectori de atack la un click distanta si nu poti proteja complet pe nimeni dar asta nu e un motiv sa nu faci nimic pentru ca nu e tehnic the right way -- Dan Borlovan Datagroup-Int ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
Pe 06.02.2011 19:48, Eugeniu Patrascu a scris: On Sun, Feb 6, 2011 at 19:37, Radu Zoranr...@r2dev.ro wrote: Pe 06.02.2011 19:26, Vali Dragnuta a scris: Nu stiu cum sinteti voi, da' eu nu as lasa statii cu windows cu ip-uri publice pe internet. I second that. I do not. D'aia exista firewall-uri, sa fie folosite. NAT ca si masura de securitate, avand in vedere tipologia atacurilor din ziua de azi e fix caca. Sper ca nu te referi la firewall-ul din Windows :) Problema nu e nici macar securitatea windows-ului ca atare, ci educatia celui care il foloseste. Cata vreme am lucrat intr-o cladire cu ~100 de calculatoare (nu mai stiu cifra exacta, cred ca erau mai multe, dau una minimala) in care accesul la Internet se facea pe un principiu, sa zicem, democratic (IP-uri publice, acces nediscriminatoriu ca nimeni sa nu se simta in vreun fel lezat, restrictionat sau impiedicat sa-si faca treaba -- net neutrality ftw!!111, cum ar zice rpetre) pot spune ca si cel(cei) care se ocupa(u) de administrarea retelei cat si utilizatorii statiilor respective ar fi avut mult mai putine batai de cap daca ar fi existat o retea locala. Ar fi fost poate ceva mai mult de lucru pe termen scurt, dar mai multa liniste sufleteasca pentru toata lumea pe termen lung. Don't get me wrong, mie faptul ca aveam _eu_ IP public imi convenea de minune, dar ca mine cred ca erau cel mult 10-15 (ca sa fiu generos) din alea 100+ calculatoare. Disclaimer: take all this fwiw -- retelele nu sunt aria mea de specialitate, spun doar ce am observat din experienta personala. Si in fine, daca e sa vorbim in context de ipv6 probabil se pune putin diferit problema fata de acum 10 ani, dar cel putin o parte (importanta) din problemele la care ma refeream mai sus cred ca sunt in continuare de actualitate. Radu ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
Sa ne reamintim de unde a plecat discutia: Este NAT necesar in contextul IPv6 ? On 06.02.2011 21:10, Dan Borlovan wrote: Daca din start primesti ip public nu mai apuci sa-ti pui un antivirus sau update-urile si deja esti spart. Ce te faci cu asta si utilizatorii casnici care nu au diploma de sysadmin? Utilizatorii casnici care nu au diploma de sysadmin si in ziua de azi (IPv4) au adresa publica de la ISP. Daca sunt un pic mai evoluati si au router au NAT, dar la fel de bine acel router in loc de nat poate avea filtering dupa cum am spus. NAT-ul _per se_ nu ii ajuta cu nimic. Din acelasi motiv si la fel de gresite sint - filtratul la provider a porturilor 135:139 si 1433 - nepermisa iesirea pe portul 25 decit spre mailserver (si totusi eficienta si te scuteste de a intra in tot soiul de rbl-ul din care e greu sa iesi) Astea intra in partea de filtering cu care sunt absolut de acord. Deci oricum ISP-ul filtreaza 139, la ce ii mai ajuta NAT-ul ? :) - any kind of mail tampering - si totusi toata lumea are antivirus si antispam pe mailserver Ce treaba are mail tampering cu antivirus sau antispam ? Sau inteleg eu altceva prin mail tampering. - ssh pe alt port decit 22 - si totusi scannerele automate cauta doar portul 22 - soafte cunoscute in alte cai decit cele standard (tot botii te cauta de /phpmyadmin /forum si alte 10 url-uri standard) Astea intra in partea de security by obscurity cu care nu mai sunt de acord. De ce ar vrea lumea so foloseasca soafte insecure este peste puterile mele de intelegere (si cand spui de phpmyadmin friends nu mai suntem in domeniul home user). Iar ssh-ul l-am avut intotdeauna pe 22. Faptul ca oh, ah, I R so secure, le am in alta parte decat s-ar uita cineva nu induce decat un fals sentiment de siguranta care te impiedica sa faci lucrurile cum trebuie pana la capat (lasa ca nu-l gaseste, nu mai stau sa faci si filtering sau hardening sau vulncheck). Dar deja ne indepartam de la subiect (chiar daca NAT are un pic de security by obscurity in el) :)) Si totusi desi sint doar piedici pentru kiddies si spamboti ajuta mult Da, ajuta. Impotriva kiddies si spambots. Nu si daca cineva chiar vrea sa se joace cu tine. Normal ca exista o gramada de vectori de atack la un click distanta si nu poti proteja complet pe nimeni dar asta nu e un motiv sa nu faci nimic pentru ca nu e tehnic the right way Nu voiam sa spun sa nu se faca nimic. Dimpotriva. Voiam sa spun doar ca falsele raspunsuri (gen NAT as firewall) nu ajuta chiar asa cum ne inchipuim si nu fac decat sa induca o suficienta periculoasa, tocmai pentru ca nu sunt tehnic the right way. Cioby ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
On Sun, 2011-02-06 at 15:00 +0200, Razvan Deaconescu wrote: On 02/06/2011 02:47 PM, Dumitru Ciobarcianu wrote: Chiar si in IPv4, daca vrei HTTPS oricum iti trebuie o adresa ip per wwwhost deci... Scuze că stric discuția legată de IPv6. Se pot construi vhost-uri HTTPS multiple per IP folosind SNI ( doar să ofere suport serverul și clientul :-) ) Lista de servere/clienti cu suport SNI e la http://en.wikipedia.org/wiki/Server_Name_Indication#Support ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
On 7/02/2011 4:26 AM, Vali Dragnuta wrote: Nu stiu cum sinteti voi, da' eu nu as lasa statii cu windows cu ip-uri publice pe internet. Na aici deja incep sa imi pun intrebari cum vor evolua scripturile de fishing al calc ce pot fi compromise. In IPv4era simplu ca luai un net range si generai consecutiv toate hosturile si ceva tot prindeai dala IPv6 lucrulile se cam schimba... Om trai si om vedea... ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
--- Securitatea aia asigura cit de cit o decuplare implicita a unei retele private de retelele publice, in acelasi timp ascunzind detalii care nu este necesar sa fie disponibile in exterior (ex numarul si eventual tipul obiectelor din reteaua interna). Sint de acord, e un pic security by obscurity, dar are anumite beneficii. Eu personal nu consider ca am vreun beneficiu real sa dau ip-uri publice pentru toate frigiderele si prajitoarele de piine din retea. Cine considera ca e totul hunky-dory si nu exista de fapt niciun risc este desigur liber sa actioneze ca atare :). Presupunand ca toate statiile dintr-o retea au IP-uri (v6) publice, cum determini numarul lor? Scanarea nu prea mai e o optiune. A calculat la un moment dat cineva cat ar dura sa scanezi un /64 (masca standard pentru un subnet) si a iesit o valoare suficient de mare incat sa nu fie practica o astfel de abordare. Si asta e doar un subnet. Ar mai fi optiunea monitorizarii pasive a traficului, dar asta ar presupune ca atacatorul sa aiba deja acces in reteaua ta. Caz in care problemele tale sunt mai mari. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
On 7/02/2011 4:26 AM, Vali Dragnuta wrote: Nu stiu cum sinteti voi, da' eu nu as lasa statii cu windows cu ip-uri publice pe internet. Un Windows 7 default supravietuieste bine mersi. Nu sunt foarte documentat in ceea ce priveste bugurile din Windows, dar, AFAIK, de la XP SP2 incoace (care venea cu firewall-ul activat by default) nu au mai fost probleme majore exploatabile de la distanta care sa creeze conditiile aparitiei unor viermi. Cum s-a mai zis, metodele de atac presupun atragerea utilizatorului catre site-uri cu continut malitios si exploatarea bug-urilor din IE pentru a compromite statia respectiva. Na aici deja incep sa imi pun intrebari cum vor evolua scripturile de fishing al calc ce pot fi compromise. In IPv4era simplu ca luai un net range si generai consecutiv toate hosturile si ceva tot prindeai dala IPv6 lucrulile se cam schimba... Om trai si om vedea... Scanarea nu mai constituie o metoda viabila, dar facilitatea de neighbor discovery deschide calea altor atacuri. O alta problema e ca, in timp ce se implementeaza noul protocol, exista riscul ca acestuia sa i se acorde mai putina atentie dpdv al securitatii si, in acest fel, sa se creeze brese in retea, chiar daca reteaua IPv4 este securizata onorabil. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
2011/2/6 Radu Zoran radu.zo...@r2dev.ro: Pe 06.02.2011 19:48, Eugeniu Patrascu a scris: On Sun, Feb 6, 2011 at 19:37, Radu Zoranr...@r2dev.ro wrote: Pe 06.02.2011 19:26, Vali Dragnuta a scris: Nu stiu cum sinteti voi, da' eu nu as lasa statii cu windows cu ip-uri publice pe internet. I second that. I do not. D'aia exista firewall-uri, sa fie folosite. NAT ca si masura de securitate, avand in vedere tipologia atacurilor din ziua de azi e fix caca. Sper ca nu te referi la firewall-ul din Windows :) Pot sa-l iau in considerare. Contrar parerii populare, chiar blocheaza conexiuni si tot ce mai trebuie. Eu il folosesc pe laptop fara probleme de foarte multa vreme. Problema nu e nici macar securitatea windows-ului ca atare, ci educatia celui care il foloseste. Aici e de fapt problema. Din pacate asta cu educatia utilizatorului o sa ramana foarte mult timp veriga slaba a securitatii. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Mapare UID pentru NFS
Mulțumesc de sugestie - o să încerc. 2011/2/6 Mihai Maties mi...@xcyb.org 2011/2/5 Adrian Popa adrian.popa...@gmail.com Am găsit pe net exemple de remapare a UID-urilor cu un parametru numit map_static=/etc/nfs.uid.map, iar fisierul ar avea un continut de genul: #remote local #adrianp@stingray - nobody uid 1000 99 ... care ar trebui sa rezolve problema drepturilor. Din păcate se pare că parametrul map_static nu mai e suportat de NFS de ceva vreme... (exportfs: /etc/exports:1: unknown keyword map_static=/etc/nfs.uid.map) Optiunea map_static era suportata doar de serverul NFS userspace (care acum nu mai e folosit). Vei gasi mentiuni despre optiune doar prin tutoriale de acum 10 ani. Așa că - întrebarea mea este - ce variantă de remapare a drepturilor îmi recomandați să folosesc din următoarele la care m-am gândit (sau poate că există ceva ce mi-a scăpat): Daca userul tau e singurul care trebuie sa aiba acces pe NAS la fisierele alea, ai putea sa exporti directorul cu optiunile: all_squash,anonuid=99,anongid=1000 Mihai ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
2011/2/7 Gabriel jarod...@yahoo.com On 7/02/2011 4:26 AM, Vali Dragnuta wrote: Nu stiu cum sinteti voi, da' eu nu as lasa statii cu windows cu ip-uri publice pe internet. Un Windows 7 default supravietuieste bine mersi. Nu sunt foarte documentat in ceea ce priveste bugurile din Windows, dar, AFAIK, de la XP SP2 incoace (care venea cu firewall-ul activat by default) nu au mai fost probleme majore exploatabile de la distanta care sa creeze conditiile aparitiei unor viermi. Cum s-a mai zis, metodele de atac presupun atragerea utilizatorului catre site-uri cu continut malitios si exploatarea bug-urilor din IE pentru a compromite statia respectiva. Citat din ultimul patch MS (1 Feb): 1 Critical Remote Code Execution Internet Explorer 6/7/8, Windows XP/2003/Vista/2008/7/2008 R2 2 Critical Remote Code Execution Windows XP/2003/Vista/2008 3 Critical Remote Code Execution Windows XP/2003/Vista/2008/7/2008 R2 4 Important Remote Code Execution Windows Vista/2008/7/2008 R2 si cam asa e in fiecare luna. Ca inca nu e un worm care sa exploateze asa ceva e alta, nu inseamna ca nu exista. http://arstechnica.com/microsoft/news/2011/02/february-patch-tuesday-3-0-days-fixed.ars Na aici deja incep sa imi pun intrebari cum vor evolua scripturile de fishing al calc ce pot fi compromise. In IPv4era simplu ca luai un net range si generai consecutiv toate hosturile si ceva tot prindeai dala IPv6 lucrulile se cam schimba... Om trai si om vedea... ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ipv6
2011/2/6 Bogdan-Stefan Rotariu bog...@rotariu.ro Eu chiar vedeam util nat-ul, cel putin in cazul meu : balancer http(perlbal,nginx,whatever), www-uri, iesirea SNAT prin balancer. poate cu IPv6 Anycast ? nu stiu cit de matur e totusi. Poate inca nu sunt obisnuit cu huge amount of IP addresses si vad lucrurile diferit, dupa cum ai spus tu asa se face la ipv4 :) ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug