Замена сервера виндовс на линукс.

В сообщении от 1168573419 секунд после начала Эпохи Strong написал(а):

Ну знаете, наилучший софт для меня может оказаться, не самым лучшим для
Вас. Однако, если у Вас нет никаких специфических требований, то вполне
сойдет httpd (он же великий и могучий Apache :) ) и vsftpd. Еще дам
совет, не отключайте SELinux, а лучше разберитесь в нем, ибо вещь
полезная.

У меня у самого сервак под FC6, но только не шлюз, а хостинг. Так что
если возникнут вопросы, всегда рад помочь :)

Ethereal сменил название на Wireshark.
https://rhn.redhat.com/errata/RHSA-2006-0602.html

On Fri, 12 Jan 2007 03:57:54 +0200 Konstantin Korikov
<lostcl***@i*****.ua> wrote:

Хорошо, ну, а чем доступ к Сети раздавать/контролировать?
Я понимаю, чт оможно огненную стенку поствать на машину, а можно
локалку за неё спрятать?!

Большое спасибо.

Да... а мне так его недоставало....

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29832; Возраст листа: 1267; Участников: 1412
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/628874

В сообщении от 12 января 2007 19:59 Strong написал(a):

iptables

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29833; Возраст листа: 1267; Участников: 1412
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/628880

В сообщении от 1168642771 секунд после начала Эпохи Strong написал(а):

NAT или покси.

Если клиенты в вашей сети ограничиваются использованием только HTTP и
FTP, то лучше настроить прокси или прозрачный прокси, т.е. установить и
настроить Squid. Раздачу инета через прокси легче контролировать чем
раздачу по NAT. К тому же прокси еще и экономит трифик и ускоряет
работу web за счет кеширования контента.

Если клиентам нужно больше протоколов (например ICQ, SSH), то придется
использовать NAT. Его можно настроить в system-config-securitylevel-tui
включив опцию MASQUERADE на нужном сетевом интерфейсе.

Firewall в любом случаи нужно использовать, т.е фильтровать входящие
соединение на все порты, кроме нужных. Настраивается файервол в том же
system-config-securitylevel-tui. Локалка прячется когда Вы запрещаете
пересылку пакетов

net.ipv4.ip_forward = 0

в `/etc/sysctl.conf'.

On Fri, 12 Jan 2007 20:40:04 +0200 Konstantin Korikov
<lostcl***@i*****.ua> wrote:

Машинам с локальной сети необходимо разрешить только http/https и
почтовые протоколы (для theBat, Outlook) и локальный фтп на этот шлюз
(там ещё будет стоять фтп-сервер).

Для шлюза должен быть доступ во вне для ftp/yum -клиентов. Что мне
лучше в этом случае использовать?
Я так понимаю squid+iptables?

И ещё. Squid запоминает запросы к DNS, чтобы исключить повторные
запросы? И, есть ли смысл его использовать на desktop?

Понятно, спасибо.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29841; Возраст листа: 1268; Участников: 1410
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/628997

В сообщении от 13 января 2007 11:24 Strong написал(a):

Если только http[s] то одного сквида будет достаточно. Ломать голову над
маршрутизацией из-за этого не стоит.

Никогда не задавался этим вопросом. У меня эта функция на named висит,
поскольку проксирование прозрачное и тут без двойных днс запросов не
обойтись.

А использовать его на desktop смысл есть, если интернетом пользоваться
прилично приходится, ведь не один браузер не будет достаточно быстро работать
с кешем в несколько гигабайт в отличии от сквида, да и банеры блокировать
лучше всего именно на уровне прокси сервера.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29843; Возраст листа: 1268; Участников: 1410
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/629010

On Sat, 13 Jan 2007 13:11:53 +0200 Amper <amper_2***@r*****.ru> wrote:

А для почтовых клиентов? И ещё мне не понятно:
1. я могу ведь iptables "заворачивать" запросы из локалки на порты,
отличные от http/https и почтовых протоколов (для theBat, Outlook)?
2. Как разрешить самому серверу (если воспользоваться им как рабочей
станцией) ходить по ftp?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29860; Возраст листа: 1269; Участников: 1410
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/629425

В сообщении от 14 января 2007 20:19 Strong написал(a):

Лучше входящую почту оставить как есть, а завернуть только 25 порт, и то это
не обязательно, как не обязательно городить огород с iptables

Правила INPUT и OUTPUT служат для фильтрации входящего/исходящего трафика
сервера, в то время как правило FORFARD - для фильтрации маршрутизируемого
трафика. Нужно запретить фтп в FORFARD но разрешить в INPUT и OUTPUT.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29863; Возраст листа: 1269; Участников: 1410
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/629435

On Sun, 14 Jan 2007 21:10:56 +0200 Amper <amper_2***@r*****.ru> wrote:

Почту люди уже захотели на сервере собственную иметь... В этом случае,
я оба порта открываю (для pop3 и smtp)?

И, как я понял, по сложности настройки, srndmail и postfix равны?
А фильтры мусора spamassasin - к чему легче прикрутить?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29931; Возраст листа: 1271; Участников: 1413
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/630197

В сообщении от 16 января 2007 19:49 Strong написал(a):

В этом случае тебе не нужно возится с маршрутизацией и с iptables, для
локальных пользователей системы это все уже собрано и готово, достаточно
будет завести людям логины и пароли. А в и-нет пусть через прокси ходят.

Тут скорее вопрос привычки, кто к чему привык тот с этим и работает.
Spamassassin прикрутить не сложно, например для сендмыла это одна строчка в
sendmail.mc или около 4х в sendmail.cf

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29933; Возраст листа: 1271; Участников: 1413
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/630216

On Tue, 16 Jan 2007 21:07:38 +0200 Amper <amper_2***@r*****.ru> wrote:

1. Локальных пользователей не будет. - Пользователи прокси и почты - это
рабочие станции локальной сети виндовс.

2. Если я все порты закрою на обоих интерфейсах (внутрь и во вне), то
никто никуда "дойдёт". Поэтому, вопрос остаётся открытым (для меня).

Не поделитесь этой строчкой в sendmail.mc?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29981; Возраст листа: 1273; Участников: 1411
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/630833

В сообщении от 18 января 2007 15:53 Strong написал(a):

Интересно чем это обоснованно? Неужели так мало ресурсов для того чтобы
завести локальную учетную запись для каждой рабочей станции?

Зачем их вообще закрывать?

INPUT_MAIL_FILTER(`spamassassin', `S=local:/var/run/spamass-milter, F=T, T=C:15m;S:4m;R:4m;E:10m')dnl

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29982; Возраст листа: 1273; Участников: 1411
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/630857

Amper пишет:

Вы забыли еще предупредить, что sendmail должен быть собран с поддержкой
мильтров.

On Fri, 19 Jan 2007 09:44:23 +0600 Oleg Komkov
<ol***@c*****.ru> wrote:

Спасибо за пояснение! Я думаю, в ФК6-то точно всё включено. ;)

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29994; Возраст листа: 1274; Участников: 1412
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/630986

On Thu, 18 Jan 2007 21:51:51 +0200 Amper <amper_2***@r*****.ru> wrote:

Обоснование просто: непонимание мною смысла заведения этих записей.

Для защиты ВМ.

Большое спасибо!

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29992; Возраст листа: 1274; Участников: 1412
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/630984

В сообщении от 1168698249 секунд после начала Эпохи Strong написал(а):

Да. iptables просто как фейервол, для защиты от несанкционированного
доступа к внутренним сервисам.

А для почты нужно установить и настроить MTA. Я в качестве MTA
использую Postfix. Он по проще дефолтного Sendmail'а будет. MTA нужен
для отправки сообщений. Замечу что POP3 и IMAP через прокси работать не
будут. Так что если у пользователей есть почтовые ящики где-то за
вашим шлюзом далеко в Интернете, то доступ по этим протоколам они к ним
не получат. Тут может помочь fetchmail на шлюзе.

Да. Но если используется прозрачный прокси, то клиенты (машины сети) в
любом случаи будут делать свои обращение к DNS серверу, т.е. к
кеширующему DNS серверу на вашем шлюзе, который в этом случаи нужно
будет поднять обязательно. А когда используется не прозрачный прокси,
то все обращения к DNS делает сам Squid, который их и кеширует. При этом
клиенты вообще могут ничего не знать про DNS сервер.

Смотря на каком. На мощной рабочей станции может и есть. На слабой
лучше задействовать прокси, расположенный на другой машине :) Например
у провайдера.

В сообщении от 13 января 2007 20:30 Konstantin Korikov написал(a):

Только дефолтный сендмейл идет по дефолту уже настроенный, там нужно всего
ничего - прописать разрешенные ип для релея и имена сервера

Это смотря как прокси настроить. Если внимательно почитать документацию то все
прекрасно будет работать, сквид уже лет 100 как поддерживает HTTP CONNECT
через который не только smtp/pop3/imap но еще и джаббер аську и много всего
интересного пустить можно.

Тут следует помнить что мощная машина для squid это что-то около 200мгц, если
конечно на нем не будет висеть несколько сотен клиентов.

Интересно в чем смысл использовать прокси провайдера?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29849; Возраст листа: 1268; Участников: 1410
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/629154

В сообщении от 1168716071 секунд после начала Эпохи Amper написал(а):

Postfix тоже настроенный идет.

все

А ссылочку дадите?

В чем смысл использовать магазин? Все продукты можно производить у себя
дома.

В сообщении от 13 января 2007 23:22 Konstantin Korikov написал(a):

http://www.ietf.org/rfc/rfc2817.txt секция 5.2

Чтобы сквид это разрешал в конфиге пишем такое:

http_access allow CONNECT localnet

Со стороны клиента требуется поддержка этого метода в прокси, либо
использование libconnect или ее аналогов.

Я в том плане, какой смысл клиенту использовать прокси провайдера вместо
прямого подключения.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29853; Возраст листа: 1269; Участников: 1410
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/629192

В сообщении от 1168724553 секунд после начала Эпохи Amper написал(а):

Спасибо. Остается только использовать правильные клиенты :)

Например когда соединение от вас к провайдеру быстрое, а от провайдера
в мир медленное. :) Вообще бывают разные ситуации. Бывают что и
напрямую подключится не дают. А в целом я считаю что использование
прокси на десктопе это излишество, за исключением некоторых редких
случаев. Ибо кеш браузера тоже вполне работоспособен. А отключение
баннеров, это еще и вопрос морали.

В сообщении от 14 января 2007 03:18 Konstantin Korikov написал(a):

для неправильных есть libconnect которая перехватывает исходящие соединения и
перенаправляет их через HTTP CONNECT

Не уверен что он будет оставаться таким после того как в него набьется пару
гигабайт мусора

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29855; Возраст листа: 1269; Участников: 1410
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/629237

On Sun, 14 Jan 2007 03:18:29 +0200 Konstantin Korikov
<lostcl***@i*****.ua> wrote:

Я тут пользуюсь FireFox 2.0... так у него что-то незаметна работа кэша.
- Он всё тянет по-новой. Поэтому, кэширующий сервер был бы хорош, IMO.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29862; Возраст листа: 1269; Участников: 1410
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/629427

On Sat, 13 Jan 2007 23:42:33 +0200 Amper <amper_2***@r*****.ru> wrote:

По-проще. для виндового коиента это что за программы будут?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29869; Возраст листа: 1269; Участников: 1410
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/629468

В сообщении от 14 января 2007 22:35 Strong написал(a):

насколько я помну в винде в настройках соединения можно указать что
подключатся через прокси и что это CONNECT прокси. Как я предпологаю
програмки типа Outlook должны это скушать

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29871; Возраст листа: 1270; Участников: 1410
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/629481

On Sat, 13 Jan 2007 21:21:11 +0200 Amper <amper_2***@r*****.ru> wrote:

А если не мудрствовать лукаво: можно просто на машине в локальной сети
указать шлюз, а на шлюзе самом не ставить squid вообще, они тогда смогу
тдоступ к Сети получить (указать правило, что все IP такой-то маски
перебрасывать на такой-то интерфейс)? Но как из локалки запретить все
порты кроме тех, о коих уже речь велась?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29868; Возраст листа: 1269; Участников: 1410
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/629467

В сообщении от 14 января 2007 21:52 Strong написал(a):

Я так и не понял что все таки нужно? Шлюз или прокси? Если прокси то в конфиге
нужно указать список разрешенных портов. Если шлюз то нужно разрешить
форвардить соединения на эти порты а все остальное запретить.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29872; Возраст листа: 1270; Участников: 1410
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/629482

В сообщении от 1168822372 секунд после начала Эпохи Strong написал(а):

Если есть NAT и разрешен форвардинг пакетов, то смогут.

Какой маски? На какой интерфейс?

При помощи iptables.

# system-config-securitylevel-tui

Устанавливаем:

Security Level: (*) Enabled ( ) Disabled

Давим кнопку Customize

Устанавливаем:

Trusted Devices: [ ] eth1 [ ] eth0
MASQUERADE Devices: [*] eth1 [ ] eth0

(предполагается что eth1 смотрит в локалку, а eth0 в Интернет)
Делаем:

Allow incoming:
[*] WWW (HTTP)
[*] Secure WWW (HTTPS)
[*] FTP

Давим кнопку ОК. Затем опять OK.

# chkconfig iptables on
# service iptables start
# sed -i 's/net.ipv4.ip_forward = 0/net.ipv4.ip_forward = 1/' /etc/sysctl.conf
# echo 1 >/proc/sys/net/ipv4/ip_forward

Наслаждаемся.

On Mon, 15 Jan 2007 07:06:31 +0200 Konstantin Korikov
<lostcl***@i*****.ua> wrote:

Имелось в виду 192.168.0.* -> 10.12.1.5 (в мир).

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29932; Возраст листа: 1271; Участников: 1413
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/630212

В сообщении от 1168988331 секунд после начала Эпохи Strong написал(а):

192.168.0.* - это немаршрутизированные адреса. Перебрасывать их в
Интернет нельзя. NAT (Network Address Translation) как раз и
предназначен для того чтобы переводить немаршрутизированные адреса в
маршрутизированный адрес шлюза.

Ох, ну давайте уже как-нибудь договоримся. С вот этим:

я согласен. Да, во внещний мир с такими адресами выходить нельзя. Но человек
судя по всему как рах NAT и собирается использовать.
Кроме того, 10.12.1.5 - это тоже частный адрес :)
А вот с этим:

категорически не согласен. Вот у меня на работе сервак под линуксом стоит с
двумя сетевухами. Одна смотрит в сеть 192.168.1.0/24, другая в сеть
10.1.1.0/24 - и маршрутизируются пакеты между этими двумя сетями прекрасно.
И что, мне теперь его (сервак) выключать, как неправильный?
Другое дело, что пограничные маршрутизаторы между частной и общей сетями не
должны такие адреса пропускать во внешний мир - это правда.

Виталий.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29950; Возраст листа: 1272; Участников: 1414
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/630500

В сообщении от 1169054734 секунд после начала Эпохи Vitaly Demyanec написал(а):

Вот по этому их и называют немаршрутизированными. По крайней мере у нас
в Киеве, этот термин активно используют.

On Thu, 18 Jan 2007 03:41:48 +0200
Konstantin Korikov <lostcl***@i*****.ua> wrote:

нас

Когда я работал в провайдерской фирме, у нас эти адреса называли
интранетовскими. Иногда называли приватными адресами.

В сообщении от 18 января 2007 04:41 Konstantin Korikov
написал(a):

Demyanec написал(а):

Только весь остальной мир уже почти 13 лет (с марта 1994
года, когда вышел RFC 1597) их называет private, а
по-русски - приватными.

В сообщении от 1169106040 секунд после начала Эпохи Sergey B. Khvatov написал(а):

Точнее пространство адресов, зарезервированное для приватных сетей.
Понятие приватный адрес может иметь разное значение в зависимости от
контекста, в котором оно было употреблено. По этому, для однозначного
понимания в том или ином контексте, люди начинают использовать другие
словосочетания типа: "немаршрутизированный адрес", "интранетовский
адрес" (как говорил Анатолий), "серый адрес", и т.п. Слова разные а
смысл один и тот же.

On Thu, 18 Jan 2007 03:41:48 +0200
Konstantin Korikov <lostcl***@i*****.ua> wrote:

нас

Когда я работал в провайдерской фирме, у нас эти адреса называли
интранетовскими. Иногда называли приватными адресами.

Здравствуйте, Vitaly Demyanec
Ответ на Ваше письмо от 01/17/2007 10:25 PM

Сеть 10.0.0.0/8 является сетью класса A, в инет она тоже не
маршрутизируется, а вот пакеты между сетями класса A, B, C спокойно
маршрутизируются, только в инет не ходят, подробнее можете узнать в
NET3-HOWTO.

<sarcasm=ON>
И неужели никогда-никогда пакет с моего IP-адреса 62.80.172.73,
принадлежащего сети 62.80.172.0/24 не уйдет в интернет??? А как же я
веб-странички смотрю???? Похоже, у моего провайдера неправильно настроены
маршрутизаторы. Надо срочно позвонить ему и сказать, что мне нельзя давать
доступ в и-нет, т.к. мой адрес (о, ужас!) оказался в сети класса C!!!!
<sarcasm=OFF>
Похоже, Вы немножко путаете два понятия:
1) "Частные", они же "приватные", они же "интранетовские", они же "серые"
IP-адреса
2) класс сети (A, B, C)
К Вашему сведению говорю еще раз: эти понятия из разнях областей. Первое -
скорее из административно-бюрократически-стандартной. Второе (класс сети) -
понятие в принципе техническое, но на сегодняшний день практическую пользу
потерявшее (провайдеры и субпровайдеры дробят свою зону IP-адресов как
хотят, не обращая внимания на классы. Но это - другая история...)

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29974; Возраст листа: 1273; Участников: 1411
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/630680

Vitaly Demyanec пишет:

Вы _не_ правы:
сети класса С принадлежат диапазону c 192.0.0.0 по 233.255.255.0
то, что назвали Вы - это _подсеть_ сети класса А (так как старший бит
равен 0), так что не будите спящего провайдера по пустякам.

Вы правы:
Адреса всех трех классов (АBC) без проблем работают в нете (а в чем
проблема, если они соответствуют требованию уникальности?), НО
_некоторые_ диапазоны (но не "классы") _зарезервированы_ для
внутрисетевого использования (чтобы каждый раз не проводить согласование
с IANA). Это:
10.0.0.0/24
172.16.0.0/12
192.168.0.0/16
их можно роутить по интранету сколько душе угодно, главное - не ходить с
ними в глобальное адресное пространство.

С уважением,
timothy

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29990; Возраст листа: 1274; Участников: 1412
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/630970

On Wed, 17 Jan 2007 04:13:36 +0200 Konstantin Korikov
<lostcl***@i*****.ua> wrote:

Ну, раз squid решили ставить, то эта проблема отпадает.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29980; Возраст листа: 1273; Участников: 1411
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/630806

Strong пишет:

Если предположить что eth0 смотрит в локалку, а eth1 - в мир, то можно
использовать например такой скрипт:
#!/bin/bash
echo 1 >> /proc/sys/net/ipv4/ip_forward #включение форвардига пакетов IPv4
iptables -F #очистка таблицы
iptables -t nat -F #очиста NAT
iptables -A FORWARD -o eth1 -i eth0 -d 0.0.0.0 -s 192.168.0.0/24 -j
ACCEPT #Добавляет цепочку, разрешающую форвард всех портов из локалки в мир
iptables -A FORWARD -i eth1 -o eth0 -s 0.0.0.0 -d 192.168.0.0/24 -j
ACCEPT #тоже только из мира в локалку
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j SNAT
--to-source 10.12.1.5 #включение NAT

В строчках 5 и 6 можно после "-p" указать порты какие надо.

On Thu, 18 Jan 2007 12:02:49 +0300 madcat <der_rasend_kat***@m*****.ru>
wrote:

Спасибо большое, Алексей - об этом я и вёл речь. Но сейчас решили
использовать squid ради авторизации по ip, паролю, кэша. Кстати, нет ли
у Вас рабочего config, выполняющего эти функции?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29993; Возраст листа: 1274; Участников: 1412
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/630985

On Sat, 13 Jan 2007 20:30:14 +0200 Konstantin Korikov
<lostcl***@i*****.ua> wrote:

А блокировать остальные запросы чем?

О! Мне не нужен MTA! Они просто будут "ходить" на свои сервера и всё.

Так если сам squid б/т делать кешировать запросы к DNS, то зачем нам
кэширующий DNS?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29861; Возраст листа: 1269; Участников: 1410
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/629426

В сообщении от 14 января 2007 20:29 Strong написал(a):

Если стоит прозрачный прокси сервер то клиенты не догадываются о его
существовании и запрашивают страницу по следующему алгоритму:
1. Узнать адрес сервера
2. Соединится с сервером
3. Запросить страницу
В свою очередь прокси сервер не может знать какому серверу предназначалось
соединение и поэтому он по запросу определяет имя хоста, по которому
определяет адрес. В результате мы имеем двойной запрос адреса по одному и
тому же имени.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 29865; Возраст листа: 1269; Участников: 1410
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/629439