Вопрос № 59280: Здравствуйте Уважаемые Эксперты!
Подскажите плз какой лучше линукс установить для начинающего?
Ставить собрался на отдельную машину. Проц селерон 1700....Вопрос № 59327: Здравствуйте ув. эксперты.
ASP Linux 9.0.
Не могу подружить файрвол (iptables) и два сервиса - фтп (vsftpd-2.0.4 НЕ из комплекта дистрибутива) и DNS (из комплекта дистрибутива, не кеширующий).
Условия задачи для файрвола:
по умо...
Вопрос № 59.280
Здравствуйте Уважаемые Эксперты!
Подскажите плз какой лучше линукс установить для начинающего?
Ставить собрался на отдельную машину. Проц селерон 1700.
Отправлен: 17.10.2006, 21:31
Вопрос задал: Nicola (статус: 1-ый класс)
Всего ответов: 3 Мини-форум вопроса >>> (сообщений: 0)
Отвечает: dj_doom
Здравствуйте, Nicola!
Однозначного ответа тут дать нельзя... Все дистрибутивы хороши...
Могу порекомендовать только от своего имени - Мандриву и СуСЕ - первая хорошая практически 100% локализацией и своими утилитами настройки практически всего, большой набор дополнительного программного обеспечения, второй - локализация хромает, но отличный центр управления практически всем в системе...
Посмотрите еще статьи в инете - к примеру эту - http://posix.ru/distro/distro_select/
Ответ отправил: dj_doom (статус: 8-ой класс)
Ответ отправлен: 17.10.2006, 22:23
Отвечает: Aristarkh
Здравствуйте, Nicola!
Есть такая поговорка:"Ставь тот Линукс, который использует твой знакомый гуру":) А вообще это зависит от того, какие цели ты перед собой ставишь. О выборе дистра неплохо написано тут http://www.linux.org.ru/books/lor-faq/lorFAQ-13.html#ss13.1 - рекомендую прочитать. Сам использую SuSE и Debian.
Ответ отправил: Aristarkh (статус: 6-ой класс)
Ответ отправлен: 18.10.2006, 10:02
Отвечает: PVS
Здравствуйте, Nicola!
Если для начинающего, то возьмите Mandrive (он же Mandrake) или его русский клон - AltLinux
Ответ отправил: PVS (статус: Практикант)
Ответ отправлен: 18.10.2006, 10:38
Вопрос № 59.327
Здравствуйте ув. эксперты.
ASP Linux 9.0.
Не могу подружить файрвол (iptables) и два сервиса - фтп (vsftpd-2.0.4 НЕ из комплекта дистрибутива) и DNS (из комплекта дистрибутива, не кеширующий).
Условия задачи для файрвола:
по умолчанию все DROP.
разрешаю ICMP, ssh, DNS, DHCP, FTP, HTTP, Webmin, Samba и несколько локальных сервисов. Фрагмент "нерабочих" правил в приложении. "Рабочие" фрагменты там опущены, т.к. они же работают )).
При таком раскладе DNS и FTP отказываются работать. Только если сделать для машины-клиента -A INPUT -j ACCEPT и -A OUTPUT -j ACCEPT тогда работает. Но это не соответствует условиям задачи.
FTP работает в пассивном режиме. Диапазон портов для пассива - 15000:16000.
Пытался сделать многие варианты, в т.ч. и с Opennet'a. Не хочет.
Напр., пробовал перестроить правила для фтп в такой вид:
и добавил к существующим правилам две строки
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Хотя на Opennet'e говорится, что при таком раскладе можно вообще держать открытым только 21-й порт. А у меня ни так ни так. Вообще никак. Только если открыть для машины-клиента все на входе и выходе.
Куда копать? Может подгружаемые модули не отрабатывают? Или что-то еще я пропустил? И почему DNS выделывается?
Спасибо.
P.S. Просьба рекомендации давать в пределах поставленной задачи.
Отвечает: PVS
Здравствуйте, Грибенников Александр Сергеевич!
Добавте в конце
iptables -A OUTPUT -p tcp -j LOG --log-prefix IPTABLES_DEBUG_TCP_
iptables -A INPUT -p tcp -j LOG --log-prefix IPTABLES_DEBUG_TCP_
iptables -A FORWARD -p tcp -j LOG --log-prefix IPTABLES_DEBUG_TCP_
iptables -A OUTPUT -p udp -j LOG --log-prefix IPTABLES_DEBUG_UDP_
iptables -A INPUT -p udp -j LOG --log-prefix IPTABLES_DEBUG_UDP_
iptables -A FORWARD -p udp -j LOG --log-prefix IPTABLES_DEBUG_UDP_
и через dmesg|grep IPTABLES_DEBUG посмотрите к каким портам оно у Вас "стучится"
Ответ отправил: PVS (статус: Практикант)
Ответ отправлен: 18.10.2006, 11:16
Отвечает: Хватов Сергей
Здравствуйте, Грибенников Александр Сергеевич!
Итак, для dns надо разрешать как UDP так и TCP, а для FTP выделить диапазон портов для data connection.
Все это вы сделали.
Только еще эти два сервиса доконфигурировать надо.
bind-у надо указать "query-source address * port 53;", причем возможно что не в /etc/named.conf, а в /var/named/chroot/etc/named.conf,
а для vsftpd -
pasv_min_port=15000
pasv_max_port=16000
в /etc/vsftpd/vsftpd.conf
К слову, если у вас не 1000 одновременных коннектов, то диапазон можно и уменьшить.
Ответ отправил: Хватов Сергей (статус: 6-ой класс)
Ответ отправлен: 18.10.2006, 11:24
