Вопросы работы сетей

Frequently Asked Questions about ALT Linux products

Q:. Установил Master 2.2, при попытке запустить kppp из-под пользователя получаю сообщение: You're not allowed to dial out with kppp. Contact your system administrator. От пользователя root все работает. Как выдать права пользователю?
Q:. Почта не ходит!
Q:. Почему после установки сервера и его активации (в ntsysv, DrakConf, /etc/xinetd.d/*) он недоступен из сети?
Q:. Обнаружил в Sisyphus FTP-серверы: ProFTPd, vsftpd, tftp-server. К чему так много? И какой из них будет установлен по умолчанию?
Q:. Как можно в ssh сделать так, чтобы определнные пользователи могли заходить только с определнных машин, причм другие пользователи с этих машин вс же могли бы зайти. Если такое возможно, конечно.
Q:. Как отключить рекламу с помощью squid?
Q:. Насколько я понял, настройки ipchains по умолчанию практически закрывают доступ по всем портам и их надо править для того, чтобы открыть нужный сервис. Так ли это?
Q:. Т.е. предлагаете не использовать межсетевой экран (firewall)? Или использовать другой?
Q:.

Установил Master 2.2, при попытке запустить kppp из-под пользователя получаю сообщение: “You're not allowed to dial out with kppp. Contact your system administrator”. От пользователя root все работает. Как выдать права пользователю?

A:.

Добавьте имя пользователя, которому вы даете право на запуск kppp, в файл /etc/kppp.allow. Учтите также, что для каждого пользователя необходимо задавать параметры модемного соединения.

Q:.

Почта не ходит!

A:.

По умолчанию в соответствии с политикой безопасности postfix настроен на работу только с локальными почтовыми клиентами, а также может отправлять почту на внешние SMTP-сервера. Если вам необходимо получать или пересылать почту через данный сервер с внешних хостов, отредактируйте соответствующим образом файлы конфигурации postfix. Для нормальной работы postfix с “внешней” почтой необходим доступ к корректно настроенному серверу DNS.

Q:.

Почему после установки сервера и его активации (в ntsysv, DrakConf, /etc/xinetd.d/*) он недоступен из сети?

A:.

По умолчанию в дистрибутивах ALT Linux xinetd сконфигурирован с опцией onlyfrom = 127.0.0.1, разрешающей доступ к сервисам, запускающимся из-под xinetd, только с локальной машины.

Для обеспечения доступа из сети отредактируйте или закомментируйте эту строку в /etc/xinetd.conf. В последнем случае настоятельно рекомендуем ввести ограничения в индивидуальные файлы настройки сервисов в каталоге /etc/xinetd.d/. После внесения изменений в конфигурацию xinetd необходимо перезагрузить сервис командой:

# service xinetd reload
        

Если проблема не в этом — обратите внимание на настройки межсетевого экрана (firewall), которые можно получить при помощи команд:

# service iptables status (для Linux 2.4.X)
        
# service ipchains status (для Linux 2.2.X)
        

Проверьте содержимое файлов /etc/hosts.allow и /etc/hosts.deny.

Q:.

Обнаружил в Sisyphus FTP-серверы: ProFTPd, vsftpd, tftp-server. К чему так много? И какой из них будет установлен по умолчанию?

A:.

Мы советовали бы руководствоваться следующими соображениями при выборе FTP-сервера:

  1. vsftpd — считается наиболее защищнным и удобным в плане настройки сервером.

  2. ProFTPd — считается наиболее гибким и многофункциональным в настройке сервером.

  3. tftp-server — несмотря на сво “похожее” название TFTP (Trivial File Transfer Protocol) не имеет никакого отношения к стандартному протоколу FTP и предназначен для начальной загрузки (boot) бездисковых рабочих станций по сети.

Q:.

Как можно в ssh сделать так, чтобы определнные пользователи могли заходить только с определнных машин, причм другие пользователи с этих машин вс же могли бы зайти. Если такое возможно, конечно.

A:.

Возможно при помощи RSA(DSA)-ключей, если используется RSA(DSA) Authentication. В нашем openssh-сервере присутствует не анонсированная возможность хранить ключи не только в $HOME/.ssh, но и в /etc/openssh/authorizedkeys*, что дат возможность администратору контролировать ключи пользователей.

Q:.

Как отключить рекламу с помощью squid?

A:.

Вот реальный пример:

acl QUERY urlpathregex banner banners recklama linkexch banpics 

nocache deny QUERY 

acl BANNER urlregex banners recklama linkexch banpics us\.yimg\.com 

httpaccess deny BANNER 

        

Первая строка запрещает squid помещать указанные в ней объекты в свой кэш (помогает не засорять кэш всяким хламом, очень хорошо помогает против чатов). Вторая “режет” вс, что попадт под эти слова.

Q:.

Насколько я понял, настройки ipchains по умолчанию практически закрывают доступ по всем портам и их надо править для того, чтобы открыть нужный сервис. Так ли это?

A:.

Не совсем. Такие настройки сети, о которых вы говорите, создат программа Fwctl. Возможно, эту программу не следует устанавливать без явной необходимости.

Q:.

Т.е. предлагаете не использовать межсетевой экран (firewall)? Или использовать другой?

A:.

Просто Fwctl — очень своеобразный пакет для настройки fw. Возможно, следует использовать что-нибудь другое для этих целей. Если в используемом вами дистрибутиве есть данный пакет — ознакомьтесь с документацией перед его использованием.



Наш баннер
Вы можете установить наш баннер на своем сайте или блоге, скопировав этот код:
RSS новости