Добра статия
От: Sudo
На: 13-04-2004@14:15 GMT+2
Оценка:
/Една наистина добра статия, която си заслужава да бъде наградена в конкурса ви.
Един въпрос само: А защо е сложен този бридж?
[Отговори на този коментар]
?!?!?!
От: An
На: 13-04-2004@15:34 GMT+2
Оценка:
/ne mi stawa mnogo qsno
no mislq 4e nqkoi ne6ta mnogo qko se prepokriwat i sistemata se natowarwa izli6no ...
[Отговори на този коментар]
Неизчерпателна
От: ankovachev <ankovachev __@__ abv__dot__bg>
На: 13-04-2004@17:41 GMT+2
Оценка:
/За хора, които вече са правили защитна стена и/или прокси, този пример е прекалено прост и може би безинтересен! А обратно за хора, които за първи път ще го правят е недостатъчно пълен, за да се справят само с написаното в статията!
[Отговори на този коментар]
Re:bridge
От: Uvigii <uvigii (a) mail< dot >bg>
На: 13-04-2004@17:48 GMT+2
Оценка:
/Идеята е да няма мрежов адрес (ИП) освен за отдалечено
администриране. Грубо казано бриджът е опростена версия
на суич с примерно 2 порта, целта му е да свърже двата
етернет сегмента които се получават от ляво и дясно на
Линукс машината. Тъй като той работи на 2-ри слой от
ОСИ мрежовия модел, не го интересуват ИП-а. той
разбира само от МАК адреси.
[Отговори на този коментар]
Re:Неизчерпателна
От: Uvigii <uvigii__at__mail< dot >bg>
На: 13-04-2004@17:56 GMT+2
Оценка:
/Съгласен!
Не се казва IP Tables HowTo
Нито Squid HowTo
;)
btw:Правиш ли разлика, че ИП филтъра не е на Рутера ?
(бил той Линукс или Циско или каквото и да е) Или на
която и да е от клиентските машини ? И все пак го има
и ти дропи пакетчетата :)
[Отговори на този коментар]
Re:?!?!?!
От: Uvigii <uvigii< at >mail__dot__bg>
На: 13-04-2004@18:01 GMT+2
Оценка:
/Съжалявам,
не съм се старал да обяснявам така, че да разберат
всички всичко!
Моля, кажете кое се припокрива и с какво се натоварва
системата излишно.
Благодаря!
[Отговори на този коментар]
Страшно !
От: the_real_maniac
На: 13-04-2004@19:44 GMT+2
Оценка:
/Много вдъхновяващо , ако мога така да се изразя ! Наистина бях се замислял и коментирал с познати точно за прозрачна защитна стена чрез bridge ! Още не съм прочел статията, но определено заглавието е много интригуващо , а относно самото съдържание , идеята според мен на такива статии е да даде основите , а иначе който се занимава професионално или има интерес ще , не ще -> английски / немски / руски и да копае... Все пак едва ли ще може да се смогне с превода някога на howto-тата :) Да се надяваме , че по-скоро света ще заживее заедно/задружно :D
[Отговори на този коментар]
Re:Страшно !
От: Uvigii <uvigii< at >mail __точка__ bg>
На: 13-04-2004@20:59 GMT+2
Оценка:
/Благодаря човече!
Надявам се да има повече хора като теб, които да
разберат идеята на статията. Тя не е превод, основава
се на изцяло на работещо и приложено решение (макар и
все още тестово). Целта и наистина е да даде основната
идея, да се види,че такова нещо е възможно. Да напиша
правилата от ИП филтъра ми 1 към 1 няма смисъл! В
примера съм дал абсолютно всичко необходимо...
По нататък сте Вие !
Всички които имате желание да се занимавате с Линукс
:)
[Отговори на този коментар]
nesto ne raboti?!
От: squid
На: 13-04-2004@23:16 GMT+2
Оценка:
/нещо май не работи или поне при мен не работи предимно делай_аццесс опцията. задавайки скорост от 1 кб/с, с изключение на даден хост, този хост не знам защо също попада в този делай поол, настройките са направени както е описано. проксито се стартира без проблеми и грешки? някой ще ми каже ли какъв може да бъде проблема?
[Отговори на този коментар]
При мен има проблем
От: spas <spas_pc__at__abv[ точка ]bg>
На: 18-11-2008@17:44 GMT+2
Оценка: 1/НеутраленМомчета, имам следния проблем! Направих всичко описано по статията и при мен не сработи. Нов съм и вероятността да бъркам нещо е много голяма, но си свалих стара версия на Slackware , както и версиите на сорсовете, които са дадени в примера. Патчнах ядрото, прекомпилирах го , бриджа си тръгна, но при описания пример все още си свалям mp3-ки и отварям microsoft.com Къде мога да греша ?! Нов съм и не мога да се ориенирам още и да си намеря сам проблемите ..
[Отговори на този коментар]
Хубава статия, точен автор.
От: crz <crz< at >egoist< dot >bg>
На: 13-04-2004@23:26 GMT+2
Оценка:
/Харесва ми отношението на автора към критиките, макар и не особено градивни, а статията ми харесва, нивото и си е прилично според мен.
Good job, Uvigii, the through fans are out there :-)
[Отговори на този коментар]
popravka, iskam da kaja true
От: crz <crz __@__ egoist__dot__bg>
На: 13-04-2004@23:26 GMT+2
Оценка:
/v predniq post, vmesto through
[Отговори на този коментар]
RTL8139
От: Anonymous
На: 14-04-2004@4:58 GMT+2
Оценка:
/Тия чипсети имаха проблем при бриджиране .. но явно вече са ги оправили (Д версия).
[Отговори на този коментар]
Много добра идея
От: Dim <d_bachvarov __@__ abv[ точка ]bg>
На: 14-04-2004@6:51 GMT+2
Оценка:
/Благодариа за хубавата статия.
От години правя рутери и стени с линукс, но никога не се бях сецщал за работа в 2-я слой.
Идеята е супер.
за тези които се чудят защото е толкова сложно според мен най-ценното е че може да се направи стена без да се налагат разправии с горната инстанция в лицето на някой самовлюбен :) админ или пък супер разбиращ потребител.
освен това атаката на стената цхте е доста по трудна поради липса на IP
[Отговори на този коментар]
много интерсно
От: bozhan
На: 14-04-2004@11:00 GMT+2
Оценка:
/какво значи защита от атаки.
какви точно атаки .. кое точно ще се атакува.
примерно ако е секюр шел какво точно ще му атакуват на секуюр шела като са ми зададени позволени адреси с tcp_wrapper.
Какво ще стане ако някой почне да флуди външния интерфейс.
Това ми се вижда утопия.
И мисля така защото точно такава конфигурация май имат от 2checkout.com там отговаря някакъв
squid но това не пречи услгата да им down
[Отговори на този коментар]
re:8139 + attack ?!.
От: the_real_maniac
На: 14-04-2004@12:11 GMT+2
Оценка:
/1.За р8139 , ами да се надявам , че грешиш , освен ако не си го пробвал , защото аз лично залагам , ако може въобще така да се каже :D;
на Р8139 за мрежови карти 100мбит до 10$ :)
Общо взето само такива полвам и когато стане въпрос за мрежова карта никакви Davicom шитц :)) И общо взето 8139С ползвам в момента на домашното тестово рутерче , така че ще има checckign , но просто ми направи впечатление , че точно Realteck ще имат проблеми :(
2.За атаката , ами няма ип -> на мен това ми беше една от мислити , които ми минаха през главата като стана въпрос да се конф. линукс бокс като brigde + firewall . Честно казано , това си е супер, само да не ти се налага да го пипаш много , всмисъл конф. и зарязаш , защото ако логично трябва ssh вече слагаме ип :( ТА самата идея , че дефакто атака към машината много , ама много трудно ще се осъществи , защото тя дефакто няма ип и е като суича ти ;)
Абе трябва да се разучи , защото според мен това е идеалното решение за хоме употреба ;)
Примерно аз си имам едно рутерче и мен си , но с MASQ и се лишавам от красивия broadcast :P -> lan games :) В което отношение имам няколко въпроси за самбата при MASQ , но не му е тук мястото , а и аз трябва да си форумулирам питанята правилно ;) Абе статията много ми харесва като тематика и поне според мен е много интересна , и полезна - и за конкурса за статиите , едно 2-ро място , хич няма да е незаслужено , че и 1-во , макар че идеята е да помогне , така че това не е чак толкова важно ;)
ПС: за съжеление или не по една тима никога неможе да се каже всичко и никога не трябва да казваме никога , но :)))
[Отговори на този коментар]
Re:RTL8139
От: Uvigii <uvigii< at >mail< dot >bg>
На: 14-04-2004@12:52 GMT+2
Оценка:
/Btw:
8139C+
"Supports IEEE802.1Q VLAN tagging"
http://www.realtek.com.tw/products/products1-2.aspx?modelid=7
Жалко, че не мога да си намеря и да тествам :)
Но за цена 4-5$ дори 8139C,D са перфектни.
Произведените в Тайван са малко по-качествени според мен. Имат по качествен DC/DC преобразуватели, по-мощни транзистори, цокъл за ROM, WOL и т.н.
[Отговори на този коментар]
RE:много интерсно
От: Uvigii <uvigii __@__ mail< dot >bg>
На: 14-04-2004@13:00 GMT+2
Оценка:
/Значи:
1. Потребителите в ЛАН са клиенти на услуги(предимно)!
2. Ако забелязваш НАТ се извършва някъде в ИСП т.е. флудване е възможно само от място което се намира под администрацията на ИСП т.е. проблема да се открие причинителя в общия случай е никакъв. :)
3. Има ли перфектно устройство ? Всяко нещо е най-подходящо на мястото си, ако не намирате приложени добре :) аз намерих. Може да ме флудвате колкото си искате... зад 2 нат-а :)
[Отговори на този коментар]
Re:nesto ne raboti?!
От: Uvigii <uvigii__at__mail__dot__bg>
На: 14-04-2004@13:20 GMT+2
Оценка:
/ Хммм.. Значи при delay_access важно да запомниш, че се изпълняват едно по едно, при което ако условието е изпълнено по-нататък не се проверява. пример:
acl all dst 0.0.0.0/0.0.0.0
acl Hosts50 src 192.168.1.0/255.255.255.0
acl HostFast src 192.168.1.1/255.255.255.255
delay_access 1 allow all
Hosts50 delay_access 2
allow all HostFast
Ще бутне всичко предназначено за 192.168.1.1 в клас 1 вместо в клас 2 Имаше тук в Линукс-бг една статия за Скуид много добре е обяснено
Добавено:
Веднъж влязла в даден клас конекцията трябва да се ресетне за да влезе в друг клас.
Редактиран на: 14-04-2004@14:53
[Отговори на този коментар]
Допълнения
От: alex_c
На: 14-04-2004@13:24 GMT+2
Оценка:
/Статията не е лоша, но няма да е зле да се
замислите за по-сложна ситуация, например
машина с 5 карти, от които 3 да са в
бриджа, а другите 2 да работят само на слой
трети, т.е. само с рутиране. Ако машината е
свързана с два доставчика, може да
възникват ситуации, в които се налага
пакети, влизащи от карта, принадлежаща на
бриджа, да излизат от карта, непринадлежаща
на бриджа, т.е. от обработка на слой 2-ри
да се прехвърлят за обработка на слой 3-ти.
Всичко това може да се реализира с
iptables+ebtables.
Best wishes!
Alex
[Отговори на този коментар]
Re:Допълнения
От: Uvigii <uvigii __@__ mail[ точка ]bg>
На: 14-04-2004@13:40 GMT+2
Оценка:
/Абсолютно съгласен !
Има прекрасен пример на сайта на ebtables.
Но мисля, че на когото му се налага ... вече я е намерил :)
[Отговори на този коментар]
Otlichna rabota !
От: Svetoslav77 <svetlyo77 (a) mail __точка__ bg>
На: 14-04-2004@14:01 GMT+2
Оценка:
/Ne vseki bi se setil da konfigurira firewall na data-link layer-a
Mnogo dobre bat Uvigi!:)
[Отговори на този коментар]
Realtek RTL8139 Family PCI Fast Ethernet N
От: dimitar <ddt< at >witty< dot >com>
На: 5-05-2004@19:30 GMT+2
Оценка:
/Някой знае ли дали тези лан карти са проблемни (както беше споменато малко по горе)Realtek RTL8139 Family PCI Fast Ethernet NIC
на линукс машината ми и двете са такива
[Отговори на този коментар]
Re:Realtek RTL8139
От: Uvigii <uvigii __@__ mail[ точка ]bg>
На: 13-05-2004@8:49 GMT+2
Оценка:
/Аз ползвам такива Лан-ки. Не съм имал някакви проблеми с тях. Особенно ако са с прилично качество на компонентите
[Отговори на този коментар]
Наблюдения
От: VVitkov
На: 29-06-2004@15:27 GMT+2
Оценка:
/Наскоро ми се наложи да дигна подобно нещо ... защо ли не попаднах на статията по рано ...
Та моите впечатления и наблюдения.
1) Описание на системата
Интел 333 Мхц
3Ком - външна
Ц Нет - вътрешна
Лан с 500 машини
Бриджа е само за една вътрешна
Слак 9.1
2) Как се държи дървото
Учудващо добре стига някой да се сети че ако иска самба която да предоставя файлове от ФАТ дял трябва да я пусне като роот (хехе да не съм кретен та да си подаря машината)
Не се наблюдават никакви проблеми ... броадкаст ... игрички ... нет. Единствения недостатък е че ИЦК то малко се ебава не винаги тръгва ...
[Отговори на този коментар]
Re:Наблюдения
От: Uvigii <uvigii__at__mail[ точка ]bg>
На: 23-08-2004@8:00 GMT+2
Оценка:
/root@gw:/usr/src/linux-2.4.25# date
Mon Aug 23 10:47:39 EEST 2004
root@gw:/usr/src/linux-2.4.25# uptime
10:34:40 up 100 days, 7:20, 1 user,
load average: 0.00, 0.09, 0.25
Да .. добре се държи. А за ИЦК-о ... аз
нямам грижи с него.
[Отговори на този коментар]
търсене?
От: Yordan Nikov <dante_aligieri (a) mail< dot >bg>
На: 24-08-2005@13:04 GMT+2
Оценка: 1/Неутраленкъде мога да си намеря драйвери за 8139д?
[Отговори на този коментар]