Linux за българи: Форуми

Здравейте Колеги!

От доста време не съм се вясвал тук и имам зор голям :( !
Опитвам се да си настроя една виртуалка Убунту 16.04 с Виртуалмин за уебхост за няколко домейна с мейл сървъри към тях и с това се оправих, но искам и същата виртуалка да ми бъде и рутер на мрежата зад нея с Shorewall, но хич не мога да се оправя. Защо с Shorewall - защото има уебмин модул за настройване и конфигуриране!
Виртуалката е с две лан карти. Първата(ens32) е външната и е със статично ИП. Втората(ens33) е за вътрешната мрежа. Назначил съм и ИП 192.168.1.2 с маска 255.255.255.0 . Нагласил съм isc-dhcp-server да раздава ИП-та с рейндж 192.168.1.100-192.168.1.254 и Уиндоус-а си получава правилно ИП 192.168.1.100 с гетауей и ДНС 192.168.1.2 и съм до тук! Интернет не получава!

До колкото разбирам, трябва май да се пренасочи интернета от първата към втората карта, а също така и да се настрои самия фаеруол. Трябва да форвардна доста портове от вън към вътрешни ИП-та, а също така и да забраня връзките към някои външни ИП-та на програми инсталиране на компютри от вътрешната мрежа.
По същия начин в момента ползвам един Zentyal за рутер в момента, но с друго външно ИП, а преди съм ползвал pfSense само за рутер, а сега целта ми е всичко да е на машина. Рутер, уебхост, мейл сървър и файлов самба сървър, пък може и още фичъри да му се измислят и да се управлява само през Уебмин/Виртуалмин.
Побърках се от тестове и ровене из нета и има доста инфо, ама пусто му и англииския ми е по-зле и от рутирането и бих предпочел някой, който се е занимавал с това или има желание да го пробва да ми го направи срещу заплащане. Виртуалката е на снапшот и не е проблем да се маже, да се връща до снапшота и да се маже отново, докато се получи. Виртуализатора ми е  ESXi(ако има значение)

Здравейте Колеги!

От доста време не съм се вясвал тук и имам зор голям :( !
Опитвам се да си настроя една виртуалка Убунту 16.04 с Виртуалмин за уебхост за няколко домейна с мейл сървъри към тях и с това се оправих, но искам и същата виртуалка да ми бъде и рутер на мрежата зад нея с Shorewall, но хич не мога да се оправя. Защо с Shorewall - защото има уебмин модул за настройване и конфигуриране!
Виртуалката е с две лан карти. Първата(ens32) е външната и е със статично ИП. Втората(ens33) е за вътрешната мрежа. Назначил съм и ИП 192.168.1.2 с маска 255.255.255.0 . Нагласил съм isc-dhcp-server да раздава ИП-та с рейндж 192.168.1.100-192.168.1.254 и Уиндоус-а си получава правилно ИП 192.168.1.100 с гетауей и ДНС 192.168.1.2 и съм до тук! Интернет не получава!

До колкото разбирам, трябва май да се пренасочи интернета от първата към втората карта, а също така и да се настрои самия фаеруол. Трябва да форвардна доста портове от вън към вътрешни ИП-та, а също така и да забраня връзките към някои външни ИП-та на програми инсталиране на компютри от вътрешната мрежа.
По същия начин в момента ползвам един Zentyal за рутер в момента, но с друго външно ИП, а преди съм ползвал pfSense само за рутер, а сега целта ми е всичко да е на машина. Рутер, уебхост, мейл сървър и файлов самба сървър, пък може и още фичъри да му се измислят и да се управлява само през Уебмин/Виртуалмин.
Побърках се от тестове и ровене из нета и има доста инфо, ама пусто му и английския ми е по-зле и от рутирането и бих предпочел някой, който се е занимавал с това или има желание да го пробва да ми го направи срещу заплащане. Виртуалката е на снапшот и не е проблем да се маже, да се връща до снапшота и да се маже отново, докато се получи. Виртуализатора ми е  ESXi (ако има значение)

Трябва и стойността на един параметър в ядрото (ip_forward) да бъде 1, а не 0 за да може да се прехвърлят пакети от единия към другия интерфейс. И на вътрешният интерфейс не се задава gateway по подразбиране.

Имаше и някакви допълнителни настройки за да може физическите мрежови карти да се ползват и от виртуалните машини (бриджиране май му викат), но мисля, че това трябва да си го направил вече.

Имаше и някакви допълнителни настройки за да може физическите мрежови карти да се ползват и от виртуалните машини (бриджиране май му викат), но мисля, че това трябва да си го направил вече.

Това, че са виртуални машини е абсолютно без никакво значение! Те са във виртуални суичове. Един виртуален суич към едната реална лан карта в която влиза интернета и имам 3 външни статични ИП-та, но са на общ трафик, а на виртуалката лан картата е в този суич и и слагам едно от трите ИП-та дадени ми от доставчика, а другата реална карта е свързана към втори виртуален суич и към него е включена втората и лан карта и с други виртуалки и реални са в една обща мрежа свързани със суич.

Първо схемата ти е грешна. Абсолютна дивотия е да имаш всички сервизи и Рутера/Защитната стена за цялата ти мрежа на една машина. Особено пък ако работиш във виртуална среда (вярвам не страдаш от липса на ресурси, а един monowall харчи точно нищо). Второ shorewall е нищо повече от обвивка използваща iptables. А webmin има модул, който директно работи с iptables. Т.е. защо ти е друг посредник? И не на последно място - трето - вземи малко да прочетеш за защитните стени и рутирането в линукс. Това са основни неща ако искаш да се правиш това, което (всички помним) се опитваш да правиш. Все пак хората, които ще ползват продукта ти ще имат нужда от съпорт по някое време (и както винаги се получава - ще бъде някое засукано изискване, за което ти ще отвориш тема тук, предполагам...). Този съвет ти е даван многократно от почти всички знаещи в този форум, но явно или не чуваш, или не ти изнася да чуваш.

мен ми звучи като случай в който има нужда да ползваш контейнери например докер. Но това с рутирането нищо не разбрах и ако колегата по-горе те е разбрал правилно, послушай го, защото това звучи абсурдно наистина.

Не ползва контейнери, защото ползва виртуалки. А ползва виртуалки, защото предлага отдалечено ползване на Уиндоуси. А предлага тяхно отдалечено ползване, защото интересуващите го софтуери просто ги няма за ГНУ/Линукс.

Затова във всеки втори свой коментар пише, че не му достига още да стане работен плот, макар хора като мен и теб да го ползват точно за това. Просто, както Блендер не е Мая и трябва да правиш компромиси, така в неговата област проблема е още по-дълбок, че приложения почти няма.

Пъпреки, че Bb ползва компютри от досовски време, то е напълно несъгласен да ползва конзола. Той е много интересен, защото е потребителя мечта за Убунту — опитва да прави всичко с щракане.

Съответно непрекъснато следи и търси такива програми, които да отговарят на изискването му с тях да се справи абсолютно всеки. За негово щастие софтуерната индустрия отива точно натам и с всеки ден удовлетворява все повече изискванията му.

Ето сега е стигнал до Shorewall. Признавам, че не го бях чувал. Но пък и не се занимавам с администриране на нещо различно от собствената си машина.

Учудих се, че Брадата го съветва да ползва Моноуол. Нима някой все още  го ползва? Освен това Bb преди ползваше наследника му. А оттогава се появи наследник на наследника.

Но истинското ми втрещяване дойде, когато го посъветва да чете за жалониране. Ако има нещо  наистина сложно в ядрото Линукс… Ако има нещо да прилича на ядрена физика… Ами то е точно жалонирането. Не знам, как очаква някой да се справи абсолютно сам с тази материя без помощ отвън. Някой, който да те води за ръчичка. Убеден съм, че самия той така се е научил.

А за да е цирка пълен в най-скоро време iptables ще бъде обявен за остарял и формиран за замяна с нещо, което вече е „майка плаче, грамофон свири“. Ако сегашната система кара някакви хора да полудяваме, чакайте да видите тази, която е в бета-изпитания. Още като я вкараха в ядрото и щях да се спомина.

Що бе Жоре да се споминаваш? За да правиш каквато и да било защитна стена трябва аджеба поне да знаеш как това работи. Т.е. идеята зад него. Не говорим за дълбоки познания за ACK и SYN неща, а за логиката отгоре. На тема monowall - все още излизат нови версии и се поддържа. Аз го ползвам за VPN входна точка. Наследство ми е, ама понеже си бачка - го ползвам. Всичко става с цъкане в Уеб интерфейс => покрива изискванията. Няма някакви брутални изисквания за машината т.е. можеш да го пускаш на всичко.
Проблема с BB е, че не желае да се замисля за нищо повече от колкото той смята за нужно (въпреки, че няма познанията дори да разбере колко не знае) - т.е. по нашенско му викат дървен философ. "И язе не знам како е, ама и тако не йе"...

edit: сега разгледах последните новости около nft - не мисля, че скоро това ще бъде използваемо. Същото така никъде не видях кога се планира спирането на iptables. Следователно няма да е следващите поне 5 години. А за 5 години BB ще му дойдат милион нови идеи :)

   Може с тоя Shorewall да е станала каша...
   Разгледай внимателно мрежовите настройки на
"Виртуалката с двете лан карти".
   Виж резултата от командите:
iptables -L
iptables -L -t nat
   За всеки случай и:
iptables -L -t raw
iptables -L -t mangle
   Виж да не би тоя dhcp да създава проблеми...
   Принципно, "даването на интернет" на другите машини трябва
да стане с:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ens32 -j MASQUERADE
   Най-вероятно е станала тотална "манджа с грозде" , оттам да
идват проблемите.
   Като решение, може да се откажеш от тоя Shorewall и сам да си
сетнеш iptables(преди това да изтриеш всички досегашни правила в
съотв. таблици) ,но си е въртел.

или
iptables -t nat -A POSTROUTING -o ens32 -j SNAT --to 80.80.xx.xx

като  80.80.xx.xx ти е външното ип.

Ключът от бараката за споделянето на интернет е
 -j MASQUERADE
или
-j SNAT

Но за твое най голямо съжеление (и за мое най голямо удоволствие ;D) без шел и писане на ръка на iptables команди няма да стане.


Пишеш бришеш iptables команди и когато заработи и си готов:
service iptables save (или както е там командата в дистрото.)

това ще запише iptables правилата за постоянно и след рестарт няма да пишеш нищо.

Що бе Жоре да се споминаваш? За да правиш каквато и да било защитна стена трябва аджеба поне да знаеш как това работи. Т.е. идеята зад него. Не говорим за дълбоки познания за ACK и SYN неща, а за логиката отгоре. На тема monowall - все още излизат нови версии и се поддържа. Аз го ползвам за VPN входна точка. Наследство ми е, ама понеже си бачка - го ползвам. Всичко става с цъкане в Уеб интерфейс => покрива изискванията. Няма някакви брутални изисквания за машината т.е. можеш да го пускаш на всичко.
Проблема с BB е, че не желае да се замисля за нищо повече от колкото той смята за нужно (въпреки, че няма познанията дори да разбере колко не знае) - т.е. по нашенско му викат дървен философ. "И язе не знам како е, ама и тако не йе"...

edit: сега разгледах последните новости около nft - не мисля, че скоро това ще бъде използваемо. Същото така никъде не видях кога се планира спирането на iptables. Следователно няма да е следващите поне 5 години. А за 5 години BB ще му дойдат милион нови идеи :)

O-o-o iptables няма да го спрат в следващите не пет, ами десет години. Може и много повече. Просто ще стане революция, ако го направят.

Споменах m0n0wall, защото той преди беше на pfSense и ощевидно се отказал от него. Едва ли ще се върне. Не, че знам причината или подробности.

Той всъщност прави нещо, което правят и нормалните админи. Пробва разни неща и ако се окажат успешни директно влизат в производствен режим. Е вярно, че го прави малко странно…

Naka, в грешка си... Хората са го измислили... http://doxfer.webmin.com/Webmin/Linux_Firewall
За твое (и мое) съжаление BB пак ще се измъкне от това да научи нещо, ровейки в конзолата...

Е то е ясно, без много четене, проби и реални тестове - мрежар не се става. Ще трябва да се гледат примери и да се четат обясненията към тях.

   Ами при използване на Webmin ситуацията може да се осере повече,
отколкото при използване на Shorewall,особено пък в случая на BB.
   По принцип съм забелязал,че,кой знае защо,на меринджеите им харесва
чекиджийски "софтуер" от типа на Webmin,Shorewall и т.н.   
Може би защото смятат, че така нещата стават по-лесно,по-удобно, пък и
верoятно им напомня на windows. И може повече време да юркат
сисадмините за какво ли не...

@BRADATA
Това, което искам да постигна в момента е лично за мен, да си го ползвам лично аз, но, ако си обърнал внимание съм писал, че предпочитам някой да ми го направи срещу заплащане, защото ми писна от тестове сам. Не ми се чете, защо не ми е това работата и много добре знам, че никой не може да бъде специалист по всичко. Ако се получи търсения от мен ефект, естествено, че ще го предлагам и на клиенти и този, който ми го е направил срещу заплащане едва ли ще има нещо против да вземе някой лев и от друг за същото и за други работи, ако се налага. Дума и да не става, че мога това да го предложа на клиент, ако не мога да му предложа надежден съпорт!
 В момента работим няколко колеги почти като екип, но всеки от нас предлага взаимно допълващи се неща и си прехвърляме един на друг клиенти. Работим също и по доста други нови неща за които също си търсим партньори, които да се присъединят към нас, но това вече е друга тема. Покрай всичко това и развиваме технология на виртуален офис, като работата, която се върши на компютър да се работи от дома за спестяване на средства за офис, а и да не зависим един друг от локацията на партньора.
Относно самата постановка, че всичкото да не бъдело на една машина, ти каква идея би предложил, че на мен не ми идва друго на акъл, освен сървъра за уеб хостинг, мейл сървъра, самба сървъра на мрежата... да ги сложа зад рутер който да бъде отделна виртуалка с пренасочени на вътре към сървъра портове от вън!!!!????? Разполагам с 3 външни статични ИП-та от доставчика и в момента на едното е закачено Зентиал за рутер и самба сървър, а на второто подготвям тази вируалка за уебхост и мейл сървър с виртуалмин. Оунслоуд има модул за връзка от клоуда със самба споделените ресурси на сървъра, което ми е много нужно за целта и от тук идва нуждата уебхоста и самба сървъра да са на една машина.

@go_fire
Жоре, главната причина да се бунтувам срещу конзолата и да ползвам графичен интерфейс за всичко е, че графичния интерфейс създава правила за обща работа с други потребители! Ти пипаш само определени неща, друг други, трети - трети и така всеки пипа само определени и веднъж правилно настроено и дефинирано се сваля критическата сложност, като не е нужно всеки да е специалист по всичко. На 90% от сайтажиите, линукс, а и изобщо всякакво системно администриране им пълна индия! Като ги пуснеш на различно от уебхост панела на предлагащите уеб хостинг и не могат нищо да направят и следователно не мога да ползвам техните услуги, а абсолютно всичките ми услуги да зависят от волята, желанието и претенциите на един сисадмин за мен е абсолютно недопустимо. Сисадмина трябва да може и да разбира от едни неща, а сайтажиите от съвсем други и на тях не им е работа да мислят и могат да администрират системи. Както и аз, като се занимавам с кад системи(основно) не е нужно да съм и конструктор.
....................................................................

Знам, че в Уебмин има модул и за графично настройване на iptables, но за да искам да е с Shorewall си имам някакви причини и не мисля, че е нужно да занимавам цялата аудитория защо едното, а не другото. Това, че Shorewall продължава да се ползва и да се развива е логично, че предлага нещо по-различно или повече от iptables !
....................................................................

Много благодарности на mystical, който завладян от чист ентусиазъм, още снощи се свърза с мен на лично и ми пусна и-нета към втората карта, донастроихме DHCP сървъра и оставихме за днес след работа да се мъчим с Shorewall, който и за него е непознат. Ако някой е запознат с Shorewall, моля да коментира и помага или направо да ми пише на лично да му връзка за виртуалката. Всичко настроено до тук е на снапшот и може да се маже безпроблемно.
...................................................................

Както казах по-горе, за това време през което не съм се вясвал във форума, доста неща около мен са се развили към добро и не съм се отказал от Линукс идеята като бизнес модел от който може и да се печели като се спазват правилата заложени в ГПЛ лицензирането, а покрай това и да системата да се ползва повече, но трябва да се изграждат екипи за съвместна работа, а не всеки да е специалист по всичко.
В момента търся и Уордпрес програмист с който да форкнем един свободен модул като наш собствен проект, като до първа версия аз ще бъда инвеститор в проекта, а ако успея да осигуря и допълнително средства ще продължим да го развиваме. Модула е изграден от подмодули и при добро синхронизиране и разпределение на задачите, а също и при интерес от потребители лесно ще се разработва и от няколко човека едновременно без да си пречат и без да нужно всеки да разбира от всичко. Нашия форк също ще бъде под ГПЛ свободен лиценз и ще бъде споделен в гита за общо ползване.

   Ами при използване на Webmin ситуацията може да се осере повече,
отколкото при използване на Shorewall,особено пък в случая на BB.
   По принцип съм забелязал,че,кой знае защо,на меринджеите им харесва
чекиджийски "софтуер" от типа на Webmin,Shorewall и т.н.   
Може би защото смятат, че така нещата стават по-лесно,по-удобно, пък и
верoятно им напомня на windows. И може повече време да юркат
сисадмините за какво ли не...

Когато и ти станеш някога мениджър, може и да разбереш, че труда е едно от най-скъпите пера в разходите на всяка фирма и за да се намали цената на този разход, най-тъпия начин е да се търси свръх квалифициран специалист, но който да е склонен да работи за малко пари! Правилния начин е да се раздели труда така, че ниско квалифицирания да върши една работа, а високо квалифицирания друга, защото е тъпо да ангажираш високо квалифициран работник да върши работа, която може да я свърши и ниско квалифициран работник и за това са нужни правила, които се създават с графичния интерфейс.

   Ами ти сам си призна,че си загубил много време с тези проблеми !
   Ако знаеше повече за важните мрежови команди в Линукс,всъщност
щеше да си свършил много повече работа за същото това време.

   Ами ти сам си призна,че си загубил много време с тези проблеми !
   Ако знаеше повече за важните мрежови команди в Линукс,всъщност
щеше да си свършил много повече работа за същото това време.

Колега, аз си имам и друга по-важна работа от колкото тази, за която мога да си платя на някой, който може(имам представа, че този труд не е евтин). Просто до сега проблемите съм си ги решавал по друг начин. Както казах в други постове, изобщо нямам намерение да уча всичко и да съм специалист по всичко! Блъскам си главата сам само, когато не намирам кой друг да свърши работата и в някои други по-особени случаи.
Не разбирам защо е нужно да го водим този спор!!!! Има конкретно поставена задача, на която трябва да се намери добро решение и резултата е споделен във форума, дето, ако решението е добро ще се ползва и от други колеги.

…
Не разбирам защо е нужно да го водим този спор!!!! Има конкретно поставена задача, на която трябва да се намери добро решение и резултата е споделен във форума, дето, ако решението е добро ще се ползва и от други колеги.

E как защо? Защото сме във форум и това ни е забавлението  ;D

 [_]3

   Е аз поне се опитвам да съм сериозен...
   Все пак аз и Naka дадохме ценни съвети на backinblack.
   Надявам се backinblack да сподели как точно е решил проблема с
мрежовите карти и DHCP , може пък на някого да свърши работа.

A защо мислиш, че знае?

Нали си го каза — достигнал е предела на познанията си и си е платил, някой да нащрака опциите. Тоя някой е знаел, какво да нащрака, защото е знаел на теория, какво трябва да се получи. А го е знаел, защото преди това дълго се е потил в конзолата и вече му е лесно и може да го направи на всякакъв интерфейс.

Обаче никой от вас не се опитва да вдява, че ББ се опитва да прави Enterprise (е малко по нашенски, де) и къде ли му тикате командите в лицето.

Той си го каза много ясно — иска да свали сложността, защото това сваля и разходите за труд, които са много сериозно перо. А същото правят и компаниите, дето не са български и не им се налага да побългаряват.

Аз винаги съм адмирирал напъните му да прави свободни проекти. Но дали ще е свободен или несвободен, тясното място винаги са — хората. Няма ли, не става. Особено е валидно за разпределения модел на GPL, който той прокламира.

Затова, винаги съм му пожелавал само едно — да намери точните хора, с които да осъществи визията си. Гледам, че е започнало да се случва и съм щастлив.

   Ами аз не знам защо т.нар."backinblack"се газира толкова,при положение
,че нито аз,нито някой друг сме го обидили с нещо.
   Неслучайно употребих думата "меринджеи", това са основно 2 типа:
1. селски тарикати
2. навлеци(често спуснати "отгоре") с огромно его, но не ставащи и
    за чеп за зеле.
   Пък и в изказването ми за софтуера,предпочитан от тях,говорех по
принцип,а не конкретно за него.
   Ако той се е разпознал в някой от тези събирателни образи,ами...сори !
   Е,да е жив и здрав !

За да станеш шеф, трябват две неща:

① Да си тарикат;
② Някой (може и ти самия) да те спусне с парашут.

Тъй, че 100% от това, което наричаш меринджей отговарят и на двете ти условия. Съпротивлявам се само на думата селски. Имам честта да посещавам села и там, който се прави на тарикат — пати.

Иначе BB работи за себе си. Няма началник и няма подчинени. Е преди е имал десетки работници, но това е било в друг етап на живота му.

@spec1a, газирам се не за това, че съм се припознал в някое от определенията ти, а по принцип се газирам, когато искам да постигна едно решение, направил съм нещо и това което искам не е невъзможно по принцип, а е невъзможно само за моите знания и умения и някой започне с въпроси, ама защо така, а не иначе, ама това можело и куп други излишни неща! А логиката е съвсем елементарна! В Уебмин има модул и за шореуол и за айпитаблес. Това, че шореуол продължава да се развива и не е някакъв мъртъв проект е показателно, че предлага нещо различно и това, че аз искам да пробвам първо с него си имам някакви причини, които не е нужно да занимавам целия форум! Все пак не търся съвет кое е по разумно да използвам за каква ситуация, а търся конкретно решение!

В предния пост споменах с благодарности кой ми свърши част от работата безплатно от чист ентусиазъм, но това не означава, че няма да му платя или по друг начин да му се раванширам някакси! Колегата и той има опън сорс проекти, и той къща храни, и той си има някакви лични цели и при добро желание винаги можем да намерим начин как да си бъдем полезни един на друг, а още повече, че и живее в населено място не далеч от мен :) . Поне можем и да се напием заедно :) . Точно тази идея е заложена в ГПЛ лицензирането и свободния софтуер, а не в излишни спорове. Всяко нещо има хиляди начини как да бъде реализирано и начина се определя според целите, които трябва да се постигнат.

П.С. Благодаря и на другите, които дадоха съвети. Част от тях аз не ги разбирам, но пък за който ми помага ще се ориентира какво се има в предвид и ще има полза и от тях.

Имам една тема с инструкции как се инсталира пхп-виртуалбокс и зентиал на чисто убунту и, ако се получи добре можем да направим и инструкция за това.

Всъщност тази тема, за да е полезна на някой друг заинтересован от въпросния Shorewall щеше да е точно това да споделиш, какви са му предимствата пред приставката за Webmin. Макар така като гледам, няма потеря от желаещи да го ползват.

Иначе по-важното за общността е другия въпрос. Спомена, че искаш да се доработи допълнение за Wordpress. Най-интересната част е, че не го искаш само за собствено ползване, ами желаеш да е публичен проект на Github и т.н.

И точно тази единствена подробност, която спомена е важната. И поради това е необходимо да отвориш напълно нова тема, където да изложиш, кое точно допълнение е, какво точно трябва да му се донаправи и евентуално, за какво време очакваш да е оптимално. Може да споделиш и бъдещи планове относно втората версия и т.н.

Хайде финансовите въпроси може да не са в темата. Те може и на лична кореспонденция. Но е важно да се знае, каква е работата. Като нищо част от нея може да получиш безплатно, както стана със Shorewall.

То дори да не станеше публичен проект след това, тия подробности пак трябваше да се споделят, за да е възможно изобщо намирането на заинтересовани.

A защо мислиш, че знае?

Ами най-вероятно не знае. Щом е сигнал да пита, значи не знае. Но за да има резултат от питането, трябва да знае да пита грамотно. Преди години Никола Антонов беше отворил цяла тема за това как да задаваме грамотно въпроси.

А единственото нещо, което разбрах от първото му съобщение е, че има проблем с осигуряване на достъп до Internet за вътрешната мрежа. И му посочих една от възможните причини за това. Другата възможна причина са я посочили колегите по-долу -- трябва да има съответни правила в пакетния филтър, които да реализират технологията NAT.

За повече адекватност в помощта трябва адекватно описание на проблема, включително и конкретни настройки на всички програми, които използва.

Tой Никола, не беше ли превел и студията на ESR по въпроса? Или ти я преведе? Или кой беше там? Някой преведе „Как да задаваме въпроси?“.

Гога, от известно време Ред Хат и Федора налагат Firewalld ! Доста хора се бунтуват срещу него защото и питат как да го изключат. Същото е положението със Systemd ! За някои тези неща са предимства, а за други недостатъци. Основното предимство е, че създават някакви правила, които, ако те устройват са за всички, които го ползват, а не всеки да си създава свои индивидуални правила и всички да се съобразяват с неговия кеф. Ти също в различни теми си се бунтувал срещу прогреса и обединяването на много пакети и модули в един цял и това е пътя по който ще се развива и Линукс като цяло. Айпи таблиците ти предлагат нещо изосновно с което да си правиш каквото искаш, ама, ако знаеш как, а другите ти предлагат нещо полу направено, което само трбва да му вникнеш в логиката и да се научиш да го ползваш с малко къстамизиране. Аз не съм привърженик на това да се прави всичко от нулата, ако някой се е направил труда положи началото. Но пък българина не иска да учи нищо и иска всичко да прави от нулата по негов си начин, макар и да е грешен! Стига да има и кой да плаща за това. Когато ползваш Фаеруолд, ти приемаш някакви правила по които да настройваш айпитаблиците, които правила са разбираеми за всеки, на който му е това работата, а когато го правиш директно с айпитаблиците, друг ще трябва де се чуди кое какво и с каква идея си правил  и какви лайна си срал! За това и в Линукс все повече малки модули и пакети за това и онова ще се обединяват в едно цяло с други и за твое недоволство :) , точно по примера на онази система на която не искаш да произнасяш името :) .

Иначе по-важното за общността е другия въпрос. Спомена, че искаш да се доработи допълнение за Wordpress. Най-интересната част е, че не го искаш само за собствено ползване, ами желаеш да е публичен проект на Github и т.н.

Гога, ако отварям нова тема, то тя трябва да бъде за това, че болшинството хора не разбират бизнес модела вложен в ГПЛ лицензирането и пропиетрания МС лиценз, че дори и за БСД лицензирането!

Стига с тази изтъркана плоча, че програмистите дето цял ден бичели код за кинти и в свободното си време бичели за удоволствие и създали Линукс и еко системата му :) !

Tой Никола, не беше ли превел и студията на ESR по въпроса? Или ти я преведе? Или кой беше там? Някой преведе „Как да задаваме въпроси?“.

Аз невинен, то така си беше ::)

Гога, от известно време Ред Хат и Федора налагат Firewalld ! Доста хора се бунтуват срещу него защото и питат как да го изключат. Същото е положението със Systemd ! За някои тези неща са предимства, а за други недостатъци. Основното предимство е, че създават някакви правила, които, ако те устройват са за всички, които го ползват, а не всеки да си създава свои индивидуални правила и всички да се съобразяват с неговия кеф. Ти също в различни теми си се бунтувал срещу прогреса и обединяването на много пакети и модули в един цял и това е пътя по който ще се развива и Линукс като цяло. Айпи таблиците ти предлагат нещо изосновно с което да си правиш каквото искаш, ама, ако знаеш как, а другите ти предлагат нещо полу направено, което само трбва да му вникнеш в логиката и да се научиш да го ползваш с малко къстамизиране. Аз не съм привърженик на това да се прави всичко от нулата, ако някой се е направил труда положи началото. Но пък българина не иска да учи нищо и иска всичко да прави от нулата по негов си начин, макар и да е грешен! Стига да има и кой да плаща за това. Когато ползваш Фаеруолд, ти приемаш някакви правила по които да настройваш айпитаблиците, които правила са разбираеми за всеки, на който му е това работата, а когато го правиш директно с айпитаблиците, друг ще трябва де се чуди кое какво и с каква идея си правил  и какви лайна си срал! За това и в Линукс все повече малки модули и пакети за това и онова ще се обединяват в едно цяло с други и за твое недоволство :) , точно по примера на онази система на която не искаш да произнасяш името :) .

Извинявай, ама това по-горе е чиста проба дрън-дрън.

Firewalld ти вкарва още едно ниво на абстракция във филтрирането на пакети в сравнение с netfilter. И да, и при него също се ползват правила, написани с помощта на iptables.

Между другото, правилата са за netfilter, а не за iptables. iptables е програма, която ти позволява да пишеш правила за netfilter, който е пакетния филтър за linux.

И понеже все още firewalld се шлифова, тъй като fedora се използва като тестова платформа на Red Hat, за предпочитане е все още да се използва iptables.

И няма нищо сложно в самите правила, трябва само да познаваш малко повече мрежовите технологии, защото netfilter работи в мрежовия слой на модела OSI. И не те пази от проблеми в приложния слой на същия модел. За тях ти трябва друг подход.

Ако искаш, отвори друга тема и ще ти обясня накратко как работи пакетния филтър и какъв е синтаксиса на правилата в iptables.

Цитат на: backinblack в Jul 12, 2017, 16:33

Гога, от известно време Ред Хат и Федора налагат Firewalld ! Доста хора се бунтуват срещу него защото и питат как да го изключат. Същото е положението със Systemd ! За някои тези неща са предимства, а за други недостатъци. Основното предимство е, че създават някакви правила, които, ако те устройват са за всички, които го ползват, а не всеки да си създава свои индивидуални правила и всички да се съобразяват с неговия кеф. Ти също в различни теми си се бунтувал срещу прогреса и обединяването на много пакети и модули в един цял и това е пътя по който ще се развива и Линукс като цяло. Айпи таблиците ти предлагат нещо изосновно с което да си правиш каквото искаш, ама, ако знаеш как, а другите ти предлагат нещо полу направено, което само трбва да му вникнеш в логиката и да се научиш да го ползваш с малко къстамизиране. Аз не съм привърженик на това да се прави всичко от нулата, ако някой се е направил труда положи началото. Но пък българина не иска да учи нищо и иска всичко да прави от нулата по негов си начин, макар и да е грешен! Стига да има и кой да плаща за това. Когато ползваш Фаеруолд, ти приемаш някакви правила по които да настройваш айпитаблиците, които правила са разбираеми за всеки, на който му е това работата, а когато го правиш директно с айпитаблиците, друг ще трябва де се чуди кое какво и с каква идея си правил  и какви лайна си срал! За това и в Линукс все повече малки модули и пакети за това и онова ще се обединяват в едно цяло с други и за твое недоволство :) , точно по примера на онази система на която не искаш да произнасяш името :) .

Извинявай, ама това по-горе е чиста проба дрън-дрън.

Firewalld ти вкарва още едно ниво на абстракция във филтрирането на пакети в сравнение с netfilter. И да, и при него също се ползват правила, написани с помощта на iptables.

Между другото, правилата са за netfilter, а не за iptables. iptables е програма, която ти позволява да пишеш правила за netfilter, който е пакетния филтър за linux.

И понеже все още firewalld се шлифова, тъй като fedora се използва като тестова платформа на Red Hat, за предпочитане е все още да се използва iptables.

И няма нищо сложно в самите правила, трябва само да познаваш малко повече мрежовите технологии, защото netfilter работи в мрежовия слой на модела OSI. И не те пази от проблеми в приложния слой на същия модел. За тях ти трябва друг подход.

Ако искаш, отвори друга тема и ще ти обясня накратко как работи пакетния филтър и какъв е синтаксиса на правилата в iptables.

Добре де, по какъв начин да ти обясня, че да го разбереш, че аз не желая да бъда системен администратор, а съм си направил труда да понауча това и онова само колкото да знам на кое какви са му предимствата и недостатъците пред друго и какво да искам от професионалистите и най-вече, да мога да отсявам професионалистите от лаладжиите!!!????
Аз си имам съвсем друга работа! Тъй-като другата ми работа малко по малко се развива, вече имам нужда и от по-сложни неща, които предпочитам някой, който е решил с това да си вади хляба да ми ги направи и при добро и доволно сработване да разчитам на него и в бъдеще!
Ето, ти в този твой коментар ми изясни нещо, което не разбирах! Де факто, Шореул е друга програма, която борави с този нетфилтер и заменя програмата айпитаблес! Благодаря за което  [_]3 !
Решил съм да е с Шореуол и толкоз и още от самото начало съм обяснил какво искам! Знаеш, че не съм съвсем, съвсем бос в Линукс, но не съм и специалист, най-важното е, че НЕ ИСКАМ да се развивам като компютърен специалист!

П.С. Днес ми се еба мамата, че трябваше на трима клиента да обръщам по 1 час внимание за неща, за които са си платили и в същото време и с други колеги да обсъждам неща по други проекти и идеи по които работя, а понякога ми се налага дори и да пътувам веднага без предварителна подготовка и само това ми липсва, да се срине нещо и пак аз да се занимавам с него, щото няма хора, които ще я свършат тази работа по-бързо и качествено от мен!

Колегата mystical успя да подкара Шореуола с някакви базови първоначални настройки, като в момента само ССХ и Уебмин достъпа са разрешени и сега вече аз продължавам да си го разучавам за себе си! Много благодарности за което и тези дни ще пием бира, но не виртуална :) . Много съм доволен :) .
Допълнително инфо мога да споделя, след като разцъкам малко повече нещата на вече работещия фаеруол.

Колегата mystical успя да подкара Шореуола с някакви базови първоначални настройки, като в момента само ССХ и Уебмин достъпа са разрешени и сега вече аз продължавам да си го разучавам за себе си! Много благодарности за което и тези дни ще пием бира, но не виртуална :) . Много съм доволен :) .

Допълнително инфо мога да споделя, след като разцъкам малко повече нещата на вече работещия фаеруол.

Не съм сигурен, че осъзнаваш иронията на майката природа, защото това, с което се занимаваш в момента е точно системна администрация ::)

А на теб по-скоро ти трябват основни знания по мрежи и операционни системи за да може да задаваш адекватно въпроси (и да отсяваш успешно лаладжиите). За съжаление не го правиш. Само си мислиш, че го правиш. И се сърдиш, когато някой ти го каже.

Наясно ли си какво е host машина и какво е guest машина в термините на виртуализацията? Наясно ли си как да направиш така, че физическият ти мрежови интерфейс да може да се ползва от виртуалните машини? Наясно ли си колко физически мрежови интерфейса има на твоята машина? Наясно ли си с топологията на локалната ти мрежа?

И ако си наясно, споменал ли си го кратко и ясно в задачата, която поставяш в темата?

Има и още въпроси, ама да не злоупотребявам с търпението на останалите.

Не съм сигурен, че осъзнаваш иронията на майката природа, защото това, с което се занимаваш в момента е точно системна администрация ::)

Една от причините Уиндоус да е по-разпространента ОС е това, че всички привърженици на Линукс си мислите, че за да ползваш нещо, трябва да знаеш и как работи, но едва ли не и до най-малката подробност! Ти предполагам имаш автомобил!!!? Като се счупи нещо сам ли си го поправяш или ходиш при специалист в сервиз???? Ами, ако имаш автопарк и бизнеса ти е транспортни услуги, тогава трябва ли да знаеш устройството на всички автомобили с които разполагаш, че сам да можеш да си ги поправяш!!!???? Но мисля, че е нормално да знаеш горе-долу как работи и коя част или възел за какво служи!
Ами, на един един компютър е мисля, че е нормално да знаеш кой сервиз за какво, как да го пускаш и спираш, да направиш една проста връзка с друго устройство, как ЛЕСНО да си пренасочиш връзка от вън на вътре или да спреш от от вътре на вън, без да е нужно да знаеш всичко това как работи и като счупи нещо сам да си го поправяш! За това като счупи си има майстори! Нормалните хора искат да ползват компютъра, а не да му учат устройството! За нормалните хора, компютъра е една машина с която работят или се забавляват, като изключим тези за които е забавно да изучават устройството му. Нормалните хора не искат за пренасочването на един порт да или за най-дребното да търсят администратора, който в момента ще е зает и ще им спре работата, защото не знаят подходящото заклинание в конзолата! За това и нормалните хора работят на Мак или Уиндоус! Уеб панела прави нещото наречено Линукс да може да се ползва нормално от нормални хора, а администратора да влиза в ролята си само, когато положението не е за нормални хора! Защото иначе, нещото наречено Линукс става по-скъпо удоволствие и от Мак дори, само дето няма неговия лъскав и красив дизайн.

П.С. Тъй-като вече основните проблеми ги решихме, можем вече да си спамим на воля :) .   

ББ, в твоята аналогия ще напиша, че това да настроиш правилно защитна стена в линукс света е еднозначно да си регулираш клапаните + центровка на изпреварването на запалването в автомобилния свят. Съжалявам, но не можеш да ме убедиш, че като цъкаш по некъФ интерфейс всъщност разбираш какво точно правиш.
На тема онази другата по-напредналата ОС - знаеш ли как се пренасочва порт? Опс, ти не знаеш, че може да се ползва за рутер, а пък аз питам за портове  :o . Но все пак да ти кажа - нужно е да си сертифициран МС специалист за да го можеш. Ааааа, и да не забравя - в конзолата се прави  :D . Няма цъкалки...
Но понеже си ги разбираш нещата - какво се бъркам и аз. Пожелавам ти успех  [_]3

Онази другата ОС изначално е създадена за десктоп, за Персонален компютър, а не за устройство за предоставяне на услуги! Това, че в последствие се мъчат да и добавят и такива функционалности е съвсем друга тема. За онази другата ОС има програми и за тези неща как да се правят графично. В онази другата ОС на скоро се хвалеха, че имала вече в последната си сървърна версия пълноценен пауър шел и можела и само в команден ред да се управлявала! И аз дето не го обичам този команден ред логичното което ми звучи е, че винаги графичния интерфейс се е развивал с предимство пред конзолния. В онази другата ОС има десктоп и сървърни версии и в сървърните версии ги има тези неща, за които говориш графично да се правят, но не ми се е налагало да ги ръчкам. Десктоп версията не е предвидено да се ползва и за предоставяне на услуги и в тази си част е с ограничени възможности.

Малиии, като политик си мама му стара  ;D Начи съгласен съм за сървърните версии на онази другата ОС, ама и там си й'бало мамата. Да не говорим за цената и и прочее. Обаче най ме изкефи как тихомълком подмина аналогията с авторемонтите  [_]3

Ddantgwyn това дето го прави той, не е ли по-скоро мрежова администрация?

Иначе моята идея за „нормални“ хора коренно се различава от тази на Backinblack. Тези хора аз наричам (технологични) олигофрени. Ще ползваш нещо, но няма да знаеш, как работи то. Тия хора, как ползват четка за зъби???

Цитат

Не съм сигурен, че осъзнаваш иронията на майката природа, защото това, с което се занимаваш в момента е точно системна администрация ::)

Една от причините Уиндоус да е по-разпространента ОС е това, че всички привърженици на Линукс си мислите, че за да ползваш нещо, трябва да знаеш и как работи, но едва ли не и до най-малката подробност! Ти предполагам имаш автомобил!!!? Като се счупи нещо сам ли си го поправяш или ходиш при специалист в сервиз???? Ами, ако имаш автопарк и бизнеса ти е транспортни услуги, тогава трябва ли да знаеш устройството на всички автомобили с които разполагаш, че сам да можеш да си ги поправяш!!!???? Но мисля, че е нормално да знаеш горе-долу как работи и коя част или възел за какво служи!

Аз автомобил имам и освен него, имам и книжка, която ми дава правото да го ползвам.

А за да вземеш книжка и да караш автомобил ти трябват някакви минимални познания -- какво е това газ, спирачка, съединител, изобщо какво е това педал, защо трябва да ги ползваш. От там трябва да знаеш за какво служи скоростния лост, волана, лоста за мигач и така нататък. Без тези знания няма как да караш безаварийно. Ще можеш да караш някак си, ама ще е точно така -- някак си, като някоя кифла зад волана на някое Porsche.

А ти се дърпаш от научаване и разбиране точно на тези неща (imho).

   Съвсем в контекста на "дискусията",забелязал съм,че някои се
хвърлят на най-тежкотоварния (и скъп) софтуер.Например: за
виртуализация използват VMWare ESX/ESXi , при положение,че
съшата работа може например да се свърши с KVM,Xen (стандартни за
Linux, управляват се от virt-manager), или Virtualbox.
   Да, VMWare ESX/ESXi е върха в сферата на виртуализацията,но
върви далеч не на всеки хардуер, и е скъп...

Ddantgwyn това дето го прави той, не е ли по-скоро мрежова администрация?

Честно казано, нещата са малко размити, но за мен това по-скоро е системна администрация.

Мрежова администрация според мен е, когато човъркаш разни комутатори, маршрутизатори и вся остальная сволочь и когато се грижиш всичко това да работи в синхрон и без особени проблеми :).

Вярно е, че можеш от всеки един персонален компютър да направиш маршрутизатор или комутатор (примерно), но там ще трябва да бърникаш по системата, което за мен вече е системна администрация.

Вярно е и това, че да направиш един персонален компютър управляем комутатор е леко извратено даже и според моите виждания, но по принцип е възможно, затова и го споменавам :)

Макар Бб да си прави сървърни шкафове от ПДЧ, а непрекъсваемо захранване от акумулатори, то си купува скъпи сървъри. Е сега, скъпи, скъпи, пак най-евтиното — сбироток от Перси, ама поне наистина са сървъри и не са втора ръка.

Това там Esxi или както се казва безумието на VMware има някаква безплатна версия, ограничена по процесори ли, памет ли и аз не знам, какво. Та точно нея ползва.

А го ползва по причините дето спомена няколко хиляди пъти — управлява се с цъкане и е „стандарт“ за Enterprise.

Съвсем в контекста на "дискусията", забелязал съм, че някои се хвърлят на най-тежкотоварния (и скъп) софтуер.Например: за виртуализация използват VMWare ESX/ESXi, при положение,че
съшата работа може например да се свърши с KVM,Xen (стандартни за Linux, управляват се от virt-manager), или Virtualbox.

Да, VMWare ESX/ESXi е върха в сферата на виртуализацията, но върви далеч не на всеки хардуер, и е скъп...

Не е само при виртуализацията. При мрежовите технологии е масово да се хвърлят на хардуер от Cisco или Juniper, при положение, че същата работа може да се свърши от работна станция или сървър под управлението на Linux/Unix. Но е вярно и това, че в полза на хардуерните маршрутизатори могат да се кажат сериозни аргументи.

Приемаме, че и в двата случая трябва да се инвестира еднакво време за научаване на операционната система, която работи върху желязото.

Макар Бб да си прави сървърни шкафове от ПДЧ, а непрекъсваемо захранване от акумулатори, то си купува скъпи сървъри. Е сега, скъпи, скъпи, пак най-евтиното — сбироток от Перси, ама поне наистина са сървъри и не са втора ръка.

Това там Esxi или както се казва безумието на VMware има някаква безплатна версия, ограничена по процесори ли, памет ли и аз не знам, какво. Та точно нея ползва.

А го ползва по причините дето спомена няколко хиляди пъти — управлява се с цъкане и е „стандарт“ за Enterprise.

Ами това е негово решение, не мога и не искам да му се бъркам в личните дела.

Това, за което го отнася от мен, е че не иска да се научи поне да задава смислени въпроси (задачи или както там ще го наречем) за да получи и смислени отговори.

Ах, мръсник. Понеже форума ми се отваря по пет минути, въпреки, че успях да видя грубианската си правописка на втората секунда, си успял да ме цитираш и да ме изложиш като недоучил първолак, а уж 24-и май мина.

 :'(

Тези думи бяха за Спеца, който се чудеше, защо ползва нещото на wmvare.

"Ах, мръсник. Понеже форума ми се отваря по пет минути, въпреки, че успях да видя грубианската си правописка на втората секунда, си успял да ме цитираш и да ме изложиш като недоучил първолак,а уж 24-и май мина."
Ъ ?
Къде съм те цитирал ?

…
При мрежовите технологии е масово да се хвърлят на хардуер от Cisco или Juniper, при положение, че същата работа може да се свърши от работна станция или сървър под управлението на Linux/Unix. Но е вярно и това, че в полза на хардуерните маршрутизатори могат да се кажат сериозни аргументи.
…

И какви са тия аргументи? Че правителството на САЩ, КНР и евентуално някое европейско в добавка, ще знаят всяка твоя крачка?

Не знам що за аргумент е това. Е да различно е ламята на ресурси пред специално проектиран RISK и трафика дето бута, ама минусите (МИНУСА — с главни букви и подчертано) ми се вижда смазващ.

п.п. Не ти Spec1a, a Ddantgwyn. Тримата пишем един връз друг и стават обърквания. Моя отговор за тебе беше онова за сървърите. Предния на коментара, който питаш или третия мой в обратна посока, броено от този, който пиша в момента.

Объркването тръгна от мен, че не цитирах твоето мнение за виртуализациите, а понеже моята връзка е бавна, между моя и твоя коментар, той пък беше успял да мушне негов. И понеже аз не те цитирах, той правилно е заключил, че говоря на него, като последно писал. От  което пък, той пък изпадна в недоумение, какво общо има домашната му, сървърна постановка на Бб.

п.п.п. Правописката за е*ане беше — акумолатори.

Много писане за нещо просто.
Да обесня простичко какво иска да направи колегата backinblack.
Ubuntu сървър + Webmin + shorewall plugin за webmin - iptables правилата да се пускат през shorewall plugin-а.

shorewall plugin-а колкото и да го лансират за лесен инструмент, за писане на iptables правила не съм съгласен. Обаче след като е настроен и работи, добавянето на правила през уеб интерфейса е по-добрия вариант. Това го знам от предишни опити, настройваш, показваш как се добавят правила през уеб интерфейса и не те занимават излишни неща.

Никога не съм използвал Webmin, още повече shorewall plugin. Предполагам, че и повечето колеги, които писаха коментари по темата не са го използвали.

След толкова спамене, темата вече няма да е полезна на никой с подобен проблем.

Това, което иска да постидне backinblack, ще работи не зависимо, че Ubuntu сървъра е виртуален.

Mystical, как това:

…
shorewall plugin-а колкото и да го лансират за лесен инструмент, за писане на iptables правила не съм съгласен. Обаче след като е настроен и работи, добавянето на правила през уеб интерфейса е по-добрия вариант. Това го знам от предишни опити, настройваш, показваш как се добавят правила през уеб интерфейса и не те занимават излишни неща.
…

се връзва с това:

…
Никога не съм използвал Webmin, още повече shorewall plugin.
…

??? ??? ???

Как хем имаш предишен опит със Shorewall, на който се уповаваш и заради, който го препоръчваш, за да не те занимават излишно, хем не си използвал Shorewall.

В написаното няма никаква логика. Освен, ако (както предполагам) предишния ти опит е с нещо друго (подобно?). Но при такива обстоятелства, извода, който сам си подчертал е грешен, защото по никакъв начин не се отнася до Shorewall.

…
След толкова спамене, темата вече няма да е полезна на никой с подобен проблем.
…

Абсолютно не съм съгласен. Тази тема ще е полезна за всеки начинаещ администратор¹, който прочете мненията на Брадата, Спец, Джет, Наката, ДДантгуин и дано не пропускам някого.


п.п. Разбира се, че пропуснах Ачо. Ачка, извинявай!





-----
¹/ Тук с непроизносимия имаме лек теоретичен спор относно, какъв вид администрация е. Макар той да го каза, че границите се размиват.

"Ах, мръсник. Понеже форума ми се отваря по пет минути, въпреки, че успях да видя грубианската си правописка на втората секунда, си успял да ме цитираш и да ме изложиш като недоучил първолак,а уж 24-и май мина."
Ъ ?
Къде съм те цитирал ?

Не ти, аз съм го цитирал ::)

В написаното няма никаква логика. Освен, ако (както предполагам) предишния ти опит е с нещо друго (подобно?). Но при такива обстоятелства, извода, който сам си подчертал е грешен, защото по никакъв начин не се отнася до Shorewall.

Цитат на: mystical в Jul 13, 2017, 09:36

…
След толкова спамене, темата вече няма да е полезна на никой с подобен проблем.
…

Абсолютно не съм съгласен. Тази тема ще е полезна за всеки начинаещ администратор¹, който прочете мненията на Брадата, Спец, Джет, Наката, ДДантгуин и дано не пропускам някого.

п.п. Разбира се, че пропуснах Ачо. Ачка, извинявай!

-----
¹/ Тук с непроизносимия имаме лек теоретичен спор относно, какъв вид администрация е. Макар той да го каза, че границите се размиват.

Е, аз логика виждам, още повече след като разгледах набързо и Shorwall. И вместо да научиш синтаксиса на правилата за iptables ще трябва да научиш синтаксиса на правилата за Shorewall.

Дето викат старите хора -- не по врат, ами по шия. Ама щом така му харесва, нека така да бъде (визирам backinblack, а не mystical).

И не мисля, че имаме какъвто и да е теоретичен спор с теб -- аз просто споменах някои от критериите, по които разделям системната администрация от мрежовата, макар че съм категоричен, че границата между двете е много размита, което прави теоретизирането безпредметно от гледната точка на един инженер.

Но ако искаш да заформим флейм по темата, ще трябва да си го признаеш ::)

Много писане за нещо просто.
Да обясня простичко какво иска да направи колегата backinblack.
Ubuntu сървър + Webmin + shorewall plugin за webmin - iptables правилата да се пускат през shorewall plugin-а.

Не съм съгласен. Backinblack питаше как да пусне достъп до Internet към вътрешната мрежа. За да може да има такъв достъп, ip_forward трябва да е 1 (в Centos този параметър се намира в /etc/sysctl.conf) и тази настройка няма нищо общо с пакетния филтър. Другото, което трябва да се направи е да създадеш две правила за netfilter, които да реализират технологията NAT на машината. Това вече има отношение към пакетния филтър. Само, че за да му се даде адекватен съвет относно тези правила, трябваше да спомене малко повече за топологията на мрежата и за цялата система, която иска да спретне.

Защото аз съм с впечатление, че той иска да има достъп до internet на виртуалните машини, а там нещата вече се правят по малко по-различен начин, който е добре описан в паяжината за различните виртуализатори, отколкото се правят за една класическа локална мрежа, стояща зад NAT.

Ето това искам от него. Да видим дали ще се научи ::)

shorewall plugin-а колкото и да го лансират за лесен инструмент, за писане на iptables правила не съм съгласен. Обаче след като е настроен и работи, добавянето на правила през уеб интерфейса е по-добрия вариант. Това го знам от предишни опити, настройваш, показваш как се добавят правила през уеб интерфейса и не те занимават излишни неща.

И после трябва да бършеш след клиента, който е мазал по правилата без да има представа защо и какво прави. Но има представа как да го направи. Нещо подобно на случващото се на този клип: https://www.youtube.com/watch?v=hxMMrPoBq0M :)

…

Но ако искаш да заформим флейм по темата, ще трябва да си го признаеш ::)

Винаги готов! И винаги на разположение. Винаги съм в услуга на такива идеи.

=*=

За съжаление обаче живеем във време, когато огромната работа на администраторите и знанията, които трябва да притежават, не се ценят. Те се повече се избутват в полза на нещото, което аз наричам чистачка-параджия, толкова е абсурдно. А то е т.нар. (безумно дори по име) DevOps. И хаоса става все по-пълен.

Колеги, всички пишете, че човек трябвало да учи това и това и постоянно трябвало да учи, но при вас се получава същото, че сте научили нещо и отказвате да погледнете различни гледни точки реализирани в различни решения. Когато за едно и също нещо има няколко програми, които се развиват и се ползват, най-логичното е, че предлагат различни предимства и недостатъци. Никой в Линукс не създава нова програма, която е абсолютно аналогична на друга и всичко го прави като другата. В по-предни постове споменах, че много хора не осъзнават бизнес модела принципите заложени в ГПЛ лицензирането и как тези принципи движат света на Линукс. Всеки говори само за някаква свобода и безплатно, но ГПЛ лицензирането не е само това! ГПЛ е един бизнес модел на развитие на софтуера и изграждане на съвсем друг вид отношения и подход към нещата. Ако вникнете по-дълбоко в принципите му, може и вие да си промените мнението за много неща.

   Много ще ми е любопитно да видя (а и не само аз,съдейки по горните
мнения) как backinblack бичи команди в терминал в продължения на
няколко часа  ;D

Бекинблек, всеки от нас говори от собствената си камбанария. Аз говоря като домашен ламер, какъто съм. Професионалистите говорят, как седят нещата при професионален подход. Ти говориш като бизнесмен, който някак си опитва да оцелее в тази налудничава държава.

Ние добре осъзнаваме бизнес модела на споделената работа (съответно разходи) и синергичния (сиреч допълнителен, надграждащ) ефект от това. Но просто нас не ни интересува, защото не си изкарваме хляба на свободна практика. Всеки тук (без мен и Версия/юзър 13) работи на заплата.

Затова на тях GPL (BSD, MIT и другите) им изнася заради технологичните, информационни, неизненадващи и други удобства.

Аз говоря за свободата, защото мен тя ме интересува, като свободен човек.

И т.н.

Излиза малко като в кръчмата, дето след четири ракии всеки си говори и не се слушаме взаимно, но си е така.


п.п. Идея си нямаш, колко много учи един админ. Ти би ли бил успешен в своя бизнес (самонаета дейност), ако не следеше непрестанно новостите и тенденциите? Не, нали? Ами не е по-различно и при тях.

И те не отричат тенденциите. Напротив, възползват се от тях. И работят на всичко, което им се плаща. Ето виж например Брадата, нашето мега-гуро. Ще ти споделя тайна, че в работно време той се занимава включително с онази ОС, чието име избягвам да споменавам.

Да има неща, които са им (ни) удобни. Едно такова е конзолата. Но това не означава, че някой се ограничава само до нея, щом има реална необходимост от нещо друго.

Направих нова тема в която да си продължим този спор, защото той обхваща и много други неща :)

http://www.linux-bg.org/forum/index.php?topic=47751.msg298498

mystical:

След толкова спамене, темата вече няма да е полезна на никой с подобен проблем.

   Не виждам някой да е спамил в тази тема.
   Все пак се надяваме,да споделиш как точно си постигнал успехите си с
Webmin и shorewall. Може на някой да свърши работа.
Аз и някои колеги дадохме ценни съвети относно някои мрежови настройки.

Все пак се надяваме,да споделиш как точно си постигнал успехите си с Webmin и shorewall. Може на някой да свърши работа.

Най-вероятно е RTFM :)

Колеги, всички пишете, че човек трябвало да учи това и това и постоянно трябвало да учи, но при вас се получава същото, че сте научили нещо и отказвате да погледнете различни гледни точки реализирани в различни решения. Когато за едно и също нещо има няколко

Напротив -- погледнах и видях.

Само ми е странно това, че отказваш да научиш как се пишат правила с iptables, но си готов да го правиш със Shorewall.

Усещащ ли как майката природа си прави майтап с теб ::)
 

програми, които се развиват и се ползват, най-логичното е, че предлагат различни предимства и недостатъци. Никой в Линукс не създава нова програма, която е абсолютно аналогична на друга и всичко го прави като другата. В по-предни постове споменах, че много

Ай ся, а форка на един проект какво прави всъщност?

хора не осъзнават бизнес модела принципите заложени в ГПЛ лицензирането и как тези принципи движат света на Линукс. Всеки говори само за някаква свобода и безплатно, но ГПЛ лицензирането не е само това! ГПЛ е един бизнес модел на развитие на софтуера и изграждане на съвсем друг вид отношения и подход към нещата. Ако вникнете по-дълбоко в принципите му, може и вие да си промените мнението за много неща.

Мнение за какво по-точно?!

Когато започна да чета някое ръководство, правя бърз поглед на командите и конфигурационните променливи. Ако има много обяснения, мързи ме да ги чета и ми става скучно.

Има няколко ключови неща, с които ако не сте запознати тъпчите на едно място (мрежови решения). За линукс:
1. packet flow:
(https://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter-packet-flow.svg)

2. Инструмент за манипулиране на мрежовия трафик (в случая iptables):
Основи на iptables ($2)
IPTables Advanced ($2)

След като имаме представа за движението на пакета в мрежовия стек на Линукс и знаем как да боравим с инструмент за манипулиране, може да минем на следващото ръководство:
Shorewall Setup Guide ($2)

Правим основни настройки и пускаме Shorewall да работи. Ако не сте се свързали чрез ssh или нямате физически достъп до сървъра преди пускането на Shorewall , филма вече свърши.


Това е Shorewall с базисни настройки. Няма да ги обеснявам.
Допада ли ми? Не, на сървър който поддръжам, никога не бих качил подобно нещо. Ще работи ли? Да, всичко зависи от желязото и трафика, който ще минава.

В Уиндоус всички знаем как се създават куп програми една с друга дублиращи, докато в Линукс, избора е ограничен и за това си има логика. Нищо в Линукс не се създава просто така самоцелно, а хората се обединяват около някаква идея. Когато един проект се развива, това означава, че нещо в него е направено със съвсем различна логика от това в друг проект. Двете или трите са със съвсем различно предназначение.
Сега като поразучих малко повече нещата, това нещо Шореуол е направено специално за рутер. Не просто за някакъв си самостоятелен сървър, а за мрежа зад него. Не, че и с айпи таблиците не може да се постигне същото, но тук, като свалиш стената за нещо, интернета на другите зад рутера не прекъсва. Сваля само защитната стена за достъп от вън, но маскарадинга и пренасочените портове от вън на вътре работят.
На мен лично ми трябваше решение за сървър и рутер в едно и сам много доволен от тази комбинация. Айпи таблиците са за самостоятелен сървър.

Това което търсиш - графично управление на правила, рутиране и прочее го има в mikrotik. Купуваш си техен рутер и през winbox си правиш всичко лесно и прегледно от windows-а. Рутерите им работят с линукс и имат доста общо с линукс OS, но техния код е затворен, за сметка на това е по- юзър-френдли.

Това, което търся е уеб сървър, файлов сървър, мейли сървър...... и рутер в едно!

Това, което търся е уеб сървър, файлов сървър, мейли сървър...... и рутер в едно!

пак минах през темата и ми направи впечатление, че и ти като другя колега, който смъмрихме по-рано през седмицата искаш да слагаш рутер на виртуалка. От писанията ти личи, че си сериозен човек и по твои думи се занимаваш със сериозни неща. Малко по късно каззваш, че имаш по важни работи от това да четеш и учиш, но пък искаш нещата да бъдат направени. Това (иронично) не е много сериозно. Ако дадеш пари на някой да ти направи франкенщайна, който искаш, трябва да си наясно, че ще трябва да продължиш да му плаща за да го поддържа, защото ти няма да имаш идея какво точно се случва.
Това което си описъл съм го правил МНОГО години и то по-най тривиалния начин:
1. уеб сървър - Apache
2. файлов сървър - Samba с достъп през OpenVPN
3. Мейл сървър - Postfix+ClamaAV+Spamassasin+Amavisd-new+dkim
4.ДНС сървър - bind
5. и накрая рутер - не знам защо не разбирате, че всеки линукс е рутер. Машината на които си сложил всички тези неща играе ролята на рутер и това е.
6. Кат искаш графична благинка - webmin да си конфигурираш всичките тези неща вкл. и огнната стена(рутера)

Може някои от тези неща да ги сложиш в контейнер (без рутера). Но за целите ти задължително трябва докер, а не виртуалбокс! Искаш нещо тривиално, но понеже не си наясно как става, го мислиш по най-сложния начин. Колко време си загубил да четеш/пишеш тука, а можеше да прочетеш основни работи.

Цитат на: backinblack в Jul 28, 2017, 03:42

Това, което търся е уеб сървър, файлов сървър, мейли сървър...... и рутер в едно!

пак минах през темата и ми направи впечатление, че и ти като другя колега, който смъмрихме по-рано през седмицата искаш да слагаш рутер на виртуалка. От писанията ти личи, че си сериозен човек и по твои думи се занимаваш със сериозни неща. Малко по късно каззваш, че имаш по важни работи от това да четеш и учиш, но пък искаш нещата да бъдат направени. Това (иронично) не е много сериозно. Ако дадеш пари на някой да ти направи франкенщайна, който искаш, трябва да си наясно, че ще трябва да продължиш да му плаща за да го поддържа, защото ти няма да имаш идея какво точно се случва.
Това което си описъл съм го правил МНОГО години и то по-най тривиалния начин:
1. уеб сървър - Apache
2. файлов сървър - Samba с достъп през OpenVPN
3. Мейл сървър - Postfix+ClamaAV+Spamassasin+Amavisd-new+dkim
4.ДНС сървър - bind
5. и накрая рутер - не знам защо не разбирате, че всеки линукс е рутер. Машината на които си сложил всички тези неща играе ролята на рутер и това е.
6. Кат искаш графична благинка - webmin да си конфигурираш всичките тези неща вкл. и огнната стена(рутера)

Може някои от тези неща да ги сложиш в контейнер (без рутера). Но за целите ти задължително трябва докер, а не виртуалбокс! Искаш нещо тривиално, но понеже не си наясно как става, го мислиш по най-сложния начин. Колко време си загубил да четеш/пишеш тука, а можеше да прочетеш основни работи.

Неща от опит, които да споделя.
1. Личното ми мнение е, че файловия сърврър трябва да е на отделна физическа машина, а не на същата където вървят всички други работи. Дялът който ще ползваш за фаилове на този файлов сървър задължително трябва да е с btrfs, zfs  или подобна файлова система, за сериозе бекъп. Освен това всичко трябва ежедневно да се бекъпва на трета машина с rsync, в случай, че нещо се случи с другата. Това е така, защото натрупаната информация е най-важният ти актив в бизнеса!
2. останлити сървиси (без рутера) трябва да са в контейнери. Apache в контейнер. Щом ще има сайт задължително ще имаш SQL бази данни. Ако е различно от Sqlite,  трябва да е в отделен контейнер.
3. Мейл сървъра заедно с всичките други необходими към него работи за проверка на пощата за спам и вируси също трябва да са в контейнер.

При нормални условия за максимум седмица-две заедно с четенето можеш да се справиш и да настроиш всичко. След това всекидневната ти работа по това нещо е само :
apt update
apt full-upgrade

айде със здраве и успехи.

П.П. - виж колко много информация ти снесох - питай чичко гуггъл за конфигуриране на всички тези пакети (защото ми се струва, че досега не знаеше, кой за какво се ползва) и той ще ти покаже хиляда начина, така че да ти спести прекалено четене.

Сещам се за коя тема на колегата имаш в предвид, но моето е доста по-професионално :) .
От поне 5 години ползвам VMWare ESXi. Ползвал съм виртуално за рутер и Сенс-а, а с Veaam правя бекъпи на цялата виртуалка. Да сложа мейл сървъра зад рутер хич не ми харесва идеята и поради тази причина мейл сървъра, уеб и самба сървъра трябва да са отпред и да играе и рутер. А на виртуалка е много по-надеждно. Веднъж съм сменял желязото за нула време работа чрез бекъп и рестор на новото желязо.

…
А на виртуалка е много по-надеждно. Веднъж съм сменял желязото за нула време работа чрез бекъп и рестор на новото желязо.

Ами то тая работа, при нас става с:

GeSHi (Bash):
cp -axrv / /mnt

Може също rsync, както Деант каза.

Между другото за vagrand има графични клиенти за такива като теб (и за rsynk също, за cp да не говорим, какво изобилие е).

Просто си признай, че цялата работа е заради онази по-популярната ОС, защото точно за нея са програмите, който ползват твоите клиенти. Не ни обяснявай, че виртуалките са по-надеждни, защото не са. Единствено са по-сигурни в смисъл на кракерско нападение.

Сещам се за коя тема на колегата имаш в предвид, но моето е доста по-професионално :) .
От поне 5 години ползвам VMWare ESXi. Ползвал съм виртуално за рутер и Сенс-а, а с Veaam правя бекъпи на цялата виртуалка. Да сложа мейл сървъра зад рутер хич не ми харесва идеята и поради тази причина мейл сървъра, уеб и самба сървъра трябва да са отпред и да играе и рутер. А на виртуалка е много по-надеждно. Веднъж съм сменял желязото за нула време работа чрез бекъп и рестор на новото желязо.

Едно си баба знае, едно си бае.
VMWare ESXi е пълен хипервайзор и ще ти емулира желязото за всички гост ОС-и - от там ще ти трябва як процесор и много РАМ за всяка виртуална ОС.
Човека правилно ти е казал контейнери - там няма overhead - всички "гости" работят с ядрото на хоста. контейнера се използва за изолация между гостите.
Бекъп можеш да си правиш и само на /етц/ директорията и на данните ти. Няма нужда да бекъпваш цели имиджи. Линукс може да преживее и смяна на желязото.
Например Самба - трябва ти бекъп само на smb.ini, Apache - копие на /etc/apache2 и /var/www са напълно достатъчни. Mysql - прост дъмп на интересуващите бази данни.
Архива ще ти трае няколко секундин и няма да заема тонове място.
За Дебиан базирани дистра - архив на списък с инсталираните пакети: dpkg --get-selections  > /mnt/backup/backup.pkg.lst за възстановяеане: минимален инстал и тогава dpkg --set-selections < /backup/backup.pkg.lst тогава  apt-get dselect-upgrade и накрая apt-get dist-upgrade