DNS (англ. Domain Name System — система доменных имён) — компьютерная распределенная система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене (SRV-запись).

 BIND (Berkeley Internet Name Domain, до этого: Berkeley Internet Name Daemon) — открытая и наиболее распространённая реализация DNS-сервера, обеспечивающая выполнение преобразования DNS-имени в IP-адрес и наоборот.

 Google Apps — это среда, которая предоставляет следующие средства совместной работы: уже ставший популярным почтовый сервис GMail, клиент обмена мгновенными сообщениями Google Talk (фактически сервис полностью пригоден для общения с любым jabber-пользователем), календарь Google Calendar, средства для работы с документами и электронными таблицами Google Docs & Spreadsheets, «центральную страницу» — место для удобного размещения той информации, которая будет общей для всех пользователей, редактор страниц от Google, который позволяет быстро создать и опубликовать нужную информацию.

 Яндекс.Почта для домена – это бесплатный сервис, который даёт возможность иметь адрес вида name@yourdomain.ru (где name — любое выбранное вами имя, а yourdomain.ru — имя вашего домена), используя при этом удобный веб-интерфейс и другие преимущества Яндекс.Почты (фильтрация спама, автоматическая проверка писем на вирусы и др.).

С теорией покончили. Приступим к установке.

sudo apt-get install bind9

Теперь останавливаем bind9:

sudo /etc/init.d/bind9 stop

Из соображений безопасности лучше запускать Bind в chroot среде. Для этого мы отредактируем файл /etc/default/bind9 (добавляем строку о среде chroot которая будет находится  в /var/lib/named)…

sudo vim /etc/default/bind9

приводим файл к виду:

OPTIONS="-u bind -t /var/lib/named"
# Set RESOLVCONF=no to not run resolvconf
RESOLVCONF=yes

Далее создаем все необходимые директории для корректной работы

sudo mkdir -p /var/lib/named/etc
sudo mkdir /var/lib/named/dev
sudo mkdir -p /var/lib/named/var/cache/bind
sudo mkdir -p /var/lib/named/var/run/bind/run

Переместим директорию с конфигурацией bind9 из /etc в /var/lib/named/etc

sudo mv /etc/bind /var/lib/named/etc

Создадим символическую ссылку на новую директорию с конфигами bind, чтобы мы могли обновляться без проблем.

sudo ln -s /var/lib/named/etc/bind /etc/bind

Теперь создаем null и random девайсы и выставим правильные права на директории:

sudo mknod /var/lib/named/dev/null c 1 3
sudo mknod /var/lib/named/dev/random c 1 8
sudo chmod 666 /var/lib/named/dev/null /var/lib/named/dev/random
sudo chown -R bind:bind /var/lib/named/var/*
sudo chown -R bind:bind /var/lib/named/etc/bind

Для старых версий LINUX, где используется sysklogd изменяем стартовый скрипт демона sysklogd, для того чтобы сообщения от bind попадали в syslog. Для этого редактируем файл:

sudo vim /etc/init.d/sysklogd

Изменим там строчку SYSLOGD=”-u syslog” на SYSLOGD=”-u syslog -a /var/lib/named/dev/log”

SYSLOGD="-u syslog -a /var/lib/named/dev/log"

и перезагрузим демон sysklogd

sudo /etc/init.d/sysklogd restart

На этом настройка BIND9 окончена. Запускаем и смотрим нет ли ошибок:

sudo /etc/init.d/bind9 start

Если возникнет ошибка Bind: loading from master file managed-keys.bind failed, необходимо создать файл managed-keys.bind

touch /etc/namedb/managed-keys.bind

Если возникнет ошибка named[9410]: network unreachable resolving ‘NS1.SITE.RU/A/IN’: 2001:7fe::53#53, необходимо добавить строчку OPTIONS=”-4″ в файл /etc/init.d/bind9

sudo vim /etc/init.d/bind9

Если BIND9 вовсе не запускается, а в логе есть ошибка open: /etc/bind/named.conf: permission denied, необходимо убрать apparmor из автозагрузки…

sudo /etc/init.d/apparmor stop
sudo update-rc.d -f apparmor remove

Если все запустилось, то приступаем к настройке зон. Допустим у нас есть 2 домена (site.ru и site2.ru). Для начала создадим файл конфигурации для наших будущих зон:

sudo touch /var/lib/named/etc/bind/sites-zones.conf  
chown bind:bind /var/lib/named/etc/bind/sites-zones.conf

В файле конфигурации зон укажем путь до файла зон…

vim /var/lib/named/etc/bind/named.conf

приведя файл к следующему виду:

include "/etc/bind/named.conf.local";
include "/etc/bind/sites-zones.conf";

Теперь открываем файл наших зон:

sudo vim /var/lib/named/etc/bind/named.conf.local

и приводим к следующему виду (не забываем, у нас 2 домена):

zone "example.com" {
     type master;
     file "site1.ru";
};

zone "example.com" {
     type master;
     file "site2.ru";
};

теперь создадим директорию и файл с нашими зонами:

sudo mkdir/var/lib/named/etc/bind/sites-zones/
sudo touch /var/lib/named/etc/bind/sites-zones/site1.ru
sudo touch /var/lib/named/etc/bind/sites-zones/site2.ru
sudo chown bind:bind /var/lib/named/etc/bind/sites-zones/example.com

Далее отредактируем зоны для домена site1.ru:

sudo vim /var/lib/named/etc/bind/sites-zones/site1.ru

И приведем его к следующему виду, с примером подключенного сервиса pdd.yandex.ru:

$ORIGIN site1.ru.
$TTL 86400 ; 1 day
@ IN SOA site1.ru. master.site1.ru. (
     2008291104 ; serial
     10800 ; refresh (3 hours)
     3600 ; retry (15 minutes)
     3600000 ; expire (1 week)
     86400 ; minimum (1 day)
)
@      IN   NS      ns1.site1.ru.
@      IN   NS      ns2.site1.ru.

ns1    IN    A      172.16.0.1
ns     IN    A      172.16.0.2

@      IN    A      10.10.10.110
www    IN    A      10.10.10.110
*      IN    A      10.10.10.110
forum  IN    A      10.10.10.112

site1.ru. IN MX 10 mx.yandex.ru.
@ IN TXT "v=spf1 redirect=_spf.yandex.ru"

yamail-всякиесимвылы IN CNAME mail.yandex.ru.
mail IN CNAME domain.mail.yandex.net.

_xmpp-client._tcp  IN   SRV    20   0   5222   site1-xmpp.ya.ru.
_xmpp-server._tcp  IN   SRV    20   0   5269   site1-xmpp.ya.ru.

Теперь отредактируем зону для site2.ru, с использованием сервиса Google Apps:

$ORIGIN site2.ru.
$TTL 86400 ; 1 day
@ IN SOA site2.ru. master.site2.ru. (
     2008291104 ; serial
     10800 ; refresh (3 hours)
     3600 ; retry (15 minutes)
     3600000 ; expire (1 week)
     86400 ; minimum (1 day)
)
@      IN   NS      ns1.site1.ru.
@      IN   NS      ns2.site1.ru.

ns1    IN    A      172.16.0.1
ns     IN    A      172.16.0.2

@      IN    A      10.10.10.111
www    IN    A      10.10.10.111
*      IN    A      10.10.10.111
forum  IN    A      10.10.10.114

site2.ru. IN  TXT "v=spf1 a mx a:site2.ru ip4:216.38.22.109 include:aspmx.googlemail.com ~all"
site2.ru. IN MX 1 aspmx.l.google.com.
site2.ru. IN MX 5 alt1.aspmx.l.google.com.
site2.ru. IN MX 5 alt2.aspmx.l.google.com.
site2.ru. IN MX 10 aspmx2.googlemail.com.
site2.ru. IN MX 10 aspmx3.googlemail.com.
siyte2.ru. IN MX 10 aspmx4.googlemail.com.
site2.ru. IN MX 10 aspmx5.googlemail.com.
mail.site2.ru. IN CNAME ghs.google.com.
calendar.site2.ru. IN CNAME ghs.google.com.
docs.site2.ru. IN CNAME ghs.google.com.
start.site2.ru. IN CNAME ghs.google.com.

(Конфиг взял в инете, так как данный сервис не испольую, могут быть косяки)

Далее обновляем конфигурацию

rndc reload

и проверяем

nslookup   site1.ru   127.0.0.1

Должен выдать в ответ:

Server: 127.0.0.1
Address: 127.0.0.1#53
Name: site1.ru
Address: 10.10.10.111

Проверим другую зону:

nslookup forum.site1.ru 127.0.0.1

должен выдать в ответ:

Server: 127.0.0.1
Address: 127.0.0.1#53
Name: site1.ru
Address: 10.10.10.114

Проверим еще одну зону:

nslookup   site2.ru   127.0.0.1

должен выдать в ответ:

Server: 127.0.0.1
Address: 127.0.0.1#53
Name: site1.ru
Address: 10.10.10.111

и далее проверяем так все свои зоны.

На этом настройка сервера завершена.

Материалы, которые использовались для написания данного поста:

• http://sudouser.com/ustanovka-i-nastrojka-dns-servera-bind9-ubuntu-debian-howto.html
• http://habrahabr.ru/post/45921/
• http://aizaro.ru/services/bind/managed-keys.html
• http://xgu.ru/wiki/%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0_DNS-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%B0_BIND
• http://www.howtoforge.com/two_in_one_dns_bind9_views
• http://veseloff.net/21.html
• http://flex-plex.ru/?p=45
• http://www.virtualmin.com/node/14904
• http://xpoint.ru/forums/computers/os/unix/thread/44539.xhtml
• http://www.cyberciti.biz/tips/linux-iptables-12-how-to-block-or-open-dnsbind-service-port-53.html
• http://forum.asplinux.ru/read.php?3,107131

Для начала будут исправлены небольшие пробелы / косяки в существующих постах, ну а поле описана установка других, необходимых в работе программ.

Так же хотелось бы заметить, что существующая ОС на сервере была обновлена до версии 11.04, но существенных изменений в настройках нет.

ProFTPd — FTP-сервер для Linux и UNIX-подобных операционных систем. Почему был выбран именно он? Ну потому что об достаточно стабилен и прост в установке.

Хотелось бы предупредить, что сервер ставится без поддержки квоты, анонимных пользователей и прочих настроек, та как оно особо не нужно. Но, думаю, в ближайшее время я уделю этому время, и обязательно расскажу, как я это сделал.

Приступим к установке.

Для начала установим сервер:

sudo apt-get install proftpd

Во время установки выбираем тип запуска “standalone” (самостоятельно).

Далее переходим к настройке самого сервера. Для начала откроем файл конфигурации сервера,

sudo vim /etc/proftpd/proftpd.conf

и приведем его к следующему виду (то что выделено красным, как раз таки и изменяем) :

#
# /etc/proftpd/proftpd.conf -- This is a basic ProFTPD configuration file.
# To really apply changes, reload proftpd after modifications, if
# it runs in daemon mode. It is not required in inetd/xinetd mode.
#

# Includes DSO modules
Include /etc/proftpd/modules.conf

# Set off to disable IPv6 support which is annoying on IPv4 only boxes.
#seIPv6 on
# If set on you can experience a longer connection delay in many cases.
IdentLookups off

ServerName "srv2.site.ru"
ServerType standalone
DeferWelcome off

MultilineRFC2228 on
DefaultServer on
ShowSymlinks on

TimeoutNoTransfer 600
TimeoutStalled 600
TimeoutIdle 1200

DisplayLogin welcome.msg
DisplayChdir .message true
ListOptions "-l"

DenyFilter \*.*/

# Use this to jail all users in their homes
 DefaultRoot ~

# Users require a valid shell listed in /etc/shells to login.
# Use this directive to release that constrain.
 RequireValidShell off

# Port 21 is the standard FTP port.
Port 21

# In some cases you have to specify passive ports range to by-pass
# firewall limitations. Ephemeral ports can be used for that, but
# feel free to use a more narrow range.
# PassivePorts 49152 65534

# If your host was NATted, this option is useful in order to
# allow passive tranfers to work. You have to use your public
# address and opening the passive ports used on your firewall as well.
# MasqueradeAddress 1.2.3.4

# This is useful for masquerading address with dynamic IPs:
# refresh any configured MasqueradeAddress directives every 8 hours
<IfModule mod_dynmasq.c>
# DynMasqRefresh 28800
</IfModule>

# To prevent DoS attacks, set the maximum number of child processes
# to 30. If you need to allow more than 30 concurrent connections
# at once, simply increase this value. Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances 175

# Set the user and group that the server normally runs at.
User proftpd
Group users

# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.

Umask 002 002
# Normally, we want files to be overwriteable.
AllowOverwrite on

# Uncomment this if you are using NIS or LDAP via NSS to retrieve passwords:
# PersistentPasswd off

# This is required to use both PAM-based authentication and local passwords
# AuthOrder mod_auth_pam.c* mod_auth_unix.c

# Be warned: use of this directive impacts CPU average load!
# Uncomment this if you like to see progress and transfer rate with ftpwho
# in downloads. That is not needed for uploads rates.
#
# UseSendFile off

TransferLog /var/log/proftpd/xferlog
SystemLog /var/log/proftpd/proftpd.log

# Logging onto /var/log/lastlog is enabled but set to off by default
#UseLastlog on

# In order to keep log file dates consistent after chroot, use timezone info
# from /etc/localtime. If this is not set, and proftpd is configured to
# chroot (e.g. DefaultRoot or <Anonymous>), it will use the non-daylight
# savings timezone regardless of whether DST is in effect.
#SetEnv TZ :/etc/localtime

<IfModule mod_quotatab.c>
QuotaEngine off
</IfModule>

<IfModule mod_ratio.c>
Ratios off
</IfModule>

# Delay engine reduces impact of the so-called Timing Attack described in
# http://www.securityfocus.com/bid/11430/discuss
# It is on by default.
<IfModule mod_delay.c>
DelayEngine on
</IfModule>

<IfModule mod_ctrls.c>
ControlsEngine off
ControlsMaxClients 2
ControlsLog /var/log/proftpd/controls.log
ControlsInterval 5
ControlsSocket /var/run/proftpd/proftpd.sock
</IfModule>

<IfModule mod_ctrls_admin.c>
AdminControlsEngine off
</IfModule>

#
# Alternative authentication frameworks
#
#Include /etc/proftpd/ldap.conf
#Include /etc/proftpd/sql.conf

#
# This is used for FTPS connections
#
#Include /etc/proftpd/tls.conf

#
# Useful to keep VirtualHost/VirtualRoot directives separated
#
#Include /etc/proftpd/virtuals.con

# A basic anonymous configuration, no upload directories.

# <Anonymous ~ftp>
# User ftp
# Group nogroup
# # We want clients to be able to login with "anonymous" as well as "ftp"
# UserAlias anonymous ftp
# # Cosmetic changes, all files belongs to ftp user
# DirFakeUser on ftp
# DirFakeGroup on ftp
#
# RequireValidShell off
#
# # Limit the maximum number of anonymous logins
# MaxClients 10
#
# # We want 'welcome.msg' displayed at login, and '.message' displayed
# # in each newly chdired directory.
# DisplayLogin welcome.msg
# DisplayChdir .message
#
# # Limit WRITE everywhere in the anonymous chroot
# <Directory *>
# <Limit WRITE>
# DenyAll
# </Limit>
# </Directory>
#
# # Uncomment this if you're brave.
# # <Directory incoming>
# # # Umask 022 is a good standard umask to prevent new files and dirs
# # # (second parm) from being group and world writable.
# # Umask 022 022
# # <Limit READ WRITE>
# # DenyAll
# # </Limit>
# # <Limit STOR>
# # AllowAll
# # </Limit>
# # </Directory>
#
# </Anonymous>

# Include other custom configuration files
Include /etc/proftpd/conf.d/

На этом настройка окончена. Перезагружаем сервер:

sudo /etc/init.d/proftpd restart

и пользуемся!

Для настройки доступа достаточно лишь создать пользователя в системе, после чего у него появится возможность заходить на FTP сервер.

Для написания этой статьи использовались следующие материалы:

• http://linuxportal.vrn.ru/?q=node/8
• http://ru.wikipedia.org/wiki/ProFTPd
• http://www.artcom-ufa.ru/posts/2011/05/19/ustanovka-i-nastroika-proftpd
• http://www.opennet.ru/openforum/vsluhforumID1/80415.html

Вы, наверняка, хоть раз сталкивались с задачей сделать блок контента, заключенный в DIV, кликабельным. Эта затея отлично реализована на сайте веб-компании StudioForYou – этим приемом обеспечена кликабельность разноцветных блоков!

Итак, как же это делается?

HTML-код трюка:

<div onclick="location.href='Гиперссылка';" style="cursor: pointer;"></div>

Style-параметр превращает курсор мыши в привычный для гиперссылок «пальчик» при наведении на кликабельный DIV.

Оригинал статьи: Creating Clickable DIVs

Источник: http://www.w3school.ru/blog/css/creating-clickable-divs.html

Enjoy!

Для установки необходимо сделать следующее …

Для начала удалим OpenOffice:

sudo apt-get purge "openoffice*.*"

теперь подключим репозиторий LibreOffice:

gksu add-apt-repository ppa:libreoffice/ppa

Обновим список пакетов:

gksu apt-get update

Ну и наконец устанавливаем LibreOffice:

sudo apt-get install libreoffice language-support-ru libreoffice-gnome libreoffice-l10n-ru

Все! Enjoy!

Файерволл – часть системы, часть сетевого стека, часть ядра и без него управление трафиком было бы невозможно.

В статье пойдет речь о том, какими возможностями он обладает и как их использовать.

Скучный мануал такой скучный, поэтому я его написал, но он будет в конце специально для того, чтобы желающие могли разобраться как все устроено и как все работает, сейчас же я приведу пример не очень сложного рабочего скрипта с шейпером для настройки:

#!/bin/sh

#Хороший тон при написании скриптов – использовать переменные, в противном случае при изменении скрипта/конфигурации #системы/обновлении/любом случайном стечении обстоятельств вы рискуете переписывать весь свой огромный скрипт, да и #ошибиться несложно.
wan_if=”re0″
lan_if=”re1″
localnet=”192.168.0.0/24″

#сброс предыдущих настроек
ipfw -fq flush

#разрешаем локальный обмен
ipfw -q add 130 allow all from $localnet to $localnet via $lan_if

#задаем каналы, для протокола udp чуть уже
ipfw -q pipe 3 config bw 14000Kbit/s queue 20
ipfw -q pipe 4 config bw 14000Kbit/s queue 20
ipfw -q pipe 5 config bw 17000Kbit/s queue 20
ipfw -q pipe 6 config bw 17000Kbit/s queue 20

#конфигурируем очереди для равномерного распределения трафика
ipfw -q queue 30 config pipe 3 weight 10 queue 20 mask dst-ip 0xffffffff
ipfw -q queue 40 config pipe 4 weight 10 queue 20 mask src-ip 0xffffffff
ipfw -q queue 50 config pipe 5 weight 1 queue 20 mask dst-ip 0xffffffff
ipfw -q queue 60 config pipe 6 weight 1 queue 20 mask src-ip 0xffffffff

#добавляем очереди для udp в правила, обрабатываем их отдельно
ipfw -q add 230 queue 30 udp from not $localnet to $localnet out via $lan_if
ipfw -q add 240 queue 40 udp from $localnet to not $localnet in via $lan_if

#пакеты udp уходят из файервола

ipfw -q add 250 allow udp from not $localnet to $localnet out via $lan_if
ipfw -q add 260 allow udp from $localnet to not $localnet in via $lan_if

#добавляем очереди для оставшихся пакетов в правила, обрабатываем их отдельно
ipfw -q add 350 queue 50 all from not $localnet to $localnet out via $lan_if
ipfw -q add 360 queue 60 all from $localnet to not $localnet in via $lan_if

#остальные пакеты уходят из файервола

ipfw -q add 370 allow all from not $localnet to $localnet out via $lan_if
ipfw -q add 380 allow all from $localnet to not $localnet in via $lan_if

#добавляем НАТ

ipfw -q nat 1 config if $wan_if log redirect_port tcp 192.168.0.2:40001-41000 40001-41000 redirect_port udp 192.168.0.2:40001-41000

#оставшиеся правила нужны, чтобы пакеты нормально проходили через НАТ

ipfw -q add 410 nat 1 all from any to any via $wan_if

ipfw -q add 510 allow all from me to not $localnet out via $wan_if
ipfw -q add 520 allow all from not $localnet to me in via $wan_if
ipfw -q add 540 allow all from any to $localnet via $wan_if

Скрипт проверял, работает =)

Сразу оговорюсь, есть ряд мелких, но важных деталей:

1. переменная ядра net.inet.ip.fw.one_pass должна быть установлена в ноль, т.е. занесите “net.inet.ip.fw.one_pass=0″ в sysctl.conf, это дает возможность более гибкой настройки файервола: пакеты будут покидать файервол только в случае попадания в правило allow/deny, т.о. вы можете сделать так, чтобы пакет проходил несколько правил и обрабатывался ими, а затем уже покидал файервол по вашему желанию.

2. опция -q, стоящая после каждой команды ipfw означает режим quite, т.е. файервол не будет писать никаких сообщений для отчетности, это необходимо для удаленного администрирования, иначе ipfw будет пытаться отослать сообщение и обнаружив, что соединения нет – прекратит выполнение скрипта. Старые правила сбросятся, а новые не установятся.

3. а команда ipfw -f flush выполняет предварительный сброс настроек файервола, иначе вы можете получить непредсказуемые результаты при изменении скрипта =)

Мануал:

По сути файерволл управляется списком правил, если вы не настраивали его до этого, то введя команду

ipfw show

вы должны увидеть

65536 allow ip from any to any

Это правило, создаваемое системой по умолчанию и зависящее от опции, с которой скомпилировано ядро(FIREWALL_DEFAULT_TO_DENY или FIREWALL_DEFAULT_TO_ALLOW), оно имеет последний порядковый номер в системе и не может быть удалено или перезаписано.

Всего правил, как вы поняли, может быть 65535, начиная с нуля, также правила могут иметь один и тот же порядковый номер, если (!) они не мешают друг другу (исключают друг друга, т.е. например одно правило касается только протокола tcp, а другое только udp). При обработке поступившего пакета файерволл проверяет пакет на соответствие правилам по порядку, начиная с нулевогого правила и заканчивая 65535м. По умолчанию, если пакет соответствует правилу, то к нему применяется действие, описанное там и пакет покидает файерволл. Также важно помнить, что пакет, проходя каждый раз через интерфейс, в случае попадания на интерфейс извне обрабатывается файерволлом сразу по прибытию, в случае отправки пакета обрабатывается заранее, до попадания на интерфейс, т.е. если задача компьютера состоит в шлюзовании(т.е. пропускании пакетов через себя), то пакет проходит файерволл дважды: при принятии пакета и до отправки пакета.

Чтобы добавлять правила необходимо использовать команду

ipfw add [порядковый номер правила] [действие] [протокол] from [отправитель] to [получатель]

а команда ipfw delete [порядковый номер правила] удаляет правило с указанным номером

Рассмотрим по порядку

1. порядковый номер правила – число от 1 до 65535, обозначающее, каким по счету будет рассматриваться правило(зачастую порядок следования правил имеет ключевое значение);

2. действие – действие, которое нужно применить к пакету, основные варианты:

- allow – разрешить пакету пройти, т.е. пакет сразу покидает файерволл и отправляется дальше;

- deny – разрешить пакету пройти, т.е. пакет отбрасывается и дальше не проходит;

- [divert название программы] – передать пакет на обработку сторонней программе(например natd), пакет передается и покидает файерволл, далее программа в соответствии с собственной конфигурацией обработает пакет, на выходе пакет вновь будет обработан;

- [nat название НАТа] – совершить преобразование адресов с пакетом;

- [pipe название пайпа] – поместить пакет в пайп(по-русски трубу);

- [queue название очереди] – поместить пакет в очередь;

3. протокол – основные варианты:

- all – пакеты любых типов протоколов соответствуют;

- tcp – соответствуют пакеты tcp;

- udp – соответствуют пакеты udp;

4. отправитель и получатель – это адреса, возможные варианты:

- any – любой адрес соответствует этому значению;

- xxx.xxx.xxx.xxx/yy – где xxx.xxx.xxx.xxx – ip-адрес, yy – маска подсети;

Некоторые действия, такие как nat, pipe и queue необходимо еще и сконфигурировать до или после добавления правил в файерволл, делается это следующим образом:

ipfw [действие] [название действия] config [опции]

Конфигурируемыми действиями являются nat, pipe, queue и другие (менее интересные нам), единственным нераскрытым пунктом в данном случае являются опции, и для разных действий они, естественно, разные. Рассмотрим самое распространенное:

- для nat:

ipfw nat [название НАТа] config if [внешний интерфейс] log redirect_port [protocol] [ip]:[ports]  [ports]

Распространенный случай: поднятие НАТа на внешнем интерфейсе – опция if задает этот интерфейс, log – включает логирование, опция redirect_port делает возможным перенаправление пакетов с портов внешнего интерфейса на порты внутреннего локального адреса(вопреки распространенному мнению, будто бы этим занимается функция port_forward). На тот момент, что я настраивал эту функцию, для протоколов были возможны только 2 варианта: tcp и udp, т.е. приходилось отдельно указывать перенаправление для этих 2х протоколов. [ports] в конце обозначает порт или диапазон портов на внешнем интерфейсе, где НАТ будет ждать пакеты для перенаправления(диапазон указывается через знак минуса xxxxx-yyyyy). Надо сказать, что диапазоны могут быть разными =), но должны быть одинаковыми по размеру, т.е. допустимы записи

xxx.xxx.xxx.xxx:aaaaa-bbbbb ccccc-ddddd, но при этом при вычитании должно выполняться: bbbbb – aaaaa = ddddd – ccccc

т.е. при поступлении пакета на внешний интерфейс на порт ccccc файервол передаст его на порт aaaaa локального айпи xxx.xxx.xxx.xxx и сделает так же соответственно с каждым пакетом из диапазона.

Действие forward я не затрону в этом мануале, могу единственно сказать, что оно выполняет свою задачу, оно передает пакет, но никак не меняет его блок адресации сетевого уровня, т.е. оно меняет MAC-адрес получателя, но не ip-адрес получателя, соответственно указанный хост получит пакет, но в получателях будет значиться айпи внешнего интерфейса, а внешний интерфейс хоста будет иметь локальный айпи, и, естественно, в стандартном случае, хост отбросит этот пакет, как не адресованный ему.

- для pipe:

ipfw pipe [название ПАЙПа] config bw [пропускная способность] queue [количество пакетов]

опция bw (bandwidth, англ. – пропускная способность) указывает в различных единицах измерения ширину создаваемого канала, приемлимые единицы bit/s, Kbit/s, Mbit/s. queue (англ. – очереди) – указывает число пакетов, помещаемых в очередь, в большинстве случаев достаточно 10-20 пакетов. Нужно заметить, что действие pipe не обладает никакими особыми свойствами и кроме ограничения канала заданными границами ничего не умеет. Для расширения возможностей контроля трафика как раз нужно действие queue.

- для queue:

ipfw queue [название очереди] config [название ПАЙПа] weight [приоритет пакета] queue [размер очереди] mask [маска (я кэп ]
Очереди создаются внутри канала (ПАЙПа), пакеты в этих очередях могут иметь различный приоритет (число от 0 до 100, чем меньше число, тем выше приоритет) и приоритет присваивается этим пакетам в соответствии с заданной маской. Я использую эту возможность для того, чтобы создавать много одинаковых очередей с одинаковым приоритетом, но для разных айпи, это позволяет равномерно делить канал между всеми хостами. Очереди динамически создаются и удаляются, что позволяет не бояться того, что часть канала будет неиспользована, занята хостом, который уже отключился. Приоритет задается числом от 1 до 100, размер очереди определяется числом пакетов, которые туда могут поместиться. Самый интересный параметр mask, я использовал 2 типа маски: src-ip и dst-ip со значением 0xffffffff, которое означает, что для любого нового айпи в этом пайпе будет создаваться новая очередь (синтаксис: mask src-ip 0xffffffff), с маской src-ip будет проверяться адрес отправителя, а с маской dst-ip – соответственно адрес получателя.

Под капотом вы увидите описание сборки прошивки wive-rtnl от sfstudio для Asus rt-g32 rev. b1 при использовании ОС ubuntu 10.10.

upd: 11.04 тоже подходит, равно как и 10.04.

С нулевой системой Ubuntu вам понадобятся следующие пакеты и библиотеки:

git, gcc, g++, cpp, texinfo, libmpc-dev, libgmp-dev, libmpfr-dev, zlib-dev, ncurses

Для сборки прошивки выполняем следующие действия:

- заходим в папку /opt/

cd /opt

- копируем ветку кода из git-репозитория

sudo git clone git://gitorious.org/wive-rtnl-ralink-rt305x-routers-firmware/wive-rtnl-ralink-rt305x-routers-firmware.git Wive-RTNL/

Затем необходимо определиться, какую версию прошивки мы хотим собрать. Допустим, нам нужно собрать версию 1.8.2, для этого смотрим лог коммитов:

git log

- ищем в логе запись “version 1.8.2 released”, типа такой:

commit 1fc9fe1feb04b61866a777ac1df4c3b4f4ac9e79
Author: sfstudio <sfstudio@mail.ru>
Date:   Wed Jul 13 19:49:08 2011 +0700

1.8.2 Released.

- Теперь нужно откатиться к этому коммиту, для  этого копируем первые 6-7 знаков из номера коммита(у нас “1fc9fe”) и вставляем в конец команды для отката (“git reset –hard”):

sudo git reset –hard 1fc9fe

- Мы увидим следующее сообщение

HEAD is now at 1fc9fe1 1.8.2 Released.

Теперь можно собрать тулчейн и образы:

- заходим в папку /opt/Wive-RTNL/toolchain/

cd Wive-RTNL/toolchain/

- собираем toolchain

sudo ./build_toolchain.sh

- заходим в папку /opt/Wive-RTNL/

cd ..

- собираем прошивку с минимумом потребления памяти

sudo ./compile 1T1R YES

- Следуя логике, можно предположить, что используя один аргумент, мы соберем обычную прошивку, а используя аргумент 2T2R – соберем прошивку для чипа 3052, но нам этого не нужно =D

Если вам потребуется обновиться до современной ветки кода, нужно зайти в каталог с нашей веткой

cd /opt/Wive-RTNL

- и набрать команду:

sudo git pull origin

- если будет ругаться, возможно перед этим потребуется выполнить следующую команду:

sudo git stash

sudo git pull origin

Скачать прошивку можно тут:

Acorp_WR-150N-1T1R-savemem.1.8.0.RU.01072011.bin

Образы на народе:

Acorp_WR-150N-1T1R-savemem.1.8.0.RU.01072011.bin.zip

Acorp_WR-150N-1T1R-savemem.1.8.1.RU.06072011.bin.zip

Acorp_WR-150N-1T1R-savemem.1.8.2.RU.14072011.bin.zip

Acorp_WR-150N-1T1R-savemem.1.8.3.RU.14072011.bin.zip

Acorp_WR-150N-1T1R-savemem.1.8.4.RU.18072011.bin.zip

Acorp_WR-150N-1T1R-savemem.1.8.5.RU.18072011.bin.zip

Начал думать, df сказал, что места на разделах полно, после рестарта X автоматически запустились только ранее запущенные приложения, изображение рабочего стола (среда gnome2) отсутствовало, на прозрачных гномовских панелях кусочки оного всё же имели место быть. Полный рестарт машины не помог, симптомы аналогичны.

Причина проста: на роутере во время настройки присваивания ip по dhcp также был указан хостнейм, который не совпадал с текущим хостнеймом на пк, автоматически прописанным в /etc/hostname. Иксовые приложения, не видя этой смены после установки связи по wi-fi через networkmanager, пытались подключиться в ранее занятую пустоту, в результате чего никакого запуска программы не происходило. Возврат к оригинальному хостнейму в текущей сессии решает проблему.
Не повторяйте чужих ошибок.