51 (2017-05-13 08:25:41 отредактировано alex_q_2000)

Совершенно случайно Енот был прикручен к Fedora 25 MATE [Live]
-----------------------------------------------------------------------------------

1. Правка: /etc/selinux/config
    SELINUX=disabled

2. systemctl disable firewalld.service
    systemctl stop firewalld.service

3. yum -y install iptables-services iptables-utils

4. systemctl enable iptables.service

5. Если планируется создавать статические маршруты через Енота, нужно отключить NetworkManager и включить network.service
   
    systemctl disable NetworkManager.service
    systemctl stop NetworkManager.service
   
    systemctl enable network.service
    systemctl start network.service

6. Проверяем содержимое /etc/hosts, /etc/resolv.conf

7. Устанавливаем шейпер по инструкции
-----------------------------------------------------------------------------------

На мысль натолкнул Jani Valimaa в результате переписки на багтраке:

Jani Valimaa 2017-04-02 16:05:28 CEST
Keys were created properly earlier, but I think last openssh update broke it as some, but not all, changes were synced from Fedora and they changed how keys are generated.

Правда я так и не понял, почему он ссылался на репозиторий Федоры. Может быть поэтому?

Ещё одна неожиданность: Енот + CentOS 7 KDE [Live]
-----------------------------------------------------------------------------------

Всё то же самое, что и для Fedora 25. Но были ньюансы...

1. Создалось впечатление, что ЦентОсу в детстве что-то недодали: пришлось добавлять репозитории, поскольку бедолага не знал, откуда брать x11vnc и putty. Но это придирки, конечно же. ))

2. NetworkManager упорно не хотел переименовывать один из интерфейсов и постоянно лепил его имя как: /etc/sysconfig/network-scripts/ifcfg-Проводное_подключение_1. Причем сам NM говорил, что интерфейс переименован. Так и пришлось вручную менять имя файла на /etc/sysconfig/network-scripts/ifcfg-enp0s8. Еноту, как настоящему гражданину и патриоту, нужны реальные имена интерфейсов. В Магии таких проблем не наблюдал.

XLiN-у объявляется благодарность за идею портирования на CentOS. Было интересно поковырять эту ось на досуге.

С уважением,
alex_q_2000

p.s. Заметка носит ознакомительный характер

52

alex_q_2000, вот вы создали программный продукт. Кто, по вашему мнению, будет его использовать? Какова его ниша?

53

kvv-vp пишет:

alex_q_2000, вот вы создали программный продукт. Кто, по вашему мнению, будет его использовать? Какова его ниша?

Продукт предназначен для людей, которым нужно быстро и без особых проблем (знаний в области администрирования) создать защищенный, многофункциональный шлюз масштаба малой/средней организации по принципу "поставил и забыл". Кроме этого сам продукт можно легко заточить под индивидуальные потребности с минимальными навыками программирования.

Изначально это был шейпер на основе компилятора Буледжа. Позже он вместил в себя инструменты, которые чаще всего использует среднестатистический сисадмин в своей работе. И... Думается, шейпинг трафика на Linux трудно переоценить?

54

alex_q_2000⇓ пишет:

малой/средней организации по принципу

alex_q_2000⇓ пишет:

1. Правка: /etc/selinux/config
    SELINUX=disabled
2. systemctl disable firewalld.service
    system stop firewalld.service

Вот это смущает. Ваш шейпер берет на себя  обязанности файрволла?

55

alex_q_2000⇓ пишет:

Думается, шейпинг трафика на Linux трудно переоценить?

Если траффик рабочий, то тут думать  нужно. Возможно, канал требует расширения. Если траффик не рабочий, вообще нет проблем. Стоит одного пользователя наказать материально, как другие тут же "исправляются". Но тут уже встает проблема отслеживания, кто и куда "ходил". Ваш шейпер в этом может помочь?

56

kvv-vp⇓ пишет:

Вот это смущает. Ваш шейпер берет на себя  обязанности файрволла?

Точно так, поскольку [3. yum -y install iptables-services iptables-utils]. Далее управление пакетным фильтром только через Енота (INPUT DROP + защита от некоторых типов атак, брутфорса, перенаправление портов, управление локальными портами, обязательными разрешениями, маркировка пакетов и т.д, зависит от правил шейпинга). В Магии тоже удаляются подобные средства (msec и shorewall), ибо с "посредниками" невозможно правильно увязать шейпинг. В Еноте прямой синтаксис iptables: он сам создаёт необходимые правила и применяет их. Всё прозрачно для пользователя. А если понадобится использовать встроенный конструктор маркировки - это вообще о-ля-ля. Тут о внешних инструментах и речи быть не может, поэтому "всё в одном флаконе" т.с.

57 (2017-05-08 21:21:21 отредактировано alex_q_2000)

kvv-vp⇓ пишет:

Если траффик рабочий, то тут думать  нужно. Возможно, канал требует расширения. Если траффик не рабочий, вообще нет проблем. Стоит одного пользователя наказать материально, как другие тут же "исправляются". Но тут уже встает проблема отслеживания, кто и куда "ходил". Ваш шейпер в этом может помочь?

Ну, административные меры никто не отменял, конечно же. Согласен. Было много забавных моментов в админскую бытность. )) Я понимаю, что медленно и верно мы, вероятно, придём к squid-у с delay pool-ами и парсеру логов, вэб-серверу, чтобы отчёты смотреть. Но нет. В Еноте нет отчётности по статистике посещений, а от прокси я отказался намеренно, поскольку при современных скоростях и безлимитах не вижу в нём необходимости. Лишние тормоза, возня с кешированием, проблемы с https и мультипроцессорностью. Но, мысль хорошая конечно, относительно статистики посещений. Нужно подумать. ))

58

alex_q_2000⇓ пишет:

возня с кешированием, проблемы с https и мультипроцессорностью

Соглашусь. Сейчас можно делать прозрачный прокси с подменой сертификата, что бы отслеживать https.

P.S. Но хочется отказаться от прокси, т.к. из-за него не могу заставить нормально работать viber и skype.

MXLinux 19.3 - xfce
Чем больше я работаю админом, тем больше понимаю,
насколько волшебна фраза - "Нет технической возможности!"

==============================================

59 (2017-05-09 11:49:34 отредактировано alex_q_2000)

XliN⇓ пишет:

P.S. Но хочется отказаться от прокси, т.к. из-за него не могу заставить нормально работать viber и skype.

Помню, вдоволь наигравшись с распределением нагрузки на ядра процессора и манипуляциями с отключением дискового кеша (v3.2) - отказались от него. smile

Для контроля за пользователями использовали Spector 360. Вот это софтина, так софтина (не реклама, случай из жизни). С его внедрением в организации началась настоящая паранойя в плане слежки. Временами доходило до истерик, поскольку людей гнобили, начались реальные увольнения неугодных. По функционалу очень похож на KIS: ставится на контроллер, сканирует сеть, пользователей пихает в базу и тут начинается самое интересное... На машины пользователей ставится клиент, который по сути является программой-шпионом. Сидит резидентно, признаков жизни не подаёт, снимает лог с клавиатуры, делает скриншоты в реальном времени, собирает статистику лазаний в сети (внешняя и внутренняя, сайты, почта, скачивание, удаление файлов на локальных и сетевых дисках), в общем всё. У людей реально не было никаких шансов отвертеться. Мне самому было крайне неприятно быть участником этого процесса.

Руководство было очень довольно происходящим ровно до тех пор, пока не осознало, что с их компов скриншоты идут прямиком в министерство по VPN. Причем клиентов Спектра ставили не мы. Сетевая дисциплина была в то время потрясающая. ))

Контроль посещений действительно нужен, но как-то более элегантно, без сквида. Если есть какие-то идеи - было бы интересно узнать. Первое, что приходит на ум - tcpdump. ))

С уважением,
alex_q_2000

60 (2019-01-30 18:02:40 отредактировано alex_q_2000)

Обновлено 29.01.2019
HTB-ENOT v2.5 (i386 и x86_64): https://cloud.mail.ru/public/JF4L/p7HZaXcHy

Скриншотики: https://cloud.mail.ru/public/5Uw6/YqAk7GnBe

- Перекомпиляция в Lazarus 1.8.4
- "Резиновый" интерфейс, общий дизайн
- Запилена Флешка-MgaRemix-7-beta1-HTB-ENOT-2.5+Save-1Gb-UPD-30.01.2019 (LXDE)

Инструкция по флешке: https://forum.mageia.org.ru/viewtopic.p … 189#p29189
Инструкция по HTB-ENOT: https://forum.mageia.org.ru/viewtopic.php?id=1710

Работа всего этого хозяйства после обновления не проверялась, ибо не на чем. Присутствие samba и общий сетевой диск на флешке - мероприятие сомнительное. Просто было желание собрать всё в кучу. В теории данная флешка должна превратить ненужный комп с двумя сетевыми картами в офисный Роутер/Шейпер и т.д. Данные в настроечных таблицах приведены в качестве примера. Пользователь уже в группе wheel, все нужные пакеты предустановлены. Используйте быстрые флешки.

Пароли по умолчанию:
---
user: marsik    |    user: root
pass: ghbdtn    |    pass: ghbdtn

В общем - пусть будет. smile

Спасибо сказали: XliN1

61

alex_q_2000⇓ пишет:

Перешёл на Visual Basic

В Linux это Gambas. Сейчас готовлю русскоязычный его вариант, будет в Магее 7.

Разработчик, мейнтейнер, переводчик, по всем вопросам.
Спасибо сказали: alex_q_20001

62

AlexL⇓ пишет:

В Linux это Gambas. Сейчас готовлю русскоязычный его вариант, будет в Магее 7.

Значит теперь можно будет не только паскАлить, но и гамбАсить. drinks

63

alex_q_2000 пишет:
AlexL⇓ пишет:

В Linux это Gambas. Сейчас готовлю русскоязычный его вариант, будет в Магее 7.

Значит теперь можно будет не только паскАлить, но и гамбАсить. drinks

И будут в Магии насильники, пасквилянты и гамабасы...

Mageia 8 x32/x64, Xfce