Freesco, NND, CDN, EOS

Nie ma problemu z uaktualnieniem /etc/services.
Jeśli chodzi o przekierowanie to nowy script Zciecha (jest w testing) załatwia to z poziomu nndconf, ta wersja również wprowadza maskaradę tylko dla wybranych hostów więc problem blokowania również jest rozwiązany.
Kwestię przekierowania na squida można również uwzględnić tak aby user musiał usunąc tylko jeden # lub dodać zmienną do rc.conf...
Można by ównież uwzględnić własne regułki administratora poprzez dodanie dodatkowego pliku np. firewall.local choć tu widzę pewne problemy z prawidłową kolejnością ładowania regułek.

Idealnego dla wszystkich rozwuiązania nie znajdziemy na pewno, ale można bardzo ułatwić konfigurację firewalla i Maćka pomysł jest krokiem w tym kierunku.

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

To świetny pomysł. Popieram to podejście:

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

nie rozumiem... taka funkcjonalność jest od samego początku. Tylko, że to admin ma zrobić. Nikt inny mu nie będzie (i nie powinien) grzebał w jego konfigach ani zgadywał czy jakiś plik trzeba zabezpieczyć czy nie...

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

hmm to może ja zaproponuję tak:
1. rozwiązanie Maćka odnośnie otwierania portów, uwzględniając UDP/TCP (uaktualnić /etc/services)
2. forwardowanie z poziomu nndconf
3. często dopisywane regułki takie jak squid, ttl 1, itd. dopisane do /etc/iptables/firewall, wystarczy odhaszować i zabezpieczyć plik przed zmianami pacmana.
Dobrze opisany firewall ułatwi wtedy dopisanie własnych.

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .

Kiedyś Janek Alboszta napisał taki skrypt do forwardowania (na czymś tam oparty), potem cinas na swoim serwerze przy pomocy Oriona chyba zrobił z tego łączny skrypt do firewalla i forwardowania, ja nawet kiedyś paczke do nnd z tego zrobiłem (do jakiejś z wcześniejszych wersji). Jest możliwość taka, żeby taki skrypt do forwardowania sprząc ze standardowym firewallem.
Wystarczy zrobić tak, że firewall na koniec poszuka pliku z regułami forwardu i jeśli go znajdzie to uruchomi skrypt forwardujący. Samo generowanie pliku do forwardów może być z poziomu nndconf lub jakiegokolwiek innego.
Zaletą takiego rozwiązania byłaby gotowość do forwardowania w czystym nnd po instalacji. Jeśli admin nie potrzebuje, to nic się nie dzieje, ale jeśli potrzebuje, to ma.

_________________
Belfer.one.PL
Audio Cafe

dokładnie tak działa to co zrobił Zciech. Nie rozumiem po co dodawac coś co już jest?

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

A to co zrobił Zciech jest w standardowym firewallu? Bo ja mam właśnie na podglądzie najnowsze nnd i jakoś nie widzę.

_________________
Belfer.one.PL
Audio Cafe

z jednego z poprzednich postów:



Poza tym było o tym i na forum - pisał Zciech, pisąłem ja i na liście devel

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

O tym, że coś takiego było topamiętam, mi chodzi o to żeby takie coś było OOTB, a nie jako dodatkowa paczka.

_________________
Belfer.one.PL
Audio Cafe

Jak przejdzie testy i wyjdzie z testing to będzie domyslnie zawsze i wszędzie...

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

Z tym, że jest odwrotnie. Powinno z założenia nie podmieniać skryptu firewall'a , a jeśli ma być podmieniany to Admin powinien zrealizować odpowiedni wpis.

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

Potrafisz mi wskazać różnice pomiędzy scriptem firewalla a na przykład ls? A nie proponujesz domyślnie zaprzestac nadpisywania ls nową wersją... Zastosowanie tego co proponujesz zablokowałoby możliwość upgradu firewalla. Zaś tak jak mamy teraz admin sam decyduje czy chce ten plik podmieniać (czyli ufa nam i nie używa żadnych własnych regułek), mało tego może nawet zablokować upgrade całego pakietu.

Naprawdę sądzisz że użytkownicy byliby zadowoleni gdy po każdej zmianie musieliby znaleźć różnice pomiędzy tym co mają a nową wersją, zanalizować je i ewentualnie dodać/odjąć/whatever coś z własnego scriptu?

Imho jest tu jedno mozliwe rozwiązanie, które zadowoliłoby wszystkich - oddzielenie regułak wprowadzonych przez admina od scriptu firewall. Podział wyglądałby tak, że script firewall z pakietu zajmowąlby się maskaradą, przekierowaniami, innymi stałymi rzeczami oraz uruchamianiem lokalnych regułek napisanych przez administratora.. Wtedy każdy miałby mozliwość wprowadzenia swoich regułek, które nigdy by nie były nadpisane. Tyle że to komplikuje dośc mocno całą sprawę - w iptables kolejność wykonywania regułek jest istotna.... Nie mówię, że się nie da, ale będzie dość trudno. Dodatkowym utrudnieniem, byłoby takie przygotowanie aby script firewall jednakowo dobrze się sprawdzał w sytuacji gdy ktoś będzie wprowadzał własne regułki jak i w sytuacji gdy zainstaluje i zapomni opierając się tylko na tym co jest w domyślnym firewallu.

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

Rozumiem, że Albercik dmucha na zimne i wolałby, aby admin nie został zaskoczony nagłą utratą własnych linijek wpisanych w standardowy firewall, mogę to zrozumieć. Jednak to Mis' ma rację. Musimy wymagać od użytkowników minimalnego choćby zaangażowania umysłowego. Nie ma innego sposobu. Chyba, że pójdziemy w stronę rozwiązań a la windows. System wie lepiej a ty użytkowniku nic nie rób. Ale to będzie koniec NND

_________________
Belfer.one.PL
Audio Cafe

To prawda, to nie windows - coś za coś.



Przesadziłeś.





No na pewno nie są zadowoleni gdy podczas upgreadu pakietów podmienia się im skrypty.


Nie ma sensu sobie tak życia utrudniać, to nie jest przecież żadnym priorytetem. Jest jednak prostsze rozwiązanie, mianowicie podczas instalacji paczki iptables skrypt instalujący niech zapyta użytkownika/administratora o to, czy chce podmienić skrypt firewall. Jeśli firewall wnosi coś nowego, niezbędnego do prawidłowej pracy NND niech powiadamia o tym podczas upgreadu. Czy trudno to zrealizować? Jeśli nie, to można tak właśnie skonfigurować paczkę.

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

Niestety skrypty instalujące dany program nie mogą być interaktywne. Pewne rozwiązania już kiedyś były rozważane.

_________________
Belfer.one.PL
Audio Cafe

Oczywiście - zupełnie celowo. Chodziło mi o pokazanie, że ten script nie różni się niczym od dowolnego innego programu.



a do kogo mają pretensje? Tylko do siebie - nie chciało się dopisac jednej linijki do pliku i mamy problem...
Ja mam pewną zasadę postępowania:

1. instaluję pakiet
2. przeglądam listę plików (pacman -Ql nazwa_pakietu) co pozwala mi wstępnie ocenić jakie pliki moga być dla pakietu krytyczne
3. Konfiguruję pakiet
4. Plik z działająceym konfigiem dopisuję do pacman.conf: NoUpgrade = sciezka/plik_z_konfigiem

W przypadku upgradu pakietu sprawdzam zgodność konfigu i zazwyczaj robię kopię tego pliku. Jesli w konfigu wymagane są jakies zmiany to kopię trzymam aż do czasu gdy upgradowany pakiet zaczyna działać poprawnie.

A wszystko to pomimo conocnego rsynca prawie całego systemu (bez logów i części katalogów w /var)



Ależ po to pacman potrafi zrozumieć dyrektywę NoUpgrade, żeby sobie życie ułatwić!



Niestety... spędziłem nad tym sporo czasu i nie udało mi się uzyskac sytuacji gdy scripty post/pre instalacyjne są interaktywne.



Jesli jakieś istotne zmiany w pakiecie miały miejsce, to zawsze są wyświetlane podczas instalacji/upgradu odpowiednie komunikaty. To jednak nie rozwiązuje sprawy do końca. Już byłem pytany o to czy tamto i gdy z kolei ja zapytałem czy delikwent przeczytał co mu się wyświetliło podczas instalacji odpowiedź brzmiała "nie". Skrajnym przypadkiem było gdy ktoś odpowiedział "a po co?"
Nadal jednak, nawet jeśli user przeczyta komunikat i zrozumie go, ręczne nanoszenie zmian i poprawianie własnych konfigów do przyjemności nie należy. I co ważniejsze o pomyłkę nie jest trudno. Umieszczenie nazwy pliku w dyrektywie NoUpggrade powoduję że pacman zapisze nowy plik z rozszerzeniem *.pacnew i użytkownik wie ze powinien coś z tym plikiem zrobić po przeanalizowaniu. Najczęsciej wystarczy po prostu go usunąć...

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

I już masz firewall podmieniony .
Zawsze uważałem, że aby wiedzieć wszystko o instalowanym pakiecie należy poczytać o nim i tak było z wszystkim dotychczas, dopiero w NND spotkałem się z takim dziwnym mechanizmem, że aby zainstalować pakiet muszę znać specyficzne zachowania systemu względem WYBRANYCH skryptów i pakietów - w końcu nie wszystkie skrypty są podmieniane. Nie jestem ekspertem z Linuksa, ale kilka dystrybucji już doświadczyłem i czytając o paczce iptables nie spotkałem się nigdy z podmienieniem ważnego skryptu jakim jest firewall. Może jestem aż tak niedoczytany, kto wie.

Zadam jeszcze tylko jedno pytanie: czy kiedykolwiek w paczce iptables plik firewall miał tak znaczące, wpływające na funkcjonalność pakietu, zmiany ? Co się częściej zmieniało : wersja iptables czy notacja skryptu firewall ?

Nie mam więcej argumentów i chęci przekonywać o takim a nie innym mechanizmie , więc z tą kwestią daję sobie spokój. Jak już mówiłem specjalnie życia userom/adminom to nie ułatwi, a twórcy pakietu znacząco utrudni. Nie jest to priorytet, są ważniejsze sprawy do omówienia.

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

O ile dobrze pamiętam, to w iptables sam skrypt firewall dość długo był taki sam, no może prawie... to ma być pierwsza zasadnicza zmiana i wydaje mi się, że oczywiste będzie dopisanie w zmiennej backup, że ten plik zostanie zachowany jako firewall.pacsave, więc nie zniknie - jak rozumiem to była twoja zasadnicza obawa.

_________________
Belfer.one.PL
Audio Cafe

eMTi właśnie nie!
do backup nie będzie to dopisane! a przynajmniej moim zdaniem nie powinno

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .

Kurcze proszę Cię... czytaj z tak zwanym zrozumieniem. Mówię, że instaluję pakiet, to znaczy że nic nie miałem wcześniej. Pierwsza instalacja, nie mam nic do nadpisania. Poniał?
Ty zaś mylisz instalację z upgradem... w moim przypadku upgrade jest niegrożny bo od czasu instalacji mam juz w pacman.conf najważniejsze pliki zabezpieczone.



napiszesz to jakoś zrozumiale? bo czytam któryś raz z kolei i nie rozumiem. Jakie scripty nie są podmieniane? rc.local? tak bo zakłada że admin sam ma ten plik edytować, a system w nim nie ma nic... i to jest jedyny script który domyślnie nie jest nadpisany. Własnie ze względu na powyższy argument ten plik jest traktowany specjalnie. Pozostałe pliki, które sa zabezpieczone to są różnego rodzaju pliki konfiguracyjne.
Zwróć uwagę jak te pliki są zabezpieczane - wszystkie są dodane do pacman.conf do dyrektywy NoUpgrade... I co stoi na przeszkodzię, żebyś i Ty z tego mechanizmu skorzystał? Poza twoim uporem, że powinniśmy to zrobić za Ciebie, oczywiście...



Używałem wielu dystrybucji i każda miała mechanizm podobny do pacmanowej dyrektywy NoUpgrade... i w każdej to admin decydował które pliki chce miec zabezpieczone.



script firewall nie zmieniał się, o ile pamiętam, wcale...



Odpowiedz mi tylko na pytanie - kto, według Ciebie, powinien dbać o pliki na danym komputerze - autor pakietu/developer czy administrator systemu na którym pakiet jest zainstalowany. I dlaczego?



Nie rozumiem Ciebie - czego dotyczy powyższy akapit? Bo do reszty Twoich wypowiedzi to, według mnie on nie pasuje kompletnie... żeby nie powiedzieć że jest w opozycji.

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)