Блог системного администратора

Пришло время поднять IPv4-IPv6 gateway, чтобы ходить в мир «иного
интернета», коим он скоро будет.

Самым лёгким способом получить IPv6 адрес можно на сайте http://go6.net

Идем на этот сайт и регистрируемся http://go6.net/4105/register.asp

Тут же они предлагают скачать программу и поставить, например для Windows вида «скачай и установи»
http://go6.net/4105/download.asp

Но это не тот метод который нам нужен, мы будем подключать сервер на FreeBSD 7.0 и выше к этой сети.

Ядро у нас собрано с поддержкой IPV6, т.е. с options INET6 (ядро GENERIC уже
поддерживает этот протокол и если вы его не отключали, значит, он у вас есть)

Устанавливаем клиент, то, что они предлагают скачивать – уже есть в портах

Приступаем к установке:

Через несколько минут клиент будет установлен

Редактируем его конфигурационный файл /usr/local/etc/gw6c.conf

userid=
passwd=

Вришите туда ваш логин и пароль которые указали при регистрации на сайте.
На данном этапе начальная настройка закончена, для дальнейшей настройки читайте документацию.
Как я понял, выдается целая сеть и для авторизованных пользователей http://go6.net/4105/freenet.asp,
тем самым можно подключить все компьютеры дома на реальные статические IPv6 адреса.

server=broker.freenet6.net

broker.freenet6.net – это имя сервера для подключения (написано в письме при регистрации)

# Включить использование авторизации
auth_method=any
# Писать логи в syslogd
log_syslog=3

Теперь осталось его запустить

И смотрим

Все прекрасно работает не смотря на то, что выход осуществляется в мир через
NAT.

Итак, осталось только понять, «зачем это надо», но ясно одно – за этим будущее.
А еще можно посмотреть на танцующую черепаху на http://www.kame.net/

Также рекомендую прочитать документацию (главу в
HandBook http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/network-ipv6.html)
по поддержке протокола IPv6 в системе FreeBSD.

Операционка Windows XP поддерживает IPv6 в экспериментальном варианте. Настройки производят через командную строку (cmd), через сетевые подключения настроить к сожалению не получится =(.

Итак, необходимые команды:

ipv6 /? – получение помощи (help).

ipv6 install – инсталирует поддержку IPv6, по умолчанию она не включена. При выполнении этой команды на всех интерфейсах автоматически появлявятся link-local IPv6-адреса, можно посмотреть командой ipconfig и ipv6 if – смотри ниже. После выполнения рекомендую перезагрузить компьютер во избежание проблем.
Примечание: Протокол IPv6 устанавливается как сетевой протокол, но не появляется в списке компонентов в свойствах локальных связей в папке «Сеть и удаленный доступ к сети».

ipv6 uninstall – обратная команда, для удаление потдержки ipv6. При выполнении аннулируются все имеющиеся на узле IPv6 настройки, так что довольно часто именно с этой целью и используют данную команду. После выполнения, как и в случае с ipv6 install, возможно потребуется перезагрузка.

ipconfig – вывести сетевые настроеки (настроеки интерфейсов)

ipv6 if – вывести IPv6-сетевые настроеки (IPv6-настроеки интерфейсов)

ipv6 adu <индекс/название интерфейса>/ – добавление IPv6-адреса. Индекс или название интерфейса (название указывается в кавычках) для подключения по локальной сети можно узнать при помощи вышеупомянутых команд (ipv6 if или ipconfig).

ipv6 rt – вывести IPv6-таблицу маршрутизации

ipv6 rtu <префикс сети> <индекс/название интерфейса>/ – добавление маршрута. После выполнения данной команды пакеты, направленные в сеть с указанным префиксом, будут переправляться через указанный интерфейс на маршрутизатор с указанным адресом (ipv6-адресом). Если префикс равен «::/0», то это означает маршрут по умолчанию, то есть любые пакеты, отправленные в сеть, чей префикс не совпадает с префиксом сети отправителя, будут через указанный интерфейс перенаправлены на маршрутизатор по умолчанию.

Все внесенные вышеупомянутыми командами изменения удалятся при следующей перезагрузке системы. Чтобы этого не произошло, можно, например, создать BAT-файл с соответствующими командами и прописать этот файл в автозагрузку Windows.
Имейте в виду, что данный файл ни в коем случае нельзя называть именем системной команды, например, ipv6.bat, иначе возможно зацикливание выполнения команд при загрузке системы. Назовите, например, start-ipv6.bat. Однако существует более удобный способ задания IPv6-настроек раз и навсегда (точнее, до удаления этих настроек или до выполнения команды ipv6 uninstall).

Утилита netsh которая присутствует в системах начиная с Windows XP SP1)
Все внесенные утилитой netsh изменения сохраняются при перезагрузке системы.

Добавление IPv6-адреса (аналогично команде ipv6 adu):

netsh
interface ipv6
add address <индекс/название интерфейса>

Просмотр IPv6-таблицы маршрутизации:

netsh
interface ipv6
ipv6 show routes

Добавление маршрута:

netsh
interface ipv6
add route prefix=<префикс сети> interface=<индекс/название интерфейса> nexthop= publish=yes

«Nexthop» – означает следующий шаг, то есть адрес следующего узла при отправке пакета. Аналогична команде ipv6 rtu.

Спустя 9 месяцев разработки выпущен релиз дистрибутива Linux Slackware 13.1, в котором присутствует поддержка графических окружений — легкого на базе Xfce 4.6.1 и полнофункционального на основе KDE 4.4.3. В новой версии пакеты собраны с использованием компилятора GCC 4.4.4, работает система на ядре Linux 2.6.33.4 и системной библиотеки Glibc 2.11.1.

Особенности Linux Slackware 13.1:

• В дистрибутиве используется подсистемы ConsoleKit и PolicyKit, первый для управления сессиями и работой пользователей, а второй для расширенных прав доступа, которая даёт возможность пользователям выполнять некоторые привилегированные действия, без прав суперпользователя;
• Переход на ядро серии 2.6.33 позволило увеличить поддержку в Slackware журналируемых и шифрованных ФС, SCSI и ATA RAID, SATA, Software RAID, LVM (Logical Volume Manager). Улучшена поддержка PCMCIA, CardBus, USB, IEE1394 (FireWire) и ACPI;
• Ядро собрано с дополнительными патчами проекта Speakup, что позволяет задействовать синтезатор речи для обеспечения работы людей, имеющих проблемы со зрением.
• Обновлены инструменты управления пакетами. Функция контроля пакетов позволит упростить обновление с версии Slackware 13.0, а утилита slackpkg окажется очень полезной при переходе с более старой версии дистрибутива и поддержании системы в актуальном состоянии. Для подготовки и поддержки собственных пакетов в extra-репозиторий включена утилита slacktrack;
• Новые версии программ:
  • Шифрование: OpenSSL 0.9.8n, OpenSSH 5.5, OpenVPN 2.1.1 и GnuPG 2.0.14;
  • Web-технологии: Apache (httpd) 2.2.15 и PHP 5.2.13;
  • Средства разработчика: Perl 5.10.1, Python 2.6.4, Ruby 1.9.1-p378, Subversion 1.6.11, git 1.7.1, mercurial 1.5.2, KDevelop 4.0.0;
  • Web-браузеры и почтовые клиенты: Konqueror 4.4.3, SeaMonkey 2.0.4, Firefox 3.6.3, Thunderbird 3.0.4;
  • Пользовательские приложения на базе технологий KDE: amarok 2.3.0, koffice 2.1.2, k3b 1.91, ktorrent 3.3.4;
  • Коллекция приложений на базе GTK+: pidgin 2.7.0, gimp 2.6.8, gkrellm 2.3.4, gxine 0.5.903, xchat 2.8.6, xsane 0.996, pan 0.133.
  • В extra-репозитории представлены Java JDK 6 update 20, набор библиотек для совместимости с kde3, браузерный плагин на базе mplayer и т.д.

Дистрибутив можно скачатьб сдесь .

Дамы и господа, комрады и комрадки, инженеры и инженерки!
Мне выпала честь представить вам анонс IV открытого семинара системных администраторов.
Были учтены прошлые ошибки, а новые добавлены. Ну и смею вам напомнить, что участие в семинаре — абсолютно бесплатно. =)
Итак! (Можно набрать воздуха в грудь, собрать чепчики в жменьку и приготовиться их подкидывать).
5 июня, пивной ресторан «Чешска пивница», что расположен близ станции метро Домодедовская, которая в свою очередь является частью московского метрополитена, в 13-00 состоится… Четвёртый… Открытый… Семинар системных администраторов!
В докладчиках:
— Обеспечение безопасности систем виртуализации на основе Hyper-V. Докладчик: Андрей Ивашенцев (Microsoft)
— Трансляция Сетевых Адресов (NAT). Докладчик: Варламов Кирилл (Cisco).
— OSPF — IGP протокол как средство связи между удалёнными офисами. Докладчик: Куцел Роман (Билайн)
— Изменения реализации протоколов TCP/IP и SMB в Windows 7 и Windows Server 2008 R2. Докладчик: Андрей Бешков (Евангелист компания Microsoft)
— Регулярные выражения в PowerShell. Докладчик: Василий Гусев ( MVP: PowerShell, MCSE, MCITP)
(Порядок выступлений скорее всего изменится)

В связи с тем, что на третьем семинаре было ОЧЕНЬ плохо слышно, а звукотехник был в запое (хотя нам обещали его присутствие), а так же из-за очень тесного помещения, мы приняли решение провести семинар в другом месте. Искали, а как известно, кто ищет, тот всегда находит. Та и мы. Нашли.
Замечательное место, с крайне демократичными, а я бы даже сказал «кризисными», ценами. Хорошим светом, точнее вторым этажом ресторана. Отличным звуком (мы проверяли). И шикарной плазмой.
По всяческим предложениям можно писать-звонить-стучаться мне. Контакты вот тут:

http://w2a.ru/blog/learning/1012.html

Регистрация на сие мероприятие дело чисто условное, чтоб нам понять масштабы бедствия, кое постигнет заведение, и пройти её можно тут: http://timepad.ru/event/register/2261.
О остальном вы можете прочитать на портале организаторов: www.w2a.ru
Адрес: Москва, Ореховый бульвар, д.15, стр. 7.
Сайт: www.ceskapivnica.restoran.ru

Недавно наткнулся на ресурс, создатели которого достаточно успешно перенесли функционал Cisco ASA 5500 на обычный ПК.

Cisco ASA по своей сути linux-based и вполне x86-совместима. Видимо, этот факт вызывал бурные фантазии о возможностях у многих гиков, и вот, наконец, в 2008 году группа энтузиастов подарила миру первый установочный образ Cisco ASA. С тех пор проект продолжает выпускать новые релизы.
Краткое описание возможностей получившегося продукта под катом.

Образ может быть запущен в виртуальной среде и на реальном ПК.
Требования к оборудованию следующие:

• не менее 256MB RAM
• не менее 110MB HD
• сетевые карты Intel Pro/100, Intel Pro/1000, AMD PCNET32
• CD-ROM

Получающаяся конструкция вполне пригодна для тестирования, обучения и подготовке к экзаменам Cisco. Можно вполне использовать и в бою, о чем свидетельствуют приведенные на сайте результаты тестов пропускной способности. Краткая выдержка из них прилагается:

Тестовое оборудование:

• PIII 500 slot 1 CPU
• 256M sdram, pc100
• intel 82558b NIC (2 порта)
• intel 82559 NIC

Результаты:

NAT TCP

NAT UDP

WebVPN (трафик от клиента, без IPSEC)

P.S. В ближайшее время планирую написать о своем опыте эмуляции схемы с Cisco IPS с помощью Xen.

http://wordpress.org/extend/plugins/wp-change-urls/

Начну расказ о работе с Server Core. После установки роли контроллера домена мне захотелось установить туда же DHCP-сервер. Кого тоже посетит такое желание – вот как это можно сделать.
Для начала все элементарно – команда start /w ocsetup DHCPServerCore устанавливает роль. Но, естественно, этого недостаточно. По умолчанию служба выключена. К тому же, хорошо бы установить режим запуска – автоматический.

Для этого делаем следующее:

sc config dhcpserver start= auto [автозапуск]
net start dhcpserver [запустили службу]

Продолжаем.

Если сервер работает в домене, его нужно авторизовать:

netsh dhcp add server dc 192.168.1.1 [DC - имя сервера, 192.168.1.1 - его IP адрес]

Далее задаем область:

netsh dhcp server add scope <Подсеть> <Маска подсети> <Имя области> <Комментарий области>
E.g. netsh dhcp server 192.168.1.1 add scope 192.168.1.0 255.255.255.0 Test Test_Scope

Задаем диапазон адресов для области:

netsh dhcp server scope <Подсеть> add iprange <Начальный IP> <Конечный IP>
E.g. netsh dhcp server 192.168.1.1 scope 192.168.1.0 add iprange 192.168.1.1 192.168.1.254

Теперь исключения:

netsh dhcp server scope <Подсеть> add excluderange <Начальный IP> <Конечный IP>
E.g. netsh dhcp server 192.168.1.1 scope 192.168.1.0 add excluderange 192.168.1.1 192.168.1.10

Адрес шлюза по умолчанию:

netsh dhcp server scope <Подсеть> set optionvalue 003 IPADDRESS <Шлюз1> <Шлюз2>
E.g. netsh dhcp server 192.168.1.1 scope 192.168.1.0 set optionvalue 003 IPADDRESS 192.168.1.2 192.168.1.3

Адрес DNS-сервера:

netsh dhcp server scope <Подсеть> set optionvalue 006 IPADDRESS
E.g. netsh dhcp server 192.168.1.1 scope 192.168.1.0 set optionvalue 006 IPADDRESS 192.168.1.1 192.168.1.4

Активируем область:

netsh dhcp server scope <Подсеть> set state 1
E.g. netsh dhcp server 192.168.1.1 scope 192.168.1.0 set state 1

Автоматизируем по желанию, наслаждаемся простотой и изяществом Windows 2008 Server Core!

Почему sendmail?

Из почтовых серверов – Qmail, Sendmail, Postfix и Exim – мне больше всего понравился Qmail – прост в настройке, по всем отзывам и по собственным впечатлениям – быстр, надежен, наименьшее количество обнаруженых уязвимостей (если не сказать – полное их отсутствие); но и давно не обновлялся, большинство функционала реализуется сторонними утилитами, то есть требует довольно существенного «обвеса» для достижения необходимого уровня функциональности.

Postfix – сам его не «щупал», но порасспрашивал знакомых (и не очень) людей. Оказалось, что Postfix практически никто не применяет на почтовых серверах, обслуживающих хотя бы 1000 ящиков и 10-15 доменов (просьба не возмущаться поклонников Postfix, верю, что это хороший МТА, но это – не мой выбор).

Exim – мне тут сложно что-либо сказать, имею только косвенные данные – по моим опросам примерно 3 из 10 используют Exim, причины – проще настроить, чем sendmail; меньшее количество уязвимостей, чем в sendmail.

Читать полностью »

Приведу пример кода для шифрования трафика между клиентом и сервером в WCF комуникаций.

Шифрование сертификатами

на клиенте прописываем

На сервере пишем следующий код

Сертификат создаём при помощи утилиты makecert.exe из комплекта вижуал студии.
makecert.exe -sr LocalMachine -ss My -n CN=CertName-sky exchange -sk CertName-key

Шифрование средствами Windows

на клиенте

Класс ServiceClient, каждая функция сервиса должна быть прописана в классе по примеру функции Func

на сервере

Нужна будет помощь, пишите )