Ola a tds,
Eu estou usando o fedora core 4, mas quando eu tento estar o dhcpd ele falha! Alguem sabe me dizer se o dhcp do fedora 4 esta com algum bug ou algo assim?
Grato
+-------------------------------------------------------+ | Pedro H. A. Neto | Analista de Tecnologia da Informatica | MSN pedrohaneto@hotmail.com | UIN 196.039.600 | Orkut http://www.orkut.com/Home.aspx?xid=2023086171787910905 +-------------------------------------------------------+
--------------------------------- Yahoo! Acesso Grátis Internet rápida e grátis. Instale o discador agora!
On 3/1/06, Pedro Neto pedrohaneto@yahoo.com.br wrote:
Ola a tds,
Eu estou usando o fedora core 4, mas quando eu tento estar
O que e' "estar" o dhcp?
*+-------------------------------------------------------+* | *Pedro H. A. Neto* | Analista de Tecnologia da Informatica | *MSN* pedrohaneto@hotmail.com | *UIN* 196.039.600 | *Orkut* http://www.orkut.com/Home.aspx?xid=2023086171787910905 *+-------------------------------------------------------+*
Yahoo! Acesso Grátis Internet rápida e grátis. Instale o discador agora!http://us.rd.yahoo.com/mail/br/tagline/homepage_set/*http://br.acesso.yahoo.com
-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br
-- Leonardo Korndorfer
MSN: leokorndorfer@hotmail.com ICQ: 102788426 Slack + Gentoo
ate agora naum vi nenhum, qual o erro do seu??? qual a falha que apresenta??/
Em 01/03/06, Pedro Neto pedrohaneto@yahoo.com.br escreveu:
Ola a tds,
Eu estou usando o fedora core 4, mas quando eu tento estar o dhcpd ele falha! Alguem sabe me dizer se o dhcp do fedora 4 esta com algum bug ou algo assim?
Grato
*+-------------------------------------------------------+* | *Pedro H. A. Neto* | Analista de Tecnologia da Informatica | *MSN* pedrohaneto@hotmail.com | *UIN* 196.039.600 | *Orkut* http://www.orkut.com/Home.aspx?xid=2023086171787910905 *+-------------------------------------------------------+*
Yahoo! Acesso Grátis Internet rápida e grátis. Instale o discador agora!http://us.rd.yahoo.com/mail/br/tagline/homepage_set/*http://br.acesso.yahoo.com
-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br
-- Rafael Brito Gomes Analista de Suporte Técnico Monsanto Nordeste - Camaçari
Pedro Neto wrote:
Ola a tds,
Olá,
Eu estou usando o fedora core 4, mas quando eu tento estar o dhcpd ele falha! Alguem sabe me dizer se o dhcp do fedora 4 esta com algum bug ou algo assim?
Que eu saiba, tudo ok... Pode ser que você esteja com algum problema de configuração? Quando for iniciar o serviço de dhcp, por favor veja se não aparece nenhuma mensagem de erro, e também verifique o arquivo /var/log/messages para informações sobre o que pode ter acontecido.
Poste na lista os detalhes para podermos ajudar :)
Grato
*+-------------------------------------------------------+* | *Pedro H. A. Neto* | Analista de Tecnologia da Informatica | *MSN* pedrohaneto@hotmail.com | *UIN* 196.039.600 | *Orkut* http://www.orkut.com/Home.aspx?xid=2023086171787910905 *+-------------------------------------------------------+*
Eu tbém tive problemas pra rodar, mas com as regras abaixo tá funcionando blz.
Digite o seguinte conteúdo: # A linha abaixoindica se o servidor DNS será atualizado quando um aluguel de ip for solicitado. ddns-update-style none; # A linha abaixo especifica a rede e mascara a ser utilizada pelo servidor. subnet 192.168.0.0 netmask 255.255.255.0 { # A linha abaixo especifica os endereços disponiveis que o servidor poderá distribuir. range 192.168.0.10 192.168.0.100; # A linha abaixo especifica quem é o roteador padrão na sua rede. option routers 192.168.0.254; # A linha abaixo especifica o nome do domínio da empresa. option domain-name "seudominio.com.br"; # A linha abaixo especifica o período padrão para aluguel de um endereço , caso o host cliente não tenha requisitado um período especifico . Obs: tempo em segundos. default-lease-time 144000; # A linha abaixo especifica o endereço do servidor de DNS na sua rede.( eu coloquei o dns da brasiltelecom 200.163.54.1) option domain-name-servers 192.168.0.253; } # fonte:http://www.imasters.com.br/artigo.php?cn=3332&cc=249
Hugo Cisneiros hugo@devin.com.br escreveu: Pedro Neto wrote:
Ola a tds,
Olá,
Eu estou usando o fedora core 4, mas quando eu tento estar o dhcpd ele falha! Alguem sabe me dizer se o dhcp do fedora 4 esta com algum bug ou algo assim?
Que eu saiba, tudo ok... Pode ser que você esteja com algum problema de configuração? Quando for iniciar o serviço de dhcp, por favor veja se não aparece nenhuma mensagem de erro, e também verifique o arquivo /var/log/messages para informações sobre o que pode ter acontecido.
Poste na lista os detalhes para podermos ajudar :)
Grato
*+-------------------------------------------------------+* | *Pedro H. A. Neto* | Analista de Tecnologia da Informatica | *MSN* pedrohaneto@hotmail.com | *UIN* 196.039.600 | *Orkut* http://www.orkut.com/Home.aspx?xid=2023086171787910905 *+-------------------------------------------------------+*
Oi gente..
Eu to pensando em implementar algo mais robusto para quem sabe vender uma ideia em futuros projetos, mas esbarrei com um problema que esta me deixando doido..
Vamos imaginar que eu tenha uma rede formada por alguns servidores dedicados com IPs validos, clientes acessando esses servidores e a internet via NAT e esse mesmo servidor NAT é tb meu servidor de VPN (linux). Pra complicar um pouco mais vamos imaginar que eu tenha um firewall fisico entre o router e a rede interna :)..
A situação atual (vamos dizer)..
O firewall configuradom, direcionando todas as requisições para os devidos servidores, inclusivo a autenticação no VPN Server.
O Problema (que naum existe mais com certeza vai existir)..
O cliente X contrata um serviço de Colocation e quer ter acesso SSH em seu server, mas por segurança eu naum libero esse acesso direto, faço ele logar no meu VPN Server e ter um IP da minha rede interna, assim ele vai ter acesso ao seu server por SSH sem problema (com algumas configurações mas que naum vem ao caso)..
Porem, assim como ele tem acesso ao seu server ele tb tem acesso ao restante da rede, é esse o pepino, como fazer para que ele tenha acesso somente ao servidor que é dele e somente na porta que ele desejar seja ela qual for??
A principio pensei em usar um IP FIXO (classo C) para cada cliente pre-configurado no chap e/ou pap, assim eu saberia qual cliente estaria com qual ip e assim com a ajuda do iptables eu criaria regras de alow e deny. mas ai esbarro com outros problemas.
Pergunto:
Existe, nas configurações do PPTPD algo que restrinja o acesso a uma ou mais maquinas e principalmente, que cada permissão de acesso à server possa ter configurações especificas (serviços)..
Agradeço ideias.
Wanderlei
wanderlei wrote:
Oi gente..
Hau!
Eu to pensando em implementar algo mais robusto para quem sabe vender uma ideia em futuros projetos, mas esbarrei com um problema que esta me deixando doido..
Vamos imaginar que eu tenha uma rede formada por alguns servidores dedicados com IPs validos, clientes acessando esses servidores e a internet via NAT e esse mesmo servidor NAT é tb meu servidor de VPN (linux). Pra complicar um pouco mais vamos imaginar que eu tenha um firewall fisico entre o router e a rede interna :)..
A situação atual (vamos dizer)..
O firewall configuradom, direcionando todas as requisições para os devidos servidores, inclusivo a autenticação no VPN Server.
O Problema (que naum existe mais com certeza vai existir)..
O cliente X contrata um serviço de Colocation e quer ter acesso SSH em seu server, mas por segurança eu naum libero esse acesso direto, faço ele logar no meu VPN Server e ter um IP da minha rede interna, assim ele vai ter acesso ao seu server por SSH sem problema (com algumas configurações mas que naum vem ao caso)..
Porem, assim como ele tem acesso ao seu server ele tb tem acesso ao restante da rede, é esse o pepino, como fazer para que ele tenha acesso somente ao servidor que é dele e somente na porta que ele desejar seja ela qual for??
A principio pensei em usar um IP FIXO (classo C) para cada cliente pre-configurado no chap e/ou pap, assim eu saberia qual cliente estaria com qual ip e assim com a ajuda do iptables eu criaria regras de alow e deny. mas ai esbarro com outros problemas.
Configure na VPN para que quando estabelecer a conexao, o usuário que conectar receba um IP com máscara 255.255.255.252, e apenas rotas para a sua máquina do servidor. Assim o usuário fica preso a esta sub-rede virtual criada pela VPN :P
Pergunto:
Existe, nas configurações do PPTPD algo que restrinja o acesso a uma ou mais maquinas e principalmente, que cada permissão de acesso à server possa ter configurações especificas (serviços)..
PPTPD? :-) Isso é muito dependente do programa que você usa para fazer a VPN. Melhor procurar na documentação do programa que você usa para isso... Que você não disse qual era :P
Mas mesmo assim, para o que eu falei acima, se alguem acessa via SSH sua máquina interna, ela vai ter acesso às outras pois estará trabalhando na máquina local. Para resolver isso também há outra solução, implementar no servidor local em questão um firewall iptables que permita o usuário apenas trabalhar localmente a nível de rede.
Então uma boa prática de segurança para isso seria:
1. Restringir a VPN para apenas uma subnet de 2 IPs, exemplo: 192.168.0.1 (servidor) e 192.168.0.2 (cliente). O próximo usuário seria 192.168.0.5 (servidor) e 192.168.0.6 (cliente), e por aí vai. Inclusive aí você conseguiria por um cadastro saber quem está conectado ou não, comparando o cadastro com o IP associado ao cliente.
2. Como login SSH, criar um ambiente chroot para que o usuário não tenha nenhum outro acesso na máquina, a não ser no diretório que você quiser. O ambiente chroot deve conter apenas os binários e executáveis necessários para o cliente.
3. Habilitar os limites de processos, arquivos abertos, usos de memória e etc para cada usuário (via PAM, limits.conf), assim ele não conseguirá executar algo na sua máquina que consuma tudo e faça a máquina "cair de joelhos".
4. Utilizar o mecanismo "-m owner" do iptables (ver manpage dele, procurar por OWNER) para restringir o usuário para apenas rodar coisas localmente, sem acessar nada em outros IPs e redes.
Claro que isso vai depender muito do seu caso, e restringir um serviço de colocation por exemplo não é uma boa idéia :)
Se o cliente tem total acesso a máquina, então a solução seria comprar um switch gerenciável e adicionar VLANs para cada máquina da rede. Bem, deu pra entender né? Dependendo do caso, as possibilidades podem ser infinitas.
Agradeço ideias.
Qualquer coisa falaí! :D
Wanderlei
ja tinha meio que pensado nisso mas discartei a ideia por achar ela meio boba.. mas vindo de outra pessoa notei que nao era tão boba assim..
vou montar o projeto usando essa ideia e assim que estiver planejado posto novamente alguma coisa sobre..
Valeu :)
Wanderlei ----- Original Message ----- From: Hugo Cisneiros To: Lista de discussão voltada para os usuários brasileiros do Fedora Sent: Friday, March 03, 2006 3:08 PM Subject: Re: [Fedora-users-br] VPN - protegendo a rede interna.
wanderlei wrote:
Oi gente..
Hau!
Eu to pensando em implementar algo mais robusto para quem sabe vender uma ideia em futuros projetos, mas esbarrei com um problema que esta me deixando doido..
Vamos imaginar que eu tenha uma rede formada por alguns servidores dedicados com IPs validos, clientes acessando esses servidores e a internet via NAT e esse mesmo servidor NAT é tb meu servidor de VPN (linux). Pra complicar um pouco mais vamos imaginar que eu tenha um firewall fisico entre o router e a rede interna :)..
A situação atual (vamos dizer)..
O firewall configuradom, direcionando todas as requisições para os devidos servidores, inclusivo a autenticação no VPN Server.
O Problema (que naum existe mais com certeza vai existir)..
O cliente X contrata um serviço de Colocation e quer ter acesso SSH em seu server, mas por segurança eu naum libero esse acesso direto, faço ele logar no meu VPN Server e ter um IP da minha rede interna, assim ele vai ter acesso ao seu server por SSH sem problema (com algumas configurações mas que naum vem ao caso)..
Porem, assim como ele tem acesso ao seu server ele tb tem acesso ao restante da rede, é esse o pepino, como fazer para que ele tenha acesso somente ao servidor que é dele e somente na porta que ele desejar seja ela qual for??
A principio pensei em usar um IP FIXO (classo C) para cada cliente pre-configurado no chap e/ou pap, assim eu saberia qual cliente estaria com qual ip e assim com a ajuda do iptables eu criaria regras de alow e deny. mas ai esbarro com outros problemas.
Configure na VPN para que quando estabelecer a conexao, o usuário que conectar receba um IP com máscara 255.255.255.252, e apenas rotas para a sua máquina do servidor. Assim o usuário fica preso a esta sub-rede virtual criada pela VPN :P
Pergunto:
Existe, nas configurações do PPTPD algo que restrinja o acesso a uma ou mais maquinas e principalmente, que cada permissão de acesso à server possa ter configurações especificas (serviços)..
PPTPD? :-) Isso é muito dependente do programa que você usa para fazer a VPN. Melhor procurar na documentação do programa que você usa para isso... Que você não disse qual era :P
Mas mesmo assim, para o que eu falei acima, se alguem acessa via SSH sua máquina interna, ela vai ter acesso às outras pois estará trabalhando na máquina local. Para resolver isso também há outra solução, implementar no servidor local em questão um firewall iptables que permita o usuário apenas trabalhar localmente a nível de rede.
Então uma boa prática de segurança para isso seria:
1. Restringir a VPN para apenas uma subnet de 2 IPs, exemplo: 192.168.0.1 (servidor) e 192.168.0.2 (cliente). O próximo usuário seria 192.168.0.5 (servidor) e 192.168.0.6 (cliente), e por aí vai. Inclusive aí você conseguiria por um cadastro saber quem está conectado ou não, comparando o cadastro com o IP associado ao cliente.
2. Como login SSH, criar um ambiente chroot para que o usuário não tenha nenhum outro acesso na máquina, a não ser no diretório que você quiser. O ambiente chroot deve conter apenas os binários e executáveis necessários para o cliente.
3. Habilitar os limites de processos, arquivos abertos, usos de memória e etc para cada usuário (via PAM, limits.conf), assim ele não conseguirá executar algo na sua máquina que consuma tudo e faça a máquina "cair de joelhos".
4. Utilizar o mecanismo "-m owner" do iptables (ver manpage dele, procurar por OWNER) para restringir o usuário para apenas rodar coisas localmente, sem acessar nada em outros IPs e redes.
Claro que isso vai depender muito do seu caso, e restringir um serviço de colocation por exemplo não é uma boa idéia :)
Se o cliente tem total acesso a máquina, então a solução seria comprar um switch gerenciável e adicionar VLANs para cada máquina da rede. Bem, deu pra entender né? Dependendo do caso, as possibilidades podem ser infinitas.
Agradeço ideias.
Qualquer coisa falaí! :D
Wanderlei
-- []'s Eitch
http://www.devin.com.br/eitch/ "Talk is cheap. Show me the code." - Linus Torvalds
-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br
Olá,
Pergunto:
Existe, nas configurações do PPTPD algo que restrinja o acesso a uma ou mais maquinas e principalmente, que cada permissão de acesso à server possa ter configurações especificas (serviços)..
Você pode fazer isso de diversas maneiras.
Exemplos: 1. Atribuir um IP fixo ao cliente e criar regras para este IP.
No arquivo /etc/ppp/chap-secrets vc cria uma entrada mais ou menos assim: "fulano" pptpd "senha_de_fulano" 192.168.75.50
Quando fulano conectar, o linux vai levantar uma interface ppp0, por exemplo, e o IP que ele vai receber é o 192.168.75.50. Esse IP que você está atribuindo para ele tem que estar fora da faixa de endereços IP que você configurou no seu pptpd.conf.
Daí você então cria as regras de firewall pra ele: # SSH iptables -A FORWARD -i ppp+ -o $IF_LAN -s 192.168.75.250/32 -p tcp -d ip.do.server.colocation/32 --dport 22 -j ACCEPT # HTTP iptables -A FORWARD -i ppp+ -o $IF_LAN -s 192.168.75.250/32 -p tcp -d ip.do.server.colocation/32 --dport 80 -j ACCEPT #HTTPS iptables -A FORWARD -i ppp+ -o $IF_LAN -s 192.168.75.250/32 -p tcp -d ip.do.server.colocation/32 --dport 443 -j ACCEPT
2. Criar as regras baseados na interface vpn
A interface que o pptp levanta é uma pppX. Então vc pode criar uma regra: iptables -A FORWARD -i ppp+ -o $IF_LAN -p tcp --dport 22 -j ACCEPT
Qualquer dúvida, manda ai.
-- Abraço! Alejandro Flores http://www.triforsec.com.br/
br-users@lists.fedoraproject.org
-
Alejandro Flores -
Hugo Cisneiros -
Leonardo Korndorfer -
MARCOS AURELIO VARGAS -
Pedro Neto -
Rafael Gomes -
wanderlei