Категорії
WWW

Пробрасываем ftp в локалку

Иногда бывают моменты, когда нужно заставить “видеть” локальный ftp снаружи. Как правильно подойти к этому вопросу? Нормально ли будет он работать за NAT’ом? Для того, что бы ftp нормально работал, нужно выполнение таких условий

1) Только пассивный режим работы самого FTP-сервера
2) Указать диапазон портов для пассивной передачи (passive ports range)
3) Проброс портов должен соответствовать 1:1 (то есть для passive ports range 5000:5099 пробрасываться они должны тоже в порты 5000:5099)

После этого можно спокойно “пробрасывать” в локалку passive ports range + 21-ый. При этом, 21-ый не обязательно снаружи должен быть 21-ым, а вот portrange – должны соответствовать 1:1.

Вот как это выглядит на примере файервола pf:

rdr on $ext_if proto tcp from any to $ext_if port 21 -> 10.10.10.10 port 21
rdr on $ext_if proto tcp from any to $ext_if port 5000:5099 -> 10.10.10.10 port 5000:5099

Естественно, так же нужно в самом файерволе разрешить подключение на указанные порты.

Категорії
Misc, staff, other WWW

FTP FXP или сливаем файлы с одного FTP на другой, без участия промежуточного PC пользователя

FXP (англ. File eXchange Protocol — протокол обмена файлами) — способ передачи файлов между двумя FTP-серверами напрямую, не закачивая их на свой компьютер. При FXP-сессии клиент открывает два FTP-соединения к двум разным серверам, запрашивая файл на первом сервере, указывая в команде PORT IP-адрес второго сервера.

Продовжити читання “FTP FXP или сливаем файлы с одного FTP на другой, без участия промежуточного PC пользователя”
Категорії
Linux Misc, staff, other

iptables: reject или drop

Часто администраторы сталкиваются с таким вопросом: что использовать для блокировки: REJECT или DROP? Я опишу принципы, а решать вам.

DROP – просто закрывает соединение и не отправляет ничего в ответ отправителю. Как итог имеем “мертвое” соединение, которое потом убивается по таймауту. Но зато при сканировании закрытых портов, они будут помечаться как filtered, что потенциально говорит, что что-то всё-таки слушает порт.

REJECT – сбрасывает соединение и отправляет в ответ сообщение, указанное в опции –reject-with. По умолчанию отправляется host is unreachable. Зато при сканировании (если установлено –reject-with icmp-port-unreachable) порт светится не будет.

И так, что же всё-таки использовать? На мой взгляд, лучше DROP, так как при больших атаках, вы просто перекроете себе кислород, отвечая всем “host is unreachable“. Этот ответ будет потреблять больше ресурсов, нежели мёртвое соединение (при желаении время таймаута можно сократить).

Категорії
Security

Работаем с ssl

В статье будет рассмотрено несколько простых моментов связанных с работой SSL/OpenSSL, а именно: генерация сертификатов, просмотр действия сертификата и прочее.

Продовжити читання “Работаем с ssl”
Категорії
Solaris

Обновление Solaris 11

После выхода 11-ой версии и очень больших изменениях изменилась и сама процедура обновления. Теперь не нужно никаких LiveUpgrade, всё делается через пакетный менеджер pkg.

Ниже будет описан способ обновления для пользователей, у которых нет поддержки Oracle

Продовжити читання “Обновление Solaris 11”
Категорії
Linux Misc, staff, other

Добавляем поддержку java в браузере

Для установки 7-ой версии, можно воспользоваться мануалом, а для 6-ой – текстом ниже.

Все описанное производилось на Kubuntu 11.10.

Ставим пакеты java

#apt-get install openjdk-6-jre openjdk-6-jre-headless openjdk-6-jre-lib

Ставим библиотеку для работы java в браузерах (IcedTeaPlugin.so):

#apt-get install icedtea6-plugin

Продовжити читання “Добавляем поддержку java в браузере”
Категорії
FreeBSD Solaris

Расширение корневого пула zfs

В статье будем рассмотрен механизм замены дисков корневого пула на диски большей ёмкости. Данный метод подходит как для Solaris-family так и для FreeBSD.

Продовжити читання “Расширение корневого пула zfs”
Категорії
FreeBSD Linux Misc, staff, other OpenBSD Solaris

vi/vim и забыли, что нету прав за запись файла

Часто бывают такие ситуации, когда вы открыли через vi/vim файл, сделали очень много изменений и в конце понимаете, что забыли выполнить sudo. Что же делать? Заново править файл очень как не хочется. на помощь приходит такая команда:

:w !sudo tee %

а для Solaris можно ещё и такую

:w !pfexec tee %

После этого выдаётся запрос на ввода пароля и подтверждение, что вы хотите перезаписать файл и всё (с вариантом pfexec запрос пароля не происходит).

Категорії
Misc, staff, other

Небольшой tutorial для работы с git’ом (на примере gitosis)

После того как у вас настроен gitosis, можно переходить к процессу его администрирования. Ниже опишу действия, которые помогают администрировать

Продовжити читання “Небольшой tutorial для работы с git’ом (на примере gitosis)”
Категорії
FreeBSD Misc, staff, other

dirname: not found

Если при обновлении FreeBSD получаем такую ошибку:

===>  include (install)
>> creating osreldate.h from newvers.sh
/usr/src/include/../sys/conf/newvers.sh: dirname: not found

то нужно найти в скрипте /usr/src/sys/conf/newver.sh  найти dirname и прописать полный путь к нему

...
SYSDIR=$(/usr/bin/dirname $0)/..
...

У меня ещё ругалось на команду touch. Так же как и в случае с dirname решило проблему.

Домашняя страничка Andy
Записки молодого админа
Самостоятельная подготовка к Cisco CCNA
Самостоятельная подготовка к Cisco CCNP
Powered by Muff