Если это сообщение появляется при запуске приложений, таких как ls, top, ps и других, то это значит, что кто-то заменил бинарники их исходниками. Проще говоря, при распаковке папки src.tar.bz2 она была распакована не в /usr/src, а в /usr.
Решение: с рабочей системы скопировать (можно по scp, она кстати будет работать) все бинарники в папку /bin, /usr/bin, /usr/sbin.
Предположим, вам нужно будет создать одно правило для целой кучи интерфейсов вида int0, int1, …, intN, … Создавать на каждый интерфейс отдельное правило – слишком сложно, а если на каждый интерфейс не одно правило, а интерфейсов 20 или 100? на помощь приходят записи для группировки. И так, будет рассмотрены варианты для разных файерволов (для примера взяты интерфейсы tun0, tun1, …).
Тестовый стенд: OpenBSD 5.0
Эта операция состоит из 3-ох частей:
– инициализация
#fdisk -i wd1
– создание/просмотр разделов
#disklabel -e wd1
Тестовый стенд: OpenBSD 5.0 i386
По умолчанию доступно максимум только 4 диска:
#fdisk wd4
fdisk: wd4: No sush file or directory
Но что делать, если нужно больше? Точнее, диски увидяться все, но доступны через файлы устройств (/dev/wdX) будут только первые 4. Выход из этой ситуации есть – нужно создать файлы устройств. Создадим wd4 и wd5:
#cd /dev && /dev/MAKEDEV wd4 && /dev/MAKEDEV wd5
В OpenBSD начиная с версии 4.7 убраны привычные конструкции nat/rdr (при использовании старых конструкций генериться ошибка). Теперь вместо них используются такие:
– RDR
pass in on $ext_if proto tcp from any to $ext_if port 5555 rdr-to 192.168.1.100 port 3389
– NAT
pass out on $ext_if proto tcp from 192.168.0.0/24 to any nat-to $ext_if
В ранних реализациях можно было применять обе конструкции.
Вот ещё небольшие дополнения
Пример.
Было
pass in on $ext_if route-to (em1 192.168.1.1) from 10.1.1.1
pass in on $ext_if reply-to (em1 192.168.1.1) to 10.1.1.1
Стало
pass in on $ext_if from 10.1.1.1 route-to (em1 192.168.1.1)
pass in on $ext_if to 10.1.1.1 reply-to (em1 192.168.1.1)
Примечание.
Учитывая, что правила NAT’a теперь могут идти в перемешку с остальными правилами, могут возникнуть проблемы, когда адреса не будут NAT’ится, так как они сработали на другом правиле. Поэтому, либо писать правила NAT’a в самом вверху и с ключевым словом quick, либо в самом низу и без него. Так же, будьте внимательны при составлении правила NAT.
Как быстро узнать что у вас установлено на сервере с помощью подручных средств?
Рассмотрим команды для следующих систем: Linux, FreeBSD/OpenBSD, Solaris
Что же это такое? Это очень удобный механизм предоставления доступа после авторизации по ssh. Чем-то напоминает port knoking. Идея заключается в следующем: пользователь авторизируется через ssh (можно использовать пароль, но ключи удобнее) и после успешной авторизации запускаются соответствующие правила файервола pf. В них-то можно указать разрешения или нужные пробросы.
Иногда бывают ситуации, когда в top’e вроде бы всё нормально, но сервер всё равно тормозит. Тогда нужно обратить внимание на нагрузки дисковой подсистемы. В статье мы рассмотрим варианты для Unix систем: FreBSD, OpenBSD, Linux, Solaris.
Обновлена 23.06.2016
Введение.
Пару слов о самом pf. Пакетный фильтр (далее PF) OpenBSD предназначен для фильтрации TCP/IP трафика и трансляции адресов (NAT). PF так же способен нормализовать и преобразовывать TCP/IP трафик, управлять приоритетами пакетов и пропускной способностью. PF был включен в ядро GENERIC OpenBSD, начиная с OpenBSD 3.0. Предшествующие версии OpenBSD использовали другой файрвол/NAT пакет, который более не поддерживается. Позже он портировался на FreBSD (начиная с 5.3) и Solaris (начиная с Oracle Solaris 11.3)
Расскажу ещё про один блокировщик подбора паролей. Теперь он будет работать в паре с pf. Сам sshit представляет собой скрипт на языке perl со всеми вытекающими отсюда последствиями. То есть, при наличии необходимых знаний языка perl вы можете нелету (а именно так он и работает) изменять сам скрипт. Это же (то есть налету) можно делать и с конфигурационным файлом.
Примечание: для OpenBSD его так же можно использоват, не смотря на то, что его нет в репозитариях. Учитывая что это скрипт на perl’e – просто скопируйте себе этот бинарник и конфиг и следуйте указанием в статье. Единственное отличие – это то, что в OpenBSD в syslogd нету флага ‘-c’.