From mboxrd@z Thu Jan 1 00:00:00 1970 From: "Sergey N.Yatskevich" To: devel@altlinux.ru Message-Id: <20011017150933.6857bde8.syatskevich@mail.ru> Organization: GosNIIAS X-Mailer: Sylpheed version 0.6.3 (GTK+ 1.2.10; i586-alt-linux) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit Subject: [devel] =?KOI8-R?B?79vJwsvJINc=?= FreeS/WAN, imap, iptables, =?KOI8-R?B?xA==?= =?KOI8-R?B?z8vVzcXO1MHDyckgyw==?= initscripts =?KOI8-R?B?yQ==?= stunnel Sender: devel-admin@linux.iplabs.ru Errors-To: devel-admin@linux.iplabs.ru X-BeenThere: devel@linux.iplabs.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: devel@linux.iplabs.ru List-Help: List-Post: List-Subscribe: , List-Id: ALT Linux Team Developers mailing list List-Unsubscribe: , List-Archive: X-Original-Date: Wed, 17 Oct 2001 15:09:33 +0400 Date: Wed, 17 Oct 2001 15:09:33 +0400 Archived-At: List-Archive: List-Post: Привет всем! 1) FreeS/WAN На ядре 2.4.10-alt1 после нормального соединения при попытке пинговать какой-либо хост через шифрованный туннель IPSEC просто полностью завешивает машины (если на обеих установлен ALTLinux). Предварительная проверка показала, что проблемы в 2.4.10 возникают из-за отключения опции CONFIG_IPSEC_DEBUG (ядро 2.2.19 я просто не проверял) при сборке ядра. После перекомпиляции с включенной опцией все нормально заработало. P.S. Для оптимизатора Костика :-)). _DEBUG в данном случае означает ведение лога работы ядерного модуля, а не включение информации и процедур для отладки самого модуля. Это полезно для отладки соединения. Никто ведь не пытается отрезать ведение логов у серверных программ. Для управления тем, какую информацию выводить в лог предназначена пограмма ipsec klipsdebug, с помощью которой этот лог можно отключить совсем. P.P.S. userspace пакета freeswan это не касается. Там все нормально. 2) imap - ошибка в /etc/xinitd.d/pop3s (неверное имя запускаемого сервера). должно быть указано - ipop3d, а указано - popa3d. То же относиться и к аналогичному файлу в пакете stunnel (вообще непонятно зачем он туда включен). 3) iptables - автоматически очищаются только каналы в таблице по умолчанию (фильтр). В /etc/init.d/iptables необходимо так же очищать и таблицы nat и mangle иначе результат выполнения /etc/init.d/iptables stop не соотвествует ожидаемому (полной очистке всех таблиц). 4) Неправильное описание создания алиасов для интерфейсов в initscripts-*/sysconfig.txt (Для правильного описания см. /etc/sysconfig/ifup-aliases) stunnel - не ошибка, но сгенерированный по умолчанию сертификат не позволяет нормально соедиеяться по SSL с сервером с Windows-клиентов. И вообще при установке по умолчанию генерируется self-signed сертификат, что не есть хорошо, так как такие сертификаты предназначены для CA. Мне кажется что в данном случае лучше не генерировать ничего по умолчанию а выдать предупреждение о том, что для правильной работы необходимо установить сертификат и пусть сам администратор решает как ему быть: заводить ли собственный intranet-CA или обращаться в стороннюю организацию или сгенерировать единственный self-signed сертификат (но правильно) и на этом успокоиться :-))). В конце концов если он уж задумался о введении SSL защищенных сервисов, то надо и разобраться как это делается. Лучше включить в дистрибутив stunnel документацию по SSL или ссылки. Вот одна для затравки: http://www.ultranet.com/~fhirsch/Papers/wwwj/article.html -- Sergey N. Yatskevich _______________________________________________ Devel mailing list Devel@linux.iplabs.ru http://www.logic.ru/mailman/listinfo/devel