* Re: [Comm] настройка VPN
@ 2008-03-19 14:14 Денисов Станислав
2008-03-19 19:23 ` Ilis
2008-03-20 3:57 ` [Comm] " Maxim Tsaryuk
0 siblings, 2 replies; 12+ messages in thread
From: Денисов Станислав @ 2008-03-19 14:14 UTC (permalink / raw)
To: community
>>route add -net (адрес твоей подсети, например 81.26.176.0) netmask
>>255.255.255.0 gw (адрес твоего шлюза) dev eth0
а если у меня адреса шлюза и подсети получаются автоматически ??
а как кстати запустить KVPNC? вот скачал я архив, распаковал, а теперь что ?
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] настройка VPN
2008-03-19 14:14 [Comm] настройка VPN Денисов Станислав
@ 2008-03-19 19:23 ` Ilis
2008-03-21 20:18 ` Olvin
2008-03-20 3:57 ` [Comm] " Maxim Tsaryuk
1 sibling, 1 reply; 12+ messages in thread
From: Ilis @ 2008-03-19 19:23 UTC (permalink / raw)
To: ALT Linux Community general discussions
У меня VPN (pptp) прекрасно настроился альтератором! Может с него начать лучше?
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] настройка VPN
2008-03-19 14:14 [Comm] настройка VPN Денисов Станислав
2008-03-19 19:23 ` Ilis
@ 2008-03-20 3:57 ` Maxim Tsaryuk
1 sibling, 0 replies; 12+ messages in thread
From: Maxim Tsaryuk @ 2008-03-20 3:57 UTC (permalink / raw)
To: ALT Linux Community general discussions
В сообщении от Wednesday 19 March 2008 21:14:31 Денисов Станислав
написал(а):
> >>route add -net (адрес твоей подсети, например 81.26.176.0)
> >> netmask 255.255.255.0 gw (адрес твоего шлюза) dev eth0
>
> а если у меня адреса шлюза и подсети получаются автоматически ??
С таким дело не имел. Погуглите, думаю найдете примеры.
> а как кстати запустить KVPNC? вот скачал я архив, распаковал, а
> теперь что ?
Вы исходники что ли скачали? По моему для Альта есть уже готовый
пакет, поставьте его.
А вообще мучаясь с впн и ппое сделал для себя вывод, что какой-нибудь
роутер типа d-link или zyxel, значительно облегчает жизнь.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] настройка VPN
2008-03-19 19:23 ` Ilis
@ 2008-03-21 20:18 ` Olvin
2008-03-21 20:23 ` Анатолий Акатьев
0 siblings, 1 reply; 12+ messages in thread
From: Olvin @ 2008-03-21 20:18 UTC (permalink / raw)
To: ALT Linux Community general discussions
Ilis пишет:
> У меня VPN (pptp) прекрасно настроился альтератором! Может с него начать лучше?
А если на машине несколько пользователей, соединение устанавливается и
разрывается ими только на время работы на компьютере и ещё под разными
логинами? Альтератор - это хорошо (для админа), но нужно подумать и об
удобствах простых пользователей.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] настройка VPN
2008-03-21 20:18 ` Olvin
@ 2008-03-21 20:23 ` Анатолий Акатьев
2008-03-22 21:34 ` Olvin
0 siblings, 1 reply; 12+ messages in thread
From: Анатолий Акатьев @ 2008-03-21 20:23 UTC (permalink / raw)
To: ALT Linux Community general discussions
В сообщении от Saturday 22 March 2008 01:18:21 Olvin написал(а):
> Ilis пишет:
> > У меня VPN (pptp) прекрасно настроился альтератором! Может с него начать
> > лучше?
>
> А если на машине несколько пользователей, соединение устанавливается и
> разрывается ими только на время работы на компьютере и ещё под разными
> логинами? Альтератор - это хорошо (для админа), но нужно подумать и об
> удобствах простых пользователей.
Вообще отключать интерфейс - права админа - это более чем правильно. Но дайте
права через sudo на отключение/включение и будет счастье
> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community
--
Доброе время суток!
С уважением Акатьев Анатолий.
Руководитель отдела внедрения.
тел.: 89509559748
icq : 190270141
www.master-system.ru
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] настройка VPN
2008-03-21 20:23 ` Анатолий Акатьев
@ 2008-03-22 21:34 ` Olvin
2008-03-23 7:55 ` Konstantin S. Uvarin
0 siblings, 1 reply; 12+ messages in thread
From: Olvin @ 2008-03-22 21:34 UTC (permalink / raw)
To: ALT Linux Community general discussions
Анатолий Акатьев wrote:
>>> У меня VPN (pptp) прекрасно настроился альтератором! Может с него начать
>>> лучше?
>> А если на машине несколько пользователей, соединение устанавливается и
>> разрывается ими только на время работы на компьютере и ещё под разными
>> логинами? Альтератор - это хорошо (для админа), но нужно подумать и об
>> удобствах простых пользователей.
> Вообще отключать интерфейс - права админа - это более чем правильно. Но дайте
> права через sudo на отключение/включение и будет счастье
Раньше так и делал (тогда ещё был Dial-up). Но это неправильно. А если у
пользователя сменится пароль, то что он будет без админа делать с файлом
/etc/ppp/chap-secrets? Ведь даже доступ на чтение запрещён туда, не
говоря уже про запись... Нет, можно конечно, написать самому интерфейс
ко всему этому хозяйству, но вдруг кто-то это уже сделал? :)
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] настройка VPN
2008-03-22 21:34 ` Olvin
@ 2008-03-23 7:55 ` Konstantin S. Uvarin
2008-03-23 17:02 ` Olvin
0 siblings, 1 reply; 12+ messages in thread
From: Konstantin S. Uvarin @ 2008-03-23 7:55 UTC (permalink / raw)
To: ALT Linux Community general discussions
Приветствую!
> Раньше так и делал (тогда ещё был Dial-up). Но это неправильно. А если у
> пользователя сменится пароль, то что он будет без админа делать с файлом
> /etc/ppp/chap-secrets? Ведь даже доступ на чтение запрещён туда, не
> говоря уже про запись... Нет, можно конечно, написать самому интерфейс
> ко всему этому хозяйству, но вдруг кто-то это уже сделал? :)
Сделал, etcnet. Там можно user и password хранить прямо в файле pppoptions в
настройках интерфейса, не затрагивая глобальный chap-secret. Соответственно,
если юзер имеет права на запись в этот файл, он имеет и право на смену
пароля.
Вопрос уважаемым знатокам: а можно ли сделать так, чтобы права юзера на
ifup/ifdown тоже там настраивались?
Например, в options добавить owners=user1,user2,%group3...
Хотя, раз судо есть, то может и ну его, огород городить.
--
Konstantin S. Uvarin
Главный редактор, крякнув, осушил стопку. Новости радостно закрякали в ответ.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] настройка VPN
2008-03-23 17:02 ` Olvin
@ 2008-03-23 8:12 ` Alexey I. Froloff
2008-03-23 15:08 ` Michael Shigorin
2008-03-23 8:37 ` [Comm] [JT] " Konstantin S. Uvarin
1 sibling, 1 reply; 12+ messages in thread
From: Alexey I. Froloff @ 2008-03-23 8:12 UTC (permalink / raw)
To: Mailing list for ALT Linux users
[-- Attachment #1: Type: text/plain, Size: 438 bytes --]
* Olvin <olvin@> [080323 11:06]:
> Интересно, это что - каждлый пользователь будет подключать свой файл, в
> который может записать всё, что захочет? Тогда это не то. Уж проще
> действительно интерфейс написать...
Всё ещё проще чем кажется. Можно сделать pppd suid'ным, в man
pppd в секции SECURITY написано как оно будет работать и что при
этом можно настраивать непривилегированным пользователям.
--
Regards,
Sir Raorn.
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] [JT] настройка VPN
2008-03-23 17:02 ` Olvin
2008-03-23 8:12 ` Alexey I. Froloff
@ 2008-03-23 8:37 ` Konstantin S. Uvarin
2008-03-29 14:50 ` Olvin
1 sibling, 1 reply; 12+ messages in thread
From: Konstantin S. Uvarin @ 2008-03-23 8:37 UTC (permalink / raw)
To: ALT Linux Community general discussions
Приветствую!
> Интересно, это что - каждлый пользователь будет подключать свой файл, в
> который может записать всё, что захочет? Тогда это не то. Уж проще
> действительно интерфейс написать...
Ну прямо так и все... довольно ограниченный набор опций (это НЕ исполняемый
файл). Но вот, например, defaultroute оно пропускает. Похабно.
Значит, должны быть такие же ограничения на доступные параметры, которые дает
suid-ный pppd.
(А вот интересно, можно ли реализовать defaultroute таким образом:
% с помощью iptables делаем mark пакетов данного юзера
% с помощью route заворачиваем их (и только их) в интерфейс
)
--
Konstantin S. Uvarin
WinNT error 003: FPU error - enter any 11 digit prime number to continue.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] настройка VPN
2008-03-23 8:12 ` Alexey I. Froloff
@ 2008-03-23 15:08 ` Michael Shigorin
0 siblings, 0 replies; 12+ messages in thread
From: Michael Shigorin @ 2008-03-23 15:08 UTC (permalink / raw)
To: Mailing list for ALT Linux users
On Sun, Mar 23, 2008 at 11:12:15AM +0300, Alexey I. Froloff wrote:
> Всё ещё проще чем кажется. Можно сделать pppd suid'ным
Для этого, кстати, в ppp-2.4.4-alt9.8+ есть control(8) facility.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] настройка VPN
2008-03-23 7:55 ` Konstantin S. Uvarin
@ 2008-03-23 17:02 ` Olvin
2008-03-23 8:12 ` Alexey I. Froloff
2008-03-23 8:37 ` [Comm] [JT] " Konstantin S. Uvarin
0 siblings, 2 replies; 12+ messages in thread
From: Olvin @ 2008-03-23 17:02 UTC (permalink / raw)
To: ALT Linux Community general discussions
Konstantin S. Uvarin wrote:
>> Раньше так и делал (тогда ещё был Dial-up). Но это неправильно. А если у
>> пользователя сменится пароль, то что он будет без админа делать с файлом
>> /etc/ppp/chap-secrets? Ведь даже доступ на чтение запрещён туда, не
>> говоря уже про запись... Нет, можно конечно, написать самому интерфейс
>> ко всему этому хозяйству, но вдруг кто-то это уже сделал? :)
> Сделал, etcnet. Там можно user и password хранить прямо в файле pppoptions в
> настройках интерфейса, не затрагивая глобальный chap-secret. Соответственно,
> если юзер имеет права на запись в этот файл, он имеет и право на смену
> пароля.
Интересно, это что - каждлый пользователь будет подключать свой файл, в
который может записать всё, что захочет? Тогда это не то. Уж проще
действительно интерфейс написать...
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Comm] [JT] настройка VPN
2008-03-23 8:37 ` [Comm] [JT] " Konstantin S. Uvarin
@ 2008-03-29 14:50 ` Olvin
0 siblings, 0 replies; 12+ messages in thread
From: Olvin @ 2008-03-29 14:50 UTC (permalink / raw)
To: ALT Linux Community general discussions
Konstantin S. Uvarin пишет:
>> Интересно, это что - каждлый пользователь будет подключать свой файл, в
>> который может записать всё, что захочет? Тогда это не то. Уж проще
>> действительно интерфейс написать...
> Ну прямо так и все... довольно ограниченный набор опций (это НЕ исполняемый
> файл). Но вот, например, defaultroute оно пропускает. Похабно.
Думаю, что не только _default_ route... Именно поэтому и не хочется.
> Значит, должны быть такие же ограничения на доступные параметры, которые дает
> suid-ный pppd.
> (А вот интересно, можно ли реализовать defaultroute таким образом:
> % с помощью iptables делаем mark пакетов данного юзера
> % с помощью route заворачиваем их (и только их) в интерфейс
> )
Угу. ОЧЕНЬ хотелось бы. Но пол-года-год назад я сильно этого захотел и
обломался. Дело оказалось в том, что для OUTPUT решение о маршрутизации
принимается ДО маркировки пакетов :(
^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2008-03-29 14:50 UTC | newest]
Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-03-19 14:14 [Comm] настройка VPN Денисов Станислав
2008-03-19 19:23 ` Ilis
2008-03-21 20:18 ` Olvin
2008-03-21 20:23 ` Анатолий Акатьев
2008-03-22 21:34 ` Olvin
2008-03-23 7:55 ` Konstantin S. Uvarin
2008-03-23 17:02 ` Olvin
2008-03-23 8:12 ` Alexey I. Froloff
2008-03-23 15:08 ` Michael Shigorin
2008-03-23 8:37 ` [Comm] [JT] " Konstantin S. Uvarin
2008-03-29 14:50 ` Olvin
2008-03-20 3:57 ` [Comm] " Maxim Tsaryuk
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git