ALT Linux Community general discussions
 help / color / mirror / Atom feed
* Re: [Comm] настройка VPN
@ 2008-03-19 14:14 Денисов Станислав
  2008-03-19 19:23 ` Ilis
  2008-03-20  3:57 ` [Comm] " Maxim Tsaryuk
  0 siblings, 2 replies; 12+ messages in thread
From: Денисов Станислав @ 2008-03-19 14:14 UTC (permalink / raw)
  To: community


>>route add -net (адрес твоей подсети, например 81.26.176.0) netmask
>>255.255.255.0 gw (адрес твоего шлюза) dev eth0

а если у меня адреса шлюза и подсети получаются автоматически ??
а как кстати запустить KVPNC? вот скачал я архив, распаковал, а теперь что ?


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] настройка VPN
  2008-03-19 14:14 [Comm] настройка VPN Денисов Станислав
@ 2008-03-19 19:23 ` Ilis
  2008-03-21 20:18   ` Olvin
  2008-03-20  3:57 ` [Comm] " Maxim Tsaryuk
  1 sibling, 1 reply; 12+ messages in thread
From: Ilis @ 2008-03-19 19:23 UTC (permalink / raw)
  To: ALT Linux Community general discussions

У меня VPN (pptp) прекрасно настроился альтератором! Может с него начать лучше?

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] настройка VPN
  2008-03-19 14:14 [Comm] настройка VPN Денисов Станислав
  2008-03-19 19:23 ` Ilis
@ 2008-03-20  3:57 ` Maxim Tsaryuk
  1 sibling, 0 replies; 12+ messages in thread
From: Maxim Tsaryuk @ 2008-03-20  3:57 UTC (permalink / raw)
  To: ALT Linux Community general discussions

В сообщении от Wednesday 19 March 2008 21:14:31 Денисов Станислав 
написал(а):
> >>route add -net (адрес твоей подсети, например 81.26.176.0)
> >> netmask 255.255.255.0 gw (адрес твоего шлюза) dev eth0
>
> а если у меня адреса шлюза и подсети получаются автоматически ??

С таким дело не имел. Погуглите, думаю найдете примеры.

> а как кстати запустить KVPNC? вот скачал я архив, распаковал, а
> теперь что ?

Вы исходники что ли скачали? По моему для Альта есть уже готовый 
пакет, поставьте его.
А вообще мучаясь с впн и ппое сделал для себя вывод, что какой-нибудь 
роутер типа d-link или zyxel, значительно облегчает жизнь.

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] настройка VPN
  2008-03-19 19:23 ` Ilis
@ 2008-03-21 20:18   ` Olvin
  2008-03-21 20:23     ` Анатолий Акатьев
  0 siblings, 1 reply; 12+ messages in thread
From: Olvin @ 2008-03-21 20:18 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Ilis пишет:
> У меня VPN (pptp) прекрасно настроился альтератором! Может с него начать лучше?

А если на машине несколько пользователей, соединение устанавливается и 
разрывается ими только на время работы на компьютере и ещё под разными 
логинами? Альтератор - это хорошо (для админа), но нужно подумать и об 
удобствах простых пользователей.


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] настройка VPN
  2008-03-21 20:18   ` Olvin
@ 2008-03-21 20:23     ` Анатолий Акатьев
  2008-03-22 21:34       ` Olvin
  0 siblings, 1 reply; 12+ messages in thread
From: Анатолий Акатьев @ 2008-03-21 20:23 UTC (permalink / raw)
  To: ALT Linux Community general discussions

В сообщении от Saturday 22 March 2008 01:18:21 Olvin написал(а):
> Ilis пишет:
> > У меня VPN (pptp) прекрасно настроился альтератором! Может с него начать
> > лучше?
>
> А если на машине несколько пользователей, соединение устанавливается и
> разрывается ими только на время работы на компьютере и ещё под разными
> логинами? Альтератор - это хорошо (для админа), но нужно подумать и об
> удобствах простых пользователей.

Вообще отключать интерфейс - права админа - это более чем правильно. Но дайте
 права через sudo на отключение/включение и будет счастье
> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community



-- 
Доброе время суток!

С уважением Акатьев Анатолий.
Руководитель отдела внедрения.
тел.: 89509559748
icq : 190270141
www.master-system.ru

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] настройка VPN
  2008-03-21 20:23     ` Анатолий Акатьев
@ 2008-03-22 21:34       ` Olvin
  2008-03-23  7:55         ` Konstantin S. Uvarin
  0 siblings, 1 reply; 12+ messages in thread
From: Olvin @ 2008-03-22 21:34 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Анатолий Акатьев wrote:
>>> У меня VPN (pptp) прекрасно настроился альтератором! Может с него начать
>>> лучше?
>> А если на машине несколько пользователей, соединение устанавливается и
>> разрывается ими только на время работы на компьютере и ещё под разными
>> логинами? Альтератор - это хорошо (для админа), но нужно подумать и об
>> удобствах простых пользователей.
> Вообще отключать интерфейс - права админа - это более чем правильно. Но дайте
>  права через sudo на отключение/включение и будет счастье

Раньше так и делал (тогда ещё был Dial-up). Но это неправильно. А если у 
пользователя сменится пароль, то что он будет без админа делать с файлом 
/etc/ppp/chap-secrets? Ведь даже доступ на чтение запрещён туда, не 
говоря уже про запись... Нет, можно конечно, написать самому интерфейс 
ко всему этому хозяйству, но вдруг кто-то это уже сделал? :)


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] настройка VPN
  2008-03-22 21:34       ` Olvin
@ 2008-03-23  7:55         ` Konstantin S. Uvarin
  2008-03-23 17:02           ` Olvin
  0 siblings, 1 reply; 12+ messages in thread
From: Konstantin S. Uvarin @ 2008-03-23  7:55 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Приветствую!

> Раньше так и делал (тогда ещё был Dial-up). Но это неправильно. А если у
> пользователя сменится пароль, то что он будет без админа делать с файлом
> /etc/ppp/chap-secrets? Ведь даже доступ на чтение запрещён туда, не
> говоря уже про запись... Нет, можно конечно, написать самому интерфейс
> ко всему этому хозяйству, но вдруг кто-то это уже сделал? :)

Сделал, etcnet. Там можно user и password хранить прямо в файле pppoptions в 
настройках интерфейса, не затрагивая глобальный chap-secret. Соответственно, 
если юзер имеет права на запись в этот файл, он имеет и право на смену 
пароля. 

Вопрос уважаемым знатокам: а можно ли сделать так, чтобы права юзера на  
ifup/ifdown тоже там настраивались? 

Например, в options добавить owners=user1,user2,%group3...

Хотя, раз судо есть, то может и ну его, огород городить.

-- 
Konstantin S. Uvarin
Главный редактор, крякнув, осушил стопку. Новости радостно закрякали в ответ.

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] настройка VPN
  2008-03-23 17:02           ` Olvin
@ 2008-03-23  8:12             ` Alexey I. Froloff
  2008-03-23 15:08               ` Michael Shigorin
  2008-03-23  8:37             ` [Comm] [JT] " Konstantin S. Uvarin
  1 sibling, 1 reply; 12+ messages in thread
From: Alexey I. Froloff @ 2008-03-23  8:12 UTC (permalink / raw)
  To: Mailing list for ALT Linux users

[-- Attachment #1: Type: text/plain, Size: 438 bytes --]

* Olvin <olvin@> [080323 11:06]:
> Интересно, это что - каждлый пользователь будет подключать свой файл, в 
> который может записать всё, что захочет? Тогда это не то. Уж проще 
> действительно интерфейс написать...
Всё ещё проще чем кажется.  Можно сделать pppd suid'ным, в man
pppd в секции SECURITY написано как оно будет работать и что при
этом можно настраивать непривилегированным пользователям.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] [JT] настройка VPN
  2008-03-23 17:02           ` Olvin
  2008-03-23  8:12             ` Alexey I. Froloff
@ 2008-03-23  8:37             ` Konstantin S. Uvarin
  2008-03-29 14:50               ` Olvin
  1 sibling, 1 reply; 12+ messages in thread
From: Konstantin S. Uvarin @ 2008-03-23  8:37 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Приветствую!

> Интересно, это что - каждлый пользователь будет подключать свой файл, в
> который может записать всё, что захочет? Тогда это не то. Уж проще
> действительно интерфейс написать...

Ну прямо так и все... довольно ограниченный набор опций (это НЕ исполняемый 
файл). Но вот, например, defaultroute оно пропускает. Похабно. 

Значит, должны быть такие же ограничения на доступные параметры, которые дает 
suid-ный pppd. 

(А вот интересно, можно ли реализовать defaultroute таким образом: 
% с помощью iptables делаем mark пакетов данного юзера
% с помощью route заворачиваем их (и только их) в интерфейс
)

-- 
Konstantin S. Uvarin
WinNT error 003: FPU error - enter any 11 digit prime number to continue.

^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] настройка VPN
  2008-03-23  8:12             ` Alexey I. Froloff
@ 2008-03-23 15:08               ` Michael Shigorin
  0 siblings, 0 replies; 12+ messages in thread
From: Michael Shigorin @ 2008-03-23 15:08 UTC (permalink / raw)
  To: Mailing list for ALT Linux users

On Sun, Mar 23, 2008 at 11:12:15AM +0300, Alexey I. Froloff wrote:
> Всё ещё проще чем кажется.  Можно сделать pppd suid'ным

Для этого, кстати, в ppp-2.4.4-alt9.8+ есть control(8) facility.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] настройка VPN
  2008-03-23  7:55         ` Konstantin S. Uvarin
@ 2008-03-23 17:02           ` Olvin
  2008-03-23  8:12             ` Alexey I. Froloff
  2008-03-23  8:37             ` [Comm] [JT] " Konstantin S. Uvarin
  0 siblings, 2 replies; 12+ messages in thread
From: Olvin @ 2008-03-23 17:02 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Konstantin S. Uvarin wrote:
>> Раньше так и делал (тогда ещё был Dial-up). Но это неправильно. А если у
>> пользователя сменится пароль, то что он будет без админа делать с файлом
>> /etc/ppp/chap-secrets? Ведь даже доступ на чтение запрещён туда, не
>> говоря уже про запись... Нет, можно конечно, написать самому интерфейс
>> ко всему этому хозяйству, но вдруг кто-то это уже сделал? :)
> Сделал, etcnet. Там можно user и password хранить прямо в файле pppoptions в 
> настройках интерфейса, не затрагивая глобальный chap-secret. Соответственно, 
> если юзер имеет права на запись в этот файл, он имеет и право на смену 
> пароля. 

Интересно, это что - каждлый пользователь будет подключать свой файл, в 
который может записать всё, что захочет? Тогда это не то. Уж проще 
действительно интерфейс написать...


^ permalink raw reply	[flat|nested] 12+ messages in thread

* Re: [Comm] [JT] настройка VPN
  2008-03-23  8:37             ` [Comm] [JT] " Konstantin S. Uvarin
@ 2008-03-29 14:50               ` Olvin
  0 siblings, 0 replies; 12+ messages in thread
From: Olvin @ 2008-03-29 14:50 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Konstantin S. Uvarin пишет:
>> Интересно, это что - каждлый пользователь будет подключать свой файл, в
>> который может записать всё, что захочет? Тогда это не то. Уж проще
>> действительно интерфейс написать...
> Ну прямо так и все... довольно ограниченный набор опций (это НЕ исполняемый 
> файл). Но вот, например, defaultroute оно пропускает. Похабно. 

Думаю, что не только _default_ route... Именно поэтому и не хочется.

> Значит, должны быть такие же ограничения на доступные параметры, которые дает 
> suid-ный pppd. 
> (А вот интересно, можно ли реализовать defaultroute таким образом: 
> % с помощью iptables делаем mark пакетов данного юзера
> % с помощью route заворачиваем их (и только их) в интерфейс
> )

Угу. ОЧЕНЬ хотелось бы. Но пол-года-год назад я сильно этого захотел и 
обломался. Дело оказалось в том, что для OUTPUT решение о маршрутизации 
принимается ДО маркировки пакетов :(


^ permalink raw reply	[flat|nested] 12+ messages in thread

end of thread, other threads:[~2008-03-29 14:50 UTC | newest]

Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-03-19 14:14 [Comm] настройка VPN Денисов Станислав
2008-03-19 19:23 ` Ilis
2008-03-21 20:18   ` Olvin
2008-03-21 20:23     ` Анатолий Акатьев
2008-03-22 21:34       ` Olvin
2008-03-23  7:55         ` Konstantin S. Uvarin
2008-03-23 17:02           ` Olvin
2008-03-23  8:12             ` Alexey I. Froloff
2008-03-23 15:08               ` Michael Shigorin
2008-03-23  8:37             ` [Comm] [JT] " Konstantin S. Uvarin
2008-03-29 14:50               ` Olvin
2008-03-20  3:57 ` [Comm] " Maxim Tsaryuk

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git