From: "Sergey N.Yatskevich" <syatskevich@mail.ru>
To: devel@altlinux.ru
Subject: [devel] Ошибки в FreeS/WAN, imap, iptables, документации к initscripts и stunnel
Date: Wed, 17 Oct 2001 15:09:33 +0400
Message-ID: <20011017150933.6857bde8.syatskevich@mail.ru> (raw)
Привет всем!
1) FreeS/WAN
На ядре 2.4.10-alt1 после нормального соединения при попытке пинговать
какой-либо хост через шифрованный туннель IPSEC просто полностью завешивает
машины (если на обеих установлен ALTLinux).
Предварительная проверка показала, что проблемы в 2.4.10 возникают
из-за отключения опции CONFIG_IPSEC_DEBUG (ядро 2.2.19 я просто не
проверял) при сборке ядра.
После перекомпиляции с включенной опцией все нормально заработало.
P.S. Для оптимизатора Костика :-)). _DEBUG в данном случае означает
ведение лога работы ядерного модуля, а не включение информации
и процедур для отладки самого модуля. Это полезно для отладки
соединения. Никто ведь не пытается отрезать ведение логов у
серверных программ. Для управления тем, какую информацию выводить
в лог предназначена пограмма ipsec klipsdebug, с помощью которой
этот лог можно отключить совсем.
P.P.S. userspace пакета freeswan это не касается. Там все нормально.
2) imap - ошибка в /etc/xinitd.d/pop3s (неверное имя запускаемого сервера).
должно быть указано - ipop3d, а указано - popa3d. То же относиться и к
аналогичному файлу в пакете stunnel (вообще непонятно зачем он туда
включен).
3) iptables - автоматически очищаются только каналы в таблице по умолчанию
(фильтр). В /etc/init.d/iptables необходимо так же очищать и таблицы nat
и mangle иначе результат выполнения /etc/init.d/iptables stop не
соотвествует ожидаемому (полной очистке всех таблиц).
4) Неправильное описание создания алиасов для интерфейсов в
initscripts-*/sysconfig.txt
(Для правильного описания см. /etc/sysconfig/ifup-aliases)
stunnel - не ошибка, но сгенерированный по умолчанию сертификат не
позволяет нормально соедиеяться по SSL с сервером с Windows-клиентов.
И вообще при установке по умолчанию генерируется self-signed сертификат,
что не есть хорошо, так как такие сертификаты предназначены для CA.
Мне кажется что в данном случае лучше не генерировать ничего по умолчанию
а выдать предупреждение о том, что для правильной работы необходимо установить
сертификат и пусть сам администратор решает как ему быть: заводить ли собственный
intranet-CA или обращаться в стороннюю организацию или сгенерировать единственный
self-signed сертификат (но правильно) и на этом успокоиться :-))).
В конце концов если он уж задумался о введении SSL защищенных сервисов,
то надо и разобраться как это делается. Лучше включить в дистрибутив
stunnel документацию по SSL или ссылки.
Вот одна для затравки:
http://www.ultranet.com/~fhirsch/Papers/wwwj/article.html
--
Sergey N. Yatskevich <syatskevich@mail.ru>
_______________________________________________
Devel mailing list
Devel@linux.iplabs.ru
http://www.logic.ru/mailman/listinfo/devel
reply other threads:[~2001-10-17 11:09 UTC|newest]
Thread overview: [no followups] expand[flat|nested] mbox.gz Atom feed
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20011017150933.6857bde8.syatskevich@mail.ru \
--to=syatskevich@mail.ru \
--cc=devel@altlinux.ru \
--cc=devel@linux.iplabs.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git