* [devel] Ошибки в FreeS/WAN, imap, iptables, документации к initscripts и stunnel
@ 2001-10-17 11:09 Sergey N.Yatskevich
0 siblings, 0 replies; only message in thread
From: Sergey N.Yatskevich @ 2001-10-17 11:09 UTC (permalink / raw)
To: devel
Привет всем!
1) FreeS/WAN
На ядре 2.4.10-alt1 после нормального соединения при попытке пинговать
какой-либо хост через шифрованный туннель IPSEC просто полностью завешивает
машины (если на обеих установлен ALTLinux).
Предварительная проверка показала, что проблемы в 2.4.10 возникают
из-за отключения опции CONFIG_IPSEC_DEBUG (ядро 2.2.19 я просто не
проверял) при сборке ядра.
После перекомпиляции с включенной опцией все нормально заработало.
P.S. Для оптимизатора Костика :-)). _DEBUG в данном случае означает
ведение лога работы ядерного модуля, а не включение информации
и процедур для отладки самого модуля. Это полезно для отладки
соединения. Никто ведь не пытается отрезать ведение логов у
серверных программ. Для управления тем, какую информацию выводить
в лог предназначена пограмма ipsec klipsdebug, с помощью которой
этот лог можно отключить совсем.
P.P.S. userspace пакета freeswan это не касается. Там все нормально.
2) imap - ошибка в /etc/xinitd.d/pop3s (неверное имя запускаемого сервера).
должно быть указано - ipop3d, а указано - popa3d. То же относиться и к
аналогичному файлу в пакете stunnel (вообще непонятно зачем он туда
включен).
3) iptables - автоматически очищаются только каналы в таблице по умолчанию
(фильтр). В /etc/init.d/iptables необходимо так же очищать и таблицы nat
и mangle иначе результат выполнения /etc/init.d/iptables stop не
соотвествует ожидаемому (полной очистке всех таблиц).
4) Неправильное описание создания алиасов для интерфейсов в
initscripts-*/sysconfig.txt
(Для правильного описания см. /etc/sysconfig/ifup-aliases)
stunnel - не ошибка, но сгенерированный по умолчанию сертификат не
позволяет нормально соедиеяться по SSL с сервером с Windows-клиентов.
И вообще при установке по умолчанию генерируется self-signed сертификат,
что не есть хорошо, так как такие сертификаты предназначены для CA.
Мне кажется что в данном случае лучше не генерировать ничего по умолчанию
а выдать предупреждение о том, что для правильной работы необходимо установить
сертификат и пусть сам администратор решает как ему быть: заводить ли собственный
intranet-CA или обращаться в стороннюю организацию или сгенерировать единственный
self-signed сертификат (но правильно) и на этом успокоиться :-))).
В конце концов если он уж задумался о введении SSL защищенных сервисов,
то надо и разобраться как это делается. Лучше включить в дистрибутив
stunnel документацию по SSL или ссылки.
Вот одна для затравки:
http://www.ultranet.com/~fhirsch/Papers/wwwj/article.html
--
Sergey N. Yatskevich <syatskevich@mail.ru>
_______________________________________________
Devel mailing list
Devel@linux.iplabs.ru
http://www.logic.ru/mailman/listinfo/devel
^ permalink raw reply [flat|nested] only message in thread
only message in thread, other threads:[~2001-10-17 11:09 UTC | newest]
Thread overview: (only message) (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2001-10-17 11:09 [devel] Ошибки в FreeS/WAN, imap, iptables, документации к initscripts и stunnel Sergey N.Yatskevich
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git