Обсуждение статьи тематического каталога: NAT, DNS, SAMBA сервер на FreeBSD для малого офиса 10 - 50 машин (freebsd samba nat dns)Ссылка на текст статьи: https://www.opennet.ru/base/net/nat_dns_samba.txt.html
На эти темы существует куча статей в сотни раз лучше. Автор не понимет о чем пишет... куча ошибок, недоговорок. Повесили насмех.
Советовал бы ее удалить
to awk
ну раз зарекнулся, то линки на статьи в студию, причём на хорошие линки, с подробным объяснением. Вот тогда и посмотрим кого насмех пукать будем, а кому скажем молодец, за то, что хоть что-то, но выложил!
Вот к примеру самба...
http://us5.samba.org/samba/docs/man/Samba-Guide/happy.html#i...
А на русском языке ?
Не все в школе изучали Английский.
вот есть такие ссылки - может быть помогут:
http://ruslandh.narod.ru/howto_ru/SMB-HOWTO/index.html
http://ruslandh.narod.ru/howto_ru/Samba-PDC-HOWTO/index.html
http://www.dreamcatcher.ru/docs/smbd.html
Думал что-то стоящее, а на деле... документация на сайте FreeBSD куда удобнее и полезнее.
что касается DNS - вот достаточно неплохие статьи
http://ru-board.com/new/article.php?sid=161
https://www.opennet.ru/base/net/dns_inst.txt.html
https://www.opennet.ru/base/net/simple_dns.txt.html
http://unix1.jinr.ru/~lavr/bind9setup.html
есть еще статья Сергея Ропчана в журнале "Системный администратор" №1(2), январь 2003
Статья хорошая, написана для тех кто в первый раз пытается поставить сервер на Free (во времена моего первого знакомства с Free мне как раз такой и не хватало), ничего лишнего и никаких непонятных для новичка вещей. Пиши дальше.
Для новичков книги есть, а статья наоборот вредная.Чего стоит правило фаервола allow all fron any to any
тогда зачем его ставить? Этим правилом у Вас просто нету фаервола, так сказать милости просим.САМБА
load printers = yes разрешает использование принтера (его надо настраивать)
А описать секцию принтеров забыл.
encrypt passwords = yes Шифрование паролей (опция для вас не нужная)
опять неверно, начиная с форточек 95 OSR применяеться шифрованный пароль.
Либо Вы выставляете этот параметр в самбе либо придеться на всех форточках править реестр.
Товарищ совсем не дружит с орфографией. Ладно бы еще в вопросе разбирался...
Приоеденюсь к голосам, называющим эту статью вредной. Очень много ошибок ( я не про орфографические), настройка firewall просто удручает. Если человек начинающий, то сначала надо объяснить как FreeBSD работает. Основные принципы. Про удаленное управление вообще ни слова.
> надо ставить GNOME или KDE
Вовсе нет необходимости...
А вот новичкам она вовсе не полезна, ибо не дает повода думать, что полезно в неограниченом количестве.
Народ, ну вы зря накинулись на автора. Он делает правильное дело. Поставил цели о показал их решение. А что файревол не так настроил, так надо полагать, что это он раскажет в следующей.
Польза у такого рода статей есть, хотя бы та, что позволяет новичкам осознать себя, а не шарахаться при виде абревиатуры BSD.
А вы, господа гуру, научились сами, и начинаете пальцы в растопырку выгибать.
есть такой анекдот:
математик - понимает, что говорит и может это доказать
физик - понимает, что говорит, но не может этого доказать
экономист - не понимает, что говорит, но может это доказать
философ - не понимает, что говорит и не может этого доказать
так и в этом случае - если не понимаешь, о чем говоришь, лучше не говори ничего
тем более давать ошибочные советы, например:
firewall_type="/etc/firewall.conf"(говорим firewall'у где будет лежать конфиг с правилами фильтрации)
правильно будет
firewall_script="/etc/firewall.conf"
а еще лучше (в контексте данной статьи) посоветовать использовать стандартный /etc/rc.firewall
а с правилами фильтрации можно разобраться и потом, когда все заработает
Правильно он говорит в данном случае, учите матчасть (читайте rc-скрипты).
>тем более давать ошибочные советы, например:
> firewall_type="/etc/firewall.conf"(говорим firewall'у где будет лежать
>конфиг с правилами фильтрации)
>правильно будет
> firewall_script="/etc/firewall.conf"
Александр, не смешно =). Посмотри для начала /etc/defaults/rc.conf
потом идёш в /etc/rc.firewall
И что ты там видиш ? - файл с правилами задаёться в rc.conf так - firewall_type="/etc/file" путь произвольный .... к файлу =).
Потом править скрипты, да ещё без бекапа, да ещё не умея этого делать =), у вас будет куча проблем. это по поводу -"правим /etc/rc.firewall"
У меня вот есть проблема которую решил , незнаю как насчет правельности,
Моя связка Фаэрвола и ната - в фаэрволе стоят два правила, те кто знают поймут -
00100 48583 15923753 divert 8668 ip from any to any via rl0 (rl0 - внешний интерфейс с которым рабоает нат)
00200 174694 67855522 allow ip from any to any (для нормальной работы в сети =))
65535 56 3576 deny ip from any to any (деффолт мать его)
Так вот в такой связке, я в конфиге ната как хочу так и верчу, открываю закрываю порты, входяшие пакеты отбрасываються, кроме тех которые были ответом на внутренние. За нат ни один гад носу не сунет , Фаэрвол не нагружает старенькую машинку, и всё работает. Как нат конфигурить есть куча ман в инете, самый простой и надёжный способ по моему, жду на мыло критику, кто знает какие дыры с этим связаны, и хотел бы увидеть конфиги фаэрвола, очень интерестно , т.к. у меня был немаленький список правил =) теперь он ненужен, да и Вопросик есть у кого была проблема , аожет поможет - Firewall_type="file" так вот из файла не берёт правила =). Скрипт вообще криво работает , такая вот необходимость толкнула на нат ))).
Статья хорошая, у меня все получилось, действительно 1С нормально легла (хотя особой надежности в этом не видно). Автор пускай лучше напишет статью про болезненную тему настройки защиты DNS сервера, а про nat и samb'У и так много написано!
Сделано !
А у меня при запуске 1С выдает ошибку "Каталог пользователя занят"
>А у меня при запуске 1С выдает ошибку "Каталог пользователя занят"
А причем тут Samba??? Если 1С-ка пишет что каталог пользователя занят значит 100 пудово что дело в самой базе 1С-ки
>>А у меня при запуске 1С выдает ошибку "Каталог пользователя занят"
>
>
>А причем тут Samba??? Если 1С-ка пишет что каталог пользователя занят значит
>100 пудово что дело в самой базе 1С-киЯ это уже проходил! Все дело в правах доступа к папкам 1С.
Огромное человеческое спасибо!!!!!!!!!!!!!!
На руском языке, доступно и просто, понятно.
С нетерпением буду ждать следующих статей.Все кто критикуют сами ничего хорошего не сделали в этом плане, а английские варианты пусть засовывают себе сами знают куда.
и что все к этому natd и ipfw прилипли... ведь есть pf....
>и что все к этому natd и ipfw прилипли... ведь есть pf....есть еще лучше: iptables, но все же умные, от Линуха носом воротят, лучше изращаца на бзде...
вывод: никому качество особое не нужно, а нужно чтобы просто работало. хоть как-то
natd это феодальная эра БСДмодные люди в BSD используют NAT на уровне ядра (ipnat). В разы проще, понятнее, надежнее, легче.
Статейка может быть и плохая, но первоначальные понятия она вносит, хоть какие то. Другие и такого не написали, а только по 3 строчки в вопросах, читай типа IN, NAT, DNS. Таков был ответ одного из умельцев на мой вопрос на форуме. И если человек делает не значительные ошибки, это дает возможность новичкам, самим пошевелить мозгами, а не делать все по шаблону!! Хорошая статья. Больше бы таких!
Пущай пишет статьи, заодно попрактикуется в русском языке, идея верная, лишнего нет. А вот то что ошибки сделал, так человек единственное существо в природе, кто постоянно на ошибках учится, все остальные подыхают!
Веб-интерфейс для самбы - SWAT, заходить на него можно не только с локалхоста, автор видать не заком с файлом swat.conf.
Кроме свата самба неплохо конфигурится через вебмин, это я всё к тому, что если авор не в ладах с консолью и не собирается пытаться понять принцип работы того или иного сервиса.
От статьи осталось единственное ощущение: человек впервые поставил никсовую ось, поплясал с бубном, как - то, что - то заработало и всё "Я - гуру, и понёс светоч премудростей в народ". Согласен с предыдущими высказываниями о большем вреде, чем пользы данного творения
и почему у народа полное нежелание использовать Webmin ? Ну зачем начинающему премудрости синтаксиса написания DNS зон ? Ну пройденное дело (при использовании соостветсвующих техник). Поковыряться ? - так все-равно лучше сделать через Webmin а потом сравнить файлы конфигураций до и после. И быстрее и больше толку.
И вообще - где такую травку покупают ? 1С базы ставить ближе чем DMZ ? Клево смотрится с детализацией тонкостей нстройки IPFW.
Человек взял, напрягся и написал. Он же в Дискламере написал, что он неопытен. А если здесь действительно будут продолжать гнуть пальцы, а не писать ПРАВИЛЬНЫЕ статьи, то скоро все будут учиться ставить MS Small Buisines Server. Там как раз все есть и файрвол, и SMB, и DNS с доменом, и ISAserver, как раз что бы со Squidom не париться. И с блокировками для 1С там как раз все в порядке.... только деньги плати. :-)
Так что если хаять, то с diff-ом на номер строки...Удачи.
https://www.opennet.ru/base/net/dns_tsig.txt.html
(КРИТИКУЙТЕ)
Ладно, коментарии по-серьезному- выложить автору статью (с исправленном состоянии на narod.ru) и дать ЗДЕСЬ авторскую ссылку типа - ПОСЛЕДНИИ ВЕРСИИ СТАТЬИ _ там-то-и-там-то
- все-таки для Firewall - ставить хотя бы правило CLIENT - по началу с чего-то начинатью И вообще-то использовать стандартные дистрибутные правила - /etc/rc.firewall
- явно для начинающих указывать на cуществования Webmin. Пальцы можно пялить, но делать молоток и ручку если надо забить гвоздь - это просто глупость.
Через часок выложу подобную статью на
она не закончена, но основа есть.
>- выложить автору статью (с исправленном состоянии на narod.ru) и дать ЗДЕСЬ
>авторскую ссылку типа - ПОСЛЕДНИИ ВЕРСИИ СТАТЬИ _ там-то-и-там-тоА что в каталоге статей на opennet ссылку "Правка" (в строке навигации над статьей) уже отменили ? :-)
>Через часок выложу подобную статью на
>http://iasb.narod.ruКак выложите пришлите пожалуйста ссылку.
Уже лежит.http://iasb.narod.ru
http://iasb.narod.ru/Unix-server_short.zipНо публиковать официозно пока (на сегодня) я не стал бы - мне нужно пару дней для правок и переводов некоторых кусков на русский. Но в целом - структура там определена. Цели и задачи есть.
Насчет ссылки "Правка" - спасибо. как-то не обратил внимания.
было и давноhttp://www.nag.ru/goodies/servbook/ch1.html
основной вред статьи, это привличение к BSD неквалифисированных людей. Тем кто кричат о простых и понятных статьях по BSD (хотелось бы и linux сюда приплести) - в лес. Умение самому разбираться - читать маны, понимать суть происходящих процессов - это не только основы работы в unix системах, но и где-то филосифия системщика. Тенденция же к написанию статей в стиле - прочёл-сделал - это мелкософтовская философия пренадлежащая к направлению коммерчиских продуктов. В среде "открытых источников" системщики должны быть наиболее близки к разработчикам. Что невозможно без понимания работы системы. Подобные статьи наносят вред движению open source не только привлекая "не тех" людей, но явно пропагандирую философию коммерчиских продуктов - любого начинающего прочитавшего данную статью, я могу легко убедить в том что ему гораздо проще и быстрее сделать предложенное на Win32 с гораздо болешей функциональностью и меньшим гемороем (вопрос платы за ПО в нашей стране пока не актуален).
Короче говоря тех кто делает не разбираясь (и уж тем более пищущих на этой основе статьи) - в лес, и всеобщее призрение.И тех кто не хочет знать английский - тоже в лес
прежде чем хаять других - русский подучи
основной вред статьи, это привличение к BSD неквалифисированных людей. Тем кто кричат о простых и понятных статьях по BSD (хотелось бы и linux сюда приплести) - в лес. Умение самому разбираться - читать маны, понимать суть происходящих процессов - это не только основы работы в unix системах, но и где-то филосифия системщика. Тенденция же к написанию статей в стиле - прочёл-сделал - это мелкософтовская философия пренадлежащая к направлению коммерчиских продуктов. В среде "открытых источников" системщики должны быть наиболее близки к разработчикам. Что невозможно без понимания работы системы. Подобные статьи наносят вред движению open source не только привлекая "не тех" людей, но явно пропагандирую философию коммерчиских продуктов - любого начинающего прочитавшего данную статью, я могу легко убедить в том что ему гораздо проще и быстрее сделать предложенное на Win32 с гораздо болешей функциональностью и меньшим гемороем (вопрос платы за ПО в нашей стране пока не актуален).
Короче говоря тех кто делает не разбираясь (и уж тем более пищущих на этой основе статьи) - в лес, и всеобщее призрение.
И тех кто не хочет знать английский - тоже в лес>>
Ты просто …, напиши это и в других коментах, по статьям, там тоже в большинстве своем много недоработок и ошибок. Мне просто интересно, ты сам как изучал FreeBSD? (проснулся и все знаешь). Я не комментировал все обсуждения идущие здесь, потому как они справедливы, но твоя …, просто поражает, иди на … !!!!!!!!!
>Ты просто …, напиши это и в других коментах, по статьям, там
>тоже в большинстве своем много недоработок и ошибок. Мне просто интересно,
>ты сам как изучал FreeBSD? (проснулся и все знаешь). Я не
>комментировал все обсуждения идущие здесь, потому как они справедливы,Самое главное - не опускай руки. Надо писать. То что написал - УЖЕ БОЛЬШОЕ ДЕЛО !!! Насчет критики - А КТО ИЗ НИХ ПИСАЛ ? Нормальная статья.
Некоторые товарищи здесь поют дифирамбы автору, на самом же деле здесь ошибка на ошибке.
Учитывая, каким способом он "написал" свою следующую статью о защите DNS,
не удивлюсь, что и в данном случае он надергал цитат из других материалов вперемешку,
и выдал полученный винигрет за свой оригинальный труд.
(заимствования из книги "DNS и BIND" здесь точно есть, можно посмотреть на стр. 87,88,89,95)критика firewall и samba здесь уже была, давайте пройдемся по файлу named.conf и посмотрим, что он тут начудил.
> zone "0.0.127.IN-ADDR.ARPA" {
> type master;
> file "localhost.rev";
> };особых замечаний нет, но в оригинальном named.conf файл localhost.rev размещен в директории master:
zone "0.0.127.IN-ADDR.ARPA" {
type master;
file "master/localhost.rev";
};
ну и следует добавить, что нет никакой небходимости своими руками создавать этот файл,
для этой цели существует скрипт make-localhost> zone "example.net" {
> type master;
> file "db.example.net";
> };здесь тоже ошибок нет, за исключением того, что файл db.example.net следовало бы поместить в директорию master
> zone "example.com" {
> type slave;
> file "slave/example.com";
> };А вот здесь уже начинается самое веселое. Мы видим, что зона example.com является вторичной,
но указание на первичный DNS сервер здесь отсутствует.
Правильно будет так:zone "example.com" {
type slave;
file "slave/example.com";
masters {
192.168.1.1;
};
};и заметьте - несмотря на то, что данная зона вторичная, автор создает для нее файл описания на этом сервере.
> zone "1.168.192.in-addr.arpa" {
> type slave;
> file "slave/1.168.192.in-addr.arpa";
> masters {
> 127.0.0.1;
> };А что мы видим здесь???
зона 1.168.192.in-addr.arpa вторичная и должна быть получена с другого сервера.
но следуя указаниям автора, ее следует получать со своего собственного сервера.
Интересно, где он набрался такой глупости???Ау-у-у, афтор, отзовись
Тем кто критикует автора:Парни - Вы все такие борзые аж противно!!!Будто у Вас с пеленок на коляске висела консоль вместо соски )) и в садике был ноут вместо машинки и автомата!!!!Вспомните лучше себя как начинающего и не фыркать, а че-то добавить!!!!Обвинять проще всего!!!!!
ну и что ты тут слюной брызгаешь???орфографию отбрасываем в сторону, хотя за это тоже следует делать втык.
Но в статье имеются РЕАЛЬНЫЕ ошибки, причем такие, что можно предположить,
что на самом деле автор пишет не про свою работу а сдул это все со стороны
(ничего удивительного, если обратить внимание на вторую его статью)
из разных других статей, причем весьма невнимательно
И если делать так, как советует автор, то ни хрена работать не будетНу и кому нужны такие статьи??? автору для самоутверждения???
>И если делать так, как советует автор, то ни хрена работать неу меня при проверке работы DNS сервера выдается:
serv# dig @127.0.0.1 www.ru; <<>> DiG 9.3.1 <<>> @127.0.0.1 www.ru
; (1 server found)
;; global options: printcmd
;; connection timed out; no servers could be reachednamed.conf аналогичен приведенному сдесь (изменил адрес подсети в acl, и адрес DNS провайдера).
Как сделать так, чтобы заработало? Что исправить?
P.S. Выпрямить руки не предлагать ;)
Нужны , многих же заделосетевые карты , одна смотрит в Интернет (она интеловская) fxp0 c
адресом 81.222.156.16 и другая дешевая (реалтековская) rl0 с адресом
10.10.1.1 она смотрит в локал.Я б наоборот поставил
а тех, кто не знает французского, тоже в лес......
Объем кода БСД вырос с версии 2ю2ю8 в РАЗЫ.
Учить его наизусть не надо.
Для начинающего есть несколько альтернатив.
одна из них -- спечься при попытке изучить этот мешок с модулями, коий зовется ОПЕНСУРС, да еще они и подписаны не по-русски. И поставить пресловутый SMS от Мелкософта.
Или все таки читать статьи на русском, где хоть как то понятно что для чего.
А такая статься, приятнее былабы на каком-нибудь вики. Ибо 4я самба почти где-то рядом.П.С. На родном языке человек читает до в 10 раз быстрее. И мысли понимает лучше, даже если они неточно выражены.
П.П.С На каком языке разговаривали космонавты во время полета Союз-Апполон? И почему? время!
Хм... Такой вот прикол: ASP-10+samba-3.0.10. Первый сеанс 1C-7 открывает, так скажем, не спешно, а второй и третий - можно покупить сходить. Погуглил, попробовал несколько вариантов (все они правда, не свежее 2005 года). Не помогло. Обратил на один момент - жалуются только ликсоиды (пока и сам такой :) ), и Linux'ы в жалобах разные - и Debian, и генту, и ASP. Только вот жалоб FreeBSD'оид не видел. Есть у меня серверок FreeBSD-AMD64, запущенный под vmware (ОЗУ 128M ему выделено). Поаторил с теми же базами, что и на linux-smb-шаре. Открывает шустро. И второй, и пятый сеанс... samba там, правда, 3.0.23b. Пробовал ее же настройки под linux - не помогло. В чем же прикол - в самбе или ОСи?
А можно по подробнее?!
блокировки у вас работают?!
монопольно+раздело=?
монопольно+монопольно=?если всё это есть покажите конфиг, плиз!
<Самба является наверное одним из самых простых, но в тоже время и
самых полезным сетевым сервисом. Ведь у нее даже есть свой web
интерфейс, правда им мало кто пользовался, т.к. на него можно попасть
только с локалхоста, а для этого надо ставить GNOME или KDE.>
Хм.... С каких это пор на Swat можно попасть только с localhost?...
><Самба является наверное одним из самых простых,
>но в тоже время и
> самых полезным сетевым сервисом. Ведь
> у нее даже есть свой web
> интерфейс, правда им мало кто пользовался, т.к. на
>него можно попасть
> только с локалхоста, а для этого надо ставить GNOME или KDE.>
>Хм.... С каких это пор на Swat можно попасть только с localhost?...
>
На самбу можно попасть с любого хоста ))
Спасибо огромное за статью статья написана действительно для новичка !!!!
Орфография добила! Так до конца и не дочитал)))
меня больше интересует в ДНС=============
Стандартное обозначение зоны. Эта строка ставиться по умолчанию, при
инсталляции binda.zone "1.168.192.in-addr.arpa" {
type slave;
file "slave/1.168.192.in-addr.arpa";
};А эти зона используется для Loopback -они используется хостом для
перенаправления пакетов самому себе
=====================
ежели у меня сетка 192.168.0.* то "slave/0.168.192.in-addr.arpa" не так ли правелнеее ?
Я всё понимаю, но ставить базу 1с на сервер выхода в интернет???? чего-то я пропустил.... Сервер для организации, малой..... я поставил бы на него терминал для 1С, если уж совсем тах херово живём, а за места пива, которое надо выпить, чтоб это всё настроить, куплю роутер, гадом буду, работать будет в 100 раз быстрее и в 100 раз надёжней. Я новичок в free, я больше года с ней вожусь, но всё равно новичок, поставил apatch+php(через fastcgi)+mysql, vpn, nat, postfix, imap pop3, web морду на почту, roundcube, squid, proftp, osterisk так от моего сервака толку тьма, он моей организации приносит радость.... в инете, особенно в опеннете есть тьма толковых статей, а это так себе, на 2-
Я, конечно же, суперНОВИЧЁК и FreeBSD я не знаю, но я хочу знать и научиться, а как научишься если нужно знать английский, чтобы читать всё в оригинале. Пока выучишь английский - сдохнешь, а я хочу узнать сейчас, а не в другой жизни. Правильно сделал парень, не побоялся, написал!
Программированием занялся впервые в 1975 или 1976 году, бросал и опять брался... Где-то в 1982 пришлось работаь программистом - и тогда я чётко понял, что для того чтобы ЭВМы широко шагнули в массы, нужно все описания перевести на русски в программах (сообщения об ошибках, предупреждения ну и тд.), что бы не рыться в толстючих книгах.
А о языках программирования и говорить нет смысла.
Почему англоязычная братия так быстро прёт? Да потому,что программируют на родном языке, пусть даже упрощённом.
Вот такие мысли пришли в голову после прочтения дискуссии по поводу написанной статьи. Вместо того, чтобы поносить (от носить, а не от поносить) возьми и исправь то что хорошо знаешь, напиши правильную статью.
С уважением Василий.