Linux Mandrake 8.1, 9.0

Napisał do mnie pewnego dnia na GG jakiś gostek: "Mam problem. Nie czytałem co prawda twoich stron www, ale czy możesz powiedzieć co mam robić gdy..." Udzieliłem mojemu rozmówcy odpowiedzi, że skoro on nie ma czasu poczytać moich porad (na stronach www), to ja nie mam czasu dla niego by mu tłumaczyć poprzez GG rzeczy tam opisane. Proszę, nie zadawaj debilnych pytań i wykaż się odrobiną samodzielności. Kontakt: twarogal@wp.pl oraz GaduGadu 9160093 (uwaga: często zmieniam nr GG, więc sprawdź pierw na stronie www jaki jest obecny aktualny) .

Czas na udostępnianie Internetu w małą sieć. W naszym przypadku będzie to mini sieć składająca się z dwóch komputerów z wmontowanymi kartami sieciowymi i połączonymi kabelkiem krosowanym (uwaga: tak naprawdę skonfigurujemy sieć 5+1 czyli 5 klientów i serwer - w przypadku dodawania komputerów nie będziesz musiał więc nic przekonfigurowywać). Komputer dostępowy osadzimy na LINUXie, zaś klienta na Windowsie lub LINUXie.

Możesz od razu przejść do trudniejszej wersji konfiguracji (powiążesz MAC karty sieciowej ze statycznie nadanym adresem IP klienta).

Słowo o klientach.
Będziemy pracować na protokole TCP/IP z adresami przydzielanymi dynamicznie. Co ciekawe - nieco więcej pracy zajęła mi konfiguracja Windows98SE niż... Mandrake 8.x lub 9.x (jako klientów).

Jeżeli interesuje Ciebie rozpisywanie podsieci opartych na protokole IP (czyli teoria, maski, zakres numerów w podsieciach itp.) - to zapraszam tutaj (90KB).

Ustal swój prawdziwy adres (domenę), który TPSA nadała Tobie wraz usługa SDI-HIS. Adres, który może wygladać mniej więcej tak: pd132.wroclaw.sdi.tpnet.pl O ile ustalenie Twojego nr IP jest banalnie proste - jest na instrukcji obsługi SDI oraz na umowie, to adres musisz odkryć podstępem. Wyślij ze swojego komputera e-mail na znane Ci konto. Po odebraniu listu, wyedytuj jego kod źródłowy i szukaj w nagłówku nazwę nadawcy. A skoro wysłano go z Twojego komputera... :-))) Więcej informacji o czytaniu nagłówków maili znajdziesz tutaj. Można też skorzystać z programiku windowsowego cyberKit25, do pobrania z mojego archiwum cyberKit25.zip . Po rozpakowaniu zipem, zainstaluj i wybierz zakładkę TraceRoute. W linii Hosts or Address wpisz swój IP otrzymany do TPSA np. 217.96.171.101. W kolumnie Host Name pojawi sie Twoja domena. Na Linuksie z kolei możesz wykorzystać program nmap z opcjami nmap -sL 217.96.171.101

Przyjąłem, że z Internetem łączysz się poprzez modem SDI-HIS, a z intranetem za pomocą karty sieciowej. Jeżeli nie wiesz o czym piszę to małe wyjaśnienie: intranet to wewnętrzna sieć (np. domowa), a Internet to... chyba wiesz :)

Ponieważ w Mandrake 8.1 Kernel typu secure (czyli bezpieczny) jest tylko w wersji 2.2secure - proponuję pracować na tym jądrze. Wiąże się to z wyborem SYSTEMU PLIKÓW typu ext2.

W Mandrake 9.0 musimy pracować na Kernelu 2.4 (zarówno w wersji secure lub zwykłej). Zalecam na etapie nauki wyłącznie uzywanie ext2. Pozwoli to na ratowanie padłego Mandrake za pomocą minidystrybucji LIAP. Uwaga: ext2 jest dobry na małe, stare dyski, ext3 jako nowocześniejszy umie obsłużyć nowe, duże dyski, duże partycje i duże pliki. Dodatkową informacją jest to, że dystrybucja 9.0 zamiast/oprócz standardowych plików firewalla (czyli iptables), posiada shorewall.

NIEUDOKUMENTOWANA OPCJA INSTALATORA Mandrake 9.0 zwiększająca bezpieczeństwo serwera jest opisana tutaj.

* * *

Instalację systemu opisałem tutaj. Na wszelki wypadek podaję także link do opisu konfiguracji karty sieciowej i modemu podczas instalacji.

* * *

Masz system taki jak przed reinstalacją. Działa połączenie z Internetem poprzez modem SDI-HIS, możesz udostępniać strony www z własnego serwera (bez obsługi skryptów CGI - ze względów bezpieczeństwa). Działają przeglądarki np. Netscape, Opera, Mozilla itd. wraz z programami pocztowymi. Czego nie masz? Zaawansowanej obsługi stron www na serwerze Apache (i bardzo dobrze, gdyż jak się nie ma pełnej wiedzy o czymś, to się nie instaluje wszystkich modułów), własnego serwera pocztowego (program Netscape musi być skonfigurowany na np. wp.pl, poczta.onet.pl, go2.pl itp). Możemy więc zaczynać właściwą część naszej pracy, czyli udostępnianie połączenia internetowego.
Włącz połączenie z Internetem jeżeli tego jeszcze nie zrobiłeś oraz dopilnuj, aby włączono komputery klienckie mające pracować w sieci.

Wykonanie udostępniania Internetu dla domowej sieci na Mandrake 8.1, 9.0.

Przyjmuję, że podczas instalacji systemu karta sieciowa została prawidłowo rozpoznana i skonfigurowana (opis konfiguracji karty sieciowej opisałem tutaj). Przyjmuję także, ze zainstalowałeś demona pppd (podczas wstępnej konfiguracji modemu SDI - też patrz tutaj).

Wersja dla Mandrake 8.1.

-MANDRAKE-CONTROL CENTER- Sieć Lokalna i Internet- Współdzielenie Połączenia- Konfiguruj- Dalej- Dalej- Dalej- włóż CD nr 1, CZEKAJ. W tym momencie nastąpi pobranie instalek = iptables, dhcp-server, dhcp-common, bind, bind-utils, caching-nameserver.

Wersja dla Mandrake 9.0.

-MANDRAKE-CONTROL CENTER- Sieć i Internet- Współdzielenie Połączenia- Konfiguruj- (uwaga: podczas rekonfiguracji pojawi się z lewej strony zestaw opcji i koniecznie zaznacz REKONFIGURACJA) -Dalej- Dalej- wybierz wersję NIE dla autokonfiguracji, gdyż chcesz pracować w EXPERTS ONLY- DALEJ-. LOCAL NETWORK ADRESS 192.168.0.0 MASKA 255.255.255.0 (oczywiście jeżeli robisz sieć dla małej ilości komputerów np. 5+1 to maskę możesz tutaj zmienić na 255.255.255.248, ale nie musisz) -DALEJ- Pojawi się panel WSPÓŁDZIELENIE POŁĄCZENIA Z Internetem, a w nim:
IP servera DHCP- 192.168.0.1
IP servers DNS - 194.204.159.1
Wew. nazwa domeny - pd132.wroclaw.sdi.tpnet.pl (uwaga: to jest przykład :-)
Zakres początkowy - 2
Zakres końcowy - 6 (czyli 7 dla broadcast, a od ósemki nowa sieć)
Jak widzisz przewiduję max. 5+1 komputerów w sieci.
Zaznacz opcję PRZEKONFIGURUJ SERWER DHCP. OK.
Po pobraniu plików instalacyjnych z CD uruchomi się druid testujący modem. Niestety, ponieważ konfigurowałeś HISa w sposób nietypowy, czyli ręcznie poprzez plik rc.his - wspomniany druid wyłączy połączenie z Internetem. Dlatego na czas konfiguracji sieci uruchom jednocześnie powłokę tekstową pod rootem i wpisz polecenie /etc/rc.d/rc.his Gdy druid w ramach testowania modemu wyłączy go, to Ty klepniesz ENTER uruchamiając plik ~/rc.his. Czynność tę powtórzysz kilka razy. Wiem, że zabawnie wygląda czający się informatyk przy migajcych diodach, ale taka jest cena używania wspomagających konfigurowanie druidów ;-) Może rację mają administratorzy starej daty, którzy wszelkie zmiany w systemie wprowadzają ręcznie w powłoce tekstowej...

Jeżeli podczas pobierania plików z Centrali Mandrake wystąpią problemy (np. uparcie wyświetla się komunikat o błędzie w instalowaniu modułów lub po prostu instalator się zawiesza) to znaczy, że... niepotrzebnie wcześniej aktualizowałeś system. Na czym polega problem? Otórz po zaktualizowaniu części modułów - instalator Mandrake próbuje pobrać najnowsze wersje iptables, dhcp-server, dhcp-common, bind, bind-utils, caching-nameserver, które nie zawsze dobrze pracują z innymi aktualkami. Wiem, że to bład twórców Mandrake, ale nic na to nie poradzę. Gdy natrafiłem na taki właśnie problem - zrozumiałem, że aktualizację należy wykonać dopiero na samym końcu.

Może też się zdażyć, że nieświadomie coś sknociłeś podczas wpisywania danych. Ponieważ nie ma narzędzia sprawdzającego poprawność wpisów BĄDŹ UWAŻNY podczas instalacji.

Teraz sprawdź swój plik /etc/dhcpd.conf i porównaj z przykładowym.

Zrestartuj komputer. Jeżeli zakończyłeś prace z instalowaniem modułów to wykonaj kroki zabezpieczające typu BHP. Uwaga: ponieważ Mandrake/Mandriva nie wspiera już starych wersji swoich produktów, więc aktualizowanie za pomocą Mandrake-Update lub urpmi nie działa.

Sieć powinna działać.

* * *

Jeżeli chcesz poeksperymentować to czytaj dalej.

Uwaga: opisałem tutaj ręczne szlifowanie ustawień ipchains w Mandrake 8.1 pracującym na Kernelu 2.2.x secure.

Sprawdź czy istnieją następujace wiersze w pliku /etc/hosts
127.0.0.1   localhost.localdomain   localhost
192.168.0.1   misiek.pd132.wroclaw.sdi.tpnet.pl   misiek
Jeżeli planujesz nadanie stałego IP dla klienta w Twojej sieci, to dopisz wiersz: 192.168.0.2   bociek.pd132.wroclaw.sdi.tpnet.pl   bociek
Krótkie wyjaśnienie: nazwa Twojego komputera-klienta to jak się już chyba domyślasz bociek. Taką też nazwę wpisz do stacji w drugim pokoju.

Uwaga: wypełnienie pliku /etc/hosts w wierszu dotyczącym komputera bociek zastosowałem w celach szkoleniowych. Generalnie można przyjąć, że w tym pliku powinny znajdować się (od trzeciego wiersza) dane klientów ze stałym adresem IP zdefiniowanym w pliku /etc/dhcpd.conf (patrz opis dla zaawansowanych). Najlepszą kontrolę nad siecią da więc taki sposób konfiguracji.
Sprawdź czy istnieje wpis w pliku /etc/hosts.denny
ALL:ALL EXCEPT localhost:DENNY
Uwaga: jeżeli zainstalowałeś PortSentry (nie ma go w Mandrake 8.2, 9.0), to może nastąpić nieprawidłowe rozpoznanie komputera bociek i... zablokowanie go!!! Jeżeli znajdziesz w pliku /etc/hosts.denny co takiego - ALL: 192.168.0.2 to skasuj ten wpis i przeglądnij pliki *allow* oraz *deny* w katalogu /etc/portsentry.
Przeglądnij plik /etc/hosts.allow
który zawiera listę komputerów mających zezwolenie na dostęp do serwera. Jeżeli dałeś w pliku /etc/hosts.deny ALL:ALL (czyli nikt nie ma dostępu do serwera), to tutaj możesz wybiórczo wskazać stacje, którym na taki dostęp jednak pozwalasz. Nieco wiecej informacji o plikach hosts* oraz o blokowaniu wybranych komputerów jest na stronie BHP.
Wyedytuj plik /etc/rc.d/rc.firewall.inet_sharin-2.2 (są tutaj ustawienia ściany ogniowej - firewalla)
i znajdź wiersz podobny do poniższego:
/sbin/ipchains -A forward -s 192.168.0.0/255.255.255.0 -d 0/0 -j MASQ
Oczywiście jeżeli robisz sieć dla małej ilości komputerów np. 5+1 to maskę możesz tutaj zmienić na 255.255.255.248, ale nie musisz.
Jeżeli znajdziesz podobny wpis to zmień go na identyczny z powyższym. Oczywiście zmiast brutalnego kasowania (zmieniania) złego wpisu możesz wyhaszować go # i pod spodem, w nowym wierszu wpisać nowy, aktualny :). Jeżeli interesuje Ciebie bardziej precyzyjne rozpisanie pliku konfigurującego ścianę ogniową na Kernelu 2.2 zapraszam tutaj.
Wprowadź wpis w pliku /etc/dhcpd.conf
range dynamic-bootp 192.168.0.2 192.168.0.6
Wyjaśnienie ostatniej linii - wpis range oznacza: początkowy nr IP (do dynamicznego ustalania) wynosi: 192.168.0.2 natomiast końcowy nr IP to: 192.168.0.6 (czyli przewidujemy maksymalnie 5 szt. komputerów-klientów o dynamicznie nadawanym adresie plus serwer).
Restartuj komputer.

Ustaw opcje klienta. Jeżeli chodzi o Windows98SE to spróbuj z marszu nadając komputerowi nazwę bociek i zaznaczając opcję: AUTOMATYCZNIE POBIERAJ ADRES IP. Jeżeli nie dasz rady to -PANEL STEROWANIA- Sieć- itd. Jeżeli kliencki komputer będzie posiadał dwa systemy: Windows i Linux - to zainstaluj w pierwszej kolejności Windows, następnie najnowszego Linuksa (polecam Mandrake). Pod Mandrake 9.x klient automatycznie sam się ładnie skonfiguruje.

* * *

Powinienem w tym miejscu podać sposób ustawiania maskarady na jądrze 2.4 w Mandrake 8.1, ale... uważam to za zbędny wysiłek. Czemu? W Mandrake 8.1 wersja secure jest tylko dla Kernela 2.2 więc z powodów bezpieczeństwa nie ma sensu używać 2.4. Natomiast warto pokusić się o opis konfigurowania ręcznego w Mandrake 9.0, pracującego na Kernelu 2.4 secure - niestety na razie nie mam na to czasu i wystarczajacej ilości materiałów. Ponadto Mandrake 9.0 do nadzoru iptables (firewall) używa skrypty shorevall . Zainteresowanym mogę jedynie podpowiedzieć miejsce przechowywania plików konfiguracyjnych: /etc/shorewall.

* * *

Tutaj umieściłem opis postępowania w konfigurowaniu udostępniania Internetu w trudniejszej wersji. Powiążesz MAC ze statycznie nadanym adresem IP klienta. Opis dla Mandrake 8.1 oraz 9.0.

Kiedy powinieneś łączyć MAC (czyli nr karty sieciowej) z IP klienta? Jeżeli masz sieć komercyjną i chcesz zabezpieczyć się przed cwaniaczkiem, który ma połączenie z siecią, ale ... nie płaci za łącze internetowe i oszukuje (poprzez logowanie się do sieci pod nazwą komputera sąsiada :) Ważne jest także w przypadku udostępniania serwera dla komputera zewnętrznego pracujacego w Internecie (zabezpieczy to nas trochę przed atakiem podszywania). W takim przypadku będziesz musiał odpowiednio skonfigurować plik /etc/hosts.allow oraz /etc/dhcpd.conf
Powiązanie adresu IP i MAC karty sieciowej jest dobrym zabezpieczeniem i wprowadza porzadek w sieci. W celach szkoleniowych zaplanujemy 2 klientów ze stałym IP (powiązanym z MAC) oraz zarezerwujemy 3 adresy IP do przydzielania dynamicznego.

* * *

Trochę wyjaśnień.

Musisz wiedzieć jaką wersję Kernela posiadasz., gdyż od tego zależy jaką komendą wykonasz maskaradę. Wersję Kernela uzyskasz po wydaniu polecenia uname -a

W pliku /etc/rc.d/rc.firewall.inet_sharin-2.2 szukałeś wiersza podobnego do /sbin/ipchains -A forward -s 192.168.0.0/255.255.255.0 -d 0/0 -j MASQ Chcesz wiedzieć co ono oznacza? - Każdy pakiet pochodzący z komputera o adresie rozpoczynającym się od 192.168.0.0 do 192.168.0.255 zaadresowany gdziekolwiek (-d 0/0) musi zostać zamaskowany (-j MASQ). Czyli inaczej mówiąc: w wewnętrznej sieci nie ma pakietów z adresami oryginalnymi (np. z Internetu), gdyż są one przerobione czyli zamaskowane.

Tutaj (http://www.mandrakesecure.net/en/ftp.php) w katalogu RPMS znajdziesz pliki, którymi ręcznie zaktualizujesz moduły swojego systemu (poleceniem rpm -Fvh *.rpm).

Na stronie ftp://ftp.task.gda.pl/pub/linux/Mandrake/iso/ lub http://www.mandrakelinux.com/en/ftp.php3 znajdują się pliki w formacie ISO zawierające tzw. obrazy płyt CD - instalek najnowszego Mandrake. Oczywiście zainteresowani tym mogą być wyłącznie użytkownicy nagrywarek CD oraz osoby posiadające stały dostęp do Internetu (3 pliki razy ok. 700 MB - ściągnięcie tego zajęło mi kilka dni). O tym jak wypalić płytkę z obrazem iso poczytaj tutaj.