BSD/UnixRuterboks+mer. *BSD som OS? Kan ingenting om det.

[x-ray-cat]

OK, Dette har blitt en lang og temmelig uoversiktlig tråd:)

 

Jeg vil poengtere at det jeg skriver under er min personlige mening, og jeg mener ikke å tråkke på noens tær, hvis det måtte virke slik.

 

Siden intet annet er nevnt antar jeg at du får Internett via ethernet, og at du kun har tilgang til 1 offisiell IP (IP1). (Har du tilgang til 2(+) vil det kunne løses på en bedre måte:)

 

P2 maskinen bør settes opp med enten Free- eller OpenBSD (Jeg vil anbefale OpenBSD)

Den bør videre ha 3 NIC (Network Interface Card):

NIC1 brukes mot Internett med IP1

NIC2 mot Compaq (P3) med IP2.

NIC3 mot det lokale nettverket ditt med IP3.

 

Av programvare og nettverkskonfigurasjon ville jeg satt opp følgende:

*NAT på NIC1

*Forskjellige uoffisielle IP'r på NIC2/3 (IP2)/(IP3) i forskjellige subnets.

*OpenVPN (http://www.openvpn.net) server med støtte for TLS, terminert i et virtuelt TUN0 interface (dev-type TAP). Den skal også dele ut uoffisielle IP'r til klientene i samme subnet som det NIC2 har

*DHCP server som deler ut uoffiselle IP'r til klienter på NIC2

*Bridge0 NIC2/NIC3/TUN0

*SSH server som kun lytter på IP2

 

(PF FW regler kommer lenger ned:)

 

 

På P3 maskinen har jeg ingen formening om hvilket OS du bør velge, men en råd tråd bør være at du ønsker å "virtualisere" egne maskiner for de enkelte tjenestene. Det kan gjøres på de fleste *nix OS med litt forskjellige håndgrep. I Solaris har du 'containers', i FreeBSD har du 'jails' og 'chroot' og i OpenBSD har du 'chroot'. Linux har jeg ingen kunnskaper om, men jeg vet det finnes noe tilsvarende der.

På denne måten unngår du at hele maskinen blir kompromitert hvis en tjeneste blir hacket, og det er videre ingen limitasjoner utenom kapasiteten for hvilke tjenester du kan kjøre på samme maskin.

 

Videre bør den ha 2 uoffisielle IP'r på sitt nettverkskort, hvor den ene brukes mot Internett (IPP3-1), og den andre er i samsvar med den uoffisille rangen til det lokale nettverket (IPP3-2). Det blir da viktig at de tjenestene som måtte skal være tilgjengelig både for allmennheten og det lokale nettverket lytter på begge ip'ne

SSH server som kun lytter på IPP3-2

 

 

 

Så kommer godsakene, nemlig hvordan PF bør bli konfigurert:P

Siden PF støtter dynamiske regler slipper vi å manuelt måtte lage en del regler, så jeg skriver kun opp de som er nødvendige. (husk altså keep state)

 

*Blokkér alle innkommende sessions mot IP1 untatt OpenVPN og de andre tjenestene du måtte ønske å NAT'e gjennom til IPP3-1

*Blokkér i utgangspunktet alle utgående sessions for IP1.

*Tillat utgående sessions fra IP3 for de tjenestene du må ønske at P3 skal kunne benytte seg av gjennom IP1

*Tillat utgående sessions fra IP2 for de tjenestene du må ønske at ditt lokale nettverk skal kunne benytte seg av gjennom IP1

*Blokkér all trafikk mellom IPP3-1 og Bridge0

*Blokkér i utgangspunktet all trafikk fra IPP3-2 til Bridge0

*Tillat så de tjenestene du måtte ønske at ditt lokale nettverk skal kunne nå på P3 gjennom Bridge0 fra det lokale nettverket, altså til IPP3-2

*Tillat all trafikk mellom TUN0 og Bridge0

 

 

Hvis du gjør det på denne måten vil du kunne maksimere nytteverdien av den maskinvaren du allerede har, samtidig som du lærer deg en masse om hvordan man praktisk kan sikre og leke rundt med nettverk og BSD

 

Hehe, innlegget kan være vanskelig nok å forstå for enhver, så jeg har slått meg løs i pbrush for å lage en liten skisse, se vedlegg:p

6214377[/snapback]

 

 

Takk for svar, skal teste det ut. Har lyse tele som ISP. Tror jeg har lik ip som flere på samme sentral. Er ikke sikker. Bruker dynDNS.org til portforwarding ihvertfall.

 

Men bør jeg har compaqen på eget nettverkskort fremfor på switchen sammen med andre nettverksmaskiner for å forebygge at innhold sprer seg fra bruksmaskinene til serveren?

 

Da må jeg skaffe noen nettverkskort ekstra. Har du forvekslet NIC 2 med NIC 3 når gjelder forklaringen i ditt innlegg kontra beskrivelsen på tegningen?

 

Var slik jeg tolket det.

 

Mvh.

[Zerge]

Hola!

 

Hehe, ja, det gikk visst litt fort i svingene der, og jeg hadde byttet om NIC2/NIC3 et sted i beskrivelsen. (Det skal nå være rettet opp:)

 

Jeg mener at man alltid skal skille servere og arbeidsstasjoner så godt det lar seg gjøre, og den enkleste løsningen her ville vel vært å bruke *BSD boksen. På den måten minsker man risikoen for at et angrep sprer seg en maskin til en annen, eller omvendt:)

[x-ray-cat]

Da er jeg egentlig klar til å begynne. Jeg velger å gå for OpenBSD fordi det virker som det er det de fleste av dere anbefaler, at det i større grad fokuserer på sikkerhet enn f.eks. FreeBSD samt at jeg leste at det prøver å passe til brannmurer ol.

 

Men hvilken innstallasjonsmetode anbefales? Jeg har både cd-rom, floppy og nettverkskort. Maskinen er som sagt en PII 233 Mhz.

 

Nå har jeg ikke testet floppystasjonen. Maskinen har 17 GB. Hvor mye tror dere sånn ca. at en OpenBSD innstallasjon med Gateway-funksjonalitet vil bruke av disken?

[olear]

Netinstall (CD): ftp://ftp.slackware.no/bsd/unix/OpenBSD/3.9/i386/cd39.iso

Netinstall (floppy): ftp://ftp.slackware.no/bsd/unix/OpenBSD/3.9/i386/floppy39.fs

README: ftp://ftp.slackware.no/bsd/unix/OpenBSD/3...86/INSTALL.i386

[x-ray-cat]

Jeg gikk for Netinstall-cd'en. Har brent den ut og testet den. Noen som kan forklare hva jeg skal gjøre for å sette i gang innstallasjonen?

 

Nå har jeg formatert disken. Slik at det ikke er noen partisjoner, verken fra Windows 98 og linux installasjonene.

 

Jeg er veldig ny innen linux. Så *BSD virker litt endel anneredes en linux når det gjelder kommandoene og slikt.

 

Noen som kan guide meg litt?

 

Mvh.

[olear]

http://openbsd.org/faq/faq4.html

[x-ray-cat]

Hei. Jeg bruker en 17 gb wd disk. Har nå gå i gang med installasjonen, og har fått spørsmålet om jeg vil bruke all plassen til openBSD.

 

Siden det er en gateway som kanskje skal ha Proxy i tillegg, antar jeg at det ikke kreves så mange GB. Da hadde det kanskje vært greit å bruke overflødig plass til en partisjon som jeg har backup av ting jeg aldri bruker. Gjerne i en filsystem som ikke kan leses fra bsd. (Med tanke på hacking)

 

Så hva synes dere jeg bør gjøre og hvor mye plass bør jeg sette av?

 

Mvh.

[x-ray-cat]

Olear og andre som har kunnskap angående openBSD, vet ikke hvordan jeg går fram for å partisjonere under innstallasjonen, slik at jeg kan spare litt hardiskplass, siden jeg tviler på at 1 GB er nødvendig for en gateway.

 

Er lite vant med å kjøre slikt i slikt tekstbasert slik som det er i OpenBSD, må kunne de rette kommandoene og rekkefølgen. I Ubuntu sin tekstbaserte innstallasjon var det mer bare rett fram og trykke y, n, eller skrive vanlige ting med tastaturet. Her virker det som jeg må skrive forskjellig. Har sett etter guider, men de fleste bare håper over det valget med å sette opp partisjoner.

 

Setter pris på hjelp.

[Zerge]

Sender deg et utdrag av et utkast for en norsk installsjons/konfigurasjonsguide for openbsd/openvpn/pf.

[x-ray-cat]

Siterer meg selv fra BSD-delen på linux1 forumet.

 

Holder på å prøve å partisjonere. Siden det ikke er noen partisjoner på disken fra før, tenker jeg å følge "If you are creating the first partition on the disk, just using raw sectors may be easier."

 

Men slik jeg tolker det, skal jeg skrive inn antall sektorer, som tilsvarer ønsker diskområde som er 1 GB.

 

Hva skal jeg gjøre?

 

Jeg trykket enter fremfor y da jeg ble spurt om CHS. Derfor antar jeg at jeg er i raw-alternativet. På offset står det 0.

 

Hva skal jeg skrive i size? 1024 (MB), 1 (GB) eller et eller annet antall for sektorene?

 

Og skal id'en være 1?

[stigfjel]

Installasjonsguiden du finner på www.openbsd.org er ganske informativ, så hvis du installerer og holder et øye med guiden samtidig, så vil du komme i mål på en fin måte. Installasjonen av OpenBSD er ikke av den enkleste sorten, så bruk av guiden når du installerer, er viktig.

[x-ray-cat]

Ja. Jeg bruker manualen. Men jeg finner den delen som går på partisjonering av kun en del av disken litt komplisert. Jeg antar jeg har gjort rett til jeg kom til size. Men vet ikke hva jeg skal skrive her. Antall GB jeg ønsker å bruke, antall Mb, eller antall sektorerer som tilsvarer antall bytes jeg ønsker å bruke? Det står at CHS er mest praktisk hvis en allerede har en partisjon eller flere. Mens raw er enklere om en ikke har partisjoner fra før.

 

Er liksom dette som er et lite hinder, men som det sikkert ikke er vanskelig å komme seg over hvis en blir fortalt av noen som vet hva man skal gjøre her hva man skal gjøre. Er sikkert ikke så vanskelig. ID skal vel være "1" og at offset skal være på 0 siden det er det på bildet i eksempelet i manualen.

 

Så der det står size, hva skal jeg skrive inn og trykke her?

 

Takke for svar. Si ifra hvis spørsmålet er uklart.

[Zerge]

Fikk du aldri det utdraget jeg sendte deg på som pm?

[x-ray-cat]

Jo det gjorde jeg. Trodde bare at den ikke dekket partisjonering uten tidligere partisjoner. Hadde også glemt den ut.

 

Men skal offset være 63 selv om jeg ikke har partisjoner fra før? I og med at disken er formatert, så regner jeg med at MBR ikke eksisterer... Så skal jeg velge 63 eller 0?

 

Takker for hjelpen.

[Zerge]

63. Du skal alltid la de første sektorene forbli urørt for å unngå problemer med mbr. 63 Det er uansett ikke snakk om mer enn omtrent 30kB:)

[x-ray-cat]

Så litt rundt på nettet på eksempler på partisjonering.

Noen hadde 100 MB på / mens andre 400 Mb

 

Mitt oppsett ble 3 GB fordelt på

384MB swap partition (har 192 mb ram)

256MB file system mounted as /

752MB file system mounted as /tmp

752MB file system mounted as /var

800MB file system mounted as /usr

128MB file system mounted as /usr/home

 

I et eksempel ble det satt av plass til usr/local

 

Siden jeg ikke laget en til det, da det ikke sto det i mange esempler, deriblant ditt, vil local bli en en katalog som legger seg på usr da?

 

Leste at med bruk av f.eks. squid til proxy kan det være smart med en stor /var slik at loggfiler ikke bruker opp alt plassen, hvis logfilene ble lagt på /. Tror du /var er stor nok hvis jeg jeg bestemmer meg for å ha squid proxy eller tilsvarende på boksen?

[Zerge]

Oppsettet ditt så helt greit ut.

Personlig ville jeg gått for en litt mindre /tmp, men slikt blir litt smak og behag:)

Du konfigurerer jo opp squid til å cache den mengden data du selv måtte ønske,

og 700MB burde da absolutt holde til å speede opp surfing godt:)

[x-ray-cat]

Har innstallert nå. Men når jeg restarter fra harddisk, får jeg melding om ugyldig partisjonstabell. Har prøvd å innstallere windows xp som gikk smertefritt, samt starte opp med ubuntu og xubuntu. Hvor jeg får melding om error og logisk etellerannet på hdc.

 

Samt etter å ha trykket på enter noen ganger:

374.691061 Buffer I/O error on device hdc, logical block 332294

432.140376 Buffer I/O error on device hdc, logical block 332294

482.848061 Buffer I/O error on device hdc, logical block 332294

542.812276 Buffer I/O error on device hdc, logical block 332294

 

Men etter å ha trykket enter mange ganger og lenge, komme jeg inn i (x)ubuntu og alt funker bra fra livecd'en.

Men i openbsd kommer det bare en lyd som tyder på at ingne tast vil føre til noe.

 

Er disken skadet eller? Kan du ut fra meldingene si om jeg kan partisjonere på et område hvor disken er feilfri, slik at jeg kan komme inn i OpenBSD etter innstallasjonen også? Noen råd?

 

Kjipt og endelig ha installert alt også kommer jeg ikke inn

 

Disken er 3600 RPM. Det har sikkert ikke noe å si men..

 

Takker hjelpen.

[Zerge]

Her kommer nok jeg til kort, men jeg vila anta at du har noen bad blocks :/

[x-ray-cat]

Så du tror ikke jeg kan sette opp partisjonene langt borte fra 332294 og oppnå suksess?

 

Hvor på disken ligger 332294 hvis en tenker i MB?