View previous topic :: View next topic |
Author |
Message |
Sputnick n00b
Joined: 10 May 2004 Posts: 64
|
Posted: Wed Mar 15, 2006 10:14 am Post subject: Gentoo päivitys dev->stable. Reitittimen&palomuurin |
|
|
PÄIVITYS:
onko mahdollista, jos on niin miten?
on ollut hieman ongelmia portagen kanssa ja nyt haluaisin vaihtaa takaisin stableen ilman uudelleen asennusta.
ongelmia:
emerge sync ei toimi täysin, erroria pukkaa permission denied ja retryttää kunnes luovuttaa...
ohjelmat näyttävät kuitenkin kääntyvän ihan jees...
alustana Tyan tiger 1384 dual PIII 600mhz katmai prossut
make.conf:
Code: | CFLAGS="-march=pentium3 -O2 -pipe -fomit-frame-pointer"
CHOST="i686-pc-linux-gnu"
CXXFLAGS="-march=pentium3 -O2 -pipe -fomit-frame-pointer"
SYNC="rsync://rsync.europe.gentoo.org/gentoo-portage"
USE="ssl sdk dlloader xv opengl gtk alsa avi dvd mmx mpeg xine -gnome qt kde directfb fbcon svga mysql cups sqlite samba -radeon"
GENTOO_MIRRORS="http://trumpetti.atm.tut.fi/gentoo/ ftp://trumpetti.atm.tut.fi/gentoo/"
SYNC="rsync://rsync.gentoo.org/gentoo-portage"
RSYNC_RETRIES="3"
RSYNC_TIMEOUT=180
ACCEPT_KEYWORDS="~x86"
MAKEOPTS="-j5"
|
REITITIN:
Käytössä on iptables:
Code: |
iptables -t nat -I MASQUERADE -j POSTROUTING -s 192.168.27.1/24 |
reititys toimii kun vielä typotan:
Code: |
echo 1 > /proc/sys/net/ipv4/ip_forward |
palomuuri suosituksia, ipkungfu tjms? ja jotain perusconffeja kaipaisin. Miten aukaista/uudelleenohjata portti tiettyyn osoitteeseen jne.
pitäisi konffia sellainen palomuuri, että windowsin softapalomuurit alkaa olla turhia edes käyttää... |
|
Back to top |
|
|
Zarhan l33t
Joined: 27 Feb 2004 Posts: 996
|
Posted: Wed Mar 15, 2006 12:16 pm Post subject: |
|
|
Downgradetus onnistuu kun toteat
echo sys-libs/glibc >> /etc/portage/package.keywords
Poistat ACCEPT_KEYWORDsin make.conffista
Toteat emerge -uvDaN world
Elikkä periaatteessa kaiken voi downgradettaa paitsi glibc:n. |
|
Back to top |
|
|
Obi-Lan Apprentice
Joined: 21 Jan 2005 Posts: 230 Location: Riihimäki
|
Posted: Wed Mar 15, 2006 9:19 pm Post subject: |
|
|
Iptablesien conffaukseen on taas aika monta tapaa. Yksi tapa on esim. käyttää firestarteria joka suht yksinkertainen graafinen gui iptablesille. Tai jotain muuta ohjelmaa. Itse kuitenkin käytän skriptejä, esim:
Code: |
#/bin/bash
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 2230 -j ACCEPT
iptables -A INPUT -p icmp -i eth1 -j ACCEPT
iptables -A INPUT -p udp -i eth1 --dport 53 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -P INPUT DROP
|
Tässä aika yksinkertainen versio, jossa käytössä on kaksi verkkokorttia, toinen nettiin, toinen laniin (eth0 ulos eth1 laniin). Eth0 on natattu muille verkkokorteille. Kyseessä olevalle koneelle on sallittu portit 80 ja 2230 sekä 53(DNS) lani-interfacesta. Kuitenkaan forwardoitavaa tai ulosmenevää liikennettä ei ole kuitenkaan suodatettu mitenkään joten tämä ei ole todellakaan mikään täydellinen skripti. Tosin tässä ympäristössä harvoin käytän Windows koneita niin en ole jaksanu kovin tarkan säätää mitään, lähinnä vaan sulkea kaikki turhat palvelut koneista.
Port forwardit menee taas sitten jotenkin näin:
Code: |
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.4:80
|
Tämän skriptin pitäisi forwardoida portti 80 sisäverkon koneeseen 192.168.0.4 porttiin 80.
En ole itsekkään mikään guru iptablesin kanssa, jos jaksaa lukea niin tuolta esim. voi hakea innoitusta: http://www.gentoo.org/doc/en/security/security-handbook.xml?part=1&chap=12
Eli teet sääntökokoelman tällaiseen skriptiin ja aina kun haluat lisätä tai poistaa jotain niin lisäät tai poistat sen skriptiin ja ajat skriptin. Sitten vaan
|
|
Back to top |
|
|
Paapaa l33t
Joined: 14 Aug 2005 Posts: 955 Location: Finland
|
Posted: Thu Mar 16, 2006 8:45 am Post subject: |
|
|
Zarhan wrote: | Elikkä periaatteessa kaiken voi downgradettaa paitsi glibc:n. |
Miksei glibc:tä voi "vanhentaa"? Luulen, että sekin onnistuu, kunhan kääntää koko roskan useaan otteeseen (koska Portage ei tajua oikeaa käännösjärjestystä itse):
Code: |
emerge -e system
emerge -e system
emerge -e world
emerge -e world |
Viimeinen world ei ole aina tarpeellinen, mutta varmuus ennen kaikkea. |
|
Back to top |
|
|
Zarhan l33t
Joined: 27 Feb 2004 Posts: 996
|
Posted: Thu Mar 16, 2006 9:03 am Post subject: |
|
|
Paapaa wrote: | Zarhan wrote: | Elikkä periaatteessa kaiken voi downgradettaa paitsi glibc:n. |
Miksei glibc:tä voi "vanhentaa"? Luulen, että sekin onnistuu, kunhan kääntää koko roskan useaan otteeseen (koska Portage ei tajua oikeaa käännösjärjestystä itse): |
Koska kaikki binäärit jotka on käännetty glibc:tä vastaan sisältävät yleensä jotain symboleita mitä ei enää löydy vanhemmistä glibc-versioista. Varsinkin nyt, kun unstable-haaran glibc on 2.4 ja stable 2.3. Elikkä kun glibc on downgradettunut, muut softat lakkaavat toimimasta välittömästi (mukaanlukien esim. gcc ja portage itse).
Jos ehdottomasti haluaa downgradettaa glibc:n, on melkein helpointa ottaa stage3-tarpallo jostain ja sitten lähteä siltä pohjalta alusta.
Jonkun toisen tekemät ohjeet menevät näin:
Quote: |
If you want to downgrade glibc, the failsafe, foolproof process is something like this:
1. Boot from a LiveCD.
2. Download a stage1 tarball.
3. Back up /etc (NB: This is the MOST IMPORTANT step!)
4. Extract the stage1 tarball as described in the install guide.
5. Restore /etc/make.conf from the backup.
6. chroot into the installation as described in the install guide.
7. cd /usr/portage
8. scripts/bootstrap.sh
9. emerge -e system
10. Restore the backup of /etc
11. emerge -e world
|
Käytännössä kyse on täydestä uudelleenasennuksesta kuitenkin jo tuossa pisteessä, joten helpompaa lienee vain jättää glibc downgradettamatta. Varoittava tarina löytyy esim. https://forums.gentoo.org/viewtopic-t-443049.html |
|
Back to top |
|
|
|