Дано: iso-образ Windows 7, USB-флешка и работающий Debian GNU/Linux (или Ubuntu).
Задача: Создать загрузочную флешку для установки Windows.
Решение: Форматируем флешку в NTFS и затем с помощью dd заливаем на неё iso образ.
Читать далее «Создание загрузочной флешки Windows 7 в Debian»
То при каждом запуске системы у него сбрасывается в «0» значение ключа реестра “AllowMultipleTSSessions” в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, поэтому надо сделать командный файл, который меняет это значение к «1» в реестре, и поместить его в автозагрузку, например через Групповые политики gpedit.msc. Читать далее «Терминальный сервер на XP SP3 в домене»
Рис.1 Схематическое изображение аршрутизатора Cisco ISR 871.
У маршрутизатора ISR 871 есть встроенный коммутатор на 4 порта (fa0-fa3) и 1 интерфейс 3го уровня (fa4). Настройки 3го уровня, например, задание IP-адреса, для портов fa0-fa3 применяются к интерфейсу vlan 1. Также возможно создать несколько vlan и назначить их на порты fa0-fa3. Таким образом, на каждом порту может быть свой ip адрес.
Итак распаковываем роутер, заливаем последнюю прошивку (для SSH необходим минимум Advanced Security), делаем
#erase startup-config
дабы избавится от преднастроеного мусора и перегружаемся.
Настройка авторизации и доступа по SSH
! включаем шифрование паролей service password-encryption ! используем новую модель ААА и локальную базу пользователей aaa new-model aaa authentication login default local ! заводим пользователя с максимальными правами username admin privilege 15 secret PASSWORD ! даем имя роутеру hostname <...> ip domain-name router.domain ! генерируем ключик для SSH crypto key generate rsa modulus 1024 ! тюнингуем SSH ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh version 2 ! и разрешаем его на удаленной консоли line vty 0 4 transport input telnet ssh privilege level 15 Настройка роутинга ! включаем ускоренную коммутацию пакетов ip cef
! временная зона GMT+2 clock timezone Ukraine 2 clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00 ! обновление системных часов по NTP ntp update-calendar ! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают… ntp server NTP.SERVER.1.IP ntp server NTP.SERVER.2.IP
! включаем архивирование всех изменений конфига, скрывая пароли в логах archive log config logging enable hidekeys ! историю изменения конфига можно посмотреть командой show archive log config all
! включить разрешение имен ip domain-lookup ! включаем внутренний DNS сервер ip dns server ! прописываем DNS провайдера ip name-server XXX.XXX.XXX.XXX ! на всякий случай добавляем несколько публичных DNS серверов ip name-server 4.2.2.2 ip name-server 208.67.222.222 ip name-server 208.67.220.220
! обычно порты внутреннего свитча на роутере объединены в Vlan1 interface Vlan1 description === LAN === ip address 192.168.???.1 ! включаем на интерфейсе подсчет пакетов передаваемых клиентам — удобно просматривать кто съедает трафик ip accounting output-packets ! посмотреть статистику можно командой show ip accounting ! очистить clear ip accounting
! исключаем некоторые адреса из пула ip dhcp excluded-address 192.168.???.1 192.168.???.99 ! и настраиваем пул адресов ip dhcp pool LAN network 192.168.???.0 255.255.255.0 default-router 192.168.???.1 dns-server 192.168.???.1
! настраиваем фильтр входящего трафика (по умолчанию все запрещено) ip access-list extended FIREWALL permit tcp any any eq 22 ! включаем инспектирование трафика между локальной сетью и Интернетом ip inspect name INSPECT_OUT dns ip inspect name INSPECT_OUT icmp ip inspect name INSPECT_OUT ntp ip inspect name INSPECT_OUT tcp router-traffic ip inspect name INSPECT_OUT udp router-traffic ip inspect name INSPECT_OUT icmp router-traffic ! настраиваем порт в Интернет и вешаем на него некоторую защиту interface FastEthernet0/0 description === Internet === ip address ???.???.???.??? 255.255.255.??? ip virtual-reassembly ip verify unicast reverse-path no ip redirects no ip directed-broadcast no ip proxy-arp no cdp enable ip inspect INSPECT_OUT out ip access-group FIREWALL in ! ну и напоследок шлюз по умолчанию ip route 0.0.0.0 0.0.0.0 ???.???.???.???
! на Интернет интерфейсе interface FastEthernet0/0 ip nat outside ! на локальном интерфейсе interface Vlan1 ip nat inside ! создаем список IP имеющих доступ к NAT ip access-list extended NAT permit ip host 192.168.???.??? any ! включаем NAT на внешнем интерфейсе ip nat inside source list NAT interface FastEthernet0/0 overload ! добавляем инспекцию популярных протоколов ip inspect name INSPECT_OUT http ip inspect name INSPECT_OUT https ip inspect name INSPECT_OUT ftp
Отключение ненужных сервисов
no service tcp-small-servers no service udp-small-servers no service finger no service config no service pad no ip finger no ip source-route no ip http server no ip http secure-server no ip bootp server
show running-config !Команда show running-config показывает текущую конфигурацию устройства. Running-configuration – это конфигурация, загруженная в данный момент в оперативную память роутера. Когда вы вносите изменения в оборудование, как раз эта конфигурация изменяется. Важно помнить, что конфигурация не сохраняется пока не выполнить copy running-configuration startup-configuration. Команду show running-config можно сокращать до sh run. show interface !Команда show interface отображает состояние интерфейсов маршрутизатора. Вот некоторые выводимые параметры: Состояние интерфейса (вкл./выкл.); cостояние протокола на интерфейсе использование; ошибки; MTU. Эта команда играет важную роль для диагностики роутера или свитча. Её также можно использовать с указанием конкретного интерфейса, например, sh int fa0/0. show ip route !Команда show ip route выводит таблицу маршрутизации роутера. Она состоит из списка всех сетей, которые доступны роутеру, их метрике (приоритет маршрутов) и шлюза. Команду можно сократить до sh ip ro. Также после неё могут быть параметры, например sh ip ro ospf (показывает всю маршрутизацию OSPF). !Для очистки всей таблицы маршрутизации необходимо выполнить clear ip route *. Для удаления конкретного маршрута необходимо указать адрес сети после команды, например clear ip route 1.1.1.1.
Внимание!!!
При включении маршрутизации каманда ip default-gateway будет игнорироваться и необходимо заранее прописать маршрут ip route
После перезагрузки (в случае если настраиваем коммутатор удаленно из другой сети) прописываем статический маршрут на маршрутизатор.
switch#sh run | i gateway
ip default-gateway 192.168.73.1
switch#conf t
switch(config)#ip route 0.0.0.0 0.0.0.0 1 192.168.73.1
И после этого включаем маршрутизацию.
switch(config)#ip routing
switch(config)#exit
Далее создаем нужные Vlan и прописываем IP адреса на vlan и необходимые статические маршруты.
switch(config)#vlan 79
switsh(config-vlan)#name Sales
switsh(config-vlan)#exit
switch(config)#int vl 79
switch(config-if)#ip addr 192.168.79.0 255.255.255.0
switch(config-if)#descr Sales
switch(config-if)exit
switch(config)#vlan 80
switsh(config-vlan)#name Market
switsh(config-vlan)#exit
switch(config)#int vl 80
switch(config-if)#ip addr 192.168.80.0 255.255.255.0
switch(config-if)#descr Market
switch(config-if)exit
switch(config)#ip route 10.0.0.0 255.0.0.0 192.168.1.44
Клиенты из локальной сети должны получать адреса по DHCP и иметь возможность выходить в Интернет.
На маршрутизаторе необходимо настроить:
! version 12.4 ! hostname Router ! ! ip subnet-zero ip cef no ip dhcp use vrf connected ip dhcp excluded-address 192.168.1.1 192.168.1.210 ! ip dhcp pool LOCAL network 192.168.1.0 255.255.255.0 dns-server 62.80.160.130 193.193.193.100 default-router 192.168.1.100 ! ! ip inspect name Internet http timeout 3600 ip inspect name Internet icmp ip inspect name Internet ftp timeout 3600 ip inspect name Internet tcp timeout 3600 ip inspect name Internet h323 timeout 3600 ip inspect name Internet smtp timeout 3600 ip inspect name Internet udp timeout 15 ! ! crypto pki trustpoint TP-self-signed-2657071675 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-2657071675 revocation-check none rsakeypair TP-self-signed-2657071675 ! ! crypto pki certificate chain TP-self-signed-2657071675 certificate self-signed 01 nvram:IOS-Self-Sig#3503.cer username Admin privilege 15 password 0 p@$$w0rd ! ! ! ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ip address dhcp ip nat outside ip inspect Internet out ip virtual-reassembly duplex auto speed auto ! interface Vlan1 ip address 192.168.1.100 255.255.255.0 ip nat inside ip virtual-reassembly ! ip classless ! ip http server ip http authentication local ip http secure-server ip nat inside source list 1 interface FastEthernet4 overload ! access-list 1 permit 192.168.1.0 0.0.0.255
http://stornet.ru/articles/10_samyh_populyarnyh_komand_cisco_ios/
https://habrahabr.ru/post/87680/
Как известно, во FreeBSD можно использовать пакеты как бинарные, так и собранные из исходных кодов при помощи портов. Устройство портов за последнее время ничем не изменилось. А вот на смену утилитам для управления бинарными пакетами pkg_add, pkg_info и прочим pkg_* в последних версиях FreeBSD пришел новый пакетный менеджер pkg (также известный как pkgng). Данная небольшая заметка рассказывает о том, как им пользоваться.
Примечание: Узнать о том, как во FreeBSD раньше происходило управление бинарными пакетами, и о том, как пользоваться портами, вы можете из заметки Установка и обновление софта во FreeBSD. Не исключаю также, что вас могут заинтересовать статьи Использование FreeBSD на десктопе, версия 2.0 и Памятка по обновлению ядра и мира FreeBSD.
Итак, при первом запуске pkg без параметров вы скорее всего увидите такое сообщение:
Отвечаем утвердительно, и ждем, пока pkg установится.
Затем читаем справку:
Посмотреть справку по конкретной команде можно так:
Пример, пакеты от которых зависит Webmin
# pkg info -d webmin webmin-1.870: p5-Net-SSLeay-1.82 p5-Authen-PAM-0.16_2 python27-2.7.14_1 perl5-5.24.3 p5-IO-Tty-1.12_2 #
Обновляем информацию о доступных пакетах:
pkg update
Смотрим список установленных пакетов:
pkg info
Обновляем установленные пакеты:
pkg upgrade
Ищем пакет по названию:
Установка пакета/пактетов и всех его/их зависимостей:
Удаляем пакет:
pkg delete xorg
Удаляем пакеты, которые больше не нужны:
pkg autoremove
Смотрим, к какому пакету относится файл:
Посмотреть полный список файлов в пакете можно так:
pkg info -l mesa-demos
Загружаем базу известных уязвимостей:
pkg audit -F
Проверяем установленные пакеты на предмет наличия известных уязвимостей, с ссылками на подробные отчеты:
pkg audit
Проверяем все установленные пакеты на предмет валидности контрольных сумм входящих в пакеты файлов:
pkg check -s -a
Проверяем все установленные пакеты на предмет отсутствия требуемых зависимостей:
pkg check -d -a
Удаляем из кэша старые пакеты:
pkg clean
Смотрим статистику:
pkg stats
Запрещаем/разрешаем обновление конкретного пакета:
pkg lock syncthing pkg unlock syncthing
Посмотреть список «залоченых» пакетов:
pkg lock -l
Откатиться к более старой версии пакета:
sudo pkg remove chromium sudo pkg install /var/cache/pkg/chromium-51.0.2704.106_2.txz
В целом я хочу сказать, что управление пакетами во FreeBSD стало намного лучше, чем оно было раньше. Прям действительно есть нормальный пакетный менеджер, не только не уступающий линуксовым Yum и Apt, но в чем-то даже и превосходящих их. Например, интерфейс у pkg прост, понятен и единообразен, чего уж точно нельзя сказать об Apt. Пакеты весьма свежие. Например, когда я разбирался с pkg, с его помощью можно было установить последний на тот момент Go версии 1.5, а в Ubuntu из коробки был доступен только древнейший Go 1.2. Аналога pkg audit в мире дистрибутивов Linux мне вот так с лету и вовсе неизвестно.
Все подробности, как обычно, в man pkg. А как вам новый пакетный менеджер FreeBSD?
После установки OpenSSL, перед скачиванием пакетов выдается сообщение(предупреждение):
/!\ WARNING /!\ You have security/openssl installed but do not have DEFAULT_VERSIONS+=ssl=openssl set in your make.conf
Для исправления добавляем нужную запись в make.conf командой:
echo 'DEFAULT_VERSIONS+=ssl=openssl' >> /etc/make.conf
На Hyper-v моя Freebsd резво убегает вперед, на несколько часов в день, поэтому решено настроить синхронизацию времени с внешними серверами, выбрал Саратовские).
В данной статье научимся с вами настраивать ntp клиент и сервер на примере freebsd (FreeBSD vpn 11.1-RELEASE-p4 FreeBSD 11.1-RELEASE-p4 #0: Tue Nov 14 06:12:40 UTC 2017 root@amd64-builder.daemonology.net:/usr/obj/usr/src/sys/GENERIC amd64)
1) Выставляем нужный часовой пояс (например, Москва)
portsnap fetch update
cd /usr/ports/misc/zoneinfo && make install clean
cp /usr/share/zoneinfo/Europe/Moscow /etc/localtime
2) Для включения ntpdate во время загрузки добавим в файл /etc/rc.conf строки
ntpdate_enable=»YES»
ntpdate_flags=»-b 0.europe.pool.ntp.org 1.europe.pool.ntp.org 2.europe.pool.ntp.org»
3) В /etc/ntp.conf приводим к виду
restrict 127.0.0.1
restrict 10.0.0.0 mask 255.0.0.0 nomodify notrap
restrict 192.168.0.0 mask 255.255.0.0 nomodify notrap
restrict 172.16.0.0 mask 255.255.0.0 nomodify notrap
restrict default ignore
erver ntp5.stratum2.ru burst
server ntp1.stratum2.ru burst
server 2.europe.pool.ntp.org iburst
server 3.europe.pool.ntp.org iburst
driftfile /var/db/ntp.drift
logfile /var/log/ntp.log
Если после установки системы, как у меня, у вас каталог /usr/src/ пуст, тогда придется воспользоваться исходными файлами с официального сайта.
1. Устанавливаем пакет subversion
# cd /usr/ports/devel/subversion # make install clean
теперь доступна команда svn, используется для извлечения чистой копии исходных кодов(с официльного сайта(репозитория) в локальный каталог(вашей машины). Для просмотра репозиториев через браузер используйте http://svnweb.FreeBSD.org/.
Предупреждение:
Если локальный каталог уже существует, но не был создан с помощью svn, переименуйте его или удалите перед загрузкой. Загрузка в существующий не-svn каталог может вызвать конфликты между существующими файлами и получаемыми из репозитория.
2. Заливаем к себе файлы с репозитория
# rm -rf /usr/src # svn checkout https://svn0.us-west.FreeBSD.org/base/releng/11.1/ /usr/src
, где первой строкой чистим папку, если в ней что-то еще есть, согласно предупреждению
svn0.us-west.FreeBSD.org — репозиторий
base — раздел с основными системными файлами FreeBSD
releng — ветка с исправлениями(bug-fix и security patches для соответствующего RELEAZE)
11.1 — (номер моего релиза)копирую содержимое этого каталога в
/usr/src/ — приемный каталог
Дополнительная информация, которая привела к накоплению вышеизложенной выжимки: Читать далее «Пересборка ядра без GENERIC»
При подключении клиентов к серверу ОпенВПН стала выскакивать ошибка.
После прочтения форумов по данной теме, оказалось самым распространенным является ошибка при просроченном файлом отозванных сертификатов clr.pem.
Просмотрел это следующей командой:
openssl crl -inform PEM -in crl.pem -text -noout
Результат:
Смотрим установленную версию openssl с помощью команды openssl version:
openssl version
OpenSSL 1.0.2k-freebsd 26 Jan 2017
Ошибка оказалась в конфиге от старого OpenSSL (1.0.1). В старом конфиге отличаются переменные путей. Заменил на конфиг по-умолчанию от текущей версии и изменил путь к папке с ключами ОпенВПНа. Запустил команду обновления
openssl ca -gencrl -keyfile keys/myserver/ca.key -cert keys/myserver/ca.crt -out keys/myserver/crl.pem -config openvpn-ssl.cnf
здесь myserver — заменить на своё
gencrl — создание списка отозванных сертификатов;
-config openvpn-ssl.cnf — использовать конфигурацию из файла openvpn-ssl.cnf
KDiff3 сравнивает два или три входящих файла и показывает различия строка за строкой, символ за символом. Имеется автоматическое слияние и встроенный редактор для удобного решения конфликтов при слиянии. KDiff3 позволяет выполнять рекурсивное сравнение и слияние файлов в каталогах.
Installing kdiff3 package on Debian
sudo aptitude install kdiff3
Скачать kdiff3-0.9.98.tar