Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Budujemy nowy dom (dla plików), czyli własny serwer NAS z RAID 1

Do stworzenia tego “how to” natchnął mnie wpis Cyryllo, który opisał proces tworzenia domowego NAS’a. Wpis poruszył zagadnienia typowo sprzętowe a ja postaram się opisać taki proces od strony programowej - mam nadzieję w sposób kompletny. Można co prawda skorzystać z gotowca i zainstalować polecany przez niego OMV ale jak to mawiają: "Chcesz mieć coś dobrze zrobione, zrób to sam" :-)

W moim wpisie całkowicie pomijam proces instalacji systemu, skupiam się wyłącznie na konfiguracji odpowiednich programów.Podstawą NAS’a może być właściwie dowolny system Linux lub któryś system z rodziny BSD ale ponieważ od jakiegoś czasu preferuję Debiana, na nim będę bazował podczas tworzenia tego tekstu.

Serwerem plików będzie demon Samba. Same pliki przechowywane będą na dwóch dyskach połączonych w programową macierz RAID 1. Pomimo, że większość płyt głównych posiada sprzętową obsługę macierzy, zdecydowałem się na wersję programową ze względu na to, że w razie awarii płyty głównej, dyski z plikami można zainstalować w dowolnym innym komputerze z Linuksem.

Alternatywny firmware dla TP-Link WDR4300

Jakiś czas temu opisywałem jak zbudować własny router wifi na bazie Debiana. Do niedawna taki router spisywał się u mnie wyśmienicie do czasu aż sąsiadka uruchomiła u siebie router o dużym zasięgu, a do tego zajmujący kilka kanałów naraz. Sygnał z jej routera dosyć skutecznie zagłuszał sygnał z mojego. Ponieważ i tak już od jakiegoś czasu panował spory ruch w eterze, pomyślałem, że konieczna będzie przesiadka na pasmo 5 GHz. Szybki rekonesans: porównanie możliwości i ceny i padło na router TP-Link WDR4300. Szybki procesor, dużo pamięci RAM (jak na domowy router), dwa zakresy częstotliwości, niska cena. Bingo! No prawie... Trochę lektury w Sieci i okazało się, że niektóre urządzenia TP-Linka mają backdoor'a. W takim razie alternatywny firmware. Kolejne rozpoznanie i waham się pomiędzy OpenWRT a DD-WRT. Znów lektura w Internecie i do głosu dochodzi mój wewnętrzny Adam Słodowy

Temu panu już dziękujemy...

Od dawna wiadomo, że jeśli chcesz dobrze zabezpieczyć swoją sieć, to najlepszym sposobem jest wyciągnięcie kabla z gniazdka karty sieciowej. Zabezpieczenie niemal idealne... ;-) No dobra, teraz na poważnie: co można zrobić żeby odizolować się od części szubrawców grasujących w sieci? Rozwiązaniem podobnym do wyciągnięcia kabla sieciowego jest izolowanie połączeń Z i DO adresów ip wykorzystywanych przez spamerów, strony rozpowszechniające malware, C&C botnetów i wielu innych nieproszonych gości.Tak się miło składa, że firma Emerging Threaths odostępnia zbiór takich adresów ip.Od teraz mamy z górki. Wystarczy na swoim firewallu do reguł blokujących dopisać adresy dostępne tutaj.Jeśli używasz OpenBSD zadanie będzie zupełnie proste.W pliku /etc/pf.conf tworzymy tablicę wykorzystującą pule adresów:table <scums> persist "/etc/emerging-Block-IPs.txt"A następnie regułę blokującą dostęp z tych adresów do naszej sieci:block in quick from <scums>

Prosta i szybka aktualizacja programów w OpenBSD

OpenBSD to świetny system na serwery i firewall’e. Od ideału dzieli go naprawdę niewiele. Tym małym czymś jest aktualizowanie systemu i programów. W przypadku systemu bazowego polega to na kompilowaniu odpowiednich fragmentów kodu źródłowego. W przypadku programów, na kompilowaniu całego ich kodu. Nie jest to trudne (a co w OpenBSD jest trudne?) ale bardzo czasochłonne. Dodatkowym problemem jest brak mechanizmu sprawdzania dostępności aktualizacji, czegoś na kształt Debianowego “apt-get update && apt-get upgrade”. W takim razie skąd w ogóle wiadomo, że jest dostępna nowa wersja programu? Trzeba zapisać się na listę mailingową i co jakiś czas ją sprawdzać. Co prawda w OpenBSD występuje mechanizm zarządzania oprogramowaniem w paczkach binarnych, ale niestety poprawki do programów trafiają tylko do kodu źródłowego drzewa portów. W związku z tym, w przypadku wykrycia luki bezpieczeństwa w jakimś programie, przed instalacją jego nowszej wersji, należy najpierw go skompilować.

Tak się ostatnio złożyło, że znalazłem w sieci projekt, który powyższą niedogodność całkowicie eliminuje. Firma M:Tier

Sprzęt i oprogramowanie na serwer proxy, czyli to, co powinno być najpierw a jest na końcu

W poprzednich wpisach opisałem jak uruchomić firewall z serwerem cache’ującym proxy Squid i filtrowaniem treści stron WWW Dansguardian. Wszystkie wpisy dotyczą sytuacji gdy serwer obsługuje ruch u klienta końcowego czyli kilka, maksymalnie kilkanaście komputerów.Tym razem wpis będzie o doborze sprzętu i oprogramowania pod taki serwer. Co prawda to powinno znaleźć się na samym początku, ale jak to w życiu bywa, nie wszystko dzieje się takjak powinno ;-)

W różnych internetowych poradnikach można przeczytać, że do Linuksa/BSD można wykorzystać stary, zalegający w piwnicy sprzęt. W przypadku wykorzystania go tylko jako firewall - OK.Tu prędkość procesora i dysku nie ma większego znaczenia. Przekazywanie pakietów wymaga naprawdę niewielkich zasobów sprzętowych. Jeśli chodzi o serwer, sprawa wygląda zupełnieinaczej. Przy dzisiaj dostępnych prędkościach internetu, stary sprzęt już nie podoła.

Bezprzewodowy router na Debianie - wersja kompletna cz. III

W poprzednich wpisach cz. 1 i cz. 2 opisałem jak własnymi siłami uruchomić bezprzewodowy router oparty na Debianie. Wpisy były dosyć szczegółowe - uruchomiony w ten sposób router działa bardzo dobrze ale zawsze można jeszcze coś poprawić ;-)

Monitorowanie połączeń

Standardowe jądro Debiana skompilowane jest bez obsługi NAT (ip_masquerade). Działający w naszym przypadku NAT jest zasługą iptables, który obsługuje maskaradę (ipt_masquerade).

No dobra, po co to piszę skoro wszystko działa jak należy? Okazuje się, że jednak nie wszystko działa. Skoro mamy router to niezbędną sprawą jest możliwość sprawdzenia nawiązanych połączeń przez komputery z naszej sieci LAN. No to sprawdźmy:# netstat -Mi otrzymujemy brzydki komunikat:netstat: no support for `ip_masquerade' on this systemKrótkie rozeznanie w temacie i okazuje się, że aby włączyć ten "ficzer" konieczne jest łatanie i kompilacja kernela.

Filtrowanie treści WWW, czyli co wolno Wojewodzie...

Poniższy tekst można potraktować jako osobny lub jako rozszerzenie poprzednich wpisów.

Co Pan taki ciekawski?

Powodów do filtrowania treści WWW (i ruchu internetowego w ogóle) jest wiele i każdy ma inne ale głównie są to pracownicy przesiadujący na Facebooku, oglądający treści erotyczne, P2P itp.

Filtrowanie treści przesyłanych protokołem HTTP jest bardzo łatwe. Wystarczy serwer proxy Squid i Dansguardian. Jak zainstalować i wstępnie skonfigurować ten tandem w systemie OpenBSD opisałem tutaj (konfiguracja Squid i Dansguardian dla BSD i Linuksa jest identyczna).Zdaję sobie sprawę z tego, że OpenBSD to niestety egzotyka w rodzinie systemów uniksopodobnych a prym wiedzie Linux, dlatego poniższy wpis opisuje konfigurację dwóch systemów: OpenBSD i Linux Debian.

Instalacja w Debianie:apitude updateaptitude install dansguardian squid3Kilka chwil i gotowe.

Bezprzewodowy router na Debianie - wersja kompletna cz. II

W części pierwszej napisałem jak uruchomić bezprzewodowy punkt dostępowy oparty na Debianie. Część druga jest o tym jak go trochę zabezpieczyć.

Paranoid

Ludzie korzystający z systemu OpenBSD to najczęściej osoby cierpiące na paranoję związaną z bezpieczeństwem komputerowym. Jeśli ktoś przeczytał część pierwszą (i moje wcześniejsze wpisy) to już wie, że bardzo lubię OpenBSD więc nie mogę pominąć tego tematu.

Bezprzewodowy router na Debianie — wersja kompletna cz. I

Ale po co?

Ostatnio wpadł mi w ręce komputer w formacie Mini-ITX. Małe wymiary i minimalne zużycie prądu (18 W podczas obciążenia) skłoniły mnie do wykorzystania go jako domowy router bezprzewodowy. No ale po co się w to bawić skoro niezły router WI-FI można kupić za niewielkie pieniądze? Bo tak ;-)W sieci można znaleźć masę poradników jak wykonać tytułowe zadanie ale moim zdaniem żaden nie jest kompletny i dlatego postanowiłem opisać cały proces od początku do końca.

Zmiana serwera mail w OpenBSD 5.3

Osoby, które czytały moje wpisy, z pewnością zauważyły, że lubię system OpenBSD. Używam go w pracy jako firewall. Ci co znają choć trochę OpenBSD, wiedzą, że domyślnym serwerem poczty jest Sendmail. A ci co znają Sendmail'a wiedzą, że jego konfiguracja jest co najmniej niebanalna ;-)Uważny czytelnik z pewnością zapyta: serwer poczty na firewall'u? A no tak, na firewall'u. Tyle, że nasłuchujący wyłącznie na interfejsie loopback, czyli obsługujący pocztę wewnętrzną (np. wiadomości od działających programów do administratora) i wychodzącą, bez możliwości przyjmowania maili z zewnątrz.W OpenBSD istnieje usługa sprawdzająca raz w ciągu doby stan systemu. Wygenerowany przez tą usługę (czy może raczej skrypt) raport zawiera min: ilość przesłanych danych, kolejkę niedostarczonych maili, ilość błędów w przesłanych pakietach itp. Jednak najważniejszą informacją jest rodzaj wprowadzonych modyfikacji w plikach systemowych bo w razie czego zauważymy, że ktoś majstruje w naszym systemie. Przykładowy raport wygląda tak: