A rendszer telepítése után vagy a live módban való kipróbálásnál a teendő ugyan az.

Megjegyzés: A leírás elkészítésében sokat segített szpigy leírása, thx.
Főmenü (Lancelot) -> Kedvencek -> Rendszerbeállítások

Rendszerbeállítások

Rendszerbeállításokon belül a blackPanther OS fül

blackPanther OS fül

Kattintsunk a kapcsolat varácslóra, rendszergazda jogokkal kell rendelkeznünk, ezért kéri a root jelszót , ami alapértelmezetten: root.

Kapcsolat varázsló

Felugrik a hálózat és internet beállítás ablak itt a DSL kapcsolatot válaszuk.

hálózat és internet beállítás

Következőkben beállíthatjuk,melyik hálózati csatolót szeretnénk használni.

válaszuk ki a hálókártyánk

Ebben az ablakban válaszd a Magyarországot, de ne a Matávot , mert ugyebár az megszűnt.

ország választás

A PPPOE kapcsolatot válaszuk ki.

PPPoE

Ebben az ablakban értelemszerűen a szolgáltatódtól kapott felhasználói nevet és jelszót írd be a megfelelő helyekre.

felhasználónév és jelszó beállítások

“Itt egy kis finomhangolás, ahol engedélyezheted a felhasználók számára a kapcsolatot (több felhasználó esetén), és bekapcsolhatod az automatikus csatlakozást, így a rendszer indításakor rögtön csatlakozni fog a géped a netre, egyből indíthatod a böngésződet.”

Egy jó tanács a képen.

kész a beállítás

Remélem hasznos lesz a leírás számodra kedves olvasó.

Az Otthoni csoport letiltása nem jelenti azt, hogy a hagyományos, XP-ben vagy a korábbi Windowsokban megszokott fájl- és nyomtatómegosztás is letiltásra kerülne! Azok a szolgáltatások továbbra is működni fognak.

Nyissuk meg a Számítógépet, majd a bal oldali oldalsávban kattintsunk jobb egérgombbal az Otthoni csoport szövegre és a helyi menüből válasszuk az Otthoni csoport beállítása opciót.

Otthoni csoport heliy menüje

Megnyílik az Otthoni csoport beállító ablaka, majd itt alul kattintsunk a Kilépés az otthoni csoportból… szövegre

Otthoni csoport beállítások

A megnyíló Kilépés az otthoni csoportból ablakban kattintsunk a Kilépek az otthoni csoportból szövegre.

Kilépés az otthoni csoportból

Egy kicsit tölt a gép, majd sikeresen kiléptünk az otthoni csoportból

Sikeres kilépés

Ezután a végleges letiltáshoz már csak két szolgáltatást kell letiltanunk. Ehhez indítsuk el a Szolgáltatás kezelőt. Start menü Futtatásba vagy a gyorskeresőbe írjuk be, hogy: services.msc

services.msc indítása Start menüből

Keressük meg a következő két szolgáltatást:

• Otthoni csoport figyelője
• Otthoni csoport szolgáltatója

angol Windowsban

• HomeGroup Listener
• HomeGroup Provider

Kattintsunk rájuk kettőt (mind a két szolgáltatáson külön-külön), majd a megnyílló tulajdonság ablakban az indítás típusát tegyük Letiltva értékre.

Otthoni csoport figyelője szolgáltatás tulajdonságai

Ha a későbbiekben ismét szeretnénk használni az Otthoni csoportot, akkor ennek a két szolgáltatásnak az Indítás típusát állítsuk Kézi értékre.

(a leírtak működnek általában más disztribúciókon is, nem csak Debian alatt)

Nézzük meg, hogy a rendszer rendesen felismerte e a WIFI kártyát

ifconfig -a

wlan0 vagy hasonló nevű (Atheros wifi kártya esetén van egy ath0 interfész is, ez esetben azt kell használnunk) nevű hálózati interfészt keressünk. Az eth kezdetűek a vezetékes ethernet kártyák.

Telepítenünk kell a wpasupplicant nevű csomagot. Debian (Ubuntu, stb.) alapú rendszereknél a következő paranccsal tehetjük meg:

aptitude install wpasupplicant

Telepítés után nyissuk meg a konfigurációs fájlját (ha nem root jogokkal léptünk már be, akkor a sudo parancsot ne feledjük beírni elé!):

editor /etc/wpa_supplicant.conf

Majd írjuk be a következő opciókat a fájlba:

network={
             ssid="wifi_nev"
             psk="wifi_kulcs"
}

A hálózat SSD-jét a wifi_nev helyére, a hálózat kulcsát pedig a wifi_kulcs helyére írjuk be. Majd lépjünk ki és mentsük a fájlt (nano esetén ALT+X és Y, vim estén pedig a :wq beírásával)

Most már csak tudatnunk kell a rendszerrel, hogy a megadott beállításokat használja. Ezt a következő paranccsal tehetjük meg (ha nem wlan0 a wifi kártyánk neve, akkor írjuk át!):

wpa_supplicant -B -iwlan0 -c/etc/wpa_supplicant.conf -Dwext

Majd pedig kérjünk egy IP címet a DHCP kiszolgálótól

dhclient wlan0

Ha minden jól megy, akkor kapnunk kell egy IP címet a DHCP kiszolgálótól (routertől, stb).

Előkészületek a Windows XP rendszeren

Először is, kapcsoljuk ki az egyszerű fájl és nyomtató megosztást (ha esetleg egymaga van a gép, és XP Professional. Ha tartományba van léptetve, ezt nem kell megcsinálni).

Ezt úgy tudjuk megtenni, hogy egy tetszőleges Intéző ablakban az Eszközök menüre kattintunk, majd itt a Beállításokat választjuk. A Mappa beállításai ablakban a Nézet fülre kattintunk és itt az Egyszerű fájlmegosztás használata elől kivesszük a pipát.

Windows XP: Mappa beállításai

Amennyiben engedélyezve van a Windows tűzfala (vagy más tűzfal), akkor még át kell engednünk a Windows fájl- és nyomtatómegosztás szolgáltatását, valamint állítsuk be úgy, hogy válaszoljon a ping (ICMP ECHO) kérésre.

Ezt úgy tudjuk megtenni, hogy bemegyünk a Vezérlőpultba, kettőt kattintunk a Hálózati kapcsolatokon, majd itt kiválasztjuk az oldalsávból a Windows tűzfal beállításainak módosítását.

Hálózati kapcsolatok

Majd a Windows tűzfal beállításablakon a Kivételek fülre kattintsunk. Itt legyen bepipálva a Fájl és nyomtatómegosztás.

Windows XP tűzfal kivételek

Ha ez megvan, akkor kattintsunk a Speciális fülre, majd itt az ICMP részen belüli Beállítás gombra. Majd pipáljuk be a bejövő ECHO kérés engedélyezése opciót.

ICMP beállítások

Az OK gombra való sok kattintással mentsük a módosításokat.

Leállítás távolról

Linux alól

A Linuxon legyen telepítve egy Samba, így a következő paranccsal tudjuk leállítani:

net rpc SHUTDOWN -C "Távoli gépen megjelenő szöveg" -f -I 10.1.1.2 -U felhnev%jelszo

Az idézőjelek között lévő Távoli gépen megjelenő szöveg a távoli gépen fog megjelenni, mielőtt lekapcsol a gép. A 10.1.1.2 a távoli gép IP címe, a felhnev a Windowson rendszergazdai jogokkal rendelkező felhasználó neve, a jelszo pedig jelszava. direkt van % jel a felhasználónév

Windows alól

Lehetőségünk van grafikus felületről, valamint parancssorból is megtenni ezt.

Ha grafikus felületet szeretnénk, akkor a távoli gépen a futtatásba a következő parancsot írjuk:

shutdown /i

A Hozzáadás gombra kattintva megadhatjuk a távoli számítógép nevét vagy IP címét, valamint kiválaszthatjuk hogy leálljon, újrainduljon, kapjanak e a felhasználók figyelmeztetés, stb.

Távoli leállítás

Parancssorból a következő paranccsal:

shutdown /s /c "Távoli gépen megjelenő szöveg" /m \\TAVOLIGEP

Domainnév regisztrálás

Erre csak akkor van szükség, ha internetről is el szeretnénk érni a gépünket.

Legelőször látogassunk el a dyndns.com oldalra, ahol regisztráljunk magunknak egy (ingyenes) aldomaint. Hogy ez miért kell? Mivel így mindig egy megadott néven (pl. gepem.dyndns.com) érjük el a gépünket, nem kell tudnunk aktuális IP címünket. Ami ha változik, nem is tudnánk meg távolról. De itt bővebben írnak erről.

Tehát regisztráljunk magunknak egy dyndns felhasználónevet és jelszót, majd egy ingyenes aldomaint.

Regisztráció után már csak azt kell megoldani, hogy a dyndns mindig tudja az IP címünket. Ha van routerünk, akkor azon állítsuk be a dyndns klienst (a mai routerek 99% tud ilyet, kézikönyvbe biztos benne van), ha nincs routerünk, akkor viszont a gépünkön kell futtatni egy programot.

Ubuntu (Linux) esetén ez a ddclient nevű program lesz.

Telepítsük Synapticból, vagy akár Terminálból.

sudo apt-get install ddclient

Telepítés közben fel fog tenni pár kérdést a program. Először ki kell majd választanunk, hogy milyen szolgáltatást használunk (dyndns.com opciót válasszuk), majd meg kell adnunk regisztrált domaint nevünket (a teljeset), ezután a felhasználónevet majd egy újabb lépésben a jelszót. Legvégén ahol az interface iránt érdeklődik, írjuk be, hogy web.

Router, tűzfal

(Erre csak akkor van szükség, ha internetről is el szeretnénk érni a gépünket.)

Ha routert használunk, akkor be kell forwaldolnunk az Ubuntut futtató gépünk felé az 5900 portot. Hogy ezt hogyan tehetjük meg? Általában a router webes felületén keresztül, azonban biztosabbat csak a router kézikönyve mondhat.

Ha beállítottunk valami tűzfalat a gépünkön (pl. Gufw, firestarter), akkor azokban is állítsuk be, hogy kívülről elérhető legyen ez a két port.

Távoli elérés telepítése

Akkor most jöjjön az, hogy telepítsük (engedélyezzük) a VNC szervert az Ubuntunkra.

Ezt a Rendszer, Beállítások menüben lévő Távoli asztal opciót.

Rendszer, Beallitasok

A VNC engedélyezéséhez pipáljuk be a Más felhasználók láthatják az asztalát opciót. Ha nem csak nézést, hanem vezérlést is szeretnénk, akkor a Más felhasználók irányíthatják az asztalát opciót is pipáljuk be.

Közben egy sárga téglalapba kiírja a gép helyi hálózatos IP címét és gépnevét, így ha nem az internetről szeretnénk elérni a gépet, ezt az IP címet kell megadni csatlakozáskor.

Mivel általában ha távolról szeretnénk irányítani a gépet, nem vagyunk az előtt, így vegyük ki a pipát a Meg kell erősítenie… opció elől. Viszont mivel a biztonság fontos, pipáljuk be a A felhasználónak meg kell adnia jelszót opciót és írjunk egy egy bonyolult (de tényleg!) jelszót. Ezt majd a csatlakozáskor meg kell adni a távoli gépen.

Távoli asztal beállításai

A bezárás gombra kattintva tudjuk menteni a módosításokat.

Elérés távolról

Windows gépről

Windows alá több VNC kliens is létezik. Igazából mindegyik egyforma tudású. Töltsük le pl. ezt: RealVNC Viewer. Ezt telepíteni se kell, így pendriveon, cd-n, stb. magunkkal vihetjük. Elindítás után csak meg kell adni a gép domain nevét (vagy ha belső hálózatról, akkor az IP címét), majd kérni fogja a jelszót, amit korábban beállítottunk, ezt adjuk meg.

VNC Viewer: jelsz megadsa

És már vezérelhetjük is távolról a gépünket.

Ubuntu távvezérlése Windows alól

Ha végeztünk, csak zárjuk be a VNC kliens ablakát. Ha legközelebb megint belépünk a gépre (vagy helyileg ülünk le elé) ott folytathatjuk a munkát, ahol abbahagytuk.

Linux alól

Legegyszerűbben parancssorból (vagy futtatásba beírva) a következő paranccsal csatlakozhatunk:

vncviewer GEPNEV:0

A GEPNEV helyére írjuk be a domaint nevünket, vagy IP címünket. A :0 mindenképp kell utána, ez jelenti azt, hogy az Asztalhoz kapcsolódunk, nem pedig új munkamenetet nyitunk.

Esetleg Ubuntu alapú disztribúciók esetén az Alkalmazások, Internet menüben lévő Távoli asztali kapcsolat programot indítva.

Alkalmazások, internet

Az XP alapból lefoglalja a sávszélesség 20 százalékát a saját programjainak. Ebben a videóban segítenek ezt a gátat feloldani.

Start menü ? Run ? írjuk be: gpedit.msc, majd okézzuk le. A Group Policy (Csoportházirend) nevű alkalmazás nyílik meg, majd menjünk a Számítógép konfigurációja ? Felügyeleti sablonok ? Hálózat ? QoS csomagütemező könyvtárba, és ott az A foglalható sávszélesség korlátozására kattintsunk kétszer. Klikkeljünk az Engedélyezvére, a 20-as számot írjuk át 0-ra. Ezután kattintsunk kétszer az Időzítési egység beállítására, ott szintén kattintsunk arra, hogy Engedélyezve, a 10-es értéket írjuk át 0-ra.

Szerző: WearT (http://pc.weart.hu)

Igaz, cserébe nagyobb biztonságot és kisebb mértet kapunk.

Most akkor ismerkedjünk meg azzal, hogyan kezelhetjük Server Core telepítésünket.

Újraindítás, leállítás

Windows leállítása azonnal:

shutdown /s /t 0

Újraindítás azonnal:

shutdown /r /t 0

A /t szám paraméterrel adhatjuk át, hogy a parancs kiadása után hány másodperccel történjen meg az esemény.

Ha a visszaszámlálás alatt meggondolnánk magunkat a következő paranccsal lehet megszakítani a visszaszámlálást:

shutdown /a

Kijelentkezés:

shutdown /l

Grafikus felületen történő beállítás:

shutdown /i

Hálózat beállítása

Ha a Windows rendelkezik a szerverben lévő hálókártyához illesztőprogrammal (driverrel), akkor automatikusan DHCP kliensként állítja be magát.

IPv4 címek

Nézzük meg, hogy milyen IPv4 hálózati interfészeket ismert fel a Windowst

netsh interface ipv4 show interfaces

Olyasmit kell látnunk mint ami a képen van. A loopback interfész a Windows saját belső hálózati csatolója. A felismert hálókártyák Local Area Connection névvel vannak jelen (ha több is van, akkor sorszámozza őket).

IPv4 interfészek listája

Nézzük meg a beállítandó hálókártyanevét (Name oszlop), majd a következő paranccsal állítsunk be neki egy fix IPv4 címet (vagy a name= értéknek megadhatjuk idézőjelek nélkül a kapcsoalt Idx értékét):

netsh interface ipv4 set address name="Local Area Connection" source=static address=192.168.1.55 mask=255.255.255.0 gateway=192.168.1.1

Ahol

• Local Area Connection a hálózati kártya neve
• source=static statikus IP címet akarunk beállítani
• address=IP a gép IP címe (192.168.1.55 jelen esetben)
• mask=MASK az alhálózati maszk
• gateway=IP átjáró (router) IP címe

Ha szeretnénk visszaállítani, hogy a DHCP szervertől kapja a címet

netsh interface ipv4 set address name="Local Area Connection" source=dhcp

ipconfig parancs kiadásával ellenőrizhetjük, hogy beállítódott a megfelelő IP cím.

IP cím beállítása, ellenőrzése

Most állítsuk be a DNS szerver(ek) címét

netsh interface ipv4 add dnsserver "Local Area Connection" 192.168.1.1 index=1

A parancs egyértelmű, a legvégére kell beírnunk a DNS szerver IP címét. Ha több DNS szervert szeretnénk megadni, akkor minden egyes DNS szerver címet egy külön parancsban kell beírnunk. Az index paraméterrel állíthatjuk be, hogy milyen sorrendben használja (1-től felfele) a DNS szervereket.

Beállított DNS szervert a következő paranccsal tudunk törölni:

netsh interface ipv4 delete dnsserver "Local Area Connection" 192.168.1.1

Az összes DNS szerver cím törléséhez (DHCP kliensként való beállítás előtt) IP cím helyett az all szót használjuk.

ipconfig /all

parancs segítségével ellenőrizzük, hogy minden érték helyesen van beállítva.

IPv6 letiltása

Windows Vista és Windows Server 2008 alatt az IPv6-ot nem lehet eltávolítani, csak letiltani.

Ehhez indítsuk el a regeditet (regedit aprancs beírásával, majd enter) és menjünk a következő kulcshoz:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\

Itt hozzunk létre egy DisabledComponents nevű DWORD duplaszót (32 biteset). Ehhez csak kattintsunk a Parameters kuclson jobb egérgombbal, majd New és a listából válasszuk a DWORD (32 bit) opciót.

Ezután rögtön írjuk be a nevet, majd enter és kattintsunk rá kettőt, hogy szerkeszthetjük. Értéknek a következőt adjuk meg: 0xFFFFFFFF

regedit

A beállítás érvényesítéséhez újra kell indítanunk a számítógépet.

Számítógépnév

Telepítéskor a Windows generál egy véletlenszerű nevet a szervernek. Ezt ajánlott valami könnyen megjegyezhetőre megváltoztatni.

netdom renamecomputer %computername% /NewName:UJNEV

Az UJNEV helyére írjuk be a számítógép új nevét.

Megkérdezi a Windows, hogy biztos fojtatjuk, itt nyomjunk egy Y-t. A beállítás érvényesítéséhez indítsuk újra a számítógépet.

A következő paranccsal tudjuk ellenőrizni a gép nevét:

hostname

PING engedélyezése (ICMP reply)

Alapértelmezetten a Windows Server telepítés nem válaszol a pingre. Engedélyezzük most ezt

netsh firewall set icmpsetting 8

Gyári beállítás (tehát ne válaszoljon)

netsh firewall set icmpsetting 8 disable

Jelszó beállítás

net user FELHASZNASZNALONEV *

A FELHASZNASZNALONEV helyett írjuk be annak a felhasználónak a nevét, akinek a jelszavát megváltoztatnánk. A rendszergazda felhasználó neve: administrator

Majd írjuk be az új jelszó, enter, megint az új jelszót és megint enter.

Tartomány

Belépés létező tartományba

Ha már egy meglévő tartományba tagkiszolgálónak szeretnénk a Windows Server Core telepítést, akkor előbb be kell léptetnünk a gépet a tartományba:

netdom join GEPNEV /domain:TARTOMANY /userd:TARTOMANYRGAZDA /passwordd:JELSZO

• GEPNEV: a számítógépünk korábban megadott neve
• TARTOMANY: a tartomány neve, amihez csatlakozni szeretnénk (pl.: valami.local)
• TARTOMANYRGAZDA: egy olyan tartományi rendszergazda, akinek joga van számítógépeket hozzáadni a tartományhoz
• JELSZO a beírt tartományi rendszergazda jelszava (direkt szerepel két d-vel a végén!)

Ezután a már megismert módon újra kell indítanunk a számítógépet.

Kilépés tartományból

netdom remove

majd indítsuk újra a számítógépet.

Távoli elérés

Háromféle képen érhetjük el távolról a szerverünket: RDP (távoli asztal) használatával, RSAT-MMC (Remote Server Administration Tools), valamint WinRM-WS-Management (Windows Remote Shell) segítségével.

• Remote Server Administration Tools x86
• Remote Server Administration Tools x64

Távoli asztal esetén ugyanazt látjuk távolról is, mintha a helyi gépen lennénk. Azonban ha feltelepítjük az RSAT csomagot, akkor Vista (Windows 7 esetén a Windows összetevők között kell csak bekapcsolni) alatt megkapjuk a szerver felügyeleti MMC komponenseket, így úgy tudjuk kezelni a Server Core telepítést (bizonyos megkötésekkel), mint ahogy azt sima Server 2008 esetén megszoktuk.

RDP engedélyezése

Kétféle távoli asztali kapcsolatot engedélyezhetünk: A 6-osat (melyhez a Vista, 2008, 7-ben lévő rdp kliens jó, XP SP2-re letölthető), valamint a régebbi (és kevésbé biztonságos) rdp kapcsolatot:

cscript C:\Windows\System32\Scregedit.wsf /ar 0

Korábbi kliensek engedélyezése:

cscript C:\Windows\System32\Scregedit.wsf /cs 0

Előtérben a Server Core távoli asztalon keresztül, háttérben a virtuális gép

MMC elérés

Engedélyezzük a tűzfalon:

netsh advfirewall firewall set rule group="Remote Administration" new enable=yes

Ha esetleg le szeretnénk tiltani, azt a következő paranccsal tehetjük meg:

netsh advfirewall firewall set rule group="Remote Administration" new enable=no

Amennyiben a szerver és az a gép amiről el próbáljuk érni egy tartományban van, menni fog. Ellenkező esetben még futtassuk le a következő parancsot azon a gépen amiről csatlakozni szeretnénk:

net use * \\GEPNEV\c$ /u:FELHASZNALO

Ahol:

• GEPNEV: annak a gépnek a neve (vagy ip címe) amihez csatlakozni szeretnénk
• FELHASZNALO: a távoli gépen lévő rendszergazdai (administrator) jogú felhasználó

Majd bekéri a távoli administrator felhasználó jelszavát (a csatlakoztatott meghajtót ezután le lehet csatlakoztatni)

Windows Update beállítása

A következő paranccsal kapcsolhatjuk be a frissítések automatikus keresését és telepítését:

cscript C:\Windows\System32\Scregedit.wsf /au 4

Majd ezután állítsuk le és indítsuk újra a Windows Update szolgáltatást:

net stop wuauserv
net start wuauserv

Majd mondjuk meg a Windowsnak, hogy azonnal keressen frissítéseket:

wuauclt /detectnow

Jelenlegi beállítás megtekintése:

cscript C:\Windows\System32\Scregedit.wsf /au /v

Windows Update kikapcsolása

cscript C:\Windows\System32\Scregedit.wsf /au 1

Látható, hogy az /au szám paraméterrel lehet állítani a Windows Update működését.

A következő 5 szintet állíthatjuk be:

• 1 – automatikus frissítések keresése kikapcsolva
• 2 – figyelmeztetés letöltés és még egy figyelmeztetés telepítés előtt
• 3 – magától letölti a frissítéseket, majd a telepítés előtt figyelmeztett
• 4 – automatikusan letölti és telepíti a Windows frissítéseket a megadott időponton (alapértelmezéskétn naponta, 3:00-kor)

Illesztőprogramok telepítése

Ha szükséges, akkor telepítenünk kell a szerver különböző illesztőprogramjait. A legtöbb driver telepítő nincs felkészítve a Server Corera, így ha a grafikus telepítője nem működik, akkor parancssorból kell telepítenünk.

Ehhez legelőször is ki kell csomagolnunk a drivert, hogy megkapjuk az inf (és cat, dll, stb.) fájlokat.

Másoljuk fel a szerverre, majd a következő paranccsal telepíthetjük:

pnputil -i -a valami.inf

Ahol a valami.inf helyére beírjuk a telepítendő driver inf fájljának nevét, helyét. Használhatunk joker karaktereket is, valahol\valami\*.inf esetén minden a megadott helyen lévő inf fájlhoz tartozó drivert telepíti.

Ha kéri a Windows, indítsuk újra a számítógépet.

Két (vagy több) Windows 7 között a fájlok és eszközök megosztása a Home Grouppal gyerekjáték, azonban a korábbi Windows verziók ezt nem támogatják.

Most egy két számítógépes hálózaton fogom bemutatni (egy XP Professional SP3 és egy Windows 7), hogyan osszuk meg nyomtatóinkat, mappáinkat.

Munkacsoport beállítása

Legelőször az összes otthoni Windows számítógépet azonos munkacsoportba (workgroup) kell tenni.

Windows XP alatt

Windows XP esetén ehhez kattintsunk jobb egérgombbal a Sajátgépen, majd válasszuk a Tulajdonságok menüpontot.

Windows XP: Sajátgép helyi menüje

Majd a Rendszertulajdonságok ablakban kattintsunk a Számítógépnév fülre. Itt láthatjuk, hogy milyen munkacsoport név van beállítva.

Windows XP: Rendszertulajdonságok

A munkacsoport nevének megváltoztatásához kattintsunk a Módosítás gombra. Majd a megjelenő ablakban tudjuk megadni a kívánt munkacsoport (és számítógép) nevet. Lehetőség szerint kerüljük az ékezetes karakterek használatát a munkacsoport és számítógépnévben.

Számítógép nevének és munkacsoportjának módosítása

Kattintsunk az OK gombra a mentéshez (majd megint OK, amíg ki nem írja, hogy indítsuk újra a számítógépet), majd indítsuk újra a számítógépet (én most OTTHON nevűre állítottam a munkacsoport nevét).

Windows 7 alatt

Kattintsunk jobb egérgombbal a Számítógépre, majd a helyi menüből válasszuk a Tulajdonságok opciót.

Számítógép helyi menüje

A megnyíló Rendszer ablakban a Számítógépnév résznél lévő Beállítások linkre kattintsunk.

Rendszer ablak Windows 7 alatt

Majd megnyílik a Rendszer tulajdonságai ablak. Itt láthatjuk a számítógép nevét és a munkacsoport nevét is. A módosításhoz kattintsunk a Módosítás gombra. Innentől ugyanúgy megy mint XP esetén.

Windows 7: Rendszer tulajdonságai

Előkészületek a megosztáshoz

Windows 7

Fontos, hogy az otthoni hálózati kapcsolatunkat a Windows 7 is otthoni kapcsolatként állítsa be. Ezt akkor kérdezi meg tőlünk a Windows 7 mikor először találkozott az adott hálózattal. Ekkor három lehetőségből választhattunk: Otthoni, Munkahelyi, Nyilvános. Mindegyik hálózati beállítás más szigorúságot állít be.

Indítsuk el a Vezérlőpultot, majd itt kattintsunk a Hálózat és internet linkre. Ezután a Hálózati és megosztási központ linkre.

Itt láthatjuk az összes hálózati kapcsolatotat, valamint, hogy milyen típusúnak van beállítva. Az otthoni hálózatit egy házacska ikon jelől. Amennyiben nem ilyen van beállítva, akkor az Aktív hálózatok megtekintése részben a hálózati kapcsolat melletti hálózati típus nevének linkjére.

Windows 7: Hálózati és megosztási központ

Majd a felbukkanó ablakból válasszuk ki, hogy Otthoni hálózat.

Hálózati hely beállítása

Ezután már a Hálózati és megosztási központban Otthoni hálózatként kell szerepelnie (mint a képen)

Hálózati és megosztási központ

Két féle képpen állíthatjuk be a megosztások elérését:

• jelszóval védve
• jelszó nélküli elérés

Jelszóval védett elérések esetén, amennyiben a számítógépeken nem ugyanazt a felhasználói nevet és jelszót használjuk a Windows bekér egy olyan felhasználó és jelszó párost amit a távoli (tehát ahol meg van osztva az erőforrás) létezik. Enélkül nem tudjuk elérni a megosztást.

Ha a jelszó nélküli megosztást állítjuk be, akkor minden megosztást el tud érni bárki, aki felcsatlakozik a hálózatunkra.

Ennek beállításához kattintsunk az oldalsávban lévő Speciális megosztási beállítások módosítása szövegre. Ezután az Otthoni és munkahelyi… szöveg melletti kis lefele mutató nyílra. Majd keressük meg a beállítások között a Megosztás jelszavas védelemmel részt, és állítsuk be a nekünk jobban megfelelő opciót.

Jelszavas védelem beállítása

Mappák megosztása

Windows XP

Menjünk az Intézővel (vagy tetszőleges fájlkezelővel) oda, ahol a megosztani kívánt mappa van. Majd kattintsunk jobb egérgombbal a megosztandó mappán, és a helyi menüből válasszuk a Megosztás és biztonság opciót.

Mappa helyi menüje Windows XP alatt

A megjelenő mappa tulajdonságai ablakban kattintsunk az alul lévő Ha tisztában van… kezdetű sorra.

Mappa megosztása XP alatt

A felbukkanó ablakban válasszuk a Fájlmegosztás engedélyezése opciót. Ennek hatására megváltozik a mappa tulajdonsága ablak és megjelenik egy A mappa megosztása a hálózaton opció. Kattintsunk ide, majd adjuk meg a mappa megosztási nevét (a hálózaton keresztül ennek fog látszódni)

Ha szeretnénk engedélyezni, hogy más felhasználók írhassák a mappát, akkor pipáljuk be a Más felhasználók módosíthassák fájljaimat opciót.

Mappa megosztása a hálózaton

OK gombra kattintva mentsük a beállításokat.

Windows 7

Ugyanúgy ahogy XP alatt, itt is keressük meg a megosztandó mappát. Majd kattintsunk rá jobb egérgombbal, és a helyi menüből válasszuk a Tulajdonságokat

Mappa helyi menüje Windows 7 alatt

Majd itt a Megosztás fül, és kattintsunk Megosztás gombra.

Mappa tulajdonságai Windows 7 esetén

A lenyíló listából válasszuk ki, hogy ki férhet hozzá a megosztandó mappához. Ez lehet csoport, egy felhasználó vagy mindenki. Kattintsunk a Hozzáadás gombra, hogy felvegye a listára a Windows. A hozzáférés szintje oszlopban állíthatjuk be, hogy csak olvashat, vagy írhat-olvashat az adott csoport, felhasználó. Ezután kattintsunk a Megosztás gombra.

Kikkel osztjuk meg a mappát

A következő ablakban pedig kattintunk a Kész gombra.

Nyomtatók megosztása

Windows XP

Menjünk a Vezérlőpult, Nyomtatókhoz, majd jobb egérgomb a megosztandó nyomtatón és válasszuk a Megosztás… opciót.

Kattintsunk a Nyomtató megosztása rádiógombra és adjunk egy nevet a nyomtatómegosztásnak.

Nyomtató megosztása XP alatt

Majd OK gombra kattintva mentsük a beállításokat.

Windows 7

Start menü, Eszközök és nyomtatókra menjünk

Windows 7 start menü

Kattintsunk kettőt a megosztandó nyomtatóra.

Majd a nyomtató tulajdonságai között a Nyomtató testreszabása opcióra.

Nyomtató tulajdonságai Windows 7 esetén

Majd a feljövő ablakban kattintsunk a Megosztás fülre, és pipáljuk be a Nyomtató megosztása opciót. Adjunk nevet a nyomtató megosztásnak.

Nyomtató megosztása 7 alatt

Megosztások (mappák, nyomtatók) elérése

Kétféleképpen érhetjük el a megosztások:

• betallózzuk
• direkt megadjuk az elérési útját

Első esetben menjünk a hálózati helyekhez, keressük meg a számítógépet, kattintsunk rá kettőt, majd ha kér a gép jelszót és felhasználónevet, adjunk meg neki egy olyan ami a célgépen is létezik. Majd itt látjuk a megosztott nyomtatókat és mappákat.

XP alatt megosztott mappa Windows 7-ben

Második esetben egy tetszőleges intéző ablaknak a címsorába kell beírni a számítógép ip címét, számítógépnevét a következő formában:

• \\számítógépnév\megosztás\mappa

Tehát ha a 192.168.0.4 című gépet szeretnénk elérni:

• \\192.168.0.4

Megosztott nyomtatót a kliensen való használathoz előbb telepíteni kell, ehhez csak tallózzuk be a nyomtatót a megosztó számítógépen, majd kattintsunk rá kettőt. Ha a Windows nem ismeri a nyomtatót, bekéri a nyomtató driverét, majd kész is a telepítés.

Windows 7 alatt megosztott mappák XP-n

Mik ezek a lépések? Milyen szempontokat kell figyelembe venni?

Egy rossz példa!

A rossz példa én leszek. Az első komolyabb tűzfalam előtt igyekeztem minél többet olvasni az iptables-ről, és próbáltam elsajátítani, hogy utána nagyon biztonságos tűzfalat építsek. Az első lépés a tervezés volt. Ez annyiból állt, hogy felírtam egy papírra kb a következőket:

• A szervernek milyen interfészei vannak
• Milyen szolgáltatásokat kell elérni bentről (belső hálózat, LAN)
• Milyen szolgáltatásokat kell elérni kintről (internet felől, INT)
• Milyen szolgáltatásokat érhetnek el a kliensek a szerveren keresztül

Ez nem volt rossz kezdés, de kimaradt pár lépés:

• Biztonsági lépések.Biztonsági hibák felderítése. Mert minden lánc csak annyira erős mint a leggyengébb láncszem. Hiába szűrök mindent, ha nincs a láncok végén egy DROP szabály, vagy a policy ACCEPT marad.
• Szabályok sorrendje, és spagetti kód. Fontos, hogy azok a szabályok előrébb legyenek amikre több csomag match-el (illeszkedik). Igaz, hogy ez több száz szabálynál és nagyobb terhelésnél jön elő, de tervezéskor sosem csak a jelenlegi igényeket vegyük szemügyre. És itt a következő pont.
• Előre tervezés. Nem árt ha használunk például ciklusokat, változókat és egyéb bash nyújtotta eszközöket, hogy a kódunk szép és átlátható legyen, valamint ha már nem mi fogjuk kezelni, akkor az új kolléga is hamar megismerje a kódot. Ehhez elengedhetetlen a helyes, ésszerű kommentezés. Ésszerű alatt azt értem, hogy nem feltétlenül kell egy szabály fölé 3-10 sor komment. Legyen rövid, és leíró. Változókkal segíthetjük, az interfészek dokumentálását, és változás esetén gyors felcserélését. Nem kell replace, sed és egyéb ?furmányos” eszközhöz nyúlni :).

Én elkövettem jó pár hibát, emiatt pár hónap múlva ránézve a kódomra, nehezen ismertem ki magam.

• Nem volt, vagy alig komment.
• Minden szabály egymás alatt, rendezetlenül, logikátlanul, és még csak alig több mint 50 sor volt ekkor
• ifconfig-al nézegettem, hogy melyik interfész mi is. ?Nah, megint elfelejtettem, melyik is az eth2?” Akkor megint ifconfig…
• …

Nem volt egyszerű, ezt komolyan mondom. És nem egyszerű az elejéről kezdeni mindent. A felhasználóknak nem szabad, hogy megszakadjanak a szolgáltatások, nem zavarhatjuk őket a munkában, a főnökről nem is beszélve. Tehát éjjel vagy hétvégén… Kell ez?!

Akkor szedjük össze, hogyan kezdjünk neki a tervezésnek.

• A szervernek milyen interfészei vannak
• Milyen szolgáltatásokat kell elérni bentről (belső hálózat, LAN)
• Milyen szolgáltatásokat kell elérni kintről (internet felől)
• Milyen szolgáltatásokat érhetnek el a kliensek a szerveren keresztül

• Biztonsági lépések.
• Szabályok sorrendje.
• Saját láncok használata.
• Ciklusok és változók használata.
• Fontosabb kernel paraméterek megismerése és helyes beállítása.
• Tesztelési terv felépítése, ne rögtönözzünk. Tervezzük meg a tesztelést is!

Nem írtam a tesztelésről, pedig fontos. Nem akartam kihagyni :) Ezt első alkalommal is elég jól, de rögtönözve végeztem. Szerencsém volt, ennyi.

A továbbiakban feltételezzünk egy kis irodai hálózatot. Mondjuk egy magán vállalkozás. Mindegy mi, de legyen mondjuk könyvelői iroda :)

Akkor menjünk sorba.

A szervernek milyen interfészei vannak?

Tegyük fel, hogy most csak két interfész van:

• eth0 a belső hálózat felé néz
• ppp0 egy ADSL kapcsolat.

Joggal feltételezhetjük, hogy ez a könyvelő iroda nőni fog, vagy költözni. Tök mindegy, nevezzük el az interfészeket, és kommentezzük fel őket:

# Belső hálózat
LAN="eth0"
 
# Internet
INT="ppp0"

Itt felmerül egy probléma. Lehet, hogy a későbbiek során kelleni fog a ppp0 ip címe. Viszont nem írhatjuk be fixen, mert tudjuk (mert tudjuk), hogy hacsak nem kértünk fix IP-t felárért, akkor ez dinamikus IP cím. Akkor alkalmazhatjuk a következő példát:

INT_IP=$(ifconfig ppp0 | grep "inet addr" | sed 's/:/ /g' | awk '{print $3}')

Biztos van ennél egyszerűbb megoldás is. Ez nem kötelező, lehet, hogy nem fog kelleni, a gondolkodás mód a lényeg. Ez a tervezés alatt kiderül majd, hogy fog e kelleni ehhez hasonló infomáció.

Ami fontos, hogy a továbbiakban az interfészekre $INT és $LAN-ként hivatkozzunk a tűzfal scriptben.

Milyen szolgáltatásokat kell elérni bentről (belső hálózat, LAN)

Ez alatt azt értem, hogy milyen szerver szolgáltatásokat? A könyvelői irodában legyen mondjuk egy

• Belső levelező szerver (mert minden utasításról szeretik van van e-mail, és a szerveren egy biztonsági másolat)
• Samba szerver (A munkákat ide lehet menteni, vagy fájlokat megosztani egymással)
• Könyvelő szoftver (Tegyük fel, hogy van egy szerver <-> kliens alapú szoftverük amivel dolgoznak.)

A szolgáltatásokat felírtuk, írjuk fel az ehhez szükséges portokat és protokollokat.

Belső levelező szerver (25 és 110). Erősen ajánlott titkosított SMTP és IMAP használata!!

Samba szerver:

netbios-ns	137/tcp				# NETBIOS Name Service
netbios-ns	137/udp
netbios-dgm	138/tcp				# NETBIOS Datagram Service
netbios-dgm	138/udp
netbios-ssn	139/tcp				# NETBIOS session service
netbios-ssn	139/udp
microsoft-ds	445/tcp				# Microsoft Naked CIFS
microsoft-ds	445/udp

Könyvelő szoftver. Ezt megtaláltuk a szoftver dokumentációjában. TCP 33555.

Pontosan meg kell határozni, – ami utánajárást, vagy kitesztelést igényel – hogy melyik portot milyen módon kell ki illetve beengedni. Nem szabad ész nélkül mindet kinyitni. Lehet, hogy működi fog, de nem ez a végleges cél. Hanem egy biztonságoz és használható tűzfal építése. Ennek a dokumentációnak pedig most nem feladata, hogy leírja, pontosan milyen portokat kell kinyitni sambahoz szerver oldalon. Én egyszer kiteszteltem, azóta jól megy. Nyitogattam megosztásokat, s közben figyeltem mit dob el a tűzfal, és azokat engedélyeztem. Kb 10 perc munka ha már kézreáll…

Milyen szolgáltatásokat kell elérni kintről (internet felől)

Talán semmit, talán egy VPN vagy/és egy FTP szervert esetleg. Minél kevesebbet. Itt is érvényes, hogy pontosan meg kell határozni, hogy milyen portot melyik irányba. Lesz több feltétel is a biztonság résznél részletezem.

Milyen szolgáltatásokat érhetnek el a kliensek a szerveren keresztül

Talán szükséges engedélyezni, hogy tudjanak külső SMTP szervert is használni, mert a vállalat hivatalos emailszervre egy szerverparkban van. Ekkor a TCP 25-ös portot át kell engedni a szerveren, ám ezt sem ész nélkül. Biztonság résznél lesz erről is szó.

Biztonsági lépések.

• Minden szabály végén legyen egy mindent loggol (naplóz) majd eldob szabály. Szokták mondani, hogy a policy is legyen DROP. De ha a láncok végi naplóz és eldob szabályok bent vannak, akkor felesleges a policy-t bántani.
• Egy szabály felépítésénél értelmes határokon belül próbáljuk meg minél jobban a célra formálni a feltételeket. Minél több feltétel meg van adva, annál biztonságosabb, és tökéletesebb a tűzfalunk. Nézzünk egy példát. A 25-ös port kiengedése. Egyre szigorúbban:

iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
# bejövő és kimenő interfészek meghatározása
iptables -A FORWARD -i $LAN -o $INT -p tcp --dport 25 -j ACCEPT
# Forrás hálózati cím meghatározása
iptables -A FORWARD -i $LAN -o $INT -s 192.168.2.0/24 -p tcp --dport 25 -j ACCEPT
# SMTP szerver konkrét megadása
iptables -A FORWARD -i $LAN -o $INT -s 192.168.2.0/24 -d 11.22.33.44 -p tcp --dport 25 -j ACCEPT
# Csak az új csoamagokat engedjük ki
iptables -A FORWARD -i $LAN -o $INT -s 192.168.2.0/24 -d 11.22.33.44 -p tcp --dport 25
-m state --state NEW -j ACCEPT
(a kapcsolathoz tartozó csomagokról majd később gondoskodunk.)

Kezdetnek ez már nem lenne rossz. Én például anno minden felé kiengedtem a 25-ös portot hibásan. Egyszer emiatt kerültünk fekete listára, mert egy belső gép ami megfertőződött, több ezer levelet kezdett küldözgetni. Nem kellemes.

• Hamis forráscímek kiszűrése. Erre lehet találni példákat az interneten, de soha ne tegyünk be olyan szabályt a tűzfalunkba, amiről nem tudjuk pontosan, hogy mire való!
• Különböző támadások elleni védelmek: ping-flood, syn-flood, érvénytelen SYN csomagok, portscan….

Szabályok sorrendje.

A szabályok sorrendje azért fontos, mert a kernel szekvenciálisan megy végig a tűzfal szabályainkon. És ha van egy csomag ami a 34. helyen van beengedve, akkor az mire odaér 33 szabályra megpróbál illeszkedni. Ezért előrébb kell tenni azokat a szabályokat amikre sűrűbben érkezik csomag. Ezt ellenőrizni tudjuk a következő paranccsal (A filter táblában. Más tábla esetében meg kell adni a -t kapcsolóval a tábla nevét.):

iptables -L -vn

A fenti parancs kimenetében láthatjuk a csomag és byte számlálót, ami alapján helyesen optimalizálhatjuk a csomagok kiértékelésének sorrendjét.

Saját láncok használata.

Saját láncokat létrehozhatunk különböző feladatokra is mint pl.: naplózás vagy tcp csomagok ellenőrzése. Csinálhatunk olyan láncot amibe az összes TCP csomagot irányítjuk, majd ellenőrzéseket hajtunk végre rajtuk, majd ami helyes csomag az nem dobódott el, tehát a RETURN target-el visszadobjuk abba a láncba ahonnan jött, és majd match-el valahová. Ha nem, naplózzuk és eldobjuk :)

Vagy én például szoktam az ICMP csomagok kezelésére is egy külön láncot csinálni, mert elég sokféle icmp csomag létezik, és sok olyan van amit nem szabadna eldobni.

http://www.iana.org/assignments/icmp-parameters

Például amik szükségesek lehetnek:

• Echo Reply - ping válaszok. Igen fontos!

• Destination Unreachable

  - Ha a célállomás elérhetetlen. Ezt is kell tudnunk.

• Echo

  - vagy echo request, a pingelés kifelé. Ezt sem árt kiengedni. Befelé nem kell, ha azt akarjuk, hogy ne tudjanak pingelni minket.

A ?Destinatiob Unreachable"

sok fontos üzenetet tartalmazhat. Nagyon fontosakat, amikből kiderülhet számunkra, hogy miért elérhetetlen a célállomás. Például: hálótat, hoszt, port vagy protokoll az ami elérhetetlen, vagy túl nagyok a csomagok (nagyobb mint az MTU mérete).

Az ICMP szűrés nagyon fontos, gondosan kell eljárni, nem szabad mindent ész nélkül tiltani. Csak kárt és felesleges munkát okozhat a későbbiekben.

Ciklusok és változók használata.

Ha van 5-10 szabály, ami semmiben nem különbözik, csak a portszámokban például, akkor a következő példát alkalmazhatjuk:

# Kiengedni kívánt portok felsorolása.
FWD_TCP="20 21 25 465"
 
# TCP portok kiengedese. 465 = SMTP over SSL
if test -n "$OUT_TCP"; then
	for tport in $OUT_TCP; do
		$IPTABLES -A OUTPUT -p tcp --dport $tport -m state --state NEW -j ACCEPT
	done

Ez igazából 4 különálló szabályt generál, talán nem is célszerű 4 port esetében használni.

If-ek, elágazások segítségével okosíthatjuk tűzfalunkat. Ellenőrizhetjük bizonyos opciók meglétét melyek teljesülése esetén további szabályokat vezetünk be stb…

Fontosabb kernel paraméterek megismerése és helyes beállítása.

A sysctl parancsot használhatjuk a kernel paraméterek beállításához. Minden paraméter kiíratása

sysctl -a

Legfontosabb az ip forward beállítása. Lekérdezhetjük így:

sysctl net/ipv4/ip_forward

Ha ?0″ akkor nincs engedélyezve az IP csomagok továbbítása egyik interfészről a másik felé. Alapértelmezetten ez nincs engedélyezve. Engedélyezéséhez tegyük a következő sort a /etc/sysctl.conf fájlba, vagy ha benne van akkor vegyük ki előle a kommentet:

sysctl net.ipv4.ip_forward=1
# vagy
echo "0" > /proc/sys/net/ipv4/ip_forward

rp_filter – forráscím hamisítást figyeli és tiltja. Ez alapértelmezetten be van kapcsolva, viszont érdemes lehet kikapcsolni, és magunk végezni ezt a munkát. Jobb az ha látjuk mi történik. Persze naplózzunk is szorgosan.

Tesztelési terv felépítése, ne rögtönözzünk. Tervezzük meg a tesztelést is!

Minden szabályt le kell tesztelni! Be lehet vonni teszt felhasználókat ha van lehetőség, és pár napig őket az új tűzfalra tenni. Nem lehet olyan szabály amit nem teszteltünk. Ne sajnáljuk erre az időt.

Egyéb tanácsok:

1.) Minden scriptben használt parancsot érdemes a következő kép használni:

IPTABLES=$(which iptables)
SYSCTL=$(which sysctl)

2.) Használjuk az iptables-save és iptables-restore parancsokat a mentésre és betöltésre. Sokkal gyorsabb, ami főleg nagyobb script esetén érezhető.

Hibakereséshez:

• loggoltassunk
• tcpdump

Screencast

Letöltés (AVI, 800×600, 8,33 MB)
(a hangerő csúszka melletti négy kifelé mutató nyílra kattintva teljes képernyőn nézheted)

Felépítés

Ehhez ADSL valamint modemes, mobilos net kivételével szükségünk lesz két hálózati kártyára a gépben (egyik az internet, másik a hálózat, vagy a másik gép felé), valamint, hogy azok a gépek, amiknek megosztjuk a netet DHCP kliensként legyenek beállítva. Vagy ha fix IP címet szeretnénk nekik, akkor a következő paramétereket használjuk:

• IP cím: 192.168.0.2 és 192.168.0.255 között
• Alhálózati masz: 255.255.255.0
• DNS kiszolgáló: 192.168.0.1
• Átjáró: 192.168.0.1

ADSL esetén azért nincs szükség külön hálókártyára (bár itt is ajánlott), mivel a Windows számára az ADSL (PPPoE) kapcsolat egy másik hálózati csatoló. Ebben az esetben a switchbe kell bedugni a többi gépet, valamint a modemet is.

Internet megosztása

Állítsuk be az internetkapcsolatunkat a megosztó gépen, hogy azon menjen.

Majd menjünk a Start menü, Beállítások, Hálózati kapcsolatok menüpontjába.

Start menü, Beállítások

Itt láthatjuk a számítógépre telepített hálózati kártyákat, valamint egyébb (modemes, ADSL, stb.) kapcsolatokat.

Hálózati kapcsolatok

Kattintsunk jobb egérgombbal azon a kapcsolaton, amin keresztül az internet jön, majd válasszuk a helyi menüből a Tulajdonságokat. Majd itt menjünk a Speciális fülre.

Majd itt az Internetkapcsolat megosztása részben pipáljuk be a Megengedem a hálózat más felhasználóinak, hogy ennek a számítógépnek az internetkapcsolatát használják jelölőnégyzetet.

Internetkapcsolat megosztásának engedélyezése

Amennyiben ADSL kapcsolatunk van (vagy korlátlan modemes), jelöljük be a Telefonos kapcsolat létrehozása, ha a saját hálózaton egy számítógép megpróbálja elérni az internetet jelölőnégyzetet. Ekkor abban az esetben ha valamelyik számítógép aminek meg van osztva a net, el akarja érni az internetet, a Windows automatikusan betárcsáz.

Ezután kattintsunk az OK gombra. Ekkor megjelenik egy üzenet, amely arról figyelmeztet minket, hogy a többi számítógép (helyi hálózatunk) felé néző hálózati kártya címe automatikusan 192.168.1.1-re állítódik. Itt kattintsunk az Igen gombra a folytatáshoz.

Helyi hálózat felé néző hálókártya IP címe

Készen is vagyunk a megosztással. A Hálózati kapcsolatoknál az internet kapcsolatunk ikonjánál megjent a felirat, hogy megosztott.

Portforward

Ha valamelyik kliens számítógépen olyan szolgáltatást szeretnénk használni, amihez az internet felé nyitott port szükséges, azt is be kell állítani (pl. torrent).

Kattintsunk jobb egérgombbal az internetkapcsolatra, válasszuk a Tulajdonságok menüpontot, majd itt a Speciális fület. Ezen belül az Internetkapcsolat megosztásán belül lévő Beállítás gombra kattintsunk.

Itt kattintsunk az Hozzáadás… gombra.

A szolgáltatás leírása lesz a név, a következő mezőbe a kliens IP címét kell írni (pl. 192.168.0.4). Majd a szolgáltatás külső és belső portszámához azt a portot kell írni, amit a kliens programban beállítottunk.

Elsősorban fontosnak tartom leírni, hogy a szabályokat egy fájlban fogjuk elhelyezni amit létrehozhatunk például a /usr/local/sbin/ könyvtárban firewall_start.sh néven (pl.).

iptables

Adminisztrációs eszköz az Ipv4 csomagszűréshez és NAT-oláshoz. (részlet az iptables manualból)
Az iptables a hálózati rétegben működik, vagyis IP csomagokkal dolgozik. Szabályokat (rules) lehet vele felállítani amiket táblákba szervez.

Három alapértelmezett (default) lánc (chain) létezik:

• INPUT: a kintről befelé érkező csomagokra match-el
• OUTPUT: a bentről kimenő csomagokra match-el
• FORWARD: az adott gépen átmenő csomagokra match-el

Megjegyzés: van még kettő (PREROUTING és POSTROUTING) de azok nem tartoznak bele ebbe a leírásba. Talán egy későbbiben.

Hozhatunk létre saját láncokat is. Lánc műveletek:

-N új lánc létrehozása
pl.: iptables -N in_attack
- létrehozza az in_attack láncot

-P lánc policy beállítása
pl.: iptables -P INPUT DROP
? ez a parancs beállítja az INPUT lánc policy-ját DROP-ra ami azt jelenti, hogy ha az INPUT láncban szereplő szabályok közül egyikre sem match-el egy csomag, akkor el lesz dobva

-F töröl minden szabályt
pl.: iptables -F
? minden létező szabályt töröl, de nem változtatja meg a láncok policy-jét!!

-L kilistázza a szabályokat, az egészet, vagy csak egy láncét
pl.: iptables -L INPUT
- kilistázza az INPUT lánc összes szabályát.

-X törli az üres láncokat
pl.: iptables -X
Ennyi elmélet kezdésnek, a többit gyakorlati példákkal mutatnám be.

Tűzfal szabályok

Először hozzuk létre a fájlt a tűzfal szabályoknak (terminálban) és tegyük futtathatóvá:
Senki ne másolja be az általam írt parancsot, mindenki vegye a fáradtságot és kézzel írja be.

sudo touch /usr/local/sbin/firewall_start.sh
sudo chmod +x /usr/local/sbin/firewall_start.sh

Ezután már az elejét meg tudjuk írni:

sudo mcedit /usr/local/sbin/firewall_start.sh

mcedit helyett bármi lehet (nano, gedit, vi, vim …)

A tartalma pedig egyelőre:

1
2
3
4
5
6

#!/bin/bash
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

A sorokat a magyarázás miatt számoztam be.

• 1.sor megadja az értelmező shellt
• 2.sor törli az összes szabályt a filter (alapértelmezett táblából.) Van a nat vagy mangle táblában is vannak szabályok akkor plusz be kell tenni a következőket is: “iptables -F -t nat” és “iptables -F -t mangle”. Ezen táblák lekérdezése: “iptables -L -vn -t nat” és “iptables -L -vn -t mangle”
• 3.sor törli az üres láncokat (-F miatt már mind üres)
• 4.5.6.sor beállítja a policy-ket DROP-ra. Én ezt ajánlom. először mindent tiltsunk, és csak azt engedélyezzük, amire szükség van. Van aki mindent engedélyez, és tiltja azokat amik tilosak. Kevesebb szabály van ha az első megoldást választjuk, és biztonságosabb is.

Az INPUT és az OUTPUT láncot is azzal célszerű kezdeni, hogy a lo (localhost) felé és felől engedünk mindent:

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

Az “iptables” a program neve. A “-A INPUT|OUTPUT” mondja meg, hogy melyik láncra érvényes a szabály. A “-i” és “-o” a bejövő és kimenő interfészt jelenti. Vagyis a “-i lo” = bejövő interfész a localhost.”-j ACCEPT” határozza meg a csomagok sorsát amik illeszkednek erre a szabályra. a sorsok lehetnek: ACCEPT; DROP.

Amit még fontos betenni minden tűzfal szabályok közé:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

A “-m state ?state ESTABLISHED,RELATED” a csomag állapotára utal. Vagyis azokra a csomagokra vonatkozik a szabály amik tőlünk indult csomagokra érkező válaszok. Tehát nem lehet köztük NEW (syn) csomag. Az állapotkövető szabályok egy táblázatot tartanak nyilván a kapcsolatok állapotárol, és onnan hozzák meg a döntéseiket.
Jó tanács, hogy kifelé sem engedünk minden NEW csomagot, hiszen egy jó tűzfalban szűrni kell az OUTPUT láncot is. Vannak akik ezzel nem értenek egyet. (szerintem meg ne ezen spóroljunk)

Tűzfal beállítása

Most mérjük fel az igényeket, mert ettől a ponttól egyedi esetek állhatnak fent. Most számoljunk azzal, hogy a szkriptet készítő felhasználó a következőket szeretné: internet (HTTP, HTTPS), msn, irc, levelezés és FTP.

Internet:

• 80(HTTP)/tcp
• 443(HTTPS)/tcp

iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
# Későbbi részben szó lesz róla, de a következő forma az ajánlott:
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT

Ez egy egyszerű szabály ami kiengedi azokat a csomagokat amik TCP csomagok (-p tcp) és a célportjuk 80 és 443 (–dport 80|443). A 443-as port a HTTPS portja. Csakhogy ezzel még nem fok működni a böngészés, hiszen ezt a lépést megelőzi az IP cím felderítés (felodás [resolve]) DNS segítségével.

iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

Így most már kiengedjük az 53-as célportú udp csomagokat is, amik a DNS szerverek felé mennek majd. A válasz befogadásáról nem kell külön gondoskodnunk, hiszen már van egy erre a célra írt szabályunk. (iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT, ezt a sort érdemes az OUTPUT lánc legelejére tenni (az lo lánc szabály után) mivel a legtöbb csomag valoszinűleg erre fog matchelni, s így nem kell áthladnia az összes többi láncon)

MSN:

• 1863/tcp

iptables -A OUTPUT -p tcp --dport 1863 -j ACCEPT

IRC:

• 6667/tcp

iptables -A OUTPUT -p tcp --dport 6667 -j ACCEPT

Levelezés:

• 25 (SMTP)/tcp
• 465(SMTPS)/tcp
• 143(IMAP)/tcp
• 993(IMAPS)/tcp
• 110(POP3)/tcp
• 995(POP3S)/tcp

1
2
3
4
5
6

iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 465 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 143 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 993 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 995 -j ACCEPT

FTP:

• 20 (FTP-ADAT)/tcp
• 21 (FTP)/tcp

iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
modprobe ip_conntrack_ftp

A 3. sor egy FTP-hez szükséges modul betöltése. Pontosabban a passzív FTP működéséhez.
Itt nem téma az FTP részletes bemutatása, de talán megérne egy cikket. Mivel én is eltévesztettem,
ezért utána néztem, s azt láttam, hogy sok fórumban keverték a kettőt.
Tehát a modul betöltése nélkül csak aktív ftp fog működni, de a klienek általában a passzív módot támogatják, legalább is alapértelmezetten. Aktív kapcsolathoz elég a 20 és 21-es TCP port megnyitása, míg passzív kapcsolathoz a kliens kezdeményez egy új kapcsolatot egy véletlen portra (amit a szerver jelöl ki és küld el a kliens számára) a command csatornán(21)) 1024 felett.

Összefoglalás

Összefoglalva és egyszerűsítve:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

#!/bin/bash
 
# modulok betolltese
modprobe ip_conntrack_ftp
 
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
# INPUT lanc
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state ?state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j LOG --log-prefix "INPUT_DROP: "
iptables -A INPUT -j DROP
 
# OUTPUT lanc
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m state ?state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dport 20,21,25,80,110,143,443,465,993,995,1863,6667 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -j LOG --log-prefix "OUTPUT_DROP: "
iptables -A OUTPUT -j DROP

Lényegében ez egy nagyon egyszerű, de a semminél mégis lényegesen több tűzfal. Mind a két láncban van két utolsó “ismeretlen” szabály.
15. és 24. sor: sorsa LOG. Loggol minden csomagot ami nem illeszkedett egyetlen szabályra sem.
16. és 25. sor: Loggolás után eldob minden csomagot ami egyetlen előző szabálya sem illeszkedett. Igazából ez felesleges a default policy miatt, de hát a paranoia… :)

Tipp: A logot ki lehet kapcsolni, de én ezzel a módszerrel derítettem ki, hogy egyes alkalmazások milyen portokon szeretnének kommunikálni. A módszer:

tail -f /var/log/messages

Hagyni kell had fusson, majd elindítani a kérdéses alkalmazást és figyelni kell, milyen csomagokat dob el. A log-ban benne lesz, hogy milyen cél vagy forrás portot igényel és az tcp vagy udp -e.

Én szeretem bekapcsolva hagyni a logot, de hogy mégsem legyen sok felesleges log, van még pár szabály a tűzfalamban:

iptables -A INPUT -p tcp -m multiport  --dport 135,137,139,445,1026,1027,5900,6881 -j DROP
iptables -A INPUT -p udp -m multiport  --dport 135,137,139,445,1026,1027,5900 -j DROP

Ezeket a 14. sor elé tettem be. Így ezeket a csomagokat log nélkül eldobja, még mielőtt a kapcsolatállapot táblázatban kutakodna, értékes erőforrást pazarolva :)

• 135 /tcp – epmap, # Location Service
• 137 /tcp – netbios-ns, # NETBIOS Name Service
• 139 /tcp – netbios-ssn # NETBIOS session service
• 445 /tcp – microsoft-ds # Microsoft Naked CIFS
• 1026/tcp – nem szabványos port
• 1027/tcp – nem szabványos port
• 135 /udp – epmap,
• 137 /udp – netbios-ns,
• 139 /udp – netbios-ssn
• 445 /udp – microsoft-ds
• 1026/udp – nem szabványos port
• 1027/udp – nem szabványos port

Ezzel kész egy egyszerű tűzfal szkript ami a /usr/local/sbin/firewall_start.sh fájlban van.

Tűzfal automatikus indítása.
Elegánsabb megoldás, ha a tűzfal kézi inditása után kiadjuk a következő parancsot:

# Kimentéshez
sudo iptables-save > /etc/iptables.rules
 
# Visszatöltéshez
sudo iptables-restore < /etc/iptables.rules

Hol hasznos ez? Firewall szkriptünk /usr/local/sbin/firewall_start.sh utolsó sorába a következőt illesszük be:

# Ha létezik, töröljük.
if test -r /etc/iptables.rules; then
    rm -f /etc/iptables.rules
fi
 
#Tűzfal mentése
iptables-save -c > /etc/iptables.rules
if test -r /etc/iptables.rules; then
    echo "Tűzfal mentése sikeres!"
fi

Így nem az “iptables”-t kell hívogatni és a kimentett iptables.rules fájlt is lehet szerkeszteni. Sőtt, a fájlt megnézve hamar hozzá lehet szokni, és lehet eleve igy elkésziteni a szkriptet, de én ettől eltekintenék, ugyanis hátránya pl, hogy nehéz kommentezni, konnyen átláthatatlanná válik… Szerintem maradjon meg az eredeti fájl is amit szerkesztünk, majd futtatjuk, lementjuk es a továbbiakban azt töltjük vissza rendszerindításkor.

Visszatérve az automatikus indításhoz. A következőkben leírt megoldás azért is jó, mert nem kell kitallni az indulás idejét. Pontosan akkor fog felállni a tűzfal amikor az interfészek is felállnak.

sudo mcedit /etc/network/interfaces

tegyük a következő két sort a megfelelő interfészhez. pre-up iptables-restore < /etc/iptables.rules
post-down iptables-save -c > /etc/iptables.rules

Tehát a teljes konfig rész kb így néz ki:

auto eth0
iface eth0 inet static
      address 192.168.2.1
      network 255.255.255.0
      broadcast 192.168.2.255
      pre-up iptables-restore < /etc/iptables.rules
      post-down iptables-save -c > /etc/iptables.rules

Tipp: Az összess port listáját meg lehet nézni a /etc/services fájlban.

Minden esetben csak simán az "iptables" parancsot használtam. Sokan más formában írják meg, és talán igazuk van.
A szkript elején létrehozzák a parancsok változóit. Az iptables parancs helye: (which iptables) /sbin/iptables

Tehát a szkript eleje így néz ki:

1
2
3
4
5
6
7
8
9
10
11
12

#!/bin/bash
 
# valtozok deklaralasa
IPTABLES=$(which iptables)
# modulok betolltese
modprobe ip_conntrack_ftp
 
$IPTABLES -F
$IPTABLES -X
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

Jól látszik, hogy most már a $IPTABLES változóval hivatkozok a programra.

Végezetül, szükséges lehet egy szkript ami mindent visszaállít az eredeti állapotra:

echo "Tűzfal leállítása, és mindent engedélyezünk"
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

Ez lehet pl a /root/fw.stop fájlban.

A fentiek alapján készítettem egy használható szkriptet, most ki is próbáltam.

http://pastebin.com/f1178aaad

Ellenőrzések

A szabályokat megnézhetjük a következő parancs segítségével:

iptables -L

# -L után megadható egy lánc neve is (iptables -L OUTPUT -vn)
iptables -L -vn
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
[...]
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 state NEW
40 2400 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW

Azt látjuk ebben a kimenetben, hogy a tcp/80-as portot használom, már 40 csomag, azaz 2400 byte (2,3KByte) már kiment rajta.
Viszont nem használtam még a 25-ös portot. (Mert nincs bekapcsolva a levelezőm :))

Az naplózott csomagokat a messages logban figyelhetjük meg:

sudo tail -f /var/log/messages

Apr 18 04:20:53 budacsika-laptop kernel: [  107.953276] OUTPUT_DROP: IN= OUT=wlan0 SRC=192.168.2.100 DST=91.189.94.4 LEN=76 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=123 DPT=123 LEN=56
Apr 18 04:25:16 budacsika-laptop kernel: [  370.643450] INPUT_DROP: IN=wlan0 OUT= MAC=00:21:5d:55:a6:16:00:13:f7:1e:8f:8b:08:00 SRC=166.87.164.37 DST=192.168.2.100 LEN=46 TOS=0x00 PREC=0x00 TTL=103 ID=3816 PROTO=UDP SPT=49252 DPT=31323 LEN=26

Van egy eldobott NTP csomagom, amit azóta kiengedtem. A másk (bejövő) csomag valószínűleg jól van úgy, ha nem jön be. De ha tudni szeretnénk, hogy kicsoda, talán megtudhatjuk a következő módon:

host 166.87.164.37

Sajnos ez esetben nem :(

Vagy

whois 166.87.164.37

Amsterdam-i IP cím, mint kiderült. Viszont a whois-nak kell a TCP 43-as portot kiengedni.

Ne felejts le lapozni a folytatásért!

Grafikus felületen

Kattintsunk jobb egérgombbal a Sajátgépre, majd válasszuk a Hálózati meghajtó csatlakoztatása… menüpontot.

Jobb egérgomb a Sajátgépen

A következő ablakban adhatjuk meg, hogy milyen betűjele legyen a hálózati meghajtónak, valamint magának a hálózati meghajtónak az elérési útját.

A megosztás elérési útját úgy tudjuk meg, hogy megkeressük a megosztást, belemegyünk, majd a címsorból kimásoljuk azt.

Ha a Bejelentkezéskor újracsatlakozás opció be van pipálva, akkor a következő Windows indításkor is megpróbálja felcsatolni a hálózati meghajtót. Ha nincs bepipálva, akkor csak erre a munkamenetre lesz érvényes a beállítás.

Hálózati meghajtó csatlakoztatása

A Befejezés gombra kattintva megjelenik a Start menüben a hálózati meghajtó.

Windows XP Sajátgép hálózati meghajtóval

A hálózati meghajtó megszüntetéséhez kattintsunk a Sajátgépben a meghajtóra, majd válasszuk a Kapcsolat bontása opciót.

Hálózati meghajtó leválasztása

Parancssorból

Mindezeket a műveleteket parancssorból is egyszerűen elvégezhetjük a következő parancsok segítségével:

net use X: \szervermegosztás /PERSISTENT:YES

Ahol az X: a csatlakoztatni kívánt meghajtóbetűjel, a \szervermegosztás a hálózati megosztás elérési útja (UNC), és a /PERSISTENT:YES kapcsoló felel azért, hogy tartós legyen a kapcsolat, tehát újraindításkor is megmaradjon.

Törléshez:

net use X: /DELETE

Ahol X: a csatlakoztatott hálózati meghajtó betűjele, és a /DELETE opció felelős a törlésért.

Azonban ez Windows XP-ben általában nincs bekapcsolva, sőt, néha menüből be se lehet kapcsolni. Ha bekapcsoljuk ezt a processzort, akár még nőhet is a hálózati átvitel, mivel közvetlenül a hálókártya számolja ki a szükséges dolgokat.

Ha támogatja az eszköz drivere a menüből bekapcsolást

Először nézzük meg, hogy be lehet e menüből kapcsolni ezt a szolgáltatást. Indítsuk el az Eszközkezelőt (jobb egérgomb a Sajátgépen, majd Tulajdonságok, és itt a Hardver fül), majd a hálózati kártyán kattintsunk kettőt, hogy megnyíljon a tulajdonsága. Itt kattintsunk a Speciális fülre.

Hálókártya tulajdonságai

Itt a listában keressünk olyat, hogy:

• Send Offload
• Check Offload
• checksum Offload

tehát az offload (tehermentesítés) szó szerepeljen az opcióba. Ha csak Enable és Disable (vagy engedélyezés és letiltás) opció van, akkor tegyük Enabledre (vagy engedélyez). Amennyiben külön lehet állítani küldésre (Tx) és fogadásra (Rx) akkor engedélyezzük mindkettőre (pl. Rx and Tx enable)

Broadcom NIC aminek menüből lehet bekapcsolni ezt a funkcióját

Ha nem…

Ha menüből nem, akkor egy regisztrációs adatbázis módosítással tudjuk bekapcsolni ezt a funkciót. Ehhez nyissuk meg a Regisztrációs adatbázis szerkesztőt (regedit) úgy, hogy a Start menü Futtatásba beírjuk, hogy: regedit (természetesen rendszergazdai jogokkal)

Futtatás

Majd keressük meg a következő kulcsot:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

Majd ezen belül hozzunk létre egy DisableTaskOffload duplaszót. Ehhez kattintsunk a Parameters kulcson jobb egérgombbal, majd válasszuk az új, Duplaszó opciót.

Új duplaszó létrehozása

Névnek pedig adjuk meg: DisableTaskOffload

Kattintsunk rá kettőt, majd értéke pedig 0 (nulla) legyen.

DisableTaskOffload duplaszó és értéke

Zárjuk be a regisztrációs adatbázis szerkesztőt, majd indítsuk újra a Windowst. Ha valami nem úgy működne ahogy azelőtt, csak töröljük a most létrehozott duplaszót.

Webkiszolgálónak a szokásos Apache, PHP, MySQL kerül telepítésre, levelezéshez a Postfix, Courier, Squirrelmail (webes mail kliensnek), FTP szervernek a PureFTPd.

A vírusirtásról a Clamav, míg a spam mentességről a Amavisd-new, SpamAssassin lesznek a felelősek.

A leírásban a szerver IP címe 192.168.1.100 lesz, domain neve pedig server1.otthon.local

Szükség lesz egy alap Ubuntu 8.10 Server telepítésre. Erről leírást itt találsz.

Szerezzünk magunknak egy root jogú konzolt a következő paranccsal:

sudo -s

Állítsuk be megfelelően a hálózatot is, valamint frissítsük a rendszert.

Ehhez használjuk a következő parancsokat:

apt-get update
apt-get upgrade
apt-get dist-upgrade

Változtassuk meg az alapértelmezett shellt:

ln -sf /bin/bash /bin/sh

Erre az ISPConfig miatt van szükség.

Tiltsuk le, majd távolítsuk el az AppArmor szolgáltatást.

/etc/init.d/apparmor stop
update-rc.d -f apparmor remove
aptitude remove apparmor apparmor-utils

Szinkronizáljuk a gépünk óráját az interneten található időkiszolgálókhoz. Először telepítsük az ehhez szükséges klienst:

aptitude install ntp ntpdate

Postfix, Courier, Saslauthd, MySQL, phpMyAdmin, rkhunter, binutils csomagok telepítése

aptitude install postfix postfix-mysql postfix-doc mysql-client mysql-server courier-authdaemon courier-authlib-mysql courier-pop courier-pop-ssl courier-imap courier-imap-ssl libsasl2-2 libsasl2-modules libsasl2-modules-sql sasl2-bin libpam-mysql openssl maildrop getmail4 rkhunter binutils

A MySQL telepítésekor néhány kérdésre válaszolnunk kell:

• New password for the MySQL “root” user: root jelszó
• Repeat password for the MySQL “root” user: root jelszó
• Create directories for web-based administration? <– Nem
• General type of mail configuration: <– Internet Site
• System mail name: <– domain nevünk (server1.otthon.local)
• SSL certificate required <– Ok

Ha kész a telepítés be kell állítanunk, hogy a MySQL minden hálózati interfészen hallgasson

nano /etc/mysql/my.cnf

Keressük meg a következő sort:

bind-address           = 127.0.0.1

Majd rakjunk elé egy # jelet (kikommentezzük).

Indítsuk újra a MySQL szervert

/etc/init.d/mysql restart

Majd ellenőrizzük, hogy mindenhol figyel

netstat -tap | grep mysql

Ilyesmit kell látnunk:

root@server1:~# netstat -tap | grep mysql
tcp 0 0 *:mysql *:* LISTEN 10447/mysqld
root@server1:~#

A telepítés közben létrejöttek SSL tanúsítványok, azonban az ezekben a localhost domain név szerepel. Így ezeket ki kell törölni, majd létrehozni egy helyeset.

cd /etc/courier
rm -f /etc/courier/imapd.pem
rm -f /etc/courier/pop3d.pem

Majd módosítsuk az alábbi két fájlt úgy, hogy a CN=localhost sort írjuk át CN=server1.otthon.local (vagy ami a saját domain nevünk) sorra. Egyéb értékeket is módosíthatunk ha tudjuk mik azok.

nano /etc/courier/imapd.cnf

Majd a következő fájlban is ugyanezeket a módosításokat tegyük meg

nano /etc/courier/pop3d.cnf

Hozzuk létre a tanúsítványokat

mkimapdcert
mkpop3dcert

Majd indítsuk újra a Courier-IMAP-SSL és Courier-POP3-SSL szolgáltatásokat

/etc/init.d/courier-imap-ssl restart
/etc/init.d/courier-pop-ssl restart

Amavisd-new, SpamAssassin, és Clamav telepítése

aptitude install amavisd-new spamassassin clamav clamav-daemon zoo unzip bzip2 arj nomarch lzop cabextract apt-listchanges libnet-ldap-perl libauthen-sasl-perl clamav-docs daemon libio-string-perl libio-socket-ssl-perl libnet-ident-perl zip libnet-dns-perl

Apache2, PHP5, phpMyAdmin, FCGI, suExec, Pear, és mcrypt telepítése

aptitude install apache2 apache2.2-common apache2-doc apache2-mpm-prefork apache2-utils libexpat1 ssl-cert libapache2-mod-php5 php5 php5-common php5-gd php5-mysql php5-imap phpmyadmin php5-cli php5-cgi libapache2-mod-fcgid apache2-suexec php-pear php-auth php5-mcrypt mcrypt php5-imagick imagemagick libapache2-mod-suphp

A Web server to reconfigure automatically kérdésre válasszuk az apache2 opciót.

Engedélyezzük az suexec, rewrite, ssl, actions, és include Apache modulokat

a2enmod suexec rewrite ssl actions include

Töröljük a phpMyAdminhoz tartozó /etc/phpmyadmin/htpasswd.setup fájlt a biztonság érdekében

rm -f /etc/phpmyadmin/htpasswd.setup

Majd nyissuk meg szerkesztésre az Apache konfigurációs fájlját:

nano /etc/phpmyadmin/apache.conf

és távolítsuk el a következő részt (töröljük ki)

       # Authorize for setup
       <Files setup.php>
           # For Apache 1.3 and 2.0
           <IfModule mod_auth.c>
               AuthType Basic
               AuthName "phpMyAdmin Setup"
               AuthUserFile /etc/phpmyadmin/htpasswd.setup
           </IfModule>
           # For Apache 2.2
           <IfModule mod_authn_file.c>
               AuthType Basic
               AuthName "phpMyAdmin Setup"
               AuthUserFile /etc/phpmyadmin/htpasswd.setup
           </IfModule>
           Require valid-user
       </Files>

Majd indítsuk újra az Apache kiszolgálót

/etc/init.d/apache2 restart

PureFTPd és kvóta telepítése

aptitude install pure-ftpd-common pure-ftpd-mysql quota quotatool

Szerkesszük a /etc/default/pure-ftpd-common fájlt

nano /etc/default/pure-ftpd-common

Majd a következő két sort keressük meg és módosítsuk az alább látható értékekre

STANDALONE_OR_INETD=standalone
...
VIRTUALCHROOT=true

Indítsuk újra a PureFTPd kiszolgálót

/etc/init.d/pure-ftpd-mysql restart

nyissuk meg szerkesztésre az /etc/fstab fájlt.

/etc/fstab

Itt keressük meg a / partíciónk csatolási sorát, majd adjuk a sor végére a ,usrquota,grpquota opciókat. Itt most a /dev/sda1 utáni sor lesz az.

# /etc/fstab: static file system information.
#
proc            /proc           proc    defaults        0       0
# /dev/sda1
UUID=e7f9e640-1254-462f-b314-6471ce83db4d /               ext3    relatime,errors=remount-ro,usrquota,grpquota 0       1
# /dev/sda5
UUID=32b41e4e-4d4a-4825-8922-27e8c6aeeb45 none            swap    sw              0       0
/dev/scd0       /media/cdrom0   udf,iso9660 user,noauto,exec,utf8 0       0

Kvóta engedélyezése:

touch /quota.user /quota.group
chmod 600 /quota.*
mount -o remount /

quotacheck -avugm
quotaon -avug

MyDNS telepítése

függőségek telepítése

aptitude install g++ libc6 gcc gawk make texinfo libmysqlclient15-dev

Töltsük le a MyDNS forrását, és telepítsük (sajnos nem elérhető deb csomagban Ubuntu alá)

cd /tmp
wget http://heanet.dl.sourceforge.net/sourceforge/mydns-ng/mydns-1.2.8.27.tar.gz
tar xvfz mydns-1.2.8.27.tar.gz
cd mydns-1.2.8
./configure
make
make install

Hozzunk létre egy indító szkriptet a program számára

nano /etc/init.d/mydns

A tartalma a következő legyen:

#! /bin/sh
#
# mydns         Start the MyDNS server
#
# Author:       Philipp Kern <phil@philkern.de>.
#               Based upon skeleton 1.9.4 by Miquel van Smoorenburg
#               <miquels@cistron.nl> and Ian Murdock <imurdock@gnu.ai.mit.edu>.
#
 
set -e
 
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
DAEMON=/usr/local/sbin/mydns
NAME=mydns
DESC="DNS server"
 
SCRIPTNAME=/etc/init.d/$NAME
 
# Gracefully exit if the package has been removed.
test -x $DAEMON || exit 0
 
case "$1" in
  start)
        echo -n "Starting $DESC: $NAME"
        start-stop-daemon --start --quiet
                --exec $DAEMON -- -b
        echo "."
        ;;
  stop)
        echo -n "Stopping $DESC: $NAME"
        start-stop-daemon --stop --oknodo --quiet
                --exec $DAEMON
        echo "."
        ;;
  reload|force-reload)
        echo -n "Reloading $DESC configuration..."
        start-stop-daemon --stop --signal HUP --quiet
                --exec $DAEMON
        echo "done."
        ;;
  restart)
        echo -n "Restarting $DESC: $NAME"
        start-stop-daemon --stop --quiet --oknodo
                --exec $DAEMON
        sleep 1
        start-stop-daemon --start --quiet
                --exec $DAEMON -- -b
        echo "."
        ;;
  *)
        echo "Usage: $SCRIPTNAME {start|stop|restart|reload|force-reload}" >&2
        exit 1
        ;;
esac
 
exit 0

Tegyük futtathatóvá, és adjuk hozzá a rendszerindító szkriptek közé

chmod +x /etc/init.d/mydns
update-rc.d mydns defaults

Vlogger és Webalizer telepítése

aptitude install vlogger webalizer

Jailkit telepítése

A Jailkitre azért van szükség, hogy be tudjuk zárni megadott helyre az SSH felhasználókat.

Ezt mindenképp az ISPConfig telepítése előtt kell telepítenünk, utólag már nem lehet!

aptitude install build-essential autoconf automake1.9 libtool flex bison

Töltsük le a forrását, és telepítsük

cd /tmp
wget http://olivier.sessink.nl/jailkit/jailkit-2.5.tar.gz
tar xvfz jailkit-2.5.tar.gz
cd jailkit-2.5
./configure
make
make install
cd ..
rm -rf jailkit-2.5*

fail2ban telepítése

Ez egy opcionális kiegészítő. Ha telepítjük, akkor az ISPConfig ki tudja tiltani azokat az IP címeket, ahonnét jelszópróbálkozások történnek.

aptitude install fail2ban

SquirrelMail webmail telepítése

aptitude install squirrelmail squirrelmail-locales

rakjunk be az apache által látott helyre egy linket

ln -s /usr/share/squirrelmail/ /var/www/webmail

Majd állítsuk be

squirrelmail-configure

A megjelenő menünél nyomjunk egy D betűt, majd enter (Set pre-defined settings for specific IMAP servers opcióhoz).

A következő opciónál írjuk be, hogy: courier
majd enter, és ezután mikor kiírja, hogy Press any key to continue… nyomjunk le egy billentyűt.

A főmenüben nyomjunk S betűt a mentéshez, majd Q a kilépéshez.

Mostmár elérjük a SquirrelMail felületét a http://server1.otthon.local/webmail vagy http://192.168.1.100/webmail címen (természetesen ha otthon más domainünk vagy ip címünk van, akkor azon).

ISPConfig 3 telepítése

Töltsük le a legutolsó verziót és telepítsük azt.

cd /tmp
wget http://downloads.sourceforge.net/ispconfig/ISPConfig-3.0.1.1.tar.gz?use_mirror=
tar xvfz ISPConfig-*.tar.gz
cd ispconfig3_install/install/

Ha SVN-ből szeretnénk telepíteni:
Telepítsük az ahhoz szükséges programot

aptitude install subversion

Majd szedjük le az ISPConfigot

cd /tmp
svn export svn://svn.ispconfig.org/ispconfig3/trunk/
cd trunk/install

Telepítsük az ISPConfigot:

php -q install.php

Ilyet fogunk látni. Ahol ki van emelve, azt nekünk kell megadni.

——————————————————————————–
_____ ___________ _____ __ _
|_ _/ ___| ___ / __ / _(_)
| | `–.| |_/ / | / / ___ _ __ | |_ _ __ _
| | `–. __/ | | / _ | ‘_ | _| |/ _` |
_| |_/__/ / | | __/ (_) | | | | | | | (_| |
___/____/_| ____/___/|_| |_|_| |_|__, |
__/ |
|___/
——————————————————————————–

>> Initial configuration

Operating System: Debian Lenny/Sid or compatible

Following will be a few questions for primary configuration so be careful.
Default values are in [brackets] and can be accepted with <ENTER>.
Tap in “quit” (without the quotes) to stop the installer.

Select language (en,de) [en]: <– ENTER

Installation mode (standard,expert) [standard]: <– ENTER

Full qualified hostname (FQDN) of the server, eg server1.domain.tld [server1.example.com]: <– ENTER

MySQL server hostname [localhost]: <– ENTER

MySQL root username [root]: <– ENTER

MySQL root password []: <– MySQL root jelszó

MySQL database to create [dbispconfig]: <– ENTER

MySQL charset [utf8]: <– ENTER

Generating a 2048 bit RSA private key
………………………………………………….+++
.+++
writing new private key to ’smtpd.key’
—–
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]: <– HU, majd ENTER
State or Province Name (full name) [Some-State]: <– Megye neve
Locality Name (eg, city) []: <– Város neve
Organization Name (eg, company) [Internet Widgits Pty Ltd]: <– domain név
Organizational Unit Name (eg, section) []: <– ENTER
Common Name (eg, YOUR name) []: <– név
Email Address []: <– email cím
Configuring Jailkit
Configuring SASL
Configuring PAM
Configuring Courier
Configuring Spamassassin
Configuring Amavisd
Configuring Getmail
Configuring Pureftpd
Configuring MyDNS
Configuring Apache
Configuring Firewall
Installing ISPConfig
ISPConfig Port [8080]: <– ENTER

Configuring DBServer
Installing Crontab
no crontab for root
no crontab for getmail
Restarting services …
* Stopping MySQL database server mysqld
…done.
* Starting MySQL database server mysqld
…done.
* Checking for corrupt, not cleanly closed and upgrade needing tables.
* Stopping Postfix Mail Transport Agent postfix
…done.
* Starting Postfix Mail Transport Agent postfix
…done.
* Stopping SASL Authentication Daemon saslauthd
…done.
* Starting SASL Authentication Daemon saslauthd
…done.
Stopping amavisd: amavisd-new.
Starting amavisd: amavisd-new.
* Stopping ClamAV daemon clamd
…done.
* Starting ClamAV daemon clamd
LibClamAV Warning: ***********************************************************
LibClamAV Warning: *** This version of the ClamAV engine is outdated. ***
LibClamAV Warning: *** DON’T PANIC! Read http://www.clamav.net/support/faq ***
LibClamAV Warning: ***********************************************************
…done.
* Stopping Courier authentication services authdaemond
…done.
* Starting Courier authentication services authdaemond
…done.
* Stopping Courier IMAP server…
…done.
* Starting Courier IMAP server…
…done.
* Stopping Courier IMAP-SSL server…
…done.
* Starting Courier IMAP-SSL server…
…done.
* Stopping Courier POP3 server…
…done.
* Starting Courier POP3 server…
…done.
* Stopping Courier POP3-SSL server…
…done.
* Starting Courier POP3-SSL server…
…done.
* Restarting web server apache2
… waiting …done.
Restarting ftp server: Running: /usr/sbin/pure-ftpd-mysql-virtualchroot -l mysql:/etc/pure-ftpd/db/mysql.conf -l pam -E -u 1000 -O clf:/var/log/pure-ftpd/transfer.log -b -A -B
Installation completed.
root@server1:/tmp/ispconfig3_install/install#

Ezután már elérjük az ISPConfig admin felületét a következő címen: http://server1.otthon.local:8080/ vagy http://192.168.1.100:8080/ Tehát a 8080-as porton fog futni.

Bejelentkezéshez használjuk az admin felhasználónevet és admin jelszót.

Most már készen áll a rendszer a használatra.

Amire szükségünk van első lépésben: egy telepített linux, hálózat, és egy PXE bootolásra képes kliens. Gyakorlatilag bármilyen disztribúció megfelel, én OpenSuSE 10.3-on telepítettem.

Készítsük elő a telepítőt:

Az egyszerűség kedvéért most a tűzfalat kapcsoljuk ki, ha van:

# rcSuSEfirewall2 stop
Shutting down the Firewall                                   done

Hozzuk létre a gyökérkönyvtárban egy tftpboot könyvtárat, majd másoljuk egy winxp könyvtárba ide az XP telepítő cdről az i386 könyvtárat. Ezután állítsuk be rá rekurzívan a 777 jogot, majd menjünk be a könyvtárba:

chmod -R 777 /tftpboot
cd /tftpboot

A cabextract alapból nem része a rendszernek. Amennyiben nincs telepítve, egyszerűen felrakhatjuk:

zypper install cabextract

Csomagoljuk ki a tömörített pxe betöltőt a cabextract segítségével:

cabextract i386/STARTROM.N1_

A kicsomagolt fájlban módosítsuk az NTLDR fájlnevet XPLDR-re:

sed -i -e 's/NTLDR/XPLDR/gi' startrom.n12

Nevezzük át a fájlt winxp.0 névre:

mv startrom.n12 winxp.0

Tömörítsük ki a telepítés-betöltőt:

cabextract i386/SETUPLDR.EX_

A kitömörített telepítésbetöltőben módosítsuk az információs fájl nevét winxp.sif-re:

sed -i -e 's/winnt.sif/winxp.sif/gi' setupldr.exe

Szintén a telepítésbetöltőben módosítsuk az ntdetect.com nevét ntdetect.wxp-re:

sed -i -e 's/ntdetect.com/ntdetect.wxp/gi' setupldr.exe

Nevezzük át a fájlt XPLDR névre:

mv setupldr.exe XPLDR

Másoljuk át az ntdetect.com-ot az i386 könyvtárból a tftp gyökérbe ntdetect.wxp néven:

cp i386/NTDETECT.COM ntdetect.wxp

Hozzuk létre a winxp.sif fájlt, és írjuk bele a tartalmat:

# cat >> winxp.sif << EOF
[data]
floppyless = "1"
msdosinitiated = "1"
OriSrc = "\xenaxpinstallwinxpi386"
OriTyp = "4"
LocalSourceOnCD = 1
DisableAdminAccountOnDomainJoin = 1

[SetupData]
OsLoadOptions = "/fastdetect"
SetupSourceDevice = "DeviceLanmanRedirectorxenaxpinstallwinxp"

[RemoteInstall]
Repartition = No
UseWholeDisk = No

[UserData]
ComputerName = *
EOF

A xena az a név, amellyel a samba szerver elérhető (lásd később), az xpinstall pedig a tftpboot megosztása (szintén később), szintén módosítható.

Már majdnem készen vagyunk, egy dolog hiányzik még: a kliens gépben lévő hálózati kártya drivere. Én a gépbe egy klasszikus Realtek 8139C kártyát tettem, ennek a gyártó honlapján lévő zipfájlba a WINXP mappában ott van az INF és SYS fájl, több nem is kell. (feltöltöttem ide is azért: http://www.2shared.com/file/4969216/f91cb0cc/relatek-002.html) A SYS fájlt másoljuk be az i386 mappába, az INF fájlt érdemes külön könytárban gyűjteni, pl. i386/inf (több hálózati kártya driverét is berakhatjuk természetesen, nem biztos hogy homogén a kliens környezet). Tegyük be ide az INF fájlt.

Ezzel a résszel megvagyunk.

Először is telepítsük fel, ha még nem lenne fent:

zypper install dhcp-server

Szerkesszük a /etc/dhcpd.conf fájlt. Minden jelenleg benne lévő subnet bejegyzést kommenteljünk ki, majd írjuk be az alábbiakat:

subnet 192.168.33.0 netmask 255.255.255.0 {
  range 192.168.33.10 192.168.33.30;
  option domain-name-servers 192.168.33.4;
  option domain-name "hnsz";
  option routers 192.168.33.4;
  option broadcast-address 192.168.33.255;
  default-lease-time 43200;
  max-lease-time 86400;

  filename "winxp.0";
  server-name "xena";
  next-server xena;
}

A subnetet, dns szervert, gatewayt persze mindenki igazítsa a saját hálózatához. A server-name és next-server résznél a xena nevet a ris szerver ip címére kell cserélni abban az esetben, ha nincs dns, vagy ezt nem oldja fel. Ha van belső dns, akkor megadható a ris szerver dns neve is. (Nálam a bind a xena nevet is a 192.168.33.4 ip címre oldja fel)
Mentsük el a fájlt, majd indítsuk újra a dhcp szervert:

# rcdhcpd restart
Shutting down DHCP server                                             done
Starting DHCP server [chroot]                                         done

Ezzel beállítottuk a dhcp-t is.

Telepítsük ezt is, ha nem lenne fent:

zypper install samba

A jelenlegi konfigot mentsük el valami más néven, majd az smb.conf-ba írjuk bele a következőket:

# cd /etc/samba
# mv smb.conf smb.conf.orig
# cat >> smb.conf << EOF
[global]
    workgroup = HNSZ
    netbios name = Xena
    server string = Xena
    security = share
    interfaces = 192.168.33.4/255.255.255.0
    bind interfaces only = yes
    case sensitive = no
[xpinstall]
    browsable = true
    path = /tftpboot
    read only = no
    guest ok = yes
    null passwords = true
EOF

Ezzel beállítottuk a munkacsoportot, a gép netbios nevét, mellyel elérhető, illetve csináltunk egy xpinstall megosztás, ami a /tftpboot könyvtárat osztja meg, ahol a telepítő található. (az itt megadott nevet és elérést kell a winxp.sif fájlban megadni, lásd fentebb)
Indítsuk újra a netbios és a samba szervert:

# rcnmb restart && rcsmb restart
Shutting down Samba NMB daemon                                        done
Starting Samba NMB daemon                                             done
Shutting down Samba SMB daemon                                        done
Starting Samba SMB daemon                                             done

Ezzel kész a samba beállítása is.

Ez az a pont, amivel a legtöbbet küzdöttem, mire rájöttem a titok nyitjára. A probléma alapvetően az (logfájlból egyébként látszik), hogy a windows a saját kis backslash-es elérésével kéri le a fájlokat a tftp-ről (pl. winxpi386txtsetup.sif). Erre ugyebár a szerver válasza a not found. Probléma szintén, hogy kis- és nagybetűs fájlnevek közt a windows nem tesz különbséget (NTFS tárolja, de a rendszer nem tesz különbséget), de a linux igen. Ennél fogva ha a kérés a tftp-nek i386txtsetup.sif akkor nem I386txtsetup.sif és nem I386TXTSETUP.SIF. Ebből érezheti mindenki, hogy egy kis trükközésre van szükség a tftp szervernél. A trükk egy patch alkalmazása.

Tftp szerverünk a tftp-hpa 0.48-as verziója lesz (ehhez találtam patchet; letölthető innen: http://www.2shared.com/file/4969233/bb4026c1/tftp-hpa_048origtar.html). Töltsük le, és mentsük a /usr/src könyvtárba, majd tömörítsük ki:

# cd /usr/src
# tar xzvf tftp-hpa_0.48.orig.tar.gz

Tölsük le hozzá a patchet innen: http://www.2shared.com/file/4969264/58534727/tftp-hpa-filecase.html. Mentsük szintén a /usr/src könyvtárba, majd alkalmazzuk a forrásra:

patch -p1 < tftp-hpa-filecase.diff

Ezután semmi nem tart vissza minket, hogy lefordítsuk kicsiny tftp szerverünket. A fordításhoz szükség van a header fájlokra, a fordítóra, és pár egyéb dologra, tegyük fel ezeket, ha nem lennének fent:

zypper install gcc gcc-c++ make automake autoconf kernel-headers

És akkor a fordítás:

# cd tftp-hpa-0.48
# ./configure && make && make install

Nálam hiba és warning nélkül pöccre lefordult.

A tftp szervert most xinetd-n állítjuk be. Ezt is telepítsük, ha nem lenne fent:

zypper install xinetd

Menjünk a /etc/xinetd.d könyvtárba, és hozzunk létre egy tftp fájlt a következő tartalommal:

# cd /etc/xinetd.d
# cat >> tftp << EOF
service tftp
{
        socket_type             = dgram
        protocol                = udp
        wait                    = yes
        user                    = root
        server                  = /usr/sbin/in.tftpd
        server_args             = -s /tftpboot -v
        disable                 = no
}
EOF

Az argumentumokba a -s kapcsolóval adjuk meg a tftp root könyvtárát. Amennyiben máshova tettük a telepítőt, ezt is a megfelelőre kell módosítanunk. A -v kapcsoló verbose mode… Ami ahogy én láttam nem verbose, úgy fogalmaznék, hogy normális loggolás. Így írja (alapból a /var/log/messages fájlba), hogy ki milyen fájlt kért. Enélkül semmi nincs, csak az xinetd logjában hogy connect, meg majd a végén disconnect.

Akkor indítsuk újra az xinetd szolgáltatást is, hogy mostmár a tftp démonunk is fusson:

# rcxinetd restart
Shutting down xinetd:                                                 done
Starting INET services. (xinetd)                                      done

Ezzel kész a tftp beállítása.

# ./infparser.py /tftpboot/winxp/i386/inf
Compiled 7 drivers
generated devlist.cache
generated nics.txt

Amennyiben az inf fájlokat ide tettük. Értelemszerűen módosítandó az elérési út.

Ezután indítsuk el a kiszolgáló scriptet, amely kommunikál a telepítővel, és átadja az információt a hálózati driverekről:

./binlsrv.py

Ezzel is megvagyunk.

Ezután módosítsuk a dhcp szerver beállításait, a
filename "winxp.0";

részt módosítsuk erre
filename "pxelinux.0";

Mentsük a fájlt, majd indítsuk újra a dhcp szervert.

# cd /tftpboot
# cabextract win2k/I386/startrom.n1_
# sed -i -e 's/NTLDR/2KLDR/gi' startrom.n12
# mv startrom.n12 win2k.0
# cabextract win2k/I386/setupldr.ex_
# sed -i -e 's/winnt.sif/win2k.sif/gi' setupldr.exe
# sed -i -e 's/ntdetect.com/ntdetect.w2k/gi' setupldr.exe
# mv setupldr.exe 2KLDR
# cp win2k/I386/ntdetect.com pxelinux.0ntdetect.w2k
# cat >> pxelinux.0win2k.sif << EOF
[data]
floppyless = "1"
msdosinitiated = "1"
OriSrc = "\xenaxpinstallwin2kI386"
OriTyp = "4"
LocalSourceOnCD = 1
DisableAdminAccountOnDomainJoin = 1

[SetupData]
OsLoadOptions = "/fastdetect"
SetupSourceDevice = "DeviceLanmanRedirectorxenaxpinstallwin2k"

[RemoteInstall]
Repartition = No
UseWholeDisk = No

[UserData]
ComputerName = *
EOF

(Az előző howtoban kicsit következetlen voltam, hogy a tftpboot-ot xpinstall néven osztottam meg. Szebb, módosítható más névre a megosztás az smb.conf-ban (pl. risinstall), de akkor minden sif fájlban is javítanunk kell!)

Megjegyzés: A windows 2000 pxe betöltője bugos. Az ntdetect.com (~ntdetect.w2k) és a winnt.sif (~win2k.sif) fájlnév elé hozzáfűzi a dhcp szervertől kapott pxe bootfájl nevét, ezért (jelen esetben) pxelinux.0ntdetect.w2k és pxelinux.0win2k.sif fájlokat fog kérni a tftp szervertől. Ezért van szükség a fájlnevek módosítására (más rendszerrel nincs ilyen bug).

fájlnevet megadva a windows 2000 telepítője, a winxp.0

beírva pedig az XP telepítője indul.

Töltsük le a netinstall imaget: http://download.opensuse.org/distribution/11.0/iso/cd/openSUSE-11.0-NET-x86_64.iso. Mountoljuk a letöltött iso fájlt tetszőleges helyre:

mount -o loop openSUSE-11.0-NET-x86_64.iso /mnt

Csináljunk egy külön könyvtárat, pl. /tftpboot/suse11.0_x64. Másoljuk ide a /mnt/boot/x86_64/loader könyvtárból a linux és initrd fájlokat.

A pxelinux promtjába suse11.0_x64/linux initrd=suse11.0_x64/initrd

lehet indítani.

Aki szeretné, egy memtestet is berakhat… Mindkét cdn megtalálható, a susen pl. /mnt/boot/x86_64/loader/memtest, másoljuk ezt a /tftpboot-ba.

Indítást: memtest

Töltsük le a netinstall cd imaget: mirror.chpc.utah.edu/pub/centos/5.4/isos/i386/CentOS-5.4-i386-netinstall.iso. Mountoljuk hasonlóképpen, mint a suset.
Hozzunk létre neki is egy külön könyvtárat, pl. /tftpboot/centos5.2. Másoljuk ide a /mnt/isolinux/ könyvtárból a vmlinuz és initrd.img fájlokat.

A pxelinux promtjába centos5.2/vmlinuz initrd=centos5.2/initrd.img

lehet indítani.

# cat /tftpboot/pxelinux.cfg/default
default suse11.0_x64
prompt 1
timeout 600
display pxelinux.cfg/boot.msg

label winxp
  kernel winxp.0
label win2k
  kernel win2k.0
label centos5.2
  kernel centos5.2/vmlinuz
  append initrd=centos5.2/initrd.img
label suse11.0_x64
  kernel suse11.0_x64/linux
  append initrd=suse11.0_x64/initrd
label memtest
  kernel memtest
  append -

# cat /tftpboot/pxelinux.cfgboot.msg
?

0b

winxp           - Windows XP Professional
win2k           - Windows 2000 Professional
centos5.2       - CentOS 5.2 x86
suse11.0_x64    - openSuSE 11.0 x64
memtest         - Memtest86

07

0f
A telepiteni kivant rendszer azonositojat ird be, majd nyomd meg az ENTER-t.
10 perc elteltevel automatikusan a suse11.0_x64 lesz kivalasztva.

07

A két fájl letölthető innen: http://www.2shared.com/file/4975240/1abe77b4/pxelinuxcfgtar.html