X-Git-Url: http://git.piffa.net/web?p=doc%2F.git;a=blobdiff_plain;f=servizi.html;h=1522b048f7c0f83938d7fed93ca8b7a48c921dd3;hp=5d2f0ec37b7edb2782096b685d0803abf367d8e9;hb=66f89439efea0c06cc7296d477e4f3f0e88236fc;hpb=730efeab352fddb32eed0d945aa08167c01338eb diff --git a/servizi.html b/servizi.html index 5d2f0ec..1522b04 100644 --- a/servizi.html +++ b/servizi.html @@ -617,41 +617,45 @@ +
Predisponendo l'infrastruttura di rete della vostra LAN + e' consigliabile impostare sempre un DNS cache sul vostro + server locale per i vari client. In questo modo in caso di + malfunzionamento del DNS o necessita' di intervenire / + sostituire i DNS non sara' piu' necessario dover + reimpostare ogni singolo client della LAN: bastera' + modificare l'impostazione del server DNS cache, ad esempio + per utilizzare un nuovo forwarder, o modificare al volo un + record DNS. La modifica, anche detta + mascheramento, di un record come il server + smtp o un MX potrebbe tirarvi rapidamente + fuori dai guai nel caso di un problema improvviso con la + posta elettronica o qualunque altro servizio che possiate + reindirizzare col DNS.
+ +Un server DHCP e un DNS cache come Dnsmasq + possono permettervi di risolvere al volo (o per lo meno + reindirizzare) molte delle problematiche relative alla + configurazione della rete della vostra LAN: dover + intervenire manualmente su decine di client per modificare + le impostazioni di SMTP | gateway | SMTP | proxy.
+Si veda anche la pagina man di resolv.conf.
-Attenzione: se si usa un client DHCP o simile questo - file potra' essere riscritto automaticamente in base a - quanto ottenuto dal DHCP. Si veda la documentazione del - pacchetto resolvconf.
+Avvertenza
+ +Attenzione: se si usa un client DHCP, ppp + (ADSL compresa) o simile questo file potrebbe' essere + riscritto automaticamente in base a quanto ottenuto dal + DHCP. Si veda la documentazione del pacchetto resolvconf.
+Il contenuto e' un associazione tra un IP e - stringhe di testo (anche piu' di una es: mirror e mirror.piffa.net), un record per - riga.
+ "pre">mirror.piffa.net.Il problema e' la gestione di questo file: quando gli host cambiano IP si devono aggiornare i records, e poi c'e' @@ -3057,8 +3094,9 @@ l.google.com. 80856 IN NS g.l.google.com. questo file e' utilizzare Dnsmasq: questo infatti legge e onora il file hosts - locale e lo distribuisce ai clients.
+ "docutils literal">hosts che + avete prodotto e lo distribuisce ai clients + tramite le normali query DNS.Modificare (riconducendola a un IP interno, cosi' annullandola) la risoluzione di un nome di dominio e' un @@ -3119,16 +3157,24 @@ l.google.com. 80856 IN NS g.l.google.com. "#id59">5 DNSmasq
Dnsmasq puo' svolgere le funzioni di un DNS cache / - forwarder e un server DHCP caratterizzato dalla facilita' di - configurazione, leggerezza e dalla possibilita' di modificare - rapidamente i record DNS serviti alla rete. Puo' essere anche - utilizzato come server per il boot da rete + forwarder, server DHCP, e' caratterizzato dalla facilita' di + configurazione, limitato uso di risorse, adattabilita' a + connessioni dinamiche come ADSL o altre punto a + punto (anche via cellulari) per condividere rapidamente la + rete (cosa molto utile se ci dovesse trovare a ridare + connettetivita' a una rete momentaneamente sprovvista), dalla + possibilita' di modificare rapidamente i record DNS serviti + alla rete anche grazie alla distribuzione del file /etc/hosts + locale. Puo' essere anche utilizzato come server per il + boot da rete <http://www.debian-administration.org/articles/478>_ .
Dnsmasq e' un interessante alternativa all'uso del server - DNS Bind in modalita' cache-only (non autoritativo) - accompagnato dal server DHCPd. I vantaggi sono:
+ DNS Bind in modalita' forwarding e cache-only (non + autoritativo) accompagnato dal server DHCPd. I vantaggi + sono:Aggiungere al file Dnsmasq lavora di default come cache dns: inserire al + file /etc/resolv.conf il nameserver localhost - in cima alla lista dei nameserver disponibili. - Dnsmasq usera' la propria cache e in caso non abbia - disponibile il record DNS richiesto fara' partire - una query al primo DNS:
--nameserver 127.0.0.1 -+ in cima alla lista dei nameserver disponibili. + +
+ nameserver 127.0.0.1 +
Questo pero' potrebbe essere problematico se un altro servizio, ad esempio il DHCP client, riscrive il contenuto @@ -3619,9 +3663,80 @@ normale IN A 94.23.63.105 ; usa il TTL di default: 3 giorni
Data l'importanza del servizio DNS e' necessario avere + ridondanza per i server DNS che ospitano i vostri dati: in + caso di indisponibilita' del server master (nel + caso fosse il solo a tenere i dati questo comporterebbe la + scomparsa di tutti i servizi / host da esso + seviti!) il client potrebbe contattare uno degli + slave.
+ +Gli slave recuperano i dati dei recordos RR direttamente + dal master e non sara' quindi necessario dover mantenere + manualmente il file di configurazione della zona sugli + slaves, ogni volta che aggiorneremo il master questi dati + si propaghera' agli slaves automaticamente.
+ +Per attivare uno slave per la nostra zona di + esempio piffa.net si inserisca nel file + named.conf.local dello slave server:
++zone "piffa.net" { + type slave; + file "/etc/bind/pz/piffa.net"; + masters { 192.168.0.1; }; + }; ++ +
Facendo ripartire Bind il file /etc/bind/pz/piffa.net viene creato + automaticamente.
+ +Segue un estratto di /var/log/syslog al restart di + bind9 sullo slave:
++... slave named[2256]: zone piffa.net/IN: loaded serial 200905245 +... slave named[2256]: running +... slave named[2256]: zone piffa.net/IN: sending notifies (serial 200905245) +... slave named[2256]: client 192.168.0.1#1464: received notify for zone 'piffa.net' +... slave named[2256]: zone piffa.net/IN: notify from 192.168.0.1#1464: zone is up to date ++ +
Avvertenza
+ +Bind9 (versione 9.3 presente in Debian + Lenny) richiede una esplicita autorizzazione alla + notifica per lo stesso server slave, che in fase di avvio + interroghera' (inviando un notify) se' stesso per + valutare se i dati relativi alla zona di cui e' slave + sono aggiornati. Si aggiunga quindi al file /etc/bind/named.conf.options dello + slave: allow-notify { + 192.168.0.1; }; all'interno della stanza options, + in cui l'inidirizzo IP inserito e' quello dello stesso + slave server.
+Samba e' un progetto libero che fornisce servizi di condivisione di file e stampanti a client SMB/CIFS.
@@ -3657,7 +3772,7 @@ normale IN A 94.23.63.105 ; usa il TTL di default: 3 giorniPacchetti da installare per utilizzare Samba in
modalita' client
Per poter configurare Samba in modo che usi un sistema
@@ -3771,7 +3886,7 @@ dpkg-reconfigure samba-common
Creiamo per primo l'utente sotto GNU/Linux, facendo
attenzione a non dargli una shell di sistema. Gli
@@ -3808,7 +3923,7 @@ smbpasswd sambo
La condivisione altro non e' che una cartella sul server
@@ -3835,7 +3950,7 @@ smbpasswd sambo
Bisognerebbe notare sul server i permessi di
@@ -3865,7 +3980,7 @@ smbpasswd sambo
Avendo preparato gli utenti (ancora una volta: non si
@@ -3904,7 +4019,7 @@ smbpasswd sambo
Se si deve condividere una risorsa con un numero
@@ -3941,7 +4056,7 @@ valid users = @nome_gruppo
Come testare il servizio Il server di posta che prenderemo in considerazione e'
Postfix, a seguire un estratto di un file di configurazione
@@ -4031,7 +4146,7 @@ inet_interfaces = all
Per testare il corretto funzionamento del server di
posta si puo' procedere in vari modi. Postfix e' un server SMTP, di conseguenza se volete che
i vostri utenti possano scaricare in locale la
@@ -4124,7 +4239,7 @@ swaks --to andrea@piffa.net from andrea@mydomain.com
Per testare il corretto funzionamento del server di
@@ -4134,7 +4249,7 @@ swaks --to andrea@piffa.net from andrea@mydomain.com
Mutt e' uno dei gestori di posta preferiti da chi
preferisce utilizzare l'interfaccia testuale per la
@@ -4224,7 +4339,7 @@ mutt -f imap://nome_utente@piffa.net
Per mettere a disposizione degli utenti un client web
per gestire la propria posta si installi il pacchetto:
@@ -4250,7 +4365,7 @@ ln -s /etc/squirrelmail/apache.conf ./squirrelmail.conf
Il graylisting e' un sistema relativamente poco
invasivo, con un limitato consumo di risorse per limitare
@@ -4277,7 +4392,7 @@ ln -s /etc/squirrelmail/apache.conf ./squirrelmail.conf
Installare il pacchetto:
Inviando un messaggio il client dovrebbe ricevere un
iniziale messaggio di rifiuto del messaggio: E' sempre utile poter tracciare qualche statistica
sulle percentuali di messaggi ricevuti, da chi, messaggi
@@ -4362,7 +4477,7 @@ pflogsumm.pl /var/log/mail.log
In Informatica, nell'ambito delle reti di computer, un
firewall (termine inglese dal significato originario di
@@ -4412,7 +4527,7 @@ pflogsumm.pl /var/log/mail.log
Link:
@@ -4462,7 +4577,7 @@ pflogsumm.pl /var/log/mail.log
Per implementare un firewall bisogna decidere un aio di
@@ -4471,7 +4586,7 @@ pflogsumm.pl /var/log/mail.log
DMZ e MZ, internet, intranet, extranet. Frammentazione
della rete, decidere se diversi reparti di una azienda si
@@ -4503,7 +4618,7 @@ pflogsumm.pl /var/log/mail.log
Drop o Accept: conseguenze per sicurezza, facilita' di
gestione. Sostanzialmente potremmo distinguere due tipologie di
hardware: link:
Iptables lavora su 3 tabelle (tables) di default: I Match di una regola (rule) servono a testare un
pacchetto per valutare se corrisponda a certe
@@ -4632,7 +4747,7 @@ pflogsumm.pl /var/log/mail.log
Se un pacchetto soddisfa le condizioni del Match
salta (jump) su uno dei target possibili, in
@@ -4761,7 +4876,7 @@ pflogsumm.pl /var/log/mail.log
E' quella implicita e predefinita (-t filter) Riguarda
le attività di filtraggio del traffico. Ha 3 catene
@@ -4785,7 +4900,7 @@ pflogsumm.pl /var/log/mail.log
Se state provando una configurazione del firewall per
@@ -4812,7 +4927,7 @@ at> [CTR+d]
Il comando iptables viene usato per ogni
@@ -4879,7 +4994,7 @@ at> [CTR+d]
Il comando iptables serve per interagire con il
@@ -4937,7 +5052,7 @@ iface eth1 inet static
Per salvare le regole di iptables attualmente presenti
nel kernel si usi il comando: Per ripristinare un set di regole precedentemente
salvate con
Seguono alcuni esempi sull'uso di iptables, lo scenario
e' un computer con un paio di schede di rete fisiche una
@@ -5006,7 +5121,7 @@ iface eth1 inet static
Spesso gli script che attaccano
@@ -5022,7 +5137,7 @@ iptables -A INPUT -i ppp0 -p ICMP -j DROP
7.2 Passwords e
+ "#id74">7.2 Passwords e
autenticazione
7.3 Creazione Utenti
+ "#id75">7.3 Creazione Utenti
7.4 Creare la
+ "#id76">7.4 Creare la
condivisione
7.4.1 Sicurezza: permessi di
+ "#id77">7.4.1 Sicurezza: permessi di
esecuzione sul server
7.5 Configurazione
+ "#id78">7.5 Configurazione
dell'applicativo Samba vero e proprio.
7.5.1 Creazione di un
+ "#id79">7.5.1 Creazione di un
gruppo
7.6 Testare il Servizio
+ "#id80">7.6 Testare il Servizio
8 Server di posta: Postfix
+ "#id81">8 Server di posta: Postfix
8.1 Test del server smtp
+ "#id82">8.1 Test del server smtp
8.1.1 Swaks
+ "#id83">8.1.1 Swaks
8.2 Imap e pop
+ "#id84">8.2 Imap e pop
8.3 Client a riga di
+ "#id85">8.3 Client a riga di
comando
8.3.1 mailx
+ "#id86">8.3.1 mailx
8.3.2 Mutt
+ "#id87">8.3.2 Mutt
8.3.3 Web client
+ "#id88">8.3.3 Web client
8.4 Graylisting
+ "#id89">8.4 Graylisting
8.4.1 Abilitazione in
+ "#id90">8.4.1 Abilitazione in
Postfix
8.4.2 Test
+ "#id91">8.4.2 Test
8.4.3 Statistiche
+ "#id92">8.4.3 Statistiche
9 Firewall
+ "#id93">9 Firewall
9.1 Links
+ "#id94">9.1 Links
9.2 Ipfilter
+ "#id95">9.2 Ipfilter
9.3 Progettazione di un
+ "#id96">9.3 Progettazione di un
firewall
9.3.1 Collocazione
+ "#id97">9.3.1 Collocazione
9.3.2 Policy di default
+ "#id98">9.3.2 Policy di default
9.3.3 Hardware
+ "#id99">9.3.3 Hardware
9.4 Percorso dei pacchetti tra
+ "#id100">9.4 Percorso dei pacchetti tra
tabelle e catene
9.5 Concetti di base
+ "#id101">9.5 Concetti di base
9.5.1 Tabelle, catene,
+ "#id102">9.5.1 Tabelle, catene,
regole
9.5.2 Match
+ "#id103">9.5.2 Match
9.5.3 Targets
+ "#id104">9.5.3 Targets
9.6 Tabella Filter
+ "#id105">9.6 Tabella Filter
9.7 Flush automatico per macchine
+ "#id106">9.7 Flush automatico per macchine
remote
9.8 Gestione regole
+ "#id107">9.8 Gestione regole
(rules)
9.9 Salvataggio regole
+ "#id108">9.9 Salvataggio regole
9.9.1 Iptables-save
+ "#id109">9.9.1 Iptables-save
9.9.2 Iptables-restore
+ "#id110">9.9.2 Iptables-restore
9.10 Esempi
+ "#id111">9.10 Esempi
9.10.1 Bloccare i ping
+ "#id112">9.10.1 Bloccare i ping
dall'esterno
9.10.2 Masquerading
+ "#id113">9.10.2 Masquerading
(sNAT)
@@ -5071,7 +5186,7 @@ iptables -A INPUT -i ppp0 -p ICMP -j DROP
9.10.3 Brute force
+ "#id114">9.10.3 Brute force
10 NOTE
+ "#id115">10 NOTE