X-Git-Url: http://git.piffa.net/web?p=doc%2F.git;a=blobdiff_plain;f=servizi.html;h=f0fc4e05c95f28d84c1fc53b668273d38ebc1ae7;hp=8facfa0e4e5dfcadae688ae026cc6e3f70f886c0;hb=36a14236d1e397ba7aa6e6daa840b7e7fc17cbee;hpb=9720a738165754d5563da0ab6df3dbf6a09227ec diff --git a/servizi.html b/servizi.html index 8facfa0..f0fc4e0 100644 --- a/servizi.html +++ b/servizi.html @@ -319,7 +319,7 @@
...
+ +Il file /etc/resolv.conf contiene le impostazioni + sul dns usato dal sistema, in genere anche altre + applicazioni che devono effettuare query DNS leggono + resolv.conf per conoscere l'ubicazione del DNS.
+ +/etc/resolv.conf:
++- ``nameserver``: indica il nameserver da utilizzare, indicato con l'indirizzo ip. + +- ``domain``: indica il nome di dominio della rete attuale, vedi voce sucessiva. + +- ``search``: nome di dominio usato dalla rete sul quale cercare gli hosts. Ad esempio se impostato su ``piffa.net`` pingando l'host ``bender`` viene automaticamente fatto un tentativo di ricerca per ``bender.piffa.net``. ++ +
Si veda anche la pagina man di resolv.conf.
+ +Attenzione: se si usa un client DHCP o simile questo + file potra' essere riscritto automaticamente in base a + quanto ottenuto dal DHCP. Si veda la documentazione del + pacchtto resolvconf.
+Tabella statica per l'associazione tra IP e nomi di + dominio:
++# cat /etc/hosts ++ +
+ 127.0.0.1 localhost.localdomain localhost 10.10.208.162 + daniela daniela.piffa.net 10.10.208.254 mirror + mirror.piffa.net 91.191.138.15 thepiratebay.org + 192.168.0.11 chrome chrome.mydomain.com ++ +
Il contenuto e' un associazione tra un IP e + stringhe di testo (anche piu' di una es: mirror e + mirror.piffa.net), un record per + riga.
+ +Il problema e' la gestione di questo file: quando gli + host cambiano IP si devono aggiornare i records, e c'e' poi + il problema di distribuire questo file tra i vari hosts + della propia LAN. Un metodo semplice per distribuire questo + file e' utilizzare Dnsmasq: + questo infatti legge e onora il file hosts + locale e lo distribuisce ai clients.
+ +Modificare (riconducendola a un ip interno, cosi' + annullandola) la risoluzione di un nome di dominio e' un + modo drastico e funzionale per annullarlo + rendendolo indisponibile alla propia rete locale, ad + esempio aggiungere al file /etc/hosts:
++127.0.0.1 www.facebook.com ++ +
Impedira' agli utenti della LAN di raggiungere + facebook, ora reindirizzato a i``localhost``.
+Ogni computer ha un propio nome visualizzabile + (e modificabile) con il comando hostname.
+ +Per modificare in modo permanente il nome del computer + si modifichi il contenuto del file /etc/hostname.
+ +Tipicamente si vuole mantenere una correlazione tra il + nome dell'host, o meglio la stringa con cui il server si + qualifica all'esterno, e il PTR dell'ip. Nel caso + di servizi virtuali ci sara' un nome + server principale associato al PTR condiviso. + Non e' automatico che un servizio, ad esempio un server di + posta, si qualifichi leggendo il contenuto di questo file e + magari aggiungendo come suffisso il dominio di cui fa parte + l'host: a volte questo parametro puo' essere specificato + nel file di configurazione del servizio:
++* Squid: ``visible_hostname`` + +* Postfix: ``myhostname`` +
Dnsmasq puo' svolgere le funzioni di un DNS cache / forwarder e un server DHCP caratterizzato dalla facilita' di @@ -2656,11 +2819,136 @@ l.google.com. 80856 IN NS g.l.google.com. Molto utile per scopi didattici, sopratutto per testare server SMTP impostando al volo i campi MX per nomi di dominio fittizi.
+ +Vediamo alcune direttive di basi del file di + configurazione /etc/dnsmasq.conf utili per la + configurazione sia del DNS cache che per il DHCP + server:
+ +Per attivare il demone DHCP di dnsmaq basta aggiungere + al file di configurazione il range degli ip che si + vuole assegnare ai client con il lease time (tempo + di rilascio: quanto a lungo saranno validi gli ip + assegnati) espresso in ore.
+ +Si faccia attenzione: in una rete puo' esseere + presente un solo server DHCP, o per meglio + dire qualunque server DHCP ascolta sul broadcast 255.255.255.255 e potrebbe rispondere a + un pacchetto di richesta DHCP. Quindi non fate partire + inavvertitamente un server DHCP in una rete gia' servita e + non vi azzardate ad andare in giro con un portatile + con un server DHCP attivo nelle reti altrui. + Questo vale anche per i laboratori di informatica dei corsi + di reti: non fate partire il vostro server DHCP se siete + collegati alla rete interna!
+ +/etc/dnsmasq.conf (riga 118):
++dhcp-range=192.168.0.20,192.168.0.50,24h ++
Aggiungere al file /etc/resolv.conif il nameserver localhost + in cima alla lista dei nameserver disponibili. + Dnsmasq usera' la propia cache e in caso non abbia + disponibile il record DNS richiesto fara' partire + una query al primo DNS:
++nameserver 127.0.0.1 ++ +
Questo pero' potrebbe essere problematico se un altro + servizio, ad esempio il DHCP client, riscrive il contenuto + del file /etc/resolv.conf. Per superare il + problema si aggiunga (riga 20) al file di configurazione + /etc/dhcp3/dhclient.conf
++prepend domain-name-servers 127.0.0.1; ++ +
Oppure potrebbe essere il nostro PPP client + (per la connessione ADSL) a intervenire sul file //etc/resolv.conf, si modifichi quindi + /etc/ppp/peers/dsl-provider commentando + usepeerdns. Se la vostra connessione ad + internet e' ADSL raramente dovreste aver bisogno di + cambiare i DNS una volta impostati (a meno che non usiate + un portatile!).
+Dnsmasq puo' lavorare anche come DHCP server per la + vostra LAN.
+Samba e' un progetto libero che fornisce servizi di condivisione di file e stampanti a client SMB/CIFS.
@@ -2681,7 +2969,7 @@ l.google.com. 80856 IN NS g.l.google.com.Pacchetti da installare per utilizzare Samba in
modalita' client
Per poter configurare Samba in modo che usi un sistema
@@ -2795,7 +3083,7 @@ dpkg-reconfigure samba-common
Creiamo per primo l'utente sotto GNU/Linux, facendo
attenzione a non dargli una shell di sistema. Gli
@@ -2832,7 +3120,7 @@ smbpasswd sambo
La condivisione altro non e' che una cartella sul server
@@ -2859,7 +3147,7 @@ smbpasswd sambo
Bisognerebbe notare sul server i permessi di
@@ -2889,7 +3177,7 @@ smbpasswd sambo
Avendo preparato gli utenti (ancora una volta: non si
@@ -2929,7 +3217,7 @@ smbpasswd sambo
Come testare il servizio In Informatica, nell'ambito delle reti di computer, un
firewall (termine inglese dal significato originario di
@@ -3019,7 +3307,7 @@ mount -t smbfs //localhost/sambo_share /mnt/sambo_mount/ --verbose -o user=sambo
Link:
@@ -3069,7 +3357,7 @@ mount -t smbfs //localhost/sambo_share /mnt/sambo_mount/ --verbose -o user=sambo
Per implementare un firewall bisogna decidere un aio di
@@ -3078,7 +3366,7 @@ mount -t smbfs //localhost/sambo_share /mnt/sambo_mount/ --verbose -o user=sambo
DMZ e MZ, internet, intranet, extranet. Frammentazione
della rete, decidere se diversi reparti di una azienda si
@@ -3110,7 +3398,7 @@ mount -t smbfs //localhost/sambo_share /mnt/sambo_mount/ --verbose -o user=sambo
Drop o Accept: conseguenze per sicurezza, facilita' di
gestione. Sostanzialmente potremmo distinquere due tipologie di
hardware: link:
Iptables lavora su 3 tabelle (tables) di default: I Match di una regola (rule) servono a testare un
pacchetto per valutare se corrisponda a certe
@@ -3239,7 +3527,7 @@ mount -t smbfs //localhost/sambo_share /mnt/sambo_mount/ --verbose -o user=sambo
Se un pacchetto soddisfa le condizioni del Match
salta (jump) su uno dei target possibili, in
@@ -3368,7 +3656,7 @@ mount -t smbfs //localhost/sambo_share /mnt/sambo_mount/ --verbose -o user=sambo
E' quella implicita e predefinita (-t filter) Riguarda
le attività di filtraggio del traffico. Ha 3 catene
@@ -3392,7 +3680,7 @@ mount -t smbfs //localhost/sambo_share /mnt/sambo_mount/ --verbose -o user=sambo
Se state provando una configurazione del firewall per
@@ -3419,7 +3707,7 @@ at> [CTR+d]
Il comando iptables viene usato per ogni attivitÃ
@@ -3487,7 +3775,7 @@ at> [CTR+d]
6.2 Passwords e
+ "#id63">6.2 Passwords e
autenticazione
6.3 Creazione Utenti
+ "#id64">6.3 Creazione Utenti
6.4 Creare la
+ "#id65">6.4 Creare la
condivisione
6.4.1 Sicurezza: permessi di
+ "#id66">6.4.1 Sicurezza: permessi di
esecuzione sul server
6.5 Configurazione
+ "#id67">6.5 Configurazione
dell'applicativo Samba vero e proprio.
6.6 Testare il Servizio
+ "#id68">6.6 Testare il Servizio
7 Firewall
+ "#id69">7 Firewall
7.1 Links
+ "#id70">7.1 Links
7.2 Ipfilter
+ "#id71">7.2 Ipfilter
7.3 Progettazione di un
+ "#id72">7.3 Progettazione di un
firewall
7.3.1 Collocazione
+ "#id73">7.3.1 Collocazione
7.3.2 Policy di default
+ "#id74">7.3.2 Policy di default
7.3.3 Hardware
+ "#id75">7.3.3 Hardware
7.4 Percorso dei pacchetti tra
+ "#id76">7.4 Percorso dei pacchetti tra
tabelle e catene
7.5 Concetti di base
+ "#id77">7.5 Concetti di base
7.5.1 Tabelle, catene,
+ "#id78">7.5.1 Tabelle, catene,
regole
7.5.2 Match
+ "#id79">7.5.2 Match
7.5.3 Targets
+ "#id80">7.5.3 Targets
7.6 Tabella Filter
+ "#id81">7.6 Tabella Filter
7.7 Flush automatico per macchine
+ "#id82">7.7 Flush automatico per macchine
remote
7.8 Gestione regole
+ "#id83">7.8 Gestione regole
(rules)
8 NOTE
+ "#id84">8 NOTE