Настройка ip-sentinel

2013-03-03T12:30:57Z

Gran:

==Описание==
Страничка проекта с исходниками [http://www.nongnu.org/ip-sentinel/ ip-sentinel] 
Более подробное описание и настройку этого пакета можно посмотреть [http://www.nongnu.org/ip-sentinel/README README] 
Этот демон предотвращает появление в сети неизвестных машин, путем выдачи поддельного ответа на ARP запрос. После посылки такого поддельного пакета, передающая сторона сохраняет MAC адрес в своею ARP таблицу и в будущем будет пытаться посылать ответы на несуществующий MAC адрес, что вызовет ощибку, что IP адрес недоступен.

Кроме этого ip-sentinel имеет следуюющие возможности:
* Легко настраиваваемые IP адреса и маски.
* Возможность работы в chroot и non-root режимах
* Защиту от основных DOS атак

'''Source(s):''' [http://www.downloadranking.com Настройка ip-sentinel]

==Установка==
Устанавливаем пакет ip-sentinel*.rpm
==Настройка==
Все настроечные параметры пакета лежат в двух файлах
# /etc/sysconfig/ip-sentunel - это файл с параметрами запуска демона
# /var/lib/ip-sentinel/ips.cfg - это основной файл, где указываются сети и компьютеры, которые надо разрешить или блокировать.

'''Source(s):''' [http://www.downloadranking.com Настройка ip-sentinel]

====Редактируем /etc/sysconfig/ip-sentunel====
<pre>IPS_USER=ip-sentinel
IPS_GROUP=ip-sentinel
IPS_CHROOT=/var/lib/ip-sentinel
IPS_IPFILE=ips.cfg
IPS_LOGFILE=/var/log/ip-sentinel.out
IPS_ERRFILE=/var/log/ip-sentinel.err
# IPS_OPTIONS=
IPS_DEVICE=eth1

## Assign to yes if running a dietlibc-compiled version of ip-sentinel
## on a system using remote NSS for passwd-lookups (e.g. LDAP, NIS).
##
## When using a group which is not the effective group of the user,
## you will have to assign the numeric gid of this group to GROUP.
# IPS_NEEDS_NUMERIC_UID=
</pre>
IPS_USER - пользователь из под которого запускается демон 
IPS_GROUP - группа из под которого запускается демон 
IPS_CHROOT - путь для chroot 
IPS_IPFILE - имя конфигурационного файла - должен лежать в директории chroot (/var/lib/ip-sentinel) 
IPS_LOGFILE - Лог файл 
IPS_ERRFILE - Лог Файл ошибок 
IPS_DEVICE - Интерфейс, на котором работает демон 

'''Source(s):''' [http://www.downloadranking.com Настройка ip-sentinel]

====Редактируем /var/lib/ip-sentinel/ips.cfg====
Вот пример конфигурационного файла. Более подробно см в man и [http://www.nongnu.org/ip-sentinel/README readme]
<pre>0.0.0.0/0 ## блокировать все по умолчанию
!192.168.0.0/24 ## разрешить IP адреса сети 192.168.0.*
192.168.0.23 ## но зарезервировать 192.168.0.23
192.168.{20-30}.0/24 ## а так же все /24 подсети между 192.168.20.0
## и 192.168.30.0
192.168.0.42 a:b:c:d:e:f ## и 192.168.0.42 с MAC адресом
## MAC there
10.0.0.1@a:a:a:a:a:a ## two tagged src-ip addresses
10.0.0.2@!1:1:1:1:1:1
*@1:1:1:2:2:2 ## Хост с определенным MAC на любом IP</pre>
Если нет восклицательного знака перед IP адресом - значит этот IP запрещен, а если есть - то разрешен.

Настройка DNS сервера (named9)

2013-03-03T12:23:56Z

Gran:

Вообще хорошее описание по настройке DNS сервера есть [http://www.bog.pp.ru/work/dns_info.html тут] и [http://www.opennet.ru/docs/HOWTO-RU/DNS-HOWTO-5.html тут]. 
Еще есть хорошая документация с его описанием и настройкой [http://info.nic.ru/st/8/print_267.shtml | Система доменных имен (материалы книги П.Б. Храмцова)]
Так что подробно описывать не буду, опишу лишь некоторые особенности нового bind 9.3.2 и настройку кэширующего DNS сервера для локальной сети.

'''Source(s):''' [http://www.downloadranking.com Настройка DNS сервера]

==Настрока RNDC==
После установки пакета bind-9.3.2-8mdv2007.0.i586.rpm, нужно сначала сгенерировать сертификат.
<pre>rndc-confgen -a -b 256 -k rndckey</pre>
'''-a''' - Сгенерировать сертификат и положить в файл /etc/rndc.key 
'''-b 256''' - Длина сертификата 
'''-k rndckey''' - имя ключа сертификата 
Далее редактируем файл /etc/rndc.conf
<pre>options {
default-server localhost;
default-key "rndckey";
};

server localhost {
key "rndckey";
};

include "/etc/rndc.key";</pre>
Где, '''rndckey''' - имя, которое мы указали при генерации сертификата.

'''Source(s):''' [http://www.downloadranking.com Настройка DNS сервера]

==Настройка /etc/named.conf==
В самом начале файла named.conf должны быть следующие строки.
<pre>include "/etc/rndc.key";

controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndckey"; };
};</pre>
Где, '''rndckey''' - имя, которое мы указали при генерации сертификата.

'''Source(s):''' [http://www.downloadranking.com Настройка DNS сервера]

==FAQ==
===После перезагрузки сервера - он ругается "file does not end with newline"===
<pre>20-Dec-2007 09:18:51.972 general: warning: master/volmed/volmed.org.ru.ext: file does not end with newline
</pre>хотя при просмотре эта пустая строка есть. 
'''Причина''' Код последнего символа в зоне дб '''0х0А''', а если он другой зона не работает 
'''Решение''' Все зоны нужно создавать и редактировать под Linux и не переносить из Win в Linux через буфер обмена

Продолжение будет позже.

Wiki МИАЦ ВО - Вклад [ru]

Настройка ip-sentinel

Настройка DNS сервера (named9)