je recherche quelques conseils permettant de mettre en
place une passerelle linux sur une compact flash ....
matériel :
3 nic eepro100
1 ralink
1 pppoe
objectif :
-a) pppoe sur 1 carte
-b) branche 1 Serveurs
-b) Branche 2 Stations de travail
-c) wifi bridge réversible (suivant configuration sur site)
cas particulier pour le wifi :
-a) config 1 : maitre émetteur
-b) config 2 : client et passerelle pour recréer le lan
j'ai essayé d'installer via net install et comme j'ai
été très pressé le système a frisé en usage multi-tâche
résultat retour à zéro, obligé de tout recommencer ...
merci de votre aimable attention
slt
bernard
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Le Tuesday 29 Sep 2009 à 21:45:58 (+0200), a écrit :
je recherche quelques conseils permettant de mettre en place une passerelle linux sur une compact flash ....
Ce que j'ai mis en place à plusieurs reprises.
matériel : 3 nic eepro100 1 ralink 1 pppoe
Un boitier Soekris 4501
Une installation normale, d'abord. Ensuite, il faut limiter au maximum les accès en écriture sur la CF :
- corriger /etc/rsyslog.conf (perso, je le désactive) - utiliser tmpfs pour /tmp /var/tmp et /var/log (selon ta RAM) - mettre RARUN et RAMLOCK à yes dans /etc/default/rcS (selon ta RAM) - j'ai mis le nécessaire pour faciliter l'utilisation de FWBuilder à distance (ssh avec authentification par clé, batch) - configuration de ssh en mode d'authentification par clé uniquement - pas d'utilisateur local (connexion directe par root, mais uniquement avec clé SSH déclarée) - monter la racine en RO pour limiter les écriture que l'on aurait oubliées et les tentatives de compromission. - j'installe les paquets prelink, localepurge, deborphan
Je prépare une image réinstallable en quelques minutes : - je lance "aptitude clean" et "find /var/log -type f -exec bash -c 'echo > {}' ;" pour faire du ménage, suivi de localepurge, deborphan, /etc/crond.daily/prelink et /etc/cron.daily/mlocate manuellement.
Pour faire une mise à jour (systeme ou du pare-feu), je dois juste penser à remonter le FS en RW : mount -o remount,rw / et penser à le reverrouiller apres : mount -o remount,ro /
Il y aurait plein de choses à dire sur ce sujet, avec la personnalisation du comportement de bash (voire de d?ash, des timeout, de snort, tripwire, logcheck, ssmtp, règles IPTables, tcpwrapper, recompil du noyau, aufs/squashfs ou unionfs/squashfs, chattr -i, ... Mais voila en gros ce que je peux te dire, de mémoire et qui tienne dans un message, mais il ne faut voir cela que comme un début de configuration.
Je te conseille de faire ton installation sur un disque dur normal, avec debbootstrap, puis de te 'chroot'er dedans pour continuer et de transférer tout le contenu de ce répertoire en une seule fois sur ta CF, tu limiteras les écritures et il ne te restera plus qu'à installer GRUB.
Je ne peux pas te donner l'intégralité de ma solution car plus j'avance dans les détails, plus c'est spécifique à mon besoin et différent du tien. Mais en allant un peu plus loin, tu aboutiras à une installation très stable proche d'une véritable appliance qui ne nécessite jamais de redémarrage.
Bonne soirée Fanfan
-- DES FELICITATIONS Bravo ! Nous ne savons même pas le dire en français. [ Jules Renard ]
--HcAYCG3uE/tztfnV Content-Type: application/pgp-signature; name="signature.asc" Content-Description: Digital signature Content-Disposition: inline
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Le Tuesday 29 Sep 2009 à 21:45:58 (+0200), bernard.schoenacker@free.fr a écrit :
je recherche quelques conseils permettant de mettre en
place une passerelle linux sur une compact flash ....
Ce que j'ai mis en place à plusieurs reprises.
matériel :
3 nic eepro100
1 ralink
1 pppoe
Un boitier Soekris 4501
Une installation normale, d'abord. Ensuite, il faut limiter au maximum
les accès en écriture sur la CF :
- corriger /etc/rsyslog.conf (perso, je le désactive)
- utiliser tmpfs pour /tmp /var/tmp et /var/log (selon ta RAM)
- mettre RARUN et RAMLOCK à yes dans /etc/default/rcS (selon ta RAM)
- j'ai mis le nécessaire pour faciliter l'utilisation de FWBuilder à
distance (ssh avec authentification par clé, batch)
- configuration de ssh en mode d'authentification par clé uniquement
- pas d'utilisateur local (connexion directe par root, mais uniquement
avec clé SSH déclarée)
- monter la racine en RO pour limiter les écriture que l'on aurait
oubliées et les tentatives de compromission.
- j'installe les paquets prelink, localepurge, deborphan
Je prépare une image réinstallable en quelques minutes :
- je lance "aptitude clean" et "find /var/log -type f -exec bash -c
'echo > {}' ;" pour faire du ménage, suivi de localepurge, deborphan,
/etc/crond.daily/prelink et /etc/cron.daily/mlocate manuellement.
Pour faire une mise à jour (systeme ou du pare-feu), je dois juste
penser à remonter le FS en RW :
mount -o remount,rw /
et penser à le reverrouiller apres :
mount -o remount,ro /
Il y aurait plein de choses à dire sur ce sujet, avec la
personnalisation du comportement de bash (voire de d?ash, des
timeout, de snort, tripwire, logcheck, ssmtp, règles IPTables,
tcpwrapper, recompil du noyau, aufs/squashfs ou unionfs/squashfs, chattr
-i, ... Mais voila en gros ce que je peux te dire, de mémoire et qui
tienne dans un message, mais il ne faut voir cela que comme un début de
configuration.
Je te conseille de faire ton installation sur un disque dur normal, avec
debbootstrap, puis de te 'chroot'er dedans pour continuer et de
transférer tout le contenu de ce répertoire en une seule fois sur ta CF,
tu limiteras les écritures et il ne te restera plus qu'à installer GRUB.
Je ne peux pas te donner l'intégralité de ma solution car plus j'avance
dans les détails, plus c'est spécifique à mon besoin et différent du
tien. Mais en allant un peu plus loin, tu aboutiras à une installation
très stable proche d'une véritable appliance qui ne nécessite jamais de
redémarrage.
Bonne soirée
Fanfan
--
DES FELICITATIONS
Bravo ! Nous ne savons même pas le dire en français.
[ Jules Renard ]
--HcAYCG3uE/tztfnV
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Le Tuesday 29 Sep 2009 à 21:45:58 (+0200), a écrit :
je recherche quelques conseils permettant de mettre en place une passerelle linux sur une compact flash ....
Ce que j'ai mis en place à plusieurs reprises.
matériel : 3 nic eepro100 1 ralink 1 pppoe
Un boitier Soekris 4501
Une installation normale, d'abord. Ensuite, il faut limiter au maximum les accès en écriture sur la CF :
- corriger /etc/rsyslog.conf (perso, je le désactive) - utiliser tmpfs pour /tmp /var/tmp et /var/log (selon ta RAM) - mettre RARUN et RAMLOCK à yes dans /etc/default/rcS (selon ta RAM) - j'ai mis le nécessaire pour faciliter l'utilisation de FWBuilder à distance (ssh avec authentification par clé, batch) - configuration de ssh en mode d'authentification par clé uniquement - pas d'utilisateur local (connexion directe par root, mais uniquement avec clé SSH déclarée) - monter la racine en RO pour limiter les écriture que l'on aurait oubliées et les tentatives de compromission. - j'installe les paquets prelink, localepurge, deborphan
Je prépare une image réinstallable en quelques minutes : - je lance "aptitude clean" et "find /var/log -type f -exec bash -c 'echo > {}' ;" pour faire du ménage, suivi de localepurge, deborphan, /etc/crond.daily/prelink et /etc/cron.daily/mlocate manuellement.
Pour faire une mise à jour (systeme ou du pare-feu), je dois juste penser à remonter le FS en RW : mount -o remount,rw / et penser à le reverrouiller apres : mount -o remount,ro /
Il y aurait plein de choses à dire sur ce sujet, avec la personnalisation du comportement de bash (voire de d?ash, des timeout, de snort, tripwire, logcheck, ssmtp, règles IPTables, tcpwrapper, recompil du noyau, aufs/squashfs ou unionfs/squashfs, chattr -i, ... Mais voila en gros ce que je peux te dire, de mémoire et qui tienne dans un message, mais il ne faut voir cela que comme un début de configuration.
Je te conseille de faire ton installation sur un disque dur normal, avec debbootstrap, puis de te 'chroot'er dedans pour continuer et de transférer tout le contenu de ce répertoire en une seule fois sur ta CF, tu limiteras les écritures et il ne te restera plus qu'à installer GRUB.
Je ne peux pas te donner l'intégralité de ma solution car plus j'avance dans les détails, plus c'est spécifique à mon besoin et différent du tien. Mais en allant un peu plus loin, tu aboutiras à une installation très stable proche d'une véritable appliance qui ne nécessite jamais de redémarrage.
Bonne soirée Fanfan
-- DES FELICITATIONS Bravo ! Nous ne savons même pas le dire en français. [ Jules Renard ]
--HcAYCG3uE/tztfnV Content-Type: application/pgp-signature; name="signature.asc" Content-Description: Digital signature Content-Disposition: inline
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
François Cerbelle
a écrit :
désolé, mais c'est pas un sokeris mais un HP Kayak P III et 256 Mo sdram
Ca ne change pas grand chose par rapport à la configuration générale d'une passerelle Debian sur CF.
Je te suggère juste d'ajouter un poil de mémoire, si tu en as la possibilité. Il faut minimiser les écritures sur la CF et donc il est intéressant de monter les systemes de fichiers temporaires en mémoire (tmpfs).
Fanfan
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
bernard.schoenacker@free.fr a écrit :
désolé, mais c'est pas un sokeris mais un HP Kayak
P III et 256 Mo sdram
Ca ne change pas grand chose par rapport à la configuration générale d'une passerelle Debian sur CF.
Je te suggère juste d'ajouter un poil de mémoire, si tu en as la possibilité. Il faut minimiser les
écritures sur la CF et donc il est intéressant de monter les systemes de fichiers temporaires en
mémoire (tmpfs).
Fanfan
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
désolé, mais c'est pas un sokeris mais un HP Kayak P III et 256 Mo sdram
Ca ne change pas grand chose par rapport à la configuration générale d'une passerelle Debian sur CF.
Je te suggère juste d'ajouter un poil de mémoire, si tu en as la possibilité. Il faut minimiser les écritures sur la CF et donc il est intéressant de monter les systemes de fichiers temporaires en mémoire (tmpfs).
Fanfan
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
François Cerbelle
a écrit :
pourquoi ne pas exploiter les logs et de les exporter sur une autre machine : -a) udp 514 ( syslog) -b) rrdtools
Chacun ses besoins, dans mon cas, je n'en ai pas besoin, je désactive donc la journalisation, mais rien ne t'empeche de la rediriger vers une autre machine. Dans les deux cas, il faut modifier le fichier /etc/rsyslog.conf, à toi de voir, selon ton besoin, ce que tu fais des journaux.
pour le bootloader : -a) lilo = ok -b) grub = dehors -c) alternative = Syslinux
Là encore, chacun son choix, grub me permet d'avoir l'invite de démarrage sur la console série, seule interface d'entrée/sortie terminal de mon matériel. En plus, je trouve plus simple d'ajouter un cable null-modem entre ma passerelle et un serveur que d'ajouter un clavier/ecran ou un switch de console.
applicatifs (prévus) : -a) portsentry -b) denyhost -c) privoxy -d) squid3 -e) chastity-list -f) pf au lieu de netfilter
Attention, squid va écrire sur la CF, et certainement pas mal...
PS: repond à la liste plutot qu'à moi personnellement, je n'ai pas forcément la meilleure réponse à toutes tes questions et la discussion peut en intéresser d'autres.
Fanfan
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
bernard.schoenacker@free.fr a écrit :
pourquoi ne pas exploiter les logs et de les exporter
sur une autre machine :
-a) udp 514 ( syslog)
-b) rrdtools
Chacun ses besoins, dans mon cas, je n'en ai pas besoin, je désactive donc la journalisation, mais
rien ne t'empeche de la rediriger vers une autre machine. Dans les deux cas, il faut modifier le
fichier /etc/rsyslog.conf, à toi de voir, selon ton besoin, ce que tu fais des journaux.
pour le bootloader :
-a) lilo = ok
-b) grub = dehors
-c) alternative = Syslinux
Là encore, chacun son choix, grub me permet d'avoir l'invite de démarrage sur la console série,
seule interface d'entrée/sortie terminal de mon matériel. En plus, je trouve plus simple d'ajouter
un cable null-modem entre ma passerelle et un serveur que d'ajouter un clavier/ecran ou un switch de
console.
applicatifs (prévus) :
-a) portsentry
-b) denyhost
-c) privoxy
-d) squid3
-e) chastity-list
-f) pf au lieu de netfilter
Attention, squid va écrire sur la CF, et certainement pas mal...
PS: repond à la liste plutot qu'à moi personnellement, je n'ai pas forcément la meilleure réponse à
toutes tes questions et la discussion peut en intéresser d'autres.
Fanfan
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
pourquoi ne pas exploiter les logs et de les exporter sur une autre machine : -a) udp 514 ( syslog) -b) rrdtools
Chacun ses besoins, dans mon cas, je n'en ai pas besoin, je désactive donc la journalisation, mais rien ne t'empeche de la rediriger vers une autre machine. Dans les deux cas, il faut modifier le fichier /etc/rsyslog.conf, à toi de voir, selon ton besoin, ce que tu fais des journaux.
pour le bootloader : -a) lilo = ok -b) grub = dehors -c) alternative = Syslinux
Là encore, chacun son choix, grub me permet d'avoir l'invite de démarrage sur la console série, seule interface d'entrée/sortie terminal de mon matériel. En plus, je trouve plus simple d'ajouter un cable null-modem entre ma passerelle et un serveur que d'ajouter un clavier/ecran ou un switch de console.
applicatifs (prévus) : -a) portsentry -b) denyhost -c) privoxy -d) squid3 -e) chastity-list -f) pf au lieu de netfilter
Attention, squid va écrire sur la CF, et certainement pas mal...
PS: repond à la liste plutot qu'à moi personnellement, je n'ai pas forcément la meilleure réponse à toutes tes questions et la discussion peut en intéresser d'autres.
Fanfan
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS