Bevezetés

Ez az oldal azoknak keszül, akiket a sors rendszeradminisztrációra kenyszerít, és a fontos kerdésekben a következõ segítséget kapják:

"mivel egy tûzfal telepítése és beállítása számos elvi és megvalósításbeli ismeretet igényel, itt azt sajnos nincs módunk részletesen bemutatni."

Slapic-nak ebben, természetesen igaza van, de ez kb. olyan válasz, mint amikor egy kezdõ megkérdezi melyik distrib-et válassza, és azt mondják neki, hogy mindegy, mert ugyanaz a kernel van hozzá.

Szóval készíteni kell egy internetes gateway-t, átjárót, de se pénz, se tapasztalat, se semmi, és nem akarjuk ráfecsérelni az egész délelõttöt.

TUDOM, hogy ettõl sokaknak feláll a szõr a hátukon, és ebben IGAZUK IS VAN. Az élet azonban bonyolult, és mégiscsak össze kell hozni valamit.

Ha a belsõ hálon totál amatõrök vannak, és csak ideiglenesen, modemmel kapcsolodunk fel egy szolgáltatóhoz, akkor egy alapvetõ Linux-os ismeretekkel rendelkezõ ember is össze tud hozni egy ilyen rendszert. Sõt. Össze kell hoznia, ráadásul ingyen, görbe pillantásokkal kísérve, a környezõ Win99-es gépek mögül.

Ha valakinek lehetõsége van rá, akkor kérjen meg egy hozzáértõt, hogy csinálja meg. Csak végsõ esetben forduljon ehez a dokumentumhoz!

Ha valaki magától nem tudná eldönteni, hogy profi-e, annak egy kis segítség:
Profi az akinek a hibaüzeneteket tartalmazó jegyzetfüzetében nem azok a hibaüzenetek vannak amiket már látott, hanem azok amiket még nem.

Alapismeretek:

Olaf Krich - Linux - halozati adminisztrátorok kézikönyve

Fred Blutzen, Christopher Hilton - Linux halozatok 2750 Ft
A Win95 kliensek jól le vannak írva.

Szabó - Linux lepesrol lepesre 2??? Ft

Linuxvilág folyóirat. Különösen a könnyű álmok cikksorozat.

Æleen Frisch - Windows NT rendszeradminisztráció.
Idézet a könyv 127. oldaláról "és még további kettõt [tartalmaz - mármint partíciót] (amiket történetesen a Linux operációs rendszer használ)." Azonnal megvettem. Drága, de jó könyv. kb 4000 Ft

Peter Norton, Mike Stockman - A hálózati biztonság alapjairól 2660 Ft
Windows (NT, 2000), Novell NetWare, Unix (Solaris, BSD, Linux)
Kezdőknek. Tehát Neked :-)

ppp - kapcsolodas az internetre

CHIP 2000. november 169-170. Az IP hálózat szolgáltatói oldala. Segyik István: Internet-meteorológia I.

Ha valaki egy egyetemi hálózaton akar egy alhálózatot nyitni - tipikusan egy tanszék számára - akkor ezt a részt átugorhatja.

Itt emlekeztetnék az ISP törésekre, és egyéb kalózkodásokra. Ezen a gépen minimális mennyiségű program fusson, és a rendszeres upgrade elengedhetetlen.

Zyxel Omni Ta 128 külsõ ISDN modemet csatlakoztatok a COM1 ttyS0 portra. (A COM2 hibás :) Külsõ ISDN modemhez nem kell ISDN támogatás, ha a modem Hayes felületet nyújt.
Minicom-mal kapcsolatot létesítek a modemmel. (A modemet és a minicom-ot is be kell állítani, bár a default beállítás OK szokott lenni.)
AT parancsra a modem válaszol OK
ATZ0 reseteli a modemet és elõhozza a 0 beállítást
AT&V kiirja az aktuális beállításokat
Mindenfélét tud a TA 128. CHAP - PAP konverziótól kezdve Asyncronról syncronra konverziót is. 158 oldalas kézikönyv. Amire vigyázzunk az az ATWn n=0-4 parancs, ami rögzíti a beállításokat. Amit az ATZn-nel lehet elõhívni. Ha itt nagyon elcseszünk valamit akkor lehet, hogy a legegyszerûbb a firmware csere. Normál esetben egybõl bejön a gép-modem kapcsolat a minicom-mal, és a minicom el is végzi a modem inicializálását. Ekkor írjuk be az
ATDTszolgáltatótelefonszám-ot

CONNECT 115200/PPP 64000/NONE

Mutatja, hogy megvan a kapcsolat. Username: promtnál írjuk be a felhasználói nevet, Password: -re pedig a jelszót.

Már minden OK.

Ha Username helyett

~@$##%$##^%$^%$%$&$&^$%&^%^&%*&%&*%&*^&*^% NO CARRIER

jön be, akkor más tipusú a szolgáltatónál az azonosítás. ISDN-nél szinte biztos.

Namost azóta találkoztam valami TA128 feliratú modemmel, nem Zyxel. Annak kellett egy AT!L0=0 is. Figyelmesen el kell olvasni a kézikönyvet.

Lehet a Matáv is a hunyó. Az ISDN drót végére dugtunk egy digitális telefont, és nem tudtunk városi számot tárcsázni.

És most ugyanez komolyabban, részletesebben cHarley - charley@interware.hu segítségével.

Letöltés

PPP szerver készítése:

Lásd még: CHIP 2000. június 139-142, augusztus 127-128.

Kell hozzá az mgetty csomag amit minden disztribució tartalmaz, a pppd ami szintén mindegyik disztriben megvan.

De ha callback-re meg az "MSCHAP" azonosításra is szükség van, akkor az eredeti csomagot le kell cserélni: ftp://ftp.elte.hu/pub/linux/ppp-cbcp/

Az "MSCHAP" autentikációhoz szükséges valamelyik "libdes" csomag (azt hiszem RedHat alá rpm csomagban is megvan): ftp://ftp.psy.uq.oz.au/pub/Crypto/DES/

A szabványos "CHAP"-hoz ez nem szükséges, csak a microsoft által módosítotthoz ( ha a windows-okban -lástd: w95 és Plus csomag,w98 "DialUp Server"; NT RAS Server beállításai- aktiválva van a "Microsoft Windows Authentication", akkor csak "MSCHAP"-al engednek be, vagyis ha a linux a cliens akkor az "MSCHAP" nagyon hasznos. A callback-ról a kernel ppp moduljának is tudnia kell, erre a "/usr/src/linux/include/linux/ppp_defs.h" file-ban van hivatkozás: #define PPP_CBCP 0xc029 /* Callback Control Protocol */ Ha ez nincs meg le kell cserélni egy olyan header állományra ami tartalmaza, pl. a callback-os ppp csomag tartalmaz ilyen header file-t. Ez a probléma a 2.2.x-es kerneleket nem érinti, csak a régebbieket. Az "mgetty" beállitásai - Induljon az "/etc/inittab"-ból:

mo:45:respawn:/usr/sbin/mgetty -a -D /dev/ttyS1

tt a 4-es és 5-ös runlevelen indul (2. mezö) a "ttyS1"-en (com2). Szükség szerint ez módosítandó. Ezt SuSE-hez csináltam itt a default runlevel a 2-es, az xdm-es a 3-as (ugyanez a RedHat alatt emlékeim szerint a 3-as és az 5-ös). Vagyis az mgetty monitorozása nem indul a default runlevel-en, csak egy "init 4" vagy "init 5" parancs után. Ezek megegyeznek a 2-es illetve a 3-as runlevellel, az mgetty indítását kivéve. Tehát az "/etc/rc.d/init.d/rc2.d" és rc4.d directory-k tartalma megegyezik, az rc3.d és a rc5.d szintén ( a szimbolikus linkek másolására kiváló az MC, mert a relatív utvonal hivatkozásokat nem bolygatja). Azért ez a keverés, mert ha az mgetty nem látja a modemet, kegyetlen sokat tud hisztizni, és ez periodikusan képes elkövetni, de ha a modem állandóan be van kapcsolva, ez az egész cécó elhagyható, induljon az mgetty a default runlevelen oszt kész. Az "/etc/mgetty/mgetty.config"-ban:

port ttyS1

debug 8

data-only y

speed 115200

A debug sor csak a belövéshez szükséges, ha már stabil elhagyható. (a "/var/log/mgetty.ttyS1"-be logol) Az "/etc/mgetty/login.config"-ban:

/AutoPPP/ - a_ppp /usr/sbin/pppd

Ezért jó választás az mgetty, mert képes automatikusan elindítani a pppd-t.

A "/etc/ppp/options" legyen üres, mert ez minden soros portra vonatkozik, helyette portonként opciózunk.

A "/etc/ppp/options.ttyS1" tartalma:

10.1.1.1:10.1.1.2

netmask 255.255.255.0

-detach

debug

auth

+pap

#+chap

#proxyarp

login

name pppserver

ms-dns xxx.xxx.xxx.xxx

modem

lock

crtscts

callback server

debug szintén elhagyható a belövés után. Az autentikációt a "+pap" vagy "+chap"-al választunk, a login azt modja meg, hogy a saját "/etc/passwd" adatbázisunkkal azonositunk, ez egyuttal azt is jelenti, hogy a behívónak mint valós user-nek léteznie kell a linuxon. Ha ez a megoldás nem szimpatikus, a login elhagyható, de ekkor ki kell tölteni az "/etc/ppp/pap-secrets" vagy a "/etc/ppp/chap-secrets" file-okat, a választott autentikációtól függöen. A "name" sor is ehhez kell a saját nevünket szabjuk meg. Ebben az esetben pl. pap autentikációt használva: Az "/etc/ppp/pap-secrets"-böl [A dadus user hopi2 jeszóval] :

# client server secret IP addresses

dadus pppserver hopi2 10.1.1.0/24

pppserver dadus hopi2 10.1.1.0/24

Az elöbbi "login"-os esetben pedig elég ennyi:

* * "" 10.1.1.0/24

Ha van itt több bejegyzés is, pl. a kimenö dialup-os internet elérés miatt, azoknak ezt meg kell elözniük, mivel a ppp sorban viszsgálja a file tartalmát, és az elsö egyezönél leáll. Az IP címnél az elsö a szerveré, a második a behívó kliensé. Amennyiben a belsö hálóról osztasz ki IP címet szükséges még a "proxyarp" opció is. Az "ms-dns"-el el lehet küldeni a wines klienseknek a dns szerver cimét. A "callback server" opciónak értelemszerüen csak akkor használható, ha a callback-os ppp-t használod. Az "/etc/ppp/callback-users"-ben:

dadus *

dadus2 1234567

Bármilyen telefonszámon visszahívja a "dadus" usert, a dadus2-t csak a megszabott számon. Ha a sambával ki akarsz ajánlani eröforrásokat a ppp keresztül, az "interfaces" opciót kell használni, de vigyázat nem a network cimeket kell ide írni, hanem csak a linux hálózati címeit. Pl.az eth0 a 192.168.1.1-es címen van, és egy komplett C osztályu, a ppp0 meg a 10.1.1.1-en 255.255.255.240-es maszkkal:

interfaces=192.168.1.1/24 10.1.1.1/28

[Dadus]

bind - name server

Azt mondják, hogy érdemes egy Caching-only name servert beállítani a ppp-s gépen. Ekkor a name server ugyan nem tud semmit, de tanul. Így csökkenti a halózati terhelést.

$rpm -q bind

bind-4.9.6-6

Hmmm... lehetne újabb is...Már csak azért is mert ezeken a régi bind-eken már sok lyukat találtak.

; ; Boot file for name server ;

directory /var/named

; type domain source file

cache . named.root

; Ez a file egy vagy több DNS szerverre mutat.

. 3600000 IN NS A.ROOT-SERVERS.NET.

A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4

; persze itt fel lehet sorolni még sok nameservert is, szerintem kettõt legalább

; Az egyik a szolgáltatóé, a másik a belsõ hálón levõ name server.3600000: a bejegyzés élettartalma

Tapasztalt emberek viszont azt mondják, hagyjuk a bind-et, legalábbis a PPP-s gépen.

"squid is megcsinálja [névfeloldások cachelését], default-ba 5 child process-t indít erre:

dns_children 5

És a felszabaduló memóriát oda lehet adni az squid-nak, ami default-ba 8Mb :

cache_mem 8 MB" [Dadus]

Az rlogin, és az egyéb r parancsok, az ftp, és valamiért a telnet igénylik a számból nevet feloldást. Meg még nem is tudom ki. Ezért úgy tûnik a névfeloldás egy kritikus terület. Oda kell rá figyelni.

Telnet helyett: SSH
Linuxvilág: 2001 jan. 48-52, febr/márc. 62-66

Szoval, hogyha a (telnet) kapcsolodas a lassu, akkor a tcpd ellenorzi a klienst, amihez DNS-t akar kerdezni, de az nem sikerul neki. es ki kell varnia a time-out ot. [NevemTeve]

($ telnet 192.168.1.5

Trying 192.168.1.5...

Connected to 192.168.1.5.

Escape character is '^]'.

hosszú szünet. )

Megoldasok:

1) DNS-szerver beallitasa (reverse mukodes is: IP->name)

2) A szerveren a hosts file-ba felvenni a kliens gépeket, és prioritást adni a hosts filenak a DNS fölött: /etc/nsswitch.conf -ban: hosts: files dns (glibc2 eseten).

3) A szerveren a /etc/hosts.allow file-ba felvenni a klienst ip-cimmel, vagy a lokalis halozat osszes gepet, pl: ALL:10.2.3.0/255.255.255.0

bovebben: man 5 hosts_access [NevemTeve]

Hallottam olyan esetrõl amikor a Win95-ös kliensek valami miatt elkezdték magukat keresgélni, persze a szolgáltató name servere sem tudta kideríteni kik is õk valójában (ami nem csoda) és mivel nem adták fel a keresést, és sok géprõl volt szó 1000USD (forintban persze) volt a telefonszámla. (Gondolom ha nem lett volna nekik megadva a szolgáltató name servere, akkor nem tudták volna hívni, ha meg a PPP-s gépen fut name server akkor az a negatív próbálkozásokat is cacheli, tehát nem próbálja meg többször megkeresni kint azt a címet amit egyszer már nem talált.) Fontosnak tûnik a jól kitöltött hosts file-ok használata. Ez esetben nem is kell tudniuk a PPP gép name serveréről, hiszen Web böngészés úgyis a Squid-on keresztül zajlik, a levelező szerver címét meg megadjuk a Windows hosts file-jában. Például a mail.elender.hu címe 212.108.200.67

diald

Most jó lenne automatikusan létrehozni a kapcsolatot.

Slapic a 2.2-es CHIP-tárban 33-37 oldalakon errõl is ír. Ahogy kibogarásztam, a pppd képes erre ha meg tudjuk adni a saját és a távoli gép IP számát. Azt hiszem, ez nem jellemzõ mivel a szolgáltatók dinamikusan osztják ezt ki. Általában a diald-ot használják automatikus tárcsázásra. Ha kell felépíti a kapcsolatot, ha kell lebontja. A diald-hoz Linux halozatok 201.oldal. Kiegeszites: Azert, hogy a diald ne nyelje el az elso csomagot:

echo 1 > /proc/sys/net/ipv4/ip_dynaddr

Ha a connect /etc/ppp/ppp-on-dialer -t hasznaljuk akkor - logikusan - a telefonszámot direktben kell beirni az ATDT$Telefonszam helyett ATDT516000. Illetve ATDT0W516000.

/etc/diald.conf

mode ppp

connect /etc/ppp/ppp-on-dialer

device /dev/ttyS0

speed 115200

modem

lock

crtscts

pppd-options name ppp-pc

remotename myisp

local 192.168.0.1

remote 192.168.0.2

dynamic

defaultroute

include /usr/lib/diald/standard.filter

Ide másolom az egyik diald konfigom leídözési részletét (/etc/diald.conf), ez matávos területre készült. Hátha másoknak segítek vele, mert ezzel sokat tökölödtem, nagyon nehezen értettem meg a logikáját, hátha más is így van ezzel.

#restrict

restrict 07:50:00 17:59:00 1-5 * *

impulse 780,60

restrict 07:50:00 14:59:00 6-7 * *

impulse 780,60

restrict * * * * *

impulse 300,3600,60

accept any 120 any

A legalsó sor azt mondja, hogy 120 mpercig nem vizsgál semmit, utána indulnak az idözítések: az elsö két sor szerint hétfötöl péntekig 7:50-töl 17:59-ig 780 mpercig engedi a kapcsolatot fennálni, majd erre jön egy 60 mperces türelmi idö, ha nincs forgalom bont, ha van az idözítést ujra indítja. A következö két sor ugyanez szombaton és vasárnap, csak más idöpontokkal. Az utolsó elötti két sor a kedvezményes idöszakra vonatkozik, a türelmi idö itt is 60 mperc, de az idözítés egy kicsit más. Az elsö 300 mpercet nézi, hogy van-e forgalom (lehet, hogy valaki csak a leveleit tölti le, és nem használja ki a kedvezményes idöszakot), ha van utána már 1 órára toljuk ki a leidözités értékét. [Dadus]

A csomagtovabbitashoz kell az

echo 1 > /proc/sys/net/ipv4/ip_forward

Mas tarcsazó programok is vannak pl: masqdialer -kliens progi kell hozzá-

squid

Jó lenne, ha nem töltené le mindenki ugyanazt az oldalt - proxi szervert kell beüzemelni. Slapic a 2.2-es CHIP-tárban 104-107 oldalakon errõl is ír.

mail

Miért használjunk Linux-os levelezőszervert ?

Ez a levél egy segítség kérés, de egyben figyelmeztetés is azoknak, akik nagymennyiségű e-mail-t raktároznak merevlemezükön. Pénteken nagy adatvesztéssel járó lefagyás volt nálunk. A jelenség: Outlook Express-t használunk ( IE4.0-félét ). A szokásos tömörítést végezte a háttértárolón, mikor Dr Watson-nal ( NT figyelmeztetése ) lefagyott az Outlook Express. Újraindításkor láthatatlanná váltak az egyik mappa ( pont a hivatalos bejövő ) utóbbi 4 hónap méljei. Újbóli újraindítással ismét nekiállt tömöríteni, mire az eddíg csupán tartalmukat vesztett mélek végérvényesen eltüntek.[Varga Illés Levente]

Az outlook express leveleit át tudod konvertálni unixos mailbox formátumra az oe2mbx progival. a freshmeat.net-en rákeresve megtalálod.[hORK]

A csatolt filek meg kicsomagolhatók (IPM.Microsoft Mail) a www.fentun.com progijával

"boot_device_not_accesible" és "nem találja a windows2000 root system32ntoskernel.exe"-t Ezt nekem egyszer magától hozta össze a rendszer. Úgy, hogy egyik percben még működött -- majdnem egy évig huzamosan ebben a konfigban ment a rendszer. Átbootolam win98-ba, ott matattam a CD-íróval, majd visszabootoltam volna W2-be és a fennt leírtak. Megpróbáltam a Repair Disk-el, aszonta a windows2000 root system32ntoskernel.exe nem található, vagy sérült. Pakoljak mindent újra. Újrapakoltam. Az összes mailem elveszett persze. A doksik csak azért nem, mert más partíción tároltam.

Azóta mindig "kicsit rettegek" minden bootolásnál. Hátha valami misztikus ok miatt most megint...
[sztyopka-remix]

Víruskeresés:
http://www.amavis.org/
http://qmail-scanner.sourceforge.net/
http://linux.index.hu/?site=cikkek/avp.html

Levelezés telnet segítségével

telnet mail.elender.hu 25
HELO mail.elender.hu
MAIL FROM:< innen@kuldom>
RCPT TO:< ide@megy>
DATA
Subject: teszt
Duma es egyebek - miert nem megy az outlook ?
.
QUIT

Levelezés Netscape segítségével. A szolgáltató POP3 protokollt biztosít:

Edit/Preferences/Mail &.../Identity

email cím-et kell kitölteni valaki@freemail.c3.hu

Edit/Preferences/Mail &.../Mail Servers

incoming mail servers: freemail.c3.hu server type POP user name valaki

outgoing mail server freemail.c3.hu user valaki

Ez nem egy szerencsés megoldás ! Jobb lenne, ha a levélküldést a ppp gép oldaná meg, és nem a kliensek csatlakoznának közvetlenül a szolgáltató levelezõ gépéhez.

Én levélküldésre az internet szolgáltató gépét használom, de levél fogadásra egy egyetemi hálón levő gépet. Ha valaki segít egy iskolai rendszert életben tartani, annak lehetősége van ilyen viszontszolgáltatásokra.

Esetleg korul lehet nezni az inter7.com hazatajan, ahol sokfele cuccost lehet talalni amik egymashoz vannak integralva:
vpopmail: virtualis domainek es mailboxok kezelese rendszer userhasznalat nelkul (pop3 mailbox anelkul hogy usert kene felvenni a gepre a delikvensnek, tobb domainen, stb.)
sqwebmail: webes mail felulet, egesz kellemesnek tunik, SSL-t is enged hasznalni bejelentkezeshez (nem tudjak lesniffelni a passwordodet), qmail es vpopmail tamogatas.
courier-imap: IMAP4 server qmail-hez es vpopmail-hez.
qmailadmin: adminisztracios felulet qmail, vpopmail, sqwebmail, ezmlm-hez.
ezmlm: ez nem ott van a valtozatossag kedveert, ez egy levlistakezelo qmail-hez.
[Finrod]

A Szabó féle könyvben van Exim leírás.

qmail-t meg vpopmail-t hasznalom. Azzal semmi gondom, csak hogy van egy ket feature amit meg hianyolok (de mar csinaljak), meg hogy kis kavaras van a debian csomaggal, ami miatt meg nem megy hozza a qmailadmin (de dolgoznak rajta).
Az sqwebmail az elvileg megy a debianos vpopmail-el is, de nem probaltam.
A debianos csomagokat a kovetkezokepp tudod begyujteni:
qmail: (A 14. CHIP tárban van róla leírás Nagy Balázs-tól julian7@kva.hu * 80-85. oldal)
letoltod a mirrorrol a qmail-src es az ucspi-tcp-src csomagokat (az unstable-t nyugodtan).
ezutan build-ucspi-tcp es build-qmail
Fel is installalhatod a csomagokat nyugodtan. Kozben elolvasgatod a qmail doksit piciket, hogy legyen rola fogalmad, milyen kellemes mailszerver is ez.
Beallitod a ket beallitandot: (lasd README.Debian)
1. ~alias/.qmail-postmaster file valami ertelmeset tartalmazzon, vagy legyen postmaster usered.
2. Ha pine-t akarsz hasznalni akkor a /etc/pine.conf-ban: sendmail-path=/usr/lib/sendmail -oem -oi -t
(tevedesek elkerulese vegett ez nem a sendmail sendmail file-ja, tehat nehogy megprobald feleroltetni melle a sendmail-t, ha mar levakarta :)
3. Elolvasod a /etc/init.d/qmail-t es amennyiben Maildir-t akarsz hasznalni, akkor annak megfeleloen cselekszel (es letrehozol minden usernek a homejaban a maildirmake paranccsal egy Maildir/ nevu maildirt, uj usereknek pedig automatikusan letrejon ez, ha az /usr/local/sbin/adduser.local fileba behelyezed a kovetkezo sorokat:

if [ -d $4 ] ; then
maildirmake $4/Maildir
chown -R $2.$3 $4/Maildir
chmod -R g-s $4/Maildir
fi
4. Korulnezel a /var/qmail/control konyvtarban hogy minden az aminek lennie kell (lasd doksi :)
Ekkor van qmail-ed.
vpopmail debian csomag: a http://www.sury.cz/Debian sitera elnezel. Ott rogton kapsz is egy szoveget hogy mit rakjal be a /etc/apt/sources.list-edbe. Ezutan mar csak valogatsz dselect-el (kezdetnek javaslom a libvpopmail-freecdb authentikacios modszert amikor kerdez a dselect).
Na akkor sqwebmail. Ehhez mar nem ertek, olvasd a doksit.
Qmailadmin: detto.
Ezmlm-et erdemes meg felrakni. Kitalalod hogy kell legyartani? :)
Felinstallalod az ezmlm-src csomagot. Utana build-ezmlm es kesz vagy (felinstallalod a gyartott csomagot).
Hat tovabbi kerdesed van, akkor a kuldj emailt (robi@piros.zold.net)
[Finrod]

A tcpserver egy kulonallo process minden porton, amit demonkent kell inditani. Igy nem tudjak egyes service-ek semmi koze a tobbihez.
Nezd meg a tcpserver man page-et hogy hogy kell vele olyan programot futtatni ami ohozza van irva (ergo a megfelelo parametereket varja el).
Inditani legegyszerubb ugy ahogy a qmail-nek a smtp demonat inditja a qmail initscriptje, csak a pidfile-t se art kezelni (talan a -13 verzioszamu csomagban mar benne van az is).
Az access control a /etc/tcp.xxxx.cdb fileokban talalhato beallitasok alapjan tortenik.
Ez a file binaris adatbazis, a forrasadata a /etc/tcp.xxxx fileban talalhato.
Qmail-nel van smtp.
Ebbol most fejbol nem tudom hogy lehet kigeneralni a cdb filet, mivel qmail-nel ezt a qmail-newmr progi csinalja, de az c program, tehat nehezen modosithato valoszinuleg.
man cdb es probalni irkalni valami megfelelot.

[Finrod]

A qmail cdb file-jának generálása a doksi alapján nálam így működik
(/etc/rc.d/rc.inet2 vége):

# Start the tcpserver HyperSuperServer
echo "Starting tcprules..."
/usr/local/bin/tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.tmp < /etc/tcp.smtp
echo "Starting tcpserver..."
/usr/local/bin/tcpserver -H -l cooltech.hu -x /etc/tcp.smtp.cdb -v -u 1004 -g 101 \
0 smtp /var/qmail/bin/qmail-smtpd 2>&1 | /var/qmail/bin/splogger smtpd 3 &

[Traxy]

A tcprules hivast nincs ertelme a server inditasa ele tenni, ugyanis nem tolti
be a filet. A cdb file egy olyan hashelt adatbazis amiben tetszoleges rekordot
nagyon gyorsan (ket file seek) meg tudsz talalni kulcs alapjan.

Tehat a tcprules-t akkor kell lefuttatni amikor modositod a forrasfilejat.

[Finrod]

A /etc/tcp.smtp file tartalma:
10.:allow,RELAYCLIENT=""

A tcpserver futtatásakor a -H -l cegnev.domain paramétert nem írta a doksi,
utólag tettem hozzá, mert miután a tcpservert elindítottam és be akartam
telnet-elni a szerverre, máris tárcsázott a diald. A qmail hivatalos
levlistáján akadtam erre a megoldásra.

[Traxy]

Két qmail-es link:
http://www.agria.hu/qmail/top.html (jó kiindulási pont)
http://www.i2k.net/~dougvw/mailqueue.html
ez utóbbi egy kezdőknek is könnyen érthető step-by-step telepítési útmutató
telefonos csatlakozás esetére, de van benne néhány hiányosság ill. hiba.

1. a /var/qmail/control/virtualdomains fileba a ":alias-ppp" elé be kell tenni
a saját domain nevedet (cegnev.hu), ill. egyéb aldomaineket, amik vannak a
hálón (mail.cegnev.hu stb.)
Ha ez nincs ott, akkor a cégen belüli levelezés is kikerül az internetre,
aminek semmi értelme.
[Traxi]

A virtualdomains fileba csak akkor kell a sajat egyeb domainjeidet beletenni,
ha nincsenek a locals fileban.

Az rcpthosts fileban mindenkepp benne kell lenniuk.

A ket szolgaltatohoz csatlakozassal vigyazz, mert csak az egyik fele fognak
menni a csomagok amik kifele mennek. A masik csak a penzedet fogja fogyasztani.
Mindez azert mert az az interfesz egy darab ip cimet tartalmaz, ahova sose
cimzel altalaban packet-et, valamint a linux nem tud ket gateway-t hasznalni.
Ahhoz mar router csomag kell. Ha pedig valakinek sikerult ket (kulonbozo)
dialupra bekonfiguralni egy router csomagot, akkor tegye kozkinccse legyen
szives a dolgot.

Keszulunk egyebkent egy olyan szolgaltatast beinditani (Greydeer Networks Kft.)
ami lehetove teszi az ETRN-szeru leveltovabbitast dinamikus ip-cimre is.

[Finrod]

2. a maildirsmtp, ami továbbítja a leveleket telefonos csatlakozáskor, igényli
mind a fogadó, mind a saját (általában dinamikusan kiosztott) IP címünket. Az
ip-up-ban először kideríti az IP címünket, aztán meghívja vele a maildirsmtp-t.

Na ez nekem nem működött, úgyhogy átírtam. Az eredeti így néz ki:
# find own hostname; dynamically assigned!
# $4 is the assigned ipaddress, passed along by pppd
ME=`host $4|head -1|cut -d" " -f2`
echo "$ME" > $QCD/HOSTNAME
Ezek után a $ME változót használta a maildirsmtp meghívásakor.

Nekem ez így nem működött.

A megoldás az, ha a maildirsmtp utolsó paramétereként egyszerűen "$4"-t írunk.
Ez tartalmazza a kapott IP címet.

Szerencsére nekem fix IP címem van, így ilyen gondom nincs, én arra használom a
$4 paramétert, hogy teszteljem, hogy a levelező szolgáltatóhoz (EuroWeb)
csatlakoztam e be és csak akkor küldje a leveleket. Ha a diald csatlakozik a
Matavnethez (ami az általános internet szolgáltatónk), akkor értelem szerűen
nem ez lesz az IP cím, így nem indul a maildirsmtp.
[Traxy]

fetchmail

Levélletöltésre szolgáló kliens. Nem csak POP3 protokollt támogat. Működése:
Beolvassa a config file-t
Megnézi a távoli gép postaládáját
Átadja a leveleket az SMTP szerverünknek.

Egyfelhasználós postaláda esetén a ~/.fetchmail file:
poll mail.elender.hu protocol POP3 user cukorfalat password jelszo
A file-t csak mi olvashassuk !
A fetchmail parancsra leszedi a levelet.

Többfelhasználós postaláda esetén a .fetchmail file:
Namost ez még 7 oldal a Linux hálózatok könyvben ...

IP masquerading

Letöltés

Lássuk, a 2.2 kernel esetén mi van ?

Kernel fordításkor: CONFIG_IP_ALWAYS_DEFRAG = yes
Illetve tiltsuk le a nem első fragmentek kijutását. Ez az -f opció.
Az ehhez a szabályhoz tartozó esemény DENY legyen.

Egyes szolgáltatók nem csípik, ha valaki megosztja a modemet, és így többen neteznek egy kapcsolatról.

Maszkoláshoz egy trükk.

Sokáig szívtam azzal, hogy nem ment a TCP maszkolás a helyi szolgáltatóval... Már mindent megpróbáltam, aztán rájöttem, hogy tiltják azt a porttartományt, amit a maszkoláskor forrásportként beállít a gép. Végülis érthető: ők ezzel védik magukat, hogy csak egy végpont legyen a szeren.

De a lényeg: a kernel forrásban át lehet állítani azt a porttartományt, amit használ a masq, és ezek után már minden működik, méghozzá úgy, hogy a szolgáltató erről mit sem tud (nem is tudhat).

Az ip_masq.h fájlban (/usr/src/linux-2.x.x/include/net/) kell megkeresni a #define PORT_MASQ_BEGIN sort, és át kell állítani az értéket mondjuk (61000-ről) 8000-re. A 8000-es tartomány általánosan használt, szóval nem tudják kitiltani :)

Kernelfordítás, és install! [bandi_]

Általában jó szokott lenni a gyári kernel, de erre nem lehet garanciát vállalni.

Érdemes a felhasználókat alaposan lekorlátozni. Az ipchains -P input ACCEPT meg forward MASQ stb persze lehetõvé teszi a kliens gépeknek a kijutást, de talán nem szerencsés az ekkora szabadság.

Hat igen. Azota felnyomtak az egyik _vedtelen_ 2 eves szerveremet, igy azt mondom upgrade ezerrel, mindent letiltani ami nem nagyon kell.

/sbin/ipchains -P input DENY - ez minden bejövõ kapcsolatot megtilt. Ezt egészítem ki engedélyekkel.

ipchains -A input -s 192.168.2.100/32 -j ACCEPT - A ppp géptõl mindent.

ipchains -A input -j ACCEPT -i lo - A ppp géptõl mindent.

ipchains -A input -s ! 192.168.0.0/16 -j ACCEPT - Ez nem jó! Kívülrõl mindent.

ipchains -A input -s 192.168.0.0/16 23 -d 192.168.2.100/32 -p tcp -j ACCEPT - Az intranet gépeit lehet telnetelni a PPP géprõl. Beengedi a választ.

ipchains -A input -s 192.168.0.0/16 80 -d 192.168.2.100/32 -p tcp -j ACCEPT - A belsõ www szervereket el lehet érni a PPP géprõl.

ipchains -A input -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 25 -p tcp -j ACCEPT - Belülrõl lehet levelet küldeni.

ipchains -A input -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 110 -p tcp -j ACCEPT - És levelet letölteni POP3-al.

ipchains -A input -s 192.168.0.0/16 -d 192.168.2.100/32 53 -p udp -j ACCEPT - Elérhetõ a PPP gép name servere. Ha kell egyáltalán name server rá.

ipchains -A input -s 192.168.0.0/16 -d 192.168.2.100/32 3128 -p tcp -j ACCEPT - Elérhetõ a squid.

ipchains -A input -s 192.168.0.0/16 -d 192.168.2.100/32 -p icmp -j ACCEPT - Meg lehet ping-elni a PPP gépet.

ipchains -P forward DENY - Nem továbbít semmit.

ipchains -A forward -s 192.168.2.100/255.255.255.255 -j MASQ - A PPP géprõl minden mehet. Kell ez ? Megnézem.

ipchains -A forward -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 25 -p tcp -j MASQ - Belülrõl maszkolja a levelezést

ipchains -A forward -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 110 -p tcp -j MASQ - és a POP3 letöltést.

Torolni az egeszet: ipchains -F

Lista: ipchains -L -n

Ha kívulrol kell vedekezni :

Ez meg nem az igazi. A gep valodi cime _nem_ 193.225.93.163 Ez abbol is lathato, hogy az a gep pingelheto.

ipchains -F input - torol

ipchains -P input DENY - bejovo tiltva

ipchains -A input -s 193.225.93.163/32 -j ACCEPT - onmaga elfogadva

ipchains -A input -j ACCEPT -i lo - onmaga elfogadva

ipchains -A input -s 192.168.0.0/16 -j ACCEPT - belulrol mindent

#EZT NE# ipchains -A input -s 193.225.93.0/24 -p icmp -j ACCEPT - kintrol ping engedelyezese

#ESETLEG# ipchains -A input -s 193.225.93.0/24 23 -p tcp -j ACCEPT - innen lehet telnetelni

#EZT NE# ipchains -A input -s 193.225.93.0/24 -d 193.225.93.163/32 23 -p tcp -j ACCEPT - ide lehet telnetelni !! ssh !!

ipchains -A input -s 193.225.93.1/32 53 -p udp -j ACCEPT - name serverrol fogad

ipchains -A input -s 0.0.0.0/0 -d 193.225.93.163/32 143 -p tcp -j ACCEPT - IMAP elerheto - ha kell levelezoszerver a gepre. POP3 eseten a 110-es portot kell megengedni. Ha interneten levo levelezoszervert hasznalunk akkor ez nem kell.

ipchains -A input -s 0.0.0.0/0 -d 193.225.93.163/32 25 -p tcp -j ACCEPT - SMTP itteni fele elerheto

ipchains -A input -s 0.0.0.0/0 80 -d 193.225.93.163/32 -p tcp -j ACCEPT - kulso web szerver elerheto

ipchains -A input -s 0.0.0.0/0 110 -d 193.225.93.163/32 -p tcp -j ACCEPT - kulso levelezo szerver POP3-al elerheto

ipchains -A input -s 0.0.0.0/0 25 -d 193.225.93.163/32 -p tcp -j ACCEPT - kulso SMTP elerheto

ipchains -A input -s 0.0.0.0/0 21 -d 193.225.93.163/32 -p tcp -j ACCEPT - ftp beszelgetes kulso geppel

ipchains -A input -s 0.0.0.0/0 20 -d 193.225.93.163/32 -p tcp -j ACCEPT - ftp adat fogadas

# Be van toltve az ip_masq_ftp modul ? [Pingvin]

# modprobe ip_masq_ftp

#Ha nincs (a squid-on keresztül akarunk ellenőrizgetni) :
# ftp > ls
#435 Can't build data connections: Illegal seek.

# Persze a modulokat a kernelbe be is kell fordítani. De ez OK szokott lenni.

# Fontos modulok még az irc, quake. Ha valaki irc-zik vagy quake szerveren játszik.

ipchains -P forward DENY - tovabbitas tiltva

ipchains -A forward -s 192.168.0.0/16 -d 0.0.0.0/0.0.0.0 -j MASQ - bentrol minden szabad

Az elso peldaban kintrol, a masodikban bentrol volt minden szabad. Ezeket kell osszekombinalni, de gondolom igy jobban at lehetett tekinteni.

Lássuk, a 2.4 kernel esetén mi van ?

Apróságok

A route tábla

/etc/sysconfig/network (RedHat) GETAWAY beállításai üresek legyenek.

[ppp]# /sbin/route -n

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

192.168.0.2 0.0.0.0 255.255.255.255 UH 1 0 2 sl0

192.168.1.0 192.168.2.1 255.255.255.0 UG 0 0 24 eth1

192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 1 eth1

127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 7 lo

0.0.0.0 0.0.0.0 0.0.0.0 UG 0 0 58 sl0

Naplózás

File: syslog.conf

# Log all kernel messages to the console.

# Logging much else clutters up the screen.

*.* /var/log/syslog

ipchains -A input -l
és ha be van állítva a fenti naplózás, akkor minden külsö próbálkozás a syslog file-ba gyülik.

iptraf ?
Szines, szagos, majdnem jo (halokartya-azonosito alapjan szamol byte-okat, vagy IP alapjan general csomaglog-ot (azaz utolag egy xferstats.proftpd-stilusu scripttel lehet belole olyan format gyurni, amit te szeretnel))...
[Alen]

Távoli adminisztrálás

Webmin program - Chip 2000 dec. 156-158. oldal

Intranet szerver - SaMBa - Munkacsoport

Leiras: usingsamba.pdf [O'Reilly - állatos könyvek - 411 oldal]
A Kossuth kiadó lefordította, és kinyomtatta samba néven. Én 2400-ért vettem, de vannak akik állítják, hogy 4500-ba kerül.
sambawin.pdf [Mohari András (GDF) - 74 oldal] fellelhető:

IP címek kiosztása

Először is nevet meg IP számot kell adni az intraneten levo gépeknek. A választható tartományok:

A osztály - 10.0.0.0-10.255.255.255
B osztály - 172.16.0.0-172.31.255.255
C osztály - 192.168.0.0-192.168.255.255

A 192.168.x.x -et illik választani.

A gépeknek lehet egyenként is nevet adni, de ez sokáig tart és nehezen változtatható.

Megoldást a bootp vagy a dhcp jelent.
A M$ a WinNT szerverhez ad dhcp szervert.

A bootp segítségével statikus címek rendelhetők a gépekhez, dhcp-vel pedig dinamikus, ami akkor jelent elonyt, ha modil gépek csatlakoznak a halozathoz.

Megvalósítás R6/5.x esetén:
Leírás a Linux - lépésről lépésre 200-203. oldal, illetve a CHIPtár LINUX 2.2 70-72.oldal.

/etc/bootptab file

#
.global:gw=192.168.1.1:ds=193.225.93.1:hn:sm=255.255.255.0:dn=aesop:ht=ether:to=-3600:
#
sopron:ip=192.168.1.2:ha=0x0080C82EFCC8:tc=.global:
teszt2:ip=192.168.1.1:ha=0x0000E844A6EE:tc=.global:
teszt3:ip=193.225.93.124:ha=0x0000C0CEFAAA:tc=.global:
#
engedelyezni kell az /etc/inetd.conf -ban (inditas az inetd-vel) es az /etc/services -ben, illetve az rcx.d -kböl indit.

Megvalósítás R6/6.x esetén:

R6/6.0 - dhcp-2.0-3
A bootp és a dhcp összevonása

/rc.d/init.d/dhcpd
daemon /usr/sbin/dhcpd -cf /etc/dhcpd.conf eth1
# Vegyük észre, hogy a beállítás egy adott hálózati kártyára vonatkozik !

Mostmár minden gép ismeri önmagát, ismerjen meg másokat is !

A caching only DNS szerver készítéséről fentebb már volt szó. Nézzük meg a fenti rajzhoz tartozó DNS szervert. A szerver lehet a router gépen, de máshol is. A Win-es gépeken engedélyezzük a name server használatát.

Horváth Zsolt - Minek nevezzelek? CHIP 2000. november. 151-154. oldal.

/etc/named.boot
; Sample /etc/named.boot file
directory /var/named
; erről már volt szó:
cache . root.cache
primary rendez.aeszom named.hosts
primary 0.0.127.in-addr.arpa named.local
primary 168.192.in-addr.arpa named.rev
stub felugy.aeszom 192.168.2.1 named.hosts2

/var/named/root.cache
;
;Itt lehet name servereket felsorolni. Jelenleg ki van kommentezve
;
; last update: Feb 28, 1997
; related version of root zone: 1997022800
;
;
; formerly NS.INTERNIC.NET
;
;. 3600000 IN NS A.ROOT-SERVERS.NET.
;A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4
;

/var/named/named.hosts
; /var/named/named.hosts
;
@ IN SOA szolg1.rendez.aeszom. root.szolg1.rendez.aeszom. (
16
86400
3600
3600000
604800
)
IN NS szolg1.rendez.aeszom
IN MX 10 szolg1.rendez.aeszom
localhost. IN A 127.0.0.1
fire IN A 192.168.1.1
titkarsag IN A 192.168.1.2
szolg1 IN A 192.168.1.5
; End of File

/var/named/named.local
; /var/named/named.local
;
@ IN SOA localhost. root.localhost. (
1
360000
3600
3600000
604800
)
IN NS szolg1.rendez.aeszom.
1 IN PTR localhost.
;
; End of File

/var/named/named.rev
; /var/named/named.rev
@ IN SOA szolg1.rendez.aeszom. (
16
86400
3600
3600000
604800
)
IN NS szolg1.rendez.aeszom.
5.1 IN PTR szolg1.rendez.aeszom.
2.1 IN PTR titkarsag.rendez.aeszom.
1.1 IN PTR fire.rendez.aeszom.
100.2 IN PTR ppp.felugy.aeszom.
; End of File

/var/named/named.hosts2
; /var/named/named.hosts2
;
@ IN SOA szolg1.rendez.aeszom. root.szolg1.rendez.aeszom. (
16
86400
3600
3600000
604800
)
IN NS szolg1.rendez.aeszom
IN MX 10 szolg1.rendez.aeszom
;
fire IN A 192.168.2.1
ppp IN A 192.168.2.100
; End of File

Most akkor jöjjenek a NetBIOS nevek. Ha nem akarunk DNS szervert építeni akkor a hosts.sam file alapján minden gépen kell készíteni egy hosts file-t.

A M$ az NT szerver-hez ad csak DNS szervert, de más megvalósítások elérhetők munkaállomáson is.

Mint az koztudomású a DOS gépek kis hálózatára kifejlesztett nem routolhato szerencsétlenséget együtt kell használni a TCP/IP-vel.
Eredetileg:
-ethernet-NetBEUI-NetBIOS
Jelenleg:
-ethernet-IP-TCP-NetBIOS(pontosabban NetBT NetBIOS emulátor)
Tehát ne telepítsük a Win-en a NetB***-t mert már nem kell.
Mivel TCP/IP-n fut routolható. Csak az üzenetszórást kell? átjuttatni a router-en.

A NetBIOS név keresés sorrendje:
Saját puffer- beállított WINS szerver - nem routolható csomag segítségével WINS szerver keresés - lmhosts file - hosts file - DNS szerver.

A M$ a WinNT szerverhez ad WINS szervert.

Linux-os megvalósítás:
A SaMBa-hoz tartozik egy nmbd nevű program. Ezt kell nmbd -H /etc/lmhosts-ként indítani.

/etc/sbm.conf
wins support = yes

/etc/lmhosts
Ezt a file-t NEM használja az nmbd hogy válaszoljon a név kérdésre. CSAK a lokális szerveren biztosít névfeloldást. Ami elmarad az elvárható minimumtól.

#
# Sample Samba lmhosts file.
#
192.9.200.1 TESTPC
192.9.200.20 NTSERVER#20
192.9.200.21 SAMBASERVER
#

Valami keveset mégiscsak tud. Erről a
nmblookup -U winserver -R NetBIOS_név
tájékoztat. Illetve használható még az
smbclient -L NetBIOS_név -R holkeresse
is ahol -R wins, -R lmhosts stb állhat.
nmblookup -M '-'
pedig sok minden mellett kiírja a master browserek listáját. Érdemes tanulmányozni ennek a két programnak a lehetségeit. Az smbclient-tel ftp szerűen lehet elérni a win-es gépek megosztásait, az smbmount-tal pedig fel lehet azokat mountolni.
Hiba:
smb: > get read_socket_data: recv failure for 4. Error = Connection reset by peer
Broken pipe
Kikapcsolták a Win-es gépet :-)

A SaMBa segítségével az így felcsatolt megosztásokat meg lehet osztani, mintha csak egy Linux-os erőforrás lenne.

Ha a SaMBa a /root/tmp -be akar irni, akkor az inditóscriptbe kell egy export TMPDIR=/tmp sor.

A M$ SMB alapvetően két hálózati modellel dolgozik:

-Munkacsoport workgroup :
Egyenrangú gépek - minden megosztást gépenként kell beállítani.
A böngészést a Master Browser és a Backup Browser intézi. NT-nél 32 gépenként Win9x-nél 16 gépenként lép be újabb BB. Az egyes alhálózatokat Master Browser-ek kössék össze.

Használjunk NT4 SP3-at,
mert annak elfogadható a halózatkezelése. [Elender szervíz]

Vannak szerverek és munkaállomások. A szerverek lehetnek
PDC - elsődleges tartományvezérlők
BDC - tartalék domain controler-ek
Stand Alone - egyedi szerverek

A tartományok előnye a munkacsoportokkal szemben, hogy a felhasználókat egy gépen tartjuk nyilván. Új felhasználó felvétele a tartományba a
/Start/Programs/Administrative Tools (Common)/User Manager for Domains

Új számítógép felvétele a Tartományba:
Server Manager / Add Computer To Domain / WINNT WS or Server és adjuk meg a gép NetBIOS nevét.

Vegyünk fel egy új felhasználót. A neve legyen linuxuser. Jelszava Lama
Hogyan éri el a LINUXWS gépről a linuxuser az NT PDC (TERINFO) szervert ?

Ha valaki az ftp szerű parancssoros förtelmeket részesíti előnyben:
$smbclient -L TERINFO -U linuxuser
Added interface ip=192.168.1.1 bcast=192.168.1.255 nmask=255.255.255.0
Connecting to 192.168.1.4 at port 139
Password:
Domain=[DOMAIN1] OS=[Windows NT 4.0] Server=[NT LAN Manager 4.0]

Sharename Type Comment
--------- ---- -------
NETLOGON Disk Logon server share
ADMIN$ Disk Remote Admin
IPC$ IPC Remote IPC
stat Disk
C$ Disk Default share
D$ Disk Default share

Server Comment
--------- -------
NTWS
TERINFO

Workgroup Master
--------- -------
DOMAIN1 TERINFO

A stat megosztást elérni pedig (ha az smbmount nem szimpatikus)
$smbclient //terinfo/stat -U linuxuser
utasítással lehet. Listázni ls, kilépni exit.

Ha hibás a jelszó:
session setup failed: ERRDOS - ERRnoaccess (Access denied.)
Ha jó a jelszó - de ?
session setup failed: ERRSRV - 2240

Mik a legnagyobb eltérések a Munkacsoport és a Tartomány között ?
A példában szerepel egy NTWS nevű NT 4.0 hu gép. Ha ezt a gépet beléptetjük a DOMAIN1-be és a DOMAIN1-ben (TERINFO gép) nincs Rendszergazda felhasználó, akkor az NTWS gépre nem is lehet Rendszergazdaként bejelentkezni. Admin-ként viszont igen. Admin a TERINFO gép rendszergazdája. Ha a TERINFO-n létrehozunk Rendszergazda felhasználót, akkor az NTWS gépre bejelentkezett Rendszergazda csak egy egyszerű felhasználó. Semmiféle plusz jogokkal nem rendelkezik. Az Admin viszont rendszergazda.
Tehát az NTWS gépen csak Admin-ként oszthatjuk meg az adatok alkönyvtárat, és a LINUXWS gépről linuxuser-ként elérhetjük úgy, hogy az NTSW gépen nincs se Admin, se linuxuser felhasználó.
Munkacsoportos környezetben létre kellene hozni egy Admin felhasználót rendszergazda jogokkal és egy linuxuser felhasználót user jogokkal az NTWS gépen, ami nagy számú WS és user esetén elég nyomasztó.

Mivel az NT serveren nincs Power Users felhasználói csoport, ha azt akarjuk, hogy a linuxuser meg tudja osztani az NTWS gépen a nyomtatót és a file-okat akkor a Print Operators és Server Operators csoportba fel kell venni. Az User Manager / User Properties / Logon To - ban megadható, hogy melyik gépekre jelentkezhet be. A gép Windows-os nevét kell beállítani.

Miután létrehoztunk egy LINUXWS gépet a tartományban a fenti smb.conf file kisebb módosításával látni is lehet a SaMBa megosztásokat.
netbios name = LINUXWS
workgroup = DOMAIN1
share modes = yes
security = share
encrypt passwords = yes
smbpasswd file = /usr/local/samba/private/smbpasswd
local master = no
preferred master = no
domain master = no
wins support = no
wins server = 192.168.1.4

Persze ez nem a teljes file. Ekkor két felhasználói név / jelszó listánk van. Egy a LINUXWS-en és egy a PDC-n.

Vagy állítsuk le a SaMBa-t. Hozzuk létre az NT-n a LINUXWS gépet, futtassuk a LINUXWS gépen az
#smbpasswd -j DOMAIN1 -r terinfo
parancsot. Akkor a .../samba/var/locks/browse.dat és wins.dat file-ok változnak. Az smb.conf-ot változtassuk meg kissé:
#security = domain
security = server
domain logins = yes
workgroup = DOMAIN1
password server = terinfo

W2k mint kliens

----------- smb.conf mintafile -----------------
# http://softwaredev.earthweb.com/sdopen/sdosser/article/0,,12406_630891_4,00.html

debuglevel = 1
netbios name = quercus
workgroup = ELABOR
server string = Samba Server - Moe
#hosts allow = 192.168.1. 127.
interfaces = 192.168.1.0/24 127.0.0.1
printcap name = /etc/printcap
load printers = yes
print command = /usr/bin/lpr -r -P%p %s
lpq command = /usr/bin/lpq -P%p
lprm command = /usr/bin/lprm -P%p %j
guest account = ftp

# this tells Samba to use a separate log file for each machine
# that connects

log file = /var/log/samba/log.%m
security = user
encrypt passwords = yes
smb passwd file = /etc/smbpasswd
Unix password sync = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* %n\n *passwd:*all*authentication*tokens*updated*successfully*
socket options = TCP_NODELAY

domain master = yes
domain admin users = root
add user script = /usr/sbin/adduser -n -g machines -c Machine -d /dev/null -s /bin/false %m$
domain logons = yes
logon script = %U.bat

[homes]
comment = Home Directories
browseable = yes
writable = yes

[printers]
comment = All Printers
path = /var/spool/samba
public = yes
browseable = yes
guest ok = yes
writable = yes
printable = yes



[netlogon]

comment = Network Logon Service
path = /home/netlogon
guest ok = yes
writable = no
share modes = no

------------------ minta vége ---------------------

A W2k alapvetően jól működik. A TechNet CD sokat segít. Igy látatlanban sokat tudó (már van telnet is) rendszernek néz ki. A Linux-os DHCP és SaMBa szervert jól használja. Képes kis/nagy betűt egyaránt tartalmazó jelszót küldeni. Amit át kell állítani:
telnet
tlntadmin programmal az azonosítás (NTLM) értékét 1-re.
Ez a megoldás nem szerepel a W2k help-ben. Így szabvány módon be lehet telnetelni a W2k-ra és karakteres felületen elég sok mindent be lehet állítani. Elég nyögvenyelős a UNIX telnethez képest - valahogy nem az igazi. A telnet kliens viszont rosszabb mint volt, mivel már az F1-F4 billentyűket sem lehet használni. Viszont szines.

Intranet szerver - NetWare - Mars

A NetWare-röl a CHIP 2000 augusztus 123-126.

Internet szerver - Apache

Messze nem teljes, és messze nem tökéletes, de idõt biztosít arra, hogy utánna nézhess dolgoknak.