» »

Pomoč pri prehodu na linux

Pomoč pri prehodu na linux

««
3 / 20
»»

R33D3M33R ::

Še nekaj. Imam težave s dosboxom. Namreč problem je v keymappingu. Nikakor mi ne delujejo "slovenske" tipke. Očitno sploh nimajo nikakršne funkcije, ker se ne zgodi nič ob pritisku nanje. A kdo uporablja dosbox? Kako imate to rešeno? Sem razmišljal, da bi ročno definiral zadeve v mapper.txt, ampak se mi ne zdi smiselno, da bi ročno vnašal vse tipke. Hm.

Aha, še nekaj. Katera je najhitrejša verzija pisarne za Kubuntu? OO.org se namreč nalaga predolgo. Potreboval bi le .doc podporo, za excelove in powerpointove datoteke pa itak potrebujem le pregledovalnik.
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

Zgodovina sprememb…

SasoS ::

šumniki? podpora bo v naslednji verziji

R33D3M33R ::

Ja, pa tudi tipka za puščice ne dela (med shift in y). Ampak zakaj pa lahko potem dosbox na windows uporabljam brez težav? Vse tipke delujejo, res pa je da layout ne štima. Verzija dosboxa pa je 0.65
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

SasoS ::

probaj dat usescancodes na false

R33D3M33R ::

Sem že preizkusil pa ne deluje. Če pa recimo poskušam pognati keymapper (Ctrl+F1) mi izvrže Segmentation fault in me seveda vrže iz dosboxa. Fora je tudi v tem, da moram imeti v configu nastavljeno output=overlay, ker mi drugače meče ven errorje in se ne zažene. Ironično je, da ob startupu pokaže: "SDL:Failed to create overlay, switching back to surface". Akhm 8-O
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

R33D3M33R ::

Po nekem neznanem čudežu mi je sedaj uspelo dosbox prepričati, da uporablja surface za renderiranje. Težave s tipkami sem trenutno rešil tako, da uporabljam autoexec v confu - tako ni treba vpisovati slashev.
Je pa zadeva takšna, da mi v windowed mode nikakor ne teče, četudi je v conf nastavljeno fullscreen false. Če v fullscreen uporabim alt+enter se mi sesuje s napako: Exit to error: SDL:Can't set palette.
Poleg tega je pa še vse modre barve - vse igre so močno modro obarvane, ahjej :\
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

@LOL ::

Kako R33D3M33R, si se že navadil Linuxa (razen teh težav:)) )?
Hippy: The Doors?
Geek: The Windows!

R33D3M33R ::

Sem se. In moram reči, da mi je iz dneva v dan bolj všeč. Tele težave pač moram vzeti v zakup - če hočeš kaj uporabljati resneje se je pač treba poglobiti v tweakanje. Saj je bil z XPji isti križ, ampak sem se sčasoma naučil kako vse potweakati, da bo performance optimalen. So mi pa XPji precej bolj najedali živce kot tale linux.
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

kriko1 ::

Vse plavo? Kakšna grafična, si namestu gonilnike?

R33D3M33R ::

Grafična je Nvidia Geforce 2 MX PCI. S trenutnimi gonilniki lahko brez problemov igram Quake 3 Arena, Unreal Tournament, Call of Duty in cube. Res je da so legacy gonilniki - drugi tako ali tako ne delajo. Ne vem kako bi povedal - rdeča barva nekako manjka. Sploh je ni. Namesto nje so pač odtenki plave.

Tudi ko se dosbox odpre je v njem modre barve tekst, ki bi moral zagotovo biti bele barve.
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

Zgodovina sprememb…

kriko1 ::

V nvidia settings imaš za štimat barvne kanale, drugače pa je možno da je kaj narobe z grafično, ker v 2. računalniku imam ravno gf 2 (samo - mx 64) in dela v redu (celo Tomb Raider Legend dela - v linuxu itak).

Zgodovina sprememb…

  • spremenil: kriko1 ()

hruske ::

Morda je samo VGA konektor kriv. Videl sem ze kako je monitor spreminjal barvo, ce si malo migal kabel...
Rad imam tole državico. <3

kriko1 ::

Možno. Lahko pa si jo lahko kako fenomenalno skuril - prijatelj je uničil 6800 Ultra, ko je v 2d dela, ko gre v 3d pa začne spreminjat barve :D in grozno trokirat.

R33D3M33R ::

kriko1: Katere gonilnike pa imaš? Jaz sem si downloadal tiste legacy gonilnike v katerih je bila še podpora za gf2 mx. A bi mi mogoče lahko kako posredoval dosbox.conf? Zanima me predvsem kaj imaš pod [sdl]. Drugače ne verjamem, da je napaka v strojni opremi. Bolj bi rekel, da je kriv ravno SDL. Kje se pa nahajajo nvidia settings pa nimam pojma, ker se mi zdi, da zadeva ni združljiva z legacy paketom in sem jo moral odstraniti.
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

kriko1 ::

Legacy uporabi 9631 in imajo tisti nvidia-settings cp zraven, dosboxa pa jaz ne uporabljam.
Nostalgijo nabijam prek UAE :D

R33D3M33R ::

Hm. Ne vem če bo to šlo. Namreč za 9631 sem videl le unified driver, ki pa nima podpore za moj GF2 MX. Saj sem imel celo unified driverje enkrat nameščene in quake je delal bp, se je pa UT na veliko sesipaval in sistem je nonstop zmrževal.

P.S: A ni UAE le za amigo? :)
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

kriko1 ::

Ja, uae je za vse amige.

9631 dela super na g2 mx 64, probaj, če ne gre ti bo že med namestitvijo zatežilo da ne more naložiti modula.

R33D3M33R ::

No, saj zdaj mi je po nekem neznanem čudežu celo uspelo namestiti dosbox preko apt-get s vsemi pripadajočimi knjižicami. Dela brez težav tudi v windowed mode - poleg tega pa so izginili tudi grafični artefakti. Naučena lekcija: najprej apt-get in šele nato kompajlanje source kode :)

Katera pisarna pa je najbolj hitra in najbolj združljiva z microsoftovo za linux?
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

kriko1 ::

Najbolj hitra?
Jaz uporabljam openoffice, da se nastavit da se hitreje zaganja (ne mislim na quickstarter, samo iščem link...).

jlpktnst ::

Nekdaj je obstajal Koffice?

Če hočeš samo .doc imaš abiword iirc.

Najbolj združljiv je pa verjetno openoffice ker je tudi najbolj razširjen.



*** Tule sem imel napisan flame vs linux dolg 2 strani in sem ga zbrisal ***

Je brane2 lepo napisal že vse. Največje sranje je ko spremenijo malenkosti in to nikjer ne piše.
http://www.catb.org/~esr/writings/cups-...
http://www.catb.org/~esr/writings/luxur...
Le primer. Tudi meni se dogaja pogosto da ali dodam kaj in je vse mrtvo ali pa samo update podre cel sistem in ga lahko postavljam od začetka.

Pa bom rekel da mi skoraj vedno uspe. Samo enostavno se mi vedno bolj zdi škoda časa, navsezadnje pa mi ne delata 2 igri ki bi jih hotel igrat native (in nikoli ne bosta).

Na k*** mi gre crap odnos OSC(open source community) do uporabnika in njihovi RTFM ko pa so manuali vedno outdated, predolgi in useless. Da ne govorim o miljonih verzij iste reči, ki seveda niti približno niso kompatibilni.

Lep primer je utf kaoz malo nazaj. Neverjetno. Včeraj sem se pol ure matral da sem dobil podatke z ext3 diska. V winsih ni šlo zarad encodinga (seveda lepi opensource driver pusti v filenamih vprašaje in si lahko mislite kaj windows naredi s tem).

Apt-get je sicer od boga poslan, je pa dejstvo da samo to ni dovolj za uporaben sistem.

Kaj linuxu manjka do uporabnega desktopa? Volja razvijalcev da naredijo uporaben desktop. OSC tega noče. Oni hočejo sistem za svoje igračkanje. Razširitve ki jih razume in uporablja 5 ljudi na svetu. Spremembe ki sesujejo 100k inštalacij, ker se je pač nekomu zdelo premaknit eno pizdarijo.

Morem nehat pisat ker vedno bolj norim ko razmišljam o vsem tem. Linux sem zadnjič uporabil par mesecev nazaj, drugače ga mam pa na routerju in router/serverju. En je sistem ki ga itak samo patcham - ruter, drugi pa debian stable ki isto dobi samo patche. Pa še tam se tresem da bo enkrat patch prišel ko bo screwal vso delikatno nastavitev in potem niti do njega ne bom mogu več. Nimam monitorja namreč sploh blizu več in se lahko samo j***.

Recimo bi človek mislil da če v linuxu menjaš mrežno ni panike - pa ni res. Vse neha delat in morš rekonfigurirat :D Imenitno ja? Redko vidim feature ki me fascinira. Še apt-get se mi zdi rahlo primitivn zdej ko razumem kaj dela. Nič posebnega actually.

.... waa kak offtopic ramble ... lepo, bom pustil. Če bojo še kaki problemi bom pa poskusil pomagat :P

Ena fora - nekdo je predlagal xfce - fora pa je da brez kde/gnome knjižnic itak nobenih pametnih programov ni - in jih moreš itak loadat neglede na tvoj frontend. Ne prihraniš kaj prida.

Glede dsp sounda, a ne obstaja OSS legacy? Js nisem rabu nič killat da sem gnal programe prek /dev/dsp-ja. Nevem pa več točno kaj sem naredil. Pač ... oslarije kot vedno. Ne more ti samo naredit, ne. To bi blo proti naši filozofiji, da bi uporabniku kaj samo konfiguriralo. Čudi me da niso uvedli manualnih installerjev :D

edit:Ah pa seveda - zakaj vse to - tudi če se vsi geeki tega sveta združijo ni šans da bi lahko vsi uporabljali linux. Ker enostano ne bi mogli usposobit vseh sistemov. Nekateri ljudje pač od računalnika pričakujejo da bo delal (kot avto recimo), ne pa da morejo 2 tedna šraufat da približno dela in se sesuje spet s prvim updejtom.

Zgodovina sprememb…

  • spremenil: jlpktnst ()

R33D3M33R ::

Torej usposobil sem tudi tisti problemček z DHCP, dela sedaj odlično ;)

kriko1: če boš našel tisti link, bi ti bil zelo hvaležen
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

kriko1 ::

Ne najdem,


Prepiši tako kot imam jaz nastavljeno, samo še nekje je bila fora, samo žal linka ne najdem.

Poldi112 ::

jlpktnst, apt-get se ti zdi primitiven, ker razumeš kako deluje? Super to. Potem si z Add/Remove programs bolj zadovoljen, ker ne razumeš kako deluje :)

In kakšne težave si imel pri menjavanju mrezne kartice in kako si jih rešil?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

R33D3M33R ::

Mogoče je krivda v tem, da imam 5400 rpm disk in le 256 MB ram, ampak OOo se mi kljub tem nastavitvam še vedno nalaga čez 30 sekund. Kar je že precej nadležno, še posebej če moraš kaj na hitro postoriti...
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

kriko1 ::

30 sec 8-O

Tukaj je 5 sec cold start.
Verjetno je zaradi rama.
Probaj nastavit 40 - 50 MB tam pri Use for OO (v nastavitvah oo).

R33D3M33R ::

Ok, sem šel dejansko meriti in ne nalaga se 30 sekund, ampak debelo minuto. Potem sem spremenil nastavitve, zaprl par programov in ponovno zagnal - takrat sem dobil 30 sekund - warm start seveda. Hmmm :).

Saj kword za cold start porabi kakih 15 sekund, vendar je pa združljivost hudo uboga :\
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

Brane2 ::

OO Writer se mi naloži in štarta v tam 10-15 sec, coldstart.

Pri poznejšem zagonu traja zadeva ene 4 sec.


Na mašini s 4 GiB RAM a sicer, vendar delujoči na samo 1.4GHz in z enim coreom. Aja, disk je nekaj navadnega, mislim da WDC 200GB ATA 7200 rpm...
On the journey of life, I chose the psycho path.

kriko1 ::

Mogoče se mi zažene tako, zato ker moj distro uporablja preload.
R33D3M33R, poglej če imaš tudi ti tole in uporabi za oo.

CCfly ::

prelink

@jlpktnst: Ne bom trdil da je v Linux-u vse porihtano. Prav tako ne bom trdil da vse dela s prve če uporabljaš uporabniku prijazno distribucijo. Vseeno pa jemljem tvojo kritiko z rezervo, glede nato da navsezadnje uporabljaš naredi si sam distribucijo in da se srečuješ s težavami, ki so marsikje drugje stvar daljne preteklosti.

Kar se tiče RTFM raje ne bi posploševal. Bi me Debianovci in BSD-jevci linčali, ko bi jih obtožil elitizma. Skratka odvisno od ljudi v skupnosti.
"My goodness, we forgot generics!" -- Danny Kalev

CCfly ::

"My goodness, we forgot generics!" -- Danny Kalev

'FireSTORM' ::

tisti ganymede host problem sem tudi jaz mel, ampak ga nimam kot router nastavljenega
ampak ko sem izklopil dhcp na ganymede je pomagalo, ker mam linux kot router in mi je linux dhcp server
če mislim da je to kar ti praviš
Those penguins.... They sure aint normal....

R33D3M33R ::

Preload sem si sedaj namestil, vendar mi niti ni preveč jasno kako ga naj uporabljam - še vedno iščem navodila.

Včeraj sem gledal loge od apache in videl, da so se razne zombi mašine (ali pa script kiddyi) že spravile na moj server, zato sem pognal kmyfirewall, da bi editiral iptables. Nastavil sem si na allow incoming connections in očitno to blokira vse razen nastavljenih IPjev - na grc testu je bila zadeva stealth.
Fora je sedaj v tem, da nikjer ne vidim opcije, da bi nastavil ta pa ta port spusti skozi ne glede na ip. Hmmm :\ .

Včeraj sem se še malo igračkal s tem grc security ( https://www.grc.com/x/ne.dll?bh0bkyd2 -> res dobra stvar) in nekako sedaj bolje razumem kako zadeva deluje. Tale port scanner sem dal med trusted hoste in je prepuščalo že neke prednastavljene porte, ki sem jih obkljukal.

Opcije da prepusti port ne glede na IP pa ne najdem :'( . A moram to ročno editirat iptables ali kako?
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

kriko1 ::

Pusti prelink pri miru, sedaj sem opazil da ga tudi jaz nimam (vem da ena od prejšnjih suse ga je imela privzeto vključenega).

'FireSTORM' ::

r33d: če se bojiš script kiddiev namesti rootkit hunter in ga poženi vsake tolko časa
ti najde luknje in ponuja nasvete kaj je storiti
predvsem pa disablal root login, raje uproabljaj sudo ali PAM
v /etc/ssh/sshd_conf pa daj AllowRootLogin no
in si se otepel nekaj script kiddiev

edit1:komanda za prepuščanje
iptables -I INPUT -i eth0 -p tcp/udp/al-kaj-koli-drugega --dport port-numero -j ACCEPT

ne spomnim se več mogoče je -J in ne -j

edit2: r33d3m33r:
daj prosim ko rešiš kak problemček napiši kak, da vidimo kak si rešil, mogoče bo pa še meni kdaj pomagalo :)
Those penguins.... They sure aint normal....

Zgodovina sprememb…

R33D3M33R ::

S temi IPtables bom očitno še imel probleme. Mi je ratalo blokirati dostop do interneta, na srečo sem potem nekak resetiral zadevo. Saj sem prav vnesel:

sudo iptables -I INPUT -i eth0 -p tcp --dport 4662 -j ACCEPT

To je za aMule privzeti port. Vendar mi ga še vedno ne prepušča. Moram po uveljavitvi resetirati sistem?

Sem pa zdaj opazil težavo, ki jo je povzročila namestitev KDE 3.5.5. Namreč ne dela mi automount USB naprav. Bug je baje znan, ampak očitno še ni neke konkretne rešitve. Zanima me po koliko časa po izidu KDE za edgy, je na voljo KDE za dapper?
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

kriko1 ::

Automount more delat (meni je v 3.5.5 in sedaj v 3.5.6 tudi dela), razen če ni kaj narobe s kde paketi - kot sem imel jaz npr. težave.

R33D3M33R ::

Muči me tole:

http://tsdgeos.blogspot.com/2006/10/solution-for-kubuntu-355-and-usb-not.html

Vendar rešitev ne deluje, ker ima 3.5.5 novejši libhal od 3.5.4, v nasprotju s tem kar trdi tisti blogger.
Moja domača stran: http://andrej.mernik.eu
Na spletu že od junija 2002 ;)
:(){ :|:& };:

kriko1 ::

Samo usb ti ne priklaplja ali vse plug'n'pray naprave?
Imel sem tako težavo, rešil sem takole:
Created a new service for unmounted dvds, cds, removabe media.., which contains this
kio_media_mounthelper -m %u
selected as default action, and voila media is automounted in /media


Tale servis pa ustvariš pod KDE control center -> peripherials -> storage media za vse unmounted naprave.

Če hočeš da ti prav direktno odpre okno, pa:
kio_media_mounthelper -m %u; kio_media_realfolder %u;

To sem napisal na suse-forums

Vlady ::

Zakaj nobena distribucija ne podpira SATA RAID-a? Gre za mamoplato: Asus A8N-SLI SE, ki ima gor nvidia RAID kontroler za PATA in SATA. Imam pa dva maxtorja 200GB v RAID0 na 1. in 2. kanalu SATA kontrolerja. Ko hočem inštalirati linux, mi oba diska javi kot ločena ne pa kot celotno RAID polje. Tudi napiše, da sta oba prazna, čeprav imam na obeh XP-je in visto gor. WTF??? Zakaj v winsih vse dela normalno, linux pa mora biti posebnež? Ne znajo za en navadn SW RAID dat podpore notr al kaj? Probavu sem že skor vse živo: kubuntu, fedora, suse, pingo,... Sevede tazadnje verzije, ampak nič od nič.
"Lotereya - naibolee točnyj sposob učeta količestva optimistov"

kriko1 ::

Jaz imam, vendar ga sicer ne uporabljam, ampak za to naj bi poskrbel LVM.
Poglej kakšen kontroler imaš in poglej če je že podprt v kernelu ki ga uporabljaš.

kekz ::

RedHat in fedora bi skoraj morala imeti podporo za SATA RAID vgrajeno, saj ravno RedHat to razvija.
Zadeva se imenuje dmraid in je extenžn device mapperja.

Pri drugih distribucijah to pač prigradiš zraven sam.
Ker je to nadgradnja en nivo višje nad driverjem od sata, sta diska še vedno vidna tudi samostojno, smpak uporabljaš pa devmapper device v stilu: /dev/mapper/sil_agbhcbbjaicd

Nekateri proizvajalci SATA kontrolerjev prilagajo tudi svoje driverje za kontrolerje in tisti ti RAID disk pokažejo kot standardni SCSI (npr. /dev/sda). Pri teh samostojni diski niti vidni niso in tudi SATA driverjev ne rabiš.

Daedalus ::

Za firewall je najboljše uporabljat homemade skripte.

Kratek howto - v /etc/network direktoriju (to velja npr za K/Ubuntu, Debian) narediš datoteko firewall.sh (kot root, seveda). Nato not skopiraš spodaj prilimano vsebino, datoteko z ukazom chmod +x firewall.sh narediš izvršljivo, v datoteko /etc/network/interfaces pa dodaš vrstico

up /etc/network/firewall.sh

to ti vsakič, ko se nastavljajo mrežni vmesniki (ob bootu al pa ročno) pokliče in izvede skripto, ki pove iptables, kaj naj počnejo. Še skripta, ki vsebuje praktično vse, kar rabiš, lepo komentirana in ob pazljivem branju ne bi smel met kakih posebnih težav s konfiguracijo. Zadeva je malo huge, pa bo že0:)



# Pozarni zid
# Opisani pozarni zid je predelava pozarnega zidu, ki je bil napisan 23. 9. 2003 in se nahaja na naslovu
# http://tnt.aufbix.org/linux/firewall/, © 2003 Jernej Horvat.
# Predelana in poslovenjena razlicica za Kubuntu Linux, © 2005 Matej Kovacic

#!/bin/bash
echo "POZARNI ZID (ZA KUBUNTU LINUX)"
echo "------------------------------------------------------------------"
echo "(GPL) 2003 Jernej Horvat, (GPL) 2005 Matej Kovacic"
echo "------------------------------------------------------------------"
echo "We must defend our own privacy if we expect to have any."
echo "..."
echo "People have been defending their own privacy for centuries with"
echo "whispers, darkness, envelopes, closed doors, secret handshakes,"
echo "and couriers."
echo "The technologies of the past did not allow for strong privacy, but"
echo "electronic technologies do."
echo "..."
echo "For privacy to be widespread it must be part of a social contract."
echo "People must come and together deploy these systems for the common"
echo "good."
echo " -- Eric Hughes, 1993."


# Pot do iptables in iproute2 datotek
IPTB="/sbin/iptables"
IP="/sbin/ip"

#############################
# NASTAVITEV MREZNIH KARTIC #
#############################

# Vnesite imena omreznih vmesnikov (kartic) za vas internet in intranet (lokalno omrezje), ce ga imate
# V Linuxu so mrezne kartice oznacene z eth in stevilko.
# "eth0" je prva mrezna kartica, "eth1" druga, itd.
# Navadno smo v internet prikljuceni z eth0.

# UPORABNIKI KABELSKEGA MODEMA ALI NEPOSREDNE OMREZNE POVEZAVE:
INTERNET="eth0"
INTRANET="eth1"

# ADSL UPORABNIKI IN UPORABNIKI KLICNEGA DOSTOPA (DIAL-UP):
# Ce imate ADSL ali klicni dostop, potem namesto INTERNET="eth0" zgoraj napisite INTERNET="ppp0"
# Ce imate kaksno drugacno oznako omreznega vmesnika, lahko seznam omreznih vmesnikov
# z njihovimi nastavitvami izpisete z ukazom sudo ifconfig.

# Kateri IP naslovi so uporabljeni v intranetu (primer za IP rang od 192.168.0.1 do 192.168.0.254):
LAN="192.168.0.0/24"

# IP prehoda (gateway)
# Ce imate staticni (fiksni) zunanji IP naslov in uporabljate NAT, ga vpisite spodaj:
GW_IP="xxx.xxx.xxx.xxx"


########################
# NASTAVITEV INTRANETA #
########################

# Ce imate intranet (lokalno omrezje), nastavite na 1, sicer pustite na 0:
WE_HAVE_INTRANET="0"

# NE SPREMINJAJ: Zacasno izkljucimo IP forward:
echo "0" > /proc/sys/net/ipv4/ip_forward

# NE SPREMINJAJ: najprej "resetiramo" iptabele
$IPTB -F
$IPTB -F INPUT
$IPTB -F FORWARD
$IPTB -F OUTPUT
$IPTB -t nat -F

# NE SPREMINJAJ: INPUT TABLE
# OPOZORILO: S tem ukazom zaklenete dostop do racunalnika. Ce boste v nadaljevanju
# slucajno prevec spreminjali kaksne nastavitve (za katere sicer pise, da se jih
# ne sme spreminjati), se lahko zgodi, da bo racunalnik ostal zaklenjen.
# V primeru, da delate na racunalniku, ki vam fizicno ni dostopen, lahko to pomeni
# tezave, saj boste racunalnik odklenili le, ce boste fizicno prisli do njega.
$IPTB -P INPUT DROP

# NE SPREMINJAJ: dovolimo ze vzpostavljene povezave
$IPTB -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Ce uporabljamo IPSEC odkomentiramo, sicer NE:
# $IPTB -A INPUT -i $INTERNET -p udp --sport 500 --dport 500 -j ACCEPT
# $IPTB -A INPUT -i $INTERNET -p 50 -j ACCEPT
# $IPTB -A INPUT -i $INTERNET -p 51 -j ACCEPT

###############################################################################
# NASTAVITEV VHODNIH POVEZAV IZ LOKALNEGA STREZNIKA (localhost, vmesnik "lo") #
###############################################################################

# Iz lokalnega streznika (localhost - "lo" vmesnik) dovolimo ves promet:
$IPTB -A INPUT -i lo -j ACCEPT


# NE SPREMINJAJ: Zavracanje "broadcast" in "multicast" paketov:
$IPTB -A INPUT -m pkttype --pkt-type broadcast -j DROP
$IPTB -A INPUT -m pkttype --pkt-type multicast -j DROP


####################################################################
# NASTAVITEV (ZAPORA) VHODNIH POVEZAV ZA VSE VMESNIKE (razen "lo") #
####################################################################

# Iskalnik najdi.si se ne drzi "net bontona" in nima dokumentiranega (delovanja) pajka.
# CE ZELITE (in ce imate spletno stran), lahko vkljucite blokado iskalnika najdi.si.
# Na enak nacin lahko vkljucite blokado kateregakoli IP naslova na katerokoli vrata (port).
# STARI IP NASLOVI ISKALNIKA: $IPTB -A INPUT -p tcp -s 193.189.169.64/25 --dport 80 -j DROP
# NOVI IP NASLOVI ISKALNIKA: $IPTB -A INPUT -p tcp -s 195.250.198.0/24 --dport 80 -j DROP

# Katere vhodne TCP povezave dovolimo:
# Primer: TCP_PORTS="22 53 139 445 80 443"
# Ce nimate ssh streznika, izbrisite vrata 22.
# Ce nimate vkljucenega brskanja po Windows omrezjih, izbrisite vrata 139 in 445.
# Ce nimate spletnega streznika, izbrisite vrata 80 (http), oz. 443 (hhtps).
# Vrata 53 (DNS) naj bodo vedno vkljucena, sicer vam internet ne bo deloval pravilno!

# POZOR: Ce zelite dolocena vrata zakleniti, da bodo dostopna le iz dolocenega IP naslova,
# jih tukaj ne navedite, pac pa jih skupaj z IP naslovom navedite v naslednji sekciji!

# Dovoljene vhodne TCP povezave (TCP vrata naj bodo locena s presledki!):
TCP_PORTS="53"

# Katere vhodne UDP povezave dovolimo (UDP vrata naj bodo locena samo z vejicami in ne presledki!):
UDP_PORTS="53"

# NE SPREMINJAJ: izvedi dovoljenja za vhodna TCP vrata, ki jih dovolimo iz interneta:
for i in $TCP_PORTS
do
$IPTB -A INPUT -p tcp -m state --syn --state NEW --dport $i -j ACCEPT
done

# NE SPREMINJAJ: izvedi dovoljenja za UDP vrata, ki jih dovolimo iz interneta:
$IPTB -A INPUT -p udp -m multiport --dport $UDP_PORTS -j ACCEPT


#####################################################################
# POSEBNA NASTAVITEV VHODNIH POVEZAV IZ intraneta (lokalno omrezje) #
#####################################################################

# POZOR! Ce zelimo dovoliti VES vhodni promet BREZ OMEJITEV iz LOKALNEGA omrezja (intranet),
# potem spodno vrstico odkomentirajte:
# $IPTB -A INPUT -i $INTRANET -j ACCEPT

########################################
# ZAKLEP VRAT IZ DOLOCENEGA IP NASLOVA #
########################################

# Ce zelimo dovoliti povezave na dolocena vrata iz samo dolocenih IP naslovov,
# to navedemo spodaj v obliki:
# $IPTB -A INPUT -p tcp -s (IP_naslov) -m state --syn --state NEW --dport (stevilka_vrat) -j ACCEPT
# IP naslov je lahko tudi iz lokalnega omrezja.

# Primer za ssh le iz dolocenih IP naslovov (lahko so zunanji ali iz lokalnega omrezja):
# $IPTB -A INPUT -p tcp -s 193.xxx.xxx.xxx -m state --syn --state NEW --dport 22 -j ACCEPT
# $IPTB -A INPUT -p tcp -s 192.168.0.5 -m state --syn --state NEW --dport 22 -j ACCEPT

# Windows Networking le iz dolocenih IP naslovov (za Windows networking je potrebno odpreti vrata 139 in 445):
# $IPTB -A INPUT -p tcp -s xxx.xxx.xxx.xxx -m state --syn --state NEW --dport 139 -j ACCEPT
# $IPTB -A INPUT -p tcp -s xxx.xxx.xxx.xxx -m state --syn --state NEW --dport 445 -j ACCEPT

# itd. ... ... ...

#######################
# CASOVNI ZAKLEP VRAT #
#######################
# Primer za casovno omejitev priklapljanja na vrata 22. Po treh poiskusih povezave iz istega IP naslova v eni minuti
# bo racunalnik postavil omejitev, da je mozna samo 1 povezava na minuto (iz tega IP naslova).
# Namesto omejitev na minuto (/minute), lahko uporabimo se /second, /hour ali /day.
# Stevilo povezav dolocamo z --limit-burst. Ce je nastavljen na 1, bo dovoljena samo 1 povezava na minuto,
# ce je nastavljen na 5, je najprej dovoljenih 5 povezav, nato pa 3 na minuto.

# Primer za casovno omejitev: 1x priklapljanje na vrata 22, po enem poiskusu omejitev 1 poiskus na minuto:
# $IPTB -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
# $IPTB -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP

# Primer za casovno omejitev: 1x priklapljanje na vrata 22 iz IP naslova 192.168.0.6, po treh poiskusih omejitev 1 poiskus na minuto:
# $IPTB -A INPUT -p tcp -s 192.168.0.6 -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
# $IPTB -A INPUT -p tcp -s 192.168.0.6 -m state --syn --state NEW --dport 22 -j DROP



# NE SPREMINJAJ: obravnava identd zahtevkov:
$IPTB -A INPUT -p tcp --dport 113 -j REJECT --reject-with tcp-reset

# NE SPREMINJAJ: obravnava traceroute:
$IPTB -A INPUT -p udp -m limit --limit 3/second --sport 32769:65535 --dport 33434:33523 -j ACCEPT

# NE SPREMINJAJ: zavrzenje (drop) ICMP fragmentov (ki se pogosto uporabljajo v DoS napadih):
$IPTB -A INPUT -i $INTERNET --fragment -p icmp -j DROP

# NE SPREMINJAJ: sprejemanje pravilnih/uporabnih ICMP paketov.
# (ICMP se NE SME popolnoma blokirati, sicer povezava v internet ne deluje):
$IPTB -A INPUT -p icmp --icmp-type 0 -m limit --limit 30/second -j ACCEPT
$IPTB -A INPUT -p icmp --icmp-type 3 -m limit --limit 30/second -j ACCEPT
$IPTB -A INPUT -p icmp --icmp-type 4 -m limit --limit 30/second -j ACCEPT
$IPTB -A INPUT -p icmp --icmp-type 11 -m limit --limit 30/second -j ACCEPT
$IPTB -A INPUT -p icmp --icmp-type 12 -m limit --limit 30/second -j ACCEPT

# NE SPREMINJAJ: obravnava icmp-traceroute:
$IPTB -A INPUT -p icmp --icmp-type 30 -m limit --limit 30/second -j ACCEPT

# NE SPREMINJAJ: obravnava echo-request:
$IPTB -A INPUT -p icmp --icmp-type 8 -m limit --limit 3/second -j ACCEPT

# NE SPREMINJAJ: vse ostalo zavrzemo (sicer je privzeta "politika" nastavljena na zavracanje, a vseeno):
$IPTB -A INPUT -m state --state NEW -j DROP



# NE SPREMINJAJ: FORWARD TABLE
$IPTB -P FORWARD DROP

####################################
# CE UPORABLJATE "port forwarding" #
####################################

# Katera vrata posredujemo ("forward") v nas intranet (primer za vrata 1214 in 6346):
# FWD_TCP_PORTS="1214,6346"

# $IPTB -A FORWARD -p tcp -i $INTERNET -m multiport --dport $FWD_TCP_PORTS -j ACCEPT

# Zacetek pravil za "port forwarding"
# Za vsaka posredovana vrata uporabite svojo vrstico.
# Primer za posredovanje vrat 1214 in 6346 na IP 192.168.1.10:
# $IPTB -t nat -A PREROUTING -p tcp -i $INTERNET --dport 1214 -j DNAT --to 192.168.1.10
# $IPTB -t nat -A PREROUTING -p tcp -i $INTERNET --dport 6346 -j DNAT --to 192.168.1.10
# Konec pravil za "port forwarding"



################################
# CE UPORABLATE NAT, VKLJUCITE #
################################
# Ce uporabljate NAT (deljenje internetne povezave), OBVEZNO vkljucite vse ukaze,
# ki so zakomentirani z dvema ograjicama "##"!

# NE SPREMINJAJ: zavracanje paketkov brez znane povezave
# Ce uporabljate NAT samo vkljucite, ne spreminjajte:
##$IPTB -A FORWARD -m state --state INVALID -j DROP

# NE SPREMINJAJ: dovoli vracanje paketkov iz ze vzpostavljenih povezav (npr. DNS resolving):
# Ce uporabljate NAT samo vkljucite, ne spreminjajte:
##$IPTB -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# NE SPREMINJAJ: zavracanje "broadcast" in "multicast" paketov:
# Ce uporabljate NAT samo vkljucite, ne spreminjajte:
##$IPTB -A FORWARD -m pkttype --pkt-type broadcast -j DROP
##$IPTB -A FORWARD -m pkttype --pkt-type multicast -j DROP

# NASTAVITEV POSEBNIH PREPOVEDI
# =============================
# Ce zelimo onemogociti dostop do interneta/storitev samo enemu racunalniku v lokalnem omrezju!
# Primer: IP naslovu 192.168.1.100 v lokalnem omrezju dovolimo DNS resolving
# $IPTB -A FORWARD -d 192.168.1.100 -p udp --dport 53 -j ACCEPT
# $IPTB -A FORWARD -d 192.168.1.100 -p tcp --dport 53 -j ACCEPT
# $IPTB -A FORWARD -s 192.168.1.100 -p udp --dport 53 -j ACCEPT
# $IPTB -A FORWARD -s 192.168.1.100 -p tcp --dport 53 -j ACCEPT

# Primer: IP naslovu 192.168.1.100 v lokalnem omrezju dovolimo ntp
# $IPTB -A FORWARD -d 192.168.1.100 -p tcp --dport 123 -j ACCEPT
# $IPTB -A FORWARD -s 192.168.1.100 -p tcp --dport 123 -j ACCEPT
# $IPTB -A FORWARD -d 192.168.1.100 -p udp --dport 123 -j ACCEPT
# $IPTB -A FORWARD -s 192.168.1.100 -p udp --dport 123 -j ACCEPT

# IP naslovu 192.168.1.100 v lokalnem omrezju ne dovolimo nic (drugega)
# $IPTB -A FORWARD -d 192.168.1.100 -j DROP
# $IPTB -A FORWARD -s 192.168.1.100 -j DROP

# NASTAVITEV DOVOLJENJ (CE IMATE NAT, PREGLEJTE!)
# ===============================================
# Lokalnemu omrezju v celoti VEDNO dovolimo DNS resolving
# Ce uporabljate NAT samo vkljucite, ne spreminjajte:
##$IPTB -A FORWARD -p udp --dport 53 -j ACCEPT
##$IPTB -A FORWARD -p tcp --dport 53 -j ACCEPT

# OPCIJA 1: Vkljucite, ce zelite:
# Lokalnemu omrezju dovolimo priklop na time server preko TIME in SNTP porta
# $IPTB -I FORWARD 1 -p udp --dport 37 -j ACCEPT
# $IPTB -I FORWARD 1 -p tcp --dport 37 -j ACCEPT
# $IPTB -I FORWARD 1 -p tcp --dport 123 -j ACCEPT
# $IPTB -I FORWARD 1 -p udp --dport 123 -j ACCEPT

# OPCIJA 2: Vkljucite, ce zelite:
# Lokalnemu omrezju dovolimo samo surfanje po dolocenih streznikih.
# Primer za streznik www.arnes.si (IP=193.2.1.87):
# $IPTB -A FORWARD -p tcp -d 193.2.1.87 -j ACCEPT

# OPCIJA 3: Vkljucite, ce zelite:
# Lokalnemu omrezju dovolimo priklop na katerokoli WEB stran (POZOR: samo http (vrata 80), ne pa tudi https (vrata 443)!):
##$IPTB -I FORWARD 1 -p tcp --dport 80 -j ACCEPT

# OPCIJA 4: Vkljucite, ce zelite:
# Lokalnemu omrezju dovolimo vzpostavljanje VSEH povezav
# $IPTB -A FORWARD -m state --state NEW -i ! $INTERNET -j ACCEPT


# NASTAVITEV NAT-a (ne spreminjaj!)
# =================================
# NE SPREMINJAJ: Gateway za priklop lokalnega omrezja na internet (POZOR! IP prehoda (gateway) mora biti vpisan v $GW_IP ZGORAJ!)
# Ce uporabljate NAT samo vkljucite, ne spreminjajte:
##$IPTB -t nat -A POSTROUTING -o $INTERNET -s $LAN -j SNAT --to-source $GW_IP

# NE SPREMINJAJ: poskrbimo, da NAT dela optimalno (pomembno predvsem za ADSL uporabnike).
# Ce uporabljate NAT samo vkljucite, ne spreminjajte:
##$IPTB -A FORWARD --protocol tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# OMEJITEV DOSTOPA GLEDE NA MAC NASLOV
# ====================================
# Vkljucite, ce zelite, da imajo iz intraneta v internet dostop samo mrezne kartice (NIC) z dolocenimi MAC naslovi.
# Taksna omejitev je koristna, kadar zelite omejiti dostop do interneta samo avtoriziranim
# mreznim karticam (racunalnikom, oz. uporabnikom).
# Primer: ce imate lokalno omrezje z namiznimi racunalniki, in bi radi preprecili, da bi se vanj vkljucevali
# npr. uporabniki prenosnih racunalnikov, lahko omejite dostop glede na MAC naslove (serijske stevilke) mreznih kartic.
#
# MAC naslovi morajo biti vneseni v "/etc/network/valid-macs" datoteko.
# for mac in `cat /etc/network/valid-macs`; do $IPTB -I FORWARD -m mac --mac-source $mac -j fwfilter ; done



# Izpis iptables pravil na zaslon (vkljucite, ce zelite):
# $IPTB -L -v -n

# NE SPREMINJAJ: ce imamo intranet, vkljucimo IP forward, sicer ga pustimo izkljucenega:
echo $WE_HAVE_INTRANET > /proc/sys/net/ipv4/ip_forward
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

Zgodovina sprememb…

  • spremenilo: Daedalus ()

Vlady ::

Kontroler je nvidia nForce4 serial ATA RAID Controller. Niti fedora mi ne pokaže oba diska kot eno polje, ampak kot dva ločena diska. so pa kot sba ja. sba1 in sba2. Torej kako sedaj inštalirati zadevo? Disketnika nimam. :\
"Lotereya - naibolee točnyj sposob učeta količestva optimistov"

hruske ::

Vlady, RAID na tvojih dveh diskih je softverski, linux pa ga ocitno ne zazna. Ker noces izgubit podatkov, noces na ta dva diska namescat linuxa.

Linux ima sicer predej dobro podporo za SW RAID.
Rad imam tole državico. <3

kekz ::

sba1 in sba2

Najbrž sda in ne sba. Ampak kljub temu to nista dva diska. To sta dve particiji na enem disku.
Dva diska bi ti moralo pokazati kot sda in sdb, potem narediš

dmraid -r

in ti pokaže, če linux res zazna kakšen raid na njih. RAID moraš pred uporabo aktivirati (ker gre za neke vrste sw waid) in to narediš z

dmraid -a y

To ti v /dev/mapper naredi nov združen devajs s dokaj kriptičnim imenom. Zadevo je možno uporabiti tudi za boot (root) disk, vendar je potem treba vso dmraid solato vgraditi v zagonski initrd.

Vlady ::

Eh j***š to solato, se mi ne da ukvarjat s tem enable-anjem in podporo in vsem hudičem zravn. Kot končn uporabnik bi hotu met te zadeve že narejene, ne pa da se še sam z njimi ubadam. Ja in kam naj napišem tiste ukaze, če še linux-a nimam na disku?
"Lotereya - naibolee točnyj sposob učeta količestva optimistov"

kriko1 ::

Suse ima ob namestitvi RAID gumb pri particijah (advanced).

jlpktnst ::

Kaj je blo z mrežno? 10mbit, half duplex pa 5% packet loss. Ok rečem, bomo menjal. Menjam mrežno, itak da se sistem ni postavu nazaj... Js pa brez monitorja v kot in jokat.

No potem sem pa le dal nazaj prvo mrežno in ugotovil da ni pokvarjena (očitno je bil slab kontakt in je blo dost malo premaknit zadevo). Ni važno - lesson learned - če menjaš mrežno ne boš mogu več loginat. Sumim da bo slejkoprej prišel kak update ki mi bo sesul wpa_supplicant (ja uporabljat morem en backport ker tisti v stable ne podpira wired ... ne bom reku kolk sem porabu da sem to našel, apt-get ftw). No v stable se to naj ne bi zgodilo - ne spremeni pa dejstva da ko/če se bo, bo veliko sranje.

Pa glede updejtov - ne morm rečt da je windows manj primitiven in boljši. Sploh ne. Je pa do viste definitivno bil bolj fokusiran na end-userja kot pa to.

Pa btw - ne uporabljam (več) homecooked variante - sem na debianu, ki očitno je preveč eliten zame. Računalničar gor ali dol, še vedno mi gre na živce da inštaliram pakete ki so že ob namestitvi pokvarjeni.

Malo sem se ohladil sicer, uspešno je naredil dist-upgrade po par mesecih (česa nisem pričakoval), je pa dejstvo da fglrx še vedno ne dela z repozitorija brez neke hude muje. Poenostavijo nekaj, zakomplicirajo drugo.

Pa kaj je ta drm na linuxu je to isto ko DRM na visti? Ker če je bo očitno treba naredit svoj linux :D


ps. ta skripta za firewall izgleda lepo - sicer sem vse konfiguriral na roko, bom pa lahko dodal dodatno konfiguracijo s tem :D hvala

kriko1 ::

Ne poznam debiana, vendar na suse sem menjal že kar nekaj mrežnih (pač eksperimentiranje) in je vedno vse delalo (ko si pač na novo skonfiguriral dodano mrežno - kar je v yast-u kot da bi preštel na prste do 10).

Atijevi gonilniki pa se obnašajo bizarno na nekaterih sistemih in v večini so težave z njimi (ati leta 2007 nima še stabilnih gonilnikov za linux). Če imaš mašino za kak strežnik, vrži noter kako staro s3, sis, karkoli...

zee ::

"Atijevi gonilniki pa se obnašajo bizarno na nekaterih sistemih in v večini so težave z njimi (ati leta 2007 nima še stabilnih gonilnikov za linux). Če imaš mašino za kak strežnik, vrži noter kako staro s3, sis, karkoli..."

Stanje ATIjevih gonilnikov je porazno...tako porazno, da ima moja X800XT manj FPSjev kot Geforce Go5200 na starem laptopu. Beda.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
««
3 / 20
»»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Debian Gnu/Linux kot workstation (strani: 1 2 3 437 38 39 40 )

Oddelek: Operacijski sistemi
1960116448 (32122) RedDrake
»

Kako instalirat NVIDIA-driverje v Ubuntu? (strani: 1 2 )

Oddelek: Operacijski sistemi
504844 (3773) r5r
»

Ubuntu 8.04 frekvenca osveževanja in resolucija

Oddelek: Operacijski sistemi
192151 (1784) c0ck4m0u53
»

Samba porti

Oddelek: Omrežja in internet
341623 (1319) hruske
»

Gentoo install (strani: 1 2 )

Oddelek: Operacijski sistemi
524730 (4150) HerrBaron

Več podobnih tem