Názory k článku
Linux jako internetová gateway (6)

zacatek je teda dost spatne napsany ...

"nejdříve si kartu necháme nadetekovat, hodí to takovýto výpis, pozor, výpis je zkrácen."

dal sem to radsi ani necetl...

a nebo hned prvni veta ...

"Spoustě ISA síťových karet, a nejen síťových karet, používá se to i u ISA zvukovek, nestačí zadat parametry při zavádění modulu."

Strasne spatne se tenhle text cte :(

Tenhle dil se opravdu moc nepovedl. Prestoze vim, k cemu slouzi GRE nebo PTP, casto se mi stavalo, ze jsem vubec nechapal, o cem autor mluvi.

Souhlasim, ze slohove je to zrudny, myslite, ze mne se to cetlo dobre? :)

Ale snazim se autorovi nechat trochu prostoru, opravuju jen vylozeny chyby, slovosled je jeho svoboda - ve chvili, kdy se bojim, ze preformulovani vety by vedlo ke zmene vyznamu, tak to radsi necham, pripadne doufam, ze se sam pouci, az ho servete :).

(Vsak jste ten clanek nevideli, nez prosel mnou, to bylo jeste daleko horsi :)...ale kazdej holt umime neco, no.)

ja taky ne:)

no tohle mi nedá ... neříkal to někdo už u minulých dílů? - "Jak pejsek s kočičkou vařili dort" :-)

odkaz na jiné zdroje je sice pěkný, přesto bych ale očekával aspoň pár slov úvodem, k čemu jsou tunely v "malé domácí síti" dobré a ne rovnou smršť příkazů ...

btw, nic proti pomalým sítím, ale zabývat se tak podrobně isovými kartami mi přijde jako přežitek, v době kdy se stroje s PCI sloty rozdávají zadarmo a slušná 100 Mbps PCI síťovka se dá pořídit za pár korun ... samozřejmě ne všechny linky jsou rychlé, ale konkrétně na vnitřním rozhraní v lokální síti mi už není jedno, jestli CD mezi počítači kopíruju dvě minuty nebo čtvrt hodiny ...

ad ISA, no to je tezky, dost lidi si nechalo starou 486ku na router, a tam je PCI slotu nedostatek.
Ono se lehce rekne vymenit, ale ted vymenujumeme v nasi siti P200 za rychlejsi (shaping je mrska, zere vic jak KDE :) ), a takovy upgrade je tak za 2-3 tisice :(.

válí se mi tu na stole 486 s 3*PCI (daruji za odnos ;-) víc jich snad na malém routeru nepotřebujete, nebo má snad ten stroj nahrazovat hub/switch ? :-)

ad shaping, no s tím už jsem se taky potkal, že AMD K6-2 na 400 MHz (nebo něco takového, už si to přesně nepamatuju) s pár pravidly v iptables přestala stíhat svou větev sítě ... :-(

Ad 486 + 3x PCI: tady bych videl ten problem, ze spousta 486tek mela jenom jeden PCI slot schopny bus masteringu - typicky slot c.1. Takze na PCI slo pouzit jenom jednu sitovku (vsechny mne zname modely pouzivaji bus mastering), a to jeste v pripade, ze ten busmaster slot nebyl zabrany grafikou (reseni pro firewall: pouzijte ISA grafiku).

Pokud zastrcite busmaster sitovku do ne-busmaster PCI slotu, chova se to tak, ze kernel pri inicializaci sitovku najde (podle PCI VENDOR/DEVICE ID), dokonce probehnou inicializacni rutiny pouzivajici "port IO" (PIO), ale pak pres ni nebezi provoz: nejde pingat, v ifconfigu nenaskakuji odeslane a prijate pakety.

Domnivam se, ze bus mastering je potreba jenom pro "memory-mapped IO" (MMIO). Pokud lze ovladac prepnout do rezimu PIO, mohlo by to teoreticky chodit.

Zalezi na tom, co je presne duvodem nefunkcnosti busmasteringu: pokud nefunguje GNT signal, ale funguje IRQ, mel by fungovat alespon PIO rezim hnany IRQckem.

aha ... no sběrnice nejsou mojí silnou stránkou :-(

zrovna volbu PIO místo MMIO jsem viděl včera při kompilaci jádra u mojí síťovky - driver eepro100 - Compaq NC3121 čili Intel 82557, jeví se mi poměrně spolehlivě, a takové lze za pár šupů sehnat ze starých vykuchaných Compaqů (nebo různé varianty GD82557/8/9)

jinak děkuji za info a též za obsáhlý příspěvek níže, aspoň jsem si něco ujasnil :-)

U ISA karet je ještě jedna výhoda, spousta dobrých, kvalitních a kompatibilních značkových karet je k dispozici zadarmo, leckdy i ve verzi 10/100.
Jen je potřeba mít v základní desce dostatek ISA slotů, což je u nových desek problém, není tam žádný :-(

ISA 10/100 - ISA z principu neumi vic jak 40Mbps, takze to byl kdysi spis reklamni tah...

Neni problem overclocknout sbernici...

Overclocknout sbernici routeru nebo gatewaye nepovazuju jako nejstasnejsi reseni.

Mám takový hloupý dotaz. Snažím se sestavit GW prene podle navodu, ktery je v tomto serialu popisovan. Vcera jsem narazil na takovy mensi problem pri zavadeni modulu. Kdyz jsem dal modprobe ip_MASQUERADE, tak to na me vyplivlo, ze modul nebyl nalezen. Tudiz jsem kouknul do adresare etc/lib/modules nebo tak nejak a tento modul se tam opravdu nenachazel. Nasel jsem tam ovsem ipt_MASQUERADE. Zkusil jsem ho tedy pomoci modprobe zavest, coz se zdarilo. Kdyz jsem ale vypsal netstat -M, tak mi to napsalo, ze chybi modul ip_masquerade.
Vim, ze je to asi hodne hloupa otazka, ale pokud by to nekoho z vas guru neobtezovalo, mohl byste mi prosim poradit co s tim. Predem dekuji.

No, v linuxu je vsechno case-sensitive, takze ip_MAQUERADE != ip_masquerade....ten modul je ipt_MASQUERADE....pri lsmod: mate zavedene moduly ip_conntrack*, iptable_nat?

Jo jo, to ze je to case sensitive to vim. Me slo totiz o to jestli v tom clanku byl preklep nebo ne. Bylo mi totiz divne, ze po zavedeni modulu ipt_MASQUERADE mi preklad adres nefunguje. Kouknu jestli mam zavedene jeste moduly o kterych jste se zminoval. Moc dekuji.

Zdravim. Tak jsem si zkusil vypsat moduly, o kterych jste se zminoval a opravdu jsem je zavedene nemel. Zkusil jsem je tedy zavest, ovsem po zadani prikazu netstat -M, stejna hlaska jako vcera. Cituji "no support for 'ip_masquerade' on this system". Nenapada Vas jeste neco jineho co s tim. Dekuji.

Presne stejny problem mam take - netstat -M me odpalkuje se stejnou hlaskou, prestoze vsechny popsane moduly zavedena mam. Ze by nejake z meny mezi jednotlivymi patchlevels jadra?

lsmod - muj router - vytah:

ipt_MASQUEARDE
ipt_REDIRECT
ipt_TOS
iptable_mangle
ipt_state
ip_nat_ftp
iptable_nat [ipt_MASQUERADE ipt_REDIRECT ip_nat_ftp]
ip_tables [ipt_MASQUERADE ipt_REDIRECT ipt_TOS iptable_mangle ip_nat_ftp]
ip_conntrack_ftp
ip_conntrack [ipt_MASQUERADE ipt_REDIRECT ipt_state ip_nat_ftp iptable_nat ip_conntrack_ftp]

Jo, mimochodem, netstat -M me vypise to same a presto mi maskarada funguje...mozna bug v netstat....

Myslim si to same, me se to take nepodarilo pomoci netstat vypsat. Proto pouzivam variantu vypisu s ip_contack, to chodi. Kamaradovi to chodilo s netstat, ale jen kdyz bylo vse ohledne iptables v jadre, jako moduly mu to taky nebezelo. Bohuzel se bez toho asi budeme muset obejit, ale ja myslim, ze to neni takova tragedie.

Zdravim

ISA sbernice z principu neumi vic jak 12Mbit. Da se to nataktovat vyse, ale rozhodne ne na 100Mbit, to by se zacaly teplem loupat cesticky na motherboardu.

Me by spios zajimalo necop o tech tunelech. To co bylo podano v clanku je zcela k nicemu, nema to ani hlavu ani patu a je to vubec takovy divny. Neni tam napsany kdo je klient a kdo server.

Nechcete nekdo napsat clanecek jak propojit nejaky zapadly server pouze s lokalni IP (takze je za NATem) s jinym serverem s verejnou IP?

Zdenek

V kterem clanku? V tomto, nebo v tom odkazovanem (ktery jsem psal ja). Ten odkaz je na prostredni clanek ze serialu, ve kterem bylo tunelovani IMHO popsano docela podrobne.

Zdravim

Myslel jsme v tomhle clanku, ten odkaz jsem nejak prehlydl. Kdyz ted vidim ten nadpis "tuneluji, tunelujes, tunelujem" tak uz mam svoji zapadlou sit jednou nohou v czfree. Diky za nakopnuti.

Zdenek

Zdravim

Tak bohuzel ani ten odkazovany serial mi nepomohl. Byl tam moc pekne popsan peer-to-peer tunel pres gre nebo ipsec, ale ja potrebuju client-server tunel, protoze jeden ze serveru nema verejnou IP. Dokonce jsem tam uz tehdy zanechal par prispevku, ale reseni jsem nezjistil. Potrebuju aby se tunel udrzoval spojeny aby to proslo firewallem skrz ESTABLISHED,RELATED vstupni filtr.

Zdenek

poznam a obcas aj pouzivam jednu taku vec - vola sa ze mcn, bohuzial neviem ci to je niekde public, ja som to volakedy davno dostal priamo od autora :-)

Na to snad neni ani potreba clanek :)
S kolegou jsme vymysleli pomerne jednoduche a vcelku elegantni reseni (i kdyz tu urcite bude spousta namitek :) )
Server za natem si pomoci fetchmailu stahuje postu (i pro normalni usery) a kdyz prijde posta na specialni alias, tak se spusti skriptik, ktery se pripoji pres SSH na zadanou adresu a otevre tunel zpatky pro pristup na SSH. Dal si sikovny admin muze pootvirat tunely pro co chce.
Da se to samozrejme ruzne upravit: tunel nemusi byt pres SSH nebo jich muze byt vic, spousteci mechanizmus muze fungovat jinak....

Radek

Nize uvedene domenky jsou muj soukromy nazor - pokud se pletu, nekdo mne opravte. Celou tu historii jsem osobne nezazil.

ISAPnPTools jsou user-space nastroj.
Vyskytuji se hlavne ve spojeni s kernelem 2.2.
V kernelu 2.4 byly IMO ISAPnPTools nahrazeny nativni kernel-space podporou pro ISA PnP - a obcas se mi po nich stejska.

Pomoci ISAPnPTools se nastavujou IRQcka, porty atd.
Osobne bych pri jejich vyuzivani na konkretnim stroji zacal bootem s nejakym normalnim kernelem a spustenim "pnpdump".
Ten vysype obrovsky zakomentovany a okomentovany konfigurak - jsou v nem vsechny alternativy nastaveni (pouzitelne kombinace IRQ/DMA/portu), ktere umoznuje ISAPnP hardware zasunuty v ISA slotech.

Jako dalsi krok povolite (odkomentujete) v konfiguraku vybrane polozky a konfigurak prejmenujete na /etc/isapnp.conf. Pak zaradite spustitelny soubor isapnp nekam do rc skriptu nebo do sysV init.
A rebootujete - nebo isapnp spustite rukama.

Teprve pote (se objevi rakosnicek :) muzete insmodovat ovladace, nastavovat jim parametry jako io= a irq= apod. - protoze uz jste si je nastavili pres user-space isapnp.

Z toho plyne, ze pokud pouzivate user-space isapnptools, ovladace pro ISA PnP hardware nema cenu zakompilovat natvrdo do kernelu a nastavovat jim v lilu parametry - pri bootu, kdyz se natahne a inicializuje monoliticky binar jadra, jeste neprobehl programek isapnp, takze moniliticky zakompilovane inicializacni rutiny svuj hardware nenajdou. Dotcene ovladace tedy musite udelat jako moduly a tyto tahat az po probehnuti isapnp.

Z toho taky plyne, ze ISAPnP je dobre dat nekam na zacatek RC skriptu, teprve po nem insmodovat moduly pro ISAPnP hardware, a teprve potom startovat sit, nastavovat mixer zvukovky, nakonec initd aj. demony zavisle na siti apod. Toto poradi lze u SysV initu ovlivnit nejsnaze asi cislovanim startovacich symlinku v prislusnem runlevelu.

Ethtool je taky docela novy nastroj.
Objevil se podle meho pomerne nove nejprve v jadrech 2.4 a pak byl backportovan i do novejsich jader 2.2. V poslednich vanilkovych jadrech 2.4 uz je vetsina ovladacu pro ethernet hardware upravena, aby ethtool IOCTL volani obsluhovala. Ovladace pro fast ethernet sitovky to delaji typicky volanim univerzalniho MII API.
Ethtool prinasi predevsim nastavovani 10/100, duplexu a zapnuti/vypnuti "autonegotiation" techto parametru.
V Linuxu dlouho chybelo jednotne rozhrani pro nastavovani techto parametru z uzivatelskeho prostredi: delalo se to obskurnimi parametry pri bootu, nebo v lepsim pripade pri insmodu - a leckdy to nefungovalo.
Na rozdil od BSDcek, kde jsou tato zakladni nastaveni odpradavna jednotnou soucasti utility ifconfig...

sem mamlas - pnpdump je v clanku napsanej, to jsem prehledl. Popel na moji kedlubnu. F.

pptp je point-to-point tunneling protocol od microsoftu a nevyuziva sa iba pri adsl samozrejme.
a ohladom toho NAT.. linuxovy router musi mat podporu GRE a musi byt aplikovany pptp patch, inak sa z vnutornej siete pripoji iba jeden klient, kedze router vie vytvorit iba jeden kanal.. inak to funguje celkom v pohode a bezproblemovo..

Skript rc.local mi vypisuje chybove hlasky, ze moduly nejde nalezt. Zkousel jsem i ipt_ x x x x ale porad nic. Tak jsem se vsemozne koukal do systemu a nenasel jsem nikde nic.
Jedna se o:
/sbin/modprobe ip_LOG
/sbin/modprobe ip_REJECT
/sbin/modprobe ip_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

Bezi to na RH 8 a jadro tam je asi 2.4.x . . .
V cem muze byt problem? . . ze by v instalaci?

Tak jsem prisel na to, ze se mi rc.local nespousti vubec. Jen jsem ho prekopiroval skriptem tady nekde odtud :-( . Prava jsem nastavil a skript nakonfiguroval a ne a ne se spustit. .