diff --git a/mn_MN.UTF-8/books/handbook/firewalls/chapter.sgml b/mn_MN.UTF-8/books/handbook/firewalls/chapter.sgml
index 325dd5dac9..07df450615 100644
--- a/mn_MN.UTF-8/books/handbook/firewalls/chapter.sgml
+++ b/mn_MN.UTF-8/books/handbook/firewalls/chapter.sgml
@@ -1,3052 +1,3052 @@
Жозеф Ж.
Баарбиш
Хувь нэмэр болгон оруулсан
Брэд
Дэйвис
SGML уруу хөрвүүлж шинэчилсэн
Лодойсамбын
Баянзул
Орчуулсан
Галт хана
Галт хана
аюулгүй байдал
галт хана
Танилцуулга
Галт ханын тусламжтайгаар систем уруу орж байгаа болон түүнээс гарч байгаа өгөгдлийн урсгалыг шүүн нэвтрүүлэх боломжтой болдог.
Галт хана нь сүлжээгээр дамжин өнгөрч байгаа пакетуудыг, дүрмүүдэд
заасны дагуу эсвэл нэвтрүүлэх, эсвэл хаах үүргийг гүйцэтгэдэг.
Галт ханын дүрмүүд нь пакетийг протоколын төрөл, эхлэл хост хаяг, очих хост хаяг, эхлэл порт хаяг, очих порт хаяг зэрэг хэд хэдэн шинжээр нь шинжлэх боломжийг олгодог.
Галт ханыг ашигласнаар тухайн хостын болон сүлжээний аюулгүй байдлыг нилээд нэмэгдүүлж чадна. Галт ханын тусламжтайгаар дараах зүйлсийг хийх боломжтой :
Дотоод сүлжээнд байрлаж байгаа сервер машин, түүн дээр ажиллаж байгаа програм үйлчилгээг Интернэтээр дамжин орж ирж буй гадны урсгалаас хамгаалах, тусгаарлах.
Дотоод сүлжээнд байрлаж байгаа хостоос Интернэт уруу хандах хандалтыг хаах, хязгаарлах.
Network address translation буюу Сүлжээний Хаягийн Хөрвүүлэлтийг
(NAT) дэмжих. Өөрөөр хэлбэл дотоод сүлжээндээ хувийн IP хаяг хэрэглэж,
Интернэтэд гарахдаа дундаа нэг холболтыг (нэг IP хаяг эсвэл автоматаар оноосон бүлэг хаягаар) хуваан хэрэглэх.
Энэ бүлгийг уншсаны дараа, та дараах зүйлсийг мэдэх болно:
пакетийг шүүн нэвтрүүлэх дүрмүүдийг хэрхэн оновчтойгоор тодорхойлох.
&os;-тэй хамт суусан галт ханануудын ялгаа.
OpenBSD-н
PF галт ханыг хэрхэн тохируулах болон хэрэглэх.
IPFILTER-г хэрхэн тохируулах болон хэрэглэх.
IPFW-г хэрхэн тохируулах болон хэрэглэх.
Энэ бүлгийг уншихаасаа өмнө, та дараах зүйлсийг мэдсэн байх шаардлагатай:
&os; болон Интернэтийн тухай үндсэн ойлголт.
Галт ханын тухай ойлголтууд
галт хана
дүрмүүд
Галт ханын дүрмүүдийг дараах үндсэн хоёр янзаар үүсгэж болно:
inclusive буюу хамааруулсан
эсвэл exclusive буюу хамааруулаагүй
.
Хамааруулаагүй галт хана нь дүрмэнд тохирсон урсгалаас бусдыг нэвтрүүлнэ. Харин хамааруулсан галт хана бол эсрэгээр нь,
дүрмэнд тохирсон урсгалыг нэвтрүүлж бусдыг хаана.
Хамааруулсан галт хана нь Интернэтэд үйлчилгээнүүдийг санал
болгодог системүүдийн хувьд илүү сайн сонголт болдог бөгөөд гарч байгаа
урсгалыг илүү сайн хянах боломжийг олгодог. Энэ нь Интернэтээс таны хувийн
сүлжээ рүү хандах урсгалыг бас хянадаг. Дүрэмд харгалзаж тохирохгүй
бүх урсгалыг хааж бүртгэдэг.
Болохгүй урсгалыг галт ханаар нэвтрүүлэх эрсдэлийг
багасгадаг учраас хамааруулсан галт хана нь хамааруулаагүй
галт ханыг бодвол илүүтэйгээр аюулгүй байдлыг хангаж чаддаг.
Зааж хэлээгүй л бол энэ бүлгийн бүх тохиргоо болон дүрмүүд
нь хамааруулсан галт ханыг үүсгэдэг.
Төлөвт галт ханыг
ашиглан аюулгүй байдлыг цааш илүү сайжруулах боломжтой.
Энэ төрлийн галт хана нь галт ханаар дамжин тогтсон холболтуудыг бүртгэж,
зөвхөн таарч байгаа тогтсон холболтоор эсвэл шинэ холболт үүсгэн урсгалыг нэвтрүүлдэг.
Төлөвт галт ханын нэг дутагдалтай тал гэвэл олон шинэ холболтууд нэг дор тогтох үед
Denial of Service буюу Үйлчилгээг Зогсоох(DoS) халдлагад өртөмтгий болдог. Иймээс галт ханыг
зохион байгуулахдаа төлөвт ба төлөвт-бус байдлыг хослуулан хэрэглэх нь хамгийн оновчтой байдаг.
Галт ханын багцууд
&os; дээр гурван янзын галт ханын багцууд хамрагдсан байдаг.
Нэрлэвэл: IPFILTER
(IPF гэж нэрлэх нь элбэг),
IPFIREWALL (IPFW гэж нэрлэх нь элбэг),
ба OpenBSD-н PacketFilter (PF гэж нэрлэх нь элбэг).
&os; нь мөн урсгалыг хязгаарлах(үндсэндээ зурвасын өргөнийг хязгаарлах) хоёр багцын хамт ирдэг:
&man.altq.4; болон &man.dummynet.4;. Dummynet нь анхнаасаа IPFW-тай, харин
ALTQ нь PF-тэй нягт холбоотой ажилладаг.
IPFILTER-ийн хувьд урсгал хязгаарлалтыг хийхдээ
NAT болон шүүлтэд IPFILTER-ийг ба
IPFW-ийг &man.dummynet.4;-тэй цуг юм уу
эсвэл PF-ийг
ALTQ-тай цуг ашиглан хийж болно.
IPFW, ба PF нь бүгд систем уруу орж байгаа болон гарч байгаа урсгалыг дүрмүүдийн тусламжтай удирдах боловч
синтаксын хувьд ч, арга замын хувьд ч өөр өөр байдаг.
&os; дээр олон галт ханын багцууд хамт ирдэг нь өөр өөр хэрэгцээ шаардлагатай хүмүүст
хүртээмжтэй байхыг гол зорилгоо болгосонд оршино. Түүнээс аль ч галт хана нь нөгөөгөөсөө илүү, эсвэл дутуу гэсэн үг биш юм.
Зохиогч IPFILTER-г сонгон авсан нь түүний төлөвт дүрмүүд нь
NAT орчинд хэрэглэхэд төвөг багатай, мөн
дотроо ftp proxy агуулсан байдгаас болсон хэрэг. Энэхүү ftp proxy-г ашиглан
гадагшаа гарах FTP урсгалыг зөвшөөрсөн дүрмүүдийг бичихэд хялбар байдаг.
Бүх галт ханууд пакет удирдах талбарын утгыг шинжлэх зарчмаар ажиллах тул
галт ханын дүрмүүдийг бичихийн өмнө TCP/IP протокол хэрхэн
ажилладаг талаар болон пакет удирдах талбарын утгууд, энэ утгууд session буюу сесс
үүсэхэд хэрхэн хэрэглэгддэг талаар үндсэн ойлголттой байх шаардлагатай болдог.
Дээрх ойлголтуудын талаар дараах хаягаар орж уншина уу:
.
Жон
Феррел
Хянан залруулж шинэчилсэн
OpenBSD Пакет шүүгч (PF) ба
<acronym>ALTQ</acronym>
галт хана
PF
2003 оны 7 сард OpenBSD-н галт ханын програм болох
PF &os; уруу шилжиж, &os; Портын Цуглуулгад
орсон. 2004 онд гарсан &os; 5.3 нь PF-г
үндсэн системийн багцын нэг хэсэг болгон оруулсан анхны хувилбар юм.
PF нь бүрэн хэмжээнд ажиллах чадвартай
галт хана бөгөөд ALTQ-тай (Alternate
Queuing буюу Ээлжлэн солигдох дараалал) хамтран ажиллах боломжтой. ALTQ нь
Quality of Service буюу Үйлчилгээний Чанарын (QoS)
боломжоор хангадаг.
OpenBSD Төсөл нь PF FAQ-г хөтлөн
явуулдаг.
Тиймээс гарын авлагын энэ хэсэг нь &os;-д хамаатай
PF дээр илүү анхаарлаа хандуулахахаас гадна
хэрэглээний талаар зарим нэг ерөнхий мэдээллийг өгнө. Хэрэглээний
мэдээллийн талаар илүү дэлгэрэнгүйг PF FAQ-с үзнэ үү.
&os;-д зориулсан PF-ийн талаар илүү дэлгэрэнгүй мэдээллийг
хаягаас үзэж болно.
Цөмийн дуудагдах PF модулийг ашиглах нь
&os; 5.3 хувилбараас эхлэн PF нь тусдаа ажиллуулж
болох дуудагдах боломжтой модул хэлбэрээр үндсэн суулгацад орсон байдаг.
&man.rc.conf.5;-ийн pf_enable="YES"
илэрхийлэл байхад систем нь цөмийн PF модулийг динамикаар дуудах болно.
Гэхдээ систем PF-ийн дүрмийн олонлогийн тохиргооны
файлыг олохгүй бол PF модул нь дуудагдахгүй.
Анхдагч байрлал нь /etc/pf.conf. Хэрэв таны
PF дүрмийн олонлог өөр хаа нэгтээ байгаа бол
байрлалыг зааж өгөхийн тулд pf_rules="/path/pf.rules"
гэж өөрийн /etc/rc.conf тохиргооны файлдаа
оруулж өгөх хэрэгтэй.
&os; 7.0-с эхлэн /etc/
санд байсан жишээ pf.conf файл /usr/share/examples/pf/ руу орсон болно.
7.0-с өмнөх &os;-ийн хувилбаруудад анхдагчаар /etc/pf.conf
байдаг.
PF модулийг тушаалын мөрөөс бас дуудан ажиллуулж
болно:
&prompt.root; kldload pf.ko
Дуудагдах модул нь бүртгэл хийх дэмжлэгийг хангадаг &man.pflog.4;
боломжтойгоор хийгдсэн байдаг. Хэрэв танд PF-ийн
өөр боломжууд хэрэгтэй бол PF-ийн дэмжлэгийг
цөмд оруулан эмхэтгэх хэрэгтэй.
PF цөмийн тохиргоонууд
цөмийн тохиргоонууд
pf төхөөрөмж
цөмийн тохиргоонууд
pflog төхөөрөмж
цөмийн тохиргоонууд
pfsync төхөөрөмж
PF дэмжлэгийг &os; цөмд оруулж эмхэтгэх нь
шаардлагагүй боловч дуудагдах модульд ороогүй байдаг PF-ийн нэмэлт
боломжуудын нэг бөгөөд PF-ийн ашигладаг төлвийн хүснэгтэд
зарим өөрчлөлтүүдийг ил гаргадаг псевдо төхөөрөмж болох &man.pfsync.4;
гэгддэг боломжийг ашиглахын тулд та тэгж хийж өгч болох юм. Үүнийг
&man.carp.4;-тэй хослуулан ажиллагаа доголдоход тойрон гарах галт ханаыг
PF ашиглан бүтээж болно. CARP-ийн
талаар дэлгэрэнгүйг гарын авлагын -с
үзэж болно.
Цөмийн PF тохиргоонуудыг
/usr/src/sys/conf/NOTES-с олж болох бөгөөд
доор үзүүлэв:
device pf
device pflog
device pfsync
device pf тохиргоо Packet Filter
галт ханыг (&man.pf.4;) дэмждэг болгоно.
device pflog тохиргоо
псевдо буюу хуурамч &man.pflog.4; сүлжээний төхөөрөмжийг идэвхжүүлнэ. Энэ хуурамч
төхөөрөмжийн тусламжтайгаар &man.bpf.4; дескриптор уруу урсгалыг бүртгэх
боломжтой. &man.pflogd.8; дэмонг бүртгэлийг дискэн дээр хадгалахад хэрэглэнэ.
device pfsync тохиргоо
псевдо буюу хуурамч &man.pfsync.4; сүлжээний төхөөрөмжийг идэвхжүүлнэ. Энэ хуурамч
төхөөрөмжийн тусламжтайгаар төлвийн өөрчлөлтүүдийг
хянах боломжтой.
rc.conf боломжууд
Дараах &man.rc.conf.5; илэрхийллүүд
PF болон &man.pflog.4;-ийг ачаалах үед тохируулна:
pf_enable="YES" # Enable PF (load module if required)
pf_rules="/etc/pf.conf" # rules definition file for pf
pf_flags="" # additional flags for pfctl startup
pflog_enable="YES" # start pflogd(8)
pflog_logfile="/var/log/pflog" # where pflogd should store the logfile
pflog_flags="" # additional flags for pflogd startup
Хэрвээ энэ галт ханын цаана LAN байгаа бөгөөд
LAN-д байгаа компьютерууд уруу пакет дамжуулах шаардлагатай бол эсвэл
NAT ашиглах бодолтой байгаа бол дараах илэрхийлэл танд бас хэрэгтэй:
gateway_enable="YES" # Enable as LAN gateway
Шүүгч дүрмүүдийг үүсгэх нь
PF нь &man.pf.conf.5;-с (анхдагчаар /etc/pf.conf)
өөрийн тохиргооны дүрмүүдийг унших бөгөөд тэнд заагдсан дүрмүүд буюу тодорхойлолтуудын
дагуу пакетуудыг өөрчлөх, орхих буюу эсвэл дамжуулдаг. &os; суулгацад
/usr/share/examples/pf/-д байрлах хэд хэдэн жишээ
файлууд байдаг. PF-ийн дүрмийн олонлогуудын талаар бүрэн мэдээллийг
PF FAQ-с
лавлана уу.
PF FAQ-г үзэж байхдаа
&os;-ийн хувилбар бүр өөр өөр PF хувилбартай болохыг анхаарна уу:
&os; 5.X —
PF нь OpenBSD 3.5-ынх
&os; 6.X —
PF нь OpenBSD 3.7-ынх
&os; 7.X —
PF нь OpenBSD 4.1-ынх
&a.pf; нь PF галт ханыг тохируулж ажиллуулах
талаар асуухад тохиромжтой газар юм. Асуулт асуухаасаа өмнө захидлын
жагсаалтын архиваас шалгахаа мартуузай!
PF-тэй ажиллах нь
PF-ийг хянахдаа &man.pfctl.8;-г ашиглана.
Зарим нэг хэрэгтэй тушаалуудыг доор жагсаав (Бүх боломжит тохиргоонуудын
талаар &man.pfctl.8; гарын авлагын хуудаснаас лавлахаа мартуузай):
Тушаал
Зорилго
pfctl
PF-г идэвхжүүлэх
pfctl
PF-г болиулах
pfctl all /etc/pf.conf
Бүх дүрмүүдийг арилгаж (nat, шүүх, төлөв, хүснэгт, гэх мэт.)
/etc/pf.conf файлаас дахин ачаалах
pfctl [ rules | nat | state ]
Шүүх дүрмүүд, nat дүрмүүд, эсвэл төлвийн хүснэгтийн талаар тайлан гаргах
pfctl /etc/pf.conf
Дүрмийн олонлогийг ачаалалгүйгээр /etc/pf.conf-д
алдаа байгаа эсэхийг шалгах
<acronym>ALTQ</acronym>-г идэвхжүүлэх
ALTQ-г идэвхжүүлэх ганц арга зам бол түүний боломжуудыг
&os; цөмтэй хамт хөрвүүлэн эмхэтгэх юм. Мөн сүлжээний картын драйвер болгон ALTQ-г
дэмждэггүй тул өөрийн тань хэрэглэж буй &os; хувилбарын хувьд дэмжигддэг драйверуудын жагсаалтыг
&man.altq.4; гарын авлагын хуудаснаас үзнэ үү.
Дараах тохируулгууд
ALTQ-г идэвхжүүлж нэмэлт үүргүүдийг оруулдаг.
options ALTQ
options ALTQ_CBQ # Class Bases Queuing (CBQ)
options ALTQ_RED # Random Early Detection (RED)
options ALTQ_RIO # RED In/Out
options ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC)
options ALTQ_PRIQ # Priority Queuing (PRIQ)
options ALTQ_NOPCC # Required for SMP build
options ALTQ мөр ALTQ
-г бүхэлд нь идэвхжүүлнэ.
options ALTQ_CBQ мөр Class Based Queuing
буюу Ангиллаас Хамаарсан Дараалал Үүсгэх(CBQ) боломжийг идэвхжүүлнэ.
CBQ нь шүүгч дүрмүүд дээр үндэслэн урсгалуудад эрэмбэ тогтоох зорилгоор
зурвасын өргөнийг өөр өөр ангиллуудад болон дарааллуудад хуваах боломжийг олгоно.
options ALTQ_RED мөр Random Early
Detection буюу Санамсаргүй Эрт Илрүүлэлт(RED)-г идэвхжүүлнэ.
RED-г сүлжээний даац хэтрэхээс сэргийлэхэд хэрэглэдэг.
RED дарааллын уртыг хэмжиж, түүнийг байх ёстой дээд ба
доод хэмжээтэй жиших байдлаар ажилладаг. Хэрэв дараалал дээд хэмжээнээс урт болбол
шинэ пакетууд орхигдох болно. Нэртэйгээ адилаар, RED нь холболтуудаас пакетийг
санамсаргүйгээр орхигдуулдаг.
options ALTQ_RIO мөр нь Random Early
Detection In and Out буюу Орох ба Гарах Санамсаргүй Эрт Илрүүлэлтийг идэвхжүүлнэ.
options ALTQ_HFSC мөр нь
Hierarchical Fair Service Curve Packet Scheduler буюу Үе давхаргат Зохимжит Үйлчилгээний Муруйн Пакет Хуваарилагчийг
идэвхжүүлнэ. HFSC талаар илүү дэлгэрэнгүй мэдээллийг дараах хаягаас үзнэ үү:
.
options ALTQ_PRIQ мөр нь Priority Queuing буюу Эрэмбэт Дараалал Үүсгэх
(PRIQ)-г идэвхжүүлнэ. PRIQ нь эрэмбэ өндөртэй дараалалд байгаа
урсгалыг эхэнд нэвтрүүлэх зарчмаар ажилладаг.
options ALTQ_NOPCC мөр нь ALTQ-г
SMP-тай хамт ажиллах боломжтой болгоно.
SMP системийн хувьд энэ боломжийг заавал идэвхжүүлэх хэрэгтэй.
IPFILTER (IPF) Галт хана
галт хана
IPFILTER
IPFILTER-г зохиосон хүн бол Даррин Рид билээ. IPFILTER нь
үйлдлийн системээс хамааралгүй: нээлттэй эхийн програм бөгөөд
&os;, NetBSD, OpenBSD, &sunos;, HP/UX, ба &solaris; зэрэг олон үйлдлийн систем уруу
шилжүүлэгдсэн юм. IPFILTER эрчимтэй дэмжигдэж,
сайжруулсан хувилбарууд нь тогтмол гарсаар байгаа.
IPFILTER нь цөмийн талд ажиллах галт хана болон
NAT механизм дээр суурилсан бөгөөд түүнийг удирдах, хянахын тулд
хэрэглэгчийн интерфэйс програмыг ашиглана. Галт ханын дүрмүүдийг нэмэх болон хасахдаа
&man.ipf.8; хэрэгслийг хэрэглэнэ. NAT дүрмүүдийг
нэмэх болон хасахдаа &man.ipnat.1; хэрэгслийг хэрэглэнэ. &man.ipfstat.8; хэрэгсэл
нь IPFILTER-н цөмийн талд ажиллаж байгаа хэсгийн статистикийг хэвлэхэд зориулагдсан.
&man.ipmon.8; програм харин IPFILTER-н үйлдлүүдийг системийн бүртгэлийн файлд
бүртгэнэ.
IPF-г анх зохиохдоо сүүлд тохирсон дүрэм дийлнэ
гэсэн
логикийн дагуу бүтээсэн ба зөвхөн төлөвт-бус дүрмүүдийг ашигладаг байлаа.
Цаг хугацаа өнгөрөхөд IPF илүү хөгжиж, quick
тохируулга
болон төлөвт keep state
тохируулгуудыг агуулах болсон нь орчин үеийн
хэрэгцээ шаардлагад илүү нийцэх болжээ. IPF-н албан ёсны баримтжуулалтанд
хуучин уламжлалт дүрмүүдийг бичих параметрүүд болон файлтай ажиллах логикууд багтсан байдаг.
Харин шинэ функцуудыг нь зөвхөн нэмэлт боломж байдлаар оруулсан нь аюулгүй байдлыг хавьгүй
илүү хангасан аюулгүй галт хана бий болгож байгаа тэднийг хэт доогуур тавьсан санагддаг.
Энэ бүлэгт байгаа зааврууд нь quick
болон төлөвт keep state
тохируулгуудыг агуулсан дүрмүүдээс үндсэндээ бүрдсэн байгаа. Энэ бол хамааруулсан галт ханын дүрмүүдийг
бичих үндсэн арга барил юм.
Хуучин уламжлалт дүрмүүдтэй ажиллах аргуудын талаар дэлгэрэнгүй тайлбарыг:
ба хаягаар орж үзнэ үү.
IPF FAQ-г хаягаар орж үзнэ үү.
Нээлттэй эхийн IPFilter програмын захидлын жагсаалтын архивыг хаягаар орж үзнэ үү.
IPF-г идэвхжүүлэх
IPFILTER
идэвхжүүлэх
IPF нь &os; үндсэн суулгацтай хамт, ажиллах үеийн ачаалах боломжтой модуль байдлаар ирдэг.
rc.conf тохиргооны файл дотор ipfilter_enable="YES" илэрхийлэл байгаа үед систем IPF цөмийн
модулийг динамикаар ачаална. Энэ ачаалах боломжтой модуль нь бүртгэх боломжтойгоор,
анхдагч default pass all тохируулгын хамт бүтээгдсэн байдаг. Анхдагч дүрмийг
block all болгохын тулд IPF-г цөмд эмхэтгэх шаардлага байхгүй. Зөвхөн
дүрмүүдийнхээ төгсгөлд бүгдийг хаах дүрмийг бичиж өгөхөд хангалттай.
Цөмийн тохируулгууд
цөмийн тохируулгууд
IPFILTER
цөмийн тохируулгууд
IPFILTER_LOG
цөмийн тохируулгууд
IPFILTER_DEFAULT_BLOCK
IPFILTER
цөмийн тохируулгууд
&os; цөм уруу дараах боломжуудыг эмхэтгэн IPF-г идэвхжүүлэх
албагүй боловч, суурь мэдлэг болгон энд үзүүллээ. IPF-г цөм уруу хөрвүүлэн
эмхэтгэснээр ачаалах боломжтой модулийг хэрэглэх боломжгүй болдог.
Цөмийн тохиргоон дахь жишээ IPF илэрхийллүүд
/usr/src/sys/conf/NOTES гэсэн цөмийн эх файлд
байх ба доор сийрүүлбэл:
options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK
options IPFILTER мөр нь IPFILTER
галт ханыг идэвхжүүлнэ.
options IPFILTER_LOG мөр нь log
гэсэн түлхүүр үг орсон дүрмүүдийн хувьд урсгалыг ipl
пакет бүртгэх хуурамч—төхөөрөмж уруу бүртгэх боломжтой болгоно.
options IPFILTER_DEFAULT_BLOCK мөр нь
галт ханын pass дүрмэнд тохироогүй пакетийг
хаах анхдагч чанарыг зааж өгнө.
Эдгээр тохируулгууд нь зөвхөн тэдгээрийг тохируулан,
тусгайлан цөм бүтээж суулгасны дараа идэвхждэг.
rc.conf тохируулгууд
IPF-г систем ачаалах үед идэвхтэй болгохын тулд /etc/rc.conf дотор
дараах илэрхийллүүд байх ёстой:
ipfilter_enable="YES" # Start ipf firewall
ipfilter_rules="/etc/ipf.rules" # loads rules definition text file
ipmon_enable="YES" # Start IP monitor log
ipmon_flags="-Ds" # D = start as daemon
# s = log to syslog
# v = log tcp window, ack, seq
# n = map IP & port to names
Хэрэв энэ галт ханын цаана хувийн IP хаяг хэрэглэдэг LAN байгаа бол
NAT функцыг идэвхжүүлэхийн тулд дараах мөрүүдийг нэмэх хэрэгтэй:
gateway_enable="YES" # Enable as LAN gateway
ipnat_enable="YES" # Start ipnat function
ipnat_rules="/etc/ipnat.rules" # rules definition file for ipnat
IPF
ipf
Таны бичсэн дүрмүүдийг ачаалахад &man.ipf.8; тушаалыг хэрэглэнэ.
Та өөрийн дүрмүүдээс бүтсэн файлыг үүсгээд, түүнийгээ дээрх тушаалын ашиглан
галт ханын одоо ажиллаж байгаа дотоод дүрмүүдтэй сольж тавьна гэсэн үг юм:
&prompt.root; ipf -Fa -f /etc/ipf.rules
нь бүх дотоод дүрмүүдийн хүснэгтийг цэвэрлэ гэсэн үг.
нь ачаалах дүрмүүдээ энэ файлаас унш гэсэн үг.
Ийм байдлаар та өөрийн хүссэн дүрмүүдийн файлыг үүсгээд,
дээрх IPF тушаалыг ажиллуулан системийг шинээр ачаалахгүйгээр
ажиллаж байгаа галт ханын дүрмүүдийг шинээр өөрчлөх боломжтой болж байна.
Дээрх аргаар галт ханын дүрмүүдийг хэдэн ч удаа сольж болох тул энэ арга нь
шинэ дүрмүүдийг туршихад тохиромжтой арга юм.
Энэ тушаалтай ажиллах боломжтой бусад тугуудын талаар
дэлгэрэнгүйг &man.ipf.8; заавар хуудаснаас үзнэ үү.
&man.ipf.8; тушаал дүрмүүдийн файлыг стандарт текст файл гэж
тооцдог. Симбол орлуулалттай скрипт байдлаар бичигдсэн файлыг ойлгохгүй.
Гэвч скрипт симбол орлуулалтын хүчийг ашиглан IPF дүрмүүдийг бүтээх
арга зам байгаа. Илүү дэлгэрэнгүй мэдээллийг
хэсгээс үзнэ үү.
IPFSTAT
ipfstat
IPFILTER
статистик
&man.ipfstat.8;-н анхдагч чанар бол галт ханыг хамгийн сүүлд асааснаас хойших,
эсвэл ipf -Z тушаалыг өгөн хуримтлуулагчийг хамгийн сүүлд тэглэснээс хойших
галт ханаар орж байгаа болон гарч байгаа пакетуудыг хэрэглэгчийн тодорхойлж өгсөн дүрмүүдээр
шүүсэн үр дүнд бий болсон статистик тоог гаргаж ирэн, дэлгэцэнд харуулах юм.
Дэлгэрэнгүйг &man.ipfstat.8; заавар хуудаснаас үзнэ үү.
&man.ipfstat.8; тушаалын анхдагч үр дүн дараах байдалтай байна:
input packets: blocked 99286 passed 1255609 nomatch 14686 counted 0
output packets: blocked 4200 passed 1284345 nomatch 14687 counted 0
input packets logged: blocked 99286 passed 0
output packets logged: blocked 0 passed 0
packets logged: input 0 output 0
log failures: input 3898 output 0
fragment state(in): kept 0 lost 0
fragment state(out): kept 0 lost 0
packet state(in): kept 169364 lost 0
packet state(out): kept 431395 lost 0
ICMP replies: 0 TCP RSTs sent: 0
Result cache hits(in): 1215208 (out): 1098963
IN Pullups succeeded: 2 failed: 0
OUT Pullups succeeded: 0 failed: 0
Fastroute successes: 0 failures: 0
TCP cksum fails(in): 0 (out): 0
Packet log flags set: (0)
Дотогшоо урсгалын хувьд ,
гадагшаа урсгалын хувьд тохируулгыг өгөхөд
кернелийн ашиглаж буй дүрмүүдийн жагсаалтыг гаргаж харуулна.
ipfstat -in нь дотогшоо урсгалын
дотоод дүрмүүдийн хүснэгтийг дүрмүүдийн дугаарын хамт харуулна.
ipfstat -on нь гадагшаа урсгалын
дотоод дүрмүүдийн хүснэгтийг дүрмүүдийн дугаарын хамт харуулна.
Үр дүн нь дараах байдалтай байна:
@1 pass out on xl0 from any to any
@2 block out on dc0 from any to any
@3 pass out quick on dc0 proto tcp/udp from any to any keep state
ipfstat -ih нь дотогшоо урсгалын
дотоод дүрмүүдийн хүснэгтийг дүрмүүдийн хэдэн удаа тохирсон тооны хамт харуулна.
ipfstat -oh нь гадагшаа урсгалын
дотоод дүрмүүдийн хүснэгтийг дүрмүүдийн хэдэн удаа тохирсон тооны хамт харуулна.
Үр дүн нь дараах байдалтай байна:
2451423 pass out on xl0 from any to any
354727 block out on dc0 from any to any
430918 pass out quick on dc0 proto tcp/udp from any to any keep state
ipfstat тушаалын хамгийн чухал функцуудын
нэг бол, &os;-н ажиллаж байгаа процессийн хүснэгтийг &man.top.1;
харуулдаг шиг төлвийн хүснэгтийг туг харуулдаг явдал юм.
Таны галт хана гадны халдлагад өртөх үед энэ функц түүнийг илрүүлэх, шинжлэх, халдлагад
оролцож буй пакетуудыг харах боломжийг олгоно. Нэмэлт дэд тугууд нь хяналт хийх
эхлэл болон очих IP хаяг, порт, эсвэл протоколыг сонгох боломжийг олгодог.
Дэлгэрэнгүйг &man.ipfstat.8; заавар хуудаснаас үзнэ үү.
IPMON
ipmon
IPFILTER
бүртгэл хөтлөлт
ipmon тушаал зохистой ажиллахын тулд цөмийн
IPFILTER_LOG тохируулга идэвхжсэн байх ёстой. Энэ тушаал хоёр өөр горимд
ажиллах чадвартай. Төрөлх горим нь энэ тушаалыг тушаал мөрөн дээр
туггүйгээр оруулахад ажиллах анхдагч горим юм.
Демон горим нь болж өнгөрсөн үйл явцын бүртгэлийг эргэж харахын тулд
системийн бүртгэлийг тасралтгүй хөтлөн явуулахад тохиромжтой горим юм.
&os; болон IPFILTER энэ горимд ажиллахаар тохируулагдсан байдаг. &os;
нь системийн бүртгэлийг автоматаар тойруулах чадвартай. Тиймээс бүртгэлийн мэдээллийг &man.syslogd.8;
процесс уруу гаргах нь энгийн файл уруу гаргах анхдагч аргаас дээр байдаг.
Анхдагч rc.conf файл дотор ipmon_flags илэрхийлэл
тугуудыг хэрэглэдэг:
ipmon_flags="-Ds" # D = start as daemon
# s = log to syslog
# v = log tcp window, ack, seq
# n = map IP & port to names
Бүртгэл хөтлөн явуулахын давуу талыг дурдахад илүүц биз.
Бүртгэлийн тусламжтай ямар пакетууд орхигдсон, тэдгээр пакетууд хаанаас ирсэн,
хаашаа явж байсан зэрэг мэдээллийг эргэн харах боломжтой болдог. Энэ бүх мэдээлэл
гадны халдлагыг мөрдөхөд чухал түлхэц болно.
Хэдийгээр бүртгэх боломжоор хангагдсан боловч, IPF дангаараа бүртгэлийг үүсгэж
чадахгүй. Галт ханын администратор аль дүрмийн бүртгэлийг бичихийг шийдэн, тэдгээр дүрмүүдэд
log түлхүүр үгийг нэмж өгнө. Ер нь, зөвхөн deny дүрмүүдийн бүртгэл бичигддэг.
Бүгдийг хориглосон анхдагч дүрмийг log түлхүүр үгийн хамт дүрмүүдийнхээ
хамгийн төгсгөлд бичиж өгөх нь нилээд өргөн хэрэглэгддэг арга юм. Ингэснээр
таны дүрмүүдийн алинтай ч тохироогүй пакетуудыг мэдэх боломжтой болно.
IPMON бүртгэл хөтлөлт
Syslogd нь бүртгэлийн мэдээллийг дотор нь ангилах
өөрийн тусгай аргатай. facility
ба түвшин
гэсэн тусгай ангилалаар ялгадаг.
горимон дахь IPMON нь facility
-аар security-г
хэрэглэдэг. IPMON-ы бүх бүртгэлийн мэдээлэл security нэрийн дор бичигддэг. Хэрэв хүсвэл
доорх түвшнүүдийг ашиглан бүртгэгдсэн мэдээллийг илүү ангилж болно:
LOG_INFO - нэвтрүүлэх, хаахаас үл хамааран "log" түлхүүрийг үйлдэл ашиглан пакетуудыг бүртгэх.
LOG_NOTICE - нэвтэрсэн пакетуудыг бүртгэх.
LOG_WARNING - хаагдсан пакетуудыг бүртгэх.
LOG_ERR - бүртгэсэн пакетууд болон богино гэгдсэн пакетууд
IPFILTER-н бүх бүртгэлийн мэдээллийг /var/log/ipfilter.log
файл дотор бичихийн тулд, файл эхлээд үүссэн байх хэрэгтэй. Үүний тулд дараах
тушаалыг өгөх хэрэгтэй:
&prompt.root; touch /var/log/ipfilter.log
&man.syslogd.8;-н функцуудыг /etc/syslog.conf файл доторх
тодорхойлох илэрхийллүүдээр удирдаж болно. syslog.conf файл нь
IPF мэт програмуудын үүсгэсэн системийн мэдэгдлүүдтэй syslog-г
ажиллахад уян хатан болгодог.
Дараах илэрхийллүүдийг /etc/syslog.conf файл дотор нэмж
бичнэ үү:
security.* /var/log/ipfilter.log
security.* нь бүх бүртгэгдсэн мэдэгдлүүдийг
дурдсан файлд бичихийг хэлж өгч байна.
/etc/syslog.conf файлд хийсэн өөрчлөлтүүдийг
идэвхжүүлэхийн тулд та системээ дахин ачаалах эсвэл /etc/rc.d/syslogd reload
тушаалыг ашиглан &man.syslogd.8; демонд /etc/syslog.conf файлыг дахин уншуулах
хэрэгтэй.
Дээр шинээр үүсгэсэн бүртгэлийг тойруулахын тулд
/etc/newsyslog.conf файл дотор өөрчлөлт оруулахаа мартуузай.
Бүртгэгдсэн мэдэгдлийн формат
ipmon-ы үүсгэсэн мэдэгдэл зайгаар тусгаарлагдсан
өгөгдлийн талбаруудаас бүрдэнэ. Бүх мэдэгдэлд байдаг гол талбарууд гэвэл:
Пакетийг хүлээж авсан огноо.
Пакетийг хүлээж авсан цаг. Цаг, минут, секунд, бутархай секундэд (олон орны нарийвчлалтай)
харгалзан HH:MM:SS.F форматтай байна.
Пакеттай ажилласан интерфэйсийн нэр, жишээлбэл dc0.
Дүрмийн бүлэг болон дүрмийн дугаар, жишээлбэл @0:17.
Эдгээрийг ipfstat-in тушаалын тусламжтай үзэж болно.
Үйлдэл: нэвтрүүлсэн бол р, хаасан бол b, богино пакет бол S,
аль ч дүрмэнд тохироогүй бол n, бүртгэх дүрэм бол L. Эдгээр тугуудыг дараах эрэмбээр харуулна:
S, p, b, n, L. Том P эсвэл B үсэг нь тухайн пакет ямар нэг дүрмээс биш, глобал тохиргооноос
хамааран бүртгэгдсэн болохыг заана.
Хаягууд. Үндсэндээ гурван талбар байна: эхлэл
хаяг болон порт (таслалаар тусгаарлагдсан), -> тэмдэг, ба очих хаяг болон порт.
Жишээ нь 209.53.17.22,80 -> 198.73.220.17,1722.
PR-н дараа протоколын нэр болон дугаар, жишээлбэл PR tcp.
len-ы дараа толгойн урт болон
пакетийн нийт урт, жишээлбэл len 20 40.
Хэрэв TCP пакет бол зураасаар эхэлж тугуудаар удаалсан
нэмэлт талбар байна. Үсгүүд болон түүнд харгалзах тугуудын талаар &man.ipmon.8; заавар
хуудаснаас үзнэ үү.
Хэрэв ICMP пакет бол, төгсгөлд нь хоёр талбар байна.
Эхнийх нь үргэлж ICMP
утгатай байна, дараагийнх нь налуу зураасаар тусгаарлагдсан
ICMP мэдэгдэл болон дэд мэдэгдлийн төрөл, жишээлбэл портод хандаж чадсангүй гэсэн мэдэгдлийн хувьд ICMP 3/3 байна.
Симбол орлуулалттай скриптийг үүсгэх нь
Зарим туршлагатай IPF хэрэглэгчид дүрмүүдийг агуулсан файл үүсгээд
түүнийгээ симбол орлуулалттай скрипт байдлаар ажиллуулах боломжтой болгон бичдэг.
Үүний гол давуу тал нь зөвхөн симбол нэрд харгалзах утгыг өөрчлөх хэрэгтэй бөгөөд, скриптийг ажиллуулахад
уг симбол орлуулалт орсон дүрэм бүр шинэ утгыг авах болно. Скриптийн хувьд,
олон дахин хэрэглэгддэг утгуудыг бичихэд симбол орлуулалтыг ашиглаж, тэдгээрийг
олон дүрмэнд орлуулж өгнө гэсэн үг юм. Дараах жишээн дээрээс харна уу.
Энд хэрэглэгдсэн скриптийн синтакс нь &man.sh.1;, &man.csh.1;, ба &man.tcsh.1; бүрхүүл дээр ажиллах
боломжтой.
Симбол орлуулалтын талбарууд нь урдаа долларын тэмдэгтэй байна: $.
Симбол талбарууд нь $ тэмдэг урдаа байхгүй.
Симбол талбарыг орлох утга нь давхар хашилтан(") дотор байрлана.
Дүрмийн файлаа дараах байдалтай үүсгэж эхлэх хэрэгтэй:
############# Start of IPF rules script ########################
oif="dc0" # name of the outbound interface
odns="192.0.2.11" # ISP's DNS server IP address
myip="192.0.2.7" # my static IP address from ISP
ks="keep state"
fks="flags S keep state"
# You can choose between building /etc/ipf.rules file
# from this script or running this script "as is".
#
# Uncomment only one line and comment out another.
#
# 1) This can be used for building /etc/ipf.rules:
#cat > /etc/ipf.rules << EOF
#
# 2) This can be used to run script "as is":
/sbin/ipf -Fa -f - << EOF
# Allow out access to my ISP's Domain name server.
pass out quick on $oif proto tcp from any to $odns port = 53 $fks
pass out quick on $oif proto udp from any to $odns port = 53 $ks
# Allow out non-secure standard www function
pass out quick on $oif proto tcp from $myip to any port = 80 $fks
# Allow out secure www function https over TLS SSL
pass out quick on $oif proto tcp from $myip to any port = 443 $fks
EOF
################## End of IPF rules script ########################
Байх ёстой бүх зүйлс бүгд байна. Энэ жишээн дээр дүрмүүд чухал биш,
харин симбол орлуулалт хэрхэн ажилладгыг харуулсан байна. Хэрэв дээрх жишээ
/etc/ipf.rules.script нэртэй файл дотор байсан бол, эдгээр
дүрмүүдийг дараах тушаалыг өгч дахин ачаалах боломжтой:
&prompt.root; sh /etc/ipf.rules.script
Суулгагдсан симболтой дүрмийн файлыг хэрэглэхэд нэг асуудал тулгардаг:
IPF симбол орлуулалтыг ойлгохгүй, ийм скриптийг шууд уншиж чаддаггүй.
Дараах скриптийг хоёр аргын нэгээр хэрэглэж болно:
cat-р эхэлсэн мөрийг ил гарга, харин
/sbin/ipf-р эхэлсэн мөрүүдийг далдал. ipfilter_enable="YES"-г
/etc/rc.conf файл дотор байрлуул, дараа нь өөрчлөлт бүрийн дараа скриптийг
ажиллуулан /etc/ipf.rules файлыг үүсгэ эсвэл өөрчлөлт оруул.
/etc/rc.conf файл дотор ipfilter_enable="NO"
(энэ анхдагч утга) мөрийг нэмэн системийн эхлэл скриптэд IPFILTER-г идэвхгүй болго.
Дээрхтэй адил скриптийг өөрийн /usr/local/etc/rc.d/ эхлэл хавтаст
байрлуул. Энэ скрипт ipf.loadrules.sh ч юм уу ойлгомжтой нэртэй байх ёстой.
.sh гэсэн өргөтгөлтэй байх ёстой.
#!/bin/sh
sh /etc/ipf.rules.script
Энэ скриптийн эрхүүд эзэмшигч root-н хувьд
унших, бичих, ажиллах эрхтэй байх ёстой.
&prompt.root; chmod 700 /usr/local/etc/rc.d/ipf.loadrules.sh
Одоо систем ачаалсны дараа таны IPF дүрмүүд ачаалагдсан байх болно.
IPF Дүрмүүдийн олонлог
Пакет дотор агуулагдаж байгаа утгуудыг үндэслэн тухайн пакетийг
нэвтрүүлэх болон хаахыг хэлж байгаа IPF дүрмүүдийг дүрмийн олонлог гэнэ. Хостуудын
хоорондох хоёр чиглэлтэй пакет солилцоо нь сесс харилцааг бүрдүүлнэ. Галт ханын
дүрмийн олонлог нь Интернэтээс ирж байгаа пакетуудыг болон систем
буцааж тэдэнд хариу өгсөн пакетуудыг боловсруулдаг. Бүх TCP/IP үйлчилгээнүүд
(жишээ нь: telnet, www, mail, г.м.) өөрийн протокол болон зөвшөөрөгдсөн
(сонсож байгаа) портоороо тодорхойлогддог.
Тухайн нэг үйлчилгээ рүү зорисон пакетууд нь тусгай зориулалтаар ашиглагддаггүй
порт ашиглан эх хаягаас гарч очих хаягийн тухайн үйлчилгээний порт руу
чиглэдэг.
Дээрх бүх параметрууд (өөрөөр хэлбэл: портууд болон хаягууд) дээр үндэслэн
нэвтрүүлэх болох хаах дүрмүүдийг зохиодог.
IPFILTER
Дүрмүүдтэй ажиллах дэс дараалал
IPF-г анх зохиохдоо сүүлд тохирсон дүрэм дийлнэ
логикийн дагуу бүтээсэн ба зөвхөн төлөвт-бус дүрмүүдийг ашигладаг байлаа.
Цаг хугацаа өнгөрөхөд IPF илүү хөгжиж, quick
тохируулга
болон төлөвт keep state
тохируулгуудыг агуулах болсон нь орчин үеийн
хэрэгцээ шаардлагад илүү нийцэх болжээ.
Энэ бүлэгт байгаа зааврууд нь quick
болон төлөвт keep state
тохируулгуудыг агуулсан дүрмүүдээс үндсэндээ бүрдсэн байгаа. Энэ бол хамааруулсан галт ханын дүрмүүдийг
бичих үндсэн арга барил юм.
Галт ханын дүрмүүдтэй ажиллахдаа маш
анхааралтай байх хэрэгтэй. Зарим тохиргоо серверээс
бүх холбоог тань тасалж мэднэ. Ийм аюулаас хол
байхын тулд, галт ханын тохиргоог анхлан хийхдээ ssh
зэрэг алсын хандалтаас илүүтэйгээр ойрын удирдлагыг сонгоорой.
Дүрмийн синтакс
IPFILTER
дүрмийн синтакс
Энд дурдах дүрмийн синтакс нь орчин үеийн төлөвт
дүрмүүдийн хүрээнд, сүүлд тохирсон дүрэм дийлнэ
логикоор
ажиллахаар хялбаршуулан бичигдсэн байгаа. Хуучин уламжлалт дүрмүүдийн
синтаксын бүрэн тайлбарыг &man.ipf.8; заавар хуудаснаас үзнэ үү.
# гэсэн тэмдэгт тайлбарын эхлэлийг заах ба
дүрэм бичсэн мөрийн төгсгөлд эсвэл өөрөө бүтэн мөр байдлаар байрлана.
Хоосон мөрийг тооцохгүй.
Дүрмүүд нь түлхүүр үгүүдийг агуулна. Эдгээр түлхүүр үгүүд нь
тухайн мөрөнд зүүнээс баруун тийш тодорхой дэс дараагаар бичигдэнэ.
Түлхүүр үгүүд тодоор бичигдэх тул түүгээр нь ялгаж танина. Зарим түлхүүр
үгүүд дэд-тохируулгатай байна. Тэр нь өөрөө түлхүүр үг байж болохоос гадна
цааш дэд-тохируулгуудыг агуулсан байж болно. Доорх синтаксын үг бүр нь
дор байрлах мөрүүдэд задаргааны хамт байгаа.
ACTION IN-OUT OPTIONS SELECTION STATEFUL PROTO
SRC_ADDR,DST_ADDR OBJECT PORT_NUM TCP_FLAG
STATEFUL
ACTION = block | pass
IN-OUT = in | out
OPTIONS = log | quick | on
interface-name
SELECTION = proto value |
source/destination IP | port = number | flags
flag-value
PROTO = tcp/udp | udp | tcp |
icmp
SRC_ADD,DST_ADDR = all | from
object to object
OBJECT = IP address | any
PORT_NUM = port number
TCP_FLAG = S
STATEFUL = keep state
ACTION
Тухайн дүрмэнд тохирч байгаа пакетийг хэрхэхийг action буюу
үйлдэл зааж өгнө. Бүх дүрэм үйлдэлтэй байх ёстой. Дараах
үйлдлүүдийг хэрэглэж болно:
block гэдэг нь пакеттай selection буюу сонголтын
параметрүүд тохирч байвал тухайн пакетийг орхигдуулахыг зааж өгнө.
pass гэдэг нь пакеттай selection буюу сонголтын
параметрүүд тохирч байвал тухайн пакетийг нэвтрүүлэхийг зааж өгнө.
IN-OUT
Дүрэм нь орох болон гарах урсгалын алинд үйлчлэхийг
заавал зааж өгөх ёстой. Энэ нь in эсвэл out түлхүүр үгийн аль нэг нь заавал
бичигдсэн байх ёстой гэсэн үг юм. Үгүй бол синтаксын алдаа өгч, танигдахгүй.
in гэдэг нь Интернэт уруу харж байгаа
интерфэйс дээр хүлээж авсан дотогшоо ирж байгаа пакетийн хувьд энэ дүрэм
үйлчлэхийг зааж өгнө.
out гэдэг нь Интернэт уруу харж байгаа
интерфэйс уруу чиглэсэн гадагшаа явж байгаа пакетийн хувьд энэ дүрэм үйлчлэхийг
зааж өгнө.
OPTIONS
Эдгээр options буюу тохируулгуудыг энд үзүүлсэн дэс
дарааллын дагуу хэрэглэх ёстой.
log гэдэг нь пакеттай selection буюу сонголтын
параметрүүд тохирч байвал пакетийн толгой
ipl бүртгэл уруу (дор Бүртгэл Хөтлөх хэсэгт
заасны дагуу) бичигдэхийг зааж өгнө.
quick гэдэг нь пакеттай selection буюу сонголтын
параметрүүд тохирч байвал энэ дүрэм нь хамгийн сүүлийн дүрэм болохыг зааж өгнө.
Ингэснээр short-circuit
замыг тухайн пакетийн хувьд дараагийн
дүрмүүдийг шалгахыг болиулна. Орчин үеийн дүрэмтэй ажиллах логикийн хувьд энэ
тохируулгыг заавал хэрэглэнэ.
on гэдэг нь selection буюу сонголтын
параметрүүдийн ажиллах интерфэйсийг зааж өгнө. Интерфэйсүүдийн нэрийг
&man.ifconfig.8;-н тусламжтай харж болно. Энэ тохируулгыг хэрэглэснээр,
тухайн дүрэм зөвхөн энэ интерфэйсээр зохих чиглэлд(in/out) явж байгаа
пакетийн хувьд үйлчилнэ. Орчин үеийн дүрэмтэй ажиллах логикийн хувьд энэ
тохируулгыг заавал хэрэглэнэ.
Пакетийг бүртгэхэд, түүний толгойг IPL пакет бүртгэх
хуурамч-төхөөрөмж уруу бичнэ. log түлхүүр үгийн дараа шууд залгаад,
дараах тодотгогчдыг(дараах дэс дарааллаар) хэрэглэж болно:
body гэдэг нь пакетийн толгойн дараа
пакетийн агуулгын эхний 128 байтыг бүртгэхийг зааж өгнө.
first Хэрэв log
түлхүүр үг keep state тохируулгын хамт хэрэглэгдсэн бол,
түүний араас ирэх keep state
-д тохирч байгаа бүх пакетийг
биш зөвхөн энэ тохируулгыг идэвхжүүлсэн эхний пакетийг бүртгэхийн тулд
энэ тохируулгыг хэрэглэнэ.
SELECTION
Энэ бүлэгт танилцуулж байгаа түлхүүр үгүүд тухайн пакетийг
дүрмэнд тохирсон эсэхийг тогтоохын тулд шалгадаг пакетийн онцлогийг
тодорхойлоход хэрэглэгддэг. Мөн subject түлхүүр үг байх ба дэд-тохируулга
түлхүүр үгийн аль нэгийг сонгон хэрэглэнэ. Дараах ерөнхий онцлогуудыг
хэрэглэх боломжтой, гэхдээ доорх дэс дарааллаар хэрэглэх хэрэгтэй:
PROTO
proto гэдэг нь subject түлхүүр үг бөгөөд
өөрийн харгалзах дэд-тохируулгын хамт хэрэглэгдэх ёстой. Утга нь
ямар протокол дээр ажиллахыг хэлж өгнө. Орчин үеийн дүрэмтэй
ажиллах логикийн хувьд энэ тохируулгыг заавал хэрэглэнэ.
tcp/udp | udp | tcp | icmp эсвэл
/etc/protocols файл дотор байгаа протоколуудыг
хэрэглэж болно. Тусгай tcp/udp гэсэн түлхүүр үг
TCP эсвэл UDP пакетийг сонгоход хэрэглэгддэг ба,
давхар эсвэл төстэй дүрмүүдийг арилгах үүднээс нэмэгдсэн байгаа.
SRC_ADDR/DST_ADDR
all гэсэн түлхүүр үг нь
өөр ямар ч параметргүй from any to any
гэдэгтэй адил юм.
from src to dst: from ба to гэсэн
түлхүүр үгүүд IP хаягийг шүүхэд хэрэглэгдэнэ. Дүрэмд хэрэглэхдээ эхлэл ба
очих параметрийг хоёуланг зааж өгөх ёстой. any
гэсэн тусгай түлхүүр үгийн тусламжтай бүх IP хаягийг зөвшөөрч өгч болно.
Хэрэглэх жишээ: from any to any
эсвэл from 0.0.0.0/0 to any эсвэл from any to
0.0.0.0/0 эсвэл from 0.0.0.0 to any эсвэл
from any to 0.0.0.0.
Цэгээр тусгаарлагдсан тоо/баг хэлбэрээр хялбархан илэрхийлэх боломжгүй IP хаягуудыг
хэрэглэх боломжгүй. net-mgmt/ipcalc порт ашиглан үүнийг
хялбарчилж болох юм. Нэмэлт мэдээллийг дараах вэб хуудсаар
орж үзнэ үү: .
PORT
Хэрэв эхлэл эсвэл очих порт, эсвэл хоёулангаар нь тохируулах бол
энэ нь зөвхөн TCP ба UDP пакетуудад хамаарна. Порт жишсэн дүрэм
бичихдээ /etc/services файл доторх үйлчилгээний нэр эсвэл
бүхэл тоон портын дугаарыг хэрэглэнэ. Портыг from обьекттой хамт хэрэглэх үед
энэ нь эхлэл портын дугаарыг, to обьекттой хамт хэрэглэх үед
энэ нь очих портын дугаарыг заана. Орчин үеийн дүрэмтэй
ажиллах логикийн хувьд port тохиргоог to обьекттой
заавал хамт хэрэглэнэ. Хэрэглэх жишээ: from any to any port = 80
Портын харьцуулалтыг төрөл бүрийн жиших операторуудыг
ашиглан хэд хэдэн аргаар хийж болно. Портын зурвасыг бас
зааж өгч болно.
port "=" | "!=" | "<" | ">" | "<=" | ">=" |
"eq" | "ne" | "lt" | "gt" | "le" | "ge".
Порт зурвасыг зааж өгөхдөө, port "<>" |
"><" гэж хэрэглэнэ.
Орчин үеийн дүрэмтэй
ажиллах логикийн хувьд эхлэл болон очих порт тохируулах параметрүүдийн дараа,
дараах хоёр параметрийг заавал хэрэглэнэ.
<acronym>TCP</acronym>_FLAG
Тугуудыг зөвхөн TCP шүүлтийн үед хэрэглэнэ.
Үсгүүдээр нь TCP пакетийн толгойтой таарч байгаа эсэхийг шалгах боломжит тугуудыг
үзүүлсэн байна.
Орчин үеийн дүрэмтэй ажиллах логик нь flags S параметрийг
tcp сесс эхлүүлэх хүсэлтийг тэмдэглэхдээ хэрэглэдэг.
STATEFUL
keep state гэдэг нь нэвтрүүлэх төрлийн дүрмийн хувьд
сонгох параметрүүдтэй тохирсан ямар ч пакет төлөвт шүүх нэмэлт боломжийг идэвхжүүлэх ёстойг
зааж өгнө.
Орчин үеийн дүрэмтэй ажиллах логикийн хувьд энэ тохируулгыг заавал
хэрэглэнэ.
Төлөвт шүүлт
IPFILTER
төлөвт шүүлт
Хостуудын хоорондох хоёр чиглэлтэй пакет солилцоо сесс харилцаанаас бүрддэг.
Төлөвт шүүлт нь урсгалыг сесс харилцаанаас бүрдэж буй хоёр чиглэлтэй пакет
солилцоо гэж үздэг. keep-state-г идэвхжүүлсэн үед, keep-state нь хоёр чиглэлтэй сесс харилцааны
үед солилцсон бүх пакетуудын хувьд дотоод дүрмүүдийг динамик байдлаар үүсгэдэг. Мөн
энэ нь сесс эхлүүлсэн болон хүлээн авсан хостуудын хоорондох сесс харилцаа
хоёр чиглэлтэй пакет солилцох процедуртай зохицож байгаа эсэхийг магадлах чадвартай байдаг.
Сесс харилцааны загварт зохицоогүй пакетийг хуурамч гэж үзэн хүлээж авахгүй.
TCP эсвэл UDP сесстэй холбоотой
ICMP пакетуудыг keep state нэвтрүүлнэ. Тэгэхээр, keep state дүрмээр
зөвшөөрөгдсөн вэбээр хийх аялалын хариуд ICMP type 3 code 4 хариуг хүлээн авбал
галт хана үүнийг автоматаар нэвтрүүлнэ гэсэн үг юм. Хэрэв IPF хүлээн авсан пакетийг
идэвхтэй байгаа сессийн нэг хэсэг гэж баттай итгэж байвал, өөр протокол дээр байсан ч
пакетийг нэвтрүүлнэ.
Үүний цаана юу болох вэ гэвэл:
Интернэт уруу холбогдсон интерфэйсээр гарч байгаа пакетуудыг
хамгийн түрүүнд динамик төлвийн хүснэгтэнд шалгана. Хэрэв тухайн пакет ямар нэг
идэвхтэй байгаа сесс харилцаанд оролцож байгаа зөвшөөрөгдсөн дараагийн пакет
байх юм бол, галт ханаар нэвтрүүлэх ба динамик төлвийн хүснэгтэн дэх
сесс харилцааны төлөв шинэчлэгдэнэ. Идэвхтэй сесс харилцаанд хамааралгүй
пакетуудыг гадагшаа урсгалын дүрмээр шалгах болно.
Интернэт уруу холбогдсон интерфэйсээс ирж байгаа пакетуудыг
хамгийн түрүүнд динамик төлвийн хүснэгтэнд шалгана. Хэрэв тухайн пакет ямар нэг
идэвхтэй байгаа сесс харилцаанд оролцож байгаа зөвшөөрөгдсөн дараагийн пакет
байх юм бол, галт ханаар нэвтрүүлэх ба динамик төлвийн хүснэгтэн дэх
сесс харилцааны төлөв шинэчлэгдэнэ. Идэвхтэй сесс харилцаанд хамааралгүй
пакетуудыг дотогшоо урсгалын дүрмээр шалгах болно.
Харилцаа дуусахад динамик төлвийн хүснэгтээс зохих бичлэг
устгагдана.
Төлөвт шүүлтийн тусламжтайгаар та шинэ сесс зөвшөөрөх/хаах
үйл ажиллагаан дээр төвлөрч ажиллаж чадна. Хэрэв шинэ сесс зөвшөөрөгдсөн бол
түүний дараагийн бүх пакетуудыг автоматаар нэвтрүүлэх ба хуурамч пакетууд
автоматаар буцаагдана. Хэрэв шинэ сесс хаагдсан бол
түүний дараагийн ямар ч пакет нэвтэрч чадахгүй. Төлөвт шүүлт нь
сүүлийн үеийн халдлагуудад ашиглагдаж байгаа аргуудын эсрэг хамгаалах
чадвартай, техникийн хувьд өндөр түвшний шүүлт хийх чадвартай юм.
Хамааруулсан дүрмийн олонлогийн жишээ
Дараах дүрмийн олонлог нь аюулгүй байдлыг маш сайн хангасан, хамааруулсан
галт ханын дүрмүүдийг хэрхэн бичих жишээ юм. Хамааруулсан галт хана нь зөвхөн pass дүрмүүдэд
тохирсон үйлчилгээг зөвшөөрч, бусдыг бүгдийг хаана.
Бусад машинуудыг хамгаалах ёстой галт хананууд буюу сүлжээний галт хананууд
нь багаар бодоход хоёр интерфэйстэй байх ёстой бөгөөд ерөнхийдөө
нэг талд (LAN) итгэж нөгөөд (Интернэт) итгэхгүй байхаар
тохируулагдсан байдаг. Мөн ажиллаж байгаа системээ зөвхөн хамгаалахаар
галт хана тохируулагдсан байж болох бөгөөд ийм галт ханыг хостын галт хана
гэх бөгөөд энэ нь итгэлгүй сүлжээн дэх серверүүдийн хувьд ялангуяа
тохиромжтой байдаг.
&os;-г оролцуулаад бүх &unix; төрлийн систем нь үйлдлийн систем дэх
дотоод харилцаандаа lo0 интерфэйс болон 127.0.0.1
гэсэн IP хаягийг хэрэглэхээр бүтээгдсэн байдаг. Галт ханын дүрмүүд нь дотооддоо хэрэглэж байгаа
эдгээр пакетуудыг чөлөөтэй нэвтрүүлэх дүрмүүдийг агуулсан байх ёстой.
Интернэттэй холбогдож байгаа интерфэйс дээр
Интернэт уруу гарч байгаа болон Интернэтээс ирж байгаа хандалтыг удирдах
болон хянах дүрмүүдийг байрлуулна. Энэ нь таны PPP tun0
интерфэйс эсвэл таны DSL эсвэл кабель модемд холбогдсон NIC байж болно.
Галт ханын цаана байгаа хувийн сүлжээнд нэг болон түүнээс дээш тооны NIC-ууд
холбогдсон тохиолдолд, тэдгээр интерфэйсүүдийн хувьд тэдгээр LAN интерфэйсүүдийн нэгээс
нөгөө рүү ба/эсвэл гадагш гарсан пакетуудыг чөлөөтэй нэвтрүүлэх дүрмийг агуулсан байх ёстой.
Дүрмүүд гурван үндсэн хэсэгт хуваагдан зохион байгуулагдсан байх
ёстой: эхлээд итгэлтэй интерфэйсүүд, дараа нь нийтийн гадагшаа интерфэйс, төгсгөлд нь
нийтийн итгэлтэй дотогшоо интерфэйс.
Нийтийн интерфэйс хэсэгт байгаа дүрмүүд тухайн интерфэйс болон чиглэлийн
хувьд хамгийн олон тохиолддог дүрмүүд нь хамгийн түрүүнд, цөөн тохиолддог дүрмүүдээс өмнө байхаар,
хаах болох бүртгэх дүрмүүд нь хамгийн сүүлд байхаар бичигдсэн байна.
Дараах жишээн дээрх Гадагшаа хэсэг нь Интернэт хандалтыг зөвшөөрч өгөх
үйлчилгээг тодорхойлох сонголтын утгуудыг агуулсан зөвхөн pass дүрмүүдээс бүрдэж байна.
Бүх дүрмүүд quick, on,
proto, port, болон keep state тохируулгуудыг агуулсан байгаа.
proto tcp дүрмүүд нь төлөвт байдлыг идэвхжүүлж байгаа пакетийг тодорхойлох байдлаар,
сесс эхлүүлэх хүсэлтийг тодорхойлох зорилгоор flag тохируулгыг агуулсан байна.
Дотогшоо хэсэгт эхлээд хүсээгүй пакетуудыг хаах дүрмүүдийг бичсэн байна.
Энэ нь хоёр өөр шалтгаантай. Эхнийх нь хортой пакетуудын зарим нь зөвшөөрсөн
урсгалын хэсэг байж болох юм. allow дүрэмд таарч байгаа
тэр хэсэг дээр тулгуурлан эдгээр пакетуудыг зөвшөөрөлгүйгээр
хаах ёстой. Хоёр дахь шалтгаан нь тухайн хэсэгт байгаа хамгийн сүүлийн
дүрмээр хааж бүртгэхийн оронд тэдгээр мэдэгдэж байгаа сонирхолгүй
татгалзалтуудыг чимээгүйгээр хааж болох юм. Хэсэг бүр дэх
сүүлийн дүрэм бүх пакетуудыг хааж бүртгэдэг бөгөөд таны систем рүү
халдаж байгаа хүмүүсийг шүүхэд шаардагдах баримтыг бий болгоход
ашиглагдаж болох юм.
Өөр нэг санаа тавин тэмдэглэн хэлэх зүйл бол хүсээгүй урсгалын хариуд ямар ч хариу явуулахгүй
байх явдал юм. Буруу пакетуудыг зүгээр орхиж тэд алга болох ёстой юм.
Ингэснээр халдлага явуулагч түүний явуулсан пакетууд
таны системд хүрсэн эсэх талаар юу ч мэдэхгүй үлдэх болно. Таны системийн талаар хэдий хэр бага мэднэ,
тэд ямар нэг муу зүйл хийж чадах хүртэл төдий чинээ урт хугацаа зарцуулна гэсэн үг юм.
log first тохируулгыг агуулах дүрмүүд
анхны удаа таарахад бүртгэж авдаг. Энэ тохируулга нь
жишээ nmap OS fingerprint дүрэмд орсон
байдаг. security/nmap хэрэгслийг
халдагчид таны серверийн үйлдлийн системийг танихын тулд ихэвчлэн
ашигладаг.
log first дүрмийн хувьд бүртгэлийн мэдээлэл
бүртгэгдэх бүрт ipfstat -hio тушаалаар энэ дүрэм хэдэн
удаа тохирсон байгааг шалгаж болно. Ихээхэн хэмжээний бүртгэлийн
мэдээлэл нь таныг халдлагад өртөж байгааг ихэвчлэн илэрхийлдэг.
/etc/services файлыг ашиглан мэдэгдэхгүй
портын дугаарыг хайж олж болох юм. Мөн
хаягаар тухайн
порт ямар зориулалтаар ашиглагддагийг орж шалгаж болох юм.
Троянуудын хэрэглэдэг портын дугааруудыг
хаягаар орж шалгаарай.
Дараах дүрмийн олонлог нь ажиллаж байгаа систем дээр шалгагдсан
аюулгүй байдлыг бүрэн хангасан хамааруулсан галт ханын дүрмийн олонлог юм.
Үүнийг өөрийн системд хялбарханаар тааруулж болох юм.
Зөвшөөрөхийг хүсэхгүй байгаа үйлчилгээнүүдийн хувьд харгалзах
pass дүрмийг далдлаарай.
Хүсээгүй мэдээллийг бүртгэхгүйн тулд дотогшоо хэсэгт
block дүрэм нэмж бичээрэй.
Дүрэм бүрт байгаа dc0 гэсэн интерфэйсийн нэрийн оронд
таны системийг Интернэт уруу холбож байгаа NIC картны интерфэйсийн нэрээр сольж тавиарай.
Хэрэглэгчийн PPP-н хувьд, энэ нь tun0 байна.
Дараах илэрхийллүүдийг /etc/ipf.rules дотор бичих хэрэгтэй:
#################################################################
# No restrictions on Inside LAN Interface for private network
# Not needed unless you have LAN
#################################################################
#pass out quick on xl0 all
#pass in quick on xl0 all
#################################################################
# No restrictions on Loopback Interface
#################################################################
pass in quick on lo0 all
pass out quick on lo0 all
#################################################################
# Interface facing Public Internet (Outbound Section)
# Match session start requests originating from behind the
# firewall on the private network
# or from this gateway server destined for the public Internet.
#################################################################
# Allow out access to my ISP's Domain name server.
# xxx must be the IP address of your ISP's DNS.
# Dup these lines if your ISP has more than one DNS server
# Get the IP addresses from /etc/resolv.conf file
pass out quick on dc0 proto tcp from any to xxx port = 53 flags S keep state
pass out quick on dc0 proto udp from any to xxx port = 53 keep state
# Allow out access to my ISP's DHCP server for cable or DSL networks.
# This rule is not needed for 'user ppp' type connection to the
# public Internet, so you can delete this whole group.
# Use the following rule and check log for IP address.
# Then put IP address in commented out rule & delete first rule
pass out log quick on dc0 proto udp from any to any port = 67 keep state
#pass out quick on dc0 proto udp from any to z.z.z.z port = 67 keep state
# Allow out non-secure standard www function
pass out quick on dc0 proto tcp from any to any port = 80 flags S keep state
# Allow out secure www function https over TLS SSL
pass out quick on dc0 proto tcp from any to any port = 443 flags S keep state
# Allow out send & get email function
pass out quick on dc0 proto tcp from any to any port = 110 flags S keep state
pass out quick on dc0 proto tcp from any to any port = 25 flags S keep state
# Allow out Time
pass out quick on dc0 proto tcp from any to any port = 37 flags S keep state
# Allow out nntp news
pass out quick on dc0 proto tcp from any to any port = 119 flags S keep state
# Allow out gateway & LAN users' non-secure FTP ( both passive & active modes)
# This function uses the IPNAT built in FTP proxy function coded in
# the nat rules file to make this single rule function correctly.
# If you want to use the pkg_add command to install application packages
# on your gateway system you need this rule.
pass out quick on dc0 proto tcp from any to any port = 21 flags S keep state
# Allow out ssh/sftp/scp (telnet/rlogin/FTP replacements)
# This function is using SSH (secure shell)
pass out quick on dc0 proto tcp from any to any port = 22 flags S keep state
# Allow out insecure Telnet
pass out quick on dc0 proto tcp from any to any port = 23 flags S keep state
# Allow out FreeBSD CVSup
pass out quick on dc0 proto tcp from any to any port = 5999 flags S keep state
# Allow out ping to public Internet
pass out quick on dc0 proto icmp from any to any icmp-type 8 keep state
# Allow out whois from LAN to public Internet
pass out quick on dc0 proto tcp from any to any port = 43 flags S keep state
# Block and log only the first occurrence of everything
# else that's trying to get out.
# This rule implements the default block
block out log first quick on dc0 all
#################################################################
# Interface facing Public Internet (Inbound Section)
# Match packets originating from the public Internet
# destined for this gateway server or the private network.
#################################################################
# Block all inbound traffic from non-routable or reserved address spaces
block in quick on dc0 from 192.168.0.0/16 to any #RFC 1918 private IP
block in quick on dc0 from 172.16.0.0/12 to any #RFC 1918 private IP
block in quick on dc0 from 10.0.0.0/8 to any #RFC 1918 private IP
block in quick on dc0 from 127.0.0.0/8 to any #loopback
block in quick on dc0 from 0.0.0.0/8 to any #loopback
block in quick on dc0 from 169.254.0.0/16 to any #DHCP auto-config
block in quick on dc0 from 192.0.2.0/24 to any #reserved for docs
block in quick on dc0 from 204.152.64.0/23 to any #Sun cluster interconnect
block in quick on dc0 from 224.0.0.0/3 to any #Class D & E multicast
##### Block a bunch of different nasty things. ############
# That I do not want to see in the log
# Block frags
block in quick on dc0 all with frags
# Block short tcp packets
block in quick on dc0 proto tcp all with short
# block source routed packets
block in quick on dc0 all with opt lsrr
block in quick on dc0 all with opt ssrr
# Block nmap OS fingerprint attempts
# Log first occurrence of these so I can get their IP address
block in log first quick on dc0 proto tcp from any to any flags FUP
# Block anything with special options
block in quick on dc0 all with ipopts
# Block public pings
block in quick on dc0 proto icmp all icmp-type 8
# Block ident
block in quick on dc0 proto tcp from any to any port = 113
# Block all Netbios service. 137=name, 138=datagram, 139=session
# Netbios is MS/Windows sharing services.
# Block MS/Windows hosts2 name server requests 81
block in log first quick on dc0 proto tcp/udp from any to any port = 137
block in log first quick on dc0 proto tcp/udp from any to any port = 138
block in log first quick on dc0 proto tcp/udp from any to any port = 139
block in log first quick on dc0 proto tcp/udp from any to any port = 81
# Allow traffic in from ISP's DHCP server. This rule must contain
# the IP address of your ISP's DHCP server as it's the only
# authorized source to send this packet type. Only necessary for
# cable or DSL configurations. This rule is not needed for
# 'user ppp' type connection to the public Internet.
# This is the same IP address you captured and
# used in the outbound section.
pass in quick on dc0 proto udp from z.z.z.z to any port = 68 keep state
# Allow in standard www function because I have apache server
pass in quick on dc0 proto tcp from any to any port = 80 flags S keep state
# Allow in non-secure Telnet session from public Internet
# labeled non-secure because ID/PW passed over public Internet as clear text.
# Delete this sample group if you do not have telnet server enabled.
#pass in quick on dc0 proto tcp from any to any port = 23 flags S keep state
# Allow in secure FTP, Telnet, and SCP from public Internet
# This function is using SSH (secure shell)
pass in quick on dc0 proto tcp from any to any port = 22 flags S keep state
# Block and log only first occurrence of all remaining traffic
# coming into the firewall. The logging of only the first
# occurrence avoids filling up disk with Denial of Service logs.
# This rule implements the default block.
block in log first quick on dc0 all
################### End of rules file #####################################
<acronym>NAT</acronym>
NAT
IP маскарад
NAT
сүлжээний хаягийн хөрвүүлэлт
NAT
NAT нь Network Address Translation буюу
Сүлжээний хаягийн Хөрвүүлэлтийн товчлол юм. &linux;-н талаар ойлголттой хүмүүсийн хувьд,
энэ ойлголтыг IP маскарад гэж нэрлэдэг; NAT ба IP маскарад
нь нэг зүйл юм. IPF NAT-н бидэнд олгож байгаа олон зүйлүүдийн нэг бол
галт ханын цаана байгаа Local Area Network буюу Ойрын Зайн Сүлжээ(LAN)-н хувьд
ISP-с оноож өгсөн ганц IP хаягийг Интернэтэд хуваан хэрэглэх юм.
Ингэх ямар шаардлага байнаа гэж та гайхан асуух байх.
ISP-ууд өөрийн ашгийн-бус хэрэглэгчиддээ ихэвчлэн динамик IP хаяг оноодог.
Динамик гэдэг нь таныг ISP руу залган нэвтрэн орох болгонд, кабель эсвэл
DSL модемтой хэрэглэгчдийн хувьд модемоо асааж унтраах болгонд
өөр өөр IP хаяг онооно гэсэн үг юм. Таны системийг Интернэтэд танихад
энэ динамик IP хаягийг ашигладаг.
Та гэртээ таван PC-тэй бөгөөд бүгд Интернэт уруу гардаг байх хэрэгтэй гэж бодъё.
Тэгвэл та PC тус бүрт тусад нь эрх худалдан авч, таван утасны үзүүртэй байх хэрэгтэй болно.
NAT-н тусламжтай ISP-гаас зөвхөн ганцхан эрх
шаардлагатай. Бусад дөрвөн PC-гээ switch буюу шилжүүлэгч уруу холбож, харин switch-ээ таны LAN-нд гарц байдлаар ажиллах
&os; системийн NIC руу залгана. NAT нь LAN-д байгаа бүх PC-ны хувьд хувийн IP
хаягийг ганцхан гадаад IP хаяг уруу автоматаар хөрвүүлэх болно. NAT нь эргэж
ирж байгаа пакетуудын хувьд эсрэг хөрвүүлэлтийг мөн хийнэ.
NAT хийгдсэн хувийн LAN-уудад зориулж бүлэг IP хаягийг тусгайлан
гаргасан байдаг. RFC 1918 стандартад зааснаар бол, дараах бүлэг IP-г хувийн сүлжээндээ ашиглах
боломжтой, эдгээр IP хэзээ ч гадаад Интернэт уруу гарахгүй болно:
Эхлэх IP 10.0.0.0
-
Төгсөх IP 10.255.255.255
Эхлэх IP 172.16.0.0
-
Төгсөх IP 172.31.255.255
Эхлэх IP 192.168.0.0
-
Төгсөх IP 192.168.255.255
IP<acronym>NAT</acronym>
NAT
ба IPFILTER
ipnat
NAT дүрмүүдийг ipnat тушаалын
тусламжтай ачаална. Ихэвчлэн NAT дүрмүүд /etc/ipnat.rules
файл дотор байрлана. Дэлгэрэнгүйг &man.ipnat.1; хэсгээс үзнэ үү.
NAT ажиллаж эхэлсний дараа NAT дүрмүүдэд
өөрчлөлт оруулах шаардлагатай бол NAT дүрмүүд байгаа файл дотор өөрчлөлтийг хийсний дараа,
одоо хэрэглэгдэж байгаа NAT дүрмүүдийг устгаж, хөрвүүлэгч хүснэгтийг цэвэрлэхийн
тулд ipnat тушаалыг тугийн хамт ажиллуулах хэрэгтэй.
Харин NAT дүрмүүдийг дахин ачаалахдаа тушаалыг
дараах байдалтай өгөх хэрэгтэй:
&prompt.root; ipnat -CF -f /etc/ipnat.rules
NAT-н талаар зарим статистикийг харъя гэвэл дараах
тушаалыг ашиглана:
&prompt.root; ipnat -s
NAT хүснэгтийн одоо ашиглаж байгаа оноолтын жагсаалтыг
харахын тулд дараах тушаалыг ашиглана:
&prompt.root; ipnat -l
Вербос буюу хэр зэрэг харуулах горимыг нээхийн тулд, дүрэмтэй ажиллах болон идэвхтэй
байгаа дүрмүүдийн хүснэгтийг харахын тулд:
&prompt.root; ipnat -v
IP<acronym>NAT</acronym> Дүрмүүд
NAT дүрмүүд нь маш уян хатан бөгөөд хэрэглэгчдийн
хэрэгцээг хангах олон зүйлүүдийг хийж чадна.
Энд үзүүлсэн дүрмийн синтаксыг ашгийн-бус орчинд ихэвчлэн хэрэглэгддэг
дүрмүүдэд зориулан хялбаршуулсан байгаа. Дүрмийн синтаксын бүрэн тайлбарыг &man.ipnat.5;
заавар хуудаснаас үзнэ үү.
NAT дүрмийн синтакс дараах байдалтай байна:
map IF LAN_IP_RANGE -> PUBLIC_ADDRESS
Дүрэм нь map гэсэн түлхүүр үгээр эхэлнэ.
IF-г гадаад интерфэйсээр сольж тавьна.
LAN_IP_RANGE нь танай дотоод хэрэглэгчийн
хэрэглэж буй IP хаяглалтыг заана, ихэвчлэн 192.168.1.0/24
гэсэн маягтай байна.
PUBLIC_ADDRESS нь гадаад IP
байж болно эсвэл IF-д оноосон IP хаягийг
хэрэглэхийг заасан 0/32 гэсэн тусгай түлхүүр үг байж болно.
<acronym>NAT</acronym> хэрхэн ажилладаг вэ
Гадаад очих хаягтай пакет галт хана дээр LAN-с хүрэлцэн ирнэ.
Эхлээд гадагшаа шүүлтийн дүрмүүдээр гарна, дараа нь NAT-н
ээлж ирэх ба өөрийн дүрмүүдийг дээрээс доош шалгаж эхэлнэ. Хамгийн эхэнд тохирсон нь
дийлнэ. NAT өөрийн дүрэм бүрийг пакетийн интерфэйсийн нэр болон
эхлэл хаягаар тулгаж шалгана. Пакетийн интерфэйсийн нэр NAT
дүрэмтэй тохирвол пакетийн эхлэл IP хаяг (өөрөөр хэлбэл хувийн LAN IP хаяг)
NAT дүрмийн сумны зүүн талд зааж өгсөн
IP хаягийн зурвас дотор байгаа эсэхийг шалгана. Хэрэв энэ тохирвол
пакетийн эхлэл хаягийг 0/32 түлхүүр үгийн тусламжтай
олж авсан гадаад IP хаягаар сольж бичнэ. NAT
өөрийн дотоод NAT хүснэгтэнд бичлэг нэмэх ба энэ нь
пакет Интернэтээс буцаж ирэхэд түүнийг буцаан хувийн IP хаяг уруу нь хөрвүүлэн,
цааш шүүлтийн дүрмүүдээр оруулах боломжийг олгоно.
IP<acronym>NAT</acronym>-г идэвхжүүлэх
IPNAT-г идэвхжүүлэхийн тулд эдгээр илэрхийллүүдийг
/etc/rc.conf дотор нэмж бичнэ.
Өөрийн машиныг интерфэйсүүдийн хооронд пакетуудыг чиглүүлдэг
болгохын тулд:
gateway_enable="YES"
Систем ачаалахад IPNAT-г автоматаар ачаалдаг
болгохын тулд:
ipnat_enable="YES"
IPNAT-н дүрмүүдийг хаанаас ачаалахыг зааж өгөхдөө:
ipnat_rules="/etc/ipnat.rules"
Маш том LAN-д зориулсан <acronym>NAT</acronym>
LAN-даа олон тооны PC-тэй сүлжээний хувьд эсвэл нэгээс олон
LAN-тай сүлжээний хувьд, энэ олон хувийн IP хаягуудыг нэг гадаад IP хаяг уруу
нийлүүлэх үйл явцад NAT хийгдсэн олон LAN PC дээр ижил портын
дугаар олон дахин хэрэглэгдсэнээс мөргөлдөөн үүсэх гэх мэт нөөцтэй холбоотой асуудал гардаг.
Нөөцтэй холбоотой энэ асуудлаас гарахын тулд дараах хоёр арга зам байдаг.
Хэрэглэх портуудыг оноох
Энгийн NAT дүрэм дараах байдалтай байна:
map dc0 192.168.1.0/24 -> 0/32
Дээрх дүрмэнд пакет IPNAT-р дайрч өнгөрөхөд
пакетийн эхлэл порт өөрчлөгдөхгүй. portmap гэсэн түлхүүр үгийг нэмсэнээр
IPNAT-ийг заасан зурвас дахь зөвхөн эхлэл портуудыг ашиглахаар зааж өгнө.
Жишээ нь, дараах дүрэм IPNAT-г эхлэл порт хаягийг
тухайн зурвас дотор байхаар өөрчлөхийг зааж өгч байна.
map dc0 192.168.1.0/24 -> 0/32 portmap tcp/udp 20000:60000
Дээр нь бид auto түлхүүр үгийн тусламжтай
аль портуудыг ашиглах боломжтой байгааг өөрөө тодорхойлохыг зааж өгч болно:
map dc0 192.168.1.0/24 -> 0/32 portmap tcp/udp auto
Гадаад хаягийн цөөрмийг хэрэглэх
Маш том LAN-уудын хувьд дэндүү олон LAN хаягуудыг нэг гадаад
хаягт оноох нь боломжгүй болох үе ирдэг. Хэрэв бүлэг гадаад IP сул байгаа бол,
эдгээр IP хаягуудыг цөөрөм
байдлаар ашиглаж болох ба,
IPNAT эдгээрээс нэгийг сонгон авч гадагшаа явж байгаа
пакетийн хаягт оноох байдлаар хэрэглэх болно.
Жишээ нь, доор үзүүлсэн шиг бүх пакетуудыг ганц
гадаад IP-д оноохын оронд:
map dc0 192.168.1.0/24 -> 204.134.75.1
гадаад IP хаягийн зурвасыг сүлжээний хуваалтын хамт зааж өгч болно:
map dc0 192.168.1.0/24 -> 204.134.75.0/255.255.255.0
эсвэл CIDR тэмдэглэгээг хэрэглэж болно:
map dc0 192.168.1.0/24 -> 204.134.75.0/24
Портын дахин чиглүүлэлт
LAN дотор вэб сервер, цахим шуудангийн сервер, өгөгдлийн
сангийн сервер болон DNS серверийг өөр өөр PC дээр тараан ажиллуулах нь
түгээмэл байдаг. Энэ тохиолдолд эдгээр серверээс гарч байгаа урсгал
мөн NAT хийгдсэн байх ёстой. Гэхдээ гаднаас ирж буй
урсгалыг зөв LAN PC уруу дахин чиглүүлэх арга зам байх хэрэгтэй болно.
Энэ асуудлыг шийдэхийн тулд IPNAT нь дахин чиглүүлэлт хийх
NAT нэмэлт боломжийг олгодог. Вэб сервер
10.0.10.25 гэсэн LAN хаягтай бөгөөд
20.20.20.5 гэсэн ганц гадаад IP-тай
байлаа гэж бодъё. Тэгвэл дүрмийг дараах байдалтай:
rdr dc0 20.20.20.5/32 port 80 -> 10.0.10.25 port 80
эсвэл:
rdr dc0 0.0.0.0/0 port 80 -> 10.0.10.25 port 80
эсвэл гаднаас DNS хүсэлтүүд хүлээн авдаг
10.0.10.33 гэсэн хаягтай LAN DNS Серверийн хувьд:
rdr dc0 20.20.20.5/32 port 53 -> 10.0.10.33 port 53 udp
гэж бичих байсан.
FTP ба <acronym>NAT</acronym>
FTP-г Интернэт одоогийнх шиг байхаас өмнөх үе, их сургуулиуд
түрээсийн шугамаар хоорондоо холбогдож, судлаач эрдэмтэд хоорондоо файл солилцохын тулд
FTP-г ашигладаг байх үес үлдсэн үлэг гүрвэл гэж хэлж болох юм. Тэр үед
өгөгдлийн аюулгүй байдлын талаар огт анхаардаггүй байлаа. Цаг хугацаа өнгөрөхөд
FTP протоколыг шинээр гарч ирж байгаа Интернэтийн гол нуруу сүлжээнд хэрэглэх болсон ба
түүний хэрэглэгчийн нэр, нууц үгийг цэвэр текст хэлбэрээр дамжуулдаг байдал нь
хэзээ ч өөрчлөгдөөгүй бөгөөд орчин үеийн аюулгүй байдлын шаардлагад
нийцэхгүй болсон билээ. FTP нь active буюу идэвхтэй, passive буюу идэвхгүй гэсэн хоёр
горимд ажилладаг. Өгөгдлийн сувгийг хэрхэн ашиглаж байгаа дээр гол ялгаа нь гардаг.
Өгөгдлийн сувгийг эхэлж ftp сесс хүсэгч нь авдаг тул идэвхгүй горимд ажиллах
нь аюулгүй байдлыг илүүтэйгээр хангана. FTP-н талаар илүү сайн тайлбарыг болон түүний
горимуудын талаар хаягаар үзнэ үү.
IP<acronym>NAT</acronym> Дүрмүүд
IPNAT нь дотроо NAT
оноолт дүрэмд тодорхойлж өгөх боломжтой тусгай FTP прокси тохируулгыг
агуулсан байдаг. Энэ нь идэвхтэй болон идэвхгүй FTP сесс эхлүүлэх хүсэлтэд
оролцож байгаа бүх гадагшаа чиглэлтэй FTP пакетийг хянаж чадна. Мөн
өгөгдлийн сувагт үнэхээр хэрэглэгдэж байгаа порт дугаарыг агуулсан түр зуурын
шүүлтийн дүрмүүдийг динамикаар үүсгэж чадна. Ийм байдлаар FTP-с болж үүсдэг
дээд хэсгийн портуудыг өргөн зурвасаар нээх эрсдэлээс галт ханыг хамгаалж байгаа юм.
Доорх дүрэм нь дотоод LAN-н бүх урсгалыг зохицуулна:
map dc0 10.0.10.0/29 -> 0/32 proxy port 21 ftp/tcp
Доорх дүрэм гарцаас ирж буй FTP урсгалыг зохицуулна:
map dc0 0.0.0.0/0 -> 0/32 proxy port 21 ftp/tcp
Доорх дүрэм дотоод LAN-с ирж буй бүх FTP-н биш урсгалыг зохицуулна:
map dc0 10.0.10.0/29 -> 0/32
FTP оноолтын дүрэм нь бидний ердийн оноолтын дүрмүүдийн өмнө бичигдэнэ.
Бүх пакетийг хамгийн дээр бичигдсэн дүрмээс эхлэн шалгана.
Интерфэйсийн нэр тохирвол дотоод LAN эхлэл IP хаяг, дараа нь FTP пакет эсэхийг
шалгана. Хэрэв бүгд тохирвол, тусгай FTP прокси эдгээр FTP сесс пакетуудыг
NAT хийхээс гадна гадагш нь болон дотогш нь нэвтрүүлэх
түр зуурын шүүлтийн дүрмийг үүсгэнэ. FTP-н биш бусад бүх LAN пакетууд эхний
дүрмэнд тохирохгүй тул гуравдугаар дүрэм уруу шилжин дахин шалгагдана. Интерфэйс болон
эхлэл IP тохирох тул NAT хийгдэнэ.
IP<acronym>NAT</acronym> FTP Шүүлтийн Дүрмүүд
NAT FTP прокси ашиглаж байгаа тохиолдолд
FTP-н хувьд ганцхан шүүлтийн дүрэм хэрэгтэй.
FTP Прокси байхгүй бол дараах гурван дүрмийг хэрэглэнэ:
# Allow out LAN PC client FTP to public Internet
# Active and passive modes
pass out quick on rl0 proto tcp from any to any port = 21 flags S keep state
# Allow out passive mode data channel high order port numbers
pass out quick on rl0 proto tcp from any to any port > 1024 flags S keep state
# Active mode let data channel in from FTP server
pass in quick on rl0 proto tcp from any to any port = 20 flags S keep state
IPFW
галт хана
IPFW
IPFIREWALL (IPFW) нь &os;-ийн хандиваар &os;-ийн сайн дурын гишүүдийн бүтээсэн,
тэдний эрх мэдэлд байдаг галт ханын програм юм. Энэ нь хуучин уламжлалт төлөвт
дүрмүүдийг хэрэглэдэг бөгөөд Simple Stateful logiс буюу Хялбар Төлөвт логикийг
бий болгохын тулд уламжлалт дүрэм бичих техникийг хэрэглэдэг.
Стандарт &os; суулгац дахь IPFW-н хялбар дүрмийн олонлог
(/etc/rc.firewall болон /etc/rc.firewall6
файл дотор байрлана) нь нилээд хялбар бөгөөд өөрт тохируулан засварласны дараа хэрэглэхээр бодолцон
бичигдсэн байдаг. Жишээн дээр ихэнх суулгацад тохиромжтой төлөвт шүүлтийг хэрэглээгүй байгаа.
Тиймээс энэ хэсэгт энэ жишээг хэрэглэхгүй болно.
IPFW-н төлөвт дүрмийн синтакс нь галт хана суулгах анхан шатны мэдлэгээс
хол давсан техникийн хувьд ярвигтай сонголтын боломжуудаар хүч нэмсэн байдаг.
IPFW нь мэргэжлийн түвшний хэрэглэгчид эсвэл өндөр түвшний пакет сонголт
шаардлагатай байгаа техникийн өндөр түвшний компьютер сонирхогчид зориулагдсан юм.
IPFW-н дүрмүүдийн хүчийг мэдрэхийн өмнө протоколууд өөрийн тусгай пакетийн толгойн
мэдээллийг хэрхэн үүсгэдэг болон хэрэглэдэг талаар нилээд дэлгэрэнгүй мэдлэгийг
олж авсан байх хэрэгтэй. Тийм түвшний тайлбарыг энд өгөх нь номын энэ бүлгийн
мэдлээс халих тул энд оруулах боломжгүй юм.
IPFW нь долоон хэсгээс бүрдэнэ, гол хэсэг болох цөмийн галт ханын шүүлтийн
дүрмийг боловсруулагч болон түүний бусад хэсэг болох пакет данслах боломж, бүртгэх боломж, NAT
боломжийг идэвхжүүлэх divert дүрэм, болон өндөр түвшний тусгай зориулалттай боломжууд,
dummynet трафик хязгаарлагч боломжууд, fwd дүрэм дамжуулах боломж, гүүр боломжууд, болон
ipstealth боломжуудаас бүрдэнэ. IPFW нь IPv4 болон IPv6-г дэмждэг.
IPFW-г идэвхжүүлэх
IPFW
идэвхжүүлэх
IPFW нь &os; үндсэн суулгацтай хамт, ажиллах үеийн ачаалах боломжтой модуль байдлаар ирдэг.
rc.conf тохиргооны файл дотор firewall_enable="YES" илэрхийлэл байгаа үед систем IPFW цөмийн
модулийг динамикаар ачаална. NAT функцыг ашиглахгүй бол
IPFW-г цөмд эмхэтгэх шаардлага байхгүй.
rc.conf файл дотор firewall_enable="YES"
илэрхийллийг нэмээд системийг дахин асаасны дараа ачаалах үйл явцын нэг хэсэг болж
дараах мессеж дэлгэцэн дээр гарах болно:
ipfw2 initialized, divert disabled, rule-based forwarding disabled, default to deny, logging disabled
Ачаалах боломжтой модульд бүртгэх боломжийг эмхэтгээгүй байгаа.
Бүртгэлийг идэвхжүүлж вербос бүртгэлийн хязгаарыг тогтоохын тулд
/etc/sysctl.conf файл дотор тохируулж болох тохиргоо бий.
Эдгээр илэрхийллүүдийг нэмсэнээр бүртгэлийн систем дараагийн удаа ачаалахад идэвхжинэ:
net.inet.ip.fw.verbose=1
net.inet.ip.fw.verbose_limit=5
Цөмийн тохируулгууд
цөмийн тохируулгууд
IPFIREWALL
цөмийн тохируулгууд
IPFIREWALL_VERBOSE
цөмийн тохируулгууд
IPFIREWALL_VERBOSE_LIMIT
IPFW
цөмийн тохируулгууд
NAT функцыг хэрэглэхгүй бол &os; цөм уруу
дараах боломжуудыг эмхэтгэн IPFW-г идэвхжүүлэх албагүй болно.
Суурь мэдлэг болгон энд үзүүллээ.
options IPFIREWALL
Энэ тохируулга IPFW-г цөмийн нэг хэсэг болгон идэвхжүүлнэ
options IPFIREWALL_VERBOSE
Энэ тохируулга log гэсэн түлхүүр үг орсон дүрмийн хувьд
IPFW-р дайран өнгөрөх пакетуудыг бүртгэх боломжтой болгоно.
options IPFIREWALL_VERBOSE_LIMIT=5
Энэ тохируулга &man.syslogd.8;-р нэгэн зэрэг бүртгэгдэж буй
пакетийн тоог хязгаарлана. Галт ханын үйлдлүүдийг бүртгэхийг хүсэж байгаа
дайсагнасан орчнуудад энэ тохируулгыг хэрэглэж болно. Энэ тохируулга нь
syslog-г живүүлэх замаар явагдах үйлчилгээг зогсоох халдлагыг хааж өгөх болно.
цөмийн тохируулгууд
IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_DEFAULT_TO_ACCEPT
Энэ тохируулга нь анхдагчаар галт ханыг дамжин өнгөрч байгаа бүх зүйлийг
нэвтрүүлэхийг зөвшөөрөх бөгөөд энэ нь галт ханыг анх удаа тохируулж байгаа үед илүү тохиромжтой.
цөмийн тохируулгууд
IPDIVERT
options IPDIVERT
Энэ тохируулга NAT функцыг идэвхжүүлнэ.
Хэрэв та IPFIREWALL_DEFAULT_TO_ACCEPT-г оруулаагүй эсвэл
ирж байгаа пакетуудыг нэвтрүүлэх дүрмүүд бичээгүй бол ирж
байгаа болон явж байгаа бүх пакетуудыг галт хана хаах болно.
<filename>/etc/rc.conf</filename> Тохируулгууд
Галт ханыг идэвхжүүлэхийн тулд:
firewall_enable="YES"
&os;-тэй хамт ирдэг анхдагч галт ханын төрлүүдээс нэгийг
сонгохын тулд, /etc/rc.firewall файлыг уншсаны дараа
нэгийг сонгоод, түүнийгээ дараах илэрхийлэлд бичиж өгнө:
firewall_type="open"
Боломжит утгууд нь:
open — бүх урсгалыг нэвтрүүлнэ.
client — зөвхөн энэ машиныг хамгаална.
simple — бүхэл бүтэн сүлжээг хамгаална.
closed — loopback интерфэйсээс бусад IP
урсгалыг боломжгүй болгоно.
UNKNOWN — галт ханын дүрмүүдийг ачаалах
боломжгүй болгоно.
filename — галт ханын дүрмүүдийг агуулсан
файлын бүрэн зам.
ipfw галт хана уруу тусгайлан бэлдсэн
дүрмүүдийг хоёр аргаар ачаалж болно. Нэг нь, firewall_type хувьсагчийн
утганд &man.ipfw.8;-д зориулсан ямар ч тушаал мөрийн тохируулгагүйгээр бичигдсэн
-галт ханын дүрмүүд-г агуулсан файлын бүрэн замыг өгөх. Дүрмүүдийг агуулсан
-хялбар жишээ файл дараах байдалтай байж болно:
+галт ханын дүрмүүд-г агуулсан файлын бүрэн замыг өгөх. Дараах нь
+орж байгаа болон гарч байгаа урсгалыг хаах дүрмийн энгийн жишээ юм:
- add block in all
-add block out all
+ add deny in
+add deny out
Нөгөө нь, систем ачаалах үед ажиллах ipfw тушаалуудыг
агуулсан ажиллах боломжтой скриптийн бүрэн замыг firewall_script
хувьсагчид оноох юм. Дээр үзүүлсэн дүрмүүдийн файлтай дүйх дүрмүүдийн скрипт дараах байдалтай
байна:
#!/bin/sh
ipfw -q flush
-ipfw add block in all
-ipfw add block out all
+ipfw add deny in
+ipfw add deny out
Хэрэв firewall_type нь client
эсвэл simple утгыг авсан бол, /etc/rc.firewall
файл доторх анхдагч дүрмүүдийг тухайн машинд тохируулан өөрчлөх хэрэгтэй.
Мөн энэ бүлэгт хэрэглэж байгаа жишээнүүдийн хувьд firewall_script-н утга
/etc/ipfw.rules гэж үзэж байгаа болно.
Бүртгэлийг идэвхжүүлэхийн тулд:
firewall_logging="YES"
firewall_logging хувьсагчийн
хийх ганц зүйл гэвэл net.inet.ip.fw.verbose sysctl
хувьсагчийн утгыг 1 болгох юм ( хэсгийг үзнэ үү). rc.conf
дотор бүртгэлийг хязгаарлах хувьсагч байхгүй, харин үүний тулд
sysctl хувьсагчаар дамжуулан хийж болно. /etc/sysctl.conf
файл дотор эсвэл гараараа утгыг оноож өгч болно:
net.inet.ip.fw.verbose_limit=5
Хэрэв таны машин гарц байдлаар ажиллаж байгаа бол,
жишээ нь &man.natd.8;-н тусламжтай Сүлжээний хаягийн Хөрвүүлэлт (NAT) хийж байгаа бол,
/etc/rc.conf файл доторх шаардлагатай тохируулгуудын
мэдээллийг хэсэг уруу хандана уу.
IPFW Тушаал
ipfw
Галт ханыг ажиллаж байх явцад түүний идэвхтэй байгаа дотоод
дүрмүүдэд шинэ дүрэм нэмэх, дүрэм хасах зэрэг өөрчлөлтүүдийг гараар хийх
гол механизм бол ipfw тушаал юм. Энэ аргыг хэрэглэхэд тулгардаг нэг асуудал
бол нэгэнт системийг унтраасан эсвэл зогсоосон бол нэмсэн эсвэл хассан
эсвэл өөрчилсөн бүх дүрмүүд алга болно. Бүх дүрмүүдээ нэг файлд бичээд систем
ачаалах үед энэ файлыг ашиглан дүрмүүдийг ачаалах, эсвэл одоо ажиллаж байгаа
галт ханын дүрмүүдийг файл дотор хийсэн өөрчлөлтүүдээр бүхлээр нь сольж тавих нь
энд хэрэглэж байгаа, та бүхэнд зөвлөх арга барил юм.
Удирдлагын дэлгэцэн дээр ажиллаж байгаа галт ханын
дүрмүүдийг харуулахад ipfw тушаалыг одоо хэр нь хэрэглэсээр байна.
IPFW-н данс хөтлөх боломж нь дүрэм бүрийн хувьд тухайн дүрэмд тохирсон
пакетийг тоолох тоолуурыг үүсгэдэг. Ямар нэг дүрмийг шалгах үйл явцад тухайн
дүрэм ажиллаж байгаа эсэхийг тогтоох аргуудын нэг бол дүрмийг тоолуурын хамт
жагсаан харах байдаг.
Бүх дүрмүүдийг дараагаар нь жагсаан харахын тулд:
&prompt.root; ipfw list
Бүх дүрмүүдийг тухайн дүрэм хамгийн сүүлд тохирсон цагны хамт
жагсаан харахын тулд:
&prompt.root; ipfw -t list
Дараагийн жишээ нь данслалтын мэдээлэл буюу дүрмүүдийг тохирсон пакетийн тооны
хамт харуулж байна. Эхний багана нь дүрмийн дугаар, дараа нь энэ дүрэмд
тохирсон гарч байгаа пакетийн тоо, дараа нь энэ дүрэмд тохирсон орж байгаа
пакетийн тоо, тэгээд дүрэм өөрөө байна.
&prompt.root; ipfw -a list
Статик дүрмүүдээс гадна динамик дүрмүүдийг жагсаан харахын тулд:
&prompt.root; ipfw -d list
Мөн хугацаа нь дууссан динамик дүрмүүдийг харахын тулд:
&prompt.root; ipfw -d -e list
Тоолууруудыг тэглэхийн тулд:
&prompt.root; ipfw zero
Зөвхөн NUM дугаартай тоолуурыг тэглэхийн тулд:
&prompt.root; ipfw zero NUM
IPFW Дүрмийн Олонлог
Пакет дотор агуулагдаж байгаа утгуудыг үндэслэн тухайн пакетийг
нэвтрүүлэх болон хаахыг хэлж байгаа дүрмүүдийг IPFW дүрмийн олонлог гэнэ. Хостуудын
хоорондох хоёр чиглэлтэй пакет солилцоо нь сесс харилцааг бүрдүүлнэ. Галт ханын
дүрмийн олонлог нь Интернэтээс ирж байгаа пакетууд болон тэдгээрт хариу болж
системээс явж байгаа пакетуудыг боловсруулдаг.
Бүх TCP/IP үйлчилгээнүүдийн
хувьд (жишээ нь: telnet, www, mail, г.м.) протокол болон зөвшөөрөгдсөн (сонсох)
портыг урьдчилан тодорхойлсон байдаг.
Тухайн нэг үйлчилгээ рүү чиглэсэн пакетууд нь зөвшөөрөгдөөгүй (өндөр)
портууд ашиглан эх хаягаас гарч очих хаягийн тухайн үйлчилгээний
порт руу хүрдэг. Дээрх өгөгдлүүд (өөрөөр хэлбэл портууд ба хаягууд)
нь үйлчилгээнүүдийг зөвшөөрөх эсвэл хаах дүрмүүдийг үүсгэхэд
шалгуур болон ашиглагдаж болно.
IPFW
Дүрмүүдтэй ажиллах дэс дараалал
Пакетийг галт хана хүлээн аваад дүрмийн олонлогт байгаа хамгийн
эхний дүрэмтэй тулгах ба цааш дүрмүүдийн дугаарын өсөх дарааллын дагуу
дээрээс доош нэг нэгээр шалгаж эхэлнэ. Пакет аль нэг дүрмийн сонголтын
параметртай тохирвол, түүнд харгалзах үйлдлийг хийж, тухайн пакетийн хувьд
цааш хайлтыг дуусгана. Энэ аргыг эхэнд тохирсон нь дийлнэ
хайлтын
арга гэнэ. Хэрэв тухайн пакет ямар ч дүрэмд тохирохгүй бол, энэ пакетийг 65535 дугаартай
бүх пакетийг хааж, явуулсан хүнд нь ямар ч хариу өгөлгүй орхигдуулна гэсэн
IPFW-н анхдагч дүрэмд албаар тохируулна.
count, skipto ба tee
дүрмүүдийн дараа хайлт үргэлжилнэ.
Энд байгаа зааварчилгаанууд нь төлөвт keep state, limit, in, out
болон via зэрэг тохируулгуудыг агуулсан дүрмүүд дээр үндэслэгдсэн байгаа. Энэ бол хамааруулсан
галт ханын дүрмийн олонлогийг бичих үндсэн арга барил юм.
Галт ханын дүрмүүдтэй ажиллахдаа маш анхааралтай байх хэрэгтэй.
Зарим тохиргоо серверээс бүх холбоог тань тасалж мэднэ.
Дүрмийн Синтакс
IPFW
дүрмийн синтакс
Энд үзүүлсэн дүрмийн синтакс нь стандарт хамааруулсан
галт хана үүсгэхэд шаардлагатай дүрмийн олонлогийг бичих хэмжээнд
тохируулан хялбаршуулсан байгаа. Дүрмийн синтаксын бүрэн тайлбарыг &man.ipfw.8;
заавар хуудаснаас үзнэ үү.
Дүрмүүд нь түлхүүр үгүүдийг агуулна. Эдгээр түлхүүр үгүүд нь
тухайн мөрөнд зүүнээс баруун тийш тодорхой дэс дараагаар бичигдэнэ.
Түлхүүр үгүүд тодоор бичигдэх тул түүгээр нь ялгаж танина. Зарим түлхүүр
үгүүд дэд-тохируулгатай байна. Тэр нь өөрөө түлхүүр үг байж болохоос гадна
цааш дэд-тохируулгуудыг агуулсан байж болно.
# гэсэн тэмдэгт тайлбарын эхлэлийг заах ба
дүрэм бичсэн мөрийн төгсгөлд эсвэл өөрөө бүтэн мөр байдлаар байрлана.
Хоосон мөрийг тооцохгүй.
CMD RULE_NUMBER ACTION LOGGING SELECTION
STATEFUL
CMD
Шинэ дүрэм бүр дотоод хүснэгтэнд бичигдэхийн тулд
add гэсэн түлхүүр үгийг өмнөө агуулж байх ёстой.
RULE_NUMBER
Дүрэм бүр өөрийн дүрмийн дугаартай байх ёстой.
ACTION
Тухайн дүрмийн сонголтын үзүүлэлтэд пакет тохироход
заасан action буюу үйлдлийг гүйцэтгэх ба дүрэм нь дараах үйлдлүүдийн
аль нэгтэй холбогдсон байна.
allow | accept | pass |
permit
Эдгээр нь бүгд нэг зүйлийг, тухайлбал: дүрэмд тохирсон пакетуудыг нэвтрүүлж, галт ханын
дүрэмтэй ажиллах явцаас гарахыг хэлж өгч байна. Эдгээр дүрмүүдийн дараа хайлт
дуусна.
check-state
нь динамик дүрмийн хүснэгттэй пакетуудыг
тулгана. Хэрэв тохирвол, энэ динамик дүрмийг үүсгэсэн дүрэмд харгалзах
үйлдлийг гүйцэтгэнэ, үгүй бол дараагийн дүрэмд шилжинэ. check-state дүрэмд
сонголтын шалгуур байхгүй. Хэрэв дүрмийн олонлогт check-state дүрэм байхгүй бол
эхний keep-state эсвэл limit дүрмийг динамик дүрмийн хүснэгттэй тулгана.
deny | drop
Энэ хоёр үг хоёул дүрэмд тохирсон пакетуудыг хаяхыг
заана. Хайлт энд дуусна.
Бүртгэл хөтлөлт
log эсвэл logamount
Пакет log гэсэн түлхүүр үг орсон дүрэмд тохироход, энэ тухай мессеж
&man.syslogd.8; уруу SECURITY гэсэн facility нэртэйгээр бүртгэгдэнэ. Зөвхөн
тухайн дүрмийн хувьд бүртгэгдсэн пакетийн тоо logamount параметрийн утгыг
даваагүй тохиолдолд бүртгэл явагдана. Хэрэв logamount-н утгыг зааж өгөөгүй бол,
sysctl-н net.inet.ip.fw.verbose_limit хувьсагчийн утгыг хязгаарын утга болгон авна.
Аль ч тохиолдолд тэг гэсэн утга бүртгэлийн хязгаарыг үгүй болгоно. Хязгаарт тулсан
тохиолдолд, бүртгэлийг дахин идэвхжүүлэхийн тулд бүртгэлийн тоолуурыг эсвэл
тухайн дүрмийн пакет тоолуурыг дахин эхлүүлнэ. ipfw reset log тушаалыг үзнэ үү.
Бүртгэл нь бусад бүх пакет тохирох нөхцлүүд амжилттай нотлогдсоны дараа,
мөн тухайн пакет дээр эцсийн үйлдлийг(зөвшөөрөх, татгалзах) хийхийн өмнө явагдана.
Ямар дүрмүүдийн хувьд бүртгэл явуулахыг та шийдэх болно.
Сонголт
Энд танилцуулах түлхүүр үгнүүд нь тухайн пакет дүрэмд тохирч байгаа
үгүй эсэхийг тодорхойлох үед, шалгагдаж байгаа пакетийн шинжүүдийг тодорхойлно.
Дараах байнгын хэрэглээний шинжүүд өгөгдсөн байдаг ба доорх дэс дарааллаар хэрэглэнэ:
udp | tcp | icmp
/etc/protocols файлд байгаа ямар ч протоколын
нэрийг бас хэрэглэж болно. Харин утга нь шалгагдах протоколын нэрийг заана. Энэ бол заавал
тавигдах шаардлага юм.
from src to dst
from ба to гэсэн түлхүүр үгүүд IP хаягийг шүүхэд хэрэглэгдэнэ.
Дүрмэнд хэрэглэхдээ эхлэл ба очих параметрүүдийг ХОЁУЛАНГ зааж өгөх ёстой.
any гэсэн тусгай түлхүүр үгийн тусламжтай бүх IP хаягийг
зөвшөөрч өгч болно. me гэсэн тусгай түлхүүр үг нь таны
&os; системийн аль нэг интерфэйс дээр тохируулсан IP хаягийг заах ба
галт хана ажиллаж байгаа PC-г (өөрөөр хэлбэл энэ машин) from me to
any эсвэл from any to me эсвэл from 0.0.0.0/0 to any эсвэл
from any to 0.0.0.0/0 эсвэл from 0.0.0.0 to any эсвэл from
any to 0.0.0.0 or from me to 0.0.0.0
гэсэн байдлаар төлөөлнө. IP хаягуудыг цэгтэй тоон хэлбэр/багийн-урт байдлаар эсвэл
зүгээр цэгтэй тоон хэлбэрээр бичиж болно. Энэ бол заавал тавигдах шаардлага юм.
Тооцооллыг хялбар болгохын тулд net-mgmt/ipcalc
портыг ашиглаж болох юм. Нэмэлт мэдээллийг хэрэгслийн вэб хуудаснаас үзэж
болно:
port number
Портын дугаарыг дэмждэг протоколуудын хувьд
(TCP ба UDP гэх мэт), тааруулахыг хүсэж байгаа портын
дугаарыг заавал бичиж өгөх ёстой байдаг. Портын тоон утгын оронд үйлчилгээний нэрийг(/etc/services
файлаас) хэрэглэж болно.
in | out
Орж байгаа болон гарч байгаа пакетуудыг харгалзан тааруулна.
in ба out нь түлхүүр үгүүд бөгөөд дүрэмд тааруулах шалгуур болгож энэ хоёр
үгийн аль нэгийг заавал бичсэн байх ёстой.
via IF
Нэрээр нь зааж өгсөн интерфэйсээр дайран өнгөрч буй пакетуудыг
тааруулна. via гэсэн түлхүүр үг нь тухайн интерфэйсийг тааруулах үйл явцын
нэг хэсэг байдлаар байнга шалгаж байхыг зааж өгнө.
setup
Энэ түлхүүр үг нь TCP пакетуудын хувьд
сесс эхлүүлэх хүсэлтийг зааж өгч байгаа заавал хэрэглэх түлхүүр үг юм.
keep-state
Энэ бол заавал хэрэглэх түлхүүр үг юм. Дүрэм таарахад, галт хана
яг тэр протоколыг ашиглан эхлэл болон очих IP/портын хооронд үүсэх
хоёр чиглэлтэй урсгалыг тааруулах анхдагч чанартай динамик дүрэм үүсгэнэ.
limit {src-addr | src-port | dst-addr |
dst-port}
Дүрэмд заасантай адил параметрүүдтэй холболтын тоог N-р
хязгаарлана. Нэг ба түүнээс дээш тооны эхлэл болон очих хаягууд, портуудыг зааж өгч болно.
limit ба keep-state-г нэг дүрэмд хамтад нь хэрэглэж болохгүй.
limit тохируулга нь keep-state-тэй адил төлөвт
функцуудыг гүйцэтгэхээс гадна өөрийн нэмэлт функцүүлтэй.
Төлөвт Дүрмийн Тохируулгууд
IPFW
төлөвт шүүлт
Төлөвт шүүлт нь урсгалыг сесс харилцаанаас бүрдэж буй хоёр чиглэлтэй пакет
солилцоо гэж үздэг. Мөн энэ нь сесс эхлүүлсэн болон хүлээн авсан хостуудын хоорондох сесс харилцаа нь
хоёр чиглэлтэй пакет солилцох процедуртай зохицож байгаа эсэхийг магадлах чадвартай байдаг.
Сесс харилцааны загварт зохицоогүй пакетийг хуурамч гэж үзэн хүлээж авахгүй.
check-state нь IPFW дүрмийн олонлогийн хаана нь пакетийг
динамик дүрмүүдийн боломжоор шалгахыг тогтооно. Таарсан тохиолдолд,
пакет галт ханыг нэвтэрч цааш явах ба энэ хоёр чиглэлт сесс харилцааны туршид
солилцох пакетуудын хувьд шинэ динамик дүрэм үүснэ. Таараагүй тохиолдолд,
пакет дүрмийн олонлогийн дараагийн дүрэмд шалгагдахаар шилжинэ.
Динамик дүрмүүдийн боломж нь маш олон тооны динамик дүрмүүдийг
нээдэг SYN-живүүлэх халдлагаас үүсэх нөөцийн хомсдолд эмзэг байдаг. Энэ халдлагаас зайлсхийхийн
тулд &os; limit гэсэн шинэ тохируулгыг нэмж өгсөн байдаг. Энэ тохируулгын
тусламжтай нэгэн зэрэг явагдах сесс харилцааны тоог хязгаарлана. limit тохируулгад
зааж өгсөн эхлэл болон очих талбаруудаар пакетийн IP хаягийг асуулга явуулах замаар шалгасны дараа,
энэ дүрэмд энэ IP хаягийн хослол хэдэн удаа таарсан тоог харгалзан хэрэв энэ тоо limit-д
зааснаас давсан бол тухайн пакетийг гээнэ.
Галт ханын мессежийг бүртгэх
IPFW
бүртгэл хөтлөлт
Бүртгэл хөтлөлтийн ашиг тус тодорхой юм: Таны бүртгэхээр идэвхжүүлсэн
дүрмүүдийн хувьд, ямар пакетууд гээгдсэн, тэдгээр нь ямар хаягаас ирсэн, хаашаа явж байсан
зэрэг мэдээллийг эргэн харах боломжийг олгох ба гадны халдлагыг мөрдөхөд танд чухал хувь
нэмэр болно.
Бүртгэл хөтлөх боломжийг идэвхжүүлсэн хэдий ч,
IPFW нь өөрөө ямар ч дүрмийг үүсгэхгүй. Администратор аль дүрмүүдийн хувьд
бүртгэл явуулахыг шийдэн, тэдгээр дүрмүүддээ log гэсэн түлхүүр үгийг нэмж бичнэ.
Ихэвчлэн зөвхөн татгалзах дүрмүүдийг бүртгэдэг, жишээлбэл ирж буй ICMP ping-г
татгалзах гэх мэт. Хамгийн сүүлд байгаа ipfw default deny everything
дүрмийг хувилан log түлхүүр
үгтэйгээр үүсгэх нь элбэг байдаг. Ийм байдлаар дүрмийн олонлогийн аль ч дүрмэнд таараагүй
пакетуудыг харах боломжтой болно.
Бүртгэл хөтлөлт нь хоёр талдаа иртэй сэлэмтэй адил юм,
хэрэв та хайхрамжгүй хандвал, диск дүүрэн бүртгэлийн мэдээлэл
дотроо учраа олохгүй суух болно. Дискийг дүүргэх DoS халдлага нь
хамгийн эртний халдлагуудын нэг юм. Эдгээр бүртгэлийн мессеж нь syslogd-д
бичигдэхээс гадна, root консол дэлгэцэн дээр гарах учир удахгүй ядаргаатай санагдаж
эхэлдэг.
IPFIREWALL_VERBOSE_LIMIT=5 гэсэн
цөмийн тохируулга нь системийн бүртгэл хөтлөгч болох &man.syslogd.8; уруу
шидэгдэж байгаа тухайн дүрэмд тохирсон пакетад харгалзах
дараалсан мессежийн тоог хязгаарлана. Энэ тохируулгыг идэвхжүүлсэн үед,
тодорхой дүрмийн хувьд дараалсан мессежийн тоог зааж өгсөн тоогоор хязгаарлана.
Нэг ижил зүйлийг хэлсэн 200 бүртгэлийн бичлэгээс мэдэж авах зүйл хомс юм.
Жишээ нь, тодорхой дүрмийн хувьд дараалсан таван бичлэг syslogd-д бичигдэнэ,
үлдсэн дараалсан ижил бичлэгүүд тоологдоод syslogd-д дараах байдалтай бичигдэнэ:
last message repeated 45 times
Бүртгэл хөтлөгдөж байгаа бүх пакетуудын мессежүүд /etc/syslog.conf
файлд анхдагч байдлаар зааж өгсөн /var/log/security файлд бичигдэнэ.
Дүрмийн скриптийг бүтээх
Туршлагатай IPFW хэрэглэгчид дүрмүүдийг агуулсан файл үүсгээд
түүнийгээ скрипт байдлаар ажиллуулах боломжтой байхаар бичдэг.
Үүний гол давуу тал нь дүрмүүдийг идэвхжүүлэхийн тулд
системийг дахин ачаалах шаардлагагүй болно. Энэ аргыг ашиглан хэдэн ч
удаа дараалан галт ханын дүрмүүдийг ачаалж болох тул шинэ дүрмүүдийг
шалгах үед хэрэглэхэд тохиромжтой байдаг. Скрипт учраас олон дахин бичигдэж байгаа
утгын оронд симбол орлуулалтыг ашиглах боломжтой. Энэ талаар дараах жишээн дээрээс харна уу.
Энд хэрэглэгдсэн скриптийн синтакс нь &man.sh.1;, &man.csh.1;, &man.tcsh.1; бүрхүүл дээр ажиллах
боломжтой. Симбол орлуулалттай талбарууд нь урдаа $ буюу долларын тэмдэгтэй байна.
Симбол талбарууд нь $ тэмдэг урдаа байхгүй. Симбол талбарыг орлох утга нь
давхар хашилтан (") дотор байрлана.
Дүрмийн файлаа дараах байдалтай үүсгэж эхлэх хэрэгтэй:
############### start of example ipfw rules script #############
#
ipfw -q -f flush # Delete all rules
# Set defaults
oif="tun0" # out interface
odns="192.0.2.11" # ISP's DNS server IP address
cmd="ipfw -q add " # build rule prefix
ks="keep-state" # just too lazy to key this each time
$cmd 00500 check-state
$cmd 00502 deny all from any to any frag
$cmd 00501 deny tcp from any to any established
$cmd 00600 allow tcp from any to any 80 out via $oif setup $ks
$cmd 00610 allow tcp from any to $odns 53 out via $oif setup $ks
$cmd 00611 allow udp from any to $odns 53 out via $oif $ks
################### End of example ipfw rules script ############
Байх ёстой бүх зүйлс бүгд байна. Энэ жишээн дээр дүрмүүд чухал биш,
харин симбол орлуулалт хэрхэн ажилладагыг харуулсан байна.
Хэрэв дээрх жишээ /etc/ipfw.rules нэртэй файл дотор байсан бол,
эдгээр дүрмүүдийг дараах тушаалыг өгч дахин ачаалах боломжтой:
&prompt.root; sh /etc/ipfw.rules
/etc/ipfw.rules гэсэн файл ямар ч нэртэй байж
болох ба таны хүссэн ямар ч газар байж болно.
Дараах скриптийг хоёр аргын нэгээр хэрэглэж болно:
Дээрхтэй адил зүйлсийг дараах тушаалыг гараар оруулан
гүйцэтгэж болно:
&prompt.root; ipfw -q -f flush
&prompt.root; ipfw -q add check-state
&prompt.root; ipfw -q add deny all from any to any frag
&prompt.root; ipfw -q add deny tcp from any to any established
&prompt.root; ipfw -q add allow tcp from any to any 80 out via tun0 setup keep-state
&prompt.root; ipfw -q add allow tcp from any to 192.0.2.11 53 out via tun0 setup keep-state
&prompt.root; ipfw -q add 00611 allow udp from any to 192.0.2.11 53 out via tun0 keep-state
Төлөвт дүрмийн олонлог
Дараах NAT хийгдээгүй дүрмийн олонлог нь
аюулгүй байдлыг маш сайн хангасан, хамааруулсан галт ханын дүрмүүдийг
хэрхэн бичих жишээ юм. Хамааруулсан галт хана нь зөвхөн pass дүрмүүдэд тохирсон
үйлчилгээг зөвшөөрч, бусдыг бүгдийг хаана. Сүлжээний бүх сегментийг хамгаалахаар
хийгдсэн галт хананууд хамгийн багадаа хоёр
интерфэйстэй байх ба галт хана маягаар ажиллахын тулд дүрмүүдийг тусгайлан зааж
өгсөн байна.
&os;-г оролцуулаад бүх &unix; төрлийн систем нь үйлдлийн систем
дэх дотоод харилцаандаа lo0 интерфэйс болон 127.0.0.1 гэсэн IP хаягийг хэрэглэхээр
бүтээгдсэн байдаг. Галт ханын дүрмүүд нь дотооддоо хэрэглэж байгаа эдгээр пакетуудыг
чөлөөтэй нэвтрүүлэх дүрмүүдийг агуулсан байх ёстой.
Интернэттэй холбогдож байгаа интерфэйс дээр гадагшаа болон
дотогшоо холболтуудыг удирдах болон хянах дүрмүүдийг байрлуулна.
Энэ нь таны PPP tun0 интерфэйс эсвэл таны DSL эсвэл кабель
модемд холбогдсон NIC байж болно.
Галт ханын цаана байгаа хувийн LAN-уудад нэг болон түүнээс дээш
тооны NIC-ууд холбогдсон тохиолдолд, тэдгээр интерфэйсүүдийн хувьд тэдгээр LAN
интерфэйсүүдээс ирсэн пакетуудыг чөлөөтэй нэвтрүүлэх дүрмийг агуулсан байх ёстой.
Дүрмүүд эхлээд гурван үндсэн хэсэгт хуваагдан зохион байгуулагдсан
байх ёстой: бүх чөлөөт халдашгүй интерфэйсүүд, нийтийн гадагшаа интерфэйс болон нийтийн дотогшоо интерфэйс.
Нийтийн интерфэйс бүр дээр байгаа дүрмүүдийн дараалал нь хамгийн олон тохиолддог
дүрмүүд нь хамгийн түрүүнд цөөн тохиолддог дүрмүүдээс өмнө байхаар, тухайн интерфэйс болон чиглэлийн
хувьд хаах болон бүртгэх дүрмүүд нь хамгийн сүүлд байхаар бичигдсэн байна.
Дараах жишээн дээрх гадагшаа хэсэг нь Интернэт хандалтыг зөвшөөрч өгөх
үйлчилгээг тодорхойлох сонголтын утгуудыг агуулсан зөвхөн allow дүрмүүдээс бүрдэж байна.
Бүх дүрмүүд proto, port, in/out, via ба
keep state тохируулгуудыг агуулсан байгаа.
proto tcp дүрмүүд нь төлөвт байдлыг идэвхжүүлж байгаа пакетийг keep state төлөвт хүснэгтэд нэмэх байдлаар,
сесс эхлүүлэх хүсэлтийг тодорхойлох зорилгоор setup тохируулгыг агуулсан байна.
Дотогшоо хэсэгт эхлээд хүсээгүй пакетуудыг хаах дүрмүүдийг бичсэн байна.
Энэ нь хоёр өөр шалтгаантай. Эхнийх нь хортой пакетууд нь
зөвшөөрөгдсөн пакетийн нэг хэсэг байж болох талтай. Эдгээр пакетуудыг
allow дүрэмд таарсан хэсэг дээр тулгуурлан зөвшөөрөлгүйгээр орхих ёстой.
Хоёр дахь шалтгаан нь тухайн хэсгийн хамгийн сүүлийн дүрмээр хааж бүртгэхийн оронд мэдэгдэж байгаа,
сонирхолгүй пакетуудыг чимээгүйхэн хааж болох юм.
Бүх пакетуудыг бүртгээд хаадаг хэсгийн хамгийн сүүлийн дүрмийг өөрийн систем уруу халдаж
байгаа хүмүүсийг шүүхэд шаардагдах халдлагын нотолгоог цуглуулахад хэрэглэж болно.
Өөр нэг тэмдэглэн хэлэх зүйл бол, хүсээгүй пакетуудын хариуд ямар ч хариу явуулахгүй
байх ёстойг санах хэрэгтэй. Буруу пакетууд орхигдож алга болох ёстой.
Ингэснээр халдлага явуулагч нь түүний явуулсан пакетууд таны системд
хүрсэн эсэх талаар юу ч мэдэхгүй үлдэх болно. Таны системийн талаар хэдий хэр бага мэднэ, төдий чинээ
аюулгүй байна гэсэн үг юм. Танигдаагүй портын дугаартай пакетуудын хувьд
/etc/services/ файлаас эсвэл
хаягаар тухайн порт ямар зориулалтаар ашиглагддагийг орж шалгаарай.
Троянуудын хэрэглэдэг портын дугааруудыг хаягаар орж шалгаарай.
Хамааруулсан дүрмийн олонлогийн жишээ
Дараах NAT хийгдээгүй дүрмийн олонлог нь
бүрэн хэмжээний хамааруулсан дүрмийн олонлог байгаа юм. Та энэ дүрмүүдийг өөрийн системдээ
ашиглахад буруудах юмгүй. Зөвшөөрөхийг хүсэхгүй байгаа үйлчилгээнүүдийн хувьд харгалзах
pass дүрмийг далдлаарай. Хэрэв бүртгэлд байгаа зарим мэдэгдлийг дахин харахыг хүсэхгүй,
бүртгэхийг хүсэхгүй байгаа бол дотогшоо хэсэгт deny дүрэм нэмж бичээрэй. Дүрэм бүрт байгаа
dc0 гэсэн интерфэйсийн нэрийн оронд таны системийг Интернэт уруу холбож байгаа NIC картны
интерфэйсийн нэрээр сольж тавиарай. Хэрэглэгчийн PPP-н хувьд, энэ нь tun0 байна.
Эдгээр дүрмүүдийг хэрэглэх явцад хэв маяг олж харах болно.
Интернэт уруу чиглэсэн сесс эхлүүлэх хүсэлтийг төлөөлж байгаа
илэрхийллүүд бүгд keep-state хэрэглэж байгаа.
Интернэтээс ирж буй бүх зөвшөөрөгдсөн үйлчилгээнүүд живүүлэх халдлагыг
зогсоох үүднээс limit гэсэн тохируулгын хамт бичигдсэн байгаа.
Бүх дүрмүүд чиглэлийг тодотгохын тулд in эсвэл out-г хэрэглэсэн байгаа.
Бүх дүрмүүд пакетийн дайран өнгөрөх interface-name интерфэйсийг тодорхойлж өгөхдөө via-г хэрэглэсэн байгаа.
Дараах дүрмүүд /etc/ipfw.rules дотор байрлана.
################ Start of IPFW rules file ###############################
# Flush out the list before we begin.
ipfw -q -f flush
# Set rules command prefix
cmd="ipfw -q add"
pif="dc0" # public interface name of NIC
# facing the public Internet
#################################################################
# No restrictions on Inside LAN Interface for private network
# Not needed unless you have LAN.
# Change xl0 to your LAN NIC interface name
#################################################################
#$cmd 00005 allow all from any to any via xl0
#################################################################
# No restrictions on Loopback Interface
#################################################################
$cmd 00010 allow all from any to any via lo0
#################################################################
# Allow the packet through if it has previous been added to the
# the "dynamic" rules table by a allow keep-state statement.
#################################################################
$cmd 00015 check-state
#################################################################
# Interface facing Public Internet (Outbound Section)
# Interrogate session start requests originating from behind the
# firewall on the private network or from this gateway server
# destine for the public Internet.
#################################################################
# Allow out access to my ISP's Domain name server.
# x.x.x.x must be the IP address of your ISP.s DNS
# Dup these lines if your ISP has more than one DNS server
# Get the IP addresses from /etc/resolv.conf file
$cmd 00110 allow tcp from any to x.x.x.x 53 out via $pif setup keep-state
$cmd 00111 allow udp from any to x.x.x.x 53 out via $pif keep-state
# Allow out access to my ISP's DHCP server for cable/DSL configurations.
# This rule is not needed for .user ppp. connection to the public Internet.
# so you can delete this whole group.
# Use the following rule and check log for IP address.
# Then put IP address in commented out rule & delete first rule
$cmd 00120 allow log udp from any to any 67 out via $pif keep-state
#$cmd 00120 allow udp from any to x.x.x.x 67 out via $pif keep-state
# Allow out non-secure standard www function
$cmd 00200 allow tcp from any to any 80 out via $pif setup keep-state
# Allow out secure www function https over TLS SSL
$cmd 00220 allow tcp from any to any 443 out via $pif setup keep-state
# Allow out send & get email function
$cmd 00230 allow tcp from any to any 25 out via $pif setup keep-state
$cmd 00231 allow tcp from any to any 110 out via $pif setup keep-state
# Allow out FBSD (make install & CVSUP) functions
# Basically give user root "GOD" privileges.
$cmd 00240 allow tcp from me to any out via $pif setup keep-state uid root
# Allow out ping
$cmd 00250 allow icmp from any to any out via $pif keep-state
# Allow out Time
$cmd 00260 allow tcp from any to any 37 out via $pif setup keep-state
# Allow out nntp news (i.e. news groups)
$cmd 00270 allow tcp from any to any 119 out via $pif setup keep-state
# Allow out secure FTP, Telnet, and SCP
# This function is using SSH (secure shell)
$cmd 00280 allow tcp from any to any 22 out via $pif setup keep-state
# Allow out whois
$cmd 00290 allow tcp from any to any 43 out via $pif setup keep-state
# deny and log everything else that.s trying to get out.
# This rule enforces the block all by default logic.
$cmd 00299 deny log all from any to any out via $pif
#################################################################
# Interface facing Public Internet (Inbound Section)
# Check packets originating from the public Internet
# destined for this gateway server or the private network.
#################################################################
# Deny all inbound traffic from non-routable reserved address spaces
$cmd 00300 deny all from 192.168.0.0/16 to any in via $pif #RFC 1918 private IP
$cmd 00301 deny all from 172.16.0.0/12 to any in via $pif #RFC 1918 private IP
$cmd 00302 deny all from 10.0.0.0/8 to any in via $pif #RFC 1918 private IP
$cmd 00303 deny all from 127.0.0.0/8 to any in via $pif #loopback
$cmd 00304 deny all from 0.0.0.0/8 to any in via $pif #loopback
$cmd 00305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config
$cmd 00306 deny all from 192.0.2.0/24 to any in via $pif #reserved for docs
$cmd 00307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster interconnect
$cmd 00308 deny all from 224.0.0.0/3 to any in via $pif #Class D & E multicast
# Deny public pings
$cmd 00310 deny icmp from any to any in via $pif
# Deny ident
$cmd 00315 deny tcp from any to any 113 in via $pif
# Deny all Netbios service. 137=name, 138=datagram, 139=session
# Netbios is MS/Windows sharing services.
# Block MS/Windows hosts2 name server requests 81
$cmd 00320 deny tcp from any to any 137 in via $pif
$cmd 00321 deny tcp from any to any 138 in via $pif
$cmd 00322 deny tcp from any to any 139 in via $pif
$cmd 00323 deny tcp from any to any 81 in via $pif
# Deny any late arriving packets
$cmd 00330 deny all from any to any frag in via $pif
# Deny ACK packets that did not match the dynamic rule table
$cmd 00332 deny tcp from any to any established in via $pif
# Allow traffic in from ISP's DHCP server. This rule must contain
# the IP address of your ISP.s DHCP server as it.s the only
# authorized source to send this packet type.
# Only necessary for cable or DSL configurations.
# This rule is not needed for .user ppp. type connection to
# the public Internet. This is the same IP address you captured
# and used in the outbound section.
#$cmd 00360 allow udp from any to x.x.x.x 67 in via $pif keep-state
# Allow in standard www function because I have apache server
$cmd 00400 allow tcp from any to me 80 in via $pif setup limit src-addr 2
# Allow in secure FTP, Telnet, and SCP from public Internet
$cmd 00410 allow tcp from any to me 22 in via $pif setup limit src-addr 2
# Allow in non-secure Telnet session from public Internet
# labeled non-secure because ID & PW are passed over public
# Internet as clear text.
# Delete this sample group if you do not have telnet server enabled.
$cmd 00420 allow tcp from any to me 23 in via $pif setup limit src-addr 2
# Reject & Log all incoming connections from the outside
$cmd 00499 deny log all from any to any in via $pif
# Everything else is denied by default
# deny and log all packets that fell through to see what they are
$cmd 00999 deny log all from any to any
################ End of IPFW rules file ###############################
<acronym>NAT</acronym> болон Төлөвт дүрмийн олонлогийн жишээ
NAT
ба IPFW
IPFW-н NAT функцыг идэвхжүүлэхийн тулд зарим
нэмэлт тохиргооны илэрхийллүүдийг идэвхжүүлэх хэрэгтэй болдог. Цөмийн эх кодын
бусад IPFIREWALL илэрхийллүүд дээр option IPDIVERT илэрхийллийг нэмж эмхэтгэн
тусгайлан бэлдсэн цөмийг гаргаж авах хэрэгтэй.
/etc/rc.conf доторх энгийн IPFW тохируулгууд дээр
нэмж дараах тохируулгууд хэрэгтэй болно.
natd_enable="YES" # Enable NATD function
natd_interface="rl0" # interface name of public Internet NIC
natd_flags="-dynamic -m" # -m = preserve port numbers if possible
Төлөвт дүрмүүдийг divert natd (Сүлжээний хаягийн Хөрвүүлэлт)
дүрмийн хамт хэрэглэх нь дүрмийн олонлог бичих логикийг төвөгтэй болгодог.
check-state ба divert natd дүрмүүдийн дүрмийн олонлог дахь байрлал нь маш
их нөлөөтэй. Энэ нь хялбар дайраад-өнгөрөх логик урсгал биш болно.
skipto гэсэн шинэ үйлдлийн төрлийг хэрэглэх болно. skipto-г хэрэглэхдээ
skipto дүрмийн дугаар хаашаа үсрэхээ мэдэж байхын тулд бүх дүрмүүдийг дугаарлах хэрэгтэй болно.
Дараах тайлбаргүй жишээн дээр пакет дүрмийн олонлогоор дайрч
өнгөрөх дарааллыг тайлбарлахаар сонгон авсан дүрэм бичих арга байгаа юм.
Дүрэмтэй ажиллах процесс дүрмийн файлд байгаа хамгийн эхний
дүрмээр эхлэн цааш дүрмүүдийг нэг нэгээр уншин, файлын төгсгөл хүртэл эсвэл
пакет аль нэг дүрмийн сонголтын шалгуурт тохирч галт ханыг орхих хүртэл үргэлжилнэ.
100, 101, 450, 500, ба 510 дугаартай дүрмүүдийн байрлалыг сайн анзаарах хэрэгтэй.
Эдгээр дүрмүүд нь гадагшаа болон дотогшоо чиглэлтэй пакетуудын хөрвүүлэлтийг
удирдах бөгөөд ингэснээр keep-state динамик хүснэгтэн дэх тэдгээрт харгалзах
мөрөнд хувийн LAN IP хаяг бүртгэгдсэн байх нөхцөлийг хангана. Дараа нь,
бүх зөвшөөрөх болон татгалзах дүрмүүдэд пакетийн явж буй чиглэл (өөрөөр хэлбэл гадагшаа эсвэл дотогшоо)
ба интерфэйсийг зааж өгсөн байгааг анзаараарай. Мөн гадагшаа сесс эхлүүлэх хүсэлтүүд,
сүлжээний хаягийн хөрвүүлэлтийн бүх skipto rule 500-с эхэлж байгааг анзаарна уу.
Нэгэн LAN хэрэглэгч вэб хуудас үзэхийн тулд вэб хөтчийг хэрэглэж байна гэж бодъё.
Веб хуудсууд 80-р портоор дамждаг. Пакет галт хананд ирнэ,
гадагшаа чиглэж байгаа тул 100-р дүрмэнд тохирохгүй. 101-р дүрмийг мөн
өнгөрнө, яагаад гэвэл энэ нь хамгийн анхны пакет тул keep-state
динамик хүснэгтэнд хараахан бичигдэж амжаагүй байгаа. Пакет эцэст нь
125-р дүрэм дээр ирж, дүрэмд таарна. Энэ пакет Интернэт уруу харсан
NIC-р гадагшаа гарч байгаа. пакетийн эхлэл IP хаяг нь хувийн LAN IP хаяг хэвээр байгаа.
Энэ дүрмэнд таарах үед хоёр үйлдэл хийгдэнэ. keep-state тохируулга энэ дүрмийг
keep-state динамик дүрмийн хүснэгтэнд нэмнэ, мөн зааж өгсөн үйлдлийг гүйцэтгэнэ.
Үйлдэл нь динамик хүснэгтэд нэмэгдсэн мэдээллийн нэг хэсэг байна. Энэ тохиолдолд
skipto rule 500 байна. 500-р дүрэм нь пакетийн IP хаягийг NAT хийж,
пакетийг гадагш явуулна. Үүнийг бүү мартаарай, энэ бол маш чухал шүү.
Энэ пакет өөрийн замаар хүрэх газраа хүрэх бөгөөд хариу пакет үүсч буцаж илгээгдэнэ.
Энэ шинэ пакет буцаж ирэхдээ мөн л энэ дүрмийн олонлогийг дайрна.
Энэ үед харин 100-р дүрэмд тохирч, очих IP хаяг нь буцаж харгалзах LAN IP хаяг уруу хөрвүүлэгдэнэ.
Дараа нь check-state дүрмээр гарах ба хүснэгтэнд явагдаж байгаа сесс харилцаанд оролцож байгаа
гэж тэмдэглэгдсэн тул цааш LAN уруу нэвтрэн орно. Тэгээд өөрийг нь анх явуулсан LAN PC уруу очих ба
алсын серверээс өөр хэсэг өгөгдлийг авахыг хүссэн шинэ пакетийг явуулна. Энэ удаа энэ пакет
check-state дүрмээр шалгагдах ба түүний гадагшаа урсгалд харгалзах мөр олдох тул харгалзах
үйлдэл skipto 500-г гүйцэтгэнэ. Пакет 500-р мөр уруу үсэрч NAT хийгдэн цааш
өөрийн замаар явах болно.
Дотогшоо урсгал дээр, идэвхтэй сесс харилцаанд оролцож байгаа
гаднаас ирж байгаа бүх зүйлс автоматаар check-state дүрмээр болон зохих
divert natd дүрмүүдээр шийдэгдэнэ. Энд бидний хийх ёстой зүйл бол
хэрэггүй пакетуудыг татгалзаж, зөвшөөрөгдсөн үйлчилгээг нэвтрүүлэх юм.
Галт ханын байгаа машин дээр апачи сервер ажиллаж байна, тэгээд Интернэтээс
хүмүүс энэ дотоод вэб сайт уруу хандаж байна гэж бодъё. Шинэ дотогшоо сесс эхлүүлэх
хүсэлтийн пакет 100-р дүрэмд тохирох бөгөөд түүний IP хаяг галт ханын LAN IP
хаяг уруу оноолт хийгдэнэ. Дараа нь энэ пакет цааш бүх дүрмүүдээр шалгагдан
эцэст нь 425-р дүрэмд тохирно. Энэ дүрэмд таарах үед хоёр үйлдэл хийгдэнэ.
Энэ дүрэм keep-state динамик дүрмийн хүснэгтэнд нэмэгдэнэ, мөн зааж өгсөн үйлдлийг гүйцэтгэнэ.
Гэвч энэ тохиолдолд энэ эхлэл IP хаягнаас эхэлсэн шинэ сесс эхлүүлэх хүсэлтийн тоо 2-оор хязгаарлагдана.
Энэ нь тодорхой порт дээр ажиллаж байгаа үйлчилгээний хувьд DoS халдлагаас хамгаална.
Харгалзах үйлдэл нь allow тул пакет LAN уруу нэвтэрнэ. Хариу болон үүсгэгдсэн пакетыг
check-state дүрэм идэвхтэй сесс харилцаанд хамаарч байгаа гэж танина. Тэгээд 500-р дүрэм уруу шилжүүлэн,
пакет тэнд NAT хийгдээд цааш гадагшаа интерфэйсээр гарна.
Жишээ дүрмийн олонлог #1:
#!/bin/sh
cmd="ipfw -q add"
skip="skipto 500"
pif=rl0
ks="keep-state"
good_tcpo="22,25,37,43,53,80,443,110,119"
ipfw -q -f flush
$cmd 002 allow all from any to any via xl0 # exclude LAN traffic
$cmd 003 allow all from any to any via lo0 # exclude loopback traffic
$cmd 100 divert natd ip from any to any in via $pif
$cmd 101 check-state
# Authorized outbound packets
$cmd 120 $skip udp from any to xx.168.240.2 53 out via $pif $ks
$cmd 121 $skip udp from any to xx.168.240.5 53 out via $pif $ks
$cmd 125 $skip tcp from any to any $good_tcpo out via $pif setup $ks
$cmd 130 $skip icmp from any to any out via $pif $ks
$cmd 135 $skip udp from any to any 123 out via $pif $ks
# Deny all inbound traffic from non-routable reserved address spaces
$cmd 300 deny all from 192.168.0.0/16 to any in via $pif #RFC 1918 private IP
$cmd 301 deny all from 172.16.0.0/12 to any in via $pif #RFC 1918 private IP
$cmd 302 deny all from 10.0.0.0/8 to any in via $pif #RFC 1918 private IP
$cmd 303 deny all from 127.0.0.0/8 to any in via $pif #loopback
$cmd 304 deny all from 0.0.0.0/8 to any in via $pif #loopback
$cmd 305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config
$cmd 306 deny all from 192.0.2.0/24 to any in via $pif #reserved for docs
$cmd 307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster
$cmd 308 deny all from 224.0.0.0/3 to any in via $pif #Class D & E multicast
# Authorized inbound packets
$cmd 400 allow udp from xx.70.207.54 to any 68 in $ks
$cmd 420 allow tcp from any to me 80 in via $pif setup limit src-addr 1
$cmd 450 deny log ip from any to any
# This is skipto location for outbound stateful rules
$cmd 500 divert natd ip from any to any out via $pif
$cmd 510 allow ip from any to any
######################## end of rules ##################
Дараах жишээ дээрхтэй нилээд төстэй боловч туршлагагүй IPFW дүрэм бичигчид зориулан
дүрмүүд юунд зориулагдсаныг тайлбарласан тайлбартай байгаагаараа онцлог юм.
Жишээ дүрмийн олонлог #2:
#!/bin/sh
################ Start of IPFW rules file ###############################
# Flush out the list before we begin.
ipfw -q -f flush
# Set rules command prefix
cmd="ipfw -q add"
skip="skipto 800"
pif="rl0" # public interface name of NIC
# facing the public Internet
#################################################################
# No restrictions on Inside LAN Interface for private network
# Change xl0 to your LAN NIC interface name
#################################################################
$cmd 005 allow all from any to any via xl0
#################################################################
# No restrictions on Loopback Interface
#################################################################
$cmd 010 allow all from any to any via lo0
#################################################################
# check if packet is inbound and nat address if it is
#################################################################
$cmd 014 divert natd ip from any to any in via $pif
#################################################################
# Allow the packet through if it has previous been added to the
# the "dynamic" rules table by a allow keep-state statement.
#################################################################
$cmd 015 check-state
#################################################################
# Interface facing Public Internet (Outbound Section)
# Check session start requests originating from behind the
# firewall on the private network or from this gateway server
# destined for the public Internet.
#################################################################
# Allow out access to my ISP's Domain name server.
# x.x.x.x must be the IP address of your ISP's DNS
# Dup these lines if your ISP has more than one DNS server
# Get the IP addresses from /etc/resolv.conf file
$cmd 020 $skip tcp from any to x.x.x.x 53 out via $pif setup keep-state
# Allow out access to my ISP's DHCP server for cable/DSL configurations.
$cmd 030 $skip udp from any to x.x.x.x 67 out via $pif keep-state
# Allow out non-secure standard www function
$cmd 040 $skip tcp from any to any 80 out via $pif setup keep-state
# Allow out secure www function https over TLS SSL
$cmd 050 $skip tcp from any to any 443 out via $pif setup keep-state
# Allow out send & get email function
$cmd 060 $skip tcp from any to any 25 out via $pif setup keep-state
$cmd 061 $skip tcp from any to any 110 out via $pif setup keep-state
# Allow out FreeBSD (make install & CVSUP) functions
# Basically give user root "GOD" privileges.
$cmd 070 $skip tcp from me to any out via $pif setup keep-state uid root
# Allow out ping
$cmd 080 $skip icmp from any to any out via $pif keep-state
# Allow out Time
$cmd 090 $skip tcp from any to any 37 out via $pif setup keep-state
# Allow out nntp news (i.e. news groups)
$cmd 100 $skip tcp from any to any 119 out via $pif setup keep-state
# Allow out secure FTP, Telnet, and SCP
# This function is using SSH (secure shell)
$cmd 110 $skip tcp from any to any 22 out via $pif setup keep-state
# Allow out whois
$cmd 120 $skip tcp from any to any 43 out via $pif setup keep-state
# Allow ntp time server
$cmd 130 $skip udp from any to any 123 out via $pif keep-state
#################################################################
# Interface facing Public Internet (Inbound Section)
# Check packets originating from the public Internet
# destined for this gateway server or the private network.
#################################################################
# Deny all inbound traffic from non-routable reserved address spaces
$cmd 300 deny all from 192.168.0.0/16 to any in via $pif #RFC 1918 private IP
$cmd 301 deny all from 172.16.0.0/12 to any in via $pif #RFC 1918 private IP
$cmd 302 deny all from 10.0.0.0/8 to any in via $pif #RFC 1918 private IP
$cmd 303 deny all from 127.0.0.0/8 to any in via $pif #loopback
$cmd 304 deny all from 0.0.0.0/8 to any in via $pif #loopback
$cmd 305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config
$cmd 306 deny all from 192.0.2.0/24 to any in via $pif #reserved for docs
$cmd 307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster
$cmd 308 deny all from 224.0.0.0/3 to any in via $pif #Class D & E multicast
# Deny ident
$cmd 315 deny tcp from any to any 113 in via $pif
# Deny all Netbios service. 137=name, 138=datagram, 139=session
# Netbios is MS/Windows sharing services.
# Block MS/Windows hosts2 name server requests 81
$cmd 320 deny tcp from any to any 137 in via $pif
$cmd 321 deny tcp from any to any 138 in via $pif
$cmd 322 deny tcp from any to any 139 in via $pif
$cmd 323 deny tcp from any to any 81 in via $pif
# Deny any late arriving packets
$cmd 330 deny all from any to any frag in via $pif
# Deny ACK packets that did not match the dynamic rule table
$cmd 332 deny tcp from any to any established in via $pif
# Allow traffic in from ISP's DHCP server. This rule must contain
# the IP address of your ISP's DHCP server as it's the only
# authorized source to send this packet type.
# Only necessary for cable or DSL configurations.
# This rule is not needed for 'user ppp' type connection to
# the public Internet. This is the same IP address you captured
# and used in the outbound section.
$cmd 360 allow udp from x.x.x.x to any 68 in via $pif keep-state
# Allow in standard www function because I have Apache server
$cmd 370 allow tcp from any to me 80 in via $pif setup limit src-addr 2
# Allow in secure FTP, Telnet, and SCP from public Internet
$cmd 380 allow tcp from any to me 22 in via $pif setup limit src-addr 2
# Allow in non-secure Telnet session from public Internet
# labeled non-secure because ID & PW are passed over public
# Internet as clear text.
# Delete this sample group if you do not have telnet server enabled.
$cmd 390 allow tcp from any to me 23 in via $pif setup limit src-addr 2
# Reject & Log all unauthorized incoming connections from the public Internet
$cmd 400 deny log all from any to any in via $pif
# Reject & Log all unauthorized out going connections to the public Internet
$cmd 450 deny log all from any to any out via $pif
# This is skipto location for outbound stateful rules
$cmd 800 divert natd ip from any to any out via $pif
$cmd 801 allow ip from any to any
# Everything else is denied by default
# deny and log all packets that fell through to see what they are
$cmd 999 deny log all from any to any
################ End of IPFW rules file ###############################
diff --git a/mn_MN.UTF-8/books/handbook/linuxemu/chapter.sgml b/mn_MN.UTF-8/books/handbook/linuxemu/chapter.sgml
index f07005ac70..9331fb8da6 100644
--- a/mn_MN.UTF-8/books/handbook/linuxemu/chapter.sgml
+++ b/mn_MN.UTF-8/books/handbook/linuxemu/chapter.sgml
@@ -1,3319 +1,3337 @@
Жим
Мок
Дахин зохион байгуулж хэсгүүдийг шинэчилсэн
Брайн Н.
Хэнди
Анхлан хувь нэмэр болгон оруулсан
Рич
Мёрфи
Цагаанхүүгийн
Ганболд
Орчуулсан
Линуксийн Хоёртын Нийлэмж
Ерөнхий агуулга
Линуксийн Хоёртын Нийлэмж
хоёртын нийлэмж
Линукс
FreeBSD нь Линуксийг оруулаад хэд хэдэн бусад &unix; төст үйлдлийн системүүдтэй
хоёртын нийлэмжтэй байдаг. Та магадгүй FreeBSD яагаад Линукс хоёртын файлуудыг
ажиллуулж чаддаг байх хэрэгтэй вэ? гэж өөрөөсөө асууж болох юм. Энэ асуултын
хариулт их энгийн. Линукс нь тооцоолох ертөнц дэх хамгийн сүүлийн үеийн
халуун зүйл
болохоор олон компаниуд болон хөгжүүлэгчид зөвхөн
Линуксд зориулж хөгжүүлдэг. Тэгэхээр бидний FreeBSD хэрэглэгчид эдгээр компаниуд болон
хөгжүүлэгчдээс өөрсдийн програмууддаа зориулж FreeBSD-ийн хувилбарууд бичихийг
шалгаахаас өөр аргагүйд хүргэдэг. Гол асуудал нь эдгээр компаниудын ихэнх нь
өөрсдийнх нь бүтээгдэхүүн бас FreeBSD дээрх хувилбартай байсан бол
хэр олон хүмүүс ашиглахыг яг үнэндээ бодож байгаагүй бөгөөд ихэнх нь зөвхөн
Линуксд зориулж хөгжүүлэлт хийсээр байдаг. Тэгэхээр FreeBSD хэрэглэгчид юу
хийх вэ? Яг энэ үед Линуксийн хоёртын нийлэмж хэрэг болдог билээ.
Товчхондоо нийлэмж нь FreeBSD хэрэглэгчдэд Линуксийн бүх програмуудын
ойролцоогоор 90%-ийг засваргүйгээр ажиллуулах боломжийг олгодог. Эдгээрт
&staroffice;,
&netscape;-ийн Линуксийн хувилбар,
&adobe; &acrobat;,
&realplayer;,
VMware,
&oracle;,
&wordperfect;, Doom,
Quake зэрэг олон програмууд орно.
Зарим тохиолдолд Линуксийн хоёртын файлууд нь Линукс дээр байгаагаас
илүү хурдан FreeBSD дээр ажилладаг тохиолдол гарсан байна.
Гэхдээ зарим нэг Линуксд зөвхөн зориулагдсан үйлдлийн системийн
боломжууд FreeBSD дээр дэмжигдээгүй байдаг. Хэрэв Линуксийн хоёртын файлууд нь
виртуал 8086 горимыг идэвхжүүлэх зэрэг зөвхөн &i386;-д зориулсан дуудлагуудыг
ихээр ашиглаж байгаа үед ажилладаггүй.
Энэ бүлгийг уншиж дууссаны дараа та дараах зүйлсийг мэдэх болно:
Өөрийн систем дээр Линуксийн хоёртын нийлэмжийг хэрхэн идэвхжүүлэх талаар.
Линуксийн нэмэлт хуваалцсан сангуудыг хэрхэн суулгах талаар.
Өөрийн FreeBSD систем дээр Линуксийн програмуудыг хэрхэн суулгах талаар.
FreeBSD дээрх Линуксийн нийлэмжийн шийдлийн нарийн учруудын талаар.
Энэ бүлгийг уншихаасаа өмнө, та дараах зүйлсийг мэдэх шаардлагатай:
Гуравдагчдын бүтээсэн програм хангамжуудыг хэрхэн суулгах талаар мэдэх ().
Суулгалт
KLD (цөмд дуудагдах боломжтой обьект)
Линуксийн хоёртын нийлэмж анхдагчаар идэвхтэй байдаггүй. Энэ ажиллагааг хамгийн
хялбараар идэвхжүүлэхийн тулд линукс KLD обьектийг
(Kernel LoaDable обьект
) дуудах явдал юм.
Та энэ модулийг дараах тушаалыг root эрхээр
ажиллуулж дуудаж болно:
&prompt.root; kldload linux
Хэрэв та Линуксийн нийлэмжийг үргэлж идэвхжүүлэхийг хүсэж байгаа бол
дараах мөрийг /etc/rc.conf файлд нэмэх
хэрэгтэй:
linux_enable="YES"
KLD дуудагдсан эсэхийг шалгахын тулд &man.kldstat.8; тушаалыг ашиглаж
болно:
&prompt.user; kldstat
Id Refs Address Size Name
1 2 0xc0100000 16bdb8 kernel
7 1 0xc24db000 d000 linux.ko
цөмийн тохируулгууд
COMPAT_LINUX
Хэрэв ямар нэгэн шалтгаанаас болоод та KLD-г хүсэхгүй эсвэл дуудаж чадахгүй
байгаа бол options COMPAT_LINUX тохируулгыг
өөрийн цөмийн тохиргооны файлдаа нэмж Линуксийн хоёртын нийлэмжийг
статикаар холбож болох юм. Дараа нь
хэсэгт тайлбарласны дагуу өөрийн шинэ цөмийг суулгах хэрэгтэй.
Линуксийн ажиллах үеийн сангуудыг суулгах нь
Линукс
Линуксийн сангуудыг суулгах
linux_base порт
юм уу эсвэл тэдгээрийг гараар суулгах гэсэн
хоёр аргын аль нэгээр үүнийг хийж болох юм.
linux_base портыг суулгаж ашиглах
Портын цуглуулга
Ажиллах үеийн сангуудыг суулгахад ашиглах хамгийн хялбар арга нь энэ
юм. Энэ нь ямар нэгэн портыг
Портын цуглуулгаас
суулгаж байгаатай адил юм. Ердөө л доор дурдсаныг хийх хэрэгтэй:
&prompt.root; cd /usr/ports/emulators/linux_base-fc10
&prompt.root; make install distclean
&os; 8.0-с өмнөх &os; системүүд дээр та
emulators/linux_base-f10-ийн оронд
emulators/linux_base-fc4 портыг
ашиглах ёстой.
Та одоо ажилладаг Линуксийн хоёртын нийлэмжтэй болсон байх ёстой.
Зарим програмууд системийн сангуудын буруу бага хувилбаруудын талаар гомдоллож
болох юм. Гэхдээ энэ нь ерөнхийдөө асуудал биш байдаг.
Төрөл бүрийн Линукс тархацуудын янз бүрийн хувилбаруудад
тохирох emulators/linux_base портын олон
хувилбарууд байж болох юм. Таны суулгахыг хүсэж байгаа Линуксийн програмуудын
шаардлагыг аль болох ойр хангаж байгаа тийм портыг та суулгах шаардлагатай.
Сангуудыг гараар суулгах
Хэрэв та портын
цуглуулга суулгаагүй бол сангуудыг
гараар суулгаж болно. Програмын хамаардаг Линуксийн хуваалцсан сангууд болон
ажиллах үеийн холбогч (linker) танд хэрэгтэй болно. Та бас
сүүдэр root
сан буюу /compat/linux
санг өөрийн FreeBSD систем дээр Линуксийн сангуудад зориулж үүсгэх хэрэгтэй
болно. FreeBSD дээр ажиллаж байгаа Линуксийн програмуудын онгойлгосон дурын
хуваалцсан сангууд энэ модыг эхлээд хайдаг. Тэгэхээр хэрэв Линуксийн програм
жишээ нь /lib/libc.so-г дуудвал FreeBSD эхлээд
/compat/linux/lib/libc.so-г онгойлгохыг
оролдох бөгөөд хэрэв байхгүй бол /lib/libc.so-г
оролдох болно. Хуваалцсан сангууд нь Линуксийн ld.so тушаалаар
гарч байгаа замуудад биш харин сүүдэр мод /compat/linux/lib-т
суулгагдах ёстой.
Ерөнхийдөө таныг Линуксийн програм өөрийн FreeBSD системд суулгах эхний
цөөхөн хэдэн удаад зөвхөн Линуксийн хоёртын файлуудын хамаардаг хуваалцсан сангуудыг
хайх хэрэгтэй болно. Хэсэг хугацааны дараа та өөрийн систем дээрээ
ямар нэгэн илүү ажиллагаагүйгээр шинээр импорт хийгдсэн Линуксийн хоёртын файлуудыг
ажиллуулж чадах Линуксийн хуваалцсан сангуудын хангалттай олонлогтой
болсон байх болно.
Нэмэлт хуваалцсан сангуудыг хэрхэн суулгах вэ
хуваалцсан сангууд
linux_base портыг суулгасан ч гэсэн
таны програм хуваалцсан сангууд байхгүй байна гээд гомдоллоод байвал
яах вэ? Линуксийн хоёртын файлуудад ямар хуваалцсан сангууд хэрэгтэйг
яаж мэдэх вэ, тэдгээрийг хаанаас авах вэ? Үндсэндээ 2 боломж байдаг
(эдгээр заавруудыг дагаж байхдаа та өөрийн FreeBSD систем дээрээ
root байх хэрэгтэй болно).
Линукс системд хандах боломжтой бол програмд ямар хуваалцсан
сангууд хэрэгтэйг мэдээд тэдгээрийг өөрийн FreeBSD систем уруу хуулах
хэрэгтэй. Доорх жишээг харна уу:
Та FTP ашиглан Doom гэсэн
Линуксийн хоёртын файлыг авч өөрөө хандаж болох Линукс систем
дээрээ байрлуулсан гэж үзье. Та тэгээд үүний шаарддаг хуваалцсан
сангуудыг ldd linuxdoom тушаал
ашиглан иймэрхүүгээр шалгаж болно:
&prompt.user; ldd linuxdoom
libXt.so.3 (DLL Jump 3.1) => /usr/X11/lib/libXt.so.3.1.0
libX11.so.3 (DLL Jump 3.1) => /usr/X11/lib/libX11.so.3.1.0
libc.so.4 (DLL Jump 4.5pl26) => /lib/libc.so.4.6.29
симболын холбоосууд
Та сүүлийн баганад байгаа бүх файлуудыг авч эхний баганад байгаа нэрсийг
тэдгээр уруу заасан симболын холбоосууд болгон
/compat/linux дотор байрлуулах хэрэгтэй.
Энэ нь та өөрийн FreeBSD системдээ эцсийн эцэст эдгээр файлуудтай
болно гэсэн үг юм:
/compat/linux/usr/X11/lib/libXt.so.3.1.0
/compat/linux/usr/X11/lib/libXt.so.3 -> libXt.so.3.1.0
/compat/linux/usr/X11/lib/libX11.so.3.1.0
/compat/linux/usr/X11/lib/libX11.so.3 -> libX11.so.3.1.0
/compat/linux/lib/libc.so.4.6.29
/compat/linux/lib/libc.so.4 -> libc.so.4.6.29
Хэрэв та ldd тушаалын гаралтын
эхний баганатай Линуксийн хуваалцсан сангийн гол залруулалтын дугаар
таарсан тийм Линуксийн хуваалцсан сантай байгаа бол сүүлийн баганад
байгаа файлуудыг өөрийн систем уруу хуулах шаардлагагүй бөгөөд
танд байгаа чинь ажиллах ёстойг санаарай. Хэрэв шинэ хувилбар
бол хуваалцсан санг ямар ч байсан хуулахыг зөвлөдөг. Та шинэ уруу
заасан симболын холбоос үүсгэснийхээ дараа хуучинг устгаж болно.
Тэгэхээр хэрэв эдгээр сангууд таны өөрийн системд байгаа:
/compat/linux/lib/libc.so.4.6.27
/compat/linux/lib/libc.so.4 -> libc.so.4.6.27
бөгөөд шинэ сан нь ldd тушаалын
гаралтын дагуу сүүлийн хувилбарыг шаардана гэж байгааг мэдвэл:
libc.so.4 (DLL Jump 4.5pl26) -> libc.so.4.6.29
Хэрэв төгсөж байгаа тоон дээр зөвхөн нэг юм уу эсвэл хоёр хувилбар
хуучин байгаа бол /lib/libc.so.4.6.29-г
бас хуулж санаагаа зовоогоод хэрэггүй бөгөөд програм нь нэлээн хуучин
хувилбартай зүгээр ажиллах ёстой юм. Гэхдээ хэрэв та хүсэж байгаа бол
libc.so-г ямар ч байсан гэсэн солихоор
шийдэж болох бөгөөд энэ нь таныг доорхтой үлдээх болно:
/compat/linux/lib/libc.so.4.6.29
/compat/linux/lib/libc.so.4 -> libc.so.4.6.29
Симболын холбоосын арга нь зөвхөн
Линукс хоёртын файлуудад хэрэгтэй байдаг. FreeBSD-ийн ажиллах
үеийн холбогч нь таарах гол залруулалтын дугааруудыг хайх талаар
өөрөө санаа тавьдаг болохоор та санаа зовох хэрэггүй юм.
Линуксийн ELF хоёртын файлуудыг суулгах
Линукс
ELF хоёртын файлууд
ELF хоёртын файлууд нь заримдаа branding
буюу
тамгалах
нэмэлт алхмыг шаарддаг. Хэрэв та тамгалаагүй
ELF хоёртын файлыг ажиллуулахыг оролдвол доор дурдсантай төстэй алдааг
хүлээн авах болно:
&prompt.user; ./my-linux-elf-binary
ELF binary type not known
Abort
FreeBSD цөмд FreeBSD ELF хоёртын файлыг Линуксийн хоёртын файлаас
ялгахад туслахын тулд &man.brandelf.1; хэрэгслийг ашиглана.
&prompt.user; brandelf -t Linux my-linux-elf-binary
GNU хэрэгслийн цуглуулга
Өнөөдөр GNU хэрэгслийн цуглуулга нь ELF хоёртын файлуудад автоматаар
тохирох тамгалалтын мэдээллийг байрлуулдаг. Тэгэхээр энэ алхам нь
ирээдүйд бараг л хэрэггүй болох ёстой юм.
+
+ RPM дээр тулгуурласан линуксын програм суулгах
+
+ FreeBSD нь өөрийн багцын өгөгдлийн сантай бөгөөд бүх
+ портыг (&linux;-ийн портуудыг бас) хянахад ашиглагддаг. &linux;-ийн
+ RPM санг ашигладаггүй (дэмждэггүй).
+
+ Гэхдээ хэрэв та &linux;-ийн RPM програм суулгах шаардлагатай
+ бол үүнийг доорх аргаар хийж болно:
+
+ &prompt.root; cd /compat/linux
+&prompt.root; rpm2cpio -q < /path/to/linux.archive.rpm | cpio -id
+
+ Дараа нь ELF хоёртын файлуудыг (сангуудыг биш!) brandelf
+ хийх хэрэгтэй. Та суулгаснаа буцаж цэвэрхэн арилгаж
+ чадахгүй боловч энэ нь тест хийхэд чинь хэрэг болж болох юм.
+
+
Хостын нэр танигчийг тохируулах
Хэрэв DNS ажиллахгүй байвал эсвэл та ийм мэдэгдэл хүлээн авбал:
resolv+: "bind" is an invalid keyword resolv+:
"hosts" is an invalid keyword
Та дараах мөрүүдийг агуулсан
/compat/linux/etc/host.conf файлыг
тохируулах хэрэгтэй болно:
order hosts, bind
multi on
Энд байгаа order нь /etc/hosts-г
эхлээд хайж дараа нь DNS-ийг хайна гэж зааж байна.
/compat/linux/etc/host.conf суугаагүй
үед Линуксийн програмууд FreeBSD-ийн /etc/host.conf-г
олж нийцгүй FreeBSD-ийн бичлэг байна гэж гомдоллох болно.
Хэрэв та /etc/resolv.conf файл
ашиглан нэрийн серверийг тохируулаагүй бол bind гэсэн
үгийг устгах хэрэгтэй.
Борис
Холлас
Mathematica 5.X-д зориулж шинэчилсэн
&mathematica; суулгах нь
програмууд
Mathematica
Энэ баримт нь &mathematica; 5.X-ийн
Линукс хувилбарыг FreeBSD систем уруу суулгах процессийг тайлбарлах
болно.
&mathematica; эсвэл
&mathematica; for Students-ийн
Линуксийн хувилбарыг дэх
Wolfram-аас захиалж болно.
&mathematica; суулгагчийг ажиллуулах
Эхлээд &mathematica;-ийн
Линукс хоёртын файлууд Линуксийн ABI-г ашиглана гэдгийг та &os;-д хэлж
өгөх хэрэгтэй. Ингэж хийх хамгийн хялбар арга бол бүх тамгалаагүй
хоёртын файлуудын хувьд анхдагч ELF тамгалалтыг Линукс болгон
дараах тушаалаар тохируулах явдал юм:
&prompt.root; sysctl kern.fallback_elf_brand=3
Энэ нь тамгалаагүй ELF хоёртын файлууд Линуксийн ABI-г
ашиглана гэж бодоход &os;-г хүргэх бөгөөд та суулгагчийг CDROM-оос шууд
ажиллуулах боломжтой болох ёстой.
Одоо MathInstaller файлыг өөрийн
хатуу хөтөч уруу хуулах хэрэгтэй:
&prompt.root; mount /cdrom
&prompt.root; cp /cdrom/Unix/Installers/Linux/MathInstaller /localdir/
бөгөөд энэ файл дахь эхний мөрний /bin/sh-г
/compat/linux/bin/sh гэж солих хэрэгтэй.
Энэ нь суулгагч &man.sh.1;-ийн Линуксийн хувилбарыг ажиллуулахаар
болгож байгаа юм. Дараа нь Linux) гэсэн
бүгдийг FreeBSD) гэдгээр текст засварлагчаар
юм уу эсвэл доорх дараагийн хэсэгт байгаа скриптээр солих хэрэгтэй.
Үйлдлийн системийг тодорхойлохын тулд uname -s
тушаалыг дууддаг &mathematica; суулгагчид
&os;-г Линукс төст үйлдлийн систем гэж үзэхийг энэ нь хэлж өгнө.
MathInstaller-г ажиллуулахад одоо
&mathematica;-г суулгах болно.
&mathematica;-ийн ажиллуулах боломжтой файлуудыг өөрчлөх
Суулгах явцад &mathematica;-ийн
үүсгэсэн бүрхүүлийн скриптүүдийг ашиглахаасаа өмнө өөрчлөх хэрэгтэй.
Хэрэв та &mathematica;-ийн
ажиллуулах боломжтой файлуудыг байрлуулах санд /usr/local/bin-г
сонгосон бол та энэ санд math, mathematica,
Mathematica, болон
MathKernel гэж нэрлэгдсэн файлууд уруу заагдсан
симболын холбоосуудыг олох болно. Эдгээр бүрт Linux)
гэдгийг FreeBSD) гэдгээр текст засварлагчаар
юм уу эсвэл доорх бүрхүүлийн скриптээр солих хэрэгтэй:
#!/bin/sh
cd /usr/local/bin
for i in math mathematica Mathematica MathKernel
do sed 's/Linux)/FreeBSD)/g' $i > $i.tmp
sed 's/\/bin\/sh/\/compat\/linux\/bin\/sh/g' $i.tmp > $i
rm $i.tmp
chmod a+x $i
done
Өөрийн &mathematica; нууц үгийг олж авах
Ethernet
MAC хаяг
&mathematica;-г эхний удаа
эхлүүлэхэд танаас нууц үг асуух болно. Хэрэв та Wolfram-аас нууц үгээ
авч амжаагүй байгаа бол өөрийн машины ID
-г авахын тулд
суулгацын санд mathinfo-г ажиллуулах хэрэгтэй.
Энэ машины ID нь таны эхний Ethernet картны MAC хаяг дээр тулгуурласан
болохоор &mathematica;-ийн
өөрийн хуулбарыг та өөр машинууд дээр ажиллуулж чадахгүй юм.
Wolfram-д цахим захидлаар ч юм уу эсвэл утас, факсаар бүртгүүлэх үедээ
та машины ID
-аа тэдэнд өгөх бөгөөд тэд бүлэг тоонуудаас
тогтох харгалзах нууц үг бүхий хариу өгөх болно.
&mathematica; нүүрэн хэсгийг сүлжээгээр ажиллуулах
&mathematica; нь тэмдэгтүүдийг
үзүүлэхийн тулд аль ч стандарт үсгийн маягуудын олонлогуудад байдаггүй
тусгай үсгийн маягуудыг ашигладаг (интегралууд, нийлбэрүүд, Грек үсгүүд гэх мэт.).
X протокол нь эдгээр үсгийн маягуудыг өөр дээрээ
локалаар суулгахыг шаарддаг. Энэ нь CDROM юм уу эсвэл
&mathematica; суулгагдсан хостоос
эдгээр үсгийн маягуудын хуулбарыг өөрийн локал машин уруу хуулна гэсэн үг юм.
Эдгээр үсгийн маягууд нь CDROM-ийн
/cdrom/Unix/Files/SystemFiles/Fonts сан,
эсвэл таны хатуу хөтчийн /usr/local/mathematica/SystemFiles/Fonts
санд ихэвчлэн хадгалагддаг. Үсгийн жинхэнэ маягууд нь Type1 болон
X дэд сангуудад байрладаг. Доор тайлбарласан
тэдгээрийг ашиглах хэд хэдэн аргууд байдаг.
Эхний арга нь тэдгээрийг /usr/X11R6/lib/X11/fonts
дахь байгаа үсгийн маягийн сангуудын аль нэг уруу хуулах явдал юм. Энэ нь
үсгийн маягийн нэрсийг нэмж, эхний мөрөн дээр үсгийн маягуудын тоог өөрчилж
fonts.dir файлыг засварлахыг шаардана.
Мөн өөрөөр та тэдгээрийг хуулсан санд &man.mkfontdir.1; тушаалыг
ажиллуулж бас чадах ёстой юм.
Үүнийг хийх хоёр дахь арга нь сангуудыг /usr/X11R6/lib/X11/fonts
уруу хуулах явдал юм:
&prompt.root; cd /usr/X11R6/lib/X11/fonts
&prompt.root; mkdir X
&prompt.root; mkdir MathType1
&prompt.root; cd /cdrom/Unix/Files/SystemFiles/Fonts
&prompt.root; cp X/* /usr/X11R6/lib/X11/fonts/X
&prompt.root; cp Type1/* /usr/X11R6/lib/X11/fonts/MathType1
&prompt.root; cd /usr/X11R6/lib/X11/fonts/X
&prompt.root; mkfontdir
&prompt.root; cd ../MathType1
&prompt.root; mkfontdir
Одоо шинэ үсгийн маягийн сангуудаа өөрийн үсгийн маягийн замдаа нэмнэ:
&prompt.root; xset fp+ /usr/X11R6/lib/X11/fonts/X
&prompt.root; xset fp+ /usr/X11R6/lib/X11/fonts/MathType1
&prompt.root; xset fp rehash
Хэрэв та &xorg; серверийг ашиглаж байгаа бол
эдгээр үсгийн маягийн сангуудыг өөрийн xorg.conf файлдаа
нэмэн автоматаар дуудагдахаар тохируулж болно.
&xfree86; серверүүдийн хувьд
тохиргооны файл нь XF86Config байна.
үсгийн маягууд
Хэрэв танд /usr/X11R6/lib/X11/fonts/Type1
гэгдсэн сан байхгүй байгаа бол та дээрх жишээн дээрх
MathType1 сангийн нэрийг Type1
болгон өөрчилж болно.
Аарон
Каплан
Хувь нэмэр болгон оруулсан
Роберт
Гэтшман
Тусалсан
&maple; суулгах нь
програмууд
Maple
&maple; нь &mathematica;-тай
төстэй арилжааны зориулалтын математикийн програм юм. Та энэ програмыг -с худалдан авч дараа нь тэндээ
лицензийн файл авахын тулд бүртгүүлэх хэрэгтэй. Энэ програм хангамжийг FreeBSD
дээр суулгахын тулд эдгээр хялбар алхмуудыг дагана уу.
INSTALL бүрхүүлийн скриптийг
бүтээгдэхүүний тархацаас ажиллуулна. Суулгац програмаас хүсэхэд
RedHat
тохируулгыг сонгоорой. Ердийн суулгацын
сан нь /usr/local/maple байж болох юм.
Хэрэв та тэгж хийгээгүй бол Maple Waterloo Software
() компаниас
&maple;-д зориулж лиценз захиж түүнийгээ
/usr/local/maple/license/license.dat сан уруу хуулах
хэрэгтэй.
&maple;-тай цуг ирдэг
INSTALL_LIC суулгацын бүрхүүлийн
скриптийг ажиллуулж FLEXlm
лиценз менежерийг суулгах хэрэгтэй. Лицензийн серверт зориулж өөрийн
машиныхаа анхдагч хостын нэрийг зааж өгнө.
/usr/local/maple/bin/maple.system.type
файлыг доор дурдсанаар нөхөөс хийх хэрэгтэй:
----- snip ------------------
*** maple.system.type.orig Sun Jul 8 16:35:33 2001
--- maple.system.type Sun Jul 8 16:35:51 2001
***************
*** 72,77 ****
--- 72,78 ----
# the IBM RS/6000 AIX case
MAPLE_BIN="bin.IBM_RISC_UNIX"
;;
+ "FreeBSD"|\
"Linux")
# the Linux/x86 case
# We have two Linux implementations, one for Red Hat and
----- snip end of patch -----
"FreeBSD"|\ мөрийн дараа ямар ч хоосон зай байх
ёсгүйг санаарай.
Энэхүү нөхөөс нь FreeBSD
-г Линукс системийн
төрөл маягаар танихыг &maple;-д заадаг.
bin/maple бүрхүүлийн скрипт нь
bin/maple.system.type бүрхүүлийн скриптийг
дуудаж тэр нь эргээд үйлдлийн системийн нэрийг олохын тулд
uname -a тушаалыг дууддаг. OS-ийн нэрээс хамаараад
энэ нь аль хоёртын файлуудаа ашиглахаа олох болно.
Лицензийн серверийг эхлүүлнэ.
/usr/local/etc/rc.d/lmgrd.sh гэж
суулгагдсан дараах скрипт нь lmgrd-г эхлүүлэх
хялбар арга юм:
----- snip ------------
#! /bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/X11R6/bin
PATH=${PATH}:/usr/local/maple/bin:/usr/local/maple/FLEXlm/UNIX/LINUX
export PATH
LICENSE_FILE=/usr/local/maple/license/license.dat
LOG=/var/log/lmgrd.log
case "$1" in
start)
lmgrd -c ${LICENSE_FILE} 2>> ${LOG} 1>&2
echo -n " lmgrd"
;;
stop)
lmgrd -c ${LICENSE_FILE} -x lmdown 2>> ${LOG} 1>&2
;;
*)
echo "Usage: `basename $0` {start|stop}" 1>&2
exit 64
;;
esac
exit 0
----- snip ------------
&maple;-ийг тестээр эхлүүлнэ:
&prompt.user; cd /usr/local/maple/bin
&prompt.user; ./xmaple
Одоо ажиллаж байх ёстой. Maplesoft уруу та FreeBSD-ийн
эх хувилбарыг хүсэж байгаагаа бичихээ мартуузай!
Түгээмэл асуудлууд
FLEXlm лицензийн
менежертэй ажиллахад төвөгтэй байж болох юм. Энэ тухай нэмэлт
баримтыг хаягаас
олж болно.
lmgrd нь лицензийн файлыг хэтэрхий
голж шилдэг, бас хэрэв ямар нэгэн асуудал байвал core файл үүсгэх дуртайгаараа
алдартай програм юм. Зөв лицензийн файл иймэрхүү харагдах ёстой:
# =======================================================
# License File for UNIX Installations ("Pointer File")
# =======================================================
SERVER chillig ANY
#USE_SERVER
VENDOR maplelmg
FEATURE Maple maplelmg 2000.0831 permanent 1 XXXXXXXXXXXX \
PLATFORMS=i86_r ISSUER="Waterloo Maple Inc." \
ISSUED=11-may-2000 NOTICE=" Technische Universitat Wien" \
SN=XXXXXXXXX
Энд сериал дугаар болон түлхүүрийг 'X' болгосон байна.
chillig нь хостын нэр юм.
Лицензийн файлыг засварлахдаа FEATURE
мөрийг
(энэ нь лицензийн түлхүүрээр хамгаалагдсан байдаг) оролдохгүй бол
ямар ч асуудал гарахгүй ажиллах болно.
Дэн
Пэллэг
Хувь нэмэр болгон оруулсан
&matlab; суулгах нь
програмууд
MATLAB
Энэ баримт нь &matlab; version 6.5-ийн
Линуксийн хувилбарыг &os; систем уруу суулгах процессийг тайлбарлах болно.
&java.virtual.machine;-г тооцохгүй юм бол
энэ нь маш сайн ажилладаг (-г үзнэ үү).
&matlab;-ийн Линуксийн хувилбарыг
дэх MathWorks-с шууд захиалж болно.
Лицензийн файлыг авах юм уу эсвэл хэрхэн үүсгэх зааврыг бас авахаа мартуузай.
Тэнд байхдаа тэдний програм хангамжийн &os; хувилбарыг хүсэж байгаагаа
мэдэгдээрэй.
&matlab; суулгах нь
&matlab;-г суулгахын тулд
доор дурдсаныг хийнэ:
Суулгацын CD-г хийж холбоно. Суулгацын скриптийн зөвлөснөөр
root болно. Суулгах скриптийг
эхлүүлэхийн тулд доор дурдсаныг бичнэ:
&prompt.root; /compat/linux/bin/sh /cdrom/install
Суулгагч нь график орчных юм. Хэрэв та дэлгэц онгойлгож
чадахгүй байна гэсэн алдаанууд авбал
setenv HOME ~USER
гэж бичих хэрэгтэй бөгөөд энд байгаа USER нь
таны &man.su.1; хийсэн хэрэглэгч юм.
&matlab;-ийн root санг асуухад
доор дурдсаныг бичнэ:
/compat/linux/usr/local/matlab.
Суулгах процессийн үлдсэн хэсэгт хялбараар бичдэг байхын тулд өөрийн бүрхүүлийн
хүлээх мөрөн дээр үүнийг бичнэ:
set MATLAB=/compat/linux/usr/local/matlab
&matlab; лицензийг авч байхдаа
зааварласны дагуу лицензийн файлыг засварлана.
Өөрийн дуртай засварлагчаа ашиглан та энэ файлыг
урьдчилан бэлдэж, суулгагч танаас үүнийг засварлахыг
асуухаас өмнө $MATLAB/license.dat
уруу хуулна.
Суулгах процессийг гүйцээнэ.
Энд хүрэхэд таны &matlab;
суулгалт дууссан байна. Үүнийг таны &os; систем уруу холбохын тулд
дараах алхмууд нь хийж
өгдөг.
Лицензийн Менежерийн эхлүүлэлт
Лицензийн менежерийн скриптүүдэд зориулж симболын холбоосуудыг үүсгэнэ:
&prompt.root; ln -s $MATLAB/etc/lmboot /usr/local/etc/lmboot_TMW
&prompt.root; ln -s $MATLAB/etc/lmdown /usr/local/etc/lmdown_TMW
/usr/local/etc/rc.d/flexlm.sh-т
эхлүүлэх файлыг үүсгэнэ. Доорх жишээ нь
түгээгдсэн $MATLAB/etc/rc.lm.glnx86-ийн
өөрчлөгдсөн хувилбар юм. Өөрчлөлтүүд нь файлын байрлалууд болон
Линуксийн эмуляц доор ажиллах лицензийн менежерийн
эхлүүлэлт байна.
#!/bin/sh
case "$1" in
start)
if [ -f /usr/local/etc/lmboot_TMW ]; then
/compat/linux/bin/sh /usr/local/etc/lmboot_TMW -u username && echo 'MATLAB_lmgrd'
fi
;;
stop)
if [ -f /usr/local/etc/lmdown_TMW ]; then
/compat/linux/bin/sh /usr/local/etc/lmdown_TMW > /dev/null 2>&1
fi
;;
*)
echo "Usage: $0 {start|stop}"
exit 1
;;
esac
exit 0
Файлыг ажиллуулахаар болгох ёстой:
&prompt.root; chmod +x /usr/local/etc/rc.d/flexlm.sh
Та дээрх username-г
өөрийн систем дээрх зөв хэрэглэгчээр солих ёстой
(root биш).
Лицензийн менежерийг дараах тушаалаар эхлүүлнэ:
&prompt.root; /usr/local/etc/rc.d/flexlm.sh start
&java;-ийн ажиллах үеийн орчныг холбох
&java; Runtime
Environment (JRE) буюу Ажиллах үеийн орчны холбоосыг
&os; дээр ажиллаж байгаа уруу зааж өөрчлөх хэрэгтэй:
&prompt.root; cd $MATLAB/sys/java/jre/glnx86/
&prompt.root; unlink jre; ln -s ./jre1.1.8 ./jre
&matlab;-ийн эхлүүлэх скриптийг үүсгэх
Дараах эхлүүлэх скриптийг
/usr/local/bin/matlab-д байрлуулна:
#!/bin/sh
/compat/linux/bin/sh /compat/linux/usr/local/matlab/bin/matlab "$@"
Тэгээд chmod +x /usr/local/bin/matlab
тушаалыг бичнэ.
Таны emulators/linux_base
хувилбараас шалтгаалаад энэ скриптийг ажиллуулахад алдаа гарч болох юм.
Үүнээс сэргийлэхийн тулд /compat/linux/usr/local/matlab/bin/matlab
файлыг засварлаж доорх:
if [ `expr "$lscmd" : '.*->.*'` -ne 0 ]; then
(13.0.1 хувилбар дээр энэ нь 410-р мөрөнд байна) мөрийг ингэж
өөрчлөх хэрэгтэй:
if test -L $newbase; then
&matlab;-ийн зогсоох скриптийг үүсгэх
&matlab;-ийн зөв дуусдаггүй асуудлыг шийдэхэд дараах зүйлсийг хийх хэрэгтэй.
$MATLAB/toolbox/local/finish.m
файл үүсгэж түүнд ганц мөр нэмнэ:
! $MATLAB/bin/finish.sh
$MATLAB нь үг юм.
Тэр сан дотроо гарахаас өмнө өөрийн ажлын талбарыг хадгалах
боломжийг олгох finishsav.m болон
finishdlg.m файлуудыг та олох болно.
Хэрэв та тэдгээрийн аль нэгийг ашиглаж байгаа бол дээрх мөрийг
save тушаалын дараа нэн даруй оруулах
хэрэгтэй.
доор дурдсаныг агуулсан
$MATLAB/bin/finish.sh файлыг
үүсгэнэ:
#!/usr/compat/linux/bin/sh
(sleep 5; killall -1 matlab_helper) &
exit 0
Файлыг ажиллах боломжтой болгоно:
&prompt.root; chmod +x $MATLAB/bin/finish.sh
&matlab;-ийг ашиглах
Энд хүрэхэд та matlab
гэж бичин үүнийг ашиглаж эхлэхэд бэлэн болсон байна.
Марсел
Мууленаар
Хувь нэмэр болгон оруулсан
&oracle; суулгах нь
програмууд
Oracle
Оршил
Энэ баримт нь Линуксд зориулсан &oracle; 8.0.5 болон
&oracle; 8.0.5.1 Enterprise Edition-г FreeBSD машин
уруу суулгах процессийг тайлбарлах болно.
Линуксийн орчныг суулгах
Та emulators/linux_base болон
devel/linux_devtools програмууд
портын цуглуулгаас суусан эсэхийг шалгаарай. Та эдгээр портын хувьд асуудалтай байгаа
бол багцууд юм уу эсвэл портын цуглуулгад байгаа хуучин хувилбаруудыг ашиглах хэрэгтэй
болж болох юм.
Хэрэв та ухаалаг агентийг ажиллуулахыг хүсэж байгаа бол Red Hat Tcl
багц: tcl-8.0.3-20.i386.rpm-г бас суулгах хэрэгтэй болно.
Албан ёсны RPM порттой (archivers/rpm)
багцуудыг суулгах ерөнхий тушаал бол:
&prompt.root; rpm -i --ignoreos --root /compat/linux --dbpath /var/lib/rpm package
package-ийн суулгалт ямар ч алдаа үүсгэх ёсгүй.
&oracle; орчныг үүсгэх
&oracle;-г суулгахаасаа өмнө та тохирох орчныг тохируулах
хэрэгтэй. Энэ баримт нь &oracle;-г суулгах зааварт тайлбарласныг биш
Линуксд зориулсан &oracle;-г
FreeBSD дээр ажиллуулахын тулд яг юу хийхийг зөвхөн тайлбарладаг.
Цөмийг тааруулах
цөмийг тааруулах
&oracle;-г суулгах зааварт тайлбарласнаар хуваалцсан
санах ойн хамгийн их хэмжээг тохируулах хэрэгтэй. FreeBSD дээр SHMMAX-г
битгий ашиглаарай. SHMMAX нь ердөө л SHMMAXPGS болон
PGSIZE-с тооцоологдон гаргагддаг. Тийм болохоор
SHMMAXPGS-г тодорхойл. Бусад бүх тохируулгууд зааварт
тайлбарласны дагуу ашиглагдаж болно. Жишээ нь:
options SHMMAXPGS=10000
options SHMMNI=100
options SHMSEG=10
options SEMMNS=200
options SEMMNI=70
options SEMMSL=61
Эдгээр тохируулгуудыг өөрийн &oracle;-ийн хэрэглээнд
тааруулж тохируулах хэрэгтэй.
Мөн цөмийн тохиргооны файлдаа дараах тохируулгуудтай байгаа эсэхээ бас шалгаарай:
options SYSVSHM #SysV shared memory
options SYSVSEM #SysV semaphores
options SYSVMSG #SysV interprocess communication
&oracle; бүртгэл
Өөр бусад бүртгэл үүсгэдэг шигээ oracle бүртгэл үүсгэнэ.
oracle бүртгэл нь Линуксийн бүрхүүл өгөх шаардлагатай
цорын ганц тусгай бүртгэл юм. /etc/shells файлд
/compat/linux/bin/bash-г нэмээд oracle
хэрэглэгчийн бүрхүүлийг /compat/linux/bin/bash гэж
тохируулна.
Орчин
ORACLE_HOME болон ORACLE_SID зэрэг
ердийн &oracle; хувьсагчуудаас гадна та дараах орчны
хувьсагчуудыг тохируулах ёстой:
Хувьсагч
Утга
LD_LIBRARY_PATH
$ORACLE_HOME/lib
CLASSPATH
$ORACLE_HOME/jdbc/lib/classes111.zip
PATH
/compat/linux/bin
/compat/linux/sbin
/compat/linux/usr/bin
/compat/linux/usr/sbin
/bin
/sbin
/usr/bin
/usr/sbin
/usr/local/bin
$ORACLE_HOME/bin
Бүх орчны хувьсагчуудыг .profile-д тохируулахыг
зөвлөдөг. Гүйцэд жишээ бол дараах байна:
ORACLE_BASE=/oracle; export ORACLE_BASE
ORACLE_HOME=/oracle; export ORACLE_HOME
LD_LIBRARY_PATH=$ORACLE_HOME/lib
export LD_LIBRARY_PATH
ORACLE_SID=ORCL; export ORACLE_SID
ORACLE_TERM=386x; export ORACLE_TERM
CLASSPATH=$ORACLE_HOME/jdbc/lib/classes111.zip
export CLASSPATH
PATH=/compat/linux/bin:/compat/linux/sbin:/compat/linux/usr/bin
PATH=$PATH:/compat/linux/usr/sbin:/bin:/sbin:/usr/bin:/usr/sbin
PATH=$PATH:/usr/local/bin:$ORACLE_HOME/bin
export PATH
&oracle;-ийг суулгах
Линуксийн эмуляторын хайхрамжгүй бүрэн бүтэн бус байдлаас болоод
суулгагчийг эхлүүлэхээсээ өмнө та .oracle
санг /var/tmp дотор үүсгэх хэрэгтэй болдог.
Үүнийг oracle хэрэглэгч эзэмшихээр болгох
хэрэгтэй. Та &oracle;-г ямар ч
асуудалгүйгээр суулгаж чадах ёстой. Хэрэв танд асуудлууд учирвал
эхлээд өөрийн &oracle; тархац ба/эсвэл
тохиргоог шалгах хэрэгтэй! &oracle;-г
суулгасныхаа дараа та дараах хоёр дэд хэсэгт тайлбарласан нөхөөсүүдийг
хийж өгөх хэрэгтэй.
Байнга учирдаг асуудал бол TCP протоколын хувиргагч зөв суулгагдаагүй
байдаг явдал юм. Үүнээс болоод та ямар ч TCP сонсогч эхлүүлж чадахгүй.
Дараах үйлдлүүд нь энэ асуудлыг шийдэхэд тусалдаг:
&prompt.root; cd $ORACLE_HOME/network/lib
&prompt.root; make -f ins_network.mk ntcontab.o
&prompt.root; cd $ORACLE_HOME/lib
&prompt.root; ar r libnetwork.a ntcontab.o
&prompt.root; cd $ORACLE_HOME/network/lib
&prompt.root; make -f ins_network.mk install
root.sh-г дахин ажиллуулахаа битгий мартаарай!
root.sh-д нөхөөс хийх
&oracle;-г суулгаж байхад
root эрхээр хийгдэх шаардлагатай зарим үйлдлүүд
root.sh гэж нэрлэгдсэн бүрхүүлийн скриптэд
бичигдсэн байдаг. Энэ скрипт нь orainst санд
бичигдсэн байдаг. chown тушаалын зөв байрлалыг
ашиглахаар болгож дараах нөхөөсийг root.sh-д
хийх хэрэгтэй, эсвэл өөрөөр скриптийг Линуксийн эх бүрхүүл дээр ажиллуулах
хэрэгтэй.
*** orainst/root.sh.orig Tue Oct 6 21:57:33 1998
--- orainst/root.sh Mon Dec 28 15:58:53 1998
***************
*** 31,37 ****
# This is the default value for CHOWN
# It will redefined later in this script for those ports
# which have it conditionally defined in ss_install.h
! CHOWN=/bin/chown
#
# Define variables to be used in this script
--- 31,37 ----
# This is the default value for CHOWN
# It will redefined later in this script for those ports
# which have it conditionally defined in ss_install.h
! CHOWN=/usr/sbin/chown
#
# Define variables to be used in this script
CD-ээс &oracle;-г та суулгахгүй
үед root.sh-д зориулсан эхийг нөхөж болно.
Үүнийг rthd.sh гэдэг бөгөөд эх модны
orainst санд байрладаг.
genclntsh-д нөхөөс хийх
genclntsh скрипт нь хуваалцсан ганц клиентийн санг
үүсгэхэд ашиглагддаг. Үзүүлбэрүүдийг бүтээж байхад үүнийг ашигладаг.
PATH-н тодорхойлолтыг тайлбар болгохын тулд
дараах нөхөөсийг хийх хэрэгтэй:
*** bin/genclntsh.orig Wed Sep 30 07:37:19 1998
--- bin/genclntsh Tue Dec 22 15:36:49 1998
***************
*** 32,38 ****
#
# Explicit path to ensure that we're using the correct commands
#PATH=/usr/bin:/usr/ccs/bin export PATH
! PATH=/usr/local/bin:/bin:/usr/bin:/usr/X11R6/bin export PATH
#
# each product MUST provide a $PRODUCT/admin/shrept.lst
--- 32,38 ----
#
# Explicit path to ensure that we're using the correct commands
#PATH=/usr/bin:/usr/ccs/bin export PATH
! #PATH=/usr/local/bin:/bin:/usr/bin:/usr/X11R6/bin export PATH
#
# each product MUST provide a $PRODUCT/admin/shrept.lst
&oracle;-г ажиллуулах
Заавруудыг дагасны дараа та &oracle;-г
Линукс дээр ажиллуулж байгаа юм шиг ажиллуулж чадах ёстой.
Холгэр
Кипп
Хувь нэмэр болгон оруулсан
Валентино
Вашетто
Эх хувилбарыг SGML рүү хөрвүүлсэн
&sap.r3; суулгах нь
Програмууд
SAP R/3
FreeBSD ашиглан &sap; системүүдийг суулгах нь
&sap;-ийн дэмжих багаар дэмжигддэггүй —тэдгээр нь зөвхөн баталгаажсан
тавцангуудын хувьд дэмжлэг санал болгодог.
Оршил
Энэ баримт нь FreeBSD болон &oracle;-ийн суулгалтыг
оруулаад Линуксд зориулсан &sap.r3; System-г
&oracle; Database-тэй цуг FreeBSD машин дээр суулгах
боломжит аргыг тайлбарлах болно. Хоёр өөр тохиргоог тайлбарлана:
FreeBSD 4.3-STABLE дээр &oracle; 8.0.5-тай
цуг &sap.r3; 4.6B (IDES)
FreeBSD 4.5-STABLE дээр &oracle; 8.1.7-тай
цуг &sap.r3; 4.6C
Энэ баримт нь бүх чухал алхмуудыг илүү дэлгэрэнгүй тайлбарлахыг оролддог ч
гэсэн &oracle; болон
&sap.r3;-ийн суулгалтын заавруудыг
орлох зорилгоор хийгдээгүй юм.
&sap;-д зориулсан
&sap.r3; Линуксийн хувилбартай
ирдэг баримтыг болон &oracle;-тай холбоотой
асуултууд, &oracle; болон
&sap; OSS-ийн эх үүсвэрүүдийг
үзнэ үү.
Програм хангамж
Дараах CD-ROM-ууд нь &sap; суулгалтуудад ашиглагддаг:
&sap.r3; 4.6B, &oracle; 8.0.5
Нэр Дугаар Тайлбар
KERNEL 51009113 SAP Цөм Oracle /
Суулгалт / AIX, Линукс, Solaris
RDBMS 51007558 Oracle / RDBMS 8.0.5.X /
Линукс
EXPORT1 51010208 IDES / DB-Export /
6 Дискний 1-р Диск
EXPORT2 51010209 IDES / DB-Export /
6 Дискний 2-р Диск
EXPORT3 51010210 IDES / DB-Export /
6 Дискний 3-р Диск
EXPORT4 51010211 IDES / DB-Export /
6 Дискний 4-р Диск
EXPORT5 51010212 IDES / DB-Export /
6 Дискний 5-р Диск
EXPORT6 51010213 IDES / DB-Export /
6 Дискний 6-р Диск
Мөн бид &oracle; 8
Сервер (Линуксийн Цөмийн Хувилбар 2.0.33-т зориулсан
урьдчилсан хувилбар 8.0.5) CD-г ашигласан ба энэ нь тийм ч шаардлагатай
биш бөгөөд бас FreeBSD 4.3-STABLE (4.3 RELEASE-с дөнгөж хэд хоног өнгөрч
байсан) хувилбарыг ашигласан.
&sap.r3; 4.6C SR2, &oracle; 8.1.7
Нэр Дугаар Тайлбар
KERNEL 51014004 SAP Цөм Oracle /
SAP Цөмийн Хувилбар 4.6D / DEC, Линукс
RDBMS 51012930 Oracle 8.1.7/ RDBMS /
Линукс
EXPORT1 51013953 Хувилбар 4.6C SR2 / Export
/ 4 Дискний 1-р Диск
EXPORT1 51013953 Хувилбар 4.6C SR2 / Export
/ 4 Дискний 2-р Диск
EXPORT1 51013953 Хувилбар 4.6C SR2 / Export
/ 4 Дискний 3-р Диск
EXPORT1 51013953 Хувилбар 4.6C SR2 / Export
/ 4 Дискний 4-р Диск
LANG1 51013954 Хувилбар 4.6C SR2 /
Хэл / DE, EN, FR / 3 Дискний 1-р Диск
Суулгахыг хүссэн хэлээс хамаарч хэлний нэмэлт CD-үүд хэрэг болж болох юм.
Энд бид DE болон EN (Герман болон Англи) хэлүүдийг ашиглаж байгаа, тийм болохоор
зөвхөн хэлний эхний CD хэрэгтэй юм. Тэмдэглэн хэлэхэд бүх дөрвөн EXPORT CD-үүдийн
дугаар адил байна. Хэлний гурван CD-үүд бас адил дугаартай байна (энэ нь 4.6B IDES
хувилбарын CD дугаарлалтаас өөр юм). Үүнийг бичиж байх үед суулгалт нь
FreeBSD 4.5-STABLE (20.03.2002) хувилбар дээр ажиллаж байгаа болно.
&sap; тэмдэглэлүүд
&sap.r3;-ийг суулгахаасаа өмнө
дараах тэмдэглэгээнүүдийг унших хэрэгтэй. Энэ нь бас суулгаж байх явцад
ашигтай болох нь тогтоогдсон:
&sap.r3; 4.6B, &oracle; 8.0.5
Дугаар
Нэр
0171356 Линукс дээрх SAP програм хангамж: Үндсэн тайлбарууд
0201147 INST: UNIX - Oracle дээрх 4.6C R/3 Inst.
0373203 Шинэчлэл / Шилжүүлэлт Oracle 8.0.5 -->
8.0.6/8.1.6 ЛИНУКС
0072984 Oracle-д зориулсан Digital UNIX 4.0B Хувилбар
0130581 R3SETUP-ийн DIPGNTAB алхам зогсох
0144978 Таны систем зөв суулгагдаагүй байна
0162266 Windows
NT / W2K дээрх R3SETUP-д зориулсан асуултууд болон зааврууд
&sap.r3; 4.6C, &oracle; 8.1.7
Дугаар
Нэр
0015023 Хүснэгт TCPDB (RSXP0004)
(EBCDIC)-г эхлүүлэх
0045619 Хэд хэдэн хэлүүд болон үсгийн хэлбэрүүдтэй R/3
0171356 Линукс дээрх SAP програм хангамж: Үндсэн тайлбарууд
0195603 RedHat 6.1 Enterprise хувилбар:
Мэдэгдэж байгаа асуудлууд
0212876 Архивлах шинэ хэрэгсэл SAPCAR
0300900 Линукс: Гаргасан DELL тоног төхөөрөмж
0377187 RedHat 6.2: чухал тэмдэглэгээнүүд
0387074 INST: UNIX дээрх R/3 4.6C SR2 суулгалт
0387077 INST: UNIX - Oracle дээрх R/3 4.6C SR2 Inst.
0387078 UNIX дээрх SAP програм хангамж: OS-ийн хамаарлууд
4.6C SR2
Тоног төхөөрөмжийн шаардлагууд
&sap.r3; System-ийн суулгалтад
дараах төхөөрөмжүүд хангалттай. Үйлдвэрлэлийн зорилгоор ашиглахад
мэдээж илүү тодорхой хэмжээнүүд шаардлагатай:
Бүрэлдэхүүн
4.6B
4.6C
Процессор
2 x 800MHz &pentium; III
2 x 800MHz &pentium; III
Санах ой
1GB ECC
2GB ECC
Хатуу дискний зай
50-60GB (IDES)
50-60GB (IDES)
Үйлдвэрлэлд том кэш, өндөр хурдтай дискний хандалт
(SCSI, RAID тоног төхөөрөмжийн хянагч), USV болон ECC-RAM бүхий
&xeon; процессоруудыг ашиглахыг зөвлөдөг. Хатуу дискний их хэмжээний зай нь
суулгах явцад 27 GB хэмжээтэй мэдээллийн баазын файлуудыг үүсгэдэг
урьдчилан тохируулсан IDES системээс болдог. Энэ зай нь эхний үйлдвэрлэлийн
систем болон програмын өгөгдлүүдэд бас хангалттай байдаг.
&sap.r3; 4.6B, &oracle; 8.0.5
Дараах тоног төхөөрөмж ашиглагдсан: 2 ширхэг 800 MHz &pentium; III
процессор бүхий хоёр процессор суулгаж болох хавтан, 29160 Ultra160 SCSI адаптер
(40/80 GB DLT соронзон хальсны хөтөч болон CDROM-д хандахын тулд)
&mylex; &acceleraid; (2 суваг, 32 MB RAM-тай firmware 6.00-1-00)
ашиглагдсан. &mylex; RAID хянагч уруу хоёр 17 GB хатуу диск
(толин тусгал хийгдсэн) болон дөрвөн 36 GB хатуу диск (RAID түвшин 5) залгагдсан болно.
&sap.r3; 4.6C, &oracle; 8.1.7
Энэ суулгалтад &dell; &poweredge; 2500 ашиглагдсан:
хоёр 1000 MHz &pentium; III процессор (256 kB Кэш) бүхий хоёр
процессор суулгаж болох хавтан, 2 GB PC133 ECC SDRAM, 128 MB санах ойтой
PERC/3 DC PCI RAID Хянагч болон EIDE DVD-ROM хөтөч ашиглагдсан. RAID хянагч уруу
хоёр 18 GB хатуу диск (толин тусгал хийгдсэн) болон дөрвөн 36 GB хатуу диск
(RAID түвшин 5) залгагдсан болно.
FreeBSD-ийн суулгалт
Та эхлээд FreeBSD суулгах хэрэгтэй. Үүнийг хийх хэд хэдэн арга байгаа бөгөөд
дэлгэрэнгүй мэдээллийг -с уншина уу.
Дискний дүр зураг
Хялбар байлгахын тулд ижил дискний байршлыг
&sap.r3; 46B болон &sap.r3; 46C
SR2 суулгалтад хэрэглэсэн. Суулгалт өөр өөр тоног төхөөрөмжин
(/dev/da
болон /dev/amr, тэгэхээр хэрэв AMI &megaraid;-г ашиглаж байгаа бол
/dev/da0s1a-ийн оронд /dev/amr0s1a-г харах
болно) дээр хийгдсэн болохоор зөвхөн төхөөрөмжийн нэрс өөрчлөгдсөн:
Файлын систем
Хэмжээ (1k-блок)
Хэмжээ (GB)
Холбогдсон газар
/dev/da0s1a
1.016.303
1
/
/dev/da0s1b
6
swap
/dev/da0s1e
2.032.623
2
/var
/dev/da0s1f
8.205.339
8
/usr
/dev/da1s1e
45.734.361
45
/compat/linux/oracle
/dev/da1s1f
2.032.623
2
/compat/linux/sapmnt
/dev/da1s1g
2.032.623
2
/compat/linux/usr/sap
Урьдаар &mylex; юм уу эсвэл PERC/3 RAID програм хангамжаар
хоёр логик хөтчийг тохируулж эхлүүлэх хэрэгтэй. Програм хангамж нь
BIOS-ийн ачаалах үед эхлүүлэгдэж болдог.
Энэхүү дискний байршил нь &sap;-ийн зөвлөдгөөс шал ондоо
байгааг санаарай. &sap; нь &oracle;
дэд сангуудыг (болон бусад заримыг) тусад нь холбохыг санал болгодог —
бид хялбар байх үүднээс тэдгээрийг жинхэнэ дэд сангууд маягаар үүсгэхээр
шийдсэн юм.
<command>make world</command> болон шинэ цөм
Хамгийн сүүлийн -STABLE эхийг татаж авах хэрэгтэй. Өөрийн цөмийн тохиргооны
файлаа тохируулсны дараа ертөнц болон өөрийн өөрчилсөн цөмөө дахин бүтээх хэрэгтэй.
Энд та бас &sap.r3;
болон &oracle;-ийн шаарддаг
цөмийн параметрүүдийг
оруулах хэрэгтэй.
Линуксийн орчныг суулгах
Линуксийн үндсэн системийн суулгах
Эхлээд linux_base портыг
суулгах хэрэгтэй (root эрхээр):
&prompt.root; cd /usr/ports/emulators/linux_base-fc4
&prompt.root; make install distclean
Линуксийн хөгжүүлэлтийн орчинг суулгах
-д дурдсаны дагуу FreeBSD дээр
&oracle;-г суулгахыг хүсэж байгаа бол Линуксийн
хөгжүүлэлтийн орчин хэрэгтэй:
&prompt.root; cd /usr/ports/devel/linux_devtools
&prompt.root; make install distclean
Линуксийн хөгжүүлэлтийн орчин зөвхөн &sap.r3;
46B IDES суулгалтад зориулагдан суугдсан.
&oracle; DB нь FreeBSD систем дээр
дахин холбоос хийгдээгүй бол энэ нь шаардлагагүй юм. Линукс
системээс &oracle;-ийн tar бөмбөгийг
ашиглаж байгаа тохиолдол нь энэ юм.
Шаардлагатай RPM-үүдийг суулгах
RPM-үүд
R3SETUP програмыг эхлүүлэхийн тулд PAM дэмжлэг
хэрэгтэй. FreeBSD 4.3-STABLE дээрх эхний &sap;
суулгалтын үед бид PAM-ийг шаардлагатай бүх багцуудтай нь суулгахыг оролдсон
бөгөөд эцэст нь PAM багцын суулгалтыг хийсэн юм. Үүний дүнд энэ нь ажилласан.
&sap.r3; 4.6C SR2-ийн хувьд бид
PAM RPM-ийн суулгалтыг шууд хийсэн ба энэ нь бас ажилласан юм. Тийм болохоор
хамааралтай багцууд хэрэггүй байх:
&prompt.root; rpm -i --ignoreos --nodeps --root /compat/linux --dbpath /var/lib/rpm \
pam-0.68-7.i386.rpm
&oracle; 8.0.5-ийн хувьд
ухаалаг агентийг ажиллуулахын тулд бид RedHat Tcl багц
tcl-8.0.5-30.i386.rpm-г
суулгах хэрэгтэй болсон (тэгэхгүй бол &oracle;-г
суулгах явцад дахин холбоос үүсгэлт ажиллахгүй болно). &oracle;-ийн
дахин холбоос үүсгэлтийн талаар бусад зарим асуудлууд байдаг боловч
энэ нь FreeBSD-тэй холбоотой биш &oracle; Линуксийн
асуудал юм.
Зарим нэгэн нэмэлт зөвлөмжүүд
linprocfs-г /etc/fstab
уруу нэмэх нь сайн санаа байж болох бөгөөд дэлгэрэнгүй мэдээллийг &man.linprocfs.5;
гарын авлагын хуудаснаас үзнэ үү. Тохируулах өөр нэг параметр нь /etc/sysctl.conf-д
хийгддэг kern.fallback_elf_brand=3 тохиргоо юм.
&sap.r3; орчинг үүсгэх
Шаардлагатай файлын системүүд болон холболтын цэгүүдийг үүсгэх
Хялбар суулгалтын хувьд дараах файлын системүүдийг үүсгэхэд
хангалттай:
холбох цэг
хэмжээ GB
/compat/linux/oracle
45 GB
/compat/linux/sapmnt
2 GB
/compat/linux/usr/sap
2 GB
Зарим нэгэн холбоосуудыг бас үүсгэх шаардлагатай. Тэгэхгүй бол
&sap; суулгагч холбоосуудыг шалгаж
гомдоллох болно:
&prompt.root; ln -s /compat/linux/oracle /oracle
&prompt.root; ln -s /compat/linux/sapmnt /sapmnt
&prompt.root; ln -s /compat/linux/usr/sap /usr/sap
Суулгалтын явц дахь болзошгүй алдааны мэдэгдэл (энд
Систем PRD болон
&sap.r3; 4.6C SR2
суулгалттай цуг):
INFO 2002-03-19 16:45:36 R3LINKS_IND_IND SyLinkCreate:200
Checking existence of symbolic link /usr/sap/PRD/SYS/exe/dbg to
/sapmnt/PRD/exe. Creating if it does not exist...
WARNING 2002-03-19 16:45:36 R3LINKS_IND_IND SyLinkCreate:400
Link /usr/sap/PRD/SYS/exe/dbg exists but it points to file
/compat/linux/sapmnt/PRD/exe instead of /sapmnt/PRD/exe. The
program cannot go on as long as this link exists at this
location. Move the link to another location.
ERROR 2002-03-19 16:45:36 R3LINKS_IND_IND Ins_SetupLinks:0
can not setup link '/usr/sap/PRD/SYS/exe/dbg' with content
'/sapmnt/PRD/exe'
Хэрэглэгчид болон сангуудыг үүсгэх
&sap.r3;-д хоёр хэрэглэгч болон
гурван бүлэг хэрэгтэй. Хэрэглэгчийн нэрс гурван үсгээс тогтох
&sap; системийн ID-с (SID)
хамаарна. Эдгээр SID-үүдийн зарим нь &sap;-р
нөөцлөгдсөн (жишээ нь SAP болон NIX.
Бүрэн жагсаалтын талаар дэлгэрэнгүйг &sap;-ийн
баримтаас үзнэ үү). IDES суулгалтын хувьд бид IDS-г
4.6C SR2 суулгалтын хувьд систем нь үйлдвэрлэлийн хэрэглээнд зориулагдсан болохоор
PRD-г ашигласан. Тиймээс бид дараах бүлгүүдтэй байна
(бүлгийн ID-ууд өөр байж болох бөгөөд эдгээр нь ердөө л бидний суулгалтандаа ашигласан
утгууд юм):
бүлгийн ID
бүлгийн нэр
тайлбар
100
dba
Data Base Administrator буюу Өгөгдлийн Баазын Администратор
101
sapsys
&sap; Систем
102
oper
Өгөгдлийн Баазын Оператор
Анхдагч &oracle; суулгалтын хувьд
зөвхөн dba бүлэг ашиглагдана.
oper бүлэг маягаар dba
бүлгийг бас зарим нь ашигладаг (илүү мэдээллийг &oracle; болон
&sap; баримтаас үзнэ үү).
Бидэнд бас дараах хэрэглэгчид хэрэгтэй:
хэрэглэгчийн ID
хэрэглэгчийн нэр
ерөнхий нэр
бүлэг
нэмэлт бүлгүүд
тайлбар
1000
idsadm/prdadm
sidadm
sapsys
oper
&sap; администратор
1002
oraids/oraprd
orasid
dba
oper
&oracle; администратор
&man.adduser.8;-ээр хэрэглэгчид нэмэх нь
&sap; администратор
ын хувьд дараах (бүрхүүл болон гэрийн сан
гэдгийг санаарай) оруулгуудыг шаарддаг:
Name: sidadm
Password: ******
Fullname: SAP Administrator SID
Uid: 1000
Gid: 101 (sapsys)
Class:
Groups: sapsys dba
HOME: /home/sidadm
Shell: bash (/compat/linux/bin/bash)
бөгөөд &oracle; администратор
ын хувьд:
Name: orasid
Password: ******
Fullname: Oracle Administrator SID
Uid: 1002
Gid: 100 (dba)
Class:
Groups: dba
HOME: /oracle/sid
Shell: bash (/compat/linux/bin/bash)
dba болон
oper бүлгүүдийг хоёуланг та
ашиглаж байгаа бол энэ нь бас oper
бүлгийг оруулсан байх ёстой.
Сангуудыг үүсгэх
Эдгээр сангууд нь тусдаа файлын системүүд маягаар ихэвчлэн
үүсгэгддэг. Таны шаардлагуудаас энэ нь шууд хамаарах юм.
Тэдгээр нь бүгд нэг RAID 5 дээр байрлаж байгаа болохоор
бид тэдгээрийг энгийн сангууд маягаар үүсгэхээр сонгосон юм:
Эхлээд бид зарим сангуудын эзэмшигчид болон эрхүүдийг тохируулна
(root хэрэглэгчээр):
&prompt.root; chmod 775 /oracle
&prompt.root; chmod 777 /sapmnt
&prompt.root; chown root:dba /oracle
&prompt.root; chown sidadm:sapsys /compat/linux/usr/sap
&prompt.root; chmod 775 /compat/linux/usr/sap
Дараа нь бид сангуудыг orasid
хэрэглэгчээр үүсгэнэ. Эдгээр нь бүгдээрээ /oracle/SID-ийн
дэд сангууд байх болно:
&prompt.root; su - orasid
&prompt.root; cd /oracle/SID
&prompt.root; mkdir mirrlogA mirrlogB origlogA origlogB
&prompt.root; mkdir sapdata1 sapdata2 sapdata3 sapdata4 sapdata5 sapdata6
&prompt.root; mkdir saparch sapreorg
&prompt.root; exit
&oracle; 8.1.7 суулгалтын хувьд
зарим нэгэн нэмэлт сангууд хэрэгтэй:
&prompt.root; su - orasid
&prompt.root; cd /oracle
&prompt.root; mkdir 805_32
&prompt.root; mkdir client stage
&prompt.root; mkdir client/80x_32
&prompt.root; mkdir stage/817_32
&prompt.root; cd /oracle/SID
&prompt.root; mkdir 817_32
client/80x_32 сан
яг энэ нэртэйгээр ашиглагддаг. x-г
ямар нэгэн тоо юм уу эсвэл өөр зүйлээр битгий солиорой.
Гурав дахь шатанд бид sidadm
хэрэглэгчээр сангуудыг үүсгэнэ:
&prompt.root; su - sidadm
&prompt.root; cd /usr/sap
&prompt.root; mkdir SID
&prompt.root; mkdir trans
&prompt.root; exit
<filename>/etc/services</filename> файл дахь оруулгууд
&sap.r3; нь /etc/services
файлд зарим нэгэн оруулгуудыг шаарддаг бөгөөд FreeBSD дээр суулгаж байх явцад зөвөөр
тохируулагддаггүй. Дараах оруулгуудыг нэмнэ үү (танд хамгийн багадаа тохиолдлын
дугаартай тохирох оруулгууд хэрэгтэй. Энэ тохиолдолд 00
байна. Бүх оруулгуудыг 00-с эхлээд 99
хүртэл dp, gw, sp болон
ms-т зориулж нэмэх нь аюулгүй юм). Хэрэв та SAProuter
юм уу эсвэл &sap; OSS-т хандах хэрэгтэй болвол танд бас
99 хэрэгтэй болох бөгөөд учир нь порт 3299 нь систем дээрх
SAProuter процессийн хувьд ихэвчлэн ашиглагддаг:
sapdp00 3200/tcp # SAP Dispatcher. 3200 + Instance-Number
sapgw00 3300/tcp # SAP Gateway. 3300 + Instance-Number
sapsp00 3400/tcp # 3400 + Instance-Number
sapms00 3500/tcp # 3500 + Instance-Number
sapmsSID 3600/tcp # SAP Message Server. 3600 + Instance-Number
sapgw00s 4800/tcp # SAP Secure Gateway 4800 + Instance-Number
Шаардлагатай локалууд
локаль
&sap; нь анхдагч RedHat суулгацад
байдаггүй хоёр локалыг хамгийн багадаа шаарддаг. &sap; нь шаардлагатай
RPM-үүдийг тэдгээрийн FTP серверээс (хэрэв та OSS хандалттай үйлчлүүлэгч бол
энэ нь хандах боломжтой байна) татаж авах боломжтойгоор санал
болгодог. Хэрэгтэй RPM-үүдийн жагсаалтын талаар 0171356 тэмдэглэгээг
үзнэ үү.
Ердөө л тохирох холбоосуудыг (жишээ нь de_DE болон
en_US-с) үүсгэх бас боломжтой байдаг боловч
бид үүнийг үйлдвэрлэлийн систем дээр зөвлөдөггүй (гэхдээ энэ нь IDES системтэй
одоогоор ямар ч асуудалгүй ажилласан). Дараах локалууд хэрэгтэй:
de_DE.ISO-8859-1
en_US.ISO-8859-1
Үүнтэй адил холбоосуудыг үүсгэнэ:
&prompt.root; cd /compat/linux/usr/share/locale
&prompt.root; ln -s de_DE de_DE.ISO-8859-1
&prompt.root; ln -s en_US en_US.ISO-8859-1
Хэрэв тэдгээр нь байхгүй бол суулгацын явцад зарим асуудлууд гарах
болно. Хэрэв эдгээрийг тэгээд дараа нь (зөрчиж байгаа алхмуудын
STATUS-г OK
болгон CENTRDB.R3S файлд тохируулж) дахин орхигдуулбал
зарим нэг нэмэлт оролдлогогүйгээр &sap; систем уруу
нэвтрэн орох боломжгүй болно.
Цөмийг тааруулах
цөмийг тааруулах
&sap.r3; системүүд нь маш их эх үүсвэрүүд
шаарддаг. Тийм болохоор бид дараах параметрүүдийг цөмийн тохиргооны файлд
нэмсэн билээ:
# Set these for memory pigs (SAP and Oracle):
options MAXDSIZ="(1024*1024*1024)"
options DFLDSIZ="(1024*1024*1024)"
# System V options needed.
options SYSVSHM #SYSV-style shared memory
options SHMMAXPGS=262144 #max amount of shared mem. pages
#options SHMMAXPGS=393216 #use this for the 46C inst.parameters
options SHMMNI=256 #max number of shared memory ident if.
options SHMSEG=100 #max shared mem.segs per process
options SYSVMSG #SYSV-style message queues
options MSGSEG=32767 #max num. of mes.segments in system
options MSGSSZ=32 #size of msg-seg. MUST be power of 2
options MSGMNB=65535 #max char. per message queue
options MSGTQL=2046 #max amount of msgs in system
options SYSVSEM #SYSV-style semaphores
options SEMMNU=256 #number of semaphore UNDO structures
options SEMMNS=1024 #number of semaphores in system
options SEMMNI=520 #number of semaphore identifiers
options SEMUME=100 #number of UNDO keys
&sap;-с ирсэн баримтан дээр хамгийн бага утгуудыг заасан байдаг.
Линуксд зориулсан тайлбар байдаггүй учраас илүү мэдээллийг HP-UX хэсгээс (32-бит)
үзнэ үү. 4.6C SR2 суулгацад зориулсан систем нь илүү их гол санах ойтой болохоор
хуваалцсан сегмент нь &sap;
болон &oracle;-ийн хувьд илүү том байж
болох юм. Тийм болохоор илүү их тооны хуваалцсан санах ойн хуудсуудыг сонгох
хэрэгтэй.
&i386; дээрх FreeBSD-ийн анхдагч суулгалтад
MAXDSIZ болон DFLDSIZ-г
хамгийн ихдээ 1 GB болгох хэрэгтэй. Тэгэхгүй бол ORA-27102: out of memory
болон Linux Error: 12: Cannot allocate memory
зэрэг хачирхалтай алдаанууд гарч болзошгүй юм.
&sap.r3;-г суулгах
&sap; CDROM-уудыг бэлтгэх
Суулгалтын явцад олон CDROM-уудыг холбож, салгах болдог.
Таныг олон CDROM хөтчүүдтэй гэж үзвэл та тэдгээрийг бүгдийг холбож
болох юм. Бид CDROM-уудын агуулгыг харгалзах сангуудад хуулахаар
шийдсэн юм:
/oracle/SID/sapreorg/cd-name
Энд байгаа cd-name нь
4.6B/IDES суулгацын хувьд KERNEL,
RDBMS, EXPORT1,
EXPORT2, EXPORT3,
EXPORT4, EXPORT5 болон
EXPORT6 дискнүүдийн аль нэг бөгөөд 4.6C SR2 суулгацын
хувьд KERNEL, RDBMS,
DISK1, DISK2,
DISK3, DISK4 болон
LANG дискнүүдийн аль нэг байна. Холбогдсон CD-үүд дээрх
бүх файлын нэрс томоор байх ёстой, аль эсвэл холболт хийхдээ
тохируулгыг ашиглах хэрэгтэй. Тийм болохоор дараах тушаалуудыг ашиглах хэрэгтэй:
&prompt.root; mount_cd9660 -g /dev/cd0a /mnt
&prompt.root; cp -R /mnt/* /oracle/SID/sapreorg/cd-name
&prompt.root; umount /mnt
Суулгалтын скриптийг ажиллуулах
Эхлээд та install санг бэлдэх хэрэгтэй:
&prompt.root; cd /oracle/SID/sapreorg
&prompt.root; mkdir install
&prompt.root; cd install
Тэгээд суулгах скрипт эхлэх бөгөөд бүх холбоотой файлуудыг install
сан уруу хуулах болно:
&prompt.root; /oracle/SID/sapreorg/KERNEL/UNIX/INSTTOOL.SH
IDES суулгац (4.6B) нь бүрэн өөрчлөн тохируулагдсан &sap.r3; үзүүлэх
системтэй ирдэг болохоор гурван EXPORT CD-ний оронд зургаа байдаг.
Энэ үед суулгах загвар CENTRDB.R3S нь
IDES төв тохиолдолд зориулагдаагүй харин стандарт төв тохиолдлын
(&r3; болон мэдээллийн бааз) хувьд
зориулагдсан байх учраас EXPORT1 сангийн
харгалзах CENTRDB.R3S файлыг хуулах хэрэгтэй бөгөөд
тэгэхгүй бол R3SETUP тушаал зөвхөн гурван EXPORT CD-г
асуух болно.
Шинэ &sap; 4.6C SR2 хувилбар
дөрвөн EXPORT CD-тэй ирдэг. Суулгалтын алхмуудыг хянадаг параметрийн
файл нь CENTRAL.R3S байна.
Өмнөх хувилбаруудтай харьцуулах юм бол мэдээллийн баазтай эсвэл баазгүй
төв тохиолдолд зориулагдсан суулгалтын тусдаа загвар байдаггүй.
&sap; нь мэдээллийн баазын
суулгацад зориулж тусдаа загвар ашиглаж байна. Суулгалтыг дараа нь дахин эхлүүлэхийн
тулд анхны файлтай дахин эхлүүлэх нь хангалттай байдаг.
Суулгалтын үед болон дараа &sap; нь
hostname тушаалаас бүрэн танигдсан домэйн нэрийг биш
зөвхөн компьютерийн нэрийг буцаахыг шаарддаг. Хостын нэрийг тааруулах юм уу
эсвэл orasid болон
sidadm
(болон root хэрэглэгчээр хийсэн суулгалтын алхмуудын
үед ядаж root) хэрэглэгчдэд зориулж
alias hostname='hostname -s'
тушаалаар alias буюу өөр нэрийг тохируулах хэрэгтэй. &sap;
суулгацын үед суулгагдсан хоёр хэрэглэгчийн .profile болон
.login файлуудыг тааруулах боломж бас байдаг.
<command>R3SETUP</command> 4.6B-г эхлүүлнэ
LD_LIBRARY_PATH зөв тохируулагдсан эсэхийг шалгаарай:
&prompt.root; export LD_LIBRARY_PATH=/oracle/IDS/lib:/sapmnt/IDS/exe:/oracle/805_32/lib
Суулгалтын сангаас R3SETUP тушаалыг
root эрхээр эхлүүлнэ:
&prompt.root; cd /oracle/IDS/sapreorg/install
&prompt.root; ./R3SETUP -f CENTRDB.R3S
Дараа нь скрипт зарим асуултууд асууна (хаалтанд анхдагчид байх бөгөөд оролт үүний дараа хийгдэнэ):
Асуулт
Анхдагч
Оролт
Enter SAP System ID
[C11]
IDSEnter
Enter SAP Instance Number
[00]
Enter
Enter SAPMOUNT Directory
[/sapmnt]
Enter
Enter name of SAP central host
[troubadix.domain.de]
Enter
Enter name of SAP db host
[troubadix]
Enter
Select character set
[1] (WE8DEC)
Enter
Enter Oracle server version (1) Oracle 8.0.5, (2) Oracle 8.0.6, (3) Oracle 8.1.5, (4) Oracle 8.1.6
1Enter
Extract Oracle Client archive
[1] (Yes, extract)
Enter
Enter path to KERNEL CD
[/sapcd]
/oracle/IDS/sapreorg/KERNEL
Enter path to RDBMS CD
[/sapcd]
/oracle/IDS/sapreorg/RDBMS
Enter path to EXPORT1 CD
[/sapcd]
/oracle/IDS/sapreorg/EXPORT1
Directory to copy EXPORT1 CD
[/oracle/IDS/sapreorg/CD4_DIR]
Enter
Enter path to EXPORT2 CD
[/sapcd]
/oracle/IDS/sapreorg/EXPORT2
Directory to copy EXPORT2 CD
[/oracle/IDS/sapreorg/CD5_DIR]
Enter
Enter path to EXPORT3 CD
[/sapcd]
/oracle/IDS/sapreorg/EXPORT3
Directory to copy EXPORT3 CD
[/oracle/IDS/sapreorg/CD6_DIR]
Enter
Enter path to EXPORT4 CD
[/sapcd]
/oracle/IDS/sapreorg/EXPORT4
Directory to copy EXPORT4 CD
[/oracle/IDS/sapreorg/CD7_DIR]
Enter
Enter path to EXPORT5 CD
[/sapcd]
/oracle/IDS/sapreorg/EXPORT5
Directory to copy EXPORT5 CD
[/oracle/IDS/sapreorg/CD8_DIR]
Enter
Enter path to EXPORT6 CD
[/sapcd]
/oracle/IDS/sapreorg/EXPORT6
Directory to copy EXPORT6 CD
[/oracle/IDS/sapreorg/CD9_DIR]
Enter
Enter amount of RAM for SAP + DB
850Enter (in Megabytes)
Service Entry Message Server
[3600]
Enter
Enter Group-ID of sapsys
[101]
Enter
Enter Group-ID of oper
[102]
Enter
Enter Group-ID of dba
[100]
Enter
Enter User-ID of sidadm
[1000]
Enter
Enter User-ID of orasid
[1002]
Enter
Number of parallel procs
[2]
Enter
Хэрэв та CD-үүдийг өөр байрлалууд уруу хуулаагүй бол &sap;
суулгагч хэрэгтэй CD-гээ (CD дээрх LABEL.ASC файлаар танигддаг)
олж чадахгүй бөгөөд танаас CD-г хийн холбож холбох цэгийг оруулахыг асуух болно.
CENTRDB.R3S нь алдаатай байж
болох юм. Бидний тохиолдолд энэ нь EXPORT4 CD-г дахин хүсэх боловч
зөв түлхүүрийг үзүүлсэн (6_LOCATION, дараа нь 7_LOCATION
гэх мэт.), тэгэхээр зөв утгуудыг оруулан үргэлжлүүлж болох юм.
Доор дурдсан зарим асуудлуудыг тооцохгүй юм бол бүгд
&oracle; мэдээллийн баазын програм хангамжийг суулгах хэрэгтэй болох
хүртэл шулуун явах ёстой.
<command>R3SETUP</command> 4.6C SR2-г эхлүүлнэ
LD_LIBRARY_PATH зөв тохируулагдсан эсэхийг шалгаарай.
Энэ нь &oracle; 8.0.5-тай 4.6B суулгацаас
өөр утга байна:
&prompt.root; export LD_LIBRARY_PATH=/sapmnt/PRD/exe:/oracle/PRD/817_32/lib
Суулгалтын сангаас R3SETUP тушаалыг root хэрэглэгчээр
эхлүүлнэ:
&prompt.root; cd /oracle/PRD/sapreorg/install
&prompt.root; ./R3SETUP -f CENTRAL.R3S
Дараа нь скрипт зарим асуултууд асууна (хаалтанд анхдагчид байх бөгөөд оролт үүний дараа хийгдэнэ):
Асуулт
Анхдагч
Оролт
Enter SAP System ID
[C11]
PRDEnter
Enter SAP Instance Number
[00]
Enter
Enter SAPMOUNT Directory
[/sapmnt]
Enter
Enter name of SAP central host
[majestix]
Enter
Enter Database System ID
[PRD]
PRDEnter
Enter name of SAP db host
[majestix]
Enter
Select character set
[1] (WE8DEC)
Enter
Enter Oracle server version (2) Oracle 8.1.7
2Enter
Extract Oracle Client archive
[1] (Yes, extract)
Enter
Enter path to KERNEL CD
[/sapcd]
/oracle/PRD/sapreorg/KERNEL
Enter amount of RAM for SAP + DB
2044
1800Enter (in Megabytes)
Service Entry Message Server
[3600]
Enter
Enter Group-ID of sapsys
[100]
Enter
Enter Group-ID of oper
[101]
Enter
Enter Group-ID of dba
[102]
Enter
Enter User-ID of oraprd
[1002]
Enter
Enter User-ID of prdadm
[1000]
Enter
LDAP support
3Enter (no support)
Installation step completed
[1] (continue)
Enter
Choose installation service
[1] (DB inst,file)
Enter
Суулгалтын явцад OSUSERDBSID_IND_ORA
(orasid
хэрэглэгчийг үүсгэх) үе болон OSUSERSIDADM_IND_ORA
(sidadm хэрэглэгчийг
үүсгэх) үед хэрэглэгчдийг үүсгэхэд алдаа өгч байна.
Доор дурдсан зарим асуудлуудыг тооцохгүй юм бол бүгд
&oracle; мэдээллийн баазын програм хангамжийг суулгах хэрэгтэй болох
хүртэл шулуун явах ёстой.
&oracle; 8.0.5-г суулгах
Линукс болон &oracle; DB-ийн болзошгүй асуудлуудын талаар
харгалзах &sap;-ийн тэмдэглэгээнүүд болон &oracle;-ийн Readme файлуудыг
үзнэ үү. Бүх асуудлуудын ихэнх нь нийцгүй сангуудаас болдог.
&oracle; суулгах тухай дэлгэрэнгүй мэдээллийг
&oracle; суулгах нь бүлгээс
лавлана уу.
&oracle; 8.0.5-г <command>orainst</command>-ээр суулгах
Хэрэв &oracle; 8.0.5 ашиглагдах
болвол амжилттай дахин холбоход зарим нэмэлт сангууд хэрэгтэй.
&oracle; 8.0.5 нь хуучин glibc-тэй (RedHat 6.0)
холбогдсон байдаг болохоор тэр юм. Гэхдээ RedHat 6.1 нь шинэ glibc ашигладаг.
Тэгэхээр холболт ажиллахыг баталгаажуулахын тулд та дараах нэмэлт багцуудыг
суулгах хэрэгтэй:
compat-libs-5.2-2.i386.rpm
compat-glibc-5.2-2.0.7.2.i386.rpm
compat-egcs-5.2-1.0.3a.1.i386.rpm
compat-egcs-c++-5.2-1.0.3a.1.i386.rpm
compat-binutils-5.2-2.9.1.0.23.1.i386.rpm
Цаашхи мэдээллийн талаар харгалзах &sap;-ийн тэмдэглэгээнүүд болон &oracle;-ийн
Readme файлуудыг үзнэ үү. Хэрэв энэ нь
сонголт биш бол (суулгах явцад бидэнд үүнийг шалгах хангалттай хугацаа
байгаагүй) анхны хоёртын файлууд юм уу эсвэл анхны RedHat системээс дахин холбогдсон
хоёртын файлуудыг ашиглаж болох юм.
Ухаалаг агентийг эмхэтгэхийн тулд RedHat Tcl багц суулгагдсан байх
ёстой. Хэрэв та tcl-8.0.3-20.i386.rpm файлыг
авч чадахгүй байгаа бол RedHat 6.1-д зориулагдсан tcl-8.0.5-30.i386.rpm
зэрэг шинэ бас байж болох юм.
Дахин холбохоос бусдаараа суулгалт нь шулуухан юм:
&prompt.root; su - oraids
&prompt.root; export TERM=xterm
&prompt.root; export ORACLE_TERM=xterm
&prompt.root; export ORACLE_HOME=/oracle/IDS
&prompt.root; cd $ORACLE_HOME/orainst_sap
&prompt.root; ./orainst
Програм хангамж суулгагдах хүртэл бүх дэлгэц дээр байгааг
Enter дарж баталгаажуулах хэрэгтэй. Гэхдээ
&oracle; On-Line Text Viewer гэдгийг сонгосноо
болиулах хэрэгтэй, учир нь энэ нь Линукс дээр байдаггүй. &oracle;
дараа нь байгаа gcc,
egcs болон i386-redhat-linux-gcc
-үүдийн оронд i386-glibc20-linux-gcc-ээр
дахин холбогдохыг хүсдэг.
Хугацаанаас болоод бид &oracle; 8.0.5 PreProduction
хувилбарын хоёртын файлуудыг ашиглахаар шийдсэн юм. Учир нь тэр үед
RDBMS CD-ээс хувилбарыг ажиллуулах эхний оролдлого амжилтгүй
болсон, бас зөв RPM-үүдийг олж тэдгээрт хандах нь аймшгийн хар дарсан
зүүд шиг байсан зэргээс болсон юм.
Линуксд (Цөм 2.0.33) зориулсан &oracle; 8.0.5 Pre-production Release-г
суулгах
Энэ суулгалт нь их амархан. CD-г холбож суулгагчийг эхлүүлнэ.
Энэ нь &oracle;-ийн гэрийн сангийн байрлалыг асуух бөгөөд бүх хоёртын
файлуудыг тэнд хуулах болно. Гэхдээ бид өөрсдийн өмнөх RDBMS суулгалтын файлуудын
үлдэгдлүүдийг устгаагүй болно.
Дараа нь &oracle; мэдээллийн баазыг ямар ч асуудалгүйгээр
эхлүүлж болно.
&oracle; 8.1.7 Линуксийн tar бөмбөгийг суулгах
Линукс систем дээрх суулгалтын сангаас үүсгэсэн oracle81732.tgz
tar бөмбөгөө аваад /oracle/SID/817_32/ уруу
буцааж задлах хэрэгтэй.
&sap.r3;-ийн суулгацыг үргэлжлүүлэх
Эхлээд idsamd
(sidadm) болон
oraids (orasid)
хэрэглэгчдийн орчны тохиргоонуудыг шалгах хэрэгтэй.
Тэдгээр нь одоо бүгд hostname тушаалыг ашиглаж
байгаа .profile,
.login болон .cshrc
файлуудтай байх ёстой. Системийн хостын нэр бүрэн танигдах нэр бол
та hostname тушаалыг hostname
-s тушаалаар бүх гурван файл дотор өөрчлөх хэрэгтэй.
Мэдээллийн баазыг дуудах
Дараа нь R3SETUP тушаалыг дахин эхлүүлэх юм уу эсвэл
үргэлжлүүлж болно (гарахыг сонгосон эсэхээс хамаарч). R3SETUP нь
дараа нь хүснэгтийн талбаруудыг үүсгэж өгөгдлийг (46B IDES-ийн хувьд EXPORT1-с EXPORT6,
46C-ийн хувьд DISK1-с DISK4) мэдээллийн бааз уруу R3load тушаалаар
дуудна.
Мэдээллийн бааз дуудагдаж дууссаны дараа (хэдэн цаг болж болно)
зарим нууц үгсийг асуудаг. Тест суулгалтуудад хүн бүхний мэддэг анхдагч
нууц үгсийг ашиглаж болох юм (хэрэв аюулгүй байдал чухал бол өөрийг
ашиглаарай!):
Асуулт
Оролт
Enter Password for sapr3
sapEnter
Confirum Password for sapr3
sapEnter
Enter Password for sys
change_on_installEnter
Confirm Password for sys
change_on_installEnter
Enter Password for system
managerEnter
Confirm Password for system
managerEnter
Энэ үед бид 4.6B суулгаж байх явцад dipgntab
тушаалын хувьд цөөн асуудлуудтай тулгарсан.
Сонсогч
&oracle; сонсогчийг
orasid хэрэглэгчээр дараах
маягаар эхлүүлнэ:
&prompt.user; umask 0; lsnrctl start
Тэгэхгүй бол сокетууд нь зөв зөвшөөрлүүдгүй байх учраас ORA-12546
алдааг та харж болох юм. &sap; Тэмдэглэгээ 072984-г үзнэ үү.
MNLS хүснэгтүүдийг шинэчлэх
Хэрэв та Latin-1 биш хэлүүдийг &sap; систем уруу импорт хийхээр
төлөвлөж байгаа бол Multi National Language Support хүснэгтүүд буюу Олон Үндэстний Хэлний Дэмжлэгийн
хүснэгтүүдийг шинэчлэх хэрэгтэй. Энэ нь &sap; OSS Тэмдэглэгээнүүд 15023 болон 45619-д тайлбарлагдсан
байгаа. Үгүй бол энэ асуултыг &sap; суулгалтын явцад орхиж болно.
Хэрэв танд MNLS хэрэггүй бол хүснэгт TCPDB-г шалгаж эхлүүлэлт хийгдээгүй бол
эхлүүлэх шаардлага хэвээр байсаар байх болно. Дэлгэрэнгүй мэдээллийг &sap; тэмдэглэгээ 0015023 болон 0045619-с
үзнэ үү.
Суулгалтын дараах алхмууд
&sap.r3;-ийн лиценз түлхүүрийг хүснэ
Та өөрийн &sap.r3; лиценз түлхүүрийг хүсэх хэрэгтэй.
Суулгалтын үед суулгагдсан түр зуурын лиценз нь зөвхөн дөрвөн долоо хоног хүчинтэй байдаг болохоор
ингэх хэрэгтэй юм. Эхлээд тоног төхөөрөмжийн түлхүүрийг авах хэрэгтэй.
idsadm хэрэглэгчээр нэвтэрч saplicense
тушаалыг дуудна:
&prompt.root; /sapmnt/IDS/exe/saplicense -get
saplicense тушаалыг параметрүүдгүй дуудах нь
тохируулгуудын жагсаалтыг үзүүлдэг. Лицензийн түлхүүрийг авсныхаа дараа үүнийг
дараах тушаалыг ашиглан суулгаж болно:
&prompt.root; /sapmnt/IDS/exe/saplicense -install
Тэгээд та дараах утгуудыг оруулах шаардлагатай болно:
SAP SYSTEM ID = SID, 3 chars
CUSTOMER KEY = hardware key, 11 chars
INSTALLATION NO = installation, 10 digits
EXPIRATION DATE = yyyymmdd, usually "99991231"
LICENSE KEY = license key, 24 chars
Хэрэглэгчдийг үүсгэх
Клиент 000 дотор хэрэглэгч үүсгэнэ (зарим ажлуудын хувьд клиент 000
дотор хийхийг шаарддаг, гэхдээ sap* болон
ddic хэрэглэгчдээс өөр хэрэглэгчээр).
Хэрэглэгчийн нэрийн хувьд бид wartung (эсвэл
Англиар service) гэж ихэвчлэн сонгодог.
Шаардлагатай хувийн тохиргоонууд нь sap_new болон
sap_all юм. Аюулгүй байдлыг нэмэлтээр хангаж
бүх клиентүүд доторх анхдагч хэрэглэгчдийн нууц үгсийг өөрчлөх хэрэгтэй
(эдгээр хэрэглэгчдэд sap* болон
ddic орно).
Тээвэрлэлтийн систем, хувийн тохиргоо, үйлдлийн горимууд гэх мэтийг
тохируулах
ddic болон sap*
хэрэглэгчээс өөр клиент 000 дотор доор дурдсаныг хамгийн багадаа хийх хэрэгтэй:
Ажил
Шилжүүлгэ
Тээвэрлэлтийн системийг тохируулна, өөрөөр хэлбэл
Тусдаа ажиллах Тээвэрлэлтийн Домэйн маягаар
STMS
Системийн хувьд хувийн тохиргоог үүсгэнэ / засварлана
RZ10
Үйлдлийн горимууд болон тохиолдлуудыг арчилна
RZ04
Эдгээр болон бусад бүх суулгалтын дараах алхмууд нь &sap;-г
суулгах заавруудад дэлгэрэнгүй тайлбарлагдсан байгаа.
<filename>init<replaceable>sid</replaceable>.sap</filename> (<filename>initIDS.sap</filename>)
файлыг засварлана
/oracle/IDS/dbs/initIDS.sap файл
&sap;-ийн нөөц хувийн тохиргоог агуулдаг.
Энд ашиглагдах соронзон хальсны хэмжээ, шахалтын төрөл гэх зэргийг
тодорхойлох хэрэгтэй. sapdba /
brbackup тушаалаар үүнийг ажиллуулахын
тулд бид дараах утгуудыг өөрчилсөн:
compress = hardware
archive_function = copy_delete_save
cpio_flags = "-ov --format=newc --block-size=128 --quiet"
cpio_in_flags = "-iuv --block-size=128 --quiet"
tape_size = 38000M
tape_address = /dev/nsa0
tape_address_rew = /dev/sa0
Тайлбарууд:
compress: Бидний ашиглах соронзон хальс
бол HP DLT1 бөгөөд энэ нь тоног төхөөрөмжийн шахалтыг хийдэг.
archive_function: Энэ нь &oracle;-ийн
архив бүртгэлүүдийг хадгалах анхдагч үйлдлийг тодорхойлдог: шинэ бүртгэлийн
файлууд нь соронзон хальсанд хадгалагдаж аль хэдийн хадгалагдсан бүртгэлийн
файлууд нь дахин хадгалагдаж дараа нь устгагддаг. Хэрэв танд мэдээллийн баазыг
сэргээх хэрэг байгаа бөгөөд аль нэг архивын соронзон хальс муудсан бол энэ нь
их олон асуудлаас сэргийлэх юм.
cpio_flags: Анхдагч нь блокийн хэмжээг
5120 байт болгож тохируулдаг тохируулгыг
ашиглах явдал юм. DLT соронзон хальснуудын хувьд HP нь хамгийн багаар
бодоход 32 K блокийн хэмжээтэй байхыг зөвлөдөг, тийм болохоор
бид 64 K-д зориулж тохируулгыг
ашигласан. Бидэнд 65535-с их inode дугаарууд байгаа болохоор
тохируулга хэрэгтэй.
Сүүлийн тохируулга нь хэрэгтэй бөгөөд тэгэхгүй
бол cpio тушаал хадгалсан блокуудын тоог гаргасны дараа
brbackup тушаал гомдоллох болно.
cpio_in_flags: Соронзон хальснаас өгөгдлийг
буцааж дуудахад тугнууд хэрэгтэй. Хэлбэршилт автоматаар танигддаг.
tape_size: Энэ нь соронзон хальсны
түүхий хадгалалтын багтаамжийг ихэвчлэн өгдөг. Аюулгүй байдлын үүднээс
(бид тоног төхөөрөмжийн шахалтыг ашиглаж байгаа) уг утга нь жинхэнэ утгаас
хамаагүй бага байна.
tape_address: cpio тушаалд ашиглагдах
дахин буцаагддаггүй төхөөрөмж байна.
tape_address_rew: cpio тушаалд ашиглагдах
буцаагдаж болох төхөөрөмж байна.
Суулгалтын дараах тохиргооны асуудлууд
Суулгалтын дараа дараах &sap; параметрүүдийг
тааруулах хэрэгтэй (IDES 46B, 1 GB санах ойд зориулсан жишээнүүд):
Нэр
Утга
ztta/roll_extension
250000000
abap/heap_area_dia
300000000
abap/heap_area_nondia
400000000
em/initial_size_MB
256
em/blocksize_kB
1024
ipc/shm_psize_40
70000000
&sap; Тэмдэглэгээ 0013026:
Нэр
Утга
ztta/dynpro_area
2500000
&sap; Тэмдэглэгээ 0157246:
Нэр
Утга
rdisp/ROLL_MAXFS
16000
rdisp/PG_MAXFS
30000
Дээрх параметрүүдтэй 1 гигабайт санах ойтой систем дээр
санах ойн иймэрхүү хэрэглээг олж харж болох юм:
Mem: 547M Active, 305M Inact, 109M Wired, 40M Cache, 112M Buf, 3492K Free
Суулгалтын үеийн асуудлууд
Асуудлыг засварласны дараа <command>R3SETUP</command>-г дахин эхлүүлнэ
R3SETUP тушаал алдаа гарвал зогсдог. Хэрэв та харгалзах
бүртгэлийн файлуудыг үзэж алдааг зассан бол R3SETUP тушаалыг
дахин эхлүүлэх хэрэгтэй. Ингэхийн тулд R3SETUP-ийн гомдоллосон
сүүлийн алхамд зориулж ихэвчлэн REPEAT-ийг тохируулга болгон сонгоно.
R3SETUP-г дахин эхлүүлэхийн тулд түүнийг ердөө л харгалзах
R3S файлтай нь эхлүүлнэ, 4.6B-ийн хувьд:
&prompt.root; ./R3SETUP -f CENTRDB.R3S
эсвэл 4.6C-ийн хувьд
&prompt.root; ./R3SETUP -f CENTRAL.R3S
байх бөгөөд алдаа CENTRAL.R3S юм уу эсвэл
DATABASE.R3S файлд гарснаас үл хамаарах юм.
Зарим алхмууд дээр R3SETUP тушаал нь
мэдээллийн бааз болон &sap; процессууд нь
эхлээд ажиллаж байгаа гэж үздэг (тэдгээр нь аль хэдийн гүйцэтгэсэн алхмууд юм).
Алдаанууд гарахад, жишээ нь мэдээллийн баазыг эхлүүлж болохгүй байвал
алдаануудыг засварласны дараа R3SETUP-г дахин эхлүүлэхээсээ өмнө
та мэдээллийн бааз болон &sap;-ийг
гараараа эхлүүлэх хэрэгтэй.
&oracle; сонсогч хэрэв (жишээ нь системийг
шаардлагаар дахин ачаалснаас болоод) зогссон бол
түүнийг бас (orasid хэрэглэгчээр
umask 0; lsnrctl start тушаалаар)
дахин эхлүүлэхээ битгий мартаарай.
<command>R3SETUP</command>-ийн үе дэх OSUSERSIDADM_IND_ORA
Хэрэв R3SETUP энэ үе дээр гомдоллож байвал
тэр үед R3SETUP-ийн ашиглагдсан загвар файлыг
засварлах хэрэгтэй (CENTRDB.R3S (4.6B) эсвэл
CENTRAL.R3S эсвэл
DATABASE.R3S (4.6C)).
[OSUSERSIDADM_IND_ORA]-г олох юм уу эсвэл
зөвхөн STATUS=ERROR оруулгыг хайж дараах утгуудыг
засварлах хэрэгтэй:
HOME=/home/sidadm (was empty)
STATUS=OK (had status ERROR)
Дараа нь та R3SETUP-г дахин эхлүүлж болно.
<command>R3SETUP</command>-ийн үе дэх OSUSERDBSID_IND_ORA
Магадгүй R3SETUP тушаал бас энэ үед гомдоллох байх.
Энд байгаа алдаа нь OSUSERSIDADM_IND_ORA үе дэх алдаатай төстэй юм.
Тэр үед R3SETUP-ийн ашиглагдсан загвар файлыг
засварлах хэрэгтэй (CENTRDB.R3S (4.6B) эсвэл
CENTRAL.R3S эсвэл
DATABASE.R3S (4.6C)).
[OSUSERDBSID_IND_ORA]-г олох юм уу эсвэл
зөвхөн STATUS=ERROR оруулгыг хайж тэр хэсэг дэх дараах утгыг
засварлах хэрэгтэй:
STATUS=OK
Дараа нь R3SETUP-г дахин эхлүүлнэ.
&oracle;-ийн суулгалтын үе дэх <errorname>oraview.vrf FILE NOT FOUND</errorname>
Та суулгалтыг эхлүүлэхээсээ өмнө &oracle; On-Line Text Viewer
сонголтыг болиулаагүй байна. Энэ тохируулга нь Линукс дээр байдаггүй ч гэсэн суулгагдахаар
тэмдэглэгдсэн байдаг. &oracle; суулгалтын цэсэн
дотор энэ бүтээгдэхүүнийг сонгосноо болиулаад суулгалтыг дахин эхлүүлэх хэрэгтэй.
<command>R3SETUP</command>, RFC эсвэл SAPgui Эхлэлийн үе дэх <errorname>TEXTENV_INVALID</errorname>
Хэрэв энэ алдаа гарсан бол зөв локал байхгүй байна. &sap; тэмдэглэгээ 0171356 нь
суулгахад шаардлагатай RPM-үүдийг жагсаасан байдаг (өөрөөр хэлбэл RedHat 6.1-т зориулсан
saplocales-1.0-3, saposcheck-1.0-1).
Та R3SETUP тушаал гомдоллох бүрт бүх хамааралтай алдаануудыг
хаяж харгалзах STATUS тохируулгыг
ERROR гэдгээс OK болгон
(CENTRDB.R3S файлд) тохируулж
R3SETUP-г дахин эхлүүлсэн бол
&sap; систем нь зөв тохируулагдахгүй бөгөөд
хэдий системийг эхлүүлж болох ч гэсэн та дараа нь системд SAPgui
програмаар холбогдож чадахгүй болно. Линуксийн хуучин SAPgui-аар
холбогдохыг оролдоход дараах мэдэгдлүүдийг өгсөн:
Sat May 5 14:23:14 2001
*** ERROR => no valid userarea given [trgmsgo. 0401]
Sat May 5 14:23:22 2001
*** ERROR => ERROR NR 24 occured [trgmsgi. 0410]
*** ERROR => Error when generating text environment. [trgmsgi. 0435]
*** ERROR => function failed [trgmsgi. 0447]
*** ERROR => no socket operation allowed [trxio.c 3363]
Speicherzugriffsfehler
Энэ ажиллагаа нь &sap.r3;-ийн локалыг
зөв зааж өгч чадахгүй байдал болон бас өөрийгөө зөв тохируулж
чадахгүй (зарим мэдээллийн баазын хүснэгтүүдэд оруулгууд байхгүй) байдлаас болдог.
&sap; уруу холбогдож чаддаг байхын тулд
DEFAULT.PFL файлд дараах оруулгуудыг нэмнэ
(Тэмдэглэгээ 0043288-г үзнэ үү):
abap/set_etct_env_at_new_mode = 0
install/collate/active = 0
rscp/TCP0B = TCP0B
&sap; системийг дахин эхлүүлнэ. Улстай холбоотой
хэлний тохиргоонууд хүссэнээр ажиллахгүй байсан ч гэсэн одоо та
систем уруу холбогдож чадна. Улсын тохиргоонуудыг зөв болгосны
(зөв локалыг зааж өгсний) дараа эдгээр оруулгуудыг
DEFAULT.PFL файлаас арилгаж
&sap; системийг дахин эхлүүлж болно.
<errorcode>ORA-00001</errorcode>
Энэ алдаа нь FreeBSD дээрх &oracle; 8.1.7
дээр зөвхөн гардаг. Үүний шалтгаан нь &oracle;
мэдээллийн бааз өөрийгээ зөв эхлүүлж чадахгүй, систем дээр семафорууд болон хуваалцсан
санах ойг үлдээн сүйрдэг явдал юм. Мэдээллийн баазыг эхлүүлэх дараагийн оролдлого тэгээд
ORA-00001 алдааг буцаадаг.
ipcs -a тушаалаар тэдгээрийг олж
ipcrm тушаалаар устгах хэрэгтэй.
<errorcode>ORA-00445</errorcode> (Арын процесс PMON эхлээгүй)
Энэ алдаа нь &oracle; 8.1.7 дээр гардаг.
Энэ алдаа нь мэдээллийн бааз prdadm хэрэглэгчээр
ердийн startsap скриптээр (жишээ нь
startsap_majestix_00)
эхлүүлэгдсэн бол гардаг.
Боломжит тойрон гарах зам нь oraprd
хэрэглэгчээр svrmgrl тушаалын тусламжтай
мэдээллийн баазыг эхлүүлэх явдал юм:
&prompt.user; svrmgrl
SVRMGR> connect internal;
SVRMGR> startup;
SVRMGR> exit
<errorcode>ORA-12546</errorcode> (Сонсогчийг зөв зөвшөөрлүүдтэй эхлүүлэх)
oraids хэрэглэгчээр &oracle;
сонсогчийг дараах тушаалаар эхлүүлнэ:
&prompt.root; umask 0; lsnrctl start
Ингэхгүй бол сокетууд нь зөв зөвшөөрлүүдгүйн улмаас та ORA-12546
алдаа харж болох юм. &sap; тэмдэглэгээ 0072984-г үзнэ үү.
<errorcode>ORA-27102</errorcode> (Out of Memory буюу санах ой хүрэлцэхгүй)
MAXDSIZ болон DFLDSIZ
тохируулгуудын хувьд 1 GB-с (1024x1024x1024) их хэмжээтэй утгуудыг
ашиглахаар оролдох үед энэ алдаа гарсан. Мөн Linux Error 12: Cannot allocate memory
буюу санах ойг хуваарилж чадахгүй байна гэсэн алдааг бид бас авсан.
<command>R3SETUP</command>-ийн үе дэх [DIPGNTAB_IND_IND]
Ерөнхийдөө &sap; тэмдэглэгээ 0130581-г үзнэ үү (R3SETUP алхам
DIPGNTAB төгссөн). IDES-тэй холбоотой суулгалтын
үед ямар нэг шалтгаанаас болоод суулгах процесс зөв &sap;
системийн нэр IDS
-г ашиглалгүй хоосон мөр ""-г
ашигладаг. Замууд нь динамикаар SID-г (энэ тохиолдолд IDS)
ашиглан үүсгэгддэг учраас энэ нь сангуудад хандах үед зарим нэг жижиг асуудлуудад хүргэдэг.
Доор дурдсан уруу хандахын оронд:
/usr/sap/IDS/SYS/...
/usr/sap/IDS/DVMGS00
дараах замуудыг ашигласан:
/usr/sap//SYS/...
/usr/sap/D00
Суулгалтыг үргэлжлүүлэхийн тулд бид холбоос болон нэмэлт сан үүсгэсэн:
&prompt.root; pwd
/compat/linux/usr/sap
&prompt.root; ls -l
total 4
drwxr-xr-x 3 idsadm sapsys 512 May 5 11:20 D00
drwxr-x--x 5 idsadm sapsys 512 May 5 11:35 IDS
lrwxr-xr-x 1 root sapsys 7 May 5 11:35 SYS -> IDS/SYS
drwxrwxr-x 2 idsadm sapsys 512 May 5 13:00 tmp
drwxrwxr-x 11 idsadm sapsys 512 May 4 14:20 trans
&sap; тэмдэглэгээнүүд (0029227 болон 0008401) үүнийг тайлбарладгийг
бид бас олсон юм. Бид эдгээр асуудлуудын алийг ч &sap; 4.6C
суулгалтаас олж хараагүй.
<command>R3SETUP</command>-ийн үе дэх [RFCRSWBOINI_IND_IND]
&sap; 4.6C-г суулгаж байхад
энэ алдаа нь суулгалтын эхэн үед гарсан өөр алдаанаас болж гарсан алдаа байсан.
Энэ тохиолдолд та харгалзах бүртгэлийн файлуудыг үзэж жинхэнэ асуудлыг
засварлах хэрэгтэй.
Бүртгэлийн файлуудыг үзсэний дараа хэрэв энэ алдаа нь харин зөв бол
(&sap; тэмдэглэгээнүүдийг шалгана уу) зөрчсөн алхмын STATUS
тохируулгыг ERROR гэдгээс OK уруу
(файл CENTRDB.R3S) болгож тохируулан
R3SETUP-г дахин эхлүүлж болно. Суулгалтын дараа та
шилжүүлгэ SE38-аас тайлан RSWBOINS-г ажиллуулах хэрэгтэй.
RFCRSWBOINI болон RFCRADDBDIF
үеүүдийн тухай нэмэлт мэдээллийг &sap; тэмдэглэгээ 0162266-с үзнэ үү.
<command>R3SETUP</command>-ийн үе дэх [RFCRADDBDIF_IND_IND]
Энд ижил хязгаарлалтууд ашиглагдана: бүртгэлийн файлуудыг үзэж
энэ алдаа нь урьдны өөр асуудлуудаас болсон эсэхийг шалгана.
Хэрэв та &sap; тэмдэглэгээ 0162266 хамаарч байгааг баталбал
зөрчсөн алхмын STATUS
тохируулгыг ERROR гэдгээс OK уруу
(файл CENTRDB.R3S) болгож тохируулан
R3SETUP-г дахин эхлүүлэх хэрэгтэй. Суулгалтын дараа та
шилжүүлгэ SE38-аас тайлан RADDBDIF-г ажиллуулах
хэрэгтэй.
<errorcode>sigaction sig31: File size limit exceeded</errorcode> буюу файлын хэмжээний хязгаар илүүдсэн
Энэ алдаа нь &sap;-ийн процессууд
disp+work-г эхлүүлэх үед гардаг. Хэрэв &sap;-г
startsap скриптээр эхлүүлэхэд дэд процессууд нь дараа нь эхлүүлэгдэх бөгөөд
эдгээр нь бусад бүх &sap; процессуудыг эхлүүлэх бохир ажлыг хийж
салдаг. Үүний үр дүнд скрипт нь өөрөө ямар нэг зүйл буруу болохыг анзаардаггүй.
&sap;-ийн процессууд зөв эхэлсэн эсэхийг шалгахын
тулд ps ax | grep SID тушаалаар
процессийн төлөвийг үзэх хэрэгтэй. Энэ нь танд &oracle; болон
&sap;-ийн бүх процессуудын жагсаалтыг харуулдаг.
Хэрэв зарим процессууд байхгүй юм уу эсвэл та &sap; систем уруу
холбогдож чадахгүй байвал
/usr/sap/SID/DVEBMGSnr/work/
санд байх харгалзах бүртгэлийн файлуудыг үзэх хэрэгтэй. Үзэх файлууд нь dev_ms болон
dev_disp юм.
&oracle; болон &sap;-ийн
ашигласан хуваалцсан санах ойн хэмжээ цөмийн тохиргооны файлд тааруулснаас илүү гарвал энд дохио 31 гарах
бөгөөд илүү том утгыг ашиглаж энэ асуудлыг шийдэж болно:
# larger value for 46C production systems:
options SHMMAXPGS=393216
# smaller value sufficient for 46B:
#options SHMMAXPGS=262144
<command>saposcol</command> тушаалын эхлэл амжилтгүй болсон
saposcol програмд (хувилбар 4.6D) зарим асуудлууд байдаг.
&sap; систем нь системийн ажиллагааны тухай өгөгдлийг цуглуулахын тулд
saposcol-г ашигладаг. Энэ програм нь
&sap; системийг ашиглахад хэрэггүй болохоор
энэ асуудлыг жижиг гэж тооцож болох юм. Хуучин хувилбарууд (4.6B) нь
ажилладаг боловч бүх өгөгдлийг цуглуулдаггүй (олон дуудлагууд нь 0-г буцаах болно, жишээ нь
CPU-ийн хэрэглээний хувьд).
Нэмэлт сэдвүүд
Хэрэв та Линуксийн хоёртын нийлэмж хэрхэн ажилладгийг мэдэхийг хүсэж байгаа
бол энэ хэсэг нь таны уншихыг хүсэж байгаа хэсэг юм. Доор бичигдсэн зүйлийн ихэнх нь
Тэрри Лэмбэрт tlambert@primenet.com-ийн
&a.chat; руу бичсэн цахим захидал (Message ID:
<199906020108.SAA07001@usr09.primenet.com>)
дээр тулгуурласан байгаа.
Хэрхэн ажилладаг вэ?
ажиллуулах ангилал дуудагч
FreeBSD нь execution class
loader
буюу ажиллуулах ангилал дуудагч гэгддэг хийсвэрлэлттэй байдаг.
Энэ нь &man.execve.2; системийн дуудлага уруу хийгдэх шаантаг юм.
Юу болдог вэ гэхээр FreeBSD нь ямар нэгэн бүрхүүлийн тайлбарлагчид эсвэл
бүрхүүлийн скриптүүдийг ажиллуулахын тулд #! дуудагч
уруу ордог нэг дуудагчийн оронд дуудагчдын жагсаалттай байдаг.
Уламжлалаар бол &unix; тавцангийн дуудагч нь хоёртын файлыг системд
мэдэгдэж байгаа эсэхийг мэдэхийн тулд шидэт тоог
(ерөнхийдөө файлын эхний 4 эсвэл 8 байт) шалгадаг бөгөөд
хэрэв мэдэгдэж байвал хоёртын дуудагчийг ажиллуулдаг ганц дуудагч юм.
Хэрэв энэ нь системд зориулагдсан хоёртын төрөл биш бол &man.execve.2;
дуудлага амжилгүй болон буцаж бүрхүүл үүнийг бүрхүүлийн тушаалууд маягаар
ажиллуулж эхлэхийг оролддог.
Тухайн үеийн бүрхүүл ямар байгаа
түүнийг анхдагч гэж
таамагладаг.
Дараа нь эхний хоёр тэмдэгтүүдийг шалгах засварыг (hack) &man.sh.1;-д
зориулж хийсэн бөгөөд хэрэв тэдгээр нь :\n бол энэ нь
&man.csh.1; бүрхүүлийг ажиллуулдаг (энэ засварыг SCO анхлан хийсэн гэж
бид итгэдэг).
Төгсгөлийн дараах дараагийн хоосон зайны дараа байдаг тэмдэгтүүдийн дараа
/bin/sh уруу буцдаг тэмдэгтүүд байдаг болохоор
одоо FreeBSD юу хийдэг вэ гэхээр дуудагчдын жагсаалтаар тайлбарлагчдын талаар
мэддэг ерөнхий #! дуудагчтай явдаг.
ELF
Линуксийн ABI дэмжлэгийн хувьд FreeBSD нь шидэт тоог ELF хоёртын файл
гэж хардаг (одоогоор энэ нь FreeBSD, &solaris;, Линукс болон ELF дүрсний төрөл бүхий
бусад OS-ийг хооронд нь ялгадаггүй).
Solaris
ELF дуудагч нь тусгай тамга хайдаг бөгөөд
энэ нь ELF дүрс дэх тайлбар хэсэг юм. Энэ нь SVR4/&solaris; ELF хоёртын
файлуудад байдаггүй.
Линукс хоёртын файлууд нь ажиллахын тулд тэдгээр нь
&man.brandelf.1;-ээр Линукс гэж тамгалагдах
ёстой байдаг:
&prompt.root; brandelf -t Linux file
Үүнийг хийсний дараа ELF дуудагч нь файлд
Линукс тамгыг харах болно.
ELF
тамгалах
ELF дуудагч Линукс тамгыг харах үед дуудагч
proc бүтэц дэх заагчийг сольдог. Энэ заагчаар
бүх системийн дуудлагууд индекслэгддэг (уламжлалт &unix; систем дээр
энэ нь системийн дуудлагуудыг агуулах sysent[]
бүтцийн массив байх юм). Үүнээс гадна процесс нь дохионы трамплиний
кодонд зориулсан занга векторыг тусгайлан зохицуулахад болон Линуксийн
цөмийн модулиар зохицуулагддаг бусад хэд хэдэн (жижиг) засваруудад
зориулагдаж тэмдэглэгддэг.
Линукс системийн дуудлагын вектор нь бусад зүйлүүдээс гадна
цөмийн модульд хаягууд нь байдаг sysent[] оруулгуудын
жагсаалтыг агуулдаг.
Системийн дуудлага Линуксийн хоёртын файлаар дуудагдахад занга код
системийн дуудлагын функц заагчийн хаягийг proc бүтцээс
авч FreeBSD-ийн биш Линуксийн системийн дуудлагын оруулгын цэгүүдийг
авдаг.
Мөн Линукс горим нь хайлтыг динамикаар дахин эхлүүлдэг;
энэ нь файлын системийн холболтууд дахь тохируулга
(unionfs файлын системийн төрөл биш!)
хийдэг тэр зүйл юм. Эхлээд /compat/linux/original-path
сан дахь файлыг хайх бөгөөд дараа нь хэрэв энэ нь
амжилтгүй болвол хайлт
/original-path
санд хийгддэг. Энэ нь бусад хоёртын файлуудыг шаарддаг хоёртын файлуудыг
ажиллаж чадахаар (өөрөөр хэлбэл Линуксийн хэрэгслийн цуглуулга
бүгдээрээ Линуксийн ABI дэмжлэгийн доор ажиллаж чаддаг байхаар) болгодог.
Линуксийн хоёртын файлууд нь тохирох Линуксийн хоёртын файлууд байхгүй бол
FreeBSD-ийн хоёртын файлуудыг дуудаж ажиллуулж бас чадна гэсэн үг бөгөөд
Линуксийн хоёртын файлуудыг Линукс дээр ажиллахгүй байгааг нь хэлж чадахааргүй
болгохын тулд та &man.uname.1; тушаалыг /compat/linux
санд байрлуулж болно гэсэн үг юм.
Үндсэндээ Линуксийн цөм FreeBSD цөмд байдаг; цөмийн үзүүлдэг
бүх үйлчилгээнүүдийг хийдэг, доор нь орших төрөл бүрийн функцууд нь
FreeBSD-ийн системийн дуудлагын хүснэгтийн оруулгууд болон
Линуксийн системийн дуудлагын хүснэгтийн оруулгуудтай ижил байдаг:
файлын системийн үйлдлүүд, виртуал санах ойн үйлдлүүд, дохио
хүргэлт, System V IPC, гэх мэт… Цорын ганц ялгаа нь
FreeBSD-ийн хоёртын файлууд FreeBSD-ийн цавуу
функцуудыг, Линуксийн хоёртын файлууд Линуксийн цавуу
функцуудыг авдаг явдал юм (ихэнх хуучин OS-үүд зөвхөн өөрсдийн цавуу
функцуудтай байсан: дуудлага хийж байгаа процессийн proc бүтэц дэх
динамикаар эхлүүлэгдсэн заагчаар хийгдсэн функцуудын хаягуудын оронд
статик глобал sysent[] бүтцийн
массив дахь функцуудын хаягуудтай байсан).
Аль нь эх FreeBSD ABI вэ? Энэ нь хамаагүй юм.
Үндсэндээ цорын ганц ялгаа нь (зөвхөн одоогоор; эдгээр нь ирээдүйн хувилбаруудад
амархан өөрчлөгдөж болох бөгөөд магадгүй үүний дараагаар хийгдэх байх)
FreeBSD-ийн цавуу функцууд нь
цөмд статикаар холбогдсон байдаг бөгөөд Линуксийн
цавуу функцууд нь статикаар холбогдож эсвэл
тэдгээрт цөмийн модулийн тусламжтайгаар хандаж болдог явдал юм.
Тиймээ, гэхдээ энэ нь жинхэнэ эмуляц мөн үү? Үгүй ээ. Энэ нь ABI шийдэл
болохоос эмуляц биш юм. Ямар ч эмулятор (эсвэл дүр үзүүлэгч (simulator)
(дараагийн асуултыг асуулгахгүйн тулд)) оролцоогүй.
Тэгэхээр яагаад энэ нь заримдаа Линукс эмуляц
гэгддэг
юм бэ? FreeBSD-г худалдахад хэцүү болгохын тулд! Тиймээ,
юу болж байгааг тайлбарлаж байгаагаас өөр зүйлгүй байх тэр үед уламжлалт
шийдэл хийгдсэн болохоор тэр юм; хэрэв та кодыг эмхэтгээгүй эсвэл модулийг дуудаагүй бол
Линуксийн хоёртын файлуудыг FreeBSD ажиллуулдаг гэж хэлэх нь
үнэн биш бөгөөд юу дуудагдсаныг тайлбарлах үг хэрэгтэй байсан болохоор
—Линукс эмулятор
гэсэн үг гарсан юм.