Настраивал OpenVPN и столкнулся с самой распространенной в этом деле ошибкой:

TLS Error: TLS key negotiation failed to occur...

В Гугле воплей о помощи в решении такой проблемы море. Все ответы знатоков ведут в FAQ сайта OpenVPN, где сказаны довольно банальные вещи: проверьте, мол, номер порта, настройки фаервола и т.п. Проверял битый час, пока не просмотрел тщательно логи сервера и не наткнулся там на фразу

unsupported certificate purpose

Ага, значит с сетевыми настройками всё в порядке, с сертификатом что-то не так… Оказалось, что создавая приватный ключ для клиентского соединения, я по инерции вызвал команду из истории bash и ввел

./build-key-server client

А надо для клиента так:

./build-key client

После корректировки всё заработало.

В данном топике рассмотрим такую интересную вещь, как Pinax — заготовку для создания сайтов на базе фреймворка Django (шаблонизатор, основные функции, web-сервер для тестировния), работающего в свою очередь на Python. Особенность Pinax в том, что нам предлагается не готовая CMS, а заготовки для разных типов проектов. Тут и регистрация пользователей с поддержкой openid и топики и комментарии и блоги, сообщества, твиты, галереи, теги и прочее. Для всего этого уже готова структура базы данных.

Начнем со сборки Cherokee из портов:

cd /usr/ports/www/cherokee
make install

Не забываем отметить галку uWSGI:

( Читать дальше )

Вот и последняя пятница месяца!
Куда идем? Высказываем предложения!

Применил для раздачи «свисткового» Инета в небольшой организации свободный продукт под названием 3proxy (написан, что приятно, нашими соотечественниками — 3APA3A и Vladimir Dubrovin). Загружается в виде zip-архива, в котором и необходимые утилиты, и документация, и примеры конфигов. Для установки нужно просто распаковать в удобную папку.

Можно запускать как сервис, для этого следует выполнить, находясь в папке с распакованными утилитами,

3proxy --install

Конфигурационный файл довольно сложный и длинный, но исправить нужно всего несколько строк:

nserver 8.8.8.8
nserver 8.8.4.4

— DNS-сервера (здесь указаны свободные гуглёвские).

external 0.0.0.0

— адрес, с которого приходит Интернет (в данном случае — любой).

internal 192.168.0.111

интерфейс, через который раздается интернет по локальной сети.

users shifa:NT:613F6DACB7DE08D02DB69FB70080E246

— пользователь и пароль, запрашиваемые прокси-сервером при подключении (пароль зашифрован утилитой mycrypt.exe, которая прилагается).

Не секрет, что CapsLock многие считают клавишей-рудиментом или даже паразитом. Есть даже общественное движение за ее отмену. Но ведь можно навесить на нее какое-нибудь полезное действие. И не только переключение раскладок. Вот как, например, можно превратить ее во второй Escape:

xmodmap -e 'clear Lock' -e 'keycode 0x42 = Escape'

HAProxy — проект с довольно долгой историей, заложенные принципы очень просты и эффективны. Ничего лишнего, все ради скорости.

Читаем очень доходчиво написанную документацию

В данном топике мы за 5 минут настроим firewall на FreeBSD. Так как в моем случае сервер работает на xen, никаких усложнений в плане защиты от ddos, syn флуда и прочего я расписывать не буду, т.к. внутри виртуальной машины это делать бессмысленно. По всем этим вещам рекомендую, например, данное руководство Wouter Coene The OpenBSD Packet Filter HOWTO, ну и разумеется FAQ.

Правим /etc/rc.conf:

pf_enable="YES"

Создаем/правим файл /etc/pf.conf:

# re0 - сетевой интерфейс
net_if1="re0"

# пропускаем все на локальном интерфейсе
set skip on lo

# список tcp портов, которые будут открыты со внешки
tcp_services = "{22, 80, 8080, 443}"

# блокируем все входящие соединения, но разрешаем исходящие
block in all
pass out all

# разрешаем доступ со внешки к вышеперечисленным портам
# ключевое слово quick означает, что после этого правила
# никакие другие правила к пакетам применяться не будут
pass in quick on $net_if1 inet proto tcp from any to $net_if1 port $tcp_services

Стартуем (кстати, если делаете это на удаленном сервере, ssh соединение будет разорвано после старта pf).

/etc/rc.d/pf start

Вот такой минимализм. Работают только определенные TCP порты, ICMP отключен.

Также пример настроек для работы ftp сервера в пассивном режиме:

net_if1="re0"

set skip on lo

tcp_services = "{20, 21, 22, 1222, 80, 8080, 443, 6969, 5222, 5223, 9090, 9091}"

block in all
pass out all

pass in quick on $net_if1 inet proto tcp from any to $net_if1 port $tcp_services
pass in quick on $net_if1 inet proto tcp from any to $net_if1 port 49512 >< 65535

Есть выделенный сервер с XCP (Xen Cloud Platform), есть диапазон ip выданный провайдером. Как сделать так, чтобы клиенты не могли поменять свой ip внутри xen машин? Привязка к mac адресу! Но как сделать, чтобы и mac адрес не сменили? Воспользуемся iptables на сервере XCP. Нам понадобится XCP версии минимум 1.1, в 1.0 ядро не поддерживает фильтрацию по mac адресам.

Делаем так:

Очищаем правила iptables:

iptables -F

Разрешаем клиенту с ip 46.4.180.227 и с mac адресом 11:11:11:11:11:11 и 2му клиенту с ip 46.4.180.228 и с mac адресом 22:22:22:22:22:22:

( Читать дальше )

Некто Exherimentator рассказывает о них в своем подкасте (даже скринкасте). Нудновато, 28 минут, но поклонникам мелкомягкой продукции будет, скорее всего, интересно. Даже я фрагментами посмотрел и действительно получил представление о новой системе. Например, монтирование iso-образов там появилось прямо «из коробки», вот оно чо!

Делается так (в текущей директории):

find . -maxdepth 1 -type f -exec chmod +a "everyone deny delete" {} \;

Источник.