Статические ARP таблицы. Комп работает только с теми маками, которые явно указаны.
/usr/local/etc/rc.d/arp.sh
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
| #!/bin/sh
# Static ARP-table loader
case $1 in
start)
arp -d -a > /dev/null
arp -f /usr/local/etc/arp.conf > /dev/null
echo 'Static ARP-table is loaded'
;;
stop)
arp -d -a > /dev/null
echo 'Static ARP-table is unloaded'
;;
restart)
arp -d -a > /dev/null
arp -f /usr/local/etc/arp.conf > /dev/null
echo 'Static ARP-table is reloaded'
;;
status)
arp -an
;;
*)
echo "Usage: `basename $0` {start|stop|restart|status}" >&2
;;
esac
exit 0 |
Ну и сама таблица с маками в таком вот виде:
/usr/local/etc/arp.conf:
1
2
3
4
5
6
7
8
9
10
11
12
| 172.16.127.2 00:0f:ea:1e:65:4a
172.16.127.3 00:15:c5:68:2f:e6
172.16.127.4 00:50:22:b0:88:a2
172.16.127.5 00:14:38:a5:f4:99
172.16.127.6 00:17:fa:ec:c0:13
172.16.127.7 00:a0:d1:ca:8d:ca
172.16.127.8 00:1f:c6:0e:a9:96
172.16.127.9 00:0d:88:f4:b5:7c
172.16.127.10 00:1e:58:a8:aa:46
172.16.127.11 00:22:15:b4:a7:6a
172.16.127.12 11:22:33:44:55:66
172.16.127.13 11:22:33:44:55:66 |
Разрешить доступ на 2-м порту коммутатора только для определенного mac-адреса.
DES-3226S:4#config ports 2 learning disable
DES-3226S:4#create fdb default 00-12-58-A8-AA-46 port 2
DES-3226S:4#config port_security ports 2 max_learning_addr 0
DES-3226S:4#config port_security ports 2 lock_address_mode Permanent
DES-3226S:4#config port_security ports 2 admin_state enable
[root@liza:/usr/chroot/verlihub]# find .
.
./usr
./usr/local
./usr/local/bin
./usr/local/bin/verlihub
./usr/local/lib
./usr/local/lib/mysql
./usr/local/lib/mysql/libmysqlclient.so.12
./usr/local/lib/libverlihub.so.0
./usr/local/lib/libpcre.so.0
./usr/local/lib/libGeoIP.so.4
./usr/lib
./usr/lib/libssl.so.4
./usr/lib/libstdc++.so.5
./usr/lib/libpthread.so.2
./etc
./etc/verlihub
…
./lib
./lib/libz.so.3
./lib/libcrypt.so.3
./lib/libm.so.4
./lib/libc.so.6
./lib/libcrypto.so.4
./libexec
./libexec/ld-elf.so.1
./tmp
./tmp/mysql.sock
./net_out.log
[root@liza:/usr/chroot/verlihub]# cat /usr/local/etc/rc.d/vh.sh
#!/bin/sh -
#
# initialization/shutdown script for foobar package
case “$1″ in
start)
chroot /usr/chroot/verlihub/ /usr/local/bin/verlihub >/etc/verlihub/log 2>/etc/verlihub/err &
# /usr/local/bin/verlihub
echo -n ‘ verlihub’
;;
stop)
killall verlihub
echo -n ‘ verlihub’
;;
*)
echo “unknown option: $1 – should be ‘start’ or ‘stop’” >&2
;;
esac
[root@liza:/usr/chroot/verlihub]#
Нашел прикольный скрипт на страницах maillist’ов freebsd
#——————- create jail script ———————–
#!/bin/sh
ID=${ARGV[1]}
DEST=/jails/jail.${ID}
IMAGE=/jails/images/jail.${ID}
# create a blank disk image of 512 Mb
dd if=/dev/zero of=${IMAGE} bs=1024k count=512
mdconfig -a -t vnode -f ${IMAGE} -u ${ID}
bsdlabel -w md${ID} auto
newfs md${ID}c
mount /dev/md${ID}c ${DEST}
# create jail using created image
cd /usr/src
mkdir -p ${DEST}
make world DESTDIR=${DEST}
cd etc
make distribution DESTDIR=${DEST}
mount_devfs devfs ${DEST}/dev
cd ${DEST}
ln -sf dev/null kernel
#———————— End script ———————–
1. Замечены глюки в sshd, лечится прописыванием ип алиаса в /etc/hosts
echo ’10.0.0.1 psyshit.myhost.com’ >> /etc/hosts
2. Что бы из jail’а можно было выходить в сеть, поднять нат еще надо..
# cat /etc/natd.conf
interface rl0
use_sockets yes
same_ports yes
# cat /etc/rc.firewall
ipfw -q add 50 divert natd all from any to any via rl0
ipfw -q add 100 allow all from any to any
# cat /usr/src/sys/i386/conf/AVRIL
…
options IPFIREWALL
options IPDIVERT
…
# cat /etc/rc.conf
…
natd_enable=”YES”
natd_interface=”rl0″
natd_flags=”-f /etc/natd.conf”
firewall_enable=”YES”
Прикольная тема, виртуальная машина.. ее могут ебать до писинения даже из под рута.. а данные основной все ровно сохранятся.. попробуем значит перетащить туда все (ну или почти все) сетевые сервисы :) А может их в разные jail’ы надо? Надо еще почитать идеологию..
Как создать jail:
# cd /usr/src/
# mkdir /usr/jail
# make world DESTDIR=/usr/jail
# cd etc
# make distribution DESTDIR=/usr/jail
# cd /usr/jail
# mount_devfs devfs dev
# ln -sf dev/null kernel
После создаем алиас на интерфейс:
ifconfig fxp0 inet alias 10.0.0.1/32
Запускаем Jail:
jail /usr/jail psyshit 10.0.0.1 /bin/csh
Конфигурируем:
# echo ‘nameserver …’ > /etc/resolv.conf
# touch /etc/fstab
# newaliases
# echo ‘sendmail_enable=”NO”‘ >> /etc/rc.conf
# echo ‘sshd_enable=”YES”‘ >> /etc/rc.conf
rc.conf для автоматической настройки jail’а…
jail_enable=”YES”
jail_list=”psyshit”
jail_psyshit_rootdir=”/usr/jail”
jail_psyshit_hostname=”psyshit.myhost.com”
jail_psyshit_ip=”10.0.0.1″
jail_psyshit_exec=”/bin/sh /etc/rc”
jail_psyshit_devfs_enable=”YES”
ifconfig_rl0_alias0=”inet 10.0.0.1 netmask 255.255.255.255″
