linux360 - User contributions [en]

Setari vim existentiale

2007-05-20T04:00:32Z

Raptor:

[[Image:Screenshot-shell_-_Konsole.png]]

Doresti sa programezi dar sa nu fii intepenit intr-un editor? Vrei ca editorul tau sa te ajute in desfasurarea activitatilor uzuale? Atunci ai venit unde trebuie. Citeste mai departe.

Abordarea urmatoare este orientata spre rezolvarea anumitor probleme, nicidecum nu incearca pomenirea tutoror setarilor astfel incat sa se trateze exhaustiv posibilitatile de configurare oferite de vim. Daca as incerca sa tratez toate posibilitatile aceasta ar fi help.txt din vim, si nu ar mai fi vorba de setari existentiale, nu?

Dar exista cazuri cand editorul vim nu se comporta asa cum banuiti? Atunci puteti incerca urmatoarele setari in ~/.vimrc :
<code>:set bs=2
:set nocp
:syntax on
:set ts=4
:set sw=4
:set foldmethod=syntax
:set foldlevel=100
:set nowrap
:set hlsearch

:set t_ku=^[OA
:set t_kd=^[OB
:set t_kl=^[OD
:set t_kr=^[OC

:map T :tabnew<CR>
:map <F2> :w<CR>
:map <F3> :edit .<CR>
:map <F4> :enew<CR>
:map <F5> :tabprev<CR>
:map <F6> :tabnext<CR>
:map <F7> :vsplit<CR>
:map <F8> :split<CR>
:map <F9> :tprev<CR>
:map <F10> :tn<CR>
:map <F12> :q<CR>

:map X :set filetype=xml<CR>
:map t :set filetype=txt<CR>
:map j :set filetype=java<CR>
:map c :set filetype=cpp<CR>
:map s :set filetype=sql<CR>

:map <M-2> :set ts=2<CR>
:map <M-4> :set ts=4<CR>
:map <M-8> :set ts=8<CR>
</code>

Par multe si fara sens, nu? Hai sa le luam in parte.

===set bs=2===

Pe unele masini s-ar putea ca atunci cand stergeti caractere folosind tasta backspace atunci cand ajunge la marginea randului cursorul sa nu mearga un rand mai sus, bs=2 ii da o mana de ajutor cursorului sa urce.

===set nocp===

Exista distributii care seteaza vim-ul in modul "compatibil" cu vi, iar uneori lucrul acesta pur si simplu ne da peste cap, apasam INS si uita sa afiseze --INSERT--, etc. nocp ii spune lui vim ''no compatiblity''

===syntax on===

Intotdeauna am iubit sintaxa colorata pentru surse. In cazul in care nu aveti instalate fisierele ce contin sintaxa ar fi mai bine sa eliminati aceasta linie intrucat la deschiderea fiecarui fisier va va da intai o eroare intrucat nu gaseste fisierul de sintaxa.

===set ts=4 si set sw=4===

Fiind un mare fan al conventiei Java de notare am ales indent-ul cu 4 caractere spre deosebire de cel de 8 care este implicit. Desigur puteti seta sau 2, 4 sau orice alta valoare preferati.

=== set foldmethod=syntax ===
Mai tineti minte din kate, kdevelop sau anjuta acele [+]-uri care va permit sa colapsati anumite blocuri (fold-uri) de cod?
Da, vim stie si asta. Acest editor este capabil sa analizeze din punct de vedere sintactic sursa dumneavoastra, in functie de sintaxa (C/C++/Java) sau de indentare (foldmethod=indent) - da, programatorilor python, nu ati fost uitati -. Desi nu stie de XML, daca XML-ul este indentat, puteti folosi aceasta abordare pentru a colapsa anumite noduri. Intrucat editez in general surse, prefer foldmethod-ul sa fie implicit setat pe syntax. (zo - deschide un fold, zc - inchide un fold. Un fold este de la { la } corespunzatoare.)

=== set foldlevel=100 ===
Implicit vim va deschide n niveluri de folduri (100 in cazul de fata) si le va inchide pe toate celelalte. In practica puteti seta foldlevel-ul manual in timp ce editati - de exemplu puteti folosi astfel sursele CPP ale unei clase pe rol de header, setand foldlevelul astfel incat sa inchida toate fold-urile corespunzatoare metodelor.

=== set nowrap ===
Nu va imparti o linie de text in mai multe in cazul in care linia nu incape in ecranul curent.

=== set hlsearch ===
Pentru ca sunteti inteligenti - altfel nu ati citi acest document, nu? - sunt sigur ca folositi un browser inteligent (e.g. Firefox). Si sunt sigur ca va place la nebunie sa activati highlight all atunci cand cautati un text (este o putere a mea ascunsa, de a sti aceste lucruri). Acest mecanism devine foarte util cand vreti sa vedeti unde este folosita o variabila - puteti pozitiona cursorul pe variabila, apasati *, si toate aparitiile variabilei sunt scoase in evidenta.

=== set t_ku=^[OA, ... ===

Up, Down, Left, Right... Aceasta setare este pentru sistemele UNIX mai dubioase (gen Solaris de exemplu) pentru care tastele cursor (cele cu sageti) nu mai functioneaza in mod normal (de exemplu afiseaza litere A, B, C, D). Atunci tot ce trebuie sa faceti este sa le setati. In vim nu veti scrie caracterele ^ sau [ ci in timp ce editati ''.vimrc'' (deci nu copiati fisierul de mai sus adliteram):
<code>:set t_ku=<Ctrl+V><Sageata Sus><Enter></code> si ar trebui sa vedeti pe ecran ceva in genul:
<code>:set t_ku=^[OA</code>

== Mapari taste ==
Urmatoarele setari sunt legate de maparea tastelor si multe din comenzile respective pot fi schimbate pentru a se potrivi mai bine profilului dumneavoastra. De exemplu puteti asigna pentru <F1> :help, sau daca nu cititi niciodata help-ul puteti asigna fara probleme :qall! care va face vim-ul sa iasa fara sa salveze nici unul din fisierele deschise. In schimb este mandatoriu sa stiti ca va puteti configura vim-ul in detaliu pentru aproape orice task.

=== map T :tabnew<CR> ===
Vim stie de tab-uri. Da, ati citit bine, taburi ca in kate, kdevelop sau orice alt IDE. Aceasta mapare face crearea lor triviala.

=== map <F2> :w<CR> ===
Salvarea fisierului curent cu un buton.

=== map <F3> :edit .<CR> ===
Open-ul va permite nu doar sa folositi cautarea (/) ci puteti si sorta in functie de diferite campuri intrarile.

=== map <F4> :enew<CR> ===
Curata bufferul curent.

=== map <F5> :tabprev<CR> si map <F6> :tabnext<CR> ===
Navigare tab-uri (stanga, dreapta). Tab-urile sunt organizate ca o lista circulara, astfel incat daca sunteti la ultimul tab si apasati F6 veti ajunge dintrodata la primul tab.

=== map <F7> :vsplit<CR> si map <F8> :split<CR> ===
Imparte ecranul curent in 2 parti prezentand acelasi buffer(vertical (vsplit) sau orizontal (split)). Puteti curata un view al unui buffer folosind :enew si apoi :edit . (sau F4, urmat de F3). Foarte util cand vreti sa vedeti un fisier sursa in paralel cu un log de exemplu... sau doua fisiere impreuna cu :diffthis (echivalent cu programul diff) pot face minuni.

=== map <F9> :tprev<CR> :map <F10> :tn<CR> ===
Navigare in ctag-uri. Devine util cand sunt mai multe match-uri pentru acelasi tag. In cazul surselor monstru se intampla destul de des.

=== map <F12> :q<CR> ===
Iesire din aplicatie.

=== map X :set filetype=xml<CR> ... ===
syntax on ii spune editorului vim ca trebuie sa coloreze sintaxa in functie de tipul fisierului. Dar care este tipul fisierului? Implicit este extensia acestuia. Dar daca lipiti (dati paste) un fragment de cod din alta aplicatie intr-un buffer nou nout, atunci va trebui sa setati manual tipul fisierului. Personal prefer keybinding-uri.

=== map <M-2> :set ts=2<CR> ... ===
Cate capete, atatea idei. Intrucat exista atat de multe conventii de notare imi place sa sar de la una la alta fara mare bataie de cap, si fara sa editez "nu stiu pe unde prin optiuni" (tm) de fiecare data cand deschid un fisier.

== In final ==
Sunt sigur ca de acum o sa indragiti si mai mult vim-ul. Si sunt sigur ca veti incerca sa experimentati cu el. Dar daca aveti intrebari nu ezitati sa mi le adresati via e-mail (bogdan.mustiata@gmail.com), un post pe forum sau in discutiile acestei pagini wiki.

[[Category:Tips'n'Tricks]]
[[Category:Tutorial]]

File:Screenshot-shell - Konsole.png

2007-05-20T03:48:17Z

Raptor: Editare vim folosind tab-uri, vsplit si :diffthis.

Editare vim folosind tab-uri, vsplit si :diffthis.

Setari vim existentiale

2007-05-18T21:00:08Z

Raptor:

Doresti sa programezi dar sa nu fii intepenit intr-un editor? Vrei ca editorul tau sa te ajute in desfasurarea activitatilor uzuale? Atunci ai venit unde trebuie. Citeste mai departe.

Abordarea urmatoare este orientata spre rezolvarea anumitor probleme, nicidecum nu incearca pomenirea tutoror setarilor astfel incat sa se trateze exhaustiv posibilitatile de configurare oferite de vim. Daca as incerca sa tratez toate posibilitatile aceasta ar fi help.txt din vim, si nu ar mai fi vorba de setari existentiale, nu?

Dar exista cazuri cand editorul vim nu se comporta asa cum banuiti? Atunci puteti incerca urmatoarele setari in ~/.vimrc :
<code>:set bs=2
:set nocp
:syntax on
:set ts=4
:set sw=4
:set foldmethod=syntax
:set foldlevel=100
:set nowrap
:set hlsearch

:set t_ku=^[OA
:set t_kd=^[OB
:set t_kl=^[OD
:set t_kr=^[OC

:map T :tabnew<CR>
:map <F2> :w<CR>
:map <F3> :edit .<CR>
:map <F4> :enew<CR>
:map <F5> :tabprev<CR>
:map <F6> :tabnext<CR>
:map <F7> :vsplit<CR>
:map <F8> :split<CR>
:map <F9> :tprev<CR>
:map <F10> :tn<CR>
:map <F12> :q<CR>

:map X :set filetype=xml<CR>
:map t :set filetype=txt<CR>
:map j :set filetype=java<CR>
:map c :set filetype=cpp<CR>
:map s :set filetype=sql<CR>

:map <M-2> :set ts=2<CR>
:map <M-4> :set ts=4<CR>
:map <M-8> :set ts=8<CR>
</code>

Par multe si fara sens, nu? Hai sa le luam in parte.

===set bs=2===

Pe unele masini s-ar putea ca atunci cand stergeti caractere folosind tasta backspace atunci cand ajunge la marginea randului cursorul sa nu mearga un rand mai sus, bs=2 ii da o mana de ajutor cursorului sa urce.

===set nocp===

Exista distributii care seteaza vim-ul in modul "compatibil" cu vi, iar uneori lucrul acesta pur si simplu ne da peste cap, apasam INS si uita sa afiseze --INSERT--, etc. nocp ii spune lui vim ''no compatiblity''

===syntax on===

Intotdeauna am iubit sintaxa colorata pentru surse. In cazul in care nu aveti instalate fisierele ce contin sintaxa ar fi mai bine sa eliminati aceasta linie intrucat la deschiderea fiecarui fisier va va da intai o eroare intrucat nu gaseste fisierul de sintaxa.

===set ts=4 si set sw=4===

Fiind un mare fan al conventiei Java de notare am ales indent-ul cu 4 caractere spre deosebire de cel de 8 care este implicit. Desigur puteti seta sau 2, 4 sau orice alta valoare preferati.

=== set foldmethod=syntax ===
Mai tineti minte din kate, kdevelop sau anjuta acele [+]-uri care va permit sa colapsati anumite blocuri (fold-uri) de cod?
Da, vim stie si asta. Acest editor este capabil sa analizeze din punct de vedere sintactic sursa dumneavoastra, in functie de sintaxa (C/C++/Java) sau de indentare (foldmethod=indent) - da, programatorilor python, nu ati fost uitati -. Desi nu stie de XML, daca XML-ul este indentat, puteti folosi aceasta abordare pentru a colapsa anumite noduri. Intrucat editez in general surse, prefer foldmethod-ul sa fie implicit setat pe syntax. (zo - deschide un fold, zc - inchide un fold. Un fold este de la { la } corespunzatoare.)

=== set foldlevel=100 ===
Implicit vim va deschide n niveluri de folduri (100 in cazul de fata) si le va inchide pe toate celelalte. In practica puteti seta foldlevel-ul manual in timp ce editati - de exemplu puteti folosi astfel sursele CPP ale unei clase pe rol de header, setand foldlevelul astfel incat sa inchida toate fold-urile corespunzatoare metodelor.

=== set nowrap ===
Nu va imparti o linie de text in mai multe in cazul in care linia nu incape in ecranul curent.

=== set hlsearch ===
Pentru ca sunteti inteligenti - altfel nu ati citi acest document, nu? - sunt sigur ca folositi un browser inteligent (e.g. Firefox). Si sunt sigur ca va place la nebunie sa activati highlight all atunci cand cautati un text (este o putere a mea ascunsa, de a sti aceste lucruri). Acest mecanism devine foarte util cand vreti sa vedeti unde este folosita o variabila - puteti pozitiona cursorul pe variabila, apasati *, si toate aparitiile variabilei sunt scoase in evidenta.

=== set t_ku=^[OA, ... ===

Up, Down, Left, Right... Aceasta setare este pentru sistemele UNIX mai dubioase (gen Solaris de exemplu) pentru care tastele cursor (cele cu sageti) nu mai functioneaza in mod normal (de exemplu afiseaza litere A, B, C, D). Atunci tot ce trebuie sa faceti este sa le setati. In vim nu veti scrie caracterele ^ sau [ ci in timp ce editati ''.vimrc'' (deci nu copiati fisierul de mai sus adliteram):
<code>:set t_ku=<Ctrl+V><Sageata Sus><Enter></code> si ar trebui sa vedeti pe ecran ceva in genul:
<code>:set t_ku=^[OA</code>

== Mapari taste ==
Urmatoarele setari sunt legate de maparea tastelor si multe din comenzile respective pot fi schimbate pentru a se potrivi mai bine profilului dumneavoastra. De exemplu puteti asigna pentru <F1> :help, sau daca nu cititi niciodata help-ul puteti asigna fara probleme :qall! care va face vim-ul sa iasa fara sa salveze nici unul din fisierele deschise. In schimb este mandatoriu sa stiti ca va puteti configura vim-ul in detaliu pentru aproape orice task.

=== map T :tabnew<CR> ===
Vim stie de tab-uri. Da, ati citit bine, taburi ca in kate, kdevelop sau orice alt IDE. Aceasta mapare face crearea lor triviala.

=== map <F2> :w<CR> ===
Salvarea fisierului curent cu un buton.

=== map <F3> :edit .<CR> ===
Open-ul va permite nu doar sa folositi cautarea (/) ci puteti si sorta in functie de diferite campuri intrarile.

=== map <F4> :enew<CR> ===
Curata bufferul curent.

=== map <F5> :tabprev<CR> si map <F6> :tabnext<CR> ===
Navigare tab-uri (stanga, dreapta). Tab-urile sunt organizate ca o lista circulara, astfel incat daca sunteti la ultimul tab si apasati F6 veti ajunge dintrodata la primul tab.

=== map <F7> :vsplit<CR> si map <F8> :split<CR> ===
Imparte ecranul curent in 2 parti prezentand acelasi buffer(vertical (vsplit) sau orizontal (split)). Puteti curata un view al unui buffer folosind :enew si apoi :edit . (sau F4, urmat de F3). Foarte util cand vreti sa vedeti un fisier sursa in paralel cu un log de exemplu... sau doua fisiere impreuna cu :diffthis (echivalent cu programul diff) pot face minuni.

=== map <F9> :tprev<CR> :map <F10> :tn<CR> ===
Navigare in ctag-uri. Devine util cand sunt mai multe match-uri pentru acelasi tag. In cazul surselor monstru se intampla destul de des.

=== map <F12> :q<CR> ===
Iesire din aplicatie.

=== map X :set filetype=xml<CR> ... ===
syntax on ii spune editorului vim ca trebuie sa coloreze sintaxa in functie de tipul fisierului. Dar care este tipul fisierului? Implicit este extensia acestuia. Dar daca lipiti (dati paste) un fragment de cod din alta aplicatie intr-un buffer nou nout, atunci va trebui sa setati manual tipul fisierului. Personal prefer keybinding-uri.

=== map <M-2> :set ts=2<CR> ... ===
Cate capete, atatea idei. Intrucat exista atat de multe conventii de notare imi place sa sar de la una la alta fara mare bataie de cap, si fara sa editez "nu stiu pe unde prin optiuni" (tm) de fiecare data cand deschid un fisier.

== In final ==
Sunt sigur ca de acum o sa indragiti si mai mult vim-ul. Si sunt sigur ca veti incerca sa experimentati cu el. Dar daca aveti intrebari nu ezitati sa mi le adresati via e-mail (bogdan.mustiata@gmail.com), un post pe forum sau in discutiile acestei pagini wiki.

[[Category:Tips'n'Tricks]]
[[Category:Tutorial]]

Main Page

2007-02-10T09:15:05Z

Raptor:

* A început migrarea tutorialelor şi ghidurilor (HowTo) din forum în Wiki -- nu ezitaţi să daţi o mână de ajutor ;-)
* Vă rugăm, folosiţi '''doar''' [[linux360:Sandbox|caietul de ciorne]] pentru încercări şi probe.
* Pentru acces de editare, vă rugăm contactaţi [mailto:wiki-admin@linux360.ro administraţia].

----

* '''Ultimele 10 [[:Category:HowTo|ghiduri]] actualizate:'''
** [[Configurare firewall in Ubuntu]] ([[:Category:Networking|reţea]])
** [[ATi_%C5%9Fi_Slackware|ATi şi Slackware]] ([[:Category:FAQ|Întrebări puse frecvent]]/[[:Category:Tips'n'Tricks|ponturi]])
** [[Supraveghere video sub Linux folosind ZoneMinder]] ([[:Category:FAQ|Întrebări puse frecvent]]/[[:Category:Tips'n'Tricks|ponturi]])
** [[Internet mobil cu Vodafone SmartModem]] ([[:Category:Networking|retea]])
** [[Supraveghere video sub Linux]] ([[:Category:FAQ|Întrebări puse frecvent]]/[[:Category:Tips'n'Tricks|ponturi]])
** [[Debricking Linksys WRT54GL cu OpenWrt]] ([[:Category:Troubleshooting|remedieri]])
** [[Instalare Gentoo - Sfaturi]] ([[:Category:FAQ|Întrebări puse frecvent]])
** [[Detecţie componente hardware din consolă]] ([[:Category:FAQ|Întrebări puse frecvent]]/[[:Category:Tips'n'Tricks|ponturi]])
** [[Dezlipire sticker Microsoft Windows|Cum să scăpăm de abţibildul de la Microsoft?]] ([[:Category:FAQ|Întrebări puse frecvent]]/[[:Category:Tips'n'Tricks|ponturi]])
** [[Ce este GNU/Linux? / Cum invat Linux?]] ([[:Category:FAQ|Întrebări puse frecvent]])

* '''Ultimele 10 [[:Category:Tutorial|tutoriale]] actualizate''':
** [[Setari vim existentiale]] ([[:Category:Tips'n'Tricks|ponturi]])
** [[Script pentru restabilirea conexiunii ADSL]] ([[:Category:Networking|reţea]])
** [[Configurare Gaim pentru a afisa in status melodia curenta|Configurarea GAIM pentru a afişa în status melodia curentă]] ([[:Category:Multimedia|multimedia]]/[[:Category:Office|programe de birotică]])
** [[Introducere in Gtk-sharp|Introducere în Gtk#]] ([[:Category:Programming|programare]])
** [[Schimbarea setarilor GTK 2|Schimbarea setărilor Gtk+ 2]] ([[:Category:GEs|medii grafice]]/[[:Category:Tips'n'Tricks|ponturi]])
** [[Sistem de depanare a aplicatiilor in limbajul C-plus-plus|Sistem de depanare a aplicaţiilor în limbajul C++]] ([[:Category:Programming|programare]])
** [[Iptables romana|Introducere în <tt>iptables</tt>]] ([[:Category:Networking|reţea]]/[[:Category:Firewall|filtrare trafic]])
** [[Supra%C3%AEnc%C4%83rcarea operatorilor %C3%AEn limbajul C-plus-plus|Supraîncărcarea operatorilor în ANSI C++]] ([[:Category:Programming|programare]])
** [[Securitatea sistemului de operare (Slackware)]] ([[:Category:Tips'n'Tricks|ponturi]])

* '''Ultimele 10 [[:Category:Collection|colecţii]] actualizate''':
** [[Scripturi BASH|Scripturi Bash utile]] ([[:Category:Programming|programare]])
** [[Salutare lume!|Salutare, lume!]] ([[:Category:Programming|programare]])

* '''Ultimele 10 [[:Category:Presentation|prezentări]] actualizate''':
** [[Libipq by example|<tt>libipq</tt> în exemple]] ([[:Cateogory:Networking|reţea]]/[[:Category:Programming|programare]])
** [[KDSFlash]] ([[:Category:Graphics|grafică]]/[[:Category:Animation|animaţie]]/[[:Category:Programming|programare]])

* '''Articole [[:Category:Pending|în curs de scriere]]''':
** [[Echivalentele Linux ale programelor Windows]] ([[User:Raver|raver]])
** [[Partiţii]] ([[User:Sorin25|sorin25]])
** [[Autorizarea accesului la resurse web în Apache]] ([[User:Sorin25|sorin25]])
** [[ACIS|Administrare, configurare şi intreţinere servere]] ([[User:Csdexter|@Dexter]])
** [[Curbe Bezier|Curbe Bézier]] ([[User:Cbidea|Phaser]])
** [[Procesul de initializare al unui sistem Slackware GNU/Linux]] ([[User:Vladg|Vladg]])
** [[Instalarea distribuţiei Slackware Linux]] ([[User:Gabel|gabel]])

Configurare firewall in Ubuntu

2007-02-10T09:09:01Z

Raptor:

Si in cele din urma ai facut-o si pe asta. Ai un server Ubuntu (sau Debian) si vrei sa ii configurezi firewall-ul. Configuratia default pe care vom lucra este urmatoarea:

<code>root@ubuntu-server:~# netstat -antl
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp6 0 0 :::80 :::* LISTEN
tcp6 0 0 :::22 :::* LISTEN</code>

Dupa cum se vede avem un server mysql care va trebui sa fie folosit doar local, un server exim4 care si el va fi tot local, iar serverele ssh si apache vor trebui sa fie disponibile public. De asemenea acesta este un server "de productie" si nu are si rol de router in acelasi timp.

Intai vom opri tot:
<code>root@ubuntu-server:~# iptables -P INPUT DROP
root@ubuntu-server:~# iptables -P OUTPUT DROP
root@ubuntu-server:~# iptables -P FORWARD DROP
root@ubuntu-server:~# iptables -F
root@ubuntu-server:~# iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination</code>

Dupa cum se vede tot traficul este in acest moment blocat. Evident daca sunteti conectat remote (e.g. prin ssh, miscarea de mai sus este kamikaze)

Apoi permitem serviciilor necesare sa poata comunica. Ca un "best practice" pe care l-am remarcat, regulile se pun cam intotdeauna preferential pe INPUT. Ideea e ca un eventual atacator sa nu trimita pachete pe care aplicatia noastra sa le proceseze - chiar daca raspunsul ei ar fi oprit - ci ele sa fie oprite direct la nivelul kernelului. Asta ne salveaza macar de niste timp de procesor inutil folosit.

<code>root@ubuntu-server:~# iptables -A INPUT -j ACCEPT -p tcp --dport 80
root@ubuntu-server:~# iptables -A INPUT -j ACCEPT -p tcp --dport 22
root@ubuntu-server:~# iptables -A INPUT -j ACCEPT -p tcp --dport 25 -s 127.0.0.1
root@ubuntu-server:~# iptables -A INPUT -j ACCEPT -p tcp --dport 3306 -s 127.0.0.1
root@ubuntu-server:~# iptables -P OUTPUT ACCEPT
root@ubuntu-server:~# iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 127.0.0.1 0.0.0.0/0 tcp dpt:25
ACCEPT tcp -- 127.0.0.1 0.0.0.0/0 tcp dpt:3306

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination</code>

Acum fiecare isi mai poate modifica firewall-ul in functie de cerintele de securitate si preferintele de securitate dorite - de exemplu desi eu nu am adaugat nici o regula pentru OUTPUT, unii dintre dumneavoastra se pot gandi sa adauge. Urmatorul pas ramane de a configura aceste reguli de fiecare data cand sistemul booteaza. Aparent in viziunea unora editarea /etc/rc.local poate fi suficienta intrucat acesta este ultimul script care va fi lansat de catre sistemul de operare atunci cand booteaza. Totusi aceasta abordare nu este suficienta intrucat serviciul de networking (reteaua fizica) impreuna cu serverele noastre apache, mysql, exim4 si sshd sunt deja pornite la momentul cand rc.local este executat, insemnand ca a fost un timp de cateva secunde cand nu a existat un firewall sa ne protejeze aplicatiile.

Astfel, cel mai bun moment de a seta firewall-ul, ramane inainte sau imediat dupa ce placile de retea fizic sunt configurate, dar inainte ca orice alt serviciu de retea sa fi fost pornit.

Dupa cum citim in manual (man 5 interfaces) putem sa lansam un script inainte sau dupa ce o interfata de retea este activata sau oprita. Vom folosi acest mecanism.
Intai vom salva regulile firewall curente intr-un fisier, fie acesta /etc/iptables_rules.conf

<code>root@ubuntu-server:~# iptables-save > /etc/iptables_rules.conf</code>

Apoi vom edita fisierul /etc/network/interfaces si vom incarca regulile din firewall imediat inainte de activarea interfetei.

<code>auto eth0
iface eth0 inet dhcp
pre-up iptables-restore /etc/iptables_rules.conf # linia adaugata de noi.</code>

Gata!

Putem merge afara sa mancam ceva.

--[[User:Raptor|Raptor]] 11:07, 10 February 2007 (EET)

Configurare firewall in Ubuntu

2007-02-10T09:07:09Z

Raptor:

Si in cele din urma ai facut-o si pe asta. Ai un server Ubuntu (sau Debian) si vrei sa ii configurezi firewall-ul. Configuratia default pe care vom lucra este urmatoarea:

<code>root@ubuntu-server:~# netstat -antl
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp6 0 0 :::80 :::* LISTEN
tcp6 0 0 :::22 :::* LISTEN</code>

Dupa cum se vede avem un server mysql care va trebui sa fie folosit doar local, un server exim4 care si el va fi tot local, iar serverele ssh si apache vor trebui sa fie disponibile public. De asemenea acesta este un server "de productie" si nu are si rol de router in acelasi timp.

Intai vom opri tot:
<code>root@ubuntu-server:~# iptables -P INPUT DROP
root@ubuntu-server:~# iptables -P OUTPUT DROP
root@ubuntu-server:~# iptables -P FORWARD DROP
root@ubuntu-server:~# iptables -F
root@ubuntu-server:~# iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination</code>

Dupa cum se vede tot traficul este in acest moment blocat. Evident daca sunteti conectat remote (e.g. prin ssh, miscarea de mai sus este kamikaze)

Apoi permitem serviciilor necesare sa poata comunica. Ca un "best practice" pe care l-am remarcat, regulile se pun cam intotdeauna preferential pe INPUT. Ideea e ca un eventual atacator sa nu trimita pachete pe care aplicatia noastra sa le proceseze - chiar daca raspunsul ei ar fi oprit - ci ele sa fie oprite direct la nivelul kernelului. Asta ne salveaza macar de niste timp de procesor inutil folosit.

<code>root@ubuntu-server:~# iptables -A INPUT -j ACCEPT -p tcp --dport 80
root@ubuntu-server:~# iptables -A INPUT -j ACCEPT -p tcp --dport 22
root@ubuntu-server:~# iptables -A INPUT -j ACCEPT -p tcp --dport 25 -s 127.0.0.1
root@ubuntu-server:~# iptables -A INPUT -j ACCEPT -p tcp --dport 3306 -s 127.0.0.1
root@ubuntu-server:~# iptables -P OUTPUT ACCEPT
root@ubuntu-server:~# iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 127.0.0.1 0.0.0.0/0 tcp dpt:25
ACCEPT tcp -- 127.0.0.1 0.0.0.0/0 tcp dpt:3306

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination</code>

Acum fiecare isi mai poate modifica firewall-ul in functie de cerintele de securitate si preferintele de securitate dorite - de exemplu desi eu nu am adaugat nici o regula pentru OUTPUT, unii dintre dumneavoastra se pot gandi sa adauge. Urmatorul pas ramane de a configura aceste reguli de fiecare data cand sistemul booteaza. Aparent in viziunea unora editarea /etc/rc.local poate fi suficienta intrucat acesta este ultimul script care va fi lansat de catre sistemul de operare atunci cand booteaza. Totusi aceasta abordare nu este suficienta intrucat serviciul de networking (reteaua fizica) impreuna cu serverele noastre apache, mysql, exim4 si sshd sunt deja pornite la momentul cand rc.local este executat.

Astfel, cel mai bun moment de a seta firewall-ul, ramane inainte sau imediat dupa ce placile de retea fizic sunt configurate, dar inainte ca orice alt serviciu de retea sa fi fost pornit.

Dupa cum citim in manual (man 5 interfaces) putem sa lansam un script inainte sau dupa ce o interfata de retea este activata sau oprita. Vom folosi acest mecanism.
Intai vom salva regulile firewall curente intr-un fisier, fie acesta /etc/iptables_rules.conf

<code>root@ubuntu-server:~# iptables-save > /etc/iptables_rules.conf</code>

Apoi vom edita fisierul /etc/network/interfaces si vom incarca regulile din firewall imediat inainte de activarea interfetei.

<code>auto eth0
iface eth0 inet dhcp
pre-up iptables-restore /etc/iptables_rules.conf # linia adaugata de noi.</code>

Gata!

Putem merge afara sa mancam ceva.

--[[User:Raptor|Raptor]] 11:07, 10 February 2007 (EET)

SupraÃ®ncÄƒrcarea operatorilor Ã®n limbajul C-plus-plus

2006-12-22T13:05:12Z

Raptor: /* Exemplu */

''Titlul oribil este rezultatul unei limitări in Wiki -- imediat ce se rezolvă, vom face şi titul mai uşor de privit''

----

== Introducere ==
Operatiile de baza sunt implementate in limbajul C++ cu ajutorul operatorilor. In limbajul C++ operatorii sunt, de fapt, functii. Operatorii oferiti de limbaj pot ''lucra'' decat asupra tipurilor de date predefinite. Pentru a folosi operatorii asupra tipurilor de date construite de noi, limbajul C++ ne ofera un mecanism care se numeste '''supraincarcarea operatorilor'''.

De ce am avea nevoie de asa ceva? Dupa cum se stie se poate crea o functie a unei clase care sa faca exact ce ar face un operator si care sa o definim (de exemplu) '''suma'''. Atunci am apela acea metoda astfel:

Obiect ob1;
Obiect ob2;
Obiect ob3 = ob1.suma( ob2 );

Cam greoi! Ar fi mai simplu daca am scrie aşa:
Obiect ob3 = ob1 + ob2;

Astfel s-a ajuns la nevoia de a supraincarcarea operatorii!

== Teorie ==

Supraincarcarea metodelor claselor in general si a operatorilor in particular sunt doua dintre cele mai importante mecanisme ale limbajului C++. Ele sunt un pas urias catre polimorfism (asta este alta bazaconie inventata de oamenii cu creiere luminate). Aceste ''oportunitati'' sunt cele care ofera flexibilitate aplicatiilor pe care le construim.

Iata lista operatorilor din C++ care se pot supraincarca:
* new delete
* () []
* + - * / %
* ^ & | ~
* ! = < >
* += -= *= /= %=
* ^= &= |=
* << >>
* >>= <<=
* == != <= >=
* && ||
* ++ --
* ,
* ->*
* ->
unde operatorul '''()''' este apelul unei functii, iar operatorul '''[]''' este operatorul de indexare.

Urmatorii operatori nu se pot supraincarca:
* . .* :: ?: sizeof

Reguli care trebuie sa fie respectate in supraincarcarea operatorilor:
* operatorii =, (), [], si -> trebuie sa fie membrii nestatici ai clasei
* operatorul = nu poate fi mostenit
* operatorii pentru tipurile predefinite ale limbajului nu se pot supraincarca
* operatorii nu pot avea argumente implicite

Operatorii pentru un anumit tip definit de utilizator (clasa) pot sa fie sau nu membru al clasei. In cazul in care se supraincarca un operator pentru o clasa, dar acel operator nu apartine clasei, trebuie sa fie declarat '''friend''' in clasa respectiva si sa aiba cel putin un argument de tipul clasei respective. Exceptie de la aceasta regula fac operatorii '''= () [] ->''' care nu pot fi supraincarcati folosind functii de tipul friend ale unei anumite clase.

== Exemplu ==

Un exemplu: voi da ca exemple supraincarcarea operatorilor ++ pre si post indexat.
<code><cpp/>#include <iostream>
using namespace std;

class MyPoint
{
public:
MyPoint(); // constructor implicit
MyPoint( const double a ); // constructor de initializare
MyPoint( const double a, const double b ); // constructor de initializare
MyPoint( const MyPoint &r ); // constructor de copiere

MyPoint& operator+=( const MyPoint& point ); // adunare cu un alt punct
MyPoint& operator-=( const MyPoint& point ); // scadere
MyPoint& operator*=( const double dVal ); // inmultire cu o constanta

// considerand punctul ca un vector de 2 elemente ( pozitiile 0,1 ), pe pozitia 0 fiind x
// NOTA: nu este recomandat, este doar un exemplu de utilizare al operatorului []
double & operator[]( const int index );

friend MyPoint operator+ (const MyPoint& p1, const MyPoint& p2); // suma a 2 vectori
friend MyPoint operator- (const MyPoint& p1, const MyPoint& p2); // diferenta a 2 vectori
double operator*( const MyPoint& point ) const; // produsul scalar a 2 vectori
MyPoint operator*( const double dVal ) const; // multiplicare cu o constanta
friend MyPoint operator*( const double dVal, const MyPoint& point); // pentru a asigura comutativitatea operatiei precedente

MyPoint& operator=( const MyPoint& point );

MyPoint& operator++(); // ++ prefixat
MyPoint operator++( int ); // ++ postfixat

friend ostream& operator<<( ostream &stream, const MyPoint &pt );
friend istream& operator>>( istream &stream, MyPoint &pt );

void setX( double x );
double getX() const;

void setY( double y );
double getY() const;
private:
double x;
double y;
};

MyPoint::MyPoint()
{
x = 0;
y = 0;
}

MyPoint::MyPoint( const MyPoint &r )
{
x = r.x;
y = r.y;
}

MyPoint::MyPoint( const double a )
{
x = a;
y = a;
}

MyPoint::MyPoint( const double a, const double b )
{
x = a;
y = b;
}

MyPoint& MyPoint::operator+=( const MyPoint& point )
{
x+=point.x;
y+=point.y;
return *this;
}

MyPoint& MyPoint::operator-=( const MyPoint& point )
{
x-=point.x;
y-=point.y;
return *this;
}

MyPoint& MyPoint::operator*=( const double dVal )
{
x*=dVal;
y*=dVal;
return *this;
}

MyPoint operator+ (const MyPoint& p1, const MyPoint& p2)
{
MyPoint temp;

temp.x = p1.x + p2.x;
temp.y = p1.y + p2.y;

return temp;
}

MyPoint operator- (const MyPoint& p1, const MyPoint& p2)
{
MyPoint temp;

temp.x = p1.x - p2.x;
temp.y = p1.y - p2.y;

return temp;
}

double MyPoint::operator*( const MyPoint& point ) const
{
// produs vectorial intre 2 vectori
// fiecare vector e determinat de origine si coordonatele punctului
return x * point.x + y * point.y;
}

MyPoint MyPoint::operator*( const double dVal ) const
{
return MyPoint(x * dVal, y * dVal);
}

MyPoint operator*( const double dVal, const MyPoint& point )
{
return MyPoint(point.x * dVal, point.y * dVal);
}

MyPoint& MyPoint::operator=( const MyPoint& point )
{
x = point.x;
y = point.y;
return *this;
}

MyPoint& MyPoint::operator++()
{
x++;
y++;
return *this;
}

MyPoint MyPoint::operator++( int )
{
MyPoint r = *this;
x++;
y++;
return r;
}

ostream& operator<<( ostream &stream, const MyPoint &pt )
{
stream << "( " << pt.x << ", " << pt.y << " )";
return stream;
}

istream& operator>>( istream &stream, MyPoint &pt )
{
stream >> pt.x >> pt.y;
return stream;
}

void MyPoint::setX( double x )
{
this->x = x;
}

double MyPoint::getX() const
{
return x;
}

void MyPoint::setY( double y )
{
this->y = y;
}

double MyPoint::getY() const
{
return y;
}

double& MyPoint::operator[]( const int index )
{
if( index == 0 ) return x;
return y;
}

int main( int argc, char *argv[] )
{
// initializarea punctelor
MyPoint pt( 5, 7 );
MyPoint pt2;

// test pentru serializare
cout << pt << endl; // afiseaza la consola ( 5, 7 )
cout << pt++ << endl; // afiseaza la consola ( 5, 7 )
cout << pt << endl; // afiseaza la consola ( 6, 8 )
cout << ++pt << endl; // afiseaza la consola ( 7, 9 )

pt = MyPoint( 1, 3 );

// Multiplicarea cu o constanta. folosirea operatorului *
// Folosim atat operatorul * cat si operatorul * ca si metoda friend.
// 2 * pt este echivalent cu: *(2, pt)
// pt * 2 este echivalent cu: pt.*(2)
cout << 2 * pt << " " << pt * 2 << endl; // afiseaza la consola ( 2, 6 ) (2, 6)

// folosirea operatorului [] supraincarcat.
cout << "x pt[0]=" << pt[0] << "; y pt[1]=" << pt[1] << endl;
pt[0] = 5;
pt[1] = 5;

pt2 = pt;

// Folosirea operatorului + si - supraincarcate si a constructorului
// cu un singur parametru double. Avantajul e ca logica + e definita
// intr-un singur loc. Dezavantajul e chemarea transparenta a constructorului
// si creerea unui obiect temporar.
pt2 = pt2 - 2; // echivalent cu: pt2.=(pt2.-(MyPoint(2)));
cout << pt2 << endl;

pt2 = 2 + pt2; // echivalent cu: pt2.=(MyPoint(2).+(pt2));
cout << pt2 << endl;

pt2 = pt2 + pt2; // echivalent cu: pt2.=(pt2.+(pt2));
cout << pt2 << endl;

return 0;
}
</code>

----

Versiunea originală de [[User:Radubolovan|Radu Bolovan]] 12:04, 22 November 2005 (EET)

[[Category:Tutorial]]
[[Category:Programming]]

SupraÃ®ncÄƒrcarea operatorilor Ã®n limbajul C-plus-plus

2006-12-21T15:50:16Z

Raptor: /* Exemplu */ Operatorul + si - sunt acum metode friend, un constructor in plus si de asemenea comentarii mai multe pe marginea sursei main.

''Titlul oribil este rezultatul unei limitări in Wiki -- imediat ce se rezolvă, vom face şi titul mai uşor de privit''

----

== Introducere ==
Operatiile de baza sunt implementate in limbajul C++ cu ajutorul operatorilor. In limbajul C++ operatorii sunt, de fapt, functii. Operatorii oferiti de limbaj pot ''lucra'' decat asupra tipurilor de date predefinite. Pentru a folosi operatorii asupra tipurilor de date construite de noi, limbajul C++ ne ofera un mecanism care se numeste '''supraincarcarea operatorilor'''.

De ce am avea nevoie de asa ceva? Dupa cum se stie se poate crea o functie a unei clase care sa faca exact ce ar face un operator si care sa o definim (de exemplu) '''suma'''. Atunci am apela acea metoda astfel:

Obiect ob1;
Obiect ob2;
Obiect ob3 = ob1.suma( ob2 );

Cam greoi! Ar fi mai simplu daca am scrie aşa:
Obiect ob3 = ob1 + ob2;

Astfel s-a ajuns la nevoia de a supraincarcarea operatorii!

== Teorie ==

Supraincarcarea metodelor claselor in general si a operatorilor in particular sunt doua dintre cele mai importante mecanisme ale limbajului C++. Ele sunt un pas urias catre polimorfism (asta este alta bazaconie inventata de oamenii cu creiere luminate). Aceste ''oportunitati'' sunt cele care ofera flexibilitate aplicatiilor pe care le construim.

Iata lista operatorilor din C++ care se pot supraincarca:
* new delete
* () []
* + - * / %
* ^ & | ~
* ! = < >
* += -= *= /= %=
* ^= &= |=
* << >>
* >>= <<=
* == != <= >=
* && ||
* ++ --
* ,
* ->*
* ->
unde operatorul '''()''' este apelul unei functii, iar operatorul '''[]''' este operatorul de indexare.

Urmatorii operatori nu se pot supraincarca:
* . .* :: ?: sizeof

Reguli care trebuie sa fie respectate in supraincarcarea operatorilor:
* operatorii =, (), [], si -> trebuie sa fie membrii nestatici ai clasei
* operatorul = nu poate fi mostenit
* operatorii pentru tipurile predefinite ale limbajului nu se pot supraincarca
* operatorii nu pot avea argumente implicite

Operatorii pentru un anumit tip definit de utilizator (clasa) pot sa fie sau nu membru al clasei. In cazul in care se supraincarca un operator pentru o clasa, dar acel operator nu apartine clasei, trebuie sa fie declarat '''friend''' in clasa respectiva si sa aiba cel putin un argument de tipul clasei respective. Exceptie de la aceasta regula fac operatorii '''= () [] ->''' care nu pot fi supraincarcati folosind functii de tipul friend ale unei anumite clase.

== Exemplu ==

Un exemplu: voi da ca exemple supraincarcarea operatorilor ++ pre si post indexat.
<code><cpp/>#include <iostream>
using namespace std;

class MyPoint
{
public:
MyPoint(); // constructor implicit
MyPoint( const double a ); // constructor de initializare
MyPoint( const double a, const double b ); // constructor de initializare
MyPoint( const MyPoint &r ); // constructor de copiere

MyPoint& operator+=( const MyPoint& point ); // adunare cu un alt punct
MyPoint& operator-=( const MyPoint& point ); // scadere
MyPoint& operator*=( const double dVal ); // inmultire cu o constanta

// considerand punctul ca un vector de 2 elemente ( pozitiile 0,1 ), pe pozitia 0 fiind x
// NOTA: nu este recomandat, este doar un exemplu de utilizare al operatorului []
double & operator[]( const int index );

friend MyPoint operator+ (const MyPoint& p1, const MyPoint& p2); // suma a 2 vectori
friend MyPoint operator- (const MyPoint& p1, const MyPoint& p2); // diferenta a 2 vectori
double operator*( const MyPoint& point ) const; // produsul scalar a 2 vectori
MyPoint operator*( const double dVal ) const; // multiplicare cu o constanta
friend MyPoint operator*( const double dVal, const MyPoint& point); // pentru a asigura comutativitatea operatiei precedente

MyPoint& operator=( const MyPoint& point );

MyPoint& operator++(); // ++ prefixat
MyPoint operator++( int ); // ++ postfixat

friend ostream& operator<<( ostream &stream, const MyPoint &pt );
friend istream& operator>>( istream &stream, MyPoint &pt );

void setX( double x );
double getX() const;

void setY( double y );
double getY() const;
private:
double x;
double y;
};

MyPoint::MyPoint()
{
x = 0;
y = 0;
}

MyPoint::MyPoint( const MyPoint &r )
{
x = r.x;
y = r.y;
}

MyPoint::MyPoint( const double a )
{
x = a;
y = a;
}

MyPoint::MyPoint( const double a, const double b )
{
x = a;
y = b;
}

MyPoint& MyPoint::operator+=( const MyPoint& point )
{
x+=point.x;
y+=point.y;
return *this;
}

MyPoint& MyPoint::operator-=( const MyPoint& point )
{
x-=point.x;
y-=point.y;
return *this;
}

MyPoint& MyPoint::operator*=( const double dVal )
{
x*=dVal;
y*=dVal;
return *this;
}

MyPoint operator+ (const MyPoint& p1, const MyPoint& p2)
{
MyPoint temp;

temp.x = p1.x + p2.x;
temp.y = p1.y + p2.y;

return temp;
}

MyPoint operator- (const MyPoint& p1, const MyPoint& p2)
{
MyPoint temp;

temp.x = p1.x - p2.x;
temp.y = p1.y - p2.y;

return temp;
}

double MyPoint::operator*( const MyPoint& point ) const
{
// produs vectorial intre 2 vectori
// fiecare vector e determinat de origine si coordonatele punctului
return x * point.x + y * point.y;
}

MyPoint MyPoint::operator*( const double dVal ) const
{
return MyPoint(x * dVal, y * dVal);
}

MyPoint operator*( const double dVal, const MyPoint& point )
{
return MyPoint(point.x * dVal, point.y * dVal);
}

MyPoint& MyPoint::operator=( const MyPoint& point )
{
x = point.x;
y = point.y;
return *this;
}

MyPoint& MyPoint::operator++()
{
x++;
y++;
return *this;
}

MyPoint MyPoint::operator++( int )
{
MyPoint r = *this;
x++;
y++;
return r;
}

ostream& operator<<( ostream &stream, const MyPoint &pt )
{
stream << "( " << pt.x << ", " << pt.y << " )";
return stream;
}

istream& operator>>( istream &stream, MyPoint &pt )
{
stream >> pt.x >> pt.y;
return stream;
}

void MyPoint::setX( double x )
{
this->x = x;
}

double MyPoint::getX() const
{
return x;
}

void MyPoint::setY( double y )
{
this->y = y;
}

double MyPoint::getY() const
{
return y;
}

double& MyPoint::operator[]( const int index )
{
if( index == 0 ) return x;
return y;
}

int main( int argc, char *argv[] )
{
// initializarea punctelor
MyPoint pt( 5, 7 );
MyPoint pt2;

// test pentru serializare
cout << pt << endl; // afiseaza la consola ( 5, 7 )
cout << pt++ << endl; // afiseaza la consola ( 5, 7 )
cout << pt << endl; // afiseaza la consola ( 6, 8 )
cout << ++pt << endl; // afiseaza la consola ( 7, 9 )

pt = MyPoint( 1, 3 );

// Multiplicarea cu o constanta. folosirea operatorului *
// Folosim atat operatorul * cat si operatorul * ca si metoda friend.
// 2 * pt este echivalent cu: *(2, pt)
// pt * 2 este echivalent cu: pt.*(2)
cout << 2 * pt << " " << pt * 2 << endl; // afiseaza la consola ( 2, 6 ) (2, 6)

// folosirea operatorului [] supraincarcat.
cout << "x pt[0]=" << pt[0] << "; y pt[1]=" << pt[1] << endl;
pt[0] = 5;
pt[1] = 5;

pt2 = pt;

// Folosirea operatorului + si - supraincarcate si a constructorului
// cu un singur parametru double. Avantajul e ca logica + e definita
// intr-un singur loc. Dezavantajul e chemarea transparenta a constructorului
// si creerea unui obiect temporar.
pt2 = pt2 - 2; // echivalent cu: pt2.-(MyPoint(2))
cout << pt2 << endl;

pt2 = 2 + pt2; // echivalent cu: pt2 = MyPoint(2).+(pt2);
cout << pt2 << endl;

pt2 = pt2 + pt2; // echivalent cu: pt2.+(pt2)
cout << pt2 << endl;

return 0;
}
</code>

----

Versiunea originală de [[User:Radubolovan|Radu Bolovan]] 12:04, 22 November 2005 (EET)

[[Category:Tutorial]]
[[Category:Programming]]

User:Raptor

2006-09-10T11:05:40Z

Raptor: /* Bogdan Mustiata */

==Bogdan Mustiata==
In anumite medii numele utilizatorului pe care Bogdan Mustiata il foloseste poate fi si raptor360.

===Contact===
*Telefon: '''0746-522655'''

*E-mail: '''bogdan.mustiata arond gmail.com'''

===Interese===
*Programare C++/Java generala.

*Servere concurente C/C++/Java pentru arhitecturi distribuite si/sau multiprocesor pentru sisteme UNIX.

*bash si perl scripting.

*Grafica cu GIMP.

User:Raptor

2006-09-10T11:04:27Z

Raptor:

==Bogdan Mustiata==
In anumite medii numele utilizatorului pe care Bogdan Mustiata il foloseste poate fi si [[raptor360]]

===Contact===
*Telefon: '''0746-522655'''

*E-mail: '''bogdan.mustiata arond gmail.com'''

===Interese===
*Programare C++/Java generala.

*Servere concurente C/C++/Java pentru arhitecturi distribuite si/sau multiprocesor pentru sisteme UNIX.

*bash si perl scripting.

*Grafica cu GIMP.

Talk:Scripturi BASH

2006-09-05T11:07:26Z

Raptor:

== Despre corecturi si adaugiri ==

* Am rezolvat cu 'bulibaseala' (doua 'revert'-uri si doua 'edit'-uri si gata) si acum articolul tau e la locul sau. Am aranjat nitel si formatarea. [[User:Csdexter|@Dexter]] 23:50, 24 November 2005 (EET)
* Il rugam pe [[User:194.150.217.197]] sa se abtina, pe viitor, de la adnotari gresite. <tt>df -h</tt> scoate linii de forma ''<cifra><unitate-de-masura> <nume-director>'' facand sortarea in ordinea (descrescatoare) a marimii imposibila. [[User:Csdexter|@Dexter]] 10:40, 29 November 2005 (EET)
* Multumim lui [[User:Sorin25|Sorin25]] pentru corectura de sintaxa Wiki facuta. [[User:Csdexter|@Dexter]] 02:32, 27 December 2005 (EET)
* În ''[[Scripturi BASH#Cautarea unui fisier ce contine un anumit string|cautarea unui fisier ce contine un anumit string]]'' asterixul este inutil pentru că <tt>grep -r</tt> tocmai aia face, search recursiv, şi nu are sens să se expandeze primul nivel al recursiei ca şi parametrii pentru grep. [[User:Raptor360|Raptor360]] 15:06, 29 December 2005 (EET)
* (Ti-am aranjat eu legatura ca sa bata chiar in text) Corect, mai ales ca glob-expansion-ul primului nivel ar putea genera un sir mai mare de 32kB cat e limita argumentelor de pe linia de comanda in Linux. Good catch && thank you! [[User:Csdexter|@Dexter]] 23:34, 29 December 2005 (EET)
* La exemplul cu find .. -exec rm, nu are sens sa stergem fisier cu fisier, ci sa facem blocuri cu ajutorul lui xargs si sa le stergem astfel. [[User:Raptor360|Raptor360]] 14:03, 5 September 2006 (EEST)
* As modifica si "Cautarea unui fisier ce contine un anumit string" in acelasi stil... intrucat are aceeasi problema. De ce sa lansez grep de 1000 de ori pentru 1000 de fisiere in loc de 50 de ori pentru 1000 de fisiere? [[User:Raptor360|Raptor360]] 14:07, 5 September 2006 (EEST)

Talk:Scripturi BASH

2006-09-05T11:03:25Z

Raptor: /* Despre corecturi si adaugiri */

Scripturi BASH

2006-09-05T11:00:59Z

Raptor: Optimizare pentru viteza. Nu stergem fisier cu fisier ci cate 20.

== Exemple scripturi BASH ==

=== Scripturi care permit schimbarea rapida a MAC+IP ===

[[User:Raptor360|Raptor360]] 12:33, 8 June 2006 (EEST)

====getmac====

Primeste ca parametru un IP si returneaza MAC-ul acestuia sau "" daca nu exista in retea nodul cu pricina.

''/usr/local/bin/getmac''<code><sh/>#!/bin/sh

if [[ ! $IFDEVICE ]]; then
IFDEVICE="eth0";
fi

mac=`arping -I $IFDEVICE $1 -c 3 | grep reply | cut -f2 -d\[ | cut -f1 -d\] | uniq`
echo $mac</code>

====be====
Primeste ca parametru un IP si schimba MAC-ul si IP-ul pentru un device.

''/usr/local/bin/be''<code><sh/>#!/bin/bash

if [[ ! $IFDEVICE ]]; then
IFDEVICE="eth0"
fi

gip=`echo -e "$1\t"`
echo -e " IP is $1."
mac=`cat /etc/stored | grep "$gip" | cut -f2`
echo -e "MAC is $mac."
if [[ $mac != "" ]]; then
ifconfig $IFDEVICE down
ifconfig $IFDEVICE hw ether $mac
ifconfig $IFDEVICE $1 netmask 255.255.248.0 broadcast 10.10.17.255
route add default gw 10.10.17.1
# echo "nameserver 10.10.17.1" > /etc/resolv.conf
else
echo "$1 has not an associated MAC."
fi</code>

====switchuser====

Schimba MAC-ul si IP-ul aleator conform unuia stocat in /etc/stored folosind scripturile anterioare.

''/usr/local/bin/switchuser''<code><sh/>#!/bin/bash

notfound=1
while [[ $notfound -eq 1 ]]; do
rip=`echo "$RANDOM % 252 + 3" | bc`
for i in `seq $rip 254`; do
randip="10.10.17.$i"
gip=`echo -e "$randip\t"`
if [[ `cat /etc/stored | grep "$gip" | cut -f2` != "" ]]; then
if [[ `getmac $randip` == "" ]]; then
be $randip
exit 0
notfound=1
else
echo "IP $randip is already active."
fi
else
echo "$randip has no MAC associated."
fi
done
done</code>

Scripturile folosesc fisierul de configurare ''/etc/stored'' in care se adauga perechi de forma: IP\tMAC, e.g. <code>10.10.17.241 00:20:ED:95:2A:A1
10.10.17.242 4C:00:10:53:BF:A5</code> precum si variabila din enviroment IFDEVICE daca este definita. e.g. daca vrem sa schimbam ip-ul doar pentru device-ul eth1 atunci apelam la:
<code># IFDEVICE=eth1 switchuser </code>

=== Script care lanseaza in fundal o anumita comanda data ca parametru de intrare ===
Puteti lasa o comanda sa se execute in fundal fara ca ea sa fie intrerupta la
iesirea dumneavoastra din sistem folosind urmatorul script pe care l-am numit
silent. (output-ul nu este salvat, pentru aceasta puteti folosi nohup)

<code><sh/>#!/bin/bash

echo "Executing \"$*\""
setsid bash -c $* 2>>/dev/null 1>>/dev/null < /dev/null &</code>

Scriptul il puteti folosi de exemplu:

<code>$ silent wget -c -t 0 www.bigfiles.com/ubuntu.iso</code>

=== Script ce elimina zona asociata unui domeniu dat ca parametru de intrare ===

Puteţi elimina porţiunea din named.conf de la
<tt>zone "nume.domeniu.dat.ca.parametru.de.intrare" {</tt>
până la acolada închisă asociată acoladei deschise de mai sus.

Scriptul este:<code><sh/>#!/bin/bash

# Bind zone remove script
#
# Copyright (C) 2005 Silvian Cretu <silvian86@yahoo.com>
#
# This program is free software; you can redistribute it and/or
# modify it under the terms of the GNU General Public License
# as published by the Free Software Foundation; either version 2
# of the License, or (at your option) any later version.
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with this program; if not, write to the Free Software
# Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.

if [ ! $# = 1 ]; then
echo "Usage: $0 domain";
echo "The path to named.conf is defined inside the script";
else
pathToNamedDotConf=/etc/named.conf

x=$(grep -n "zone \"$1\" {" $pathToNamedDotConf | cut -f1 -d:)
sed $x,/\}\;/d $pathToNamedDotConf > temp
c=$(sed -n $x'p' < temp)
if [ "x`echo $c | grep "zone"`" = "x" ]
then
sed $x' d' temp > $pathToNamedDotConf
else
cat temp > $pathToNamedDotConf
fi
rm -f temp
exit
fi</code>

=== Cautarea unui fisier ce contine un anumit string ===

<code><sh/>find /path -name "*" -exec grep -H "<string>" '{}' \;</code>
sau
<code><sh/>grep -Hr "<string>" /path/</code>

Fireste, <tt><string></tt> poate fi atat un sir de caractere cat si orice fel de expresie regulata suportata de versiunea particulara de <tt>grep</tt> disponibila pe masina in cauza. 
Deasemenea, pentru a cauta fara a face diferenta intre majuscule si minuscule, adaugati parametrul <tt>-i</tt> la <tt>grep</tt>.

Daca doriti ca in output-ul comenzii <tt>grep</tt> expresia cautata sa fie cautata sa fie evidentiata puteti folosi parametrul <tt>--color</tt> astfel:
<code><sh/>grep --color -Hr "<string>" /path/</code>

=== Stergerea fisierelor backup ===

Asa cum stiti, prin traditie in *NIX, editoarele text fac o copie de siguranta fisierelor editate, copie de siguranta ce este denumita identic cu fisierul initial plus caracterul tilda ('''~'''). Ei bine... in cazul aplicatiilor web, acest backup mai mult dauneaza decat sa ajute.
Nu ar fi prea placut sa aveti un <tt>index.php~</tt> in <tt>DocumentRoot</tt>

<code><sh/>find /path -name "*~" | xargs -n 20 rm -f</code>

=== Probleme cu spatiul pe disc? ===

Nu stiti unde "vi s-a dus" spatiul de pe disc si e cam greu sa verificati fiecare director in parte? 
Linia urmatoare va ajuta, facand totodata si o sortare.

<code><sh/>du --max-depth=1 /path | sort -rn</code>

=== Gasirea fisierelor duplicate intr-un director ===
Aveti prea multe mp3-uri si majoritatea sunt duplicate dar cu alt nume sau orice de genul folositi scriptul de mai jos:D Eventual adaugati si un -maxdepth 1 sa nu fie recursiv.
<code>
#!/bin/sh
if [ ! -d "$1" ]; then
echo "Usage $0 <dir>"
exit 1
fi
find "$1" -type f -print0 | xargs -0 -n1 md5sum | sort --key=1,32 | uniq -w 32 -d --all-repeated=prepend \
|cut -f3- -d' '|sed 's/^$/Fisiere identice:/'
</code>

=== Calcularea recordului de uptime ===

Scriptul urmator va trebui plasat in crontab astfel incat sa ruleze periodic, de exemplu, din ora in ora. El va afisa in fisierul ''$output'' (initial ''/var/log/uptimeRecord.log'') output-ul comenzilor ''uptime'' si ''date'' (adica uptime-ul record si data la care a fost inregistrat).

<code><sh/>#!/bin/bash

# Copyright (C) 2006 Silvian Cretu <silvian86@yahoo.com>
#
# This program is free software; you can redistribute it and/or
# modify it under the terms of the GNU General Public License
# as published by the Free Software Foundation; either version 2
# of the License, or (at your option) any later version.
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with this program; if not, write to the Free Software
# Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.

output='/var/log/uptimeRecord.log'

function compareHrs
{
uptimeCurentOre=`uptime | awk '{print $5}'`
uptimeRecordOre=`cat $output | head -1 | awk '{print $5}'`
if [ `expr length $uptimeCurentOre` \> `expr length $uptimeRecordOre` ]; then
# echo Nou record - Uptime curent mai mare cu cateva ore decat uptime-ul record 1
uptime > $output
date >> $output
else
if [ `expr length $uptimeCurentOre` == `expr length $uptimeRecordOre` ]; then
uptimeCurentOra=`echo $uptimeCurentOre | cut -d":" -f1`
uptimeRecordOra=`echo $uptimeRecordOre | cut -d":" -f1`
if [ $uptimeCurentOra -gt $uptimeRecordOra ]; then
# echo Nou record - Uptime curent mai mare cu cateva ore decat uptime-ul record 2
uptime > $output
date >> $output
fi
fi
fi
}

if [ -a $output ]; then
uptimeCurent=`uptime`
uptimeRecord=`cat $output | head -1`
if [ `echo $uptimeCurent | grep -c day` == '0' ]; then
# echo Uptime mai mic de o zi
if [ `echo $uptimeRecord | grep -c day` == '0' ]; then
# echo Uptime record mai mic de o zi, comparam orele
compareHrs
# else
# echo Uptime record mai mare ca uptime curent
fi
else
# echo Uptime mai mare de o zi
if [ `echo $uptimeRecord | grep -c day` == '0' ]; then
# echo Uptime record mai mic de o zi
uptime > $output
date >> $output
else
uptimeCurentZile=`uptime | awk '{print $3}'`
uptimeRecordZile=`cat $output | head -1 | awk '{print $3}'`
if [ $uptimeCurentZile -eq $uptimeRecordZile ]; then
# echo Uptime in zile egal
compareHrs
else
if [ $uptimeCurentZile -gt $uptimeRecordZile ]; then
# echo Record nou
uptime > $output
date >> $output
fi
fi
fi
fi
else
# echo Fisierul nu exista, deci trebuie creat. Recordul e uptime-ul curent
uptime > $output
date >> $output
fi

exit 0

</code>

[[Category:Collection]]
[[Category:Programming]]

Setari vim existentiale

2006-08-23T15:24:20Z

Raptor:

Abordarea urmatoare este orientata spre rezolvarea anumitor probleme, nicidecum nu incearca pomenirea tutoror setarilor astfel incat sa se trateze exhaustiv posibilitatile de configurare oferite de vim. Daca as incerca sa tratez toate posibilitatile aceasta ar fi help.txt din vim, si nu ar mai fi vorba de setari existentiale, nu? Exista cazuri cand editorul vim nu se comporta asa cum banuiti? Atunci puteti incerca urmatoarele setari in ~/.vimrc :

<code><sh/>:set bs=2
:set nocp
:syntax on
:set ts=4
:set sw=4
:set t_ku=^[OA
:set t_kd=^[OB
:set t_kl=^[OD
:set t_kr=^[OC</code>

===set bs=2===

Pe unele masini s-ar putea ca atunci cand stergeti caractere folosind tasta backspace atunci cand ajunge la marginea randului cursorul sa nu mearga un rand mai sus, bs=2 ii da o mana de ajutor cursorului sa urce.

===set nocp===

Exista distributii care seteaza vim-ul in modul "compatibil" cu vi, iar uneori lucrul acesta pur si simplu ne da peste cap, apasam INS si uita sa afiseze --INSERT--, etc. nocp ii spune lui vim ''no compatiblity''

===syntax on===

Intotdeauna am iubit sintaxa colorata pentru surse. In cazul in care nu aveti instalate fisierele ce contin sintaxa ar fi mai bine sa eliminati aceasta linie intrucat la deschiderea fiecarui fisier va va da intai o eroare intrucat nu gaseste fisierul de sintaxa.

===set ts=4 si set sw=4===

Fiind un mare fan al conventiei Java de notare am ales indent-ul cu 4 caractere spre deosebire de cel de 8 care este implicit. Desigur puteti seta sau 2, 4 sau orice alta valoare preferati.

=== set t_ku=^[OA, ... ===

Up, Down, Left, Right... Aceasta setare este pentru sistemele UNIX mai dubioase (gen Solaris de exemplu) pentru care tastele cursor (cele cu sageti) nu mai functioneaza in mod normal (de exemplu afiseaza litere A, B, C, D). Atunci tot ce trebuie sa faceti este sa le setati. In vim nu veti scrie caracterele ^ sau [ ci in timp ce editati ''.vimrc'' (deci nu copiati fisierul de mai sus adliteram):
<code>:set t_ku=<Ctrl+V><Sageata Sus><Enter></code> si ar trebui sa vedeti pe ecran ceva in genul:
<code>:set t_ku=^[OA</code>

[[Category:Tips'n'Tricks]]
[[Category:Tutorial]]

Scripturi BASH

2006-06-08T09:36:45Z

Raptor: /* be */

Scripturi BASH

2006-06-08T09:34:50Z

Raptor: /* Scripturi care permite schimbarea rapida a MAC+IP */

Scripturi BASH

2006-06-08T09:33:56Z

Raptor:

== Exemple scripturi BASH ==

=== Scripturi care permite schimbarea rapida a MAC+IP ===

[[User:Raptor360|Raptor360]] 12:33, 8 June 2006 (EEST)

====getmac====

Primeste ca parametru un IP si returneaza MAC-ul acestuia sau "" daca nu exista in retea nodul cu pricina.

''/usr/local/bin/getmac''<code><sh/>#!/bin/sh

if [[ ! $IFDEVICE ]]; then
IFDEVICE="eth0";
fi

mac=`arping -I $IFDEVICE $1 -c 3 | grep reply | cut -f2 -d\[ | cut -f1 -d\] | uniq`
echo $mac</code>

====be====

Primeste ca parametru un IP si schimba MAC-ul + IP-ul pentru un device.

''/usr/local/bin/be''<code><sh/>#!/bin/bash

if [[ ! $IFDEVICE ]]; then
IFDEVICE="eth0"
fi

gip=`echo -e "$1\t"`
echo -e " IP is $1."
mac=`cat /etc/stored | grep "$gip" | cut -f2`
echo -e "MAC is $mac."
if [[ $mac != "" ]]; then
ifconfig $IFDEVICE down
ifconfig $IFDEVICE hw ether $mac
ifconfig $IFDEVICE $1 netmask 255.255.248.0 broadcast 10.10.17.255
route add default gw 10.10.17.1
# echo "nameserver 10.10.17.1" > /etc/resolv.conf
else
echo "$1 has not an associated MAC."
fi</code>

====switchuser====

Schimba MAC-ul si IP-ul aleator conform unuia stocat in /etc/stored folosind scripturile anterioare.

''/usr/local/bin/switchuser''<code><sh/>#!/bin/bash

notfound=1
while [[ $notfound -eq 1 ]]; do
rip=`echo "$RANDOM % 252 + 3" | bc`
for i in `seq $rip 254`; do
randip="10.10.17.$i"
gip=`echo -e "$randip\t"`
if [[ `cat /etc/stored | grep "$gip" | cut -f2` != "" ]]; then
if [[ `getmac $randip` == "" ]]; then
be $randip
exit 0
notfound=1
else
echo "IP $randip is already active."
fi
else
echo "$randip has no MAC associated."
fi
done
done</code>

Scripturile folosesc fisierul de configurare ''/etc/stored'' in care se adauga perechi de forma: IP\tMAC, e.g. <code>10.10.17.241 00:20:ED:95:2A:A1
10.10.17.242 4C:00:10:53:BF:A5</code> precum si variabila din enviroment IFDEVICE daca este definita. e.g. daca vrem sa schimbam ip-ul doar pentru device-ul eth1 atunci apelam la:
<code># IFDEVICE=eth1 switchuser </code>

=== Script care lanseaza in fundal o anumita comanda data ca parametru de intrare ===
Puteti lasa o comanda sa se execute in fundal fara ca ea sa fie intrerupta la
iesirea dumneavoastra din sistem folosind urmatorul script pe care l-am numit
silent. (output-ul nu este salvat, pentru aceasta puteti folosi nohup)

<code><sh/>#!/bin/bash

echo "Executing \"$*\""
setsid bash -c $* 2>>/dev/null 1>>/dev/null < /dev/null &</code>

Scriptul il puteti folosi de exemplu:

<code>$ silent wget -c -t 0 www.bigfiles.com/ubuntu.iso</code>

=== Script ce elimina zona asociata unui domeniu dat ca parametru de intrare ===

Puteţi elimina porţiunea din named.conf de la
<tt>zone "nume.domeniu.dat.ca.parametru.de.intrare" {</tt>
până la acolada închisă asociată acoladei deschise de mai sus.

Scriptul este:<code><sh/>#!/bin/bash

# Bind zone remove script
#
# Copyright (C) 2005 Silvian Cretu <silvian86@yahoo.com>
#
# This program is free software; you can redistribute it and/or
# modify it under the terms of the GNU General Public License
# as published by the Free Software Foundation; either version 2
# of the License, or (at your option) any later version.
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with this program; if not, write to the Free Software
# Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.

if [ ! $# = 1 ]; then
echo "Usage: $0 domain";
echo "The path to named.conf is defined inside the script";
else
pathToNamedDotConf=/etc/named.conf

x=$(grep -n "zone \"$1\" {" $pathToNamedDotConf | cut -f1 -d:)
sed $x,/\}\;/d $pathToNamedDotConf > temp
c=$(sed -n $x'p' < temp)
if [ "x`echo $c | grep "zone"`" = "x" ]
then
sed $x' d' temp > $pathToNamedDotConf
else
cat temp > $pathToNamedDotConf
fi
rm -f temp
exit
fi</code>

=== Cautarea unui fisier ce contine un anumit string ===

<code><sh/>find /path -name "*" -exec grep -H "<string>" '{}' \;</code>
sau
<code><sh/>grep -Hr "<string>" /path/</code>

Fireste, <tt><string></tt> poate fi atat un sir de caractere cat si orice fel de expresie regulata suportata de versiunea particulara de <tt>grep</tt> disponibila pe masina in cauza. 
Deasemenea, pentru a cauta fara a face diferenta intre majuscule si minuscule, adaugati parametrul <tt>-i</tt> la <tt>grep</tt>.

Daca doriti ca in output-ul comenzii <tt>grep</tt> expresia cautata sa fie cautata sa fie evidentiata puteti folosi parametrul <tt>--color</tt> astfel:
<code><sh/>grep --color -Hr "<string>" /path/</code>

=== Stergerea fisierelor backup ===

Asa cum stiti, prin traditie in *NIX, editoarele text fac o copie de siguranta fisierelor editate, copie de siguranta ce este denumita identic cu fisierul initial plus caracterul tilda ('''~'''). Ei bine... in cazul aplicatiilor web, acest backup mai mult dauneaza decat sa ajute.
Nu ar fi prea placut sa aveti un <tt>index.php~</tt> in <tt>DocumentRoot</tt>

<code><sh/>find /path -name "*~" -exec rm -f '{}' \;</code>

=== Probleme cu spatiul pe disc? ===

Nu stiti unde "vi s-a dus" spatiul de pe disc si e cam greu sa verificati fiecare director in parte? 
Linia urmatoare va ajuta, facand totodata si o sortare.

<code><sh/>du --max-depth=1 /path | sort -rn</code>

[[Category:Collection]]
[[Category:Programming]]

Echivalentele Linux ale programelor Windows

2006-06-02T12:57:14Z

Raptor: /* Echivalentele Linux ale programelor Windows */

== Echivalentele Linux ale programelor Windows ==

'''Scris de Ovidiu Lixandru'''
''17 Mai 2004''

''Articolul este în curs de (re)scriere, cei care doresc să ajute sunt bineveniţi. [http://www.linux360.ro/portal2/migrare-de-pe-windows/migrare-de-pe-windows/echivalentele-linux-ale-programelor-windows.html Aici] aveţi articolul iniţial, articol ce trebuie transcris în format wiki.''

Una dintre cele mai mari dificultati ale migrarii de la Microsoft
Windows la Linux este lipsa de cunostinte în ceea ce priveste
corespondentele software. Începatorii cauta de obicei echivalentele
software ale programelor de pe Windows, iar utilizatorii avansati nu le
pot raspunde deoarece nu stiu foarte multe despre sistemul de operare
Microsoft. Veti gasi mai jos o lista bazata pe experienta celor ce
utlizeaza ambele platforme.

Desigur, lista nu se vrea a fi una exhaustiva. Ea cuprinde cele mai
populare domenii si programe folosite. Dar cum noi programe apar în
fiecare zi, Daca doriti sa contribuiti la aceasta lista, va rugam sa ne
lasati comentariul dvs. folosind forumularul din josul articolului si
vom modifica continutul articolului în concordanta. Comentariul trebuie
sa cuprinda numele programului de adaugat, sistemul de operare, o mica
descriere a sa si un link spre pagina de Internet a programului (daca o
stiti). Toate remarcile si corecturile sunt binevenite.

{| border="0" cellspacing="0" cellpadding="5" align="center"
! Descrierea programului
! Windows
! Linux
|-
| colspan=3 | 1) Networking
|-
|valign="top" |
Browser Web
|valign="top"|
# Internet Explorer
# Netscape / Mozilla
# [http://www.opera.com/ Opera]
# [http://www.mozilla.org/projects/firefox/ Firefox]
|valign="top" |
# [http://www.netscape.com/ Netscape] / [http://www.mozilla.org/ Mozilla]
# [http://galeon.sourceforge.net/ Galeon]
# [http://www.konqueror.org/ Konqueror]
# [http://www.opera.com/products/desktop/index.dml?platform=linux Opera]
# [http://www.mozilla.org/projects/firefox/ Firefox]
# [http://www.gnome.org/projects/nautilus/ Nautilus]
# [http://epiphany.mozdev.org/ Epiphany]
# [http://atrey.karlin.mff.cuni.cz/%7Eclock/twibright/links/ Links] (cu opţiunea "-g")
|-
| colspan="3" | <hr>
|-
|valign="top" |
Browser web în linie de comandă
|valign="top" |
# Links
# Lynx
# Xemacs + w3
# DosLynx
|valign="top" |
# [http://atrey.karlin.mff.cuni.cz/%7Eclock/twibright/links/ Links]
# [http://elinks.or.cz/ ELinks]
# [http://lynx.browser.org/ Lynx]
# [http://w3m.sourceforge.net/ w3m]
# [http://www.xemacs.org/ Xemacs] + w3
|-
|valign="top" |
Client de e-mail
|valign="top" |
# Outlook Express
# Netscape / Mozilla
# The Bat
# Eudora
# Opera
|valign="top" |
# [http://ximian.com/products/evolution/ Evolution]
# [http://www.netscape.com/ Netscape] / [http://www.mozilla.org/ Mozilla Mail]
# [http://sylpheed.good-day.net/ Sylpheed] / [http://sylpheed-claws.sourceforge.net/ Sylpheed-claws]
# [http://kmail.kde.org/ Kmail]
# [http://balsa.gnome.org/ Balsa]
# [http://www.collaboration-world.com/gnumail/ Gnumail]
# Opera
|-
|valign="top" |
Client de e-mail în stilul MS Outlook
|valign="top" |
Outlook
|valign="top" |
# [http://ximian.com/products/evolution/ Evolution]
# [http://www.bynari.net/ Bynari Insight GroupWare Suite]
# [http://sourceforge.net/projects/aethera/ Aethera]
# [http://sylpheed.good-day.net/ Sylpheed]
# [http://sylpheed-claws.sourceforge.net/ Sylpheed-claws]
|-
|valign="top" |
Client de e-mail în stilul The Bat
|valign="top" |
The Bat
|valign="top" |
# [http://sylpheed.good-day.net/ Sylpheed]
# [http://sylpheed-claws.sourceforge.net/ Sylpheed-claws]
# [http://kmail.kde.org/ Kmail]
# [http://www.gnus.org/ Gnus]
# [http://balsa.gnome.org/ Balsa]
|-
|valign="top" |
Client de e-mail în linie de comandă
|valign="top" |
# [http://www.geocities.com/win32mutt/win32.html Mutt]
# Pine
# Pegasus
# [http://www.gnu.org/software/emacs/ Emacs]
|valign="top" |
# [http://www.washington.edu/pine/ Pine]
# [http://mutt.org/ Mutt]
# [http://www.gnus.org/ Gnus]
# [http://www.instinct.org/elm/ Elm]
# [http://www.gnu.org/software/emacs/ Emacs]
|-
|valign="top" |
Client de ştiri
|valign="top" |
# [http://forteinc.com/agent/index.php Agent]
# Free Agent
# [http://xnews.newsguy.com/ Xnews]
# Outlook
# Netscape / Mozilla Mail
# [http://www.opera.com/ Opera]
# [http://sylpheed.good-day.net/ Sylpheed] / [http://sylpheed-claws.sourceforge.net/ Sylpheed-claws]
# Dialog
# Gravity
# [http://bnr2.org/ BNR2]
|valign="top" |
# [http://knode.sourceforge.net/ Knode]
# [http://pan.rebelbase.com/ Pan]
# [http://home.wanadoo.nl/bram_s/newsleader NewsReader]
# [http://www.netscape.com/ Netscape] / [http://www.mozilla.org/ Mozilla Mail]
# [http://www.opera.com/products/desktop/index.dml?platform=linux Opera]
# [http://sylpheed.good-day.net/ Sylpheed] / [http://sf.net/projects/sylpheed-claws/ Sylpheed-claws]
Consolă:
# [http://www.washington.edu/pine/ Pine]
# [http://mutt.org/ Mutt]
# [http://www.gnus.org/ Gnus]
# [http://www.tin.org/ tin]
# [http://www.slrn.org/ slrn]
# [http://www.xemacs.org/ Xemacs]
# [http://bnr2.org/ BNR2]
|-
|valign="top" |
Agendă de contacte
|valign="top" |
Outlook
|valign="top" |
# [http://icewalkers.com/jump.php?AID=1406&src=home Rubrica]
|-
|valign="top" |
Download manager
|valign="top" |
# Flashget
# Go!zilla
# Reget
# Getright
# DAP
# [http://unxutils.sourceforge.net/ Wget]
# [http://millweed.com/projects/wackget/ WackGet]
# [http://www.geocities.com/SiliconValley/Vista/2865/md.htm Mass Downloader]
|valign="top" |
# [http://www.krasu.ru/soft/chuchelo/ Downloader for X]
# [http://devel-home.kde.org/%7Ecaitoo/index.html Caitoo (fostul Kget)]
# [http://prozilla.delrom.ro/prozilla.html Prozilla]
# [http://wget.sunsite.dk/ Wget] (consolă, standard)
# GUI for Wget: [http://kmago.sourceforge.net/ Kmago], [http://gtm.sf.net/ Gnome Transfer Manager], QTget, Xget, ...
# [http://aria.rednoah.com/ Aria]
# [http://www.lintux.cx/axel.html Axel]
# Download Accelerator Plus
# [http://personal1.iddeo.es/andresgarci/getleft/english/download.html GetLeft]
# [http://lftp.yar.ru/ Lftp]
|-
|valign="top" |
Download site-uri
|valign="top" |
# Teleport Pro
# [http://www.httrack.com/ Httrack]
# [http://unxutils.sourceforge.net/ Wget]
|valign="top" |
# [http://www.httrack.com/ Httrack]
# WWW Offline Explorer.
# [http://wget.sunsite.dk/ Wget] (consolă, standard). GUI: [http://kmago.sourceforge.net/ Kmago], QTget, Xget, ...
# [http://www.krasu.ru/soft/chuchelo/ Downloader for X]
# [http://www.idata.sk/%7Eondrej/pavuk/ Pavuk]
# [http://www.lyra.org/sitecopy/ XSiteCopy]
# [http://personal1.iddeo.es/andresgarci/getleft/english/download.html GetLeft]
# [http://curl.haxx.se/ Curl] (consolă).
# [http://icewalkers.com/jump.php?AID=1941&src=home Khttrack]
|-
|valign="top" |
Client FTP
|valign="top" |
# Bullet Proof FTP
# CuteFTP
# WSFTP
# SmartFTP
# [http://sourceforge.net/projects/filezilla/ FileZilla]
|valign="top" |
# [http://gftp.seul.org/ Gftp
# [http://www.konqueror.org/ Konqueror]
# [http://krusader.sourceforge.net/ Krusader]
# [http://kbear.sourceforge.net/ KBear]
# [http://www.iglooftp.com/unix/download.html IglooFTP] [Prop]
# [http://www.ayukov.com/nftp/index.html Nftp]
# [http://www.wxftp.seul.org/ Wxftp]
# AxyFTP.
# [http://www.ibiblio.org/mc/ mc] (cd ftp://...)
# [http://tkftp.firebird.cx/ tkFTP]
# [http://yafc.sourceforge.net/ Yafc]
|-
|valign="top" |
Client FTP în linie de comandă
|valign="top" |
# FTP din Far
# ftp.exe
# [http://www.ncftpd.com/ncftp/ Ncftp]
|valign="top" |
# [http://www.ncftpd.com/ncftp/ Ncftp]
# [http://lftp.yar.ru/ Lftp]
# [http://sourceforge.net/projects/avf/ Avfs. (din orice program: /#ftp:...)]
|-
|valign="top" |
Client IRC
|valign="top" |
# mIRC
# Klient
# VIRC
# Xircon
# Pirch
# [http://www.xchat.org/ Xchat]
|valign="top" |
# [http://www.xchat.org/ Xchat]
# [http://www.kvirc.net/ KVirc]
# [http://www.irssi.org/ Irssi]
# [http://www.bitchx.org/ BitchX]
# Ksirc.
# [http://www.epicsol.org/ Epic]
# [http://www.iagora.com/%7Eespel/sirc.html Sirc]
# [http://www.pjirc.com/ PJIRC]
|-
|valign="top" |
Clienţi de chat pentru LAN
|valign="top" |
# QuickChat
# [http://www.akeni.com/product/lan.php Akeni]
# PonyChat
# iChat
|valign="top" |
# talk (console), ktalk
# [http://www.akeni.com/product/lan.php Akeni]
# [http://freshmeat.net/redir/echat/41626/url_homepage/echat Echat]
# write, wall (chat between users of one machine)
|-
|valign="top" |
Mesagerie locală cu maşini Windows
|valign="top" |
WinPopUp
|valign="top" |
smbclient (consolă).
GUI:
# [http://linpopup2.sourceforge.net/ LinPopUp 2]
# [http://www.henschelsoft.de/kpopup_en.html Kpopup]
# Kopete
|-
|valign="top" |
Clienţi de mesagerie instant
|valign="top" |
# ICQ
# MSN Messenger
# [http://www.aim.com/ AIM]
# [http://www.yahoo.com/ Yahoo Messenger]
# Trillian
# [http://miranda-icq.sourceforge.net/ Miranda]
# [http://gaim.sourceforge.net/ Gaim]
|valign="top" |
# [http://licq.org/ Licq (ICQ)]
# [http://konst.org.ua/centericq/ Centericq] (multiprotocol, consolă)
# [http://alicq.sourceforge.net/ Alicq] (ICQ)
# [http://www.micq.org/ Micq] (ICQ)
# GnomeICU (ICQ)
# [http://gaim.sourceforge.net/ Gaim] (multiprotocol)
# [http://freshmeat.net/projects/ayttm/ Ayttm] (multiprotocol)
# [http://kopete.kde.org/ Kopete]
# [http://www.everybuddy.com/ Everybuddy]
# [http://sim-icq.sourceforge.net/ Simple Instant Messenger]
# [http://download.cnet.com/downloads/0,10152,0-10145-110-8786881,00.html?gid=104653&tag=dlntl Imici Messenger]
# [http://ickle.sourceforge.net/ Ickle] (ICQ)
# [http://amsn.sourceforge.net/ aMSN] (MSN)
# Kmerlin (MSN)
# [http://kicq.sourceforge.net/kicq.shtml Kicq] (ICQ)
# [http://ysmv7.sourceforge.net/ YSM] (ICQ, consolă)
# [http://www.kxicq.org/ kxicq]
# [http://messenger.yahoo.com/messenger/download/unix.html Yahoo Messenger for Unix]
# [http://kmess.sourceforge.net/ Kmess] (MSN)
# [http://www.aim.com/ AIM]
# [http://freshmeat.net/redir/msnre/41829/url_homepage/msnre MSNre] (consolă)
|-
|valign="top" |
Clienţi Jabber
|valign="top" |
# [http://www.jabber.ru/projects/jajc/ JAJC]
# [http://www.jabber.ru/projects/tkabber/ Tkabber (+activestate tcl)]
# [http://psi.sourceforge.net/ Psi]
# [http://exodus.sourceforge.net/ Exodus]
# [http://winjab.sourceforge.net/ WinJab]
# myJabber
# RhymBox
# Rival
# Skabber
# TipicIM
# Vista
# Yabber
# [http://miranda-icq.sourceforge.net/ Miranda]
# [http://gaim.sourceforge.net/ Gaim]
# [http://www.akeni.com/product/jabber.php Akeni Messenger Jabber Edition]
|valign="top" |
# [http://www.jabber.ru/projects/tkabber/ Tkabber]
# [http://gabber.sourceforge.net/ Gabber]
# [http://psi.sourceforge.net/ Psi]
# [http://gaim.sourceforge.net/ Gaim]
# [http://konst.org.ua/centericq/ Centericq] (consolă)
# [http://freshmeat.net/projects/ayttm/ Ayttm]
# [http://www.akeni.com/product/jabber.php Akeni Messenger Jabber Edition]
|-
|valign="top" |
Monitorizarea căsuţe de e-mail şi grupuri de ştiri
|valign="top" |
[http://www.watznew.com/ WatzNew]
|valign="top" |
# [http://homemade.hypermart.net/websec/ Web Secretary]
# [http://apps.kde.com/rf/2/info/id/999 Knewsticker & korn]
# [http://www.mozilla.org/ Mozilla]
# watch -n seconds lynx -dump
|-
|valign="top" |
Conferinţe audio/video
|valign="top" |
NetMeeting
|valign="top" |
# [http://www.gnomemeeting.org/ GnomeMeeting]
# [http://www-nrg.ee.lbl.gov/ vat/vic/wb]
# [http://www-mice.cs.ucl.ac.uk/multimedia/software/ rat/wbd/nte]
# [http://www.cs.columbia.edu/IRT/software/nevot/ NeVoT]
# [http://www-sop.inria.fr/rodeo/ivs.html IVS]
|-
|valign="top" |
Comunicaţii voce
|valign="top" |
Speak Freely
|valign="top" |
# [http://www.fourmilab.ch/speakfree/unix/ Speak Freely for Unix]
# [http://www.teamspeak.org/ TeamSpeak]
|-
|valign="top" |
Firewall (packet filtering)
|valign="top" |
# BlackICE
# ATGuard
# ZoneAlarm
# Agnitum Outpost Firewall
# [http://www.kerio.com/ WinRoute Pro]
# Norton Internet Security
# [http://soho.sygate.com/products/pspf_ov.htm Sygate Personal Firewall PRO]
# Kerio Personal Firewall
|valign="top" |
iptables sau predecesorul lui, ipchains (consolă, standard). Front end-uri:
# [http://kmyfirewall.sourceforge.net/ Kmyfirewall]
# [http://morizot.net/firewall/ Easy Firewall Generator]
# [http://www.fwbuilder.org/ Firewall Builder]
# [http://shorewall.sf.net/ Shorewall]
# [http://www.simonzone.com/software/guarddog/ Guarddog]
# [http://firestarter.sourceforge.net/ FireStarter]
# [http://www.smoothwall.org/ Smoothwall]
# [http://www.ipcop.org/ IPCop]
# [http://www.balabit.com/ Zorp]
|-
|valign="top" |
IDS (Intrusion Detection System)
|valign="top" |
# BlackICE
# Agnitum Outpost Firewall
# Tripwire [prop]
# Kerio Personal Firewall
|valign="top" |
# [http://www.snort.org/ Snort]
# [http://www.psionic.com/ Portsentry / Hostsentry / Logsentry]
# Tripwire
# Tripwall
# AIDE
# ViperDB
# Integrit
# [http://freshmeat.net/redir/cids/40689/url_homepage/cids Cerberus Intrusion Detection System]
# [http://midas-nms.sourceforge.net/ MIDAS NMS]
|-
|valign="top" |
Detecţie scanare porturi
|valign="top" |
-
|valign="top" |
# [http://pkdump.sourceforge.net/pkdumpage.html Pkdump]
|-
|valign="top" |
Securizare sistem
|valign="top" |
-
|valign="top" |
# [http://www.bastille-linux.org/ Bastille]
# [http://usat.sourceforge.net/ Linux Security Auditing Tool]
|-
|valign="top" |

|valign="top" |
|valign="top" |
|-
|valign="top" |
|valign="top" |
|valign="top" |
|}

[[Category:Pending]]

User:Raptor360

2006-06-02T12:41:55Z

Raptor: /* Bogdan Mustiata */

==Bogdan Mustiata==

===Contact===
*Telefon: '''0746-522655'''

*E-mail: '''bogdan.mustiata arond gmail.com'''

===Interese===
*Programare C++/Java generala.

*Servere concurente C/C++/Java pentru arhitecturi distribuite si/sau multiprocesor pentru sisteme UNIX.

*bash si perl scripting.

*Grafica cu GIMP.

User:Raptor360

2006-06-02T12:41:38Z

Raptor: /* Raptor 360 */

=Bogdan Mustiata=

==Contact==
*Telefon: '''0746-522655'''

*E-mail: '''bogdan.mustiata arond gmail.com'''

==Interese==
*Programare C++/Java generala.

*Servere concurente C/C++/Java pentru arhitecturi distribuite si/sau multiprocesor pentru sisteme UNIX.

*bash si perl scripting.

*Grafica cu GIMP.

User:Raptor360

2006-06-02T12:41:18Z

Raptor:

=Raptor 360=

==Contact==
*Telefon: '''0746-522655'''

*E-mail: '''bogdan.mustiata arond gmail.com'''

==Interese==
*Programare C++/Java generala.

*Servere concurente C/C++/Java pentru arhitecturi distribuite si/sau multiprocesor pentru sisteme UNIX.

*bash si perl scripting.

*Grafica cu GIMP.

Main Page

2006-06-02T12:23:20Z

Raptor:

* A început migrarea tutorialelor şi ghidurilor (HowTo) din forum în Wiki -- nu ezitaţi să daţi o mână de ajutor ;-)
* Vă rugăm, folosiţi '''doar''' [[linux360:Sandbox|caietul de ciorne]] pentru încercări şi probe.
* Pentru acces de editare, vă rugăm contactaţi [mailto:wiki-admin@linux360.ro administraţia].

----

* '''Ultimele 10 [[:Category:HowTo|ghiduri]] actualizate:'''
** [[Cum dau net mai departe|Redistribuirea/Partajarea conexiunii la Internet]] ([[:Category:Networking|retea]]/[[:Category:Routing|rutare]])
** [[Ce este GNU/Linux? / Cum invat Linux?]] ([[:Category:FAQ|Intrebări puse frecvent]])
** [[Yum în România|<tt>yum</tt> în România]] ([[:Category:Tips'n'Tricks|ponturi]])
** [[Postfix tls mysql dovecot|Postfix cu TLS, autentificare din MySQL şi acces prin Dovecot]] ([[:Category:Networking|reţea]])
** [[Download si instalare E17 din CVS|Instalare automatizată E17 CVS]] ([[:Category:GEs|medii grafice]])
** [[MU Online sub wine|MU Online rulat cu Wine]] ([[:Category:VMs|maşini virtuale]]/[[:Category:Games|jocuri]])
** [[Quagga on Linux|Quagga]] ([[:Category:Networking|reţea]]/[[:Category:Routing|rutare]])
** [[Comunica prin lpt|Controlul motoarelor pas cu pas prin portul paralel]] ([[:Category:Programming|programare]])
** [[Autentificare ssh folosind chei publice/private|Autentificare la SSH cu chei publice]] ([[:Category:Networking|reţea]]/[[:Category:Tips'n'Tricks|ponturi]])
** [[Instalare Qemu|Instalarea emulatorului Qemu]] ([[:Category:VMs|maşini virtuale]])

* '''Ultimele 10 [[:Category:Tutorial|tutoriale]] actualizate''':
** [[Setari vim existentiale]] ([[:Category:Tips'n'Tricks|ponturi]])
** [[Script pentru restabilirea conexiunii ADSL]] ([[:Category:Networking|reţea]])
** [[Configurare Gaim pentru a afisa in status melodia curenta|Configurarea GAIM pentru a afişa în status melodia curentă]] ([[:Category:Multimedia|multimedia]]/[[:Category:Office|programe de birotică]])
** [[Introducere in Gtk-sharp|Introducere în Gtk#]] ([[:Category:Programming|programare]])
** [[Schimbarea setarilor GTK 2|Schimbarea setărilor Gtk+ 2]] ([[:Category:GEs|medii grafice]]/[[:Category:Tips'n'Tricks|ponturi]])
** [[Sistem de depanare a aplicatiilor in limbajul C-plus-plus|Sistem de depanare a aplicaţiilor în limbajul C++]] ([[:Category:Programming|programare]])
** [[Iptables romana|Introducere în <tt>iptables</tt>]] ([[:Category:Networking|reţea]]/[[:Category:Firewall|filtrare trafic]])
** [[Supra%C3%AEnc%C4%83rcarea operatorilor %C3%AEn limbajul C-plus-plus|Supraîncărcarea operatorilor în ANSI C++]] ([[:Category:Programming|programare]])

* '''Ultimele 10 [[:Category:Collection|colecţii]] actualizate''':
** [[Salutare lume!|Salutare, lume!]] ([[:Category:Programming|programare]])
** [[Scripturi BASH|Scripturi Bash utile]] ([[:Category:Programming|programare]])

* '''Ultimele 10 [[:Category:Presentation|prezentări]] actualizate''':
** [[Libipq by example|<tt>libipq</tt> în exemple]] ([[:Cateogory:Networking|reţea]]/[[:Category:Programming|programare]])
** [[KDSFlash]] ([[:Category:Graphics|grafică]]/[[:Category:Animation|animaţie]]/[[:Category:Programming|programare]])

* '''Articole [[:Category:Pending|în curs de scriere]]''':
** [[Partiţii]] ([[User:Sorin25|sorin25]])
** [[Autorizarea accesului la resurse web în Apache]] ([[User:Sorin25|sorin25]])
** [[ACIS|Administrare, configurare şi intreţinere servere]] ([[User:Csdexter|@Dexter]])
** [[Echivalentele Linux ale programelor Windows]] ([[User:Raver|raver]])

Setari vim existentiale

2006-06-02T09:00:09Z

Raptor:

Exista cazuri cand editorul vim nu se comporta asa cum banuiti? Atunci puteti incerca urmatoarele setari in ~/.vimrc

<code><sh/>:set bs=2
:set nocp
:syntax on
:set ts=4
:set sw=4</code>

===set bs=2===

Pe unele masini s-ar putea ca atunci cand stergeti caractere folosind tasta backspace atunci cand ajunge la marginea randului cursorul sa nu mearga un rand mai sus, bs=2 ii da o mana de ajutor cursorului sa urce.

===set nocp===

Exista distributii care seteaza vim-ul in modul "compatibil" cu vi, iar uneori lucrul acesta pur si simplu ne da peste cap, apasam INS si uita sa afiseze --INSERT--, etc. nocp ii spune lui vim ''no compatiblity''

===syntax on===

Intotdeauna am iubit sintaxa colorata pentru surse.

===set ts=4 si set sw=4===

Fiind un mare fan al conventiei Java de notare am ales indent-ul cu 4 caractere spre deosebire de cel de 8 care este implicit. Desigur puteti seta sau 2, 4 sau orice alta valoare preferati.

[[Category:Tips'n'Tricks]]
[[Category:Tutorial]]

Setari vim existentiale

2006-06-01T14:23:39Z

Raptor: /* set bs=2 */

Setari vim existentiale

2006-06-01T14:23:23Z

Raptor: /* set bs=2 */

Exista cazuri cand editorul vim nu se comporta asa cum banuiti? Atunci puteti incerca urmatoarele setari in ~/.vimrc

<code><sh/>:set bs=2
:set nocp
:syntax on
:set ts=4
:set sw=4</code>

===set bs=2===

Pe unele masini s-ar putea ca atunci cand stergeti caractere folosind tasta backspace atunci cand ajunge la marginea randului cursorul sa nu mearga un rand mai sus, bs=2 ii da o mana de ajutor.

===set nocp===

Exista distributii care seteaza vim-ul in modul "compatibil" cu vi, iar uneori lucrul acesta pur si simplu ne da peste cap, apasam INS si uita sa afiseze --INSERT--, etc. nocp ii spune lui vim ''no compatiblity''

===syntax on===

Intotdeauna am iubit sintaxa colorata pentru surse.

===set ts=4 si set sw=4===

Fiind un mare fan al conventiei Java de notare am ales indent-ul cu 4 caractere spre deosebire de cel de 8 care este implicit. Desigur puteti seta sau 2, 4 sau orice alta valoare preferati.

Setari vim existentiale

2006-06-01T14:20:28Z

Raptor:

Exista cazuri cand editorul vim nu se comporta asa cum banuiti? Atunci puteti incerca urmatoarele setari in ~/.vimrc

<code><sh/>:set bs=2
:set nocp
:syntax on
:set ts=4
:set sw=4</code>

===set bs=2===

Pe unele masini s-ar putea ca atunci cand stergeti caractere folosind tasta backspace atunci cand ajunge la marginea randului cursorul sa nu mearga un rand mai sus, bs=2 impiedica lucrul acesta.

===set nocp===

Exista distributii care seteaza vim-ul in modul "compatibil" cu vi, iar uneori lucrul acesta pur si simplu ne da peste cap, apasam INS si uita sa afiseze --INSERT--, etc. nocp ii spune lui vim ''no compatiblity''

===syntax on===

Intotdeauna am iubit sintaxa colorata pentru surse.

===set ts=4 si set sw=4===

Fiind un mare fan al conventiei Java de notare am ales indent-ul cu 4 caractere spre deosebire de cel de 8 care este implicit. Desigur puteti seta sau 2, 4 sau orice alta valoare preferati.

Scripturi BASH

2006-06-01T13:54:54Z

Raptor: /* Exemple scripturi BASH */

== Exemple scripturi BASH ==

=== Script care lanseaza in fundal o anumita comanda data ca parametru de intrare ===
Puteti lasa o comanda sa se execute in fundal fara ca ea sa fie intrerupta la
iesirea dumneavoastra din sistem folosind urmatorul script pe care l-am numit
silent. (output-ul nu este salvat, pentru aceasta puteti folosi nohup)

<code><sh/>#!/bin/bash

echo "Executing \"$*\""
setsid bash -c $* 2>>/dev/null 1>>/dev/null < /dev/null &</code>

Scriptul il puteti folosi de exemplu:

<code>$ silent wget -c -t 0 www.bigfiles.com/ubuntu.iso</code>

=== Script ce elimina zona asociata unui domeniu dat ca parametru de intrare ===

Puteţi elimina porţiunea din named.conf de la
<tt>zone "nume.domeniu.dat.ca.parametru.de.intrare" {</tt>
până la acolada închisă asociată acoladei deschise de mai sus.

Scriptul este:<code><sh/>#!/bin/bash

# Bind zone remove script
#
# Copyright (C) 2005 Silvian Cretu <silvian86@yahoo.com>
#
# This program is free software; you can redistribute it and/or
# modify it under the terms of the GNU General Public License
# as published by the Free Software Foundation; either version 2
# of the License, or (at your option) any later version.
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with this program; if not, write to the Free Software
# Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.

if [ ! $# = 1 ]; then
echo "Usage: $0 domain";
echo "The path to named.conf is defined inside the script";
else
pathToNamedDotConf=/etc/named.conf

x=$(grep -n "zone \"$1\" {" $pathToNamedDotConf | cut -f1 -d:)
sed $x,/\}\;/d $pathToNamedDotConf > temp
c=$(sed -n $x'p' < temp)
if [ "x`echo $c | grep "zone"`" = "x" ]
then
sed $x' d' temp > $pathToNamedDotConf
else
cat temp > $pathToNamedDotConf
fi
rm -f temp
exit
fi</code>

=== Cautarea unui fisier ce contine un anumit string ===

<code><sh/>find /path -name "*" -exec grep -H "<string>" '{}' \;</code>
sau
<code><sh/>grep -Hr "<string>" /path/</code>

Fireste, <tt><string></tt> poate fi atat un sir de caractere cat si orice fel de expresie regulata suportata de versiunea particulara de <tt>grep</tt> disponibila pe masina in cauza. 
Deasemenea, pentru a cauta fara a face diferenta intre majuscule si minuscule, adaugati parametrul <tt>-i</tt> la <tt>grep</tt>.

Daca doriti ca in output-ul comenzii <tt>grep</tt> expresia cautata sa fie cautata sa fie evidentiata puteti folosi parametrul <tt>--color</tt> astfel:
<code><sh/>grep --color -Hr "<string>" /path/</code>

=== Stergerea fisierelor backup ===

Asa cum stiti, prin traditie in *NIX, editoarele text fac o copie de siguranta fisierelor editate, copie de siguranta ce este denumita identic cu fisierul initial plus caracterul tilda ('''~'''). Ei bine... in cazul aplicatiilor web, acest backup mai mult dauneaza decat sa ajute.
Nu ar fi prea placut sa aveti un <tt>index.php~</tt> in <tt>DocumentRoot</tt>

<code><sh/>find /path -name "*~" -exec rm -f '{}' \;</code>

=== Probleme cu spatiul pe disc? ===

Nu stiti unde "vi s-a dus" spatiul de pe disc si e cam greu sa verificati fiecare director in parte? 
Linia urmatoare va ajuta, facand totodata si o sortare.

<code><sh/>du --max-depth=1 /path | sort -rn</code>

[[Category:Collection]]
[[Category:Programming]]

Scripturi BASH

2006-06-01T13:44:02Z

Raptor: /* Cautarea unui fisier ce contine un anumit string */

== Exemple scripturi BASH ==

=== Script ce elimina zona asociata unui domeniu dat ca parametru de intrare ===

Puteţi elimina porţiunea din named.conf de la
<tt>zone "nume.domeniu.dat.ca.parametru.de.intrare" {</tt>
până la acolada închisă asociată acoladei deschise de mai sus.

Scriptul este:<code><sh/>#!/bin/bash

# Bind zone remove script
#
# Copyright (C) 2005 Silvian Cretu <silvian86@yahoo.com>
#
# This program is free software; you can redistribute it and/or
# modify it under the terms of the GNU General Public License
# as published by the Free Software Foundation; either version 2
# of the License, or (at your option) any later version.
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with this program; if not, write to the Free Software
# Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.

if [ ! $# = 1 ]; then
echo "Usage: $0 domain";
echo "The path to named.conf is defined inside the script";
else
pathToNamedDotConf=/etc/named.conf

x=$(grep -n "zone \"$1\" {" $pathToNamedDotConf | cut -f1 -d:)
sed $x,/\}\;/d $pathToNamedDotConf > temp
c=$(sed -n $x'p' < temp)
if [ "x`echo $c | grep "zone"`" = "x" ]
then
sed $x' d' temp > $pathToNamedDotConf
else
cat temp > $pathToNamedDotConf
fi
rm -f temp
exit
fi</code>

=== Cautarea unui fisier ce contine un anumit string ===

<code><sh/>find /path -name "*" -exec grep -H "<string>" '{}' \;</code>
sau
<code><sh/>grep -Hr "<string>" /path/</code>

Fireste, <tt><string></tt> poate fi atat un sir de caractere cat si orice fel de expresie regulata suportata de versiunea particulara de <tt>grep</tt> disponibila pe masina in cauza. 
Deasemenea, pentru a cauta fara a face diferenta intre majuscule si minuscule, adaugati parametrul <tt>-i</tt> la <tt>grep</tt>.

Daca doriti ca in output-ul comenzii <tt>grep</tt> expresia cautata sa fie cautata sa fie evidentiata puteti folosi parametrul <tt>--color</tt> astfel:
<code><sh/>grep --color -Hr "<string>" /path/</code>

=== Stergerea fisierelor backup ===

Asa cum stiti, prin traditie in *NIX, editoarele text fac o copie de siguranta fisierelor editate, copie de siguranta ce este denumita identic cu fisierul initial plus caracterul tilda ('''~'''). Ei bine... in cazul aplicatiilor web, acest backup mai mult dauneaza decat sa ajute.
Nu ar fi prea placut sa aveti un <tt>index.php~</tt> in <tt>DocumentRoot</tt>

<code><sh/>find /path -name "*~" -exec rm -f '{}' \;</code>

=== Probleme cu spatiul pe disc? ===

Nu stiti unde "vi s-a dus" spatiul de pe disc si e cam greu sa verificati fiecare director in parte? 
Linia urmatoare va ajuta, facand totodata si o sortare.

<code><sh/>du --max-depth=1 /path | sort -rn</code>

[[Category:Collection]]
[[Category:Programming]]

Talk:ATi video (2.6)

2006-05-30T14:29:36Z

Raptor:

* In articol se recomanda reboot. Nu se pot insera modulele manual pentru a nu mai fi necesar reboot-ul? Daca da, atunci care sunt acele module? [[User:Raptor360|Raptor360]] 17:29, 30 May 2006 (EEST)--

Ce este GNU/Linux? / Cum invat Linux?

2006-05-03T06:05:04Z

Raptor: /* /etc/inittab */

Ce este GNU/Linux? Cum invat Linux? De unde incep? Cum fac sa...? Ce inseamna...? Cum ma pot ajuta singur in a invata Linux?

Acestea sunt doar cateva din intrebarile pe care un utilizator nou de Linux si le pune in momentul in care incearca sa afle ceva nou, sa invete sa utilizeze si poate chiar sa administreze un astfel de sistem.

Scopul acestui articol este sa raspunda la aceste intrebari, in special la cele care contin notiuni de baza si in general se va urmari sa cuprinda informatiile necesare pentru a intelege despre ce este vorba si cum interactionam cu un sistem GNU/Linux. Subiectele mai avansate vor fi lasate pentru discutie in cadrul forumului sau in cadrul altor articole deoarece depasesc scopul acestuia.

'''Linux si Windows'''

Vom presupune ca un utilizator are o oarecare experienta cu un sistem de operare, iar pe platformele desktop fiind utilizat cu precadere Microsoft Windows, vom incerca sa facem pe alocuri o mica comparatie pentru a vedea care sunt corespondentele anumitor notiuni pe care le cunosteati deja.

Daca doriti sa aflati corespondentele unor programe de pe Windows pe Linux (sau invers) puteti consulta articolul [[Echivalentele_Linux_ale_programelor_Windows | Echivalentele Linux ale programelor Windows]].

=== O digresiune naiva despre contextul in care a aparut Linux ===

''Nota: Cei care cunosc deja aceste notiuni, sau care doresc sa afle mai multe despre partea practica a notiunilor introductive pot sari peste acesta sectiune.''

==== Ce sunt sistemele libere? ====

Un sistem de operare liber este alcatuit din programe ale caror sursa este disponibila. Oricine o poate vedea si modifica daca simte ca are ceva de adaugat sau de reparat, conditia fiind sa le spuna si celorlalti despre modificarile sale astfel incat sa existe o munca de colaborare in dezvoltarea unui astfel de sistem. De altfel, fara colaborare nu s-ar fi ajuns aici.

Licenta sub care se desfasoara acesta activitate pe Linux este, in general, [http://www.gnu.org/copyleft/gpl.html GPL] alcatuita de Richard Stallman, coordonatorul proiectului GNU si al Free Software Foundation. Mai multe despre GPL, filosofia care sta in spatele acestor programe si binecunoscutul slogan '''Free as in Freedom''' aflati pe http://www.fsf.org si pe http://www.gnu.org.

La un moment dat in istoria tehnologiei informatiei s-a pus problema ca produsele software ar trebui sa se supuna acelorasi legi comerciale ca oricare alt produs, motiv pentru care a aparut si necesitatea de a ascunde ceea ce sta in spatele muncii sale, pentru a nu putea fi reprodus sau preluat/modificat de altcineva. Ca un raspuns la aceasta miscare a aparut GNU, o echipa de programatori care au creat din placere o suita de programe care sa le inlocuiasca pe cele care incepusera sau devenisera deja '''proprietare''' si asupra caroara ei nu mai putea lucra independent sa le imbunatateasca. Insa acesta suita de programe avea nevoie de un ''coordonator'', de un supra-program care sa impuna niste reguli de functionare, sa dea voie anumitor operatii la un moment dat, sa restrictioneze altele, in fine, avea nevoie de un [http://www.kernel.org/ kernel]. Acest kernel a fost creat de Linus Torvalds si a fost numit '''Linux''', motiv pentru care toate sistemele Linux actuale poarte acesta denumire.

Insa corect este sa spunem sistem '''GNU/Linux''' deoarece in jurul acestor doua proiecte s-a dezvoltat ceea ce numim noi azi un sistem Linux.

==== Ce este un program? ====

La modul cel mai intuitiv, un program este un fisier text scris intr-un limbaj de programare care specifica anumite instructiuni. Insa ceea ce cunostem noi sub numele de program este cu totul altceva. Noi cunoastem ''intruparea'' acelui program, si anume un fisier binar executabil (un ''.exe'' pe Windows). Care este procedeul prin care transformam textul intr-un binar (astfel incat sa poata fi interpretat direct de calculator) si care este ''bagheta magica'' care il transforma din text in binar? Bagheta magica este un program special numit '''compilator''' si procedeul de transformare se numeste ''compilare''.

Textul initial despre care va povesteam este de fapt ''sursa'' programului, esenta lui, pe care noi in sistemele "GNU/Linux" avem posibilitatea de a o modifica si de a crea un program si mai puternic decat cel initial daca suntem suficient de priceputi. In alte sisteme cu sursa inchisa (cum ar fi Microsoft Windows), nu avem aceasta posibilitate, prin urmare drepturile si posibilitatile noastre sunt ingradite. Pentru un utilizator obisnuit nu este o tragedie foarte mare deoarece probabil ca nu simte nevoia acestei libertati, sau nu stie ce sa faca cu ea.

Daca ati ajuns pana aici si nu va este frica sa ma murdariti un pic de "unsoare", inseamna ca sunteti curiosi sa vedeti mai mult. Aceasta unsoare de care vorbesc este de fapt dorinta de a afla mai multe despre internele unui sistem de operare si cateodata este necesar un mic '''hack''' pentru a rezolva posibilele probleme. In acest caz, nu pot decat sa va felicit deoarece aveti calitatile necesare pentru a invata Linux.

==== Cum compilez un program? ====
''a.k.a. Cum instalez din surse un program / o aplicatie?''

Pentru a efectua o instalare corecta se recomanda citirea documentelor referitoare la instalare din arhiva care contine sursele. De regula, un README si un INSTALL ar trebui sa va lamureasca. Apoi dati comenzile urmatoare, pe rand si programul va fi compilat si instalat conform unor optiuni specificate in fisierul Makefile.

<code> <sh/> ./configure
make
make install
</code>

''Nota: Daca doriti sa schimbati optiunile de compilare default (ceea ce se si recomanda), dati comanda '''./configure --help''' sa vedeti o lista a optiunilor pe care le aveti la dispozitie. Aceste optiuni variaza de la program la program. Evident, in argumentele pe care le veti da lui '''./configure''' veti avea o instalare cat mai aproape de ceea ce vreti.''

'''make'''

Utilitarul '''make''' s-a nascut din nevoia de a compila, linkedita si instala proiecte mari, alcatuite din sute sau mii de fisiere sursa. Pentru a explica rolul utilitarului '''make''', recapitulam pasii in care mai multe fisiere sursa C sau ASM (limbaj de asamblare) sunt compilate si linkeditate impreuna intr-un fisier executabil:

Fie mai multe fisiere sursa C, cu numele sursa1.c, sursa2.c, sursa3.c. In mod normal, aceste fisiere sunt compilate separat de catre orice compilator C in fisiere individuale obiect: sursa1.o (sau sursa1.obj),
sursa2.o si sursa3.o. Dupa compilare, in faza de linkeditare din cele trei fisiere obiect rezulta fisierul executabil. Se pot recunoaste usor acesti pasi si in asamblarea si linkeditare impreuna a mai multor fisiere ASM intr-un singur fisier executabil.

Daca din cele trei fisiere sursa de mai sus se modifica doar sursa2.c, care din pasii de mai sus trebuie repetati? Evident, nu este necesara recompilarea in fisiere obiect a fisierelor sursa1.c si sursa3.c, este
necesara doar recompilarea lui sursa2.c. In urma acestei recompilari se va modifica si sursa2.o, lucru care impune relinkeditarea tuturor fisierelor obiect in fisierul executabil final. Utilitarul '''make''', folosind un fisier de configurare cu numele Makefile, "are grija" ca din pasii necesari obtinerii unui anumit fisier (in cazul nostru fisierul executabil final) sa se execute doar acesi pasi necesari.

Prezentam in continuare in fisier Makefile pentru exemplu enuntat mai sus:

<pre>
demo : sursa1.o sursa2.o sursa3.o
gcc -o demo sursa1.o sursa2.o sursa3.o

sursa1.o : sursa1.c
gcc -c sursa1.c

sursa2.o : sursa2.c
gcc -c sursa2.c

sursa2.o : sursa2.c
gcc -c sursa1.c

clean :
rm sursa1.c~ sursa2.c~ sursa3.c~
</pre>

'''Explicatii:'''

Pe prima linie, fisierul demo, se obtine din fisierele sursa1.o, sursa2.o si sursa3.o cu comanda de pe linia doi. Prima linia este folosita de utilitarul make pentru a sti cand trebuie sa reconstruiasca (prin linkeditare) fisierul demo, iar linia doi pentru a sti cu ce comanda trebuie sa reconstruiasca acest fisier.
Linia patru este folosita pentru a contrui fisierul sursa1.o din fisierul sursa1.c folosind comanda de pe linia cinci. Aceste doua linii sunt folosita de utilitarul make in doua situatii:
* a) fie sursa1.o nu exista, el este necesar la linkeditare finala, si deci trebuie creat prin comanda de pe linia cinci;
* b) fie fisierul sursa1.c are data crearii mai noua decat sursa1.o, fapt ce impune recompilarea lui sursa1.c. Modificandu-se sursa1.o, data crearii acestuia va fi mai noua decat data fisierului demo lucru ce
va duce linkeditarea finala. Optinea -c folosita la compilatorul gcc inseamna "just compile, don't link", iar optiunea -o inseamna "creeaza fisierul executabil cu acest nume".

Pentru a rula exemplu de mai sus, se tasteaza comanda:

<code> <sh/>make</code>

'''Observatii:'''
* Observati regula ''clean'' din fisierul de mai sus. Prin comanda '''make clean''' se executa comanda de dupa aceasta regula (se executa comanda rm care sterge fisierele de backup)
* Liniile cu comenzile '''gcc''' si '''rm''' sunt indentate in dreapta cu TAB, nu cu spatii!
* Intr-un fisier Makefile se pot folosi orice comenzi valide shell pentru a crea un fisier necesar. Exemplu:

<pre>
fisier_cu_useri_din_sistem :
finger > fisier_cu_useri_din_sistem
</pre>

==== Cum utilizez '''tar'''? (arhivare/dezarhivare) ====

Codul sursa al unui program se va gasi cel mai des intr-o arhiva. Aceasta poate fi .tar, tar.gz sau .tar.bz2.
Pentru a afla mai multe despre tar si optiunile sale dati comanda '''man tar'''.

Dezarhivarea se poate face astfel:

* pentru o arhiva numita '''ceva.tar''' dam comanda: <code> <sh/> tar -xvf ceva.tar </code>
* pentru o arhiva numita '''ceva.tar.gz''' dam comanda: <code> <sh/> tar -zxvf ceva.tar.gz </code>
* pentru o arhiva numita '''ceva.tar.bz2''' dam comanda: <code> <sh/> tar -jxvf ceva.tar.bz2 </code>

Arhivarea se face astfel:

Presupunem ca avem directorul tralala in /home si vrem sa il arhivam.

* pentru o arhiva numita '''ceva.tar''' dam comanda: <code> <sh/> tar -cvf ceva.tar /home/tralala </code>
* pentru o arhiva numita '''ceva.tar.gz''' dam comanda: <code> <sh/> tar -czvf ceva.tar.gz /home/tralala </code>
* pentru o arhiva numita '''ceva.tar.bz2''' dam comanda: <code> <sh/> tar -cjvf ceva.tar.bz2 /home/tralala </code>

Desigur, in loc de un director putea fi un simplu fisier. Se pot specifica mai multe fisiere, directoare pentru arhivare in cadrul aceleiasi arhive. Pentru a afla ce inseamna aceste comenzi - '''man tar'''.

=== Ce este o distributie Linux? ===

O colectie de programe cu sursa deschisa adunate sub aceeasi capota, structurate astfel incat sa indeplineasca un anume scop (sau chiar mai multe simultan), cum ar fi: server web, server de mail, desktop computer, workstation etc. Desigur, o distributie contine obligatoriu utilitarele de baza de la GNU si kernelul Linux pentru a functiona corect. Structurarea programelor poate include chiar modificarea si gruparea lor in functie de scopurile pe care le indeplinesc, astfel creandu-se '''pachetele'''.

'''Dintre calitatile unei distributii notam:'''

* Are un installer pentru instalare facila.
* Are utilitarele de baza GNU si kernelul Linux.
* Are o structura de directoare specifica oricarui sistem UNIX.
* Are suport pentru mai multe tipuri de sisteme de fisiere.
* Are un manager de pachete, astfel incat sa se poata adauga, sterge, actualiza (upgrade) si mentine o lista a pachetelor instalate.

=== Care este cea mai buna distributie? ===

Nu exista o ''cea mai buna distributie''. Daca doriti sa invatati Linux exista unele cu interfete ceva mai intuitive, insa diferentele sunt doar de gust. Ceea ce va trebuie cel mai mult este rabdare si perseverenta, deoarece nici o distributie nu este inabordabila. Incercati si vedeti singuri care vi se potriveste.

; [http://www.centos.org/ CentOS] (versiune curenta<nowiki>:</nowiki> 4.3)
: Cea mai fidela clona de RedHat Enterprise, disponibila gratuit.

; [http://www.debian.org/ Debian] (versiune curenta<nowiki>:</nowiki> 3.1r2 "sarge")
: Una dintre cele mai vechi si complete distributii, cu o gama impresionanta (Aprilie 2006: peste 15940) de pachete in arsenal.

; [http://fedoraproject.org/wiki/ Fedora Core] (versiune curenta<nowiki>:</nowiki> 5)
: Cunoscuta ca fiind initiativa RedHat pentru a oferi o varianta gratuita a produsului sau Enterprise.

; [http://www.gentoo.org/ Gentoo] (versiune curenta<nowiki>:</nowiki> 2006.0)
: Un proiect impresionant, avand in vedere ca pune la dispozitia utilizatorului un mediu de lucru prin care sa-si compileze intreaga distributie din surse, cu optiunile alese de el.

; [http://wwwnew.mandriva.com/ Mandriva] (versiune curenta<nowiki>:</nowiki> 2006)
: Distributie usor de utilizat, cunoscuta ca '''Mandrake''' pana de curand, ofera si varianta Enterprise.

; [http://www.slackware.org/ Slackware] (versiune curenta<nowiki>:</nowiki> 10.2)
: Cunoscuta in mod special pentru simplitate si stabilitate (conform principiului [http://en.wikipedia.org/wiki/KISS_Principle KISS]). Cea mai veche distributie inca mentinuta.

; [http://www.novell.com/linux/ SUSE] (versiune curenta<nowiki>:</nowiki> 10.0)
: Varianta Enterprise a distributiei sustinuta de Novell.

; [http://www.ubuntu.com/ Ubuntu] (versiune curenta<nowiki>:</nowiki> 5.10)
: O distributie usor de utilizat (bazata pe '''Debian'''), relativ recent aparuta, cu o toleranta foarte mare pentru incepatori.

''Nota pentru potentiali editori: Toate link-urile au fost luate din [http://www.google.ro/ Google]. In cazul in care am uitat ceva, sau vreun link nu este reprezentativ, va rog sa completati/modificati.''

'''Pentru incepatori''' cu precadere, recomand o distributie boot-abila (Live CD), pe numele ei [http://www.knoppix.net/ Knoppix].

==== Ce este o distributie boot-abila? ====

Una care poate fi pornita si rulata direct de pe CD (DVD), fara a instala nimic pe hard-disk, programele si (parte din) sistemul de fisiere incarcandu-se in RAM.

'''Utilizari frecvente:'''

* identificarea componentelor hardware ale sistemului vostru
* testarea unui calculator la achizitionare fara a instala nimic
* lucrul pe un calculator fara hard-disk (sau al carui hard-disk ne este intangibil)
* troubleshooting.

==== De ce as alege o distributie boot-abila? ====

Deoarece nu trebuie sa instalati nimic pe hard-disk pentru a va "juca" un pic cu comezile de baza si pentru a va familiariza cu noul mediu de lucru si in general, cu setarile standard, nu puteti face prea multe trasnai :-).

Mai apoi probabil ca veti dori ceva instalat totusi, pentru a va ramane salvate setarile pe care le faceti si pentru a putea rula aplicatiile cu o viteza mai mare, deoarece in momentul in care incarca de pe CD, nu ruleaza foarte rapid.

==== Se poate instala Knoppix pe hard-disk? ====

Desigur, folosind comanda:<code><sh/>sudo knoppix-installer</code>

Acesta este insa un subiect mai avansat si este recomandabil sa cititi FAQ original al Knoppix-ului pentru a afla mai multe detalii. Nu luati acesta posibilitate ca pe un indemn insa. Este doar dovada ca se poate, in cazul in care doriti.

==== Mai sunt distributii interesante, utile pentru teste? ====

Desigur. Un proiect foarte interesant este [http://www.damnsmalllinux.org/ Damn Small Linux]. Ceea ce ofera ei (in mod special pentru un utilizator de Windows) este [ftp://ibiblio.org/pub/Linux/distributions/damnsmall/current/dsl-embedded.zip o arhiva zip] in care sa gaseste o mini-distributie embedded Linux. Cu alte cuvinte, o luati, dezarhivati, dati dublu-click pe '''dsl-windows.bat''' si veti avea o surpriza placuta.

O alta mini-distributie care ruleaza direct de pe partitia Windows este [http://www.slackware.org/zipslack/ ZipSlack]. Mai multe informatii despre unde o gasiti - http://www.slackware.org/zipslack/getzip.php.

==== Cum instalez un program / o aplicatie sub forma de pachet? ====

Acest lucru este dependent de distributia pe care o folositi. Daca sunteti incepator, se recomanda sa utilizati un manager de pachete in modul grafic.

Daca vreti sa stiti mai multe, cititi in continuare. Dupa cum povesteam mai devreme programele au fost luate de dezvoltatorii distributiilor si puse in pachete pentru a fi grupate mai bine. Da, asta inseamna ca un program original se poate intinde pe mai multe pachete, respectiv poate fi grupat cu mai multe programe inainte de a forma un pachet.

De asemenea, apare o noua notiune, si anume aceea de ''dependinte''.

===== Ce sunt dependintele si cum utilizez un manager de pachete? =====

Dependintele sunt programe/pachete/biblioteci de care depind alte programe pe care vreti voi sa le instalati. Fiind vorba de un sistem cu surse libere (sub licenta GPL sau compatibila) un dezvoltator nu trebuie sa scrie ''totul'' de la capat pentru a realiza un program functional. El se poate baza pe anumite programe/biblioteci introduse de altcineva pentru a-si realiza scopul. Motiv pentru care s-ar putea sa va treziti la un moment dat ca doriti sa instalati ceva si vi se refuza acest drept pe motiv ca ii lipseste o componenta necesara bunei functionari, altfel spus, o dependinta.

De aceea au si aparut de fapt programele numite "manager de pachete", pentru a rezolva aceste dependinte fara sa trebuiasca utilizatorul sa le caute si sa le instalaze manual. De fapt, fiecare distributie are un manager de pachete bine pus la punct, altfel nu ar fi ajuns la stadiul actual, tinand cont ca o distributie majora poate avea mii de pachete.

* Pentru '''Gentoo''' vei folosi portage - un sistem de managemen de pachete inspirat din FreeBSD.
** Instalarea unui pachet: <code><sh/>emerge pachet</code>
** Dezinstalarea: <code><sh/>emerge --unmerge pachet</code>
** Pentru mai multe detalii, consultati documentatia de pe [http://www.gentoo.ro/ site-ul comunitatii Gentoo in Romania]

* Distributii precum '''RedHat''' (acum numai pentru mediul Enterprise), '''Fedora Core''', '''Mandriva''' si '''Suse''' se bazeaza la nivelul cel mai de jos pe pachete in format '''rpm'''. Comenzi utile pentru a lucra cu ele:
** Pentru instalarea unui pachet: <code> <sh/> rpm -i nume_pachet.rpm </code>
** Pentru dezinstalarea unui pachet: <code> <sh/> rpm -e nume_pachet </code>
** Pentru nevoi mai avansate '''man rpm'''.
** Ca manager de pachete, acesta variaza de la distributie la distributie. [http://linux.duke.edu/projects/yum/ Yum] pare sa fie alegerea cea mai populara. Pentru a afla cum il setam sa utilizeze site-uri mirror din Romania, cititi articolul [[Yum_%C3%AEn_Rom%C3%A2nia | Yum in Romania]]
** Mandriva foloseste [http://qa.mandriva.com/twiki/bin/view/Main/UrpmiResources urpmi] sau [http://labix.org/smart smart]. ''Familia'' '''urpmi''' ''preia'' toate functiile utilitatului '''rpm''', nemaifiind nevoie sa folositi comenzile scrise mai sus. Un scurt exemplu de echivalente (cand extensia .rpm este data, urpmi va cauta pachetul local, in directorul curent; ca interfete grafice e recomandat sa aveti instalat '''gurpmi''' si '''rpmdrake'''; pentru mai multe detalii, consultati documentatia de pe [http://www.mandrivalinux.ro/ site-ul comunitatii Mandriva in Romania]): <code><sh/>rpm -i nume_pachet.rpm <> urpmi nume_pachet[.rpm]</code><code>rpm -e nume_pachet <> urpme nume_pachet</code>

* Distributii precum '''Slackware''' se bazeaza pe pachete in format '''tgz'''.
** Pentru instalarea unui pachet: <code> <sh/> installpkg nume_pachet.tgz </code>
** Pentru dezinstalarea unui pachet: <code> <sh/> removepkg nume_pachet </code>
** Pentru a folosi managerul de pachete original dati comanda: <code> <sh/> pkgtool </code>
** Manager de pachete: '''slapt-get'''. Pagina oficiala este http://directory.fsf.org/slapt-get.html.
** Pentru creearea unui pachet din surse (exceptie unele programe gen php) se procedeaza astfel:<code><nowiki>tar zxf nume.tgz
cd nume
./configure --prefix=/usr --sysconfdir=/etc/
make
make install DESTDIR=/tmp/nume
cd /tmp/nume
makepkg nume.tgz</nowiki></code>

* Distributii precum '''Debian''' si '''Ubuntu''' se bazeaza pe pachete in format '''deb'''.
** Pentru instalarea unui pachet: <code> <sh/> dpkg -i nume_pachet.deb </code>
** Pentru dezinstalarea unui pachet: <code> <sh/> dpkg -r nume_pachet </code>
** Pentru nevoi mai avansate '''man dpkg''' sau '''man dselect'''.
** Manager(e) de pachete: '''apt-get''', '''aptitude''', '''Synaptic'''. Recomandam sa dati comanda '''man apt-get'''.

Ceea ce trebuie sa retinem este faptul ca un manager de pachete avansat (in stare sa rezolve dependintele si sa instaleze pachetele astfel incat sa nu intre in conflict), trebuie sa si ''stie'' de unde sa ia pachetele. De cele mai multe ori, le setam special pentru a lua de pe site-uri mirror din Romania pachetele de care avem nevoie.

De exemplu, pentru '''Debian''', avem de adaugat mirror-urile pe care le preferam in '''/etc/apt/sources.list'''.

Dar am tot vorbit de mirror si nu am spus ce este. Bineinteles, exista o locatie oficiala a unei distributii, insa pentru a nu impovara prea tare acel site se creeaza ceea ce noi numim "o oglinda" a locatiei initiale, copiind toate datele pe un server din reteaua metropolitana, cu permisiunea dezvoltatorilor originali desigur. Fiind mai aproape de noi, iar unii beneficiand de o viteza mai buna in Romania decat extern, se prefera de regula un mirror "local" decat unul extern.

==== Ce semnificatie au fisierele si structura de directoare? ====

Dupa cum ati observat deja, la structura de directoare deja diferentele sunt notabile. In primul rand, ca totul in sistemul Linux este un fisier. Absolut totul. Directoarele sunt doar cazuri speciale de fisiere. Dispozitivele (devices) sunt tot fisiere.

Programele asa cum le stim de pe Windows nu mai au extensie. Nici nu au nevoie, deoarece tipul de fisier este stocat chiar in el. Daca vrem neaparat, putem crea / denumi un fisier Eseu.txt, dar asta nu inseamna ceva anume, ci doar pentru noi sa il recunoastem mai usor eventual.

Structura de directoare iar este speciala. Spre deosebire de Windows, calea unui fisier/director se specifica cu '''"/"''' si nu cu '''"\"'''. De fapt, asa a fost de cand lumea si pamantul in lumea tehnologiei informatiei, Windows este de fapt cel care face exceptie de la regula :-). De asemenea, nu mai exista separatiile cu care eram obisnuiti, aici fiind impartit tortul mai cerebral, insa mai putin intuitiv pentru necunoscatori. Poate sa va surprinda, dar un pachet de cele mai multe ori nu se instaleaza in acelasi director, ci se mai imparte in mai multe felii, depinzand de functiile lui.

Iata cum trebuie gandita situatia:

<code>
/bin - fisiere executabile importante (de ex: ls)
/boot - fisiere statice, boot-loader-ul, kernel-ul
(de ex: vmlinuz-2.4.27-2-386)
/etc - mai toate fisierele importante de configurare sunt
aici (de ex: lilo.conf, fstab)
/dev - dispozitivele hardware
/home - fisierele utilizatorilor (utilizatorul gica isi are
home-ul in /home/gica)
/lib - biblioteci si module de kernel
/mnt - directoarele in care se monteaza alte sisteme de
fisiere (de ex, Mandriva monteaza partitia C:
a Windows-ului in /mnt/win_c)
/media - specific mai ales Debian-ului (contine /media/floppy
si/sau /media/cdrom, etc... rolul e identic cu cel
al directorului /mnt)
/opt - software adaugat dupa, de obicei din surse neoficiale
(de ex, rpm-urile de la OpenOffice.org)
/proc - fiecare proces care ruleaza isi creeaza un director aici
/root - home-ul root-ului
/usr - ierarhie secundara (contine: /usr/bin, /usr/lib, etc...)
/sbin - executabile esentiale de sistem (de ex: shutdown)
/tmp - fisiere temporare (asemenea directoare sunt si in home-ul
fiecarui user, de ex: /home/gica/tmp)
/var - fisiere care se schimba des in timp (de ex: /var/log -
jurnale de sistem, /var/cache - fisiere temporare...)
</code>

Pentru detalii, a se consulta [http://www.pathname.com/fhs/ documentatia oficiala referitoare la ierarhia standard a fisierelor Unix].

Asadar, un pachet cel mai probabil ca isi va pune fisierele si directoarele in mai multe locuri, "imprastiindu-le" dupa rolul lor prin diversele directoare, iar managerul de pachete (daca exista), va sti ce se intampla, dezinstalarea fiind facila pentru utilizator.

=== Comenzi si practici de baza ===

==== Ce este o comanda? ====

O comanda este de fapt rularea unui program sau a unui script intr-o consola (fie ea fizica, sau virtuala). De exemplu, un program des utilizat pentru a da comenzi in consola din modul grafic, este Konsole din KDE.

===== Utilizatorii sistemului =====

Utilizatorii unui sistem se pot vizualiza in /etc/passwd. Majoritatea afisati acolo sunt de tip ''daemon'', adica programe care ruleaza in background fara a fi sub controlul direct al utilizatorului, si de obicei sunt instantiate ca procese de sistem, lansate la '''boot'''. De asemenea, sunt si cativa utilizatori speciali, sub care ruleaza programe de tip server foarte importante. De exemplu:
* guest - folosit uneori pentru a da acces read-only unor vizitatori
* ftp - user-ul folosit pentru conectari anonime la ftp
* news - folosit de Usenet
* lp - folosit de sistemul de imprimare; vine de la ''line printer''
* nobody/www-data - folosit in special de Apache WebServer
Si nu in ultimul rand, sunt utilizatorii obisnuiti (umani) ai sistemului. O categorie aparte este '''root''', super-utilizatorul sau, altfel spus, administratorul sistemului, cu drepturi depline asupra lui.

* Daca sunteti un utilizator obisnuit, linia de comanda va arata asa: <code> <sh/> andrei@acasa:/home/andrei$</code>
* Daca sunteti '''root''' (administratorul sistemului): <code> <sh/> root@acasa:/home/root#</code>

Bineinteles, toate modificarile majore asupra sistemului trebuie facute ca '''root''', dar atentie ca '''nu''' este recomandat sa folositi in mod ''curent'' acest utilizator, deoarece puteti face greseli destul de mari la inceput, care sa afecteze definitiv integritatea sistemului avand in vedere ca aveti drepturi depline.

''Nota: In afara de conceptul de utilizatori, mai exista si '''grupuri'''.'' '''[FIXME]''' - de vorbit un pic despre grupuri si rolul lor.

====== Cum imi schimb parola? ======

Cu comanda: <code> <sh/>passwd</code>
Daca sunteti root, puteti schimba parola oricui: <code> <sh/>passwd gigel</code> unde gigel trebuie sa fie un utilizator valid din sistem.

====== Cum adaug / sterg utilizatori din sistem? ======

Cu comenzile: '''useradd, userdel, groupadd, groupdel'''. '''man ''comanda'' ''' pentru detalii, unde ''comanda'' se va inlocui cu una din variantele anterioare.

==== Care sunt comenzile esentiale? ====

<code> <sh/> info nume_comanda/fisier_de_configurare
man nume_comanda/fisier_de_configurare
apropos ceva
</code>

Acesti "Cei trei muschetari" sunt '''absolut esentiali'''. Cand cineva va spune RTFM (read the fine manual), probabil ca se refera la aceste comenzi.

'''info''' va da informatii privitoare la comanda respectiva sau la fisierul de configurare in cauza.

'''man''' va da manualul comezii respective sau fisierul de configurare al unui program. In general in josul fisierului veti gasi referinte la comenzi, programe, fisiere de configurare care au legatura cu cel solicitat de voi.

'''apropos''' este o comanda de genul "suna ca". Poate ca nu stim exact o comanda, dar stim ca are legatura cu ''ceva'' si s-ar putea sa avem noroc sa ne dea ca rezultat ceva folositor.

Daca chiar imi trebuie un utilitar / o comanda si ''apropos'' nu m-a dus unde voiam, [http://www.google.ro Google] s-ar putea sa fie mai viteaz. Bineinteles, nu excludem posibilitatea de a intreba pe altcineva, dar este de bun simt sa cautam si noi singuri pentru ca s-ar putea sa gasim raspunsul in cateva secunde.

==== Comenzi utile ====

'''info, man, apropos, which, mkdir, rmdir, mount, touch, rm, cp, mv, cat, cd, ls, grep, ps, who, whoami, su, sudo, df, du, tar, more, less, ps, kill, killall, ln, chown, chmod, chattr, passwd, useradd, groupadd, ping, ifconfig, route, iptables, locate, slocate, updatedb, find'''

Exercitiu: Pentru a afla ce fac fiecare dati '''man ''nume_comanda'' '''.

In cazul in care nu ati observat deja, puteti sa atasati niste optiuni comenzilor pe care le dati. Acestea se manifesta sub forma '''[comanda] --optiune''' de obicei. O astfel de comanda utila (pe care aproape orice program o are), este '''[comanda] --help''' sau '''[comanda] -h''', pentru a va arata o lista de optiuni (de obicei scurta, dar la obiect).

===== Ce fac cu un program care nu se mai opreste? =====

Ori folositi combinatia '''kill PID''', unde PID este un numar (Process ID) aflat la rularea comenzii '''ps aux''', ori dati comanda '''killall nume_comanda'''. De asemenea apasarea tastei '''q''' sau apasarea simultana a tastelor '''CTRL C''' poate opri rularea unui program in anumite conditii (cand el ruleaza in foreground).

==== Ce este un "shell"? ====

Un interpretor de comenzi. Cel mai utilizat la ora actuala este [http://www.gnu.org/software/bash/ BASH]

==== Bash ====

Iata cateva resurse pentru a afla mai multe despre el: http://www.tldp.org/LDP/abs/html, http://www.tldp.org/HOWTO/Bash-Prog-Intro-HOWTO.html

Conceptul de "programare" in BASH se refera de fapt la a scrie script-uri care sa indeplineasca anumite functii utile. Toate functiile de initializare in sistemele GNU/Linux sunt scrise in BASH sau in SH.

Un script este interpretat si executat direct, nu necesita o compilare ca un program obisnuit.

=== Cum vede Linux hard-disk-ul meu? (Partitionare) ===

Pentru a va lamuri mai bine, cititi articolul [[Parti%C5%A3ii | Partitii]] si va va raspunde la acesta intrebare si multe altele.

Pe scurt, comanda '''mount''' este ceea ce cautati. '''man mount''' pentru detalii.

Care este sintaxa?

'''mount -t tip_sistem_de_fisiere device /cale/unde/vreau/sa/montez'''

De exemplu daca vreau sa montez o partitie FAT32 (cea de-a doua partitie de pe hard-disk-ul meu sa zicem) dau comanda:

<code> mount -t vfat /dev/hda2 /mnt/hda2 </code>

Daca vreau sa montez o partitie NTFS (cea de-a treia partitie de pe hard-disk-ul meu sa zicem) dau comanda:

<code> mount -t ntfs /dev/hda3 /mnt/hda3 </code>

Daca vreau sa montez o partitie ext3 (cea de-a cincea partitie de pe hard-disk-ul meu sa zicem) dau comanda:

<code> mount -t ext3 /dev/hda5 /mnt/hda5 </code>

Daca vreau sa montez o discheta (al carei sistem de fisiere este ext3):

<code> mount -t ext3 /dev/fd0 /mnt/floppy </code>

Daca vreau sa montez un CD/DVD:

<code> mount -t iso9660 /dev/cdrom /mnt/cdrom </code>

Daca vreau sa montez o imagine de CD/DVD in format '''iso''':

<code> mount -t iso9660 -o loop /home/imagine.iso /mnt/cdrom </code>

Pentru a de-monta un device, avand in vedere un exemplu de mai sus, dati comanda:

<code> umount /dev/hda5 </code>

'''Note aditionale'''

'''/mnt/hda2''', '''/mnt/cdrom''', '''/mnt/floppy''' etc. trebuie sa fie un directoare deja existente, bineinteles, eventual create chair de noi anterior.

Fisierul care se ocupa cu montarea tuturor device-urilor la pornirea sistemului este /etc/'''fstab'''. Acolo trebuie sa operati modificarile pentru a va retine setarile.

Parametrul "-t tip_sistem_de_fisiere" poate lipsi de cele mai multe ori, gasind automat ce sistem de fisiere are partitia pe care vreti sa o montati.

Unele comenzi nu vor merge "din prima" avand in vedere ca trebuie sa adaptati informatiile prezentate mai sus pentru sistemul vostru. Un caz bine de retinut este cel al lui /dev/cdrom, care de cele mai multe ori este o "scurtatura" (symbolic link, vezi '''man ln''') catre un device real, gen /dev/hdc, daca /dev/hdc este identificat ca fiind CD-ROM-ul vostru de Linux.

In majoritatea cazurilor, daca dati o comanda de mount, veti avea drept de citire si de scriere pe partitia/device-ul respectiv. Cum NTFS este o tehnologie inchisa, implementarea lui in kernelul Linux nu este inca completa si dreptul de scriere este foarte limitat. Daca doriti totusi sa faceti acest lucru neaparat (asumandu-va riscul sa partitia respectiva sa devina neutilizabila), aruncati un ochi pe proiectul [http://www.jankratochvil.net/project/captive/ Captive NTFS]

''Notă amuzantă: În cazul în care vi se pare de undeva cunoscut numele comenzii '''mount''', s-ar putea să fie de la utilitarul de Windows '''Daemon Tools'''. Vă aduceţi aminte că pentru a putea vedea o imagine a unui CD trebuia să creeaţi un CD-ROM virtual şi să "montaţi" în el imaginea dorită? Ei bine, acţiunea este similară cu comanda '''mount''' sub Linux.''

==== Sisteme de fisiere ====

Pe Windows avem trei sisteme de fisiere "populare": FAT16, FAT32 si NTFS. Sub Linux, avem o intreaga suita: ext2, ext3, jfs, reiserfs, xfs si multe altele care necesita patch-uirea kernelului si recompilarea lui. In linii mari, toate sunt bune pentru un anumit scop. Nu va astepati sa fie un sistem de fisiere universal care sa indeplineasca toate cerintele posibile. Comparatii cu privire la actualele sisteme de fisiere puteti gasi pe [http://www.google.ro Google] cu duiumul, insa numai voi decideti care se potriveste mai bine scopului vostru.

Personal eu utilizez pentru partitiile de Windows FAT32 si pentru partitiile de Linux ext3, deoarece sunt foarte bine "impamantate", avand in vedere vechimea lor. Cu alte cuvinte de pe Windows am acces read/write la partitiile Linux ext3 cu ajutorul proiectului [http://sourceforge.net/projects/ext2fsd Ext2 File System Driver for NT/2K/XP], dar atentie ca nu este lipsit complet de riscuri. Pana acum eu nu am avut probleme, dar va sfatuiesc sa nu incercati astfel de pozne daca aveti date importante pe partitiile pe care vreti sa faceti operatii.

Sub Linux, accesul read/write la partitiile FAT32 este implementat de mult timp, asadar alegerile pe care le-am facut eu sunt clare. Voi, ramane sa va ganditi daca aveti nevoie de acesta flexibilitate cu pretul unor performante ceva mai scazute.

In ceea ce priveste NTFS, pentru accesul read-only de sub Linux exista implementare direct in kernel, dar pentru acces de scriere, este mai complicata situatia. Se poate scrie cu modulul(driverul) clasic, dar numai in cazuri speciale. Proiectul [http://www.jankratochvil.net/project/captive/ Captive NTFS] este ceea ce cautati, dar din nou atentie sa nu va busiti partitia. Acesta foloseste driverul original ntfs de la Microsoft emuland subsistemele necesare, similar cu Wine.

==== Ce este un boot-loader? ====

Un program care ruleaza in momentul in care porneste calculatorul vostru. El este responsabil cu incarcarea si transferarea controlului catre un sistem de operare (in principal kernelul sau) sau catre boot-loader-ul altui sistem de operare (operatie numita chain-load).

La ora actuala, cel mai popular si mai puternic boot loader in lumea Linux pare sa fie [http://www.gnu.org/software/grub/ GRUB] acum dezvoltat de echipa GNU. Personal, eu am folosit o varianta compilata de GRUB sa incarce mai multe sisteme de operare incapatanate (care voiau doar o anumita ordine de instalare), cum ar fi diverse versiuni de Windows, fara a avea la dispozitie nici o partitie Linux.

Mai multe, in ceea ce urmeaza.

==== Cum configurez un boot-loader? ====

Aici intervin cele mai cunoscute programe de acest tip pentru platforma Linux: GRUB si LILO. Pentru CD-ROM-uri si dischete, avem: [http://syslinux.zytor.com/ syslinux] si [http://syslinux.zytor.com/iso.php isolinux].

===== GRUB =====

Pagina oficiala este [http://www.gnu.org/software/grub/ GRUB], iar cele mai bune informatii referitoare la subiect le puteti gasi in [http://www.gnu.org/software/grub/manual/grub.html GRUB Manual].

Iata cateva o metoda pe care le-am folosit-o pana acum cand am avut probleme. Ea implica instalarea manuala a GRUB-ului, motiv pentru care se recomanda dezinstalarea variantei venita o data cu sistemul vostru.

Dar inainte de toate, cititi documentatia oficiala! Dati comanda '''info grub''' intr-o consola sau alternativ consultati documentaia online la adresa http://www.gnu.org/software/grub/manual/.

Daca vreti sa folositi instalarea care vine o data cu sistemul vostru, atunci nu aveti decat sa modificati fisierul '''grub.conf''' sau '''menu.lst''' dupa caz pentru a adauga optiunile pe care le doriti. In caz ca nu mai este functionala acea varianta de GRUB, presupunand ca boot-loader-ul de Windows a rescris MBR-ul sau altceva asemanator s-a intamplat, urmati pasii:

# Boot-ati de pe un Live CD, Knoppix de exemplu.
# Intrati in consola.
# Daca nu sunteti root(administratorul sistemului) dati comanda '''su -'''.Acesta este trucul pentru a deveni root in Knoppix, insa nu este universal valabil, deoarece de obicei cere o parola.
# Creati un director. ('''man mkdir''') Exemplu: '''mkdir /hard'''
# Montati partitia unde se gaseste GRUB. Exemplu: '''mount /dev/hda2 /hard'''. De notat ca GRUB isi instaleaza fisiere de configurare in directorul /boot/grub, deci daca directorul /boot se gaseste pe alta partitie (cum recomanda unele distributii), comanda ''mount'' data de voi trebuie sa reflecte locatia corecta.
# Daca partitia unde se gaseste GRUB este diferita de cea unde se gaseste sistemul, montati si sistemul, urmand exemplele anterioare.
# Dati comanda: <code> grub-install /dev/hda </code>

Altfel, varianta mai dificila un pic este:

# Luati o discheta care sa nu va trebuiasca prea curand si puneti-o in floppy-disk drive.
# Luati varianta [ftp://alpha.gnu.org/gnu/grub/grub-0.97.tar.gz 0.97] (de exemplu).
# Dezarhivati-o ([http://wiki.linux360.ro/wiki/Ce_este_GNU/Linux%3F_/_Cum_invat_Linux%3F#Cum_utilizez_tar.3F_.28arhivare.2Fdezarhivare.29 exemplu aici])
# Dati comanda '''./configure && make install''' in noul director dezarhivat. Acum ar trebui sa aveti o versiune de GRUB compilata chiar in fata ochilor vostri.
# Daca BIOS-ul este setat sa booteze prima data de pe discheta, lasati discheta inauntru. Daca nu, dupa ce ati terminat toate aceste operatii si dati reboot, nu uitati sa setati in BIOS sa booteze prima data de pe discheta.
# Apoi, dati comenzile urmatoare pentru a crea o discheta boot-abila de GRUB, noi fiind tot in directorul initial, in care am compilat programul. <code>dd if=stage1 of=/dev/fd0 bs=512 count=1 </code> <code>dd if-stage2 of=/dev/fd0 bs=512 seek=1 </code>
# Identificati partitiile. Un '''fdisk -l''' ar trebui sa va dea suficiente informatii. Atentie ca GRUB vede partitiile altfel decat sistemul de operare. Este destul de intuitiva notatia, dar daca nu va descurcati, '''info grub'''.
# Copiati toate fisierele din directorul nostru de lucru (cel in care am compilat noul GRUB) in '''/boot/grub'''. Daca directorul din urma nu exista, il creati.
# Dati reboot (CTRL+ALT+DEL), iar el va boota de pe discheta (daca asa e setat din BIOS, vedeti mai sus indicatia).
# Daca ati facut ce trebuia, el va incarca GRUB de pe discheta si va veti gasi in fata unei "pseudo-console", o interfata de dat comenzi de fapt.
# Puteti da comenzile '''root(hd0,1)''' si '''setup (hd0)''' de exemplu, asta presupunand ca partitia este '''hda2''' si hard-discul este ''hda''. '''Adaptati dupa caz!''' Acum ar trebui sa aveti o idee cam cum le noteaza, nu-i asa? In principal, fiti atenti ca el incepe notatia de la 0, nu de la 1. Adica, in exemplul nostru (hd0,1) corespunde lui /dev/hda2 de pe hard-disk-ul primar (hd0).

Iata si un exemplu de fisier de configurare (cu cateva exemple in el), citat din '''/boot/grub/menu.lst''' :

<pre>
# menu.lst - See: grub(8), info grub, update-grub(8)
# grub-install(8), grub-floppy(8),
# grub-md5-crypt, /usr/share/doc/grub
# and /usr/share/doc/grub-doc/.

## default num
# Set the default entry to the entry number NUM. Numbering starts
# from 0, and the entry number 0 is the default if the command is
# not used.
#
# You can specify 'saved' instead of a number. In this case, the
# default entry is the entry saved with the command 'savedefault'.
default 0

## timeout sec
# Set a timeout, in SEC seconds, before automatically booting the
# default entry (normally the first entry defined).
#timeout 10

## hiddenmenu
# Hides the menu by default (press ESC to see the menu)
#hiddenmenu

# Pretty colours
#color cyan/blue white/blue

## password ['--md5'] passwd
# If used in the first section of a menu file, disable all interactive
# editing control (menu entry editor and command-line) and entries
# protected by the command 'lock'
# e.g. password topsecret
# password --md5 $1$gLhU0/$aW78kHK1QfV3P2b2znUoe/
# password topsecret

#
# examples
#
# title Windows 95/98/NT/2000
# root (hd0,0)
# makeactive
# chainloader +1
#
# title Linux
# root (hd0,1)
# kernel /vmlinuz root=/dev/hda2 ro
#

## ## End Default Options ##

title Ubuntu, kernel 2.6.12-10-686
#lock # -> Optiune utila daca este activata parola md5, acesta
# oprind accesul daca nu este introdusa o parola valida.
root (hd0,1)
kernel /boot/vmlinuz-2.6.12-10-686 root=/dev/hda2 ro quiet splash
initrd /boot/initrd.img-2.6.12-10-686
savedefault
boot

title Ubuntu, kernel 2.6.12-10-686 (recovery mode)
root (hd0,1)
kernel /boot/vmlinuz-2.6.12-10-686 root=/dev/hda2 ro single
initrd /boot/initrd.img-2.6.12-10-686
boot

title Ubuntu, memtest86+
root (hd0,1)
kernel /boot/memtest86+.bin
boot

### END DEBIAN AUTOMAGIC KERNELS LIST

# This is a divider, added to separate the menu items below from
# the Debian ones.
title Other operating systems:
root

title FreeBSD
root (hd0,2,a)

title Windows
rootnoverify (hd0,3)
chainloader +1

# Acesta ultima operatie incarca boot-loader-ul Windows cu ajutorul
# lui GRUB (operatie numita chainload)

# Pentru operatii mai sofisticate legate de Windows, vedeti
# sectiunile: hide, map si makeactive din manual.

</pre>

''N.a.:'' '''[FIXME]''' De adaugat si completat daca mai e ceva, in principiu vreau sa-l fac tutorial separat si il voi muta intr-un alt articol, aici venind un link catre el.

===== LILO =====

'''[FIXME]''' Link - articol despre LILO

=== Cum vede Linux celelalte dispozitive din calculatorul meu? ===

=== Kernelul Linux ===

'''N.a.''' Acesta sectiune va lua fiinta in cursul zilei de azi.

==== Module (echivalentul driver-elor) ====

==== Recompilarea kernelului ====

===== linux 2.4 =====

===== linux 2.6 =====

=== Instalarea unei distributii (pe scurt) ===

==== Slackware ====
==== Debian ====
==== Ubuntu ====
==== Fedora Core ====
==== Mandriva ====
==== Suse ====
==== Gentoo ====

=== Imblanzirea unei distributii (sau cum fac customize) ===

==== Initializarea sistemului ====

===== /etc =====
====== /etc/inittab ======

Dupa incarcarea nucleului, verificarea device-urilor existente in sistem si incarcarea driverelor pentru acestea se trece la faza init, programul '''/sbin/init''' fiind lansat pentru a alege o actiune pentru pornire.

Operatiile executate de programul '''init''' sunt controlate de fisierul '''/etc/inittab'''.

Fisierul '''inittab''' contine intrari ce determina anumite actiuni pe care le poate face sistemul in momentul intrarii intr-un nivel de executie.

Formatul fisierului este:

'''id:runlevels:action:command'''

ex:
<code>
1:2345:resppawn: /sbin/mingetty tty1
ca::ctrlaltdel: /sbin/shutdown -t3 -r now
</code>

unde:

'''id''' este un identificator unic(caractere alfanumerice)

'''runlevels''' reprezinta lista nivelurilor de rulare(0,1,2,3,4,5,6)

'''0''' procesele sunt terminate si se opreste sistemul

'''1''' se intra in nivelul mono-utilizator(in acest nivel reteaua, interfata grafica si anumite sisteme de fisiere nu fie active); este folosit mai ales pentru recuperarea sistemului in cazuri de urgenta

'''2''' se intra in nivelul multi-utilizator(doar unele procese nu sunt active - NIS NFS AT X)

'''3''' se intra in nivelul multi-utilizator cu acces la serviciile de retea

'''4''' se intra in nivelul personalizat - se recomanda folosirea acestui runlevel pentru cazul in care doriti o versiune proprie (si nestandard) a serviciilor care sunt oprite/pornite

'''5''' se intra in nivelul multi-utilizator cu acces la serviciile de retea si serverul grafic X; folosit mai ales in medii Linux Desktop

'''6''' se opresc toate procesele si se reincarca sistemul de operare

'''action''' actiunea pe care o realizeaza programul init

'''wait''' asteapta incheierea executiei comenzii inainte sa treaca la la alta intrare din inittab

'''respawn''' se lanseaza o noua instanta a unui proces, daca acesta isi incheie executia

'''powerfail''' se executa daca se primeste semnalul SIGPWR de la UPS

'''initdefault''' nivelul de rulare in care se intra dupa terminarea actiunii boot si init (intre 0 si 6 sau literele s sau S care sunt alias-uri pentru runlevel 1); atentie! daca acest runlevel este 0 sau 6 s-ar putea sa nu reusiti sa porniti masina cu Linux!

'''ctrlaltdel''' procesul se executa cand init primeste semnalul SIGINT-cand de la consola se apasa Ctrl+Alt+Del

'''command''' comanda/programul ce se va executa

====== /etc/fstab ======

Fisierul acesta contine informatii despre care partitii doriti sa fie montate la boot, unde sa fie montate, si cu ce opriuni. Mai multe detalii in articolul [[Partitii]], sectiunea [http://wiki.linux360.ro/wiki/Parti%C5%A3ii#Montare Montare]

====== /etc/modules.conf ======
====== /etc/rc.d ======
====== SYS V init style ======
====== BSD init style ======

===== Setarea conexiunii la internet =====

In cele ce urmeaza, vom da cateva indicatii referitoare la cum sa va activati/setati conexiunea la internet.

====== Incarcarea modulului specific ======

Dupa cum am spus si in alte sectiuni, corespondentele driverelor de pe Windows sunt modulele. Asadar, noi trebuie sa identificam ce placa de retea (sau alt dispozitiv specific) avem si sa incarcam modulul necesar pentru a face dispozitivul functional.

Identificati in primul rand ce dispozitiv aveti si apoi cautati a vedeti ce modul se potriveste, urmand sa il incarcati cu comanda: <code>
modprobe [modul]
</code> unde '''[modul]''' evident se va inlocui cu numele modulului specific.

Alternativ, se poate utiliza si comanda '''insmod''' in loc de '''modprobe'''. Ca de obicei, dati '''man insmod''', respectiv '''man modprobe''', pentru detalii.

De exemplu, eu am descoperit cu comanda '''lspci''' ca am o placa de retea cu chipset Realtek 8139, motiv pentru care am cautat pe [http://www.tldp.org/HOWTO/Ethernet-HOWTO.html Ethernet Howto] de la [http://tldp.org The Linux Documentation Project] si am descoperit ca ceea ce imi trebuia era modulul numit '''8139too'''.

Evident, chipset-ul placii de retea in mod normal ar fi trebuit sa-l stiu de dinainte de la achizitie, pentru a fi sigur ca este suportat de sistemul meu de operare. Daca '''lspci''' nu va lamureste, atunci uitati-va pe documentul de la achizitie, cutia in care a venit placa respectiva, sau cel mai bine, direct pe placa.

====== Setari: IP, netmask, broadcast, gateway, DNS ======

Ca '''root''', dati comenzile:
<code>
ifconfig eth0 [Your IP address] netmask [netmask] \
broadcast [broadcast] up

route add default gw [Gateway address]
cat "nameserver [DNS address No. 1]" >> /etc/resolv.conf
cat "nameserver [DNS address No. 2]" >> /etc/resolv.conf
</code>

Peste tot semnele "[ ]" si ce contin intre ele se vor inlocui cu datele necesare, adica adresa IP, netmask-ul, adresa broadcast (optionala deoarece o va calcula el singur de cele mai multe ori), adresa gateway-ului si bineinteles DNS-urile.

Semnul "\" de pe prima linie semnifica faptul ca respectiva comanda se continua si pe randul urmator, altfel spus, de la "ifconfig" pana la "up" avem de-a face cu o singura comanda.

Mai multe despre semnificatia acestor denumiri si multe alte detalii interesante la http://tldp.org/HOWTO/Networking-Overview-HOWTO.html.

====== Un firewall micut care sa ne protejeze ======

Iata un exemplu de firewall relativ intuitiv, cu cele mai de baza optiuni:

<code>
#!/bin/bash

case "$1" in

"start")

echo "Begin firewall script."

echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter #Impotriva ip spoofing
echo 1 > /proc/sys/net/ipv4/tcp_syncookies #Impotriva atacurilor DoS
echo 0 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/conf/all/proxy_arp
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all #Nu raspundem la ping

echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

echo 0 > /proc/sys/net/ipv4/tcp_timestamps
echo 0 > /proc/sys/net/ipv4/tcp_sack
echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
echo 60 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time

##########
# POLICY #
##########

iptables -t filter -P INPUT DROP # Nu intra nimic "by default"
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP

##########
# ACCEPT #
##########

# Acceptam conexiunile initiate anterior de noi.

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED \
-j ACCEPT
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -i lo -j ACCEPT

#################################################################

echo "End firewall script."

;;

"stop")

echo "Stopping firewall..."

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP

iptables -t filter -F

;;

"restart")

$0 stop
sleep 2
$0 start

;;

"show")

iptables -t filter -nvxL

;;

*)

echo "Usage: firewall
{start|stop|restart|show}" >&2
exit 1

;;

esac

exit 0

</code>

==== Module (drivere) ====

Mai tineti minte discutia din sectiunea [http://wiki.linux360.ro/wiki/Ce_este_GNU/Linux%3F_/_Cum_invat_Linux%3F#Module_.28echivalentul_driver-elor.29 Module]? Pai acum este momentul sa punem in aplicare ce am discutat acolo, deoarece trebuie sa incarcam toate modulele necesare astfel incat dispozitivele din calculatorul nostru sa functioneze asa cum dorim.

===== Placa grafica =====

In cele ce urmeaza vom discuta despre placa grafica si modulele specifice care trebuie instalate astfel incat sa beneficiem de capacitatea ei la maxim.

====== ATI ======

Vedeti articolul [[ATi video (2.6)]]

====== NVidia ======

Intrati pe pagina oficiala NVIDIA, sectiunea Drivers aflata la adresa http://www.nvidia.com/content/drivers/drivers.asp, sau, cel mai bine pentru scopul nostru la adresa http://www.nvidia.com/object/unix.html.

De aici intrati pe pagina care se potriveste cel mai bine cu arhitectura voastra, in cazul meu, Graphics Drivers - Linux IA32 - latest version. La ora actuala cea mai noua versiune este [http://www.nvidia.com/object/linux_display_ia32_1.0-8756.html 1.0-8756].

Alegerea mea se explica deoarece am un procesor pe 32 de biti si placa grafica NVIDIA Geforce 2 MX400 cu 64MB. Adaptati pentru hardware-ul vostru!

Pe pagina respectiva veti observa niste link-uri care sunt foarte utile, nu le evitati sub nici o forma. Dintre ele, va recomand cu precadere fisierul [http://download.nvidia.com/XFree86/Linux-x86/1.0-8756/README/index.html README].

Apoi, evident va luati de pe site ultima varianta a driver-ului, in cazul de fata, [http://download.nvidia.com/XFree86/Linux-x86/1.0-8756/NVIDIA-Linux-x86-1.0-8756-pkg1.run NVIDIA-Linux-x86-1.0-8756-pkg1.run].

Inainte de a continua, verificati daca aveti instalate sursele kernelului, si daca in '''/usr/src/linux/include/linux''' aveti fisierul '''version.h'''. In cazul in care nu il aveti inseamna ca trebuie sa il creati, recompiland kernelul. Daca nu aveti sursele kernelului, instalati-le.

Pentru a crea fisierul version.h, in kernel-urile mai noi de 2.6 trebuie sa compilati macar o data sursele. Pentru a face acest lucru, consultati sectiunea din acest articol referitoare la [http://wiki.linux360.ro/wiki/Ce_este_GNU/Linux%3F_/_Cum_invat_Linux%3F#Recompilarea_kernelului recompilarea kernelului].

De asemenea, asigurati-va ca nu aveti modulele referitoare la framebuffer-ul RIVA (rivafb) sau nvidia compilate deoarece vor intra in conflict cu driverul de la NVIDIA.

Ca sa scapam mai repede de aceste doua mici probleme, exista metode... nu tocmai ortodoxe. Incepeti o compilare a kernelului si o opriti cu CTRL+C dupa ce vedeti ca a compilat version.h, il salvati in alta parte decat in '''/usr/src/linux/include/linux''', dati un make mrproper si apoi copiati la loc version.h de unde l-am luat.

Iar pentru cele doua module care par sa intre in conflict, pur si simplu le mutati de acolo in alta parte, fara a mai necesita nici o recompilare. Din moment ce installer-ul de la NVIDIA nu le gaseste, nu va plange ca intra in conflict cu ele.

Pasul urmator este sa opriti serverul grafic, '''X'''. Metoda fina ar fi sa incercati urmatoarele: '''Logoff''' din meniul de start sau '''xdm stop''', '''gdm stop''', respectiv '''kdm stop''' din consola. Daca nu va merg aceste solutii atunci va trebui sa il ucideti brutal. Dati '''ps uax''' sa-i aflati PID-ul, iar apoi, '''kill [PID]''', unde in loc de [PID], puneti numarul efectiv aflat cu ''ps''. Daca este si mai incapatanat, incercati cu '''kill -9 [PID]''', metoda cea mai agresiva de a-l opri de altfel.

Daca ati oprit serverul grafic inseamna ca sunteti in fata unei console in acest moment. Mergeti in directorul in care ati salvat fisierul de la NVIDIA si dati comanda <code>sh NVIDIA-Linux-x86-1.0-8756-pkg1.run</code> daca acesta este fisierul pe care l-ati luat. Daca ati luat alt fisier mai nou, evident, adaptati. Va vor mai fi puse cateva intrebari cu raspunsuri intuitive de catre installer. Daca raspundeti bine in curand el va va spune ca isi compileaza modulul.

In final tot ce aveti de facut este sa modificati fisierul '''/etc/X11/xorg.conf''' corespunzator astfel incat sa foloseasca modulul nou compilat de la NVIDIA, in loc de cel standard. Inlocuiti linia <code> Driver "nv"
(sau Driver "vesa")
(sau Driver "fbdev")
</code> cu <code> Driver "nvidia" </code>

De asemenea, stergeti urmatoarele linii:<code>
Load "dri"
Load "GLCore"
</code> si adaugati-o pe urmatoarea, in cazul in care nu exista deja:
<code>
Load "glx"
</code>

Acestea fiind zise, acum ar trebui doar sa reporniti serverul grafic '''X''' si va veti avea astfel parte de accelerare grafica maxima.

Atentie, acesta este un ghid foarte intuitiv si cu toleranta destul de mica pentru alte probleme ce pot aparea. Daca aveti nedumeriri sau cautati optiuni, respectiv metode de a rezolva anumite probleme mai avansate, nu ezitati sa consultati fisierul [http://download.nvidia.com/XFree86/Linux-x86/1.0-8756/README/index.html README].

'''[FIXME]''' Acesta este un o alta sectiune pe care o voi mai peria, completa si transforma in articol separat, urmand sa pun in locul ei aici un link catre noua locatie.

====== VESA ======

Daca nu aveti placi grafice de la ATI sau de la NVIDIA si nu ati gasit nici un driver de la producatorul original al chipsetului grafic, atunci nu disperati, mai exista sanse. VESA nu ofera capacitati de accelerare 3D si nici putere de procesare foarte mare, dar asigura o imagine de calitate prin functionalitatea ei de baza pentru aproape orice chipset grafic.

'''[FIXME]''' De continuat.

===== Placa audio =====

==== Configurarea serverului grafic X ====

Editati fisierul '''/etc/X11/xorg.conf'''

===== Desktop managers =====

====== KDE ======

====== Gnome ======

====== Altele ======

=== Cuvant de incheiere ===

Ei bine, in linii mari cam astea au fost intrebarile si raspunsurile care mi-au venit mie in minte. Sper ca am mai facut un pic de lumina in universul Linux pestru cei care abia acum s-au intalnit cu el sau pentru cei care sunt inca pe la inceputuri.

Acesta nu este un ghid complet si nici nu incearca sa trateze foarte in detaliu subiectele in discutie, subiectele mai voluminoase meritand locul lor separat. Motiv pentru care astept sugestii si contributii astfel incat sa-l corectam si sa il imbogatim impreuna acolo unde am uitat ceva important, poate o alta intrebare, poate in alt raspuns, si impreuna sa-l ajutam sa evolueze.

=== DISCLAIMER ===

'''Linux este marca înregistrata a lui Linus Torvalds. Microsoft Windows este marca înregistrata a Microsoft Corporation. Toate celelalte simboluri externe, referiri la alte produse software, respectiv marcile înregistrate din aceasta pagina, aparţin autorilor lor de drept.'''

=== Bibliografie ===
* Partea cu make si Makefile e extrasa din cursul de Sisteme de Operare al domnilor profesori Boian Florian si Bufnea Darius, Universitatea Babes-Bolyai Cluj-Napoca

'''Nota autorului: Documentul este inca in lucru.'''

[[Category:HowTo]]
[[Category:FAQ]]

Talk:Tutorials

2006-01-23T09:03:11Z

Raptor: /* Despre politica */

== Sa fim totusi oameni ==
* Hai sa nu mai postam anonim, okay? Multumesc ;-) [[User:Csdexter|@Dexter]] 01:45, 11 November 2005 (EET)

== Corecturi si adaugiri ==
* Multumesc pentru corectura, [[User:Raptor360|raptor360]] [[User:Csdexter|@Dexter]] 21:14, 11 November 2005 (EET)
* Am refacut pagina principala dupa ce [[User:Syl|Syl]] o ''remodelase'' din greseala si i-am pus articolul la locul lui. Urmare a acestei situatii, am facut o [[#Despre politica|extensie de politica]]. [[User:Csdexter|@Dexter]] 00:10, 25 November 2005 (EET)
* [[User:Sin|Sin]], pe pagina principala textele sunt in romaneste -- asa ca fie il faci ''Quagga in Linux'', fie ii fac revert si ramane cum era (i.e. ''Quagga''); asta pana maine la 12:00EET. [[User:Csdexter|@Dexter]] 02:13, 26 November 2005 (EET)
* Am refacut aceasta pagina dupa ce fusese vandalizata de [[User:201.153.211.220]]. [[User:Csdexter|@Dexter]] 20:58, 27 December 2005 (EET)
* Multumim lui [[User:86.124.16.82]] pentru sugestia de formatare facuta (traiasca Bacaul :P), mi-am luat libertatea de a o extinde pentru toate capetele de lista. [[User:Csdexter|@Dexter]] 14:06, 29 December 2005 (EET)
* Am refacut aceasta pagina dupa ce fusese vandalizata de [[User:200.95.121.64]]. [[User:Csdexter|@Dexter]] 22:41, 30 December 2005 (EET)
* Multumim lui [[User:Sorin25|Sorin25]] pentru refacerea acestei pagini dupa ce a fost vandalizata de [[User:201.129.129.126]]. [[User:Csdexter|@Dexter]] 17:31, 31 December 2005 (EET)
* Am refacut aceasta pagina dupa ce fusese vandalizata de [[User:201.128.253.17]]. [[User:Csdexter|@Dexter]] 16:31, 1 January 2006 (EET)
* Am refacut aceasta pagina dupa ce fusese vandalizata de [[User:201.129.146.158]]. [[User:Csdexter|@Dexter]] 11:54, 2 January 2006 (EET)
* Multumim inca o data lui [[User:Sorin25|Sorin25]] pentru efortul constant depus la intretinerea acestei pagini.

== Despre politica ==
* Avem doua categorii principale dupa scopul, forma si destinatia documentului ([[:Category:Tutorial|tutorial]] si [[:Category:HowTo|ghid]]) si vom avea cateva (mai multe) categorii secundare dupa domeniul acoperit de acesta (e.g. [[:Category:VM|masini virtuale]], [[:Category:Drivers|drivere]], [[:Category:Programming|programare]]). Pe prima pagina vor fi afisate doar cele doua categorii principale ca si capete de lista urmand ca, in paranteza dupa numele articolului, sa fie trecute categoriile secundare din care acesta face parte. Din pacate, paginile de prezentare nu isi au locul in aceasta structura deoarece scopul acestui Wiki nu este reclama pentru terti. Ca atare, am sa editez pagina principala si il rog pe [[User:Radubolovan|Radu]] sa revina cu un [[:Category:HowTo|ghid de instalare]] sau [[:Category:Tutorial|tutorial]] pentru [[KDSFlash]] astfel ca articolul sau sa poata fi prins in tematica. [[User:Csdexter|@Dexter]] 11:52, 23 November 2005 (EET)
* Scuze pentru purtarea mea! Cu toate ca nu stiam care sunt regulile, totusi trebuia sa obtin o aprobare (ma gandesc eu) ca sa fac o alta categorie! Voi face un tutorial - curand! [[User:Radubolovan|Radu Bolovan]] 22:38, 23 November 2005 (EET)
* Nu e cazul de scuze, nu aveai de unde sa stii (poate doar sa deduci). Nu cazul de aprobari si chestii de genul -- ideea e sa se mentina ordinea si coerenta, atata tot. De asemenea, in cazul unei pagini de '''Talk''' (cum este aceasta), se face sectiune noua pentru un subiect de discutie nou -- pentru raspuns simplu, se adauga doar inca un ''punct'' la lista si iti scrii raspunsul si te semnezi pe acelasi rand, la sfarsitul lui folosind "<nowiki>~~~~</nowiki>". [[User:Csdexter|@Dexter]] 23:14, 23 November 2005 (EET)
* La cererea publicului, am mai facut doua categorii principale: [[:Category:Presentation|prezentare]] si [[:Category:Collection|colectie]]; drept pentru care, acum intra si articolul lui [[User:Radubolovan|Radu]], si post-it-urile lui [[User:Syl|Syl]] in tematica si sunt afisate pe prima pagina. Sper ca cu asta am facut pace. [[User:Csdexter|@Dexter]] 00:10, 25 November 2005 (EET)
* [http://www.linux360.ro/ linux360] are, privitor la toate locurile sale publice incluzand forum-ul si acest wiki, o politica de toleranta nula fata de cei ce abuzeaza numitele spatii de nomenclatura prin folosirea lor in scopuri comerciale (reclame, anunturi) si, '''mai ales''', in cazul in care subiectul acestor reclame sunt medicamente pentru disfunctii sexuale. [[User:Csdexter|@Dexter]] 20:58, 27 December 2005 (EET)
* Politica de toleranta nula consta, incepand de astazi, in interzicerea irevocabila a acesului pe perioada nedeterminata. [[User:Csdexter|@Dexter]] 23:40, 19 January 2006 (EET)
* Propun ca sa nu se mai poata edita fara un cont creat in prealabil, cont care sa fie si validat prin mail. [[User:Raptor360|Raptor360]] 08:31, 23 January 2006 (EET)
* De 2 ori am corectat aceasta pagina in aceeasi zi... devine frustrant. [[User:Raptor360|Raptor360]] 11:03, 23 January 2006 (EET)

== Despre interfaţă ==
* noua interfaţă nu funcţionează corect in IE 60, link-urile din view sunt ascunse parţial de logo. Cuprinsul are un dreptunghi albastru inchis inestetic (nu imi dau seama dacă asta era intenţia). hth --[[User:Sorin25|sorin25]] 11:19, 4 January 2006 (EET)
* Confirm ca se vede ca naiba si pe NS 7.2 si pe IE 6. Ca sa nu mai vorbesc de faptul ca atunci cand creezi un modul nou al unui program pornind de la un modul existent, faci o ''copie'' a respectivului modul si ''nu'', '''''niciodata''''', nu modifici modulul existent deja (care se poate afla in productie si pot depinde alte module si oameni (clienti) de el). Of of of, Ovidiu! Eu unul am trecut pe Skin-ul "Clasic" pentru ca MonoBook (care este preferatul meu) a devenit impracticabil. [[User:Csdexter|@Dexter]] 11:37, 4 January 2006 (EET)

== Sugestii diverse ==
* se pare ca nenea care tot se joaca cu paginile astea este unul si acelasi:
<pre>
(truncated for clarity)

aut-num: 8151
aut-num: 28513
inetnum: 148.221/16
inetnum: 148.223/16
inetnum: 148.233/16
inetnum: 148.235/16
inetnum: 200.33.136/21
inetnum: 200.33.144/21
inetnum: 200.34.32/20
inetnum: 200.36.32/19
inetnum: 200.38.128/19
inetnum: 200.38.192/19
inetnum: 200.64/15
inetnum: 200.66.128/17
inetnum: 200.67/16
inetnum: 200.78.0/17
inetnum: 200.79.0/17
inetnum: 200.95.0/17
inetnum: 201.96/12
inetnum: 201.112/13
inetnum: 201.120/14
inetnum: 201.124/14
inetnum: 201.128.0/17
inetnum: 201.128.128/17
inetnum: 201.129.0/17
inetnum: 201.129.128/17
inetnum: 201.131.52/22
inetnum: 201.133.0/17
inetnum: 201.133.128/17
inetnum: 201.134/16
inetnum: 201.135.0/17
inetnum: 201.135.128/17
inetnum: 201.136/15
inetnum: 201.138/16
inetnum: 201.139.160/21
inetnum: 201.144/14
inetnum: 201.152/14
inetnum: 207.248.128/19
inetnum: 2001:1208::/32
</pre>
As sugera blocarea intregului set de IP-uri

Talk:Tutorials

2006-01-23T09:02:58Z

Raptor: /* Despre politica */

== Sa fim totusi oameni ==
* Hai sa nu mai postam anonim, okay? Multumesc ;-) [[User:Csdexter|@Dexter]] 01:45, 11 November 2005 (EET)

== Corecturi si adaugiri ==
* Multumesc pentru corectura, [[User:Raptor360|raptor360]] [[User:Csdexter|@Dexter]] 21:14, 11 November 2005 (EET)
* Am refacut pagina principala dupa ce [[User:Syl|Syl]] o ''remodelase'' din greseala si i-am pus articolul la locul lui. Urmare a acestei situatii, am facut o [[#Despre politica|extensie de politica]]. [[User:Csdexter|@Dexter]] 00:10, 25 November 2005 (EET)
* [[User:Sin|Sin]], pe pagina principala textele sunt in romaneste -- asa ca fie il faci ''Quagga in Linux'', fie ii fac revert si ramane cum era (i.e. ''Quagga''); asta pana maine la 12:00EET. [[User:Csdexter|@Dexter]] 02:13, 26 November 2005 (EET)
* Am refacut aceasta pagina dupa ce fusese vandalizata de [[User:201.153.211.220]]. [[User:Csdexter|@Dexter]] 20:58, 27 December 2005 (EET)
* Multumim lui [[User:86.124.16.82]] pentru sugestia de formatare facuta (traiasca Bacaul :P), mi-am luat libertatea de a o extinde pentru toate capetele de lista. [[User:Csdexter|@Dexter]] 14:06, 29 December 2005 (EET)
* Am refacut aceasta pagina dupa ce fusese vandalizata de [[User:200.95.121.64]]. [[User:Csdexter|@Dexter]] 22:41, 30 December 2005 (EET)
* Multumim lui [[User:Sorin25|Sorin25]] pentru refacerea acestei pagini dupa ce a fost vandalizata de [[User:201.129.129.126]]. [[User:Csdexter|@Dexter]] 17:31, 31 December 2005 (EET)
* Am refacut aceasta pagina dupa ce fusese vandalizata de [[User:201.128.253.17]]. [[User:Csdexter|@Dexter]] 16:31, 1 January 2006 (EET)
* Am refacut aceasta pagina dupa ce fusese vandalizata de [[User:201.129.146.158]]. [[User:Csdexter|@Dexter]] 11:54, 2 January 2006 (EET)
* Multumim inca o data lui [[User:Sorin25|Sorin25]] pentru efortul constant depus la intretinerea acestei pagini.

== Despre politica ==
* Avem doua categorii principale dupa scopul, forma si destinatia documentului ([[:Category:Tutorial|tutorial]] si [[:Category:HowTo|ghid]]) si vom avea cateva (mai multe) categorii secundare dupa domeniul acoperit de acesta (e.g. [[:Category:VM|masini virtuale]], [[:Category:Drivers|drivere]], [[:Category:Programming|programare]]). Pe prima pagina vor fi afisate doar cele doua categorii principale ca si capete de lista urmand ca, in paranteza dupa numele articolului, sa fie trecute categoriile secundare din care acesta face parte. Din pacate, paginile de prezentare nu isi au locul in aceasta structura deoarece scopul acestui Wiki nu este reclama pentru terti. Ca atare, am sa editez pagina principala si il rog pe [[User:Radubolovan|Radu]] sa revina cu un [[:Category:HowTo|ghid de instalare]] sau [[:Category:Tutorial|tutorial]] pentru [[KDSFlash]] astfel ca articolul sau sa poata fi prins in tematica. [[User:Csdexter|@Dexter]] 11:52, 23 November 2005 (EET)
* Scuze pentru purtarea mea! Cu toate ca nu stiam care sunt regulile, totusi trebuia sa obtin o aprobare (ma gandesc eu) ca sa fac o alta categorie! Voi face un tutorial - curand! [[User:Radubolovan|Radu Bolovan]] 22:38, 23 November 2005 (EET)
* Nu e cazul de scuze, nu aveai de unde sa stii (poate doar sa deduci). Nu cazul de aprobari si chestii de genul -- ideea e sa se mentina ordinea si coerenta, atata tot. De asemenea, in cazul unei pagini de '''Talk''' (cum este aceasta), se face sectiune noua pentru un subiect de discutie nou -- pentru raspuns simplu, se adauga doar inca un ''punct'' la lista si iti scrii raspunsul si te semnezi pe acelasi rand, la sfarsitul lui folosind "<nowiki>~~~~</nowiki>". [[User:Csdexter|@Dexter]] 23:14, 23 November 2005 (EET)
* La cererea publicului, am mai facut doua categorii principale: [[:Category:Presentation|prezentare]] si [[:Category:Collection|colectie]]; drept pentru care, acum intra si articolul lui [[User:Radubolovan|Radu]], si post-it-urile lui [[User:Syl|Syl]] in tematica si sunt afisate pe prima pagina. Sper ca cu asta am facut pace. [[User:Csdexter|@Dexter]] 00:10, 25 November 2005 (EET)
* [http://www.linux360.ro/ linux360] are, privitor la toate locurile sale publice incluzand forum-ul si acest wiki, o politica de toleranta nula fata de cei ce abuzeaza numitele spatii de nomenclatura prin folosirea lor in scopuri comerciale (reclame, anunturi) si, '''mai ales''', in cazul in care subiectul acestor reclame sunt medicamente pentru disfunctii sexuale. [[User:Csdexter|@Dexter]] 20:58, 27 December 2005 (EET)
* Politica de toleranta nula consta, incepand de astazi, in interzicerea irevocabila a acesului pe perioada nedeterminata. [[User:Csdexter|@Dexter]] 23:40, 19 January 2006 (EET)
* Propun ca sa nu se mai poata edita fara un cont creat in prealabil, cont care sa fie si validat prin mail. [[User:Raptor360|Raptor360]] 08:31, 23 January 2006 (EET)
* De 2 ori am corectat aceasta pagina in aceeasi zi... devine frustrant.

== Despre interfaţă ==
* noua interfaţă nu funcţionează corect in IE 60, link-urile din view sunt ascunse parţial de logo. Cuprinsul are un dreptunghi albastru inchis inestetic (nu imi dau seama dacă asta era intenţia). hth --[[User:Sorin25|sorin25]] 11:19, 4 January 2006 (EET)
* Confirm ca se vede ca naiba si pe NS 7.2 si pe IE 6. Ca sa nu mai vorbesc de faptul ca atunci cand creezi un modul nou al unui program pornind de la un modul existent, faci o ''copie'' a respectivului modul si ''nu'', '''''niciodata''''', nu modifici modulul existent deja (care se poate afla in productie si pot depinde alte module si oameni (clienti) de el). Of of of, Ovidiu! Eu unul am trecut pe Skin-ul "Clasic" pentru ca MonoBook (care este preferatul meu) a devenit impracticabil. [[User:Csdexter|@Dexter]] 11:37, 4 January 2006 (EET)

== Sugestii diverse ==
* se pare ca nenea care tot se joaca cu paginile astea este unul si acelasi:
<pre>
(truncated for clarity)

aut-num: 8151
aut-num: 28513
inetnum: 148.221/16
inetnum: 148.223/16
inetnum: 148.233/16
inetnum: 148.235/16
inetnum: 200.33.136/21
inetnum: 200.33.144/21
inetnum: 200.34.32/20
inetnum: 200.36.32/19
inetnum: 200.38.128/19
inetnum: 200.38.192/19
inetnum: 200.64/15
inetnum: 200.66.128/17
inetnum: 200.67/16
inetnum: 200.78.0/17
inetnum: 200.79.0/17
inetnum: 200.95.0/17
inetnum: 201.96/12
inetnum: 201.112/13
inetnum: 201.120/14
inetnum: 201.124/14
inetnum: 201.128.0/17
inetnum: 201.128.128/17
inetnum: 201.129.0/17
inetnum: 201.129.128/17
inetnum: 201.131.52/22
inetnum: 201.133.0/17
inetnum: 201.133.128/17
inetnum: 201.134/16
inetnum: 201.135.0/17
inetnum: 201.135.128/17
inetnum: 201.136/15
inetnum: 201.138/16
inetnum: 201.139.160/21
inetnum: 201.144/14
inetnum: 201.152/14
inetnum: 207.248.128/19
inetnum: 2001:1208::/32
</pre>
As sugera blocarea intregului set de IP-uri

Talk:Tutorials

2006-01-23T09:02:25Z

Raptor:

== Sa fim totusi oameni ==
* Hai sa nu mai postam anonim, okay? Multumesc ;-) [[User:Csdexter|@Dexter]] 01:45, 11 November 2005 (EET)

== Corecturi si adaugiri ==
* Multumesc pentru corectura, [[User:Raptor360|raptor360]] [[User:Csdexter|@Dexter]] 21:14, 11 November 2005 (EET)
* Am refacut pagina principala dupa ce [[User:Syl|Syl]] o ''remodelase'' din greseala si i-am pus articolul la locul lui. Urmare a acestei situatii, am facut o [[#Despre politica|extensie de politica]]. [[User:Csdexter|@Dexter]] 00:10, 25 November 2005 (EET)
* [[User:Sin|Sin]], pe pagina principala textele sunt in romaneste -- asa ca fie il faci ''Quagga in Linux'', fie ii fac revert si ramane cum era (i.e. ''Quagga''); asta pana maine la 12:00EET. [[User:Csdexter|@Dexter]] 02:13, 26 November 2005 (EET)
* Am refacut aceasta pagina dupa ce fusese vandalizata de [[User:201.153.211.220]]. [[User:Csdexter|@Dexter]] 20:58, 27 December 2005 (EET)
* Multumim lui [[User:86.124.16.82]] pentru sugestia de formatare facuta (traiasca Bacaul :P), mi-am luat libertatea de a o extinde pentru toate capetele de lista. [[User:Csdexter|@Dexter]] 14:06, 29 December 2005 (EET)
* Am refacut aceasta pagina dupa ce fusese vandalizata de [[User:200.95.121.64]]. [[User:Csdexter|@Dexter]] 22:41, 30 December 2005 (EET)
* Multumim lui [[User:Sorin25|Sorin25]] pentru refacerea acestei pagini dupa ce a fost vandalizata de [[User:201.129.129.126]]. [[User:Csdexter|@Dexter]] 17:31, 31 December 2005 (EET)
* Am refacut aceasta pagina dupa ce fusese vandalizata de [[User:201.128.253.17]]. [[User:Csdexter|@Dexter]] 16:31, 1 January 2006 (EET)
* Am refacut aceasta pagina dupa ce fusese vandalizata de [[User:201.129.146.158]]. [[User:Csdexter|@Dexter]] 11:54, 2 January 2006 (EET)
* Multumim inca o data lui [[User:Sorin25|Sorin25]] pentru efortul constant depus la intretinerea acestei pagini.

== Despre politica ==
* Avem doua categorii principale dupa scopul, forma si destinatia documentului ([[:Category:Tutorial|tutorial]] si [[:Category:HowTo|ghid]]) si vom avea cateva (mai multe) categorii secundare dupa domeniul acoperit de acesta (e.g. [[:Category:VM|masini virtuale]], [[:Category:Drivers|drivere]], [[:Category:Programming|programare]]). Pe prima pagina vor fi afisate doar cele doua categorii principale ca si capete de lista urmand ca, in paranteza dupa numele articolului, sa fie trecute categoriile secundare din care acesta face parte. Din pacate, paginile de prezentare nu isi au locul in aceasta structura deoarece scopul acestui Wiki nu este reclama pentru terti. Ca atare, am sa editez pagina principala si il rog pe [[User:Radubolovan|Radu]] sa revina cu un [[:Category:HowTo|ghid de instalare]] sau [[:Category:Tutorial|tutorial]] pentru [[KDSFlash]] astfel ca articolul sau sa poata fi prins in tematica. [[User:Csdexter|@Dexter]] 11:52, 23 November 2005 (EET)
* Scuze pentru purtarea mea! Cu toate ca nu stiam care sunt regulile, totusi trebuia sa obtin o aprobare (ma gandesc eu) ca sa fac o alta categorie! Voi face un tutorial - curand! [[User:Radubolovan|Radu Bolovan]] 22:38, 23 November 2005 (EET)
* Nu e cazul de scuze, nu aveai de unde sa stii (poate doar sa deduci). Nu cazul de aprobari si chestii de genul -- ideea e sa se mentina ordinea si coerenta, atata tot. De asemenea, in cazul unei pagini de '''Talk''' (cum este aceasta), se face sectiune noua pentru un subiect de discutie nou -- pentru raspuns simplu, se adauga doar inca un ''punct'' la lista si iti scrii raspunsul si te semnezi pe acelasi rand, la sfarsitul lui folosind "<nowiki>~~~~</nowiki>". [[User:Csdexter|@Dexter]] 23:14, 23 November 2005 (EET)
* La cererea publicului, am mai facut doua categorii principale: [[:Category:Presentation|prezentare]] si [[:Category:Collection|colectie]]; drept pentru care, acum intra si articolul lui [[User:Radubolovan|Radu]], si post-it-urile lui [[User:Syl|Syl]] in tematica si sunt afisate pe prima pagina. Sper ca cu asta am facut pace. [[User:Csdexter|@Dexter]] 00:10, 25 November 2005 (EET)
* [http://www.linux360.ro/ linux360] are, privitor la toate locurile sale publice incluzand forum-ul si acest wiki, o politica de toleranta nula fata de cei ce abuzeaza numitele spatii de nomenclatura prin folosirea lor in scopuri comerciale (reclame, anunturi) si, '''mai ales''', in cazul in care subiectul acestor reclame sunt medicamente pentru disfunctii sexuale. [[User:Csdexter|@Dexter]] 20:58, 27 December 2005 (EET)
* Politica de toleranta nula consta, incepand de astazi, in interzicerea irevocabila a acesului pe perioada nedeterminata. [[User:Csdexter|@Dexter]] 23:40, 19 January 2006 (EET)
* Propun ca sa nu se mai poata edita fara un cont creat in prealabil, cont care sa fie si validat prin mail. [[User:Raptor360|Raptor360]] 08:31, 23 January 2006 (EET)

== Despre interfaţă ==
* noua interfaţă nu funcţionează corect in IE 60, link-urile din view sunt ascunse parţial de logo. Cuprinsul are un dreptunghi albastru inchis inestetic (nu imi dau seama dacă asta era intenţia). hth --[[User:Sorin25|sorin25]] 11:19, 4 January 2006 (EET)
* Confirm ca se vede ca naiba si pe NS 7.2 si pe IE 6. Ca sa nu mai vorbesc de faptul ca atunci cand creezi un modul nou al unui program pornind de la un modul existent, faci o ''copie'' a respectivului modul si ''nu'', '''''niciodata''''', nu modifici modulul existent deja (care se poate afla in productie si pot depinde alte module si oameni (clienti) de el). Of of of, Ovidiu! Eu unul am trecut pe Skin-ul "Clasic" pentru ca MonoBook (care este preferatul meu) a devenit impracticabil. [[User:Csdexter|@Dexter]] 11:37, 4 January 2006 (EET)

== Sugestii diverse ==
* se pare ca nenea care tot se joaca cu paginile astea este unul si acelasi:
<pre>
(truncated for clarity)

aut-num: 8151
aut-num: 28513
inetnum: 148.221/16
inetnum: 148.223/16
inetnum: 148.233/16
inetnum: 148.235/16
inetnum: 200.33.136/21
inetnum: 200.33.144/21
inetnum: 200.34.32/20
inetnum: 200.36.32/19
inetnum: 200.38.128/19
inetnum: 200.38.192/19
inetnum: 200.64/15
inetnum: 200.66.128/17
inetnum: 200.67/16
inetnum: 200.78.0/17
inetnum: 200.79.0/17
inetnum: 200.95.0/17
inetnum: 201.96/12
inetnum: 201.112/13
inetnum: 201.120/14
inetnum: 201.124/14
inetnum: 201.128.0/17
inetnum: 201.128.128/17
inetnum: 201.129.0/17
inetnum: 201.129.128/17
inetnum: 201.131.52/22
inetnum: 201.133.0/17
inetnum: 201.133.128/17
inetnum: 201.134/16
inetnum: 201.135.0/17
inetnum: 201.135.128/17
inetnum: 201.136/15
inetnum: 201.138/16
inetnum: 201.139.160/21
inetnum: 201.144/14
inetnum: 201.152/14
inetnum: 207.248.128/19
inetnum: 2001:1208::/32
</pre>
As sugera blocarea intregului set de IP-uri

Talk:Tutorials

2006-01-23T06:31:15Z

Raptor: /* Despre politica */

== Sa fim totusi oameni ==
* Hai sa nu mai postam anonim, okay? Multumesc ;-) [[User:Csdexter|@Dexter]] 01:45, 11 November 2005 (EET)

== Corecturi si adaugiri ==
* Multumesc pentru corectura, [[User:Raptor360|raptor360]] [[User:Csdexter|@Dexter]] 21:14, 11 November 2005 (EET)
* Am refacut pagina principala dupa ce [[User:Syl|Syl]] o ''remodelase'' din greseala si i-am pus articolul la locul lui. Urmare a acestei situatii, am facut o [[#Despre politica|extensie de politica]]. [[User:Csdexter|@Dexter]] 00:10, 25 November 2005 (EET)
* [[User:Sin|Sin]], pe pagina principala textele sunt in romaneste -- asa ca fie il faci ''Quagga in Linux'', fie ii fac revert si ramane cum era (i.e. ''Quagga''); asta pana maine la 12:00EET. [[User:Csdexter|@Dexter]] 02:13, 26 November 2005 (EET)
* Am refacut aceasta pagina dupa ce fusese vandalizata de [[User:201.153.211.220]]. [[User:Csdexter|@Dexter]] 20:58, 27 December 2005 (EET)
* Multumim lui [[User:86.124.16.82]] pentru sugestia de formatare facuta (traiasca Bacaul :P), mi-am luat libertatea de a o extinde pentru toate capetele de lista. [[User:Csdexter|@Dexter]] 14:06, 29 December 2005 (EET)
* Am refacut aceasta pagina dupa ce fusese vandalizata de [[User:200.95.121.64]]. [[User:Csdexter|@Dexter]] 22:41, 30 December 2005 (EET)
* Multumim lui [[User:Sorin25|Sorin25]] pentru refacerea acestei pagini dupa ce a fost vandalizata de [[User:201.129.129.126]]. [[User:Csdexter|@Dexter]] 17:31, 31 December 2005 (EET)
* Am refacut aceasta pagina dupa ce fusese vandalizata de [[User:201.128.253.17]]. [[User:Csdexter|@Dexter]] 16:31, 1 January 2006 (EET)
* Am refacut aceasta pagina dupa ce fusese vandalizata de [[User:201.129.146.158]]. [[User:Csdexter|@Dexter]] 11:54, 2 January 2006 (EET)
* Multumim inca o data lui [[User:Sorin25|Sorin25]] pentru efortul constant depus la intretinerea acestei pagini.

== Despre politica ==
* Avem doua categorii principale dupa scopul, forma si destinatia documentului ([[:Category:Tutorial|tutorial]] si [[:Category:HowTo|ghid]]) si vom avea cateva (mai multe) categorii secundare dupa domeniul acoperit de acesta (e.g. [[:Category:VM|masini virtuale]], [[:Category:Drivers|drivere]], [[:Category:Programming|programare]]). Pe prima pagina vor fi afisate doar cele doua categorii principale ca si capete de lista urmand ca, in paranteza dupa numele articolului, sa fie trecute categoriile secundare din care acesta face parte. Din pacate, paginile de prezentare nu isi au locul in aceasta structura deoarece scopul acestui Wiki nu este reclama pentru terti. Ca atare, am sa editez pagina principala si il rog pe [[User:Radubolovan|Radu]] sa revina cu un [[:Category:HowTo|ghid de instalare]] sau [[:Category:Tutorial|tutorial]] pentru [[KDSFlash]] astfel ca articolul sau sa poata fi prins in tematica. [[User:Csdexter|@Dexter]] 11:52, 23 November 2005 (EET)
* Scuze pentru purtarea mea! Cu toate ca nu stiam care sunt regulile, totusi trebuia sa obtin o aprobare (ma gandesc eu) ca sa fac o alta categorie! Voi face un tutorial - curand! [[User:Radubolovan|Radu Bolovan]] 22:38, 23 November 2005 (EET)
* Nu e cazul de scuze, nu aveai de unde sa stii (poate doar sa deduci). Nu cazul de aprobari si chestii de genul -- ideea e sa se mentina ordinea si coerenta, atata tot. De asemenea, in cazul unei pagini de '''Talk''' (cum este aceasta), se face sectiune noua pentru un subiect de discutie nou -- pentru raspuns simplu, se adauga doar inca un ''punct'' la lista si iti scrii raspunsul si te semnezi pe acelasi rand, la sfarsitul lui folosind "<nowiki>~~~~</nowiki>". [[User:Csdexter|@Dexter]] 23:14, 23 November 2005 (EET)
* La cererea publicului, am mai facut doua categorii principale: [[:Category:Presentation|prezentare]] si [[:Category:Collection|colectie]]; drept pentru care, acum intra si articolul lui [[User:Radubolovan|Radu]], si post-it-urile lui [[User:Syl|Syl]] in tematica si sunt afisate pe prima pagina. Sper ca cu asta am facut pace. [[User:Csdexter|@Dexter]] 00:10, 25 November 2005 (EET)
* [http://www.linux360.ro/ linux360] are, privitor la toate locurile sale publice incluzand forum-ul si acest wiki, o politica de toleranta nula fata de cei ce abuzeaza numitele spatii de nomenclatura prin folosirea lor in scopuri comerciale (reclame, anunturi) si, '''mai ales''', in cazul in care subiectul acestor reclame sunt medicamente pentru disfunctii sexuale. [[User:Csdexter|@Dexter]] 20:58, 27 December 2005 (EET)
* Politica de toleranta nula consta, incepand de astazi, in interzicerea irevocabila a acesului pe perioada nedeterminata. [[User:Csdexter|@Dexter]] 23:40, 19 January 2006 (EET)
* Propun ca sa nu se mai poata edita fara un cont creat in prealabil, cont care sa fie si validat prin mail. [[User:Raptor360|Raptor360]] 08:31, 23 January 2006 (EET)

== Despre interfaţă ==
* noua interfaţă nu funcţionează corect in IE 60, link-urile din view sunt ascunse parţial de logo. Cuprinsul are un dreptunghi albastru inchis inestetic (nu imi dau seama dacă asta era intenţia). hth --[[User:Sorin25|sorin25]] 11:19, 4 January 2006 (EET)
* Confirm ca se vede ca naiba si pe NS 7.2 si pe IE 6. Ca sa nu mai vorbesc de faptul ca atunci cand creezi un modul nou al unui program pornind de la un modul existent, faci o ''copie'' a respectivului modul si ''nu'', '''''niciodata''''', nu modifici modulul existent deja (care se poate afla in productie si pot depinde alte module si oameni (clienti) de el). Of of of, Ovidiu! Eu unul am trecut pe Skin-ul "Clasic" pentru ca MonoBook (care este preferatul meu) a devenit impracticabil. [[User:Csdexter|@Dexter]] 11:37, 4 January 2006 (EET)

== Sugestii diverse ==
* se pare ca nenea care tot se joaca cu paginile astea este unul si acelasi:
<pre>
(truncated for clarity)

aut-num: 8151
aut-num: 28513
inetnum: 148.221/16
inetnum: 148.223/16
inetnum: 148.233/16
inetnum: 148.235/16
inetnum: 200.33.136/21
inetnum: 200.33.144/21
inetnum: 200.34.32/20
inetnum: 200.36.32/19
inetnum: 200.38.128/19
inetnum: 200.38.192/19
inetnum: 200.64/15
inetnum: 200.66.128/17
inetnum: 200.67/16
inetnum: 200.78.0/17
inetnum: 200.79.0/17
inetnum: 200.95.0/17
inetnum: 201.96/12
inetnum: 201.112/13
inetnum: 201.120/14
inetnum: 201.124/14
inetnum: 201.128.0/17
inetnum: 201.128.128/17
inetnum: 201.129.0/17
inetnum: 201.129.128/17
inetnum: 201.131.52/22
inetnum: 201.133.0/17
inetnum: 201.133.128/17
inetnum: 201.134/16
inetnum: 201.135.0/17
inetnum: 201.135.128/17
inetnum: 201.136/15
inetnum: 201.138/16
inetnum: 201.139.160/21
inetnum: 201.144/14
inetnum: 201.152/14
inetnum: 207.248.128/19
inetnum: 2001:1208::/32
</pre>
As sugera blocarea intregului set de IP-uri

Comunica prin lpt

2006-01-20T01:08:46Z

Raptor: /* Programul de test */

==Intro==
Acesta se vrea un mini ghid despre controlul unui motor pas cu pas unipolar cu ajutorul linux-ului si a portului lpt.

==Motoarele pas cu pas unipoloare==
Motoarele la care voi face referinta sunt motoare de curent continuu care se alimenteaza la 12-25V si au proprietatea de a putea
controla fiecare pas facut de aceste motoare. Un pas are de obicei 1,8 grade, ceea ce inseamna ca o rotatie completa inseamna 200
de pasi.
Motoarele pas cu pas unipolare au de obicei 5 sau 6 fire, exista si cu 8 fire dar exista posibilitatea ca acestea sa fie si bipolare.

Schema unui motor cu 5 fire [[Image:5wire.jpg]]
Schema unui motor cu 6 fire [[Image:6wire.jpg]]

Asa cum observam din cele doua scheme constructia este asemanatoare, singura diferenta fiind alimentarea. La motorul cu 5 fire numai un fir este de alimentare (firul marcat common) restul de control la cel cu 6 fire sunt 2 fire de alimentare (firele marcate A si B). Daca la motorul cu 6 fire unim cele 2 fire de alimentare obtinem un motor pas cu pas cu 5. Concluzia daca invatam sa comandam unul din cele 2 il vom comanda si pe celalalt.
Pentru a afla care sunt firele noastre de alimentare vom masura rezistenta intre fire. Intre firul de alimentare si capete va fi o
rezistenta pe jumatate decat in cazul masurarii rezistentei intre 2 capete. La motorul cu 6 fire Orice combinatie A(+-)B(+-) nu va intoarce nici o rezistenta cele 2 fire nefiind legate.
Motoarele pas cu pas se controleaza aplicand o tensiune pe firele de control. Modul de control este prezentat in figura urmatoare:

[[Image:Step.gif]]

Pentru schimbarea sensului de rotatie pur si simplu se trimit comenzile in sens invers.

==Schema portului lpt==
[[Image:Lpt.jpg]]
Asa cum se vede si din imagine pinii 18-25 sunt pentru masa, iar cei folositi de noi pentru transmiterea datelor vor fi pinii 2-8

==Cum facem montajul==
Deoarece motorul lucreaza cu tensiuni cu mult peste posibilitatile portului nostru lpt. O sa avem nevoie de o alimentare externa,
dar si de o protectie a portului nostru. Pentru aceasta o sa folosim cipul uln2003 sau uln2803a si o dioda zenner de 12V

Schema este urmatoarea [[Image:Lptmot.jpg]]

Trebuie sa mai adaugam o legatura intre unul din pinii de gnd(18-25) de la portul lpt cu masa si una de la pin-ul gnd al chip-ului cu masa. Si sa avem grija, ca firele motorului sa fie legate A+B+A-B- la pinii 2-5 ai portului lpt.

==Programul de test==
<code><c/>
#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <asm/io.h>

#define porta 0x378

const char *filename;

int main(int argc,char *argv[]) {

int fd;
filename = "/dev/lp0";

ioperm(porta,3L,1);
fd = open(filename, O_RDWR);
if (fd < 0) {
printf("bla bla bla eroare %s\n", filename);
exit(1);
}

for (;;){
outb(3,porta);
usleep(20*1000);
outb(6,porta);
usleep(20*1000);
outb(12,porta);
usleep(20*1000);
outb(9,porta);
usleep(20*1000);
}

close(fd);
exit(0);
}
</code>

[[Category:Howto]]
[[Category:Programming]]

Talk:Administrare, configurare ÅŸi intreÅ£inere servere

2006-01-20T00:59:52Z

Raptor:

* csdexter, dă-mi voie să te felicit. Sunt plăcut surprins. O pagină în genul acesta căutam de multă vreme pentru a o putea arăta omuleţilor interesaţi de administrare Linux. Încă o dată felicitări şi mulţumim. [[User:Raptor360|Raptor360]] 02:59, 20 January 2006 (EET)

Talk:Salutare lume!

2006-01-20T00:54:26Z

Raptor: /* Despre corecturi şi adăugiri */

==Despre corecturi şi adăugiri==
* Acel ; dupa blocul main(){} in C era inutil. [[User:Raptor360|Raptor360]] 23:31, 17 January 2006 (EET)
* Inutil dar nu ilegal. Standardul ce spune? Daca ANSI C nu specifica expres ca ";" dupa "}" a lui main() e ilegal, atunci il pun la loc. [[User:Csdexter|@Dexter]] 00:03, 18 January 2006 (EET)
* Ai spus chiar tu: ''"...să fie tratate în varianta standard a limbajului folosit..."''. In practica e echivalent cu a scrie ceva gen '''printf("asd");;;;;;''' pentru ca este tot legal, dar tot inutil. Varianta standard e fara ; dupa {}. [[User:Raptor360|Raptor360]] 02:54, 20 January 2006 (EET)
* Sectiunea [[Salutare lume!#Introducere|introductiva]] contine metafore. Multumesc frumos pentru adaugarea diacriticelor, dar metaforele am sa mi le refac. [[User:Csdexter|@Dexter]] 00:05, 18 January 2006 (EET)

==Despre continut==
* Brainfuck se ruleaza cu ? [[User:Sorin25|sorin25]] 18:23, 18 January 2006 (EET)
* Exista compilatoare pentru el. Unul e dat pe forum si multe alte informatii se gasesc si [http://en.wikipedia.org/wiki/Brainfuck aici]. [[User:Csdexter|@Dexter]] 22:26, 18 January 2006 (EET)

Salutare lume!

2006-01-17T21:43:00Z

Raptor: /* Introducere */

==Introducere==
Am creeat acest articol din dorinţa de a arăta lumii diversitatea limbajelor existente în informatică.

Ceea ce urmează sunt moduri de a afişa pe ecran ''Salutare, lume!'' (''Hello, world!'' în limba engleză) în diverse limbaje de programare. Puteţi adăuga exemple noi cu condiţia să fie corecte programatic, să fie tratate în varianta standard a limbajului folosit şi să rămână sortate în ordine alfabetică.

Urmează exemplele:

==Bash==
<code><sh/>#!/bin/bash

echo "Hello, world!"
exit 0</code>

==BASIC==
<code><basic/>10 PRINT "Hello, world!"
20 STOP</code>

==ANSI C==
<code><c/>#include <stdio.h>

int main(void) {
printf("Hello, world!\n");

return 0;
}</code>

==C++==
<code><cpp/>#include <iostream>

using namespace std;

int main(void) {
cout << "Hello, world!" << endl;

return 0;
}</code>

==Pascal==
<code><pascal/>program HelloWorld;

begin
writeln('Hello, world!');
end.</code>

==PHP==
<code><html/><html>
<body>
<?php
echo "Hello, world!";
?>
</body>
</html></code>

==Java==
<code><java/>public class MainApplication {
public static void main(String args[]) {
System.out.println("Hello, world!");
}
}</code>

[[Category:Collection]]
[[Category:Programming]]

Talk:Salutare lume!

2006-01-17T21:31:40Z

Raptor:

Acel ; dupa blocul main(){} in C era inutil. [[User:Raptor360|Raptor360]] 23:31, 17 January 2006 (EET)

Talk:Salutare lume!

2006-01-17T21:31:06Z

Raptor:

Acel ; dupa blocul main(){} in C era inutil.

Salutare lume!

2006-01-17T21:27:30Z

Raptor:

==Introducere==
Am creeat acest articol din dorinta de a arata lumii diversitatea limbilor existente in informatica.

Ceea ce urmeaza sunt moduri de a spune ''Salutare, lume!'' in diverse limbaje de programare. Puteti adauga exemple noi cu conditia sa fie corecte programatic, sa fie tratate in varianta standard a limbajului folosit si sa ramana sortate in ordine alfabetica.

Urmeaza exemplele:

==Bash==
<code><sh/>#!/bin/bash

echo "Hello, world!"
exit 0</code>

==BASIC==
<code><basic/>10 PRINT "Hello, world!"
20 STOP</code>

==ANSI C==
<code><c/>#include <stdio.h>

int main(void) {
printf("Hello, world!\n");

return 0;
}</code>

==C++==
<code><cpp/>#include <iostream>

using namespace std;

int main(void) {
cout << "Hello, world!" << endl;

return 0;
}</code>

==Pascal==
<code><pascal/>program HelloWorld;

begin
writeln('Hello, world!');
end.</code>

==PHP==
<code><html/><html>
<body>
<?php
echo "Hello, world!";
?>
</body>
</html></code>

==Java==
<code><java/>public class MainApplication {
public static void main(String args[]) {
System.out.println("Hello, world!");
}
}</code>

[[Category:Collection]]
[[Category:Programming]]

Iptables romana

2006-01-03T07:27:44Z

Raptor: /* Ce vezi atunci cand porneste calculatorul */

== Cuvânt introductiv ==
Pentru început, vreau să spun că eu nu ştiu mai mult decât alţii şi spun asta pentru că am intrat în contact cu câţiva oameni care într-adevăr ştiu multe despre [http://ro.wikipedia.org/wiki/Linux Linux]. Eu nu am făcut decât să traduc acest ''HowTo'', iar dacă (mai mult ca sigur) voi găsiţi greşeli de traducere sau de adaptare, vă rog să îmi atrageţi atenţia scriindu-mi un mesaj de [mailto:razvan@upb.ro poştă electronică]. Dacă intraţi în posesia acestui fişier şi ştiţi pe cineva care îl vrea, vă rog să îl daţi pe gratis, adica aşa cum l-aţi primit şi voi pentru că nici măcar eu nu am cerut bani pe el. Sper sa vă ajute, cel puţin la fel de mult cât m-a ajutat şi pe mine, iar dacă aveţi neclarităţi scrieţi-mi un mesaj şi vă voi răspunde în măsura în care pot şi am timp.

==Ce este filtrarea de pachete?==

=== Bazele reţelisticii ===
Tot traficul dintr-o reţea este transmis sub formă de pachete. De exemplu, descărcând acest document (să zicem că are 50ko) s-ar putea ca tu să primeşti 36 de pachete a câte 1460 octeţi fiecare.

Antetul (engl. [http://en.wikipedia.org/wiki/Header_%28information_technology%29 header]) fiecărui pachet spune unde se duce, de unde vine, tipul pachetului precum şi alte detalii administrative. Restul pachetului, conţinând datele care ne sunt transmise, se numeşte corpul (engl. [http://en.wikipedia.org/wiki/Packet body]) sau conţinutul pachetului.

Câteva protocoale, de exemplu TCP care este folosit (spre exemplu) pentru traficul de web, poştă şi sesiuni de terminal de la distanţă, folosesc principiul de forma o conexiune inainte de a transmite pachete cu datele care ne interesează. Astfel, varii pachete de ''început'' (cu antete speciale) sunt schimbate care spun 'Vreau să mă conectez', 'Bine' şi 'Mulţumesc' (procedură cunoscută ca negociere bilaterală -- engl. [http://en.wikipedia.org/wiki/Transmission_Control_Protocol#Connection_establishment_.283-way_handshake.29 3-way handshaking]). Abia apoi începe schimbul de pachete conţinând datele ce trebuie să tranziteze conexiunea proaspăt creeată.

===Deci ce este un ''filtru de pachete''?===
Un filtru de pachete este un program care se uită în header-ul pachetelor care trec şi le decide soarta. El poate să ''arunce'' pachetul (să îl neglijeze ca şi cum nu ar fi fost primit), să ''accepte'' pachetul (să îl lase să treacă), sau să ''rejecteze'' pachetul (îl aruncă dar şi spune sursei de la care a venit că l-a aruncat).
Sub Linux, filtrarea de pachete este construită în kernel (ca modul sau chiar în el) şi există câteva lucruri mai deosebite pe care le putem face cu pachetele (putem de exemplu să modificăm sursa sau destinaţia acestuia înainte de a-l trimite mai departe), dar principiul general de a ne uita în antetul pachetului şi să-i decidem soarta este înca acolo.

===De ce aş vrea să filtrez pachete?===
*Control:
Cand foloseşti un ''linux-box'' ca să conectezi reţeaua ta internă la o altă reţea (să zicem Internetul) ai oportunitatea de a lăsa numai anumite feluri de trafic sa treacă şi să nu laşi să treacă pe altele. De exemplu, antetul pachetului conţine destinaţia sa şi poţi preveni ca pachetele să ajungă într-o anumită parte a reţelei externe. Ca un alt exemplu, eu folosesc Netscape ca sa accesez arhivele Dilbert. Pe acea pagină sunt reclame de la doubleclick.net, şi Netscape-ul îmi pierde timpul deschizându-le. Spunându-i ''filtrului de pachete'' să nu lase să treacă pachete spre doubleclick.net sau să vină de la el rezolvă aceasta problemă.
*Securitate:
Când Linux-box-ul tău este singurul lucru care stă între haosul din Internet şi reţeaua ta privată, este bine de ştiut că poţi restricţiona ceea ce face ''tărăboi la uşa ta''. De exemplu, poţi lăsa să treacă ceea ce pleacă din interiorul reţelei interne, dar ar trebui să te îngrijoreze vestitul 'Ping of Death' care vine de la străini, sau diverşi alţi viruşi ce se propagă prin Internet. Ca un alt exemplu, nu ai vrea ca cei din afară să se conecteze prin ssh (sau mult mai vechiul telnet) la serverul tău, chiar dacă toate conturile din el sunt protejate de o parolă; având un filtru de pachete care să ''arunce'' pachetele cu antete speciale care sunt folosite pentru a deschide conexiuni din exterior.
*Supraveghere:
Uneori o maşină din interior prost configurată (sau un virus de exemplu) poate decide să împraştie pachete lumii exterioare. Este frumos să-i spui ''filtrului de pachete'' să te înştiinţeze când se întâmplă ceva care nu face parte din normal,nu de alta dar poate faci ceva în legatură cu lucrul acesta sau poate eşti curios din fire să ştii ceea ce se intâmplă în reţeaua ta internă.

===Cum filtrez pachete sub Linux?===
Kernel-ele Linux-ului au avut filtre de pachete chiar de la versiunea 1.1. Prima generaţie, bazată pe ''ipfw'' de la BSD, a fost introdusă de Alan Cox in 1994. Aceasta a fost modificată şi întărită de Jos Vos şi alţii pentru Linux 2.0. În 1998, pentru Linux 2.2, eu am modificat radical kernelul, cu ajutorul lui Michael Neuling şi am introdus programul 'ipchains'. În final, a patra generaţie a filtrului, 'iptables', şi o altă modificare a kernelului au apărut în 1999 pentru Linux 2.4. Pe iptables ne vom concentra în acest HOWTO.
Programul iptables vorbeşte cu kernel-ul şi îi spune ce pachete să filtreze. Dacă nu eşti programator sau prea curios, în acest fel vei controla ''filtrul de pachete''.
Programul iptables inserează sau şterge reguli din ''tabelul'' de reguli de filtrare al kernelului. Aceasta înseamnă că orice ai seta, se va pierde când vei reporni maşina; vezi [[#Cum să faci regulile permanente]] pentru a te asigura că data viitoare când porneşti maşina ele sunt încă acolo.
iptables înlocuieşte ipfwadm şi ipchains: vezi [[http://www.telematik.informatik.uni-karlsruhe.de/lehre/seminare/LinuxSem/downloads/netfilter/iptables-HOWTO-6.html|Cum să folosesti ipchains şi ipfwadm]] pentru a evita folosirea iptables dacă deja foloseşti ipchains sau ipfwadm.

===Cum să faci regulile permanente===
Firewall-ul tău curent este stocat în kernel şi de aceea va fi pierdut când reporneşti maşina. Scriind
# iptables-save
şi
# iptables-restore
este ceea ce vă recomand.
Între timp, pune comanda necesară pentru a-ţi seta regulile într-un script de iniţializare. Asigură-te că faci ceva inteligent în caz că una din comenzi nu merge (de obicei 'exec /sbin/sulogin').

==Cine oare eşti şi de ce te joci cu kernelul meu?==
Eu sunt Rusty; eu sunt cel care întreţine ''Linux IP Firewall'' şi sunt doar un programator decent care s-a întâmplat să fie la locul potrivit în timpul potrivit. Eu am scris ipchains (mecanismul firewall anterior, din kernelul 2.2) şi am învăţat destule ca să fac să meargă ''filtrul de pachete'' iptables cum trebuie. Cel puţin sper.

==Cum traversează pachetele filtrul?==
Kernel-ul porneşte cu trei liste de reguli; aceste liste se numesc ''firewall chains'' sau doar ''chains''. Cele trei chain-uri se numesc INPUT, OUTPUT şi FORWARD.
Pentru fanii ASCII-art, chain-urile sunt aranjate cam aşa:

_____
/ \
-->[Routing ]--->|FORWARD|------->
[Decision] \_____/ ^
| |
v ____
___ / \
/ \ |OUTPUT|
|INPUT| \____/
\___/ ^
| |
----> Local Process ----

Cele trei cicluri reprezentate sunt chain-urile menţionate mai sus. Când un pachet ajunge într-un ciclu din diagramă, acel chain este examinat pentru a decide soarta pachetului. Dacă chain-ul decide să arunce pachetul (DROP), va fi ''omorât'' acolo, dar dacă chain-ul spune că pachetul trebuie acceptat (ACCEPT), el continuă sa circule prin diagramă către următorul chain.
Un chain este un ''set ordonat de reguli''. Fiecare regulă spune 'dacă header-ul pachetului arata aşa, atunci ce vrei să faci cu pachetul'. Dacă regula nu este îndeplinită de pachet, apoi este consultată următoarea regulă din set. În final, dacă nu mai sunt reguli de consultat pentru acel chain, kernel-ul se uită la politica ''setului de reguli'' (adică politica chain-ului) pentru a decide ce se va întâmpla cu pachetul. Într-un sistem riguros din punct de vedere al securităţii politica ''setului de reguli'' îi spune kernel-ului să arunce pachetul (DROP).
Cand un pachet soseşte (să zicem, printr-o interfaţă Ethernet) kernelul se uită prima oară la destinaţia lui: acest lucru se numeşte 'routing' (sau rutare).
Dacă pachetul este chiar pentru calculatorul tău, el va merge în jos către chain-ul INPUT. Dacă trece de acesta (după verificarea pachetului împotriva fiecărei reguli din chain) orice proces care îl aşteaptă îl va primi.
Altfel, dacă pachetul nu este pentru calculatorul tau şi dacă kernelul nu are forwarding-ul activat, sau nu ştie cum să forward-eze pachetul, acesta va fi aruncat (DROP). Dacă forwarding-ul este activat şi pachetul este destinat către o altă interfaţă de reţea (dacă mai ai încă una), atunci pachetul merge înainte în diagrama noastră spre chain-ul FORWARD. Dacă este acceptat de către acesta el va fi trimis în afară.
Şi în sfârşit, un program care rulează chiar în calculatorul tău poate trimite pachete în reţea. Aceste pachete trec prin chain-ul OUTPUT: dacă acesta le acceptă (ACCEPT), atunci pachetul işi continua drumul către destinaţia sa, oricare ar fi aceasta şi prin orice interfaţa.

==Folosirea iptables==
iptables are un manual foarte detaliat (man iptables), dacă ai nevoie de detalii.
Există câteva lucruri diferite pe care le poţi face cu iptables. În primul rând operaţii cu care poţi face management pe un întreg ''set de reguli''. La început există trei chain-uri INPUT, OUTPUT şi FORWARD pe care nu le poţi şterge. Operaţiile sunt:
*Crearea unui nou chain (-N).
*Ştergerea unui chain gol (-X).
*Schimbarea politicii unuia dintre chain-urile standard (INPUT, OUTPUT şi FORWARD). (-P).
*Listarea regulilor dintr-un chain (-L).
*Ştergerea tuturor regulilor dintr-un chain (-F).
*Readucerea la zero a contoarelor regulilor dintr-un chain (-Z).
Există şi moduri de manipulare a unei singure reguli dintr-un chain:
*Ataşarea unei noi reguli (-A).
*Inserarea unei noi reguli într-o anume poziţie într-un chain (-I).
*Înlocuirea unei reguli într-o anume poziţie a unui chain (-R).
*Ştergerea unei reguli (-D).

===Ce vezi atunci cand porneste calculatorul===
Pentru moment (Linux 2.3.15), iptables se află într-un modul numit ('iptables.o'). Va trebui să-l inserezi în kernel înainte de a putea folosi comanda iptables. Pe viitor, va fi posibil ca el să fie deja construit în kernel.
Înainte de orice comandă iptables să fie rulată (ai grijă: unele distribuţii vor rula iptables în scripturile lor de iniţializare), nu va exista nici o regulă în cele trei chain-uri de bază ('INPUT', 'FORWARD' şi 'OUTPUT'), chain-urile INPUT şi OUTPUT vor avea politica setată pe ACCEPT, şi chain-ul FORWARD va fi setat pe DROP (poţi schimba acest lucru setând 'forward=1' în opţiunile modulului iptables).

===Operatii cu o singura regula===
Acestea sunt ''painea si cutitul'' unui filtru de pachete; manipularea regulilor. Cel mai des probabil ca vei folosi comenzile de atasare (-A) si stergere (-D). Celelalte (-I pentru inserare si -R pentru inlocuire) sunt simple extensii ale acestor concepte.
Fiecare regula specifica un set de conditii pe care trebuie sa le indeplineasca un pachet, si ce sa faca in caz ca le indeplineste (o tinta 'target'). De exemplu, vrei sa arunci toate pachetele de tip ICMP care vin de la IP-ul 127.0.0.1. Deci in acest caz conditiile noastre sunt ca protocolul trebuie sa fie ICMP si sursa de la care vin pachetele este IP-ul 127.0.0.1. tinta noastra este aruncarea lor (DROP).
127.0.0.1 este interfata 'loopback', pe care o ai char daca nu ai vreo legatura fizica la vreo retea. Poti folosi programul 'ping' pentru a genera asemenea pachete si a testa o astfel de regula.
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.2 ms

--- 127.0.0.1 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.2/0.2/0.2 ms
# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes

--- 127.0.0.1 ping statistics ---
1 packets transmitted, 0 packets received, 100% packet loss
Poti vedea aici ca ping-ul a avut scces (prin '-c 1' i-am spus programului ping sa trimita un singur pachet).
Apoi atasam (-A) chain-ului 'INPUT', o regula in care specificam ca pachetele care vin de la IP-ul 127.0.0.1 ('-s 127.0.0.1') prin protocolul ICMP ('-p icmp') ar terbui sa le dam DROP ('-j DROP').
Apoi testam regula noastra, folosind un al doilea ping. Va fi o pauza pana cand programul renunta sa mai astepte raspunsul care nu va veni niciodata.
Putem sterge aceasta regula in mai multe feluri. In primul rand, pentru ca stim ca este singura regula in chain-ul input, putem folosi o stergere in care specificam pozitia reguluii:
# iptables -D INPUT 1

----

Al doilea mod prin care putem sterge regula este sa oglindim comanda –A, inlocuind –A cu -D. Acest lucru este folositor cand avem un set complex de reguli. In acest caz folosim:
# ipchains -D INPUT -s 127.0.0.1 -p icmp -j DROP

===Specificatii ale filtrarii===
Am vazut folosirea '-p' pentru a specifica protocolul, si '-s' pentru a specifica adresa sursa, dar sunt si alte optiuni cu care putem specifica caracteristici ale pachetelor
*Specificarea adresei Sursa si adresa Destinatie.
Sursa ('-s', '--source' or '--src') si destinatia ('-d', '--destination' or '--dst') IP-ului poate fi specificata in patru moduri. Cel mai des intalnit este folosirea numelui intreg, cum ar fi 'localhost' sau 'www.linuxhq.com'. Al doilea mod este folosirea de adrese IP cum ar fi '127.0.0.1'.
Al treilea si al patrulea mod este specificarea unui interval de IP-uri, cum sunt '199.95.207.0/24' sau '199.95.207.0/255.255.255.0'. Amandoua specifica orice IP cuprins intre 199.95.207.0 to 199.95.207.255 inclusiv; iar digitii dupa '/' ne spun care parti din IP-uri sunt relevante in cazul nostru. '/32' sau '/255.255.255.255' este modul standard (default). Pentru a specifica orice ip putem folosi '/0', dupa cum urmeaza:
# ipchains -A input -s 0/0 -j DENY
Aceasta este rar folosit pentru ca efectul obtinut este la fel ca in cazul in care nu folosim de loc optiunea '-s'.
*Specificarea unei inversiuni
Multe flag-uri, incluzand optiunile '-s' and '-d' pot avea argumentele precedate de un '!' pentru a compara adrese care nu sunt echivalente cu cele date in linia de comanda. De exemplu '-s ! localhost' inseamna orice pachet care nu vine de la localhost.
*Specificarea Protocolului
Protocolul poate fi specificat cu flag-ul '-p'. Protocolul poate fi un numar (daca stii valorile numerice pentru IP) sau un nume pentru cazurile speciale de 'TCP', 'UDP' sau 'ICMP'. Cum este scris nu conteaza, asa ca 'tcp' merge la fel de bine ca si 'TCP'.
Numele protocolului poate fi precedat de un '!', pentru a fi inversat, such as '-p ! TCP' (expresia inseamna tot ce nu e TCP).
*Specificarea unei interfete
Optiunea '-i' (sau '--in-interface') si '-o' (sau '--out-interface') specifica numele interfetei. O interfata este un lucru fizic (modem, placa de retea etc…) prin care pachetul intra ('-i') sau prin care iese ('-o'). Poti folosi comanda
# ifconfig
pentru a vedea interfetele care sunt active.
Pentru pachetele care traverseaza chain-ul INPUT nu se poate specifica o interfata de iesire, deci orice regula din acest chain care contine optiunea '-o' este inutila. Similar, pachetele care traverseaza chain-ul OUTPUT nu au interfata de intrare, deci orice regula din acest chain in care exista optiunea '-i' este inutila.
Doar pachetele care traverseaza chain-ul FORWARD au atat interfata de intrare cat si interfata de iesire.
Nu este gresit daca se specifica o interfata care pentru moment nu este activa; regula nu se va potrivi niciunui pachet pana cand interfata nu va fi activata. Acest lucru este foarte util pentru legaturi dial-up (PPP point to point) de obicei interfata ppp0.
Un caz special, un nume de interfata al carei string se termina cu '+' specifica toate interfetele de acelas fel (chiar daca sunt activate sau nu). De exemplu, pentru a specifica o regula care sa se potriveasca pentru toate interfetele de gen PPP, se va folosi expresia-i ppp+.
Numele interfetei poate fi precedat de '!', aceasta regula se va referi la pachetele care nu vin sau ies prin acea interfata.
*Specificarea fragmentelor
Uneori un pachet este prea mare ca sa incapa prin ''fir'' intreg. Cand acest lucru se intampla pachetul este divizat in fragmente, si trimis ca mai multe pachete mai mici. Calculatorul care primeste aceste fragmente le va reasambla si va forma pachetul initial.
Problema cu aceste pachete este ca doar primul fragment din acestea contine in header informatii despre protocol (cum ar fi TCP, UDP si ICMP) si extensiile lui, iar restul de fragmente nu contin aceste lucruri, iar daca am incerca sa ne uitam in ele ar fi imposibil.
Daca tu faci ''connection tracking'' sau ''NAT'', atunci toate aceste fragmente vor fi fuzionate inainte de a ajunge la ''filtrul de pachete'', deci nu trebuie sa ne facem griji despre aceste fragmente. Atltfel, poti insera in kernel modulul 'ip_defrag.o' care face acelas lucru (nota, acest lucru este permis doar daca linux-box-ul tau este singura conexiune intre cele doua retele).
Altfel, este foarte important sa intelegem cum sunt tratate fragmentele de catre regulile de filtrare. Orice regula care cere informatii de la pe care nu le avem nu se va potrivi, aceasta inseamna ca primul fragment (cel care are specificat in header tot ce este necesar) va fi tratat ca pe un pachet, iar cel de-al doilea si restul de fragmente nu vor fi tratate corespunzator (pentru ca header-ul lor nu contine informatiile necesare). De aceea o regula de genul ''-p TCP --sport www'' (care specifica portul sursa al unui server 'www') nu va filtra fragmente (in afara de primul). La fel se va comporta si regula opusa ''-p TCP --sport ! www''.
Oricum, poti face o regula special pentru cel de-al doilea si urmatoarele fragmente folosind optiunea '-f' (sau '--fragment'). Valabila este si regula care nu se aplica pentru cel de-al doilea si urmatoarele fragmente daca punem optiunea ''!'' inaintea lui '-f'.
De obicei se zice ca este sigur (din punct de vedere al securitatii) sa lasi al doilea si celelalte fragmente sa treaca treaca, pentru ca filtrarea afecteaza decat primul fragment, si deci pachetul nu va putea fi reasamblat in partea cealalta, dar, exista bug-uri care vor face masina sa se ''prabuseasca'' doar prin simplul fapt ca aceasta trimite fragmente. Este decizia ta.
Ca un exemplu, urmatoarea regula va arunca toate fragmentele care se duc la IP-ul 192.168.1.1:
# iptables -A OUTPUT -f -d 192.168.1.1 -j DROP
*Extensii la iptables
Iptables este extensibil, asta insemnand ca atat kernel-ul cat si iptables se pot extinde pentru a ne asigura noi posibilitati.
Unele dintre aceste extensii sunt standard, si altele sunt mai mult exotice. Extensiile pot fi facute si de alti oameni si distibuite userilor.
Extensiile kernel-ului normal se gasesc in subdirectorul lui pentru module, cum este /lib/modules/2.3.15/net. Pe acestea trebuie sa le incarci in kernel automat pentru ca ele nu se autoincarca la cerere(Linux 2.3.15). Pe viitor ele se vor incarca automat.
Extensiile programului iptables sunt librarii ''sheruite'' care de obicei sunt gasite in directorul /usr/local/lib/iptables/, cu toate ca anumite distributii le pun in /lib/iptables sau /usr/lib/iptables.
Extensiile sunt de doua tipuri: tinte noi (new targets), si noi teste (new tests); mai jos vom vorbi despre ''noi tinte''. Anumite protocoale ofera ele noi teste: actual ele sunt TCP, UDP si ICMP cum sunt aratate mai jos.
Pe aceste noi teste le vei putea specifica in linia de comanda dupa optiunea '-p', care va incarca extensiile. Pentru teste noi explicite trebuie sa folosestei optiunea '-m' pentru a incarca extensia, doar dupa aceasta va fi aceasta accesibila.
Pentru a deschide manualul extensiei dupa ce o incarci ('-p' or '-m') foloseste optiunea '-h' sau '--help'.
**Extensii TCP
Extensiile TCP sunt incarcate automat daca este folosita comanda '--protocol tcp'. Aceastea vin cu urmatoarele optiuni (niciuna nu se refera si la fragmente, doar la pachete).
--tcp-flags
Daca dupa ele se pune (optional)'!', atunci doua stringuri te vor ajuta sa filtrezi flaguri specifice protocolului TCP. Primul string este un ''mask'': o lista de flaguri pe care vrei sao examinezi. Al doilea string iti spune pe care vrei sa le filtrezi. De exemplu:
# iptables -A INPUT --protocol tcp --tcp-flags ALL SYN,ACK -j DENY[/code]
Aceasta indica, ca toate flagurile trebuie examinate ('ALL' este sinonim cu 'SYN,ACK,FIN,RST,URG,PSH'), dar doar SYN si ACK vrei sa le setezi. Exista si un argument 'NONE' care inseamna nici un flag.
--syn
Urmat optional de '!', aceasta este o scurtare a comenzii'--tcp-flags SYN,RST,ACK SYN'.
--source-port
optional urmat de '!', si apoi de un singur port TCP, sau un interval de porturi. Porturile poti specificate prin numele lor, la fel ca in /etc/services, sau numerice. Intervalele sunt ori doua nume de porturi separate cu'-', sau (pentru a specifica un nr. mai mare sau egal cu portul dat) un port cu '-' inainte lui, sau (pentru a specifica un nr mai mic sau egal cu portul dat), un port precedat de'-'.
--sport
este sinonim cu '--source-port'.
--destination-port
and
--dport
sunt la fel ca si mai sus, numai ca ele specifica destinatia in loc de sursa portului care ne intereseaza sa-l filtram.
--tcp-option
urmat oprional de '!' siun numar, se refera la un pachet TCP care este egal cu acel numar. Un pachet care nu are un header TCP complet este aruncat (DROP) automat daca i se incearca examinarea optiunilor TCP.
O explicatie a flagurilor TCP
Este util sa permitem conexiuni TCP intr-o directie, dar nu si in cealalta. De exemplu, ai vrea sa se poata face conexiuni catre un server WWW exterior, dar sa nu existe conexiuni de la acel server la tine.
Te poti gandi sa blochezi pachetele care vin de la acel server. Dar din nefericire, ca o conexiune TCP sa mearga trebuie sa existe trafic in ambele directii.
Solutia este sa blochezi doar pachetele care cer ca o conexiune sa fi stabilita. Aceste pachete se numesc SYN (ok, tehnic ele sunt pachete cu flagul SYN setat, si flagurile FIN si ACK sunt sterse, dar noi le numim pe scurt pachete SYN). Blocand doar aceste pachete putem opri cererile de conexiuni si astfel niciuna nu poate fi facuta din exterior.
Flagul '--syn' este folosit pentru aceasta: este valid doar pentru regulile in care li se specifica ca protocol TCP-ul. Ca exemplu, pentru a specifica incercari de conexiuni de la IP-ul 192.168.1.1 se foloseste:
-p TCP -s 192.168.1.1 --syn
Acest flag poate fi inversat daca este precedat de un '!', aceasta inseamna orice pachet inafara de cele initiatoare de conexiuni TCP.
**Extensii UDP
Aceste extensii sunt incarcate automat daca este specificat protocolul UDP '--protocol udp'. Aici avem optiunile '--source-port', '--sport', '--destination-port' si '--dport' detaliate mai sus la protocolul TCP.
Extensii ICMP
Aceasta extensi este incarcata automat daca se specifica '--protocol icmp'. Aceasta ne da o singura optiune:
--icmp-type
urmat optional de '!', atunci un unme tip icmp (ex 'host-unreachable'), sau un tip numeric (ex. '3'), sau numeric si cod separat de'/' (ex. '3/3'). O lista de nume tip icmp se poate optine cu comanda '-p icmp --help'.
Alte extensii
Celelalte doua extensii sunt extensii demonstrative, care (daca sunt instalate) pot fi ''aduse la viata'' cu optiunea '-m'.
mac
acest modul trebuie explicit specificat cu '-m mac' sau '--match mac'. Este folosit pentru a filtra pachetele dupa adresa Ethernet (MAC), si este folositoare doar la regulile din chain-urile INPUT si FORWARD. De aduce o singura optiune:
--mac-source
optional urmata de '!', apoi o adresa ethernet scrisa in hexazecimale separate de '':'', ex '--mac-source 00:60:08:91:CC:B7'.
limit
acest modul trebuie explicit specificat cu '-m limit' sau '--match limit'. Este folosit pentru a limita rata de pachete acceptate. Unitatea de masura este numere de pachete pe secunda (default 3 pachete pe ora, cu o rafala de 5). Aceasta ne aduce doua argumente optionale:
--limit
urmat de un numar; specifica numarul medie maxim de pachete pe secunda care sunt lasate sa treaca. Numarul poate unitati explicite, folosind '/second', '/minute', '/hour' or '/day', sau parti din ele (deci '5/second' este la fel ca '5/s').
--limit-burst
urmata de un numar, defineste lungimea rafalei de pachete acceptate dupa care intra in actiune limita de mai sus.
Aceasta optiune poate fi folosita impreuna cu tinta ''LOG'' pentru a face ''rate-limited logging''. Prentru a intelege cum functioneaza, hai sa ne uitam la urmatoarea regula, care logheaza pachetele care au limita ''default'':
# iptables -A FORWARD -m limit -j LOG
Prima oara cand regula este indeplinita de un pachet, acesta va fi logat; de fapt, pentru ca rafala este de 5, primele cinci pachete vor fi logate. Dupa aceea, vor mai trece ica douazeci de minute pana cand urmatorul pachet va fi logat de la regula aceasta, netinand cont de cate pachete ajung la ea. Deasemenea, fiecare douazeci de minute care trec fara ca un pachet sa indeplineasca regula , o unitate din rafala va fi recapatata, daca nici un pachet nu se loveste de regula timp de 100 de minute rafala va reveni la 5; la fel ca la inceput.
Nu poti creea o regula a carei interval de timp de umplere a rafalei sa depaseasca 59 de ore, deci daca faci o regula care sa se reincarce o data pe zi, rafala trebie sa fie mai mica de 3.
unclean
Acest modul trebuie explicit specificat cu '-m unclean sau '--match unclean'. Acesta face analize aleatorii asupra integritatii pachetelor. Acesta nu trebuie folosit ca o optiune pentru securitate (probabil ca va inrautatii lucrurile, pentru ca s-ar putea ca sa aiba bug-uri). Nu vine cu nici o optiune.

===Specificarea tintelor===
Acum stim cum sa examinam un pachet, trebuie sa stim ce sa facem cu pachetele care se potrivesc regulilor noastre. Aceasta se numeste ''Tinta regulii'' (rule's target).
Exista doua tinte foarte simple: DROP (arunca) si ACCEPT(accepta). Deja le stim pe acestea. Daca pachetul indeplineste regula si tinta ei este una din cele doua, nu vor mai fi consultate alte reguli: soarta pachetului a fost decisa.
There are two types of targets other than the built-in ones: extensions and user-defined chains.
Chain-uri definite de utilizator (User-defined chains)
O puternica abilitate pe care iptables a mostenit-o de la ipchains este abilitatea de a creea chain-uri definite de utilizator (adica alte chain-uri inafara de cele trei de baza INPUT, FORWARD si OUTPUT).
Cand un pachet se potriveste unei reguli a carei tinta este un chain definit de utilizator, pachetul incepe sa confrunte reguluile sin chain-ul definit de utilizator. Daca acel chain nu decide soarta pachetului, adica a parcurs toate regulile din acel chain definit de utilizator, atunci pachetul incepe sa confrunte regula imegiat urmatoare regulei a carei tinta a fost chainul definit de utilizator.
Din nou este vremea pentru ASCII art. Sa zicem ca avem doua chain-uri Consider two (prostute): INPUT (chain-ul de baza) si test (un chain definit de utilizator cu optiunea ''-N''). CLIC

Chain-urile definite de utilizator pot sari catre alte chain-uri definite de utilizator (dar nu au voie sa fac bucle inchise: pachetele care intra in bucle inchise vor fi aruncate).
Extensia: New Targets
Clealat tip de tinta este o extensie. Aceastea constau intr-un modul pentru kernel, care ne asigura noi optiuni in linia de comanda. Exista cateva extensii in distributia default a pachetului netfilter:
*LOG
Acest modul logheaza pachetele care indeplinesc o anumita regula a carei tinta este ''LOG''. Acesta vine cu urmatoarele optiuni:
--log-level
Urmata de un nume sau numar. Numele sunt (case-insensitive) 'debug', 'info', 'notice', 'warning', 'err', 'crit', 'alert' si 'emerg', care corespund numerelor de la 7 la 0. Uta-te la ''man page-ul'' pentru syslog.conf pentru o explicatie a acestor nivele.
--log-prefix
Urmat de un sting de maxim 14 caractere, acest mesaj este trimis la inceputul logului pentru a fi unic.
Acest modul este forte util dupa o tinta care limiteaza pentru a nu-ti inunda (food) logurile.
*REJECT
Acest modul are acelas efect ca modulul 'DROP', numai ca expeditorului ii este trimis un mesaj de eroare de tip ICMP 'port unreachable'. Nota: mesajul de eroare de tip ICMP nu este trimis daca (vezi RFC 1122):
Pachetul filtrat era chiar el un mesaj de eroare de tip ICMP, sau un tip necunoscut de ICMP.
Pachetul filtrat nu era primul fragment dintr-un lant de fragmente.
Am trimis prea multe mesaje de eroare de tip ICMP la acea destinatie intr-un anumit timp.
Tinte speciale
Exista doua tinte speciale care vin o dat cu distributia: RETURN si QUEUE.
*RETURN are acelas efect ca si cum ar sari de la sfarsitul unui chain: pentru unul dintre cele trei chain-uri de baza, soarta pachetului va fi decisa de politica acestuia. Pentru o regula dintr-un chain definit de utilizator, traversarea continua exact dupa regula de la care a fost aruncat pachetul in chain-ul definit de utilizator. Daca o regula (nu este neaparat sa fie ultima din chain) dintr-un chain definit de utilizator are tinta RETURN si aceasta se potriveste unui pachet, aceasta il va trimite inapoi la chainul de unde a venit, cu mentiunea ca este respectata traversearea regulilor, adica la regula exact urmatoare celei care a trimis pachetul in chain-ul definit de utilizator.
*QUEUE este o tinta speciala, care ''pastreaza'' pachetul pentru procesarea facuta de useri. Daca pachetul nu este asteptat de vreo aplicatie acesta va fi aruncat.

===Operatii cu un Chain intreg===
O abilitate foarte utila a programului iptables este gruparea regurilor in chainuri (seturi de reguli). Poti denumi chainurile definite de utilizator cum vrei, dar este rcomandat sa le denumesti cu caractere mici pentru a nu le confunda cu cele trei chainuri de baza; numele acestora poate sa fie maxim din 16 litere.
*Crearea unui nou chain
Hai sa creem un nou chain. Pentru ca eu sunt un tip cu imaginatie am sa-l numesc test. Vom folosi optiunile '-N' sau '--new-chain':
# iptables -N test
Este chiar atat de simplu. Acum poti pune reguli in el dupa cum a fost aratat mai sus.
*Stergerea unui Chain
Stergerea unui chain este la fel de simplu, folosind optiunea '-X' sau '--delete-chain'. De ce '-X'? Pai…, toate literele frumoase au fost luate deja.
# iptables -X test
Exista cateva restrictii cand stergem un chain: acesta trebuie sa fie gol (vezi golirea unui chain mai jos) si nu trebuie sa fie tinta vreunei reguli. Chainurile de baza nu pot fi sterse.
Daca nu se specifica numele chainului de sters, atunci toate chain-urile definite de utilizator vor fi sterse, daca este posibil.
*Golirea unui Chain
Exista un mod simplu prin care se poate goli un cahin de toate regulile care exista in el, folosind comanda '-F' (sau '--flush').
# ipchains -F forward
Daca nu se specifica chain-ul atunci toate chainurile vor fi golite.
*Listarea unui chain
Poti vedea toate regulile existente intr-un chain cu comanda '-L'.
Daca nu este specificat numele chain-ului atunci sunt listate toate regulile existente in ''filtrul de pachete''.
Exista trei optiuni care acompaniaza comanda '-L'. Optiunea '-n' (numeric) pentru ca ea previne ca iptables sa incerce sa caute adresa IP, care (daca folosesti DNS ca majoritatea oamenilor) va cauza delay-uri foarte mari in caz ca DNS-ul nu este setat cum trebuie, sau daca filtrezi cererile de DNS (Domain Name Server).
Optiunea '-v' va arata toate detaliile unei raguli, cum sunt pachetele si contuarele de biti, comparatiile TOS, si interfetele. Altfel aceste valori sunt omise.
Nota: pachetele si contoarele de biti sunt afisate folosin sufixele 'K', 'M' sau 'G' pentru 1000, 1,000,000 si respectiv 1,000,000,000. Folosind optiunea '-x' (expand numbers) vor fi aratate ca numere netinand cont de cat de mari sunt acestea.
*Resetarea (Zeroing) Contoarelor
Este util sa poti reseta contoarele. Acest lucru poate fi facut cu optiunea '-Z' (sau '--zero')
Problema cu acest lucru este ca, uneori, trebuie sa stii valorile contoarelor imediat inainte de a fi aduse la zero. In exemplul de mai sus, anumite pachete pot trece in dupa ce folosesti optiunea '-L' si pana folosesti optiunea '-Z'. Pentru acest motiv, poti folosi optiunile '-L' si '-Z' impreuna, pentru a reseta contuarele in timp ce le vizualizezi.
*Setarea politicii
Doar chain-urile de baza (INPUT, OUTPUT and FORWARD) au o politica, pentru ca daca un pachete este confruntat cu un regulile dintr-un chain definit de utilizator si inca nu i se decide soarta, acesta isi continua drumul intr-un chain de baza.
Politica poate fi ACCEPT(accepta) sau DROP (arunca).

----

Traducerea si adaptarea a fost facuta (initial) de Razvan Turtureanu (razvan@upb.ro)

[[Category:Tutorial]]
[[Category:Networking]]
[[Category:Firewall]]

Iptables romana

2006-01-03T07:26:41Z

Raptor: /* Ce vezi atunci cand porneste calculatorul */

== Cuvânt introductiv ==
Pentru început, vreau să spun că eu nu ştiu mai mult decât alţii şi spun asta pentru că am intrat în contact cu câţiva oameni care într-adevăr ştiu multe despre [http://ro.wikipedia.org/wiki/Linux Linux]. Eu nu am făcut decât să traduc acest ''HowTo'', iar dacă (mai mult ca sigur) voi găsiţi greşeli de traducere sau de adaptare, vă rog să îmi atrageţi atenţia scriindu-mi un mesaj de [mailto:razvan@upb.ro poştă electronică]. Dacă intraţi în posesia acestui fişier şi ştiţi pe cineva care îl vrea, vă rog să îl daţi pe gratis, adica aşa cum l-aţi primit şi voi pentru că nici măcar eu nu am cerut bani pe el. Sper sa vă ajute, cel puţin la fel de mult cât m-a ajutat şi pe mine, iar dacă aveţi neclarităţi scrieţi-mi un mesaj şi vă voi răspunde în măsura în care pot şi am timp.

==Ce este filtrarea de pachete?==

=== Bazele reţelisticii ===
Tot traficul dintr-o reţea este transmis sub formă de pachete. De exemplu, descărcând acest document (să zicem că are 50ko) s-ar putea ca tu să primeşti 36 de pachete a câte 1460 octeţi fiecare.

Antetul (engl. [http://en.wikipedia.org/wiki/Header_%28information_technology%29 header]) fiecărui pachet spune unde se duce, de unde vine, tipul pachetului precum şi alte detalii administrative. Restul pachetului, conţinând datele care ne sunt transmise, se numeşte corpul (engl. [http://en.wikipedia.org/wiki/Packet body]) sau conţinutul pachetului.

Câteva protocoale, de exemplu TCP care este folosit (spre exemplu) pentru traficul de web, poştă şi sesiuni de terminal de la distanţă, folosesc principiul de forma o conexiune inainte de a transmite pachete cu datele care ne interesează. Astfel, varii pachete de ''început'' (cu antete speciale) sunt schimbate care spun 'Vreau să mă conectez', 'Bine' şi 'Mulţumesc' (procedură cunoscută ca negociere bilaterală -- engl. [http://en.wikipedia.org/wiki/Transmission_Control_Protocol#Connection_establishment_.283-way_handshake.29 3-way handshaking]). Abia apoi începe schimbul de pachete conţinând datele ce trebuie să tranziteze conexiunea proaspăt creeată.

===Deci ce este un ''filtru de pachete''?===
Un filtru de pachete este un program care se uită în header-ul pachetelor care trec şi le decide soarta. El poate să ''arunce'' pachetul (să îl neglijeze ca şi cum nu ar fi fost primit), să ''accepte'' pachetul (să îl lase să treacă), sau să ''rejecteze'' pachetul (îl aruncă dar şi spune sursei de la care a venit că l-a aruncat).
Sub Linux, filtrarea de pachete este construită în kernel (ca modul sau chiar în el) şi există câteva lucruri mai deosebite pe care le putem face cu pachetele (putem de exemplu să modificăm sursa sau destinaţia acestuia înainte de a-l trimite mai departe), dar principiul general de a ne uita în antetul pachetului şi să-i decidem soarta este înca acolo.

===De ce aş vrea să filtrez pachete?===
*Control:
Cand foloseşti un ''linux-box'' ca să conectezi reţeaua ta internă la o altă reţea (să zicem Internetul) ai oportunitatea de a lăsa numai anumite feluri de trafic sa treacă şi să nu laşi să treacă pe altele. De exemplu, antetul pachetului conţine destinaţia sa şi poţi preveni ca pachetele să ajungă într-o anumită parte a reţelei externe. Ca un alt exemplu, eu folosesc Netscape ca sa accesez arhivele Dilbert. Pe acea pagină sunt reclame de la doubleclick.net, şi Netscape-ul îmi pierde timpul deschizându-le. Spunându-i ''filtrului de pachete'' să nu lase să treacă pachete spre doubleclick.net sau să vină de la el rezolvă aceasta problemă.
*Securitate:
Când Linux-box-ul tău este singurul lucru care stă între haosul din Internet şi reţeaua ta privată, este bine de ştiut că poţi restricţiona ceea ce face ''tărăboi la uşa ta''. De exemplu, poţi lăsa să treacă ceea ce pleacă din interiorul reţelei interne, dar ar trebui să te îngrijoreze vestitul 'Ping of Death' care vine de la străini, sau diverşi alţi viruşi ce se propagă prin Internet. Ca un alt exemplu, nu ai vrea ca cei din afară să se conecteze prin ssh (sau mult mai vechiul telnet) la serverul tău, chiar dacă toate conturile din el sunt protejate de o parolă; având un filtru de pachete care să ''arunce'' pachetele cu antete speciale care sunt folosite pentru a deschide conexiuni din exterior.
*Supraveghere:
Uneori o maşină din interior prost configurată (sau un virus de exemplu) poate decide să împraştie pachete lumii exterioare. Este frumos să-i spui ''filtrului de pachete'' să te înştiinţeze când se întâmplă ceva care nu face parte din normal,nu de alta dar poate faci ceva în legatură cu lucrul acesta sau poate eşti curios din fire să ştii ceea ce se intâmplă în reţeaua ta internă.

===Cum filtrez pachete sub Linux?===
Kernel-ele Linux-ului au avut filtre de pachete chiar de la versiunea 1.1. Prima generaţie, bazată pe ''ipfw'' de la BSD, a fost introdusă de Alan Cox in 1994. Aceasta a fost modificată şi întărită de Jos Vos şi alţii pentru Linux 2.0. În 1998, pentru Linux 2.2, eu am modificat radical kernelul, cu ajutorul lui Michael Neuling şi am introdus programul 'ipchains'. În final, a patra generaţie a filtrului, 'iptables', şi o altă modificare a kernelului au apărut în 1999 pentru Linux 2.4. Pe iptables ne vom concentra în acest HOWTO.
Programul iptables vorbeşte cu kernel-ul şi îi spune ce pachete să filtreze. Dacă nu eşti programator sau prea curios, în acest fel vei controla ''filtrul de pachete''.
Programul iptables inserează sau şterge reguli din ''tabelul'' de reguli de filtrare al kernelului. Aceasta înseamnă că orice ai seta, se va pierde când vei reporni maşina; vezi [[#Cum să faci regulile permanente]] pentru a te asigura că data viitoare când porneşti maşina ele sunt încă acolo.
iptables înlocuieşte ipfwadm şi ipchains: vezi [[http://www.telematik.informatik.uni-karlsruhe.de/lehre/seminare/LinuxSem/downloads/netfilter/iptables-HOWTO-6.html|Cum să folosesti ipchains şi ipfwadm]] pentru a evita folosirea iptables dacă deja foloseşti ipchains sau ipfwadm.

===Cum să faci regulile permanente===
Firewall-ul tău curent este stocat în kernel şi de aceea va fi pierdut când reporneşti maşina. Scriind
# iptables-save
şi
# iptables-restore
este ceea ce vă recomand.
Între timp, pune comanda necesară pentru a-ţi seta regulile într-un script de iniţializare. Asigură-te că faci ceva inteligent în caz că una din comenzi nu merge (de obicei 'exec /sbin/sulogin').

==Cine oare eşti şi de ce te joci cu kernelul meu?==
Eu sunt Rusty; eu sunt cel care întreţine ''Linux IP Firewall'' şi sunt doar un programator decent care s-a întâmplat să fie la locul potrivit în timpul potrivit. Eu am scris ipchains (mecanismul firewall anterior, din kernelul 2.2) şi am învăţat destule ca să fac să meargă ''filtrul de pachete'' iptables cum trebuie. Cel puţin sper.

==Cum traversează pachetele filtrul?==
Kernel-ul porneşte cu trei liste de reguli; aceste liste se numesc ''firewall chains'' sau doar ''chains''. Cele trei chain-uri se numesc INPUT, OUTPUT şi FORWARD.
Pentru fanii ASCII-art, chain-urile sunt aranjate cam aşa:

_____
/ \
-->[Routing ]--->|FORWARD|------->
[Decision] \_____/ ^
| |
v ____
___ / \
/ \ |OUTPUT|
|INPUT| \____/
\___/ ^
| |
----> Local Process ----

Cele trei cicluri reprezentate sunt chain-urile menţionate mai sus. Când un pachet ajunge într-un ciclu din diagramă, acel chain este examinat pentru a decide soarta pachetului. Dacă chain-ul decide să arunce pachetul (DROP), va fi ''omorât'' acolo, dar dacă chain-ul spune că pachetul trebuie acceptat (ACCEPT), el continuă sa circule prin diagramă către următorul chain.
Un chain este un ''set ordonat de reguli''. Fiecare regulă spune 'dacă header-ul pachetului arata aşa, atunci ce vrei să faci cu pachetul'. Dacă regula nu este îndeplinită de pachet, apoi este consultată următoarea regulă din set. În final, dacă nu mai sunt reguli de consultat pentru acel chain, kernel-ul se uită la politica ''setului de reguli'' (adică politica chain-ului) pentru a decide ce se va întâmpla cu pachetul. Într-un sistem riguros din punct de vedere al securităţii politica ''setului de reguli'' îi spune kernel-ului să arunce pachetul (DROP).
Cand un pachet soseşte (să zicem, printr-o interfaţă Ethernet) kernelul se uită prima oară la destinaţia lui: acest lucru se numeşte 'routing' (sau rutare).
Dacă pachetul este chiar pentru calculatorul tău, el va merge în jos către chain-ul INPUT. Dacă trece de acesta (după verificarea pachetului împotriva fiecărei reguli din chain) orice proces care îl aşteaptă îl va primi.
Altfel, dacă pachetul nu este pentru calculatorul tau şi dacă kernelul nu are forwarding-ul activat, sau nu ştie cum să forward-eze pachetul, acesta va fi aruncat (DROP). Dacă forwarding-ul este activat şi pachetul este destinat către o altă interfaţă de reţea (dacă mai ai încă una), atunci pachetul merge înainte în diagrama noastră spre chain-ul FORWARD. Dacă este acceptat de către acesta el va fi trimis în afară.
Şi în sfârşit, un program care rulează chiar în calculatorul tău poate trimite pachete în reţea. Aceste pachete trec prin chain-ul OUTPUT: dacă acesta le acceptă (ACCEPT), atunci pachetul işi continua drumul către destinaţia sa, oricare ar fi aceasta şi prin orice interfaţa.

==Folosirea iptables==
iptables are un manual foarte detaliat (man iptables), dacă ai nevoie de detalii.
Există câteva lucruri diferite pe care le poţi face cu iptables. În primul rând operaţii cu care poţi face management pe un întreg ''set de reguli''. La început există trei chain-uri INPUT, OUTPUT şi FORWARD pe care nu le poţi şterge. Operaţiile sunt:
*Crearea unui nou chain (-N).
*Ştergerea unui chain gol (-X).
*Schimbarea politicii unuia dintre chain-urile standard (INPUT, OUTPUT şi FORWARD). (-P).
*Listarea regulilor dintr-un chain (-L).
*Ştergerea tuturor regulilor dintr-un chain (-F).
*Readucerea la zero a contoarelor regulilor dintr-un chain (-Z).
Există şi moduri de manipulare a unei singure reguli dintr-un chain:
*Ataşarea unei noi reguli (-A).
*Inserarea unei noi reguli într-o anume poziţie într-un chain (-I).
*Înlocuirea unei reguli într-o anume poziţie a unui chain (-R).
*Ştergerea unei reguli (-D).

===Ce vezi atunci cand porneste calculatorul===
Pentru moment (Linux 2.3.15), iptables este un modul numit ('iptables.o'). Va trebui să-l inserezi în kernel înainte de a putea folosi comanda iptables. Pe viitor, va fi posibil ca el să fie deja construit în kernel.
Înainte de orice comandă iptables să fie rulată (ai grijă: unele distribuţii vor rula iptables în scripturile lor de iniţializare), nu va exista nici o regulă în cele trei chain-uri de bază ('INPUT', 'FORWARD' şi 'OUTPUT'), chain-urile INPUT şi OUTPUT vor avea politica setată pe ACCEPT, şi chain-ul FORWARD va fi setat pe DROP (poţi schimba acest lucru setând 'forward=1' in opţiunile modulului iptables).

===Operatii cu o singura regula===
Acestea sunt ''painea si cutitul'' unui filtru de pachete; manipularea regulilor. Cel mai des probabil ca vei folosi comenzile de atasare (-A) si stergere (-D). Celelalte (-I pentru inserare si -R pentru inlocuire) sunt simple extensii ale acestor concepte.
Fiecare regula specifica un set de conditii pe care trebuie sa le indeplineasca un pachet, si ce sa faca in caz ca le indeplineste (o tinta 'target'). De exemplu, vrei sa arunci toate pachetele de tip ICMP care vin de la IP-ul 127.0.0.1. Deci in acest caz conditiile noastre sunt ca protocolul trebuie sa fie ICMP si sursa de la care vin pachetele este IP-ul 127.0.0.1. tinta noastra este aruncarea lor (DROP).
127.0.0.1 este interfata 'loopback', pe care o ai char daca nu ai vreo legatura fizica la vreo retea. Poti folosi programul 'ping' pentru a genera asemenea pachete si a testa o astfel de regula.
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.2 ms

--- 127.0.0.1 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.2/0.2/0.2 ms
# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes

--- 127.0.0.1 ping statistics ---
1 packets transmitted, 0 packets received, 100% packet loss
Poti vedea aici ca ping-ul a avut scces (prin '-c 1' i-am spus programului ping sa trimita un singur pachet).
Apoi atasam (-A) chain-ului 'INPUT', o regula in care specificam ca pachetele care vin de la IP-ul 127.0.0.1 ('-s 127.0.0.1') prin protocolul ICMP ('-p icmp') ar terbui sa le dam DROP ('-j DROP').
Apoi testam regula noastra, folosind un al doilea ping. Va fi o pauza pana cand programul renunta sa mai astepte raspunsul care nu va veni niciodata.
Putem sterge aceasta regula in mai multe feluri. In primul rand, pentru ca stim ca este singura regula in chain-ul input, putem folosi o stergere in care specificam pozitia reguluii:
# iptables -D INPUT 1

----

Al doilea mod prin care putem sterge regula este sa oglindim comanda –A, inlocuind –A cu -D. Acest lucru este folositor cand avem un set complex de reguli. In acest caz folosim:
# ipchains -D INPUT -s 127.0.0.1 -p icmp -j DROP

===Specificatii ale filtrarii===
Am vazut folosirea '-p' pentru a specifica protocolul, si '-s' pentru a specifica adresa sursa, dar sunt si alte optiuni cu care putem specifica caracteristici ale pachetelor
*Specificarea adresei Sursa si adresa Destinatie.
Sursa ('-s', '--source' or '--src') si destinatia ('-d', '--destination' or '--dst') IP-ului poate fi specificata in patru moduri. Cel mai des intalnit este folosirea numelui intreg, cum ar fi 'localhost' sau 'www.linuxhq.com'. Al doilea mod este folosirea de adrese IP cum ar fi '127.0.0.1'.
Al treilea si al patrulea mod este specificarea unui interval de IP-uri, cum sunt '199.95.207.0/24' sau '199.95.207.0/255.255.255.0'. Amandoua specifica orice IP cuprins intre 199.95.207.0 to 199.95.207.255 inclusiv; iar digitii dupa '/' ne spun care parti din IP-uri sunt relevante in cazul nostru. '/32' sau '/255.255.255.255' este modul standard (default). Pentru a specifica orice ip putem folosi '/0', dupa cum urmeaza:
# ipchains -A input -s 0/0 -j DENY
Aceasta este rar folosit pentru ca efectul obtinut este la fel ca in cazul in care nu folosim de loc optiunea '-s'.
*Specificarea unei inversiuni
Multe flag-uri, incluzand optiunile '-s' and '-d' pot avea argumentele precedate de un '!' pentru a compara adrese care nu sunt echivalente cu cele date in linia de comanda. De exemplu '-s ! localhost' inseamna orice pachet care nu vine de la localhost.
*Specificarea Protocolului
Protocolul poate fi specificat cu flag-ul '-p'. Protocolul poate fi un numar (daca stii valorile numerice pentru IP) sau un nume pentru cazurile speciale de 'TCP', 'UDP' sau 'ICMP'. Cum este scris nu conteaza, asa ca 'tcp' merge la fel de bine ca si 'TCP'.
Numele protocolului poate fi precedat de un '!', pentru a fi inversat, such as '-p ! TCP' (expresia inseamna tot ce nu e TCP).
*Specificarea unei interfete
Optiunea '-i' (sau '--in-interface') si '-o' (sau '--out-interface') specifica numele interfetei. O interfata este un lucru fizic (modem, placa de retea etc…) prin care pachetul intra ('-i') sau prin care iese ('-o'). Poti folosi comanda
# ifconfig
pentru a vedea interfetele care sunt active.
Pentru pachetele care traverseaza chain-ul INPUT nu se poate specifica o interfata de iesire, deci orice regula din acest chain care contine optiunea '-o' este inutila. Similar, pachetele care traverseaza chain-ul OUTPUT nu au interfata de intrare, deci orice regula din acest chain in care exista optiunea '-i' este inutila.
Doar pachetele care traverseaza chain-ul FORWARD au atat interfata de intrare cat si interfata de iesire.
Nu este gresit daca se specifica o interfata care pentru moment nu este activa; regula nu se va potrivi niciunui pachet pana cand interfata nu va fi activata. Acest lucru este foarte util pentru legaturi dial-up (PPP point to point) de obicei interfata ppp0.
Un caz special, un nume de interfata al carei string se termina cu '+' specifica toate interfetele de acelas fel (chiar daca sunt activate sau nu). De exemplu, pentru a specifica o regula care sa se potriveasca pentru toate interfetele de gen PPP, se va folosi expresia-i ppp+.
Numele interfetei poate fi precedat de '!', aceasta regula se va referi la pachetele care nu vin sau ies prin acea interfata.
*Specificarea fragmentelor
Uneori un pachet este prea mare ca sa incapa prin ''fir'' intreg. Cand acest lucru se intampla pachetul este divizat in fragmente, si trimis ca mai multe pachete mai mici. Calculatorul care primeste aceste fragmente le va reasambla si va forma pachetul initial.
Problema cu aceste pachete este ca doar primul fragment din acestea contine in header informatii despre protocol (cum ar fi TCP, UDP si ICMP) si extensiile lui, iar restul de fragmente nu contin aceste lucruri, iar daca am incerca sa ne uitam in ele ar fi imposibil.
Daca tu faci ''connection tracking'' sau ''NAT'', atunci toate aceste fragmente vor fi fuzionate inainte de a ajunge la ''filtrul de pachete'', deci nu trebuie sa ne facem griji despre aceste fragmente. Atltfel, poti insera in kernel modulul 'ip_defrag.o' care face acelas lucru (nota, acest lucru este permis doar daca linux-box-ul tau este singura conexiune intre cele doua retele).
Altfel, este foarte important sa intelegem cum sunt tratate fragmentele de catre regulile de filtrare. Orice regula care cere informatii de la pe care nu le avem nu se va potrivi, aceasta inseamna ca primul fragment (cel care are specificat in header tot ce este necesar) va fi tratat ca pe un pachet, iar cel de-al doilea si restul de fragmente nu vor fi tratate corespunzator (pentru ca header-ul lor nu contine informatiile necesare). De aceea o regula de genul ''-p TCP --sport www'' (care specifica portul sursa al unui server 'www') nu va filtra fragmente (in afara de primul). La fel se va comporta si regula opusa ''-p TCP --sport ! www''.
Oricum, poti face o regula special pentru cel de-al doilea si urmatoarele fragmente folosind optiunea '-f' (sau '--fragment'). Valabila este si regula care nu se aplica pentru cel de-al doilea si urmatoarele fragmente daca punem optiunea ''!'' inaintea lui '-f'.
De obicei se zice ca este sigur (din punct de vedere al securitatii) sa lasi al doilea si celelalte fragmente sa treaca treaca, pentru ca filtrarea afecteaza decat primul fragment, si deci pachetul nu va putea fi reasamblat in partea cealalta, dar, exista bug-uri care vor face masina sa se ''prabuseasca'' doar prin simplul fapt ca aceasta trimite fragmente. Este decizia ta.
Ca un exemplu, urmatoarea regula va arunca toate fragmentele care se duc la IP-ul 192.168.1.1:
# iptables -A OUTPUT -f -d 192.168.1.1 -j DROP
*Extensii la iptables
Iptables este extensibil, asta insemnand ca atat kernel-ul cat si iptables se pot extinde pentru a ne asigura noi posibilitati.
Unele dintre aceste extensii sunt standard, si altele sunt mai mult exotice. Extensiile pot fi facute si de alti oameni si distibuite userilor.
Extensiile kernel-ului normal se gasesc in subdirectorul lui pentru module, cum este /lib/modules/2.3.15/net. Pe acestea trebuie sa le incarci in kernel automat pentru ca ele nu se autoincarca la cerere(Linux 2.3.15). Pe viitor ele se vor incarca automat.
Extensiile programului iptables sunt librarii ''sheruite'' care de obicei sunt gasite in directorul /usr/local/lib/iptables/, cu toate ca anumite distributii le pun in /lib/iptables sau /usr/lib/iptables.
Extensiile sunt de doua tipuri: tinte noi (new targets), si noi teste (new tests); mai jos vom vorbi despre ''noi tinte''. Anumite protocoale ofera ele noi teste: actual ele sunt TCP, UDP si ICMP cum sunt aratate mai jos.
Pe aceste noi teste le vei putea specifica in linia de comanda dupa optiunea '-p', care va incarca extensiile. Pentru teste noi explicite trebuie sa folosestei optiunea '-m' pentru a incarca extensia, doar dupa aceasta va fi aceasta accesibila.
Pentru a deschide manualul extensiei dupa ce o incarci ('-p' or '-m') foloseste optiunea '-h' sau '--help'.
**Extensii TCP
Extensiile TCP sunt incarcate automat daca este folosita comanda '--protocol tcp'. Aceastea vin cu urmatoarele optiuni (niciuna nu se refera si la fragmente, doar la pachete).
--tcp-flags
Daca dupa ele se pune (optional)'!', atunci doua stringuri te vor ajuta sa filtrezi flaguri specifice protocolului TCP. Primul string este un ''mask'': o lista de flaguri pe care vrei sao examinezi. Al doilea string iti spune pe care vrei sa le filtrezi. De exemplu:
# iptables -A INPUT --protocol tcp --tcp-flags ALL SYN,ACK -j DENY[/code]
Aceasta indica, ca toate flagurile trebuie examinate ('ALL' este sinonim cu 'SYN,ACK,FIN,RST,URG,PSH'), dar doar SYN si ACK vrei sa le setezi. Exista si un argument 'NONE' care inseamna nici un flag.
--syn
Urmat optional de '!', aceasta este o scurtare a comenzii'--tcp-flags SYN,RST,ACK SYN'.
--source-port
optional urmat de '!', si apoi de un singur port TCP, sau un interval de porturi. Porturile poti specificate prin numele lor, la fel ca in /etc/services, sau numerice. Intervalele sunt ori doua nume de porturi separate cu'-', sau (pentru a specifica un nr. mai mare sau egal cu portul dat) un port cu '-' inainte lui, sau (pentru a specifica un nr mai mic sau egal cu portul dat), un port precedat de'-'.
--sport
este sinonim cu '--source-port'.
--destination-port
and
--dport
sunt la fel ca si mai sus, numai ca ele specifica destinatia in loc de sursa portului care ne intereseaza sa-l filtram.
--tcp-option
urmat oprional de '!' siun numar, se refera la un pachet TCP care este egal cu acel numar. Un pachet care nu are un header TCP complet este aruncat (DROP) automat daca i se incearca examinarea optiunilor TCP.
O explicatie a flagurilor TCP
Este util sa permitem conexiuni TCP intr-o directie, dar nu si in cealalta. De exemplu, ai vrea sa se poata face conexiuni catre un server WWW exterior, dar sa nu existe conexiuni de la acel server la tine.
Te poti gandi sa blochezi pachetele care vin de la acel server. Dar din nefericire, ca o conexiune TCP sa mearga trebuie sa existe trafic in ambele directii.
Solutia este sa blochezi doar pachetele care cer ca o conexiune sa fi stabilita. Aceste pachete se numesc SYN (ok, tehnic ele sunt pachete cu flagul SYN setat, si flagurile FIN si ACK sunt sterse, dar noi le numim pe scurt pachete SYN). Blocand doar aceste pachete putem opri cererile de conexiuni si astfel niciuna nu poate fi facuta din exterior.
Flagul '--syn' este folosit pentru aceasta: este valid doar pentru regulile in care li se specifica ca protocol TCP-ul. Ca exemplu, pentru a specifica incercari de conexiuni de la IP-ul 192.168.1.1 se foloseste:
-p TCP -s 192.168.1.1 --syn
Acest flag poate fi inversat daca este precedat de un '!', aceasta inseamna orice pachet inafara de cele initiatoare de conexiuni TCP.
**Extensii UDP
Aceste extensii sunt incarcate automat daca este specificat protocolul UDP '--protocol udp'. Aici avem optiunile '--source-port', '--sport', '--destination-port' si '--dport' detaliate mai sus la protocolul TCP.
Extensii ICMP
Aceasta extensi este incarcata automat daca se specifica '--protocol icmp'. Aceasta ne da o singura optiune:
--icmp-type
urmat optional de '!', atunci un unme tip icmp (ex 'host-unreachable'), sau un tip numeric (ex. '3'), sau numeric si cod separat de'/' (ex. '3/3'). O lista de nume tip icmp se poate optine cu comanda '-p icmp --help'.
Alte extensii
Celelalte doua extensii sunt extensii demonstrative, care (daca sunt instalate) pot fi ''aduse la viata'' cu optiunea '-m'.
mac
acest modul trebuie explicit specificat cu '-m mac' sau '--match mac'. Este folosit pentru a filtra pachetele dupa adresa Ethernet (MAC), si este folositoare doar la regulile din chain-urile INPUT si FORWARD. De aduce o singura optiune:
--mac-source
optional urmata de '!', apoi o adresa ethernet scrisa in hexazecimale separate de '':'', ex '--mac-source 00:60:08:91:CC:B7'.
limit
acest modul trebuie explicit specificat cu '-m limit' sau '--match limit'. Este folosit pentru a limita rata de pachete acceptate. Unitatea de masura este numere de pachete pe secunda (default 3 pachete pe ora, cu o rafala de 5). Aceasta ne aduce doua argumente optionale:
--limit
urmat de un numar; specifica numarul medie maxim de pachete pe secunda care sunt lasate sa treaca. Numarul poate unitati explicite, folosind '/second', '/minute', '/hour' or '/day', sau parti din ele (deci '5/second' este la fel ca '5/s').
--limit-burst
urmata de un numar, defineste lungimea rafalei de pachete acceptate dupa care intra in actiune limita de mai sus.
Aceasta optiune poate fi folosita impreuna cu tinta ''LOG'' pentru a face ''rate-limited logging''. Prentru a intelege cum functioneaza, hai sa ne uitam la urmatoarea regula, care logheaza pachetele care au limita ''default'':
# iptables -A FORWARD -m limit -j LOG
Prima oara cand regula este indeplinita de un pachet, acesta va fi logat; de fapt, pentru ca rafala este de 5, primele cinci pachete vor fi logate. Dupa aceea, vor mai trece ica douazeci de minute pana cand urmatorul pachet va fi logat de la regula aceasta, netinand cont de cate pachete ajung la ea. Deasemenea, fiecare douazeci de minute care trec fara ca un pachet sa indeplineasca regula , o unitate din rafala va fi recapatata, daca nici un pachet nu se loveste de regula timp de 100 de minute rafala va reveni la 5; la fel ca la inceput.
Nu poti creea o regula a carei interval de timp de umplere a rafalei sa depaseasca 59 de ore, deci daca faci o regula care sa se reincarce o data pe zi, rafala trebie sa fie mai mica de 3.
unclean
Acest modul trebuie explicit specificat cu '-m unclean sau '--match unclean'. Acesta face analize aleatorii asupra integritatii pachetelor. Acesta nu trebuie folosit ca o optiune pentru securitate (probabil ca va inrautatii lucrurile, pentru ca s-ar putea ca sa aiba bug-uri). Nu vine cu nici o optiune.

===Specificarea tintelor===
Acum stim cum sa examinam un pachet, trebuie sa stim ce sa facem cu pachetele care se potrivesc regulilor noastre. Aceasta se numeste ''Tinta regulii'' (rule's target).
Exista doua tinte foarte simple: DROP (arunca) si ACCEPT(accepta). Deja le stim pe acestea. Daca pachetul indeplineste regula si tinta ei este una din cele doua, nu vor mai fi consultate alte reguli: soarta pachetului a fost decisa.
There are two types of targets other than the built-in ones: extensions and user-defined chains.
Chain-uri definite de utilizator (User-defined chains)
O puternica abilitate pe care iptables a mostenit-o de la ipchains este abilitatea de a creea chain-uri definite de utilizator (adica alte chain-uri inafara de cele trei de baza INPUT, FORWARD si OUTPUT).
Cand un pachet se potriveste unei reguli a carei tinta este un chain definit de utilizator, pachetul incepe sa confrunte reguluile sin chain-ul definit de utilizator. Daca acel chain nu decide soarta pachetului, adica a parcurs toate regulile din acel chain definit de utilizator, atunci pachetul incepe sa confrunte regula imegiat urmatoare regulei a carei tinta a fost chainul definit de utilizator.
Din nou este vremea pentru ASCII art. Sa zicem ca avem doua chain-uri Consider two (prostute): INPUT (chain-ul de baza) si test (un chain definit de utilizator cu optiunea ''-N''). CLIC

Chain-urile definite de utilizator pot sari catre alte chain-uri definite de utilizator (dar nu au voie sa fac bucle inchise: pachetele care intra in bucle inchise vor fi aruncate).
Extensia: New Targets
Clealat tip de tinta este o extensie. Aceastea constau intr-un modul pentru kernel, care ne asigura noi optiuni in linia de comanda. Exista cateva extensii in distributia default a pachetului netfilter:
*LOG
Acest modul logheaza pachetele care indeplinesc o anumita regula a carei tinta este ''LOG''. Acesta vine cu urmatoarele optiuni:
--log-level
Urmata de un nume sau numar. Numele sunt (case-insensitive) 'debug', 'info', 'notice', 'warning', 'err', 'crit', 'alert' si 'emerg', care corespund numerelor de la 7 la 0. Uta-te la ''man page-ul'' pentru syslog.conf pentru o explicatie a acestor nivele.
--log-prefix
Urmat de un sting de maxim 14 caractere, acest mesaj este trimis la inceputul logului pentru a fi unic.
Acest modul este forte util dupa o tinta care limiteaza pentru a nu-ti inunda (food) logurile.
*REJECT
Acest modul are acelas efect ca modulul 'DROP', numai ca expeditorului ii este trimis un mesaj de eroare de tip ICMP 'port unreachable'. Nota: mesajul de eroare de tip ICMP nu este trimis daca (vezi RFC 1122):
Pachetul filtrat era chiar el un mesaj de eroare de tip ICMP, sau un tip necunoscut de ICMP.
Pachetul filtrat nu era primul fragment dintr-un lant de fragmente.
Am trimis prea multe mesaje de eroare de tip ICMP la acea destinatie intr-un anumit timp.
Tinte speciale
Exista doua tinte speciale care vin o dat cu distributia: RETURN si QUEUE.
*RETURN are acelas efect ca si cum ar sari de la sfarsitul unui chain: pentru unul dintre cele trei chain-uri de baza, soarta pachetului va fi decisa de politica acestuia. Pentru o regula dintr-un chain definit de utilizator, traversarea continua exact dupa regula de la care a fost aruncat pachetul in chain-ul definit de utilizator. Daca o regula (nu este neaparat sa fie ultima din chain) dintr-un chain definit de utilizator are tinta RETURN si aceasta se potriveste unui pachet, aceasta il va trimite inapoi la chainul de unde a venit, cu mentiunea ca este respectata traversearea regulilor, adica la regula exact urmatoare celei care a trimis pachetul in chain-ul definit de utilizator.
*QUEUE este o tinta speciala, care ''pastreaza'' pachetul pentru procesarea facuta de useri. Daca pachetul nu este asteptat de vreo aplicatie acesta va fi aruncat.

===Operatii cu un Chain intreg===
O abilitate foarte utila a programului iptables este gruparea regurilor in chainuri (seturi de reguli). Poti denumi chainurile definite de utilizator cum vrei, dar este rcomandat sa le denumesti cu caractere mici pentru a nu le confunda cu cele trei chainuri de baza; numele acestora poate sa fie maxim din 16 litere.
*Crearea unui nou chain
Hai sa creem un nou chain. Pentru ca eu sunt un tip cu imaginatie am sa-l numesc test. Vom folosi optiunile '-N' sau '--new-chain':
# iptables -N test
Este chiar atat de simplu. Acum poti pune reguli in el dupa cum a fost aratat mai sus.
*Stergerea unui Chain
Stergerea unui chain este la fel de simplu, folosind optiunea '-X' sau '--delete-chain'. De ce '-X'? Pai…, toate literele frumoase au fost luate deja.
# iptables -X test
Exista cateva restrictii cand stergem un chain: acesta trebuie sa fie gol (vezi golirea unui chain mai jos) si nu trebuie sa fie tinta vreunei reguli. Chainurile de baza nu pot fi sterse.
Daca nu se specifica numele chainului de sters, atunci toate chain-urile definite de utilizator vor fi sterse, daca este posibil.
*Golirea unui Chain
Exista un mod simplu prin care se poate goli un cahin de toate regulile care exista in el, folosind comanda '-F' (sau '--flush').
# ipchains -F forward
Daca nu se specifica chain-ul atunci toate chainurile vor fi golite.
*Listarea unui chain
Poti vedea toate regulile existente intr-un chain cu comanda '-L'.
Daca nu este specificat numele chain-ului atunci sunt listate toate regulile existente in ''filtrul de pachete''.
Exista trei optiuni care acompaniaza comanda '-L'. Optiunea '-n' (numeric) pentru ca ea previne ca iptables sa incerce sa caute adresa IP, care (daca folosesti DNS ca majoritatea oamenilor) va cauza delay-uri foarte mari in caz ca DNS-ul nu este setat cum trebuie, sau daca filtrezi cererile de DNS (Domain Name Server).
Optiunea '-v' va arata toate detaliile unei raguli, cum sunt pachetele si contuarele de biti, comparatiile TOS, si interfetele. Altfel aceste valori sunt omise.
Nota: pachetele si contoarele de biti sunt afisate folosin sufixele 'K', 'M' sau 'G' pentru 1000, 1,000,000 si respectiv 1,000,000,000. Folosind optiunea '-x' (expand numbers) vor fi aratate ca numere netinand cont de cat de mari sunt acestea.
*Resetarea (Zeroing) Contoarelor
Este util sa poti reseta contoarele. Acest lucru poate fi facut cu optiunea '-Z' (sau '--zero')
Problema cu acest lucru este ca, uneori, trebuie sa stii valorile contoarelor imediat inainte de a fi aduse la zero. In exemplul de mai sus, anumite pachete pot trece in dupa ce folosesti optiunea '-L' si pana folosesti optiunea '-Z'. Pentru acest motiv, poti folosi optiunile '-L' si '-Z' impreuna, pentru a reseta contuarele in timp ce le vizualizezi.
*Setarea politicii
Doar chain-urile de baza (INPUT, OUTPUT and FORWARD) au o politica, pentru ca daca un pachete este confruntat cu un regulile dintr-un chain definit de utilizator si inca nu i se decide soarta, acesta isi continua drumul intr-un chain de baza.
Politica poate fi ACCEPT(accepta) sau DROP (arunca).

----

Traducerea si adaptarea a fost facuta (initial) de Razvan Turtureanu (razvan@upb.ro)

[[Category:Tutorial]]
[[Category:Networking]]
[[Category:Firewall]]

Iptables romana

2006-01-02T11:57:48Z

Raptor: /* Folosirea iptables */

== Cuvânt introductiv ==
Pentru început, vreau să spun că eu nu ştiu mai mult decât alţii şi spun asta pentru că am intrat în contact cu câţiva oameni care într-adevăr ştiu multe despre [http://ro.wikipedia.org/wiki/Linux Linux]. Eu nu am făcut decât să traduc acest ''HowTo'', iar dacă (mai mult ca sigur) voi găsiţi greşeli de traducere sau de adaptare, vă rog să îmi atrageţi atenţia scriindu-mi un mesaj de [mailto:razvan@upb.ro poştă electronică]. Dacă intraţi în posesia acestui fişier şi ştiţi pe cineva care îl vrea, vă rog să îl daţi pe gratis, adica aşa cum l-aţi primit şi voi pentru că nici măcar eu nu am cerut bani pe el. Sper sa vă ajute, cel puţin la fel de mult cât m-a ajutat şi pe mine, iar dacă aveţi neclarităţi scrieţi-mi un mesaj şi vă voi răspunde în măsura în care pot şi am timp.

==Ce este filtrarea de pachete?==

=== Bazele reţelisticii ===
Tot traficul dintr-o reţea este transmis sub formă de pachete. De exemplu, descărcând acest document (să zicem că are 50ko) s-ar putea ca tu să primeşti 36 de pachete a câte 1460 octeţi fiecare.

Antetul (engl. [http://en.wikipedia.org/wiki/Header_%28information_technology%29 header]) fiecărui pachet spune unde se duce, de unde vine, tipul pachetului precum şi alte detalii administrative. Restul pachetului, conţinând datele care ne sunt transmise, se numeşte corpul (engl. [http://en.wikipedia.org/wiki/Packet body]) sau conţinutul pachetului.

Câteva protocoale, de exemplu TCP care este folosit (spre exemplu) pentru traficul de web, poştă şi sesiuni de terminal de la distanţă, folosesc principiul de forma o conexiune inainte de a transmite pachete cu datele care ne interesează. Astfel, varii pachete de ''început'' (cu antete speciale) sunt schimbate care spun 'Vreau să mă conectez', 'Bine' şi 'Mulţumesc' (procedură cunoscută ca negociere bilaterală -- engl. [http://en.wikipedia.org/wiki/Transmission_Control_Protocol#Connection_establishment_.283-way_handshake.29 3-way handshaking]). Abia apoi începe schimbul de pachete conţinând datele ce trebuie să tranziteze conexiunea proaspăt creeată.

===Deci ce este un ''filtru de pachete''?===
Un filtru de pachete este un program care se uită în header-ul pachetelor care trec şi le decide soarta. El poate să ''arunce'' pachetul (să îl neglijeze ca şi cum nu ar fi fost primit), să ''accepte'' pachetul (să îl lase să treacă), sau să ''rejecteze'' pachetul (îl aruncă dar şi spune sursei de la care a venit că l-a aruncat).
Sub Linux, filtrarea de pachete este construită în kernel (ca modul sau chiar în el) şi există câteva lucruri mai deosebite pe care le putem face cu pachetele (putem de exemplu să modificăm sursa sau destinaţia acestuia înainte de a-l trimite mai departe), dar principiul general de a ne uita în antetul pachetului şi să-i decidem soarta este înca acolo.

===De ce aş vrea să filtrez pachete?===
*Control:
Cand foloseşti un ''linux-box'' ca să conectezi reţeaua ta internă la o altă reţea (să zicem Internetul) ai oportunitatea de a lăsa numai anumite feluri de trafic sa treacă şi să nu laşi să treacă pe altele. De exemplu, antetul pachetului conţine destinaţia sa şi poţi preveni ca pachetele să ajungă într-o anumită parte a reţelei externe. Ca un alt exemplu, eu folosesc Netscape ca sa accesez arhivele Dilbert. Pe acea pagină sunt reclame de la doubleclick.net, şi Netscape-ul îmi pierde timpul deschizându-le. Spunându-i ''filtrului de pachete'' să nu lase să treacă pachete spre doubleclick.net sau să vină de la el rezolvă aceasta problemă.
*Securitate:
Când Linux-box-ul tău este singurul lucru care stă între haosul din Internet şi reţeaua ta privată, este bine de ştiut că poţi restricţiona ceea ce face ''tărăboi la uşa ta''. De exemplu, poţi lăsa să treacă ceea ce pleacă din interiorul reţelei interne, dar ar trebui să te îngrijoreze vestitul 'Ping of Death' care vine de la străini, sau diverşi alţi viruşi ce se propagă prin Internet. Ca un alt exemplu, nu ai vrea ca cei din afară să se conecteze prin ssh (sau mult mai vechiul telnet) la serverul tău, chiar dacă toate conturile din el sunt protejate de o parolă; având un filtru de pachete care să ''arunce'' pachetele cu antete speciale care sunt folosite pentru a deschide conexiuni din exterior.
*Supraveghere:
Uneori o maşină din interior prost configurată (sau un virus de exemplu) poate decide să împraştie pachete lumii exterioare. Este frumos să-i spui ''filtrului de pachete'' să te înştiinţeze când se întâmplă ceva care nu face parte din normal,nu de alta dar poate faci ceva în legatură cu lucrul acesta sau poate eşti curios din fire să ştii ceea ce se intâmplă în reţeaua ta internă.

===Cum filtrez pachete sub Linux?===
Kernel-ele Linux-ului au avut filtre de pachete chiar de la versiunea 1.1. Prima generaţie, bazată pe ''ipfw'' de la BSD, a fost introdusă de Alan Cox in 1994. Aceasta a fost modificată şi întărită de Jos Vos şi alţii pentru Linux 2.0. În 1998, pentru Linux 2.2, eu am modificat radical kernelul, cu ajutorul lui Michael Neuling şi am introdus programul 'ipchains'. În final, a patra generaţie a filtrului, 'iptables', şi o altă modificare a kernelului au apărut în 1999 pentru Linux 2.4. Pe iptables ne vom concentra în acest HOWTO.
Programul iptables vorbeşte cu kernel-ul şi îi spune ce pachete să filtreze. Dacă nu eşti programator sau prea curios, în acest fel vei controla ''filtrul de pachete''.
Programul iptables inserează sau şterge reguli din ''tabelul'' de reguli de filtrare al kernelului. Aceasta înseamnă că orice ai seta, se va pierde când vei reporni maşina; vezi [[#Cum să faci regulile permanente]] pentru a te asigura că data viitoare când porneşti maşina ele sunt încă acolo.
iptables înlocuieşte ipfwadm şi ipchains: vezi [[http://www.telematik.informatik.uni-karlsruhe.de/lehre/seminare/LinuxSem/downloads/netfilter/iptables-HOWTO-6.html|Cum să folosesti ipchains şi ipfwadm]] pentru a evita folosirea iptables dacă deja foloseşti ipchains sau ipfwadm.

===Cum să faci regulile permanente===
Firewall-ul tău curent este stocat în kernel şi de aceea va fi pierdut când reporneşti maşina. Scriind
# iptables-save
şi
# iptables-restore
este ceea ce vă recomand.
Între timp, pune comanda necesară pentru a-ţi seta regulile într-un script de iniţializare. Asigură-te că faci ceva inteligent în caz că una din comenzi nu merge (de obicei 'exec /sbin/sulogin').

==Cine oare eşti şi de ce te joci cu kernelul meu?==
Eu sunt Rusty; eu sunt cel care întreţine ''Linux IP Firewall'' şi sunt doar un programator decent care s-a întâmplat să fie la locul potrivit în timpul potrivit. Eu am scris ipchains (mecanismul firewall anterior, din kernelul 2.2) şi am învăţat destule ca să fac să meargă ''filtrul de pachete'' iptables cum trebuie. Cel puţin sper.

==Cum traversează pachetele filtrul?==
Kernel-ul porneşte cu trei liste de reguli; aceste liste se numesc ''firewall chains'' sau doar ''chains''. Cele trei chain-uri se numesc INPUT, OUTPUT şi FORWARD.
Pentru fanii ASCII-art, chain-urile sunt aranjate cam aşa:

_____
/ \
-->[Routing ]--->|FORWARD|------->
[Decision] \_____/ ^
| |
v ____
___ / \
/ \ |OUTPUT|
|INPUT| \____/
\___/ ^
| |
----> Local Process ----

Cele trei cicluri reprezentate sunt chain-urile menţionate mai sus. Când un pachet ajunge într-un ciclu din diagramă, acel chain este examinat pentru a decide soarta pachetului. Dacă chain-ul decide să arunce pachetul (DROP), va fi ''omorât'' acolo, dar dacă chain-ul spune că pachetul trebuie acceptat (ACCEPT), el continuă sa circule prin diagramă către următorul chain.
Un chain este un ''set ordonat de reguli''. Fiecare regulă spune 'dacă header-ul pachetului arata aşa, atunci ce vrei să faci cu pachetul'. Dacă regula nu este îndeplinită de pachet, apoi este consultată următoarea regulă din set. În final, dacă nu mai sunt reguli de consultat pentru acel chain, kernel-ul se uită la politica ''setului de reguli'' (adică politica chain-ului) pentru a decide ce se va întâmpla cu pachetul. Într-un sistem riguros din punct de vedere al securităţii politica ''setului de reguli'' îi spune kernel-ului să arunce pachetul (DROP).
Cand un pachet soseşte (să zicem, printr-o interfaţă Ethernet) kernelul se uită prima oară la destinaţia lui: acest lucru se numeşte 'routing' (sau rutare).
Dacă pachetul este chiar pentru calculatorul tău, el va merge în jos către chain-ul INPUT. Dacă trece de acesta (după verificarea pachetului împotriva fiecărei reguli din chain) orice proces care îl aşteaptă îl va primi.
Altfel, dacă pachetul nu este pentru calculatorul tau şi dacă kernelul nu are forwarding-ul activat, sau nu ştie cum să forward-eze pachetul, acesta va fi aruncat (DROP). Dacă forwarding-ul este activat şi pachetul este destinat către o altă interfaţă de reţea (dacă mai ai încă una), atunci pachetul merge înainte în diagrama noastră spre chain-ul FORWARD. Dacă este acceptat de către acesta el va fi trimis în afară.
Şi în sfârşit, un program care rulează chiar în calculatorul tău poate trimite pachete în reţea. Aceste pachete trec prin chain-ul OUTPUT: dacă acesta le acceptă (ACCEPT), atunci pachetul işi continua drumul către destinaţia sa, oricare ar fi aceasta şi prin orice interfaţa.

==Folosirea iptables==
iptables are un manual foarte detaliat (man iptables), dacă ai nevoie de detalii.
Există câteva lucruri diferite pe care le poţi face cu iptables. În primul rând operaţii cu care poţi face management pe un întreg ''set de reguli''. La început există trei chain-uri INPUT, OUTPUT şi FORWARD pe care nu le poţi şterge. Operaţiile sunt:
*Crearea unui nou chain (-N).
*Ştergerea unui chain gol (-X).
*Schimbarea politicii unuia dintre chain-urile standard (INPUT, OUTPUT şi FORWARD). (-P).
*Listarea regulilor dintr-un chain (-L).
*Ştergerea tuturor regulilor dintr-un chain (-F).
*Readucerea la zero a contoarelor regulilor dintr-un chain (-Z).
Există şi moduri de manipulare a unei singure reguli dintr-un chain:
*Ataşarea unei noi reguli (-A).
*Inserarea unei noi reguli într-o anume poziţie într-un chain (-I).
*Înlocuirea unei reguli într-o anume poziţie a unui chain (-R).
*Ştergerea unei reguli (-D).

===Ce vezi atunci cand porneste calculatorul===
Pentru moment (Linux 2.3.15), iptables este un modul numit ('iptables.o'). Va trebui sa-l inserezi in kernel inainte de a putea folosi comanda iptables. Pe viitor, va fi posibil ca el sa fie deja construit in kernel.
Inainte de ca orice comanda iptables sa fie rulata (ai grija: unele distributii vor rula iptables in scripturile lor de initializare), nu va exista nici o regula in cele trei chain-uri de baza ('INPUT', 'FORWARD' si 'OUTPUT'), chain-urile INPUT si OUTPUT vor avea politica setata pe ACCEPT, si chain-ul FORWARD va fi setat pe DROP (poti schimba acest lucru setand 'forward=1' in optiunile modulului iptables).

===Operatii cu o singura regula===
Acestea sunt ''painea si cutitul'' unui filtru de pachete; manipularea regulilor. Cel mai des probabil ca vei folosi comenzile de atasare (-A) si stergere (-D). Celelalte (-I pentru inserare si -R pentru inlocuire) sunt simple extensii ale acestor concepte.
Fiecare regula specifica un set de conditii pe care trebuie sa le indeplineasca un pachet, si ce sa faca in caz ca le indeplineste (o tinta 'target'). De exemplu, vrei sa arunci toate pachetele de tip ICMP care vin de la IP-ul 127.0.0.1. Deci in acest caz conditiile noastre sunt ca protocolul trebuie sa fie ICMP si sursa de la care vin pachetele este IP-ul 127.0.0.1. tinta noastra este aruncarea lor (DROP).
127.0.0.1 este interfata 'loopback', pe care o ai char daca nu ai vreo legatura fizica la vreo retea. Poti folosi programul 'ping' pentru a genera asemenea pachete si a testa o astfel de regula.
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.2 ms

--- 127.0.0.1 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.2/0.2/0.2 ms
# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes

--- 127.0.0.1 ping statistics ---
1 packets transmitted, 0 packets received, 100% packet loss
Poti vedea aici ca ping-ul a avut scces (prin '-c 1' i-am spus programului ping sa trimita un singur pachet).
Apoi atasam (-A) chain-ului 'INPUT', o regula in care specificam ca pachetele care vin de la IP-ul 127.0.0.1 ('-s 127.0.0.1') prin protocolul ICMP ('-p icmp') ar terbui sa le dam DROP ('-j DROP').
Apoi testam regula noastra, folosind un al doilea ping. Va fi o pauza pana cand programul renunta sa mai astepte raspunsul care nu va veni niciodata.
Putem sterge aceasta regula in mai multe feluri. In primul rand, pentru ca stim ca este singura regula in chain-ul input, putem folosi o stergere in care specificam pozitia reguluii:
# iptables -D INPUT 1

----

Al doilea mod prin care putem sterge regula este sa oglindim comanda –A, inlocuind –A cu -D. Acest lucru este folositor cand avem un set complex de reguli. In acest caz folosim:
# ipchains -D INPUT -s 127.0.0.1 -p icmp -j DROP

===Specificatii ale filtrarii===
Am vazut folosirea '-p' pentru a specifica protocolul, si '-s' pentru a specifica adresa sursa, dar sunt si alte optiuni cu care putem specifica caracteristici ale pachetelor
*Specificarea adresei Sursa si adresa Destinatie.
Sursa ('-s', '--source' or '--src') si destinatia ('-d', '--destination' or '--dst') IP-ului poate fi specificata in patru moduri. Cel mai des intalnit este folosirea numelui intreg, cum ar fi 'localhost' sau 'www.linuxhq.com'. Al doilea mod este folosirea de adrese IP cum ar fi '127.0.0.1'.
Al treilea si al patrulea mod este specificarea unui interval de IP-uri, cum sunt '199.95.207.0/24' sau '199.95.207.0/255.255.255.0'. Amandoua specifica orice IP cuprins intre 199.95.207.0 to 199.95.207.255 inclusiv; iar digitii dupa '/' ne spun care parti din IP-uri sunt relevante in cazul nostru. '/32' sau '/255.255.255.255' este modul standard (default). Pentru a specifica orice ip putem folosi '/0', dupa cum urmeaza:
# ipchains -A input -s 0/0 -j DENY
Aceasta este rar folosit pentru ca efectul obtinut este la fel ca in cazul in care nu folosim de loc optiunea '-s'.
*Specificarea unei inversiuni
Multe flag-uri, incluzand optiunile '-s' and '-d' pot avea argumentele precedate de un '!' pentru a compara adrese care nu sunt echivalente cu cele date in linia de comanda. De exemplu '-s ! localhost' inseamna orice pachet care nu vine de la localhost.
*Specificarea Protocolului
Protocolul poate fi specificat cu flag-ul '-p'. Protocolul poate fi un numar (daca stii valorile numerice pentru IP) sau un nume pentru cazurile speciale de 'TCP', 'UDP' sau 'ICMP'. Cum este scris nu conteaza, asa ca 'tcp' merge la fel de bine ca si 'TCP'.
Numele protocolului poate fi precedat de un '!', pentru a fi inversat, such as '-p ! TCP' (expresia inseamna tot ce nu e TCP).
*Specificarea unei interfete
Optiunea '-i' (sau '--in-interface') si '-o' (sau '--out-interface') specifica numele interfetei. O interfata este un lucru fizic (modem, placa de retea etc…) prin care pachetul intra ('-i') sau prin care iese ('-o'). Poti folosi comanda
# ifconfig
pentru a vedea interfetele care sunt active.
Pentru pachetele care traverseaza chain-ul INPUT nu se poate specifica o interfata de iesire, deci orice regula din acest chain care contine optiunea '-o' este inutila. Similar, pachetele care traverseaza chain-ul OUTPUT nu au interfata de intrare, deci orice regula din acest chain in care exista optiunea '-i' este inutila.
Doar pachetele care traverseaza chain-ul FORWARD au atat interfata de intrare cat si interfata de iesire.
Nu este gresit daca se specifica o interfata care pentru moment nu este activa; regula nu se va potrivi niciunui pachet pana cand interfata nu va fi activata. Acest lucru este foarte util pentru legaturi dial-up (PPP point to point) de obicei interfata ppp0.
Un caz special, un nume de interfata al carei string se termina cu '+' specifica toate interfetele de acelas fel (chiar daca sunt activate sau nu). De exemplu, pentru a specifica o regula care sa se potriveasca pentru toate interfetele de gen PPP, se va folosi expresia-i ppp+.
Numele interfetei poate fi precedat de '!', aceasta regula se va referi la pachetele care nu vin sau ies prin acea interfata.
*Specificarea fragmentelor
Uneori un pachet este prea mare ca sa incapa prin ''fir'' intreg. Cand acest lucru se intampla pachetul este divizat in fragmente, si trimis ca mai multe pachete mai mici. Calculatorul care primeste aceste fragmente le va reasambla si va forma pachetul initial.
Problema cu aceste pachete este ca doar primul fragment din acestea contine in header informatii despre protocol (cum ar fi TCP, UDP si ICMP) si extensiile lui, iar restul de fragmente nu contin aceste lucruri, iar daca am incerca sa ne uitam in ele ar fi imposibil.
Daca tu faci ''connection tracking'' sau ''NAT'', atunci toate aceste fragmente vor fi fuzionate inainte de a ajunge la ''filtrul de pachete'', deci nu trebuie sa ne facem griji despre aceste fragmente. Atltfel, poti insera in kernel modulul 'ip_defrag.o' care face acelas lucru (nota, acest lucru este permis doar daca linux-box-ul tau este singura conexiune intre cele doua retele).
Altfel, este foarte important sa intelegem cum sunt tratate fragmentele de catre regulile de filtrare. Orice regula care cere informatii de la pe care nu le avem nu se va potrivi, aceasta inseamna ca primul fragment (cel care are specificat in header tot ce este necesar) va fi tratat ca pe un pachet, iar cel de-al doilea si restul de fragmente nu vor fi tratate corespunzator (pentru ca header-ul lor nu contine informatiile necesare). De aceea o regula de genul ''-p TCP --sport www'' (care specifica portul sursa al unui server 'www') nu va filtra fragmente (in afara de primul). La fel se va comporta si regula opusa ''-p TCP --sport ! www''.
Oricum, poti face o regula special pentru cel de-al doilea si urmatoarele fragmente folosind optiunea '-f' (sau '--fragment'). Valabila este si regula care nu se aplica pentru cel de-al doilea si urmatoarele fragmente daca punem optiunea ''!'' inaintea lui '-f'.
De obicei se zice ca este sigur (din punct de vedere al securitatii) sa lasi al doilea si celelalte fragmente sa treaca treaca, pentru ca filtrarea afecteaza decat primul fragment, si deci pachetul nu va putea fi reasamblat in partea cealalta, dar, exista bug-uri care vor face masina sa se ''prabuseasca'' doar prin simplul fapt ca aceasta trimite fragmente. Este decizia ta.
Ca un exemplu, urmatoarea regula va arunca toate fragmentele care se duc la IP-ul 192.168.1.1:
# iptables -A OUTPUT -f -d 192.168.1.1 -j DROP
*Extensii la iptables
Iptables este extensibil, asta insemnand ca atat kernel-ul cat si iptables se pot extinde pentru a ne asigura noi posibilitati.
Unele dintre aceste extensii sunt standard, si altele sunt mai mult exotice. Extensiile pot fi facute si de alti oameni si distibuite userilor.
Extensiile kernel-ului normal se gasesc in subdirectorul lui pentru module, cum este /lib/modules/2.3.15/net. Pe acestea trebuie sa le incarci in kernel automat pentru ca ele nu se autoincarca la cerere(Linux 2.3.15). Pe viitor ele se vor incarca automat.
Extensiile programului iptables sunt librarii ''sheruite'' care de obicei sunt gasite in directorul /usr/local/lib/iptables/, cu toate ca anumite distributii le pun in /lib/iptables sau /usr/lib/iptables.
Extensiile sunt de doua tipuri: tinte noi (new targets), si noi teste (new tests); mai jos vom vorbi despre ''noi tinte''. Anumite protocoale ofera ele noi teste: actual ele sunt TCP, UDP si ICMP cum sunt aratate mai jos.
Pe aceste noi teste le vei putea specifica in linia de comanda dupa optiunea '-p', care va incarca extensiile. Pentru teste noi explicite trebuie sa folosestei optiunea '-m' pentru a incarca extensia, doar dupa aceasta va fi aceasta accesibila.
Pentru a deschide manualul extensiei dupa ce o incarci ('-p' or '-m') foloseste optiunea '-h' sau '--help'.
**Extensii TCP
Extensiile TCP sunt incarcate automat daca este folosita comanda '--protocol tcp'. Aceastea vin cu urmatoarele optiuni (niciuna nu se refera si la fragmente, doar la pachete).
--tcp-flags
Daca dupa ele se pune (optional)'!', atunci doua stringuri te vor ajuta sa filtrezi flaguri specifice protocolului TCP. Primul string este un ''mask'': o lista de flaguri pe care vrei sao examinezi. Al doilea string iti spune pe care vrei sa le filtrezi. De exemplu:
# iptables -A INPUT --protocol tcp --tcp-flags ALL SYN,ACK -j DENY[/code]
Aceasta indica, ca toate flagurile trebuie examinate ('ALL' este sinonim cu 'SYN,ACK,FIN,RST,URG,PSH'), dar doar SYN si ACK vrei sa le setezi. Exista si un argument 'NONE' care inseamna nici un flag.
--syn
Urmat optional de '!', aceasta este o scurtare a comenzii'--tcp-flags SYN,RST,ACK SYN'.
--source-port
optional urmat de '!', si apoi de un singur port TCP, sau un interval de porturi. Porturile poti specificate prin numele lor, la fel ca in /etc/services, sau numerice. Intervalele sunt ori doua nume de porturi separate cu'-', sau (pentru a specifica un nr. mai mare sau egal cu portul dat) un port cu '-' inainte lui, sau (pentru a specifica un nr mai mic sau egal cu portul dat), un port precedat de'-'.
--sport
este sinonim cu '--source-port'.
--destination-port
and
--dport
sunt la fel ca si mai sus, numai ca ele specifica destinatia in loc de sursa portului care ne intereseaza sa-l filtram.
--tcp-option
urmat oprional de '!' siun numar, se refera la un pachet TCP care este egal cu acel numar. Un pachet care nu are un header TCP complet este aruncat (DROP) automat daca i se incearca examinarea optiunilor TCP.
O explicatie a flagurilor TCP
Este util sa permitem conexiuni TCP intr-o directie, dar nu si in cealalta. De exemplu, ai vrea sa se poata face conexiuni catre un server WWW exterior, dar sa nu existe conexiuni de la acel server la tine.
Te poti gandi sa blochezi pachetele care vin de la acel server. Dar din nefericire, ca o conexiune TCP sa mearga trebuie sa existe trafic in ambele directii.
Solutia este sa blochezi doar pachetele care cer ca o conexiune sa fi stabilita. Aceste pachete se numesc SYN (ok, tehnic ele sunt pachete cu flagul SYN setat, si flagurile FIN si ACK sunt sterse, dar noi le numim pe scurt pachete SYN). Blocand doar aceste pachete putem opri cererile de conexiuni si astfel niciuna nu poate fi facuta din exterior.
Flagul '--syn' este folosit pentru aceasta: este valid doar pentru regulile in care li se specifica ca protocol TCP-ul. Ca exemplu, pentru a specifica incercari de conexiuni de la IP-ul 192.168.1.1 se foloseste:
-p TCP -s 192.168.1.1 --syn
Acest flag poate fi inversat daca este precedat de un '!', aceasta inseamna orice pachet inafara de cele initiatoare de conexiuni TCP.
**Extensii UDP
Aceste extensii sunt incarcate automat daca este specificat protocolul UDP '--protocol udp'. Aici avem optiunile '--source-port', '--sport', '--destination-port' si '--dport' detaliate mai sus la protocolul TCP.
Extensii ICMP
Aceasta extensi este incarcata automat daca se specifica '--protocol icmp'. Aceasta ne da o singura optiune:
--icmp-type
urmat optional de '!', atunci un unme tip icmp (ex 'host-unreachable'), sau un tip numeric (ex. '3'), sau numeric si cod separat de'/' (ex. '3/3'). O lista de nume tip icmp se poate optine cu comanda '-p icmp --help'.
Alte extensii
Celelalte doua extensii sunt extensii demonstrative, care (daca sunt instalate) pot fi ''aduse la viata'' cu optiunea '-m'.
mac
acest modul trebuie explicit specificat cu '-m mac' sau '--match mac'. Este folosit pentru a filtra pachetele dupa adresa Ethernet (MAC), si este folositoare doar la regulile din chain-urile INPUT si FORWARD. De aduce o singura optiune:
--mac-source
optional urmata de '!', apoi o adresa ethernet scrisa in hexazecimale separate de '':'', ex '--mac-source 00:60:08:91:CC:B7'.
limit
acest modul trebuie explicit specificat cu '-m limit' sau '--match limit'. Este folosit pentru a limita rata de pachete acceptate. Unitatea de masura este numere de pachete pe secunda (default 3 pachete pe ora, cu o rafala de 5). Aceasta ne aduce doua argumente optionale:
--limit
urmat de un numar; specifica numarul medie maxim de pachete pe secunda care sunt lasate sa treaca. Numarul poate unitati explicite, folosind '/second', '/minute', '/hour' or '/day', sau parti din ele (deci '5/second' este la fel ca '5/s').
--limit-burst
urmata de un numar, defineste lungimea rafalei de pachete acceptate dupa care intra in actiune limita de mai sus.
Aceasta optiune poate fi folosita impreuna cu tinta ''LOG'' pentru a face ''rate-limited logging''. Prentru a intelege cum functioneaza, hai sa ne uitam la urmatoarea regula, care logheaza pachetele care au limita ''default'':
# iptables -A FORWARD -m limit -j LOG
Prima oara cand regula este indeplinita de un pachet, acesta va fi logat; de fapt, pentru ca rafala este de 5, primele cinci pachete vor fi logate. Dupa aceea, vor mai trece ica douazeci de minute pana cand urmatorul pachet va fi logat de la regula aceasta, netinand cont de cate pachete ajung la ea. Deasemenea, fiecare douazeci de minute care trec fara ca un pachet sa indeplineasca regula , o unitate din rafala va fi recapatata, daca nici un pachet nu se loveste de regula timp de 100 de minute rafala va reveni la 5; la fel ca la inceput.
Nu poti creea o regula a carei interval de timp de umplere a rafalei sa depaseasca 59 de ore, deci daca faci o regula care sa se reincarce o data pe zi, rafala trebie sa fie mai mica de 3.
unclean
Acest modul trebuie explicit specificat cu '-m unclean sau '--match unclean'. Acesta face analize aleatorii asupra integritatii pachetelor. Acesta nu trebuie folosit ca o optiune pentru securitate (probabil ca va inrautatii lucrurile, pentru ca s-ar putea ca sa aiba bug-uri). Nu vine cu nici o optiune.

===Specificarea tintelor===
Acum stim cum sa examinam un pachet, trebuie sa stim ce sa facem cu pachetele care se potrivesc regulilor noastre. Aceasta se numeste ''Tinta regulii'' (rule's target).
Exista doua tinte foarte simple: DROP (arunca) si ACCEPT(accepta). Deja le stim pe acestea. Daca pachetul indeplineste regula si tinta ei este una din cele doua, nu vor mai fi consultate alte reguli: soarta pachetului a fost decisa.
There are two types of targets other than the built-in ones: extensions and user-defined chains.
Chain-uri definite de utilizator (User-defined chains)
O puternica abilitate pe care iptables a mostenit-o de la ipchains este abilitatea de a creea chain-uri definite de utilizator (adica alte chain-uri inafara de cele trei de baza INPUT, FORWARD si OUTPUT).
Cand un pachet se potriveste unei reguli a carei tinta este un chain definit de utilizator, pachetul incepe sa confrunte reguluile sin chain-ul definit de utilizator. Daca acel chain nu decide soarta pachetului, adica a parcurs toate regulile din acel chain definit de utilizator, atunci pachetul incepe sa confrunte regula imegiat urmatoare regulei a carei tinta a fost chainul definit de utilizator.
Din nou este vremea pentru ASCII art. Sa zicem ca avem doua chain-uri Consider two (prostute): INPUT (chain-ul de baza) si test (un chain definit de utilizator cu optiunea ''-N''). CLIC

Chain-urile definite de utilizator pot sari catre alte chain-uri definite de utilizator (dar nu au voie sa fac bucle inchise: pachetele care intra in bucle inchise vor fi aruncate).
Extensia: New Targets
Clealat tip de tinta este o extensie. Aceastea constau intr-un modul pentru kernel, care ne asigura noi optiuni in linia de comanda. Exista cateva extensii in distributia default a pachetului netfilter:
*LOG
Acest modul logheaza pachetele care indeplinesc o anumita regula a carei tinta este ''LOG''. Acesta vine cu urmatoarele optiuni:
--log-level
Urmata de un nume sau numar. Numele sunt (case-insensitive) 'debug', 'info', 'notice', 'warning', 'err', 'crit', 'alert' si 'emerg', care corespund numerelor de la 7 la 0. Uta-te la ''man page-ul'' pentru syslog.conf pentru o explicatie a acestor nivele.
--log-prefix
Urmat de un sting de maxim 14 caractere, acest mesaj este trimis la inceputul logului pentru a fi unic.
Acest modul este forte util dupa o tinta care limiteaza pentru a nu-ti inunda (food) logurile.
*REJECT
Acest modul are acelas efect ca modulul 'DROP', numai ca expeditorului ii este trimis un mesaj de eroare de tip ICMP 'port unreachable'. Nota: mesajul de eroare de tip ICMP nu este trimis daca (vezi RFC 1122):
Pachetul filtrat era chiar el un mesaj de eroare de tip ICMP, sau un tip necunoscut de ICMP.
Pachetul filtrat nu era primul fragment dintr-un lant de fragmente.
Am trimis prea multe mesaje de eroare de tip ICMP la acea destinatie intr-un anumit timp.
Tinte speciale
Exista doua tinte speciale care vin o dat cu distributia: RETURN si QUEUE.
*RETURN are acelas efect ca si cum ar sari de la sfarsitul unui chain: pentru unul dintre cele trei chain-uri de baza, soarta pachetului va fi decisa de politica acestuia. Pentru o regula dintr-un chain definit de utilizator, traversarea continua exact dupa regula de la care a fost aruncat pachetul in chain-ul definit de utilizator. Daca o regula (nu este neaparat sa fie ultima din chain) dintr-un chain definit de utilizator are tinta RETURN si aceasta se potriveste unui pachet, aceasta il va trimite inapoi la chainul de unde a venit, cu mentiunea ca este respectata traversearea regulilor, adica la regula exact urmatoare celei care a trimis pachetul in chain-ul definit de utilizator.
*QUEUE este o tinta speciala, care ''pastreaza'' pachetul pentru procesarea facuta de useri. Daca pachetul nu este asteptat de vreo aplicatie acesta va fi aruncat.

===Operatii cu un Chain intreg===
O abilitate foarte utila a programului iptables este gruparea regurilor in chainuri (seturi de reguli). Poti denumi chainurile definite de utilizator cum vrei, dar este rcomandat sa le denumesti cu caractere mici pentru a nu le confunda cu cele trei chainuri de baza; numele acestora poate sa fie maxim din 16 litere.
*Crearea unui nou chain
Hai sa creem un nou chain. Pentru ca eu sunt un tip cu imaginatie am sa-l numesc test. Vom folosi optiunile '-N' sau '--new-chain':
# iptables -N test
Este chiar atat de simplu. Acum poti pune reguli in el dupa cum a fost aratat mai sus.
*Stergerea unui Chain
Stergerea unui chain este la fel de simplu, folosind optiunea '-X' sau '--delete-chain'. De ce '-X'? Pai…, toate literele frumoase au fost luate deja.
# iptables -X test
Exista cateva restrictii cand stergem un chain: acesta trebuie sa fie gol (vezi golirea unui chain mai jos) si nu trebuie sa fie tinta vreunei reguli. Chainurile de baza nu pot fi sterse.
Daca nu se specifica numele chainului de sters, atunci toate chain-urile definite de utilizator vor fi sterse, daca este posibil.
*Golirea unui Chain
Exista un mod simplu prin care se poate goli un cahin de toate regulile care exista in el, folosind comanda '-F' (sau '--flush').
# ipchains -F forward
Daca nu se specifica chain-ul atunci toate chainurile vor fi golite.
*Listarea unui chain
Poti vedea toate regulile existente intr-un chain cu comanda '-L'.
Daca nu este specificat numele chain-ului atunci sunt listate toate regulile existente in ''filtrul de pachete''.
Exista trei optiuni care acompaniaza comanda '-L'. Optiunea '-n' (numeric) pentru ca ea previne ca iptables sa incerce sa caute adresa IP, care (daca folosesti DNS ca majoritatea oamenilor) va cauza delay-uri foarte mari in caz ca DNS-ul nu este setat cum trebuie, sau daca filtrezi cererile de DNS (Domain Name Server).
Optiunea '-v' va arata toate detaliile unei raguli, cum sunt pachetele si contuarele de biti, comparatiile TOS, si interfetele. Altfel aceste valori sunt omise.
Nota: pachetele si contoarele de biti sunt afisate folosin sufixele 'K', 'M' sau 'G' pentru 1000, 1,000,000 si respectiv 1,000,000,000. Folosind optiunea '-x' (expand numbers) vor fi aratate ca numere netinand cont de cat de mari sunt acestea.
*Resetarea (Zeroing) Contoarelor
Este util sa poti reseta contoarele. Acest lucru poate fi facut cu optiunea '-Z' (sau '--zero')
Problema cu acest lucru este ca, uneori, trebuie sa stii valorile contoarelor imediat inainte de a fi aduse la zero. In exemplul de mai sus, anumite pachete pot trece in dupa ce folosesti optiunea '-L' si pana folosesti optiunea '-Z'. Pentru acest motiv, poti folosi optiunile '-L' si '-Z' impreuna, pentru a reseta contuarele in timp ce le vizualizezi.
*Setarea politicii
Doar chain-urile de baza (INPUT, OUTPUT and FORWARD) au o politica, pentru ca daca un pachete este confruntat cu un regulile dintr-un chain definit de utilizator si inca nu i se decide soarta, acesta isi continua drumul intr-un chain de baza.
Politica poate fi ACCEPT(accepta) sau DROP (arunca).

----

Traducerea si adaptarea a fost facuta (initial) de Razvan Turtureanu (razvan@upb.ro)

[[Category:Tutorial]]
[[Category:Networking]]
[[Category:Firewall]]

Talk:Scripturi BASH

2005-12-29T13:06:53Z

Raptor: /* Despre corecturi si adaugiri */

Scripturi BASH

2005-12-29T13:03:40Z

Raptor: /* Cautarea unui fisier ce contine un anumit string */

== Exemple scripturi BASH ==

=== Script ce elimina zona asociata unui domeniu dat ca parametru de intrare ===

Puteţi elimina porţiunea din named.conf de la
<tt>zone "nume.domeniu.dat.ca.parametru.de.intrare" {</tt>
până la acolada închisă asociată acoladei deschise de mai sus.

Scriptul este:
#!/bin/bash

# Bind zone remove script
#
# Copyright (C) 2005 Silvian Cretu <silvian86@yahoo.com>
#
# This program is free software; you can redistribute it and/or
# modify it under the terms of the GNU General Public License
# as published by the Free Software Foundation; either version 2
# of the License, or (at your option) any later version.
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with this program; if not, write to the Free Software
# Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.

if [ ! $# = 1 ]; then
echo "Usage: $0 domain";
echo "The path to named.conf is defined inside the script";
else
pathToNamedDotConf=/etc/named.conf

x=$(grep -n "zone \"$1\" {" $pathToNamedDotConf | cut -f1 -d:)
sed $x,/\}\;/d $pathToNamedDotConf > temp
c=$(sed -n $x'p' < temp)
if [ "x`echo $c | grep "zone"`" = "x" ]
then
sed $x' d' temp > $pathToNamedDotConf
else
cat temp > $pathToNamedDotConf
fi
rm -f temp
exit
fi

=== Cautarea unui fisier ce contine un anumit string ===

find /path -name "*" -exec grep -H "<string>" '{}' \;
sau
grep -Hr "<string>" /path/

Fireste, <tt><string></tt> poate fi atat un sir de caractere cat si orice fel de expresie regulata suportata de versiunea particulara de <tt>grep</tt> disponibila pe masina in cauza. 
Deasemenea, pentru a cauta fara a face diferenta intre majuscule si minuscule, adaugati parametrul <tt>-i</tt> la <tt>grep</tt>.

=== Stergerea fisierelor backup ===

Asa cum stiti, prin traditie in *NIX, editoarele text fac o copie de siguranta fisierelor editate, copie de siguranta ce este denumita identic cu fisierul initial plus caracterul tilda ('''~'''). Ei bine... in cazul aplicatiilor web, acest backup mai mult dauneaza decat sa ajute.
Nu ar fi prea placut sa aveti un <tt>index.php~</tt> in <tt>DocumentRoot</tt>

find /path -name "*~" -exec rm -f '{}' \;

=== Probleme cu spatiul pe disc? ===

Nu stiti unde "vi s-a dus" spatiul de pe disc si e cam greu sa verificati fiecare director in parte? 
Linia urmatoare va ajuta, facand totodata si o sortare.

<pre>du --max-depth=1 /path | sort -rn</pre>

[[Category:Collection]]
[[Category:Programming]]

Iptables romana

2005-12-29T13:00:10Z

Raptor: /* Cum traverseaza pachetele filtrul? */

== Cuvânt introductiv ==
Pentru început, vreau să spun că eu nu ştiu mai mult decât alţii şi spun asta pentru că am intrat în contact cu câţiva oameni care într-adevăr ştiu multe despre [http://ro.wikipedia.org/wiki/Linux Linux]. Eu nu am făcut decât să traduc acest ''HowTo'', iar dacă (mai mult ca sigur) voi găsiţi greşeli de traducere sau de adaptare, vă rog să îmi atrageţi atenţia scriindu-mi un mesaj de [mailto:razvan@upb.ro poştă electronică]. Dacă intraţi în posesia acestui fişier şi ştiţi pe cineva care îl vrea, vă rog să îl daţi pe gratis, adica aşa cum l-aţi primit şi voi pentru că nici măcar eu nu am cerut bani pe el. Sper sa vă ajute, cel puţin la fel de mult cât m-a ajutat şi pe mine, iar dacă aveţi neclarităţi scrieţi-mi un mesaj şi vă voi răspunde în măsura în care pot şi am timp.

==Ce este filtrarea de pachete?==

=== Bazele reţelisticii ===
Tot traficul dintr-o reţea este transmis sub formă de pachete. De exemplu, descărcând acest document (să zicem că are 50ko) s-ar putea ca tu să primeşti 36 de pachete a câte 1460 octeţi fiecare.

Antetul (engl. [http://en.wikipedia.org/wiki/Header_%28information_technology%29 header]) fiecărui pachet spune unde se duce, de unde vine, tipul pachetului precum şi alte detalii administrative. Restul pachetului, conţinând datele care ne sunt transmise, se numeşte corpul (engl. [http://en.wikipedia.org/wiki/Packet body]) sau conţinutul pachetului.

Câteva protocoale, de exemplu TCP care este folosit (spre exemplu) pentru traficul de web, poştă şi sesiuni de terminal de la distanţă, folosesc principiul de forma o conexiune inainte de a transmite pachete cu datele care ne interesează. Astfel, varii pachete de ''început'' (cu antete speciale) sunt schimbate care spun 'Vreau să mă conectez', 'Bine' şi 'Mulţumesc' (procedură cunoscută ca negociere bilaterală -- engl. [http://en.wikipedia.org/wiki/Transmission_Control_Protocol#Connection_establishment_.283-way_handshake.29 3-way handshaking]). Abia apoi începe schimbul de pachete conţinând datele ce trebuie să tranziteze conexiunea proaspăt creeată.

===Deci ce este un ''filtru de pachete''?===
Un filtru de pachete este un program care se uită în header-ul pachetelor care trec şi le decide soarta. El poate să ''arunce'' pachetul (să îl neglijeze ca şi cum nu ar fi fost primit), să ''accepte'' pachetul (să îl lase să treacă), sau să ''rejecteze'' pachetul (îl aruncă dar şi spune sursei de la care a venit că l-a aruncat).
Sub Linux, filtrarea de pachete este construită în kernel (ca modul sau chiar în el) şi există câteva lucruri mai deosebite pe care le putem face cu pachetele (putem de exemplu să modificăm sursa sau destinaţia acestuia înainte de a-l trimite mai departe), dar principiul general de a ne uita în antetul pachetului şi să-i decidem soarta este înca acolo.

===De ce aş vrea să filtrez pachete?===
*Control:
Cand foloseşti un ''linux-box'' ca să conectezi reţeaua ta internă la o altă reţea (să zicem Internetul) ai oportunitatea de a lăsa numai anumite feluri de trafic sa treacă şi să nu laşi să treacă pe altele. De exemplu, antetul pachetului conţine destinaţia sa şi poţi preveni ca pachetele să ajungă într-o anumită parte a reţelei externe. Ca un alt exemplu, eu folosesc Netscape ca sa accesez arhivele Dilbert. Pe acea pagină sunt reclame de la doubleclick.net, şi Netscape-ul îmi pierde timpul deschizându-le. Spunându-i ''filtrului de pachete'' să nu lase să treacă pachete spre doubleclick.net sau să vină de la el rezolvă aceasta problemă.
*Securitate:
Când Linux-box-ul tău este singurul lucru care stă între haosul din Internet şi reţeaua ta privată, este bine de ştiut că poţi restricţiona ceea ce face ''tărăboi la uşa ta''. De exemplu, poţi lăsa să treacă ceea ce pleacă din interiorul reţelei interne, dar ar trebui să te îngrijoreze vestitul 'Ping of Death' care vine de la străini, sau diverşi alţi viruşi ce se propagă prin Internet. Ca un alt exemplu, nu ai vrea ca cei din afară să se conecteze prin ssh (sau mult mai vechiul telnet) la serverul tău, chiar dacă toate conturile din el sunt protejate de o parolă; având un filtru de pachete care să ''arunce'' pachetele cu antete speciale care sunt folosite pentru a deschide conexiuni din exterior.
*Supraveghere:
Uneori o maşină din interior prost configurată (sau un virus de exemplu) poate decide să împraştie pachete lumii exterioare. Este frumos să-i spui ''filtrului de pachete'' să te înştiinţeze când se întâmplă ceva care nu face parte din normal,nu de alta dar poate faci ceva în legatură cu lucrul acesta sau poate eşti curios din fire să ştii ceea ce se intâmplă în reţeaua ta internă.

===Cum filtrez pachete sub Linux?===
Kernel-ele Linux-ului au avut filtre de pachete chiar de la versiunea 1.1. Prima generaţie, bazată pe ''ipfw'' de la BSD, a fost introdusă de Alan Cox in 1994. Aceasta a fost modificată şi întărită de Jos Vos şi alţii pentru Linux 2.0. În 1998, pentru Linux 2.2, eu am modificat radical kernelul, cu ajutorul lui Michael Neuling şi am introdus programul 'ipchains'. În final, a patra generaţie a filtrului, 'iptables', şi o altă modificare a kernelului au apărut în 1999 pentru Linux 2.4. Pe iptables ne vom concentra în acest HOWTO.
Programul iptables vorbeşte cu kernel-ul şi îi spune ce pachete să filtreze. Dacă nu eşti programator sau prea curios, în acest fel vei controla ''filtrul de pachete''.
Programul iptables inserează sau şterge reguli din ''tabelul'' de reguli de filtrare al kernelului. Aceasta înseamnă că orice ai seta, se va pierde când vei reporni maşina; vezi [[#Cum să faci regulile permanente]] pentru a te asigura că data viitoare când porneşti maşina ele sunt încă acolo.
iptables înlocuieşte ipfwadm şi ipchains: vezi [[http://www.telematik.informatik.uni-karlsruhe.de/lehre/seminare/LinuxSem/downloads/netfilter/iptables-HOWTO-6.html|Cum să folosesti ipchains şi ipfwadm]] pentru a evita folosirea iptables dacă deja foloseşti ipchains sau ipfwadm.

===Cum să faci regulile permanente===
Firewall-ul tău curent este stocat în kernel şi de aceea va fi pierdut când reporneşti maşina. Scriind
# iptables-save
şi
# iptables-restore
este ceea ce vă recomand.
Între timp, pune comanda necesară pentru a-ţi seta regulile într-un script de iniţializare. Asigură-te că faci ceva inteligent în caz că una din comenzi nu merge (de obicei 'exec /sbin/sulogin').

==Cine oare eşti şi de ce te joci cu kernelul meu?==
Eu sunt Rusty; eu sunt cel care întreţine ''Linux IP Firewall'' şi sunt doar un programator decent care s-a întâmplat să fie la locul potrivit în timpul potrivit. Eu am scris ipchains (mecanismul firewall anterior, din kernelul 2.2) şi am învăţat destule ca să fac să meargă ''filtrul de pachete'' iptables cum trebuie. Cel puţin sper.

==Cum traversează pachetele filtrul?==
Kernel-ul porneşte cu trei liste de reguli; aceste liste se numesc ''firewall chains'' sau doar ''chains''. Cele trei chain-uri se numesc INPUT, OUTPUT şi FORWARD.
Pentru fanii ASCII-art, chain-urile sunt aranjate cam aşa:

_____
/ \
-->[Routing ]--->|FORWARD|------->
[Decision] \_____/ ^
| |
v ____
___ / \
/ \ |OUTPUT|
|INPUT| \____/
\___/ ^
| |
----> Local Process ----

Cele trei cicluri reprezentate sunt chain-urile menţionate mai sus. Când un pachet ajunge într-un ciclu din diagramă, acel chain este examinat pentru a decide soarta pachetului. Dacă chain-ul decide să arunce pachetul (DROP), va fi ''omorât'' acolo, dar dacă chain-ul spune că pachetul trebuie acceptat (ACCEPT), el continuă sa circule prin diagramă către următorul chain.
Un chain este un ''set ordonat de reguli''. Fiecare regulă spune 'dacă header-ul pachetului arata aşa, atunci ce vrei să faci cu pachetul'. Dacă regula nu este îndeplinită de pachet, apoi este consultată următoarea regulă din set. În final, dacă nu mai sunt reguli de consultat pentru acel chain, kernel-ul se uită la politica ''setului de reguli'' (adică politica chain-ului) pentru a decide ce se va întâmpla cu pachetul. Într-un sistem riguros din punct de vedere al securităţii politica ''setului de reguli'' îi spune kernel-ului să arunce pachetul (DROP).
Cand un pachet soseşte (să zicem, printr-o interfaţă Ethernet) kernelul se uită prima oară la destinaţia lui: acest lucru se numeşte 'routing' (sau rutare).
Dacă pachetul este chiar pentru calculatorul tău, el va merge în jos către chain-ul INPUT. Dacă trece de acesta (după verificarea pachetului împotriva fiecărei reguli din chain) orice proces care îl aşteaptă îl va primi.
Altfel, dacă pachetul nu este pentru calculatorul tau şi dacă kernelul nu are forwarding-ul activat, sau nu ştie cum să forward-eze pachetul, acesta va fi aruncat (DROP). Dacă forwarding-ul este activat şi pachetul este destinat către o altă interfaţă de reţea (dacă mai ai încă una), atunci pachetul merge înainte în diagrama noastră spre chain-ul FORWARD. Dacă este acceptat de către acesta el va fi trimis în afară.
Şi în sfârşit, un program care rulează chiar în calculatorul tău poate trimite pachete în reţea. Aceste pachete trec prin chain-ul OUTPUT: dacă acesta le acceptă (ACCEPT), atunci pachetul işi continua drumul către destinaţia sa, oricare ar fi aceasta şi prin orice interfaţa.

==Folosirea iptables==
iptables are un manual foarte detaliat (man iptables), daca ai nevoie de detalii.
Exista cateva lucruri diferite pe care le poti face cu iptables. In primul rand operatii cu care poti face management pe un intreg ''set de reguli''. La inceput exista trei chain-uri input, output si forward pe care nu le poti sterge.
*Crearea unui nou chain (-N).
*Stergerea unui chain gol (-X).
*Schimbarea politicii unuia dintre chain-urile standard (input, output si forward). (-P).
*Listarea regulilor dintr-un chain (-L).
*Stergerea tuturor regulilor dintr-un chain (-F).
*Readucerea la zero a contoarelor regulilor dintr-un chain (-Z).
*Exista si moduri de manipulare a unei singure reguli dintr-un chain:
*Atasarea unei noi reguli (-A).
*Inserarea unei noi reguli intr-o anume pozitie intr-un chain (-I).
*Inlocuirea unei reguli intr-o anume pozitie a unui chain (-R).
*Stergerea unei reguli (-D).

===Ce vezi atunci cand porneste calculatorul===
Pentru moment (Linux 2.3.15), iptables este un modul numit ('iptables.o'). Va trebui sa-l inserezi in kernel inainte de a putea folosi comanda iptables. Pe viitor, va fi posibil ca el sa fie deja construit in kernel.
Inainte de ca orice comanda iptables sa fie rulata (ai grija: unele distributii vor rula iptables in scripturile lor de initializare), nu va exista nici o regula in cele trei chain-uri de baza ('INPUT', 'FORWARD' si 'OUTPUT'), chain-urile INPUT si OUTPUT vor avea politica setata pe ACCEPT, si chain-ul FORWARD va fi setat pe DROP (poti schimba acest lucru setand 'forward=1' in optiunile modulului iptables).

===Operatii cu o singura regula===
Acestea sunt ''painea si cutitul'' unui filtru de pachete; manipularea regulilor. Cel mai des probabil ca vei folosi comenzile de atasare (-A) si stergere (-D). Celelalte (-I pentru inserare si -R pentru inlocuire) sunt simple extensii ale acestor concepte.
Fiecare regula specifica un set de conditii pe care trebuie sa le indeplineasca un pachet, si ce sa faca in caz ca le indeplineste (o tinta 'target'). De exemplu, vrei sa arunci toate pachetele de tip ICMP care vin de la IP-ul 127.0.0.1. Deci in acest caz conditiile noastre sunt ca protocolul trebuie sa fie ICMP si sursa de la care vin pachetele este IP-ul 127.0.0.1. tinta noastra este aruncarea lor (DROP).
127.0.0.1 este interfata 'loopback', pe care o ai char daca nu ai vreo legatura fizica la vreo retea. Poti folosi programul 'ping' pentru a genera asemenea pachete si a testa o astfel de regula.
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.2 ms

--- 127.0.0.1 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.2/0.2/0.2 ms
# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes

--- 127.0.0.1 ping statistics ---
1 packets transmitted, 0 packets received, 100% packet loss
Poti vedea aici ca ping-ul a avut scces (prin '-c 1' i-am spus programului ping sa trimita un singur pachet).
Apoi atasam (-A) chain-ului 'INPUT', o regula in care specificam ca pachetele care vin de la IP-ul 127.0.0.1 ('-s 127.0.0.1') prin protocolul ICMP ('-p icmp') ar terbui sa le dam DROP ('-j DROP').
Apoi testam regula noastra, folosind un al doilea ping. Va fi o pauza pana cand programul renunta sa mai astepte raspunsul care nu va veni niciodata.
Putem sterge aceasta regula in mai multe feluri. In primul rand, pentru ca stim ca este singura regula in chain-ul input, putem folosi o stergere in care specificam pozitia reguluii:
# iptables -D INPUT 1

----

Al doilea mod prin care putem sterge regula este sa oglindim comanda –A, inlocuind –A cu -D. Acest lucru este folositor cand avem un set complex de reguli. In acest caz folosim:
# ipchains -D INPUT -s 127.0.0.1 -p icmp -j DROP

===Specificatii ale filtrarii===
Am vazut folosirea '-p' pentru a specifica protocolul, si '-s' pentru a specifica adresa sursa, dar sunt si alte optiuni cu care putem specifica caracteristici ale pachetelor
*Specificarea adresei Sursa si adresa Destinatie.
Sursa ('-s', '--source' or '--src') si destinatia ('-d', '--destination' or '--dst') IP-ului poate fi specificata in patru moduri. Cel mai des intalnit este folosirea numelui intreg, cum ar fi 'localhost' sau 'www.linuxhq.com'. Al doilea mod este folosirea de adrese IP cum ar fi '127.0.0.1'.
Al treilea si al patrulea mod este specificarea unui interval de IP-uri, cum sunt '199.95.207.0/24' sau '199.95.207.0/255.255.255.0'. Amandoua specifica orice IP cuprins intre 199.95.207.0 to 199.95.207.255 inclusiv; iar digitii dupa '/' ne spun care parti din IP-uri sunt relevante in cazul nostru. '/32' sau '/255.255.255.255' este modul standard (default). Pentru a specifica orice ip putem folosi '/0', dupa cum urmeaza:
# ipchains -A input -s 0/0 -j DENY
Aceasta este rar folosit pentru ca efectul obtinut este la fel ca in cazul in care nu folosim de loc optiunea '-s'.
*Specificarea unei inversiuni
Multe flag-uri, incluzand optiunile '-s' and '-d' pot avea argumentele precedate de un '!' pentru a compara adrese care nu sunt echivalente cu cele date in linia de comanda. De exemplu '-s ! localhost' inseamna orice pachet care nu vine de la localhost.
*Specificarea Protocolului
Protocolul poate fi specificat cu flag-ul '-p'. Protocolul poate fi un numar (daca stii valorile numerice pentru IP) sau un nume pentru cazurile speciale de 'TCP', 'UDP' sau 'ICMP'. Cum este scris nu conteaza, asa ca 'tcp' merge la fel de bine ca si 'TCP'.
Numele protocolului poate fi precedat de un '!', pentru a fi inversat, such as '-p ! TCP' (expresia inseamna tot ce nu e TCP).
*Specificarea unei interfete
Optiunea '-i' (sau '--in-interface') si '-o' (sau '--out-interface') specifica numele interfetei. O interfata este un lucru fizic (modem, placa de retea etc…) prin care pachetul intra ('-i') sau prin care iese ('-o'). Poti folosi comanda
# ifconfig
pentru a vedea interfetele care sunt active.
Pentru pachetele care traverseaza chain-ul INPUT nu se poate specifica o interfata de iesire, deci orice regula din acest chain care contine optiunea '-o' este inutila. Similar, pachetele care traverseaza chain-ul OUTPUT nu au interfata de intrare, deci orice regula din acest chain in care exista optiunea '-i' este inutila.
Doar pachetele care traverseaza chain-ul FORWARD au atat interfata de intrare cat si interfata de iesire.
Nu este gresit daca se specifica o interfata care pentru moment nu este activa; regula nu se va potrivi niciunui pachet pana cand interfata nu va fi activata. Acest lucru este foarte util pentru legaturi dial-up (PPP point to point) de obicei interfata ppp0.
Un caz special, un nume de interfata al carei string se termina cu '+' specifica toate interfetele de acelas fel (chiar daca sunt activate sau nu). De exemplu, pentru a specifica o regula care sa se potriveasca pentru toate interfetele de gen PPP, se va folosi expresia-i ppp+.
Numele interfetei poate fi precedat de '!', aceasta regula se va referi la pachetele care nu vin sau ies prin acea interfata.
*Specificarea fragmentelor
Uneori un pachet este prea mare ca sa incapa prin ''fir'' intreg. Cand acest lucru se intampla pachetul este divizat in fragmente, si trimis ca mai multe pachete mai mici. Calculatorul care primeste aceste fragmente le va reasambla si va forma pachetul initial.
Problema cu aceste pachete este ca doar primul fragment din acestea contine in header informatii despre protocol (cum ar fi TCP, UDP si ICMP) si extensiile lui, iar restul de fragmente nu contin aceste lucruri, iar daca am incerca sa ne uitam in ele ar fi imposibil.
Daca tu faci ''connection tracking'' sau ''NAT'', atunci toate aceste fragmente vor fi fuzionate inainte de a ajunge la ''filtrul de pachete'', deci nu trebuie sa ne facem griji despre aceste fragmente. Atltfel, poti insera in kernel modulul 'ip_defrag.o' care face acelas lucru (nota, acest lucru este permis doar daca linux-box-ul tau este singura conexiune intre cele doua retele).
Altfel, este foarte important sa intelegem cum sunt tratate fragmentele de catre regulile de filtrare. Orice regula care cere informatii de la pe care nu le avem nu se va potrivi, aceasta inseamna ca primul fragment (cel care are specificat in header tot ce este necesar) va fi tratat ca pe un pachet, iar cel de-al doilea si restul de fragmente nu vor fi tratate corespunzator (pentru ca header-ul lor nu contine informatiile necesare). De aceea o regula de genul ''-p TCP --sport www'' (care specifica portul sursa al unui server 'www') nu va filtra fragmente (in afara de primul). La fel se va comporta si regula opusa ''-p TCP --sport ! www''.
Oricum, poti face o regula special pentru cel de-al doilea si urmatoarele fragmente folosind optiunea '-f' (sau '--fragment'). Valabila este si regula care nu se aplica pentru cel de-al doilea si urmatoarele fragmente daca punem optiunea ''!'' inaintea lui '-f'.
De obicei se zice ca este sigur (din punct de vedere al securitatii) sa lasi al doilea si celelalte fragmente sa treaca treaca, pentru ca filtrarea afecteaza decat primul fragment, si deci pachetul nu va putea fi reasamblat in partea cealalta, dar, exista bug-uri care vor face masina sa se ''prabuseasca'' doar prin simplul fapt ca aceasta trimite fragmente. Este decizia ta.
Ca un exemplu, urmatoarea regula va arunca toate fragmentele care se duc la IP-ul 192.168.1.1:
# iptables -A OUTPUT -f -d 192.168.1.1 -j DROP
*Extensii la iptables
Iptables este extensibil, asta insemnand ca atat kernel-ul cat si iptables se pot extinde pentru a ne asigura noi posibilitati.
Unele dintre aceste extensii sunt standard, si altele sunt mai mult exotice. Extensiile pot fi facute si de alti oameni si distibuite userilor.
Extensiile kernel-ului normal se gasesc in subdirectorul lui pentru module, cum este /lib/modules/2.3.15/net. Pe acestea trebuie sa le incarci in kernel automat pentru ca ele nu se autoincarca la cerere(Linux 2.3.15). Pe viitor ele se vor incarca automat.
Extensiile programului iptables sunt librarii ''sheruite'' care de obicei sunt gasite in directorul /usr/local/lib/iptables/, cu toate ca anumite distributii le pun in /lib/iptables sau /usr/lib/iptables.
Extensiile sunt de doua tipuri: tinte noi (new targets), si noi teste (new tests); mai jos vom vorbi despre ''noi tinte''. Anumite protocoale ofera ele noi teste: actual ele sunt TCP, UDP si ICMP cum sunt aratate mai jos.
Pe aceste noi teste le vei putea specifica in linia de comanda dupa optiunea '-p', care va incarca extensiile. Pentru teste noi explicite trebuie sa folosestei optiunea '-m' pentru a incarca extensia, doar dupa aceasta va fi aceasta accesibila.
Pentru a deschide manualul extensiei dupa ce o incarci ('-p' or '-m') foloseste optiunea '-h' sau '--help'.
**Extensii TCP
Extensiile TCP sunt incarcate automat daca este folosita comanda '--protocol tcp'. Aceastea vin cu urmatoarele optiuni (niciuna nu se refera si la fragmente, doar la pachete).
--tcp-flags
Daca dupa ele se pune (optional)'!', atunci doua stringuri te vor ajuta sa filtrezi flaguri specifice protocolului TCP. Primul string este un ''mask'': o lista de flaguri pe care vrei sao examinezi. Al doilea string iti spune pe care vrei sa le filtrezi. De exemplu:
# iptables -A INPUT --protocol tcp --tcp-flags ALL SYN,ACK -j DENY[/code]
Aceasta indica, ca toate flagurile trebuie examinate ('ALL' este sinonim cu 'SYN,ACK,FIN,RST,URG,PSH'), dar doar SYN si ACK vrei sa le setezi. Exista si un argument 'NONE' care inseamna nici un flag.
--syn
Urmat optional de '!', aceasta este o scurtare a comenzii'--tcp-flags SYN,RST,ACK SYN'.
--source-port
optional urmat de '!', si apoi de un singur port TCP, sau un interval de porturi. Porturile poti specificate prin numele lor, la fel ca in /etc/services, sau numerice. Intervalele sunt ori doua nume de porturi separate cu'-', sau (pentru a specifica un nr. mai mare sau egal cu portul dat) un port cu '-' inainte lui, sau (pentru a specifica un nr mai mic sau egal cu portul dat), un port precedat de'-'.
--sport
este sinonim cu '--source-port'.
--destination-port
and
--dport
sunt la fel ca si mai sus, numai ca ele specifica destinatia in loc de sursa portului care ne intereseaza sa-l filtram.
--tcp-option
urmat oprional de '!' siun numar, se refera la un pachet TCP care este egal cu acel numar. Un pachet care nu are un header TCP complet este aruncat (DROP) automat daca i se incearca examinarea optiunilor TCP.
O explicatie a flagurilor TCP
Este util sa permitem conexiuni TCP intr-o directie, dar nu si in cealalta. De exemplu, ai vrea sa se poata face conexiuni catre un server WWW exterior, dar sa nu existe conexiuni de la acel server la tine.
Te poti gandi sa blochezi pachetele care vin de la acel server. Dar din nefericire, ca o conexiune TCP sa mearga trebuie sa existe trafic in ambele directii.
Solutia este sa blochezi doar pachetele care cer ca o conexiune sa fi stabilita. Aceste pachete se numesc SYN (ok, tehnic ele sunt pachete cu flagul SYN setat, si flagurile FIN si ACK sunt sterse, dar noi le numim pe scurt pachete SYN). Blocand doar aceste pachete putem opri cererile de conexiuni si astfel niciuna nu poate fi facuta din exterior.
Flagul '--syn' este folosit pentru aceasta: este valid doar pentru regulile in care li se specifica ca protocol TCP-ul. Ca exemplu, pentru a specifica incercari de conexiuni de la IP-ul 192.168.1.1 se foloseste:
-p TCP -s 192.168.1.1 --syn
Acest flag poate fi inversat daca este precedat de un '!', aceasta inseamna orice pachet inafara de cele initiatoare de conexiuni TCP.
**Extensii UDP
Aceste extensii sunt incarcate automat daca este specificat protocolul UDP '--protocol udp'. Aici avem optiunile '--source-port', '--sport', '--destination-port' si '--dport' detaliate mai sus la protocolul TCP.
Extensii ICMP
Aceasta extensi este incarcata automat daca se specifica '--protocol icmp'. Aceasta ne da o singura optiune:
--icmp-type
urmat optional de '!', atunci un unme tip icmp (ex 'host-unreachable'), sau un tip numeric (ex. '3'), sau numeric si cod separat de'/' (ex. '3/3'). O lista de nume tip icmp se poate optine cu comanda '-p icmp --help'.
Alte extensii
Celelalte doua extensii sunt extensii demonstrative, care (daca sunt instalate) pot fi ''aduse la viata'' cu optiunea '-m'.
mac
acest modul trebuie explicit specificat cu '-m mac' sau '--match mac'. Este folosit pentru a filtra pachetele dupa adresa Ethernet (MAC), si este folositoare doar la regulile din chain-urile INPUT si FORWARD. De aduce o singura optiune:
--mac-source
optional urmata de '!', apoi o adresa ethernet scrisa in hexazecimale separate de '':'', ex '--mac-source 00:60:08:91:CC:B7'.
limit
acest modul trebuie explicit specificat cu '-m limit' sau '--match limit'. Este folosit pentru a limita rata de pachete acceptate. Unitatea de masura este numere de pachete pe secunda (default 3 pachete pe ora, cu o rafala de 5). Aceasta ne aduce doua argumente optionale:
--limit
urmat de un numar; specifica numarul medie maxim de pachete pe secunda care sunt lasate sa treaca. Numarul poate unitati explicite, folosind '/second', '/minute', '/hour' or '/day', sau parti din ele (deci '5/second' este la fel ca '5/s').
--limit-burst
urmata de un numar, defineste lungimea rafalei de pachete acceptate dupa care intra in actiune limita de mai sus.
Aceasta optiune poate fi folosita impreuna cu tinta ''LOG'' pentru a face ''rate-limited logging''. Prentru a intelege cum functioneaza, hai sa ne uitam la urmatoarea regula, care logheaza pachetele care au limita ''default'':
# iptables -A FORWARD -m limit -j LOG
Prima oara cand regula este indeplinita de un pachet, acesta va fi logat; de fapt, pentru ca rafala este de 5, primele cinci pachete vor fi logate. Dupa aceea, vor mai trece ica douazeci de minute pana cand urmatorul pachet va fi logat de la regula aceasta, netinand cont de cate pachete ajung la ea. Deasemenea, fiecare douazeci de minute care trec fara ca un pachet sa indeplineasca regula , o unitate din rafala va fi recapatata, daca nici un pachet nu se loveste de regula timp de 100 de minute rafala va reveni la 5; la fel ca la inceput.
Nu poti creea o regula a carei interval de timp de umplere a rafalei sa depaseasca 59 de ore, deci daca faci o regula care sa se reincarce o data pe zi, rafala trebie sa fie mai mica de 3.
unclean
Acest modul trebuie explicit specificat cu '-m unclean sau '--match unclean'. Acesta face analize aleatorii asupra integritatii pachetelor. Acesta nu trebuie folosit ca o optiune pentru securitate (probabil ca va inrautatii lucrurile, pentru ca s-ar putea ca sa aiba bug-uri). Nu vine cu nici o optiune.

===Specificarea tintelor===
Acum stim cum sa examinam un pachet, trebuie sa stim ce sa facem cu pachetele care se potrivesc regulilor noastre. Aceasta se numeste ''Tinta regulii'' (rule's target).
Exista doua tinte foarte simple: DROP (arunca) si ACCEPT(accepta). Deja le stim pe acestea. Daca pachetul indeplineste regula si tinta ei este una din cele doua, nu vor mai fi consultate alte reguli: soarta pachetului a fost decisa.
There are two types of targets other than the built-in ones: extensions and user-defined chains.
Chain-uri definite de utilizator (User-defined chains)
O puternica abilitate pe care iptables a mostenit-o de la ipchains este abilitatea de a creea chain-uri definite de utilizator (adica alte chain-uri inafara de cele trei de baza INPUT, FORWARD si OUTPUT).
Cand un pachet se potriveste unei reguli a carei tinta este un chain definit de utilizator, pachetul incepe sa confrunte reguluile sin chain-ul definit de utilizator. Daca acel chain nu decide soarta pachetului, adica a parcurs toate regulile din acel chain definit de utilizator, atunci pachetul incepe sa confrunte regula imegiat urmatoare regulei a carei tinta a fost chainul definit de utilizator.
Din nou este vremea pentru ASCII art. Sa zicem ca avem doua chain-uri Consider two (prostute): INPUT (chain-ul de baza) si test (un chain definit de utilizator cu optiunea ''-N''). CLIC

Chain-urile definite de utilizator pot sari catre alte chain-uri definite de utilizator (dar nu au voie sa fac bucle inchise: pachetele care intra in bucle inchise vor fi aruncate).
Extensia: New Targets
Clealat tip de tinta este o extensie. Aceastea constau intr-un modul pentru kernel, care ne asigura noi optiuni in linia de comanda. Exista cateva extensii in distributia default a pachetului netfilter:
*LOG
Acest modul logheaza pachetele care indeplinesc o anumita regula a carei tinta este ''LOG''. Acesta vine cu urmatoarele optiuni:
--log-level
Urmata de un nume sau numar. Numele sunt (case-insensitive) 'debug', 'info', 'notice', 'warning', 'err', 'crit', 'alert' si 'emerg', care corespund numerelor de la 7 la 0. Uta-te la ''man page-ul'' pentru syslog.conf pentru o explicatie a acestor nivele.
--log-prefix
Urmat de un sting de maxim 14 caractere, acest mesaj este trimis la inceputul logului pentru a fi unic.
Acest modul este forte util dupa o tinta care limiteaza pentru a nu-ti inunda (food) logurile.
*REJECT
Acest modul are acelas efect ca modulul 'DROP', numai ca expeditorului ii este trimis un mesaj de eroare de tip ICMP 'port unreachable'. Nota: mesajul de eroare de tip ICMP nu este trimis daca (vezi RFC 1122):
Pachetul filtrat era chiar el un mesaj de eroare de tip ICMP, sau un tip necunoscut de ICMP.
Pachetul filtrat nu era primul fragment dintr-un lant de fragmente.
Am trimis prea multe mesaje de eroare de tip ICMP la acea destinatie intr-un anumit timp.
Tinte speciale
Exista doua tinte speciale care vin o dat cu distributia: RETURN si QUEUE.
*RETURN are acelas efect ca si cum ar sari de la sfarsitul unui chain: pentru unul dintre cele trei chain-uri de baza, soarta pachetului va fi decisa de politica acestuia. Pentru o regula dintr-un chain definit de utilizator, traversarea continua exact dupa regula de la care a fost aruncat pachetul in chain-ul definit de utilizator. Daca o regula (nu este neaparat sa fie ultima din chain) dintr-un chain definit de utilizator are tinta RETURN si aceasta se potriveste unui pachet, aceasta il va trimite inapoi la chainul de unde a venit, cu mentiunea ca este respectata traversearea regulilor, adica la regula exact urmatoare celei care a trimis pachetul in chain-ul definit de utilizator.
*QUEUE este o tinta speciala, care ''pastreaza'' pachetul pentru procesarea facuta de useri. Daca pachetul nu este asteptat de vreo aplicatie acesta va fi aruncat.

===Operatii cu un Chain intreg===
O abilitate foarte utila a programului iptables este gruparea regurilor in chainuri (seturi de reguli). Poti denumi chainurile definite de utilizator cum vrei, dar este rcomandat sa le denumesti cu caractere mici pentru a nu le confunda cu cele trei chainuri de baza; numele acestora poate sa fie maxim din 16 litere.
*Crearea unui nou chain
Hai sa creem un nou chain. Pentru ca eu sunt un tip cu imaginatie am sa-l numesc test. Vom folosi optiunile '-N' sau '--new-chain':
# iptables -N test
Este chiar atat de simplu. Acum poti pune reguli in el dupa cum a fost aratat mai sus.
*Stergerea unui Chain
Stergerea unui chain este la fel de simplu, folosind optiunea '-X' sau '--delete-chain'. De ce '-X'? Pai…, toate literele frumoase au fost luate deja.
# iptables -X test
Exista cateva restrictii cand stergem un chain: acesta trebuie sa fie gol (vezi golirea unui chain mai jos) si nu trebuie sa fie tinta vreunei reguli. Chainurile de baza nu pot fi sterse.
Daca nu se specifica numele chainului de sters, atunci toate chain-urile definite de utilizator vor fi sterse, daca este posibil.
*Golirea unui Chain
Exista un mod simplu prin care se poate goli un cahin de toate regulile care exista in el, folosind comanda '-F' (sau '--flush').
# ipchains -F forward
Daca nu se specifica chain-ul atunci toate chainurile vor fi golite.
*Listarea unui chain
Poti vedea toate regulile existente intr-un chain cu comanda '-L'.
Daca nu este specificat numele chain-ului atunci sunt listate toate regulile existente in ''filtrul de pachete''.
Exista trei optiuni care acompaniaza comanda '-L'. Optiunea '-n' (numeric) pentru ca ea previne ca iptables sa incerce sa caute adresa IP, care (daca folosesti DNS ca majoritatea oamenilor) va cauza delay-uri foarte mari in caz ca DNS-ul nu este setat cum trebuie, sau daca filtrezi cererile de DNS (Domain Name Server).
Optiunea '-v' va arata toate detaliile unei raguli, cum sunt pachetele si contuarele de biti, comparatiile TOS, si interfetele. Altfel aceste valori sunt omise.
Nota: pachetele si contoarele de biti sunt afisate folosin sufixele 'K', 'M' sau 'G' pentru 1000, 1,000,000 si respectiv 1,000,000,000. Folosind optiunea '-x' (expand numbers) vor fi aratate ca numere netinand cont de cat de mari sunt acestea.
*Resetarea (Zeroing) Contoarelor
Este util sa poti reseta contoarele. Acest lucru poate fi facut cu optiunea '-Z' (sau '--zero')
Problema cu acest lucru este ca, uneori, trebuie sa stii valorile contoarelor imediat inainte de a fi aduse la zero. In exemplul de mai sus, anumite pachete pot trece in dupa ce folosesti optiunea '-L' si pana folosesti optiunea '-Z'. Pentru acest motiv, poti folosi optiunile '-L' si '-Z' impreuna, pentru a reseta contuarele in timp ce le vizualizezi.
*Setarea politicii
Doar chain-urile de baza (INPUT, OUTPUT and FORWARD) au o politica, pentru ca daca un pachete este confruntat cu un regulile dintr-un chain definit de utilizator si inca nu i se decide soarta, acesta isi continua drumul intr-un chain de baza.
Politica poate fi ACCEPT(accepta) sau DROP (arunca).

----

Traducerea si adaptarea a fost facuta (initial) de Razvan Turtureanu (razvan@upb.ro)

[[Category:Tutorial]]
[[Category:Networking]]
[[Category:Firewall]]

Talk:Autentificare ssh folosind chei publice/private

2005-12-29T12:46:15Z

Raptor: /* Despre corecturi şi adăugiri */

== Despre corecturi şi adăugiri ==
* Categoria "SSH" este improprie în momentul actual (vezi discuţia de [[Talk:Tutorials|aici]]) aşa că am scos-o. [[User:Csdexter|@Dexter]] 00:26, 10 December 2005 (EET)
* Privitor la <tt>authorized_keys</tt> şi <tt>authorized_keys2</tt>, puteai sa spui că SSH.com o foloseşte pe a doua pe când OpenSSH o preferă pe prima. [[User:Csdexter|@Dexter]] 00:28, 10 December 2005 (EET)
* Mulţumim lui [[User:86.120.180.204]] pentru corecturile făcute, precum şi pentru introducerea mecanismului pentru notele de subsol -- mecanism care, însă, suportă o mica corectura cosmetică pe care am să o şi fac. [[User:Csdexter|@Dexter]] 10:32, 12 December 2005 (EET)
* Privitor la observatia anterioara, am facut schimbarile cosmetice in ideea ca note de subsol '''numerotate''' sunt necesare doar in carti, adica acolo unde trebuie sa poti deosebi o legatura de alta -- aici, pe Internet, te duce sistemul (de hiperlegaturi, n. ed.) direct la informatia legata (si de acolo inapoi) si deci nu mai ai nevoie de sistemul cu auto-numarare. Daca, in viitor, WikiMedia va implementa vre-un sistem ''elegant'' de auto-numarare a referintelor interne, vom migra articolele la acest sistem -- pe moment insa, generarea de legaturi artificial-externe sistemului este innacceptabila asa ca am modificat functionalitatea sabloanelor [[:Template:ref|ref]] si [[:Template:note|note]] in mod corespunzator. [[User:Csdexter|@Dexter]] 11:03, 12 December 2005 (EET)
* Numerotarea este necesară datorită faptului că notele sunt poziţionate în general la sfârşitul unei pagini, şi în momentul în care se face poziţionarea pe notă este aproape imposibil să distingi despre care notă este vorba --[[User:Sorin25|sorin25]] 22:04, 27 December 2005 (EET)
* Mie la Netscape 7.2 (si banuiesc ca si Mozilla face la fel) imi apare un chenar de selectie pe legatura ''(inapoi)'' corespunzatoare notei pe care am accesat-o. Dreptunghiul este cel care apare cand te muti intre legaturi/controale cu TAB. Voua nu va apare? [[User:Csdexter|@Dexter]] 18:18, 28 December 2005 (EET)
* Şi mie pe firefox îmi apare acelaşi lucru (mă refer la chenar), dar tot cred ca ar fi mai bine să avem şi cifre (decât să ne uităm după chenarele care apar pe înapoi) şi hiperlegăturile mai sus pomenite. [[User:Raptor360|Raptor360]] 14:46, 29 December 2005 (EET)

Iptables romana

2005-12-01T12:14:05Z

Raptor: /* Cum sa faci regulile permanente */

== Cuvânt introductiv ==
Pentru început, vreau să spun că eu nu ştiu mai mult decât alţii şi spun asta pentru că am intrat în contact cu câţiva oameni care într-adevăr ştiu multe despre [http://ro.wikipedia.org/wiki/Linux Linux]. Eu nu am făcut decât să traduc acest ''HowTo'', iar dacă (mai mult ca sigur) voi găsiţi greşeli de traducere sau de adaptare, vă rog să îmi atrageţi atenţia scriindu-mi un mesaj de [mailto:razvan@upb.ro poştă electronică]. Dacă intraţi în posesia acestui fişier şi ştiţi pe cineva care îl vrea, vă rog să îl daţi pe gratis, adica aşa cum l-aţi primit şi voi pentru că nici măcar eu nu am cerut bani pe el. Sper sa vă ajute, cel puţin la fel de mult cât m-a ajutat şi pe mine, iar dacă aveţi neclarităţi scrieţi-mi un mesaj şi vă voi răspunde în măsura în care pot şi am timp.

==Ce este filtrarea de pachete?==

=== Bazele reţelisticii ===
Tot traficul dintr-o reţea este transmis sub formă de pachete. De exemplu, descărcând acest document (să zicem că are 50ko) s-ar putea ca tu să primeşti 36 de pachete a câte 1460 octeţi fiecare.

Antetul (engl. [http://en.wikipedia.org/wiki/Header_%28information_technology%29 header]) fiecărui pachet spune unde se duce, de unde vine, tipul pachetului precum şi alte detalii administrative. Restul pachetului, conţinând datele care ne sunt transmise, se numeşte corpul (engl. [http://en.wikipedia.org/wiki/Packet body]) sau conţinutul pachetului.

Câteva protocoale, de exemplu TCP care este folosit (spre exemplu) pentru traficul de web, poştă şi sesiuni de terminal de la distanţă, folosesc principiul de forma o conexiune inainte de a transmite pachete cu datele care ne interesează. Astfel, varii pachete de ''început'' (cu antete speciale) sunt schimbate care spun 'Vreau să mă conectez', 'Bine' şi 'Mulţumesc' (procedură cunoscută ca negociere bilaterală -- engl. [http://en.wikipedia.org/wiki/Transmission_Control_Protocol#Connection_establishment_.283-way_handshake.29 3-way handshaking]). Abia apoi începe schimbul de pachete conţinând datele ce trebuie să tranziteze conexiunea proaspăt creeată.

===Deci ce este un ''filtru de pachete''?===
Un filtru de pachete este un program care se uită în header-ul pachetelor care trec şi le decide soarta. El poate să ''arunce'' pachetul (să îl neglijeze ca şi cum nu ar fi fost primit), să ''accepte'' pachetul (să îl lase să treacă), sau să ''rejecteze'' pachetul (îl aruncă dar şi spune sursei de la care a venit că l-a aruncat).
Sub Linux, filtrarea de pachete este construită în kernel (ca modul sau chiar în el) şi există câteva lucruri mai deosebite pe care le putem face cu pachetele (putem de exemplu să modificăm sursa sau destinaţia acestuia înainte de a-l trimite mai departe), dar principiul general de a ne uita în antetul pachetului şi să-i decidem soarta este înca acolo.

===De ce aş vrea să filtrez pachete?===
*Control:
Cand foloseşti un ''linux-box'' ca să conectezi reţeaua ta internă la o altă reţea (să zicem Internetul) ai oportunitatea de a lăsa numai anumite feluri de trafic sa treacă şi să nu laşi să treacă pe altele. De exemplu, antetul pachetului conţine destinaţia sa şi poţi preveni ca pachetele să ajungă într-o anumită parte a reţelei externe. Ca un alt exemplu, eu folosesc Netscape ca sa accesez arhivele Dilbert. Pe acea pagină sunt reclame de la doubleclick.net, şi Netscape-ul îmi pierde timpul deschizându-le. Spunându-i ''filtrului de pachete'' să nu lase să treacă pachete spre doubleclick.net sau să vină de la el rezolvă aceasta problemă.
*Securitate:
Când Linux-box-ul tău este singurul lucru care stă între haosul din Internet şi reţeaua ta privată, este bine de ştiut că poţi restricţiona ceea ce face ''tărăboi la uşa ta''. De exemplu, poţi lăsa să treacă ceea ce pleacă din interiorul reţelei interne, dar ar trebui să te îngrijoreze vestitul 'Ping of Death' care vine de la străini, sau diverşi alţi viruşi ce se propagă prin Internet. Ca un alt exemplu, nu ai vrea ca cei din afară să se conecteze prin ssh (sau mult mai vechiul telnet) la serverul tău, chiar dacă toate conturile din el sunt protejate de o parolă; având un filtru de pachete care să ''arunce'' pachetele cu antete speciale care sunt folosite pentru a deschide conexiuni din exterior.
*Supraveghere:
Uneori o maşină din interior prost configurată (sau un virus de exemplu) poate decide să împraştie pachete lumii exterioare. Este frumos să-i spui ''filtrului de pachete'' să te înştiinţeze când se întâmplă ceva care nu face parte din normal,nu de alta dar poate faci ceva în legatură cu lucrul acesta sau poate eşti curios din fire să ştii ceea ce se intâmplă în reţeaua ta internă.

===Cum filtrez pachete sub Linux?===
Kernel-ele Linux-ului au avut filtre de pachete chiar de la versiunea 1.1. Prima generaţie, bazată pe ''ipfw'' de la BSD, a fost introdusă de Alan Cox in 1994. Aceasta a fost modificată şi întărită de Jos Vos şi alţii pentru Linux 2.0. În 1998, pentru Linux 2.2, eu am modificat radical kernelul, cu ajutorul lui Michael Neuling şi am introdus programul 'ipchains'. În final, a patra generaţie a filtrului, 'iptables', şi o altă modificare a kernelului au apărut în 1999 pentru Linux 2.4. Pe iptables ne vom concentra în acest HOWTO.
Programul iptables vorbeşte cu kernel-ul şi îi spune ce pachete să filtreze. Dacă nu eşti programator sau prea curios, în acest fel vei controla ''filtrul de pachete''.
Programul iptables inserează sau şterge reguli din ''tabelul'' de reguli de filtrare al kernelului. Aceasta înseamnă că orice ai seta, se va pierde când vei reporni maşina; vezi [[#Cum să faci regulile permanente]] pentru a te asigura că data viitoare când porneşti maşina ele sunt încă acolo.
iptables înlocuieşte ipfwadm şi ipchains: vezi [[http://www.telematik.informatik.uni-karlsruhe.de/lehre/seminare/LinuxSem/downloads/netfilter/iptables-HOWTO-6.html|Cum să folosesti ipchains şi ipfwadm]] pentru a evita folosirea iptables dacă deja foloseşti ipchains sau ipfwadm.

===Cum să faci regulile permanente===
Firewall-ul tău curent este stocat în kernel şi de aceea va fi pierdut când reporneşti maşina. Scriind
# iptables-save
şi
# iptables-restore
este ceea ce vă recomand.
Între timp, pune comanda necesară pentru a-ţi seta regulile într-un script de iniţializare. Asigură-te că faci ceva inteligent în caz că una din comenzi nu merge (de obicei 'exec /sbin/sulogin').

==Cine oare eşti şi de ce te joci cu kernelul meu?==
Eu sunt Rusty; eu sunt cel care întreţine ''Linux IP Firewall'' şi sunt doar un programator decent care s-a întâmplat să fie la locul potrivit în timpul potrivit. Eu am scris ipchains (mecanismul firewall anterior, din kernelul 2.2) şi am învăţat destule ca să fac să meargă ''filtrul de pachete'' iptables cum trebuie. Cel puţin sper.

==Cum traverseaza pachetele filtrul?==
Kernel-ul porneste cu trei liste de reguli; aceste liste se numesc ''firewall chains'' sau doar ''chains''. Cele trei chain-uri se numesc INPUT, OUTPUT si FORWARD.
Pentru fanii ASCII-art, chain-urile sunt aranjate cam asa:

_____
/ \
-->[Routing ]--->|FORWARD|------->
[Decision] \_____/ ^
| |
v ____
___ / \
/ \ |OUTPUT|
|INPUT| \____/
\___/ ^
| |
----> Local Process ----

Cele trei cicluri reprezentate sunt chain-urile mentionate mai sus. Cand un pachet ajunge intr-un ciclu din diagrama, acel chain este examinat pentru a decide soarta pachetului. Daca chain-ul decide sa arunce pachetul (DROP), va fi ''omorat'' acolo, dar daca chain-ul spune ca pachetul trebuie acceptat (ACCEPT), el continua sa circule prin diagrama.
Un chain este un ''set de reguli''. Fiecare regula spune 'daca header-ul pachetului arata asa, atunci ce vrei sa faci cu pachetul'. Daca regula nu este indeplinita de pachet, apoi este consultata urmatoarea regula din set. In final, daca nu mai sunt reguli de consultat, kernel-ul se uita la politica ''setului de reguli'' pentru a decide ce se va intampla cu pachetul. Intr-un sistem riguros din punct de vedere al securitatii politica ''setului de reguli'' ii spune kernel-ului sa arunce pachetul (DROP).
Cand un pachet soseste (sa zicem, printr-o interfata Ethernet) kernelul se uita prima oara la destinatia lui: acest lucru se numeste 'routing'.
Daca pachetul este chiar pentru box-ul tau, el va merge in jos catre chain-ul INPUT. Daca trece de acesta orice proces cara il asteapta il va primi.
Altfel, daca kernelul in are forwarding-ul activat, sau nu stie cum sa forward-eze pachetul, acesta va fi aruncat (DROP). Daca forwarding-ul este activat si pachetul este destinat catre o alta interfata de retea (daca mai ai inca una), atunci pachetul merge inainte in diagrama noastra spre chain-ul FORWARD. Daca este acceptat de catre acesta el va fi trimis in afara.
Si in sfarsit, un program care ruleaza chiar in box-ul tau poate trimite pachete in retea. Aceste pachete trec prin chain-ul OUTPUT: daca acesta le accepta (ACCEPT), atunci pachetul isi continua drumul catre destinatia sa, oricare ar fi aceasta si prin orice interfata.

==Folosirea iptables==
iptables are un manual foarte detaliat (man iptables), daca ai nevoie de detalii.
Exista cateva lucruri diferite pe care le poti face cu iptables. In primul rand operatii cu care poti face management pe un intreg ''set de reguli''. La inceput exista trei chain-uri input, output si forward pe care nu le poti sterge.
*Crearea unui nou chain (-N).
*Stergerea unui chain gol (-X).
*Schimbarea politicii unuia dintre chain-urile standard (input, output si forward). (-P).
*Listarea regulilor dintr-un chain (-L).
*Stergerea tuturor regulilor dintr-un chain (-F).
*Readucerea la zero a contoarelor regulilor dintr-un chain (-Z).
*Exista si moduri de manipulare a unei singure reguli dintr-un chain:
*Atasarea unei noi reguli (-A).
*Inserarea unei noi reguli intr-o anume pozitie intr-un chain (-I).
*Inlocuirea unei reguli intr-o anume pozitie a unui chain (-R).
*Stergerea unei reguli (-D).

===Ce vezi atunci cand porneste calculatorul===
Pentru moment (Linux 2.3.15), iptables este un modul numit ('iptables.o'). Va trebui sa-l inserezi in kernel inainte de a putea folosi comanda iptables. Pe viitor, va fi posibil ca el sa fie deja construit in kernel.
Inainte de ca orice comanda iptables sa fie rulata (ai grija: unele distributii vor rula iptables in scripturile lor de initializare), nu va exista nici o regula in cele trei chain-uri de baza ('INPUT', 'FORWARD' si 'OUTPUT'), chain-urile INPUT si OUTPUT vor avea politica setata pe ACCEPT, si chain-ul FORWARD va fi setat pe DROP (poti schimba acest lucru setand 'forward=1' in optiunile modulului iptables).

===Operatii cu o singura regula===
Acestea sunt ''painea si cutitul'' unui filtru de pachete; manipularea regulilor. Cel mai des probabil ca vei folosi comenzile de atasare (-A) si stergere (-D). Celelalte (-I pentru inserare si -R pentru inlocuire) sunt simple extensii ale acestor concepte.
Fiecare regula specifica un set de conditii pe care trebuie sa le indeplineasca un pachet, si ce sa faca in caz ca le indeplineste (o tinta 'target'). De exemplu, vrei sa arunci toate pachetele de tip ICMP care vin de la IP-ul 127.0.0.1. Deci in acest caz conditiile noastre sunt ca protocolul trebuie sa fie ICMP si sursa de la care vin pachetele este IP-ul 127.0.0.1. tinta noastra este aruncarea lor (DROP).
127.0.0.1 este interfata 'loopback', pe care o ai char daca nu ai vreo legatura fizica la vreo retea. Poti folosi programul 'ping' pentru a genera asemenea pachete si a testa o astfel de regula.
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.2 ms

--- 127.0.0.1 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.2/0.2/0.2 ms
# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes

--- 127.0.0.1 ping statistics ---
1 packets transmitted, 0 packets received, 100% packet loss
Poti vedea aici ca ping-ul a avut scces (prin '-c 1' i-am spus programului ping sa trimita un singur pachet).
Apoi atasam (-A) chain-ului 'INPUT', o regula in care specificam ca pachetele care vin de la IP-ul 127.0.0.1 ('-s 127.0.0.1') prin protocolul ICMP ('-p icmp') ar terbui sa le dam DROP ('-j DROP').
Apoi testam regula noastra, folosind un al doilea ping. Va fi o pauza pana cand programul renunta sa mai astepte raspunsul care nu va veni niciodata.
Putem sterge aceasta regula in mai multe feluri. In primul rand, pentru ca stim ca este singura regula in chain-ul input, putem folosi o stergere in care specificam pozitia reguluii:
# iptables -D INPUT 1

----

Al doilea mod prin care putem sterge regula este sa oglindim comanda –A, inlocuind –A cu -D. Acest lucru este folositor cand avem un set complex de reguli. In acest caz folosim:
# ipchains -D INPUT -s 127.0.0.1 -p icmp -j DROP

===Specificatii ale filtrarii===
Am vazut folosirea '-p' pentru a specifica protocolul, si '-s' pentru a specifica adresa sursa, dar sunt si alte optiuni cu care putem specifica caracteristici ale pachetelor
*Specificarea adresei Sursa si adresa Destinatie.
Sursa ('-s', '--source' or '--src') si destinatia ('-d', '--destination' or '--dst') IP-ului poate fi specificata in patru moduri. Cel mai des intalnit este folosirea numelui intreg, cum ar fi 'localhost' sau 'www.linuxhq.com'. Al doilea mod este folosirea de adrese IP cum ar fi '127.0.0.1'.
Al treilea si al patrulea mod este specificarea unui interval de IP-uri, cum sunt '199.95.207.0/24' sau '199.95.207.0/255.255.255.0'. Amandoua specifica orice IP cuprins intre 199.95.207.0 to 199.95.207.255 inclusiv; iar digitii dupa '/' ne spun care parti din IP-uri sunt relevante in cazul nostru. '/32' sau '/255.255.255.255' este modul standard (default). Pentru a specifica orice ip putem folosi '/0', dupa cum urmeaza:
# ipchains -A input -s 0/0 -j DENY
Aceasta este rar folosit pentru ca efectul obtinut este la fel ca in cazul in care nu folosim de loc optiunea '-s'.
*Specificarea unei inversiuni
Multe flag-uri, incluzand optiunile '-s' and '-d' pot avea argumentele precedate de un '!' pentru a compara adrese care nu sunt echivalente cu cele date in linia de comanda. De exemplu '-s ! localhost' inseamna orice pachet care nu vine de la localhost.
*Specificarea Protocolului
Protocolul poate fi specificat cu flag-ul '-p'. Protocolul poate fi un numar (daca stii valorile numerice pentru IP) sau un nume pentru cazurile speciale de 'TCP', 'UDP' sau 'ICMP'. Cum este scris nu conteaza, asa ca 'tcp' merge la fel de bine ca si 'TCP'.
Numele protocolului poate fi precedat de un '!', pentru a fi inversat, such as '-p ! TCP' (expresia inseamna tot ce nu e TCP).
*Specificarea unei interfete
Optiunea '-i' (sau '--in-interface') si '-o' (sau '--out-interface') specifica numele interfetei. O interfata este un lucru fizic (modem, placa de retea etc…) prin care pachetul intra ('-i') sau prin care iese ('-o'). Poti folosi comanda
# ifconfig
pentru a vedea interfetele care sunt active.
Pentru pachetele care traverseaza chain-ul INPUT nu se poate specifica o interfata de iesire, deci orice regula din acest chain care contine optiunea '-o' este inutila. Similar, pachetele care traverseaza chain-ul OUTPUT nu au interfata de intrare, deci orice regula din acest chain in care exista optiunea '-i' este inutila.
Doar pachetele care traverseaza chain-ul FORWARD au atat interfata de intrare cat si interfata de iesire.
Nu este gresit daca se specifica o interfata care pentru moment nu este activa; regula nu se va potrivi niciunui pachet pana cand interfata nu va fi activata. Acest lucru este foarte util pentru legaturi dial-up (PPP point to point) de obicei interfata ppp0.
Un caz special, un nume de interfata al carei string se termina cu '+' specifica toate interfetele de acelas fel (chiar daca sunt activate sau nu). De exemplu, pentru a specifica o regula care sa se potriveasca pentru toate interfetele de gen PPP, se va folosi expresia-i ppp+.
Numele interfetei poate fi precedat de '!', aceasta regula se va referi la pachetele care nu vin sau ies prin acea interfata.
*Specificarea fragmentelor
Uneori un pachet este prea mare ca sa incapa prin ''fir'' intreg. Cand acest lucru se intampla pachetul este divizat in fragmente, si trimis ca mai multe pachete mai mici. Calculatorul care primeste aceste fragmente le va reasambla si va forma pachetul initial.
Problema cu aceste pachete este ca doar primul fragment din acestea contine in header informatii despre protocol (cum ar fi TCP, UDP si ICMP) si extensiile lui, iar restul de fragmente nu contin aceste lucruri, iar daca am incerca sa ne uitam in ele ar fi imposibil.
Daca tu faci ''connection tracking'' sau ''NAT'', atunci toate aceste fragmente vor fi fuzionate inainte de a ajunge la ''filtrul de pachete'', deci nu trebuie sa ne facem griji despre aceste fragmente. Atltfel, poti insera in kernel modulul 'ip_defrag.o' care face acelas lucru (nota, acest lucru este permis doar daca linux-box-ul tau este singura conexiune intre cele doua retele).
Altfel, este foarte important sa intelegem cum sunt tratate fragmentele de catre regulile de filtrare. Orice regula care cere informatii de la pe care nu le avem nu se va potrivi, aceasta inseamna ca primul fragment (cel care are specificat in header tot ce este necesar) va fi tratat ca pe un pachet, iar cel de-al doilea si restul de fragmente nu vor fi tratate corespunzator (pentru ca header-ul lor nu contine informatiile necesare). De aceea o regula de genul ''-p TCP --sport www'' (care specifica portul sursa al unui server 'www') nu va filtra fragmente (in afara de primul). La fel se va comporta si regula opusa ''-p TCP --sport ! www''.
Oricum, poti face o regula special pentru cel de-al doilea si urmatoarele fragmente folosind optiunea '-f' (sau '--fragment'). Valabila este si regula care nu se aplica pentru cel de-al doilea si urmatoarele fragmente daca punem optiunea ''!'' inaintea lui '-f'.
De obicei se zice ca este sigur (din punct de vedere al securitatii) sa lasi al doilea si celelalte fragmente sa treaca treaca, pentru ca filtrarea afecteaza decat primul fragment, si deci pachetul nu va putea fi reasamblat in partea cealalta, dar, exista bug-uri care vor face masina sa se ''prabuseasca'' doar prin simplul fapt ca aceasta trimite fragmente. Este decizia ta.
Ca un exemplu, urmatoarea regula va arunca toate fragmentele care se duc la IP-ul 192.168.1.1:
# iptables -A OUTPUT -f -d 192.168.1.1 -j DROP
*Extensii la iptables
Iptables este extensibil, asta insemnand ca atat kernel-ul cat si iptables se pot extinde pentru a ne asigura noi posibilitati.
Unele dintre aceste extensii sunt standard, si altele sunt mai mult exotice. Extensiile pot fi facute si de alti oameni si distibuite userilor.
Extensiile kernel-ului normal se gasesc in subdirectorul lui pentru module, cum este /lib/modules/2.3.15/net. Pe acestea trebuie sa le incarci in kernel automat pentru ca ele nu se autoincarca la cerere(Linux 2.3.15). Pe viitor ele se vor incarca automat.
Extensiile programului iptables sunt librarii ''sheruite'' care de obicei sunt gasite in directorul /usr/local/lib/iptables/, cu toate ca anumite distributii le pun in /lib/iptables sau /usr/lib/iptables.
Extensiile sunt de doua tipuri: tinte noi (new targets), si noi teste (new tests); mai jos vom vorbi despre ''noi tinte''. Anumite protocoale ofera ele noi teste: actual ele sunt TCP, UDP si ICMP cum sunt aratate mai jos.
Pe aceste noi teste le vei putea specifica in linia de comanda dupa optiunea '-p', care va incarca extensiile. Pentru teste noi explicite trebuie sa folosestei optiunea '-m' pentru a incarca extensia, doar dupa aceasta va fi aceasta accesibila.
Pentru a deschide manualul extensiei dupa ce o incarci ('-p' or '-m') foloseste optiunea '-h' sau '--help'.
**Extensii TCP
Extensiile TCP sunt incarcate automat daca este folosita comanda '--protocol tcp'. Aceastea vin cu urmatoarele optiuni (niciuna nu se refera si la fragmente, doar la pachete).
--tcp-flags
Daca dupa ele se pune (optional)'!', atunci doua stringuri te vor ajuta sa filtrezi flaguri specifice protocolului TCP. Primul string este un ''mask'': o lista de flaguri pe care vrei sao examinezi. Al doilea string iti spune pe care vrei sa le filtrezi. De exemplu:
# iptables -A INPUT --protocol tcp --tcp-flags ALL SYN,ACK -j DENY[/code]
Aceasta indica, ca toate flagurile trebuie examinate ('ALL' este sinonim cu 'SYN,ACK,FIN,RST,URG,PSH'), dar doar SYN si ACK vrei sa le setezi. Exista si un argument 'NONE' care inseamna nici un flag.
--syn
Urmat optional de '!', aceasta este o scurtare a comenzii'--tcp-flags SYN,RST,ACK SYN'.
--source-port
optional urmat de '!', si apoi de un singur port TCP, sau un interval de porturi. Porturile poti specificate prin numele lor, la fel ca in /etc/services, sau numerice. Intervalele sunt ori doua nume de porturi separate cu'-', sau (pentru a specifica un nr. mai mare sau egal cu portul dat) un port cu '-' inainte lui, sau (pentru a specifica un nr mai mic sau egal cu portul dat), un port precedat de'-'.
--sport
este sinonim cu '--source-port'.
--destination-port
and
--dport
sunt la fel ca si mai sus, numai ca ele specifica destinatia in loc de sursa portului care ne intereseaza sa-l filtram.
--tcp-option
urmat oprional de '!' siun numar, se refera la un pachet TCP care este egal cu acel numar. Un pachet care nu are un header TCP complet este aruncat (DROP) automat daca i se incearca examinarea optiunilor TCP.
O explicatie a flagurilor TCP
Este util sa permitem conexiuni TCP intr-o directie, dar nu si in cealalta. De exemplu, ai vrea sa se poata face conexiuni catre un server WWW exterior, dar sa nu existe conexiuni de la acel server la tine.
Te poti gandi sa blochezi pachetele care vin de la acel server. Dar din nefericire, ca o conexiune TCP sa mearga trebuie sa existe trafic in ambele directii.
Solutia este sa blochezi doar pachetele care cer ca o conexiune sa fi stabilita. Aceste pachete se numesc SYN (ok, tehnic ele sunt pachete cu flagul SYN setat, si flagurile FIN si ACK sunt sterse, dar noi le numim pe scurt pachete SYN). Blocand doar aceste pachete putem opri cererile de conexiuni si astfel niciuna nu poate fi facuta din exterior.
Flagul '--syn' este folosit pentru aceasta: este valid doar pentru regulile in care li se specifica ca protocol TCP-ul. Ca exemplu, pentru a specifica incercari de conexiuni de la IP-ul 192.168.1.1 se foloseste:
-p TCP -s 192.168.1.1 --syn
Acest flag poate fi inversat daca este precedat de un '!', aceasta inseamna orice pachet inafara de cele initiatoare de conexiuni TCP.
**Extensii UDP
Aceste extensii sunt incarcate automat daca este specificat protocolul UDP '--protocol udp'. Aici avem optiunile '--source-port', '--sport', '--destination-port' si '--dport' detaliate mai sus la protocolul TCP.
Extensii ICMP
Aceasta extensi este incarcata automat daca se specifica '--protocol icmp'. Aceasta ne da o singura optiune:
--icmp-type
urmat optional de '!', atunci un unme tip icmp (ex 'host-unreachable'), sau un tip numeric (ex. '3'), sau numeric si cod separat de'/' (ex. '3/3'). O lista de nume tip icmp se poate optine cu comanda '-p icmp --help'.
Alte extensii
Celelalte doua extensii sunt extensii demonstrative, care (daca sunt instalate) pot fi ''aduse la viata'' cu optiunea '-m'.
mac
acest modul trebuie explicit specificat cu '-m mac' sau '--match mac'. Este folosit pentru a filtra pachetele dupa adresa Ethernet (MAC), si este folositoare doar la regulile din chain-urile INPUT si FORWARD. De aduce o singura optiune:
--mac-source
optional urmata de '!', apoi o adresa ethernet scrisa in hexazecimale separate de '':'', ex '--mac-source 00:60:08:91:CC:B7'.
limit
acest modul trebuie explicit specificat cu '-m limit' sau '--match limit'. Este folosit pentru a limita rata de pachete acceptate. Unitatea de masura este numere de pachete pe secunda (default 3 pachete pe ora, cu o rafala de 5). Aceasta ne aduce doua argumente optionale:
--limit
urmat de un numar; specifica numarul medie maxim de pachete pe secunda care sunt lasate sa treaca. Numarul poate unitati explicite, folosind '/second', '/minute', '/hour' or '/day', sau parti din ele (deci '5/second' este la fel ca '5/s').
--limit-burst
urmata de un numar, defineste lungimea rafalei de pachete acceptate dupa care intra in actiune limita de mai sus.
Aceasta optiune poate fi folosita impreuna cu tinta ''LOG'' pentru a face ''rate-limited logging''. Prentru a intelege cum functioneaza, hai sa ne uitam la urmatoarea regula, care logheaza pachetele care au limita ''default'':
# iptables -A FORWARD -m limit -j LOG
Prima oara cand regula este indeplinita de un pachet, acesta va fi logat; de fapt, pentru ca rafala este de 5, primele cinci pachete vor fi logate. Dupa aceea, vor mai trece ica douazeci de minute pana cand urmatorul pachet va fi logat de la regula aceasta, netinand cont de cate pachete ajung la ea. Deasemenea, fiecare douazeci de minute care trec fara ca un pachet sa indeplineasca regula , o unitate din rafala va fi recapatata, daca nici un pachet nu se loveste de regula timp de 100 de minute rafala va reveni la 5; la fel ca la inceput.
Nu poti creea o regula a carei interval de timp de umplere a rafalei sa depaseasca 59 de ore, deci daca faci o regula care sa se reincarce o data pe zi, rafala trebie sa fie mai mica de 3.
unclean
Acest modul trebuie explicit specificat cu '-m unclean sau '--match unclean'. Acesta face analize aleatorii asupra integritatii pachetelor. Acesta nu trebuie folosit ca o optiune pentru securitate (probabil ca va inrautatii lucrurile, pentru ca s-ar putea ca sa aiba bug-uri). Nu vine cu nici o optiune.

===Specificarea tintelor===
Acum stim cum sa examinam un pachet, trebuie sa stim ce sa facem cu pachetele care se potrivesc regulilor noastre. Aceasta se numeste ''Tinta regulii'' (rule's target).
Exista doua tinte foarte simple: DROP (arunca) si ACCEPT(accepta). Deja le stim pe acestea. Daca pachetul indeplineste regula si tinta ei este una din cele doua, nu vor mai fi consultate alte reguli: soarta pachetului a fost decisa.
There are two types of targets other than the built-in ones: extensions and user-defined chains.
Chain-uri definite de utilizator (User-defined chains)
O puternica abilitate pe care iptables a mostenit-o de la ipchains este abilitatea de a creea chain-uri definite de utilizator (adica alte chain-uri inafara de cele trei de baza INPUT, FORWARD si OUTPUT).
Cand un pachet se potriveste unei reguli a carei tinta este un chain definit de utilizator, pachetul incepe sa confrunte reguluile sin chain-ul definit de utilizator. Daca acel chain nu decide soarta pachetului, adica a parcurs toate regulile din acel chain definit de utilizator, atunci pachetul incepe sa confrunte regula imegiat urmatoare regulei a carei tinta a fost chainul definit de utilizator.
Din nou este vremea pentru ASCII art. Sa zicem ca avem doua chain-uri Consider two (prostute): INPUT (chain-ul de baza) si test (un chain definit de utilizator cu optiunea ''-N''). CLIC

Chain-urile definite de utilizator pot sari catre alte chain-uri definite de utilizator (dar nu au voie sa fac bucle inchise: pachetele care intra in bucle inchise vor fi aruncate).
Extensia: New Targets
Clealat tip de tinta este o extensie. Aceastea constau intr-un modul pentru kernel, care ne asigura noi optiuni in linia de comanda. Exista cateva extensii in distributia default a pachetului netfilter:
*LOG
Acest modul logheaza pachetele care indeplinesc o anumita regula a carei tinta este ''LOG''. Acesta vine cu urmatoarele optiuni:
--log-level
Urmata de un nume sau numar. Numele sunt (case-insensitive) 'debug', 'info', 'notice', 'warning', 'err', 'crit', 'alert' si 'emerg', care corespund numerelor de la 7 la 0. Uta-te la ''man page-ul'' pentru syslog.conf pentru o explicatie a acestor nivele.
--log-prefix
Urmat de un sting de maxim 14 caractere, acest mesaj este trimis la inceputul logului pentru a fi unic.
Acest modul este forte util dupa o tinta care limiteaza pentru a nu-ti inunda (food) logurile.
*REJECT
Acest modul are acelas efect ca modulul 'DROP', numai ca expeditorului ii este trimis un mesaj de eroare de tip ICMP 'port unreachable'. Nota: mesajul de eroare de tip ICMP nu este trimis daca (vezi RFC 1122):
Pachetul filtrat era chiar el un mesaj de eroare de tip ICMP, sau un tip necunoscut de ICMP.
Pachetul filtrat nu era primul fragment dintr-un lant de fragmente.
Am trimis prea multe mesaje de eroare de tip ICMP la acea destinatie intr-un anumit timp.
Tinte speciale
Exista doua tinte speciale care vin o dat cu distributia: RETURN si QUEUE.
*RETURN are acelas efect ca si cum ar sari de la sfarsitul unui chain: pentru unul dintre cele trei chain-uri de baza, soarta pachetului va fi decisa de politica acestuia. Pentru o regula dintr-un chain definit de utilizator, traversarea continua exact dupa regula de la care a fost aruncat pachetul in chain-ul definit de utilizator. Daca o regula (nu este neaparat sa fie ultima din chain) dintr-un chain definit de utilizator are tinta RETURN si aceasta se potriveste unui pachet, aceasta il va trimite inapoi la chainul de unde a venit, cu mentiunea ca este respectata traversearea regulilor, adica la regula exact urmatoare celei care a trimis pachetul in chain-ul definit de utilizator.
*QUEUE este o tinta speciala, care ''pastreaza'' pachetul pentru procesarea facuta de useri. Daca pachetul nu este asteptat de vreo aplicatie acesta va fi aruncat.

===Operatii cu un Chain intreg===
O abilitate foarte utila a programului iptables este gruparea regurilor in chainuri (seturi de reguli). Poti denumi chainurile definite de utilizator cum vrei, dar este rcomandat sa le denumesti cu caractere mici pentru a nu le confunda cu cele trei chainuri de baza; numele acestora poate sa fie maxim din 16 litere.
*Crearea unui nou chain
Hai sa creem un nou chain. Pentru ca eu sunt un tip cu imaginatie am sa-l numesc test. Vom folosi optiunile '-N' sau '--new-chain':
# iptables -N test
Este chiar atat de simplu. Acum poti pune reguli in el dupa cum a fost aratat mai sus.
*Stergerea unui Chain
Stergerea unui chain este la fel de simplu, folosind optiunea '-X' sau '--delete-chain'. De ce '-X'? Pai…, toate literele frumoase au fost luate deja.
# iptables -X test
Exista cateva restrictii cand stergem un chain: acesta trebuie sa fie gol (vezi golirea unui chain mai jos) si nu trebuie sa fie tinta vreunei reguli. Chainurile de baza nu pot fi sterse.
Daca nu se specifica numele chainului de sters, atunci toate chain-urile definite de utilizator vor fi sterse, daca este posibil.
*Golirea unui Chain
Exista un mod simplu prin care se poate goli un cahin de toate regulile care exista in el, folosind comanda '-F' (sau '--flush').
# ipchains -F forward
Daca nu se specifica chain-ul atunci toate chainurile vor fi golite.
*Listarea unui chain
Poti vedea toate regulile existente intr-un chain cu comanda '-L'.
Daca nu este specificat numele chain-ului atunci sunt listate toate regulile existente in ''filtrul de pachete''.
Exista trei optiuni care acompaniaza comanda '-L'. Optiunea '-n' (numeric) pentru ca ea previne ca iptables sa incerce sa caute adresa IP, care (daca folosesti DNS ca majoritatea oamenilor) va cauza delay-uri foarte mari in caz ca DNS-ul nu este setat cum trebuie, sau daca filtrezi cererile de DNS (Domain Name Server).
Optiunea '-v' va arata toate detaliile unei raguli, cum sunt pachetele si contuarele de biti, comparatiile TOS, si interfetele. Altfel aceste valori sunt omise.
Nota: pachetele si contoarele de biti sunt afisate folosin sufixele 'K', 'M' sau 'G' pentru 1000, 1,000,000 si respectiv 1,000,000,000. Folosind optiunea '-x' (expand numbers) vor fi aratate ca numere netinand cont de cat de mari sunt acestea.
*Resetarea (Zeroing) Contoarelor
Este util sa poti reseta contoarele. Acest lucru poate fi facut cu optiunea '-Z' (sau '--zero')
Problema cu acest lucru este ca, uneori, trebuie sa stii valorile contoarelor imediat inainte de a fi aduse la zero. In exemplul de mai sus, anumite pachete pot trece in dupa ce folosesti optiunea '-L' si pana folosesti optiunea '-Z'. Pentru acest motiv, poti folosi optiunile '-L' si '-Z' impreuna, pentru a reseta contuarele in timp ce le vizualizezi.
*Setarea politicii
Doar chain-urile de baza (INPUT, OUTPUT and FORWARD) au o politica, pentru ca daca un pachete este confruntat cu un regulile dintr-un chain definit de utilizator si inca nu i se decide soarta, acesta isi continua drumul intr-un chain de baza.
Politica poate fi ACCEPT(accepta) sau DROP (arunca).

----

Traducerea si adaptarea a fost facuta (initial) de Razvan Turtureanu (razvan@upb.ro)

[[Category:Tutorial]]
[[Category:Networking]]
[[Category:Firewall]]

Iptables romana

2005-12-01T12:05:41Z

Raptor: /* Cum filtrez pachete sub Linux? */

== Cuvânt introductiv ==
Pentru început, vreau să spun că eu nu ştiu mai mult decât alţii şi spun asta pentru că am intrat în contact cu câţiva oameni care într-adevăr ştiu multe despre [http://ro.wikipedia.org/wiki/Linux Linux]. Eu nu am făcut decât să traduc acest ''HowTo'', iar dacă (mai mult ca sigur) voi găsiţi greşeli de traducere sau de adaptare, vă rog să îmi atrageţi atenţia scriindu-mi un mesaj de [mailto:razvan@upb.ro poştă electronică]. Dacă intraţi în posesia acestui fişier şi ştiţi pe cineva care îl vrea, vă rog să îl daţi pe gratis, adica aşa cum l-aţi primit şi voi pentru că nici măcar eu nu am cerut bani pe el. Sper sa vă ajute, cel puţin la fel de mult cât m-a ajutat şi pe mine, iar dacă aveţi neclarităţi scrieţi-mi un mesaj şi vă voi răspunde în măsura în care pot şi am timp.

==Ce este filtrarea de pachete?==

=== Bazele reţelisticii ===
Tot traficul dintr-o reţea este transmis sub formă de pachete. De exemplu, descărcând acest document (să zicem că are 50ko) s-ar putea ca tu să primeşti 36 de pachete a câte 1460 octeţi fiecare.

Antetul (engl. [http://en.wikipedia.org/wiki/Header_%28information_technology%29 header]) fiecărui pachet spune unde se duce, de unde vine, tipul pachetului precum şi alte detalii administrative. Restul pachetului, conţinând datele care ne sunt transmise, se numeşte corpul (engl. [http://en.wikipedia.org/wiki/Packet body]) sau conţinutul pachetului.

Câteva protocoale, de exemplu TCP care este folosit (spre exemplu) pentru traficul de web, poştă şi sesiuni de terminal de la distanţă, folosesc principiul de forma o conexiune inainte de a transmite pachete cu datele care ne interesează. Astfel, varii pachete de ''început'' (cu antete speciale) sunt schimbate care spun 'Vreau să mă conectez', 'Bine' şi 'Mulţumesc' (procedură cunoscută ca negociere bilaterală -- engl. [http://en.wikipedia.org/wiki/Transmission_Control_Protocol#Connection_establishment_.283-way_handshake.29 3-way handshaking]). Abia apoi începe schimbul de pachete conţinând datele ce trebuie să tranziteze conexiunea proaspăt creeată.

===Deci ce este un ''filtru de pachete''?===
Un filtru de pachete este un program care se uită în header-ul pachetelor care trec şi le decide soarta. El poate să ''arunce'' pachetul (să îl neglijeze ca şi cum nu ar fi fost primit), să ''accepte'' pachetul (să îl lase să treacă), sau să ''rejecteze'' pachetul (îl aruncă dar şi spune sursei de la care a venit că l-a aruncat).
Sub Linux, filtrarea de pachete este construită în kernel (ca modul sau chiar în el) şi există câteva lucruri mai deosebite pe care le putem face cu pachetele (putem de exemplu să modificăm sursa sau destinaţia acestuia înainte de a-l trimite mai departe), dar principiul general de a ne uita în antetul pachetului şi să-i decidem soarta este înca acolo.

===De ce aş vrea să filtrez pachete?===
*Control:
Cand foloseşti un ''linux-box'' ca să conectezi reţeaua ta internă la o altă reţea (să zicem Internetul) ai oportunitatea de a lăsa numai anumite feluri de trafic sa treacă şi să nu laşi să treacă pe altele. De exemplu, antetul pachetului conţine destinaţia sa şi poţi preveni ca pachetele să ajungă într-o anumită parte a reţelei externe. Ca un alt exemplu, eu folosesc Netscape ca sa accesez arhivele Dilbert. Pe acea pagină sunt reclame de la doubleclick.net, şi Netscape-ul îmi pierde timpul deschizându-le. Spunându-i ''filtrului de pachete'' să nu lase să treacă pachete spre doubleclick.net sau să vină de la el rezolvă aceasta problemă.
*Securitate:
Când Linux-box-ul tău este singurul lucru care stă între haosul din Internet şi reţeaua ta privată, este bine de ştiut că poţi restricţiona ceea ce face ''tărăboi la uşa ta''. De exemplu, poţi lăsa să treacă ceea ce pleacă din interiorul reţelei interne, dar ar trebui să te îngrijoreze vestitul 'Ping of Death' care vine de la străini, sau diverşi alţi viruşi ce se propagă prin Internet. Ca un alt exemplu, nu ai vrea ca cei din afară să se conecteze prin ssh (sau mult mai vechiul telnet) la serverul tău, chiar dacă toate conturile din el sunt protejate de o parolă; având un filtru de pachete care să ''arunce'' pachetele cu antete speciale care sunt folosite pentru a deschide conexiuni din exterior.
*Supraveghere:
Uneori o maşină din interior prost configurată (sau un virus de exemplu) poate decide să împraştie pachete lumii exterioare. Este frumos să-i spui ''filtrului de pachete'' să te înştiinţeze când se întâmplă ceva care nu face parte din normal,nu de alta dar poate faci ceva în legatură cu lucrul acesta sau poate eşti curios din fire să ştii ceea ce se intâmplă în reţeaua ta internă.

===Cum filtrez pachete sub Linux?===
Kernel-ele Linux-ului au avut filtre de pachete chiar de la versiunea 1.1. Prima generaţie, bazată pe ''ipfw'' de la BSD, a fost introdusă de Alan Cox in 1994. Aceasta a fost modificată şi întărită de Jos Vos şi alţii pentru Linux 2.0. În 1998, pentru Linux 2.2, eu am modificat radical kernelul, cu ajutorul lui Michael Neuling şi am introdus programul 'ipchains'. În final, a patra generaţie a filtrului, 'iptables', şi o altă modificare a kernelului au apărut în 1999 pentru Linux 2.4. Pe iptables ne vom concentra în acest HOWTO.
Programul iptables vorbeşte cu kernel-ul şi îi spune ce pachete să filtreze. Dacă nu eşti programator sau prea curios, în acest fel vei controla ''filtrul de pachete''.
Programul iptables inserează sau şterge reguli din ''tabelul'' de reguli de filtrare al kernelului. Aceasta înseamnă că orice ai seta, se va pierde când vei reporni maşina; vezi [[#Cum să faci regulile permanente]] pentru a te asigura că data viitoare când porneşti maşina ele sunt încă acolo.
iptables înlocuieşte ipfwadm şi ipchains: vezi [[http://www.telematik.informatik.uni-karlsruhe.de/lehre/seminare/LinuxSem/downloads/netfilter/iptables-HOWTO-6.html|Cum să folosesti ipchains şi ipfwadm]] pentru a evita folosirea iptables dacă deja foloseşti ipchains sau ipfwadm.

===Cum sa faci regulile permanente===
Firewall-ul tau curent este stocat in kernel si de aceea va fi pierdut cand reboot-ezi. Scriind
# iptables-save
si
# iptables-restore
este ceea ce va recomand.
Intre timp, pune comanda necesara pentru a-ti seta regulile intr-un script de initializare. Asigurate ca faci ceva inteligent in caz ca una din comenzi nu merge (de obicei 'exec /sbin/sulogin').

==Cine oare eşti şi de ce te joci cu kernelul meu?==
Eu sunt Rusty; eu sunt cel care întreţine ''Linux IP Firewall'' şi sunt doar un programator decent care s-a întâmplat să fie la locul potrivit în timpul potrivit. Eu am scris ipchains (mecanismul firewall anterior, din kernelul 2.2) şi am învăţat destule ca să fac să meargă ''filtrul de pachete'' iptables cum trebuie. Cel puţin sper.

==Cum traverseaza pachetele filtrul?==
Kernel-ul porneste cu trei liste de reguli; aceste liste se numesc ''firewall chains'' sau doar ''chains''. Cele trei chain-uri se numesc INPUT, OUTPUT si FORWARD.
Pentru fanii ASCII-art, chain-urile sunt aranjate cam asa:

_____
/ \
-->[Routing ]--->|FORWARD|------->
[Decision] \_____/ ^
| |
v ____
___ / \
/ \ |OUTPUT|
|INPUT| \____/
\___/ ^
| |
----> Local Process ----

Cele trei cicluri reprezentate sunt chain-urile mentionate mai sus. Cand un pachet ajunge intr-un ciclu din diagrama, acel chain este examinat pentru a decide soarta pachetului. Daca chain-ul decide sa arunce pachetul (DROP), va fi ''omorat'' acolo, dar daca chain-ul spune ca pachetul trebuie acceptat (ACCEPT), el continua sa circule prin diagrama.
Un chain este un ''set de reguli''. Fiecare regula spune 'daca header-ul pachetului arata asa, atunci ce vrei sa faci cu pachetul'. Daca regula nu este indeplinita de pachet, apoi este consultata urmatoarea regula din set. In final, daca nu mai sunt reguli de consultat, kernel-ul se uita la politica ''setului de reguli'' pentru a decide ce se va intampla cu pachetul. Intr-un sistem riguros din punct de vedere al securitatii politica ''setului de reguli'' ii spune kernel-ului sa arunce pachetul (DROP).
Cand un pachet soseste (sa zicem, printr-o interfata Ethernet) kernelul se uita prima oara la destinatia lui: acest lucru se numeste 'routing'.
Daca pachetul este chiar pentru box-ul tau, el va merge in jos catre chain-ul INPUT. Daca trece de acesta orice proces cara il asteapta il va primi.
Altfel, daca kernelul in are forwarding-ul activat, sau nu stie cum sa forward-eze pachetul, acesta va fi aruncat (DROP). Daca forwarding-ul este activat si pachetul este destinat catre o alta interfata de retea (daca mai ai inca una), atunci pachetul merge inainte in diagrama noastra spre chain-ul FORWARD. Daca este acceptat de catre acesta el va fi trimis in afara.
Si in sfarsit, un program care ruleaza chiar in box-ul tau poate trimite pachete in retea. Aceste pachete trec prin chain-ul OUTPUT: daca acesta le accepta (ACCEPT), atunci pachetul isi continua drumul catre destinatia sa, oricare ar fi aceasta si prin orice interfata.

==Folosirea iptables==
iptables are un manual foarte detaliat (man iptables), daca ai nevoie de detalii.
Exista cateva lucruri diferite pe care le poti face cu iptables. In primul rand operatii cu care poti face management pe un intreg ''set de reguli''. La inceput exista trei chain-uri input, output si forward pe care nu le poti sterge.
*Crearea unui nou chain (-N).
*Stergerea unui chain gol (-X).
*Schimbarea politicii unuia dintre chain-urile standard (input, output si forward). (-P).
*Listarea regulilor dintr-un chain (-L).
*Stergerea tuturor regulilor dintr-un chain (-F).
*Readucerea la zero a contoarelor regulilor dintr-un chain (-Z).
*Exista si moduri de manipulare a unei singure reguli dintr-un chain:
*Atasarea unei noi reguli (-A).
*Inserarea unei noi reguli intr-o anume pozitie intr-un chain (-I).
*Inlocuirea unei reguli intr-o anume pozitie a unui chain (-R).
*Stergerea unei reguli (-D).

===Ce vezi atunci cand porneste calculatorul===
Pentru moment (Linux 2.3.15), iptables este un modul numit ('iptables.o'). Va trebui sa-l inserezi in kernel inainte de a putea folosi comanda iptables. Pe viitor, va fi posibil ca el sa fie deja construit in kernel.
Inainte de ca orice comanda iptables sa fie rulata (ai grija: unele distributii vor rula iptables in scripturile lor de initializare), nu va exista nici o regula in cele trei chain-uri de baza ('INPUT', 'FORWARD' si 'OUTPUT'), chain-urile INPUT si OUTPUT vor avea politica setata pe ACCEPT, si chain-ul FORWARD va fi setat pe DROP (poti schimba acest lucru setand 'forward=1' in optiunile modulului iptables).

===Operatii cu o singura regula===
Acestea sunt ''painea si cutitul'' unui filtru de pachete; manipularea regulilor. Cel mai des probabil ca vei folosi comenzile de atasare (-A) si stergere (-D). Celelalte (-I pentru inserare si -R pentru inlocuire) sunt simple extensii ale acestor concepte.
Fiecare regula specifica un set de conditii pe care trebuie sa le indeplineasca un pachet, si ce sa faca in caz ca le indeplineste (o tinta 'target'). De exemplu, vrei sa arunci toate pachetele de tip ICMP care vin de la IP-ul 127.0.0.1. Deci in acest caz conditiile noastre sunt ca protocolul trebuie sa fie ICMP si sursa de la care vin pachetele este IP-ul 127.0.0.1. tinta noastra este aruncarea lor (DROP).
127.0.0.1 este interfata 'loopback', pe care o ai char daca nu ai vreo legatura fizica la vreo retea. Poti folosi programul 'ping' pentru a genera asemenea pachete si a testa o astfel de regula.
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.2 ms

--- 127.0.0.1 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.2/0.2/0.2 ms
# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP
# ping -c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes

--- 127.0.0.1 ping statistics ---
1 packets transmitted, 0 packets received, 100% packet loss
Poti vedea aici ca ping-ul a avut scces (prin '-c 1' i-am spus programului ping sa trimita un singur pachet).
Apoi atasam (-A) chain-ului 'INPUT', o regula in care specificam ca pachetele care vin de la IP-ul 127.0.0.1 ('-s 127.0.0.1') prin protocolul ICMP ('-p icmp') ar terbui sa le dam DROP ('-j DROP').
Apoi testam regula noastra, folosind un al doilea ping. Va fi o pauza pana cand programul renunta sa mai astepte raspunsul care nu va veni niciodata.
Putem sterge aceasta regula in mai multe feluri. In primul rand, pentru ca stim ca este singura regula in chain-ul input, putem folosi o stergere in care specificam pozitia reguluii:
# iptables -D INPUT 1

----

Al doilea mod prin care putem sterge regula este sa oglindim comanda –A, inlocuind –A cu -D. Acest lucru este folositor cand avem un set complex de reguli. In acest caz folosim:
# ipchains -D INPUT -s 127.0.0.1 -p icmp -j DROP

===Specificatii ale filtrarii===
Am vazut folosirea '-p' pentru a specifica protocolul, si '-s' pentru a specifica adresa sursa, dar sunt si alte optiuni cu care putem specifica caracteristici ale pachetelor
*Specificarea adresei Sursa si adresa Destinatie.
Sursa ('-s', '--source' or '--src') si destinatia ('-d', '--destination' or '--dst') IP-ului poate fi specificata in patru moduri. Cel mai des intalnit este folosirea numelui intreg, cum ar fi 'localhost' sau 'www.linuxhq.com'. Al doilea mod este folosirea de adrese IP cum ar fi '127.0.0.1'.
Al treilea si al patrulea mod este specificarea unui interval de IP-uri, cum sunt '199.95.207.0/24' sau '199.95.207.0/255.255.255.0'. Amandoua specifica orice IP cuprins intre 199.95.207.0 to 199.95.207.255 inclusiv; iar digitii dupa '/' ne spun care parti din IP-uri sunt relevante in cazul nostru. '/32' sau '/255.255.255.255' este modul standard (default). Pentru a specifica orice ip putem folosi '/0', dupa cum urmeaza:
# ipchains -A input -s 0/0 -j DENY
Aceasta este rar folosit pentru ca efectul obtinut este la fel ca in cazul in care nu folosim de loc optiunea '-s'.
*Specificarea unei inversiuni
Multe flag-uri, incluzand optiunile '-s' and '-d' pot avea argumentele precedate de un '!' pentru a compara adrese care nu sunt echivalente cu cele date in linia de comanda. De exemplu '-s ! localhost' inseamna orice pachet care nu vine de la localhost.
*Specificarea Protocolului
Protocolul poate fi specificat cu flag-ul '-p'. Protocolul poate fi un numar (daca stii valorile numerice pentru IP) sau un nume pentru cazurile speciale de 'TCP', 'UDP' sau 'ICMP'. Cum este scris nu conteaza, asa ca 'tcp' merge la fel de bine ca si 'TCP'.
Numele protocolului poate fi precedat de un '!', pentru a fi inversat, such as '-p ! TCP' (expresia inseamna tot ce nu e TCP).
*Specificarea unei interfete
Optiunea '-i' (sau '--in-interface') si '-o' (sau '--out-interface') specifica numele interfetei. O interfata este un lucru fizic (modem, placa de retea etc…) prin care pachetul intra ('-i') sau prin care iese ('-o'). Poti folosi comanda
# ifconfig
pentru a vedea interfetele care sunt active.
Pentru pachetele care traverseaza chain-ul INPUT nu se poate specifica o interfata de iesire, deci orice regula din acest chain care contine optiunea '-o' este inutila. Similar, pachetele care traverseaza chain-ul OUTPUT nu au interfata de intrare, deci orice regula din acest chain in care exista optiunea '-i' este inutila.
Doar pachetele care traverseaza chain-ul FORWARD au atat interfata de intrare cat si interfata de iesire.
Nu este gresit daca se specifica o interfata care pentru moment nu este activa; regula nu se va potrivi niciunui pachet pana cand interfata nu va fi activata. Acest lucru este foarte util pentru legaturi dial-up (PPP point to point) de obicei interfata ppp0.
Un caz special, un nume de interfata al carei string se termina cu '+' specifica toate interfetele de acelas fel (chiar daca sunt activate sau nu). De exemplu, pentru a specifica o regula care sa se potriveasca pentru toate interfetele de gen PPP, se va folosi expresia-i ppp+.
Numele interfetei poate fi precedat de '!', aceasta regula se va referi la pachetele care nu vin sau ies prin acea interfata.
*Specificarea fragmentelor
Uneori un pachet este prea mare ca sa incapa prin ''fir'' intreg. Cand acest lucru se intampla pachetul este divizat in fragmente, si trimis ca mai multe pachete mai mici. Calculatorul care primeste aceste fragmente le va reasambla si va forma pachetul initial.
Problema cu aceste pachete este ca doar primul fragment din acestea contine in header informatii despre protocol (cum ar fi TCP, UDP si ICMP) si extensiile lui, iar restul de fragmente nu contin aceste lucruri, iar daca am incerca sa ne uitam in ele ar fi imposibil.
Daca tu faci ''connection tracking'' sau ''NAT'', atunci toate aceste fragmente vor fi fuzionate inainte de a ajunge la ''filtrul de pachete'', deci nu trebuie sa ne facem griji despre aceste fragmente. Atltfel, poti insera in kernel modulul 'ip_defrag.o' care face acelas lucru (nota, acest lucru este permis doar daca linux-box-ul tau este singura conexiune intre cele doua retele).
Altfel, este foarte important sa intelegem cum sunt tratate fragmentele de catre regulile de filtrare. Orice regula care cere informatii de la pe care nu le avem nu se va potrivi, aceasta inseamna ca primul fragment (cel care are specificat in header tot ce este necesar) va fi tratat ca pe un pachet, iar cel de-al doilea si restul de fragmente nu vor fi tratate corespunzator (pentru ca header-ul lor nu contine informatiile necesare). De aceea o regula de genul ''-p TCP --sport www'' (care specifica portul sursa al unui server 'www') nu va filtra fragmente (in afara de primul). La fel se va comporta si regula opusa ''-p TCP --sport ! www''.
Oricum, poti face o regula special pentru cel de-al doilea si urmatoarele fragmente folosind optiunea '-f' (sau '--fragment'). Valabila este si regula care nu se aplica pentru cel de-al doilea si urmatoarele fragmente daca punem optiunea ''!'' inaintea lui '-f'.
De obicei se zice ca este sigur (din punct de vedere al securitatii) sa lasi al doilea si celelalte fragmente sa treaca treaca, pentru ca filtrarea afecteaza decat primul fragment, si deci pachetul nu va putea fi reasamblat in partea cealalta, dar, exista bug-uri care vor face masina sa se ''prabuseasca'' doar prin simplul fapt ca aceasta trimite fragmente. Este decizia ta.
Ca un exemplu, urmatoarea regula va arunca toate fragmentele care se duc la IP-ul 192.168.1.1:
# iptables -A OUTPUT -f -d 192.168.1.1 -j DROP
*Extensii la iptables
Iptables este extensibil, asta insemnand ca atat kernel-ul cat si iptables se pot extinde pentru a ne asigura noi posibilitati.
Unele dintre aceste extensii sunt standard, si altele sunt mai mult exotice. Extensiile pot fi facute si de alti oameni si distibuite userilor.
Extensiile kernel-ului normal se gasesc in subdirectorul lui pentru module, cum este /lib/modules/2.3.15/net. Pe acestea trebuie sa le incarci in kernel automat pentru ca ele nu se autoincarca la cerere(Linux 2.3.15). Pe viitor ele se vor incarca automat.
Extensiile programului iptables sunt librarii ''sheruite'' care de obicei sunt gasite in directorul /usr/local/lib/iptables/, cu toate ca anumite distributii le pun in /lib/iptables sau /usr/lib/iptables.
Extensiile sunt de doua tipuri: tinte noi (new targets), si noi teste (new tests); mai jos vom vorbi despre ''noi tinte''. Anumite protocoale ofera ele noi teste: actual ele sunt TCP, UDP si ICMP cum sunt aratate mai jos.
Pe aceste noi teste le vei putea specifica in linia de comanda dupa optiunea '-p', care va incarca extensiile. Pentru teste noi explicite trebuie sa folosestei optiunea '-m' pentru a incarca extensia, doar dupa aceasta va fi aceasta accesibila.
Pentru a deschide manualul extensiei dupa ce o incarci ('-p' or '-m') foloseste optiunea '-h' sau '--help'.
**Extensii TCP
Extensiile TCP sunt incarcate automat daca este folosita comanda '--protocol tcp'. Aceastea vin cu urmatoarele optiuni (niciuna nu se refera si la fragmente, doar la pachete).
--tcp-flags
Daca dupa ele se pune (optional)'!', atunci doua stringuri te vor ajuta sa filtrezi flaguri specifice protocolului TCP. Primul string este un ''mask'': o lista de flaguri pe care vrei sao examinezi. Al doilea string iti spune pe care vrei sa le filtrezi. De exemplu:
# iptables -A INPUT --protocol tcp --tcp-flags ALL SYN,ACK -j DENY[/code]
Aceasta indica, ca toate flagurile trebuie examinate ('ALL' este sinonim cu 'SYN,ACK,FIN,RST,URG,PSH'), dar doar SYN si ACK vrei sa le setezi. Exista si un argument 'NONE' care inseamna nici un flag.
--syn
Urmat optional de '!', aceasta este o scurtare a comenzii'--tcp-flags SYN,RST,ACK SYN'.
--source-port
optional urmat de '!', si apoi de un singur port TCP, sau un interval de porturi. Porturile poti specificate prin numele lor, la fel ca in /etc/services, sau numerice. Intervalele sunt ori doua nume de porturi separate cu'-', sau (pentru a specifica un nr. mai mare sau egal cu portul dat) un port cu '-' inainte lui, sau (pentru a specifica un nr mai mic sau egal cu portul dat), un port precedat de'-'.
--sport
este sinonim cu '--source-port'.
--destination-port
and
--dport
sunt la fel ca si mai sus, numai ca ele specifica destinatia in loc de sursa portului care ne intereseaza sa-l filtram.
--tcp-option
urmat oprional de '!' siun numar, se refera la un pachet TCP care este egal cu acel numar. Un pachet care nu are un header TCP complet este aruncat (DROP) automat daca i se incearca examinarea optiunilor TCP.
O explicatie a flagurilor TCP
Este util sa permitem conexiuni TCP intr-o directie, dar nu si in cealalta. De exemplu, ai vrea sa se poata face conexiuni catre un server WWW exterior, dar sa nu existe conexiuni de la acel server la tine.
Te poti gandi sa blochezi pachetele care vin de la acel server. Dar din nefericire, ca o conexiune TCP sa mearga trebuie sa existe trafic in ambele directii.
Solutia este sa blochezi doar pachetele care cer ca o conexiune sa fi stabilita. Aceste pachete se numesc SYN (ok, tehnic ele sunt pachete cu flagul SYN setat, si flagurile FIN si ACK sunt sterse, dar noi le numim pe scurt pachete SYN). Blocand doar aceste pachete putem opri cererile de conexiuni si astfel niciuna nu poate fi facuta din exterior.
Flagul '--syn' este folosit pentru aceasta: este valid doar pentru regulile in care li se specifica ca protocol TCP-ul. Ca exemplu, pentru a specifica incercari de conexiuni de la IP-ul 192.168.1.1 se foloseste:
-p TCP -s 192.168.1.1 --syn
Acest flag poate fi inversat daca este precedat de un '!', aceasta inseamna orice pachet inafara de cele initiatoare de conexiuni TCP.
**Extensii UDP
Aceste extensii sunt incarcate automat daca este specificat protocolul UDP '--protocol udp'. Aici avem optiunile '--source-port', '--sport', '--destination-port' si '--dport' detaliate mai sus la protocolul TCP.
Extensii ICMP
Aceasta extensi este incarcata automat daca se specifica '--protocol icmp'. Aceasta ne da o singura optiune:
--icmp-type
urmat optional de '!', atunci un unme tip icmp (ex 'host-unreachable'), sau un tip numeric (ex. '3'), sau numeric si cod separat de'/' (ex. '3/3'). O lista de nume tip icmp se poate optine cu comanda '-p icmp --help'.
Alte extensii
Celelalte doua extensii sunt extensii demonstrative, care (daca sunt instalate) pot fi ''aduse la viata'' cu optiunea '-m'.
mac
acest modul trebuie explicit specificat cu '-m mac' sau '--match mac'. Este folosit pentru a filtra pachetele dupa adresa Ethernet (MAC), si este folositoare doar la regulile din chain-urile INPUT si FORWARD. De aduce o singura optiune:
--mac-source
optional urmata de '!', apoi o adresa ethernet scrisa in hexazecimale separate de '':'', ex '--mac-source 00:60:08:91:CC:B7'.
limit
acest modul trebuie explicit specificat cu '-m limit' sau '--match limit'. Este folosit pentru a limita rata de pachete acceptate. Unitatea de masura este numere de pachete pe secunda (default 3 pachete pe ora, cu o rafala de 5). Aceasta ne aduce doua argumente optionale:
--limit
urmat de un numar; specifica numarul medie maxim de pachete pe secunda care sunt lasate sa treaca. Numarul poate unitati explicite, folosind '/second', '/minute', '/hour' or '/day', sau parti din ele (deci '5/second' este la fel ca '5/s').
--limit-burst
urmata de un numar, defineste lungimea rafalei de pachete acceptate dupa care intra in actiune limita de mai sus.
Aceasta optiune poate fi folosita impreuna cu tinta ''LOG'' pentru a face ''rate-limited logging''. Prentru a intelege cum functioneaza, hai sa ne uitam la urmatoarea regula, care logheaza pachetele care au limita ''default'':
# iptables -A FORWARD -m limit -j LOG
Prima oara cand regula este indeplinita de un pachet, acesta va fi logat; de fapt, pentru ca rafala este de 5, primele cinci pachete vor fi logate. Dupa aceea, vor mai trece ica douazeci de minute pana cand urmatorul pachet va fi logat de la regula aceasta, netinand cont de cate pachete ajung la ea. Deasemenea, fiecare douazeci de minute care trec fara ca un pachet sa indeplineasca regula , o unitate din rafala va fi recapatata, daca nici un pachet nu se loveste de regula timp de 100 de minute rafala va reveni la 5; la fel ca la inceput.
Nu poti creea o regula a carei interval de timp de umplere a rafalei sa depaseasca 59 de ore, deci daca faci o regula care sa se reincarce o data pe zi, rafala trebie sa fie mai mica de 3.
unclean
Acest modul trebuie explicit specificat cu '-m unclean sau '--match unclean'. Acesta face analize aleatorii asupra integritatii pachetelor. Acesta nu trebuie folosit ca o optiune pentru securitate (probabil ca va inrautatii lucrurile, pentru ca s-ar putea ca sa aiba bug-uri). Nu vine cu nici o optiune.

===Specificarea tintelor===
Acum stim cum sa examinam un pachet, trebuie sa stim ce sa facem cu pachetele care se potrivesc regulilor noastre. Aceasta se numeste ''Tinta regulii'' (rule's target).
Exista doua tinte foarte simple: DROP (arunca) si ACCEPT(accepta). Deja le stim pe acestea. Daca pachetul indeplineste regula si tinta ei este una din cele doua, nu vor mai fi consultate alte reguli: soarta pachetului a fost decisa.
There are two types of targets other than the built-in ones: extensions and user-defined chains.
Chain-uri definite de utilizator (User-defined chains)
O puternica abilitate pe care iptables a mostenit-o de la ipchains este abilitatea de a creea chain-uri definite de utilizator (adica alte chain-uri inafara de cele trei de baza INPUT, FORWARD si OUTPUT).
Cand un pachet se potriveste unei reguli a carei tinta este un chain definit de utilizator, pachetul incepe sa confrunte reguluile sin chain-ul definit de utilizator. Daca acel chain nu decide soarta pachetului, adica a parcurs toate regulile din acel chain definit de utilizator, atunci pachetul incepe sa confrunte regula imegiat urmatoare regulei a carei tinta a fost chainul definit de utilizator.
Din nou este vremea pentru ASCII art. Sa zicem ca avem doua chain-uri Consider two (prostute): INPUT (chain-ul de baza) si test (un chain definit de utilizator cu optiunea ''-N''). CLIC

Chain-urile definite de utilizator pot sari catre alte chain-uri definite de utilizator (dar nu au voie sa fac bucle inchise: pachetele care intra in bucle inchise vor fi aruncate).
Extensia: New Targets
Clealat tip de tinta este o extensie. Aceastea constau intr-un modul pentru kernel, care ne asigura noi optiuni in linia de comanda. Exista cateva extensii in distributia default a pachetului netfilter:
*LOG
Acest modul logheaza pachetele care indeplinesc o anumita regula a carei tinta este ''LOG''. Acesta vine cu urmatoarele optiuni:
--log-level
Urmata de un nume sau numar. Numele sunt (case-insensitive) 'debug', 'info', 'notice', 'warning', 'err', 'crit', 'alert' si 'emerg', care corespund numerelor de la 7 la 0. Uta-te la ''man page-ul'' pentru syslog.conf pentru o explicatie a acestor nivele.
--log-prefix
Urmat de un sting de maxim 14 caractere, acest mesaj este trimis la inceputul logului pentru a fi unic.
Acest modul este forte util dupa o tinta care limiteaza pentru a nu-ti inunda (food) logurile.
*REJECT
Acest modul are acelas efect ca modulul 'DROP', numai ca expeditorului ii este trimis un mesaj de eroare de tip ICMP 'port unreachable'. Nota: mesajul de eroare de tip ICMP nu este trimis daca (vezi RFC 1122):
Pachetul filtrat era chiar el un mesaj de eroare de tip ICMP, sau un tip necunoscut de ICMP.
Pachetul filtrat nu era primul fragment dintr-un lant de fragmente.
Am trimis prea multe mesaje de eroare de tip ICMP la acea destinatie intr-un anumit timp.
Tinte speciale
Exista doua tinte speciale care vin o dat cu distributia: RETURN si QUEUE.
*RETURN are acelas efect ca si cum ar sari de la sfarsitul unui chain: pentru unul dintre cele trei chain-uri de baza, soarta pachetului va fi decisa de politica acestuia. Pentru o regula dintr-un chain definit de utilizator, traversarea continua exact dupa regula de la care a fost aruncat pachetul in chain-ul definit de utilizator. Daca o regula (nu este neaparat sa fie ultima din chain) dintr-un chain definit de utilizator are tinta RETURN si aceasta se potriveste unui pachet, aceasta il va trimite inapoi la chainul de unde a venit, cu mentiunea ca este respectata traversearea regulilor, adica la regula exact urmatoare celei care a trimis pachetul in chain-ul definit de utilizator.
*QUEUE este o tinta speciala, care ''pastreaza'' pachetul pentru procesarea facuta de useri. Daca pachetul nu este asteptat de vreo aplicatie acesta va fi aruncat.

===Operatii cu un Chain intreg===
O abilitate foarte utila a programului iptables este gruparea regurilor in chainuri (seturi de reguli). Poti denumi chainurile definite de utilizator cum vrei, dar este rcomandat sa le denumesti cu caractere mici pentru a nu le confunda cu cele trei chainuri de baza; numele acestora poate sa fie maxim din 16 litere.
*Crearea unui nou chain
Hai sa creem un nou chain. Pentru ca eu sunt un tip cu imaginatie am sa-l numesc test. Vom folosi optiunile '-N' sau '--new-chain':
# iptables -N test
Este chiar atat de simplu. Acum poti pune reguli in el dupa cum a fost aratat mai sus.
*Stergerea unui Chain
Stergerea unui chain este la fel de simplu, folosind optiunea '-X' sau '--delete-chain'. De ce '-X'? Pai…, toate literele frumoase au fost luate deja.
# iptables -X test
Exista cateva restrictii cand stergem un chain: acesta trebuie sa fie gol (vezi golirea unui chain mai jos) si nu trebuie sa fie tinta vreunei reguli. Chainurile de baza nu pot fi sterse.
Daca nu se specifica numele chainului de sters, atunci toate chain-urile definite de utilizator vor fi sterse, daca este posibil.
*Golirea unui Chain
Exista un mod simplu prin care se poate goli un cahin de toate regulile care exista in el, folosind comanda '-F' (sau '--flush').
# ipchains -F forward
Daca nu se specifica chain-ul atunci toate chainurile vor fi golite.
*Listarea unui chain
Poti vedea toate regulile existente intr-un chain cu comanda '-L'.
Daca nu este specificat numele chain-ului atunci sunt listate toate regulile existente in ''filtrul de pachete''.
Exista trei optiuni care acompaniaza comanda '-L'. Optiunea '-n' (numeric) pentru ca ea previne ca iptables sa incerce sa caute adresa IP, care (daca folosesti DNS ca majoritatea oamenilor) va cauza delay-uri foarte mari in caz ca DNS-ul nu este setat cum trebuie, sau daca filtrezi cererile de DNS (Domain Name Server).
Optiunea '-v' va arata toate detaliile unei raguli, cum sunt pachetele si contuarele de biti, comparatiile TOS, si interfetele. Altfel aceste valori sunt omise.
Nota: pachetele si contoarele de biti sunt afisate folosin sufixele 'K', 'M' sau 'G' pentru 1000, 1,000,000 si respectiv 1,000,000,000. Folosind optiunea '-x' (expand numbers) vor fi aratate ca numere netinand cont de cat de mari sunt acestea.
*Resetarea (Zeroing) Contoarelor
Este util sa poti reseta contoarele. Acest lucru poate fi facut cu optiunea '-Z' (sau '--zero')
Problema cu acest lucru este ca, uneori, trebuie sa stii valorile contoarelor imediat inainte de a fi aduse la zero. In exemplul de mai sus, anumite pachete pot trece in dupa ce folosesti optiunea '-L' si pana folosesti optiunea '-Z'. Pentru acest motiv, poti folosi optiunile '-L' si '-Z' impreuna, pentru a reseta contuarele in timp ce le vizualizezi.
*Setarea politicii
Doar chain-urile de baza (INPUT, OUTPUT and FORWARD) au o politica, pentru ca daca un pachete este confruntat cu un regulile dintr-un chain definit de utilizator si inca nu i se decide soarta, acesta isi continua drumul intr-un chain de baza.
Politica poate fi ACCEPT(accepta) sau DROP (arunca).

----

Traducerea si adaptarea a fost facuta (initial) de Razvan Turtureanu (razvan@upb.ro)

[[Category:Tutorial]]
[[Category:Networking]]
[[Category:Firewall]]