[devel] Ошибки в FreeS/WAN, imap, iptables, документации к initscripts и stunnel

Sergey N.Yatskevich =?iso-8859-1?q?syatskevich_=CE=C1_mail=2Eru?=
Ср Окт 17 15:09:33 MSD 2001 

Привет всем!

1) FreeS/WAN
   На ядре 2.4.10-alt1 после нормального соединения при попытке пинговать
   какой-либо хост через шифрованный туннель IPSEC просто полностью завешивает
   машины (если на обеих установлен ALTLinux).

   Предварительная проверка показала, что проблемы в 2.4.10 возникают
   из-за отключения опции CONFIG_IPSEC_DEBUG (ядро 2.2.19 я просто не
   проверял) при сборке ядра.

   После перекомпиляции с включенной опцией все нормально заработало.

   P.S. Для оптимизатора Костика :-)). _DEBUG в данном случае означает
	ведение лога работы ядерного модуля, а не включение информации
	и процедур для отладки самого модуля. Это полезно для отладки
        соединения. Никто ведь не пытается отрезать ведение логов у
        серверных программ. Для управления тем, какую информацию выводить
        в лог предназначена пограмма ipsec klipsdebug, с помощью которой
        этот лог можно отключить совсем.

  P.P.S. userspace пакета freeswan это не касается. Там все нормально.

2) imap - ошибка в /etc/xinitd.d/pop3s (неверное имя запускаемого сервера).
   должно быть указано - ipop3d, а указано - popa3d. То же относиться и к
   аналогичному файлу в пакете stunnel (вообще непонятно зачем он туда
   включен).

3) iptables - автоматически очищаются только каналы в таблице по умолчанию
   (фильтр). В /etc/init.d/iptables необходимо так же очищать и таблицы nat
   и mangle иначе результат выполнения /etc/init.d/iptables stop не
   соотвествует ожидаемому (полной очистке всех таблиц).

4) Неправильное описание создания алиасов для интерфейсов в
   initscripts-*/sysconfig.txt

   (Для правильного описания см. /etc/sysconfig/ifup-aliases)

stunnel - не ошибка, но сгенерированный по умолчанию сертификат не
позволяет нормально соедиеяться по SSL с сервером с Windows-клиентов.
И вообще при установке по умолчанию генерируется self-signed сертификат,
что не есть хорошо, так как такие сертификаты предназначены для CA.

Мне кажется что в данном случае лучше не генерировать ничего по умолчанию
а выдать предупреждение о том, что для правильной работы необходимо установить
сертификат и пусть сам администратор решает как ему быть: заводить ли собственный
intranet-CA или обращаться в стороннюю организацию или сгенерировать единственный
self-signed сертификат (но правильно) и на этом успокоиться :-))).

В конце концов если он уж задумался о введении SSL защищенных сервисов,
то надо и разобраться как это делается. Лучше включить в дистрибутив
stunnel документацию по SSL или ссылки.

Вот одна для затравки:

http://www.ultranet.com/~fhirsch/Papers/wwwj/article.html

-- 
Sergey N. Yatskevich <syatskevich на mail.ru>
_______________________________________________
Devel mailing list
Devel на linux.iplabs.ru
http://www.logic.ru/mailman/listinfo/devel

Подробная информация о списке рассылки Devel