[sisyphus] Работа с openvpn из сизифа

Konstantin A. Lepikhov =?iso-8859-1?q?lakostis_=CE=C1_anti-leasure=2Eru?=
Сб Май 20 11:21:39 MSD 2006


Hi Nikolay!

Friday 19, at 11:54:03 AM you wrote:

> А есть гарантии, что _клиент_ всегда будет получать от сервера
> одинаковый известный заранее IP?
да, поскольку он там один :)

<skip>
> > > А какие там могут быть привилегии принципиально большие по сравнению с
> > > выполнением на хост-системе? Хотя, наверное, это действительно лишнее.
> > [root на disaster ~]# cat /etc/vservers/crash/bcapabilities 
> > NET_ADMIN
> > NET_RAW
> > ..
> > некошерно.
> 
> [JT] Ну да. А разве этими же возможностями openvpn не обладает
> (по-умолчанию, и с добавлением всего остального) на хост-системе?
> Работа в vserver'е может только урезать права openvpn по сравнению с
> работой в хост-системе.
просто vserver делают не только для openvpn, а давать еще кому-то такие
права не хочется.

<skip>
> > > - из конфигурации канала можно задать скрипт 'up', он будет вызываться
> > >   самим openvpn после поднятия канала, но _до_ сброса привилегий.
> > о! вот это мне и нужно. проще там сказать service sshd condrestart и не
> > заморачиваться. Я-то думал, что этот скрипт вызывается после сброса
> > привилегий, а в сорцы было лень лезть.
> > 
> 
> IMHO правильнее всё-таки делать redirect средствами iptables. 
это будет оправдано, если у меня клиентов будет > 3, а для одного можно и
лишний раз sshd передернуть. Тем более, надо это всего один раз.

-- 
WBR et al.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 191 байтов
Описание: Digital signature
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20060520/df8822cb/attachment-0003.bin>


Подробная информация о списке рассылки Sisyphus