loading...
 

شاپ کیپر

شاپ کیپر

  1. شاپ کیپر
  2. سایر لینوکس ها
فصل شانزدهم : EOIP Tunnel

بخش سوم (ادامه سناریو 2) :

تعریف کارت شبکه مجازی EOIP در روتر R3 :

1.jpg

ایجاد کارت شبکه مجازی Bridge در روتر R3 :

برای این کار از منوی اصلی Bridge را انتخاب و از پنجره باز شده از تب Bridge بر روی Add کلیک می کنیم.

2.jpg

ارتباط کارت شبکه داخلی روتر با کارت شبکه مجازی Bridge در روتر R3 :

3.jpg

ارتباط کارت شبکه مجازی EOIP با کارت شبکه مجازی Bridge در روتر R3 :


4.jpg

تنظیمات کلاینت :

تست برقراری ارتباط بین کلاینت ها :

5.jpg

تست برقراری ارتباط بین کلاینت ها :

6.jpg



7.jpg




پیروز و سربلند باشید


زینب بازدید : 8 دوشنبه 02 تير 1399 زمان : ۱۱:۲۵ نظرات (0)
SNAT=Source Address Transtlation
DNAT=Destination Address Transtlation
راه اندازی SNAT با iptables
SNAT یکی از پرکاربردترین انواع nat با iptables بدلیل نوع توپولوژی مورد استفاده میباشد.
برای نمونه سناریو زیر را مورد بررسی قرار می دهیم :
سیستم ها با رنج آدرس 192.168.1.0/24 در دفتر ما واقع شده اند و شبکه محلی و خصوصی در این سناریو به حساب می آیند .یک ارتباط ethernet با تامین کننده اینترنت با IP آدرس 30/1.2.3.1 بر روی روتر لینوکس مورد نظر و Gateway پیش فرض 1.2.3.2 برقرار شده است.
همه سیستم های شبکه محلی 192.168.1.0/24 با دروازه پیش فرض 192.168.1.1 تنظیم شده اند.
روتر لینوکس دارای 2 کارت شبکه می باشد :

1 - Eth0 با IP آدرس 192.168.1.1 و Netmask برابر با 255.255.255.0 به یک سوییچ که با مابقی سیستم ها در شبکه 192.168.1.0/24 ارتباط دارد ویک شبکه محلی را تشکیل می دهند متصل می باشد.
2 - Eth1 با IP آدرس 1.2.3.1 و Netmask برابر با 255.255.255.252 به تامین کننده اینترنت متصل می باشد.

می توان فقط با یک دستور SNAT را برای همه سیستم ها در 192.168.1.0/24 فعال کرد :
کد PHP:           iptables -t nat - A POSTROUTING -s 192.168.1.0/24  -j SNAT --to 1.2.3.1 
با اجرای دستور بالا همه سیستم ها در شبکه محلی به اینترنت دسترسی خواهند داشت.

اگر IP آدرس Eth1 بصورت پویا اختصاص داده می شود و یا اگر از مودم Dial-UP بجای کارت شبکه استفاده می کنید از ویژگی MASQUERADE به شکل زیر می توان بهره برد :

کد PHP:           iptables -t nat -A POSTROUTING -s 192.168.1.0/24  -j MASQUERADE 
استفاده از MASQUERADE اثری مشابه SNAT دارد و سیستم ها به اینترنت دسترسی خواهند داشت ، پس کاربرد MASQUERADE بیشتر برای زمانهایی است که آدرس ثابت از سوی تامین کننده اینترنت اختصاص داده نمی شود.

تصور کنید تامین کننده اینترنت کلیه پورت های بالاتر از 1024 را ***** کرده است ، در این صورت برای جلوگیری از بروز مشکل نیاز است علاوه بر تغییر IP های منبع پورت های آنان را نیز تغییر دهیم که به شکل زیر قایل اجرا می باشد :

کد PHP:           iptables -t nat -A POSTROUTING -s  192.168.1.0/24  -j SNAT --to 1.2.3.1:1-1024 
یکی از کابران طرفدار IRC در تماسی با شما اعلام می کند که نمی تواند به هیچ یک از شبکه های IRC متصل شود.این بدان معنی است که ماژول ip_conntrack_irc در کرنل بارگزاری نشده است ، پس برای حل این مشکل برای کاربران IRC و FTP بدین ترتیب عمل می کنیم :
کد PHP:           modprobe ip_conntrack_irc 
    modprobe ip_conntrack_ftp 
برای مشاهده ماژول های بارگزاری شده مربوط بهNAT از دستور زیر استفاده می کنیم :
کد PHP:           lsmod | grep nat 
بعد از چند هفته کاربران دیگر هم شروع به استفاده از IRC می کنند و نتیجه آن شکایت کاربران از عدم اتصال به شبکه IRC خواهد بود و دلیل آن اینست که IRC فقط به تعداد محدودی ارتباط از یک IP اجازه اتصال می دهد. پس برای حل این مشکل باید IP های مورد استفاده در شبکه اینترنت برای اتصال به IRC را افزایش دهیم.طبق محاسبات استفاده از 32 آدرس IP برای حل این مشکل کفایت می کند ، پس با تامین کننده اینترنت تماس گرفته و درخواست تعداد بیشتری IP را به آنها می دهیم و در نهایت محدوده 27/1.2.4.0 را به ما اختصاص می دهند.حال باید قوانین قبلی را بدین صورت تغییر دهیم :

کد PHP:           iptables -t nat -A POSTROUTING -s  192.168.1.0/24  -j SNAT --to 1.2.4.0-1.2.4.32 
(لازم به یادآوری است که برای حذف قانون قبلی می توان از -D بجای -A استفاده کرد و یا برای حذف کلیه قانون های مربوط به نت از دستور iptables -t nat -F بهره جست.)
بدین ترتیب شکایت کاربران قطع می شود ولی ملاحظه می کنیم که آدرس معتبر ابتدایی ما در این محدوده وجود ندارد، پس می توانیم برای افزایش تعداد آدرس ها ، آن را هم به این محدوده اضافه کنیم :

کد PHP:           iptables -t nat -A POSTROUTING -s  192.168.1.0/24  -j SNAT --to 1.2.4.0-1.2.4.32  --to 1.2.3.1 
یکی از کاربران در یک شبکه irc اختلال ایجاد میکند در حالیکه IP کاربر مورد نظر به 1.2.4.15 ترجمه شده بوده است ، در نتیجه این IP به لیست *****ینگ اضافه شده و ما نیاز داریم این آدرس را از محدوده NAT خارج کنیم :

کد PHP:           iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 1.2.4.0-1.2.4.14  --to 1.2.4.16-1.2.4.32  --to  1.2.3.1 
یکی از کاربران با IP آدرس 192.168.1.19 شکایت می کند که قادر نیست به هیچ کدام از سیستم ها با آدرس IP های بالاتر از 192.168.1.32 دسترسی داشته باشد.این امکان وجود دارد که Netmask کاربر مورد نظر 255.255.255.227 باشد ، پس همه بسته های ارسالی به IP های محدوده /24192.168.1.0 که در محدوده 192.168.1.0/27 واقع نشده اند از طریق روتر لینوکسی عبور می کنند و آدرس آنها ترجمه می شود. برای حل این مشکل 2 راه حل وحود دارد :
اول اینکه SNAT برای 192.168.1.0/24زمانیکه مقصد سیستم دیگری در محدوده خودش می باشد صورت نگیرد :
کد PHP:           iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d ! 192.168.1.0/24 -j SNAT --to 1.2.4.0-1.2.4.30 --to 1.2.3.1 
دومین راه این است که SNAT فقط برای بسته های خروجی از Eth1 صورت پذیرد :

کد PHP:           iptables -t nat -A POSTROUTNG -s 192.168.1.0/24 -o eth1 -j SNAT --to 1.2.4.0-1.2.4.32 --to 1.2.3.1 
فرض کنید بخواهیم به شبکه دیگری در vlan خودمان با محدوده آدرس 24/192.168.2.0 بدون انجام SNAT متصل شویم :

کد PHP:           iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -d 24/192.168.2.0 -j ACCEPT 
این دستور قانون فوق را قبل از قوانین نت قرار میدهد بنابراین اگر بسته ای از 192.168.1.0/24 برای 24/192.168.2.0 فرستاده شود ، قانون فوق اعمال شده و زنجیره آنالیز بیشتر را ادامه نمی دهد و SNAT صورت نمی پذیرد.

تاج ملک ملوک ، منشی شرکت ، به درست کرن چای عالی معروف هست ولی از وقتی عاشق IRC شده دیگه خبری از چای و … نیست.مدیر بدلیل اعتیاد به چای تاج ملک ملوک نمی خواهد او را اخراج کند(شاید هم علت دیگری داشته باشد!!). پس به سراغ شما آمده و درخواست حل مشکل را می کند.اکنون چند راه حل پیش رو داریم :

از بین بردن بسته هایی از کامپیوتر تاج ملک ملوک (192.168.1.31) که سعی در دسترسی به پورت های 6666 تا 6669 در زنجیره POSTROUTING را دارند:

کد PHP:           iptables -t nat -I POSTROUTING -s 192.168.1.31 -p tcp -dport 6666:6669 -j DROP 
یا از مدیر لیست کارهایی که می خواهد تاج ملک ملوک قادر به انجام آنها در اینترنت باشد را تهیه می کنیم که برای مثال فقط دسترسی به سایت های اینترنتی مد نظر اوست :

کد PHP:           iptables -t nat -I POSTROUTING -s 192.168.1.31 -p tcp -dport ! 80 -j DROP 
این قانون دسترسی تاج ملک ملوک تحت پروتکل TCP را فقط برای مشاهده وب باز می گذارد ولی همچنان به سرویس های تحت پروتکل UDP نظیر DNS دسترسی خواهد داشت.

راه اندازی DNAT با iptables :


برای بررسی DNAT همچنان از سناریو در ابتدا معرفی شده پیروی می کنیم.
مدیر شرکت در تماسی خواهان استفاده دسترسی از خانه به سیستمش در دفتر شرکت می شود ، پر واشح است که با تنظیمات فعلی این کار شدنی نیست زیرا سیستم مورد نظر در حال حاظر دارای آدرس غیر معتبر 192.168.1.50 می باشد که در اینترنت قابل مسیریابی نیست.
اگر از آدرس های معتبری که تامین کننده اینترنت به ما داده یکی را به سیستم مدیر اختصاص دهیم ، یکی از IP هایی که همه سیستم ها بصورت مشترک برای دسترسی به اینترنت از آن استفاده می کنند را از دست می دهیم .
راه حل در ترجمه یک IP معتبر( 1.2.4.1 ) به IP غیر معتبر ( 192.168.1.50 ) سیستم مدیر می باشد.
البته در اصطلاح به این عمل DNAT گفته می شود :

کد PHP:           iptables -t nat -A PREROUTING -d 1.2.4.1  -j   DNAT --to 192.168.1.50 
در مرحله بعد ، پس از تماس با مدیر و پاچه خواری حسابی اعلام می کنیم که برای دسترسی به سیستم در شرکت باید از IP آدرس 1.2.4.1 استفاده کنند.

سرور حسابداری شرکت تحت وب و دارای IP آدرس 192.168.1.100 می باشد.
مسئول بخش مالی طی نامه ای خواهان امکان دسترسی به برنامه جهت اضافه کاری در زمانهایی که در شرکت حضور ندارد می باشد ، از آنجایی که دسترسی به برنامه برای عموم خلاف سیاست امنیتی شرکت می باشد ، آدرس معتبری ( 1.2.5.17 ) که فرد مورد نظر از طریق آن خواهان اتصال به برنامه هست را گرفته و بدین شیوه عمل می کنیم :

کد PHP:           iptables -t nat -A PREROUTING -s 1.2.5.17 -d 1.2.4.2 -p tcp -dport 80 -j DNAT --to 192.168.1.100 
مسئول محترم مالی برای دسترسی به برنامه باید از آدرس 1.2.4.2 استفاده کند.

می خواهیم خارج از شرکت بواسطه ssh به سرور متصل شویم ، ولی برای بالا بردن امنیت سرور مثلا برای مواقعی که با پیدا شدن یک باگ در ssh سرور ، ممکن است امنیت آن به خطر بیافتد پورت دیگری را جز 22 به آن اختصاص می دهیم :

کد PHP:           iptables -t nat -A PREROUTING -d 1.2.4.2 -p tcp -dport 65521 -j DNAT --to 192.168.1.100:22 
با این روش اگر در شرکت حضور نداشته باشیم و نیاز به ارتباط با سرور داریم ، یک ارتباط ssh به 1.2.4.2 با پورت 65521 برقرار می کنیم.

فرض کنید یک وب سایت را با IP آدرس 192.168.1.200 هاست کرده اید. وب سایت مورد نظر www.PersianAdmins.com می باشد و این دامنه درسرور DNS با آدرس 1.2.4.5 تنظیم شده است. برای در دسترس بودن آن از خارج از شبکه محلی به طریق زیر عمل می کنیم :

کد PHP:           iptables -t nat -A PREROUTING -d 1.2.4.5 -p tcp -dport 80 -j DNAT --to 192.168.1.200 

استفاده از اسکرپیت :


برای سناریو بالا میتوان از اسکریپت زیر استفاده کرد که با نیازهای مختلف قابل هماهنگی و تغییرات لازم را انجام داد :

کد PHP: #!/bin/bash
IP=/sbin/iptables
#… some packet filtering rules
### NAT SECTION
#first of all، we want to flush the NAT table
$IP -t nat -F
############ SNAT PART
#Taj malek moloks special rule.
#Dont SNAT any TCP connections from her computer except www and all #udp connections except DNS
$IP -t nat -A POSTROUTING -s 192.168.1.31 -p tcp -dport ! 80  -j DROP
$IP -t nat -A POSTROUTING -s 192.168.1.31 -p udp -dport ! 53  -j DROP
#Dont SNAT anything from 192.168.1.0/24  to 192.168.2.0/24
$IP -t nat -A POSTROUTING -s 192.168.1.0/24 -d 24/192.168.2.0 -j ACCEPT
#The boss needs DNAT but we should also SNAT her IP address to 1.2.4.1
$IP -t nat -A POSTROUTING -s 192.168.1.50 -j SNAT --to 1.2.4.1
#Snat Everyone
$IP -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to 1.2.4.0-1.2.4.32  --to 1.2.3.1
############ DNAT PART
#Dnat the boss so he can access her PC from home
$IP -t nat -A PREROUTING -d 1.2.4.1 -j DNAT --to 192.168.1.50
#DNAT the intranet server for the guy in the financial department
$IP -t nat -A PREROUTING -s 1.2.5.17 -d 1.2.4.2 -p tcp -dport 80 -j DNAT --to 192.168.1.100
#DNAT for us to ssh into the intranet server
$IP -t nat -A PREROUTING -d 1.2.4.2 -p tcp -dport 65521 -j DNAT --to 192.168.1.100:22
#DNAT the web server
$IP -t nat -A PREROUTING -d 1.2.4.5 -p tcp -dport 80 -j DNAT --to 192.168.1.200
### End of NAT section 
بررسی تنظیمات :
زنجیره های جدول nat را مورد بررسی قرار می دهیم :

کد PHP: root@router:~# iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT all — 0.0.0.0/01.2.4.1 to:192.168.1.50
DNAT tcp — 1.2.5.17 1.2.4.2 tcp dpt:80 to:192.168.1.100
DNAT tcp — 0.0.0.0/01.2.4.2 tcp dpt:65521 to:192.168.1.100:22
DNAT tcp — 0.0.0.0/01.2.4.5 tcp dpt:80 to:192.168.1.200
ACCEPT tcp — 192.168.1.50 0.0.0.0/0tcp dpt:80
REDIRECT tcp — 192.168.1.0/24 0.0.0.0/0tcp dpt:80 redir ports 3128
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
DROP tcp — 192.168.1.31 0.0.0.0/0 tcp dpt:!80
DROP udp — 192.168.1.31 0.0.0.0/0 tcp dpt:!53
ACCEPT all — 192.168.1.0/24  192.168.2.0/24
SNAT all — 192.168.1.50 0.0.0.0/0 to:1.2.4.1
SNAT all — 192.168.1.0/24 0.0.0.0/0  to:1.2.4.0-1.2.4.32 1.2.3.1
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
root@router:~# 

نکته مهم :
اجرای دستورات بالا بدون فعال کرده ویژگی IP forwarding ثمری نخواهد داشت ، به عبارت دیگر بدون فعال کردن این ویژگی هیچ کدام از دستورات ذکر شده در بالا کاری صورت نمی دهند.
برای فعال کردن ip forwarding بدین شکل عمل می کنیم :
کد PHP:           echo 1 > /proc/sys/net/ipv4/ip_forward 
برای اطمینان از اجرای درست دستور فوق مقدار ip forwarding را مورد بررسی قرار می دهیم که می بایست برابر با 1 باشد :
کد PHP:           cat /proc/sys/net/ipv4/ip_forward 
برای آنکه نخواهید پس از هر بار روشن شدن سیستم دستورات را اجرا کنید ، آنها را در فایل etc/rc.local/ قرار دهید.
زینب بازدید : 6 پنجشنبه 15 خرداد 1399 زمان : ۰۸:۱۵ نظرات (0)
فصل دهم : Queue – Traffic Shaping
بخش دوم :

سناریو 1: بررسی قابلیت های Queue و ایجاد محدودیت پهنای باند برای کاربران

1.jpg
در این سناریو می خواهیم دسترسی کاربران Lan-1 و Lan-2 به اینترنت را محدود کنیم بصورتی که کاربران Lan-1 پهنای باند 128K و کاربران Land-2 پهنای باند 256K داشته باشند.

انتساب IP به کارت شبکه های روتر :

2.jpg
3.jpg

ایجاد Nat برای دسترسی کلاینت ها به اینترنت :

Lan-1 :

4.jpg
5.jpg


Lan- 2 :

6.jpg
7.jpg

ایجاد محدودیت پهنای باند برای دسترسی کلاینت ها به اینترنت :

برای این کار از منوی اصلی Queues را انتخاب کرده و از پنجره ی باز شده از بخش Simple Queues برروی Add کلیک می کنیم و تنظیمات را اعمال می کنیم.

شبکه Lan-1 :

8.jpg

شبکه Lan-2 :

9.jpg

بررسی میزان مصرف پهنای باند :

برای مشاهده ی مصرف هر کاربر پس از کلیک بر روی نام Queue آن، به بخش Statistics میزان مصرف IP یا IP های مورد نظر و پارامترهایی از قبیل میزان ارسال Packet و ضریب ارسال و دریافت دیتا قابل مشاهده است.

10.jpg

بررسی و مشاهده نمودار مصرف پهنای باند :

برای مشاهده نمودار مصرف پهنای باند که بصورت Live قابل مشاهده است باید به بخش Traffic مراجعه کنید :11.jpg

در صورتی که کلاینتی از تمام پهنای خود استفاده کند شکل سبز که در کنار نام آن قرار دارد به حالت قرمز در می آید.مثل عکس زیر :

12.jpg


در قسمت بعد به انجام یک سناریو دیگر می پردازیم

پیروز و سربلند باشید
زینب بازدید : 18 يكشنبه 18 اسفند 1398 زمان : ۱۷:۰۰ نظرات (0)
شاید بسیاری از كاربران لینوكس ندانند كه می توان یك توزیع لینوكس را تحت شبكه و به صورت آنلاین نصب نمود. این شیوه از نصب مزایای خاصی دارد.



از جمله: عدم نیاز به تهیه سی دی های نصب توزیع و بروزرسانی توزیع پس از انتشار هر نسخه جدید. یكی از معروف ترین توزیع هایی كه امكان نصب از روی اینترنت را برای كاربران فراهم می كند توزیع قدرتمند دبیان است كه در این مقاله به آن اشاره ای شده است.

● اینترنت جایگزین سی دی

یكی از هیجان انگیزترین ویژگی های سیستم عامل لینوكس انتشار رایگان آن در اینترنت است. اگر بخواهید آخرین نسخه توزیع های لینوكس OpenSUSE شركت ناول Fedora Core۵ یا اوبونتو را روی سیستم خود نصب نمایید كافی است فایل های نصب این توزیع را از اینترنت و سایت رسمی توزیع یا از طریق پورتال BitTorrent دریافت نمایید. چون این فایل ها به صورت Image هستند باید با استفاده از یك برنامه آن ها را روی سی دی یا DVD رایت كنید. اكنون تنها كاری كه باقی می ماند بوت كردن سیستم و قراردادن سی دی شماره اول در سی دی رام است.

اما اگر از یك ارتباط سریع اینترنت استفاده می كنید و تصمیم دارید فقط یك بار یك توزیع لینوكس را نصب كنید می توانید به جای صرف زمان برای دانلود فایل های Image هر توزیع و رایت كردن آن ها روی سی دی یا DVD این توزیع را به صورت آنلاین و توسط یك سرویس دهنده اینترنت نصب نمایید. مزایای این روش فراوان است. برای مثال با استفاده از این روش دیگر نیازی به سی دی نخواهید داشت و در نتیجه در هر زمانی كه امكان دسترسی به سی دی نبود با مشكلی مواجه نیستید. مزیت دیگر صرفه جویی در زمان و عدم نیاز به دریافت پنج فایل با ظرفیت هفتصد مگابایت از اینترنت است. می توانید این زمان دانلود را برای نصب لینوكس صرف كنید.

از مزایای دیگر نصب آنلاین لینوكس عدم نیاز و وابستگی به یك رایتر است. در چنین حالتی قادر خواهید بود لینوكس را روی سیستمی كه فاقد رایتر است نصب و اجرا نمایید. از این گذشته بهترین مزیت این روش نصب آخرین نسخه های انتشاری هر توزیع در هر زمان است. دیگر لازم نیست نگران انتشار یك نسخه جدید و بروزرسانی نسخه لینوكس خود باشید.

خوشبختانه توزیع های لینوكس زیادی از روش نصب تحت شبكه پشتیبانی می كنند اما دو توزیع محبوب و عمومی OpenSUSE و Fedora Core ۵ در این زمینه شهرت بیشتری دارند. روش نصب تمامی توزیع ها تا حدودی یكسان است و با روش نصب از روی سی دی تفاوت چندان زیادی ندارد. تنها تفاوت این كار را باید در منبع فایل های نصب دانست.

● از كجا آغاز كنیم؟

با این مقدمه به سراغ چگونگی نصب یك توزیع لینوكس به صورت آنلاین می رویم. در اولین گام نیازمند یك سی دی بوت لینوكس یا هر وسیله قابل بوت دیگر هستید. تنها فایلی كه برای بوت یك توزیع لینوكس نیاز دارید حجم بسیار كمی دارد. برای مثال فایل بوت توزیع Fedora Core ۵ تنها ۶,۶۷ مگابایت و برای توزیع OpenSVSE۵ شصت وچهار مگابایت است. این فایل های بوت برای هر دو معماری ریزپردازنده ۳۲ و ۶۴ بیتی ارائه شده اند.

برای ساخت سی دی بوت فایل iso. توزیع موردنظر خود را از اینترنت دانلود كنید و با یك برنامه رایت سی دی یك سی دی قابل بوت از آن بسازید. پیش از اقدام به این كار از پشتیبانی سیستم خود برای بوت از روی CD_ROM اطمینان حاصل كنید. البته روش های دیگری برای بوت لینوكس وجود دارد. مثلا می توانید از حافظه های USB یا ابزارهای مالتی مدیای مبتنی بر پورت USB استفاده كنید. متاسفانه برخی از توزیع ها از بوت با استفاده از پورت USBپشتیبانی نمی كنند و اجازه چنین كاری را نمی دهند مانند (OpenSVSE)

در عوض توزیعی مانند Fedora Core ۵ یك فایل مخصوص با نام diskboot.img۶ برای این روش از بوت دارد كه می توانید آن را از روی وب سایت توزیع دریافت نمایید. پس از دریافت این فایل در پوسته خط فرمان لینوكس لازم است دستور زیر اجرا شود: dd if=deskboot.img of=/dev/drive در این فرمان به جای Drive موقعیت وسیله قابل بوت از روی پورت USB را وارد كنید. باید بایوس سیستم را نیز برای بوت از روی پورت USB تنظیم نمایید. به هرحال اولین گام برای نصب لینوكس تحت اینترنت بوت كردن لینوكس است. نصب آنلاین پس از بوت كردن سیستم توسط یك سی دی بوت لینوكس نیاز دارید برنامه نصب توزیع لینوكس مورد نظرتان و تمامی اطلاعاتی كه برای نصب لینوكس از روی شبكه مانند چگونگی اتصال به اینترنت آدرس و نوع سرویس دهنده لازم است را به دست بیاورید. پس از آن رابط برنامه نصب از شما رابط شبكه را سوال خواهد كرد. اگر فقط از یك رابط شبكه (كه غالبا یك كارت شبكه است) استفاده می كنید این رابط شبكه به صورت خودكار توسط برنامه نصب شناخته خواهد شد. اما اگر برای مثال می خواهید یك ارتباط Wi-Fiبرقرار نمایید باید ابزارهای این شبكه را برای برنامه نصب لینوكس تعریف كنید. در گام بعد باید چگونگی دریافت آدرس IP شبكه شما توسط برنامه نصب مشخص شود. در غالب اوقات شما سرویس DHCP را تنظیم می كنید كه به صورت خودكار اقدام به دریافت آدرس های IP شبكه خواهد كرد.

در مرحله بعد باید برای برنامه نصب مشخص نمایید كه می خواهید فایل های نصب لینوكس را از طریق یك سرویس دهنده FTP یا HTTP دریافت كنید. این موضوع برای هر كاربر در مقایسه با دیگری متفاوت خواهد بود اما در هر صورت راهی جز این دو شیوه وجود نخواهد داشت. توزیع هایی مانند OpenSUSE وFedora Core ۵ از دو روش FTP و HTTP و پشتیبانی می كنند.

اكنون به آخرین مرحله نصب رسیده ایم و باید برای برنامه نصب محل و آدرس فایل های نصب توزیع لینوكس تعریف شود. در ساده ترین حالت سایت های آینه هر توزیع می توانند یكی از نشانی های معتبر باشند. در برخی از توزیع های لینوكس نیاز است كه نوع نسخه نصب از جهت معماری سیستم نیز مشخص شود.

همچنین سرعت و كیفیت نصب لینوكس از روی شبكه به نوع اتصال اینترنت شما بستگی خواهد داشت. اما مطمئنا زمان نصب آنلا ین بیشتر از زمان نصب از طریق سی دی است. شما می توانید در انتهای شب اقدام به نصب لینوكس نمایید و با خیالی راحت بخوابید. صبح كه از خواب بیدار شوید صفحه ابتدایی لینوكس را مشاهده می كنید.
زینب بازدید : 21 پنجشنبه 15 اسفند 1398 زمان : ۰۹:۵۵ نظرات (0)
بسیاری از آنهایی كه قصد دارند استفاده از لینوكس را تجربه كنند، از موانع و همچنین تعدد نگارش‌های عرضه شده برای آن سردرگم می‌شوند. استفاده از پیشنهادهای مطرح شده در این مقاله می‌تواند تجربه موفقی را در استفاده از سیستم عامل لینوكس فراهم آورد.



هر آنچه در سیستم عامل ویندوز انجام می‌دهید، از گوش دادن به موسیقی گرفته تا ایجاد شبكه و دریافت نسخه‌ای از اسناد ذخیره شده در كامپیوتر جیبی، همگی با استفاده ازسیستم عامل لینوكس نیز امكان پذیر هستند، ولی همیشه انجام این كارها نسبت به آنچه در ویندوز تجربه كرده‌اید، دشوارتر است. با در نظر گرفتن این حقیقت كه یادگیری لینوكس نیز سخت‌تر از ویندوز است، به راحتی می‌توان متوجه شد كه چرا بیشتر كاربران ویندوز نسبت به یادگیری لینوكس و استفاده از آن هیچ علاقه‌ای نشان نمی‌دهند.

گرچه لینوكس ارزان‌تر از ویندوز است ولی از طرفی استفاده از آن آسان نیست و از طرف دیگر عدم سازگاری آن با سخت افزارها و همچنین نبود نرم افزارهای مناسب برای آن، از جمله دلایلی هستند كه خیلی از كاربران را برای استفاده از آن منصرف می‌كنند. با وجود تمام ضعف‌های ویندوز xp، بسیاری از كاربران آن را به هر سیستم عامل دیگری ترجیح می‌دهند. ممكن است فكر كنید این انتخاب از ترس یا تنبلی كاربران ناشی شده است ولی واقعیت چیز دیگری است. وقتی از ویندوز استفاده می‌كنید به راحتی و بدون خواندن حتی یك كتاب یا حضور در كلاس، می‌توانید هر كاری از جمله ایجاد شبكه تا ایجاد یك اسلاید توسط نرم افزار powerpoint انجام دهید، پس در واقع علت برتری ویندوز در یادگیری سریع آن نهفته است.

گرچه نمی‌توان به صورت كامل استفاده از ویندوز را ترك كرد، ولی یادگیری و استفاده از نگارش‌های جدید لینوكس خیلی هم سخت و وحشت آور نیست.


بزرگ‌ترین مزیت لینوكس در ماهیت آن به عنوان یك سیستم كدباز نهفته است. این واقعیت حداقل در تئوری بدان معناست كه هر برنامه نویس ماهری می‌تواند كد برنامه را مشاهده كرده و آن را تغییر دهد.

این مسئله ممكن است از نظر طراحان و برنامه نویسان یك نقطه قـوت به حسـاب بیاید ولـی باعث شده است تا نسخه‌هـای متعـددی از لینـوكس تـوسط شركت‌هـای مختلـف ارائه شـود كه در نتیجه كاربران را دچـار سردرگمی كـرده است.

وقتـی كه از وینـدوز صحبت می‌شود، كاملا مشخص است كه در مورد یكی از محصولات شركت مایكروسافت صحبت می‌كنیم.

اما نگارش‌های متعددی از لینوكس تـوسط شركت‌هـای مختلف به بـازار عـرضه شده است؛ در نتیجه انتخاب نگارشی كه امكانـات ارائه شده برای آن با نیازهای شما كاملا هماهنگ باشد، كار مشكلی به نظر می‌رسد.

اگر قصد دارید از لینوكس استفاده كنید، با نگارش‌هـای متعددی روبه‌رو خواهیـد شــد از جـملـه؛ لیـنـــوكـس fedora (Fedora Project Homepage) محصول شركت red hat، لینوكس (Buy Books | New Novels | Book Reviews | Poetry | Best Sellers | Bookstores | Literature at Novel.com) محصول شركت novel لینوكس Mandriva) mandriva)، لینوكس Debian -- The Universal Operating System)


اما به سرعت در می‌یابید كه بعضـی از نگارش‌هـا بـرای كاربران خانگی مناسب نیستند. برای مثال suse مناسب محیط‌های كاری و اداری اسـت و debian بیشتر برای متخصصانی منـاسب است كه تجربه استفاده از لینوكس و برنامه نویسی در محیط آن را دارند.

سایتback soon بهترین راهنما برای كسانی است كه میان این همه انتخاب سردرگم شده‌اند. در این سایت گزینه‌ای به نام linux distribution chooser وجود دارد كه با پرسیدن مجموعـه‌ای از سوالات پیرامون تجربـه و مهـارت شما در استفاده از كامپیوتـر و انتظارات شمـا از سیستم‌عامل، در نهـایت مناسب‌ترین نگـارش را با تـوجه به پاسخ‌هایتان برای شما انتخاب می‌كند.
زینب بازدید : 20 سه شنبه 06 اسفند 1398 زمان : ۱۲:۳۵ نظرات (0)
فصل پنجم : *****ینگ

بخش چهارم :

سناریو 2 : هدف از انجام این سناریو بررسی عملیات Filtering می باشد.

1.jpg
در این سناریو روتر R1 را به گونه ایی تنظیم می کنیم که Lan-1 تنها به وب سرور موجود در شبکه اینترانت ، Lan-2 تنها به اینترنت و Lan-3 هم به اینترنت و هم به اینترانت دسترسی داشته باشند.
برای پیاده سازی این سناریو :
- سه سیستم جهت شبیه سازی کلاینت های موجود در هر Lan .
- یک روتر به عنوان Firewall (این روتر از طریق کارت شبکه ether3 به اینترنت دسترسی دارد).
- یک سرور 2012 جهت شبیه سازی شبکه اینترانت که بر روی آن وب سرور راه اندازی شده است.

انتساب IP برای کارت های شبکه روتر R1 :
2.jpg
3.jpg
اعمال عملیات Nat بر روی بسته هایی که به سمت روتر R1 می آیند :

4.jpg
5.jpg
تنظیمات جهت عدم دسترسی کلاینت موجود در Lan-1 به اینترنت :

6.jpg
7.jpg
تنظیمات جهت عدم دسترسی کلاینت موجود در Lan-2 به اینترانت :

8.jpg
9.jpg
تنظیمات جهت دسترسی کلاینت موجود در Lan-3 به اینترنت و اینترانت :
طبق قانون گفته شده از آنجا که محدودیتی برای ترافیک بسته های Lan-3 وجود ندارد هیچ *****ی برای این نوع ترافیک ها در نظر گرفته می شود.


پیروز و سربلند باشید
زینب بازدید : 17 چهارشنبه 16 بهمن 1398 زمان : ۰۰:۱۵ نظرات (0)
با وجود اینکه بسیاری از متخصصان بر این باور هستند که لینوکس ایمنی بیشتری در مقایسه با ویندوز دارد، آمار و ارقام سال اخیر حکایت از واقعیت دیگری دارد:لینوکس نا امن تر از ویندوز نشان داده است.



البته باید به این نکته اشاره کرد که نمی توان مقایسه سالمی بین لینوکس و ویندوز داشت، دلیل این امر هم، تعداد محدود کابران سیستم عامل لینوکس در قیاس با کاربران ویندوز می باشد هر چند که اکثر شرکت های بزرگ در حال روی آوردن به لینوکس می باشند.البته نباید از یاد برد که با گسترش لینوکس، می توان منتظر عواقب مشابه نا امنی ویندوز در لینوکس نیز بود.

بر خلاف مطالب موجود در خبرها، لینوکس در مقایسه با ویندوز آسیب پذیرتر نشان داده است.باید اضافه کرد که بیش از ۵۰ درصد از برگه های امنیتی منتشر شده توسط CERT در ۱۰ ماه اول سال ۲۰۰۲ مربوط به لینوکس و دیگر نرم افزارهای Open-Source می باشد.این گزارش ادعاهای مبنی بر ناامن بودن نرم افزار های پولی مانند ویندوز را رد می کند.از طرفی نرم افزار های مشابه دیگر مانند Unix هم به اندازه لینوکس غیر ایمن نشان دادند، آیا بازهم می توان گفت ویندوز غیر ایمنترین سیستم عامل می باشد؟

نرم افزار های Open-Source در Linux ، Unix و تجهیزات Routing مورد استقاده قرار می گیرند که در حال حاضر مشکل اصلی خریداران، ایمن کردن آنها می باشد.برگه های امنیتی نرم افزارهای Open-Source و لینوکس در حدود ۱۶ از ۲۹ برگه منتشره را در ۱۰ ماه اول سال ۲۰۰۲ تشکیل می دهند، در حالی که برگه های ایمنی مربوط به محصولات مایکروسافت در همین بازه زمانی به ۷ عدد می رسد.

آمار و ارقام نشان می دهد تعداد ویروسهای موسوم به Trojan برای لینوکس و یونیکس از ۱ عدد در سال ۲۰۰۱ به ۲ عدد در سال ۲۰۰۲ رسیده اند که نشان دهنده رشد دو برابر این رده از ویروسها برای نرم افزار های Open-Source می باشد.در حالی که تعداد Trojan ها در سال ۲۰۰۱ برای ویندوز در حدود ۶ عدد بوده است و در سال ۲۰۰۲ به صورت محسوسی کاهش یافته است، چنانکه به نظر می آید تعداد آنها به صفر رسیده است.

با توجه به تحقیقات انجام شده، به نظر می آید تمامی صحبتهای مبنی بر غیر ایمن بودن ویندوز در قیاس با لینوکس نادرست می باشد و به همان اندازه که ویندوز در مقابل Trojan ها آسیب پذیر نشان داده، لینوکس، یونیکس و نرم افزار های بنا شده بر آنها همانند Mac OS X هم در مقابله با این ویروسها ضعیف هستند.و وقتی این مشکل بزرگتر جلوه می کند که بدانیم سیستم عامل به کار رفته در بیشتر Firewall ها، Router ها و Web Server ها، لینوکس و سیستم عامل های مشابه می باشد.

از طرفی گروه های سازنده نرم افزارهای Open-Source معتقد هستند که می توانند سریعتر از رقبای خود، مشکلات امنیتی نرم افزارها را مرتفع کنند، در حالی که به نظر می آید این گروه ها باید آزمایشهای بیشتری بر روی نرم افزار های خود بیش از عرضه داشته باشند و باید در نظر گرفت که تعداد کمی از این نرم افزارها دارای قدرت به روز کردن خودکار می باشند و این هم بر مشکلات این نرم افزار ها می افزاید.

ساده ترین راه برای حل این مشکلات این است که شرکت های تولید کننده هر چه سریعتر، محصولات خود را ایمن کنند.دقیقا کاری مشابه شرکت مایکروسافت که نیروی عظیمی را در یک سال اخیر برای ایمن کردن محصولات خود گماشته است.انتظار می رود لینوکس و سایر نرم افزار های Open-Source هم دست به کاری مشابه بزنند تا مشکلات امنیتی به حداقل برسند.از طرفی باید یک نکته را در دنیای مجازی به وجود آمده، اینترنت، مد نظر داشت;و آن اینکه هیچ شرکت و یا تولید کننده ای مقصرتر از دیگران نمی باشد.

و در آخر Aberdeen سه راه حل برای غلبه بر مشکلات امنیتی، پیشنهاد کرده است:

▪آزمایش بیشتر نرم افزارها قبل از عرضه آنها

▪درک اینکه ویروسهای سنتی نرم افزارها در حال جایگزین شدن با ویروسهای خطرناک اینترنتی می باشند

▪لزوم وجود سیتم های فعال تر و سراسری تر برای رفع مشکلات امنیتی
زینب بازدید : 15 شنبه 05 بهمن 1398 زمان : ۰۴:۰۵ نظرات (0)
بهتر است با این موضوع رو به رو شویم که اکثر کسانی که روی کامپیوتر خود سیستم عامل نصب می کنند ، در بین برنامه هایی که از ابتدا روی سیستم آن ها نصب می شود بر نامه Java جایی ندارد ، اما باید بدانید که این برنامه فوق العاده پر کاربرد بوده و ابزاری بسیار مفید و مناسب جهت اجرای برنامه های متنوع کامپیوتری محسوب می شود. دلایل زیادی برای نصب نکردن جاوا بر روی سیستم عامل های کامپیوتر های شخصی وجود دارد که از بین آن ها می توان به اسکالاتی در لیسانس این برنامه و همینطوری دشواری و رنج آور بودن نصب آن بر روی سیستم عامل Linux اشاره کرد.



برای شروع باید بدانیم که کدام نسخه از نرم افزار جاوا برای ما مناسب تر است و با توجه با اینکه این نرم افزار دارای نسخه های بسیار زیادی است که از جمله آن ها می توان به jdk یا jre یا blackdown اشاره کرد و گفتنیست که این لیست به صورت متوالی ادامه دارد! همینطور باید بدانیم که نصب این برنامه را از روی چه نصب کننده یا Installer ی انجام دهیم برای مثال نسخه های اینترنتی نصب کننده ها بهتر هستند یا نسخه های خریداری شده بر روی دیسک های مختلف!؟
نسخه ای که ما به شما پیشنهاد می کنیم یا در واقع Ubuntu 10.04 ، مشکلات نصب این برنامه را به خوبی حل کرده است و در واقع هدف از این مقاله همین موضوع می باشد. همینطور در این مقاله سعی خواهیم داشت تا به شما آموزش دهیم چگونه مرورگر یا Browser خود را با Java آشنا سازید یا به زبانی دیگر جاوا را به مرورگر خود معرفی کنید تا بتوانید در سایت هایی که از این نوع برنامه های جاوا پشتیبانی می کنند استفاده و همینطور خودتان نیز در طراحی های وب خود از نرم افزار های جاوا استفاده نمایید.

نصب برنامه:

قصد داریم قدم به قدم نصب این برنامه را به شما آموزش دهیم بنابراین بهتر است خود را برای نصب دستوری این برنامه آماده نمایید. از command line استفاده خواهیم نمود. فایل etc/apt/sources.list را باز نموده و خط deb Index of / lucid partner را به پایین فایل اضافه نمایید. اکنون apt خود را با دستور sudo apt-get update به روز کنید . هنگامی که Update کامل شد شما آماده برای نصب برنامه هستید . دستور اصلی برای نصب برنامه این میباشد: sudo apt-get install sun-java6-jre sun-java6-plugin sun-java6-fonts




دستور بالا تمام چیزهایی را که شما برای فعال سازی برنامه جاوا نیاز دارید بر روی سیستم شما نصب خواهد کرد. در حین فرایند نصب برنامه شما باید لیسانس برنامه را بخوانید و با آن موافقت کنید (کاری که در بسیاری دیگر از برنامه ها انجام خواهید داد که اکثرا دکمه ای به نام I Agree وجود دارد. این لیسانس ها اکثرا شامل قوانین کپی رایت برنامه و اندکی موارد حقوقی می باشد که در ایران چندان معنایی پیدا نمی کند) حواس خود را خوب جمع کنید که حتما با لیسانس برنامه موافقت کنید زیرا در غیر این صورت نصب برنامه کامل نخواهد شد. برنامه نصب شد و همه چیز کامل شد درست است؟!؟ شاید بله اما پیش از اینکه مراحل نصب را تمام شده در نظر بگیریم بهتر است فرایند نصب برنامه را بار دیگر چک کنیم تا به مشکلات ریز و درست احتمالی بر نخوریم. بهترین راه براین تست کردن فرایند نصب نرم افزار این است که دستور java -version را ذکر کنیم . پس از ذکر این دستور باید شاهد این جواب ها باشیم:

java version “۱٫۶٫۰٫۲۰″
Java(TM) SE Runtime Environment (build 1.6.0_20-b02)
Java HotSpot(TM) Server VM (build 16.3-b01, mixed mode)

در صورت دریافت این جواب شما می توانید از صحیح و سالم بودن نصب برنامه اطمینان خاطر حاصل نمایید.

معرفی به مرورگر FireFox

اکنون که فرایند نصب به پایان رسیده و مرحله اول و اصلی را با موفقیت پشت سر گذاشته اید وقت این است که به سراغ معرفی جاوا به مرورگر FireFox برویم. این کار بسیار ساده است و تنها کافیست از همان Command Line قبلی دستوراتی را که به شما خواهیم گفت وارد نمایید. دستور locate libjavaplugin را زیر خط همان دستورات قبلی وارد نمایید.




بعد از وارد کردن این دستور باید منتظر جوابی باشید که به این شباهت دارد:

/usr/lib/jvm/java-6-sun1.6.0.20/jre/plugin/i386/ns7/libjavaplugin_oji.so

اکنون که شما مسیر مورد نظر را دریافت کرده اید و فقط کافیست از طریق :

/usr/lib/jvm/java-6-sun1.6.0.20/jre/plugin/i386/ns7/libjavaplugin_oji.so

به آن لینک دهید. برای این کار شما ابتدا باید با استفاده از دستور

/usr/lib/mozilla/plugins

به قسمت پلاگین ها رفته و در آنجا با ستفاده از دستور

ln -s /usr/lib/jvm/java-6-sun1.6.0.20/jre/plugin/i386/ns7/libjavaplugin_oji.so

لینک را بسازید. اکنون تمام آنچه شما باید انجام دهید این است که مرورگر خود را دوباره باز کنید و در قسمت نوشتن آدرس ، about:plugins را وارد نمایید تا ببینید که اکنون برنامه جاوا روی مرورگر شما فعال شده است. اگر فعال نشد یک بار دیگر کامپیوتر را ریستارت کنید و دوباره این کار را انجام دهید تا به نتیجه برسید.
زینب بازدید : 13 سه شنبه 05 آذر 1398 زمان : ۱۵:۱۰ نظرات (0)
احتمالا برایتان پیش آمده که به سبب وجود مشکل و عدم کارکرد بهینه سرویسی از فرد با تجربه ای تقاضای کمک یا مشورت کرده اید و فرد متخصص برای تصمیم گیری از شما درخواست میکند که خروجی برخی دستورات را برایش ارسال کنید , در چنین شرایطی برای انجام این کار 2 راه پیش رو دارید :
1- استفاده از "<" که خروجی دستورات را همانند شکل شماره 1 به یک فایل ارسال میکند و هیچ گونه خروجی را بر روی صفحه نمایش نمیدهد.استفاده از این کاراکتر برای اجرای دستورات در پس زمینه و زمانیکه ما خواهان این هستیم خروجی دستورات را بعد مطالعه کنیم و در زمان اجرای برنامه هیچ گونه خروجی بر روی صفحه نمایش نداشته باشیم توصیه میشود.
استفاده از "<" باعث میشود اگر از قبل فایلی هم نام با نامی که ما مشخص کرده ایم وجود داشته باشیم , محتویات قبلی پاک و دوباره بازنویسی شود.برای پرهیز از این کار و بعبارت بهتر اضافه کردن خروجی به انتهای یک فایل میتوانیم از "<<" استفاده کنیم.


2-استفاده از دستور tee که برخی کمبودهای که در حالت قبل وجود دارد را برطرف میکند, از قبیل :
فرستادن خروجی به چنیدن فایل بصورت همزمان و مشاهده خروجی بر روی صفحه نمایش همزمان با فرستادن به فایل.
برای استفاده از این دستور همانند شکل شماره 2 عمل میکنیم :



tee [options] file-list

file-list لیست فایل هایی است که خروجی همزمان با خروجی استاندارد باید به آنها ارسال شود



append -a--
Appends output to existing files rather than overwriting them (Default is to overwrite)
این گزینه همانند "<<" عمل میکند و باعث میشود خروجی به انتهای فایل افزوده شود بجای بازنویسی فایل
ignore-interupts -i--
Causes tee not to respond to interrupts (Default is to respond to them)

"مقاله از آقای رضا بهروزی"
زینب بازدید : 14 پنجشنبه 23 آبان 1398 زمان : ۲۱:۲۰ نظرات (0)
در هنگام نصب لینوكس، اگر دقت كرده باشید،این امكان رادارید كه سرویس دهنده (ssh secure shell) رافعال كنید . SSH سرویسی برای مدیریت ودسترسی به كامپیوتر یاشبكه از راه دور است .rsh و telnet و ftp دیگر ابزارهای برقراری ارتباط ومدیریت یك سیستم راه دورهستند اما مكانیزهای امنیتی در آن هااستفاده نشده است و به راحتی می توان با شنود كردن ارتباط میان دو كامپیوتر در سطح شبكه ، به اطلاعات بسیار ارزشمندی مانند اسم ورمز كاربری كامپیوتری راه دور دست یافت. SSH یك تونل ارتباطی رمز شده میان دو كامپیوتر به وجود می آورد و داده های به صورت كد شده میان دو كامپیوتر تبادل می شوندودر نتیجه حتی در صورت به دست آوردن اطلاعات تبادل شده میان این دو كامپیوتر، امكان بهره برداری از آنها وجود ندارد .





شروع كار با SSH
SSH یك برنامه سرویس دهنده/سرویس گیرنده است.بر روی كامپیوتر راه دوری كه باید به آن متصل شد،برنامه سرویس دهنده sshd نصب می شود وبرنامه های كاربردی بر روی سیستم های كاربران یا مدیر سیستمی كه می خواهد از راه دور كامپیوترمورد نظررااداره كند،اجرا می شوند.همچنین می تواناز شاخه etc/ssh/ به فایل های پیكربندی برنامه دسترسی داشت. Sshdconfig فایل پیكربندی سرویس دهنده sshd است.دایركتوری HIME/ssh$ برروی سیستم هركاربرشامل فایل هایی مانندكلیدعمومی وفایل های پیكربندی خود كاربرمی باشد.دربسیاری از توزیع های لینوكس هردو سرویس به صورت پیش فرض نصب و تنظیم می شوند .SSH از پروتكل SSL برای تبادل اطلاعات رمز شده میان سیستم ها استفاده می كند. بنابراین برای كار با SSH به نصب openSSL نیاز دارید.در صورتی كه این دو سرویس برروی توزیع لینوكس نصب نباشند، می توان با دریافت بسته های نرم افزاری آن ها، به نصب و پیكربندی این دوسرویس اقدام نمود .

SSH از دو كلیدعمومی (public) وخصوصی (private) برای احرازهویت و رمز گشایی اطلاعات استفاده می كند. كلید عمومی میان تمامی كاربران به اشتراك گذاشته می شود،اما هر كاربر فقط یك كلید خصوصی منحصربه فرد داردكه با استفاده از آن،شناسایی واحرازهویت می گردد.1 SSH ازالگوریتم رمزنگاری RSA برای كد كردن اطلاعات استفاده می كند،ولی علاوه براز الگوریتم DSA نیز استفاده می كند.پس از نصب وپیكربندیSSH ، باید كلیدهای عمومی تولید و میان سیستم هابه اشتراك كذاشته شوند .
برای راه اندازی یك سرویسSSH پس ازنصب برنامه،مراحل كاربه صورت زیرخواهد بود :

تولید كلید های عمومی و خصوصی برای هركاربر .
به اشتراك گذاری كلید عمومی میان تمامی كامپیوترهایی كه می خواهند از سرویسSSH استفاده كنند .
دسترسی به حساب كاربری سیستمی كه باید از راه دور با آن ارتباط داشت .

تولید كلید های RSA
پس از نصب سرویس SSH ، در اولین گام باید كلید عمومی وخصوصی ساخته شود.در2 SSH این امكان وجود دارد كه از هر دو الگوریتم رمزنگاریrsa و dsa برای ساخت كلیدها استفاده شود،ولی در1 SSH فقط الگوریتم rsa به كار برده می شود.برای تولید كلیدهایrsa یا dsaازفرمان sshkeygenدر حساب ریشه استفاده می كنیم
$ssh –keygen-trsa [ [[email protected]بااجرا این دستوراز مكانی كه می خواهید فایل های شما در آن جا ذخیره شوند سوال می شود.آرگومان t باعث نشان دادن مراحل كار ونام ومكان فایل می شود.می توانید با كمك صفحات manاز آرگومان های دیگر این فرمان هم كمك بگیرید. پارامترrsa هم به برنامه می گوید كه برای رمز كردنusemame و password از این الگوریتم استفاده شود.اصطلاحا به عملیات رمز نمودن اطلاعات ویا رمز گشایی آن هاpassphrase گفته می شود.می توانیداز الگوریتمdsa هم در SSH2استفاده كنید. به صورت پیش فرض سیستم، دایركتوری مخفیssh رادر دایركتوری خانگی شما برای ذخیره فایل هادرنظر می گیرد . (HOME/.ssh$) درssh1 نام identity.pub ودر SSH2idrsa.pub برای فایل كلید عمومی انتخاب می شود. در ادامه یك رمز برای كد كردن اسم ورمز كاربری شما و تولید كلید عمومی و خصوصی درخواست می شود.اگر این رمز را وارد نكنید،ممكن است سیستم به صورت پیش فرض یك عدد را انتخاب كند یا مجددا از شما تقاضای یكpassphrase كند. بعداز اتمام عملیات،اكنون در دایركتوری HOME/.ssh/idrsa$ یاHOME/.ssh/identity$ می توانید كلیدعمومی وخصوصی تولید شده را مشاهده كنید.HOME/.ssh/authorizedkeys$ دایركتوری مهم دیگری است كه درهمین شاخه وجود دارد وباید كلید عمومی تمام كاربران در این دایركتوری به اشتراك گذاشته شود. پس ازاینكه كلید عمومی ساخته شد،یك كپی ازآن را باید در دایركتوری به همین نام، ولی برروی كامپیوتری كه می خواهید از راه دوربه آن متصل شوید، كپی كنید. فرمانkeygen این قابلیت را دارد كه بتوانید یك passphrase جدید برای خود درست كنید یا آن را تغییر دهید.برای این منظور می توان از آرگومان -p استفاده كرد.اگر تمایل دارید از الگوریتم رمزنگاری dsa درpassphrsae استفاده كنید، درهمان فرمان بالا das را به جایrsa به كار ببرید .

برقراری یك نشست SSH با سرویس راه دور
برای راه اندازی سرویس دهندهSSH برروی یك سیستم، از دستورزیراستفاده می شود :etc/init.d/ssh start/ برنامه های كاربردی زیادی تحت سرویسSSH قابل اجرا هستند. مهمترین آن ها خود برنامهSSH است، با استفاده ازاین برنامه می توان با یك كامپیوتر راه دور (كامپیوتری خارج از یك شبكهlan ) به یك كامپیوتر شبكه متصل شد و رامین و دستورات خود را در شبكه اجرا كرد ودر اصطلاح ازراه دور به یك كامپیوترlogin كرد. برای آن كه بتوانیدبه یك كامپیوترراه دوردسترسی داشته باشید، نیاز است برروی كامپیوتر مقصد، سرویس دهندهssh فعال باشد وكلیدعمومی شما نیزبه اشتراك گذاشته شده باشد . برنامهSSH این مكان را می دهد كه وارد ترمینال سیستم راه دور شوید.درست مانند آن كه الان در مقابل آن سیستم ایستاده اید ومی خواهید دستورات خود را اجرا كنید. یا از طریق كنسولX window بتوانید با محیط های گرافیكی سیستم كار كنید. شكل كلی فرمانSSH به صورت زیر می باشد : ssh hostname
كافی است نام شبكه یا ماشینی كه می خواهیداز راه دور به آنlogin كنید را مقابل فرمانssh وارد كنید.به مثال های زیر توجه كنید :

ssh kemel.linuxteam.com
ssh 691.71.151.7
ssh rootrobin
دراین فرمان می توان نام ماشین یك كاربر خاص را نیز وارد كرد وپس از وارد پسورد سیستم ،مانند این است كه اكنون در مقابل آن سیستم نشسته اید :

8 $ssh masteam.totule.com-1client[[email protected]]
[email protected] s password:
lastlogin:sat may1912:40:03 2005 form masteam. Totule.com
$ [[email protected] client]
برای خاتمه ارتباط با ماشین راه دور، از فرمان logout استفاده می شود .

$ logout [[email protected]]
Connection to mastteam closed
انتقال فایل با برنامه هایscp وsftp
در یك ارتباط راه دور با SSH می توان فایل راازیك ماشین به ماشین راه دور دیگری انتقال داد. برنامه scp این امكان را تحت یك نشست SSH فراهم می كند. ساختارفرمان به صورت زیر خواهد بود .

Scp name-of source file name –of –distination file
$ scp myfileclient8[client21 masteam client21]
masteam.totule.com:/lib/myfile
دراین دستورهمیشه نام كامپیوتروكاربر پیش از نام دایركتوری یا فایل آورده می شود.همچنین برای كپی كردن یك دایر كتوری ، بایداز آرگومانr استفاده كنید .

$ scp r reportsclinet8masteam.totule[clinet21masteam clinet21]
.com:/lib/myfile
اگر بخواهید ازسیستم راه دوری كه به آن login كرده اید فایلی را به سیستم خود منتقل كنید، ابتدا با دستور ssh به سیستم راه دور متصل شوید ودر گام بعدی با دستورscp فایل های مورد نظر را به سیستم خود منتقل نمایید .
Scp به تمام نیاز شما پاسخ می دهد.اما گروهی از كاربران با پروتكل FTP آشنایی بیشتری دارند وبا تكنیك های این روش انتقال فایل در اینترنت،خو گرفته اند.درSSH2 ،فراهم آورنده این سرویس sftp است. با این ویژگی كه شما از یك كنسول حفاظت شده برای تبادل اطلاعات وفایل های خود استفاده می كنید .

جلوگیری از تكرار
فرض كنید مسئول یك شبكه كامپیوتری هستید و بخشی از شبكه در شهر دیگری مستقر است وشمابرای مدیریت سیستم ها مجبورید روزانه چندین دفعه با هر سیستم از راه دورارتباط برقراركنید. برای هر سیستم باید یك عملیاتpassphrase را انجام دهیدواین،وقت وانرژی زیادی از شما خواهدگرفت . فرمان ssh-agent این امكانرابه شمما می دهدكه فقط یك بار مجبورباشید به سیستم راه دور متصل شویدوبر روی سیستم مقصد سرویسagent را فعال كنید.در مراجعات بعدی فقط كافی استكه شما دستورات خود را بدون login كردن به سیستم انجام دهید. پروسه agent كلید خصوصی شما را درحافظه خود نگهداری می كند تا در ارتباط های بعدی ، خود سرویس دهنده عملیات احرازهویت را انجام دهد. به دوطریق می توان ازسرویس agent استفاده كرد.دراولین حالت با استفاده از مد ssh-agent دستورات وعملیات خود را انجام می دهید. مثلا فرض كنید می خواهید به كنسول خط فرمان سیستم راه دوردسترسی داشته باشیدوفرامین خود را در آن تایپ واجرا كنید :

ssh-agent xterm
این دستور به شما اجازه می دهد تمامی دستورات وفرامین خود را بدون نیاز به احرازهویت برروی سیستم راه دور انجام دهید .هربرنامه ای كه درxterm اجرا شود، به كلیدخصوصی شما دسترسی خواهدداشت وبا مقایسه آن با كلید عمومی به صورت خودكار، مجوز شما صادرخواهدشد. گفتنی است در نخستین بار كه به سیستم راه دور دسترسی پیدا كردید، قبل ازهرعملیاتی باید سرویس agent را فعال كنید تا در دسترسی های بعدی بتوانیدازاین سرویس استفاده كنید .
درروش دوم می توان با استفاده ازمد eval به اجرای سرویسagent در پس زمینه اقدام كرد :

Ssh
Eval ssh-agent $
پیكربندی
از بین فایل های ودایركتوری های سرویسSSH ، شما بیشتر با فایل های sshdconfig وssh/config . كارخواهیدداشت وباید گزینه های آن ها را تنظیم كنید .
Sshdconfig فایل پیكربندی سرویس دهنده sshd است كه تنظیمات امنیتی وسیستمی ازجمله تعیین شماره پورتSSH ، شماره نسخه پروتکل SSL ،مدیریت رمزهای وعبور كاربران وكاردر بالاترین مجوز دسترسی را دراختیار شمامی گذارد . مهمترین تنظیمات كاربران درفایلssh/config . قرارداردكه هركاربر می تواندبه صورت مستقیم به آن دسترسی وسرویس SSH سیستم خود را به طوردلخواه تنظیم كند. مهمترین پارامترهای این فایل عبارتند از :

Catchmod : برای غیر فعال كردن عملیات پرس وجو
Compression : امكان استفاده از قابلیت فشرده سازی فایل ها
Escapechar : تنظیمات مرتبط با كاراكترهای ویژه در سرویسSSH
Forwardagent : امكان استفاده از سرویسagent
Forwardx11 : امكان برقراری یك نشست بامحیط های گرافیكی به صورت امن
Hostname : تنظیم شدن نام حقیقی ماشینی كه به آنlogin می شود
Identityfile : تنظیمات مربوط به فایل های شناسهRSA
passwordAuthentication : فعال كردن رمزعبوردرفرایند احراز هویت .

SSH یك سرویس امنیتی برای مقابله باطیف گسترده ای از حملات اینترنتی است. SSH ذاتا یك پروتكل است و استانداردهای یك ارتباط رمز شده برای اداره یك سیستم از راه دور را فراهم می كند. 1SSH اولین نسخه از این پروتكل است كه با اصلاحاتی SSH2 تبدیل شده است. SSH2 ازامكانات وقابلیت های بیشتری به نسبت نسخه قبلی برخوردار است ودستورات وبرنامه های گسترده تری دارد.نسخه رایگان وآزاد این پروتكل، با نام open SSH توسط گروه سیستم عامل openBSD منتشرمی شود. SSH یك ابزار كاملا خط فرمان است كه فقط در كنسول های متنی قابل استفاده می باشدو برای به كارگیری درسیستم های Mac و ویندوزنیز به كنسول خط فرمان نیاز دارد. ارائه راهنمای كاملی از راه اندازی ، پیكربندی واستفاده از سرویس SSH به طور موثر وكارا،كاری خارج از عهده یك مقاله است وكتابی مفصل وجامع را طلب می كند.هد ف این نوشتار شناخت این سرویس امنیتی در كنار قابلیت های آن درسیستم عامل لینوكس وارائه كلیدهایی به خواننده برای
پیگری و مطالعه هدفمند موضوع است .
زینب بازدید : 26 جمعه 10 آبان 1398 زمان : ۱۸:۵۰ نظرات (0)
با سلام
آموزش اسکویید قدم به قدم برای دوستانی که کمتر باهاش کار کردن رو با امید خدا شروع میکنم و سعی میکنم بصورت مداوم کاملش کنم

کارهایی که اسکویید برای ما میکنه در کل: کد PHP: cache server
filter access to net
efficient bandwidth usage 
مرحله اول نصب:

داخل ردهت بیس:
کد PHP:  yum install squid 
اگه بسته اسکویید رو دارید :
کد PHP:  rpm -uhv  /home/nami/squid- 2.7.STABLE7-1u.rpm 
دبیان بیس (اوبونتو)
کد PHP:  apt-get install  squid 
اگه بسته اسکویید رو دارید:
کد PHP:  dpkg -i  /home/nami/squid- 2.7.STABLE7-1u.deb 
پیشنهاد می کنم برنامه squidclient رو هم به روش فوق برای تست اسکویید بگیرید

بعد از دریافت با یکی از دستورات زیر نصب شدن رو تست کنید:
کد PHP: rpm -q  squid
dpkg  -l  squid 
مسیر دایرکتوری اسکویید:
کد PHP: /etc/squid 
فایل کانفیگ اصلی اسکویید:
کد PHP: etc/squid/squid.conf 
قبل از هر تغییری بهتره ازش کپی بگیریم cp -r /etc/squid/squid.conf /home/nami/Desktop

مسیر لاگ های اسکویید:
کد PHP: /var/log/squid 
دایرکتوری کش :
کد PHP: /var/spool/squid 

دستور استارت اسکویید:
کد PHP:  ردهت:                                                                                           service squid start 

کد PHP:  دبیان:                                                                                       etc/init.d/squid  start/ 
با دستور زیر می تونید وضیت اسکویید رو توی شبکه ببینید:
کد PHP:  netstat  -ntlp  |grep squid 
پورت پیش فرض اسکویید ۳۱۲۸ روی پروتکل tcp هست

قدم اول تموم شد ؛

لطفا توی این تاپیک سوال نپرسید تا انشالله مراحل رو پشت سر هم بریم جلو برای سوال به تاپیک جدید زیر مراجعه کنید:

---------- Post added at 09:38 PM ---------- Previous post was at 09:36 PM ----------

قدم دوم کانفیگ اولیه و تست:

تمامی Document ها در مسیر:
کد PHP: /usr/share/doc/squid 
تنظیم اسکویید برای اجازه دسترسی شبکه داخلی به اینترنت:
با یکی از ادیتورها مثل :vim-vi-nano,...... در محیط تکست یا gedit -knote و .... در محیط گرافیک فایل squid.conf رو باز میکنیم (برای تغییرات دسترسی رووت لازمه)

در زیر قسمت access control :
یک acl اضافه میکنیم:
کد PHP: acl  mylan  src  192.168.1.0/24 
یعنی سورس آدرس شبکه داخلی من 192.168.1.0/24
یک access role اضافه می کنیم:
کد PHP: http_access  allow  mylan 
توجه داشته باشید خطوط قبل از http_acceess deny all باید باشه
acl نویسی مثل سیسکو از بالا به پایین خونده میشه

در این مرحله با ریستارت اسکویید میتونید اون رو تست کنید:

کد PHP: service squid restart 
کد PHP:  etc/init.d/squid  restart/ 

نکته: در مراحل بعد برای اینکه تغییراتی که دادیم اعمال بشه ولی کانکشن های ما باقی بمون از:

کد PHP: service squid reload 
کد PHP:  etc/init.d/squid  reload/ 
استفاده می کنیم


برای تست از محیط cli هم می تونید از squidclient استفاده کنید به شکل:

کد PHP: squidclient  -g  5  http://www.yahoo.com 
که میبینید در 5 بار زمان خواندن سایت چقدر هست

برای دیدن پروسس squid:
ps -ef |grep -i squid

پایان قدم دوم;

لطفا توی این تاپیک سوال نپرسید تا انشالله مراحل رو پشت سر هم بریم جلو برای سوال به تاپیک جدید زیر مراجعه کنید:


---------- Post added at 09:40 PM ---------- Previous post was at 09:38 PM ----------


قدم سوم تنطیمات بیشتر:

میشه روی چند پورت listening داشت:
کد PHP: http_port 3128 8080 

کانفیگ کردن دایرکتوری کش: کد PHP: cache_dir ufs /usr/local/squid/var/cache/ 100 16 256 

ابن خط داخل squid.conf مشخص میکنه که مسیر مورد نظر با فایل سیسنم ufs هست که با گنجایش ۱۰۰ مگابایت هست عدد ۱۶ بیانگر ماکزیمم تعداد فولدر داخل دایرکتوری و ۲۵۶ مشخص کننده حداکثر ۲۵۶ فایل داخل هر فولدر هست

**نکته: میشه یه تعداد دلخواه مسیر تعریف کرد مثلا cache_dir ufs /dev/sda1/1/ 100 16 256

** نکته: ضرایب باید حفظ بشه
** نکته : بالابردن بیش از حد ظرفیت کش performance رو پایین میآره
** نکته : بهتره از یک هارد دیگه برای کشینگ استفاده بشه که سرعت بالاتری هم داشته باشه

****با دستور df میشه مقدار فضای خالی پارتیشن ها رو دید

برای جلوگیری از اتصال یک یا چند آی پی خاص به اینترنت قبل از acl mylan:
کد PHP: acl  bad_user  src  192.168.1.10/24
http_access deny  bad_user 

برای ارتباط دادن با کش سرور های دیگه داریم:
کد PHP: cache_peer cache.omid.com parent 3128 3130 default no-query 


اگه بخوایم که اگر توی کش سرور بالا پیدا نکرد سراغ اینترنت نره داریم:
کد PHP: cache_peer cache.omid.com parent 3128 3130 


برای دیدن لاگ دسترسی ها:
کد PHP: cat  /var/log/squid/access.log 

انواع ACL :

Source/Destination IP address Source/Destination Domain Regular Expression match of requested domain Words in the requested URL Words in the source or destination domain Current day/time Destination port Protocol (FTP, HTTP, SSL) Method (HTTP GET or HTTP POST) Browser type Name (according to the Ident protocol) Autonomous System (AS) number Username/Password pair SNMP Community
در مورد اولی توضیح داده بودم
کد PHP: Source/Destination Domain 
کد PHP: acl myDomain srcdomain .omid.com .squid-cache.org 
کد PHP:  acl allow myDomain 
فکر کنم نیازی به توضیح نباشه

ادامه در قدم بعدی انشالله
لطفا توی این تاپیک سوال نپرسید تا انشالله مراحل رو پشت سر هم بریم جلو برای سوال به تاپیک جدید زیر مراجعه کنید:


---------- Post added at 09:43 PM ---------- Previous post was at 09:40 PM ----------

دامه انواع access-list


Regular Expression match of requested domain
برای ***** کردن url هایی که نمی خواهیم حاوی یک یا چند کلمه باشن:
کد PHP: acl badUrl url_regex -i nami. 
i- برای اینه که چون پیش فرض case sensitive هست با این پارامتر insensitive میشه

کد PHP: acl badUrl url_regex -i .avi 
این هم که مشخصه

میشه جفتشون رو یکجا نوشت:
کد PHP: acl badUrl url_regex -i nami.*.avi 
که در آخر با این دستور ***** میشن:
کد PHP: http_access  deny  badUrl 
کد PHP:  acl  filterlist  url_regex  -i  /etc/squid/blacklist 
داخل این فایل می تونید url های مورد نظر رو بزارید


MIME type

*****ینگ میتونه بر اساس mime type باشه

کد PHP: [php]acl  mp3  reg_mime_type   "audio/mp3" 
[/PHP]
Current time/date


میشه acl رو بر اساس زمان نوشت:
کد PHP: acl name time [day-list] [start_hour:minute-end_hour:minute 

کد PHP:  S – Sunday, M – Monday,T – Tuesday, W – Wednesday, H – Thursday 
F – Friday, A – Saturday

مثلا : کد PHP: acl  saate-edari  time   ASMTW 8:00-16:00
http_access  allow saate-edari 


Destination port


پورتهای مقصد که کاربران اجازه دسترسی دارند کد PHP: acl Safe_ports port 80 21 443 563 70 210 1025-65535 
و بقیه بلاک میشن با دستور زیر :

کد PHP: http_access deny !Safe_ports 

****نکته: علامت ! یعنی به جز (کل دستور یعنی همه بسته بجز safe ports


Method


متد get برای دانلود
متد post برای آپلود
متد connect برای ssl

مثال : کد PHP: acl connect_method method CONNECT
acl SSL_PORTS port 443 563
http_access deny connect_method !SSL_PORTS 
یعنی به کانکشن های غیر ssl اجازه دسترسی نمیده


لطفا توی این تاپیک سوال نپرسید تا انشالله مراحل رو پشت سر هم بریم جلو برای سوال به تاپیک جدید زیر مراجعه کنید:













---------- Post added at 09:47 PM ---------- Previous post was at 09:43 PM ----------

باز هم ادامه انواع access-list

Browser type

میشه acl رو بر اساس browser کاربر ها نوشت که مثلا با firefox بشه با ie نشه

کد PHP: acl aclname browser MOZILLA 
***** خدایی تا کجا هارو فکر کردن ***********



Username

کد PHP: ident_lookup on
acl friends omid mohsen reza morteza
http_access allow friends
http_access deny all 
میتونید اسمهای مورد نظر رو بدید که از روی دستگاه مقصد auth میشن

***** زیاد در مورد نحوه احراز هویت این مورد اطلاعی ندارم



Autonomous System (AS) Number


Squid is often used by large ISPs. These ISPs want all of their customers to have access to their caches without having incredibly long manually-maintained ACL lists (dont forget that such long lists of IPs generally increase the CPU usage of Squid too). Large ISPs all have AS (Autonomous System) numbers which are used by other Internet routers which run the BGP (Border Gateway Protocol) routing protocol.
The whois server whois.ra.net keeps a (supposedly authoritive) list of all the IP ranges that are in each AS. Squid can query this server and get a list of all IP addresses that the ISP controls, reducing the number of rules required. The data returned is also stored in a radix tree, for more cpu-friendly retrieval.
Sometimes the whois server is updated only sporadically. This could lead to problems with new networks being denied access incorrectly. Its probably best to automate the process of adding new IP ranges to the whois server if you are going to use this function.
If your region has some sort of local whois server that handles queries in the same way, you can use the as_whois_server Squid config file option to query a different server. **** اینم برای isp دار ها خوشون ترجمه کنن زیاده



Username and Password

روشهای مختلفی برای ***** کردن یوزرها هست مثلا smb-خواندن از روی فایل و ....
من خودم از ntlm استفاده کردم برای خوندن یوزرهای AD



Using the NCSA authentication module

اینم روش جالبیه برای خوندن یوزر و پسوردها از روی یک فایل:
داخل squid.conf اضافه میکنیم: کد PHP:  authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/passwd 
فایل passwd رو در مسیر بالا میسازیم و با فرمت زیر یوزر اضافه میکنیم:
کد PHP:  nami:lKdpxbNzhlo.w 
Using the RADIUS authentication module
کد PHP:
acl external_traffic *****_auth REQUIRED
http_access allow external_traffic
auth_param basic program /usr/local/squid/libexec/squid_radius_auth  -f /usr/local/squid/etc/squid_radius_auth.conf
auth_param basic children 5
auth_param basic realm This is the realm
auth_param basic credentialsttl 45 minutes 


acl بازهم هست ولی کمتر مورد استفاده قرار میگیره و موردی هست

**** مثالهایی هم که نوشتم فقط نمونه خیلی کوچکی از نحوه syntax نوشتن اونهاست و میشه هزاران جور دیگه تغییر داد یا ترکیب کرد و اینجا فقط به سر فصل اشاره شد
.




refresh pattern
ها

مشخص میکنند که چه چیزهایی باید کش بشن و تا چه مدت و اینکار رو با خوندن هدری که در html قرار داده میشه میغهمه ولی خیلی سایتها از tag default استفاده میکنن و زیاد توی سرعت باز شدن اینگونه سایتها تاثیری حاصل نمیشه

نمونه های زیادی از refresh pattern توی اینترنت هست و با یاد***ی روش میشه دستی هم نوشت:

کد PHP:  [php]refresh_pattern [-i] regex min percent max [options] 
refresh_pattern -i .gif$ 1440 20% 10080[/PHP]

نمونه:[PHP]

کد PHP: refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i .(gif|png|jpg|jpeg|ico)$ 10080 90% 43200 override-expire ignore-no-cache ignore-no-store ignore-private
refresh_pattern -i .(iso|avi|wav|mp3|mp4|mpeg|swf|flv|x-flv)$ 43200 90%  432000 override-expire ignore-no-cache ignore-no-store ignore-private
refresh_pattern -i .(deb|rpm|exe|zip|tar|tgz|ram|rar|bin|ppt|doc|tif   f)$ 10080 90% 43200 override-expire ignore-no-cache ignore-no-store  ignore-private
refresh_pattern -i .index.(html|htm)$ 0 40% 10080
refresh_pattern -i .(html|htm|css|js)$ 1440 40% 40320
refresh_pattern . 0 40% 40320[/php 
]********مهم

داینامیک content ها رو کش نمیکنه مثلا عکسهای کوچک کد امنیتی:

کد PHP:  [php]refresh_pattern (/cgi-bin/|?) 0 0% 0 
[/PHP]پایان قدم ۵ ؛

لطفا توی این تاپیک سوال نپرسید تا انشالله مراحل رو پشت سر هم بریم جلو برای سوال به تاپیک جدید زیر مراجعه کنید:
زینب بازدید : 13 پنجشنبه 25 مهر 1398 زمان : ۱۳:۵۵ نظرات (0)

تعداد صفحات : 2

موضوعات
لینک دوستان
پیوندهی روزانه
  • آرشیو لینک ها
  • صفحات جداگانه
    آمار سیت
  • کل مطالب : 3,756
  • کل نظرات : 0
  • افراد آنلین : 15
  • تعداد اعضا : 0
  • بازدید امروز : 1,939
  • باردید دیروز : 5,608
  • بازدید هفته : 13,158
  • بازدید ماه : 109,558
  • بازدید سال : 702,400
  • بازدید کلی : 2,087,623