Принцип данной реализации следующий. Весь сетевой софт на компе (ну или не весь) форвардится на назначенный порт (вашего локалхоста), на котором висит сервис, соединенный по SSH с сервером (а как мы знаем, соединение по SSH протоколу шифруется) и туннелирующий все запросы; далее, весь ваш трафик (уже не в зашифрованном виде) может форвардится с нашего сервера на прокси (поддерживающий туннерирование) или сокс, который передают весь трафик к необходимым адресам. Наличие прокси или сокса не обязательно, но если нам нужна полнейшая конспирация, то мы можем организовать данный сервис (proxy/socks) на другом сервере (данная схема нужна для создания цепочки адресов), но об этом позже.

Теперь давайте разберемся с минимальным набором инструментов и сервисов необходимых для организации данного процесса. В первую очередь нам нужна программа для организации туннеля по SSH-протоколу. Для этой задачи мы можем применить VanDyke Entunnel (http://www.vandyke.com/products/entunnel/) или Putty (http://www.web-hack.ru/download/info.php?go=35) (вкладка Connection\SSH\Tunnels). В наших примерах я буду использовать оба клиента. Далее мы можем вручную прописывать в каждой программе работу через прокси или использовать специализированную программу для перенаправления запросов, такую как ProxyCap (http://proxylabs.netwu.com), SocksCap (http://www.socks.nec.com), FreeCap (http://www.freecap.ru) и т.п. В нашем примере будет использоваться ProxyCap, как наиболее удобная софтина (кстати, через ProxyCap мы сможем сделать туннерирование даже WebMoney, которая известна защитой от такого вида софта, для скрытия IP). Так же нам понадобится SSH-аккаунт (на сервере желательно расположенном за пределами вашей страны =), который можно без проблем достать (например, я покупаю VPS-хостинг для этого) и socks`ы.

Первым делом создаем SSH-аккаунт. Далее, я предлагаю вам использовать socks-сервер, а не proxy, т.к. не все прокси поддерживают туннелирование. Также может оказаться, что сегодня прокси анонимный, а завтра уже и не нет (если, конечно, не вы сами отвечаете за него). Кстати, проверить свою анонимность можно здесь (http://ip.xss.ru). Как я уж говорил, мы можем использовать сокс на удаленной машине (для большей безопасности). Для примера я покажу, как установить сокс-демон. Наиболее популярные и продвинутые демоны под никсы это socks5 от Permeo/NEC (http://freeware.sgi.com/source/socks5/), Dante (http://www.inet.no/dante/) и отечественный продукт 3proxy (http://www.security.nnov.ru/soft/3proxy/). Для примера я выбрал классический демон на FreeBSD – socks5.

Для тестирования использовалась FreeBSD 5-ой ветки. Я устанавливал socks5 из портов (/usr/ports/net/socks5/), но и из сорцов под фряхой тоже все хорошо собирается и ставится:

cd /usr/ports/net/socks5/
make install clean
rehash

Для нормальной работы демона необходим конфиг к демону socks5.conf и файл паролей socks5.passwd (если необходима аутификация к сокс-серверу по паролю):

touch /usr/local/etc/socks5.conf
touch /usr/local/etc/socks5.passwd

Далее добавляем в конфиг следующие строчки:

auth - - u
permit u - - - - -
SET SOCKS5_BINDINTFC 1.2.3.4:8080
SET SOCKS5_CONFFILE /usr/local/etc/socks5.conf
SET SOCKS5_PWDFILE /usr/local/etc/socks5.passwd
SET SOCKS5_MAXCHILD 128
SET SOCKS5_NOIDENT
SET SOCKS5_NOREVERSEMAP
SET SOCKS5_NOSERVICENAME
SET SOCKS5_V4SUPPORT
SET SOCKS5_ENCRYPT
SET SOCKS5_FORCE_ENCRYPT
SET SOCKS5_UDPPORTRANGE 1023-5000

Первые две строчки указывают, что необходима аутификация по логин/пароль. SOCKS5_BINDINTFC указывает на какой IP (если у сервера несколько алиасов) и порт повесить демон. SOCKS5_MAXCHILD по умолчанию 64, я советую увеличить до 128, чтобы всем юзерам (если их много) хватило потоков. Далее, идут строчки для ускорения работы демона. SOCKS5_V4SUPPORT – поддержка 4-ой версии протокола. SOCKS5_ENCRYPT и SOCKS5_FORCE_ENCRYPT поддержка шифрования, если клиент это поддерживает. За более подробной информацией по установка обращайтесь к файлам README и INSTALL, а за информацией по настройке к манам socks5(1) и socks5.conf(5).

Далее, заполняем файл паролей. Он имеет обычный текстовый формат и login/password разделяются в нем пробелами:

user password
root toor

Теперь можно запускать демон и приступить к настройке клиентского софта:

/usr/local/bin/socks5

Запускам ProxyCap (http://forum.web-hack.ru/index.php?showtopic=29262), кликаем правой кнопкой мыши на значке в трее, Preferences. На вкладке “Proxies” вписываем 127.0.0.1:8080 и устанавливаем в “Require Authorization” наш login/password на сокс. На вкладке “Rules” добавляем сначала правило для Entunnel, указав в “Rule Type” – Force direct connetion. Далее, создаем правило, для всего остального софта, трафик от которого будет шифроваться и туннелироваться через сокс. В правиле указываем “All Programs”, “Tunnel through proxy” и в выпадающем меню наш сокс. Так же можно создать правило не для всего софта, а только выборочный софт пускать через туннель или наоборот, создать правило для всего софта, но для некоторого софта сделать прямой доступ в инет (Force direct connetion). В качестве дополнения могу сказать, что если ваша сетевая программа поддерживает работу через сокс/прокси (и нет необходимости пускать сразу весь сетевой софт через туннель), то в качестве настроек прокси вы можете указать забинденный Entunnel`ем адрес и порт – 127.0.0.1:8080.

Запускаем Entunnel и создаем в нем новое соединение по SSH. Далее, в свойствах соединения (Port Forwarding) добавляем наш сокс. В категории “Local” вписываем 127.0.0.1:8080, а в категории “Remote” вписываем IP и порт нашего сокс-сервера. Настройка закончена! Если что-то не работает, то еще раз перечитайте все пункты настройки.

В случае, если вы хотите использовать SSH-аккаунт, как конечную точку (т.е. не юзать соксы или прокси), то ваши настройки должны быть следующие (на примере для Putty): на вкладке Connection\SSH\Tunnels в строке “Source port” указываем порт, на который Putty забиндится на локалхосте (например, 8080), далее ставим влажок на “Dynamic” и идем на вкладку “Session” прописывать адрес и порт сервера с SSH. Коннектимся…

Какие плюсы данной системы:

1. Для организации данной схемы не нужно устанавливать серверный софт (т.к. SSH-аккаунт и сокс можно без проблем достать в инете);
2. Т.к. при SSH-соединении трафик шифруется и сжимается, то мы получаем небольшой прирост скорости работы в инете (это верно, когда сокс-демон находится на том же сервере);
3. В случае, когда сокс-сервер находится на другом хосте, то мы получаем дополнительную цепочку серверов, которые повышают нам безопасность и анонимность;

Cредства; 1, Достаточно мощный компьютер: – процессор+оперативная память+обьёмный винчестер+сетевая карта = должны быть хорошими по характеристикам и достаточно современными, 2, Постоянное соединение с быстрым интернетом, 3. Зарегестрированное имя домена и наличие DNS (Domain Name Server). на котором этот домен припаркован,

Начали: Грузим OS http://www.ubuntu.com/getubuntu/download Здесь надо выбрать OS соответствующую архитектуре железа: x86 или AMD64. Я буду писать для AMD64, что впрочем подходит с небольшими изменениями и для x86 После того, как файл загрузился, надо записать его в том же формате т.е. .iso, чтобы с него можено было запускать компьютер.

Надеюсь всё прошло хорошо и сомпьютер запустился с СДишки. Предупреждаю, компьютер должен быть отведен специально для цели служить СЕРВЕРОМ. Т.е. всё, что было в нём прежде, будет утрачено !!!

Ubuntu установить очень просто, достаточно выбрать язык установки и следовать указаниям. Важно сделать правильную разметку диска. Для root или “/” достаточно 8 ГБ , swap расчитывается по формуле active RAM x 2. т.е. если общий размер оперативной памяти составляет 1 ГБ, то swap должен быть не меньше 2 ГБ. Остальное пространство отдадим /home. Там будет сидеть всё хозяйство сервера.

После того как система задышала и ты в неё вошёл первым делом добавь терминал на панель. Ну и понеслись: (Я буду писать коды для терминала, тебе надо их скопировать, вставить и нажать “enter”. Свои пояснения я буду отделять запятыми, скобками или кавычками, чтобы программа их не распознала, даже если ты их по ошибке и введешь)

sudo apt-get update

sudo apt-get upgrade

(процесс получения обновлений, надо будет ввести пароль)

sudo aptitude install mysql-server

(ждём пока установится)

sudo mysql_secure_installation

(на все вопросы – yes и устанавливаем пароль, очень важно его не забыть и сделать достаточно сложныи)

(Установим дополнительные библиотеки)

sudo aptitude install build-essential libtool libltdl3-dev libgd-dev libmcrypt-dev libxml2-dev libmysqlclient15-dev flex m4 awk automake autoconf bison make libbz2-dev libpcre3-dev libssl-dev zlib1g-dev vim re2c libjpeg-dev libpng-dev

(Мы будем собирать PHP с PHP-FPM заплаткой из источника.)

cd /usr/local/src

wget http://us.php.net/get/php-5.2.10.tar.gz/from/ru.php.net/mirror

tar xzvf php-5..10.tar.gz

wget php-fpm.org/downloads/php-5.2.10-fpm-0.5.13.diff.gz

gzip -cd php-5.2.10-fpm-0.5.13.diff.gz | patch -d php-5.2.10 -p1

cd php-5.2.10

./configure –enable-fastcgi –enable-fpm –enable-exif –with-mcrypt –with-zlib –enable-mbstring –with-openssl –with-mysql –with-mysql-sock –with-gd –with-gettext –with-jpeg-dir=/usr/lib –enable-gd-native-ttf –without-sqlite –disable-pdo –disable-reflection –with-libdir=lib64 –with-pgsql=/usr/lib/pgsql –with-mysql=/usr/lib64/mysql

(Если сборка будет жаловаться, что не хватает чего то, то можно будет найти и установить недостающее через Synaptic)

make all install

strip /usr/local/bin/php-cgi

( Теперь отрегулируем PHP-FPM, о котором хочу сказать особо. Php-fpm – это продукт напряжённого бескорыстного труда нашего соотечественника Андрея Нигматулина, И этим продуктом, как и NGINXом от Игоря Сысоева, уже пользуются миллионы админов по всему миру, несмотря на то, что мало кто из из них говорит и понимает по русски и что отсутствует подробная документация. Золото видно издалека …. И цена его понятна на любых языкахMoney mouth )

sudo gedit /usr/local/etc/php-fpm.conf

(линия 63 убрать стрелки и тире перед и за кодом и поменять nobody на)

www-data

( то же самое для линии 66)

www-data

(Устанавливаем NGINX web server)

cd /usr/local/src

wget sysoev.ru/nginx/nginx-0.7.61.tar.gz

tar xzvf nginx-0.7.61.tar.gz

cd nginx-0.7.61

(нам не нужны почтовые функции NGINX потому, что мы будем использовать внешний почтовый агент чтобы не нагружать сервер)

./configure –sbin-path=/usr/local/sbin –with-http_ssl_module –without-mail_pop3_module –without-mail_imap_module –without-mail_smtp_module

make

make install

(настроим NGINX)

sudo gedit /usr/local/nginx/conf/nginx.conf

(см. прикрерплённый файл)

http://vkimo.org/files/nginx.txt

(Обрати внимание на “root /home/TVOI FOLDER/$host;” – здесь надо указать путь к папке, где будет сидеть всё содержание сайта. “$host” это абсолютное значение, которое вытащит и опубликует любой сайт если он зарегестрирован, находится на работающем домайн найм сервере и сидит в отдельной папке в твоей домашней папке “TVOI FOLDER” под названием твоего сайта т.е. “moisite.com”. А также на “server_name ” Символ ” _ ” – это Изумительное по простоте и удобству решение автора NGINX Игоря Сысоева http://sysoev.ru/nginx/ способа адресовать виртуальные хосты. Apache и даже Lighttpd здесь отдыхают плотно.

Теперь создадим место для содержимого нашего вебсайта и изменим соответственно /home/TVOI FOLDER/$host

sudo mkdir /home/www

sudo mkdir /home/www/точное название твоего сайта (мойсайт.ru)

sudo chmod -R tvoeimya:tvoeimya /home/www/moisite.ru (tvoeimya надо поменять на имя пользователя, под которым ты работаешь в своём сервере, Это даст тебе возможность управлять содержимым папки сайта без необходимости входить в сервер под привелегированным пользователем – root.

(Создадим также два файла внутри папки сайта)

gedit /home/www/moi site.ru/index.html

(вставить в пустой файл что-нибудь вроде – Это мой первый сайт !!! )

gedit /home/www/moisite.ru/info.php

(Вставить этот код в пустой файл сохранить и закрыть)

phpinfo();
?>

Продолжаем: надо отрегулировать fastcgi_params)

sudo gedit /usr/local/nginx/conf/fastcgi_params

(и в самый верх добавляем)

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

(а также выключаем, ставим “#” перед #fastcgi_param REDIRECT_STATUS 200; примочку для арача потому что мы его здесь не имеем )

(Полируем PHP код)

sudo gedit /usr/local/lib/php.ini

(вставить это в пустой файл)

_________________________________________________________________________________________

magic_quotes_gpc=0
[xcache-common]
#zend_extension = /usr/local/lib/php/extensions/no-debug-non-zts-20060613/xcache.so
[xcache]
#xcache.shm_scheme = “mmap”
#xcache.size = 64M
default_charset = “utf-8″
[memcache]
#extension = memcache.so
#memcache.hash_strategy=”consistent”
[memcache]
[suhosin]
#extension = suhosin.so
#extension = apc.so
#apc.shm_size = 48
[suhosin]
; For Unix only. You may supply arguments as well (default: “sendmail -t -i”).
sendmail_path = /usr/sbin/sendmail -i -t
upload_max_filesize=8M
[eaccelerator]
#zend_extension=”/usr/local/lib/php/extensions/no-debug-non-zts-20060613/eaccelerator.so”
#eaccelerator.shm_size=”16″
#eaccelerator.cache_dir=”/tmp/eaccelerator”
#eaccelerator.enable=”1″
#eaccelerator.optimizer=”1″
#eaccelerator.check_mtime=”1″
#eaccelerator.debug=”0″
#eaccelerator.filter=”"
#eaccelerator.shm_max=”0″
#eaccelerator.shm_ttl=”0″
#eaccelerator.shm_prune_period=”0″
#eaccelerator.shm_only=”0″
#eaccelerator.compress=”1″
#eaccelerator.compress_level=”9″
[eaccelerator]

_________________________________________________________________________________________

(Как видно, большинство примочек выключено. Это на потом, потому что ни одна из тех примочек ещё у тебя не установлена. Мы это сделаем позже)

(Надо попробовать стартануть php-fpm)

php-fpm start

(Теперь NGINX)

nginx

(Если ошибок нет – будь горд собой !!!)

(Надо теперь сделать так чтобы оба сервиса запускались автоматически вместе с запуском сервера)

cd /etc/init.d/

ln -s /usr/local/sbin/php-fpm php-fpm

/usr/sbin/update-rc.d -f php-fpm defaults

(Это было просто для php-fpm, немного сложнее для NGINX)

sudo kill `cat /usr/local/nginx/logs/nginx.pid`
sudo gedit /etc/init.d/nginx
(и вставить этот код в пустой файл)

_________________________________________________________________________________________

### BEGIN INIT INFO
# Provides: nginx
# Required-Start: $all
# Required-Stop: $all
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: starts the nginx web server
# Description: starts nginx using start-stop-daemon
### END INIT INFO

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
DAEMON=/usr/local/sbin/nginx
NAME=nginx
DESC=nginx

test -x $DAEMON || exit 0

# Include nginx defaults if available
if [ -f /etc/default/nginx ] ; then
. /etc/default/nginx
fi

set -e

case “$1″ in
start)
echo -n “Starting $DESC: ”
start-stop-daemon –start –quiet –pidfile /usr/local/nginx/logs/nginx.pid \
–exec $DAEMON — $DAEMON_OPTS
echo “$NAME.”
;;
stop)
echo -n “Stopping $DESC: ”
start-stop-daemon –stop –quiet –pidfile /usr/local/nginx/logs/nginx.pid \
–exec $DAEMON
echo “$NAME.”
;;
restart|force-reload)
echo -n “Restarting $DESC: ”
start-stop-daemon –stop –quiet –pidfile \
/usr/local/nginx/logs/nginx.pid –exec $DAEMON
sleep 1
start-stop-daemon –start –quiet –pidfile \
/usr/local/nginx/logs/nginx.pid –exec $DAEMON — $DAEMON_OPTS
echo “$NAME.”
;;
reload)
echo -n “Reloading $DESC configuration: ”
start-stop-daemon –stop –signal HUP –quiet –pidfile /usr/local/nginx/logs/nginx.pid \
–exec $DAEMON
echo “$NAME.”
;;
*)
N=/etc/init.d/$NAME
echo “Usage: $N {start|stop|restart|force-reload}” >&2
exit 1
;;
esac
exit 0

_________________________________________________________________________________________

(разумеется его надо сохранить, закрыть и сделать исполняемым)

sudo chmod +x /etc/init.d/nginx
sudo /usr/sbin/update-rc.d -f nginx defaults

(Увидишь примерно такой выход):

Adding system startup for /etc/init.d/nginx …
/etc/rc0.d/K20nginx -> ../init.d/nginx
/etc/rc1.d/K20nginx -> ../init.d/nginx
/etc/rc6.d/K20nginx -> ../init.d/nginx
/etc/rc2.d/S20nginx -> ../init.d/nginx
/etc/rc3.d/S20nginx -> ../init.d/nginx
/etc/rc4.d/S20nginx -> ../init.d/nginx
/etc/rc5.d/S20nginx -> ../init.d/nginx

(Последнее в этом уроке:

Если мы ожидаем хорошее движение на сайте, то необходимо создать файл для logrotate, который автоматически будет сжимать и удалять старые файлы и давать нам возможность контролировать кто бывал на нашем сайте)
sudo gedit /etc/logrotate.d/nginx

(вставить это в пустой файл и сохранить)

_________________________________________________________________________________________

/usr/local/nginx/logs/*.log {
daily
missingok
rotate 9
compress
delaycompress
notifempty
postrotate
kill -USR1 `cat /usr/local/nginx/logs/nginx.pid`
endscript
}

1) создаем открытый и закрытый ключ нашей локальной системы
$ ssh-keygen -t rsa
жмем энтер отказываясь от ключевой фразы

2) если в системе есть программа ssh-copy-id, то настраиваем удаленную систему на то, что бы оно авторизировало ssh по открытому ключу
$ ssh-copy-id -i ~/.ssh/id_rsa user@remote.org.ua
переходим к шагу 4)

3) если ssh-copy-id нет то можно сделать это ручками. вот последовательность действий с объяснениями

3.1) копируем открытый ключ на удаленную систему
$ scp ~/.ssh/id_rsa.pub user@remote.org.ua:~ незабываем ввести пароль. ведь мы еще не настроили беспарольный вход Ж:-)

3.2) логинимся на удаленный сервер
$ ssh user@remoute.org.ua

3.3) заносим открытый ключ нашей локальный системы в авторизированые ключи удаленной системы, устанавливаем правильные права и убираем за собой мусор:
remote$ [ -d ~/.ssh ] || (mkdir ~/.ssh; chmod 711 ~/.ssh) # создадим ~/.ssh директорию если ее нет и дадим нужные права
remote$ cat ~/id_rsa.pub >> ~/.ssh/authorized_keys # добавляем открытый ключ к авторизированым ключам
remote$ chmod 600 ~/.ssh/authorized_keys # и делаем правильные права(иначе ssh откажется брать отсюда ключи)
remote$ rm ~/id_rsa.pub # удаляем ненужное

4) проверяем что все работает. запускаем на локальном хосту
$ ssh user@remoute.org.ua
или например
$ scp .zshrc user@remoute.org.ua:~
должно сработать без пароля.

ls -R -l | wc -l

Возвращает объём папки(со вложеностями):

du -sh

Выводит максимальное разрешение текстур (wallpapper, skydom и тд) поддерживаемое системой:

xvinfo | grep max

Высчитывает количество строк в файлах по маске (параметр “*.php”) в текущей и во вложеных директориях:

find . -name "*.php" -type f -print0 | xargs -0 wc -l

Генерирует произвольный пароль в 16 (параметр -c16) символов:

/dev/urandom tr -dc A-Za-z0-9_ | head -c16 ; echo

Разбивает файл bigfile на файлы не превышающие 700 мегабайт (параметр 700m), называя новые файлы BIG_aa, BIG_ab, … (общая маска задаётся последним параметром):

split -b 700m bigfile BIG_

Выводит список популярных на машине команд с количеством вызовов:

history|awk '{a[$2]++ } END{for(i in a){print a[ i ] " " i}}'|sort -rn|head

 $ rm -rf `find /folder_name/ -name *patern*` 

Пример:

 $ rm -rf `find . -name .svn` 

Удалит все папки .svn из текущей и всех вложенных дерикторий.

В данной статье мы будем рассматривать настройку Nat на примере раздачи интернета в локальную сеть.

Итак, у нас есть сервер под управлением FreeBSD, подключенный к сети провайдера («внешняя сеть»).
Также имеется один или несколько компьютеров («внутренняя сеть»), которым нужно дать доступ к ресурсам сети интернет.
Подключить компьютеры внутренней сети напрямую к внешней нельзя, так как у нас есть всего 1 IP-Адрес во внешней сети, который выдан нашему серверу.
Выходом из ситуации будет соединение сетей через сервер (в данной ситуации всётаки «роутер» будет более правильно) при помощи технологии NAT
Предположим что сеть провайдера имеет диапазон 123.123.123.0/24, а IP который выдал нам провайдер 123.123.123.111.
Внутренняя сеть же имеет диапазон 192.168.10.0/24 и IP нашего роутера в ней 192.168.0.1
Диапазон IP адресов во внутренней сети может быть любой, однако необходимо чтобы он не пересекался с диапазонами ни в одной внешней сети.

Рекомендуется придерживаться зарезервированных для локальных сетей диапазонов, которые не используются в интернете, а именно:
10.0.0.0 — 10.255.255.255
172.16.0.0 — 172.31.255.255
192.168.0.0 — 192.168.255.255

Итак в итоге мы имеем:

Внешняя сеть(сеть интернет):
Интерфейс: rl0
IP: 123.123.123.111
Маска под сети: 255.255.255.0
Шлюз: 123.123.123.1

Внутренняя сеть(локальная сеть):
Интерфейс: rl1
IP: 192.16.0.1
Маска под сети: 255.255.255.0

Настройка сервера

Непосредственно за преобразование адресов (NAT) отвечает демон NATD.
Сам по себе он не может обрабатывать пакеты. Для обработки пакет должен быть передан ему фаерволлом.
В данной статье мы используем фаерволл ipfw.
Настройка сводится к нескольким шагам, некоторые вы возможно пропустите, если система уже имеет подходящие настройки:

1. Сборка ядра

Для получения возможности использовать NAT и Фаерволла, нам потребуется собрать новое ядро с дополнительными опциями:

options IPFIREWALL
options IPDIVERT

Более подробно о сборке ядра можно почитать в соответствующей главе Руководства по FreeBSD

Первая опция включает фаерволл ipfw, а вторая — возможность передавать пакеты на обработку приложениям.

Если вы раньше никогда не собирали своё ядро, то не расстраивайтесь, здесь всё просто.
Переходим в папку с файлами где хранится не скомпилированое ядро, создаём свою собственную конфигурацию ядра и добавляем в него строчки опций которые Вам необходимы
После чего остаётся только скомпилировать и установить новое ядро.

Для компиляции нового ядра выполните следующие действия:

cd /usr/src/sys/i386/conf
cp GENERIC MYKERNEL
ee MYKERNEL

Изменяем строку

ident GENERIC

на

ident MYKERNEL

после чего добавляем строки

options IPFIREWALL
options IPDIVERT

и сохраняем.

Конфигурация ядра готова. Теперь осталось ее скомпилировать и установить новое ядро:

cd /usr/src
make buildkernel KERNCONF=MYKERNEL
make installkernel KERNCONF=NATKERNEL

2. Настройка фаерволла

Если вы ранее использовали фаерволл ipfw, то необходимо добавить к нему следующее правило:

divert natd ip any to any via rl0

Означает оно следующее: передавать все ip пакеты на обработку внешней программе, «висящей» на стандартном порту natd (8668).

Если же фаерволл у вас не настроен, то мы его сейчас настроим
Создаём файл /etc/firewall.conf и пишем в нём следующие строки:

fw="/sbin/ipfw -q"

${fw} -f flush
${fw} add divert natd ip any to any via rl0
${fw} add 65534 allow ip any to any

После чего сохраняем файл.
Теперь необходимо поставить права на выполнение данного файла.

chmod 700 /etc/firewall.conf

3. Настройка параметров авто запуска сети, фаерволла и natd

Сейчас нам необходимо внести некоторые изменения в файл /etc/rc.conf для обеспечения автоматической настойки сети, фаерволла и запуска NAT‘а при загрузке системы.

Сеть:

ifconfig_rl0="inet 123.123.123.111 netmask 255.255.255.0"
ifconfig_rl1="inet 192.168.0.1 netmask 255.255.255.0"
defaultrouter="123.123.123.1"

Фаерволл:

firewall_enable="YES"
firewall_script="/etc/firewall.conf"

NAT:

gateway_enable="YES"
natd_enable="YES"
natd_interface="rl0"

Если Вы хотите перенаправить какой-то определенный порт на определенный компьютер в сети то необходимо отредактировать(создать) файл /etc/natd.conf и прописать в нем:

 redirect_port tcp 192.168.0.2:3389 3389

Данная строчка означает что все входящие соединения на внешний порт 3389 будут перенаправлены на 192.168.10.2:3389

Также желательно добавить следующую строку в /etc/sysctl.conf

net.inet.ip.forwarding=1

Это аналогия gateway_enable=”YES”

На этом базовая настройка сервера закончена.
После перезагрузки NAT должен заработать.
Если этого не произошло, то проверьте правильно ли вы всё сделали.

IP address : 192.168.10.14, 192.168.10.15
Mask : 255.255.255.0
Gateway : 192.168.10.1
DNS : 192.168.10.3
DNS : 192.168.10.2

Итак приступим:
Для операционной системы FreeBSD:
В конфигурационный файл /etc/rc.conf добавляем:

# Основной адрес
ifconfig_rl0="inet 192.168.10.14 netmask 255.255.255.0"
# Основной Шлюз
defaultrouter="192.168.10.1"
# Алиас
ifconfig_rl0_alias0="inet 192.168.10.15 netmask 255.255.255.0"

rl0 — название сетевого интерфейса который настраиваемого мы настраиваем.

После того как Вы сохранили файл нужно перезагрузить сеть выполнив команду

/etc/rc.d/netif restart

Для операционной системы OpenBSD

В конфигурационный файл /etc/hostname.fxp0 добавляем:

# Основной адрес:
inet 192.168.192.14 255.255.255.0

# Алиас
inet alias 192.168.192.15 255.255.255.255

А в конфигурационный файл /etc/mygate просто добавляем:

192.168.192.1

fxp0 — название настраиваемого сетевого интерфейса

После чего нужно перезагрузить сеть выполнив команду

sh /etc/netstart

Для операционной системы Gentoo

В конфигурационный файл /etc/conf.d/net добавляем:

# Основной адрес:
config_eth0=( "192.168.10.14 netmask 255.255.255.0" )

routes_eth0=( "default gw 192.168.10.1" )

Для добавления алиаса приводим описание настроек интерфейса к следующему виду:

config_eth0=(
"192.168.10.14/24"
"192.168.10.15/24"
)

eth0 — название настраиваемого сетевого интерфейса

После чего нужно перезагрузить сеть выполнив команду

/etc/init.d/net.eth0 restart

Для операционной системы Debian/Ubuntu

В конфигурационный файл /etc/network/interfaces добавляем:

# Основной адрес:
auto eth0
iface eth0 inet static
address 192.168.192.14
network 192.168.192.0
netmask 255.255.255.0
broadcast 192.168.192.255
gateway 192.168.192.1

# Алиас
auto eth0:1
iface eth0:1 inet static
address 192.168.192.15
network 192.168.192.0
netmask 255.255.255.0
broadcast 192.168.192.255
gateway 192.168.192.1

eth0— название настраиваемого сетевого интерфейса.

После чего нужно перезагрузить сеть:

/etc/init.d/networking restart

Для операционных систем Fedora Core/Red Hat Enterprise Linux (RHEL)/Cent OS/Alt Linux

В конфигурационный файл /etc/sysconfig/network-scripts/ifcfg-eth0 добавляем:

# Основной адрес:
DEVICE=eth0
BOOTPROTO=static
IPADDR=192.168.10.14
NETMASK=255.255.255.0
NETWORK=192.168.10.0
BROADCAST=192.168.10.255
ONBOOT=yes

А в конфигурационный файл /etc/sysconfig/network добавляем

# Наш Шлюз
GATEWAY=192.168.192.1

Для добавления алиаса требуется создать файл /etc/sysconfig/network-scripts/ifcfg-eth0:1 с таким содержимым:

DEVICE=eth0:1
BOOTPROTO=static
IPADDR=192.168.10.15
NETMASK=255.255.255.0
NETWORK=192.168.10.0
BROADCAST=192.168.10.255
ONBOOT=yes

eth0 — название настраиваемого сетевого интерфейса

После чего нужно перезагрузить сеть выполнив команду

/etc/rc.d/init.d/network restart

Крайне не рекомендуется выполнять данную команду если Вы работаете через удаленное подключение SSH

Просмотреть какие сетевые интерфейсы используются в системе Вы можете при помощи команды ifconfig

Для настройки DNS для всех операционных систем семейства Unix необходимо в конфигурационный файл /etc/resolv.conf добавить следующее:

nameserver 192.168.10.7
nameserver 192.168.10.2

autoconf-2.62.texi:1723: Unknown command `'.
autoconf-2.62.texi:3353: Unknown command `’.

По этой ссылке указано, что надо с этим делать. В общем, надо всего-то добавить пару строк в Makefile и чуть-чуть изменить последнюю строку, и всё соберётся без проблем.

UPDATE: получившийся у меня Makefile

UPDATE2: in case you don’t speak Russian, please, read this the full version of this post.

If you have ‘old’ version of FreeBSD (4-5) and experiencing problems with texinfo while updating autoconf, you should read this link. It tells what you should add to Makefile in order to update autoconf. As a result, this Makefile worked for me.

Это можно сделать в crontab следующим образом

0 23 * * 6 [`date "+%d"` -lt 8] && /path/to/script

Это запустит скрипт в первую субботу месяца в 23:00.

Логически файловая система FreeBSD (как и любой Unix-системы) организована по древовидному принципу: в основании ее лежит корень (корневой каталог, обозначаемый символом / и именуемый также root-каталогом; последнее не должно путать с каталогом /root, который выполняет роль домашнего для суперпользователя). От корневого каталога, который можно уподобить скорее стволу дерева, отходят ветви — вложенные в него подкаталоги, и побеги — обычные файлы. Последних, правда, немного: в версиях FreeBSD 5-й ветки это пара профильных файлов — /.cshrc и /.profile, на самом деле дублирующие профильные файлы суперпользователя (в каталоге /root), некий энтропийный (/entropy) файл и файл с описанием авторских прав на систему /COPYRIGHT.

А вот подкаталогов в корневом каталоге довольно много, и некоторые из них устроены внутри весьма сложно, содержа в себе изрядное количество вложенных подкаталогов более глубоких уровней.

В принципе иерархия каталогов во всех Unix-системах похожа, поскольку регламентируется, во-первых, многолетней традицией, во-вторых — всякого рода стандартизирующими документами, в частности, FHS (Filesystem Hierarchy Standard), который ныне доступен в русском переводе.

Стандарт FHS был разработан первоначально для упорядочивания структуры каталогов в многочисленных дистрибутивах Linux. И лишь позднее он был приспособлен для других Unix-подобных систем (в том числе и BSD-клана). Однако именно иерархия каталогов FreeBSD может послужить примером для образцового следования духу FHS. А буквально штучные отступления в ней от его буквы всегда функционально обусловлены.

Стандарт FHS покоится на двух основополагающих принципах — четком отделении в файловой иерархии каталогов разделяемых и неразделяемых, с одной стороны, и неизменяемых и изменяемых — с другой.

Противопоставление разделяемых и неразделяемых каталогов обусловлено изначально сетевой природой Unix вообще и FreeBSD в частности. То есть данные, относящиеся к локальной машине (например, файлы конфигурирования ее устройств) должны лежать в каталогах, отдельных от тех, данные которых доступны с других машин в сети, локальной или глобальной (примером чему являются не только пользовательские данные, но и программы).

Суть противопоставления неизменяемых и изменяемых каталогов легко пояснить на примере. Так, те же пользовательские программы по природе своей должны быть неизменяемыми (вернее, доступными для модификации только администратору системы, но не самому пользователю, применяющему их в своей работе). В то же время эти программы при своей работе генерируют не только файлы данных, скажем, тексты или изображения (изменяемая их природа ясна без комментариев), но всякого рода служебную информацию, типа log-файлов, временных файлов и тому подобного). Каковая и должна группироваться в каталогах, отделенных от собственно исполнимых файлов программ, необходимых для их запуска библиотек, конфигурационных файлов и т.д.

Четкое следовании концепции отчленения разделяемых и неразделяемых, неизменяемых и неизменяемых каталогов друг от друга позволяет, в рамках единой древовидной файловой иерархии, обособить отдельные ее ветви физически — то есть в виде самостоятельных файловых систем, размещенных на изолированных устройствах (дисках, дисковых слайсах, партициях; в общем случае — и на удаленных, связанных по сети, носителях, но об этом не будет сейчас разговора). Резонов к тому много — и повышение быстродействия, и увеличение надежности, и просто соображения удобства, — но и о них сейчас речь не пойдет. Потому что сейчас для нас важно только то, что эти ветви файлового древа должны быть инкорпорированы в общую файловую систему.

В предыдущей заметке говорилось, что всякий файл (в том числе и каталог) опознается системой не по ее имени, а по уникальному идентификатору его записи в таблице inodes. Существуют средства для того, чтобы эти файловые идентификаторы просмотреть. Одно из них — команда ls с опцией i, которая выведет идентификаторы каждого именованного файла. Данная для корневого каталога -
$ ls -i

она покажет нам несколько неожиданную картину (для упрощения из вывода исключены сведения об обычных файлах и символических ссылках в корне, а оставшиеся каталоги отсортированы по их идентификаторам)
2 ../
2 ./
2 dev/
2 home/
2 tmp/
2 usr/
2 var/
3 cdrom/
4 mnt/
5 root/
8257 dist/
8258 bin/
8294 proc/
8295 sbin/
16512 stand/
24768 etc/
24776 boot/

Из этого примера (относящегося к файловой системе машины, на которой эти строки пишутся) видно, что аж 7 каталогов имеют одинаковые цифровые идентификаторы, равные 2. Спрашивается, какая же здесь уникальность?

С первыми двумя элементами списка разобраться легко: ./ представляет собой обозначение текущего каталога (в данном случае корневого), а ../ — каталога, родительского по отношению к текущему; а поскольку выше корня в файловой иерархии по определению ничего нет, то он обозначает самого себя. Так что неудивительно, что ./ и ../ имеют один и тот же идентификатор — это разные обозначения (жесткие ссылки, или, иначе, дублирующие имена) для одного и того же, корневого, каталога.

А вот то же, как кажется на первый взгляд, значение идентификатора для каталогов /dev, /home, /tmp, /usr, /var требует объяснения. Однако оно — простое: все это каталоги, в которые смонтированы самостоятельные файловые системы, либо расположенные на отдельных устройствах — дисковых партициях, как каталоги /home, /usr, /var, либо виртуальные файловые системы, не надстраивающие какое-либо реальное дисковой устройство (каталог /dev с файловой системой устройств и, в данном случае, каталог /tmp, в который смонтирована файловая система в оперативной памяти, разговор о которой еще предстоит). А поскольку таблица inodes — своя для каждой файловой системы, нет ничего удивительного в том, что корень каждой из них идентифицируется числом 2 — нумерация inodes в них идет в собственной системе отсчета.

Так вот, монтирование — это и есть включение файловой с системы в какой-либо из существующих в корневой системе каталог (не обязательно непосредственно в корне, он может быть любой степени вложенности, что проиллюстрируется чуть ниже). Без этого каталоги и файлы такой монтируемой системы просто недоступны. Это важно понимать, когда сталкиваешься выражениями вроде «создать файловую систему /usr». Из сказанного выше очевидно, что создается-то (командой newfs) просто некая абстрактная файловая система, а свое «имя» она обретает только в момент монтирования в указанный каталог.

Интересно, что и идентификатор каталога для монтирования (он еще именуется точкой монтирования, mount point) обретается только в момент монтирования. Чтобы убедиться в этом, проведем простой эксперимент. В каталоге /mnt, предназначенном специально для монтирования временно подключаемых файловых систем) можно увидеть три подкаталога — /mnt/disk, mnt/iso, /mnt/usb (это в моей системе, я их создал для собственного удобства; изначально каталог /mnt во FreeBSD пуст). При старте системы в них ничего не монтируется, и обычное их состояние — быть пустыми. Если просмотреть их идентификаторы, то можно видеть нечто вроде такого:
$  ls -i1 /mnt                                                           16:46 ttyp0
18 disk/
24 iso/
19 usb/

Теперь возьмем и смонтируем в /mnt/usb флэш-накопитель с USB-интерфейсом (именно для этого я его и предназначал) и повторим просмотр. И видим:
18 disk/
24 iso/
 2 usb/

То есть идентификаторы каталогов, оставшихся пустыми (/mnt/disk и /mnt/iso) не изменились, а идентификатор каталога /mnt/usb волшебным образом изменился на 2. Ибо в момент монтирования он стал корневым для своей собственной файловой системы и точкой отсчета для исчисления inodes всех записанных на ней файлов.

Немного отвлечемся и вспомним о жестких ссылках, посредством которых одному и тому же inode и относящимся к нему блокам данных могут быть присвоены разные имена. Теперь понятно, почему все такие файлы-дублеры должны лежать в одной файловой системе: ведь в разных файловых системах — своя, не совпадающая, нумерация inodes, и идентифицировать их по номерам невозможно (иначе как бы система отличила каталоги /usr и /var из нашего примера — ведь имена файлов ей глубоко до лампочки). Для символических же ссылок, имеющих собственные inode (собственно, и ничего, кроме них) со своими идентификаторами, нумеруемыми в системе отсчета файловой системы, в которой они находятся, такого ограничения нет. И могут символические ссылки лежать где угодно (в том числе и на удаленной машине — не только на иной партиции).

Вернемся, однако, к примеру нашего корневого каталога. Из всего рассмотренного видно, что целый ряд его ветвей лежит на отдельных партициях и образует собственные файловые системы (собственно, именно для этого мы и создавали и те, и другие). И, следовательно, все они нуждаются в монтировании.
9. Практика монтирования

Целям монтирования служит команда mount, выполняемая либо в ходе загрузки системы автоматически, либо — вручную, из командной строки. Собственно, в полном смысле автоматически в любом случае монтируется только корневая файловая система. Не обязательно лежащая на диске — при старте с rescue CD или иного страховочного носителя она может располагаться на виртуальном диске в оперативной памяти. Однако процесс монтирования корневой файловой системы столь же неизбежен, как победа социализма в мировом масштабе: также, как социализм, не победив в мировом масштабе, просто утрачивает способность к существованию (что мы не так давно и наблюдали), так и ОС без корневой системы существовать не может. В Linux это вызывает kernel panic mode — примерно то состояние, в которое впали наши вожди лет 20 назад. Правда, они оказались крепче Linux’а и оклемались довольно быстро — так что до сих пор нас reboot’ят (или reboot? — а мы крепчаем:)). Впрочем, к делу монтирования, которое я попытаюсь вам сейчас представить, это не относится.

Так вот, для монтирования всех файловых систем, кроме корневой, необходимо предпринять некоторые действия. Сначала мы рассмотрим, как выполнить их руками, а потом — как увековечить в соответствующих конфигурационных файлах.

Итак, команда mount. Собственно, это — целое семейство программ, каждая из которой призвана монтировать файловые системы определенных типов — не только UFS, но и любой из числа поддерживаемых FreeBSD. Список таковых весьма обширен — получить о нем представление можно, просмотрев на сей предмет каталог /sbin:
$ ls /sbin/mount*

что даст нам в ответ
/sbin/mount            /sbin/mount_msdosfs    /sbin/mount_smbfs
/sbin/mount_cd9660     /sbin/mount_nfs        /sbin/mount_std
/sbin/mount_devfs      /sbin/mount_ntfs       /sbin/mount_udf
/sbin/mount_ext2fs     /sbin/mount_nullfs     /sbin/mount_umapfs
/sbin/mount_fdescfs    /sbin/mount_nwfs       /sbin/mount_unionfs
/sbin/mount_linprocfs  /sbin/mount_portalfs
/sbin/mount_mfs        /sbin/mount_procfs

Каждая команда из этого списка отвечает за отдельный тип файловой системы, к некоторым из которых мы вернемся дальнейшем. А пока заметим только собственно /sbin/mount, предназначенную для работы с UFS и UFS2.

Вызванная из командной строки, она требует двух аргументов — имени монтируемого устройства и точки монтирования (то есть каталога, в который должна монтироваться лежащая на нем файловая система). Имя устройства должно обозначать уже размеченную на существующем BSD-слайсе патрицию с созданной на ней файловой системой UFS2 (UFS), например,
$ mount /dev/ads0d /usr

смонтирует файловую систему на указанном разделе в каталог /usr корня файлового древа. Если файловая система на устройстве не создана или имеет тип, отличный от 4.2BSD, последует сообщение об ошибке — указание на incorrect super block: в отличие от одноименной утилиты Linux, сама по себе команда mount во FreeBSD распознавать тип файловой системы не умеет.

К точке монтирования предъявляются следующие требования: а) каталог с таким именем должен существовать к моменту монтирования, и б) быть по возможности пустым. Первое — обязательно, второе же — не совсем. Монтирование в каталог с какими-либо файлами пройдет беспрепятственно (помнится, в Linux не так давно это вызывало крах системы), но все его содержимое станет недоступным вплоть до размонтирования. И если файлы, в нем содержащиеся, имеют играют существенную роль для какой-либо подсистемы, это может вызвать всякие нехорошие последствия. Например, если содержимое каталога /tmp будет блокировано монтированием туда какой-либо файловой системы во время работы оконной системы X, результатом будет скорее всего крах X-сервера. Благо, при необходимости можно осуществить объединенное монтирование (см. ниже).

В указанной форме монтирование выполнится с некоторыми умолчальными характеристиками: файловая система будет доступна для чтения/записи в режиме т.н. noasync (том самом, при котором операции с метаданными осуществляются синхронно, а операции с данными — асинхронно). Изменить это положение можно с помощью значений опции -o. Их довольно много, однако практически главными на данном этапе для нас будут:
async — обеспечит полностью асинхронный режим (не смотря на грозные предупреждения в предыдущих заметках, я потом расскажу о ситуации, когда это может быть оправдано);
sync — напротив, включение полностью синхронного режима (правда, не очень представляю, зачем это практически нужно);
noatime — очень полезная опция, которая предотвращает обновление атрибута времени последнего доступа к файлам, чем немало способствует производительности;
rdonly — монтирует файловую систему в режиме только для чтения (иногда это бывает необходимо);
union — та самая опция, которая позволяет выполнить объединенное монтирование, при котором прежнее содержимое каталога mount point остается видимым; правда — с некоторыми ограничениями — см. man (8) mount.

Есть еще несколько значений опции -o, запрещающих размещение на смонтированной файловой системе файлов определенных разновидностей, например, исполнимых (-o noexec), файлов устройств (-o nodev) или файлов с т.н. битом суидности (-o nosuid), однако они имеют практическое значение в основном для администраторов серверов и служат целям безопасности. На настольной же машине обычной формой монтирования будет нечто вроде этой:
$ mount -o noatime /dev/ads0d /usr;
$ mount -o noatime /dev/ads0e /var;
$ mount -o noatime /dev/ads0f /home

Все сказанное относилось только к монтированию файловых систем FreeBSD. Однако на практике часто возникает необходимость инкорпорации в ее древо каталогов файловых систем других типов. Особенно часто это требуется для ISO9660 (обычная файловая система для всех компакт-дисков, кроме Mac’овских) и FAT’ов разного рода. В этом случае соответствующая случаю команда монтирования должна быть вызвана явно, например,
$ mount_cd9660 /dev/acd0 /cdrom

для монтирования компакта, или
$ mount_msdosfs /dev/ad## /mnt

для FAT’а любого рода (включая FAT32). Впрочем, сделать это можно и косвенно, указанием команде mount опции -t тип_файловой_системы. Так, команда
$ mount -t ext2fs /dev/ad## /mnt/linux

смонтирует файловую систему Linux (если соответствующая возможность включена в ядро). При этом стандартный mount для BSD-разделов просто подменяется командой /mount_ext2fs, призванной монтировать разделы ext2fs (и ext3fs тоже — но, естественно, без всяких функций журналирования). То есть форма
$ mount -t fstype … …

будет полным эквивалентом команды
$ mount_fstype … …

Все операции по монтированию файловых систем (в том числе и на сменных носителях) во FreeBSD требуют прав суперпользователя. В числе значений опции -o здесь, в отличие от Linux-варианта команды mount, нет параметра user, разрешающего монтирование обычным пользователям. Правда, есть несколько способов обойти это, но сейчас говорить о них невместно.
Настройка автоматического монтирования

Однако на практике к ручному монтированию прибегают только для редко используемых файловых систем. Все принципиально важные для функционирования FreeBSD файловые системы монтируются автоматически при старте системы, а часто используемые — в полуавтоматическом, так сказать, режиме.

Для автоматического монтирования программа mount запускается в процессе начальной загрузки из инициализационных сценариев. Она отыскивает свой конфигурационный файл — /etc/fstab, и монтирует все, что в нем обнаружит, за некоторыми (оговоренными ниже исключениями).

Сам по себе файл /etc/fstab генерируется автоматически при установке FreeBSD, включая все необходимые для обеспечения жизнедеятельности файловые системы. Однако в дальнейшем он может правится вручную с целью внесения новых устройств для монтирования или дополнительных опций для уже включенных устройств.

Файл /etc/fstab — это простенькая база данных в текстовом формате (разделение полей — пробелами или табуляцией), включающая следующие поля:
Device — имя файла устройства, на котором расположена файловая система, аналогично первому аргументу команды mount при ручном ее использовании;
Mountpoint — точка монтирования (соответствует второму аргументу команды mount);
FStype — тип файловой системы, указываемый также, как значение опции -t;
Options — дополнительные опции монтирования, аналогично значениям опции -o;
Dump — условия выполнения резервного копирования файловой системы утилитой утилитой dump;
Pass# — условия проверки файловой системы утилитой fsck.

В свежеустановленной FreeBSD /etc/fstab в обязательном порядке будет включать следующие записи (пример для 1-го слайса Master-диска на 1-м IDE-канале):
# Device Mountpoint FStype Options Dump Pass#
/dev/ad0s1a /  ufs  rw  1 1
/dev/ad0s1b none  swap  sw  0 0

Если последовать советам резонных людей (и умолчаниям sysinstall) и выделить из состава корня некоторые ветки файловой системы, к перечисленным добавятся (при автоматической разметке слайса через sysinstall) еще и записи вроде
/dev/ad0s1d /var  ufs  rw  0 0
/dev/ad0s1e /usr  ufs  rw  0 0
/dev/ad0s1f /tmp  ufs  rw  0 0

Наконец, очень рекомендуется проследить, чтобы в наличии была еще и строка
/dev/ad0s1g /home  ufs  rw  0 0

отвечающая за файловую систему с домашними каталогами пользователей.

Очевидно, что в поле Options можно добавить любые доступные (и разумные) значения опции -o (через запятую, без пробелов), например, noatime для всех файловых систем, а для /tmp — еще и async, ведь для содержимого этого каталога не предполагается сохранение после перезагрузки.

Сказанное выше относилось к файловым системам, монтируемым при старте автоматически. Однако никто не мешает сделать в /etcfstab записи для систем, подключаемым время от времени — в этом случае их можно будет монтировать по упрощенной схеме (именно это я и имел ввиду выше под полуавтоматическим режимом). Так, для CD-накопителя можно добавить строку (на самом деле она автоматически появляется при генерации файла /etc/fstab)
/dev/acd0 /cdrom cd9660  ro,noauto  0 0

в которой опции, как нетрудно догадаться предписывают отказ от монтирования при старте (noauto) и режим «только для чтения» (ro). После чего для монтирования CD достаточно будет указать только mount point -
$ mount /cdrom

Аналогичные записи можно сделать для всех сменных накопителей (Zip, USB-драйвов, даже флоппи-дисков) и для не-BSD разделов (FAT или Ext2fs). К слову сказать — монтировать файловые системы по прощенной схеме можно сразу после внесения изменений в /etc/fstab, не дожидаясь перезагрузки машины.
Размонтирование

Все задействованные файловые системы перед выключением питания или перезагрузкой машины в обязательном порядке должны быть размонтированы. При корректном завершении работы это осуществляется автоматически, в результате чего каждая из доступных для записи файловых систем (вернее, партиция, ее несущая) получает бит чистого размонтирования в своем суперблоке.

Однако в ряде случаев (например, при подключении или отключении механизма Soft Updates или для выполнения проверки на целостность) возникает необходимость ручного размонтирования (и повторного монтирования) файловых систем, для чего служит команда umount. Она требует единственного аргумента — указания точки монтирования файловой системы, «изымаемой» из древа каталогов, например:
$ umount /tmp

Одной строкой можно размонтировать несколько файловых систем:
$ umount /usr /var /home

А можно — все смонтированные файловые системы или все файловые системы, перечисленные в файле /etc/fstab (кроме корневой), для чего потребуются опции
$ umount -A

или
$ umount -a

соответственно. Есть и возможность размонтирования файловых систем определенных типов путем указания значений опции -t. Так, команда
$ umount -t ufs

размонтирует только BSD-разделы, не затронув CD и всего остального, что задействовано в системе.

Файловые системы в момент размонтирования не должны использоваться, то есть не должно быть обращений к находящимся на них файлам. Так, нахождение в каком-либо каталоге файловой системы — достаточное основание для отказа в ее размонтировании (с выдачей сообщения типа device busy), почему ни одной из перечисленных выше команд и не удастся размонтировать корневую файловую систему. А вот считывание файла данных какой-либо программой — не повод для отказа размонтировать несущую этот файл систему (ведь при этом в общем случае общение между файлом в памяти и файлом на диске происходит только в момент записи изменений.

Впрочем, можно размонтировать и используемую файловую систему — для этого команду umount потребуется дать с опцией -f. Правда, это может привести к ошибкам, так что без острой необходимости лучше к ней не прибегать. И на корневую файловую систему опция принудительного размонтирования воздействия не окажет.
Массовое монтирование

Для продолжения работы после выполнения низкоуровневых операций с файловыми системами их потребуется смонтировать обратно. Это можно сделать не только без перезагрузки, но и без нудного индивидуального монтирования. Достаточно прибегнуть к опции -a:
$ mount -a

посредством которой будут смонтированы все файловые системы, для которых имеются записи в /etc/fstab. При этом будет предпринята попытка смонтировать и те из них, которые помечены флагом noauto. Чтобы избежать этого, можно дополнительно определить тип файловой системы. То есть команда
$ mount -a -t ufs

смонтирует только BSD-разделы, не покушаясь на CD или флэш-накопители. А можно, напротив, исключить из процесса глобального монтирования какие-то из перечисленных в /etc/fstab файловых систем, например, ненужные в данный момент FAT’ы:
$ mount -a -t nomsdosfs
Преамбула вместо заключения

К слову сказать, команда mount без опций и аргументов (а в такой форме, в отличие от всех рассмотренных выше случаев, ее может дать и обычный пользователь) выведет список смонтированных в данный момент файловых систем с указанием точки монтирования, условий оного и режима работы. Например, для машины, на которой пишутся эти строки, вывод ее будет выглядеть так:
/dev/ad0s1a on / (ufs, local, noatime, soft-updates)
devfs on /dev (devfs, local)
/dev/ccd0e on /var (ufs, local, noatime, soft-updates)
/dev/ccd1e on /usr (ufs, local, noatime, soft-updates)
/dev/ccd2e on /home (ufs, local, noatime, soft-updates)
/dev/md0 on /tmp (ufs, local, noatime, async)

Первая строка вывода показывает, что партиция /dev/ad0s1a смонтирована у нас в корневом каталоге, несет на себе файловую систему UFS (конкретно в данном случае — UFS2, но в выводе команды mount они не различаются) с задействованным механизмом Soft Updates, является локальной (то есть расположена на диске этой машины — сетевые диски также монтируются командой mount) и не подвержена обновлению атрибута atime.

А вот дальше идут строки для устройств и файловых систем, о которых не было речи в предшествующих повествованиях. Более того, если мы посмотрим на соответствующий наличной конфигурации файл /etc/fstab:
$ more /etc/fstab

/dev/ad0s1b  none swap sw 0 0
/dev/ar0s1b  none swap sw 0 0
/dev/ad0s1a  / ufs rw,noatime 1 1
/dev/ccd0e  /var ufs rw,noatime 2 2
/dev/ccd1e  /usr ufs rw,noatime 2 2
/dev/ccd2e  /home ufs rw,noatime 2 2
/dev/acd0  /cdrom cd9660 ro,noauto 0 0
/dev/da0s1  /mnt/usb ext2fs rw,noauto,noatime 0 0
/dev/md0  /tmp mfs rw,noatime,async,-s32m 2 0

то увидим, что одной из строк вывода (devfs on /dev (devfs, local) вообще нет соответствия среди его записей. Что это за устройства и файловые системы?

Относительно устройств типа /dev/ccd0? скажу пока только, что это программные RAID-массивы (подробнее о них будет говориться позднее). А вот devfs и mfs — виртуальные файловые системы, о которых — непосредственно в следующей заметке.