主页 / user-4581

Joel's questions

Martin Hope
Joel
Asked: 2009-09-25 22:40:06 +0800 CST
  • 2

我为使用 Trac(Apache,mod_python)和颠覆的项目设置了一个独立服务器(Ubuntu 9.04)。我创建本地用户帐户,以便获得对存储库的提交访问权限的项目成员使用 ssh ...

sudo adduser --ingroup uomdev --force-badname JohnDoe

......这让他们很容易结帐......

svn checkout svn+ssh://[email protected]/usr/local/svn/uom

...并给他们一个相同的 Trac 帐户...

sudo htdigest /usr/local/trac/users.htdigest trac JohnDoe

...并且我手动同步两个帐户之间的密码(生成一个新密码,将其强制用于两个帐户,然后通过电子邮件将其发送给用户)。

当用户忘记密码时这很好,但如果用户想自己更改密码则不起作用。他们可以通过 ssh 进入服务器并运行 passwd,但这会留下 Trac 帐户。

mgood上写道:

与其他仅使用另一个数据库表来存储用户的错误跟踪系统不同,Trac 采用了允许用户利用其 Web 服务器可用的众多身份验证模块的方法。这意味着许多用户不需要手动管理 Trac 用户,因为他们可以将 Trac 绑定到 LDAP、Active Directory 或他们已经拥有的任何集中式用户系统。

我并不热衷于安装/配置 LDAP 或 Active Directory,只是为了保持这些同步。我不相信 AccountManagerPlugin hack 会有所帮助。有任何想法吗?

ssh
Martin Hope
Joel
Asked: 2009-07-04 17:29:19 +0800 CST
  • 4

(在详细介绍之前,我以 Apache 和 SSH 为例来介绍这个问题,但这并不特定于 TCP 流量,它与基于 TCP 和 UDP 的协议的问题相同。)

我有一个运行 Ubuntu 9.04 的多链接、多宿主服务器,eth0 连接到外部网络,eth1 连接到内部网络。外部网络呈现给“世界其他地方”,内部网络包含所有开发人员工作站和主力服务器。有防火墙阻止从“世界其他地方”到内部网络的流量,但不阻止传出请求。

$ /sbin/ifconfig
eth0  Link encap:Ethernet  HWaddr 00:30:18:a5:62:63  
      inet addr:xxx.yyy.159.36  Bcast:xxx.yyy.159.47  Mask:255.255.255.240
      [snip]

eth1  Link encap:Ethernet  HWaddr 00:02:b3:bd:03:29  
      inet addr:xxx.zzz.109.65  Bcast:xxx.zzz.109.255  Mask:255.255.255.0
      [snip]

$ route -n 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
xxx.yyy.159.32  0.0.0.0         255.255.255.240 U     0      0        0 eth0
xxx.zzz.109.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         xxx.yyy.159.33  0.0.0.0         UG    100    0        0 eth0

Apache 监听 80 端口,sshd 监听 22:

$ netstat --tcp -a
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 *:www                   *:*                     LISTEN     
tcp        0      0 *:ssh                   *:*                     LISTEN     
[snip]

从我在里面的开发机器,xxx.zzz.109.40,我可以连接到里面的地址,一切都很好。从外部我可以连接到外部地址,一切正常。

但是对于某些类型的测试,我想从我的开发机器连接到外部地址,但服务器拒绝连接请求。我猜它正在查看它的路由表,并且由于传入的数据来自一个应该在 eth1 上但到达 eth0 的地址,因此它正在丢弃它,这可能是出于安全预防措施。

有什么办法可以放宽这个限制吗?

奇怪的是,这曾经在 8.04 上工作,但在 8.10 或 9.04 上不起作用,所以在去年的某个时候,内核正在做一些额外的检查。为了使连接正常工作,返回路径需要与源路径相同,这意味着来自我的开发机器到达 eth0 的消息必须返回到 eth0 才能路由回我的机器。

这是一个图表,任何地方都没有 NAT。

图表

linux ubuntu routing networking ip