From owner-freebsd-doc@FreeBSD.ORG Sun Mar 25 19:30:54 2012 Return-Path: Delivered-To: freebsd-doc@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id 4F9AA106566C for ; Sun, 25 Mar 2012 19:30:54 +0000 (UTC) (envelope-from lists@eitanadler.com) Received: from mail-we0-f182.google.com (mail-we0-f182.google.com [74.125.82.182]) by mx1.freebsd.org (Postfix) with ESMTP id CBE168FC1A for ; Sun, 25 Mar 2012 19:30:53 +0000 (UTC) Received: by wern13 with SMTP id n13so5001268wer.13 for ; Sun, 25 Mar 2012 12:30:52 -0700 (PDT) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=eitanadler.com; s=0xdeadbeef; h=mime-version:from:date:message-id:subject:to:content-type; bh=dobTwJ0TxmX3v7SbkiKtO6rbH0/gIL5mjyScpwyvmFA=; b=JSpRGA7FifPuxUwTnxHUVABW5P5480lJCNKpghite5dpTW5jG/LQIAXvZ9H7KtPjGJ yQSN72LJkyb/8kDuGqb/s3e4NhodYysT+4IbYNpp0nLp4vJGsWfcgRbqNjX1A4l3kVQU NC5AXJd0poZqedhC2H45MeIHX4Cg6Ag42adEw= X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=20120113; h=mime-version:from:date:message-id:subject:to:content-type :x-gm-message-state; bh=dobTwJ0TxmX3v7SbkiKtO6rbH0/gIL5mjyScpwyvmFA=; b=EBS+BnARtEmFrDn/dRsZWnoUipIiloWJQrnkYslvpNWA+f6Sh2y4I/MnKsLglkNguH pZ9bkRe/cwyUukhWnLbOXKNwPln+/BpkrNgxwZAjHlFsNFNpjBJTU5a5zeHFDErlwx86 wFYhQ1rL9c+OAGqA5lSsjH7WDk8BklHZnae3qX/7Sf0J7f6VLJVgCxXVLEPwxguGT1rN eBikfX88tBmm0VUwRKdj/h+v2gtu6oVXLT5DP1kc9fAVuAbXERDtIxgHZJcRBhob9KMQ tjztejH0rHcRrLY+G6ptqlDDxGQdOU0PqN3qDt/barOF14ydzO9sV1BWyS0jtfRdTL0p Z3sA== Received: by 10.216.134.2 with SMTP id r2mr11219133wei.31.1332703852599; Sun, 25 Mar 2012 12:30:52 -0700 (PDT) MIME-Version: 1.0 Received: by 10.223.63.4 with HTTP; Sun, 25 Mar 2012 12:30:22 -0700 (PDT) From: Eitan Adler Date: Sun, 25 Mar 2012 15:30:22 -0400 Message-ID: To: freebsd-doc@freebsd.org Content-Type: text/plain; charset=UTF-8 X-Gm-Message-State: ALoCoQmnKAyIUVTciyQ1OaB2jCgvCbTzGg/YzZEFG4DW5xTV/ZpWo1DykMiv+vE3aNpPUTY9NBUw Subject: removing trailing whitespace from man pages X-BeenThere: freebsd-doc@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 25 Mar 2012 19:30:54 -0000 joel@ has been fixing a number of mdoc lint warnings and I figured I'd take a stab at some of them too. Would anyone object to the following patch? http://people.freebsd.org/~eadler/files/more-than-just-you.diff -- Eitan Adler From owner-freebsd-doc@FreeBSD.ORG Mon Mar 26 00:27:33 2012 Return-Path: Delivered-To: freebsd-doc@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [69.147.83.52]) by hub.freebsd.org (Postfix) with ESMTP id 8FB21106566B; Mon, 26 Mar 2012 00:27:33 +0000 (UTC) (envelope-from adagesh41@pip.com.au) Received: from anteldata.net.uy (r186-48-4-253.dialup.adsl.anteldata.net.uy [186.48.4.253]) by mx1.freebsd.org (Postfix) with ESMTP id 410BE8FC17; Mon, 26 Mar 2012 00:27:33 +0000 (UTC) Received: from apache by retaacreejbasccsdgg.barronheating.com with local (Exim 4.63) (envelope-from <, >) id AVTHOL-UGZ7A5-P4 for , ; Sun, 25 Mar 2012 21:27:32 -0300 To: , Date: Sun, 25 Mar 2012 21:27:32 -0300 From: , Message-ID: <46F41DECED884EA50B33CF74CBA0AE95@retaacreejbasccsdgg.buhrmann.com> X-Priority: 3 X-Mailer: PHPMailer 5.1 (phpmailer.sourceforge.net) MIME-Version: 1.0 Content-Transfer-Encoding: 7bit Content-Type: text/plain; charset="us-ascii" Cc: Subject: Position opening in your area X-BeenThere: freebsd-doc@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 26 Mar 2012 00:27:33 -0000 I would like to take this time to welcome you to our hiring process and give you a brief synopsis of the position's benefits and requirements. If you are taking a career break, are on a maternity leave, recently retired or simply looking for some part-time job, this position is for you. Occupation: Flexible schedule 1 to 3 hours per day. We can guarantee a minimum 20 hrs/week occupation Salary: Starting salary is 3000 EUR per month plus commission. Region: Europe Please note that there are no startup fees or deposits to start working for us. To request an application form, schedule your interview and receive more information about this position please reply to Rick@jobdayseu.com,with your personal identification number for this position IDNO: 2538 From owner-freebsd-doc@FreeBSD.ORG Mon Mar 26 07:35:15 2012 Return-Path: Delivered-To: freebsd-doc@freebsd.org Received: from hub.freebsd.org (localhost [127.0.0.1]) by hub.freebsd.org (Postfix) with ESMTP id 6DA411065672 for ; Mon, 26 Mar 2012 07:35:15 +0000 (UTC) (envelope-from owner-freebsd-acpi@freebsd.org) MIME-Version: 1.0 Content-Type: text/plain; charset="us-ascii" Content-Transfer-Encoding: 7bit From: owner-freebsd-acpi@freebsd.org To: freebsd-doc@freebsd.org Message-ID: Date: Mon, 26 Mar 2012 07:35:14 +0000 Precedence: bulk X-BeenThere: freebsd-acpi@freebsd.org X-Mailman-Version: 2.1.5 X-List-Administrivia: yes Sender: owner-freebsd-acpi@freebsd.org Errors-To: owner-freebsd-acpi@freebsd.org Subject: Your message to freebsd-acpi awaits moderator approval X-BeenThere: freebsd-doc@freebsd.org List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 26 Mar 2012 07:35:15 -0000 Your mail to 'freebsd-acpi' with the subject Job opportunity - hurry to apply! Is being held until the list moderator can review it for approval. The reason it is being held: SpamAssassin identified this message as possible spam Either the message will get posted to the list, or you will receive notification of the moderator's decision. If you would like to cancel this posting, please visit the following URL: http://lists.freebsd.org/mailman/confirm/freebsd-acpi/55b56c4d73cd9a8d3eff03cb7731bb16579db36b PLEASE NOTE! If you would like to post freely to the list, please subscribe first. If you post from multiple addresses, you can subscribe each address and go into the options page and select 'no mail' for all but one address. This will allow you to post without delay in the future. Sorry for the hassle, but certain immature people made this necessary. From owner-freebsd-doc@FreeBSD.ORG Mon Mar 26 11:06:09 2012 Return-Path: Delivered-To: freebsd-doc@FreeBSD.org Received: from mx1.freebsd.org (mx1.freebsd.org [69.147.83.52]) by hub.freebsd.org (Postfix) with ESMTP id B2062106566C for ; Mon, 26 Mar 2012 11:06:09 +0000 (UTC) (envelope-from owner-bugmaster@FreeBSD.org) Received: from freefall.freebsd.org (freefall.freebsd.org [IPv6:2001:4f8:fff6::28]) by mx1.freebsd.org (Postfix) with ESMTP id 9B4208FC20 for ; Mon, 26 Mar 2012 11:06:09 +0000 (UTC) Received: from freefall.freebsd.org (localhost [127.0.0.1]) by freefall.freebsd.org (8.14.5/8.14.5) with ESMTP id q2QB69Hh017508 for ; Mon, 26 Mar 2012 11:06:09 GMT (envelope-from owner-bugmaster@FreeBSD.org) Received: (from gnats@localhost) by freefall.freebsd.org (8.14.5/8.14.5/Submit) id q2QB699h017506 for freebsd-doc@FreeBSD.org; Mon, 26 Mar 2012 11:06:09 GMT (envelope-from owner-bugmaster@FreeBSD.org) Date: Mon, 26 Mar 2012 11:06:09 GMT Message-Id: <201203261106.q2QB699h017506@freefall.freebsd.org> X-Authentication-Warning: freefall.freebsd.org: gnats set sender to owner-bugmaster@FreeBSD.org using -f From: FreeBSD bugmaster To: FreeBSD doc list Cc: Subject: Current unassigned doc problem reports X-BeenThere: freebsd-doc@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 26 Mar 2012 11:06:09 -0000 (Note: an HTML version of this report is available at http://www.freebsd.org/cgi/query-pr-summary.cgi?category=doc .) The following is a listing of current problems submitted by FreeBSD users. These represent problem reports covering all versions including experimental development code and obsolete releases. S Tracker Resp. Description -------------------------------------------------------------------------------- o docs/166358 doc No networking in Jail build via: handbook/jail-tuning o docs/166318 doc Contradicting information in crontab(5) and cron(8) ab o docs/166273 doc Reaper of the dead: remove outdated FAQ questions o docs/165929 doc [patch] msync(2) man page indicates obsolescence, but o docs/165703 doc Typo in man-page of ng_patch(4) o docs/165657 doc Web site Features page aging o docs/165551 doc ipfw(8): no info in "ipfw pipe show" about ipv6 o docs/165410 doc [handbook] Documentation is not up to date o docs/165249 doc Multibyte characters in manpages still not displaying o docs/164803 doc Unclear manual page for mount_unionfs(8) o docs/164800 doc Handbook's installation topic doesn't mention ZFS o docs/164772 doc incorrect ipfw sched parameters in manual o docs/164682 doc Handbook contains wrong information about Flash player o docs/164620 doc Raid 1 issues o docs/164099 doc gparm(8): man page for gparm set is incorrect and inco o docs/164034 doc acl(9) documentation lacking o docs/163879 doc [handbook] handbook does not say about how to force to o docs/163830 doc device smbios: missing documentation, no manpage o docs/163742 doc [patch] document failok mount(8) option o docs/163576 doc zfs(8) sync property not noted in the manpage o docs/163149 doc [patch] Red Hat Linux/i386 9 HTML format sudo man page o docs/162775 doc zpool(1): Document some undocumented zpool import opti o docs/162699 doc Handbook/Upgrading instructions: should mention delete o docs/162433 doc [handbook] QEMU instructions for FreeBSD guests o docs/162419 doc [request] please document (new) zfs and zpool cmdline o docs/162404 doc [handbook] IPv6 link-local address compared with IPv4 o docs/162380 doc Documentation lacking for getfacl/setfacl o docs/161804 doc New documentation: French translation for building-pro o docs/161754 doc p4tcc(4), est(4) and qpi(4) are not documented o docs/161496 doc zfs(1): Please document that sysctl vfs.usermount must o docs/160460 doc [handbook] Network setup guide suggestion o docs/160447 doc [handbook] Developer's Handbook contains some outdated o docs/160446 doc [handbook] Handbook sound setup seems outdated o docs/160445 doc [handbook] Handbook does not mention ACL o docs/160399 doc Man page for re(4) missing jumbo frames info o docs/159307 doc [patch] lpd smm chapter unconditionally installed o docs/159298 doc [handbook] document Konqueror with Webkit support to i o docs/158388 doc Incorrect documentation of LOCAL_SCRIPT in release(7) o docs/158387 doc The tree(3) man should mention the RB_FOREACH_SAFE() A o docs/157908 doc [handbook] Description of post-install should include o docs/157698 doc [patch] gpart(8) man page contains old/incorrect size o docs/157316 doc [patch] update devstat(9) man page o docs/157234 doc [patch] nullfs(5): //proc/curproc/file returns "unknow o docs/157049 doc FreeBSD Handbook: Chapter 14 (Security) Inaccuracy p docs/156955 doc bug in share/man/man2/setsockopt.2 a docs/156920 doc isspecial(3) is not helpful o docs/156815 doc chmod(1): manpage should describe that chmod kicks +t o docs/156689 doc stf(4) output-only documentation gives bad configurati f docs/156187 doc [handbook] [patch] Add bsnmpd to handbook o docs/156081 doc troff falls with troff.core with UTF-8 man with incorr o docs/155982 doc [handbook] reaper of the dead: remove reference to flo o docs/155773 doc dialog(1): dialog manpages not updated o docs/155149 doc [patch] don't encourage using xorg.conf outside of PRE o docs/154838 doc update cvs-tags information on releng_* to reflect sup o docs/153958 doc ksu man-page documented, but not installed o docs/153738 doc [patch] Docuement requirement to alter some sysctls wh a docs/153012 doc [patch] iostat(8) requires an argument to -c option o docs/151752 doc pw.conf(5) doesn't define format for file clearly o docs/150991 doc [patch] Install upgtfw using pkg_add as advised in upg o docs/150917 doc [patch] icmp.4, wrong description of icmplim and icmpl o docs/150877 doc ambiguity in newsyslog(8) man page about zfs with comp o docs/150255 doc dtrace description should mention makeoptions DEBUG=-g o docs/150219 doc zfs(8) manual page misses jail/unjail o docs/149574 doc [patch] update mi_switch(9) man page o docs/149047 doc [patch] tcsh(1) bears no mention of brace expansion in o docs/148987 doc [patch] {MD[245]|SHA_|SHA1_|SHA256_}{End|File|FileChun o docs/148984 doc [handbook] Mistake in section 16.15.4 of the handbook o docs/148680 doc [sysctl][patch] Document some sys/kern sysctls o docs/148071 doc Failover mode between wired and wireless interfaces o docs/147995 doc elf.5 man page has has missing reference o docs/146958 doc bad link to "XaQti XMAC II datasheet" in sk(4) manual o docs/146521 doc [handbook] Update IPv6 system handbook section to ment o docs/145719 doc [patch] 7.3 relnotes erroneously describes new getpage o docs/145699 doc hexdump(1) mutes all format qualifier output following o docs/145644 doc Add artical about creating manpage from scratch o docs/145069 doc Dialup firewalling with FreeBSD article out dated. o docs/145066 doc Update for new uart dev names for serial port. s docs/144818 doc all mailinglist archives dated 19970101 contain traili o docs/144630 doc [patch] domainname(1) manpage contains old information o docs/144515 doc [handbook] Expand handbook Table of contents o docs/144488 doc share/examples/etc/make.conf: contains dangerous examp o docs/143850 doc procfs(5) manpage for status > controlling terminal is o docs/143416 doc [handbook] IPFW handbook page issues o docs/143408 doc man filedesc(9) is missing o docs/142168 doc [patch] ld(1): ldd(1) not mentioned in ld(1) manpage o docs/141032 doc misleading documentation for rtadvd.conf(5) raflags se s docs/140847 doc [request] add documentation on ECMP and new route args p docs/140457 doc [patch] Grammar fix for isspace(3) o docs/140444 doc [patch] New Traditional Chinese translation of custom- o docs/140375 doc [UPDATE] Updated zh_TW.Big5/articles/nanobsd o docs/139336 doc [request] ZFS documentation suggestion o docs/139165 doc gssapi.3 man page out of sync with between crypto and o docs/139018 doc translation of submitting.sgml from docproj/submitting o docs/138845 doc Exceeding kern.ipc.maxpipekva refers to tuning(7) whic o docs/138485 doc bpf(4) and ip(4) man pages missing important corner ca o docs/136712 doc [handbook] [patch] draft new section on gmirror per pa o docs/136666 doc [handbook] Configure serial port for remote kernel deb o docs/136035 doc ftpchroot(5) omits an important option o docs/134123 doc The RUNQUEUE(9) man page is out of date o docs/132839 doc [patch] Fix example script in ldap-auth article o docs/132718 doc [handbook] Information about adding a new mirror is ou o docs/132260 doc dhcpd(8) pid not stored in documented location o docs/132190 doc EPERM explanation for send(2), sendto(2), and sendmsg( o docs/131918 doc [patch] Fixes for the BPF(4) man page o docs/131626 doc [patch] dump(8) "recommended" cache option confusing o docs/130238 doc nfs.lockd man page doesn't mention NFSLOCKD option or o docs/129671 doc New TCP chapter for Developer's Handbook (from rwatson o docs/129464 doc using packages system o docs/129095 doc ipfw(8): Can not check that packet originating/destine o docs/128356 doc [request] add Firefox plugin for FreeBSD manual pages s docs/127844 doc Example code skeleton_capture_n.c in meteor(4) manpage o docs/126590 doc [patch] Write routine called forever in Sample Echo Ps o docs/126484 doc libc function res-zonscut2 is not documented o docs/125921 doc lpd(8) talks about blocks in minfree while it is KB in f docs/122052 doc minor update on handbook section 20.7.1 o docs/121952 doc Handbook chapter on Network Address Translation wrong o docs/121585 doc [handbook] Wrong multicast specification s docs/121541 doc [request] no man pages for wlan_scan_ap o docs/121312 doc RELNOTES_LANG breaks release if not en_US.ISO8859-1 o docs/121173 doc [patch] mq_getattr(2): mq_flags mistakenly described a s docs/120917 doc [request]: Man pages mising for thr_xxx syscalls o docs/120539 doc Inconsistent ipfw's man page o docs/120125 doc [patch] Installing FreeBSD 7.0 via serial console and o docs/120024 doc resolver(5) and hosts(5) need updated for IPv6 o docs/119545 doc books/arch-handbook/usb/chapter.sgml formatting o docs/118902 doc [patch] wrong signatures in d2i_RSAPublicKey man pages o docs/118020 doc ipfilter(4): man pages query for man 4 ipfilter return o docs/116080 doc PREFIX is documented, but not the more important LOCAL p docs/115065 doc [patch] sync ps.1 with p_flag and keywords o docs/114371 doc [patch] [ip6] rtadvd.con(5) should show how to adverti o docs/114139 doc mbuf(9) has misleading comments on M_DONTWAIT and M_TR o docs/113194 doc [patch] [request] crontab.5: handling of day-in-month o docs/112682 doc Handbook GEOM_GPT explanation does not provide accurat o docs/111425 doc Missing chunks of text in historical manpages o docs/111265 doc [request] Clarify how to set common shell variables o docs/110999 doc carp(4) should document unsupported interface types o docs/110692 doc wi(4) man page doesn't say WPA is not supported o docs/110376 doc [patch] add some more explanations for the iwi/ipw fir o docs/110062 doc [patch] mount_nfs(8) fails to mention a failure condit p docs/110061 doc [patch] tuning(7) missing reference to vfs.read_max o docs/109981 doc No manual entry for post-grohtml o docs/109977 doc No manual entry for ksu o docs/109973 doc No manual entry for c++filt o docs/109972 doc No manual entry for zless/bzless f docs/109226 doc [request] No manual entry for sntp o docs/109201 doc [request]: manual for callbootd a docs/108980 doc list of missing man pages o docs/106135 doc [request] articles/vinum needs to be updated o docs/105608 doc fdc(4) debugging description staled o docs/104879 doc Howto: Listen to IMA ADPCM .wav files on FreeBSD box o docs/102719 doc [patch] ng_bpf(4) example leads to unneeded promiscuos o docs/100196 doc man login.conf does explain not "unlimited" o docs/99506 doc FreeBSD Handbook addition: IPv6 Server Settings o docs/98974 doc Missing tunables in loader(8) manpage o docs/98115 doc Missing parts after rendering handbook to RTF format o docs/96207 doc Comments of a sockaddr_un structure could confuse one o docs/94625 doc [patch] growfs man page -- document "panic: not enough o docs/92626 doc jail manpage should mention disabling some periodic sc o docs/91506 doc ndis(4) man page should be more specific about support o docs/91149 doc read(2) can return EINVAL for unaligned access to bloc o docs/88512 doc [patch] mount_ext2fs(8) man page has no details on lar o docs/87936 doc Handbook chapter on NIS/YP lacks good information on a o docs/87857 doc ifconfig(8) wireless options order matters o docs/85128 doc [patch] loader.conf(5) autoboot_delay incompletly desc o docs/84956 doc [patch] intro(5) manpage doesn't mention API coverage o docs/84932 doc new document: printing with an Epson ALC-3000N on Free o docs/84670 doc [patch] tput(1) manpage missing ENVIRONMENT section wi o docs/84317 doc fdp-primer doesn't show class=USERNAME distinctively o docs/84271 doc [patch] compress(1) doesn't warn about nasty link hand o docs/83820 doc getino(3) manpage not installed o docs/81611 doc [patch] natd runs with -same_ports by default o docs/78480 doc Networked printer setup unnecessarily complex in handb o docs/61605 doc [request] Improve documentation for i386 disk geometry o docs/61301 doc [patch] Manpage patch for aue(4) to enable HomePNA fun o docs/59835 doc ipfw(8) man page does not warn about accepted but mean o docs/59477 doc Outdated Info Documents at http://docs.freebsd.org/inf o docs/59044 doc [patch] doc.docbook.mk does not properly handle a sour o docs/57298 doc [patch] add using compact flash cards info to handbook s docs/54752 doc bus_dma explained in ISA section in Handbook: should b o docs/53751 doc bus_dma(9) incorrectly documents BUS_DMA_ALLOCNOW o docs/53596 doc Updates to mt(1) manual page o docs/53271 doc bus_dma(9) fails to document alignment restrictions o docs/51480 doc Multiple undefined references in the FreeBSD manual pa o docs/50211 doc [patch] doc.docbook.mk: fix textfile creation o docs/48101 doc [patch] Add documentation on the fixit disk o docs/43823 doc [patch] update to environ(7) manpage o docs/41089 doc pax(1) -B option does not mention interaction with -z o docs/40423 doc Keyboard(4)'s definition of parameters to GETFKEY/SETF o docs/38982 doc [patch] developers-handbook/Jail fix o docs/38556 doc EPS file of beastie, as addition to existing examples s docs/35678 doc docproj Makefiles for web are broken for paths with sp s docs/33589 doc [patch] to doc.docbook.mk to post process .tex files. o docs/27605 doc [patch] Cross-document references () o docs/26286 doc *printf(3) etc should gain format string warnings o docs/24786 doc missing FILES descriptions in sa(4) s docs/20028 doc ASCII docs should reflect tags in the sourc 196 problems total. From owner-freebsd-doc@FreeBSD.ORG Mon Mar 26 19:05:54 2012 Return-Path: Delivered-To: freebsd-doc@freebsd.org Received: from hub.freebsd.org (localhost [127.0.0.1]) by hub.freebsd.org (Postfix) with ESMTP id 4B49B1065672 for ; Mon, 26 Mar 2012 19:05:54 +0000 (UTC) (envelope-from owner-freebsd-multimedia@freebsd.org) MIME-Version: 1.0 Content-Type: text/plain; charset="us-ascii" Content-Transfer-Encoding: 7bit From: owner-freebsd-multimedia@freebsd.org To: freebsd-doc@freebsd.org Message-ID: Date: Mon, 26 Mar 2012 19:05:53 +0000 Precedence: bulk X-BeenThere: freebsd-multimedia@freebsd.org X-Mailman-Version: 2.1.5 X-List-Administrivia: yes Sender: owner-freebsd-multimedia@freebsd.org Errors-To: owner-freebsd-multimedia@freebsd.org Subject: Your message to freebsd-multimedia awaits moderator approval X-BeenThere: freebsd-doc@freebsd.org List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 26 Mar 2012 19:05:54 -0000 Your mail to 'freebsd-multimedia' with the subject Career opportunity inside Is being held until the list moderator can review it for approval. The reason it is being held: SpamAssassin identified this message as possible spam Either the message will get posted to the list, or you will receive notification of the moderator's decision. If you would like to cancel this posting, please visit the following URL: http://lists.freebsd.org/mailman/confirm/freebsd-multimedia/a5593bf1dfee46cad85ac2513895fa903b742e37 PLEASE NOTE! If you would like to post freely to the list, please subscribe first. If you post from multiple addresses, you can subscribe each address and go into the options page and select 'no mail' for all but one address. This will allow you to post without delay in the future. Sorry for the hassle, but certain immature people made this necessary. From owner-freebsd-doc@FreeBSD.ORG Mon Mar 26 19:06:05 2012 Return-Path: Delivered-To: freebsd-doc@freebsd.org Received: from hub.freebsd.org (localhost [127.0.0.1]) by hub.freebsd.org (Postfix) with ESMTP id 7DD54106566B for ; Mon, 26 Mar 2012 19:06:05 +0000 (UTC) (envelope-from owner-freebsd-acpi@freebsd.org) MIME-Version: 1.0 Content-Type: text/plain; charset="us-ascii" Content-Transfer-Encoding: 7bit From: owner-freebsd-acpi@freebsd.org To: freebsd-doc@freebsd.org Message-ID: Date: Mon, 26 Mar 2012 19:06:04 +0000 Precedence: bulk X-BeenThere: freebsd-acpi@freebsd.org X-Mailman-Version: 2.1.5 X-List-Administrivia: yes Sender: owner-freebsd-acpi@freebsd.org Errors-To: owner-freebsd-acpi@freebsd.org Subject: Your message to freebsd-acpi awaits moderator approval X-BeenThere: freebsd-doc@freebsd.org List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 26 Mar 2012 19:06:05 -0000 Your mail to 'freebsd-acpi' with the subject Career opportunity inside Is being held until the list moderator can review it for approval. The reason it is being held: SpamAssassin identified this message as possible spam Either the message will get posted to the list, or you will receive notification of the moderator's decision. If you would like to cancel this posting, please visit the following URL: http://lists.freebsd.org/mailman/confirm/freebsd-acpi/e8b3cd4c1e3479b04dccb5c8fa1b91292c0515cd PLEASE NOTE! If you would like to post freely to the list, please subscribe first. If you post from multiple addresses, you can subscribe each address and go into the options page and select 'no mail' for all but one address. This will allow you to post without delay in the future. Sorry for the hassle, but certain immature people made this necessary. From owner-freebsd-doc@FreeBSD.ORG Wed Mar 28 06:07:55 2012 Return-Path: Delivered-To: freebsd-doc@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id 6E436106564A; Wed, 28 Mar 2012 06:07:55 +0000 (UTC) (envelope-from wblock@wonkity.com) Received: from wonkity.com (wonkity.com [67.158.26.137]) by mx1.freebsd.org (Postfix) with ESMTP id 0CCCE8FC08; Wed, 28 Mar 2012 06:07:54 +0000 (UTC) Received: from wonkity.com (localhost [127.0.0.1]) by wonkity.com (8.14.5/8.14.5) with ESMTP id q2S5n9j2042064; Tue, 27 Mar 2012 23:49:09 -0600 (MDT) (envelope-from wblock@wonkity.com) Received: from localhost (wblock@localhost) by wonkity.com (8.14.5/8.14.5/Submit) with ESMTP id q2S5n9Ns042061; Tue, 27 Mar 2012 23:49:09 -0600 (MDT) (envelope-from wblock@wonkity.com) Date: Tue, 27 Mar 2012 23:49:08 -0600 (MDT) From: Warren Block To: Daniel Gerzo In-Reply-To: <7e043215e6cd0f2da324d6599c921fec@rulez.sk> Message-ID: References: <20120125.111625.2289296443525755896.hrs@allbsd.org> <7e043215e6cd0f2da324d6599c921fec@rulez.sk> User-Agent: Alpine 2.00 (BSF 1167 2008-08-23) MIME-Version: 1.0 Content-Type: TEXT/PLAIN; format=flowed; charset=US-ASCII X-Greylist: Sender IP whitelisted, not delayed by milter-greylist-4.2.7 (wonkity.com [127.0.0.1]); Tue, 27 Mar 2012 23:49:09 -0600 (MDT) Cc: freebsd-doc@freebsd.org, pjd@freebsd.org Subject: Re: Handbook RAID1 example X-BeenThere: freebsd-doc@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 28 Mar 2012 06:07:55 -0000 On Fri, 27 Jan 2012, Daniel Gerzo wrote: >> I think we should rewrite this section not to create a malformed >> partition table by configuring gmirror in some way. If all of >> partitions are UFS, the following procedure should be safe: >> >> 1. gmirror label gm0 /dev/da1, and edit /boot/loader.conf to load >> the kernel module. >> >> 2. Reboot and check if gm0 is recognized even after that (just in >> case). >> >> 3. Create partitions in /dev/mirror/gm0 based on ones in /dev/da0. >> If capacity of /dev/da0 and /dev/da1 is the same as each other >> gm0 should be slightly smaller by the last sector. >> >> 4. Dump & restore each partition from /dev/da0* to /dev/mirror/gm0*. >> Install a boot block if necessary. >> >> 5. mount /dev/mirror/gm0s1a /mnt, and edit /mnt/etc/fstab to mount >> gm0. Also, apply the same change to /etc/fstab in /dev/da0. >> >> 6. Reboot and check if gm0 is mounted as the root partition. >> >> 7. gmirror add gm0 /dev/da0, and wait for the rebuild. >> >> The primary difference between the above and one in the handbook is >> to use /dev/da1 for gm0 first. By doing this, both making a backup >> of /dev/da0 and repartitioning before setting up the mirror >> configuration can be done virtually. The step 3 may be complex in >> some cases, but I personally think partitioning /dev/mirror/gm0 by >> gpart based on the existing /dev/da0 is not so difficult. > > Basing on my previous discussion with pjd@ I believe that this is the correct > way of setting up gmirror. Pawel, could you confirm please? It's been a while, but finally several factors converged and I have a first pass at a rewrite of the Handbook geom mirror RAID1 "convert your old disk to a mirror in-place" section. Procedure tested on both 9.0-RELEASE and 8.2-RELEASE. It could stand more testing. High points * does not mention kern.geom.debugflags * does not create improper partition tables (boots on 9.0) * uses gpart backup/restore to copy partition tables * uses glabels, so the mirror still works even if the drives are moved around (tested) * briefly explains the GPT/gmirror conflict Potential problems * 'gmirror clear'/'glabel clear' give confusing error messages when no metadata exists * dump can hang when used on a 9.0-RELEASE SU+J filesystem Samples HTML: http://www.wonkity.com/~wblock/gmirror/geom-mirror.html Diff: http://www.wonkity.com/~wblock/gmirror/geom.diff Feedback welcome on both the procedure and the text. From owner-freebsd-doc@FreeBSD.ORG Wed Mar 28 14:41:58 2012 Return-Path: Delivered-To: freebsd-doc@FreeBSD.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id AF9241065676 for ; Wed, 28 Mar 2012 14:41:58 +0000 (UTC) (envelope-from tinkae.kel@gmail.com) Received: from mail-bk0-f54.google.com (mail-bk0-f54.google.com [209.85.214.54]) by mx1.freebsd.org (Postfix) with ESMTP id 3B9118FC08 for ; Wed, 28 Mar 2012 14:41:58 +0000 (UTC) Received: by bkcjc3 with SMTP id jc3so1315964bkc.13 for ; Wed, 28 Mar 2012 07:41:57 -0700 (PDT) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:date:message-id:subject:from:to:content-type; bh=oiXZBZHJbLl7Sz3grxn2rk1sE0WW4OREg5mdY90qUhs=; b=X7ltISYSzGD1CyPm2UzPUlYwUE2ZCLhJDWunS0AQITuT7nF5kAlFcm6G3k3f6uRRBq /fA/CBgkb50uJBMX66Ud2Xxa/u2OPPgOOFaTG5eYh17IqVR/FRaqo1M7pHxDRB2xIquq NGc2TmUwjcSR1feQXkFYq95WJ2MGFu3pB/YERXWXp5kfdWULJ1640VWwmgn2+Tm26vfa o/7OR4kaSLtgXN4sJdXXnxY1Nstn3FkYTdhfmvLKapLaw3D1Kojsg5hv3+k3THPUd6GZ maNbSEs/rypuSoSYBXSVJYOMLyy5GwdJ/CvOoI0UQaSr/rxL+DcjpTxTc4FjWDJ9fQ+p C6Yg== MIME-Version: 1.0 Received: by 10.204.143.151 with SMTP id v23mr12344661bku.63.1332945717237; Wed, 28 Mar 2012 07:41:57 -0700 (PDT) Received: by 10.204.59.131 with HTTP; Wed, 28 Mar 2012 07:41:57 -0700 (PDT) Date: Wed, 28 Mar 2012 18:41:57 +0400 Message-ID: From: Mis Kel To: freebsd-doc@FreeBSD.org X-Mailman-Approved-At: Wed, 28 Mar 2012 15:40:45 +0000 Content-Type: text/plain; charset=ISO-8859-1 X-Content-Filtered-By: Mailman/MimeDel 2.1.5 Cc: Subject: Russian Handbook IPFW manual X-BeenThere: freebsd-doc@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 28 Mar 2012 14:41:58 -0000 Hello. For now, there is no chapter about IPFW in russian handbook. With collegue we've done this job for our internal use. In my opinion, it sounds not bad, so how I can contact about publishing with someone, who involved in writing russian handbook? contacts existings on russian pages of the handbook doesn't work ( delivery fails ) Thank you for attention. From owner-freebsd-doc@FreeBSD.ORG Wed Mar 28 17:37:53 2012 Return-Path: Delivered-To: freebsd-doc@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [69.147.83.52]) by hub.freebsd.org (Postfix) with ESMTP id 288EF1065670 for ; Wed, 28 Mar 2012 17:37:53 +0000 (UTC) (envelope-from pluknet@gmail.com) Received: from mail-lpp01m010-f54.google.com (mail-lpp01m010-f54.google.com [209.85.215.54]) by mx1.freebsd.org (Postfix) with ESMTP id 9C5EE8FC0A for ; Wed, 28 Mar 2012 17:37:52 +0000 (UTC) Received: by lagv3 with SMTP id v3so2115030lag.13 for ; Wed, 28 Mar 2012 10:37:51 -0700 (PDT) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :cc:content-type:content-transfer-encoding; bh=cj3he6oLubfQ51XTCb/xa30ZYYpud3lxJ079ejg6LAg=; b=mj8QSp4lgVtbIr5Ca3XEJU9TR8ejaZjz/e3ME34apfqdJWWBoeMGQH+L7FijhT91Ob OFJ2jNPYtLSfmM8yDMxXHZqsAu3Rn36ESPwwumg42IjlLDhNtDDlfeAIdm0IkxOl+6HV m2cX0i0iGHSXI4ddB4CSvZTOJH/Iy8BmHAsYNAvj9snCCFbt3KWQnyKFVbqvrtN+mFog w0o/S5I+EvcP6o9kQERIXAycED3eFAZoUjHVZWs2fxOBUypUPmGvin1MYZWnJPBpoTQo Qf48uwILvHBK1lsOVQRE15aKTrVKzyQRN9JVIID/BqshHrjTOJjxanFPJceeenNpUWYD tLPg== MIME-Version: 1.0 Received: by 10.152.108.84 with SMTP id hi20mr24024010lab.22.1332956270847; Wed, 28 Mar 2012 10:37:50 -0700 (PDT) Received: by 10.152.21.73 with HTTP; Wed, 28 Mar 2012 10:37:50 -0700 (PDT) In-Reply-To: References: Date: Wed, 28 Mar 2012 21:37:50 +0400 Message-ID: From: Sergey Kandaurov To: Mis Kel Content-Type: text/plain; charset=ISO-8859-1 Content-Transfer-Encoding: quoted-printable Cc: freebsd-doc@freebsd.org Subject: Re: Russian Handbook IPFW manual X-BeenThere: freebsd-doc@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 28 Mar 2012 17:37:53 -0000 On 28 March 2012 18:41, Mis Kel wrote: > Hello. > > For now, there is no chapter about IPFW in russian handbook. > With collegue we've done this job for our internal use. In my opinion, it > sounds not bad, so how I can contact about publishing =A0with someone, wh= o > involved in writing russian handbook? > > contacts existings on russian pages of the handbook doesn't work ( delive= ry > fails ) Feel free to send patches there or better send PR so that it would not get = lost. http://www.freebsd.org/send-pr.html If you want to further discuss your work you might want to directly mail me and/or marck@, taras@. --=20 wbr, pluknet From owner-freebsd-doc@FreeBSD.ORG Wed Mar 28 23:13:03 2012 Return-Path: Delivered-To: freebsd-doc@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [69.147.83.52]) by hub.freebsd.org (Postfix) with ESMTP id 701101065672 for ; Wed, 28 Mar 2012 23:13:03 +0000 (UTC) (envelope-from rickvanderzwet@gmail.com) Received: from mail-wi0-f178.google.com (mail-wi0-f178.google.com [209.85.212.178]) by mx1.freebsd.org (Postfix) with ESMTP id F1BFE8FC1D for ; Wed, 28 Mar 2012 23:13:02 +0000 (UTC) Received: by wibhq7 with SMTP id hq7so1187030wib.13 for ; Wed, 28 Mar 2012 16:13:02 -0700 (PDT) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:sender:from:date:x-google-sender-auth:message-id :subject:to:content-type; bh=u+xE5q1lRYv7MvOnG4N2v7CKwNao25R0YoKipN1p8XA=; b=iTMf4AB6oVg8rgcGdxzFtHWOa/ORWNVpw7nAhuxKfKwQfpIDOokctLYfzzuehEAJCW jz0TU91h0OvwBJ6Q7zrhDx/QgnBsixNEGIHPK0Epz9LlE+Xoexe29cHQsMQA+fVuQTWX Rg460FqmzQYHA2P/ag0L281vs9Uilt9VZSTBo/zBmLdeRvaNvpAnXufRnMGY5L87l+eP aSa1F9s5Y5OZSpkQvlZ4Fltea19ZIY09rWN9fyodNJe8O/KrSedOiN79ocUFRjHkIIkT VcHnjgFjIpiQa1qJ2yIHmM02hb+qTw5SNNyyojk8mp42H9LahGGtV8D6XJt89SVMlLUH P1qg== Received: by 10.216.133.19 with SMTP id p19mr17967300wei.118.1332976381842; Wed, 28 Mar 2012 16:13:01 -0700 (PDT) MIME-Version: 1.0 Sender: rickvanderzwet@gmail.com Received: by 10.223.161.74 with HTTP; Wed, 28 Mar 2012 16:12:41 -0700 (PDT) From: Rick van der Zwet Date: Thu, 29 Mar 2012 01:12:41 +0200 X-Google-Sender-Auth: Z3FTUg9hqBNz3qJVnNBI89hhNvU Message-ID: To: freebsd-doc@freebsd.org Content-Type: multipart/mixed; boundary=0016e6de038ebbd50504bc55bf24 Subject: [patch] wrong path /etc/loader.conf X-BeenThere: freebsd-doc@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 28 Mar 2012 23:13:03 -0000 --0016e6de038ebbd50504bc55bf24 Content-Type: text/plain; charset=ISO-8859-1 /etc/loader.conf should be /boot/loader.conf Found at: faq/troubleshoot.html#COMPUTER-CLOCK-SKEW Br. /Rick -- http://rickvanderzwet.nl --0016e6de038ebbd50504bc55bf24 Content-Type: application/octet-stream; name="loader-path.patch" Content-Disposition: attachment; filename="loader-path.patch" Content-Transfer-Encoding: base64 X-Attachment-Id: f_h0czoklp0 SW5kZXg6IGVuX1VTLklTTzg4NTktMS9ib29rcy9mYXEvYm9vay5zZ21sCj09PT09PT09PT09PT09 PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT0KLS0t IGVuX1VTLklTTzg4NTktMS9ib29rcy9mYXEvYm9vay5zZ21sCShyZXZpc2lvbiAzODYyMSkKKysr IGVuX1VTLklTTzg4NTktMS9ib29rcy9mYXEvYm9vay5zZ21sCSh3b3JraW5nIGNvcHkpCkBAIC0z ODIwLDcgKzM4MjAsNyBAQAogCiAJICA8cGFyYT5JdCBtYXkgYmUgYSBicm9rZW4gQUNQSSB0aW1l ci4gIFRoZSBzaW1wbGVzdCBzb2x1dGlvbiBpcwogCSAgICB0byBkaXNhYmxlIHRoZSBBQ1BJIHRp bWVyIGluCi0JICAgIDxmaWxlbmFtZT4vZXRjL2xvYWRlci5jb25mPC9maWxlbmFtZT46PC9wYXJh PgorCSAgICA8ZmlsZW5hbWU+L2Jvb3QvbG9hZGVyLmNvbmY8L2ZpbGVuYW1lPjo8L3BhcmE+CiAK IAkgIDxwcm9ncmFtbGlzdGluZz5kZWJ1Zy5hY3BpLmRpc2FibGVkPSJ0aW1lciI8L3Byb2dyYW1s aXN0aW5nPgogCkluZGV4OiBkZV9ERS5JU084ODU5LTEvYm9va3MvZmFxL2Jvb2suc2dtbAo9PT09 PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09 PT09PT09Ci0tLSBkZV9ERS5JU084ODU5LTEvYm9va3MvZmFxL2Jvb2suc2dtbAkocmV2aXNpb24g Mzg2MjEpCisrKyBkZV9ERS5JU084ODU5LTEvYm9va3MvZmFxL2Jvb2suc2dtbAkod29ya2luZyBj b3B5KQpAQCAtNDI1Niw3ICs0MjU2LDcgQEAKIAogICAgICAgICAgIDxwYXJhPkVzIGthbm4gc2lj aCB1bSBlaW5lbiBkZWZla3RlbiBBQ1BJIFRpbWVyIGhhbmRlbG4uICBEaWUKICAgICAgICAgICBl aW5mYWNoc3RlIEwmb3VtbDtzdW5nIGJlc3RlaHQgZGFyaW4sIGRlbiBBQ1BJIFRpbWVyIGluCi0g ICAgICAgICAgPGZpbGVuYW1lPi9ldGMvbG9hZGVyLmNvbmY8L2ZpbGVuYW1lPiB6dSBkZWFrdGl2 aWVyZW46PC9wYXJhPgorICAgICAgICAgIDxmaWxlbmFtZT4vYm9vdC9sb2FkZXIuY29uZjwvZmls ZW5hbWU+IHp1IGRlYWt0aXZpZXJlbjo8L3BhcmE+CiAKICAgICAgICAgICA8cHJvZ3JhbWxpc3Rp bmc+ZGVidWcuYWNwaS5kaXNhYmxlZD0idGltZXIiPC9wcm9ncmFtbGlzdGluZz4KIApJbmRleDog aHVfSFUuSVNPODg1OS0yL2Jvb2tzL2ZhcS9ib29rLnNnbWwKPT09PT09PT09PT09PT09PT09PT09 PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PT09PQotLS0gaHVfSFUu SVNPODg1OS0yL2Jvb2tzL2ZhcS9ib29rLnNnbWwJKHJldmlzaW9uIDM4NjIxKQorKysgaHVfSFUu SVNPODg1OS0yL2Jvb2tzL2ZhcS9ib29rLnNnbWwJKHdvcmtpbmcgY29weSkKQEAgLTUyNTcsNyAr NTI1Nyw3IEBACiAKIAkgIDxwYXJhPkVsJiMyNDU7Zm9yZHVsaGF0LCBob2d5IGF6IEFDUEktaWQm IzI0NTt6JmlhY3V0ZTt0JiMyNDU7CiAJICAgIGhpYiZhYWN1dGU7cy4gIElseWVua29yIGF6IGEg bGVnZWd5c3plciYjMjUxO2JiLCBoYSBhegotCSAgICA8ZmlsZW5hbWU+L2V0Yy9sb2FkZXIuY29u ZjwvZmlsZW5hbWU+CisJICAgIDxmaWxlbmFtZT4vYm9vdC9sb2FkZXIuY29uZjwvZmlsZW5hbWU+ CiAJICAgICZhYWN1dGU7bGxvbSZhYWN1dGU7bnliYW4gbGV0aWx0anVrIGF6CiAJICAgIEFDUEkt aWQmIzI0NTt6JmlhY3V0ZTt0JiMyNDU7CiAJICAgIGhhc3puJmFhY3V0ZTtsYXQmYWFjdXRlO3Q6 PC9wYXJhPgo= --0016e6de038ebbd50504bc55bf24-- From owner-freebsd-doc@FreeBSD.ORG Thu Mar 29 00:55:10 2012 Return-Path: Delivered-To: freebsd-doc@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id 9511D1065670 for ; Thu, 29 Mar 2012 00:55:10 +0000 (UTC) (envelope-from gjb@FreeBSD.org) Received: from glenbarber.us (onyx.glenbarber.us [199.48.134.227]) by mx1.freebsd.org (Postfix) with SMTP id 282D88FC0A for ; Thu, 29 Mar 2012 00:55:10 +0000 (UTC) Received: (qmail 78758 invoked by uid 0); 28 Mar 2012 20:55:09 -0400 Received: from unknown (HELO glenbarber.us) (76.124.49.145) by 0 with SMTP; 28 Mar 2012 20:55:09 -0400 Date: Wed, 28 Mar 2012 20:55:07 -0400 From: Glen Barber To: Rick van der Zwet Message-ID: <20120329005507.GB1716@glenbarber.us> References: MIME-Version: 1.0 Content-Type: text/plain; charset=us-ascii Content-Disposition: inline In-Reply-To: X-Operating-System: FreeBSD 10.0-CURRENT amd64 User-Agent: Mutt/1.5.21 (2010-09-15) Cc: freebsd-doc@freebsd.org Subject: Re: [patch] wrong path /etc/loader.conf X-BeenThere: freebsd-doc@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 29 Mar 2012 00:55:10 -0000 On Thu, Mar 29, 2012 at 01:12:41AM +0200, Rick van der Zwet wrote: > /etc/loader.conf should be /boot/loader.conf > > Found at: faq/troubleshoot.html#COMPUTER-CLOCK-SKEW > Fixed, thanks! I'd rather the non-English stuff get fixed as result of the normal translation cycle, in case there are other changes that need to be translated. So, I only fixed it in the English version of the FAQ. Glen From owner-freebsd-doc@FreeBSD.ORG Thu Mar 29 08:50:09 2012 Return-Path: Delivered-To: freebsd-doc@hub.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [69.147.83.52]) by hub.freebsd.org (Postfix) with ESMTP id 76541106564A for ; Thu, 29 Mar 2012 08:50:09 +0000 (UTC) (envelope-from gnats@FreeBSD.org) Received: from freefall.freebsd.org (freefall.freebsd.org [IPv6:2001:4f8:fff6::28]) by mx1.freebsd.org (Postfix) with ESMTP id 4CEDB8FC14 for ; Thu, 29 Mar 2012 08:50:09 +0000 (UTC) Received: from freefall.freebsd.org (localhost [127.0.0.1]) by freefall.freebsd.org (8.14.5/8.14.5) with ESMTP id q2T8o97D021504 for ; Thu, 29 Mar 2012 08:50:09 GMT (envelope-from gnats@freefall.freebsd.org) Received: (from gnats@localhost) by freefall.freebsd.org (8.14.5/8.14.5/Submit) id q2T8o9SC021503; Thu, 29 Mar 2012 08:50:09 GMT (envelope-from gnats) Resent-Date: Thu, 29 Mar 2012 08:50:09 GMT Resent-Message-Id: <201203290850.q2T8o9SC021503@freefall.freebsd.org> Resent-From: FreeBSD-gnats-submit@FreeBSD.org (GNATS Filer) Resent-To: freebsd-doc@FreeBSD.org Resent-Reply-To: FreeBSD-gnats-submit@FreeBSD.org, Vladimir Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id 52E0A106564A for ; Thu, 29 Mar 2012 08:44:52 +0000 (UTC) (envelope-from nobody@FreeBSD.org) Received: from red.freebsd.org (red.freebsd.org [IPv6:2001:4f8:fff6::22]) by mx1.freebsd.org (Postfix) with ESMTP id 39CD48FC16 for ; Thu, 29 Mar 2012 08:44:52 +0000 (UTC) Received: from red.freebsd.org (localhost [127.0.0.1]) by red.freebsd.org (8.14.4/8.14.4) with ESMTP id q2T8iq1o053012 for ; Thu, 29 Mar 2012 08:44:52 GMT (envelope-from nobody@red.freebsd.org) Received: (from nobody@localhost) by red.freebsd.org (8.14.4/8.14.4/Submit) id q2T8ipIG053010; Thu, 29 Mar 2012 08:44:51 GMT (envelope-from nobody) Message-Id: <201203290844.q2T8ipIG053010@red.freebsd.org> Date: Thu, 29 Mar 2012 08:44:51 GMT From: Vladimir To: freebsd-gnats-submit@FreeBSD.org X-Send-Pr-Version: www-3.1 Cc: Subject: docs/166482: Chapter about IPFW in russian handbook (27.6) X-BeenThere: freebsd-doc@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 29 Mar 2012 08:50:09 -0000 >Number: 166482 >Category: docs >Synopsis: Chapter about IPFW in russian handbook (27.6) >Confidential: no >Severity: non-critical >Priority: medium >Responsible: freebsd-doc >State: open >Quarter: >Keywords: >Date-Required: >Class: doc-bug >Submitter-Id: current-users >Arrival-Date: Thu Mar 29 08:50:09 UTC 2012 >Closed-Date: >Last-Modified: >Originator: Vladimir >Release: 8.2 >Organization: >Environment: all platforms >Description: For now, there is no chapter about IPFW in russian handbook. In .ru net exists some translations of this chapter, but they are pretty poor and comlicated for perception. >How-To-Repeat: Go to http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firewalls-ipfw.html There is no russian chapter about IPFW >Fix: With collegue we've done this job for our internal use. In my opinion, it sounds not bad we're ready to send our version of chapter on russian language. File with a translation attached. Patch attached with submission follows: 31.6 IPFW IPFIREWALL (IPFW) - представляет собой межсетевой экран, разрабатываемый, финансируемый и поддерживающийся ассоциацией FreeBSD. Здесь используются правила без наследования состояния и правила наследования техники кодирования для достижения того, что называют элементарной логикой сохранения состояний (при первом прочтении рекомендуется пока не заострять внимание на термине "сохранение состояния", так как в дальнейшем будут приведены данные, необходимые для полного понимания этого термина). Пример простейших правил IPFW (находится в /etc/rc.firewall и /etc/rc.firewall6) содержится в стандартной поставке и не ожидается, что будет использован прямо без модификаций. Синтаксис правил без сохранения состояния в IPFW обеспечивает расширенные возможности отбора, которые намного превосходят уровень знаний обычного пользователя межсетевого экрана. IPFW выбирают профессиональные пользователи или любители современной компьютерной техники, кто имеет повышенные требования по отбору пакетов. Углубленные знания того, как разные протоколы используют и формируют свои уникальные заголовки необходимы для того, чтобы использовать возможности IPFW в полную силу. Предоставление более подробных объяснений выходит за рамки текущего раздела руководства. IPFW состоит из семи составных частей, главная компонента - процессор правил фильтра уровня ядра, в который включены возможности: учета пакетов, занесения информации о пакетах в лог - файл (журналирование), правила типа divert, посредством которых активируется функция NAT и другие возможности специального назначения, такие как средства ограничения пропускной способности траффика (dummynet), средства перенаправления fwd rule, средства создания сетевого моста, и средства антитрассировки ipstealth. IPFW поддерживает оба протокола IPv4 и IPv6. 31.6.1 Активация IPFW IPFW содержится в базовой поставке FreeBSD как отдельный подгружаемый модуль. Система динамически загружает модуль ядра, когда в rc.conf включена строка firewall_enable="YES". После перезагрузки вашей системы с записью firewall_enable="YES" в rc.conf высветится белым последующее сообщение на экране как часть процесса загрузки операционной системы: ipfw2 initialized, divert disabled, rule-based forwarding disabled, default to deny, logging disabled Загружаемый модуль скомпилирован с поддержкой возможности занесения в лог-файл информации о траффике. Чтобы включить функцию занесения в лог файл информации о траффике и установить уровень детальности информации, заносимой в лог-файл, можно воспользоваться функциями, предоставляемыми конфигурационным файлом /etc/sysctl.conf. При добавлении следующих двух строк в /etc/sysctl.conf функция занесения в лог будет активирована при последующих загрузках системы: net.inet.ip.fw.verbose=1 net.inet.ip.fw.verbose_limit=5 31.6.2 Параметры ядра Нет необходимости в записи данного параметра в конфигурационном файле, предназначенном для последующей сборки ядра, до того момента пока не потребуется функционал NAT. Эти параметры представлены здесь в качестве справки для дальнейших примеров. options IPFIREWALL Этот параметр указывает компилятору включить IPFW как часть ядра (не подгружаемую). options IPFIREWALL_VERBOSE Этот параметр включает возможность занесения в лог-файл информации о пакетах, которые проходят через IPFW по правилам, содержащим ключевое слово log. options IPFIREWALL_VERBOSE_LIMIT=5 Ограничивает число пакетов зарегистрированных в syslogd (8), начиная с первого. Этот параметр может быть использован во враждебном окружении, когда отслеживать активность межсетевого экрана все же необходимо. Это не даст возможности атакующему вызвать отказ в обслуживании посредством syslogd. options IPFIREWALL_DEFAULT_TO_ACCEPT Этот параметр указывает компилятору включить для IPFW разрешающую политику по умолчанию. Это удобно при первых попытках настройки IPFW. options IPDIVERT Этот параметр выводит пакеты на уровень обработки приложениями, в том числе NAT функционалом. Примечание: межсетевой экран будет блокировать все входящие и исходящие пакеты, если присутствует опция ядра IPFIREWALL_DEFAULT_TO_ACCEPT или правило явно разрешающее эти соединения отсутствует. 31.6.3 Параметры /etc/rc.conf Активация межсетевого экрана: firewall_enable="YES" Для выбора одного из стандартных типов межсетевого экрана, поставляемых с FreeBSD, найдите наиболее подходящий в файле /etc/rc.firewall и запишите его как показано ниже: firewall_type="open" Доступные значения для этого параметра: open -- пропускаем весь траффик. client -- защищаем только эту машину. simple -- защищаем всю сеть. closed -- полностью запрещает IP траффик кроме траффика на loopback интерфейсе. UNKNOWN -- отключает загрузку правил межсетевого экрана. filename -- абсолютный путь файла, содержащего правила межсетевого экрана. Есть два варианта загрузки пользовательских правил для межсетевого экрана ipfw. Первый способ - установить значение переменной firewall_type в виде абсолютного пути файла, содержащего правила для межсетевого экрана ipfw без общего префикса команд ipfw. Ниже представлен простой пример файла правил, который блокирует весь входящий и исходящий траффик: add deny in add deny out Второй способ - установить значение переменной firewall_script в виде абсолютного пути исполняемого скрипта, содержащего команды ipfw, выполняющиеся во время загрузки операционной системы. Правильный формат правил исполняемого скрипта должен соответствовать формату файла правил ниже: #!/bin/sh ipfw -q flush ipfw add deny in ipfw add deny out Примечание: Если значение переменной firewall_type определено как client или simple, то правила, расположенные по умолчанию в /etc/rc.firewall должны быть приведены в соответствие с конфигурацией данной машины. Следует помнить, что в примерах, приведенных в этой главе, значением переменной firewall_script установлено /etc/ipfw.rules. Активация функции журналирования: firewall_logging="YES" Внимание: Единственное, что делает параметр firewall_logging - присваивает логическую единицу переменной net.inet.ip.fw.verbose в конфигурационном файле sysctl (смотрите главу 31.6.1). В rc.conf нет переменной, ограничивающей журналирование, но оно может быть установлено через переменную sysctl вручную или через конфигурационный файл /etc/sysctl.conf net.inet.ip.fw.verbose_limit=5 Если ваша машина выполняет роль шлюза, т.е. обеспечивает трансляцию сетевых адресов (NAT) с помощью natd, имеет смысл сразу перейти к чтению главы 32.10 для уточнения информации касательно параметров /etc/rc.conf 31.6.4 Команда IPFW Исполняемый файл ipfw это универсальный механизм, позволяющий вручную добавлять и удалять правила при условии активности межсетевого экрана. Основная проблема при использовании этого метода состоит в том, что при перезагрузке операционной системы, все изменения, произведенные с помощью данной команды, сбрасываются. Взамен этого метода, рекомендуется записать все ваши правила в файл из которого будут производиться чтение правил во время загрузки операционной системы, или при перезагрузке даемона ipfw. Тем не менее, использование команды ipfw полезно в случае возникновения необходимости визуально отобразить текущую конфигурацию правил. Учетный модуль IPFW создает счетчик для каждого правила, который подсчитывает количество пакетов соответствующих условиям срабатывания правила. Во время процесса тестирования правил, вывод статистической информации по списку загруженных правил, является одним из способов убедиться, срабатывает ли правило, при прохождении через него пакета или нет. Вывод полного списка правил: # ipfw list Вывод полного списка правил с маркером времени когда в последний раз срабатывало правило: # ipfw -t list Эта команда выводит учетную информацию в следующем виде: - первым столбцом следует номер правила, - вторым столбцом - число исходящих пакетов, вызвавших срабатывание правила, - третьим столбцом - число соответствующих входящих пакетов, - четвертым столбцом - сами правила. # ipfw -a list Вывод динамических правил вместе со статическими. # ipfw -d list Отобразить статические и динамические правила, в т.ч. и с истекшим сроком жизни: # ipfw -d -e list Обнуление счетчиков: # ipfw zero Обнулить счетчик только для правила под номером NUM: # ipfw zero NUM 31.6.5 Правила IPFW Список правил - это такой набор правил, который позволяет произвольным образом разрешить или запретить прохождение пакета через межсетевой экран, на основании значений ключевых параметров полей пакета. Двунаправленный обмен пакетов между машинами является сессией. Межсетевой экран обрабатывает с помощью списка правил пакеты, приходящие из глобальной сети, а также пакеты, исходящие из системы в глобальную сеть. Каждый TCP/IP сервис (т.е.: telnet, www, mail, и т.д.)принадлежит определенному протоколу и привилегированному (слушающемуся) порту. Пакеты, адресованные определенному сервису, исходят по непривилегированному (порядковый номер старше 1024) порту и отправляются по адресу назначения на привилегированный порт сервиса. Все эти параметры (т.е. порты и адреса) могут быть использованы в качестве критериев отбора, для создания правил, которые пропускают или блокируют сервисы. Когда пакет входит в межсетевой экран, происходит проверка на условие срабатывания первого правила в списке и так далее двигаясь сверху вниз в порядке возрастания номера правила. Когда пакет проходит проверку по определенным параметрам, выполняется действие, описанное в правиле и на этом поиск правил заканчивается. Этот метод поиска называют "победой первого совпадения". Если содержимое пакета не соответствует ни одному из условий срабатывания правил, он попадает на встроенное правило, заданное по умолчанию, под номером 65535, которое запрещает прохождение пакета и отбрасывает его без отклика в сторону источника запроса. Примечание: Поиск продолжается после правил, использующих ключевые слова count, skipto и tee. Инструкции, упоминающиеся в примерах, встречающихся в данном руководстве, базируются на использовании правил, включающих в себя ключевые слова сохранения состояния keep-state, limit, in, out и via. Эти ключевые слова являются основой кодирования межсетевого экрана закрытого типа. Внимание: Будьте осторожны, когда работаете со списком правил межсетевого экрана, так как в конечном итоге вы можете заблокировать себя. 31.6.5.1 Синтаксис правил. Синтаксис правил представленный здесь был упрощен для создания списка правил стандартного межсетевого экрана закрытого типа. Для получения полной информации по синтаксису правил, смотрите руководство ipfw(8). Правила содержат ключевые слова: эти ключевые слова записываются в определенном линейном порядке слева направо. Ключевые слова в данном руководстве записываются bold шрифтом. Некоторые ключевые слова имеют дополнительные параметры, которые могут являться ключевыми словами для них самих и также содержать вложенные дополнительные опции. Знак "#" используется для обозначения начала комментария и может быть расположен в конце строки правила или в начале строки под правилом. Пустые строки интерпретатором игнорируются. CMD RULE_NUMBER ACTION LOGGING SELECTION STATEFUL 31.6.5.1.1 CMD Каждое новое правило начинается с ключевого слова add, для добавления правила к таблице. 31.6.5.1.2 RULE_NUMBER Каждое правило обозначено номером в диапазоне 1..65535 31.6.5.1.3 ACTION При соответствии критериев отбора пакету, описанных в правиле, может быть выполнено одно из следующих действий: allow | accept | pass | permit Все перечисленные команды разрешают пакеты, которые попадают под правило. Перечисленные выше ключевые слова служат для того, чтобы разрешить прохождение пакетов через межсетевой экран. Если пакет попадает под соответствие правилу, содержащее одно из этих ключевых слов, дальнейший поиск соответствий прекращается. check-state Проверяет пакет на соответствие с динамическими правилами. Если соответствие найдено, к пакету применяется действие, содержащееся в динамическом правиле, которое ранее было сгенерированно при помощи keep-state или limit. В правиле check-state отсутствует условие проверки срабатывания. Если ключевое слово check-state отсутствует в списке правил, то проверка по динамической таблице происходит одновременно с первым вхождением keep-state или limit ключевых слов. deny | drop Перечисленные команды запрещают прохождение пакетов и отбрасывают их при совпадении с правилом, содержащим эти ключевые слова. Если пакет попадает под соответствие правилу, содержащее одно из этих ключевых слов, дальнейший поиск соответствий прекращается. 31.6.5.1.4 LOGGING log или logamount Когда пакет соответствует критериям отбора в указанном правиле, содержащем ключевое слово log, информация об этом пересылается даемону syslogd(8) с пометкой SECURITY. Журналирование происходит только в том случае, если число срабатываний для данного правила, содержащего ключевое слово log не превысило значения параметра ключевого слова logamount. Если значение параметра logamount не объявлено, используется ограничение, устанавливаемое значением параметра net.inet.ip.fw.verbose_limit в конфигурационном файле sysctl. В обоих случаях, установка значения 0 снимает ограничения. По достижению максимального установленного количества записей в лог, ограничение на запись может быть снято путем сброса внутренних счетчиков. Это можно сделать при помощи команды ipfw reset log. Примечание: Журналирование осуществляется после проверки на соответствие по всем условиям в правиле и перед выполнением последнего действия (разрешение/запрещение прохождения) над пакетом. Это важно для принятия решения, какие действия правил вы хотите заносить в лог. 31.6.5.1.5 SELECTION Ключевые слова, описанные в этом разделе используются для описания критериев по которым проверяется условие срабатывания правила. Последовательность использования ключевых слов отбора по протоколу: udp | tcp | icmp Также могут быть использованы имена протоколов, описанные в /etc/protocols. Любое имя протокола, не обозначенное в /etc/protocols, будет интерпретироваться как ошибочное. from src to dst Ключевые слова from и to служат для отбора по IP адресам. Обязательно должны быть указаны и источник и получатель. any - это специальное ключевое слово, которое соответствует любому IP - адресу. me - это специальное ключевое слово, которое соответствует любому из IP адресов, принадлежащих интефейсам вашей системы FreeBSD.  Примеры критериев отбора формата from src to dst: from me to any  from any to me from 0.0.0.0/0 to any from any to 0.0.0.0/0 from 0.0.0.0 to any from any to 0.0.0.0  from me to 0.0.0.0 IP адрес может быть определен как просто IP адресом так и IP адресом с префиксом подсети. Для упрощения вычислений, связанных с IP адресами используйте порт net-mgmt/ipcalc. Более детальную информацию можно посмотреть по адресу  http://jodies.de/ipcalc. port number Для протоколов, поддерживающих порты (tcp и udp) обязательно уточните номер порта соответствующего сервиса. Вместо номера порта можно использовать имя сервиса. Список поддерживаемых имен, может быть найден по адресу /etc/services. in | out Отбор по входящим и исходящим пакетам. Для формирования отбора, присутствие одного из этих слов обязательно. via IF via ключевое слово для отбора по интерфейсу, заданного именем IF.  setup Это обязательное ключевое слово, служащее для определения запроса начала сессии для TCP пакета. keep-state При условии срабатывания правила с присутствием данного ключевого слова, межсетевой экран создает динамическое правило, которое пропускает пакеты в обе стороны по протоколу, указанному в изначальном правиле между источником и приемником, которые также указаны в изначальном правиле. Это обязательное ключевое слово. limit {src-addr | src-port | dst-addr | dst-port} При условии срабатывания правила, включающего в себя данное ключевое слово, межсетевой экран разрешит только N одновременных соединений с набором условий, указанных в изначальном правиле. Могут быть указаны более чем один источник и приемник. В одном и том же правиле не могут быть одновременно использованы ключевые слова limit и keep-state, т.к. функционал ключевого слова limit основан на расширенных возможностях функции keep-state. 31.6.5.2 Пример правил с сохранением состояния. С точки зрения фильтрации по правилам с сохранением состояния, весь траффик выглядит как двусторонний обмен пакетами, включая данные о сессиях. При такой фильтрации у нас есть средства сопоставления и определения корректности процедуры двустороннего обмена пакетами, между стороной породившей пакет и стороной-приемником. Любые пакеты, которые не подходят под шаблон сессии, автоматически отбрасываются, как злонамеренные. Ключевое слово check-state служит для указания точного момента, когда пакет будет передан на проверку соответствий динамическим правилам. В случае соответствия одному из динамических правил, применяется действие, сопоставленное этому правилу; счетчик времени жизни правила сбрасывается. В противном случае пакет продолжает двигаться по обычным правилам, начиная с позиции ниже правила check-state. Динамические правила уязвимы к атаке SYN-пакетами, которые могут породить гигантское количество динамических правил. Для предотвращения такого рода атак, во FreeBSD предусмотрено еще одно ключевое слово - limit. 31.6.5.3 Журналирование сообщений межсетевого экрана Возможность журналирования важна и полезна. С ее помощью вы можете отслеживать, пост-фактум, прохождение каких пакетов было отклонено, откуда эти пакеты пришли и куда они назначались для тех правил, в которых включена функция журналирования. Это замечательный инструмент для отслеживания атак на вашу систему. Даже при включенной функции ведения лога, при условии отсутствия в правилах явного указания журналирования, оно производиться не будет. Администратор межсетевого экрана должен сам принять решение по поводу того, для каких правил будет включена функция журналирования, посредством добавления в состав правила ключевого слова log. В большинстве ситуаций вполне достаточно вести логи только по событиям запрещения прохождения пакета, например запрет входящего ICMP траффика. Распространенная практика добавлять в конец списка правило, которое будет запрещать и журналировать весь оставшийся траффик, даже в том случае, если до этого подобные правила уже присутствовали. Это удобный способ отслеживать те типы пакетов, для которых вы не предусмотрели правил. Будьте крайне осмотрительны при использовании функции журналирования, так как это чревато несоразмерным разрастанием лог-файла, вплоть до полного заполнения места на жестком диске и его нечитабельности. DoS атаки, направленные на переполнение свободного пространства жесткого диска, являются одними из самых старейших. Помимо заполнения жесткого диска это неприятно еще и тем, что вывод syslogd направлен не только в лог-файл, но и в стандартный вывод, что мешает локальной работе на терминале. Опция ядра IPFIREWALL_VERBOSE_LIMIT=5 ограничивает число последовательных отправлений сообщений в системный регистратор syslogd,касающихся пакета, совпавшего с правилом. В том случае, когда эта опция включена в ядро, число последовательных сообщений, касающихся определенного правила, ограничено указанным числом. Опция ядра IPFIREWALL_VERBOSE_LIMIT=5 ограничивает число сообщений, которые будут занесены в лог по каждому отдельно взятому правилу. Все пакеты, которые будут проходить через правила содержащие ключевое слово log, при условии достижения правилом максимального числа записей занесенных в лог, заданного опцией IPFIREWALL_VERBOSE_LIMIT, НИКАКИХ ЗАПИСЕЙ В ЛОГ-ФАЙЛЕ ПОРОЖДАТЬ НЕ БУДУТ. В случае, если syslogd даемон получит 200 идентичных лог-сообщений подряд, в лог файле не будут отражены все 200 сообщений, а, вместо этого, будет отражена запись вида: last message repeated 200 times Путь куда будут записываться даемоном syslogd сообщения с пометкой SECURITY задается в файле /etc/syslogd.conf и в базовой системе FreeBSD этот путь - /var/log/security. 31.6.5.4 Написание скрипта, содержащего правила Наиболее опытные пользователи IPFW создают скрипт, содержащий в себе правила, оформленные таким образом, что они могут быть исполнены как обыкновенный sh-скрипт. Основное преимущество такого подхода в том, что он избавляет нас от необходимости при каждом возникновении потребности перезагрузить правила, делать это вручную. Это крайне полезно на этапе разработки и тестирования набора правил, т.к., вероятнее всего, потребуется частая перезагрузка всего списка правил. Помимо того, часто возникает необходимость объявить некую громоздкую фразу как переменную с коротким именем, что существенно сократит размер правил и повысит их читабельность, как в примере представленном ниже. Синтаксис примера, приведенного ниже, совместим с тремя командными оболочками: sh, csh, tcsh. Для использования значения ранее объявленной переменной используется символ $. Во время присвоения значения переменной, значение должно быть выделено с двух сторон двойными кавычками. Вот пример от которого вы можете оттолкнуться во время первых экспериментов с IPFW: ############### начало примера скрипта, содержащего правила ipfw ############# # ipfw -q -f flush # Сброс всех правил. # Установки по умолчанию. oif="tun0" # название внешнего интерфейса, принадлежащего # глобальной сети. odns="192.0.2.11" # IP DNS сервера провайдера. cmd="ipfw -q add " # стандартный префикс для добавления правил ipfw. ks="keep-state" # просто лень вводить каждый раз. $cmd 00500 check-state $cmd 00502 deny all from any to any frag $cmd 00501 deny tcp from any to any established $cmd 00600 allow tcp from any to any 80 out via $oif setup $ks $cmd 00610 allow tcp from any to $odns 53 out via $oif setup $ks $cmd 00611 allow udp from any to $odns 53 out via $oif $ks ################### End of example ipfw rules script ########################## В данном случае, не стоит обращать внимания на правила - они написаны ради того, чтобы привести пример подстановки значения переменной по ее имени. Если этот синтаксис соблюден в файле /etc/ipfw.rules, то правила могут быть быстро перезагружены командой: # sh /etc/ipfw.rules Имя и расположение скрипта не несут решающей роли, но по умолчанию в FreeBSD используется именно этот путь. Все описанные выше действия могу быть заменены эквивалентными командами, последовательно введенными в командную строку: # ipfw -q -f flush # ipfw -q add check-state # ipfw -q add deny all from any to any frag # ipfw -q add deny tcp from any to any established # ipfw -q add allow tcp from any to any 80 out via tun0 setup keep-state # ipfw -q add allow tcp from any to 192.0.2.11 53 out via tun0 setup keep-state # ipfw -q add 00611 allow udp from any to 192.0.2.11 53 out via tun0 keep-state 31.6.5.5 Правила с сохранением состояния Следующий список правил, не включающий в себя правила трансляции адресов NAT, является примером того как создать простые и в тоже время безопасные правила для межсетевого экрана закрытого типа. Закрытый межсетевой экран разрешает траффик, описанный в разрешающих правилах и блокирует остальной. Межсетевой экран, предназначенный для защиты сегментов сети, состоит из, как минимум, двух интерфейсов и разрешающих правил для этих двух интерфейсов. Все юниксоподобные операционные системы, включая FreeBSD используют интерфейс lo0 и соответствующий ему IP адрес 127.0.0.1 для внутренних коммуникаций. Правила межсетевого экрана должны содержать в своем составе правила, разрешающие беспрепятственное движение траффика по этому интерфейсу. На интерфейсе, подключенном к интернет, следует разместить правила, которые разрешают и контролируют доступ для входящих и исходящих соединений. Это может быть, как туннельный PPP tun0 интерфейс, так и стандартный интерфейс высокоскоростного проводного подключения. В случае когда, один или более интерфейс, подсоединен к локальной сети за межсетевым экраном, должны присутствовать правила, которые позволят беспрепятственный исходящий поток траффика с этого интерфейса. Логически, правила разделяются на три большие секции: интерфейсы не ограниченные правилами, правила для исходящего траффика на внешнем интерфейсе, правила для входящего траффика на внешнем интерфейсе. В каждой из секций, относящихся к внешнему интерфейсу, правила должны быть упорядоченны по следующему принципу: наиболее используемые - в начале, наименее используемые - в конце. Последним правилом должно идти правило блокирования и занесения в лог информации о траффике на этом интефейсе, не попавшего под предыдущие правила. Раздел, описывающий правила для исходящего траффика на внешнем интерфейсе, содержит только разрешающие правила, состоящие из значений отбора, которые уникально идентифицируют сервис, которому разрешен доступ в интернет. Каждое из правил состоит из полей proto, port, in/out, via и keep state , которые могут быть опущены опционально. Правила, накладываемые на tcp траффик содержат ключевое слово setup, которое служит для идентификации начала сессии, которое в дальнейшем передается как условие срабатывания в таблицу keep-state. В секции, описывающей правила для входящего траффика на внешнем интерфейсе, правила, блокирующие нежелательные пакеты должны стоять в самом начале, по двум причинам: Первая причина состоит в том, что пакеты, сформированные злоумышленником могут частично или полностью соответствовать разрешающим правилам. Вторая причина состоит в том, что заведомо не интересующие нас по определенным признакам пакеты могут быть просто отклонены, вместо того, чтобы быть перехваченными и записанными в лог-файл по последнему правилу. Последнее правило в каждой секции блокирует и журналирует все пакеты и может быть использовано для юридических обоснований в ходе разбирательств против злоумышленника, атаковавшего вашу систему. Также следует убедиться в том, что ваш сервер не отвечает ни на какие другие формы не предусмотренного траффика. Некорректные пакеты должны быть отброшены. В результате атакуюшие не получат информации о том, достиг ли его пакет вашего сервера или нет. Чем меньше атакующие будут знать о вашей системе, тем более она защищена. При недостаточности ваших знаний о общепринятых номерах портов, эти знания могут быть расширены содержимым директории /etc/services/ и по ссылке http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers. Рекомендуем ознакомиться с содержимым ссылки ниже для расширения своих знаний относительно общепринятых номеров портов, используемых троянами: http://www.sans.org/security-resources/idfaq/oddports.php. 31.6.5.6 Пример правил для межсетевого экрана закрытого типа. Последующие правила, не включающие поддержку трансляции сетевых адресов, являются логически полным набором правил для межсетевого экрана закрытого типа. При использовании подобного набора правил вы вполне можете быть уверены в безопасности вашей системы. Чтобы избежать журналирования нежелательных сообщений, добавьте правило "deny" в раздел, описывающий входящий траффик на интерфейс. Замените название интерфейса dc0, упоминающегося в правилах ниже, на название интерфейса, который в вашей системе принадлежит глобальной сети. Для ppp соединений это будет tun0. Примечание по использованию этих правил. - все запросы начала сессии с внешней сетью используют параметр keep-state. - все разрешенные сервисы внешней сети имеют ключевое слово limit для защиты от шторма порождений динамических правил (flooding). - Все правила используют in или out параметры для указания направления траффика. - Все правила используют параметр via interface-name для уточнения интерфейса. Последующие правила записываются в /etc/ipfw.rules ####################### Начало файла правил IPFW ####################### # Сброс всех правил перед началом работы скрипта. ipfw -q -f flush # Задание стандартных переменных cmd="ipfw -q add" # стандартный префикс для добавления правил ipfw pif="dc0" # название внешнего интерфейса, принадлежащего # глобальной сети ######################################################################## # Нет ограничения внутри сетевого интерфейса для локальной сети # Нет необходимости в этом, пока у вас нет локальной сети. # Замените xl0 на название интерфейса вашей локальной сети. ######################################################################## #$cmd 00005 allow all from any to any via xl0 ######################################################################## # Нет ограничений на петлевом интерфейсе ######################################################################## $cmd 00010 allow all from any to any via lo0 ######################################################################## # Разрешить пакет, если он был ранее добавлен в динамическую # таблицу при помощи keep-state ######################################################################## $cmd 00015 check-state ######################################################################## # Раздел, описывающий правила для исходящего траффика на # интерфейсе, принадлежащем глобальной сети. # Анализ запросов начала сессии идущих из-за межсетевого экрана # в локальную сеть или от этого шлюза в интернет. ######################################################################## # Разрешить исходящий траффик к DNS серверу вашего # интернет-провайдера # x.x.x.x необходимо заменить на IP адрес DNS сервера вашего # интернет-провайдера # Продублируйте эти строки, если у вас больше чем один DNS сервер # интернет провайдера # Эти IP адреса могут быть описаны в /etc/resolv.conf файле. $cmd 00110 allow tcp from any to x.x.x.x 53 out via $pif setup keep-state $cmd 00111 allow udp from any to x.x.x.x 53 out via $pif keep-state # Разрешить исходящий траффик к DHCP серверу вашего интернет-провайдера # для cable/DSL конфигураций. # Это правило не нужно для .user ppp. соединений с глобальной сетью # в этом случае вы можете удалить эти правила. # Используйте это правило для записи необходимого нам IP адреса в лог-файл. # Возьмите значение IP адреса из лог-файла и замените в закомментированном # ниже правиле x.x.x.x на значение этого IP адреса и удалите первое правило. $cmd 00120 allow log udp from any to any 67 out via $pif keep-state #$cmd 00120 allow udp from any to x.x.x.x 67 out via $pif keep-state # Разрешить исходящий траффик для сессии незащищенного www соединения $cmd 00200 allow tcp from any to any 80 out via $pif setup keep-state # Разрешить исходящий траффик для сессии защищенного www соединения # https с поддержкой TLS и SSL $cmd 00220 allow tcp from any to any 443 out via $pif setup keep-state # Разрешить исходящий POP/SMTP траффик. $cmd 00230 allow tcp from any to any 25 out via $pif setup keep-state $cmd 00231 allow tcp from any to any 110 out via $pif setup keep-state # Разрешить исходящий FBSD (make install & cvsup) траффик # Назначаем пользователю root полные привилегии. $cmd 00240 allow tcp from me to any out via $pif setup keep-state uid root # Разрешаем исходящий icmp траффик для корректной работы утилиты ping $cmd 00250 allow icmp from any to any out via $pif keep-state # Разрешаем исходящий tcp траффик для утилиты Time. $cmd 00260 allow tcp from any to any 37 out via $pif setup keep-state # Разрешаем исходящий tcp траффик для утилит nntp news $cmd 00270 allow tcp from any to any 119 out via $pif setup keep-state # Разрешаем исходящий безопасный траффик для утилит FTP, Telnet, и SCP # Эта функция используется программным обеспечением, работающим через протокол SSH $cmd 00280 allow tcp from any to any 22 out via $pif setup keep-state # Разрешаем исходящий траффик для утилиты whois $cmd 00290 allow tcp from any to any 43 out via $pif setup keep-state # Запрещаем и заносим в лог остальной траффик, что пытается выйти с внешнего интерфейса. # При наличии подобного правила вне зависимости от выбранной умолчательной политики, # межсетевой экран будет вести себя как межсетевой экран закрытого типа. $cmd 00299 deny log all from any to any out via $pif ######################################################################## # Раздел, описывающий правила для входящего траффика на интерфейсе, # принадлежащем глобальной сети. # Производится анализ пакетов, приходящих с глобальной сети, # предназначенных для этого шлюза или локальной сети ######################################################################## # Запрещаем весь входящий траффик с адресных пространств, не использующихся в маршрутизации. $cmd 00300 deny all from 192.168.0.0/16 to any in via $pif # стандарт RFC 1918 для локальных IP $cmd 00301 deny all from 172.16.0.0/12 to any in via $pif # стандарт RFC 1918 для локальных IP $cmd 00302 deny all from 10.0.0.0/8 to any in via $pif # стандарт RFC 1918 для локальных IP $cmd 00303 deny all from 127.0.0.0/8 to any in via $pif # петлевой интерфейс $cmd 00304 deny all from 0.0.0.0/8 to any in via $pif # петлевой интерфейс $cmd 00305 deny all from 169.254.0.0/16 to any in via $pif # DHCP авто-конфигурирование $cmd 00306 deny all from 192.0.2.0/24 to any in via $pif # зарезервировано $cmd 00307 deny all from 204.152.64.0/23 to any in via $pif # Sun cluster соединения. $cmd 00308 deny all from 224.0.0.0/3 to any in via $pif # D и E многоадресные классы # Запрещаем пинг из глобальной сети $cmd 00310 deny icmp from any to any in via $pif # Запрещаем входящие соединения по 113 порту $cmd 00315 deny tcp from any to any 113 in via $pif # Запрещаем все Netbios службы. 137=name, 138=datagram, 139=session # Netbios это MS/Windows сервис обмена. # Блокируем MS/Windows hosts2 запросы сервера имен по порту 81 $cmd 00320 deny tcp from any to any 137 in via $pif $cmd 00321 deny tcp from any to any 138 in via $pif $cmd 00322 deny tcp from any to any 139 in via $pif $cmd 00323 deny tcp from any to any 81 in via $pif # Запрещаем любые опоздавшие пакеты. $cmd 00330 deny all from any to any frag in via $pif # Запрещаем пакеты c флагом ACK, которые не соответствуют динамической таблице правил. $cmd 00332 deny tcp from any to any established in via $pif # Разрешаем входящий траффик с внешнего DHCP сервера интернет-провайдера. Это правило должно содержать IP адреса вашего внешнего # DHCP сервера интернет провайдера, чтобы этот ресурс был единственным, от кого разрешено получать пакеты данного типа. # Это необходимо для проводных и DSL соединений. Для .user ppp. типов соединений с глобальной сетью, в использовании этого правила нет необходимости. # Это тот же IP адрес, выбранный и используемый вами в разделе, описывающем правила для исходящего траффика. $cmd 00360 allow udp from any to x.x.x.x 67 in via $pif keep-state # Разрешить входящий траффик для сессии незащищенного www соединения, так как я использую apache сервер. $cmd 00400 allow tcp from any to me 80 in via $pif setup limit src-addr 2 # Разрешить входящий траффик безопасных соединений по протоколу FTP, Telnet и SCP из глобальной сети $cmd 00410 allow tcp from any to me 22 in via $pif setup limit src-addr 2 # Разрешить входящий траффик небезопасных Telnet соединений из глобальной сети # это соединение считается небезопасным, потому что ID и PW пропускаются из глобальной сети в виде незашифрованного текста, # удалите этот шаблон, если вы не используете telnet. $cmd 00420 allow tcp from any to me 23 in via $pif setup limit src-addr 2 # Отбрасываем и заносим в лог весь входящий траффик из глобальной сети. $cmd 00499 deny log all from any to any in via $pif # Запрещаем и заносим в лог весь траффик, что не удовлетворил вышеописанным правилам. $cmd 00999 deny log all from any to any ################ Конец файла правил IPFW ############################### 31.6.5.7 Пример правил межсетевого экрана закрытого типа с поддержкой NAT. Здесь перечислены некоторые дополнительные параметры, которые должны активировать функцию NAT межсетевого экрана IPFW. К коду ядра FreeBSD надо добавить параметр option IPDIVERT к уже перечисленным параметрам, включающим IPFIREWALL. В дополнение к стандартным IPFW параметрам в /etc/rc.conf добавим следующее: natd_enable="YES" # Включить NATD функцию natd_interface="rl0" # Название сетевого интерфейса, # принадлежащего глобальной сети natd_flags="-dynamic -m" # -m = сохранить номера портов, если это возможно Использование правил межсетевого экрана закрытого типа с divert natd правилом (Network Address Translation) значительно затрудняет логику составления правил. Расположение ключевых слов check-state и divert natd в таблице правил влияет на поведение межсетевого экрана. Это уже не просто последовательный логический поток. При применении вышеозначенных параметров становится доступным новое ключевое слово skipto. При использовании skipto нумерация правил становится обязательной. В качестве аргумента skipto используется номер правила, к которому нужно перейти. Ниже последует пример метода кодирования, не снабженный комментариями, приведенный здесь для внесения ясности относительно последовательности прохождения пакетов через набор правил. Обработка правил начинается с первого по счету и идет последовательно от начала списка. В ходе обработки, пакет проверятеся на соответствие критериям отбора. В случае если соответствие найдено, к пакету применяется то действие, которое предусмотрено правилом; в случае если ни одно из правил не сработало, применяется политика, предусмотренная в системе (межсетевой экран закрытого/открытого типа). Для правил под номерами 100, 101, 450, 500 и 510 важен порядок их расположения. Эти правила контролируют трансляцию исходящих и входящих пакетов; в таблице keep-state регистрируются только локальные IP адреса. В последующем примере разрешающие и запрещающие правила указывают направление пакетов (исходящие или входящие) и также уточняют интерфейс. Также стоит отметить, что все запросы начала исходящей сессии передаются по ключевому слову skipto на правило под номером 500 для трансляции адресов. Предположим, что пользователь локальной сети запрашивает страницу через браузер. Веб-страницы передаются по порту 80. Пакет входит в межсетевой экран. Этот пакет не попадает под правило 100, потому что в его критериях отбора значится ключевое слово in. Этот пакет не попадает под правило 101, потому что это первый пакет сессии и он еще не был занесен в динамическую таблицу keep-state. Достигнув правила 125, пакет, наконец, удовлетворяет всем критериям отбора. Поскольку цель назначения пакета находится в глобальной сети, этот пакет должен быть направлен на интерфейс, взаимодействующий с глобальной сетью. На данном этапе у пакета в качестве обратного адреса указан IP адрес локального пользователя. По условию этого правила, к пакету применяются два действия: Параметр keep-state создаст новую запись в динамической таблице и осуществит действие, указанное в правиле. Данное действие также является частью информации, заносимой в динамическую таблицу. В данном случае это skipto rule 500. Правило 500 транслирует (NAT) адреса пакета и отпускает его в сеть. Данное замечание очень важно. Этот пакет идет к цели, где генерируется ответный пакет и отправляется обратно. Этот новый пакет начинает свой путь внутри NAT межсетевого экрана с первого правила в списке. На этот раз пакет соответствует правилу 100 и его IP адрес назначения транслируется обратно на соответствующий IP адрес локальной сети. Затем он обрабатывается правилом check-state, то есть, поскольку правило, соответствующее данной сессии уже присутствует в динамической таблице то осуществляется действие, указанное в правиле по keep-state и пакет отпускается в локальную сеть. Дальше пакет возвращается к отправившему его пользователю и генерируется новый пакет, запрашивающий новую порцию данных с удаленного сервера. На этот раз пакет сразу проверяется правилом check-state и в случае присутствия исходящей записи данного пакета, выполняется действие skipto 500. Пакет прыгает на правило 500, транслируется и отпускается в сеть. В разделе, описывающем входящий траффик, все пакеты, входящие в качестве ответа, в рамках существующих сессий, по правилу keep-state, перенаправляются на правило divert natd. Если что-то нужно разрешить сверх этого, то нужно написать соответствующие правила. Также необходимо в конце указать правило, которое запрещает весь остальной небезопасный траффик. Допустим на сервере с межсетевым экраном запущен apache и мы хотим разрешить людям из глобальной сети доступ на локальный веб-сайт. Новый входящий пакет, запрашивающий начало сессии соответствует правилу 100 и его IP адрес транслируется как локальный IP. Далее пакет проверяется на соответствие вредоносному траффику и в случае отсутствия соответствия попадает на правило 425. В случае соответствия данному правилу происходят две вещи: Пакет правил помещается в динамическую таблицу keep-state, но в данный момент любая новая сессия запросов порожденных с этого IP, ограничена 2 одновременными соединениями. Это защищает от перенагрузки серви са по определенному правилом порту. В качестве действия в правиле указан allow, следовательно пакет пропускается в локальную сеть. Пакет сформированный в качестве ответа попадает под check-state и распознается им как принадлежащий существующей сессии. Далее он попадает под правило 500, где происходит обратная трансляция, после чего пакет попадает на интерфейс, принадлежащий глобальной сети. Пример файла правил #1: #!/bin/sh cmd="ipfw -q add" skip="skipto 500" pif=rl0 ks="keep-state" good_tcpo="22,25,37,43,53,80,443,110,119" ipfw -q -f flush $cmd 002 allow all from any to any via xl0 # разрешаем траффик на локальном интерфейсе $cmd 003 allow all from any to any via lo0 # разрешаем траффик на петлевом интерфейсе $cmd 100 divert natd ip from any to any in via $pif $cmd 101 check-state # Разрешенные исходящие пакеты $cmd 120 $skip udp from any to xx.168.240.2 53 out via $pif $ks $cmd 121 $skip udp from any to xx.168.240.5 53 out via $pif $ks $cmd 125 $skip tcp from any to any $good_tcpo out via $pif setup $ks $cmd 130 $skip icmp from any to any out via $pif $ks $cmd 135 $skip udp from any to any 123 out via $pif $ks # Запрещаем весь входящий траффик с адресных пространств, не использующихся в маршрутизации. $cmd 300 deny all from 192.168.0.0/16 to any in via $pif # стандарт RFC 1918 для локальных IP $cmd 301 deny all from 172.16.0.0/12 to any in via $pif # стандарт RFC 1918 для локальных IP $cmd 302 deny all from 10.0.0.0/8 to any in via $pif # стандарт RFC 1918 для локальных IP $cmd 303 deny all from 127.0.0.0/8 to any in via $pif # петлевой интерфейс $cmd 304 deny all from 0.0.0.0/8 to any in via $pif # петлевой интерфейс $cmd 305 deny all from 169.254.0.0/16 to any in via $pif # DHCP авто-конфигурирование $cmd 306 deny all from 192.0.2.0/24 to any in via $pif # Зарезервировано для документов $cmd 307 deny all from 204.152.64.0/23 to any in via $pif # Sun cluster соединения $cmd 308 deny all from 224.0.0.0/3 to any in via $pif # D и E многоадресные классы # Разрешаем входящие пакеты $cmd 400 allow udp from xx.70.207.54 to any 68 in $ks $cmd 420 allow tcp from any to me 80 in via $pif setup limit src-addr 1 $cmd 450 deny log ip from any to any # Этот раздел skipto для правил с наследованием состояния, описанных для исходящих пакетов. $cmd 500 divert natd ip from any to any out via $pif $cmd 510 allow ip from any to any ################################# Окончание файла правил ##################################### Пример Правил #2: #!/bin/sh ################################# Начало файла правил IPFW #################################### # Сброс всех правил перед началом работы скрипта. ipfw -q -f flush # Задание стандартных переменных cmd="ipfw -q add" skip="skipto 800" pif="rl0" # название внешнего интерфейса, # принадлежащего глобальной сети ############################################################################################### # Нет ограничения внутри сетевого интерфейса для локальной сети # Нет необходимости в данном правиле, пока у вас нет локальной сети. # Замените xl0 на название интерфейса, принадлежашего вашей # локальной сети. ############################################################################################### $cmd 005 allow all from any to any via xl0 ############################################################################################### # Нет ограничений на петлевом интерфейсе ############################################################################################### $cmd 010 allow all from any to any via lo0 ############################################################################################### # проверка входящего пакета на запись о нем в динамической таблице ############################################################################################### $cmd 014 divert natd ip from any to any in via $pif ############################################################################################### # Разрешить пакет, если он был ранее добавлен в динамическую # таблицу при помощи keep-state ############################################################################################### $cmd 015 check-state ############################################################################################### # Раздел, описывающий правила для исходящего траффика на # интерфейсе, принадлежащем глобальной сети. # Анализ запросов начала сессии идущих из-за межсетевого экрана в локальную # сеть или от этого шлюза в интернет. ############################################################################################### # Разрешить исходящий траффик к DNS серверу вашего # интернет-провайдера # x.x.x.x должен быть IP адресом DNS сервера вашего # интернет-провайдера # Продублируйте эти строки, если у вас больше чем один DNS сервер # интернет провайдера # Эти IP адреса могут быть описаны в /etc/resolv.conf файле. $cmd 020 $skip tcp from any to x.x.x.x 53 out via $pif setup keep-state # Разрешить исходящий траффик к DHCP серверу вашего интернет-провайдера # для cable/DSL конфигураций $cmd 030 $skip udp from any to x.x.x.x 67 out via $pif keep-state # Разрешить исходящий траффик для сессии незащищенного www соединения $cmd 040 $skip tcp from any to any 80 out via $pif setup keep-state # Разрешить исходящий траффик для сессии защищенного www соединения # https с поддержкой TLS и SSL $cmd 050 $skip tcp from any to any 443 out via $pif setup keep-state # Разрешить исходящий POP/SMTP траффик. $cmd 060 $skip tcp from any to any 25 out via $pif setup keep-state $cmd 061 $skip tcp from any to any 110 out via $pif setup keep-state # Разрешить исходящий FBSD (make install & cvsup) траффик # Назначаем пользователю root полные привилегии. $cmd 070 $skip tcp from me to any out via $pif setup keep-state uid root # Разрешаем исходящий icmp траффик для корректной работы утилиты ping $cmd 080 $skip icmp from any to any out via $pif keep-state # Разрешаем исходящий tcp траффик для утилиты Time. $cmd 090 $skip tcp from any to any 37 out via $pif setup keep-state # Разрешаем исходящий tcp траффик для утилит nntp, news (то есть news groups) $cmd 100 $skip tcp from any to any 119 out via $pif setup keep-state # Разрешаем исходящий безопасный траффик для утилит FTP, Telnet, и SCP # Эта функция используется программным обеспечением, работающим через протокол SSH $cmd 110 $skip tcp from any to any 22 out via $pif setup keep-state # Разрешаем исходящий траффик для утилиты whois $cmd 120 $skip tcp from any to any 43 out via $pif setup keep-state # Разрешаем исходящий udp траффик для ntp time server $cmd 130 $skip udp from any to any 123 out via $pif keep-state ############################################################################################### # Раздел, описывающий правила для входящего траффика на интерфейсе, принадлежащем # глобальной сети производится анализ пакетов, приходящих с глобальной сети, предназначенных # для этого шлюза или локальной сети ############################################################################################### # Запрещаем весь входящий траффик с адресных пространств, не использующихся в маршрутизации. $cmd 300 deny all from 192.168.0.0/16 to any in via $pif #RFC 1918 private IP $cmd 301 deny all from 172.16.0.0/12 to any in via $pif #RFC 1918 private IP $cmd 302 deny all from 10.0.0.0/8 to any in via $pif #RFC 1918 private IP $cmd 303 deny all from 127.0.0.0/8 to any in via $pif #loopback $cmd 304 deny all from 0.0.0.0/8 to any in via $pif #loopback $cmd 305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config $cmd 306 deny all from 192.0.2.0/24 to any in via $pif #reserved for docs $cmd 307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster $cmd 308 deny all from 224.0.0.0/3 to any in via $pif #Class D & E multicast # Запрещаем входящие соединения по 113 порту $cmd 315 deny tcp from any to any 113 in via $pif # Запрещаем все Netbios службы. 137=name, 138=datagram, 139=session # Netbios это MS/Windows сервис обмена. # Блокируем MS/Windows hosts2 запросы сервера имен по порту 81 $cmd 320 deny tcp from any to any 137 in via $pif $cmd 321 deny tcp from any to any 138 in via $pif $cmd 322 deny tcp from any to any 139 in via $pif $cmd 323 deny tcp from any to any 81 in via $pif # Запрещаем любые опоздавшие пакеты. $cmd 330 deny all from any to any frag in via $pif # Запрещаем пакеты c флагом ACK, которые не соответствуют динамической таблице правил. $cmd 332 deny tcp from any to any established in via $pif # Разрешаем входящий траффик с внешнего DHCP сервера интернет-провайдера. Это правило # должно содержать IP адреса вашего внешнего DHCP сервера интернет провайдера, чтобы # этот ресурс был единственным, от кого разрешено получать пакеты данного типа. # Это необходимо для проводных и DSL соединений. Для .user ppp. типов соединений с # глобальной сетью, в использовании этого правила нет необходимости. # Это тот же IP адрес, выбранный и используемый вами в разделе, описывающем правила для # исходящего траффика. $cmd 360 allow udp from x.x.x.x to any 68 in via $pif keep-state # Разрешить входящий траффик для сессии незащищенного www соединения, так как я использую # apache сервер. $cmd 370 allow tcp from any to me 80 in via $pif setup limit src-addr 2 # Разрешить входящий траффик безопасных соединений по протоколу FTP, Telnet и SCP из # глобальной сети $cmd 380 allow tcp from any to me 22 in via $pif setup limit src-addr 2 # Разрешить входящий траффик небезопасных Telnet соединений из глобальной сети. # Это соединение считается небезопасным, потому что ID и PW пропускаются из глобальной сети # в виде незашифрованного текста. # Удалите этот шаблон, если вы не используете telnet. $cmd 390 allow tcp from any to me 23 in via $pif setup limit src-addr 2 # Отбрасываем и заносим в лог весь входящий траффик из глобальной сети. $cmd 400 deny log all from any to any in via $pif # Отбрасываем и заносим в лог весь исходящий траффик в глобальную сеть. $cmd 450 deny log all from any to any out via $pif # Это раздел для ключевого слова skipto содержащегося в правилах с наследованием состояния. $cmd 800 divert natd ip from any to any out via $pif $cmd 801 allow ip from any to any # Запрещаем и заносим в лог весь траффик, что не удовлетворил вышеописанным правилам. $cmd 999 deny log all from any to any ################################# Окончание файла правил IPFW #################################### >Release-Note: >Audit-Trail: >Unformatted: From owner-freebsd-doc@FreeBSD.ORG Thu Mar 29 09:38:18 2012 Return-Path: Delivered-To: freebsd-doc@hub.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [69.147.83.52]) by hub.freebsd.org (Postfix) with ESMTP id 98AFC106564A; Thu, 29 Mar 2012 09:38:18 +0000 (UTC) (envelope-from pluknet@FreeBSD.org) Received: from freefall.freebsd.org (freefall.freebsd.org [IPv6:2001:4f8:fff6::28]) by mx1.freebsd.org (Postfix) with ESMTP id 6C4998FC0C; Thu, 29 Mar 2012 09:38:18 +0000 (UTC) Received: from freefall.freebsd.org (localhost [127.0.0.1]) by freefall.freebsd.org (8.14.5/8.14.5) with ESMTP id q2T9cIQZ068110; Thu, 29 Mar 2012 09:38:18 GMT (envelope-from pluknet@freefall.freebsd.org) Received: (from pluknet@localhost) by freefall.freebsd.org (8.14.5/8.14.5/Submit) id q2T9cI6Q068106; Thu, 29 Mar 2012 09:38:18 GMT (envelope-from pluknet) Date: Thu, 29 Mar 2012 09:38:18 GMT Message-Id: <201203290938.q2T9cI6Q068106@freefall.freebsd.org> To: pluknet@FreeBSD.org, freebsd-doc@FreeBSD.org, pluknet@FreeBSD.org From: pluknet@FreeBSD.org Cc: Subject: Re: docs/166482: Chapter about IPFW in russian handbook (27.6) X-BeenThere: freebsd-doc@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 29 Mar 2012 09:38:18 -0000 Synopsis: Chapter about IPFW in russian handbook (27.6) Responsible-Changed-From-To: freebsd-doc->pluknet Responsible-Changed-By: pluknet Responsible-Changed-When: Thu Mar 29 09:37:59 UTC 2012 Responsible-Changed-Why: I will look at it. http://www.freebsd.org/cgi/query-pr.cgi?pr=166482 From owner-freebsd-doc@FreeBSD.ORG Thu Mar 29 17:40:13 2012 Return-Path: Delivered-To: freebsd-doc@hub.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [69.147.83.52]) by hub.freebsd.org (Postfix) with ESMTP id E1ED01065692 for ; Thu, 29 Mar 2012 17:40:13 +0000 (UTC) (envelope-from gnats@FreeBSD.org) Received: from freefall.freebsd.org (freefall.freebsd.org [IPv6:2001:4f8:fff6::28]) by mx1.freebsd.org (Postfix) with ESMTP id A234C8FC27 for ; Thu, 29 Mar 2012 17:40:13 +0000 (UTC) Received: from freefall.freebsd.org (localhost [127.0.0.1]) by freefall.freebsd.org (8.14.5/8.14.5) with ESMTP id q2THeDj5018408 for ; Thu, 29 Mar 2012 17:40:13 GMT (envelope-from gnats@freefall.freebsd.org) Received: (from gnats@localhost) by freefall.freebsd.org (8.14.5/8.14.5/Submit) id q2THeDUE018407; Thu, 29 Mar 2012 17:40:13 GMT (envelope-from gnats) Resent-Date: Thu, 29 Mar 2012 17:40:13 GMT Resent-Message-Id: <201203291740.q2THeDUE018407@freefall.freebsd.org> Resent-From: FreeBSD-gnats-submit@FreeBSD.org (GNATS Filer) Resent-To: freebsd-doc@FreeBSD.org Resent-Reply-To: FreeBSD-gnats-submit@FreeBSD.org, Mike Kelly Received: from mx1.freebsd.org (mx1.freebsd.org [69.147.83.52]) by hub.freebsd.org (Postfix) with ESMTP id 29BCD106564A for ; Thu, 29 Mar 2012 17:36:24 +0000 (UTC) (envelope-from nobody@FreeBSD.org) Received: from red.freebsd.org (red.freebsd.org [IPv6:2001:4f8:fff6::22]) by mx1.freebsd.org (Postfix) with ESMTP id 140E38FC1D for ; Thu, 29 Mar 2012 17:36:24 +0000 (UTC) Received: from red.freebsd.org (localhost [127.0.0.1]) by red.freebsd.org (8.14.4/8.14.4) with ESMTP id q2THaNhC033614 for ; Thu, 29 Mar 2012 17:36:23 GMT (envelope-from nobody@red.freebsd.org) Received: (from nobody@localhost) by red.freebsd.org (8.14.4/8.14.4/Submit) id q2THaN3H033613; Thu, 29 Mar 2012 17:36:23 GMT (envelope-from nobody) Message-Id: <201203291736.q2THaN3H033613@red.freebsd.org> Date: Thu, 29 Mar 2012 17:36:23 GMT From: Mike Kelly To: freebsd-gnats-submit@FreeBSD.org X-Send-Pr-Version: www-3.1 Cc: Subject: docs/166497: crypt(3) man page incorrectly documents modular crypt numbers for SHA256, SHA512 X-BeenThere: freebsd-doc@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 29 Mar 2012 17:40:14 -0000 >Number: 166497 >Category: docs >Synopsis: crypt(3) man page incorrectly documents modular crypt numbers for SHA256, SHA512 >Confidential: no >Severity: non-critical >Priority: low >Responsible: freebsd-doc >State: open >Quarter: >Keywords: >Date-Required: >Class: doc-bug >Submitter-Id: current-users >Arrival-Date: Thu Mar 29 17:40:13 UTC 2012 >Closed-Date: >Last-Modified: >Originator: Mike Kelly >Release: 9.0-RELEASE >Organization: >Environment: FreeBSD nas.home.pioto.org 9.0-RELEASE FreeBSD 9.0-RELEASE #5: Tue Jan 17 00:17:39 EST 2012 root@nas.home.pioto.org:/usr/obj/usr/src/sys/NAS i386 >Description: The man page, as currently written, seems to imply that FreeBSD uses $4$ for SHA-256, and $5$ for SHA-512. The section in question currently renders as: Currently supported algorithms are: 1. MD5 2. Blowfish 3. NT-Hash 4. SHA-256 5. SHA-512 That would be different from what Linux uses, and would be a point of potential confusion. That isn't the case, however; the code confirms that things match up with Linux: lib/libcrypt/crypt-sha256.c:48:static const char sha256_salt_prefix[] = "$5$"; lib/libcrypt/crypt-sha512.c:48:static const char sha512_salt_prefix[] = "$6$"; So, rather than using what seems to be an auto-numbering formatting in the man page, things should be enumerated explicitly. Or, maybe, some placeholder like "RESERVED" or "UNUSED" should be put into the fourth spot in the list. >How-To-Repeat: $ man 3 crypt >Fix: diff --git a/lib/libcrypt/crypt.3 b/lib/libcrypt/crypt.3 index d3f89e2..724d482 100644 --- a/lib/libcrypt/crypt.3 +++ b/lib/libcrypt/crypt.3 @@ -189,6 +189,8 @@ Blowfish .It NT-Hash .It +(Reserved for future use) +.It SHA-256 .It SHA-512 >Release-Note: >Audit-Trail: >Unformatted: From owner-freebsd-doc@FreeBSD.ORG Thu Mar 29 21:08:14 2012 Return-Path: Delivered-To: doc@FreeBSD.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id 9A56A106566B; Thu, 29 Mar 2012 21:08:14 +0000 (UTC) (envelope-from jhelfman@experts-exchange.com) Received: from mail.dw.redsrci.com (mail.pub.dw.redsrci.com [72.29.183.251]) by mx1.freebsd.org (Postfix) with ESMTP id 78F968FC17; Thu, 29 Mar 2012 21:08:14 +0000 (UTC) Received: from mail.dw.redsrci.com (localhost [127.0.0.1]) by mail.dw.redsrci.com (Postfix) with ESMTP id 314E96FF532; Thu, 29 Mar 2012 14:08:14 -0700 (PDT) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d= experts-exchange.com; h=message-id:date:date:from:from:subject :subject:received:received:received; s=ee; t=1333055294; x= 1334869694; bh=jVduopA/8SXYbYgaA5NoK/glWU5DzSNwfBN2m//AaZc=; b=C 4tMBX3i+IZYYU/xK9+ssx+wmY2qj/sa/BLBKqUKns2BYwKmyhARnP93obUHh5KtX JKX2j24oU2TbV351Q5srixmG/XvApqVbBBtP3v+5gGMcha7p4aBYkBmqr2das+vx 9/TKiG31YyLJPV3qafsp6IaMmrBKVZv1A61JrHMcq4= X-Virus-Scanned: amavisd-new at experts-exchange.com Received: from mail.dw.redsrci.com ([127.0.0.1]) by mail.dw.redsrci.com (mail.dw.redsrci.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id yXvl0uYAqVqC; Thu, 29 Mar 2012 14:08:14 -0700 (PDT) Received: from experts-exchange.com (unknown [192.168.103.120]) by mail.dw.redsrci.com (Postfix) with SMTP id 0DA8E6F3880; Thu, 29 Mar 2012 14:08:14 -0700 (PDT) Received: (nullmailer pid 9901 invoked by uid 1001); Thu, 29 Mar 2012 21:07:19 -0000 To: FreeBSD-gnats-submit@freebsd.org From: Jason Helfman X-send-pr-version: 3.113 X-GNATS-Notify: Date: Thu, 29 Mar 2012 14:07:19 -0700 Message-Id: <1333055239.029442.9900.nullmailer@experts-exchange.com> Cc: doc@FreeBSD.org Subject: [PATCH] porters-handbook: add make readme to testing, document post-deinstall as invalid X-BeenThere: freebsd-doc@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 29 Mar 2012 21:08:14 -0000 >Submitter-Id: current-users >Originator: Jason Helfman >Organization: >Confidential: no >Synopsis: [PATCH] porters-handbook: add make readme to testing, document post-deinstall as invalid >Severity: non-critical >Priority: low >Category: docs >Class: change-request >Release: FreeBSD 8.2-RELEASE amd64 >Environment: System: FreeBSD dormouse.experts-exchange.com 8.2-RELEASE FreeBSD 8.2-RELEASE #0: Thu Feb 17 02:41:51 UTC 2011 >Description: make readme should be tested as part of the porting process post-deinstall is not a vaild target, and should be documented Port maintainer (doc@FreeBSD.org) is cc'd. Generated with FreeBSD Port Tools 0.99_5 (mode: change, diff: CVS) >How-To-Repeat: >Fix: --- .patch begins here --- Index: book.sgml =================================================================== RCS file: /usr/local/ncvs/doc/en_US.ISO8859-1/books/porters-handbook/book.sgml,v retrieving revision 1.1173 diff -u -r1.1173 book.sgml --- book.sgml 22 Mar 2012 04:09:20 -0000 1.1173 +++ book.sgml 29 Mar 2012 21:02:50 -0000 @@ -345,6 +345,10 @@ make package + + + make readme + Make sure that there are not any warnings issued in any of @@ -576,7 +580,9 @@ intended to be changed. If you want to fix the extraction, fix do-extract, but never ever change the way extract - operates! + operates! Additionally, the target post-deinstall + is invalid and is not run by the ports + infrastructure. Now that you understand what goes on when the user types --- .patch ends here --- From owner-freebsd-doc@FreeBSD.ORG Thu Mar 29 21:10:11 2012 Return-Path: Delivered-To: freebsd-doc@hub.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [69.147.83.52]) by hub.freebsd.org (Postfix) with ESMTP id 0255C106566C for ; Thu, 29 Mar 2012 21:10:11 +0000 (UTC) (envelope-from gnats@FreeBSD.org) Received: from freefall.freebsd.org (freefall.freebsd.org [IPv6:2001:4f8:fff6::28]) by mx1.freebsd.org (Postfix) with ESMTP id CBA488FC16 for ; Thu, 29 Mar 2012 21:10:10 +0000 (UTC) Received: from freefall.freebsd.org (localhost [127.0.0.1]) by freefall.freebsd.org (8.14.5/8.14.5) with ESMTP id q2TLAAEJ009537 for ; Thu, 29 Mar 2012 21:10:10 GMT (envelope-from gnats@freefall.freebsd.org) Received: (from gnats@localhost) by freefall.freebsd.org (8.14.5/8.14.5/Submit) id q2TLAAw5009536; Thu, 29 Mar 2012 21:10:10 GMT (envelope-from gnats) Resent-Date: Thu, 29 Mar 2012 21:10:10 GMT Resent-Message-Id: <201203292110.q2TLAAw5009536@freefall.freebsd.org> Resent-From: FreeBSD-gnats-submit@FreeBSD.org (GNATS Filer) Resent-To: freebsd-doc@FreeBSD.org Resent-Reply-To: FreeBSD-gnats-submit@FreeBSD.org, Jason Helfman Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id 9A56A106566B; Thu, 29 Mar 2012 21:08:14 +0000 (UTC) (envelope-from jhelfman@experts-exchange.com) Received: from mail.dw.redsrci.com (mail.pub.dw.redsrci.com [72.29.183.251]) by mx1.freebsd.org (Postfix) with ESMTP id 78F968FC17; Thu, 29 Mar 2012 21:08:14 +0000 (UTC) Received: from mail.dw.redsrci.com (localhost [127.0.0.1]) by mail.dw.redsrci.com (Postfix) with ESMTP id 314E96FF532; Thu, 29 Mar 2012 14:08:14 -0700 (PDT) Received: from mail.dw.redsrci.com ([127.0.0.1]) by mail.dw.redsrci.com (mail.dw.redsrci.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id yXvl0uYAqVqC; Thu, 29 Mar 2012 14:08:14 -0700 (PDT) Received: from experts-exchange.com (unknown [192.168.103.120]) by mail.dw.redsrci.com (Postfix) with SMTP id 0DA8E6F3880; Thu, 29 Mar 2012 14:08:14 -0700 (PDT) Received: (nullmailer pid 9901 invoked by uid 1001); Thu, 29 Mar 2012 21:07:19 -0000 Message-Id: <1333055239.029442.9900.nullmailer@experts-exchange.com> Date: Thu, 29 Mar 2012 14:07:19 -0700 From: Jason Helfman To: FreeBSD-gnats-submit@FreeBSD.org X-Send-Pr-Version: 3.113 Cc: doc@FreeBSD.org Subject: docs/166502: [PATCH] porters-handbook: add make readme to testing, document post-deinstall as invalid X-BeenThere: freebsd-doc@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 29 Mar 2012 21:10:11 -0000 >Number: 166502 >Category: docs >Synopsis: [PATCH] porters-handbook: add make readme to testing, document post-deinstall as invalid >Confidential: no >Severity: non-critical >Priority: low >Responsible: freebsd-doc >State: open >Quarter: >Keywords: >Date-Required: >Class: change-request >Submitter-Id: current-users >Arrival-Date: Thu Mar 29 21:10:10 UTC 2012 >Closed-Date: >Last-Modified: >Originator: Jason Helfman >Release: FreeBSD 8.2-RELEASE amd64 >Organization: >Environment: System: FreeBSD dormouse.experts-exchange.com 8.2-RELEASE FreeBSD 8.2-RELEASE #0: Thu Feb 17 02:41:51 UTC 2011 >Description: make readme should be tested as part of the porting process post-deinstall is not a vaild target, and should be documented Port maintainer (doc@FreeBSD.org) is cc'd. Generated with FreeBSD Port Tools 0.99_5 (mode: change, diff: CVS) >How-To-Repeat: >Fix: --- .patch begins here --- Index: book.sgml =================================================================== RCS file: /usr/local/ncvs/doc/en_US.ISO8859-1/books/porters-handbook/book.sgml,v retrieving revision 1.1173 diff -u -r1.1173 book.sgml --- book.sgml 22 Mar 2012 04:09:20 -0000 1.1173 +++ book.sgml 29 Mar 2012 21:02:50 -0000 @@ -345,6 +345,10 @@ make package + + + make readme + Make sure that there are not any warnings issued in any of @@ -576,7 +580,9 @@ intended to be changed. If you want to fix the extraction, fix do-extract, but never ever change the way extract - operates! + operates! Additionally, the target post-deinstall + is invalid and is not run by the ports + infrastructure. Now that you understand what goes on when the user types --- .patch ends here --- >Release-Note: >Audit-Trail: >Unformatted: From owner-freebsd-doc@FreeBSD.ORG Fri Mar 30 02:58:37 2012 Return-Path: Delivered-To: freebsd-doc@hub.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id AFBA3106564A; Fri, 30 Mar 2012 02:58:37 +0000 (UTC) (envelope-from eadler@FreeBSD.org) Received: from freefall.freebsd.org (freefall.freebsd.org [IPv6:2001:4f8:fff6::28]) by mx1.freebsd.org (Postfix) with ESMTP id 489F78FC16; Fri, 30 Mar 2012 02:58:37 +0000 (UTC) Received: from freefall.freebsd.org (localhost [127.0.0.1]) by freefall.freebsd.org (8.14.5/8.14.5) with ESMTP id q2U2wbUd036708; Fri, 30 Mar 2012 02:58:37 GMT (envelope-from eadler@freefall.freebsd.org) Received: (from eadler@localhost) by freefall.freebsd.org (8.14.5/8.14.5/Submit) id q2U2wb3g036704; Fri, 30 Mar 2012 02:58:37 GMT (envelope-from eadler) Date: Fri, 30 Mar 2012 02:58:37 GMT Message-Id: <201203300258.q2U2wb3g036704@freefall.freebsd.org> To: eadler@FreeBSD.org, freebsd-doc@FreeBSD.org, eadler@FreeBSD.org From: eadler@FreeBSD.org Cc: Subject: Re: docs/166497: [patch] crypt(3) man page incorrectly documents modular crypt numbers for SHA256, SHA512 X-BeenThere: freebsd-doc@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 30 Mar 2012 02:58:37 -0000 Synopsis: [patch] crypt(3) man page incorrectly documents modular crypt numbers for SHA256, SHA512 Responsible-Changed-From-To: freebsd-doc->eadler Responsible-Changed-By: eadler Responsible-Changed-When: Fri Mar 30 02:58:36 UTC 2012 Responsible-Changed-Why: I'll take it. http://www.freebsd.org/cgi/query-pr.cgi?pr=166497 From owner-freebsd-doc@FreeBSD.ORG Fri Mar 30 03:23:15 2012 Return-Path: Delivered-To: freebsd-doc@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [69.147.83.52]) by hub.freebsd.org (Postfix) with ESMTP id B2A04106566B; Fri, 30 Mar 2012 03:23:15 +0000 (UTC) (envelope-from wblock@wonkity.com) Received: from wonkity.com (wonkity.com [67.158.26.137]) by mx1.freebsd.org (Postfix) with ESMTP id 6BE768FC14; Fri, 30 Mar 2012 03:23:15 +0000 (UTC) Received: from wonkity.com (localhost [127.0.0.1]) by wonkity.com (8.14.5/8.14.5) with ESMTP id q2U3NEDW054487; Thu, 29 Mar 2012 21:23:14 -0600 (MDT) (envelope-from wblock@wonkity.com) Received: from localhost (wblock@localhost) by wonkity.com (8.14.5/8.14.5/Submit) with ESMTP id q2U3NEIv054484; Thu, 29 Mar 2012 21:23:14 -0600 (MDT) (envelope-from wblock@wonkity.com) Date: Thu, 29 Mar 2012 21:23:14 -0600 (MDT) From: Warren Block To: Daniel Gerzo In-Reply-To: Message-ID: References: <20120125.111625.2289296443525755896.hrs@allbsd.org> <7e043215e6cd0f2da324d6599c921fec@rulez.sk> User-Agent: Alpine 2.00 (BSF 1167 2008-08-23) MIME-Version: 1.0 Content-Type: TEXT/PLAIN; format=flowed; charset=US-ASCII X-Greylist: Sender IP whitelisted, not delayed by milter-greylist-4.2.7 (wonkity.com [127.0.0.1]); Thu, 29 Mar 2012 21:23:14 -0600 (MDT) Cc: freebsd-doc@freebsd.org, pjd@freebsd.org Subject: Re: Handbook RAID1 example X-BeenThere: freebsd-doc@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 30 Mar 2012 03:23:15 -0000 On Tue, 27 Mar 2012, Warren Block wrote: > Procedure tested on both 9.0-RELEASE and 8.2-RELEASE. It could stand more > testing. HTML: http://www.wonkity.com/~wblock/gmirror/geom-mirror.html And more testing does show a problem. My tests were all using the smaller drive as the new drive (20G). Create a mirror using that whole drive, copy the data from the 20G allocated space on the original 200G drive. But it doesn't work the other way around. Create a mirror of the full larger drive, and the smaller drive cannot be inserted into it; it can't mirror a 200G drive. The procedure really ought to work with different-sized drives, because that situation is expectable. Telling the users that the disks must be identical is weak. It may still fail because of the presence or absence of a label or other metadata eating one or more sectors even if the drives are identical. Now I'm considering labeling each disk, then using gnop(8) to create a matching-sized device on each. This adds more complexity, and maybe the thing to do is put the whole thing into a shell script. Suggestions welcome. From owner-freebsd-doc@FreeBSD.ORG Sat Mar 31 17:08:52 2012 Return-Path: Delivered-To: freebsd-doc@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [69.147.83.52]) by hub.freebsd.org (Postfix) with ESMTP id 09A1D1065674 for ; Sat, 31 Mar 2012 17:08:52 +0000 (UTC) (envelope-from gbounce-15027764242-15101-1500001435-1333213730648@bounce.news.skoopon.fr) Received: from duoquattuorocto.partners.domeus.com (duoquattuorocto.partners.domeus.com [91.192.40.248]) by mx1.freebsd.org (Postfix) with ESMTP id 75CC58FC1D for ; Sat, 31 Mar 2012 17:08:51 +0000 (UTC) Received: from app01.muc.ec-messenger.com (app01.muc.ec-messenger.com [172.16.8.31]) by mta96.muc.ec-messenger.com (READY) with ESMTP id A926020039FB1 for ; Sat, 31 Mar 2012 19:08:50 +0200 (CEST) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=news.skoopon.fr; s=ecm1; t=1333213730; bh=6zeXKmFhJvFPXPEDHbw1wRm2xYVYC5FuKnN+2dfr0Hw=; h=Date:From:Reply-To:To:Message-ID:Subject:MIME-Version: Content-Type:List-Unsubscribe; b=nJZvkfW+BtJj8HkPR+iKiKHcySXzUvMQ9q6K0XUE2dWNBVafmyu3EZ7SNrMazCyBI G6CKlCRoIt8m2oRFz6+kEeGX9oZUJwhkJdEfZ7ksu+GtcpDRqWJFop9sqJSCKZqX85 ew42PW/xBLdGMU13DIaSLQ8Pzt5ssCvnilvBqIEk= Date: Sat, 31 Mar 2012 19:08:50 +0200 (CEST) From: Skoopon To: freebsd-doc@freebsd.org Message-ID: MIME-Version: 1.0 X-eC-messenger-mid: 1500001435 X-eC-messenger-cid: 15101 X-eC-messenger-token: ot28ijI6wj553m X-eC-messenger-sender-domain: bounce.news.skoopon.fr X-Mailer: eC-Messenger Build 6.56.621 X-eC-messenger-email: freebsd-doc@freebsd.org Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: quoted-printable X-Content-Filtered-By: Mailman/MimeDel 2.1.5 Subject: =?utf-8?q?D=C3=A9tecteur_D=27alcool=C3=A9mie_Porte_Clef_=C3=A0_0?= =?utf-8?q?_euros?= X-BeenThere: freebsd-doc@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list Reply-To: Info List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 31 Mar 2012 17:08:52 -0000 Skoopon est heureux de vous pr=C3=A9senter les Skoops en National Afin de visualiser l'ensemble de la Newsletter cliquez sur ce liens :=20 =09=09http://news.skoopon.fr/public/read_message.jsp?tsp=3D1333213729524&cu= stid=3D15101&uid=3D15027764242&sig=3DAEAPLIEJGBLJKFIG&mid=3D1500001435 =09=09 Pour =C3=AAtre sur de recevoir tous nos emails, ajoutez "charlotte@info.sk= oopon.fr" =C3=A0 votre carnet d=C2=B4adresses. Skoop N=C2=B01: http://news.skoopon.fr/re?l=3Dot28ijI6wj553mI0&req=3DwizzMa= ilCircle%3Dfreebsd-doc%40freebsd.org D=C3=A9TECTEUR D'ALCOOL=C3=A9MIE PORTE CLEF OFFRE EXCLUSIVE ! SOYEZ PRUDENT AU VOLANT, SOUFFLEZ, ATTENDEZ, CONSTATEZ VO= TRE TAUX D'ALCOOL=C3=A9MIE ! PRENEZ LA ROUTE EN S=C3=A9CURIT=C3=A9 GR=C3=A2= CE =C3=A0 CE PORTE CLEF D=C3=A9TECTEUR D'ALCOOL=C3=A9MIE POUR 0=E2=82=AC ! Skoop N=C2=B02: http://news.skoopon.fr/re?l=3Dot28ijI6wj553mI1&req=3DwizzMa= ilCircle%3Dfreebsd-doc%40freebsd.org ROULEAU LED ECLAIREZ VOTRE BAR, VOTRE SALON OU L'EXT=C3=A9RIEUR DE VOTRE MAISON, GR=C3= =A2CE AU ROULEAU LED, POUR SEULEMENT 49=E2=82=AC AU LIEU DE 149=E2=82=AC Skoop N=C2=B03: http://news.skoopon.fr/re?l=3Dot28ijI6wj553mI2&req=3DwizzMa= ilCircle%3Dfreebsd-doc%40freebsd.org FILM DE PROTECTION ALLIEZ PROTECTION ET CLASSE GR=C3=A2CE AUX FILMS DE PROTECTION IPHONE 4/4S = ! POUR SEULEMENT 7=E2=82=AC AU LIEU DE 19,90=E2=82=AC ! FDP INCLUS Skoop N=C2=B04: http://news.skoopon.fr/re?l=3Dot28ijI6wj553mI3&req=3DwizzMa= ilCircle%3Dfreebsd-doc%40freebsd.org SOUTIENS-GORGES "AHH BRA" UNE V=C3=A9RITABLE R=C3=A9VOLUTION, LES SOUTIENS-GORGES "AHH BRA" ! ULTRA C= ONFORT, GALBE LA POITRINE, UN MAINTIEN PARFAIT! VOTRE LOT DE 3 SOUTIENS-GOR= GES POUR SEULEMENT 19,90=E2=82=AC AU LIEU DE 69 =E2=82=AC ! Skoop N=C2=B05: http://news.skoopon.fr/re?l=3Dot28ijI6wj553mI4&req=3DwizzMa= ilCircle%3Dfreebsd-doc%40freebsd.org ECIGARETTE-WEB CASE NE D=C3=A9TRUISEZ PLUS VOTRE SANT=C3=A9 EN FUMANT ET DIMINUEZ PROGRESSIVEME= NT VOTRE ACOUTUMANCE AU TABAC GR=C3=A2CE =C3=A0 CETTE ECIGARETTE ! POUR SEU= LEMENT 9,95=E2=82=AC AU LIEU DE 38,50=E2=82=AC Vous recevez cet e-mail car vous faites confiance a Skoopon. Vous pouvez a = tout moment d=C3=A9cider de ne plus recevoir de message de notre part. Vou= s d=C3=A9sinscrire : http://news.skoopon.fr/public/unsubscribe.jsp?gid=3D15= 00000377&uid=3D15027764242&mid=3D1500001435&sig=3DLAFEDLCKEEGBNIFN Le site skoopon.fr est une propri=C3=A9t=C3=A9 de la soci=C3=A9t=C3=A9 WIZZ= DEALS. La soci=C3=A9t=C3=A9 WIZZDEALS est une soci=C3=A9t=C3=A9 par actions simpli= fi=C3=A9e dont le si=C3=A8ge social est situ=C3=A9, 6 rue Troyon - 92310 S= =C3=A9vres (France) et enregistr=C3=A9e au Registre du Commerce et des Soci= =C3=A9t=C3=A9s de Paris sous le num=C3=A9ro 532 937 596. Mentions L=C3=A9gales : http://news.skoopon.fr/re?l=3Dot28ijI6wj553mI5 Conditions g=C3=A9n=C3=A9rales de ventes : http://news.skoopon.fr/re?l=3Dot= 28ijI6wj553mI6 From owner-freebsd-doc@FreeBSD.ORG Sat Mar 31 20:10:13 2012 Return-Path: Delivered-To: freebsd-doc@hub.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [69.147.83.52]) by hub.freebsd.org (Postfix) with ESMTP id 90BCD1065676 for ; Sat, 31 Mar 2012 20:10:13 +0000 (UTC) (envelope-from gnats@FreeBSD.org) Received: from freefall.freebsd.org (freefall.freebsd.org [IPv6:2001:4f8:fff6::28]) by mx1.freebsd.org (Postfix) with ESMTP id 678AE8FC14 for ; Sat, 31 Mar 2012 20:10:13 +0000 (UTC) Received: from freefall.freebsd.org (localhost [127.0.0.1]) by freefall.freebsd.org (8.14.5/8.14.5) with ESMTP id q2VKAAQI002062 for ; Sat, 31 Mar 2012 20:10:10 GMT (envelope-from gnats@freefall.freebsd.org) Received: (from gnats@localhost) by freefall.freebsd.org (8.14.5/8.14.5/Submit) id q2VKAAVq002061; Sat, 31 Mar 2012 20:10:10 GMT (envelope-from gnats) Resent-Date: Sat, 31 Mar 2012 20:10:10 GMT Resent-Message-Id: <201203312010.q2VKAAVq002061@freefall.freebsd.org> Resent-From: FreeBSD-gnats-submit@FreeBSD.org (GNATS Filer) Resent-To: freebsd-doc@FreeBSD.org Resent-Reply-To: FreeBSD-gnats-submit@FreeBSD.org, Mel Flynn Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id 0D67F1065670 for ; Sat, 31 Mar 2012 20:09:09 +0000 (UTC) (envelope-from mel@datakitty.lan.rachie.is-a-geek.net) Received: from datakitty.lan.rachie.is-a-geek.net (rachie.is-a-geek.net [66.230.99.27]) by mx1.freebsd.org (Postfix) with ESMTP id 894138FC0A for ; Sat, 31 Mar 2012 20:09:06 +0000 (UTC) Received: from datakitty.lan.rachie.is-a-geek.net (localhost [127.0.0.1]) by datakitty.lan.rachie.is-a-geek.net (8.14.5/8.14.5) with ESMTP id q2VK8xKs096192 for ; Sat, 31 Mar 2012 12:08:59 -0800 (AKDT) (envelope-from mel@datakitty.lan.rachie.is-a-geek.net) Received: (from mel@localhost) by datakitty.lan.rachie.is-a-geek.net (8.14.5/8.14.5/Submit) id q2VK8wEx096191; Sat, 31 Mar 2012 12:08:58 -0800 (AKDT) (envelope-from mel) Message-Id: <201203312008.q2VK8wEx096191@datakitty.lan.rachie.is-a-geek.net> Date: Sat, 31 Mar 2012 12:08:58 -0800 (AKDT) From: Mel Flynn To: FreeBSD-gnats-submit@FreeBSD.org X-Send-Pr-Version: 3.113 Cc: Subject: docs/166541: [patch] Clarification for configuration file handling X-BeenThere: freebsd-doc@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list Reply-To: Mel Flynn List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 31 Mar 2012 20:10:13 -0000 >Number: 166541 >Category: docs >Synopsis: [patch] Clarification for configuration file handling >Confidential: no >Severity: non-critical >Priority: low >Responsible: freebsd-doc >State: open >Quarter: >Keywords: >Date-Required: >Class: change-request >Submitter-Id: current-users >Arrival-Date: Sat Mar 31 20:10:10 UTC 2012 >Closed-Date: >Last-Modified: >Originator: Mel Flynn >Release: FreeBSD 8.2-STABLE amd64 >Organization: >Environment: System: FreeBSD datakitty.lan.rachie.is-a-geek.net 8.2-STABLE FreeBSD 8.2-STABLE #6 r230977: Sun Feb 5 06:20:11 AKST 2012 mel@datakitty.lan.rachie.is-a-geek.net:/data/obj/data/RELENG_8/src/sys/GENERIC amd64 >Description: Section in the porter's handbook could use a bit more clarification and most importantly what the common mistakes are and how to handle them. >How-To-Repeat: D.N.A. >Fix: --- configfiles-clarification.patch begins here --- Index: en_US.ISO8859-1/books/porters-handbook/book.sgml =================================================================== RCS file: /home/ncvs/doc/en_US.ISO8859-1/books/porters-handbook/book.sgml,v retrieving revision 1.1173 diff -u -r1.1173 book.sgml --- en_US.ISO8859-1/books/porters-handbook/book.sgml 22 Mar 2012 04:09:20 -0000 1.1173 +++ en_US.ISO8859-1/books/porters-handbook/book.sgml 31 Mar 2012 19:49:36 -0000 @@ -9378,14 +9378,19 @@ ${CP} -p ${PREFIX}/etc/orbit.conf.sample ${PREFIX}/etc/orbit.conf ; \ fi - Example of the pkg-plist part: + For each configuration file create the following tuple in + pkg-plist: @unexec if cmp -s %D/etc/orbit.conf.sample %D/etc/orbit.conf; then rm -f %D/etc/orbit.conf; fi etc/orbit.conf.sample @exec if [ ! -f %D/etc/orbit.conf ] ; then cp -p %D/%F %B/orbit.conf; fi - For information on the above variables see - &man.pkg.create.1; + The ordering is important, since the sample file still has + to exist in order to be compared upon deinstallation. Upon + installation, the sample file has to be extracted before it can be + copied. To debug any issues, temporarily remove the -s flag to + &man.cmp.1;. For information on the above variables see + &man.pkg.create.1; If there is a very good reason not to install a working configuration file by default, use a Release-Note: >Audit-Trail: >Unformatted: