  Bridge+Firewall
  Autor: Peter Breuer, ptb@it.uc3m.es
  v1.1, 23 Grudnia 1996
  WWeerrssjjaa ppoollsskkaa:: BBaarrttoosszz MMaarruusszzeewwsskkii BB..MMaarruusszzeewwsskkii@@jjttzz..oorrgg..ppll
  v1.01, 26 Lipca 1997


  W oryginalnym dokumencie na temat Bridge'a opisane s inne sposoby
  podejcia. Jest to Bridge mini-HOWTO
  <http://www.jtz.org.pl/tlumaczenia.html> napisane przez Chrisa Cole'a
  <chris@polymer.uakron.edu>. Wersja, na ktrej bazowaem to 1.03 z 23
  Sierpnia 1996.  Orygina tego dokumentu znajduje si na ftp.icm.edu.pl
  w katalogu /pub/Linux/sunsite/docs/HOWTO/mini. Dokument ten jest
  napisany w standardzie ISO-8859-2.
  ______________________________________________________________________

  Spis treci


  1. Co, jak i dlaczego ?

     1.1 Co.
     1.2 Dlaczego.
     1.3 Jak.

  2. Bridge.

     2.1 Oprogramowanie.
     2.2 Najpierw poczytaj.
     2.3 Konfiguracja startu systemu.
     2.4 Konfiguracja jdra.
     2.5 Adresy sieciowe.
     2.6 Ruting sieci.
     2.7 Konfiguracja karty.
     2.8 Dodatkowy ruting.
     2.9 Konfiguracja Bridge'a.
     2.10 Wyprbuj.
     2.11 Sprawdzenia.

  3. Firewall.

     3.1 Oprogramowanie i czytanie.
     3.2 Sprawdzenie wstpne.
     3.3 Zasady domylne.
     3.4 Dziury na adres.
     3.5 Dziury na protok.
     3.6 Sprawdzenia.

  4. Od tumacza.



  ______________________________________________________________________

  11..  CCoo,, jjaakk ii ddllaacczzeeggoo ??



  11..11..  CCoo..


  Bridge jest to inteligentne poczenie pomidzy dwoma kartami
  sieciowymi. Firewall jest to inteligentny izolator.



  11..22..  DDllaacczzeeggoo..


  Moesz chcie bridge'a jeli masz kilka komputerw:


    eby zaoszczdzi pienidze na hubie jeli akurat masz dodatkow
     kart ethernet-ow,

    eby oszczdzi sobie nauki jak robi IP-forwarding i inne triki
     jeli masz dwie karty w swoim komputerze,

    eby oszczdzi sobie pracy jeli co si w przyszoci zmieni.

  "Kilka komputerw" to moe by np. trzy jeli maj by rutowane,
  bridge'owane albo po prostu od czasu do czasu zmieniaj swoje miejsce
  pobytu. Moesz take chcie mie bridge tylko dla zabawy, eby si
  dowiedzie co on robi - ja wanie dlatego sobie go postawiem.

  Jeli naprawd chcesz go postawi z pierwszego powodu, to poczytaj
  lepiej NET-3-HOWTO <http://www.ippt.gov.pl/~ppogorze/Linux/JTZ/> albo
  Serial-HOWTO <ftp://ftp.icm.edu.pl/pub/Linux/sunsite/docs/HOWTO/> a
  znajdziesz tam lepsze obejcia.

  Firewall jest ci potrzebny jeli:


    chronisz swoj sie przed dostpem z zewntrz albo

    chcesz zabroni wyjcia poza twoj sie z jej rodka

  Ja tu potrzebowaem tego drugiego. Przepisy na naszym uniwersytecie
  zabraniay nam gra rol dostawcy Internet-u dla studentw.


  11..33..  JJaakk..


  Zaczem bridge'owa dwie karty sieciowe w maszynie z firewallem a
  skoczyem na firewall-owaniu wraz z bridge'owaniem bez usuwania
  jednej z funkcji. Wydaje si to dziaa znacznie bardziej wydajnie ni
  kada z konfiguracji osobno. Mog na przykad wyczy firewall a
  bridge dalej dziaa albo odwrotnie jeli chc by bardziej bezpieczny.

  Stawiabym na to, e kod bridge'a jest tu nad fizycznym poziomem
  urzdzenia a kod firewalla jest o jeden poziom wyej, tak e
  poaczenie bridge'a z firewallem dziaa tak jakby to bya jedno a
  nie jakby dziaay rwnolegle.


    -> wej. bridge'a -> wej. firewalla -> jdro -> wyj. firewalla -> wyj. bridge'a



  Nie ma innego sposobu na wytumaczenie dlaczego maszyna moe by
  "konduktorem" i izolatorem w tym samym czasie. W kadym razie wydaje
  si to dziaa razem bardzo dobrze. Oto co ja robi ...


  22..  BBrriiddggee..






  22..11..  OOpprrooggrraammoowwaanniiee..


  Zdobd konfigurator do bridge'a BRCFG.tgz
  <ftp://shadow.cabi.net:/pub/Linux/>.


  22..22..  NNaajjppiieerrww ppoocczzyyttaajj..


  Przeczytaj Multiple-Ethernet
  <ftp://ftp.icm.edu.pl:/pub/Linux/sunsite/docs/HOWTO/mini>, eby si
  dowiedzie jak rozpozna i skonfigurowa wicej kart sieciowych.

  Wicej szczegw na temat magii startowania, ktre moesz potrzebowa
  jest w BootPrompt-HOWTO
  <http://www.jtz.org.pl/~bart/tlumaczenie.html>.

  Moe obdzie si bez NET-3-HOWTO
  <http://www.ippt.gov.pl/~ppogorze/Linux/JTZ>. Jest to dobry i dugi
  dokument i bdziesz musia wybra sobie to czego potrzebujesz.


  22..33..  KKoonnffiigguurraaccjjaa ssttaarrttuu ssyysstteemmuu..


  Po przeczytaniu powyszego dowiesz si, e musisz skompilowa jdro,
  eby rozpoznao drugie urzdzenie ethernet-owe podczas startu oraz, e
  musisz doda lini do pliku /etc/lilo.conf i uruchomi _l_i_l_o:


          append = "ether=0,0,eth1"



  Zauwa, e jest tu _e_t_h_1. _e_t_h_0 jest pierwsz kart a _e_t_h_1 jest drug
  kart. Zawsze moesz poda parametry podczas startu kiedy lilo ich
  oczekuje. Oto przykad dla trzech kart:


          linux ether=0,0,eth1 ether=0,0,eth2



  Ja uywam loadlin.exe, aby uruchomi Linux-a:


          loadlin.exe c:\vmlinuz root=/dev/hda3 ro ether=0,0,eth1 ether=0,0,eth2



  Zauwa, e to zmusza jdro do szukania podczas startu. Nie bdzie to
  miao miejsca jeli zaadujesz sterowniki ethernet-owe jako moduy (ze
  wzgldw bezpieczestwa poniewa kolejno szukania nie moe by
  okrelona). Wic jeli uywasz moduw, to bdziesz musia doda
  parametry okrelajce IRQ i port w pliku /etc/conf.modules - to jest
  mj przykad:


               alias eth0 3c509
               alias eth1 de620
               options 3c509 irq=5 io=0x210
               options de620 irq=7 bnc=1



  Moesz sprawdzi czy uywasz moduw przez _p_s _-_a_u_x i zobaczenie czy
  jest proces _k_e_r_n_e_l_d i czy w katalogu /lib/modules/`uname -r`  s pliki
  *.o. (w miejsce _u_n_a_m_e _-_r wstaw wynik tego polecenia). Jeli masz
  proces _k_e_r_n_e_l_d albo w podanym katalogu s pliki *.o, to wyedytuj plik
  /etc/conf.modules i przeczytaj uwanie stron podrcznika systemowego
  na temat _d_e_p_m_o_d.

  Zauwa te, e do niedawna (2.0.25) sterownik 3c509 nie mg by uyty
  jako modu dla wicej ni jednej karty. Widziaem gdzie at, ktra
  naprawia t niedogodno. Moe on by w jdrze kiedy to czytasz.


  22..44..  KKoonnffiigguurraaccjjaa jjddrraa..


  Skompiluj jdro z wczon opcj bridge.


   CONFIG_BRIDGE=y



  Ja skompilowaem take z wczonymi opcjami firewalling, IP-
  forwarding, IP-masquerading i reszt. Ale tylko jeli chcesz mie
  take firewall.


  CONFIG_FIREWALL=y
  CONFIG_NET_ALIAS=y
  CONFIG_INET=y
  CONFIG_IP_FORWARD=y
  CONFIG_IP_MULTICAST=y
  CONFIG_IP_FIREWALL=y
  CONFIG_IP_FIREWALL_VERBOSE=y
  CONFIG_IP_MASQUERADE=y



  Nie potrzebujesz tego wszystkiego. To czego potrzebujesz, to
  standardowa konfiguracja sieci:


  CONFIG_NET=y



  i nie sdz, eby si musia przejmowa innymi opcjami zwizanymi z
  sieci. Wszystkie opcje, ktrych waciwie nie wkompilowaem w jdro
  mam dostpne jako moduy i mog je doda pniej.

  Zainstaluj nowe jdro, uruchom _l_i_l_o i zresetuj z nowym jdrem. W tym
  momencie nic si nie powinno zmieni.


  22..55..  AAddrreessyy ssiieecciioowwee..


  Chris twierdzi, e bridge nie powinien mie adresu IP, ale to nie jest
  to ustawienie opisane tutaj.

  Bdziesz chcia uywa tej maszyny do czenia si z sieci wic
  potrzebujesz adresu i musisz si upewni, e masz skonfigurowane
  poprawnie urzdzenie "loopback", tak eby twoje oprogramowanie mogo
  komunikowa si z miejscami, z ktrymi spodziewa si, e bdzie si
  mogo porozumie. Jeli nie bdzie tego urzdzenia, to serwis nazw
  albo inny serwis sieciowy moe nie dziaa. Przeczytaj NET-3-HOWTO
  <http://www.ippt.gov.pl/~ppogorze/Linux/JTZ/>, ale twoja standardowa
  konfiguracja powinna ju to za ciebie zrobi:


     ifconfig lo 127.0.0.1
     route add -net 127.0.0.0



  Bdziesz musia nada adres obojgu kartom. Ja dopasowaem swj
  /etc/rc.d/rc.inet1 w Slackware 3.x, aby ustawi moje dwie karty. A ty
  powiniene take poszuka gdzie jest konfiguracja sieci u ciebie i
  podwoi instrukcje. Zamy, e masz ju adres: 192.168.2.100 (jest to
  prywatny zarezerwowany adres sieciowy, ale niewane - nikomu nie
  zaszkodzi jeli uyjesz tego adresu przez pomyk) wtedy masz ju
  pewnie lini:


    ifconfig eth0 192.168.2.100 netmask 255.255.255.0 metric 1



  w swojej konfiguracji. Pierwsze co pewnie bdziesz chcia zrobi to
  podzieli przestrze adresow na p, tak e moesz potem te dwie
  poowy bridge'owa. Wic dodaj lini. ktra zredukuje mask tak, e
  bdzie ona adresowa mniejsz ilo maszyn:


    ifconfig eth0 netmask 255.255.255.128



  Sprbuj tego te. Powoduje to obcicie przestrzeni adresowej do
  zakresu od .0 do .127.

  Teraz moesz ustawi swoj drug kart w drugiej poowie adresw.
  Upewnij si, e nikt jeszcze takiego adresu nie ma. Dla symetrii ja
  ustawiem j na 228 (128+100=228). Kady adres bdzie si tak
  zachowywa dopki nie znajdzie si w masce tej pierwszej karty - a
  nawet wtedy, no moe. Unikaj adresw specjalnych takich jak .0, .1,
  .128 o ile naprawd wiesz co robisz.


    ifconfig eth1 192.168.2.228 netmask 255.255.255.128 metric 1



  To powoduje zmniejszenie zakresu adresw drugiej karty do .128 do
  .255.


  22..66..  RRuuttiinngg ssiieeccii..


  Powysze moe by wystarczajc konfiguracj dla dziaajcego
  bridge'a, ale ja bd mia take firewall i chc kontrolowa fizyczne
  przeznaczenie niektrych pakietw. Nawet wtedy trzeba si pilnowa
  przed spoofingiem.

  Mam ma sie maszyn doczonych do hub-a na eth0, wic konfiguruj
  tam sie:


    route add -net 192.168.2.128 netmask 255.255.255.128 dev eth0


  128 byoby 0 gdybym mia pen klas C. "dev eth0" nie jest tu
  potrzebne poniewa adres karty zalicza si do tej sieci, ale moe by
  potrzebne dla ciebie.

  Na drugiej karcie mam lini idc prosto do duego rutera, ktremu
  ufam.


                                              client 129
           __                                        |     __
  client 1   \    .0                    .128         |   /   net 1
  client 2 --- Hub - eth0 - Kernel - eth1 - Hub - Router --- net 2
  client 3 __/       .100            .228         .2 |   \__ net 3
                                                     |
                                              client 254



  Doczam adres tego rutera do tej karty jako statyczny poniewa
  inaczej zaliczaby si on do maski tej pierwszej karty i jdro le
  kierowaoby pakiety do tego duego rutera.


    route add 192.168.2.2 dev eth1



  Ja go nie potrzebuj poniewa nie mam wicej maszyn w tej powce
  przestrzeni adresowej, ale deklaruj sie take na tej drugiej karcie


    route add -net 192.168.2.128 netmask 255.255.255.128 dev eth1



  Musz take wysa wszystkie nie lokalne pakiety w wiat, wic
  informuj jdro, eby wysyao je do duego rutera:


    route add default gw 192.168.2.2




  22..77..  KKoonnffiigguurraaccjjaa kkaarrttyy..


  To tyle odnonie standardowego ustawiania sieci, ale my mamy bridge
  wic musimy na obydwu (?) kartach sucha pakietw, ktre nie s
  przeznaczone dla nas. Nastpujce dwie linie powinny si znale w
  pliku konfigurujcym sie:


    ifconfig promisc eth0
    ifconfig promisc eth1



  Na stronie podrcznika systemowego napisane jest, e allmulti=promisc,
  ale u mnie to nie dziaao.


  22..88..  DDooddaattkkoowwyy rruuttiinngg..



  Jedno co zauwayem, to to, e musiaem przynajmniej drug kart
  ustawi w tryb, w ktrym odpowiadaaby ona duemu ruterowi jakie
  maszyny chowam w swojej sieci.


    ifconfig arp eth1



  Na wszelki wypadek zrobiem to samo dla pierwszej karty.


    ifconfig arp eth0.




  22..99..  KKoonnffiigguurraaccjjaa BBrriiddggee''aa..


  Umie wczanie bridge'owania w swoim pliku konfiguracyjnym:


      brcfg -enable



  Powiniene to prbowa w czasie rzeczywistym cay czas oczywicie!
  Konfigurator bridge'a poda par liczb. Moesz poeksperymentowa
  wczajc i wyczajc porty - jeden za kadym razem.


     brcfg -port 0 -disable/-enable
     brcfg -port 1 -disable/-enable



  Polecenie _b_r_c_f_g pokae ci raport w kadej chwili. Zobaczysz, e bridge
  sucha, dowiaduje  si i potem przekazuje pakiety. (Nie rozumiem
  dlaczego kod powtarza te same adresy sprztowe dla obu moich kart, ale
  niewane ... HOWTO Chrisa mwi, e to dobrze)


  22..1100..  WWyypprrbbuujj..


  Jeli cay czas wszystko u ciebie dziaa, to wyprbuj swoj
  konfiguracj w rzeczywistoci - wycz obie karty i uruchom swj plik
  konfiguracyjny:


      ifconfig eth0 down
      ifconfig eth1 down
      /etc/rc.d/rc.inet1



  Jeli masz szczcie, to rne podsystemy (nfs, ypbind, itp) nie
  zauwa tej zmiany. Nie prbuj tego o ile nie siedzisz przy
  klawiaturze.

  Jeli chcesz by bardziej ostrony ni teraz, powiniene wyczy tyle
  demonw ile si da i odmontowa katalogi nfs. Najgorszym co moe si
  sta, to to, e bdziesz musia zrestartowa komputer w trybie jednego
  uytkownika (parametr "single" dla lilo lub loadlin) i zmieni
  wszystko na stan taki jaki by przed zmian konfiguracji.
  22..1111..  SSpprraawwddzzeenniiaa..


  Sprawd czy na kadym interfejsie jest inny ruch:


          tcpdump -i eth0    (w jednym oknie)
          tcpdump -i eth1    (w drugim oknie)



  Powiniene si przyzwyczai do uywania _t_c_p_d_u_m_p do szukania przyczyn
  niektrych zdarze, ktre nie powinny mie miejsca a maj.

  Na przykad szukanie pakietw, ktre przeszy przez bridge do drugiej
  karty z wewntrznej sieci. W tym przykadzie szukam pakietw z maszyny
  o adresie .22:


         tcpdump -i eth1 -e host 192.168.2.22



  Potem wylij ping-a z maszyny .22 do rutera. Powiniene zobaczy
  raport o tym pakiecie.

  W tym momencie powiniene mie w peni dziaajcy bridge z dwoma
  adresami. Sprawd czy moesz je pingowa z zewntrz i z wewntrz sieci
  oraz, e moesz si czy z jednej sieci do drugiej i z zewntrz.


  33..  FFiirreewwaallll..



  33..11..  OOpprrooggrraammoowwaanniiee ii cczzyyttaanniiee..


  Powiniene przeczyta Firewall-HOWTO
  <ftp://ftp.icm.edu.pl:/pub/Linux/sunsite/docs/HOWTO/>.

  Dowiesz si stamtd skd wzi _i_p_f_w_a_d_m jeli jeszcze go nie masz. S
  jeszcze inne narzdzia, ktre moesz cign, ale ja nie zrobiem nic
  dalej bez _i_p_f_w_a_d_m. Jest on do przyjazny i niskopoziomowy ! Widzisz
  dokadnie co si dzieje.


  33..22..  SSpprraawwddzzeenniiee wwssttppnnee..


  Wkompilowae IP-forwarding i -masquerading w jdro, wic moesz
  sprawdzi czy firewall jest w swoim domylnym (akceptujcym) stanie
  poleceniami:


         ipfwadm -I -l
         ipfwadm -O -l
         ipfwadm -F -l



  I tak odpowiednio wywietlane s zasady dotyczce wchodzcych,
  wychodzcych i przekazywanych (masquerading) pakietw. _-_l oznacza
  "list".


  Moliwe, e wkompilowae take zliczanie (accounting):


         ipfwadm -A -l



  Powiniene zobaczy, e nie ma zdefiniowanych adnych zasad i e
  domylnym stanem jest akceptacja wszystkich pakietw. Moesz wrci do
  tego stanu w kadej chwili piszc:


         ipfwadm -I -f
         ipfwadm -O -f
         ipfwadm -F -f



  _-_f oznacza "flush". Moliwe, e musisz tego uy.


  33..33..  ZZaassaaddyy ddoommyyllnnee..


  Chc po prostu odci reszt wiata od swojej sieci wewntrznej i nic
  wicej, tak wic ostatni (domyln) zasad bdzie ignorowanie
  wszelkich pakietw pochodzcych z wntrza sieci i zaadresowanych na
  zewntrz. Umieciem wszystkie te zasady (w takiej kolejnoci) w
  /etc/rc.d/rc.firewall i wykonuj ten skrypt z rc.local podczas startu.


    ipfwadm -I -a reject -S 192.168.2.0/255.255.255.128 -D 0.0.0.0/0.0.0.0



  _-_S oznacza rdowy (source) adres/mask. _-_D to adres/maska
  przeznaczenia (destination).

  Ten format dla ipfwadm-a jest troch dugi. Program ten jest
  inteligentny jeli chodzi o nazwy sieciowe i niektre popularne
  skrty. Zajrzyj do podrcznika systemowego.

  Przypuszczalnie bardziej wygodnie jest okrela niektre lub wszystkie
  zasady dla wychodzcej poowy firewall-a uywajc opcji _-_O zamiast _-_I,
  ale ja okrel je dla czci wchodzcej.


  33..44..  DDzziiuurryy nnaa aaddrreess..


  Przed zasadami domylnymi musz umieci kilka zasad, ktre su jako
  wyjtek od oglnego zabronienia dostpu do serwisw zewntrznych dla
  klientw wewntrznych.

  Chc traktowa adres firewall-a w sieci wewntrznej specjalnie.
  Zabroni logowania si na t maszyn o ile kto nie ma specjalnego
  pozwolenia, ale jak ju si tam zaloguj, to powinni mie moliwo
  kontaktu ze wiatem.


    ipfwadm -I -i accept -S 192.168.2.100/255.255.255.255 \
                         -D 0.0.0.0/0.0.0.0




  Chc take, aby klienci wewntrz sieci mogli si komunikowa z
  firewall-em. Moe mog go zmusi, aby wypuci ich na zewntrz !


    ipfwadm -I -i accept -S 192.168.2.0/255.255.255.128 \
                         -D 192.168.2.100/255.255.255.255



  W tym momencie sprawd czy moesz si dosta do klientw wewntrz
  sieci z zewntrz poprzez telnet i nie moesz si wydosta. Oznacza to,
  e moesz si kontaktowa, ale klienci nie mog ci odpowiedzie.
  Powiniene mc si dosta wszystkimi drogami jeli uywasz firewall-a
  jako maszyny przejciowej. Sprbuj take _r_l_o_g_i_n i _p_i_n_g z uruchomionym
  _t_c_p_d_u_m_p na jednej z kart. Powiniene umie odpowiednio wykorzysta to
  co robisz.


  33..55..  DDzziiuurryy nnaa pprroottookk..


  W nastpnym kroku poluniem troch zasady protok po protokole.
  Chc, na przykad, wpuszcza ping-i, eby dosta odpowied.


    ipfwadm -I -i accept -P icmp -S 192.168.2.0/255.255.255.128 \
                                 -D 0.0.0.0/0.0.0.0



  _-_P _i_c_m_p to magiczne zaklcie dla konkretnego protokou.

  Dopki trzymam ftp-proxy pozwalam take na odwoania ftp na zewntrz
  przez konkretne porty. Te docelowe porty na odlegej maszynie to:  20,
  21, 115


    ipfwadm -I -i accept -P tcp -S 192.168.2.0/255.255.255.128 \
                                 -D 0.0.0.0/0.0.0.0 20 21 115



  Bez dziaajcego serwera nazw nie mgbym mie dziaajcego sendmail-
  a. Zamiast ustawi serwer nazw na firewall-u, pozwoliem mu
  przepuszcza zapytania skierowane do najbliszego serwera nazw i
  umieciem jego adres w plikach /etc/resolv.conf u klientw -
  _n_a_m_e_s_e_r_v_e_r _1_2_3_._4_5_6_._7_8_9_._3_1 - w osobnej linijce.


    ipfwadm -I -i accept -P tcp -S 192.168.2.0/255.255.255.128 \
                                 -D 123.456.789.31/255.255.255.255 54



  To, ktrego portu uywa dany serwis moesz dowiedzie si z programu
  _t_c_p_d_u_m_p. Po prostu uruchom dany serwis przez ftp, albo telnet na danym
  kliencie i szukaj go na portach wejciowych albo wyjciowych na danym
  kliencie:


    tcpdump -i eth1 -e host client04



  Plik /etc/services jest drugim wanym rdem.

  Aby pozwoli na dostp poprzez telnet do firewall-a z zewntrz, musisz
  pozwoli klientom na woanie na konkretnym porcie. Rozumiem dlaczego
  jest to potrzebne dla ftp - z powodu serwera, ktry ustawia strumie
  danych na kocu - ale nie jestem pewien dlaczego telnet take tego
  potrzebuje.


    ipfwadm -I -i accept -P tcp -S 192.168.2.0/255.255.255.128 ftp telnet \
                                 -D 0.0.0.0/0.0.0.0



  S problemy z pewnymi demonami, ktre sprawdzaj nazw firewall-a,
  eby zdecydowa jaki jest ich adres sieciowy. _r_p_c_._y_p_p_a_s_s_w_d_d to jeden,
  z ktrym miaem problemy. Nalega na rozsyanie informacji, e jest on
  poza firewall-em (na drugiej karcie). To znaczy, e klient wewntrz
  nie moe si z nim porozumie.

  Zamiast uruchamiania IP-aliasing-u, albo zmiany kodu demona,
  odwzorowaem nazw dla karty wewntrznej u klientw w ich plikach
  /etc/hosts.


  33..66..  SSpprraawwddzzeenniiaa..


  Teraz chcesz sprawdzi czy wci moesz poczy si telnet-em,
  rlogin-em lub ping-owa z zewntrz. Z wewntrz powiniene mc ping-
  owa na zewntrz. Powiniene mc take poczy si telnet-em z
  firewall-em z wewntrz a pniej mc robi wszystko.

  To tyle. W tym momencie moesz si pouczy o rpc/Yellow Pages i
  interakcji z plikiem hase. Sie chroniona firewall-em powinna dziaa
  tak, aby nie pozwala nieuprzywilejowanym uytkownikom na logowanie
  si na firewall-u i przez to na wychodzenie na zewntrz.. A to ju
  historia na inne HOWTO.


  44..  OOdd ttuummaacczzaa..


  Tumaczenie to jest chronione prawami autorskimi  Bartosza
  Maruszewskiego.  Dozwolone jest rozprowadzanie i dystrybucja na
  prawach takich samych jak dokument oryginalny.

  Jeli znalaze jakie race bdy ortograficzne, gramatyczne,
  skadniowe, techniczne to pisz do mnie:

  B.Maruszewski@jtz.org.pl

  Oficjaln stron tumacze HOWTO jest http://www.jtz.org.pl/

  Aktualne wersje przetumaczonych dokumentw znajduj si na teje
  stronie. Dostpne s take poprzez anonimowe ftp pod adresem
  ftp.jtz.org.pl w katalogu /HOWTO.

  Przetumaczone przeze mnie dokumenty znajduj si take na mojej
  stronie WWW. <http://www.jtz.org.pl/bartek/tlumaczenie.html> S tam
  te odwoania do Polskiej Strony Tumaczeniowej.

  Kontakt z nasz grup, grup tumaczy moesz uzyska poprzez list
  dyskusyjn jtz@ippt.gov.pl. Jeli chcesz si na ni zapisa, to wylij
  list o treci subscribe jtz Imi Nazwisko na adres
  majordomo@ippt.gov.pl




































































