 |
|
Linux NET-3-HOWTO, Linux w sieci
Terry Dawson, VK2KTJ, terry@perf.no.itg.telstra.com.au v1.0, 22 luty 1997 wersja polska piotr.pogorzelski@ippt.gov.pl w1.0, kwiecień 1997 wersja polska - korekta Basia Głowacka jastra@gdansk.sprint.pl w1.1, grudzień 2001
Obsługa sieci w jądrze systemu Linux została napisana niemal od zera. Osiągi sieci tcp/ip w najnowszych wersjach jądra sprawiają, że Linux staje się godną uwagi alternatywą dla innych, dominujących w tej dziedzinie systemów. Naszym celem jest opisanie w jaki sposób zainstalować i skonfigurować oprogramowanie sieciowe, oraz różne inne narzędzia pomagające w obsłudze sieci.
1. Zmiany w stosunku do poprzedniej wersji
Dodatki:
mnóstwo.
Poprawki/uaktualnienia:
wszystko.
2. Wprowadzenie.
Oryginalny dokument NET-FAQ, napisy przez Matta Welsha w celu zebrania odpowiedzi na najczęściej zadawane pytania na temat pracy Linuksa w sieci, powstał zanim ktokolwiek myślał o Projekcie Dokumentacji Linuksa (LDP). Dokument dotyczył bardzo wczesnych wersji rozwojowych modułów sieciowych jądra. Został zastąpiony przez NET-2-HOWTO, jeden z oryginalnych doumentów projektu LDP. Opisywał oprogramowanie sieciowe znane pod nazwą "wersja 2." i "wersja 3.". W tym dokumencie opisujemy jedynie moduły sieciowe jądra w "wersji 3".
Poprzednie wersje tego dokumentu osiągnęły ogromne rozmiary, ze względu na wielką ilosć materiału, którego dotyczyły. Była to jedna z przyczyn powstania kilku innych dokumentów HOWTO opisujących specyficzne problemy związane z siecią. Wszędzie gdzie będzie to możliwe, będziemy odwoływać się do tych dokumentów i opisywać problemy, które jeszcze nie posiadają własnych dokumentów.
2.1 Uwagi na temat tego dokumentu
Zawsze doceniam wszelkie uwagi, szczególnie wartościowe wnioski. Proszę kierujcie je bezpośrednio do mnie email.
3. Jak korzystać z tego dokumentu (NET-3-HOWTO-HOWTO ?).
Format tego dokumentu różni się od poprzednich wersji. Przegrupowałem podrozdziały, tak aby materiał opisowy zgromadzony na początku dokumentu mogł zostać przez czytalnika pominięty. Po nim występuje ogólny opis zagadnień sieciowych, informacje, które trzeba zrozumieć zanim przejdzie się do ostatniej części dokumentu - technicznej dokuemntacji stosowanej technologii.
- Przeczytaj rozdziały ogólne
Informacje tutaj podane odnoszą nię niemal do wszystkich poźniejszych części dokumentu i są niezbędne do ich zrozumienia.
- Zastanów się nad swoją siecią
Powinieneś wiedzieć jak jest (lub będzie) zbudowana twoja sieć, dokładnie jaki sprzęt i technologie są (będą) wykorzystywane.
- Przeczytaj rodziały opisujące wykorzystywane przez ciebie technologie
Gdy już wiesz co cię konkretnie interesuje, zapoznaj się z wybranymi rozdziałami. Znajdziesz tam szczegóły dotyczące opisywanej technologii.
- Wykonaj konfiguracje sieci
Powinieneś spróbować skonfigurować sieć uważnie notując wszystkie napotkane problemy.
- Jeśli potrzebujesz poszukaj dalszej pomocy
Jeśli napotkasz problemy, w rozwiązaniu których niniejszy dokument nie będzie pomocny, wtedy zapoznaj się z rozdziałem poświęconym znajdowaniu dalszej pomocy i zgłaszaniu znalezionych błędów.
- Baw się dobrze!
Sieć to dobra zabawa, ciesz się nią.
4. Informacje ogólne na temat pracy Linuksa w sieci.
4.1 Krótka historia rozwoju modułów sieciowych jądra Linuksa.
Opracowanie zupełnie nowej implementacji protokołu tcp/ip, pracująego równie dobrze jak inne istniejące implementacje nie było łatwym zadaniem. Decyzja aby napisać wszystko od zera została podjęta w czasie gdy istniała niepewność, że istniejące implementacje mogą zostać zaprzepaszczone przez restrykcyjne licencje, z powodu toczącej się sprawy sądowej rozpoczętej przez U.S.L. i w momencie gdy sieć była przepełniona świeżym entuzjazmem aby zrobić to inaczej, a być może nawet lepiej niż zostało do tej pory zrobione.
Pierwszym ochotnikiem przewodzenia w pracach nad rozwojem modułów
jądra do obsługi sieci był Ross Biro
<biro@yggdrasil.com>. Wykonał prostą i niepełną, lecz w
większości przypadków działającą implementacje podstawowych procedur,
uzupełnionych przez procedury sterownika karty sieciowej ethernet
WD-8003. To wystarczyło, aby przyciągnąć rzeszę ludzi, umożliwić im
testowanie i eksperymentowanie. Niektórm udało się nawet doprowadzić
do włączenia swoich komputerów do Internetu.
Nacisk społeczności Linuksowej na rozwój obsługi sieci przez jądro wciąż wzrastał. Gdy korzyści i stysfakcja z wykonywanej pracy przestały rekompensować w wystarczającym stopni poświecenia i odpieranie rosnących nacisków, Ross zrezygnował z roli prowadzącego budowę oprogramowania sieciowego. Jego wysiłki poświęcone na stworzenie w tak burzliwych czasach czegoś użytecznego stały się katalizatorem przyszłych prac i należy je zaliczyć do najważniejszych czynników, które przyczyniły się do osiągnięcia sukcesu.
Orest Zborowski <obz@Kodak.COM> dołączył do jądra oryginalny interfejs
programistyczny gniazd BSD. Był to ogromny krok naprzód, ponieważ
umożliwiał proste przenoszenie na Linuksa wielu istniejących
programów sieciowych, bez konieczności ich nadmiernej modyfikacji.
Mniej więcej w tym samym czasie Laurence Culhane
<loz@holmes.demon.co.uk> opracował pierwszy sterownik protokołu
SLIP. Wiele osób, które nie posiadały dostępu do sieci Ethernetowych
otrzymało możliwość eksperymentowania z nowym oprogramowaniem
sieciowym. Ponownie część osób wykorzystała te oprogramowanie do
przyłączania się do Internetu. W ten sposób uzmysłowili reszcie
jakie możliwości otworzyłyby się przed Linuksem, gdyby tylko posiadał
pełną obsługę sieci. Zwiększyło również liczbę osób aktywnie
wykorzystujących i eksperymentujących z istnejącym oprogramowaniem.
Jednym z ludzi, który równie aktywnie pracował nad zbudowaniem modułów
obsługi sieci w jądrze Linuksa był Fred van Kempen
<waltje@uwalt.nl.mugnet.org>. Po krótkim okresie niepewności
wywołanym rezygnacją Rossa Biro z prowadzenia projektu, Fred
zaoferował swój czas i umiejętności, i przyjął tę rolę w zasadzie bez
żadnych sprzeciwów. Fred miał ambitne plany na temat kierunków rozwoju
oprogramowania obsługi sieci w jądrze Linuksa i aktywnie je
realizował. Stworzył oprogramowanie znane pod nazwą NET-2
(oprogramowanie Rossa nosiło nazwę NET), z którego wielu ludzi
korzystało przez długi czas. Fred wprowadził wiele inowacji do
programu rozwoju oprogramowania, dynamiczny interfejs urządzeń, obsługę
protokołu AX.25 (Amateur Radio) i bardziej modułowe implementacje
obsługi funkcji sieciowych. Oprogramowanie NET-2 było wykorzystywane
przez stale rosnącą grupę ludzi, w miarę jak świat dowiadywał się, że
coś takiego istnieje. Oprogramowanie sieciowe nadal było
rozpowszechniane w postaci łatek do standardowej dystrybucji jądra i
przez długi czas nie było rozpowszechniane razem z jądrem Linuksa.
NET-FAQ i późniejszy NET-2-HOWTO opisywały całkiem skomplikowana
procedurę uruchomienia sieci pod Linuksem. Fred skoncentrował się na
wprowadzaniu nowości do standardowej implementacji sieci, a to
zabierało czas. Społeczność użytkowników zaczynała się niecierpliwić
oczekując na coś co działałoby bezbłędnie i zadawalałoby 80% z nich.
I podobnie jak w przypadku Rossa, naciski na Freda, jako
koordynatora projektu cały czas wzrastały.
Alan Cox <iialan@www.linux.uk.org> zaproponował rozwiązanie
zaistniałej sytuacji. Zaproponował, że weźmie kod napisany przez Freda
i przetestuje go. W ten sposób zapewni jego stabilność
satysfakcjonując grono niecerpliwych użytkowników, uwalniając tym
samym Freda od licznych nacisków i umożliwiając mu dalszą pracę nad
rozwojem oprogramowania. Tak też zrobił, co zakończyło się pełnym
sukcesem. Pierwsza wersja oprogramowania stworzona przez Alana nosiła
nazwę NET-2D (Debugged - odpluskwiony). Oprogramowanie pracowało
stabilnie w większości standardowych konfiguracji i większość
użytkowników była wreszcie szczęśliwa. Alan bez wątpienia posiadał
umiejętności i pomysły, które chciał zrealizować ku pożytkowi całej
społeczności Linuksa. Następstwem było wiele dyskusji na temat
kierunków rozwoju oprogramowania sieciowego NET-2 Linuksa. Rozwinęły
się dwie różne szkoły, jedna, której ideą było "wpierw niech to
działa, później niech będzie to lepsze" i druga z ideą "niech wpierw
to będzie lepsze". Ostatecznie wmieszał się w to Linus, oferując swoje
wsparcie Alanowi w jego wysiłkach włączając jego kod do standardowej
dystrybucji jadra Linuksa. To postawiło Freda w bardzo trudnej
pozycji. Został pozbawiony ogromnej rzeszy użytkowników aktywnie
testujących i eksperymentujących z jego oprogramowaniem sieciowym, co
oznaczało, że jego dalszy rozwój byłby trudny i powolny. Fred
kontynuował przez krótki czas swoje prace, ostatecznie rezygnując i
pozstawiając Alana jako nowego lidera w wysiłkach nad udoskonaleniem
oprogramowania sieciowego Linuksa.
Wktrótce swoje talenty w tematyce ujawnił Donald Becker
<becker@cesdis.gsfc.nasa.gov> i stworzył ogroną liczbę
sterowików kart sieciowych ethernet, niemal wszystkich dostępnych w
obecnych wersjach jądra. Byli również inni, których wkład w tej
dziedzinie był znaczący, lecz praca Donalda była tak płodna, że wymaga
osobnej uwagi.
Alan kontynuował pracę nad szlifowaniem oprogramowania NET-2-D,
równocześnie starając się zająć problemami określonymi jako 'do
zrobienia' (TODO). Gdy jądro Linuksa rozwinęło się na tyle by osiągnąć
wersję 1.3.*, jego część dotycząca obsługi sieci składała się
niemal z wersji NET-3, na której bazyją aktualne wersje. Alan pracował
nad wieloma aspektami i funkcjami sieciowymi otrzymując wsparcie od
wielu utalentowanych ludzi należących do internetowej społeczności
Linuksa. Dzięki temu oprogramowanie rozrastało się jednocześnie w wielu
kierunkach. Alan opracował dynamiczne sterowniki urządzeń i pierwsze
implementacje standardów AX.25 i IPX. Kontynuował pracę, powoli
restrukturyzując i wprowadzając ulepszenia, aż uzyskał obecną postać.
Obsługa PPP została zaimplementowana przez Michaela Callahana
<callahan@maths.ox.ac.uk> i Ala Longyeara
<longyear@netcom.com>. Miało to ogromne znaczenie i ogromnie
zwiększyło libczę osób aktywnie wykorzystujących Linuksa w
zastosowaniach sieciowych.
Jonathon Naylor <jsn@cs.nott.ac.uk> znacznie usprawnił
początkowy kod Alana obsługi protokołu AX.25. Wprowdził obsługę
protokołu NetRom. Obsługa AX.25/NetRom jest ogromnie ważna, ponieważ
żaden inny system operacyjny nie posiada w standardowej dystrybucji
obsługi tych protokołów.
Były również ogromne rzesze innych ludzi, którzy w zanaczący sposób przyczynili się do rozwoju oprogramowania sieciowego Linuksa. Wiele z tych nazwisk znajdziesz później w częściach omawiających poszczególne technologie. Inni przyczynili się do rozwoju bądź opracowując różne moduły oprogramowania, bądź przysyłająć poprawki usuwające różne błędy, bądź oferując sugestie, raporty z testów lub choćby wsparcie moralne dla aktywnych twórców. Każdy z nich może twierdzić, że brał w tym udział i oferował tyle ile mógł. Kod jądra Linuksa przeznaczony do obsługi sieci jest świetnym przykładem rezultatów jakie można osiągnąć pracując w tak anarchiczny sposób, jaki to miało miejsce w tym przypadku. Jeśli się to jeszcze nie zadziwiło, to pamiętaj o jednym: prace rozwojowe nadal trwają.
4.2 Skąd zdobyć inne informacje na temat zastosowańsieciowych Linuksa.
Istnieje kilka miejsc, gdzie można znaleźć dobre informacje na temat sieciowych zastosowań Linuksa.
Alan Cox, aktualny opiekun i lider oprogramowania sieciowego Linuksa, prowadzi stronę internetową zawierającą najciekawsze i najważniejsze informacje na temat aktualnego rozwoju sieci w Linuksie: www.uk.linux.org.
Innym znakomitym miejscem jest książka napisana przez Olafa Kircha pod
tytułem Poradnik dla administratorów sieci. Powstała w ramach
Projektu dokumentacji Linuksa
i jest dostępna tutaj:
Poradnik dla administratorów sieci - wersja HTML
lub w innych formatach tutaj
archiwum ftp sunsite.unc.edu LDP. Książka Olafa jest
całkiem wyczerpująca i dostarcza dobrego, stojącego na wysokim
poziomie przeglądowego spojrzenia na konfigurację sieci pod Linuksem.
Istnieje specjalna grupa dyskusyjna (angielskojęzyczna), poświęcona sieci i podobnym problemom: comp.os.linux.networking
Istnieje angielskojęzyczna lista dyskusyjna, na którą możesz się zapisać i gdzie możesz zadawać pytania odnoszące się do funkcji sieciowych Linuksa. Aby się zapisać musisz wysłać następujący list:
To: majordomo@vger.rutgers.edu
Subject: anything at all
Message:
subscribe linux-net
W większości serwerów IRC istnieją zwykle kanały #linux, na
których obecni tam ludzie będą potrafili odpowiedzieć na pytania
dotyczące sieci pod Linuksem.
Pamiętaj, że zgłaszając jakikolwiek problem należy podawać jak najwięcej dotyczących go szczegółów. Koniecznie należy podać wersje używanego oprogramowania, sczególnie wersję jądra (uname -a), wersję takich narzędzi jak pppd lub dip i dokładną naturę problemu na który napotkałeś. To znaczy dokładnie zanotowane komunikaty systemowe jakie otrzymałeś i dokładny opis składni wydawanych poleceń.
4.3 Skąd zdobyć inne, nie związane z Linuksem informacje natemat technik sieciowych.
Jeśli szukasz podstawowych informacji o tcp/ip, polecam zapoznanie się z następującymi dokumentami:
- wprowadzenie do tcp/ip
dostępne w wersji tekstowej i postscriptowej.
- tcp/zarządzanie protokołem ip
dostępne w wersji tekstowej i postscriptowej.
Jeśli poszukujesz dokładniejszych informacji na temat sieci tcp/ip mocno polecam:
"Internetworking with TCP/IP"
by Douglas E. Comer
ISBN 0-13-474321-0
Prentice Hall publications.
Jeśli chcesz się nauczyć w jaki sposób budować programy sieciowe w środowiskach zgodnych z systemem UNIX, mocno polecam:
"Unix Network Programming"
by W. Richard Stevens
ISBN 0-13-949876-1
Prentice Hall publications.
Możesz również skorzystać z grupy dyskusyjnej comp.protocols.tcp-ip.
Istotnym źródłem konkretnych informacji technicznych związanych z Internetem i protokołem tcp/ip są dokumenty RFC. RFC to skrót od "Request For Comments", jest to standardowy sposób ogłaszania i dokumentowania obowiązujących standardów internetowych. Istnieje wiele miejsc skąd można poprać dokumenty RFC. Większość z nich to archiwa ftp, część udostępnia dokumenty RFC również przez interfejs WWW dostarczając jednocześnie możliwość przeszukiwania wszystkich dokumentów w poszukiwaniu słów kluczowych.
Jednym z archimum dokumntów RFC jest: baza danych Nexor RFC.
5. Podstawowe informacje na temat konfigurowania sieci.
Aby poprawnie skonfigurować sieć, musisz zapoznać się i zrozumieć informacje prezentowane w kolejnych podrozdziałach. Są to podstawowe zasady funkcjonowania sieci, niezależnie od jej wewnętrznej natury.
5.1 Czego potrzebuję aby rozpocząć?
Zanim zaczniesz budować lub konfigurować swoją sieć będziesz potrzebował kilku rzeczy. Najważniejsze z nich to:
Aktualne źródła jądra.
Ponieważ jądro którego używasz może nie posiadać obsługi sieci, lub kart sieciowych, które posiadasz, będziesz prawdopodobnie potrzebował źródła jądra, abyś mogł skompilować nowe jądro z odpowiednimi opcjami.
Najnowszą wersją jądra mozna uzyskać z: ftp.funet.fi.
Zwykle pliki źródłowe powinny być rozpakowane do katalogu
/usr/src/linux. Jeśli potrzebujesz informacji jak dodać do
jądra dodatkowe łaty lub jak skompilować jądro powinieneś przeczytać
Kernel-HOWTO.
Jeśli wyraźnie nie zostało to zaznaczone, zalecam pozostanie przy standardowych wersjach jądra (te z parzystymi numerami wersji po pierwszej kropce). Wersje testowo-rozwojowe (z nieparzystą drugą liczbą) mogą mieć zmienioną strukturę wewnętrzną lub wprowadzone inne zmiany uniemożliwiające poprawną współpracę z innym oprogramowaniem zainstalowanym na twoim systemie. Jeśli nie jesteś pewien, że poradzisz sobie z tego rodzaju problemami, w połączeniu z możliwosćią wystąpienia błędu w innym oprogramowaniu, nie używaj wersji rozwojowych.
Aktualne narzędzia sieciowe.
Narzędzia sieciowe to programy służące do konfigurowania urządzeń sieciowych Linuksa. Np. pozwalają na przydzielenie urządzeniu numeru adresu IP lub na skonfigurowanie routingu (marszruty).
Nowe dystrybucje Linuksa zawierają wszelkie niezbędne narzędzia sieciowe. Jeśli ich jescze nie zainstalowałeś, powinieneś to teraz zrobić.
Jeśli nie instalowałeś Linuksa z dystrybucji, będziesz musiał pobrać źródła i skompilować narzędzia samodzielnie. To nie jest trudne.
Narzędziami sieciowymi opiekuje się Bernd Eckenfels i są dostępne pod adresem: ftp.inka.de lub kopia ftp.linux.uk.org.
Pamiętaj aby wybrac wersję najbardziej odpowiednią dla wersji jądra, które posiadasz, postępuj zgodnie z uwagami zawartymi w instalowanym pakiecie.
Aby skonfigurować wersję aktualną w momencie pisania tego dokumentu musisz wykonać następujące polecenia:
# # cd /usr/src # tar xvfz net-tools-1.32-alpha.tar.gz # cd net-tools-1.32-alpha # make config # make # make install #
Dodatkowo jeśli zamierzasz skonfigurować firewall lub korzystać z funkcji IP Masquerade, potrzebujesz programu ipfwadm. Najnowszą wersję można zdobyć tutaj: ftp.xos.nl. Pamiętaj, że dostępnych jest kilka wersji. Musisz wybrać tę, która najlepiej współpracuje z jądrem, które posiadasz.
Aby skonfigurować wersję aktualną w momencie pisania tego dokumentu musisz wykonać następujące polecenia:
# # cd /usr/src # tar xvfz ipfwadm-2.3.0.tar.gz # cd ipfwadm-2.3.0 # make # make install #
Programy-aplikacje sieciowe.
Sieciowe programy użytkowe (aplikacje sieciowe) to takie, jak
np. telnet,ftp i ich odpowiedniki po stronie
serwera. Dystrybucją większości z nich zajmuje się David Holland
<dholland@hcs.harvard.edu> . Można je zdobyć z
ftp.uk.linux.org.
Aby skonfigurować wersję aktualną w momencie pisania tego dokumentu musisz wykonać następujące polecenia:
# # cd /usr/src # tar xvfz /pub/net/NetKit-B-0.08.tar.gz # cd NetKit-B-0.08 # more README # vi MCONFIG # make # make install #
Adresy.
Adresy protokołu IP (Internet Protocol) składają się z czterech bajtów. Zwykle zapisuje się w notacji zwanej 'dziesiętną z kropkami' (decimal dotted notation). Każdy bajt jest zamieniany na liczbę dziesiętną (0-255), opuszczając wszelkie zera na początku (chyba, że liczba jest równa zero) i zapisywany kolejno, rozdzielony jeden od drugiego kropką `.'. Konwencja wymaga, aby każdy interfejs sieciowy komputer czy routera posiadał własny numer IP. Można ten sam numer przydzielać do różnych urządzeń sieciowych jednego komputera, lecz zwykle każdy interfejs posiada własny numer IP.
Numery IP sieci to nieprzerwane sekwencje adresów IP. Wszystkie adresy należące do jednej sieci mają wspólną liczbę cyfr w pełnym adresie IP. Część adresu wspólna dla wszystkich adresów IP należących do sieci nazywa się numerem sieci (adresu IP).Pozostałe cyfry określają adres komputera . Liczba bitów które są wszpólne dla wszystkich adresów w ramach jednej sieci nazywamy maską sieci (netmaską). Rolą netmaski jest określenie które adresy przynależą do sieci, której ona dotyczy, a które nie. Rozważmy następujący przykład:
----------------- --------------- Host Address 192.168.110.23 Adres komputera Network Mask 255.255.255.0 Netmaska Network Portion 192.168.110. Cześć sieciowa adresu Host portion .23 Cześć komputerowa adresu ----------------- --------------- Network Address 192.168.110.0 Adres sieci Broadcast Address 192.168.110.255 Adres ogłoszeniowy (informacja wysłana pod ten adres dotrze do wszystkich komputerów danej sieci) ----------------- ---------------
Jeśli dowolny adres IP poddamy operacji bitowej koniunkcji z jego netmaską, otrzymamy w ten sposób adres sieci, do której on należy. Adres sieci jest zatem najmniejszym adresem w puli adresów danej sieci z zawsze wypełnioną zerami częscią komputerową adresu.
Adres ogłoszeniowy (broadcast) to specjalny adres IP. Wszystkie
komputery w danej sieci prócz nasłuchiwania pakietów adresowanych pod
ich numer IP, nasłuchują również pakietów kierowanych na ten adres.
Jeśli chemy wysłać pakiet, który ma dotrzeć do wszystkich komputerów w
danej sieci, korzystamy właśnie z adresu ogłoszeniowego. Różnego
rodzaje informacje dotyczące np. trasowania (routingu) lub zawierające
różne ostrzerzenia nadawane są właśnie na ten adres, tak aby
wszystkie komputery otrzymały go jednocześnie. Istnieją dwa standardy
jak powinien wyglądać adres ogłoszeniowy. W powyższym przykładzie był to
192.168.110.255. Z nieznanych przyczyn w niektórych miejscach
jako adresu ogłoszeniowego używa się adresu sieci. W praktyce
zasadniczo nie ma znaczenia, której konwencji uzywamy, pod warunkiem,
że wszystkie komputery mają skonfigurowany adres ogłoszeniowy w ten
sam sposób.
Z przyczyn administracyjnych w początkowym okresie rozwoju protokołu IP, pewne grupy adresów IP zostału połączone w sieci, które z kolei zostały połączone w klasy. Te klasy dostarczają określoną liczbę różnej wielkości sieci, które mogą być przydzielane użytkownikom. Wygląda to mniej więcej tak:
---------------------------------------------------------- | Klasa | Netmaska | Adresy sieciowe | | sieci | | | ---------------------------------------------------------- | A | 255.0.0.0 | 0.0.0.0 - 127.255.255.255 | | B | 255.255.0.0 | 128.0.0.0 - 191.255.255.255 | | C | 255.255.255.0 | 192.0.0.0 - 223.255.255.255 | |Multicast| 240.0.0.0 | 224.0.0.0 - 239.255.255.255 | ----------------------------------------------------------
Z których adresów powinieneś korzystać zależy bezpośrednio od tego co robisz. Aby uzyskać wszystkie adresy których potrzebujesz możesz być zmuszony do wykonania kombinacji następujących działań:
- Instalacja Linuksa w istniejącej sieci IP
Jeśli chesz zainstalować Linuksa w istniejącej sieci IP powinieneś skontaktować się z administratorem sieci i poprosić go o następujące informacje:
- Adres IP komputera
- Adres IP sieci
- Adrs ogłoszeniowy (broadcast)
- Netmaska
- Adres routera
- Adres serwera DNS
- Budowanie nowej sieci, która nigdy nie będzie podłączona do internetu
Jeśli budujesz prywatną sieć i nie masz zamiaru podłączać ją do Internetu to możesz wybrać zupełnie dowolne numery IP. Jednak dla bezpieczeństwa i porządku powinieneś skorzystać z grupy adresów IP pozostawionych dokładnie w tym celu. Są one określone w dokumencie RFC1597:
----------------------------------------------------------- | Zarezerwowane prywatne adresy IP | ----------------------------------------------------------- | Klasa | Netmaska | Adres komputera | | sieci | | | ----------------------------------------------------------- | A | 255.0.0.0 | 10.0.0.0 - 10.255.255.255 | | B | 255.255.0.0 | 172.16.0.0 - 172.31.255.255 | | C | 255.255.255.0 | 192.168.0.0 - 192.168.255.255 | -----------------------------------------------------------
Powinieneś się wpierw zdecydować jak wielka będzie twoja sieć, a następnie wybrać tyle adresów IP ile potrzebujesz.
5.2 Gdzie umieścić polecenia konfiguracyjne ?
Istnieje kilka sposobów realizacji procedury uruchamiania systemu
Linux. Po załadowaniu jądra uruchamiany jest program o nazwie
`init'. Program init odczytuje swój plik konfiguracyjny
/etc/inittab i kontynuuje proces uruchamiania
systemu. Istnieje kilka odmian programu init i to jest właśnie
przyczyna różnic w konfiguracji między różnymi dystrybucjami czy komputerami.
Zwykle plik /etc/inittab zawiera pozycję wyglądającą mniej
więcej tak:
si::sysinit:/etc/init.d/boot
Ten wiersz określa nazwę skryptu który ostatecznie jest odpowiedzialny
za procedurę startową. Jest to mniej więcej odpowiednik pliku
AUTOEXEC.BAT w DOSie.
Skrypt startowy uruchamia zwykle różne inne skrypty i sieć jest konfigurowana zwykle jednym z takich skryptów.
Poniższa tabela może posłużyć jako przewodnik po twoim systemie:
-------------------------------------------------------------------------------
Dystryb. |Konfiguracja interfeju(karty)/routingu | Inicjalizacja
-------------------------------------------------------------------------------
Debian |/etc/init.d/network |/etc/init.d/netbase
| |/etc/init.d/netstd_init
| |/etc/init.d/netstd_nfs
| |/etc/init.d/netstd_misc
-------------------------------------------------------------------------------
Slackware|/etc/rc.d/rc.inet1 |/etc/rc.d/rc.inet2
-------------------------------------------------------------------------------
RedHat |/etc/sysconfig/network-scripts/ifup-<ifname>|/etc/rc.d/init.d/network
-------------------------------------------------------------------------------
Większość nowocześnych dystrybucji zawiera program, który umożliwi konfigurację wielu podstawowych interfejsów sieciowych. Jeśli masz taki program powinieneś sprawdzić czy jest on dla ciebie wystarczający, zanim zdecydujesz się na ręczną modyfikacje.
-----------------------------------------
Dystryb. | Program konfiguracji sieci
-----------------------------------------
RedHat | /sbin/netcfg
Slackware | /sbin/netconfig
-----------------------------------------
5.3 Tworzenie interfejsów sieciowych.
W większości systemów Unix urządzenia sieciowe znajdują się w katalogu dev. W Linuksie tak nie jest. Linux tworzy urządzenia sieciowe dynamicznie, dlatego nie wymaga istnienia plików urządzeń sieciowych.
W większości przypadków urządzenia sieciowe są tworzone automatycznie
przez sterowniki tych urządzeń w czasie ich inicjacji i rozpoznawania
sprzętu. Na przykład sterowniki sieciowych kart ethernetowych tworzą
interfejsy o nazwach eth[0..] sekwencyjnie w miarę rozpoznawania
kolejnych urządzeń. Pierwsz znaleziona karta ethernetowa staje się
urządzeniem eth0, druga eth1 itd.
Jednak w niektórych przypadkach, zwykle kiedy korzystamy z protokołów
SLIP lub PPP, urządzenia sieciowe są tworzone na żądanie
programów wykonywanych przez użytkownika. Odbywa się podobny
sekwencyjny przydział nazw urządzeń, lecz nie dzieje się to w sposób
automatyczny w czasie ładowania systemu. Dzieje się tak dlatego, że
w przeciwieństwie do kart ethetnetowych liczba aktywnych interfejsów
slip lub ppp w całym okresie pracy komputera może się
zmieniać. Powiemy o tym dokładniej w dalszej części.
5.4 Konfiguracja interfejsu sieciowego.
Jeśli posiadasz już wszelkie niezbędne oprogramowanie i informacje o potrzebnych adresach sieciowych możesz rozpocząć konfigurację interfejsu. Kiedy mówimy o konfiguracji interfejsu sieciowego mamy na myśli proces przydzielenia mu odpowiedniego adreu IP i nadania odpowiednich wartości innym jego parametrom. W tym celu najczęściej posługujemy się programem ifconfig (interface configure).
Zwykle używa się go sposób podobny do podanego poniżej:
# ifconfig eth0 192.168.0.1 netmask 255.255.255.0 up
W tym przypadku konfiguruję kartę ethernetową `eth0' nadając jej
adres IP `192.168.0.1' i netmaskę `255.255.255.0'. Parametr
`up' na końcu wiersza oznacza, że intefejs powinien zostać
aktywowany (rozpocząć pracę).
Jądro konfigurując interfejsy sieciowe przyjmuje pewne domyślne
wartośći parametrów. Na przykład mógłbyś podać adres IP i adres
ogłoszeniowy (broadcast) danego interfejsu, lecz jeśli tego nie
zrobisz jądro znajdzie sensowne wartości dla tych parametrów na
podstawie klasy konfigurowanego adresu IP. W moim przykładzie jądro
przyjmie, że jest interfejs jest konfigurowany w sieci klasy C i
nada adresowi sieci wartość `192.168.0.0', a adresowi
ogłoszeniowemu `192.168.0.255'.
Polecenie ifconfig posiada znacznie więcej opcji. Najważniejsze z nich to:
- up
włącznie interfejsu.
- down
wyłączenie interfejsu.
- [-]arp
włączenie lub wyłączenie korzystania z protokołu ARP na tym interfejsie
- [-]allmulti
włączenie lub wyłączenie korzystania z trybu 'promoscious'. Jest to tryb pracy, w którym urządzennie może być zmuszone do odbierania wszelkich pakietów, a nie tylko tych adresowanych bezpośrednio do niego. Jest bardzo ważna dla programów tcpdump i innych podglądaczy pakietów.
- mtu N
ustawienie wielkości parametru MTU danego urządzenia.
- netmask addr
adres sieci, do której należy (jest podłączony) interfejs.
- irq addr
ten parametr ma zastosowanie tylko dla niektórych modułów sprzętowych. Pozwala na ustawienie wartości przerwania IRQ z którego powinno korzystać dane urządzenie.
- [-]broadcast [addr]
pozwala na włączenie odbierania pakietów skierowanych na podany adres ogłoszeniowy, lub na zablokowanie odbierania tych pakietów.
- [-]pointopoint [addr]
pozwala na podanie adresu komputera na drugim końsu połączenia point-to-point obsługiwanego przez ten interfejs. Ma to miejsce w przypadku takich protokołów jak slip czy
ppp.- hw <type> <addr>
pozwala na określenie adresu sprzętowego urządzenia lecz tylko dla ograniczonego rodzaju urządzeń. Nie jest często używany w sieciach Ethernet, za to często wykorzystuje się go w sieciach AX.25.
Polecenie ifconfig można stosować dla każdego interfejsu sieciowego. Niektóre programy użytkownika, jak pppd czy dip korzystają z niego w celu skonfigurowania interfejsu sieciowego, tuż po jego utworzeniu. W takim przypadku nie jest potrzebna ręczna konfiguracja tych urządzeń.
5.5 Konfiguracja resolvera nazw.
`Resolver nazw ' jest częscią standardowej biblioteki
Linuksa. Jego podstawową funkcją jest zamiana wygodnych dla człowieka
nazw komputerów, jak `ftp.funet.fi' na ich adres
128.214.248.6, którym posługują się komputery.
Co to jest nazwa?
Prawdopodobnie spotkałeś się z nazwami komputerów, lecz być może nie wiesz w jaki sposób są konstruowane lub rozkładane. Nazwy domen internetowych są w swojej naturze hierachiczne, to znaczy posiadają strukturę drzewiastą. domena jest rodziną, grupą nazw. Domena może być podzielona na poddomeny (subdomain). Domena najwyższego poziomu (top level domain) jest domeną, która jednocześnie nie jest poddomeną. Domeny najwyższego poziomu są określone w dokumencie RFC-920. Poniżej kilka przykładów domen najwyższego poziomu.
- COM
organizacje komercyjne
- EDU
organizacje edukacyjne
- GOV
organizacje rządzowe
- MIL
organizacje wojskowe
- ORG
inne organizacje
- oznaczenie kraju
dwuliterowe kody państw, reprezentujące konkretne państwo.
Każda z domen najwyższego poziomu posiada poddomeny. Domey najwyższego
poziomu o nazwach odpowiadających kodom państw, są zwykle podobnie
podzielone, jak domeny najwyższego poziomu tzn. można tzm znaleźć
poddomeny com, edu, gov, mil i org. Na koniec
otrzymujemy com.au i gov.au dla organizacji komercyjnych i
rządowych w Australii. Z przyczyn historycznych większość domen
należących do domen najwyższego poziomu dotyczy organizacji
amerykańskich, choć Stany Zjednoczone mają również własną domenę
`.us'.
Następny poziom podziału odzwierciedla zwykle nazwę instytucji/organizacji. Dalsze poddomeny różnią się w swojej naturze, często ten poziom domen jest zależny od wewnętrznej struktury instytucji, lecz może być zależny od dowolnego, rozsądnego kryterium przyjętego przez osoby zarządzające siecią w danej instytucji.
Ostatni w strukturze człon domeny, lecz pierwszy z lewej w jej nazwie oznacza nazwę komputera (hostname) i musi być jednoznaczny w danej poddomenie. Pozostała część jezt nazywana domeną danego komputera (domainname), a całość jest nazywana `Fully Qualified Domain Name FQDM' - Pełna nazwa domenowa.
Biorąc za przykład mój komputer pocztowy, jego FQDN to
`perf.no.itg.telstra.com.au'. To znaczy, że komputer nazywa się
`perf', a domena `no.itg.telstra.com.au'. Nazwa mojej domeny
rozpoczyna się od członu oznaczającego kraj, Australię. Ponieważ
jesteśmy organizacją komercyjną kolejnym poziomem jest
`com'. `telstra' oznacza nazwę firmy (starą), a dalsze
człony są pochodną wewnętrznej struktury naszej firmy. Moj komputer
należy do Information Technolog Group w sekcji Network Operations.
Jakie informacje będą niezbędne.
Musisz wiedzieć do jakiej domeny należy twój komputer. Oprogramowanie resolwera nazw wykonuje swoją pracę odwołując się do serwera DNS (Domain Name Server), będziesz potrzebował adres IP najbliższego serwera DNS.
Musisz poprawić trzy pliki. Omówię każdy z nich.
/etc/resolv.conf
/etc/resolv.conf jest głównym plikiem konfiguracyjnym
resolwera nazw. Posiada bardzo prosty format. Jest to plik tekstowy
zawierający jedno polecenie na wiersz. Najczęscieściej stosuje się trzy
słowa kluczowe:
- domain
określa nazwę domeny, do której należy dany komputer
- search
określa listę domen, które mają być przeszukiwane w poszukiwaniu podanej nazwy komputera (w przypadku gdy nazwa komputera nie została podana w postaci FQDN)
- nameserver
może być powtórzone wielokrotnie, określa adres serwera DNS
przykładowy plik /etc/resolv.conf mógłby wyglądać nastepująco:
domain maths.wu.edu.au
search maths.wu.edu.au wu.edu.au
nameserver 192.168.10.1
nameserver 192.168.12.1
W przykładzie podaliśmy, że podstawową domeną, do której należy
komputer i która będzie dodawana do nazwy komputera, jeśli nie została
podana w formacie FQDN jest maths.wu.edu.au. Jeśli komputer nie
zostanie znaleziony w tej domenie resolwer przeszuka jeszcze domenę
wu.edu.au. Podano również adresy IP dwóch serwerów DNS.
/etc/host.conf
Plik /etc/host.conf to plik, które określa niektóre
zachowania resolvera. Jego format jest dokładnie opisany na stronie
podręcznika (man resolv+). W większości przypadków wystarczy taki plik:
order hosts,bind
multi on
Ta konfiguracja informuje resolver, że poszukując nazwy komputera
należy wpierw sprawdzać zawartość pliku /etc/hosts, zanim
zacznie się zadawać pytania serwerowi DNS. Oznacza również, że należy
przekazywać wszystkie znalezione w tym pliku adresy IP odpowiadające
nazwie poszukiwanego komputera, a nie tylko pierwszy z nich.
/etc/hosts
Plik /etc/hosts jest to miejsce, gdzie umieszcza się nazwy i
adresy lokalnych komputerów. Jeśli umieścisz w tym pliku nazwę i adres
komputera, nie musisz pytać się o jego adres serwera DNS. Wadą tego
rozwiązania jest to, że musisz pamiętać aby informacje zawarte w tym
pliku były aktualne. W dobrze zarządzanym sytemie w niniejszym pliku
można zwykle znaleźć nazwę interfejsu pętli zwrotnej i nazwy lokalnych
komputerów.
# /etc/hosts
127.0.0.1 localhost loopback
192.168.0.1 nazwa.tego.komputera
Możesz podać więcej niż jedną nazwę odpowiadającą danemu numerowi IP, jak to zrobiliśmy w powyższym przykładzie w przypadku lokalnej pętli zwrotnej.
5.6 Konfiguracja interfejsu pętli zwrotnej
Interfejs pętli zwrotnej (`loopback' interface) jest interfejsem
specjalnego rodzaju, umożliwiającym nawiązywanie połączeń z samym sobą.
Istnieje wiele przyczyn, dla których mogłbyś chcieć to robić. Na
przykład w celu przetestowania oprogramowania sieciowego, bez
konieczności zawracania głowy komukolwiek innemu. Adres `127.0.0.1'
został przypisany specjalnie dla tego interfejsu. Dlatego niezależnie
na którym komputerze bedziesz pracował, jeśli połączysz się z
komputerem o adresie 127.0.0.1 zawsze to będzie ten komputer,
z którego próbujesz nawiązać połączenie.
Skonfigurowanie interfejsu pętli zwrotnej jest proste, musisz się upewnić, że przy starcie sytemu wykonuje się następujące polecenie:
# ifconfig lo 127.0.0.1
# route add -host 127.0.0.1 lo
Więcej na temat polecenia route powiemy w następnym rozdziale.
5.7 Trasowanie (routing).
Trasowanie ruchu (routing) to ogromny temat. Można na ten temat napisać bardzo dużo. Większość z was spotka się z całkiem prostymi konfiguracjami trasowania, a część nie. Opowiem o podstawowych prawach trasowania ruchu. Jeśli potrzebujesz bardziej szczegółowych informacji radzę zapoznać się z dokumentami wspomnianymi na początku.
Rozpocznijmy od definicji. Co to jest trasowanie pakietów IP. Oto jedna z definicji, którą ja używam:
Trasowanie pakietów IP to proces, w którym komputer z przyłączeniami do wielu sieci decyduje, gdzie wysłać otrzymane pakiety.
Zilustrujmy to przykładem. Wyobraźmy sobie typowy biurowy router. Mógłby mieć połączenie PPP z internetem, kilka segmentów ethernetowych obsługujących stacje robocze i jeszcze jedno połączenie PPP do innego biura. Kiedy router otrzymuje datagram z jednego ze swoich przyłączeń sieciowych, trasowanie jest mechanizmem stosowanym przez niego do wyboru portu przyłączeniowego, do którego trzeba przesłać ten datagram. Zwykłe komputery też muszą wykonywać trasowanie, wszystkie komputery w Internecie posiadają dwa urządzenia sieciowe, jedno z nich to urządzenie pętli zwrotnej (loopback interface) opisane powyżej, a drugie to te, którego używa do porozumiewania się z resztą sieci. Może to być karta ethernetowa lub port PPP, czy SLIP.
OK, w jaki sposób działa trasowanie? Każdy z komputerów przechowuje listę zasad trasowania, zwaną tabelą trasowania (routing table). Każdy wiersz tej tabeli zawiera co najmniej trzy pola, pierwsze oznaczające adres docelowy, drugie zawiera nazwę interfejsu przez który należy wysłać datagram, a trzecie, opcjonalne, to adres IP innego komputera (tzw. gateway), który przeniesie datagram dalej w jego drodze przez sieć. Pod Linuksem tabelę trasowania można zobaczyć wydając polecenie:
# cat /proc/net/route
Proces trasowania jest całkiem prosty: otrzymujemy przychodzący datagram, adres docelowy (do kogo jest adresowany ten datagram) zostaje porównany z pozycjami tabeli routingu. Wybiera się pozycje, kóra najbardziej pasuje do tego adresu i datagram zostaje przesłany przez określony w tej pozycji interfejs. Jeśli pole gatewaya nie jest puste, wtedy datagram zostaje przesłany do tego komputera przez określony w tej pozycji interfejs seciowy, w przeciwnym wyopadku zakłada się, że adres docelowy leży na sieci obsługiwanej przez podany interfejs.
Do manipulacji pozycjami tabeli trasowania służy specjalne polecenie. Wymaga podania w wierszu poleceń dodatkowych parametrów i zamienia je na wywołania funkcji systemowych, które proszą jądro o dodanie, zmodyfikowanie lub usunięcie pozycji w tabeli trasowania (która znajduje się w gestii jądra Linuksa). Polecenie to nazywa się `route'.
Prosty przykład. Wyobraźmy sobie, że mamy sieć ehernetową. Powiedziano
nam, że jest to sieć klasy C o adresie 192.168.1.0. Nasz komputer
otrzymał adres 192.168.1.10 i powiedziano nam, że router
przyłączony do internetu ma adres 192.168.1.1.
Pierwszym krokiem jest poprawne skonfigurowanie interfejsu, w sposób opisany wcześniej:
# ifconfig eth0 192.168.1.10 netmask 255.255.255.0 up
Teraz musimy dodać pozycję do tabeli trasowania, aby powiedzieć jądru,
że datagramy do komputerów, których adresy pasujądo wzorca
192.168.1.* powinny być wysyłane przez interfejs
ethernetowy. Stosuje się w tym celu polecenie zbliżone do tego:
# route add -net 192.168.0.0 netmask 255.255.255.0 eth0
Zwróć uwagę na argument `-net', który mówi programowi route,
że ta pozycja oznacza trasę do całej podsieci (network route). Inną
możliwością jest pozycja określająca trasę do konkretnego adresu IP
tzw. 'host route'.
Powyższa pozycja tabeli trasowania umożliwi nam komunikację ze wszystkimi komputerami znajdującymi się w naszym segmencie ethernetowym. A co z wszystkimi innymi adresami IP spoza naszego segmentu?
Dodanie trasy do każdej sieci.komputera z którym chcielibyśmy się kiedykolwiek komunikować byłoby ogromnym zadaniem. Dlatego wprowadzono tzw trasę domyślną (default route). Trasa domyślna pasuje do każdego adresu docelowego, lecz najgorzej jak tylko jest to możliwe. Dlatego, jeśli istnieje inna pozycja pasująca do tego adresu, to ona zostanie wykorzystana zamiast pozycji domyślnej. Ideą trasy domyślnej jest umożliwienie zrealizowania polecenia 'wszystko inne wysłać tędy'. W naszym przykładzie oznacza to następujące polecenie:
# route add default gw 192.168.1.1 eth0
Argument `gw' informuje program route, że następny argument
oznacza adres IP. lub nazwę gatewaya lub routera, do którego należy
przesyłać wszystkie datagramy pasującego do tej pozycji. Dalszym
przesłaniem tych datagramów zajmie się właśnie ten komputer.
Tak więc nasza pełna konfiguracja wyglądała by następująco:
# ifconfig eth0 192.168.1.10 netmask 255.255.255.0 up
# route add -net 192.168.0.0 netmask 255.255.255.0 eth0
# route add default gw 192.168.1.1 eth0
Jeśli dobrze się przyjrzysz plikom `rc' zajmującymi się siecią,
zobaczysz, że przynajmniej jeden z nich wygląda bardzo podobnie. Jest
to bardzo populana konfiguracja.
Zajmijmy się troszkę bardziej skomplikowanym przypadkiem. Załóżmy, że zajmujemy się konfiguracją routera o którym mówiliśmy wcześniej, tym który posiada połączenie PPP z Internetem, kilka segmentów sieci lokalnej. Niech konkretnie będą to trzy segmenty eternetowe i jedno łącze PPP. Konfiguracja trasowania w tym przypadku wyglądała by następująco:
# route add 192.168.1.0 netmask 255.255.255.0 eth0
# route add 192.168.2.0 netmask 255.255.255.0 eth1
# route add 192.168.3.0 netmask 255.255.255.0 eth2
# route add default ppp0
Każda ze stacji roboczych używałaby prostszej formy prezentowanej
wcześniej. Tylko router musi określić oddzielnie trasę do każdej z
sieci, ponieważ w przypadku stacji roboczej pozycja domyślna
obsłuży wszystkie połączenia pozostawiając routerowi zmartwienie
odpowiedniego podziału ruchu. Możesz się zastanawiać, dlaczego trasa
domyślna na routerze nie posiada argumentu gw. Przyczyna jest
prosta. Protokoły urządzeń szeregowych, takich jak PPP czy SLIP, zawsze
mają w swojej sieci tylko dwa komputery, po jednym na każdym końcu.
Wskazywanie komputera po drugiej stronie połączenia jako gatewaya jest
niepotrzebne i nadmiarowe, ponieważ nie ma innej możliwości niż
przesłać pakiety na drugi koniec połączenia PPP. Dlatego nie jest
potrzebne okreśanie w tego rodzaju połączeniach gatewaya. Podania
gatewaya wyagają w takiej sytuacji inne rodzaje sieci, np. ethernet,
arcnet, token ring, które obsługują wiele komputerów na jednym
segmencie.
Do czego służy program routed ?
Konfiguracja trasowania opisana powyżej nadaje się dla prostych konfiguracji sieci, gdzie zawsze istnieje tylko jedna droga do celu. W przypadku bardziej skomplikowanych konfiguracji sieci, sprawy nieco się komplikują. Na szczęście większości was to nie dotyczy.
Najwieksze kłopoty jakie sprawia 'trasowanie ręczne' lub inaczej mówiąc 'statyczne', polegają na tym, że w przypadku przerwania łącza do komputera docelowego, jedyną metodą nawiązania komunikacji inną drogą (jeśli taka istnieje) jest ręczna interwencja w tabelę trasowania (ręczne uruchomienie odpowiednich poleceń). Naturalnie jest to bardzo powolne, niepraktyczne i ryzykowne. Zostały rozwinięte techniki w celu automatycznej modyfikacji tabeli trasowania w przypadku awarii połączeń w celu przełączenia ruchu na drogi obejściowe, wszystkie te metody nazywane są ogólnie 'trasowaniem dynamicznym'.
Być może słyszałeś o najbardziej popularnych protokołach dynamicznego trasowania. Najczęsciej występującym jes RIP (Routing Information Protocol) i OSPF (Open Shortest Path First Protocol). RIP jest bardzo populany w małych sieciach takich jak małego rozmiaru sieci korporacyjne lub sieci między budynkami. OSPF jest nowocześniejszym i bardziej sprawnym protokołem, lepiej nadającym się do obsługi dużych konfigracji sieci i lepiej nadaje się do zastosowania w środowiskach, gdzie istnieje duża liczba możliwych tras przesyłania pakietu. Powszechnymi implementacjami tych protokołów są programy routed -RIP i gated -RIP,OSPF i inne. routed jest zwykle w każdej dystrybucji Linuksa, lub można go znaleźć w pakiecie `NetKit' opisanym wcześniej.
Przykład, który mogłby wymagać zastosowania dynamicznego trasowania mógłby wyglądać następująco:
192.168.1.0 / 192.168.2.0 /
255.255.255.0 255.255.255.0
- -
| |
| /-----\ /-----\ |
| | |ppp0 // ppp0| | |
eth0 |---| A |------//---------| B |---| eth0
| | | // | | |
| \-----/ \-----/ |
| \ ppp1 ppp1 / |
- \ / -
\ /
\ /
\ /
\ /
\ /
\ /
\ /
\ /
ppp0\ /ppp1
/-----\
| |
| C |
| |
\-----/
|eth0
|
|---------|
192.168.3.0 /
255.255.255.0
Mamy tutaj trzy routery A,B i C. Każdy obsługuje segment sieci klasy C (netmaska 255.255.255.0). Każdy router posiada również łącze PPP do każdego z pozostałych routerów. Sieć tworzy trójkąt.
Powinno być już oczywiste, że tabela trasowania na routerza A wygląda następująco:
# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
# route add -net 192.168.2.0 netmask 255.255.255.0 ppp0
# route add -net 192.168.3.0 netmask 255.255.255.0 ppp1
Taka konfiguracja będzie działała poprawnie, dopóki połączenie pomiędzy routerami A i B będzie pracować poprawnie. Jeśli nastąpi awaria tego połączenia komputery na segmencie A nie będą w stanie osiągnąć komputerów segmentu B i na odwrót ponieważ ich datagramy będą kierowane do interfejsu ppp0 routera A, który uległ właśnie awarii. Jednak komputery z segmentu B będą mogły nadal komunikować się z segmentem D i na odwrót ponieważ połączenie PPP pomiędzy komputerami pozostało nietknięte.
Zaczekaj! Skoro A może komunikować się z C i C może komunikować się z B dlaczego nie przesyłać datagramów adresowanych do B przez C zrzucając na niego dostarczenie ich do B? To jest właśnie rodzaj problemu, do rozwiązania którego powstały protokoły trasowania dynamicznego, jak np. RIP. Gdyby na każdym z routerów był uruchominy program routed wtedy tablice trasowania zostałyby automatycznie poprawione, tak aby odzwierciedlały nowy stan sieci w przypadku awarii któregokolwiek połączenia. Utworzenie takiej konfiuracji jest proste. Na każdym z routerów należy zrobić dwie rzeczy. W przypadku routera A:
# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
# /usr/sbin/routed
Demon `routed' tuż po uruchomieniu automatycznie znajdzie aktywne porty przyłączeń sieciowych, następnie będzie do nich rozsyłał i nasłuchiwał przychodzących z nich komunikatów pozwalając w ten sposób określenie poprawnej tabeli trasowania.
To był bardzo krótki opis trasowania dynamicznego i jego zastosowań. Jeśli potrzebujesz więcej informacji powinieneś zapoznać się dokumentami, do których referencje znajdziesz na początku tego dokumentu.
Istotne sprawy dotyczące dynamicznego trasowania:
- Potrzeba uruchomienia demona protokołu dynamicznego trasowania zachodzi jedynie wtedy, gdy twój Linux ma możliwość wyboru trasy do komputera docelowego.
- Demon trasowania dynamicznego będzie automatycznie modyfikował tabelę trasowania dopasowując ją do zmian w strukturze sieci.
- RIP nadaje się do sieci małych i średnich.
5.8 Konfiguracja serwerów i usług sieciowych.
Serwery i usługi sieciowe są to te programy, które pozwalają zdalnemu użytkownikowi stać się użytkownikiem twojego komputera. Zdalny użytkownik ustanawia połączenie sieciowe z twoim komputerem i programem oferującym usługę, lub demonem sieciowym, nasłuchującym na danym porcie, akceptuje połączenie i wykonuje program. Istnieją dwa tryby pracy demonów sieciowych. Oba są równie często stosowane. Oto one:
- niezależny
program-demon sieciowy nasłuchuje na określonych portach sieciowych i w momencie zestawienia przychodzącego połączenia, sam zarządza tym połączeniem w celu udostępnienia danej usługi.
- podporządkowany serwerowi inetd
serwer inetd jest specjalnym programem-demonem sieciowym specjalizującym się w obsłudze zestawiania połączeń sieciowych. Posiada własny plik konfiguracyjny, który mówi mu, który program obsługi usługi powinien zostać uruchomiony dla zaistniałej kombinacji typu połączenia (tcp lub udp) i numeru portu. Porty są opisane w innym pliku, o którym opowiemy już niedługo.
Istnieją dwa ważne pliki konfiguracyjne. Są to
/etc/services: plik, który kojarzy nazwy z numerami portów i
/etc/inetd.conf: plik konfiguracyjny demona inetd.
/etc/services
Plik /etc/services jest prostą bazą, która kojarzy łatwe dla
człowieka nazwy portów z wykorzystywanymi przez komputery
numerami. Posiada bardzo prosty format. Jest to plik tekstowy, którego
każdy wiersz jest jednym rekordem informacji. Każdy rekord składa się
z trzech pól, rozdzielonych dowolną ilością białych znaków (tabulator
lub odstęp):
nazwa port/protokół aliasy # komentarz
- nazwa
jedno słowo reprezentujące opisywaną usługę.
- port/protokół
to pole jest podzielone na dwie części
- port
numer określający numer portu pod którym będzie dostępna dana usługa. Wiekszość popularnych usług ma już przydzielone numery portów. Są opisane w
RFC-1340.- protokół
może to być albo
tcpalboudp.
Należy zapamiętać, że pozycja
18/tcpjest zupełnie inna niż pozycja18/udpi nie ma żadnych technicznych uwarunkowań, dlaczego dana usługa miałaby istnieć w obu przypadkach. Należy zachować zdrowy rozsądek. Jeśli któraś z usług jest rzeczywiście dostępna zarówno przeztcp, jak i przezudp, wtedy rzeczywiście w/etc/servicesznajdą się obie te pozycje.- aliasy
inne nazwy, pod którymi będzie znana ta usługa.
Dowolny tekst w wierszu po znaku `#' jest traktowany jako
komentarz i ignorowany.
Przykład pliku /etc/services.
Wszystkie nowe dystrybucje Linuksa dostarczają dobry plik
/etc/services. Na wszelki wypadek, gdybyś chciał zbudować
swój komputer od zera oto kopia pliku /etc/services jaki jest
dostarczany razem z dystrybucją
Debian.
# /etc/services:
# $Id: NET-3-HOWTO.pl.sgml,v 1.4 2001/12/15 09:56:17 bart Exp $
#
# Network services, Internet style
#
# Note that it is presently the policy of IANA to assign a single well-known
# port number for both TCP and UDP; hence, most entries here have two entries
# even if the protocol doesn't support UDP operations.
# Updated from RFC 1340, ``Assigned Numbers'' (July 1992). Not all ports
# are included, only the more common ones.
tcpmux 1/tcp # TCP port service multiplexer
echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp users
daytime 13/tcp
daytime 13/udp
netstat 15/tcp
qotd 17/tcp quote
msp 18/tcp # message send protocol
msp 18/udp # message send protocol
chargen 19/tcp ttytst source
chargen 19/udp ttytst source
ftp-data 20/tcp
ftp 21/tcp
ssh 22/tcp # SSH Remote Login Protocol
ssh 22/udp # SSH Remote Login Protocol
telnet 23/tcp
# 24 - private
smtp 25/tcp mail
# 26 - unassigned
time 37/tcp timserver
time 37/udp timserver
rlp 39/udp resource # resource location
nameserver 42/tcp name # IEN 116
whois 43/tcp nicname
re-mail-ck 50/tcp # Remote Mail Checking Protocol
re-mail-ck 50/udp # Remote Mail Checking Protocol
domain 53/tcp nameserver # name-domain server
domain 53/udp nameserver
mtp 57/tcp # deprecated
bootps 67/tcp # BOOTP server
bootps 67/udp
bootpc 68/tcp # BOOTP client
bootpc 68/udp
tftp 69/udp
gopher 70/tcp # Internet Gopher
gopher 70/udp
rje 77/tcp netrjs
finger 79/tcp
www 80/tcp http # WorldWideWeb HTTP
www 80/udp # HyperText Transfer Protocol
link 87/tcp ttylink
kerberos 88/tcp kerberos5 krb5 # Kerberos v5
kerberos 88/udp kerberos5 krb5 # Kerberos v5
supdup 95/tcp
# 100 - reserved
hostnames 101/tcp hostname # usually from sri-nic
iso-tsap 102/tcp tsap # part of ISODE.
csnet-ns 105/tcp cso-ns # also used by CSO name server
csnet-ns 105/udp cso-ns
rtelnet 107/tcp # Remote Telnet
rtelnet 107/udp
pop-2 109/tcp postoffice # POP version 2
pop-2 109/udp
pop-3 110/tcp # POP version 3
pop-3 110/udp
sunrpc 111/tcp portmapper # RPC 4.0 portmapper TCP
sunrpc 111/udp portmapper # RPC 4.0 portmapper UDP
auth 113/tcp authentication tap ident
sftp 115/tcp
uucp-path 117/tcp
nntp 119/tcp readnews untp # USENET News Transfer Protocol
ntp 123/tcp
ntp 123/udp # Network Time Protocol
netbios-ns 137/tcp # NETBIOS Name Service
netbios-ns 137/udp
netbios-dgm 138/tcp # NETBIOS Datagram Service
netbios-dgm 138/udp
netbios-ssn 139/tcp # NETBIOS session service
netbios-ssn 139/udp
imap2 143/tcp # Interim Mail Access Proto v2
imap2 143/udp
snmp 161/udp # Simple Net Mgmt Proto
snmp-trap 162/udp snmptrap # Traps for SNMP
cmip-man 163/tcp # ISO mgmt over IP (CMOT)
cmip-man 163/udp
cmip-agent 164/tcp
cmip-agent 164/udp
xdmcp 177/tcp # X Display Mgr. Control Proto
xdmcp 177/udp
nextstep 178/tcp NeXTStep NextStep # NeXTStep window
nextstep 178/udp NeXTStep NextStep # server
bgp 179/tcp # Border Gateway Proto.
bgp 179/udp
prospero 191/tcp # Cliff Neuman's Prospero
prospero 191/udp
irc 194/tcp # Internet Relay Chat
irc 194/udp
smux 199/tcp # SNMP Unix Multiplexer
smux 199/udp
at-rtmp 201/tcp # AppleTalk routing
at-rtmp 201/udp
at-nbp 202/tcp # AppleTalk name binding
at-nbp 202/udp
at-echo 204/tcp # AppleTalk echo
at-echo 204/udp
at-zis 206/tcp # AppleTalk zone information
at-zis 206/udp
z3950 210/tcp wais # NISO Z39.50 database
z3950 210/udp wais
ipx 213/tcp # IPX
ipx 213/udp
imap3 220/tcp # Interactive Mail Access
imap3 220/udp # Protocol v3
ulistserv 372/tcp # UNIX Listserv
ulistserv 372/udp
#
# UNIX specific services
#
exec 512/tcp
biff 512/udp comsat
login 513/tcp
who 513/udp whod
shell 514/tcp cmd # no passwords used
syslog 514/udp
printer 515/tcp spooler # line printer spooler
talk 517/udp
ntalk 518/udp
route 520/udp router routed # RIP
timed 525/udp timeserver
tempo 526/tcp newdate
courier 530/tcp rpc
conference 531/tcp chat
netnews 532/tcp readnews
netwall 533/udp # -for emergency broadcasts
uucp 540/tcp uucpd # uucp daemon
remotefs 556/tcp rfs_server rfs # Brunhoff remote filesystem
klogin 543/tcp # Kerberized `rlogin' (v5)
kshell 544/tcp krcmd # Kerberized `rsh' (v5)
kerberos-adm 749/tcp # Kerberos `kadmin' (v5)
#
webster 765/tcp # Network dictionary
webster 765/udp
#
# From ``Assigned Numbers'':
#
#> The Registered Ports are not controlled by the IANA and on most systems
#> can be used by ordinary user processes or programs executed by ordinary
#> users.
#
#> Ports are used in the TCP [45,106] to name the ends of logical
#> connections which carry long term conversations. For the purpose of
#> providing services to unknown callers, a service contact port is
#> defined. This list specifies the port used by the server process as its
#> contact port. While the IANA can not control uses of these ports it
#> does register or list uses of these ports as a convienence to the
#> community.
#
ingreslock 1524/tcp
ingreslock 1524/udp
prospero-np 1525/tcp # Prospero non-privileged
prospero-np 1525/udp
rfe 5002/tcp # Radio Free Ethernet
rfe 5002/udp # Actually uses UDP only
bbs 7000/tcp # BBS service
#
#
# Kerberos (Project Athena/MIT) services
# Note that these are for Kerberos v4, and are unofficial. Sites running
# v4 should uncomment these and comment out the v5 entries above.
#
kerberos4 750/udp kdc # Kerberos (server) udp
kerberos4 750/tcp kdc # Kerberos (server) tcp
kerberos_master 751/udp # Kerberos authentication
kerberos_master 751/tcp # Kerberos authentication
passwd_server 752/udp # Kerberos passwd server
krb_prop 754/tcp # Kerberos slave propagation
krbupdate 760/tcp kreg # Kerberos registration
kpasswd 761/tcp kpwd # Kerberos "passwd"
kpop 1109/tcp # Pop with Kerberos
knetd 2053/tcp # Kerberos de-multiplexor
zephyr-srv 2102/udp # Zephyr server
zephyr-clt 2103/udp # Zephyr serv-hm connection
zephyr-hm 2104/udp # Zephyr hostmanager
eklogin 2105/tcp # Kerberos encrypted rlogin
#
# Unofficial but necessary (for NetBSD) services
#
supfilesrv 871/tcp # SUP server
supfiledbg 1127/tcp # SUP debugging
#
# Datagram Delivery Protocol services
#
rtmp 1/ddp # Routing Table Maintenance Protocol
nbp 2/ddp # Name Binding Protocol
echo 4/ddp # AppleTalk Echo Protocol
zip 6/ddp # Zone Information Protocol
#
# Debian GNU/Linux services
rmtcfg 1236/tcp # Gracilis Packeten remote config server
xtel 1313/tcp # french minitel
cfinger 2003/tcp # GNU Finger
postgres 4321/tcp # POSTGRES
mandelspawn 9359/udp mandelbrot # network mandelbrot
# Local services
/etc/inetd.conf
Plik /etc/inetd.conf jest plikiem konfiguracyjnym programu
inetd. Jego rolą jest poinformowanie inetd co powinien
zrobić w momencie otrzymania połączenia z konkretną usługą. Musisz
powiedzieć programowi inetd, który program obsługi uruchomić i jak
to zrobić. Musisz to zrobić dla każdej usługi, której połączenia mają
być obsługiwane przez program inetd.
Format tego pliku jest całkiem prosty. Jest to plik tekstowy, którego
kązy wiersz jest niezależny rekordem danych opisujących jedną z usług
jaką chcesz obsługiwać. Dowolny tekst w wierszu po znaku `#' jest
traktowany jako komentarz i pomijany. Każdy wiersz składa się z
siedmiu pól rodzielonych białymi znakami (tabulator lub odstęp) w formacie:
service socket_type proto flags user server_path server_args
usługa rodzaj_gniazda protokół flagi użytkownik ścieżka_dostępu arguemnty
- usługa
nazwa usługi pobrana przez inetd z
/etc/services- rodzaj gniazda
to pole określa rodzaj gniazda jakie zostanie utworzone, dozwolone wartości to :
stream,dgram,raw,rdm, orseqpacket. Dokładny opis jest dość skomplikowany ale jako pierwsze przybliżenie można potraktować zasadę, że niemal wszystkie usługi korzystające ztcpużywająstreami niemal wszystkie usługi korzystające zudpużywajądgram. Inne kombinacje parametrów występują w bardzo rzadkich przypadkach specjalizowanych serwerów usług.- protokól
nazwa protokołu danej pozycji. Powinien pasować do odpowiedniej pozycji pliku
/etc/serweri zwykle jest totcplubudp. Usługi oparte na Sun RPC (Remote Procedure Call) będą korzystały zrpc/tcplubrpc/udp.- flagi
istnieją tylko dwie wartości jakie może przyjmować to pole. Informują one program
inetdczy uruchomiony program obsługi zwalnia gniazdo co pozwala na uruchomienie kolejnego przy następnym połączeniu do tej usługi, czy inetd powinien zaczekać na zakończenie działania programu obsługi, który sam będzie obsługiwał żądania zestawienia połączenia. Ponownie dokładny opis jest dosyć skomplikowany, lecz w przybliżeniu mozna powiedzieć, że wszystkie usługi typutcppowinny w tym polu mieć wartośćnowaiti większość usług typuudppowinny przyjmować wartośćwait. Pamiętaj, że istnieją znaczące wyjątki od tej reguły.- użytkownik
określa, który użytkownik zdefiniowany w pliku
/etc/passwdstatnie się właścicielem uruchomionego demona sieciowego. Jest to pożyteczne, gdy chcesz zwiększyć bezpieczeństwo swojego systemu. Możesz temu polu nadać wartośćnobidyaby w przypadku złamania zabezpieczeń programów obsługi wyrządzone straty były jak najmniejsze. Zwykle to pole przyjmuje wartośćroot, ponieważ większość programów obsługi do wykonania poprawnie swych zadań wymaga uprawnień administatora.- ścieżka_dostępu
to pole oznacza pełną scieżkę dostępu do programu obsługi, który należy uruchomić.
- argumenty
zawiera pozostałą część wiersza poleceń uruchamianego programu obsługi. Jest to parametr opcjonalny. To właśnie tutaj możesz umieścić dowolne parametry, które zostaną przekazane programowi obsługi w momencie jego uruchomienia przez program
inetd.
Przykład pliku /etc/inetd.conf
Podobnie jak w przypadku pliku /etc/services wszystkie
nowoczesne dystrybucje zawierają poprawny plik
/etc/inetd.conf. Na wszelki wypadek poniżej można znaleźć
plik /etc/inetd.conf dostarczany z dystrybucją
Debian .
# /etc/inetd.conf: see inetd(8) for further informations.
#
# Internet server configuration database
#
#
# Modified for Debian by Peter Tobias <tobias@et-inf.fho-emden.de>
#
# <service_name> <sock_type> <proto> <flags> <user> <server_path> <args>
#
# Internal services
#
#echo stream tcp nowait root internal
#echo dgram udp wait root internal
discard stream tcp nowait root internal
discard dgram udp wait root internal
daytime stream tcp nowait root internal
daytime dgram udp wait root internal
#chargen stream tcp nowait root internal
#chargen dgram udp wait root internal
time stream tcp nowait root internal
time dgram udp wait root internal
#
# These are standard services.
#
telnet stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.telnetd
ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.ftpd
#fsp dgram udp wait root /usr/sbin/tcpd /usr/sbin/in.fspd
#
# Shell, login, exec and talk are BSD protocols.
#
shell stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.rshd
login stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.rlogind
#exec stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.rexecd
talk dgram udp wait root /usr/sbin/tcpd /usr/sbin/in.talkd
ntalk dgram udp wait root /usr/sbin/tcpd /usr/sbin/in.ntalkd
#
# Mail, news and uucp services.
#
smtp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.smtpd
#nntp stream tcp nowait news /usr/sbin/tcpd /usr/sbin/in.nntpd
#uucp stream tcp nowait uucp /usr/sbin/tcpd /usr/lib/uucp/uucico
#comsat dgram udp wait root /usr/sbin/tcpd /usr/sbin/in.comsat
#
# Pop et al
#
#pop-2 stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.pop2d
#pop-3 stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.pop3d
#
# `cfinger' is for the GNU finger server available for Debian. (NOTE: The
# current implementation of the `finger' daemon allows it to be run as `root'.)
#
#cfinger stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.cfingerd
#finger stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.fingerd
#netstat stream tcp nowait nobody /usr/sbin/tcpd /bin/netstat
#systat stream tcp nowait nobody /usr/sbin/tcpd /bin/ps -auwwx
#
# Tftp service is provided primarily for booting. Most sites
# run this only on machines acting as "boot servers."
#
#tftp dgram udp wait nobody /usr/sbin/tcpd /usr/sbin/in.tftpd
#tftp dgram udp wait nobody /usr/sbin/tcpd /usr/sbin/in.tftpd /boot
#bootps dgram udp wait root /usr/sbin/bootpd bootpd -i -t 120
#
# Kerberos authenticated services (these probably need to be corrected)
#
#klogin stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.rlogind -k
#eklogin stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.rlogind -k -x
#kshell stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.rshd -k
#
# Services run ONLY on the Kerberos server (these probably need to be corrected)
#
#krbupdate stream tcp nowait root /usr/sbin/tcpd /usr/sbin/registerd
#kpasswd stream tcp nowait root /usr/sbin/tcpd /usr/sbin/kpasswdd
#
# RPC based services
#
#mountd/1 dgram rpc/udp wait root /usr/sbin/tcpd /usr/sbin/rpc.mountd
#rstatd/1-3 dgram rpc/udp wait root /usr/sbin/tcpd /usr/sbin/rpc.rstatd
#rusersd/2-3 dgram rpc/udp wait root /usr/sbin/tcpd /usr/sbin/rpc.rusersd
#walld/1 dgram rpc/udp wait root /usr/sbin/tcpd /usr/sbin/rpc.rwalld
#
# End of inetd.conf.
ident stream tcp nowait nobody /usr/sbin/identd identd -i
5.9 Inne pliki konfiguracyjne związane z siecią.
Linux posiada jeszcze kilka plików konfiguracyjnych, które mają wpływ na pracę sieci, z którymi powinno się zapoznać. Być może nigdy nie wystąpi potrzeba ich modyfikacji, lecz warto wiedzieć jakie informacje zawierają i czego dotyczą.
/etc/protocols
Plik /etc/protocols zawiera informacje przyporządkowujące
nazwom protokołów odpowiednie numery. Jest wykorzystywany przez różne
programy pozwalając na podawanie nazw protokołów zamiast numerów oraz
inne programy, jak np tcpdump, które mogą wyświetlać nazwy
protokołów zamiast ich liczbowej reprezentacji. Składnia pliku jest następująca:
protocolname number aliases
nazwa_protokołu numer aliasy
Plik /etc/protocols dostarczany w dystrybucji
Debian wygląda następująco:
# /etc/protocols:
# $Id: NET-3-HOWTO.pl.sgml,v 1.4 2001/12/15 09:56:17 bart Exp $
#
# Internet (IP) protocols
#
# from: @(#)protocols 5.1 (Berkeley) 4/17/89
#
# Updated for NetBSD based on RFC 1340, Assigned Numbers (July 1992).
ip 0 IP # internet protocol, pseudo protocol number
icmp 1 ICMP # internet control message protocol
igmp 2 IGMP # Internet Group Management
ggp 3 GGP # gateway-gateway protocol
ipencap 4 IP-ENCAP # IP encapsulated in IP (officially ``IP'')
st 5 ST # ST datagram mode
tcp 6 TCP # transmission control protocol
egp 8 EGP # exterior gateway protocol
pup 12 PUP # PARC universal packet protocol
udp 17 UDP # user datagram protocol
hmp 20 HMP # host monitoring protocol
xns-idp 22 XNS-IDP # Xerox NS IDP
rdp 27 RDP # "reliable datagram" protocol
iso-tp4 29 ISO-TP4 # ISO Transport Protocol class 4
xtp 36 XTP # Xpress Tranfer Protocol
ddp 37 DDP # Datagram Delivery Protocol
idpr-cmtp 39 IDPR-CMTP # IDPR Control Message Transport
rspf 73 RSPF # Radio Shortest Path First.
vmtp 81 VMTP # Versatile Message Transport
ospf 89 OSPFIGP # Open Shortest Path First IGP
ipip 94 IPIP # Yet Another IP encapsulation
encap 98 ENCAP # Yet Another IP encapsulation
/etc/networks
Plik /etc/networks ma funkcję zbliżoną do funkcji pliku
/etc/hosts. Jest prostą bazą danych nazw i adresów
sieci. Jego format różni się tylko tym, że może zawierać jedynie dwa
pola w wierszu w następujacym formacie:
# networkname networkaddress
# nazwa_sieci adres_sieci
Przykładowy plik mógłby wyglądać tak:
loopnet 127.0.0.0
localnet 192.168.0.0
amprnet 44.0.0.0
W przypadku używania programu route jeśli punkt docelowy jest
siecią, a sieć ta znajduje się w pliku /etc/networks, wtedy
polecenie route zamiast adresu IP sieci wyświetli jej nazwę.
5.10 Bezpieczeństwo sieciowe i sterowanie dostępem.
Pozwól, że rozpocznę ten rozdział stwierdzeniem, że zabezbieczanie komputera i sieci przed złośliwymi atakami jest trudną i skomplikowaną sztuką. Nie uważam się za aksperta w tej dziedzinie i choć opisywane przeze mnie mechanizmy pomogą być bardziej bezpiecznym to jeśli bardzo ci zależy na bezpieczeństwie twojego systemu radziłbym ci rozejrzeć się dokładniej w tym temacie. W internecie można znaleźć wiele dobrych referencji na ten temat.
Podstawowa zasada brzmi:
`Nie uruchamiaj serwerów (programów obsługi), których nie
zamierzasz używać.'.
Wiele dystrybucji posiada mnóstwo różnego rodzaju oprogramowania,
automatycznie konfigurowanego i uruchamianego. Aby zapewnić sobie
minimalny poziom bezpieczeństwa powinno się przyjrzeć się plikowi
/etc/inetd.conf i skomentować te usługi, których nie
zamierzasz używać. Dobrymi kandydatami są:
shell, login, exec, uucp, ftp i serwisy
informacyjne, jak: finger, netstat i systat.
Istnieje wiele mechanizmów sterowania dostępem do oferowanych usług sieciowych, wymienię podstawowe.
/etc/ftpusers
Plik /etc/ftpusers jest prostym mechanizmem pozwalającym na
zabronienie wejścia do systemu przez usługę ftp niektórym użytkownikom twojego
komputera. /etc/ftpusers jest odczytywany przez program
obsługujący usługę ftp (ftpd) w momencie nawiązania
przychodzącego połączenia. Plik zawiera listę tych użytkowników,
którzy nie mają pozwolenia wchodzenie do systemu przez usługę
ftp. Mógłby wygladać mniej więcej tak:
# /etc/ftpusers - użytkownicy, którzy nie mogą dostac się do systemu
# przez ftp
root
uucp
bin
mail
/etc/securetty
Pli /etc/securetty pozwala na określenie listy urządzeń
tty, przez które może logować się administrator. Plik
/etc/securetty jest wczytywany przez program weryfikujący
użytkownika (zwykle /bin/login). Jest to lista nazw urządzeń,
które mogą być wykorzystywane przez administratora na wejście do
systemu. Wejście do systemu przez administratora przez inne urządzenia
jest niemożliwe.
# /etc/securetty - terminale tty przez które administrator może
# zalogować się do systemu
tty1
tty2
tty3
tty4
Mechanizm sterowania dostępem pakietu tcpd.
Program tcpd jaki prawdopodobnie widziałeś w pliku
/etc/inetd.conf dostarcza mechanizmów rejestracji i
sterowania dostępem do usług, do ochrony których został skonfigurowany.
W momencie uruchamiania przez program inetd odczytuje swoje dwa pliki konfiguracyjne, zawierające zasady dostępu i albo zezwala, albo odmawia dostępu do usługi, którą ochrania.
Przeszukuje zasady znajdujące się plikach konfiguracyjnych, aż do
napotkania pierwszej, która pasuje do zaistniałej sytuacji. Jeśli
takiej nie znalazł zakłada, że należy pozwolić na dostęp. Pliki które
przeszukuje to w kolejności: /etc/hosts.allow i
/etc/hosts.deny. Pokrótce opiszę zawartość każdego z
nich. Pełny opis możliwości programu tcpd znajdziesz na stronach
podręcznika (man hosts_allow).
/etc/hosts.allow
Plik /etc/hosts.allow jest plikiem konfiguracyjnym programu
/usr/sbin/tcpd. Plik hosts.allow zawiera informacje
określające, które komputery mogą uzyskać dostęp do chronionej
usługi w twoim systemie.
Format pliku jest bardzo prosty:
# /etc/hosts.allow
#
# <lista usług>: <lista komputerów> [: polecenie]
lista usługjest odzielona przecinkami listą nazw programów obsługi chronionej usługi do której ma zastosowanie dana reguła. Na przykład:
ftpd,telnetdifingerd.lista komputerówjest rozdzieloną przecinkami listą nazw komputerów lub adresów IP. Można również określać wzroce adresów lub naz komputerów stsując znaki specjalne, umożliwiajć tworzenie wzorców reprezentujacych grupy komputerów. Np.
gw.v2ktj.ampr.orgoznacz konkretny komputer,.uts.edu.auoznacza dowolny komputer, którego pełna nazwa kończy się podanym ciągiem znaków,44.oznacza dowolny adres IP zawierający te cyfry. W celu uproszczenia konfiguracji wprowadzono kilka specjalnych oznaczeń:ALLokreślające wszystkie komputery,LOCALreprezentujący wszystkei komputery, których nazwa nie zawiera znaku `.' tzn. należą do tej samej domeny co twój komputer,PARANOIDoznaczający wszystkie komputery, których nazwa nie odpowiada ich adresowi (name spoofing). I ostatni element bardzo użyteczny, toEXCEPTpozwalający na podanie listy z wyjątkami. Omówimy to dokładnie później na przykładzie.poleceniejest opcjonalnym parametrem. Jest to pełna ścieżka dostępu do polecenia (programu), który należy uruchomić za każdym razem, kiedy dana reguła zostanie dopasowana. Może to być polecenie, które będzie próbowało zidentyfikować, kto znajduje się w tej chwili na komputerze próbującym nawiązać połączenia, lub wyśle wiadomość lub inny komunikat adresowany do administratora systemu informując o próbie połączenia. Isnieje kilka wzorców, które zostaną podmienione, najczęściej wykorzystywane to:
%hjest zamieniane na nazwę komputera nawiązującego połączenie lub jego adres jeśli nie posiada nazwy,%dna nazwę programu obsługi, który został wywołany.
Przykład:
# /etc/hosts.allow
#
# dostęp do poczty dla wszystkich
in.smtpd: ALL
# połączenie telnet i ftp tylko z komputerów z lokalnej domeny i
# mojego komputera domowego
telnetd, ftpd: LOCAL, myhost.athome.org.au
# Pozwól na finger z dowolnego komputera, lecz rejestruj kto się z
# nami łączył
fingerd: ALL: (finger @%h | mail -s "finger from %h" root)
/etc/hosts.deny
Plik /etc/hosts.deny jest plikiem konfiguracyjnym programu
/usr/sbin/tcpd. hosts.deny zawiera listę
komputerów, które nie mogą uzyskać dostępu do chronionej usługi w
twoim systemie.
Prosty przyklad wyglądał by mniej więcej tak:
# /etc/hosts.deny
#
# Zabroń dostępu wszystkim komputerom o podejrzanych nazwach
ALL: PARANOID
#
# Zabroń dostępu wszystkim do wszystkiego
ALL: ALL
PARANOID jest w tym przypadku niepotrzebne, ponieważ następna
pozycja przechwytuje wszystkie przypadki. Jedna z tych pozycji jest
dobrym punktem wyjściowym do budowy pliku konfiguracyjnego, zależnym
od twoich oczekiwań i wymagań.
Posiadanie opcji ALL: ALL w /etc/hosts.deny i
zezwalanie na dostęp do konkretnych usług konkretnym komputerom
(grupom komputerów) w pliku /etc/hosts.allow jest
najbezpieczniejszym podejściem.
/etc/hosts.equiv
Plik hosts.equiv jest wykorzystywany nadawania innym komputerom i
zdalnym użytkownikom niektórych uprawnień dostępu do naszych zasobów,
bez konieczności podawania przez nich hasła. Jest to użyteczne w
bezpiecznym środowisku sieciowym, gdzie posiadamy kontrolę
nad wszystkimi komputerami lecz w innym przypadku jest to bardzo
ryzykowne ze względu na bezpieczeństwo naszego komputera. W takim
przypadku twój komputer jest tak bezpieczny, jak najmniej bezpieczny z
zaufanych komputerów. Aby zwiększyć bezpieczeństwo swojego systemu nie
używaj tego mechanizmu i zachęcaj swoich użytkowników do nie
korzystania z pliku .rhosta.
Prawidłowa konfiguracja demona ftp.
Wiele miejsc będzie zainteresowynych działającym serwerem anonimowego
ftp, aby umożliwić innym pobieranie i wstawianie plików, bez
konieczności podawania konkretnego identyfikatora użytkownika. Jeśli
zdecydujesz się udostępnić tę usługę, pamiętaj aby prawidlowo
skonfigurować demon ftpd. Wiekszość stron podręcznika dotyczących
ftpd(8) opisuje jak to powino być zrobione. Powinieneś się
upewnić, że zawsze stosujesz się do tych instrukcji. Bardzo ważne
jest, abyś nie używał w tym celu kopii swego pliku /etc/passwd w
katalogu etc serwera ftpd. Musisz pamiętać aby usunąć wszelkie
niepotrzebne informacje dotyczące kont, za wyjątkiem tych niezbędnych,
w przeciwnym wypadku będziesz narażony na ataki wynikłe ze złamania
haseł prezentowanych w pliku passwd.
Firewalle.
Bardzo dobrym środkiem na zapewnienie bezpieczeństwa swojemu systemowi jest zabronienie dostępu do twojego komputera wszystkim niepożądanym pakietom. Jest to dokladnie opisane w Firewall-HOWTO.
Inne sugestie.
Oto inne, potencjalnie religijne sugestie, które powinieneś rozważyć.
- sendmail
niezależnie od swojej popularności demon z przerażającą regularnością pojawiają się ostrzeżenia o błędach w programie sendmail. Wszystko zależy od ciebie, lecz ja bym go nie uruchamiał.
- NFS i inne usługi Sun RPC
powinieneś się ich bać. Istnieje wiele sposobów wykorzystania błędów w tych usługach. Bardzo trudno jest zastąpić NFS czymś innym, dokładnie upewnij się komu pozwalasz na montowanie swoich dysków.
6. Informacje specyficzne technologii sieciowej
Kolejne podrozdziały są specyficzne dla konkretnych technologi sieciowych. Informacje tam zawarte nie muszą mieć zastosowania do innego rodzaju technologii sieciowych.
6.1 ARCNet
Urządzenia ARCNET posiadają nazwy `arc0s', `arc1e',
`arc2e' itd. Pierwsza karta wykryta przez jądro otrzymuje nazwę
`eth0', a dalsze otrzymują nazwy z kolejnymi numerami. Litera na
końcu nazwy oznacza że wybrałeś 'ethernet encapsulation' lub standard
pakietu zgodny z RFC1051.
Opcje konfiguracji jądra:
Network device support --->
[*] Network device support
<*> ARCnet support
[ ] Enable arc0e (ARCnet "Ether-Encap" packet format)
[ ] Enable arc0s (ARCnet RFC1051 packet format)
Jeśli posiadasz już prawidłowo skompilowane jądro potrafiące obsługiwać kartę, jej konfiguracja jest bardzo prosta.
Zwykle będziesz musiał wydać następujące polecenia:
# ifconfig arc0e 192.168.0.1 netmask 255.255.255.0 up
# route add 192.168.0.0 netmask 255.255.255.0 arc0e
Proszę zapoznaj się z zawartością pliku
/usr/src/linux/Documentation/networking/arcnet-hardware.txt.
Obsługa sieci ARCNet została wykonana przez Averyego Pennaruna, apenwarr@foxnet.net.
6.2 Appletalk (AF_APPLETALK)
Obsługa sieci Appletalk nie wprowadza żądnych dodatkowych nazw urządzeń sieciowych.
Opcje konfiguracji jądra:
Networking options --->
<*> Appletalk DDP
Obsługa Appletalk pozwala twojemu Linuksowi komunikować się z sieciami
Apple. Bardzo ważnym wykorzystywaniem tej możliwości jest
współdzielenie między twoim Linuksem i komputerami Apple zasobów takich
jak drukarki, czy dyski. Wymagane jest do tego dodatkowe
oprogramowanie o nazwie netatalk. Pakiet netatalk
udostępniający oprogramowanie implementujące protokół Appletalk oraz
kilka pożytecznych programów narzędziowych stworzył wraz z
grupą `Research Systems UnixGroup' na uniwersytecie Michigan
reprezentujący ten zespół Wesley Craig netatalk@umich.edu .
Pakiet netatalk powinieneś otrzymać w swojej dystrybucji Linuksa,
lub możesz go pobrać przez ftp ze źródła :
University of Michigan
Aby zbudować i zainstalować pakiet, musisz wydać następujące polecenia:
# cd /usr/src
# tar xvfz .../netatalk-1.4b2.tar.Z
- W tym momencie możesz zmienić plik `Makefile', np. w celu zmiany
katalogu docelowego DESTDIR. Domyślnie zostanie zainstalowany w
/usr/local/atalk co jest dosyć bezpiecznym wyborem.
# make
- jako administrator:
# make install
Konfiguracja oprogramowania Appletalk.
Pierwszą rzeczą jaką musisz zrobić aby zaczęło działać to dodanie
nowych pozycji do pliku /etc/services. A mianowicie:
rtmp 1/ddp # Routing Table Maintenance Protocol
nbp 2/ddp # Name Binding Protocol
echo 4/ddp # AppleTalk Echo Protocol
zip 6/ddp # Zone Information Protocol
Kolejnym krokiem będzie utworzenie plików konfiguracyjnych pakietu w
katalogu usr/local/atalk/etc (lub tam gdzie go zainstalowałeś).
Pierwszym plikiem, który należy utworzyć jest
/usr/local/atalk/etc/atalkd.conf. Początkowo potrzebuje od
jedynie dodania wiersza określającego nazwę urządzenia sieciowego,
które obsługuje sieć, na której znajdują się komputery Apple.
eth0
Demon Appletalk po jego uruchomieniu dołoży kilka szczegółow.
Eksportowanie plików Linuksa przez Appletalk.
Możesz eksportować swoje pliki, tak aby inne komputery sieci Appletalk miały do nich dostęp.
W tym celu należy odpowiednio zmienić plik konfiguracyjny
/usr/local/atalk/etc/AppleVolumes.system. Istnieje również
inny plik konfiguracyjny o nazwie
/usr/local/atalk/etc/AppleVolumes.default w takim samym
formacie opisujący który system plików zostanie udostępniony
podłączającym się do nas użytkownikom posiadającym przywileje gościa (guest).
Szczegółowe informacje na temat konfiguracji tych plików, oraz opis znaczenia wszystkich opcji można znaleźć na stronie podręcznika poświęconej afpd (man afpd).
Krótki plik przykładowy, mógłby wyglądać następująco:
/tmp Scratch
/home/ftp/pub "Obszar ogólnie dostępny"
W tym przykładzie eksportujemy katalog /tmp jako system
plików AppleShare o nazwie `Scratch' oraz katalog anonimowego ftp
jako AppleShare Volume o nazwie "Obszar ogólnie dostępny".
Nazwy wolumenów nie są obowiązkowe, demon wybierzą jakąś za ciebie,
lecz przecież nic cię nie kosztuje podanie nazwy.
Udostępnianie twojej drukarki pod Linuksem w sieci Appletalk.
Współdzielenie drukarki Linuksa z innymi komputerami sieci Appletalk jest całkiem proste. Musisz uruchomić program papd, Printer Access Protocol Daemon. Po uruchomieniu będzie akceptował żądania wydrukowania dokumentu, gromadził go a następnie drukował korzystajšc z programów obsługi drukarki pod Linuksem.
Konfiguracja tego programu polega na edycji pliku
/usr/local/atalk/etc/papd.conf. Składnia jest taka sama, jak
pliku /etc/printcap. Nazwa jaką nadasz drukarce zostanie
zarejestrowana za pomocą NBP, protokołu nazw sieci Appletalk.
Prosta konfiguracja mogłaby wyglądać następująco:
TricWriter:\
:pr=lp:op=cg:
Utworzona została drukarka o nazwie `TricWriter' udostępniona sieci
Appletalk. Zadania wysłane na tę drukarkę, będą drukowane na drukarce
`lp' (zdefiniowanej w pliku /etc/printcap) przy pomocy
programu lpd. Pozycja `op=cg' mówi, że operatorem tej
drukarki jest użytkownik Linuksa o nazwie `cg'.
Uruchamianie oprogramowania Appletalk.
Ok, w tej chwili powinieneś być już gotowy do sprawdzenia podstawowej konfiguracji. Pakiet netatalk dostarcza pliku rc.atalk, który powinień nadawać się dla ciebie. Powinieneś jedynie go uruchomić:
# /usr/local/atalk/etc/rc.atalk
Wszystko powinno się uruchomić i działać poprawnie. Nie powinieneś zobaczyć, żadnych komunikatów o błędach, lecz jedynie komunikaty wysłane na konsole informujące o zakończeniu kolejnych etapów uruchamiania oprogogramowania.
Test oprogramowania Appletalk.
Aby sprawdzić, czy oprogramowanie pracuje poprawnie, połącz sieć z jednym z twoich komputerów Apple, rozwiń menu główne, wybierz Chooser, kliknij na AppleShare i powinieneś zobaczyć tam swojego Linuksa.
Uwagi na temat korzystania z oprogramowania Appletalk.
- Być może bedziesz musiał uruchamiać obsługę sieci Appletalk
przed skonfigurowaniem sieci IP. Jeśli napotkasz na kłopot
uruchamiając oprogramowania Appletalk, lub po jego uruchomieniu masz
kłopoty ze swoją siecią IP, wtedy spróbuj uruchomić oprogramowanie
Appletalk przed uruchomieniem skryptu
rc.inet1. - afpd (Apple Filing Protocol Daemon) robi pożądny
bałagan na twardym dysku. Poniżej punktów montowań tworzy szereg
podkatalogów:
.AppleDesktopiNetwork Trash Folder. Następnie dla każdego katalogu, do którego sięgniesz utworzy w nim.AppleDoubleaby mieć gdzie przechowywać 'resource forks' itp. Dlatego pomyśl dwa razy, zanim wyeksportujesz/, później spędzisz wiele miłych chwil sprzątając po nim. - program afpd oczekuje przesyłania z Maców haseł czystym tekstem. To bardzo osłabia bezpieczeństwo twojego systemu. Musisz być bardzo ostrożny uruchamiając ten program na komputerze podłączonym do internetu. Jeśli ktoś zrobi coś złego będziesz winił samego siebie.
- Istniejące oprogramowanie diagnostyczne np. netstat i
ifconfig nie obsługuje Appletalk. Surowa informacja na ten
temat *jeśli jej potrzebujesz) jest dostępna przez katalog
/proc/net.
Więcej informacji
Więcej szczegółowej informacji w jaki sposób skonfigurować Appletalk dla Linuksa znajdziesz w Linux Netatak-HOWTO : thehamptons.com.
6.3 ATM
Projekt obsługi Asynchronous Transfer Mode pod Linuksem jest prowadzony
przez Wernera Almesbergera
<werner.almesberger@lrc.di.epfl.ch>.
Aktualne informacje na ten temat można znaleźć tutaj:
lrcwww.epfl.ch.
6.4 AX25 (AF_AX25)
Urządzenia AX.25 w jądrze wersji 2.0.* to `sl0', `sl1',
itd. w 2.1.* są to `ax0', `ax1', itd.
Opcje konfiguracji jądra:
Networking options --->
[*] Amateur Radio AX.25 Level 2
Protokoły AX25, Netrom i Rose są opisane w AX25-HOWTO. Stosowane są przez krótkofalowców w eksperymentach z przesyłaniem pakietów drogą radiową.
Większość pracy związanej z udostępnieniem tej funkcji pod Linuksem
wykonał Jonathon Naylor, jsn@cs.not.ac.uk.
6.5 DECNet
W chwili obecnej prowadzone są prace nad obsługą sieci DECNet. Powinna
się pojawić w późnych wersjach jądra serii 2.1.x.
6.6 EQL - multiple line traffic equaliser
Urządzenie EQL nosi nazwę `eql'. W standtardowej wersji jądra
możesz mieć w komputerze tylko jedno urządzenie EQL. EQL umożliwia
wykorzystanie kilku połączeń point-to-point (np. PPP, SLIP, plip) jako
pojedynczego łącza logicznego przenoszącego ruch tcp/ip. Często taniej
jest skorzystać z kilku linii o niższej prędkości niż z jednej linii o
wysokiej prędkości.
Opcje konfiguracji jądra:
Network device support --->
[*] Network device support
<*> EQL (serial line load balancing) support
Obsługa tego mechanizmu wymaga, aby drugi koniec połączenia również obsługiwał EQL. Linux, Livingstone Portmasters i nowsze serwery dostępowe udostępniają tę usługę.
Aby skonfigurować EQL będziesz potrzebować odpowiednich narzędzi, dostępnych z: sunsite.unc.edu.
Sama konfiguracja jest całkiem prosta. Rozpoczyna się od skonfigurowania interfejsu eql. Jest to taki samo urządzenie, jak każde inne urządzenie sieciowe. Konfiguracja adresu IP i wielkości mtu odbywa się tak samo za pomocą programu ifconfig:
ifconfig eql 192.168.10.1 mtu 1006
route add default eql
Następnie musisz ręcznie zainicjować każdą w linii, którą będziesz używał. Sposób inicjacji połączenia będzie zależał od rodzaju tej linii, więcej informacji na ten temat znajdziesz w odpowiednim podrozdziale.
Na koniec potrzebujesz skojarzyć połączenie przez port szeregowy z urządzenie EQL, nazywa się to `enslaving' i dokonuje się za pomocą polecenia eql_enslave:
eql_enslave eql sl0 28800
eql_enslave eql ppp0 14400
Parametr `szacowana prędkość' (estimated speed), który podajesz w poleceniu eql_slave nie ma bezpośredniego wpływu na działanie systemu. Jest wykorzystywany przez sterownik EQL do określenia stopnia podziału datagramów które powinny być otrzymywane przez urządzenie, możesz w ten sposób dokładnie dopasować równomierne obciążenie wszystlich linii.
W celu odłączenia linii od urządzenia EQL stosuje się polecnie eql_amancipate:
eql_emancipate eql sl0
Budowa tablicy trasowania odbywa się w taki sam sposób, jak w
przypadku zwykłego połączenia point-to-point, za wyjątkiem tego, że
wszystkie trasy zamiast do urządzeń ppp*, sl* powinny się odnosić do
urządzenia eql. Zwykle polecenia wyglądają mniej więcej tak:
route add default eql0
Sterownik EQL został opracowany przez Simona Janesa, simon@ncm.com.
6.7 Ethernet
Urządzenia kart ethernetowych noszą nazwy `eth0', `eth1',
`eth2' itd. Pierwsza karta wykryta przez jądro otrzymuje nazwę
`eth0', a reszta kolejne nazwy w miarę rozpoznawania kart przez system.
Jeśli chcesz się nauczyć, jak pracują karty ethernetowe pod Linuksem, przeczytaj Ethernet-HOWTO.
Kiedy jądro poprawnie rozpoznaje posiadane przez ciebie karty ethernetowe, ich dalsza konfiguracja jest prosta.
Zwykle wystarczą takie polecenia:
# ifconfig eth0 192.168.0.1 netmask 255.255.255.0 up
# route add 192.168.0.0 netmask 255.255.255.0 eth0
Większość sterowników kart ethernetowych została opracowana przez
Donalda Beckera becker@CESDIS.gsfc.nasa.gov.
6.8 FDDI
Urządzenia standardu FDDI noszą nazwy `fddi0', `fddi1',
`fddi2' itd. Pierwsze urządzenie rozpoznane przez jądro otrzymuje
nazwę `fddi0', a pozostałe kolejne nazwy w miarę ich
rozpoznawania przez system.
Sterownik kart Digital Equipment Corporation FDDI EISA o PCI został
opracowany przez
Lawrencea V. Stefaniego, stefani@lkg.dec.com.
Opcje konfiguracji jądra:
Network device support --->
[*] FDDI driver support
[*] Digital DEFEA and DEFPA adapter support
Kiedy jądro poprawnie rozpoznaje posiadane przez ciebie karty, konfiguracja interfejsu FDDI jest niemal identyczna, jak inicjalizacja kart ethernetowych. Po prostu jako argument programów ifconfig i route podajesz jedynie nazwę odpowiedniego urządzenia FDDI.
6.9 Frame Relay
Istnieją dwa rodzaje urządzeń standardu Frame Relay w jądrze Linuksa,
DLCI o nazwach `dlci00', `dlci01' itd. oraz FRAD o nazwach
`sdla0', `sdla1' itd.
Frame Relay jest nową technologią sieciową, przeznaczoną przede wszystkim dla ruchu ruchu o nieciągłej, przerywanej naturze. Do sieci Frame Relay podłącza się za pomocą urządzenia Frame Relay Access Device (FRAD). Frame Realy pod Linuksem obsługuje przesyłanie pakietów IP zgodnie z opisem przedstawionym w RFC-1490.
Opcje konfiguracji jądra:
Network device support --->
<*> Frame relay DLCI support (EXPERIMENTAL)
(24) Max open DLCI
(8) Max DLCI per device
<*> SDLA (Sangoma S502/S508) support
Obsługa protokołu Frame Relay, oraz niezbędne do tego narzędzia
zostały napisane przez Mikea McLagana, mike.mclagan@linux.org.
W chwili obecnej, jedynym obsługiwanym urządzeniem FRAD jest
Sangoma Technologies
S502A, S502E and S508.
Po prawidłowym skompilowaniu jądra, do skonfigurowania urządzeń FRAD i DLCI są niezbędne narzędzia konfiguracyjne: ftp.invlogic.com. Komplilacja i instalacja narzędzi jest prosta, niestety brak głównego pliku Makefile, powoduje, że trzeba to zrobić ręcznie.
# cd /usr/src
# tar xvfz .../frad-0.15.tgz
# cd frad-0.15
# for i in common dlci frad; do cd $i; make clean; make; cd ..; done
# mkdir /etc/frad
# install -m 644 -o root -g root bin/*.sfm /etc/frad
# install -m 700 -o root -g root frad/fradcfg /sbin
# install -m 700 -o root -g root dlci/dlcicfg /sbin
Po zainstalowaniu narzędzi, trzeba utworzyć plik
/etc/frad/router.conf. Możesz skorzystać z poniższego wzoru,
który jest zmodyfikowanym plikiem przykładowym:
# /etc/frad/router.conf
# Jest to wzorzec pliku konfiguracyjnego urządzeń Frame Relay
# Zawiera wszystkie możliwe opcje. Wartości domyślne są ustawione
# na podstawie kodu sterowników karty Sangoma S502A dla MSDOSu.
#
# Znak '#' w dowolnym miejscu wiersza rozpoczyna komentarz
# Puste miejsca są ignorowane (możesz tabulatorem ładnie sformatować
# cały plik
# Nieznane pozycje [] i słowa kluczowe są ignorowane
#
[Devices]
Count=1 # Liczba urządzeń do skonfigurowania
Dev_1=sdla0 # nazwa urządzenia
#Dev_2=sdla1 # nazwa urządzenia
# Podane tutaj parametry mają zastosowanie do wszystkich urządzeń,
# lecz dla każdego urządzenia indywidualnie może być podana inna wartość
#
Access=CPE
Clock=Internal
KBaud=64
Flags=TX
#
# MTU=1500 # Maksymalna długość ramki IFrame, domyślnie 4096
# T391=10 # T391 value 5 - 30, domyślnie 10
# T392=15 # T392 value 5 - 30, domyślnie 15
# N391=6 # N391 value 1 - 255, domyślnie 6
# N392=3 # N392 value 1 - 10, domyślnie 3
# N393=4 # N393 value 1 - 10, domyślnie 4
# Podane tutaj parametry mają zastosowanie do wszystkich urządzeń
# CIRfwd=16 # CIR forward 1 - 64
# Bc_fwd=16 # Bc forward 1 - 512
# Be_fwd=0 # Be forward 0 - 511
# CIRbak=16 # CIR backward 1 - 64
# Bc_bak=16 # Bc backward 1 - 512
# Be_bak=0 # Be backward 0 - 511
#
#
# Konfiguracja poszczególnych urządzeń
#
#
#
# Pierwsze urządzenie - Sangoma S502E
#
[sdla0]
Type=Sangoma # Rodzaj urządzenia do skonfigurowania,
# rozpoznawana jest tylko SANGOMA
#
# Poniższe parametry są specyficzne dla typu Sangoma
#
# Rodzaj karty śangoma - S502A, S502E, S508
Board=S502E
#
# Nazwa firmowego oprogramowania testowego dla karty Sangoma
# Testware=/usr/src/frad-0.10/bin/sdla_tst.502
#
# Nazwa firmowego oprogramowania FR
# Firmware=/usr/src/frad-0.10/bin/frm_rel.502
#
Port=360 # Port uzywany przez tę kartę
Mem=C8 # Adres okna pamięci, A0-EE, zależny od karty
IRQ=5 # Numer przerwania IRQ , nie potrebny w przypadku S502A
DLCIs=1 # Liczba urządzeń DLCI przyłączonych do tego urządzenia
DLCI_1=16 # numer pierwszego urządzenia DLCI, 16 - 991
# DLCI_2=17
# DLCI_3=18
# DLCI_4=19
# DLCI_5=20
#
# Podane poniżej opcje mają zastosowanie tylko do tego urządzenia
# i zastępują wartościdomyślne podane wcześniej
#
# Access=CPE # CPE lub NODE, domyślnie CPE
# Flags=TXIgnore,RXIgnore,BufferFrames,DropAborted,Stats,MCI,AutoDLCI
# Clock=Internal # External lub Internal, domyślnie Internal
# Baud=128 # Określona prędkość (bodów) przyłączonych CSU/DSU
# MTU=2048 # Maksymalna długość ramki IFrame, domyślnie 4096
# T391=10 # T391 value 5 - 30, domyślnie 10
# T392=15 # T392 value 5 - 30, domyślnie 15
# N391=6 # N391 value 1 - 255, domyślnie 6
# N392=3 # N392 value 1 - 10, domyślnie 3
# N393=4 # N393 value 1 - 10, domyślnie 4
#
# Drugim urządzeniem jest zupełnie inna karta
#
# [sdla1]
# Type=ŚmiesznaKarta # Rodzaj konfigurowanego urządzenia
# Board= # Rodzaj karty Sangoma
# Key=Value # Parametry specyficzne dla tego urządzenia
#
# Domyślne parametry konfiguracyjne urządzeń DLCI
# Mogą zostać zastępione w konkretnych sekcjach konfiguracyjnych DCI
#
CIRfwd=64 # CIR forward 1 - 64
# Bc_fwd=16 # Bc forward 1 - 512
# Be_fwd=0 # Be forward 0 - 511
# CIRbak=16 # CIR backward 1 - 64
# Bc_bak=16 # Bc backward 1 - 512
# Be_bak=0 # Be backward 0 - 511
#
# Konfiguracja DLCI
# Wszystkie parametry są opcjonalne. Nazewnictwo:
# [DLCI_D<devicenum>_<DLCI_Num>]
#
[DLCI_D1_16]
# IP=
# Net=
# Mask=
# Flags defined by Sangoma: TXIgnore,RXIgnore,BufferFrames
# DLCIFlags=TXIgnore,RXIgnore,BufferFrames
# CIRfwd=64
# Bc_fwd=512
# Be_fwd=0
# CIRbak=64
# Bc_bak=512
# Be_bak=0
[DLCI_D2_16]
# IP=
# Net=
# Mask=
# Flags defined by Sangoma: TXIgnore,RXIgnore,BufferFrames
# DLCIFlags=TXIgnore,RXIgnore,BufferFrames
# CIRfwd=16
# Bc_fwd=16
# Be_fwd=0
# CIRbak=16
# Bc_bak=16
# Be_bak=0
Po stworzeniu pliku /etc/frad/router.conf pozostało jedynie
skonfigurować rzeczywiste urządzenia. Jest to tylko troszkę
sprytniejsze niż konfigurowanie zwykłych urządzeń sieciowych. Musisz
pamiętać aby przed uruchomieniem urządzeń DLCI uruchomić wpierw
urządzenie FRAD.
# Konfiguracja karty FRAD i parametrów DLCI
/sbin/fradcfg /etc/frad/router.conf || exit 1
/sbin/dlcicfg file /etc/frad/router.conf
#
# Podnoszenie urządzenia FRAD
ifconfig sdla0 up
#
# Konfiguracja interfejsów DLCI i trasowania
ifconfig dlci00 192.168.10.1 pointopoint 192.168.10.2 up
route add 192.168.10.0 netmask 255.255.255.0 dlci00
#
ifconfig dlci01 192.168.11.1 pointopoint 192.168.11.2 up
route add 192.168.11.0 netmask 255.255.255.0 dlci00
#
route add default dev dlci00
#
6.10 Zliczanie ruchu (IP Accounting)
Cechy jądra Linuksa dotyczące zliczania ruchu umożliwiają gromadzenie i analizę informacji na temat wykorzystania sieci. Gromadzone dane zawierają liczbę pakietów, liczbę odpowiadających im bajtów przesłanych od ostatniego zerowania liczników. Możesz zliczać ruch na wiele różnych sposobów, odpowiednio grupując ruch tak aby gromadzone informacje zawierały odpowiednie, interesujące cię statystyki.
Opcje konfiguracji jądra:
Networking options --->
[*] IP: accounting
Po skompilowaniu i zainstalowaniu nowego jądra, musisz skorzystać z narzędzia o nazwie ipfwadm, służącego do wprowadzania i zmiany reguł zliczania ruchu. Istnieje wiele reguł zliczania ruchu, które mógłbyś zastosować. Wybrałem kilka prostych, które mogą być użyteczne, zapoznaj się ze stroną podręcznika dotyczącą programu ipfwadm.
Scenariusz: Posiadasz sieć ethernetową przyłączoną do Internetu za pomocą połączenia PPP. Na segmencie ethernetowym znajduje się komputer oferujący szereg usług. Jesteś zainteresowany jaki ruch jest generowany przez telnet, rlogin, ftp i www.
Możesz skorzystać z poniższego zestawu poleceń:
#
# Usuń istniejące reguły zliczania ruchu
ipfwadm -A -f
#
# dodaj reguły dotyczące lokalnego segmentu ethernetowego
ipfwadm -A in -a -P tcp -D 44.136.8.96/29 20
ipfwadm -A out -a -P tcp -S 44.136.8.96/29 20
ipfwadm -A in -a -P tcp -D 44.136.8.96/29 23
ipfwadm -A out -a -P tcp -S 44.136.8.96/29 23
ipfwadm -A in -a -P tcp -D 44.136.8.96/29 80
ipfwadm -A out -a -P tcp -S 44.136.8.96/29 80
ipfwadm -A in -a -P tcp -D 44.136.8.96/29 513
ipfwadm -A out -a -P tcp -S 44.136.8.96/29 513
ipfwadm -A in -a -P tcp -D 44.136.8.96/29
ipfwadm -A out -a -P tcp -D 44.136.8.96/29
ipfwadm -A in -a -P udp -D 44.136.8.96/29
ipfwadm -A out -a -P udp -D 44.136.8.96/29
ipfwadm -A in -a -P icmp -D 44.136.8.96/29
ipfwadm -A out -a -P icmp -D 44.136.8.96/29
#
# Reguły domyślne
ipfwadm -A in -a -P tcp -D 0/0 20
ipfwadm -A out -a -P tcp -S 0/0 20
ipfwadm -A in -a -P tcp -D 0/0 23
ipfwadm -A out -a -P tcp -S 0/0 23
ipfwadm -A in -a -P tcp -D 0/0 80
ipfwadm -A out -a -P tcp -S 0/0 80
ipfwadm -A in -a -P tcp -D 0/0 513
ipfwadm -A out -a -P tcp -S 0/0 513
ipfwadm -A in -a -P tcp -D 0/0
ipfwadm -A out -a -P tcp -D 0/0
ipfwadm -A in -a -P udp -D 0/0
ipfwadm -A out -a -P udp -D 0/0
ipfwadm -A in -a -P icmp -D 0/0
ipfwadm -A out -a -P icmp -D 0/0
#
# Wyświetl listę obowiązujących reguł
ipfwadm -A -l -n
#
Ostatnie polecenie wyświetla listę reguł zliczania ruchu wraz ze zgromadzonymi informacjami.
Analizując wielkość ruchu IP należy pamiętać, że będzie zwiększany licznik każdej reguły, która pasuje do analizowanego pakietu, aby uzyskać wyniki różnicowe, trzeba wykonać proste działania matematyczne. Gdybym chciał znać liczbę przesłanych bajtów poza usługami telnet, rlogin, ftp i www musiałbym od wielkości ruchu dla wszystkich portów odjąć zmierzone wielkości dla poszczególnych reguł.
# ipfwadm -A -l -n
IP accounting rules
pkts bytes dir prot source destination ports
0 0 in tcp 0.0.0.0/0 44.136.8.96/29 * -> 20
0 0 out tcp 44.136.8.96/29 0.0.0.0/0 20 -> *
0 0 in tcp 0.0.0.0/0 44.136.8.96/29 * -> 23
0 0 out tcp 44.136.8.96/29 0.0.0.0/0 23 -> *
10 1166 in tcp 0.0.0.0/0 44.136.8.96/29 * -> 80
10 572 out tcp 44.136.8.96/29 0.0.0.0/0 80 -> *
242 9777 in tcp 0.0.0.0/0 44.136.8.96/29 * -> 513
220 18198 out tcp 44.136.8.96/29 0.0.0.0/0 513 -> *
252 10943 in tcp 0.0.0.0/0 44.136.8.96/29 * -> *
231 18831 out tcp 0.0.0.0/0 44.136.8.96/29 * -> *
0 0 in udp 0.0.0.0/0 44.136.8.96/29 * -> *
0 0 out udp 0.0.0.0/0 44.136.8.96/29 * -> *
0 0 in icmp 0.0.0.0/0 44.136.8.96/29 *
0 0 out icmp 0.0.0.0/0 44.136.8.96/29 *
0 0 in tcp 0.0.0.0/0 0.0.0.0/0 * -> 20
0 0 out tcp 0.0.0.0/0 0.0.0.0/0 20 -> *
0 0 in tcp 0.0.0.0/0 0.0.0.0/0 * -> 23
0 0 out tcp 0.0.0.0/0 0.0.0.0/0 23 -> *
10 1166 in tcp 0.0.0.0/0 0.0.0.0/0 * -> 80
10 572 out tcp 0.0.0.0/0 0.0.0.0/0 80 -> *
243 9817 in tcp 0.0.0.0/0 0.0.0.0/0 * -> 513
221 18259 out tcp 0.0.0.0/0 0.0.0.0/0 513 -> *
253 10983 in tcp 0.0.0.0/0 0.0.0.0/0 * -> *
231 18831 out tcp 0.0.0.0/0 0.0.0.0/0 * -> *
0 0 in udp 0.0.0.0/0 0.0.0.0/0 * -> *
0 0 out udp 0.0.0.0/0 0.0.0.0/0 * -> *
0 0 in icmp 0.0.0.0/0 0.0.0.0/0 *
0 0 out icmp 0.0.0.0/0 0.0.0.0/0 *
#
6.11 IP Aliasing
Istnieją programy sieciowe, które wymagają aby jedno urządzenie sieciowe posiadało wiele numerów IP. Dostawcy internetu często korzystają z tej cechy do tworzenia wirtualnych serwerów WWW i ftp oferując klientowi utworzenie serwera o innym adresie niż ich własny.
Opcje konfiguracji jądra:
Networking options --->
....
[*] Network aliasing
....
<*> IP: aliasing support
Po skompilowaniu i zainstalowaniu jądra z obsługą IP_Alias,
konfiguracja jest bardzo prosta. Aliasy są dodawane do wirtualnych
urządzeń sieciowych stowarzyszonych z istniejącymu urządzeniami
sieciowymi. Stosuje się prostą konwencję nazywania tych urządzeń, a
mianowicie <devname>:<numer urządzenia wirtualnego>, np. eth0:0,
ppp0:10 etc.
Załóżmy, że posiadasz sieć ethernetową, która obsługuje jednocześnie dwie różne podsieci IP. Chciałbyś aby twój komputer miał bezpośredni dostęp do obu tych podsieci:
#
# ifconfig eth0:0 192.168.1.1 netmask 255.255.255.0 up
# route add -net 192.168.1.0 netmask 255.255.255.0 eth0:0
#
# ifconfig eth0:1 192.168.10.1 netmask 255.255.255.0 up
# route add -net 192.168.10.0 netmask 255.255.255.0 eth0:0
#
Aby usunąć alias należy do jego nazwy dołączyć znak `-' podczas
następnego odwołania się do niego, np. tak:
# ifconfig eth0:0- 0
Wraz z usunięciem tego aliasu z tabeli trasowań zostaną usunięte wrzystkie trasy korzystające z tego aliasu.
6.12 Filtrownie pakietów (IP Firewalling)
Filtrowanie pakiet i zasady przy tym obowiązujące są dokładniej omówione w Firewall-HOWTO. IP Firewalling pozwala na zabezpieczenia twojego komputera przed nieuprawnionym dostępem przez sieć, wykorzystując w tym celu filtrowanie pakietów. Istnieją trzy różne klasy reguł: filtrowanie pakietów przychodzących, filtrowanie pakietów wychodzących i filtrowanie pakietów przekazywanych dalej (forwarding). Reguły filtrowania pakietów przychodzących dotyczą pakietów otrzymanych przez urządzenie sieciowe. Reguły filtrowania pakietów wychodzących, dotyczą pakietów tuż przed wysłaniem przez urządzenie sieciowe. Reguły fitrowania pakietów przesyłanych dotyczą pakietów, które zostały przez nasz komputer odebrane, lecz nie jest on ich ostatecznym adresatem, tzn. pakiety, które będą poddane trasowaniu.
Opcje konfiguracji jądra:
Networking options --->
[*] Network firewalls
....
[*] IP: forwarding/gatewaying
....
[*] IP: firewalling
[ ] IP: firewall packet logging
Wprowadzanie reguł filtrowania pakietów IP wykonuje się za pomocą programu ipfwadm. Jak wspominałem wcześniej nie jestem ekspertem od zabezpieczeń sieci komputerowych, więc choć prezentuję przykład, z którego możesz skorzystać, powinieneś samodzielnie zapoznać się z tym tematem i opracować własne reguły filtrowania pakietów, oczywiście tylko wtedy, gdy jest dla ciebie ważne bezpieczeństwo twojego systemu.
Prawdopodobnie najczęstszym wykorzystaniem filtrowania pakietów jest sytuacja, gdy twój Linux pracuje jako router i filtr pakietów chroniący lokalną sieć przed nieuprawnionym dostępem z sieci zewnętrznej.
Przedstawiona poniżej konfiguracja jest oparta na sugestiach
przesłanych przez Arnta Gulbrandsena, <agulbra@troll.no>.
Przykład opisuje konfigurację reguł filtra pakietów praującego na Linuksie, wykorzystywanym w sposób przedstawiony na poniższym schemacie:
- -
\ | 172.16.37.0
\ | /255.255.255.0
\ --------- |
| 172.16.174.30 | Linux | |
NET =================| f/w |------| ..37.19
| PPP | router| | --------
/ --------- |--| Mail |
/ | | /DNS |
/ | --------
- -
Poniższe polecenia zwykle są umieszczane w jednym z plików rc,
aby były automatycznie wykonywane przy każdym uruchomieniu
systemu. Aby maksymalnie zwiększyć bezpieczeństwo systemu, powinny być
wykonywane tuż po skonfigurowaniu urządzeń sieciowych, lecz tuż przed
ich włączeniem. W ten sposób niwelujemy chwilę słąbości związaną z
restartem komputera.
#!/bin/sh
# Oczyść tabelę reguł przesyłania pakietów (forwarding)
# Zmień domyślną polityką na 'accept' (akceptuj):
#
/sbin/ipfwadm -F -f
/sbin/ipfwadm -F -p accept
#
# .. i dla ruchu przychodzącego (Incoming)
#
/sbin/ipfwadm -I -f
/sbin/ipfwadm -I -p accept
# Po pierwsze zabezpiecz interfejs PPP
# Chętnie zamiast '-a deny' wstawiłbym '-a reject -y', lecz wtedy nie
# byłoby możliwe rozpoczynanie połączeń wychodzących przez ten
# interfejs. Parametr -o pozwala rejestrować odrzucane datagramy.
# Kosztem przestrzeni dyskowej zajętej przez informacje sysloga
# uzyskujemy informacje na temat niechcianego ruchu IP.
#
/sbin/ipfwadm -I -a reject -y -o -P tcp -S 0/0 -D 172.16.174.30
# Odrzuć pewnego rodzaju pakiety:
# Nic nie powinno przychodzić z adresów multicast/anycast/broadcast
#
/sbin/ipfwadm -F -a deny -o -S 224.0/3 -D 172.16.37.0/24
#
# nic nie powinno przychodzić z adresu pętli zwrotnej
#
/sbin/ipfwadm -F -a deny -o -S 127.0/8 -D 172.16.37.0/24
# Zezwól na połączenia SMTP i DNS, lecz jedynie do serwera Mail/DNS
#
/sbin/ipfwadm -F -a accept -P tcp -S 0/0 -D 172.16.37.19 25 53
#
# DNS korzysta z UDP i TCP, musisz pozwolić na oba rodzaje połączeń
#
/sbin/ipfwadm -F -a accept -P udp -S 0/0 -D 172.16.37.19 53
#
# Nie pozwalamy na "odpowiedzi" przychodzące do tak niebezpiecznych
# portów jak NFS czy rozszerzenie NFSu Larryego McVoya. Jeśli
# korzystasz ze squida dopisz tutaj jego port
#
/sbin/ipfwadm -F -a deny -o -P udp -S 0/0 53 \
-D 172.16.37.0/24 2049 2050
# odpowiedzi do innych portów są OK
#
/sbin/ipfwadm -F -a accept -P udp -S 0/0 53 \
-D 172.16.37.0/24 53 1024:65535
# Odrzuć połączenia przychodzące do identd
# korzystamy tutaj z 'reject', aby łączący się komputer wiedział, że
# nie ma co próbować nawiązać połączenia. W przeciwnym wypadku narazimy
# się na opóźnienia wywołane działaniem programu ident po drugiej
# stronie nawiązywanego przez nas połączenia
#
/sbin/ipfwadm -F -a reject -o -P tcp -S 0/0 -D 172.16.37.0/24 113
# Pozwól na popularne usługi pochodzące z sieci 192.168.64 i 192.168.65
#
/sbin/ipfwadm -F -a accept -P tcp -S 192.168.64.0/23 \
-D 172.16.37.0/24 20:23
# akceptuj i przesyłaj wszystko co wzięło się z sieci lokalnej
#
/sbin/ipfwadm -F -a accept -P tcp -S 172.16.37.0/24 -D 0/0
# zabroń większości innych połączeń TCP i rejestruj je
# (jeśli masz kłopot z działaniem ftp dodaj 1:1023)
#
/sbin/ipfwadm -F -a deny -o -y -P tcp -S 0/0 -D 172.16.37.0/24
# ... for UDP too
#
/sbin/ipfwadm -F -a deny -o -P udp -S 0/0 -D 172.16.37.0/24
Dobra konfiguracja filtra jest niemal sztuką. Powyższy przykład powinien być rozsądnym punktem startowym. Strona podręcznika dotycząca ipfwadm oferuje dodatkowe informacje na ten temat. Jeśli planujesz założenie filtra upewnij się, że zebrałeś wokół maksymalnie wiele porad ze źródeł, którym możesz ufać i poproś kogoś aby sprawdził działanie twojego filtra z zewnątrz.
6.13 IPX (AF_IPX)
Protokół IPX jest powszechnie wykorzystywany w lokalnych sieciach Novell Netware(tm). Linux potrafi obsługiwać ten protokół i może zostać skonfigurowany do pracy jako końcówka sieci Novell Netware(tm) lub jako router pakietów IPX.
Opcje konfiguracji jądra:
Networking options --->
[*] The IPX protocol
[ ] Full internal IPX network
Protokół IPX i standard NCPFS są dokładniej omówione w IPX-HOWTO.
6.14 IPv6
Właśnie gdy zaczęło ci się wydawać, że zaczynasz rozumieć sieci IP, zasady się zmieniły! IPv6 jest skrótem oznaczającym wersję 6 protokołu IP. IPv6 został opracowany w celu rozwiania obaw społeczności internetowej związanych z wyczerpywaniem się wolnych adresów IP. Adresy protokołu IPv6 są budowane na 32 bajtach (128 bitów), pozwoli to na lepsze zarządzanie sieciami, niż ma to obecnie.
Jądra Linuksa serii 2.1.* już posiadają działającą, choć niepełną
implementacje protokołu IPv6.
Jeśli chcesz poeksperymentować z tą nową generacją technologii internetowych, lub jest ci to do czegoś potrzebne, powinieneś przeczytać IPv6-FAQ dostępny pod adresem: www.terra.net.
6.15 ISDN
Sieć cyfrowa zintegrowanych usług (Integrated Services Digital Network - ISDN) składa się z serii standardów definujących cyfrową sieć pakietową ogólnego przeznaczenia. ISND jest zwykle dostarczana łączami o wysokiej prędkości, podzielonymi na wiele kanałów. Istnieją dwa różne rodzaje kanałów, kanały typu 'B' rzeczywiście przenoszące dane użytkownika, oraz kanał typu 'D' wykorzystywany do przesyłania informacji sterującej do centrali ISDN w celu zestawiania połączeń i innych funkcji. Dla przykładu w Australii ISDN może być dostarczony łączem 2Mbps podzielonym na 30 kanałów B po 64kbps każdy i jeden kanał D. W tej samej chwili może być wykorzystywana dowolna liczba kabałów w dowolnej kombinacji. Jest możliwe np, zestawienie 30 różnych połączeń z 30toma różnymi punktami docelowymi, każde po 64kbps lub 15 połączeń z 15toma różnymi punktami docelowymi, każde po 128 kbps (jedno połączenie wykorzystuje dwa kanały), lub zestawienie małej liczby połączeń pozostawiając pozostałą część pasma niewykorzytaną. Pierwotną przyczyną powstania ISDN, było umożliwienie firmom telekomunikacyjnym udostępniania jednej usługi przesyłania danych, która mogłaby być wykorzystywana dla telefonii (wykorzystują cyfrowe przetworniki głosu) lub do przesyłania danych bez konieczności wykonywania przez klienta jakichkolwiek zmian.
Istnieje kilka różnych metod podłączenia komputera do sieci ISDN. Jedną z nich jest wykorzystanie urządzenia o nazwie `Terminal Adaptor', które włącza się do końcówki sieciowej (Network Terminating Unit), zainstalowanej przez twojego dostawcę usługi ISDN, udostępniającego z drugiej strony kilka portów szeregowych. Jeden z tych portów służy do wprowadzania poleceń w celu skonfigurowania i nawiązania połączeń, pozostałe są podłączone do urządzeń sieciowych, które będą bezpośrednio korzystały z zestawionych kanałów transmisji danych. W takiej konfiguracji Linux będzie pracował poprawnie bez konieczności wykonywania jakichkolwiek modyfikacji. Korzystamy z portu szeregowego urządzenia 'Terminal Adaptor' w taki sam sposób, jak ze zwykłego portu szeregowego. Innym sposobem przyłączenia Linuksa do sieci ISDN, w czym wspomagać nas będzie kod obsługi ISDN zawarty w jądrze Linuksa jest zainstalowanie karty ISDN bezpośrednio w Linuksie. Wtedy moduł obsługi ISDN w jądrze Linuksa jest odpowiedzialny za obsługę urządzenia, protokołów i zestawianie połączeń.
Opcje konfiguracji jądra:
ISDN subsystem --->
<*> ISDN support
[ ] Support synchronous PPP
[ ] Support audio via ISDN
< > ICN 2B and 4B support
< > PCBIT-D support
< > Teles/NICCY1016PC/Creatix support
Implementacja ISDN w jądrze Linuksa rozpoznaje szereg różnych typów wewnętrznych kart ISDN. Ich lista jest przedstawiona podczas konfiguracji jądra:
- ICN 2B and 4B
- Octal PCBIT-D
- Teles ISDN-cards and compatibles
Część z tych kart wymaga załadowania do ich wewnętrznej pamięci odpowiedniego oprogramowania. Służy do tego oddzielne narzędzie.
Szczegółowy opis jak skonfigurować obsługę ISDN pod Linuksem jest
dostępny w katalogu
/usr/src/linux/Documentation/isdn/. Istnieje również FAQ
poświęcony tej tematyce: isdn4linux jest dostępny pod adresem
www.lrz-muenchen.de.
(po połączeniu, aby otrzymać wersję angielską, musisz kliknąć na
angielskiej fladze)
Uwaga na temat PPP. Rodzina protokołów PPP pracuje na łączach szeregowych synchronicznych lub asynchronicznych. Rozpowszechniany powszechnie program `pppd' obsługuje jedynie tryb asynchroniczny. Jeśli zamierzasz uruchamiać połączenie PPP wykorzystująć jako nośnik usługę ISDN, potrzebujesz specjalną, zmodyfikowaną wersję tego programu. Wskazówki, gdzie ją można znaleźć znajdziesz w dokumentacji, o której wspomnieliśmy wcześniej.
6.16 IP Masquerade
Wielu ludzi do połączenia z Internetem ma zwykłe konto u dostawcy Internetu. Niemal każdy korzystający z takiej konfiguracji otrzymuje od swojego dostawcy Internetu jeden adres IP. Zwykle jest to wystarczające na podłączenie do Internetu tylko jednego komputera. Maskarada adresu IP jest sprytną sztuczką umożliwiającą jednoczesne korzystanie z tego jednego adresu IP przez wiele komputerów, sprawiając, że dla świata zewnętrzengo komputery te wyglądają tak, jak gdyby były komputerem obsługujący połączenie modemowe z Internetem. Istnieje mała niedogodność, a mianowicie w większości przypadków maskarada adresów IP działa tylko w jedną stronę, to znaczy komputery, które z niej korzystają mogą nawiązywać połączenia z komputerami w sieci Internet, lecz same nie mogą otrzymywać połączeń z zewnątrz. To oznacza, że niektóre usługi sieciowe np. talk nie działąją, a inne np. ftp muszą być skonfigurowane do pracy w trybie pasywnym (PASV). Na szczęscie większość usług internetowych takich, jak telnet, WWW i irc działa bardzo dobrze.
Opcje konfiguracji jądra:
Code maturity level options --->
[*] Prompt for development and/or incomplete code/drivers
Networking options --->
[*] Network firewalls
....
[*] TCP/IP networking
[*] IP: forwarding/gatewaying
....
[*] IP: masquerading (EXPERIMENTAL)
Wpierw twój Linux musi obsługiwać połączenie z internetem (zwykle przez SLIP lub PPP) w taki sam sposób, jak gdyby byłjedynym komputerme, który będzie z tego połączenia korzystał. Następnie należy skonfigurować dodatkowe urządzenie sieciowe, zwykle kartę sieci ethernet, zwykle korzystając z puli numerów IP zarezerwowanych dla sieci prywatnych, których nie wykorzystuje się w sieci Internet. Komputery korzystające z maskarady adresów IP bedą właśnie na tej sieci. Każdy z nich otrzyma adres IP i zostanie skonfigurowany w ten sposób, że jego gatewayem (routerem) stanie się interfejs karty ethernetowej naszego Linuksa.
Typowa konfiguracja wygląda mnie więcej tak:
- -
\ | 192.168.1.0
\ | /255.255.255.0
\ --------- |
| | Linux | .1.1 |
NET =================| masq |------|
| PPP/slip | router| | --------
/ --------- |--| host |
/ | | |
/ | --------
- -
Najważniejsze polecenia konfiguracyjne dla tego przykładu:
# Trasa do sieci na segmencie ethernetowym
route add 192.168.1.0 netmask 255.255.255.0 eth0
#
# Domyślna trasa do Internetu
route add default ppp0
#
# Wszystkie komputery w sieci 192.168.1/24 korzystają z maskarady
# adresów IP
ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0
Więcej informacji na temat maskarady adresów IP pod Linuksem znajdziesz tutaj: IP Masquerade Resource Page, lub w dokumencie IP-Masquerade-HOWTO.
6.17 IP Transparent Proxy
Przezroczyste proxy IP jest udogodnieniem, które umożliwia przekierowanie połączeń do usług lub serwerów na innym komputerze do usług lub serwerów znajdujących się na tym komputerze. Zwykle jest to użyteczne w sytuacji gdy twój Linux pracuje jako router i jednocześnie pracuje jako serwer proxy. W takim przypadku możesz przekierować do lokalnego serwera proxy wszystkie połączenia do serwerów proxy znajdujących się za routerem.
Opcje konfiguracji jądra:
Code maturity level options --->
[*] Prompt for development and/or incomplete code/drivers
Networking options --->
[*] Network firewalls
....
[*] TCP/IP networking
....
[*] IP: firewalling
....
[*] IP: transparent proxy support (EXPERIMENTAL)
Konfigurację przezroczystego proxy wykonuje się programem ipfwadm.
Prosty przykład, który może być użyteczny:
ipfwadm -I -a accept -D 0/0 80 -r 8080
W powyższym przykładzie przekierowujemy wszystkie połączenia skierowane na port 80 (www) dowolnego komputera, na połączenia do portu 8080 naszego Linuksa. Ten sposób mógłby być użyty (gdyby był poprawny - bo nie jest ...pp) do przekierowania całego ruchu www do lokalnego serwera proxy.
6.18 Mobile IP
Termin 'IP mobility' opisuje zdolność komputera do przemieszczania swojego punktu styku z internetem z jednej sieci do innej sieci bez konieczności zmiany własnego adresu IP i bez utraty nawiązanych połączeń. Zwykle gdy komputer zmienia swój punkt przyłączenia do sieci, musi również zmienić adres IP. Udogodnienie IP Mobility przezwycięża tę niedogodność przydzielając komputerowi jeden, ustalony adres IP i wykorzystuje tunelowanie (IP tunneling) i automatyczne trasowanie zapewniając, że datagramy skierowane do tego komputera są kierowane do adresu IP, z którego korzysta.
Istnieje projekt mający zapewnić powstanie kompletu narzędzi dla udogodnienia 'IP mobility' pd Linuksem. Aktualny stan prac można poznać zaglądając na stronę: Linux Mobile IP Home Page.
6.19 Multicast
IP Multicast pozwala na jednoczesne trasowanie datagramów do wielu różnych komputerów znajdujących się w zupełnie innych podsieciach. Korzysta się z tego mechanizmu rozpowszechniania w internecie audio i video lub innych nowoczesnych usług.
Opcje konfiguracji jądra:
Networking options --->
[*] TCP/IP networking
....
[*] IP: multicasting
Wymagany jest minimalny zestaw narzędzi i mała rekonfiguracja sieci. Dobrym źródłem informacji na temat istalacji i konfiguracji tego udogodnienia pod Linuksem jest strona www.teksouth.com.
6.20 NetRom (AF_NETROM)
Urządzenia NetRom noszą nazwy `nr0', `nr1', itd.
Opcje konfiguracji jądra:
Networking options --->
[*] Amateur Radio AX.25 Level 2
[*] Amateur Radio NET/ROM
Protokoły AX25, NetRom i Rose są opisane w AX25-HOWTO. Są wykorzystywane głównie przez krótkofalowców (packet radio).
Wiekszość pracy w implementacji tych protokołów pod Linuksem wykonał
Jonathon Naylor, jsn@cs.not.ac.uk.
6.21 PLIP
Urządzenia PLIP noszą nazwy `plip0', `plip1, itd. Pierwsze
konfigurowane urządzenie otrzymuje numer `0', a następne
otrzymują kolejne numery.
Opcje konfiguracji jądra:
Networking options --->
<*> PLIP (parallel port) support
plip (Parallel Line IP), jest podobny do SLIP, to znaczy zapewnia połączenie punkt-do-punktu (point-to-point) między dwoma komputerami, lecz wykorzystuje w tym celu porty równoległe komputera (zamiast portów szeregowych, jak to ma miejsce w przypadku protokołu SLIP). Ponieważ port równoległy umożliwia w jednej chwili transmisję więcej niż jednego bitu, wykorzystując interfejs plip możemy osiągnąć znacznie większe prędkośći transmisji, niż ma to miejsce w przypadku portu szeregowego. Co więcej, do plip może być wykorzystany nawet najprostszy rodzaj portu szeregowego, port drukarkowy, gdy do pełnego wykorzystania portów szeregowych konieczne jest zakupienie dosyć drogich układów UART 15550AFN.
Należy zwrócić uwagę, że niektóre laptopy używają układów, które nie będą poprawnie współpracować z PLIP, ponieważ nie zezwalają na przesyłanie pewnego rodzaju sygnałów, na których polega PLIP, a z których nie korzystają drukarki.
Interfejs plip pod Linuksem jest zgodny z Crynwyr Packet Driver PLIP, a to oznacza, że możesz przyłączyć do swojego Linuksa, komputer pracujący pod MSDOS, na którym działa oprogramowanie TCP/IP korzystające ze standardu 'packet drivera', korzystająe z sterownika plip.
Podczas kompilacji jądra jedyny plik, któremu warto się bliżej przyjrzeć
to /usr/src/linux/driver/net/CONFIG. Zawiera parametry
czasowe sterownika plip podane w milisekundach. Wartości
domyślne są prawdopodobnie poprawne w większości przypadków. Jeśli
twój komputer jest wyjątkowo wolny, możesz się zastanowić nad
zwiększeniem tych paramterów, ale na komputerze po drugiej stronie połączenia.
Sterownik przyjmuje następujące wartości domyślne parametrów:
urządzenie adres IRQ
we/wy
------ -------- -----
plip0 0x3BC 5
plip1 0x378 7
plip2 0x278 2 (9)
Jeśli parametry portów równoległych twojego komputera nie pasują do żadnej z przedstawionych powyżej kombinacji, jesteś w stanie zmienić przerwanie IRQ wykorzystywane przez port (za pomocą programu ifconfig). Pamiętaj aby włączyć w BIOSie korzystanie przez porty równoległe z przerwań IRQ, oczywiście o ile BIOS posiada taką opcję.
W celu skonfigurowania interfejsu plip musisz do plików rc
konfigurujących sieć dodać następujące polecenia:
#
# Przyłącz interfejs PLIP
#
# skonfiguruj pierwszy port równoległy jako urządzenie plip
/sbin/ifconfig plip0 IPA.IPA.IPA.IPA pointopoint IPR.IPR.IPR.IPR up
#
# End plip
Gdzie:
- IPA.IPA.IPA.IPA
oznacza twój adres IP.
- IPR.IPR.IPR.IPR
oznacza adres IP komputera zdalnego.
Parametr pointopoint ma tutaj takie samo znaczenie, co w przypadku protokołu SLIP, a mianowicie określa adres IP komputera po drugiej stronie połączenia.
Urządzenie plip niemal pod każdym względem możesz traktować tak samo jak urządenie slip, poza tym, że ani dip ani slattach nie muszą i nie mogą być wykorzystywane.
Schemat kabla do połączenia PLIP.
plip został opracowany w taki sposób, aby wykorzystywał kable o takim samym układzie, co kable, z których korzystają inne popularne programy do transferu danych przez port równoległy pracujące w środowisku MSDOS.
Schemat połączeń (wzięty z /usr/src/linux/drivers/net/plip.c)
znajduje się poniżej:
Nazwa Połączenie
--------- -----------------
GROUND 25 - 25
D0->ERROR 2 - 15
ERROR->D0 15 - 2
D1->SLCT 3 - 13
SLCT->D1 13 - 3
D2->PAPOUT 4 - 12
PAPOUT->D2 12 - 4
D3->ACK 5 - 10
ACK->D3 10 - 5
D4->BUSY 6 - 11
BUSY->D4 11 - 6
D5 7*
D6 8*
D7 9*
STROBE 1*
FEED 14*
INIT 16*
SLCTIN 17*
Uwagi: Nie należy łączyć końcówek oznaczonych `*'. Dodatkowe uziemienia to 18,19,20,21,22,23 i 24.
Jeśli kabel z którego korzystasz jest ekranowany, ekran powinien być podłączony do obudowy wtyczki DB-25 tylko na jednym końcu.
Ostrzeżenie: kabel ze źle wykonanymi połączeniami może fizycznie zniszczyć kartę kontrolora twojego komputera. Bądź bardzo ostrożny i dwukrotnie sprawdzaj każde połączenie, aby nie narazić się na niepotrzebny ból głowy lub atak serca.
Choć może się udać, że połączenie PLIP będzie pracować na duże odległości, należy jednak tego unikać. Specyfikacja kabla pozwala na wykonania kabla o długości ok 1m. Bądź ostrożny używając dłuższych kabli, ponieważ źródła silnych pół elekromagnetycznych (pioruny, linie wysokiego napięcia, nadajniki radiowe) mogą zakłócić pracę a czasami doprowadzić do uszkodzenia sterownika. Jeśli zależy ci na połączeniu dwóch komputerów na naprawdę dużą odległość, powinieneś zopatrzyć się w parę tanich kart ethernetowych pracujących na cienkim kablu koncentrycznym.
6.22 PPP
Urządzenia PPP noszą nazwy `ppp0', `ppp1, itd. Urządzenia
otrzymują kolejne numery poczynając od `0'.
Opcje konfiguracji jądra:
Networking options --->
<*> PPP (point-to-point) support
Szczegółowy opis konfiguracji PPP można znaleźć w PPP-HOWTO.
Utrzymywanie za pomocą ppp stałego połączenia z Internetem.
Jeśli masz na tyle szczęścia, aby posiadać półstałe połączenie z siecią i chciałbyś, aby twój komputer automatycznie zestawiał połączenie PPP, gdy z jakiegoś powodu zostanie przerwane, pomoże ci w tym prosta sztuczka.
Skonfiguruj PPP w taki sposób, aby było uruchamiane przez administratora systemu za pomocą polecenia:
# pppd
Upewnij się, że w pliku /etc/ppp/options znajduje się
opcja `-detach'. Następnie dodaj do pliku /etc/inittab,
poniżej definicji getty następujący wiersz:
pd:23:respawn:/usr/sbin/pppd
W ten sposób program init będzie uruchamiał i monitorował program pppd i za każdym razem, gdy pppd skończy pracę, będzie uruchamiał go ponownie.
6.23 Rose protocol (AF_ROSE)
Urządzenia protokołu Rose noszą nazwy `rs0', `rs1', itd.
Dostępne są w jądrach w wersji 2.1.*.
Opcje konfiguracji jądra:
Networking options --->
[*] Amateur Radio AX.25 Level 2
<*> Amateur Radio X.25 PLP (Rose)
Protokoły AX25, NetRom i Rose są dokładnie omówione w AX25-HOWTO. Są wykorzystywane przez krótkofalowców (packet radio).
Większość pracy związanej z implementacją tych protokołów pod Linuksem wykonał
Jonathon Naylor, jsn@cs.not.ac.uk.
6.24 SAMBA - `NetBEUI', `NetBios' support.
SAMBA jest implemnetacją protokołu SMB (Session Management Block). Pozwala na korzystanie z dysków i drukarek komputera pracującego pod Linuksem, komputerom pracującym pod systemami firmy Microsoft lub pod systemem OS2
SAMBA i jej konfigiracja jest szczegółowo omówiona w SMB-HOWTO.
6.25 Klient protokołu SLIP
Urządzenia protokołu SLIP są nazywane `sl0', `sl1'
itd. Pierwsze skonfigurowane urządzenie otrzymuje numer `0',
pozostałe otrzymują kolejne numery, w momencie ich konfiguracji.
Opcje konfiguracji jądra:
Network device support --->
[*] Network device support
<*> SLIP (serial line) support
[ ] CSLIP compressed headers
[ ] Keepalive and linefill
[ ] Six bit SLIP encapsulation
Protokół SLIP (Serial Line Internet Protocol) pozwala na zestawienie połączenia TCP/IP przez linię szeregową, np. połączenie modemowe przez linię telefoniczną lub dzierżawioną. Oczywiście aby móc korzystać z protokołu SLIP należy mieć wpierw dostęp do serwera SLIP. Wiele uniwersytetów i firm komercyjnych udostępniają usługę SLIP.
SLIP wykorzystuje porty szeregowe komputera do przesyłania datagramów IP. W tym celu musi przejąć sterowanie portu szeregowego. Urządzenia SLIP noszą nazwy sl0, sl1 itd. Jak to się ma do urządzeń portów szeregowych? Oprogramowanie sieciowe korzysta z funkcji ioctl (i/o control) za pomocą których może zażądać zamiany urządzenia portu szeregowego w urządzenie SLIP. Dwa popularne programy potrafią to zrobić. Jeden z nich to dip, drugi slattach.
dip
dip (Dialup IP) to zmyślny program umożliwiający ustawienie prędkości portów szeregowych, sterowanie modemem w celu wybrania odpowiedniego numeru, zautomatyzowane wejście do zdalnego systemu, przesukiwanie i wybieranie informacji przesyłanych przez zdalny serwer (np. przydzielonego nam na czas sesji adresu IP), korzystanie z funkcji ioctl w celu przestawienia portu szeregowego w urządzenie SLIP. Program dip posiada rozbudowany język przeznaczony do pisania skryptów, dzięki czemu można bardzo łatwo zautomatyzować procedurę zestawiania połączenia SLIP.
Jest dostępny pod adresem: sunsite.unc.edu.
Aby go zainstalować spróbuj wydać następujące polecenia:
#
# cd /usr/src
# gzip -dc dip337o-uri.tgz | tar xvf -
# cd dip-3.3.7o
<jeśli to konieczne popraw plik Makefile>
# make install
#
Plik Makefile zakłada istnienie w twoim systemie grupy o nazwie
uucp, lecz możesz to zmienić np na dip, lub slip
zależnie od twojej konfiguracji.
slattach
slattach w przeciwieństwie do dip jest bardzo prostym programem, bardzo łatwym w użytkowaniu, nie posiadającym bogatych opcji programu dip. Nie posiada możliwości tworzenia skryptów, jedyne co robi to konfiguracja urządzenia portu szeregowego, jako urządzenia SLIP. Zakłada, że posiadasz wszystkie informacje niezbędne do zestawienia połączenia oraz, że połączenie fizyczne między portami jest już zestawione. slattch jest idealne do wykorzystania w stałych połączeniach z serwerem, np. przez kabel łączący bezpośrednio dwa porty szeregowe lub przez linie dzierżawioną.
Kiedy używać każdego z tych programów ?
Skorzystałbym z programu dip zawsze wtedy, gdy łączyłbyn komputer z serwerem SLIP przez modem i linię telefoniczną. Skorzystałbym z programu slattach wtedy, gdy zestawiałbym połączenie przez linię dzierżawioną lub kabel bezpośrednio między serwerem i moim komputerem i gdy nie muszę wykonywać żadnych czynności do fizycznego zestawienia połączenia między moim komputerem a serwerem. Patrz rozdział 'Stałe połączenie SLIP'.
Konfiguracja urządzenia SLIP jest zbliżona do konfiguracji urządzenia karty ethernetowej. (przeczytaj rozdział 'Konfiguracja karty ethernetowej). Jednakże istnieją dwie zasadnicze różnice:
Po pierwsze SLIP w przeciwieństwie do sieci ethernetowych łączy bezpośrednio ze sobą tylko dwa komputery, po jednym na każdym końcu połączenia. O ile podłączenie kabla sieci ethernet do komputera oznacza jej natychmiastową gotowość do pracy, o tyle w przypadku protokołu SLIP może być wymagana wcześniejsza inicjacja fizycznego połączenia między komputerami.
Jeśli korzystasz z programu dip, to zwykle inicjacja łącza odbywa
się nie tuż po uruchomieniu systemu, lecz później, gdy jesteś gotowy
do korzystania z połączenia. Można całą tę procedurę
zautomatyzować. Jeśli korzystasz z programu slattch wtedy
prawdopodobnie zechcesz zmodyfikować plik startowy rc.inet1. Jak
to zrobić powiemy za chwilę.
Istnieją dwa podstawowe serwery udostępniające SLIP. Różnią się sposobem przydziału adresu IP, mogą to robić statycznie (za każdym razem otrzymujesz ten sam adres IP) i dynamicznie (po nawiązaniu połączenia serwer podaje, jakiego adresu powinieneś używać). Niemal każdy serwer SLIP bedzie wymagał przedstawienia się i podania hasła. dip potrafi zautomatyzować wszystkie te procedury.
Statyczny serwer SLIP z linią modemową i programem DIP.
Statyczny serwer SLIP to skrót oznaczający serwer SLIP przydzielający
adresy IP w sposób statyczny. Otrzymany adres IP jest wyłącznie twój.
Za każdym razem, gdy przyłączysz się do serwera będziesz konfigurował
port SLIP swojego komputera tym samym adresem IP.
Serwer odpowie na połączenie rozpoczęte przez twój modem,
prawdopodobnie poprosi o podanie identyfikatora i hasła, a następnie po
przejściu w tryb SLIP będzie przesyłał wszystkie datagramy adresowane
na twój adres IP przez nazwiązane przez ciebie połączenie. Jeśli
korzystasz ze statycznego serwera SLIP, możesz chcieć dodać do pliku
/etc/hosts pozycję z nazwą i adresem IP twojego
komputera. Powinieneś również skonfigurować kilka innych plików,
między innymi rc.inet2, host.conf,
resolv.conf, /etc/HOSTNAME i rc.local.
Pamiętaj, że modyfikując rc.inet1 nie musisz podawać żadnych
poleceń specyficznych dla połączenia SLIP, ponieważ to dopiero dip
wykona całą ciężką robotę konfigurując interfejs SLIP, po tym jak
nawiąże połączenie modemowe i zaloguje się na serwer.
Jeśli tak właśnie pracuje serwer SLIP z którego korzystasz możesz przejść do rozdziału 'Korzystanie z programu dip', tam dowiesz się jak poprawnie skonfigurować ten program.
Dynamiczny serwer SLIP z linią modemową i programem DIP.
Dynamiczny serwer SLIP to skrót oznaczający serwer SLIP, który z pewnej puli przydziela adresy IP w sposób dynamiczny (za każdym razem, gdy się z nim połączysz możesz otrzymać inny adres IP). To znaczy, że nie masz gwarancji, że łącząc się otrzymasz konkretny adres IP, może on być wykorzystywany przez kogoś innego, wtedy gdy nie korzystasz z połączenia. Administrator sieci, który skonfigurował serwer przydzielił mu pewną pulę adresów IP z której może korzystać. Obsługując kolejne przychodzące połączenie znajduje pierwszy niewykorzystany w danym momencie adres IP, przeprowadza użytkownika przez procedurę weryfikacyjną wyświetlając na koniec informacje zawierającą adres IP, który został przydzielony temu użytkownikowi na czas trwania nawiązanego właśnie połączenia.
Konfiguracja do korzystania z tego rodzaju serwera jest podobna do tej dla serwera statycznego. Trzeba jedynie dodać fragment pobrania adresu IP przydzielonego nam przez serwer na czas trwania połączenia, a następnie kontynuować konfigurowanie SLIPa z tym właśnie adresem.
Ponownie, dip wykonuje tę ciężką pracę, a jego nowsze wersje są na tyle sprytne, że potrafią nie tylko zalogować cię do systemu, ale również potrafią odczytać automatycznie adres IP wyświetlany przez serwer, zachowując go do późniejszego wykorzystania przy konfigurowaniu interfejsu SLIP.
Jeśli tak właśnie pracuje serwer SLIP z którego korzystasz możesz przejść do rozdziału 'Korzystanie z programu dip', tam dowiesz się jak poprawnie skonfigurować ten program.
Korzystanie z programu dip.
Jak wyjaśniliśmy wcześniej dip jest potężnym programem, który potrafi uprościć i zautomatyzować proces łączenia się z serwerem SLIP, logowania się na ten serwer, uruchamiania tam odpowiedniego oprogramowania i konfigurowania lokalnych urządzeń SLIP za pomocą odpowiednich poleceń korzystających z programów ifconfig i route.
Podstawowym sposobem korzystania z programu dip jest pisanie i
uruchamianie specjalnych skryptów, składających się z listy poleceń
rozumianych przez program dip. Przyjrzyj się plikowi
sample.dip znajdującemu się w dystrybucji programu dip. Dip
jest potężnym programem posiadającym wiele opcji, nie bedziemy ich tu
wszystkich przedstawiać, jeśli cię to interesuje, przyjrzyj się stronom
podręcznika poświęconym programowi dip, plikom README i innym plikom
przykładowym znajdującym się w pakiecie dystrybucyjnym programu.
Prawdopodobnie zauważyłeś, że plik sample.dip zakłada, że
korzystasz ze statycznego serwera SLIP, tzn. że wiesz jaki jest twój
adres IP, zanim połączysz się z serwerem. W przypadku korzystania z
dynamicznego serwera SLIP nowsze wersje programu dip zostały
zaopatrzone w dodatkowe polecenie, które potrafi automatycznie
odczytać i skonfigurowć lokalne urządzenie SLIP z adresem IP
przydzielonym przez serwer. Poniższa próbka jest zmodyfikowanym
plikiem sample.dip dostarczanym w pakiecie dip337j-uri.tgz i
w twoim przypadku prawdopodobnie jest dobrym punktem startowym.
Możesz go zachować jako np. /etc/dipscript i dostosować go do
swoich warunków.
#
# sample.dip Dialup IP connection support program.
#
# This file (should show) shows how to use the DIP
# This file should work for Annex type dynamic servers, if you
# use a static address server then use the sample.dip file that
# comes as part of the dip337-uri.tgz package.
#
#
# Version: @(#)sample.dip 1.40 07/20/93
#
# Author: Fred N. van Kempen, <waltje@uWalt.NL.Mugnet.ORG>
#
main:
# Next, set up the other side's name and address.
# My dialin machine is called 'xs4all.hacktic.nl' (== 193.78.33.42)
get $remote xs4all.hacktic.nl
# Set netmask on sl0 to 255.255.255.0
netmask 255.255.255.0
# Set the desired serial port and speed.
port cua02
speed 38400
# Reset the modem and terminal line.
# This seems to cause trouble for some people!
reset
# Note! "Standard" pre-defined "errlevel" values:
# 0 - OK
# 1 - CONNECT
# 2 - ERROR
#
# You can change those grep'ping for "addchat()" in *.c...
# Prepare for dialing.
send ATQ0V1E1X4\r
wait OK 2
if $errlvl != 0 goto modem_trouble
dial 555-1234567
if $errlvl != 1 goto modem_trouble
# We are connected. Login to the system.
login:
sleep 2
wait ogin: 20
if $errlvl != 0 goto login_trouble
send MYLOGIN\n
wait ord: 20
if $errlvl != 0 goto password_error
send MYPASSWD\n
loggedin:
# We are now logged in.
wait SOMEPROMPT 30
if $errlvl != 0 goto prompt_error
# Command the server into SLIP mode
send SLIP\n
wait SLIP 30
if $errlvl != 0 goto prompt_error
# Get and Set your IP address from the server.
# Here we assume that after commanding the SLIP server into SLIP
# mode that it prints your IP address
get $locip remote 30
if $errlvl != 0 goto prompt_error
# Set up the SLIP operating parameters.
get $mtu 296
# Ensure "route add -net default xs4all.hacktic.nl" will be done
default
# Say hello and fire up!
done:
print CONNECTED $locip ---> $rmtip
mode CSLIP
goto exit
prompt_error:
print TIME-OUT waiting for sliplogin to fire up...
goto error
login_trouble:
print Trouble waiting for the Login: prompt...
goto error
password:error:
print Trouble waiting for the Password: prompt...
goto error
modem_trouble:
print Trouble occurred with the modem...
error:
print CONNECT FAILED to $remote
quit
exit:
exit
Powyższy przykład zakłada, że łączysz się z dynamicznym serwerem
SLIP. Jeśli łączysz się z serwerem statycznym powinieneś
skorzystać z pliku sample.dip dostarczanego razem z
dip337j-uri.tgz.
Gdy dip otrzyma polecenie get $local przeszukuje tekst przesyłany przez serwer SLIP w poszukiwaniu ciągu znaków wyglądającego jako adres IP, tzn. ciągi cyfr rozdzielone kropką '.'. Została ona wprowadzone dla osób korzystających z dynamicznych serwerów SLIP, aby dip mógł sam, automatycznie odczytać adres IP przydzielony przez serwer.
W powyższym przykładzie po zestawieniu połączenia SLIP zostanie automatycznie dodana domyślna trasa skierowana właśnie przez to połączenie. Jeśli nie tego oczekujesz, możesz np. posiadać inne połączenie przez sieć ethernetową, przez które ma być skierowana domyślna trasa, usuń z powyższego pliku wiersz z poleceniem default. Jeśli po zakończeniu działania tego skryptu wydasz polecenie ifconfig zobaczysz, że pojawiło się nowe urządzenie sl0. To jest właśnie urządzenie SLIP. W miarę potrzeb możesz zmienić konfigurację sieci ręcznie, po zakończeniu działania programu dip, za pomocą pogramów ifconfig i route.
Należy pamietać, że dip pozwala na wybranie jednego z wielu różnych
protokołów wykorzystywanych w poleceniu mode. Najczęściej jest to
cSLIP oznaczający SLIP z kompresją nagłówków. Pamiętaj, że oba
końce połączenia muszą pracować w identycznym trybie. Jeśli zmienisz
jakieś ustawienia, musisz się upewnić, że serwer sobie z nimi poradzi.
Powyższy przykład jest uniwersalny i powinien poradzić sobie z większością błędów jakie mogą wystąpić. Więcej informacji znajdziesz na stronie podręcznika poświęconej programowi dip (man dip). Oczywiście możesz w taki sposób zmodyfikować ten skrypt, aby w przypadku wystapienia błędu próbował powtórnie nawiązać połączenie telefoniczne, lub próbował połączyć się z innymi serwerami, które udostępniają ci wejscie do Internetu.
Stałe połączenie SLIP przez linię dzierżawioną -slattach.
Jeśli jesteś posiadaczem kabla łączącego dwa komputery, lub szczęśliwcem posiadającym linie dzierżawioną lub inne stałe połączenie szeregowe dwóch komputerów, wtedy nie musisz się kłopotać zestawiając łącze szeregowe za pomocą programu dip. slattach jest bardzo łatwym w uzywaniu narzędziem umożliwiającym skonfigurować zestawiane połaczenie.
Ponieważ będzie to połączenie stałe, prawdopodobnie zechcesz dodać kilka
poleceń do pliku rc.inet1. Podsumowując, wszystko co potrzebujesz
w przypadku zestawiania połączenia przez linię stałą, jest poprawne
ustawienie prędkości portów szeregowych i przełączenie ich w tryb SLIP.
slattach pozwala wykonać to wszystko wydając jedno polecenie. Dodaj
do pliku rc.inet1 następujące polecenie:
#
# Zestaw połączenie SLIP ze statycznym adresem IP
#
# configure /dev/cua0 for 19.2kbps and cslip
/sbin/slattach -p cslip -s 19200 /dev/cua0 &
/sbin/ifconfig sl0 IPA.IPA.IPA.IPA pointopoint IPR.IPR.IPR.IPR up
#
# Koniec
Gdzie:
- IPA.IPA.IPA.IPA
twój adres IP
- IPR.IPR.IPR.IPR
adres IP po drugim końcu połączenia SLIP
slattach przyporządkowuje do urządzenia portu szeregowego
pierwsze wolne urządzenie slip. Rozpoczyna od sl0. To znaczy
pierwsze wywołanie polecenia slattach przyporządkowuje portowi
szeregowemu urządzenie sl0, przy następnym wywołaniu będzie to
sl1 itd.
slattach umożliwia skonfigurowanie wielu różnych protokołów
(argument opcji -p). W twoim przypadku w zależności od tego czy
będziesz chciał korzystać z kompresji nagłówków czy nie będziesz korzystał albo z
protokołu cSLIP albo SLIP. Uwaga: oba końce połączenia
muszą używać tego samego protokołu.
6.26 Serwer SLIP.
Jeśli posiadasz komputer, być może przyłączony do sieci, i chcesz, aby udostępniał innym przez modem serwisy internetowe, to musisz skonfigurować go jako serwer. Jeśli protokołem, który chcesz używać jest SLIP, to istnieją trzy możliwości konfiguracji twojego komputera jako serwer. Osobiście preferuję pierwszą z prezentowanych, sliplogin. Wydaje się być najprostszą i najłatwiejszą do skonfigurowania i zrozumienia. Przedstawię opis wszystkich trzech metod, abyś mógł samemu podjąć decyzję.
Serwer korzystający z programu sliplogin.
sliplogin to program zastępujący zwykłą powłokę (interpreter poleceń) użytkownika, dla tych, którzy chcą korzystać z linii szeregowej w trybie SLIP. Pozwala na skonfigurowanie twojego komputera zarówno jako statycznego serwera SLIP (użytkownicy za każdym razem otrzymują ten sam adres IP), lub dynamicznego serwera SLIP (adres IP jest przydzielony raczej do linii szeregowej, a nie użytkownika, więc użytkownik nie ma pewności, że za każdym razem otrzyma ten sam adres IP).
Użytkownik musi wpierw przejść przez standardową procedurę wchodzenia do systemu
(logowanie się) podając swój identyfikator i hasło, lecz po wejściu do
systemu, zmiast zwykłego interpretera poleceń uruchamiany jest program
sliplogin, który przeszukuje swój plik konfiguracyjny (/etc/slip.hosts)
w poszukiwaniu pozycji odpowiadającej identyfikatorowi użytkownika. Po jej
znalezieniu, przestawia linię w tryb 8mio bitowy, a następnie korzystając
z odpowiednich funkcji ioctl przełącza linię w tryb SLIP. Po zakończeniu
tego etapu następuje ostatnia faza, sliplogin uruchamia skrypt, którego
zadaniem jest skonfigurowanie interfejsu SLIP (ustawienie adresu IP, netmaski)
dodanie odpowiedniej trasy do tabeli trasowania (routingu) jądra.
Skrypt ten nosi zwykle nazwę /etc/slip.login lecz podobnie jak w
przypadku getty, jeśli niektórzy użytkownicy wymagają specjalnego traktowania
możesz utworzyć skrypt /etc/slip.login.identyfikator_uzytkownika,
który w takim przypadku zostanie uruchomiony w miejsce standardowego skryptu.
Aby sliplogin działał poprawnie należy zmodyfikować trzy lub cztery pliki. Omówię szczegółowo skąd i jak zdobyć odpowiednie oprogramowanie i jak je poprawnie skonfigurować. Wspomniane pliki to:
/etc/passwd, definiujacy użytkownikłów twojego systemu,/etc/slip.hosts, zawierający informacje o każdym użytkowniku korzystającym ze SLIPa,/etc/slip.login, odpowiedzialny z odpowiednią konfigurację systemu, po zalogowaniu się użytkownika,/etc/slip.ttywymagany tylko wtedy, gdy konfigurujesz dynamiczny serwer SLIP, a który zawiera tabelę przydzielanych adresów IP,/etc/slip.logoutzawierający polecenia jakie należy wykonać po zakończeniu pracy przez użytkownika, lub po zerwaniu połączenia.
Skąd wziąć sliplogin
Być może pakiet sliplogin jest już zainstalowany na twoim komputerze, jako część dystrybucji, jeśli nie, sliplogin jest dostępny pod adresem sunsite.unc.edu. Plik tar zawiera pliki źródłowe, skompilowane pliki binarne i dokumentację.
Aby zapewnić, że sliplogin może być uruchamiany przez upoważnionych do
tego użytkowników, powinieneś do pliku /etc/group dodać
pozycję podobną do poniższej:
..
slip::13:radio,fred
..
Podczas instalacji pakietu sliplogin, Makefile zmieni grupę do której
należy program sliplogin na slip. W ten sposób, prócz właściciela
będą go mogli uruchamiać tylko użytkownicy należący do grupy SLIP. W powyższym
przykładzie mogą to robić tylko użytkownicy radio i fred.
Aby zainstalować pliki binarne do katalogu /sbin/, a strony podręcznika
do /man/ należy wykonoać następujące polecenia:
# cd /usr/src
# gzip -dc .../sliplogin-2.1.1.tar.gz | tar xvf -
# cd sliplogin-2.1.1
# <..Jeśli nie korzystasz z shadow pasword popraw Makefile..>
# make install
Jeśli przed instalacją chcesz samemu skompilować pliki binarne
przed make install wykonaj polecenie make clean. Jeśli chcesz
zainstalować pliki binarne w innym miejscu, musisz
wcześniej zmienić plik Makefile.
Więcej informacji znajdziesz w plikach README wewnątrz pakietu.
Konfiguracja pliku /etc/passwd.
Zwykle dla osób korzystających ze SLIPa tworzy się oddzielne konta.
Powszechnie przyjęta konwencja mówi, że jako pseudonim użytkownika
należy przyjąć nazwę łączącego się z nami komputera, poprzedzoną
wielką literą 'S'. Jeśli łączący się z nami komputer nosi nazwę
radio, mogłbyś utworzyć dla niego pozycję w pliku /etc/passwd
wyglądajacą mniej więcej tak:
Sradio:FvKurok73:1427:1:radio SLIP login:/tmp:/sbin/sliplogin
Tak na prawdę nie ma znaczenia jaki jest identyfikator konta.
Uwaga: użytkownik SLIPa nie potrzebuje własnego katalogu macierzystego,
ponieważ nie będzie korzystał z powłoki interpretera poleceń na naszym komputerze.
Dlatego dobrym wyborem w takim przypadku jest katalog /tmp.
Pamiętaj, że zamiast zwykłej powłoki uruchamiany jest program sliplogin.
Konfiguracja pliku /etc/slip.hosts
Plik /etc/slip.hosts jest przeszukiwany przez sliplogin
w poszukiwaniu szczegółów konfiguracyjnych dla użytkownika, przez którego
został uruchomiony. W tym właśnie pliku podaje się adres IP i netmaskę
które będą przydzielone temu użytkownikowi i wykorzystywane do konfiguracji.
Przykładowe dwie pozycje, jedną dla statycznej konfiguracji dla komputera radio
i drugą, dynamiczna konfiguracja dla komputera albert mogły by wyglądać
następująco:
#
Sradio 44.136.8.99 44.136.8.100 255.255.255.0 normal -1
Salbert 44.136.8.99 DYNAMIC 255.255.255.0 compressed 60
#
Poszczególne pola w wierszu pliku /etc/slip.hosts oznaczają:
- identyfikator użytkownika;
- adres IP serwera, tzn adres IP tego komputera;
- adres IP przydzielony komputerowi po drugiej stronie połączenia.
Jeśli w tym polu występuje słowo
DYNAMICwtedy adres IP, zostanie przydzielony na podstawie informacji zawartych w pliku/etc/slip.tty. Uwaga: to udogodnienie pojawiło się dopiero w wersji 1.3 programu sliplogin. - netmaska przydzielona łączącemu się komputerowi, w notacji dziesiętnej z kropkami np. 255.255.255.0 netmaska klasy C;
- tryb pracy SLIP pozwalający na włączenie/wyłączenie kompresji lub innych udogodnień;
- parametr czasowy określajacy jak długo linia może pozostać w stanie oczekiwania na przesłanie informacji (brak otrzymanych datagramów), zanim nastąpi automatyczne rozłączenie. Wielkość ujemna wyłącza to udogodnienie.
- parametry opcjonalne.
Uwaga: W polach 2 i 3 można podawać zarówna nazwy komputerów, jak i adresy IP. Jeśli podasz nazwę komputera, sprawdź, czy system potrafi znaleźć jego adres IP, w przeciwnym razie wykonanie skryptu zakończy się niepowodzeniem. Możesz to sprawdzić próbując połączyć się z nim za pomocą programu telnet. Jeśli zobaczysz komunikat `Trying nnn.nnn.nnn...' to znaczy, że twój komputer potrafi znaleźć adres IP komputera o podanej przez ciebie nazwie. Jeśli zobaczysz komunikat Unknown host', to znaczy, że jednak nie potrafi. Jeśli nie potrafi musisz podawać adres IP tego komputera lub sprwadź konfigurację DNS swojego komputera.
Najczęściej wykorzysytwane tryby pracy SLIP to:
- normal
zwykły, nieskompresowny SLIP.
- compressed
kompresja nagłówków van Jacobsena (cSLIP)
Oczywiście są to dwie wzajemnie wykluczające się opcje. Więcej informacji na temat dostępnych opcji znajdziesz na stronie podręcznika poświęconej programowi sliplogin.
Konfiguracja pliku /etc/slip.login.
Po przeszukaniu przez sliplogin pliku /etc/slip.hosts
i znalezieniu opowiednich pozycji, zostanie uruchomiony skrypt
/etc/sli.login, który w rzeczywistości wykonuje cała pracę
związaną z konfiguracja interfejsów sieciowych, korzystając
z przekazanych mu informacji o adresie IP i netmasce sieci.
Przykładowy plik /etc/slip.login dostarczany w pakiecie
sliplogin wygląda następująco:
#!/bin/sh -
#
# @(#)slip.login 5.1 (Berkeley) 7/1/90
#
# generic login file for a SLIP line. sliplogin invokes this with
# the parameters:
# $1 $2 $3 $4, $5, $6 ...
# SLIPunit ttyspeed pid the arguments from the slip.host entry
#
/sbin/ifconfig $1 $5 pointopoint $6 mtu 1500 -trailers up
/sbin/route add $6
arp -s $6 <hw_addr> pub
exit 0
#
Jak widać, powyższy skrypt po prostu korzysta z programu ifconfig i route. Konfiguruje urządzenie SLIP zgodnie z podanymi mu adresem IP i netmaską, następnie modyfikuje tabele trasowania w jądrze. Wykonuje te same polecenia, które należy wykonać ręcznie korzystając ze slattach.
Zwróć uwagę na użycie Proxy ARP w celu zapewnienia komunikacji
między komputerami znajdującymi się na tym samym segmencie sieci co
nasz serwer, a komputerem łączącym się przez linię szeregową. Pole
<hw_addr> powinno zawierać adres sprzętowy karty
ethernetowej serwera. Jeśli serwer nie jest przyłączony do sieci
ethernetowej możesz pominąć ten wiersz całkowicie.
Konfiguracja pliku /etc/slip.logout.
Kiedy następuje przerwanie połączenie chcesz być pewny, że port
szeregowy jest przywracany do swego normalnego stanu i jest gotowy do
obsługi kolejnego połączenia. Do tego celu służy skrypt
/etc/slip.logout. Jest bardzo prosty i jest wywoływany z tymi
samymi argumentami co /etc/slip.login.
#!/bin/sh -
#
# slip.logout
#
/sbin/ifconfig $1 down
arp -d $6
exit 0
#
Wykonywane przez niego czynności to: wyłączenie interfejsu slip,
spowoduje automatyczne usunięcie z tabeli trasowania wprowadzonej tam podczas
zestawiania połączenie pozycji; usunięcie z tabeli arp
wprowadzonej tam ręcznie pozycji. Nie potrzebujesz tego polecenia,
jeśli twój serwer nie jest przyłączony do sieci ethernetowej.
Konfiguracja pliku /etc/slip.tty.
Jeśli korzystasz z dynamicznego przydziału adresów IP (choć jeden
komputer w pliku /etc/slip.hosts jest skonfigurowany z opcją
DYNAMIC) to musisz również skonfigurować plik
/etc/slip.tty informując system jakie adresy IP są
przydzielone do każdego z wykorzystywanych portów szeregowych. Plik
ten jest potrzebny tylko wtedy, gdy twój serwer będzie przydzielał
adresy IP użytkownikom w sposób dynamiczny.
Plik zawiera tabelę, która każdemu wykorzystywanemu urządzeniu tty przyporządkowuje adres IP jaki ma zostać przydzielony komputerowi łączącemu się przez to urządzenie tty.
Format niniejszego pliku jest następujący:
# slip.tty tty -> adres IP
# format: /dev/tty?? xxx.xxx.xxx.xxx
#
/dev/ttyS0 192.168.0.100
/dev/ttyS1 192.168.0.101
#
Pozycje w powyższym przykładzie oznaczają, że wszyscy, którzy połączą
się przez port /dev/ttuS0 i jako swoj adres mają w pliku
/etc/slip.hosts słowo DYNAMIC otrzymają adres 192.168.0.100.
W ten sposób potrzebujesz jedynie jednego adresu IP na każdy wykorzystywany port dla wszystkich użytkowników, którzy nie potrzebują dedykowanego, stałego adresu IP. Dzięki temu liczba adresów potrzebna do obsługi wielu użytkowników jest bardzo mała.
Serwer SLIP korzystający z programu dip.
Część z prezentowanej poniżej informacji pochodzi ze stron podręcznika dotyczących programu dip. Jest tam pokrótce opisane jak wykorzystać dip jako serwer SLIP. Proszę również zwrócić uwagę, że podane informacje dotyczą wersji dip337o-uri.tgz i prawdopodobnie nie mają zastosowania do innych wersji programu.
dip posiada tryb pracy, w którym automatycznie wyszukuje pozycję
dotyczącą użytkownika, który go wywołał i konfiguruje linię szeregową
jako połączenie SLIP według parametrów jakie znalazł w pliku
/etc/diphosts. Ten tryb pracy jest włączany wtedy, gdy
dip zostanie uruchominy jako program o nazwie diplogin.
To jest właśnie sposób wykrzystania dipa do stworzenia serwera
SLIP. Należy utworzyć specjalne konta, z programem diplogin jako
powłoką użytkownika.
Pierwsze co musisz zrobić, to następujące dowiązanie symboliczne:
# ln -sf /usr/sbin/dip /usr/sbin/diplogin
Następnie należy dodać odpowiednie pozycje do pliku
/etc/passwd i /etc/diphosts.
Aby skonfigurować Linuksa jako serwer SLIP wykorzystując do tego program dip wymaga utworzenia specjalnych kont do obsługi SLIPa z powłoką użytkownika w postaci programu dip jako diplogin. Sugerowana konwencja nadawania nazw tym kontom zaleca, aby pseudonim użytkownika rozpoczynał się wielką literą 'S', np. `Sfredm'.
Przykładowa pozycja pliku /etc/passwd konta SLIP może
wyglądać następująco:
Sfredm:ij/SMxiTlGVCo:1004:10:Fred:/tmp:/usr/sbin/diplogin
^^ ^^ ^^ ^^ ^^ ^^ ^^
| | | | | | \__ diplogin jako powłoka użytkownika
| | | | | \_______ katalog domowy
| | | | \____________ pełna nazwa użytkownika
| | | \_________________ numer grupy (GID)
| | \_____________________ numer użytkownika (UID)
| \_______________________________ zakodowane haslo
\__________________________________________ pseudonim użytkownika
Po zalogowaniu się użytkownika (jeśli zostanie poprawnie zweryfikowany)
program login uruchomi polecenie diplogin. dip wywołany jako
diplogin zakłada, że został uruchomiony jako powłoka
użytkownika. Piersze co robi, to korzysta z funkcji getuid()
pobierając pseudonim wywołującego go użytkownika. Następnie
przeszukuje /etc/diphosts w poszukiwaniu pierwszej pozycji,
która pasuje do zdobytego identyfikatora lub wykorzystywanego
urządzenia tty, a następnie odpowiednio się
konfiguruje. Decydując czy użytkownik powinien mieć własną pozycję w
pliku /etc/diphosts, czy powinien korzystać z konfiguracji
domyślnej, możesz budować serwer, który korzysta zarówno z
dynamicznego i statycznego przydziału adresów IP.
dip automatycznie doda pozycję Proxy-ARP jeśli zostanie wywołany jako diplogin. Nie musisz się martwić ręcznym dodawaniem tych pozycji.
Konfiguracja pliku /etc/diphosts
/etc/diphosts jest wykorzystywany przez dip do
wyszukiwania konfiguracji dla łączących się komputerów. Mogą to być
pozycje dotyczące zarówno komputerów łączących się z twoim Linuksem,
lecz równie dobrze mogą to być pozycje dotyczące komputerów, z którymi
łączy się twój Linux.
Ogólny format pliku /etc/diphosts wygląda następująco:
..
Suwalt::145.71.34.1:145.71.34.2:255.255.255.0:SLIP uwalt:CSLIP,1006
ttyS1::145.71.34.3:145.71.34.2:255.255.255.0:Dynamic ttyS1:CSLIP,296
..
Poszczególne pola oznaczają:
pseudonim użytkownika: identyfikator zwracany przez getpwuid(getuid()) lub nazwa terminalaniewykorzystane: zgodność z formatem passwdadres zdalny: nazwa (adres IP) łaczącego się z nami komputeraadres lokalny: nazwa (adres IP) naszego serweranetmaska: netmaska w notacji dziesiętnejkomentarz: możesz tu wstawić co chceszprotokół: Slip, CSlip itp.MTU: liczba
Przykłady pozycji pliku /etc/net/diphosts dla komputerów
łączących się z nami:
Sfredm::145.71.34.1:145.71.34.2:255.255.255.0:SLIP uwalt:SLIP,296
definującej połączenie SLIP między naszym serwerem, a komputerem, który otrzyma adres 145.71.34.1, parametr MTU połączenia będzie wynosił 296, lub
Sfredm::145.71.34.1:145.71.34.2:255.255.255.0:SLIP uwalt:CSLIP,1006
definiującej połączenie cSLIP z komputerem, który otrzyma adres 145.71.34.1. parametr MRU połączenia wynosił 1008.
Dlatego wszyscy użytkownicy którym zezwolisz na przydzielany statycznie adres IP powinni być wymienieni w pliku /etc/diphosts. Jeli chcesz aby uzytkownicy łączący się na pewien port mieli przydzielane numery w sposób dynamiczny musisz umieścić wpis dla wspomnianego portu i usunąć wszystkie wpisy indywidualnych użytkowników. Upewnij się aby skonfigurować co najmniej jeden wpis dla każdego z urządzeń tty wykorzystywanego przez twoich użytkowników w celu zapewnienia im poprawnej konfiguracji niezależnie od modemu z którym się połączą.
Kiedy użytkownik się loguje, widzi standardową zachętę do podania swojego identyfikatora SLIP i hasła. Jeli po wprowadzeniu żądanych informacji zostanie zweryfikowany poprawnie, nie zobaczy żadnych specjalnych komunikatów. Powinien wtedy przełączyć się po swojej stronie w tryb SLIP i mieć poprawne połączenie według konfiguracji zapisanej w pliku diphosts.
Serwer SLIP korzystający z pakietu dSLIP.
Matt Dillon <dillon@apollo.west.oic.com> stworzył pakiet,
który służy nie tylko do inicjowania połączenia z serwerem, ale równie
dobrze może obsługiwać połączenia przychodzące. Jest to kombinacja
małych programów i skryptów zarządzających dla ciebie
połączeniem. Musisz mieć zainstalowaną powłokę tcsh ponieważ
przynajmniej jeden ze skryptów jej wymaga. Matt dostarcza binarną
kopię programu expect, ponieważ wykorzystuje go inny ze
skryptów. Prawdopodobnie zmuszenie pakietu do pracy będzie od ciebie
wymagało trochę doświadczenia w obchodzeniu się z programem
expect, lecz niech cię to nie odstręcza.
Matt napisał dobry zestaw instrukcji instalacyjnych zgromadzonych w pliku README. Nie będę ich tutaj powtarzał.
Pakiet dSLIP możesz pobrać bezpośrednio ze źródła: apollo.west.oic.com
/pub/linux/dillon_src/dSLIP203.tgz
lub z:
sunsite.unc.edu
/pub/Linux/system/Network/serial/dSLIP203.tgz
Przeczytaj plik README i dodaj odpowiednie pozycje do pliku
/etc/passwd i /etc/group zanim wydasz polecenie
make install.
6.27 Obsługa protokołu STRIP (Starmode Radio IP)
Urządzenia STRIP noszą nazwy `st0', `st1', itd.
Opcje konfiguracji jądra:
Network device support --->
[*] Network device support
....
[*] Radio network interfaces
< > STRIP (Metricom starmode radio IP)
STRIP to protokół zaprojektowany specjalnie dla radiowych modemów Metricom na uniwersystecie w Stanford w ramach projektu badawczego noszącego nazwę MosquitoNet Project. Zajdziesz tam mnóstwo ciekawych informacji, nawet jeśli nie jesteś bezpośrednio zainteresowany projektem.
Modemy Metricom przyłącza się przez port szeregowy komputera, posiadają szerokie spektrum technologiczne i są zdolne do pracy z prędkością zbliżoną do 100kbps. Informacje na temat samych modemów Metricom jest dostępna tutaj: Metricom Web Server.
W chwili obecnej standardowe narządzia sieciowe nie obsługują sterownika STRIP. Musisz zdobyć specjalistyczne narzędzia dostępne na serwerze www projektu MosquitoNet. Szczegóły na temat niezbędnego oprogramowania znajdziesz tutaj: MosquitoNet STRIP Page.
Konfiguracja sieci pracujących ze sterownikiem STRIP polega na
wykorzystaniu zmodyfikowanego programu slattach, które ustawia
tryb pracy linii szeregowej na STRIP, a następnie na konfiguracji
powstałego urządzenia `st[0-9]' w taki sam sposób, jak gdyby była
to zwykła karta ethernetowa. Z jednym wyjątkiem, z przyczyn
technicznych STRIP nie obsługuje protokołu ARP, dlatego musisz ręcznie
skonfigurować tabelę ARP dla wszystkich komputerów w twojej podsieci.
Co nie powinno sprawić większego kłopotu.
6.28 Token Ring
Urządzenia Token Ring noszą nazwy `tr0', `tr1' itd.
Token Ring jest standardem sieci LAN opracowanym przez IBM, który
unika kolizji wprowadzając mechanizm pozwalający na transmisję danych
w jednej chwili tylko jednej stacji przyłączonej do sieci. "Token" w
danej chwili może należeć tylko do jednej stacji i to właśnie ta
stacja, która go posiada jest uprawniona do nadawania informacji. Po
zakończonej transmisji przekazuje "Token" następnej stacji. Przechodzi
kolejno pomiędzy wszystkimi aktywnymi końcówkami sieci. Stąd nazwa
"Token Ring".
Opcje konfiguracji jądra:
Network device support --->
[*] Network device support
....
[*] Token Ring driver support
< > IBM Tropic chipset based adaptor support
Konfiguracja urządzeń token ring jest identyczna, jak konfiguracja urządzeń ethernetowych, z dokładnością do nazwy urządzenia podlegającego konfiguracji.
6.29 X.25
X.25 to obwodowy protokół komutacji pakietów zdefiniwany w
C.C.I.T.T. (organizacji standaryzacyjnej uznawanej przez firmy
telekomunikacyjne większości krajów świata. Cały czas trwają pracę nad
implementacją X25 u LAPB i najnowsze wersje jądra 2.1.* zawierają
kod odzwierciedlający aktualny stan prac.
Jonathon Naylor jsn@cs.nott.ac.uk przewodzi grupie
rozwijającej to oprogramowanie i opiekuje się listą utworzoną do
dyskusji na tematy dotyczące X25 i Linuksa. Aby się na nią zapisać
należy na adres majordomo@vger.rutgers.edu napisać list
o treści "subscribe linux-x25".
Wczesne wersje narzędzi konfiguracyjnych można uzyskac z archiwum ftp ftp.cs.nott.ac.uk.
6.30 WaveLan Card
Urządzenia Wavelan noszą nazwy `eth0', `eth1', itd.
Opcje kompilacji jądra:
Network device support --->
[*] Network device support
....
[*] Radio network interfaces
....
<*> WaveLAN support
Karty WaveLan to szerokopasmowe sieciowe karty bezprzewodowe. Są bardzo podobne do kart ethernetowych i praktycznie w większości są konfigurowane w taki sam sposób.
Więcej informacji na temat kart WaveLan znajdziesz na stronie Wavelan.com.
7. Kable i okablowanie
Ci z was, którzy posiadają odpowiednie narzędzia mogą chcieć zrobić własne kable do połączenia ze sobą dwóch Linuxów. Poniższe schematy powinny wam w tym pomóc.
7.1 Szeregowy kabek bezmodemowy (Serial NULL Modem cable)
Nie wszystkie kable bezmodemowe są takie same. Dużo kabli bezmodemowych oszukuje twój komputer, tak aby myślał, że wszystkie potrzebne sygnały są obecne i zamienia ze sobą kanały nadawania i odbioru danych. Taki kabel będzie działał poprawnie, ale musisz stosować programowe sterowanie przepływem danych (XON/XOFF), które jest znacznie mniej wydajne od sterowania sprzętowego. Poniższy schemat przedstawia kabel umożliwiajacy transmisję ze sprzętowym sterowaniem przepływem danych (RTC/CTS).
Pin Name Pin Pin
Tx Data 2 ----------------------------- 3
Rx Data 3 ----------------------------- 2
RTS 4 ----------------------------- 5
CTS 5 ----------------------------- 4
Ground 7 ----------------------------- 7
DTR 20 -\--------------------------- 8
DSR 6 -/
RLSD/DCD 8 ---------------------------/- 20
\- 6
7.2 Kabel portu równoległego (kabel PLIP)
Jeśli zamierzasz korzystać z protokołu PLIP, to kabel wykonany wg. poniższego schematu będzie działał niezależnie od rodzaju posiadanego portu równoległego.
Pin Name pin pin
STROBE 1*
D0->ERROR 2 ----------- 15
D1->SLCT 3 ----------- 13
D2->PAPOUT 4 ----------- 12
D3->ACK 5 ----------- 10
D4->BUSY 6 ----------- 11
D5 7*
D6 8*
D7 9*
ACK->D3 10 ----------- 5
BUSY->D4 11 ----------- 6
PAPOUT->D2 12 ----------- 4
SLCT->D1 13 ----------- 3
FEED 14*
ERROR->D0 15 ----------- 2
INIT 16*
SLCTIN 17*
GROUND 25 ----------- 25
Uwagi:
- Nie przyłączaj nigdzie igieł oznaczonych gwiazdką `*'.
- Dodatkowe uziemienie znajduje się na igłach 18,19,20,21,22,23 i 24.
- Jeśli używany przez ciebie kabel posiada metalowy ekran, to powinien on być połączony do metalowej wtyczki DB-25, ale tylko z jednej strony.
Ostrzeżenie: kabel ze źle wykonanymi połączeniami może fizycznie zniszczyć kartę kontrolora twojego komputera.. Bądź bardzo ostrożny i dwukrotnie sprawdzaj każde połączenie, aby nie narazić się na niepotrzebny ból głowy lub atak serca.
7.3 Okablowanie ethernetowe 10base2 (cienki koncentryk)
10base2 jest standardem okablowania ethernetowego wykorzystującego 52omowy kabel koncentryczny o średnicy ok 5mm. Łącząc ze sobą komputery za pomocą okablowania 10base2 należy pamiętać o kilku zasadach. Po pierwsze musisz mieć terminatory na obu końcach kabla. Terminator to opornik o oporniści 52 omy, zapewniający absorbję sygnału i zapobiegający jego odbiciom w momencie osiągnięcia końca kabla. Bez założonych terminatorów, może się okazać, że sieć nie jest pewna lub w ogóle nie nadaje się do pracy. Zwykle poszczególne komputery podłącza się do kabla z pomocą 'trójników'. Dlatego tak zbudowana sieć wygląda mniej więcej tak:
|==========T=============T=============T==========T==========|
| | | |
| | | |
----- ----- ----- -----
| | | | | | | |
----- ----- ----- -----
gdzie `|' oznacza terminator na każdym zakończeniu kabla,
`======' oznacza kabel koncentryczny, a
`T' oznaczają trójniki. Kabel łączący trójnik z komputerem
powinien być jak najkrótszy, najlepiej, gdy trójnik jest wpięty
bezpośrednio na kartę ethernetową komputera.
7.4 Skrętka (Twisted Pair Ethernet Cable)
Jeśli chcesz połączyć ze sobą tylko dwie karty ethernetowe przez skrętkę, to nie potrzebujesz żadnego koncentratora (hub'a). Schemat wykonania potrzebnego kabla znajdziesz w Ethernet-HOWTO
8. Spis stosowanych terminów
Poniższa lista zawiera najważniejsze z terminów wykorzystywanych w tym dokumencie.
- ARP
Skrót pochodzący od nazwy Address Resolution Protocol, określa sposób przyporządkowywania adresów IP adresom sprzętowym kart ethernetowych.
- ATM
Skrót pochodzący od nazwy Asynchronous Transfer Mode. Sieci ATM przesyłąją dane w pakietach o ustalonej długości. ATM jest technologią sieci pakietowych z komutacją kanałów.
- klient
Jest to zwykle oprogramowanie znajdujące się po tej samej stronie połączenia co użytkownik. Są oczywiście wyjątki od tej reguły, np. w przypadku X11 to właśnie serwer jest po stronie użytkownika, a klient jest to aplikacja wykonująca się na zdalnej maszynie. Klient to oprogramowanie lub końcówka systemu korzystająca z usług oferowanych przez serwer. W przypadku połączeń peer to peer (każdy z każdym) jakimi są slip lub ppp, za klienta przyjmuje się ten koniec połączenia, który je zainicjował, a drugi koniec nosi nazwę serwera.
- datagram
Datagram jest pakietem informacji, który prócz danych posiada również nagłówki zawierające adresy nadawcy i adresata. Jest podstawową jednostką przesyłania informacji w sieci IP. Często jest zastępowany słowem 'pakiet'.
- DLCI
DLCI oznacza skrót Data Link Connection Identifier, jest stosowany do jednoznacznej identyfikacji wirtualnego połączenia punkt-punkt przez Frame Relay. DLCI są zwykle przydzielane przez dostawcę usługi Frame Relay.
- Frame Relay
Frame Relay oznacza technologię sieciową przeznaczoną przede wszystkim do przenoszenia ruchu charaktyryzującego się nieregularnym natężeniem lub o sporadycznej charakterysyce. Koszty sieci są redukowane przez współdzielenie nośności sieci przez wielu użytkowników, przy założeniu, że każdy z nich generuje największy ruch o innej porze.
- Adres sprzętowy
Numer który jednoznacznie identyfikuje komputer na poziomie wartstwy fizycznej sieci (na poziomie warstwy nośnika). Przykładem takich adresów jest adres karty ethernetowej lub adres AX.25.
- ISDN
ISDN oznacza skrót Integrated Services Dedicated Network. ISDN umożliwia ujednolicony sposób dostarczania użytkownikom informacji głosowej lub cyfrowej. Technicznie ISDN jest siecią danych z komutacją kanałów.
- ISP
Jest to skrót Internet Service Provider (dostawca internetu). Są to organizacje lub firmy, które umożliwiają ludziom dostęp do Internetu,
- adres IP
Jest to numer jednoznacznie identyfikujący komputer w sieci TCP/IP. Adres składa się z 4rech bajtów i zwykle jest przedstawiany w tzw notacji dziesiętnej, czyli takiej, w której każdy bajt jest reprezentowany przez liczbę w systemie dziesiętnym, przy czym poszczególne bajty są rozdzielone znakiem '.'.
- MSS
Maximum Segment Size (MSS) oznacza maksymalny rozmiar porcji danych, która może zostać przesłana za jednym razem. Aby zapobiec lokalnej fragmentacji pakietów MSS powinno się równać MTU-nagłówek IP. [od korektorki: oryginalny tekst jest skrótem myślowym: 'equal MTU - IP header' według mnie powinno być: 'powinno się równać różnicy: wielkość MTU-wielkość nagłówka IP' (nagłówek IP to zwykle 40 bajtów)].
- MTU
Maximum Transmission Unit (MTU) to parametr, który określa maksymalny rozmiar datagramu, jaki może zostać przesłany przez interfejs, bez konieczności podziału go na mniejsze kawałki. MTU powinno być większe niż największy datagram jaki ma być przesyłany w jednym kawałku. Pamietaj, że ten parametr steruje jedynie lokalną fragmentacją pakietów. Może się zdarzyć, że któreś z połączeń leżących na trasie do celu będzie miało mniejsze MTU, a wtedy pakiet zostanie podzielony na kawałki w tym wąskim garde. Standartowymi wielkościami są 1500 dla kart ethernetowych, 576 dla interfejsu SLIP.
- trasa
trasa osnacza ścieżkę jaką przebywają datagramy wędrując od nadawcy do odbiorcy.
- serwer
Oprogramowanie lub system po przeciwnej stronie połączenia w stosunku do pozycji użytkownika. Serwer udostępnia pewne usługi jednemu lub więcej klientom. Mogą to być usługi typu ftp, nfs lub dns. W przypaku połączeń typu peer-to-peer (każdy z każdym) za serwer przyjmuje się ten koniec połączenia, który odpowiada na wezwanie, koniec rozpoczynający sesję nosi nazwę klienta.
- window
Okienko to największa liczba bajtów jaką w danej chwili odbiorca jest w stanie przyjąc.
9. Linux u dostawców Internetu ?
Jeśli jesteś zainteresowany wykorzystaniem Linuksa jako dostawca Internetu polecam stronę Linux ISP homepage. Zawiera listę odnośników do informacji, które mogą cię zainteresować.
10. Podziękowania
Chciałbym podziekować następującym ludziom, za ich wkład w powstanie tego dokumentu (kolejność nie ma żadnego znaczenia): Axel Boldt, Arnt Gulbrandsen, Gary Allpike, Cees de Groot, Alan Cox, Jonathon Naylor.
11. Copyright.
NET-3-HOWTO, informacja na temat instalacji i konfiguracji oprogramowania sieciowego pod Linuksem. Copyright (c) 1997 Terry Dawson.
To jest darmowe oprogramowanie, możesz je rozpowszechniać i modyfikować na zasadach zgodnych z licencją GNU General Public License wydaną przez Freee Software Foundation w wersji 2 (lub jak wolisz) późniejszej.
Ten program jest rozpowszechniany w nadziei, że bedzie użyteczny, lecz BEZ ŻADNYCH GWARANCJI; nawet bez gwarancji zdatności HANDLOWEJ lub UŻYTECZNOŚCI W KONKRETNYM ZASTOSOWANIU. Wiecej szczegółów w tekście GNU General Public License.
Wraz z tym programem powinieneś otrzymać kopię Licencji GNU General Public License, jeśli nie napisz do:
Free Software Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
12. Od tłumacza
To tłumaczenie zawiera mnóstwo różnego rodzaju błędów. Postanowiłem je udostępnić w takim stanie, ponieważ nie mam czasu na dokładne sprawdzenie tego dokumentu (a jest tego trochę), a szkoda mi trzymać to na dysku, czekając na Wolną Chwile (TM), która być może nigdy nie nadejdzie. Dlatego bedę wdzięczny za każdą, nawet najdrobniejszą uwagę.
Najnowszą wersję tego tłumaczenia znajdziesz tutaj: http://www.ippt.gov.pl/pub/Linux/JTZ/html/NET-3-HOWTO.pl.html.
piotr.pogorzelski@ippt.gov.pl
13. Od korektorki
Korekta, to było wyłapanie części literówek i złośliwości klawiatury oraz kilku niedotłumaczonych linijek tekstu. Pewnie jest tego jeszcze trochę dla następnej siwiejącej blondynki, która poczuje chęć się douczyć ;-)
30.11.2001 Basia Głowacka jastra@gdansk.sprint.pl
#
Hosting by: Hurra Communications Sp. z o.o.
Generated: 2007-01-26 18:02:23