|
Questa sezione presenta informazioni specifiche a Ethernet e IP. Queste sottosezioni sono state raggruppate assieme perché credo siano le più interessanti della sezione precedentemente intitolata "Informazioni specifiche alle singole tecnologie di rete". Chiunque abbia una rete locale (LAN) dovrebbe poterne beneficiare.
I nomi dei dispositivi Ethernet sono `eth0
', `eth1
', `eth2
'
eccetera. Alla prima scheda di rete riconosciuta del kernel viene assegnato
`eth0
', alle altre eventuali schede viene assegnato un nome in sequenza,
nell'ordine in cui vengono riconosciute.
Per default, il kernel Linux effettua il probing di un solo dispositivo Ethernet, è necessario passare degli argomenti dalla linea di comando al kernel per poter forzare il riconoscimento di ulteriori schede.
Per imparare come far lavorare correttamente sotto Linux le proprie schede ethernet, si può far riferimento al Ethernet-HOWTO.
Quando il kernel è compilato con le opzioni corrette per supportare la propria scheda ethernet, la sua configurazione è facile.
Tipicamente sarà necessario qualcosa di simile (di solito la maggior parte delle distribuzioni lo fa automaticamente, se configurata per supportare la scheda ethernet presente):
root# ifconfig eth0 192.168.0.1 netmask 255.255.255.0 up
root# route add -net 192.168.0.0 netmask 255.255.255.0 eth0
La maggior parte dei driver ethernet sono stati sviluppati da Donald Becker,
becker@CESDIS.gsfc.nasa.gov
.
Il nome della periferica EQL è `eql
'. Con la distribuzione standard
del kernel si può avere al massimo una periferica EQL per macchina.
Il protocollo EQL offre un mezzo per utilizzare connessioni multiple
punto-a-punto (come PPP, slip o plip) come se fossero un singolo collegamento
TCP/IP. Spesso è più economico usare vari collegamenti a bassa
velocità che installare un singolo collegamento ad alta velocità.
Opzioni di compilazione del kernel:
Network device support --->
[*] Network device support
<*> EQL (serial line load balancing) support
Per utilizzare questo meccanismo occorre che anche la macchina che sta all'altro capo del collegamento supporti EQL. Linux, i "Livingstone Portmaster" e altri recenti server a chiamata telefonica (dial-in server) supportano funzionalità compatibili.
Per configurare EQL occorrono gli strumenti EQL, che si posso prendere da: sunsite.unc.edu.
La configurazione è abbastanza intuitiva. Si inizia configurando l'interfaccia eql. A questa interfaccia, come a qualunque altra interfaccia di rete, viene assegnato un indirizzo IP ed una MTU usando il comando ifconfig. Per esempio:
ifconfig eql 192.168.10.1 mtu 1006
Poi occorre attivare manualmente ognuna delle linee che si intendono usare. Queste possono essere una qualsiasi combinazione di dispositivi di rete punto-a-punto. Come effettuare tali connessioni dipende dal tipo di collegamenti in gioco. Per avere ulteriori informazioni occorre riferirsi alle sezioni appropriate.
Infine occorre associare questi collegamenti seriali alla periferica EQL. Questa operazione si chiama "asservimento" (enslave) e viene effettuata con il comando eql_enslave come mostrato qui:
eql_enslave eql sl0 28800
eql_enslave eql ppp0 14400
Il parametro che viene passato è la velocità stimata, e non ha alcun effetto diretto: viene solo usato dal driver EQL per determinare la suddivisione dei pacchetti, in modo da poter aggiustare con precisione il bilanciamento delle linee mediante la scelta oculata di questo valore.
Per staccare una linea dal dispositivo EQL occorre usare il comando eql_emancipate, come qui mostrato:
eql_emancipate eql sl0
Per aggiungere informazioni di instradamento si fa come per qualunque altro
collegamento punto-a-punto, tranne che i percorsi devono riferirsi al
dispositivo eql
piuttosto che ai singoli collegamenti.
Di solito si usano comandi come il seguente:
root# route add default eql
Il driver EQL è stato scritto da Simon Janes, simon@ncm.com
.
Le caratteristiche di accounting del kernel Linux permettono di raccogliere ed analizzare alcuni dati di utilizzo della rete. I dati raccolti comprendono il numero di pacchetti e il numero di byte accumulati dal momento in cui le cifre sono state azzerate l'ultima volta. Si possono specificare una varietà di regole per raccogliere le cifre in categorie secondo le proprie finalità. Questa possibilità è stata rimossa a partire dal kernel 2.1.102, poiché il firewalling basato su `ipfwadm' è stato rimpiazzato da `ipfwchains'.
Opzioni di compilazione del kernel:
Networking options --->
[*] IP: accounting
Dopo aver ricompilato ed installato il kernel occorre usare il comando ipfwadm per configurare l'accounting IP. Si può scegliere tra diversi modi di dividere le informazioni di accounting. Ho scelto qui un semplice esempio di cosa può essere utile usare, bisognerebbe leggere la pagina del manuale di ipfwadm per avere ulteriori informazioni.
Scenario: una rete ethernet è collegata a Internet tramite una connessione PPP. Sulla ethernet c'è una macchina che offre svariati servizi, e interessa sapere quanto traffico viene generato da ftp e WWW, come pure il traffico totale TCP e UDP.
Si può usare a questo fine un insieme di comandi simile al seguente, riportato come script di shell:
#!/bin/sh
#
# Dimentica tutte le regole di accounting
ipfwadm -A -f
#
# assegna dei riferimenti simbolici
localnet=44.136.8.96/29
any=0/0
# Aggiungi le regole per il segmento ethernet locale
ipfwadm -A in -a -P tcp -D $localnet ftp-data
ipfwadm -A out -a -P tcp -S $localnet ftp-data
ipfwadm -A in -a -P tcp -D $localnet www
ipfwadm -A out -a -P tcp -S $localnet www
ipfwadm -A in -a -P tcp -D $localnet
ipfwadm -A out -a -P tcp -S $localnet
ipfwadm -A in -a -P udp -D $localnet
ipfwadm -A out -a -P udp -S $localnet
#
# Regole di default
ipfwadm -A in -a -P tcp -D $any ftp-data
ipfwadm -A out -a -P tcp -S $any ftp-data
ipfwadm -A in -a -P tcp -D $any www
ipfwadm -A out -a -P tcp -S $any www
ipfwadm -A in -a -P tcp -D $any
ipfwadm -A out -a -P tcp -S $any
ipfwadm -A in -a -P udp -D $any
ipfwadm -A out -a -P udp -S $any
#
# Stampa le regole
ipfwadm -A -l -n
#
I nomi `ftp-data' e `www' si riferiscono a voci di /etc/services
.
L'ultimo comando stampa tutte le regole di accounting e mostra i totali
raccolti.
Un punto importante da sottolineare quando si parla di accounting IP è che vengono incrementati i totali per tutte le regole che si applicano, cosicché per ottenere cifre relative alle differenza ci vuole un po' di matematica. Per esempio, se si vuol sapere quanto traffico non era ftp o www bisogna sottrarre i totali individuali dalla regola che si applica a tutte le porte.
root# ipfwadm -A -l -n
IP accounting rules
pkts bytes dir prot source destination ports
0 0 in tcp 0.0.0.0/0 44.136.8.96/29 * -> 20
0 0 out tcp 44.136.8.96/29 0.0.0.0/0 20 -> *
10 1166 in tcp 0.0.0.0/0 44.136.8.96/29 * -> 80
10 572 out tcp 44.136.8.96/29 0.0.0.0/0 80 -> *
252 10943 in tcp 0.0.0.0/0 44.136.8.96/29 * -> *
231 18831 out tcp 44.136.8.96/29 0.0.0.0/0 * -> *
0 0 in udp 0.0.0.0/0 44.136.8.96/29 * -> *
0 0 out udp 44.136.8.96/29 0.0.0.0/0 * -> *
0 0 in tcp 0.0.0.0/0 0.0.0.0/0 * -> 20
0 0 out tcp 0.0.0.0/0 0.0.0.0/0 20 -> *
10 1166 in tcp 0.0.0.0/0 0.0.0.0/0 * -> 80
10 572 out tcp 0.0.0.0/0 0.0.0.0/0 80 -> *
253 10983 in tcp 0.0.0.0/0 0.0.0.0/0 * -> *
231 18831 out tcp 0.0.0.0/0 0.0.0.0/0 * -> *
0 0 in udp 0.0.0.0/0 0.0.0.0/0 * -> *
0 0 out udp 0.0.0.0/0 0.0.0.0/0 * -> *
Il nuovo accounting IP è gestito mediante `IP Firewall Chains'.
Si può fare riferimento alla
home page di IP chains per ulteriori informazioni.
Tra le altre cose adesso è necessario usare ipchains al posto di
ipfwadm
per configurare le proprie regole.
(Da Documentation/Changes
nei sorgenti più recenti del kernel).
[È disponibile IP-Chains mini-HOWTO N.d.T.]
Ci sono alcune applicazioni dove è utile poter configurare diversi indirizzi IP associati ad un unica scheda di rete. I fornitori di accesso ad internet spesso usano questa funzionalità per la personalizzazione delle loro offerte di servizi ftp e WWW per i loro clienti. Si può fare riferimento a `IP-Alias mini-HOWTO' per maggiori informazioni.
Opzioni di compilazione del kernel:
Networking options --->
....
[*] Network aliasing
....
<*> IP: aliasing support
Dopo aver compilato ed installato il kernel con il supporto per l'IP
Aliasing, la configurazione è molto semplice. I nomi alternativi (alias)
vengono aggiunti a periferiche di rete virtuali associate all'interfaccia di
rete fisica. Esiste una semplice convenzione per l'assegnamento dei nomi a
queste periferiche, del tipo
<nomePeriferica>:<numeroPerifericaVirtuale>
, per esempio
eth0:0
, ppp0:10
. Si noti che l'interfaccia nome:numero può
essere configurata solo dopo aver configurato l'interfaccia
principale.
Assumiamo per esempio di avere una rete ethernet che porta due sottoreti IP contemporaneamente, e che si voglia che una macchina abbia accesso diretto ad entrambe le sottoreti; in questo caso si può usare qualcosa come:
root# ifconfig eth0 192.168.1.1 netmask 255.255.255.0 up
root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
root# ifconfig eth0:0 192.168.10.1 netmask 255.255.255.0 up
root# route add -net 192.168.10.0 netmask 255.255.255.0 eth0:0
Per rimuovere un alias basta aggiungere un carattere `-
' alla fine del
suo nome e riferirsi ad esso, così:
# ifconfig eth0:0- 0
Tutte le regole di instradamento associate a quell'alias verranno rimosse automaticamente.
Il Firewall IP e gli argomenti correlati sono trattati con maggior dettaglio nel Firewall-HOWTO. Le tecniche di firewall permettono di rendere sicura la propria macchina verso gli accessi di rete non autorizzati filtrando i pacchetti: i pacchetti di rete sono accettati oppure no in base agli indirizzi IP di partenza/destinazione. Ci sono tre classi di regole: filtro di ingresso (incoming), di uscita (outgoing) e passante (forwarding). Le regole di ingresso vengono applicate ai pacchetti che vengono ricevuti dalle interfacce di rete, le regole di uscita vengono applicate ai pacchetti che devono essere trasmessi da un'interfaccia. Le regole di filtro passante vengono applicate ai pacchetti che sono stati ricevuti ma non sono destinati a questa macchina, cioè i pacchetti che devono essere instradati.
Opzioni di compilazione del kernel:
Networking options --->
[*] Network firewalls
....
[*] IP: forwarding/gatewaying
....
[*] IP: firewalling
[ ] IP: firewall packet logging
La configurazione delle regole del firewall IP viene effettuata tramite il comando ipfwadm. Come ho accennato prima, non sono un esperto nel campo della sicurezza informatica; perciò, mentre l'esempio che sto per presentare è utilizzabile, consiglio di fare le proprie ricerche e sviluppare le proprie regole se la sicurezza è un problema importante.
Probabilmente l'uso più comune del firewall IP si ha quando la propria macchina Linux è usata come router e come filtro per proteggere la propria rete locale dall'accesso non autorizzato dall'esterno della rete.
La configurazione seguente è basata su di un contributo di Arnt
Gulbrandsen, <agulbra@troll.no>
.
L'esempio descrive la configurazione delle regole di firewall nella macchina Linux rappresentata in figura:
- -
\ | 172.16.37.0
\ | /255.255.255.0
\ --------- |
| 172.16.174.30 | Linux | |
NET =================| f/w |------| ..37.19
| PPP | router| | --------
/ --------- |--| Mail |
/ | | /DNS |
/ | --------
- -
I comandi seguenti risiederanno probabilmente in un file nella directory
rc
in modo da essere eseguiti automaticamente tutte le volte che il
sistema viene avviato. Ai fini della massima sicurezza, i comandi dovrebbero
essere eseguiti dopo aver configurato le interfacce di rete, ma prima di
attivarle, in modo da impedire a chiunque di accedere al calcolatore
mentre sta riavviandosi.
#!/bin/sh
# Azzera la tabella di 'Forward'
# Cambia il comportamento di default perché accetti i pacchetti.
#
/sbin/ipfwadm -F -f
/sbin/ipfwadm -F -p accept
#
# .. e lo stesso per le regole di entrata.
#
/sbin/ipfwadm -I -f
/sbin/ipfwadm -I -p accept
# Prima di tutto, chiudere l'interfaccia PPP
# Vorrei usare '-a deny' invece di '-a reject -y', ma non sarebbe
# possibile creare delle connessioni da questa interfaccia.
# Il -o fa sì che tutti pacchetti rifiutati siano registrati sul log.
# Questo spreca spazio su disco ma lascia informazione in casi di
# attacco o errore di configurazione.
#
/sbin/ipfwadm -I -a reject -y -o -P tcp -S 0/0 -D 172.16.174.30
# Rigetta subito i pacchetti chiaramente costruiti a scopo malevolo:
# niente dovrebbe provenire da indirizzi multicast/anycast/broadcast
#
/sbin/ipfwadm -F -a deny -o -S 224.0/3 -D 172.16.37.0/24
#
# e nulla proveniente dalla rete loopback deve apparire su un cavo
# di rete
/sbin/ipfwadm -F -a deny -o -S 127.0/8 -D 172.16.37.0/24
# Accetta connessioni SMTP e DNS entranti, ma solo verso il server
# di posta e di risoluzione dei nomi (name server)
#
/sbin/ipfwadm -F -a accept -P tcp -S 0/0 -D 172.16.37.19 25 53
#
# Il DNS usa anche UDP oltre a TCP, quindi bisogna permetterlo
# per le interrogazioni al nostro name server
#
/sbin/ipfwadm -F -a accept -P udp -S 0/0 -D 172.16.37.19 53
#
# ma non autorizzare risposte provenienti da porte
# pericolose, come NFS e le sue estensioni a cura di Larry MCVoy.
# Se si usa squid, aggiungere qui la sua porta.
#
/sbin/ipfwadm -F -a deny -o -P udp -S 0/0 53 \
-D 172.16.37.0/24 2049 2050
# risposte per le altre porte non privilegiate vanno bene
#
/sbin/ipfwadm -F -a accept -P udp -S 0/0 53 \
-D 172.16.37.0/24 53 1024:65535
# Rifiuta le connessioni entranti per identd
# Usare 'reject' così alla connessione viene notificato subito
# di non continuare. Altrimenti avremmo dei ritardi mentre identd
# aspetta il time out.
#
/sbin/ipfwadm -F -a reject -o -P tcp -S 0/0 -D 172.16.37.0/24 113
# Accetta le connessioni per alcuni servizi comuni dalle reti
# 192.168.64 e 192.168.65: sono amici e ci fidiamo.
#
/sbin/ipfwadm -F -a accept -P tcp -S 192.168.64.0/23 \
-D 172.16.37.0/24 20:23
# accetta e ritrasmetti tutto quello che viene dall'interno
#
/sbin/ipfwadm -F -a accept -P tcp -S 172.16.37.0/24 -D 0/0
# impedisci la maggior parte delle altre connessioni TCP entranti, e
# registrale sul log di sistema.
# (occorre aggiungere 1:1023 se ftp non funziona)
#
/sbin/ipfwadm -F -a deny -o -y -P tcp -S 0/0 -D 172.16.37.0/24
# ... e lo stesso per UDP
#
/sbin/ipfwadm -F -a deny -o -P udp -S 0/0 -D 172.16.37.0/24
Una buona configurazione del firewall è abbastanza difficile da raggiungere. Questo esempio dovrebbe essere un punto di partenza ragionevole. La pagina di manuale di ipfwadm offre un po' di assistenza nell'uso del programma. Se si intende configurare un firewall occorre essere sicuri di chiedere e di recuperare il maggior numero possibile di informazioni da fonti che si considerino affidabili. Occorre anche che qualcuno verifichi la configurazione dall'esterno.
Il nuovo firewall è gestito mediante `IP Firewall Chains'.
Si può fare riferimento alla
home page di IP chains per ulteriori informazioni.
Tra le altre cose adesso è necessario usare ipchains al posto di
ipfwadm
per configurare le proprie regole.
(Da Documentation/Changes
nei sorgenti più recenti del kernel).
[È disponibile IP-Chains mini-HOWTO N.d.T.]
Perché si dovrebbe aver bisogno di incapsulare i pacchetti IP in altri pacchetti IP? Deve sembrare una cosa molto strana se non si è mai vista prima una sua applicazione. Ok, ecco un paio di esempi di uso abbastanza comune dell'incapsulazione: gli indirizzi mobili (mobile-IP) e il multicast. Quello che probabilmente è l'uso più comune di questa tecnica, anche se probabilmente il meno noto, è la radio amatoriale.
Opzioni di compilazione del kernel:
Networking options --->
[*] TCP/IP networking
[*] IP: forwarding/gatewaying
....
<*> IP: tunneling
Le periferiche tunnel sono chiamate `tunl0
', `tunl1
' eccetera.
"Ma perché?". Ecco: l'instradamento convenzionale dei pacchetti IP richiede che una rete IP comprenda un indirizzo di rete ed una maschera di rete. Questo produce una serie di indirizzi contigui che possono essere instradati collettivamente da una singola voce di instradamento. Questo è molto comodo, ma significa che un particolare indirizzo può essere usato solo mentre si è connessi alla rete cui quell'indirizzo appartiene. Nella maggior parte di casi questo va bene, ma se si è un utente mobile della rete può essere difficile collegarsi sempre nello stesso posto. L'incapsulazione IP/IP (o tunneling IP) permette di scavalcare questa restrizione permettendo ai pacchetti destinati all'indirizzo IP dell'utente mobile di essere reimpacchettati e rediretti ad un altro indirizzo IP. Se si sa di doversi collegare ad un altro indirizzo IP per un certo tempo, si può predisporre un calcolatore sulla propria rete di appartenenza perché accetti i pacchetti per il vecchio indirizzo IP e li ridiriga all'indirizzo che si utilizzerà temporaneamente.
Come sempre, credo che un diagramma possa evitare un sacco di testo poco chiaro, perciò eccone qui uno:
192.168.1/24 192.168.2/24
- -
| ppp0 = ppp0 = |
| aaa.bbb.ccc.ddd fff.ggg.hhh.iii |
| |
| /-----\ /-----\ |
| | | // | | |
|---| A |------//---------| B |---|
| | | // | | |
| \-----/ \-----/ |
| |
- -
Il diagramma mostra un'altra ragione possibile per usare l'incapsulazione IP/IP: le reti private virtuali. Questo esempio presuppone che si abbiano due macchine, ciascuna con una semplice connessione telefonica alla rete, e ogni calcolatore ha un solo indirizzo IP. Dietro a queste due macchine ci sono delle reti locali private, configurate con gli indirizzi di rete riservati a tal fine. Supponiamo di voler permettere a tutti i calcolatori della rete A di collegarsi a qualsiasi calcolatore della rete B, come se fossero connessi normalmente a Internet tramite una regola di instradamento. L'incapsulazione IPIP permette di fare questo. Si noti che l'incapsulazione non risolve il problema di come far parlare le reti A e B con gli altri calcolatori di internet: per fare questo occorrono altri trucchi, come il mascheramento. L'incapsulazione di solito viene effettuata dalle macchine che funzionano da router.
Il router Linux `A
' dovrà essere configurato con uno script come
il seguente:
#!/bin/sh
PATH=/sbin:/usr/sbin
mask=255.255.255.0
remotegw=fff.ggg.hhh.iii
#
# configurazione Ethernet
ifconfig eth0 192.168.1.1 netmask $mask up
route add -net 192.168.1.0 netmask $mask eth0
#
# configurazione ppp0 (avvio del collegamento punto-a-punto,
# configura il percorso di default)
pppd
route add default ppp0
#
# configurazione della periferica Tunnel
ifconfig tunl0 192.168.1.1 up
route add -net 192.168.2.0 netmask $mask gw $remotegw tunl0
Il router `B
' dovrà essere configurato con uno script simile:
#!/bin/sh
PATH=/sbin:/usr/sbin
mask=255.255.255.0
remotegw=aaa.bbb.ccc.ddd
#
# configurazione Ethernet
ifconfig eth0 192.168.2.1 netmask $mask up
route add -net 192.168.2.0 netmask $mask eth0
#
# configurazione ppp0 (avvio del collegamento punto-a-punto,
# configura il percorso di default)
pppd
route add default ppp0
#
# configurazione della periferica Tunnel
ifconfig tunl0 192.168.2.1 up
route add -net 192.168.1.0 netmask $mask gw $remotegw tunl0
Il comando:
route add -net 192.168.1.0 netmask $mask gw $remotegw tunl0
significa: `Manda tutti i pacchetti destinati a 192.168.1.0/24
incapsulati entro un datagramma IPIP con indirizzo di destinazione
aaa.bbb.ccc.ddd
'.
Si noti che le configurazioni delle due macchine sono simmetriche.
Il dispositivo tunnel usa l'opzione `gw
' nell'informazione di
instradamento come destinazione del pacchetto IP incapsulante.
Tale macchina deve sapere come de-capsulare i pacchetti IPIP, in altre
parole deve anch'essa essere configurata con un dispositivo tunnel.
Non occorre aver bisogno di instradare un'intera rete. Si può per
esempio instradare un singolo indirizzo IP. In questo caso si
configurerà l'interfaccia tunl
sulla macchina remota con il suo
proprio indirizzo IP, mentre all'estremo A si userà un normale
instradamento di host (usando Proxy Arp), piuttosto che un'instradamento di
rete attraverso l'interfaccia tunnel. Si deve ridisegnare e modificare a
questo fine la configurazione precedente.
Adesso c'è un solo calcolatore `B
' che vuole comportarsi come se
fosse completamente connesso a Internet e anche parte della rete supportata
dall'host `A
':
192.168.1/24
-
| ppp0 = ppp0 =
| aaa.bbb.ccc.ddd fff.ggg.hhh.iii
|
| /-----\ /-----\
| | | // | |
|---| A |------//---------| B |
| | | // | |
| \-----/ \-----/
| anche: 192.168.1.12
-
Il router `A
' sarà così configurato tramite lo script:
#!/bin/sh
PATH=/sbin:/usr/sbin
mask=255.255.255.0
remotegw=fff.ggg.hhh.iii
#
# configurazione Ethernet
ifconfig eth0 192.168.1.1 netmask $mask up
route add -net 192.168.1.0 netmask $mask eth0
#
# configurazione ppp0 (avvio del collegamento punto-a-punto,
# configura il percorso di default)
pppd
route add default ppp0
#
# configurazione della periferica Tunnel
ifconfig tunl0 192.168.1.1 up
route add -host 192.168.1.12 gw $remotegw tunl0
#
# Proxy ARP per l'host remoto
arp -s 192.168.1.12 xx:xx:xx:xx:xx:xx pub
Il calcolatore Linux `B
' sarà configurato con:
#!/bin/sh
PATH=/sbin:/usr/sbin
#
# configurazione ppp0 (avvio del collegamento punto-a-punto,
# configura il percorso di default)
pppd
route add default ppp0
#
# configurazione della periferica Tunnel
ifconfig tunl0 192.168.1.12 up
route add -net 192.168.1.0 netmask $mask gw $remotegw tunl0
Questo tipo di configurazione è tipico per le applicazioni di Mobile-IP. In questo caso un singolo calcolatore vuole spostarsi in Internet e mantenere un singolo indirizzo IP per tutto il tempo. Nella sezione su Mobile-IP ci sono ulteriori informazioni su come affrontare in pratica questo problema.
Molte persone si connettono a Internet attraverso un semplice accesso telefonico. Quasi tutti quelli che hanno questo tipo di configurazione hanno solo un indirizzo IP destinato a loro dall'Internet Provider. Questo è di solito sufficiente per collegare una sola macchina alla rete. Il mascheramento IP (IP masquerading) è un trucco intelligente che permette di avere molte macchine che usino un singolo indirizzo IP, facendo in modo che i calcolatori aggiuntivi sembrino (da cui il termine "mascheramento") quello che ha il collegamento telefonico. C'è però un piccolo problema, ed è che la funzione di mascheramento funziona quasi sempre in una sola direzione, per cui i calcolatori mascherati possono chiamare all'esterno ma non possono accettare connessioni dall'esterno. Questo vuol dire che alcuni servizi di rete (ad esempio talk) non funzionano mentre altri, tra cui ftp, devono essere configurati per operare in modo passivo (PASV) per poter essere usati. Per fortuna i servizi più comuni, come telnet, WWW e irc funzionano perfettamente.
Opzioni di compilazione del kernel:
Code maturity level options --->
[*] Prompt for development and/or incomplete code/drivers
Networking options --->
[*] Network firewalls
....
[*] TCP/IP networking
[*] IP: forwarding/gatewaying
....
[*] IP: masquerading (EXPERIMENTAL)
Normalmente si avrà la propria macchina Linux collegata tramite una linea telefonica con slip o PPP, come se fosse un normale calcolatore isolato. Inoltre avrà un'altra periferica di rete attiva, probabilmente un'interfaccia ethernet, configurata usando uno degli indirizzi di rete riservati. I calcolatori da mascherare saranno su questa seconda rete. Ognuno di questi calcolatori userà l'indirizzo ethernet della macchina Linux configurato come proprio router.
Una tipica configurazione potrebbe apparire come la seguente:
- -
\ | 192.168.1.0
\ | /255.255.255.0
\ --------- |
| | Linux | .1.1 |
NET =================| masq |------|
| PPP/slip | router| | --------
/ --------- |--| host |
/ | | |
/ | --------
- -
I comandi più importanti per questa configurazione sono i seguenti:
# Instradamento per la ethernet
root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
#
# Instradamento di default per il resto della rete.
root# route add default ppp0
#
# Facciamo in modo che tutte le macchine sulla rete 192.168.1/24
# siano mascherate
root# ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0
Se siete minimalisti e non avete voglia di pigiare troppi tasti, come me, e la macchina mascherante ha due sole interfacce (per cui ogni pacchetto che vi transita dev'essere mascherato), il seguente comando sarà sufficiente:
root# /sbin/ipfwadm -F -a accept -m
Si possono trovare ulteriori informazioni sulla funzionalità di mascheramento IP di Linux su pagina dell'IP Masquerade. Inoltre un ben dettagliato documento circa il mascheramento è `IP-Masquerade mini-HOWTO'. Fornisce anche istruzioni su come configurare altri sistemi operativi per utilizzare un server di mascheramento linux).
Il "proxy trasparente" è una funzionalità che permette di ridirigere dei server o dei servizi destinati ad un'altra macchina verso server e servizi su questa stessa macchina. Di solito questo è utile quando si usa un calcolatore Linux come router che fa anche da server proxy. Si vuole in questo caso ridirigere tutte le connessioni dirette ad un dato servizio su macchine remote verso il server locale.
Opzioni di compilazione del kernel:
Code maturity level options --->
[*] Prompt for development and/or incomplete code/drivers
Networking options --->
[*] Network firewalls
....
[*] TCP/IP networking
....
[*] IP: firewalling
....
[*] IP: transparent proxy support (EXPERIMENTAL)
La configurazione delle capacità di proxy trasparente si effettua usando il comando ipfwadm.
Un esempio che potrebbe rivelarsi utile è il seguente:
root# ipfwadm -I -a accept -D 0/0 telnet -r 2323
Questo esempio fa sì che ogni tentativo di connettersi alla porta
telnet
(23) di qualunque host venga rediretto verso la porta 2323 di
questo calcolatore. Se viene fatto girare un servizio su tale porta, risulta
possibile fare il forward delle connessioni telnet, registrarle o fare
qualsivoglia altra operazione che soddisfi le proprie necessità.
Un esempio più interessante consiste nel redirigere tutto il traffico
http
verso una cache locale. D'altra parte, il protocollo usato dai
server proxy è diverso dall'http nativo: mentre un client che si
connette a www.server.com:80
chiederà la pagine
/path/page
, un client che si connette al proxy locale contatta
proxy.local.domain:8080
e richiede www.server.com/path/page
.
Per filtrare una richiesta http
attraverso il proxy locale, occorre
adattare il protocollo, tramite l'inserimento di un piccolo server, chiamato
transproxy
(è possibile trovarlo sulla rete). Si può
decidere di far andare transproxy
sulla porta 8081 e usare il
seguente comando:
root# ipfwadm -I -a accept -D 0/0 80 -r 8081
Il programma transproxy
quindi riceverà tutti i pacchetti che
dovrebbero raggiungere server esterni alla rete locale e li passerà
al proxy locale sistemando le differenze di protocollo.
Proprio nel momento in cui si credeva di aver iniziato a capire come funzionano le reti IP, le regole sono cambiate! IPv6 è l'abbreviazione usata per riferirsi alla versione 6 del protocollo internet. IPv6 è stato sviluppato principalmente per risolvere i timori della comunità Internet riguardo alla prossima saturazione dello spazio di indirizzi IP. Gli indirizzi IPv6 sono lunghi 16 byte (128 bit). IPv6 incorpora un certo numero di altri cambiamenti, principalmente semplificazioni, che renderanno le reti IPv6 più gestibili di quelle IPv4.
Linux contiene un'implementazione funzionante, ma non completa, del
protocollo IPv6 nella serie 2.1.*
dei kernel.
Chi vuole sperimentare questa nuova generazione di tecnologia Internet, o ha bisogno di essa, dovrebbe leggere il documento IPv6-FAQ, diponibile presso www.terra.net.
L'espressione "Mobile-IP" descrive l'abilità di un calcolatore di muovere la propria connessione di rete da un punto di Internet ad un altro senza cambiare il proprio indirizzo IP e senza perdere la connettività. Di solito, quando un calcolatore IP cambia il suo punto di connessione deve anche cambiare indirizzo IP. La mobilità IP risolve questo problema allocando un indirizzo IP fisso per il calcolatore mobile e usando l'incapsulazione IP (il tunneling) con instradamento automatico, per assicurarsi che i pacchetti destinati a tale calcolatore siano instradati all'indirizzo IP che sta usando al momento.
C'è un progetto attivo al fine di fornire un insieme completo di strumenti per la mobilità IP sotto Linux. Lo stato attuale del progetto e gli strumenti sviluppati si possono trovare alla home page del Mobile-IP per Linux.
Il multicast IP permette ad un numero arbitrario di host IP su reti IP diverse di avere instradati verso di loro simultaneamente i pacchetti IP. Questo meccanismo viene usato per distribuire su Internet materiale "broadcast", come le trasmissioni audio e video, o altre applicazioni innovative.
Opzioni di compilazione del kernel:
Networking options --->
[*] TCP/IP networking
....
[*] IP: multicasting
È richiesto a tal fine un pacchetto di programmi e un minimo sforzo di configurazione. Si può fare riferimento a Multicast-HOWTO per maggiori informazioni sul supporto al multicast in Linux.
La funzionalità di traduzione degli indirizzi di rete è in qualche modo il fratello maggiore standardizzato del mascheramento IP di Linux. Si possono trovare i dettagli nel RFC-1631 in un qualunque archivio di RFC. Il NAT offre delle funzionalità non fornite dal mascheramento dei pacchetti; queste capacità aggiuntive lo rendono molto più adatto all'uso nei progetti di router che facciano da firewall per gruppi di aziende e per installazioni su larga scala.
Una implementazione di prova del NAT per Linux 2.0.29 è stata
sviluppata da Michael Hasenstein,
Michael.Hasenstein@informatik.tu-chemnitz.de
. La documentazione e
l'implementazione di Michael si possono recuperare dalla
pagina web del `Linux IP Network Address'
I più recenti kernel 2.1.* includono parte della funzionalità NAT negli algoritmi di instradamento.
Il `traffic shaper' (limitatore di banda) è un driver per creare nuovi dispositivi di rete. Tali dispositivi sono caratterizzati da una limitazione del traffico consentito in base all'utente. Si basano sulle interfacce fisiche di rete per l'effettiva trasmissione e possono essere usati come percorsi di instradamento in uscita per il traffico di rete.
Il `traffic shaper' è stato introdotto a partire da Linux 2.1.15 e
portato sul Linux-2.0.36 a partire dalla patch 2.0.36-pre-patch-2
distribuita da Alan Cox autore del driver e manutentore di Linux-2.0.
Il `traffic shaper' può essere compilato solo come modulo e viene configurato tramite il programma shapecfg con comandi simili ai seguenti:
shapecfg attach shaper0 eth1
shapecfg speed shaper0 64000
Tale dispositivo può controllare solo l'ampiezza di banda del traffico in uscita, dato che i pacchetti sono trasmessi attraverso lo `shaper' secondo le tabelle di instradamento. Dunque una funzionalità di "instradamento secondo l'indirizzo sorgente" potrebbe aiutare a limitare lo spreco di banda da parte di specifici host usando un router Linux.
Linux-2.1 supporta già tale tipo di instradamento, se è
necessario su un Linux-2.0 si può utilizzare la patch di Mike McLagan,
presso ftp.invlogic.com
. Si può fare riferimento a
Documentation/networking/shaper.txt
per ulteriori informazioni sul
`traffic shaper'.
Se si desidera provare un limitatore (sperimentale) per i pacchetti in
entrata, c'è rshaper-1.01
(o una versione più recente),
da
ftp.systemy.it.
Le versioni più recenti di Linux-2.1 offrono un sacco di flessibilità nella gestione dell'instradamento. Sfortunatamente dovete aspettare la prossima versione di questo howto o andare a leggere i sorgenti del kernel.
La "rete digitale di servizi integrati" (Integrated Services Digital Network - ISDN) consiste in una serie di standard che definiscono una rete di trasmissione dati a commutazione di circuito per uso generale. Una "chiamata" ISDN crea un servizio di trasmissione dati punto-a-punto sincrono verso la destinazione. La rete ISDN in genere passa su una connessione ad alta velocità che viene poi suddivisa in un numero di canali discreti (i "canali B"), che portano effettivamente i dati dell'utente, e un "canale D" che viene usato per mandare le informazioni di controllo ai commutatori ISDN, per effettuare le chiamate e altre funzioni. In Australia, per esempio, ISDN può viaggiare su una connessione a 2 megabit per secondo che viene suddiviza in 30 canali B discreti da 64 kilobit per secondo e un canale D sempre da 64 kilobit. Qualunque numero di canali può essere usato in ogni momento e in ogni combinazione. Si possono per esempio effettuare 30 chiamate a 30 destinazioni diverse, ciascuna di queste a 64 Kbit, oppure 15 chiamate a 15 destinazioni, ciascuna da 128 Kbit (due canali per chiamata), oppure si può fare un numero minore di chiamate e lasciare il resto delle linee inattive. Un canale può essere usato per chiamate entranti o uscenti. L'intenzione originale di ISDN era quella di permettere alle aziende di telecomunicazione di fornire un singolo servizio dati che potesse portare sia la comunicazione telefonica (tramite la digitalizzazione della voce) sia i servizi dati verso le case e gli uffici degli utenti senza richiedere speciali modifiche alla configurazione.
Ci sono diversi modi per connettere il proprio computer ad un servizio ISDN. Un modo è quello di usare una perifericha chiamata "Adattatore di Terminale", che si inserisce nell'"Unità di Terminazione di Rete" che viene installata dalla propria compagnia di telecomucazioni quando consegna il servizio ISDN. Tale Adattatore di Terminale offre in uscita svariate interfacce seriali. Una di queste interfacce viene usata per dare comandi al fine di effettuare le chiamate e la configurazione, mentre le altre sono connesse alle interfacce di rete che, una volta connesse, useranno i circuiti dati. In questa situazione Linux lavora senza alcun bisogno di modifiche, basta trattare la porta dell'adattatore di terminale come se fosse una qualsiasi interfaccia seriale. Un'alternativa, che è quella per cui il supporto ISDN di Linux è stato progettato, è installare una scheda ISDN nella propria macchina Linux e permettere al software di sistema di gestire i protocolli ed effettuare le chiamate.
Opzioni di compilazione del kernel:
ISDN subsystem --->
<*> ISDN support
[ ] Support synchronous PPP
[ ] Support audio via ISDN
< > ICN 2B and 4B support
< > PCBIT-D support
< > Teles/NICCY1016PC/Creatix support
L'implementazione Linux di ISDN supporta un certo numero di schede ISDN diverse. Queste sono quelle elencate nelle opzioni di configurazione del kernel:
Alcune di queste schede richiedono, per funzionare, che venga loro scaricato del software aggiuntivo. C'è un programma separato che svolge questa funzione.
Maggiori dettagli su come configurare il supporto ISDN per Linux sono
disponibili nella directory /usr/src/linux/Documentation/isdn/
.
Una FAQ (Frequently Asked Questions) dedicata a isdn4linux
(ISDN per Linux) è disponibile presso
www.lrz-muenchen.de.
(Cliccando sulla bandiera inglese si ottiene la versione inglese).
Una nota su PPP. La suite di protocolli PPP funziona sia su linee seriali asincrone che sincrone. Il server PPP distribuito normalmente per Linux `pppd' funziona solo in modo asincrono. Se si vuole far girare i protocolli PPP sul proprio sevizio ISDN occorre una versione modificata a tal fine. I dettagli su dove trovare tale programma fanno parte della documentazione presentata qui sopra.
I nomi delle periferiche PLIP sono `plip0
', `plip1
e plip2
.
Opzioni di compilazione del kernel:
Networking options --->
<*> PLIP (parallel port) support
plip (Parallel Line IP), è come SLIP per il fatto che viene usato per avere una connessione di rete punto-a-punto tra due macchine, solo che è progettato per usare la porta parallela dei calcolatori invece della porta seriale (lo schema del cavo è incluso più avanti in questo stesso documento). Siccome è possibile trasmettere più di un bit per volta con la porta parallela, con plip si può ottenere una velocità di trasferimento dati più alta di quella che si ottiene con la porta seriale. Inoltre, anche le porte parallele più semplici possono essere usate, mentre per usare le porte seriali a velocità accettabili occorre comperare delle UART 16550AFN che sono relativamente più care. PLIP usa molto tempo macchina in confronto ad una connessione seriale e molto probabilmente non è una buona soluzione per chi può trovare delle schede ethernet economiche. PLIP ha però il grosso vantaggio di funzionare quando non si ha altro a disposizione, e di farlo abbastanza bene. Ci si può aspettare una velocità di trasferimento dati di 20 kB per secondo quando la connessione funziona a regime.
Il driver PLIP è in competizione con il driver per la stampante parallela per quanto riguarda l'accesso alla periferica fisica. Se si desidera utilizzare entrambi i driver bisogna compilarli sotto forma di modulo per poter scegliere quali interfacce parallele dedicare a PLIP e quali alla stampante. Si veda il Modules-HOWTO per avere ulteriori informazioni riguardo alla configurazione dei moduli.
Si noti che alcuni portatili usano delle porte che non funzionano con PLIP perché non permettono alcune combinazioni di segnali necessarie per il funzionamento di PLIP, ma che non vengono usate dalle stampanti.
L'interfaccia plip di Linux è compatibile con il packet-driver PLIP della Crynwyr, questo significa che si può connettere una macchina DOS ad una macchina Linux tramite plip, a patto che la macchina DOS abbia qualche tipo di software tcp/ip.
Nella serie 2.0 di kernel Linux le periferiche PLIP sono mappate sulle porte di I/O e sulle linee di interruzione in questo modo:
dispositivo indirizzo I/O IRQ
----------- ------------- -----
plip0 0x3BC 5
plip1 0x378 7
plip2 0x278 2
Se le porte parallele usate non corrispondono alle combinazioni qui sopra,
si può cambiare il numero di interrupt associato ad una porta tramite
il comando ifconfig usando il parametro `irq
'.
Bisogna assicurarsi di abilitare la generazione di interrupt sulla porta
stampante dalla configurazione del BIOS se si vuole usare PLIP.
Come alternativa, si possono specificare le opzioni `io=
' e `irq=
'
sulla linea di comando di insmod, se si usano i moduli. Ad esempio:
root# insmod plip.o io=0x288 irq=5
Il funzionamento di PLIP è controllato tramite due timeout, i cui valori di default probabilmente vanno bene nella maggior parte dei casi. Potrebbe essere necessario incrementare i valori nel caso si usi un elaboratore particolarmente lento, nel qual caso bisogna aumentare il valore di timeout dell'altro elaboratore. Esiste un programma, plipconfig, che permette di cambiare tali valori dei timer senza dover ricompilare il kernel; tale programma è presente in tutte le maggiori distribuzioni Linux.
Per configurare un interfaccia plip è necessario lanciare i seguenti comandi (o aggiungerli ai propri script di inizializzazione):
root# /sbin/ifconfig plip1 plip_locale pointopoint plip_remoto
root# /sbin/route add plip_remoto plip1
Nell'esempio viene usata la porta all'indirizzo di I/O 0x378;
plip_locale e plip_remoto sono i nomi o gli indirizzi IP usati
nella connessione PLIP. Personalmente uso metterli tra le voci del mio
/etc/hosts
:
# nomi per plip
192.168.3.1 plip_locale
192.168.3.2 plip_remoto
Il parametro pointopoint ha lo stesso significato che in SLIP, specifica cioè l'indirizzo della macchina all'altro capo della connessione.
In quasi tutti i casi si può trattare un'interfaccia plip come fosse un'interfaccia SLIP, eccetto che né dip né slattach possono o debbono venir usati.
Ulteriori informazioni su PLIP si possono trovare in `PLIP mini-HOWTO'.
Durante lo sviluppo delle versioni 2.1 del kernel, il supporto per la porta parallela è stato migliorato.
Opzioni di compilazione del kernel:
General setup --->
[*] Parallel port support
Network device support --->
<*> PLIP (parallel port) support
Il nuovo codice per PLIP si comporta come quello vecchio (usa gli stessi comandi ifconfig e route visti nella sezioni precedente) ma l'inizializzazione della periferica è diversa a causa del supporto per le porte parallele avanzate.
In modo simile a quanto accade per le schede Ethernet, il primo dispositivo
PLIP riconosciuto dal kernel viene chiamato `plip0'. La porta parallela
effettivamente utilizzata è una di quelle disponibili, come mostrato
in /proc/parport
. Ad esempio se sul proprio sistema è presente
una sola porta parallela, ci sarà una sola sottodirectory:
/proc/parport/0
.
Nel caso il proprio kernel non riconosca da sé la linea di interrupt
usata dalla porta, il comando `insmod plip
' non andrà a buon
fine. In questo caso sarà sufficiente scrivere il valore corretto in
/proc/parport/0/irq
e lanciare nuovamente insmod.
Informazioni esaurienti sulla gestione della porta parallela sono
disponibili nel file Documentation/parport.txt
nei sorgenti del
kernel.
I nomi delle periferiche PPP sono `ppp0
', `ppp1
eccetera.
I dispositivi sono numerati sequenzialmente, ove il primo di essi riceve
il numero `0
'.
Opzioni di compilazione del kernel:
Networking options --->
<*> PPP (point-to-point) support
La configurazione di PPP è coperta ad un buon livello di dettaglio nel documento PPP-HOWTO.
Se si è abbastanza fortunati da avere una connessione semi-permanente con internet e si desidera che la propria macchina ristabilisca automaticamente la connessione PPP quando questa viene interrotta, ecco un semplice trucco per riuscirci.
Configurare PPP in modo che possa essere avviato dall'utente root
tramite il seguente comando:
# pppd
Ci si assicuri di avere attivato l'opzione `-detach
' nel proprio
file /etc/ppp/options
. Poi si inserisca la linea seguente nel
proprio file /etc/inittab
, in fondo, dove si trovano le definizioni
per getty:
pd:23:respawn:/usr/sbin/pppd
Questa linea fa sì che il programma init faccia partire il programma pppd e lo controlli, facendolo ripartire automaticamente nel caso in cui termini.
Le periferiche SLIP sono chiamate `sl0
', `sl1
' eccetera, dove alla
prima periferica viene assegnato lo `0
', e alle altre i numeri successivi,
nell'ordine in cui vengono configurate.
Opzioni di compilazione del kernel:
Network device support --->
[*] Network device support
<*> SLIP (serial line) support
[ ] CSLIP compressed headers
[ ] Keepalive and linefill
[ ] Six bit SLIP encapsulation
SLIP (Serial Line Internet Protocol) permette di usare tcp/ip su una linea seriale, sia si tratti di una linea telefonica con collegato un modem, o una linea dedicata di qualche altro tipo. Naturalmente, per usare SLIP occorre accedere ad uno SLIP-server nella propria area. Molte università e molte aziende in tutto il mondo offrono accesso tramite SLIP.
SLIP usa la porta seriale del calcolatore per trasportare pacchetti IP. Per fare questo deve prendere controllo dell'interfaccia seriale. Già sappiamo che le periferiche SLIP si chiamano sl0, sl1 eccetera, ma come corrispondono questi nomi a quelli delle porte seriali? Il codice di rete usa una chiamata ioctl (I/O control) per trasformare una porta seriale in una periferica SLIP. Ci sono due programmi che svolgono questo compito, chiamati dip e slattach.
dip (Dialup IP) è un simpatico programma che può assegnare la velocità della porta seriale, dire al modem di chiamare l'altro estremo della connessione, autenticarsi nel server remoto e ascoltare i messaggi mandati dal server al fine di estrarre informazioni quale l'indirizzo IP. Il programma invoca poi le chiamate ioctl necessarie per trasformare l'interfaccia seriale in una porta SLIP. dip ha una potente funzionalità di "scripting", ed è questo che viene sfruttato per automatizzare la procedura di collegamento.
Si può trovare il programma su: sunsite.unc.edu.
Per installarlo, usare questi comandi:
user% tar xvzf dip337o-uri.tgz
user% cd dip-3.3.7o
user% vi Makefile
root# make install
Il Makefile
assume l'esistenza di un gruppo chiamato uucp,
ma questo può essere impostato a dip oppure a
SLIP, in base alla propria configurazione.
slattach, a differenza di dip, è un programma molto semplice, facile da usare, ma non così sofisticato come dip. Non ha la capacità di "scripting", e tutto quello che fa è configurare la porta seriale come interfaccia SLIP. Il programma assume che si abbia tutta l'informazione necessaria, e che la comunicazione seriale sia già stata stabilita prima di invocare slattach. Questo programma è ideale da usare quando si ha una connessione permanente con il proprio server, come un cavo fisico o una linea dedicata.
Conviene usare dip quando il collegamento verso il server SLIP è un modem telefonico, o qualche altro tipo di collegamanto temporaneo. Conviene usare slattach quando si ha una linea dedicata, o un cavo fisico, tra la propria macchina e il server, perché in questi casi non occorre nessuna azione speciale per far funzionare il collegamento. Vedere la sezione "connessione SLIP permanente" per avere ulteriori informazioni.
La configurazione di SLIP è molto simile alla configurazione di una interfaccia ethernet (vedere la sezione `Configurazione di un interfaccia ethernet', più sopra). Nonostante ciò, ci sono alcune differenze chiave.
Prima di tutto, le connessioni SLIP sono diverse dalle reti ethernet, in quanto ci sono sempre solo due calcolatori sulla rete, uno ad ogni estremo della connessione. A differenza della ethernet che è disponibile all'uso non appena passati i cavi, con SLIP, a seconda del tipo di collegamento che si usa, può essere necessario inizializzare la propria connessione di rete in qualche modo speciale.
Se si usa dip, questo non verrà solitamente effettuato all'avvio della macchina, ma qualche tempo dopo, quando si è pronti ad usare la connessione ed è possibile automatizzare questa procedura. Se si usa slattach, probabilmente si vorrà aggiungere una sezione al proprio file rc.inet1. Questo verrà descritto tra poco.
Ci sono due tipi principali di server SLIP: quelli che forniscono un indirizzo IP dinamico, e quello che lo forniscono statico. Quasi tutti i server SLIP chiederanno il nome utente e la password quando viene stabilita la connessione. dip può gestire automaticamente l'autenticazione.
Un server SLIP statico è quello con il quale si riceve un indirizzo
IP che è solo proprio. Ogni volta che ci si connette con il server, la
porta viene configurata con lo stesso indirizzo. Il server statico
risponderà alla chiamata del modem, probabilmente chiederà nome
utente e password, e poi instraderà tutti i pacchetti destinati
all'indirizzo corrispondente attraverso quella connessione. Se si ha un server
statico, probabilmente si desidererà mettere in /etc/hosts
le associazioni tra nome della macchina e indirizzo IP (che sarà noto).
Si dovrebbero anche sistemare altri file, cioè:
rc.inet2
, host.conf
, resolv.conf
,
/etc/HOSTNAME
ed rc.local
.
Si ricordi che quando si configura rc.inet1
non occorre aggiungere
alcun comando speciale per la connessione SLIP, poiché dip fa
già tutto il lavoro impegnativo di configurare l'interfaccia.
Occorrerà dare a dip le informazioni appropriate e lui
configurerà l'interfaccia da solo dopo aver detto al modem di stabilire
la chiamata e dopo aver autenticato il chiamante presso il server SLIP.
Se il server SLIP che si usa funziona così, allora si può passare direttamente alla sezione `Uso di Dip' per imparare come configurare il programma correttamente.
Un server SLIP dinamico è quello che assegna un indirizzo IP casualmente, da un insieme di indirizzi possibili, tutte le volte che ci si collega. Questo significa che non c'è alcuna garanzia che si avrà un particolare indirizzo ogni volta. Significa anche che lo stesso indirizzo può essere usato da qualcun altro dopo che si è terminata la connessione. L'amministratore di rete che ha configurato il server SLIP avrà ricevuto un gruppo di indirizzi da usare per il server: quando il server riceve una nuova chiamata sceglie il primo numero non utilizzato, guida l'utente nella procedura di autenticazione e poi stampa un messaggio di benvenuto che contiene l'indirizzo IP da usarsi per la durata della chiamata.
La configurazione per usare questo tipo di server è simile alla configurazione nel caso di un server statico, tranne per il fatto che occorre aggiungere un passo, durante il quale si ottiene l'indirizzo IP che il server ha scelto per questa sessione e si configura la periferica SLIP con quell'indirizzo.
Ancora una volta, dip si occupa dei dettagli laboriosi. Le nuove versioni sono abbastanza furbe da recuperare automaticamente l'indirizzo IP dal messaggio di benvenuto e salvarlo per configurare l'interfaccia SLIP, in aggiunta a gestire il processo di autenticazione.
Se il server SLIP che si usa funziona così, allora si può passare direttamente alla sezione `Uso di Dip' per imparare come configurare il programma correttamente.
Come spiegato in precedenza, dip è un programma potente che può semplificare ed automatizzare il processo di chiamare il server SLIP, autenticarsi, iniziare la connessione e invocare i comandi ifconfig e route appropriati per la propria interfaccia.
Fondamentalmente, per usare dip bisogna scrivere uno "script",
che è in pratica una lista di comandi comprensibili a dip che
dicono al programma come eseguire ogni azione che si vuole esegua.
Si veda il file sample.dip
che viene distribuito con dip
per avere un'idea di come funziona. dip è un programma
abbastanza potente, con molte opzioni; piuttosto che descriverle tutte qui,
si consiglia di guardare la pagina del manuale, il file README e gli esempi
che fanno parte del pacchetto dip.
Si noterà che lo script sample.dip
assume che si sta usando
un server SLIP statico, cioè che si conosca il proprio indirizzo IP in
anticipo. Per quando si usa un server dinamico, le versioni più recenti
di dip includono un comando che si può usare per leggere
automaticamente l'indirizzo che il server dinamico ha assegnato e configurare
di conseguenza la periferica SLIP.
L'esempio seguente è una versione modificata del file
sample.dip
che viene distribuito con dip337j-uri.tgz, ed
è probabilmente un buon punto di partenza.
Si può salvare questo script come /etc/dipscript
e modificarlo
per rispecchiare la propria configurazione.
#
# sample.dip Programma di supporto alla connessione telefonica.
#
# Questo file mostra (dovrebbe mostrare) come usare DIP
# Questo file dovrebbe funzionare con server dinamici tipo "Annex".
# Se si usa un server statico, usare il file "sample.dip" che
# è distribuito con il pacchetto dip337-uri.tgz.
#
#
# Version: @(#)sample.dip 1.40 07/20/93
#
# Author: Fred N. van Kempen, <waltje@uWalt.NL.Mugnet.ORG>
#
main:
# Predisporre il nome e indirizzo dell'altro estremo.
# La mia macchina remota si chiama 'xs4all.hacktic.nl' (== 193.78.33.42)
get $remote xs4all.hacktic.nl
# Assegnare la netmask su sl0 a 255.255.255.0
netmask 255.255.255.0
# Assegnare la porta specificata e la velocità.
port cua02
speed 38400
# Reinizializza il modem e la linea del terminale
# Questo causa problemi ad alcune persone!
reset
# Nota: i valori di errore predefiniti sono:
# 0 - OK
# 1 - CONNECT
# 2 - ERROR
#
# Si possono cambiare cercando "addchat()" usando "grep" su *.c...
# Prepara la chiamata
send ATQ0V1E1X4\r
wait OK 2
if $errlvl != 0 goto modem_trouble
dial 555-1234567
if $errlvl != 1 goto modem_trouble
# Siamo connessi. Autentichiamoci.
login:
sleep 2
wait ogin: 20
if $errlvl != 0 goto login_trouble
send MYLOGIN\n
wait ord: 20
if $errlvl != 0 goto password_error
send MYPASSWD\n
loggedin:
# Adesso siamo autenticati.
wait SOMEPROMPT 30
if $errlvl != 0 goto prompt_error
# Ordiniamo al server di andare in modo SLIP
send SLIP\n
wait SLIP 30
if $errlvl != 0 goto prompt_error
# Recuperiamo l'indirizzo IP dal server
# Si assume che dopo aver detto al server di passare in SLIP, questo
# stampi il nostro indirizzo.
get $locip remote 30
if $errlvl != 0 goto prompt_error
# Assegnamo i parametri operativi SLIP
get $mtu 296
# Assicuriamoci di dare "route add -net default xs4all.hacktic.nl"
default
# Salutiamo e via!
done:
print CONNECTED $locip ---> $rmtip
mode CSLIP
goto exit
prompt_error:
print TIME-OUT waiting for sliplogin to fire up...
goto error
login_trouble:
print Trouble waiting for the Login: prompt...
goto error
password:error:
print Trouble waiting for the Password: prompt...
goto error
modem_trouble:
print Trouble occurred with the modem...
error:
print CONNECT FAILED to $remote
quit
exit:
exit
L'esempio precedente assume che si stia chiamando un server SLIP dinamico.
Se si chiama un server statico, allora il file sample.dip
del
pacchetto dip337j-uri.tgz dovrebbe funzionare senza alcuna modifica.
Quando a dip viene passato il comando get $local, il programma cerca una stringa che assomigli ad un indirizzo IP all'interno del testo che arriva dall'altra estremità della connessione; cerca cioè delle stringhe di numeri separate dal carattere `.'. Questa modifica è stata inserita specificamente per i server SLIP dinamici, in modo da automatizzare il processo di lettura dell'indirizzo IP fornito dal server.
L'esempio precedente creerà automaticamente una regola di instradamento di default attraverso la connessione SLIP. Se questo non è quello che si desidera, per esempio perché si vuole avere un instradamento di default sulla propria ethernet, allora occorre rimuovere il comando default dallo script. Dopo che questo script ha terminato l'esecuzione, chi provasse ad invocare ifconfig vedrà che una periferica sl0 esiste nel sistema: si tratta della porta SLIP. Se occorre, si può modificare la configurazione di tale interfaccia manualmente, dopo che il comando dip ha terminato di girare, usando i comandi ifconfig e route.
Si noti che dip permette di scegliere un certo numero di protocolli
usando il comando mode
, il più comune esempio al proposito
è cSLIP, per abilitare la compressione di SLIP.
Si noti che entrambi gli estremi della connessione devono essere d'accordo,
e bisogna assicurarsi che qualunque protocollo si scelga questo corrisponda
con quello che viene attivato dal server.
L'esempio precedente è abbastanza robusto, e dovrebbe gestire correttamente la maggior parte degli errori. Si faccia riferimento alla pagina del manuale di dip per avere ulteriori informazioni. Si può, ovviamente, fare di più, come scrivere uno script che faccia cose come richiamare il server se non riesce a collegarsi entro un certo tempo limite, o provare una lista di server, se si ha accesso a più di uno di essi.
Se si possiede un cavo che collega due macchine, o se si è abbastanza fortunati da avere una linea dedicata o qualche altro tipo di connessione seriale permanente tra la propria macchina e un'altra, allora non occorre incontrare tutte le difficoltà relative all'uso di dip al fine di preparare la propria connessione. slattach è un programma molto semplice da usare che offre una funzionalità sufficiente a configurare la propria connessione.
Siccome la connessione sarà permanente, si vorranno aggiungere alcuni
comandi al proprio file rc.inet1
. In sintesi, tutto quello che bisogna
fare per avere una connessione permanente è assicurarsi di configurare
la periferica seriale alla velocità corretta, e far passare la seriale
alla modalità SLIP. slattach permette di fare questo lavoro
con un comando solo. Le seguenti linee vanno aggiunte al proprio file
rc.inet1
:
#
# Attiva una connessione SLIP statica su linea dedicata
#
# configura /dev/cua0 per 19.2kbps e cslip
/sbin/slattach -p cslip -s 19200 /dev/cua0 &
/sbin/ifconfig sl0 IPA.IPA.IPA.IPA pointopoint IPR.IPR.IPR.IPR up
#
# Fine configurazione SLIP statico.
Dove:
rappresenta il proprio indirizzo IP.
rappresenta l'indirizzo IP del calcolatore remoto.
slattach alloca la prima periferica SLIP disponibile all'interfaccia seriale specificata. slattach parte da sl0, quindi il primo comando slattach connette la periferica SLIP sl0 alla porta seriale specificata. La seguente invocazione collegherà sl1, eccetera.
slattach permette di configurare uno tra diversi protocolli
con l'argomento -p
. In questo caso viene usato SLIP oppure
cSLIP, a seconda se si voglia usare la compressione o no.
Nota: i due capi della connessione devono essere d'accordo se usare o meno
la compressione.
Se si possiede una macchina, magari connessa in rete, alla quale si vuole che altri si connettano telefonicamente per accedere ai propri servizi di rete, allora occorre configurare la propria macchina come un server. Se si vuole usare SLIP come protocollo seriale, ci sono attualmente tre possibilità per configurare la propria macchina come server SLIP. Personalmente preferirei la prima possibilità che sto per introdurre (sliplogin), in quanto sembra essere la più semplice da configurare e capire. Presenterò in ogni caso un'introduzione a ciascun metodo, in modo da permettere a tutti di fare la propria scelta.
sliplogin è un programma che può essere usato al posto della normale shell di login per gli utenti SLIP che devono convertire il terminale seriale in una linea di comunicazione SLIP. Il programma permette di configurare la propria macchina Linux come un server di indirizzi statici (dove gli utenti ricevono lo stesso indirizzo IP tutte le volte che si connettono) oppure come un server di indirizzi dinamici (dove gli utenti ricevono un indirizzo che puoò non essere lo stesso della volta precedente).
Il chiamante si collegherà come si fa per il processo standard di login:
fornendo il proprio nome e utente e la password; ma dopo aver autenticato
l'utente, invece di una shell il sistema eseguirà sliplogin.
Il programma cercherà poi nel suo file di configurazione
(/etc/slip.hosts
) una voce che corrisponda al nome di login
dell'utente. Se tale voce viene trovata, la linea viene configurata ad 8 bit
e la "disciplina di linea" viene convertita a quella di SLIP.
Quando questo processo è completo, viene svolta l'ultima parte della
configurazione, nella quale sliplogin invoca uno script di shell che
configura l'interfaccia SLIP con i valori IP appropriati: indirizzo, maschera
di rete e informazioni di instradamento.
Lo script viene di solito chiamato /etc/slip.login
, ma si possono
creare script personalizzati per gli utenti che hanno bisogno di
un'inizializzazione particolare, come si fa con getty. Questi script si
chiameranno /etc/slip.login.loginname
e verranno eseguiti al posto
di quello di default per gli utenti con esigenze particolari.
Ci sono tre o quattro file che occorre configurare perché sliplogin funzioni; mostrerò ora come ottenere il software e come ciascuno di questi file viene configurato. I file coinvolti sono:
/etc/passwd
, per gli account degli utenti telefonici./etc/slip.hosts
, per fornire le informazioni specifiche
a ciascun utente./etc/slip.login
, che gestisce la configurazione
dell'instradamento per l'utente./etc/slip.tty
, necessario solo se il server viene
configurato per l'allocazione dinamica degli indirizzi. Tale file
contiene una tabella di indirizzi per l'allocazione./etc/slip.logout
, contiene i comandi per fare pulizia
dopo che un utente ha messo giù o si è scollegato.
È probabile che il pacchetto sliplogin sia già installato come parte della propria distribuzione, se questo non accade, sliplogin si può trovare su: sunsite.unc.edu. Il pacchetto contiene il sorgente, dei binari precompilati e la pagina del manuale.
Per assicurarsi che solo gli utenti autorizzati possano eseguire il programma
sliplogin, bisognerebbe aggiungere una voce simile alla seguente nel
proprio file /etc/group
:
..
slip::13:radio,fred
..
Quando si installa il pacchetto sliplogin, il Makefile
cambierà il gruppo del programma sliplogin in modo che sia
slip
. Questo significa che solo gli utenti che appartengono a tale gruppo
saranno in grado di eseguire il programma. L'esempio precedente permetterebbe
solo agli utenti radio
e fred
di eseguire sliplogin.
Per installare gli eseguibili nella directory /sbin
e la pagina
del manuale nella sezione 8, si fa così:
# cd /usr/src
# gzip -dc .../sliplogin-2.1.1.tar.gz | tar xvf -
# cd sliplogin-2.1.1
# <..si modifichi il Makefile se non si usano le shadow password..>
# make install
Se si vogliono ricompilare gli eseguibili prima di installare, si aggiunga
un make clean
prima del make install
. Se si vogliono installare
gli eseguibili in qualche altra directory, occorre modificare la regola
install del Makefile
.
Si legga il file README
del pacchetto per ulteriori informazioni.
/etc/passwd
per gli host SlipDi solito si creano dei nomi utente speciali in /etc/passwd
per gli
utenti Slip. Una convenzione seguita comunemente consiste nell'usare
il nome del calcolatore chiamante preceduta da una `s' maiuscola.
Quindi, per esempio, se il calcolatore chiamante si chiama radio
la voce in /etc/passwd
sarà simile a questa:
Sradio:FvKurok73:1427:1:radio SLIP login:/tmp:/sbin/sliplogin
In effetti, non ha nessuna importanza come viene chiamato l'utente; basta che sia significativo per chi amministra il sistema.
Nota: il chiamante non ha bisogno di una directory home, in quanto non
usufruirà di un interprete di comandi sulla macchina server,
perciò /tmp
è una buona scelta. Si noti anche che il
programma sliplogin viene usato al posto della shell di login.
/etc/slip.hosts
Il file /etc/slip.hosts
è quello che viene letto da
sliplogin alla ricerca di voci corrispondenti al nome di login, al fine
di ottenere i dettagli di configurazione per questo calcolatore chiamante.
Questo è il file in cui si specificano l'indirizzo IP e la maschera di
rete da assegnare al chiamante e che saranno configurati per questo uso.
Due voci esemplificative per due calcolatori, uno con configurazione
statica (radio
) e uno con configurazione dinamica (albert
)
sono le seguenti:
#
Sradio 44.136.8.99 44.136.8.100 255.255.255.0 normal -1
Salbert 44.136.8.99 DYNAMIC 255.255.255.0 compressed 60
#
Le voci in /etc/slip.hosts
consistono dei seguenti campi:
DYNAMIC
, allora l'indirizzo sarà allocato in base alle informazioni contenute nel file /etc/slip.tty
, presentato più avanti.
Nota: occorre usare almeno la versione 1.3 di sliplogin perché
l'assegnazione dinamica funzioni.normal
" e
"compressed
".
Nota: per i campi 2 e 3 si possono usare sia i nomi degli host che gli indirizzi IP in notazione decimale. Se si usano i nomi, questi nomi devono essere risolubili, altrimenti lo script fallirà quando verrà invocato. Si può verificare se il nome viene risolto provando a fare telnet verso il nome: se si riceve il messaggio `Trying nnn.nnn.nnn...', allora il nome viene correttamente risolto; se si riceve il messaggio `Unknown host', il nome non viene risolto. Se il nome non viene risolto bisogna usare l'indirizzo in notazione decimale con punti oppure bisogna sistemare la configurazione del risolutore (si veda la sezione sulla risoluzione dei nomi).
I modi SLIP più comuni sono:
per abilitare il normale modo SLIP non compresso.
per abilitare la compressione degli header con l'algoritmo di van Jacobsen (cSLIP).
Ovviamente, questi due modi sono mutuamente esclusivi: si può usare uno o l'altro. Per ulteriori informazioni sulle opzioni disponibili si vedano le pagine del manuale.
/etc/slip.login
.Quando sliplogin ha trovato una voce corretta in
/etc/slip.hosts
, proverà ad eseguire il file
/etc/slip.login
per assegnare indirizzo e maschera di rete
all'interfaccia SLIP.
Il file /etc/slip.login
di esempio distribuito con il pacchetto
sliplogin assomiglia al seguente:
#!/bin/sh -
#
# @(#)slip.login 5.1 (Berkeley) 7/1/90
#
# file di login generico per una linea SLIP
# sliplogin lo invoca con i seguenti parametri:
# $1 $2 $3 $4, $5, $6 ...
# SLIPunit velocità pid arcomenti da slip.hosts
#
/sbin/ifconfig $1 $5 pointopoint $6 mtu 1500 -trailers up
/sbin/route add $6
arp -s $6 <hw_addr> pub
exit 0
#
Si noterà che questo script usa i normali comandi ifconfig e route per configurare l'indirizzo dell'interfaccia, l'indirizzo remoto e la sua maschera di rete, e per creare un instradamento per il calcolatore remoto attraverso l'interfaccia SLIP. Questi compiti sono gli stessi che vanno svolti se si usa il comando slattach.
Si noti anche l'uso del Proxy ARP per assicurarsi che altri host
sulla stessa ethernet del server siano in grado di raggiungere il calcolatore
chiamante.
Il campo <hw_addr>
dovrebbe essere l'indirizzo hardware della
scheda ethernet del server. Se il server non è su una rete ethernet
questa linea può essere rimossa.
/etc/slip.logout
.Quando cade la linea ci si vuole assicurare che la periferica seriale ritorni
al suo stato normale, in modo che altri possano collegarsi correttamente.
Questo compito viene svolto tramite il file /etc/slip.logout
.
Questo file ha un formato abbastanza semplice e viene chiamato con
gli stessi argomenti di /etc/slip.login
.
#!/bin/sh -
#
# slip.logout
#
/sbin/ifconfig $1 down
arp -d $6
exit 0
#
Tutto quello che fa è disattivare l'interfaccia, il che causerà la rimozione delle informazioni di instradamento associate. Lo script usa anche il comando arp per rimuovere le informazioni di proxy arp. Ancora una volta, non occorre il comando arp nello script se il server non ha una porta ethernet.
/etc/slip.tty
.Se si usa l'allocazione dinamica degli indirizzi IP (se qualche host è
configurato con la parola chiave DYNAMIC
in /etc/slip.hosts
), allora bisogna configurare il file /etc/slip.tty
perché elenchi quali indirizzi sono assegnati
alle porte. Questo file occorre solo se si vuole che il proprio server allochi
dinamicamente gli indirizzi agli utenti.
Il file è una tabella che elenca le periferiche di tipo tty che supportano le connessioni SLIP entranti e gli indirizzi IP che devono essere assegnati agli utenti che si collegano su quelle porte.
Il suo formato è il seguente:
# slip.tty mappatura terminale -> indirizzo IP per lo SLIP dinamico
# formato: /dev/tty?? xxx.xxx.xxx.xxx
#
/dev/ttyS0 192.168.0.100
/dev/ttyS1 192.168.0.101
#
Quello che questa tabella dice è che gli utenti che chiamano su
/dev/ttyS0
e che hanno l'indirizzo assegnato a DYNAMIC
in
/etc/slip.hosts
, devono ricevere l'indirizzo 192.168.0.100
.
In questo modo occorre allocare solo un indirizzo per porta per tutti gli utenti che non hanno bisogno di un indirizzo dedicato. Questo aiuta a tenere al minimo il numero di indirizzi necessari, per evitare sprechi.
Lasciatemi dire fin dall'inizio che alcune delle informazioni seguenti vengono dalle pagine del manuale di dip, dove è spiegato brevemente come far girare Linux come server SLIP. Bisogna anche fare attenzione al fatto che le informazioni seguenti si basano sul pacchetto dip337o-uri.tgz, e probabilmente non si applicano ad altre versioni di dip.
dip offre un modo operativo "di input", nel quale trova
automaticamente in /etc/diphosts
la voce corrispondente all'utente che lo ha chiamato, e configura la porta seriale come connessione
SLIP in base alle informazioni che trova nel file.
Questo modo di inpupt viene attivato chiamando il programma dip
come diplogin. Per usare dip come server SLIP, perciò,
basta creare degli account che usino diplogin come shell.
La prima cosa da fare è creare un link simbolico come segue:
# ln -sf /usr/sbin/dip /usr/sbin/diplogin
Poi occorre aggiungere le voci ai file /etc/passwd
ed
/etc/diphosts
. Le voci da creare sono fatte come
segue.
Per configurare Linux come server SLIP con dip, occorre creare gli account SLIP per gli utenti, dove il comando dip è usato in modalità input come shell. Una convenzione suggerita è quella di usare una `S' maiuscola all'inizio dei nomi di account SLIP.
Una voce esemplificativa in /etc/passwd
per un utente
SLIP è la seguente:
Sfredm:ij/SMxiTlGVCo:1004:10:Fred:/tmp:/usr/sbin/diplogin
^^ ^^ ^^ ^^ ^^ ^^ ^^
| | | | | | \__ diplogin come shell
| | | | | \_______ directory home
| | | | \____________ nome dell'utente
| | | \_________________ group ID
| | \_____________________ user ID
| \_______________________________ password crittata
\__________________________________________ nome utente slip
Dopo che l'utente si è collegato, il programma login,
dopo aver autenticato l'utente, eseguirà il comando diplogin.
dip, quando viene invocato con il nome di diplogin sa
che deve assumere di essere usato come shell dell'utente. La prima cosa
che fa quando viene invocato come diplogin è usare
la funzione getuid() per sapere la UID dell'utente che l'ha invocato.
Poi cerca in /etc/diphosts
la prima voce che corrisponde o al nome
della periferica che ha ricevuto la chiamata oppure al nome utente, e si
configura di conseguenza. Si può creare un server che si comporti
come server statico per alcuni utenti e come server dinamico per gli
altri, creando una voce nel file diphosts
per i primi e lasciando la configurazione di default per i secondi.
dip, quando chiamato in "modo input" aggiunge automaticamente una voce `Proxy-ARP', per cui non occorre preocuparsi di svolgere questo compito manualmente.
/etc/diphosts
/etc/diphosts
viene usato da dip per recuperare le
informazioni di configurazione per i calcolatori remoti. Tali
calcolatori possono essere utenti che si collegano telefonicamente
a questa macchina linux, oppure macchine che vengono chiamate da
questa.
Il formato generale per /etc/diphosts
è il seguente:
..
Suwalt::145.71.34.1:145.71.34.2:255.255.255.0:SLIP uwalt:CSLIP,1006
ttyS1::145.71.34.3:145.71.34.2:255.255.255.0:Dynamic ttyS1:CSLIP,296
..
I campi sono:
nome di login
: come ritornato da getpwuid(getuid()), o il
nome del terminale.inutilizzato
: compatibile con /etc/passwdindirizzo remoto
: indirizzo IP dell'host chiamante, numerico
o nomeindirizzo locale
: indirizzo IP di questa macchina, numerico
o nomeNetmask
: in notazione decimale con puntiCommento
: si scriva quello che si vuoleprotocollo
: Slip, CSlip ecceteraMTU
: numero decimaleUn esempio di voce di /etc/net/diphosts
relativa ad un utente
SLIP remoto potrebbe essere:
Sfredm::145.71.34.1:145.71.34.2:255.255.255.0:SLIP uwalt:SLIP,296
che specifica una connessione SLIP con un indirizzo remoto di 145.71.34.1 e una MTU di 296. Oppure:
Sfredm::145.71.34.1:145.71.34.2:255.255.255.0:SLIP uwalt:CSLIP,1006
specifica una connessione SLIP con un indirizzo remoto di 145.71.34.1 e una MTU di 1006.
Perciò, tutti gli utenti ai quali si vuole dare un indirizzo IP
statico avranno una voce corrispondente in /etc/diphosts
, mentre chi
deve ricevere un indirizzo dinamico associato alla porta che viene chiamata
deve avere una voce associata alla periferica invece che al suo nome.
Bisogna ricordarsi di creare almeno una voce per ciascuna periferica
tty
alla quale gli utenti possono connettersi telefonicamente, per
assicurarsi che sia sempre disponibile una configurazione appropriata
indipendentemente da quale modem riceva la chiamata.
Quando un utente si collegherà, riceverà una normale richiesta
di login e password, alla quale risponderà con il proprio nome utente
e la propria password. Se questi saranno corretti non si vedranno altri
messaggi e sarà sufficiente che ai due capi della connessione si passi
in modo SLIP per avere una connessione funzionante configurata con i parametri
del file diphosts
.
Matt Dillon <dillon@apollo.west.oic.com>
ha scritto
un pacchetto che non solo permette le connessioni SLIP entranti, ma anche
quelle uscenti. Il pacchetto di Matt è una combinazione di piccoli
programmi e di script che gestiscono le connessioni. Occorre avere
tcsh installata, perché almeno uno degli script usa
questa shell. Matt fornisce nel pacchetto una copia binaria dell'utility
expect, perché anch'essa è richiesta da uno degli script.
Probabilmente occorrerà un po' di esperienza con expect
per far funzionare il pacchetto a proprio piacimento, ma non conviene
lasciarsi intimidire da ciò.
Matt ha scritto un buon insieme di istruzioni di installazione nel file README, perciò non le ripeterò qui.
Il pacchetto dSLIP si può ottenere dal suo sito ftp:
apollo.west.oic.com
/pub/linux/dillon_src/dSLIP203.tgz
oppure da:
sunsite.unc.edu
/pub/Linux/system/Network/serial/dSLIP203.tgz
L'unica attenzione da porre è che occorre leggere il file
README
e creare le voci in /etc/passwd
ed
/etc/group
prima di fare make
install
.
Hosting by: hurra.com
Generated: 2007-01-26 17:56:13