
Linux - podrêcznik administratora sieci

Olaf Kirch, Terry Dawson

Tytu³ orygina³u: Linux Network Administrator’s Guide, Second Edition
T³umaczenie: Krzysztof £abanowski


 Wydawnictwo RM, Warszawa 2000
Authorized translation of the English edition 2000 O’Reilly and Associates, Inc. This translation is published and sold by permission of O’Reilly and Associates, Inc., the owner of all rights to publish and sell the same.

Wydawnictwo RM, 00-987 Warszawa 4, skr. poczt. 144
rm@rm.com.pl
www.rm.com.pl

Zezwala siê na kopiowanie, drukowanie, rozpowszechnianie i modyfikowanie dokumentu elektronicznego na warunkach licencji GNU Free Documenation License w wersji 1.1 lub jakiejkolwiek nowszej wersji opublikowanej przez Free Software Foundation. 33, 1034 Tre¶æ licencji znajduje siê w dodatku C na koñcu ksi±¿ki. 
Wszystkie nazwy handlowe i towarów wystêpuj±ce w niniejszej publikacji s± znakami towarowymi zastrze¿onymi lub nazwami zastrze¿onymi odpowiednich firm odno¶nych w³a¶cicieli.
Nazwy i adresy firm, nazwiska i adresy osób, nazwy towarów i inne dane wykorzystane w przyk³adach s± fikcyjne i jakakolwiek zbie¿no¶æ z rzeczywisto¶ci± jest wy³±cznie przypadkowa.
Wydawnictwo RM do³o¿y³o wszelkich starañ, aby zapewniæ najwy¿sz± jako¶æ tej ksi±¿ce. Jednak¿e nikomu nie udziela ¿adnej rêkojmi ani gwarancji. Wydawnictwo RM nie jest w ¿adnym przypadku odpowiedzialne za jak±kolwiek szkodê (³±cznie ze szkodami z tytu³u utraty zysków zwi±zanych z prowadzeniem przedsiêbiorstwa, przerw w dzia³alno¶ci przedsiêbiorstwa lub utraty informacji gospodarczej) bêd±c± nastêpstwem korzystania z informacji zawartych w niniejszej publikacji nawet, je¶li Wydawnictwo RM zosta³o zawiadomione o mo¿liwo¶ci wyst±pienia szkód. 

ISBN   83-7243-116-7

Redaktor prowadz±cy: Danuta Cyrul
Redakcja: Irmina Pêgierska
Korekta: Miros³awa Szymañska
Opracowanie graficzne ok³adki wed³ug orygina³u: Gra¿yna Jêdrzejec
Redaktor techniczny: Beata Donner-Soska
Sk³ad: Marcin Fabijañski
Druk i oprawa:  Oficyna Wydawnicza READ ME - Drukarnia w £odzi

Wydanie I
10 9 8 7 6 5 4 3 2 1

Spis tre¶ci
Spis tre¶ci
Wstêp	XI
Po co i dla kogo jest ta ksi±¿ka	XII
¬ród³a informacji	XIII
Standardy systemów plików	XVIII
Standardowa podstawa Linuksa	XVIII
O tej ksi±¿ce	XIX
Oficjalna wersja drukowania	XX
Przegl±d tre¶ci	XXII
Konwencje zastosowane w tej ksi±¿ce	XXIII
Zg³aszanie uwag	XXIV
Podziêkowania	XXV
Rozdzia³ 1:?Wprowadzenie do sieci	1
Historia	1
Sieci TCP/IP	2
Sieci UUCP	12
Sieæ w Linuksie	13
Utrzymywanie systemu	15
Rozdzia³ 2:?Wybrane problemy sieci TCP/IP	19
Interfejsy sieciowe	19
Adresy IP	20
Rozwi±zywanie adresów	22
Ruting IP	23
Internetowy protokó³ komunikatów kontrolnych (ICMP)	28
Rozwi±zywanie nazwy hosta	29
Rozdzia³ 3:?Konfigurowanie sprzêtu sieciowego	31
Konfigurowanie j±dra	34
Wycieczka po urz±dzeniach sieciowych Linuksa	40
Instalowanie Ethernetu	41
Sterownik PLIP	44
Sterowniki PPP i SLIP	46
Inne typy sieci	46
Rozdzia³ 4:?Konfigurowanie urz±dzeñ szeregowych	47
Oprogramowanie komunikacyjne do po³±czeñ modemowych	47
Wprowadzenie do urz±dzeñ szeregowych	48
Dostêp do urz±dzeñ szeregowych	49
Urz±dzenia szeregowe	52
U¿ywanie narzêdzi konfiguracyjnych	53
Urz±dzenia szeregowe i monit login:	57
Rozdzia³ 5:?Konfigurowanie sieci TCP/IP	61
Montowanie systemu plików /proc	62
Instalowanie plików binarnych	62
Ustalanie nazwy hosta	63
Przypisywanie adresu IP	63
Tworzenie podsieci	64
Tworzenie plików hosts i networks	65
Konfigurowanie interfejsu dla IP	66
Wszystko o ifconfig	74
Polecenie netstat	77
Sprawdzanie tablic ARP	80
Rozdzia³ 6:?Us³ugi nazewnicze i konfigurowanie resolvera	83
Biblioteka resolvera	84
Jak dzia³a DNS	90
Eksploatacja named	98
Rozdzia³ 7:?IP ³±cza szeregowego	113
Wymagania ogólne	113
Dzia³anie SLIP-a	114
Korzystanie z sieci prywatnych	116
Korzystanie z polecenia dip	117
Dzia³anie w trybie serwera	122
Rozdzia³ 8:?Protokó³ punkt-punkt	125
PPP w Linuksie	126
Eksploatacja pppd	127
U¿ywanie plików opcji	128
Stosowanie chat do automatycznego dzwonienia	129
Opcje konfiguracyjne IP	132
Opcje sterowania ³±czem	135
Uwagi na temat bezpieczeñstwa	137
Uwierzytelnianie w PPP	137
Debugowanie twojej konfiguracji PPP	141
Bardziej zaawansowana konfiguracja PPP	142
Rozdzia³ 9 :?Firewall TCP/IP	147
Metody ataku	148
Co to jest firewall	149
Co to jest filtrowanie IP	151
Skonfigurowanie Linuksa w roli firewalla	152
Trzy sposoby realizacji filtrowania	154
Oryginalny firewall IP (j±dra 2.0)	155
£añcuchy firewalla IP (j±dra 2.2)	162
Netfilter i tabele IP (j±dra 2.4)	173
Operowanie bitem TOS	182
Testowanie konfiguracji firewalla	184
Przyk³adowa konfiguracja firewalla	186
Rozdzia³ 10:?Liczenie ruchu IP	195
Konfigurowanie j±dra do liczenia ruchu IP	195
Konfigurowanie liczenia ruchu IP	196
Wykorzystywanie wyników zliczania ruchu IP	202
Zerowanie liczników	203
Usuwanie zestawów regu³	204
Bierne zbieranie danych o ruchu	204

Rozdzia³ 11:?Maskowanie IP i translacja adresów sieciowych	205
Skutki uboczne i dodatkowe korzy¶ci	207
Konfigurowanie j±dra do maskowania IP	208
Konfigurowanie maskowania IP	209
Obs³ugiwanie przeszukiwania serwerów nazw	211
Wiêcej na temat translacji adresów sieciowych	211
Rozdzia³ 12:?Wa¿ne funkcje sieciowe	213
Superserwer inetd	213
Funkcja kontroli dostêpu tcpd	216
Pliki services i protocols	218
Zdalne wywo³anie procedur	219
Konfigurowanie zdalnego logowania i uruchamiania	220
Rozdzia³ 13:?System informacji sieciowej	229
Poznawanie NIS-a	230
NIS kontra NIS+	233
NIS - strona klienta	233
Eksploatowanie serwera NIS	234
Bezpieczeñstwo serwera NIS	235
Konfigurowanie klienta NIS z GNU libc	236
Wybór odpowiednich map	238
Korzystanie z map passwd i group	240
U¿ywanie NIS-a z obs³ug± hase³ shadow	242
Rozdzia³ 14:?Sieciowy system plików	243
Przygotowanie NFS-a	244
Montowanie wolumenu NFS	245
Demony NFS	247
Plik exports	248
Serwer NFSv2 oparty na j±drze	250
Server NFSv3 oparty na j±drze	251
Rozdzia³ 15:?IPX i system plików NCP	253
Xerox, Novell i historia	253
IPX i Linux	254
Konfigurowanie j±dra do obs³ugi IPX-a i NCPFS	256
Konfigurowanie interfejsów IPX	256
Konfigurowanie rutera IPX	259
Montowanie zdalnych wolumenów NetWare	263
Kilka innych narzêdzi IPX	266
Drukowanie do kolejki NetWare	267
Emulacja serwera NetWare	270
Rozdzia³ 16:?Zarz±dzanie UUCP Taylora 	271
Przesy³anie i zdalne wykonywanie w UUCP	273
Pliki konfiguracyjne UUCP	275
Kontrola dostêpu do funkcji UUCP	289
Konfigurowanie systemu do przyjmowania po³±czeñ komutowanych	292
Protoko³y niskiego poziomu w UUCP	295
Rozwi±zywanie problemów	297

Rozdzia³ 17:?Poczta elektroniczna	301
Co to jest wiadomo¶æ pocztowa	302
Jak jest dostarczana poczta	305
Adresy e-mail	306
Jak dzia³a ruting poczty	308
Konfigurowanie elma	313
Rozdzia³ 18:?Sendmail	317
Wprowadzenie do sendmaila	317
Instalacja sendmaila	317
Przegl±d plików konfiguracyjnych	318
Pliki sendmail.cf i sendmail.mc	319
Generowanie pliku sendmail.cf	324
Interpretacja i pisanie regu³ podstawiania	324
Konfigurowanie opcji sendmaila	330
U¿yteczne konfiguracje sendmaila	331
Testowanie konfiguracji	339
Eksploatowanie sendmaila	342
Sztuczki i kruczki	343
Rozdzia³ 19:?Exim	347
Eksploatowanie Exima	348
Je¿eli twoja poczta nie dochodzi	349
Kompilowanie Exima	350
Tryby dostarczania poczty	351
Ró¿ne opcje konfiguracyjne	352
Ruting i dostarczanie poczty	353
Ochrona przed spamem	357
Konfigurowanie UUCP	358
Rozdzia³ 20:?Grupy dyskusyjne	361
Historia Usenetu	361
Czym jest Usenet	362
Jak Usenet obs³uguje grupy dyskusyjne	364
Rozdzia³ 21:?C News	367
Dostarczanie grup dyskusyjnych	367
Instalacja	369
Plik sys	371
Plik active	374
Przetwarzanie wsadowe artyku³ów	375
Wygasanie grup dyskusyjnych	378
Ró¿ne dodatkowe pliki	380
Wiadomo¶ci kontrolne	382
C News w ¶rodowisku NFS	384
Narzêdzia i zadania administracyjne	385
Rozdzia³ 22:?NNTP i demon nntpd	387
Protokó³ NNTP	389
Instalowanie serwera NNTP	395
Ograniczanie dostêpu NNTP	395
Autoryzacja NNTP	396
Wspó³praca nntpd z C News	397
Rozdzia³ 23:?Internet News	399
Pewne tajniki wewnêtrzne INN-a	399
Przegl±darki grup dyskusyjnych i INN	402
Instalowanie INN-a	402
Podstawowe konfigurowanie INN-a	403
Pliki konfiguracyjne INN-a	403
Eksploatowanie INN-a	418
Zarz±dzanie INN-em: polecenie ctlinnd	419
Rozdzia³ 24:?Konfigurowanie przegl±darki grup dyskusyjnych	425
Konfigurowanie tina	426
Konfigurowanie trn	426
Konfigurowanie nn	427
Dodatek A:?Przyk³adowa sieæ: browar wirtualny	429
Pod³±czanie sieci wirtualnej filli	430
Dodatek B:?Przydatne konfiguracje kabli	431
Kabel równoleg³y PLIP	431
Kabel szeregowy NULL modem 	431
Dodatek C:?Linux - podrêcznik administratora sieci. Wydanie drugie.
Informacje o prawach autorskich	433
Dodatek D:?SAGE: cech administratorów systemu	441
Indeks	443


Wstêp


Wstêp


Termin "Internet" zadomowi³ siê ju¿ na dobre w wielu jêzykach, a mnóstwo, sk±din±d powa¿nych ludzi, z rado¶ci± podró¿uje po infostradzie. Dlatego mo¿na powiedzieæ, ¿e sieci komputerowe staj± siê ju¿ czym¶ tak zwyk³ym jak telewizory i kuchenki mikrofalowe. Internet cieszy siê niezwyk³ym zainteresowaniem mediów, a studenci socjologii zaczynaj± siê specjalizowaæ w grupach dyskusyjnych Usenetu, ¶rodowiskach elektronicznej rzeczywisto¶ci wirtualnej i WWW, badaj±c w ten sposób now± "kulturê internetow±".
Oczywi¶cie sieæ istnieje z dawien dawna. £±czenie komputerów tak, aby tworzy³y sieci lokalne, by³o powszechne w przypadku ma³ych instalacji, a gdy maszyny by³y od siebie oddalone wykorzystywano ³±cza telekomunikacyjne. Jednak¿e szybki rozwój sieci ogólno¶wiatowych da³ szansê przy³±czenia siê do globalnej wioski wielu zwyk³ym u¿ytkownikom komputerów oraz ma³ym, niedochodowym organizacjom prywatnym. Wyra¼nie spadaj± ceny hostów internetowych z obs³ug± poczty i grup dyskusyjnych przez dostêp komutowany oraz ISDN, a pojawienie siê DSL (Digital Subscriber Line) oraz technologii modemów kablowych niew±tpliwie podtrzyma tê tendencjê.
Je¿eli mówimy o sieciach komputerowych, nie sposób nie wspomnieæ o Uniksie. Oczywi¶cie Unix nie jest jedynym systemem operacyjnym, który mo¿e pracowaæ w sieci, ani te¿ nawet nie jest najpopularniejszym z nich, ale w biznesie sieciowym istnieje od dawna i z ca³± pewno¶ci± bêdzie istnia³ jeszcze przez jaki¶ czas.
Unix jest szczególnie ciekawy dla zwyk³ych u¿ytkowników dziêki temu, ¿e w³o¿ono wiele wysi³ku w stworzenie dla PC darmowych uniksowych systemów operacyjnych, takich jak 386BSD, FreeBSD czy Linux.
Linux jest dystrybuowan± bezp³atnie odmian± Uniksa, przeznaczon± dla komputerów osobistych. Aktualnie dzia³a na ró¿nych maszynach, i na tych z procesami firmy Intel, z procesorami Motorola 680x0 (np. Commodore Amiga i Apple Macintosh); na maszynach Sun SPARC i Ultra-SPARC; na Alphach firmy Compaq; MIPS-ach; na PowerPC, czyli na nowej generacji komputerów Apple Macintosh, i na StrongARM-ach, takich jak Netwinder firmy rebel.com czy palmtopy firmy 3Com. Linux zosta³ zaadaptowany tak¿e na pewne stosunkowo ma³o znane platformy, takie jak Fujitsu AP-1000 i IBM System 3/90. Aktualnie realizowane s± adaptacje na inne interesuj±ce architektury, a zadanie przeniesienia Linuksa do postaci zamkniêtego kontrolera tak¿e wygl±da obiecuj±co. 
Linux rozwija siê dziêki zaanga¿owaniu du¿ej grupy ochotników z Internetu. Projekt zosta³ zapocz±tkowany w 1990 roku przez Linusa Torvaldsa - wówczas studenta fiñskiego college'u - w ramach zajêæ z systemów operacyjnych. Od tego czasu Linux urós³ do rangi pe³nego klonu Uniksa, na którym mo¿na uruchamiaæ aplikacje tak ró¿norodne, jak programy do symulacji i modelowania, procesory tekstu, systemy rozpoznawania mowy, przegl±darki WWW i mnóstwo innego oprogramowania, w³±czaj±c w to ró¿ne doskona³e gry. Wspó³pracuje z ró¿norodnym sprzêtem, a zawiera pe³n± implementacjê sieci TCP/IP (³±cznie z protoko³ami SLIP i PPP oraz firewallami), pe³n± implementacjê protoko³u IPX, a tak¿e implementacje wielu funkcji oraz protoko³ów, których nie znajdziemy w ¿adnym innym systemie operacyjnym. Linux jest wydajny, szybki i darmowy, a jego popularno¶æ na ¶wiecie poza Internetem ro¶nie w szybkim tempie.
Sam system operacyjny Linux zosta³ objêty licencj± publiczn± GNU, t± sam±, która jest u¿ywana przez oprogramowanie tworzone przez Free Software Foundation (Fundacjê Wolnego Oprogramowania). Licencja pozwala ka¿demu na dystrybuowanie i modyfikowanie oprogramowania (bezp³atnie lub dla zysku) dopóty, dopóki wszystkie modyfikacje i dystrybucje s± równie¿ bezp³atnie udostêpniane. Okre¶lenie "wolne oprogramowanie" oznacza wolno¶æ aplikacji, a nie wolno¶æ kosztów.
Po co i dla kogo jest ta ksi±¿ka
Niniejsza ksi±¿ka zosta³a napisana po to, aby w jednym miejscu zebraæ informacje potrzebne administratorom sieci ¶rodowiska Linux. Zarówno pocz±tkuj±cy, jak i zaawansowani u¿ytkownicy powinni tu znale¼æ informacje potrzebne do wykonania wiêkszo¶ci najwa¿niejszych zadañ administracyjnych, wymaganych do konfiguracji sieci w Linuksie. Temat tej ksi±¿ki - sieci - jest prawie nieograniczony, a wiêc oczywi¶cie niemo¿liwo¶ci± jest opisanie wszystkiego i w ka¿dym aspekcie. Podjêli¶my próbê prezentacji wiêkszo¶ci wa¿nych i powszechnie spotykanych zadañ. Naszym zamierzeniem by³o, aby ta ksi±¿ka s³u¿y³a pomoc± nawet pocz±tkuj±cym adeptom sieci linuksowych (tak¿e tym, którzy nie mieli jeszcze do czynienia z uniksopodobnym systemem operacyjnym), aby po jej lekturze mogli poprawnie skonfigurowaæ swoj± sieæ w Linuksie.
Istnieje wiele ksi±¿ek i innych ¼róde³ informacji, które poruszaj± tematy opisane w tej ksi±¿ce (z ma³ymi wyj±tkami prawdziwie linuksowych funkcji, takich jak nowy interfejs firewalla, który nie jest nigdzie indziej dobrze udokumentowany). Gdyby¶ chcia³ siê dowiedzieæ wiêcej, w poni¿szym podrozdziale zamieszczamy bibliografiê.

¬ród³a informacji
Je¿eli jeste¶ nowicjuszem w ¶wiecie Linuksa, masz wiele do przejrzenia i przeczytania. Pomocne, aczkolwiek niekonieczne, jest posiadanie dostêpu do Internetu.
Podrêczniki zespo³u Linux Documentation Project (Projekt Dokumentacji Linuksa - LDP)

Projekt Dokumentacji Linuksa to grupa ochotników, który opracowuj± ksi±¿ki (przewodniki), dokumenty HOWTO, strony podrêcznika elektronicznego na ró¿ne tematy: od instalacji po programowanie j±dra. Publikacje LDP to miêdzy innymi:
Linux Installation and Getting Started

Ta ksi±¿ka, napisana pod kierunkiem Matta Welsha, opisuje jak zdobyæ, zainstalowaæ i u¿ywaæ Linuksa. Zawiera wprowadzenie do Uniksa i informacje o administracji systemu, systemie X Window oraz sieci.
Linux System Administration Guide

Ta ksi±¿ka, napisana przez Larsa Wirzeniusa i Joannê Oja, jest ogólnym przewodnikiem po administracji Linuksa i porusza takie tematy, jak tworzenie i konfigurowanie u¿ytkowników, wykonywanie kopii zapasowych systemu, konfigurowanie podstawowych pakietów i instalowanie oraz uaktualnianie oprogramowania.
Linux System Administration Made Easy

Ta ksi±¿ka, napisana przez Steve'a Framptona, opisuje codzienne zadania administracyjne i zagadnienia zwi±zane z utrzymaniem Linuksa w odniesieniu do jego u¿ytkowników.
Linux Programmers Guide

Ta ksi±¿ka, napisana przez B. Scotta Burketta, Svena Goldta, Johna D. Harpera, Svena van der Meera i Matta Welsha, bêdzie interesuj±ca dla tych, którzy chc± tworzyæ aplikacje dla Linuksa.
The Linux Kernel

Ta ksi±¿ka, napisana przez Davida A. Ruslinga, zawiera wprowadzenie do j±dra Linuksa: opisuje jego budowê oraz dzia³anie. 
The Linux Kernel Module Programming Guide

Ta ksi±¿ka, napisana przez Ori Pomerantza, stanowi podrêcznik wyja¶niaj±cy, jak pisaæ modu³y j±dra Linuksa.
W fazie tworzenia s± kolejne podrêczniki. Wiêcej informacji na temat LDP znajdziesz na stronach WWW pod adresem http://www.linuxdoc.org/ lub jednym z jego serwerów lustrzanych.
Dokumenty HOWTO

Dokumenty HOWTO po¶wiêcone Linuksowi to szereg szczegó³owych opracowañ omawiaj±cych bardzo ró¿ne aspekty systemu, takie jak instalacja i konfiguracja oprogramowania systemu X Window lub pisanie w asemblerze pod Linuksem. Generalnie znajduj± siê one w podkatalogu HOWTO o¶rodków FTP lub s± dostêpne na stronach WWW zawieraj±cych dokumenty Projektu Dokumentacji Linuksa. W pliku HOWTO-INDEX znajdziesz listê tego, co jest dostêpne.

Mog± ci siê przydaæ: Installation HOWTO, opisuj±cy jak zainstalowaæ Linuksa na twoim komputerze, Hardware Compatibility HOWTO, zawieraj±cy listê urz±dzeñ, o których wiadomo, ¿e dzia³aj± w Linuksie, oraz Distribution HOWTO, zawieraj±cy listê sprzedawców oprogramowania oferuj±cych Linuksa na dyskietkach lub na p³ytach CD-ROM.
Czêsto zadawane pytania na temat Linuksa (Linux Frequently Asked Questions), FAQ
FAQ (The Linux Frequently Asked Questions with Answers) gromadzi ró¿norodne pytania i odpowiedzi na temat systemu. Jest to obowi±zkowa lektura dla ka¿dego nowicjusza.
Dokumentacja dostêpna przez FTP
Je¿eli masz dostêp do anonimowych serwerów FTP, mo¿esz z nich pobraæ ca³± wspomnian± tutaj dokumentacjê Linuksa. Wypróbuj takie adresy jak metalab.unc.edu:/pub/Linux/docs i tsx-11.mit.edu/pub/linux/docs.
Dokumentacja dostêpna przez WWW
Dostêpnych jest wiele o¶rodków WWW zwi±zanych z Linuksem. Macierzysta strona Projektu Dokumentacji Linuksa znajduje siê pod adresem http://www.linuxdoc.org/.
OSWG (Open Source Writers Guild) jest projektem wykraczaj±cym poza Linuksa. OSWG, podobnie jak ta ksi±¿ka, opowiada siê za tworzeniem dokumentacji OpenSource. Witryna macierzysta OSWG znajduje siê pod adresem http://www.oswg. org:8080/oswg.
Obie powy¿sze witryny zawieraj± wersje hipertekstowe (i inne) wielu dokumentów zwi±zanych z Linuksem.
Dokumentacja dostêpna odp³atnie
Liczne wydawnictwa i sprzedawcy oprogramowania publikuj± prace stworzone w ramach Projektu Dokumentacji Linuksa. Dwaj przyk³adowi sprzedawcy to:
Specialized Systems Consultants, Inc. (SSC)
http://www.ssc.com/
P.O. Box 55549 Seattle, WA 98155-0549
1-206-782-7733
1-206-782-7191 (faks)
sales@ssc.com
oraz
Linux Systems Labs
http://www.lsl.com/
18300 Tara Drive
Clinton Township, MI 48036
1-810-987-8807
1-810-987-3562 (faks)
sales@lsl.com

Obie firmy sprzedaj± kompendia dokumentów HOWTO i innej dokumentacji dotycz±cej Linuksa w formie drukowanej.
O'Reilly & Associates wydaje seriê ksi±¿ek o Linuksie. Niniejsza ksi±¿ka powsta³a w ramach Projektu Dokumentacji Linuksa, ale wiêkszo¶æ zosta³a napisana niezale¿nie. Nale¿± do nich:
Running Linux (wyd. pol.: Linux, Wydawnictwo RM, Warszawa 2000)

Przewodnik po instalacji i u¿ytkowaniu systemu, opisuj±cy, jak najlepiej wykorzystaæ komputer osobisty, pracuj±c w Linuksie.
Learning Debian GNU/Linux
Learning Red Hat Linux (wyd. pol.: Red Hat Linux, Wydawnictwo RM, Warszawa 2000)


Ksi±¿ki bardziej podstawowe ni¿ Running Linux. Zawieraj± one popularne dystrybucje na p³ycie CD-ROM i informuj± dok³adnie, jak je skonfigurowaæ i jak z nich korzystaæ.
Linux in Nutshell (wyd. pol.: Linux - podrêcznik u¿ytkownika, Wydawnictwo RM, Warszawa 1999)


Kolejna ksi±¿ka z doskona³ej serii "podrêcznik u¿ytkownika". Daje wyczerpuj±cy opis poszczególnych poleceñ Linuksa.
Linux Journal and Linux Magazine
"Linux Journal" i "Linux Magazine" to miesiêczniki dla spo³eczno¶ci linuksowej, pisane i wydawane przez licznych linuksowych aktywistów. Poziom artyku³ów jest bardzo ró¿ny: od pytañ nowicjuszy, po odpowiedzi dotycz±ce programowania j±dra. Nawet je¿eli masz dostêp do grup dyskusyjnych Usenetu, te czasopisma s± doskona³ym sposobem, aby byæ na bie¿±co ze sprawami spo³eczno¶ci Linuksa.
"Linux Journal" jest najstarszym czasopismem i jest wydawany przez wspomniane wcze¶niej SSC, Incorporated. Czasopismo to mo¿esz tak¿e znale¼æ w sieci WWW pod adresem http://www.linuxjournal.com/.
"Linux Magazine" jest nowsz±, niezale¿n± publikacj±. Macierzysty adres WWW tego czasopisma to http://www.linuxmagazine.com/.
Linuksowe grupy dyskusyjne Usenetu 
Oto grupy dyskusyjne Usenetu po¶wiêcone Linuksowi:
comp.os.linux.announce

Moderowana grupa dyskusyjna zawieraj±ca zapowiedzi nowego oprogramowania, dystrybucji, raporty o b³êdach i nowinki z ¿ycia spo³eczno¶ci Linuksa. Wszyscy u¿ytkownicy Linuksa powinni czytaæ tê grupê. Propozycje mog± byæ wysy³ane na adres linux-announce@news.ornl.gov.
comp.os.linux.help

Ogólne pytania i odpowiedzi na temat instalacji i u¿ytkowania Linuksa.
comp.os.linux.admin

Dyskusje zwi±zane z administrowaniem systemu Linux.

comp.os.linux.networking

Dyskusje zwi±zane z sieci± w Linuksie.
comp.os.linux.development

Dyskusje na temat tworzenia j±dra Linuksa i samego systemu.
comp.os.linux.misc

Inne dyskusje, które nie pasuj± do ¿adnej z poprzednich kategorii.
Istnieje równie¿ kilka innych grup po¶wiêconych Linuksowi i prowadzonych w jêzykach innych ni¿ angielski, a nale¿± do nich na przyk³ad fr.comp.os.linux po francusku czy de.comp.os.linux po niemiecku.
Pocztowe listy dyskusyjne zwi±zane z Linuksem
Istnieje szereg specjalistycznych pocztowych list dyskusyjnych na temat Linuksa. Spotkasz na nich wiele osób, które chêtnie odpowiedz± na twoje pytania.
Najbardziej znane z nich to listy obs³ugiwane przez uniwersytet Rutgers. Mo¿esz siê do nich zapisaæ, wysy³aj±c wiadomo¶æ e-mail sformatowan± w nastêpuj±cy sposób:
To: majordomo@vger.rutgers.edu
Subject: anything at all
Body:
subscribe nazwa-listy
Niektóre listy zwi±zane z sieci± w Linuksie to:
linux-net
Dyskusje zwi±zane z sieci± w Linuksie.
linux-ppp
Dyskusje zwi±zane z implementacj± PPP w Linuksie.
linux-kernel
Dyskusje zwi±zane z tworzeniem j±dra Linuksa.
Elektroniczne wsparcie Linuksa
W wielu miejscach w sieci mo¿na uzyskaæ pomoc elektroniczn±. Ochotnicy z ca³ego ¶wiata oferuj± tam swoj± specjalistyczn± wiedzê i us³ugi tym u¿ytkownikom, którzy maj± pytania i problemy.
Sieæ OpenProjects IRC to sieæ IRC po¶wiêcona w ca³o¶ci projektom otwartym - zarówno Open Source, jak i Open Hardware. Niektóre kana³y s± przeznaczone do udostêpniania elektronicznego wsparcia dla Linuksa. IRC to skrót od Internet Relay Chat. Jest to us³uga sieciowa pozwalaj±ca interaktywnie "rozmawiaæ" przez Internet z innymi u¿ytkownikami. Sieci IRC obs³uguj± wiele kana³ów, na których grupy prowadz± pisane "rozmowy". Cokolwiek napiszesz na kanale, bêdzie to widoczne dla wszystkich pozosta³ych uczestników "rozmowy".
W sieci OpenProjects IRC istnieje szereg aktywnych kana³ów, na których spotkasz u¿ytkowników przez 24 godziny na dobê, 7 dni w tygodniu. S± to u¿ytkownicy, którzy chc± i potrafi± pomóc w rozwi±zaniu twoich problemów z Linuksem albo mog± po prostu z tob± pogadaæ. Z us³ugi tej mo¿esz korzystaæ po zainstalowaniu klienta IRC, na przyk³ad irc-II, pod³±czeniu siê do serwera o zadanej nazwie, np. irc.openprojects.org:6667, i przy³±czeniu siê do kana³u #linpeople.
Grupy u¿ytkowników Linuksa
Bezpo¶redni± pomoc oferuje te¿ wiele grup u¿ytkowników Linuksa z ca³ego ¶wiata. Ich uczestnicy anga¿uj± siê w tak± dzia³alno¶æ, jak organizowanie dni instalacji, seminaria i dyskusje panelowe, prezentacje i inne imprezy towarzyskie. Grupy u¿ytkowników Linuksa s± doskona³ym sposobem na spotkanie siê z innymi linuksowcami z twojego rejonu. Istnieje szereg list grup u¿ytkowników Linuksa. Do lepiej znanych nale¿±:
Group of Linux Users Everywhere - http://www.ssc.com/glue/groups
LUG list project - http://www.nllgg.nl/lugww/
LUG registry - http://www.linux.org/users/
Sk±d wzi±æ Linuksa
Nie ma jednej jedynej dystrybucji oprogramowania dla Linuksa. Takich dystrybucji jest wiele, m.in. Debian, RedHat, Caldera, Corel, SuSE i Slackware. Ka¿da dystrybucja zawiera wszystko, czego potrzebujesz do uruchomienia pe³nego systemu Linux: j±dro, podstawowe programy u¿ytkowe, biblioteki, pliki pomocnicze i aplikacje.
Dystrybucje Linuksa mo¿na zdobyæ z szeregu ¼róde³ elektronicznych, jak Internet. Ka¿da powa¿na dystrybucja posiada w³asny o¶rodek FTP i WWW. Oto niektóre o¶rodki:
Caldera

http://www.caldera.com/ftp://ftp.caldera.com/
Corel

http://www.corel.com/ftp://ftp.corel.com/
Debian

http://www.debian.org/ftp://ftp.debian.org/
RedHat

http://www.redhat.com/ftp://ftp.redhat.com/
Slackware

http://www.slackware.com/ftp://ftp.slackware.com/
SuSE

http://www.suse.com/ftp://ftp.suse.com/
Popularne archiwa FTP równie¿ zawieraj± ró¿ne dystrybucje Linuksa. Najbardziej znane z nich to:
metalab.unc.edu:/pub/Linux/distributions/
ftp.funet.fi:/pub/Linux/mirrors/
tsx-11.mit.edu:/pub/linux/distributions/
mirror.aarnet.edu.au:/pub/linux/distributions/
Wiele z nowoczesnych dystrybucji mo¿na zainstalowaæ bezpo¶rednio z Internetu. Jednak w przypadku typowej instalacji nale¿y ¶ci±gn±æ spor± liczbê oprogramowania, a wiêc prawdopodobnie zdecydujesz siê na to tylko, je¿eli masz szybkie sta³e po³±czenie sieciowe lub, je¿eli musisz uaktualniæ swoj± instalacjê*.
Linuksa mo¿na kupiæ na p³ycie CD-ROM u coraz wiêkszej liczby sprzedawców. Je¿eli w twoim sklepie komputerowym go nie ma, mo¿esz poprosiæ o sprowadzenie. Wiêkszo¶æ popularnych dystrybucji mo¿na zdobyæ na p³ycie CD-ROM. Niektórzy sprzedawcy tworz± produkty sk³adaj±ce siê z wielu p³yt CD-ROM zawieraj±cych poszczególne dystrybucje Linuksa. Jest to idealny sposób na wypróbowanie ró¿nych dystrybucji, aby móc stwierdziæ, która jest nasz± ulubion±.
Standardy systemów plików
Niegdy¶ jednym z problemów, który dotyka³ dystrybucji Linuksa oraz pakietów oprogramowania, by³ brak jednolitego systemu plików. Wynika³y z tego niezgodno¶ci pomiêdzy ró¿nymi pakietami, co wymaga³o od u¿ytkowników i administratorów lokalizowania ró¿nych plików i programów.
Aby zaradziæ tej k³opotliwej sytuacji w sierpniu 1993 roku powo³ano zespó³ do spraw standaryzacji systemu plików Linuksa (Linux File System Standard Group - FSSTND). W ci±gu sze¶ciu miesiêcy opracowano szkic spójnej struktury systemu plików i zdefiniowano rozk³ad wiêkszo¶ci istotnych programów i plików konfiguracyjnych.
Oczekiwano, ¿e standard ten zostanie zaimplementowany w wiêkszo¶ci g³ównych dystrybucji Linuksa i pakietach. Niezupe³nie tak siê sta³o. Choæ w wiêkszo¶ci dystrybucji starano siê spe³niæ wymogi FSSTND, uda³o siê to tylko w niewielu. W ksi±¿ce tej zak³adamy, ¿e wszelkie omawiane pliki znajduj± siê w miejscach okre¶lonych przez standard. Alternatywne niestandardowe lokalizacje bêd± przywo³ywane tylko wtedy, gdy s± utrwalane d³ug± tradycj±.
Linux FSSTND obowi±zywa³ do 1997 roku, kiedy zosta³ zast±piony przez FHS (Linux File Hierarchy Standard). FHS rozwi±zuje zagadnienia miêdzyarchitekturowe, nieuwzglêdnione przez FSSTND. FHS mo¿na zdobyæ z katalogu z dokumentacj± wiêkszo¶ci o¶rodków FTP Linuksa i ich serwerów lustrzanych lub ze strony macierzystej pod adresem http://www.pathname.com/fhs/. Z Danielem Quinlanem - koordynatorem grupy FHS - mo¿na skontaktowaæ siê pod adresem quinlan@transmeta.com.
Standardowa podstawa Linuksa
Wielo¶æ dystrybucji Linuksa, choæ umo¿liwia wybór jego u¿ytkownikom, przysparza problemów twórcom oprogramowania - szczególnie tego, które nie jest darmowe.

Ka¿da dystrybucja zawiera pewne podstawowe biblioteki, narzêdzia konfiguracyjne, aplikacje systemowe i pliki konfiguracyjne. Niestety, ró¿nice pomiêdzy wersjami, nazwami i lokalizacjami powoduj±, ¿e bardzo trudno jest zgadn±æ, co bêdzie w danej dystrybucji. A bez tej wiedzy nie da siê stworzyæ binarnych wersji aplikacji, które dzia³a³yby niezawodnie we wszystkich dystrybucjach Linuksa.
Aby rozwi±zaæ ten problem, powo³ano nowy projekt o nazwie "Linux Standard Base" (standardowa podstawa Linuksa). Jego celem jest opisanie standardowej podstawy dystrybucji, do której dostosuj± siê poszczególne dystrybucje. Je¿eli programista stworzy aplikacjê w oparciu o standardow± podstawê, to bêdzie ona dzia³a³a we wszelkich dystrybucjach zgodnych ze standardem.
Informacje na temat stanu projektu standardowej podstawy Linuksa mo¿esz znale¼æ na jego stronie macierzystej pod adresem http://www.linuxbase.org/.
Je¿eli martwisz siê o zgodno¶æ, szczególnie oprogramowania komercyjnego, powiniene¶ upewniæ siê, czy w przypadku twojej dystrybucji zosta³y podjête kroki prowadz±ce do zgodno¶ci z projektem standaryzacyjnym.
O tej ksi±¿ce
Gdy Olaf do³±czy³ do Projektu Dokumentacji Linuksa w 1992 roku, napisa³ dwa ma³e rozdzia³y na temat UUCP i smaila, które zamierza³ umie¶ciæ w ksi±¿ce System Administrator's Guide. Sieci TCP/IP zaczê³y dopiero powstawaæ. W miarê ich rozwoju te dwa "ma³e rozdzia³y" zaczê³y siê rozrastaæ. Wtedy Olaf pomy¶la³, ¿e by³oby dobrze mieæ przewodnik po sieci. Ka¿dy mówi³: "¦wietny pomys³", "zrób to!". A wiêc wzi±³ siê do pracy i napisa³ pierwsz± wersjê przewodnika po sieci, która zosta³a wydana we wrze¶niu 1993 roku.
Olaf kontynuowa³ prace nad przewodnikiem po sieci i ostatecznie stworzy³ znacznie rozszerzon± jego wersjê.  Rozdzia³ na temat sendmaila napisa³ Vince Skahan. W tym wydaniu rozdzia³ ten zosta³ ca³kowicie zmieniony, ze wzglêdu na nowy interfejs konfiguracyjny sendmaila.
Wersja ksi±¿ki, któr± czytasz, zosta³a skorygowana i uaktualniona przez Terry'ego Dawsona* na ¿yczenie wydawnictwa O'Reilly & Associates. Terry przez 20 lat by³ operatorem radia amatorskiego, z czego 15 lat przepracowa³ w przemy¶le telekomunikacyjnym. By³ wspó³autorem dokumentu NET-FAQ i napisa³ oraz utrzymywa³ ró¿ne dokumenty HOWTO zwi±zane z sieci±. Terry zawsze z entuzjazmem wspiera³ projekt podrêcznika administratora sieci i doda³ w niniejszej edycji kilka rozdzia³ów na najnowsze tematy, które ze zrozumia³ych wzglêdów nie trafi³y do pierwszego wydania. Dokona³ te¿ mnóstwa zmian w celu uaktualnienia ca³ej ksi±¿ki.
Rozdzia³ omawiaj±cy exim napisa³ Philip Hazel**, który jest g³ównym twórc± pakietu.
Ksi±¿ka ta ma formê sekwencji kroków, jakie nale¿y podj±æ, by skonfigurowaæ system do pracy w sieci. Rozpoczyna siê omówieniem podstawowych pojêæ sieciowych, a w szczególno¶ci sieci opartych na TCP/IP. Nastêpnie kolejno wprowadza w konfigurowanie TCP/IP na poziomie urz±dzenia konfigurowanie firewalli, liczenie ruchu IP (accounting) i maskowanie IP, wreszcie w konfigurowanie popularnych aplikacji, takich jak rlogin i tym podobne, sieciowego systemu plików (NFS - Network File System) oraz systemu informacji sieciowej (NIS - Network Information System). Dalej znajduje siê rozdzia³ o tym, jak skonfigurowaæ maszynê jako wêze³ UUCP. Wiêkszo¶æ pozosta³ych podrozdzia³ów jest po¶wiêcona dwóm podstawowym aplikacjom, które dzia³aj± na TCP/IP i UUCP: poczcie elektronicznej i grupom dyskusyjnym. Specjalny rozdzia³ zosta³ po¶wiêcony protoko³owi IPX i systemowi plików NCP, poniewa¿ s± one u¿ywane w ¶rodowiskach korporacyjnych, w których spotyka siê Linuksa.
W czê¶ci omawiaj±cej pocztê znajduje siê bardziej gruntowne wprowadzenie do transportu i rutingu poczty oraz miriady schematów adresowania, które mo¿esz napotkaæ. Opisuje ona konfiguracjê exima i zarz±dzanie nim. Exim to agent transportowy poczty, idealny tam, gdzie nie s± wymagane UUCP ani tym bardziej sendmail, który jest dla realizuj±cych ruting bardziej skomplikowany, ni¿ te obs³ugiwane przez UUCP.
Czê¶æ po¶wiêcona grupom dyskusyjnym daje pojêcie o tym, jak dzia³a Usenet. Omawia INN i C News - dwa powszechnie u¿ywane pakiety oprogramowania transportowego grup dyskusyjnych oraz zastosowanie NNTP do zapewnienia dostêpu do czytania grup w sieci lokalnej. Ksi±¿kê zamyka rozdzia³ na temat stosowania najpopularniejszych programów do czytania grup dyskusyjnych w Linuksie.
Oczywi¶cie ksi±¿ka ta na pewno nie jest w stanie wyczerpuj±co odpowiedzieæ na wszystkie potencjalne pytania. Tak, wiêc je¿eli bêdziesz postêpowa³ zgodnie z instrukcjami w niej zawartymi, a co¶ wci±¿ nie bêdzie dzia³a³o, b±d¼ cierpliwy. Niektóre z twoich problemów mog± wynikaæ z naszych b³êdów (zobacz podrozdzia³ Zg³aszanie uwag w dalszej czê¶ci Wstêpu), ale mog± tak¿e byæ spowodowane zmianami w oprogramowaniu sieciowym. Dlatego powiniene¶ sprawdziæ najpierw informacje zawarte w zasobach. Istnieje du¿e prawdopodobieñstwo, ¿e nie tylko ty masz takie problemy, a wiêc poprawka lub przynajmniej proponowane rozwi±zanie jest ju¿ byæ mo¿e znane. Je¿eli masz okazjê, powiniene¶ tak¿e spróbowaæ zdobyæ najnowsz± wersjê j±dra i sieci z jednego z linuksowych o¶rodków FTP lub z pobliskiego BBS-u. Wiele problemów wynika z nierównomiernego rozwoju ró¿nego oprogramowania, które nie wspó³pracuje poprawnie ze sob±. W koñcu Linux to "praca w toku".
Oficjalna wersja drukowana
Na jesieni 1993 roku Andy Oram, który prawie od pocz±tku by³ zwi±zany z list± dyskusyjn± LDP, zaproponowa³ Olafowi opublikowanie tej ksi±¿ki w wydawnictwie O'Reilly & Associates. By³ ni± zachwycony, ale nigdy nie przypuszcza³, ¿e odniesie ona taki sukces. Postanowiono, ¿e O'Reilly stworzy rozszerzon± oficjaln± wersjê drukowan± przewodnika po sieci, natomiast Olaf zatrzyma prawa autorskie i ¼ród³a ksi±¿ki bêd± mog³y byæ rozpowszechniane za darmo. Oznacza to, ¿e masz wolny wybór: mo¿esz wzi±æ ró¿ne darmowe wersje dokumentu z najbli¿szego o¶rodka lustrzanego Projektu Dokumentacji Linuksa i wydrukowaæ je sobie albo zakupiæ oficjaln± wersjê drukowan± wydan± przez O'Reilly'ego.
Nasuwa siê pytanie: dlaczego masz p³aciæ za co¶, co mo¿esz mieæ za darmo? Czy Tim O'Reilly postrada³ zmys³y i wydaje co¶, co ka¿dy mo¿e sobie sam wydrukowaæ, a nawet sam sprzedawaæ?*. Czy istniej± jakie¶ ró¿nice pomiêdzy tymi wersjami?
Odpowiedzi brzmi± "to zale¿y", "nie, zdecydowanie nie" i "tak i nie". O'Reilly & Associates podejmuje ryzyko, wydaj±c przewodnik po sieci w formie tradycyjnej, ale jako¶ siê im to op³aca (poprosili autorów, by przygotowali nastêpne wydanie). Wierzymy, ¿e to przedsiêwziêcie jest doskona³ym przyk³adem tego, jak ¶wiat darmowego oprogramowania i firmy komercyjne mog± ze sob± wspó³pracowaæ, by stworzyæ co¶, z czego obie strony czerpi± korzy¶ci. Z naszego punktu widzenia wydawnictwo O'Reilly przys³u¿y³o siê spo³eczno¶ci Linuksa (nie tylko t± ksi±¿k±, która jest dostêpna w twojej ksiêgarni). Dziêki niemu Linux zacz±³ byæ rozpoznawany jako co¶ powa¿nego: jako rentowna i u¿yteczna alternatywa dla innych, komercyjnych systemów operacyjnych. Je¿eli jaka¶ ksiêgarnia techniczna w USA nie ma u siebie przynajmniej jednej pó³ki z ksi±¿kami wydawnictwa O'Reilly, to jest to kiepska ksiêgarnia.
Dlaczego to wydaj±? Uznaj± to za swoj± specjalno¶æ. Oto, czego oczekuj±, podpisuj±c z autorami kontrakt na napisanie ksi±¿ki o Linuksie: tempo, poziom szczegó³owo¶ci i styl maj± dok³adnie odpowiadaæ innym wydanym przez nich ksi±¿kom.
Celem licencji LDP jest zapewnienie wszystkim dostêpu do ksi±¿ki. Niektórzy mog± wydrukowaæ sobie tê ksi±¿kê sami i nikt nie bêdzie ciê wini³, je¿eli z niej skorzystasz. Jednak, je¿eli nie mia³e¶ okazji zobaczyæ wersji wydawnictwa O'Reilly, przejd¼ siê do ksiêgarni albo obejrzyj ksi±¿kê u kolegi. Wydaje nam siê, ¿e spodoba ci siê to, co zobaczysz, i bêdziesz chcia³ ksi±¿kê kupiæ.
Jakie s±, wiêc ró¿nice pomiêdzy wersj± drukowan± a wersj± elektroniczn±? Andy Oram w³o¿y³ wiele pracy w to, aby przetworzyæ nasze chaotyczne my¶li w potoczysty wyk³ad wart wydrukowania. (Dokona³ tak¿e korekty kilku innych ksi±¿ek stworzonych w ramach Projektu Dokumentacji Linuksa, s³u¿±c spo³eczno¶ci Linuksa ca³± swoj± fachow± wiedz±).
Na redakcji Andy'ego ksi±¿ka znacznie zyska³a w stosunku do wersji oryginalnej. Nie mo¿na by³o marnowaæ okazji skorzystania z us³ug i umiejêtno¶ci profesjonalnego redaktora. Pod wieloma wzglêdami praca Andy'ego jest równie wa¿na jak autorów. To samo dotyczy równie¿ redaktorów technicznych, którzy nadali ksi±¿ce obecny kszta³t. Wszystkie te poprawki zosta³y równie¿ wprowadzone w wersji elektronicznej, a wiêc w zawarto¶ci nie ma ró¿nic.
Jednak wci±¿ wersja wydana przez O'Reilly'ego bêdzie inna. Jest porz±dnie oprawiona. Mo¿esz mieæ problemy z ³adnym wydrukowaniem wersji domowej. Jest te¿ ma³o prawdopodobne, aby¶ uzyska³ zbli¿on± jako¶æ, a je¶li ju¿ - to zapewne za du¿o wiêksze pieni±dze. Ponadto nasze amatorskie ilustracje zosta³y w wersji drukowanej zast±pione innymi grafikami, piêknie przygotowanymi przez profesjonalnych artystów z wydawnictwa O'Reilly. Dla wersji drukowanej przygotowano te¿ nowy, dok³adniejszy indeks, dziêki czemu du¿o ³atwiej wyszukuje siê informacje. Je¿eli ta ksi±¿ka jest czym¶, co zamierzasz przeczytaæ od pocz±tku do koñca, powiniene¶ zastanowiæ siê nad przeczytaniem oficjalnej wersji drukowanej.
Przegl±d tre¶ci
Rozdzia³ 1, Wprowadzenie do sieci, omawia historiê Linuksa i podaje podstawowe informacje o UUCP, TCP/IP, ró¿nych protoko³ach, sprzêcie i bezpieczeñstwie. Kolejne kilka rozdzia³ów omawia konfigurowanie Linuksa w sieci TCP/IP i uruchamianie podstawowych aplikacji. Nieco dok³adniej przygl±damy siê IP w rozdziale 2, Wybrane problemy sieci TCP/IP, zanim przejdziemy do edycji plików i tym podobnych tematów. Je¿eli wiesz ju¿, jak dzia³a ruting IP i na czym polega rozwi±zywanie adresów, mo¿esz pomin±æ ten rozdzia³.
Rozdzia³ 3, Konfigurowanie sprzêtu sieciowego, omawia podstawowe zagadnienia konfiguracyjne, takie jak tworzenie j±dra i konfigurowanie karty Ethernet. Konfiguracja portów szeregowych jest przedstawiona oddzielnie w rozdziale 4, Konfigurowanie urz±dzeñ szeregowych, poniewa¿ ten temat nie dotyczy jedynie sieci TCP/IP, ale ma tak¿e zwi±zek z UUCP.
Rozdzia³ 5, Konfigurowanie sieci TCP/IP, pomaga skonfigurowaæ maszynê w sieci TCP/IP. Zawiera wskazówki instalacyjne dla samodzielnych hostów z w³±czonym jedynie interfejsem pêtli zwrotnej i hostów pod³±czonych do sieci Ethernet. Pokazuje tak¿e kilka przydatnych narzêdzi, których mo¿esz u¿ywaæ do testowania i debugowania swojej konfiguracji. Rozdzia³ 6, Us³ugi nazewnicze i konfigurowanie resolvera, wyja¶nia, jak skonfigurowaæ rozwi±zywanie nazw i uruchomiæ serwer nazw.
Rozdzia³ 7, IP ³±cza szeregowego, pokazuje, jak zestawiæ po³±czenie SLIP i szczegó³owo omawia dip - narzêdzie pozwalaj±ce na automatyzacjê wiêkszo¶ci niezbêdnych kroków. Rozdzia³ 8, Protokó³ punkt-punkt, jest po¶wiêcony PPP i pppd - demonowi PPP.
Rozdzia³ 9, Firewall TCP/IP, rozwija zagadnienia bezpieczeñstwa sieciowego i opisuje firewall TCP/IP dla Linuksa oraz narzêdzia do jego konfiguracji: ipfwadm, ipchains i iptables. Firewall IP zapewnia dok³adn± kontrolê nadal tym, kto dostaje siê do sieci i z jakiego hosta.
Rozdzia³ 10, Liczenie ruchu IP, wyja¶nia, jak skonfigurowaæ funkcjê liczenia ruchu IP w Linuksie, tak, aby ¶ledziæ, jak du¿y jest ruch wychodz±cy i kto go generuje.
Rozdzia³ 11, Maskowanie IP i translacja adresów sieciowych, omawia w³asno¶ci specjalnego typu oprogramowania sieciowego Linuksa zwanego maskowaniem IP, które pozwala ³±czyæ ze sob± ca³e sieci IP i korzystaæ z Internetu tylko przy u¿yciu jednego adresu IP, tak ¿e wewnêtrzna struktura sieci staje siê niewidoczna.
Rozdzia³ 12, Wa¿ne funkcje sieciowe, stanowi krótkie wprowadzenie do konfigurowania pewnych wa¿niejszych aplikacji sieciowych, takich jak rlogin, ssh i tym podobne. Rozdzia³ ten omawia równie¿ zarz±dzanie us³ugami przez inetd i podpowiada, w jaki sposób mo¿na zwiêkszyæ bezpieczeñstwo pewnych us³ug skierowanych do zaufanych hostów.
Rozdzia³ 13, System informacji sieciowej, i rozdzia³ 14, Sieciowy system plików, omawiaj± NIS i NFS. NIS to narzêdzie u¿ywane do dystrybuowania informacji administracyjnych, takich jak has³a u¿ytkownika w sieci lokalnej. NFS pozwala na wspó³dzielenie systemów plików pomiêdzy hostami w sieci.
W rozdziale 15, IPX i system plików NCP, omawiamy protokó³ IPX i system plików NCP. Pozwalaj± one zintegrowaæ Linuksa ze ¶rodowiskiem Novell Netware przez wspó³dzielenie plików oraz drukarek z maszynami nielinuksowymi.
Rozdzia³ 16, Zarz±dzanie UUCP Taylora, stanowi wyczerpuj±ce wprowadzenie do administrowania UUCP Taylora - darmow± implementacj± UUCP.
Pozosta³e rozdzia³y ksi±¿ki szczegó³owo przedstawiaj± pocztê elektroniczn± i grupy dyskusyjne Usenetu. Rozdzia³ 17, Poczta elektroniczna, wprowadza w g³ówne zagadnienia poczty elektronicznej, takie jak wygl±d adresów pocztowych i sposób, w jaki system obs³uguje pocztê, by dotar³a do adresata.
Rozdzia³ 18, Sendmail, i rozdzia³ 19, Exim, omawiaj± konfiguracjê programów sendmail i exim - dwóch ma³ych agentów transportowych, które mo¿esz wykorzystaæ w Linuksie. Przedstawiamy oba, poniewa¿ exim jest ³atwiejszy do zainstalowania dla pocz±tkuj±cego, a sendmail obs³uguje UUCP.
Od rozdzia³u 20, Grupy dyskusyjne, do rozdzia³u 23, Internet News, wyja¶niamy obs³ugê wiadomo¶ci Usenetu i sposób instalacji i u¿ywania C News, nntpd i INN - trzech popularnych pakietów oprogramowania do zarz±dzania wiadomo¶ciami Usenetu. Po krótkim wprowadzeniu w rozdziale 20, mo¿esz przeczytaæ rozdzia³ 21, C News, je¿eli chcesz przesy³aæ wiadomo¶ci za pomoc± C News - tradycyjnej us³ugi u¿ywanej wraz z UUCP. Kolejne rozdzia³y omawiaj± nowocze¶niejsze metody wykorzystuj±ce protokó³ internetowy NNTP (Network News Transport Protocol). Rozdzia³ 22, NNTP i demon nntpd, przedstawia sposób konfiguracji prostego demona NNTP o nazwie nntp, który zapewnia dostêp do czytania wiadomo¶ci w sieci lokalnej, za¶ rozdzia³ 23 opisuje silniejszy serwer do bardziej intensywnych transferów NetNews'ów: INN (InterNet News). I na koniec rozdzia³ 24, Konfigurowanie przegl±darki grup dyskusyjnych, pokazuje, jak skonfigurowaæ ró¿ne programy do czytania grup.
Konwencje zastosowane w tej ksi±¿ce
We wszystkich przyk³adach przedstawionych w tej ksi±¿ce zak³adamy, ¿e u¿ywasz pow³oki, która jest kompatybilna z sh. Standardow± pow³ok± wszystkich dystrybucji Linuksa jest bash kompatybilna z sh. Je¿eli korzystasz z csh, bêdziesz musia³ odpowiednio zmodyfikowaæ przyk³ady.

Poni¿ej przedstawiamy listê konwencji typograficznych u¿ytych w ksi±¿ce:
Czcionka pochy³a

U¿ywana do oznaczenia nazw plików i katalogów, programów i poleceñ, opcji wiersza poleceñ, adresów e-mail i ¶cie¿ki, URL i do podkre¶lenia nowych pojêæ.
Czcionka pogrubiona

U¿ywana do nazw maszyn, hostów, o¶rodków, u¿ytkowników i ID oraz, okazjonalnie, do podkre¶lania pojêæ.
Czcionka o sta³ej szeroko¶ci

U¿ywana w przyk³adach do pokazania zawarto¶ci kodu plików lub wyniku dzia³ania poleceñ oraz wskazywania zmiennych ¶rodowiskowych i s³ów kluczowych, które pojawiaj± siê w kodzie.
Czcionka pochy³a o sta³ej szeroko¶ci
U¿ywana do wskazania opcji zmiennych, s³ów kluczowych albo tekstu, który u¿ytkownik ma zast±piæ konkretn± warto¶ci±.
Czcionka pogrubiona o sta³ej szeroko¶ci
U¿ywana w przyk³adach do pokazania poleceñ lub innego tekstu, który powinien byæ wpisywany przez u¿ytkownika dos³ownie.

Ramka z t± ikon± zawiera ostrze¿enie. £atwo tu o b³±d, który mo¿e ¼le siê skoñczyæ dla twojego systemu lub jest trudny od naprawienia.


Ramka z t± ikon± zawiera komentarz do pobliskiego tekstu.


Zg³aszanie uwag
Informacje zawarte w tej ksi±¿ce sprawdzali¶my i weryfikowali¶my na tyle, na ile byli¶my w stanie, ale pewne rzeczy mog³y siê zmieniæ (lub my mogli¶my pope³niæ b³±d!). Bêdziemy wdziêczni za powiadomienie nas o wszelkich dostrze¿onych b³êdach oraz podzielenie siê swoimi sugestiami, co do przysz³ych wydañ. Prosimy pisaæ na adres:
O'Reilly & Associates, Inc.
101 Morris Street
Sebastopol, CA 95472
1-800-998-9938 (w USA lub Kanadzie)
1-707-829-0515 (miêdzynarodowy lub lokalny)
1-707-829-0104 (faks)

Mo¿esz nam tak¿e wysy³aæ wiadomo¶ci elektronicznie. Aby zapisaæ siê na listê dyskusyjn± lub poprosiæ o katalog, wy¶lij e-mail na adres:
info@oreilly.com
Aby poprosiæ o pomoc techniczn± lub komentarz na temat ksi±¿ki, wy¶lij e-mail na adres:
bookquestions@oreilly.com
Prowadzimy witrynê WWW dla niniejszej ksi±¿ki. Znajduj± siê na niej przyk³ady, errata i plany przysz³ych wydañ. Strona ta znajduje siê pod adresem:
http://www.oreilly.com/catalog/linag2
Wiêcej informacji na temat tej i innych ksi±¿ek znajdziesz w witrynie WWW wydawnictwa O'Reilly:
http://www.oreilly.com/
Podziêkowania
To wydanie Podrêcznika administratora sieci jest niemal wy³±czn± zas³ug± Olafa i Vince'a. Trudno doceniæ wysi³ek w³o¿ony w badania i napisanie tego typu ksi±¿ki, je¿eli nie zrobi siê tego samemu. Uaktualnianie ksi±¿ki by³o wyzwaniem - powa¿nym, ale dziêki dobrej podstawie tak¿e przyjemnym.
Ksi±¿ka wiele zawdziêcza tym, którzy po¶wiêcili czas na jej korektê i pomogli usun±æ wiele b³êdów, zarówno technicznych, jak i jêzykowych. W tym dzia³aniu znakomicie siê uzupe³niali Phil Hughes, John MacDonald i Erik Ratcliffe.
Serdeczne podziêkowania kierujemy do cz³onków zespo³u redakcyjnego wydawnictwa O'Reilly, z którymi mieli¶my przyjemno¶æ pracowaæ. Dziêkujemy Sarah Jane Shangraw, która nada³a ksi±¿ce obecny kszta³t; Maureen Dempsey, która redagowa³a tekst; Robowi Romano, Rhonowi Porterowi i Chrisowi Reilleyowi, którzy wykonali rysunki; Hannie Dyer, która zaprojektowa³a ok³adkê, Alicii Cech, Davidowi Futato i Jennifer Niedherst za uk³ad wewnêtrzny, Larsowi Kaufmanowi, który wpad³ na pomys³ zamieszczenia drzeworytów; Judy Hoer za indeks i na koniec Timowi O'Reilly'emu za odwagê podjêcia takiego projektu.
Na nasz± wdziêczno¶æ zas³u¿yli te¿ Andres Sepúlveda, Wolfgang Michaelis Michael K. Johnson i wszyscy programi¶ci, którzy po¶wiêcili wolny czas na sprawdzenie informacji zawartych w Podrêczniku administratora sieci. Phil Hughes, John MacDonald i Eric Ratcliffe zg³osili nieocenione komentarze do drugiego wydania. Chcemy równie¿ podziêkowaæ wszystkim, którzy przeczytali pierwsze wydanie ksi±¿ki i przys³ali poprawki i sugestie. Pe³n±, miejmy nadziejê, listê tych osób mo¿esz znale¼æ w pliku Thanks w wersji elektronicznej. Ostatecznie ta ksi±¿ka nie powsta³aby bez wsparcia Holgera Grothego, który udostêpni³ Olafowi pod³±czenie do Internetu, niezbêdne do powstania oryginalnej wersji.
Olaf chcia³by równie¿ podziêkowaæ nastêpuj±cym grupom i firmom, które wydrukowa³y pierwsze wydanie Podrêcznika administratora sieci i wspar³y finansowo zarówno jego osobê, jak i ca³y Projekt Dokumentacji Linuksa: Linux Support Team, Erlangen, Niemcy; S.u.S.E. GmbH, Fuerth, Niemcy; Linux System Labs, Inc., Clinton Twp., USA; RedHat Software, Pó³nocna Karolina, USA.
Terry dziêkuje swojej ¿onie Maggie, która niestrudzenie wspiera³a go w pracy na rzecz Projektu mimo wyzwania, jakie stawia³o przed ni± urodzenie ich pierwszego dziecka, Jacka. Ponadto dziêkuje wielu osobom ze spo³eczno¶ci Linuksa, dziêki którym osi±gn±³ poziom pozwalaj±cy mu na wziêcie udzia³u w tym przedsiêwziêciu. "Pomogê ci, je¿eli obiecasz pomóc za to komu¶ innemu".
Jest jeszcze wiele osób, poza ju¿ wspomnianymi, które przyczyni³y siê do powstania Podrêcznika administratora sieci. Zapoznali siê z nim i przesy³ali nam poprawki i sugestie. Jeste¶my im bardzo wdziêczni.
Oto lista tych, których dzia³alno¶æ pozostawi³a ¶lad w naszych folderach pocztowych.
Al Longyear, Alan Cox, Andres Sepúlveda, Ben Cooper, Cameron Spitzer, Colin McCormack, D.J. Roberts, Emilio Lopes, Fred N. van Kempen, Gert Doering, Greg Hankins, Heiko Eissfeldt, J.P. Szikora, Johannes Stille, Karl Eichwalder, Les Johnson, Ludger Kunz, Marc van Diest, Michael K. Johnson, Michael Nebel, Michael Wing, Mitch D'Souza, Paul Gortmaker, Peter Brouwer, Peter Eriksson, Phil Hughes, Raul Deluth Miller, Rich Braun, Rick Sladkey, Ronald Aarts, Swen Thüemmler, Terry Dawson, Thomas Quinot i Yury Shevchuk.


1
Wprowadzenie do sieci


Rozdzia³ 1: Wprowadzenie do sieci


Historia
Idea sieci jest prawdopodobnie tak stara jak sama komunikacja. Siêgnijmy do epoki kamiennej, kiedy to ludzie u¿ywali bêbnów do przesy³ania wiadomo¶ci. Za³ó¿my, ¿e jaskiniowiec A chce zaprosiæ jaskiniowca B do gry w rzucanie kamieniami, ale mieszkaj± oni zbyt daleko od siebie, by B us³ysza³ uderzenia A w bêben. Co mo¿e zrobiæ jaskiniowiec A? Mo¿e on 1) i¶æ do miejsca zamieszkania B, 2) u¿yæ wiêkszego bêbna lub 3) poprosiæ C, który mieszka w po³owie drogi pomiêdzy nimi, aby przekaza³ komunikat. Ostatni± mo¿liwo¶æ mo¿na nazwaæ sieci±.
Oczywi¶cie od czasów naszych przodków zmieni³y siê metody i urz±dzenia s³u¿±ce komunikacji. Obecnie mamy komputery po³±czone ze sob± zwojami drutów, ¶wiat³owodami, mikrofalami i tym podobnymi; za ich pomoc± umawiamy siê na sobotni mecz pi³ki no¿nej*. Poni¿ej opiszemy, jakimi ¶rodkami i metodami mo¿na nak³oniæ komputery do porozumiewania siê, choæ pominiemy i druty, i pi³kê no¿n±. 
W tym przewodniku opiszemy trzy typy sieci. G³ównie skupimy siê na sieciach opartych na TCP/IP, który jest najpopularniejszym zestawem protoko³ów stosowanym zarówno w sieciach lokalnych (Local Area Networks - LAN), jak i w sieciach rozleg³ych (Wide Area Networks - WAN), takich jak Internet. Przyjrzymy siê równie¿ protoko³om UUCP i IPX. Swego czasu UUCP by³ powszechnie u¿ywany do przesy³ania wiadomo¶ci Usenet i poczty przez komutowane po³±czenia telefoniczne. Obecnie jest mniej popularny, ale wci±¿ bywa przydatny w pewnych sytuacjach. Protokó³ IPX jest u¿ywany przewa¿nie w ¶rodowisku Novell NetWare. Opiszemy, jak wykorzystaæ go do pod³±czenia maszyny linuksowej do sieci Novell. Ka¿dy z wymienionych protoko³ów jest protoko³em sieciowym s³u¿±cym do przesy³ania danych pomiêdzy komputerami. Omówimy, jak s± one u¿ywane, i poka¿emy rz±dz±ce nimi zasady.
Sieæ definiujemy jako zbiór hostów, które s± w stanie komunikowaæ siê ze sob±, czêsto za po¶rednictwem pewnych wybranych spo¶ród nich hostów, które rozsy³aj± dane pomiêdzy uczestników. Hosty to czêsto komputery, ale nie zawsze - za hosty mo¿na uznaæ tak¿e X terminale czy inteligentne drukarki. Niewielkie zbiorowiska hostów s± nazywane równie¿ o¶rodkami (ang. sites).
Komunikacja nie jest mo¿liwa bez pewnego rodzaju jêzyka czy kodu. W sieciach komputerowych te jêzyki s± nazywane protoko³ami. Jednak protoko³u sieciowego nie powiniene¶ kojarzyæ z pisemnym sprawozdaniem z zebrania. Trafniejsza jest analogia do sformalizowanych regu³ zachowania obowi±zuj±cych, gdy na przyk³ad spotykaj± siê g³owy pañstw, czyli do protoko³u dyplomatycznego. Podobne protoko³y u¿ywane w sieciach komputerowych to po prostu sztywne zasady wymiany komunikatów pomiêdzy dwoma lub wiêcej hostami.
Sieci TCP/IP
Nowoczesne aplikacje sieciowe wymagaj± wyrafinowanego podej¶cia do przesy³ania danych z jednej maszyny do drugiej. Je¿eli zarz±dzasz maszyn± z Linuksem, z której korzysta wielu u¿ytkowników, to mo¿e siê zdarzyæ, ¿e wszyscy jednocze¶nie bêd± chcieli po³±czyæ siê ze zdalnymi hostami w sieci. Potrzebujesz wiêc sposobu, który pozwoli im wspó³dzieliæ po³±czenie sieciowe bez przeszkadzania sobie wzajemnie. Rozwi±zanie, które wykorzystuje wiele wspó³czesnych protoko³ów sieciowych, nazywane jest prze³±czaniem pakietów. Pakiet to ma³a porcja danych, przesy³ana przez sieæ z jednej maszyny do drugiej. Prze³±czanie wystêpuje w momencie, gdy datagram jest przenoszony przez dowolne ³±cze w sieci. W sieci z prze³±czaniem pakietów jedno ³±cze jest wspó³dzielone przez wielu u¿ytkowników w ten sposób, ¿e przez to ³±cze pakiety s± wysy³ane kolejno od jednego u¿ytkownika do drugiego.
Rozwi±zanie, które przyjê³o siê w wielu systemach Unix, a nastêpnie tak¿e w systemach nieuniksowych, nosi nazwê TCP/IP. Przy omawianiu sieci TCP/IP spotkasz siê z okre¶leniem datagram, które jest czêsto u¿ywane wymiennie z okre¶leniem pakiet, choæ ma te¿ inne, techniczne znaczenie. W tym podrozdziale przyjrzymy siê podstawowym pojêciom zwi±zanym z TCP/IP.
Wprowadzenie do sieci TCP/IP
Pocz±tki TCP/IP siêgaj± programu badawczego finansowanego przez amerykañsk± agencjê rz±dow± DARPA (Defense Advanced Research Projects Agency) w 1969 roku. ARPANET by³a sieci± eksperymentaln±, która w 1975 roku, po latach zakoñczonych sukcesem badañ, sta³a siê sieci± operacyjn±.
W 1983 roku jako standard przyjêto nowy zestaw protoko³ów o nazwie TCP/IP, którego mia³y u¿ywaæ wszystkie hosty w sieci. Ostatecznie ARPANET przekszta³ci³ siê w Internet (sam ARPANET przesta³ istnieæ w 1990 roku), a zestaw TCP/IP jest stosowany tak¿e poza nim. Wiele firm stworzy³o korporacyjne sieci TCP/IP, a Internet osi±gn±³ poziom, w którym mo¿na go uznaæ za wszechobecn± technologiê. Trudno jest, czytaj±c gazetê lub czasopismo, nie zauwa¿yæ odno¶ników do Internetu - prawie ka¿dy ma dzi¶ do niego dostêp.
Aby nasze rozwa¿ania o TCP/IP oprzeæ na czym¶ konkretnym, we¼my jako przyk³ad sieæ uniwersytetu Groucho Marx (GMU), znajduj±cego siê gdzie¶ w Fredland. Wiêkszo¶æ wydzia³ów tej uczelni posiada w³asne sieci lokalne, jednak niektóre wspó³dziel± jedn± sieæ, a inne maj± ich po kilka. Wszystkie one s± po³±czone ze sob± i pod³±czone do Internetu poprzez jedno szybkie ³±cze.
Za³ó¿my, ¿e twój linuksowy komputer jest pod³±czony do sieci LAN zbudowanej z hostów uniksowych na wydziale matematyki i nazywa siê erdos. Aby dostaæ siê do hosta, powiedzmy quark, na wydziale fizyki, wprowadzasz nastêpuj±ce polecenie:

$ rlogin quark.physics
Welcome to the Physics Department at GMU
(ttyq2) login:

Po monicie wpisujesz nazwê u¿ytkownika, powiedzmy andres, i swoje has³o. Nastêpnie uzyskujesz dostêp do pow³oki* komputera quark, w której mo¿esz pisaæ tak, jakby¶ siedzia³ przy jego konsoli. Gdy wyjdziesz z pow³oki, powracasz do monitu w³asnej maszyny. W³a¶nie u¿y³e¶ jednej z natychmiastowych, interaktywnych aplikacji, udostêpnianych przez TCP/IP: zdalnego logowania.
Gdy jeste¶ zalogowany do maszyny quark, mo¿esz równie¿ uruchomiæ aplikacjê graficzn±, np. program procesora tekstów, program do rysowania czy przegl±darkê WWW. System X Window jest w pe³ni sieciowym ¶rodowiskiem graficznym, dostêpnym dla wielu ró¿nych systemów komputerowych. Aby powiedzieæ aplikacji, ¿e chcesz, aby na ekranie twojego hosta ukazywa³y siê jej okna, musisz ustawiæ zmienn± ¶rodowiskow± DISPLAY:

$ DISPLAY=erdos.maths:0.0
$ export DISPLAY

Je¿eli teraz uruchomisz swoj± aplikacjê, skontaktuje siê ona z twoim X serwerem, a nie z tym dzia³aj±cym na quarku, i wy¶wietli wszystkie okna na twoim ekranie. Oczywi¶cie na erdosie musi dzia³aæ X11. Istota sprawy polega na tym, ¿e TCP/IP pozwala quarkowi i erdosowi na wysy³anie pakietów X11 w tê i z powrotem, st±d masz wra¿enie, ¿e znajdujesz siê w jednym systemie. Sieæ jest tu niemal przezroczysta.
Kolejn± bardzo wa¿n± aplikacj± TCP/IP jest NFS. Jej nazwa to skrót od s³ów Network File System (sieciowy system plików). Jest to inny sposób na spowodowanie, by sieæ by³a przezroczysta. NFS pozwala na traktowanie hierarchii katalogów z innych hostów tak, jakby by³y one lokalnymi systemami plików, i sprawia, ¿e wygl±daj± one jak inne katalogi na twoim ho¶cie. Na przyk³ad katalogi domowe wszystkich u¿ytkowników mog± byæ przechowywane na serwerze centralnym, z którego mog± je montowaæ wszystkie hosty w sieci LAN. W efekcie u¿ytkownicy mog± logowaæ siê do dowolnej maszyny i znale¼æ siê w tym samym katalogu. Podobnie mo¿liwe jest wspó³dzielenie du¿ej liczby danych (takich jak bazy danych, dokumentacje czy aplikacje) przez wiele hostów w ten sposób, ¿e na serwerze jest utrzymywana jedna baza danych, do której maj± dostêp inne hosty. Do NFS-u powrócimy w rozdziale 14, Sieciowy system plików.
Oczywi¶cie s± to tylko przyk³ady tego, co mo¿esz zrobiæ w sieciach TCP/IP. Mo¿liwo¶ci s± prawie nieograniczone i podczas lektury tej ksi±¿ki poznasz ich wiêcej.
Teraz przyjrzymy siê bli¿ej sposobowi dzia³ania TCP/IP. Wiedza ta pomo¿e ci zrozumieæ, jak musisz skonfigurowaæ swój komputer i dlaczego. Rozpoczniemy od analizy sprzêtu.
Ethernet
Najpopularniejszym rodzajem sprzêtu w sieci lokalnej jest Ethernet. W najprostszej postaci sk³ada siê z jednego kabla i hostów pod³±czonych do niego przez wtyczki lub transceivery. Prosta instalacja ethernetowa jest stosunkowo niedroga, co wraz z przepustowo¶ci± sieci rzêdu 10, 100 czy nawet 1000 megabitów na sekundê przyczyni³o siê do du¿ej popularno¶ci tego standardu sprzêtowego.
Ethernet wystêpuje w trzech odmianach: cienki, gruby i skrêtkowy. Cienki Ethernet i gruby Ethernet wykorzystuj± kable wspó³osiowe, które ró¿ni± siê ¶rednic± i sposobem pod³±czania kabla do hosta. Cienki Ethernet wykorzystuje z³±cza "BNC" w kszta³cie litery T, które wk³adasz w kabel i wkrêcasz do gniazda z ty³u komputera. Gruby Ethernet wymaga wywiercenia niewielkiej dziurki w kablu i pod³±czenia transceivera za pomoc± "zaczepu wampirowego" (ang. vampire tap). Nastêpnie do transceivera mo¿na pod³±czyæ hosty (jeden lub wiêcej). Cienki kabel ethernetowy mo¿e mieæ maksymalnie 200 metrów d³ugo¶ci, za¶ kabel gruby - 500; ich nazwy to, odpowiednio, 10base-2 i 10base-5. "Base" odnosi siê do modulacji pasma podstawowego (ang. baseband modulation) i po prostu oznacza, ¿e dane s± wysy³ane do kabla bezpo¶rednio, bez ¿adnego modemu. Liczba na pocz±tku oznacza prêdko¶æ w megabitach na sekundê, a liczba na koñcu maksymaln± d³ugo¶æ kabla w setkach metrów. Sieæ skrêtkowa wykorzystuje kabel zbudowany z dwóch par drutów miedzianych i zwykle wymaga dodatkowego urz±dzenia zwanego hubem aktywnym. Sieæ skrêtkowa jest tak¿e znana pod nazw± 10base-T, gdzie "T" oznacza skrêtkê. Wersja sieci dzia³aj±ca z prêdko¶ci± 100 megabitów nosi nazwê 100base-T.
Aby dodaæ host do sieci zbudowanej w oparciu o cienki Ethernet, musisz przerwaæ jej dzia³anie na co najmniej kilka minut, poniewa¿ trzeba roz³±czyæ kabel i do³o¿yæ wtyczki. Chocia¿ dodanie hosta do instalacji zbudowanej w oparciu o gruby Ethernet jest nieco bardziej skomplikowane, zwykle nie wymaga wy³±czenia sieci. Ethernet oparty na skrêtce jest jeszcze mniej k³opotliwy. Wykorzystuje urz±dzenie zwane hubem. Pe³ni ono rolê punktu pod³±czeniowego. Mo¿esz do³±czaæ hosty do huba lub od³±czaæ je bez przerywania pracy ca³ej sieci.
Wiele osób woli cienki Ethernet w ma³ych sieciach, poniewa¿ jest on niedrogi. Karty PC kosztuj± oko³o 30 USD (obecnie wiele firm dos³ownie je wyrzuca), a kabel - kilka centów za metr. Jednak w du¿ych instalacjach lepszy jest gruby Ethernet lub skrêtka. Na przyk³ad na wydziale matematyki GMU pierwotnie wybrano gruby Ethernet, poniewa¿ kabel musia³ byæ d³ugi, a wiêc ruch nie mo¿e byæ zak³ócany za ka¿dym razem, gdy do sieci jest dodawany nowy host. Instalacje skrêtkowe s± obecnie bardzo popularne. Huby taniej±, a mniejsze jednostki mo¿na dostaæ za cenê, która jest atrakcyjna nawet dla ma³ych sieci domowych. Okablowanie skrêtkowe mo¿e byæ znacznie tañsze w przypadku du¿ych instalacji, a sam kabel jest du¿o bardziej elastyczny ni¿ kable wspó³osiowe u¿ywane w innych rodzajach sieci Ethernet. Administratorzy sieci na wydziale matematyki GMU planuj± w przysz³ym roku finansowym wymieniæ istniej±ce okablowanie i urz±dzenia na skrêtkowe, by unowocze¶niæ sieæ i zaoszczêdziæ czas przy instalowaniu nowych hostów i przenoszeniu istniej±cych z miejsca na miejsce.
Jedn± z wad technologii Ethernet jest ograniczenie d³ugo¶ci kabla, co uniemo¿liwia jej zastosowanie w sieciach innych ni¿ LAN. Jednak za pomoc± wzmacniaków (ang. repeater), bryd¿y i ruterów mo¿liwe jest ³±czenie ze sob± segmentów sieci Ethernet. Wzmacniaki po prostu kopiuj± sygna³y pomiêdzy dwoma lub wiêcej segmentami tak, ¿e wszystkie segmenty dzia³aj± jakby to by³a jedna sieæ Ethernet. Ze wzglêdu na wymagania czasowe, mo¿na umie¶ciæ co najwy¿ej cztery wzmacniaki pomiêdzy dwoma hostami w sieci. Bryd¿e i rutery s± bardziej inteligentne. Analizuj± nadchodz±ce dane i przekazuj± je tylko wtedy, je¿eli docelowy host nie znajduje siê w sieci lokalnej.
Ethernet dzia³a na zasadzie systemu magistralowego, gdzie host mo¿e wysy³aæ pakiety (lub ramki) o wielko¶ci do 1500 bajtów do innego hosta w tej samej sieci Ethernet. Host jest identyfikowany za pomoc± sze¶ciobajtowego adresu trwale zapisanego w oprogramowaniu firmowym interfejsu karty sieciowej Ethernet (Network Interface Card, NIC). Adresy te s± zwykle sekwencj± dwucyfrowych liczb szesnastkowych oddzielonych dwukropkami, czyli na przyk³ad aa:bb:cc:dd:ee:ff.
Ramkê wysy³an± przez jedn± stacjê widz± wszystkie pod³±czone stacje, ale tylko host, dla którego jest przeznaczona, odczytuje j± i przetwarza. Je¿eli dwie stacje próbuj± wys³aæ ramkê w tym samym czasie, dochodzi do kolizji. Kolizje w sieci Ethernet s± wykrywane bardzo szybko przez elektronikê kart interfejsu i s± rozwi±zywane przez przerwanie wysy³ania z obu stacji, odczekanie przez ka¿d± z nich losowego przedzia³u czasu i ponown± próbê transmisji. Nieraz spotkasz siê z opini±, ¿e kolizje w Ethernecie s± problemem i ¿e przez nie wykorzystanie Ethernetu wynosi zaledwie oko³o 30 procent dostêpnego pasma. Kolizje s± zjawiskiem typowym dla sieci Ethernet i nie powiniene¶ byæ zaskoczony, zw³aszcza je¶li sieæ jest przeci±¿ona. Mo¿e ich byæ maksymalnie 30 procent. Wykorzystanie sieci Ethernet jest w rzeczywisto¶ci ograniczone do oko³o 60 procent - dopiero je¿eli nie osi±gniesz tej warto¶ci, to mo¿esz zacz±æ siê martwiæ*.
Inne typy urz±dzeñ
W wiêkszych instalacjach, takich jak na uniwersytecie Groucho Marx, Ethernet zwykle nie jest jedynym typem u¿ywanego sprzêtu. Istnieje wiele innych protoko³ów przesy³ania danych, które mo¿na wykorzystywaæ. Wszystkie wymienione poni¿ej protoko³y s± obs³ugiwane przez Linuksa, ale ze wzglêdu na ograniczon± ilo¶æ miejsca przedstawimy je skrótowo. Szczegó³owy opis wielu innych protoko³ów znajduje siê w odpowiednich dokumentach HOWTO, mo¿esz tam zajrzeæ, je¿eli jeste¶ zainteresowany poznaniem tych, których nie opisujemy w naszej ksi±¿ce.
Na uniwersytecie Groucho Marx sieæ LAN ka¿dego wydzia³u jest pod³±czona do szybkiej sieci szkieletowej, w której wykorzystano ¶wiat³owód i technologiê sieciow± FDDI (Fiber Distributed Data Interface). FDDI prezentuje ca³kiem inne podej¶cie do przesy³ania danych, zasadniczo polegaj±ce na wysy³aniu ¿etonów (ang. tokens). Stacja ma prawo wys³aæ ramkê tylko wtedy, je¿eli wcze¶niej odbierze ¿eton. G³ówn± zalet± protoko³u przekazywania ¿etonów jest zmniejszenie liczby kolizji. Protokó³ mo¿e du¿o pro¶ciej osi±gn±æ pe³n± prêdko¶æ przesy³ania, w przypadku FDDI do 100 Mb/s. FDDI oparte na ¶wiat³owodzie ma wiele zalet, poniewa¿ dopuszczalna d³ugo¶æ kabla jest du¿o wiêksza ni¿ w technologiach wykorzystuj±cych zwyk³y kabel miedziany. Limit wynosi tutaj oko³o 200 km, co sprawia, ¿e FDDI znakomicie nadaje siê do ³±czenia wielu budynków w mie¶cie lub, tak jak w naszym przyk³adzie, wielu budynków campusu.
Podobnie je¿eli w okolicy znajduj± siê urz±dzenia sieciowe firmy IBM, prawdopodobnie zainstalowano sieæ IBM Token Ring. Token Ring jest stosowana jako alternatywa dla Ethernetu w niektórych sieciach LAN i ma te same zalety co FDDI, je¶li chodzi o prêdko¶æ, ale mniejsz± przepustowo¶æ (4 lub 16 Mb/s). Jest te¿ tañsza, poniewa¿ wykorzystuje kabel miedziany, a nie ¶wiat³owodowy. W Linuksie sieæ Token Ring jest konfigurowana prawie tak samo jak Ethernet, a wiêc nie musimy jej tutaj po¶wiêcaæ wiêcej uwagi.
W sieciach lokalnych LAN mog± byæ te¿ stosowane inne technologie, takie jak ArcNet czy DECNet, choæ obecnie ju¿ raczej sporadycznie. Linux równie¿ je obs³uguje, ale nie bêdziemy ich tu opisywaæ.
Wiele sieci pañstwowych obs³ugiwanych przez firmy telekomunikacyjne wykorzystuje protoko³y prze³±czania pakietów. Chyba najwiêksz± popularno¶ci± cieszy siê standard o nazwie X.25. Wiele sieci publicznych, takich jak Tymnet w USA, Austpac w Australii i Datex-P w Niemczech, oferuje tê us³ugê. X.25 definiuje zestaw protoko³ów sieciowych, które opisuj±, jak urz±dzenie bêd±ce terminalem danych, takie jak host, ³±czy siê ze urz±dzeniem do przesy³ania danych (prze³±cznikiem X.25). X.25 wymaga synchronicznego ³±cza danych, a zatem specjalnego synchronicznego portu szeregowego. Mo¿na stosowaæ X.25 z normalnymi portami szeregowymi pod warunkiem, ¿e ma siê specjalne urz±dzenie o nazwie PAD (Packet Assembler Disassembler). PAD jest samodzielnym urz±dzeniem udostêpniaj±cym synchroniczne i asynchroniczne porty szeregowe. Obs³uguje protokó³ X.25, tak wiêc proste urz±dzenia terminalowe mog± nawi±zywaæ i przyjmowaæ po³±czenia realizowane za pomoc± tego protoko³u. X.25 jest czêsto u¿ywany do przesy³ania innych protoko³ów sieciowych, takich jak TCP/IP. Poniewa¿ datagramy IP nie mog± byæ w prosty sposób przet³umaczone na X.25 (lub odwrotnie), s± one enkapsulowane w pakietach X.25 i wysy³ane przez sieæ. W Linuksie dostêpna jest eksperymentalna implementacja protoko³u X.25.

Nowszym protoko³em, powszechnie oferowanym przez firmy telekomunikacyjne, jest Frame Relay. Pod wzglêdem technicznym ma on wiele wspólnego z protoko³em X.25, ale w dzia³aniu bardziej przypomina protokó³ IP. Podobnie jak X.25, tak Frame Relay wymaga specjalnego synchronicznego portu szeregowego. St±d wiele kart obs³uguje oba te protoko³y. Alternatyw± jest urz±dzenie nazywane Frame Relay Access Device (FRAD) obs³uguj±ce enkapsulacjê pakietów Ethernet w pakietach Frame Relay na czas transmisji w sieci. Frame Relay znakomicie nadaje siê do przesy³ania pakietów TCP/IP pomiêdzy o¶rodkami. Linux jest wyposa¿ony w sterowniki, które obs³uguj± pewne typy wewnêtrznych urz±dzeñ Frame Relay.
Je¿eli potrzebujesz szybszej sieci, która bêdzie przesy³aæ wiele ró¿nych i nietypowych rodzajów danych, takich jak cyfrowo zapisany g³os i wideo, to zapewne zainteresuje ciê ATM (Asynchronous Transfer Mode). ATM jest now± technologi± sieciow±, która zosta³a zaprojektowana tak, by zapewniæ ³atwe zarz±dzanie, du¿± prêdko¶æ, ma³e opó¼nienia przy przesy³aniu danych i kontrolê nad jako¶ci± us³ug (Quality of Service - QS). Wiele firm telekomunikacyjnych, które licz± na usprawnienie zarz±dzania sieci± i jej obs³ugi, siêga po infrastrukturê sieci ATM, poniewa¿ pozwala ona ³±czyæ wiele ró¿nych us³ug sieciowych na jednej platformie. ATM jest czêsto u¿ywana do przesy³ania protoko³u TCP/IP. W Networking-HOWTO znajdziesz informacje na temat obs³ugi ATM-u przez Linuksa.
Czêsto radioamatorzy wykorzystuj± swój sprzêt do ³±czenia komputerów w sieæ - powszechnie nosi to nazwê radia pakietowego (ang. packet radio). Jednym z protoko³ów wykorzystywanych przez nich jest AX.25, w pewnym stopniu oparty na X.25. Radioamatorzy u¿ywaj± protoko³u AX.25 do przesy³ania TCP/IP, a tak¿e innych protoko³ów. AX.25, podobnie jak X.25, wymaga urz±dzenia szeregowego, które mo¿e dzia³aæ w trybie synchronicznym lub urz±dzenia zewnêtrznego o nazwie Terminal Node Controller, które konwertuje pakiety przesy³ane przez ³±cze asynchroniczne na pakiety przesy³ane synchronicznie. Istnieje szereg ró¿nych kart interfejsów obs³uguj±cych radio pakietowe - mówi siê, ¿e s± to karty oparte na Z8530 SCC. Nazwa ta odnosi siê do najpopularniejszego kontrolera komunikacyjnego u¿ywanego do ich budowy. Dwa inne protoko³y, czêsto przesy³ane przez AX.25, to NetRom i Rose - s± to protoko³y warstwy sieciowej. Poniewa¿ protoko³y te dzia³aj± w oparciu o AX.25, maj± te same wymagania sprzêtowe. Linux w pe³ni implementuje protoko³y AX.25, NetRom i Rose. AX25-HOWTO jest dobrym ¼ród³em informacji na temat implementacji tych protoko³ów w Linuksie.
Dostêp do Internetu mo¿na równie¿ uzyskaæ poprzez po³±czenia komutowane do systemu centralnego korzystaj±ce z wolnych, ale tanich ³±czy szeregowych (telefon, ISDN i tym podobne). Wymagaj± one jeszcze innych protoko³ów przesy³ania pakietów, takich jak SLIP czy PPP. Opiszemy je pó¼niej. 
Protokó³ internetowy (IP)
Zapewne szczytem twoich marzeñ nie jest sieæ oparta na jednym po³±czeniu ethernetowym lub typu punkt-punkt. Idealnie by³oby, gdyby¶ móg³ ³±czyæ siê z hostem bez wzglêdu na to, jakiego typu ³±czem fizycznym jest pod³±czony do sieci. Na przyk³ad w du¿ych instalacjach, takich jak na przyk³adowym uniwersytecie Groucho Marx, zwykle masz kilka oddzielnych sieci, które s± w pewien sposób ze sob± po³±czone. Wydzia³ matematyki ma dwie sieci Ethernet, jedn± z szybkimi maszynami dla profesorów i absolwentów, a drug± z wolnymi komputerami dla studentów. Obie s± pod³±czone do szkieletowej sieci FDDI w campusie.
Po³±czenie to jest obs³ugiwane przez dedykowany host zwany gatewayem, który obs³uguje nadchodz±ce i wychodz±ce pakiety, kopiuj±c je miêdzy dwoma Ethernetami i kablem optycznym w sieci FDDI. Na przyk³ad gdyby¶ by³ na wydziale matematyki i chcia³by¶ dostaæ siê ze swojego Linuksa do komputera quark na wydziale fizyki, oprogramowanie sieciowe nie wys³a³oby pakietów bezpo¶rednio do komputera quark, poniewa¿ nie znajduje siê on w tym samym segmencie Ethernet. W tym wypadku jako przeka¼nik zostanie wykorzystany gateway. Gateway (o nazwie sophus) przekazuje te pakiety poprzez sieæ szkieletow± do gatewaya niels na wydziale fizyki. Dopiero niels dostarcza je do docelowej maszyny. Przep³yw danych pomiêdzy komputerami erdos i quark pokazano na rysunku 1-1.

Rysunek 1-1. Trzy etapy wysy³ania datagramu z erdosa do quarka
http://www.rm.com.pl/upgr/lpas/01-01.tif

Taki sposób przekazywania danych do zdalnego hosta nazywa siê rutowaniem, a w tym kontek¶cie pakiety czêsto s± nazywane datagramami. Aby upro¶ciæ opisan± procedurê, wymianê datagramów niezale¿nie od stosowanych urz±dzeñ, powierza siê zawsze temu samemu protoko³owi, który nosi nazwê protoko³u internetowego (Internet Protocol - IP). W rozdziale 2, Wybrane problemy sieci TCP/IP, opiszemy bardziej szczegó³owo zarówno IP, jak i ruting.
G³ówn± zalet± IP jest to, ¿e przekszta³ca on fizycznie ró¿ne od siebie sieci w jedn±, stuprocentowo homogeniczn± sieæ. Nazywa siê to wspó³dzia³aniem miêdzysieciowym (ang. internetworking), a uzyskana "metasieæ" to internet. Zwróæ tutaj uwagê na subteln± ró¿nicê pomiêdzy nazwami "internet" a "Internet". Ta ostatnia to nazwa w³asna konkretnego internetu o globalnym zasiêgu. 
Oczywi¶cie IP wymaga tak¿e niezale¿nego od sprzêtu schematu adresowania. Taki schemat to unikalny 32-bitowy numer przypisywany ka¿demu hostowi, zwany adresem IP. Adres IP ma zwykle postaæ czterech liczb dziesiêtnych, oddzielonych kropkami, po jednej liczbie na ka¿dy 8-bitowy segment. Na przyk³ad quark móg³by mieæ adres IP o postaci 0x954C0C04, który by³by zapisany jako 149.76.12.4. Format ten jest równie¿ nazywany kropkow± notacj± dziesiêtn± (ang. dotted decimal notation), a czasem kropkow± notacj± czwórkow± (ang. dotted quad notation). Dla adresów IP coraz czê¶ciej spotyka siê nazwê IPv4 (od Internet Protocol Version 4), poniewa¿ nowy standard o nazwie IPv6 oferuje du¿o bardziej elastyczny sposób adresowania oraz inne, nowoczesne w³asno¶ci. Ale minie co najmniej rok od wydania tej ksi±¿ki, zanim wejdzie on w ¿ycie.
Zapewne ju¿ zauwa¿y³e¶, ¿e mamy teraz trzy ró¿ne typy adresów: pierwszy to nazwa hosta, jak quark, nastêpnie adres IP i jeszcze adresy sprzêtowe, takie jak 6-bajtowy adres ethernetowy. Wszystkie te adresy w pewien sposób musz± do siebie pasowaæ, tak ¿eby po napisaniu rlogin quark, oprogramowanie sieciowe mog³o podaæ adres IP komputera quark, a nastêpnie znale¼æ adres ethernetowy odpowiadaj±cy adresowi IP, wtedy gdy IP dostarczy ju¿ dane do sieci Ethernet na wydziale fizyki.
Sytuacjê tê omówimy w rozdziale 2. Teraz wystarczy zapamiêtaæ, ¿e wyszukiwanie adresów jest nazywane albo rozwi±zywaniem nazwy hosta, je¶li dotyczy zamiany nazw hostów na adresy IP, albo rozwi±zywaniem adresów, je¶li ma nast±piæ zamiana tych drugich na adresy sprzêtowe.
IP w ³±czach szeregowych
W ³±czach szeregowych obowi±zuje standard znany jako SLIP (Serial Line IP - protokó³ internetowy ³±cza szeregowego). Zmodyfikowana wersja SLIP, znana pod nazw± CSLIP (Compressed SLIP - SLIP z kompresj±), kompresuje nag³ówki IP, co pozwala lepiej wykorzystaæ relatywnie ma³± przepustowo¶æ cechuj±c± wiêkszo¶æ ³±czy szeregowych. Innym protoko³em szeregowym jest PPP (Point-to-Point Protocol - protokó³ punkt-punkt). PPP jest bardziej nowoczesny, ni¿ SLIP i posiada ró¿ne w³a¶ciwo¶ci, które stanowi± o jego wiêkszej atrakcyjno¶ci. Jego g³ówn± zalet± w stosunku do SLIP jest to, ¿e nie ogranicza siê do przesy³ania datagramów IP, ale jest zaprojektowany tak, by mo¿na by³o przez niego przesy³aæ dowolny protokó³.
Protokó³ kontroli transmisji (TCP)
Wysy³anie datagramów z jednego hosta do innego to nie wszystko. Je¿eli zalogujesz siê do quarka, bêdziesz chcia³ mieæ niezawodne po³±czenie pomiêdzy twoim procesem rlogin na erdosie a procesem pow³oki na quarku. Tak, wiêc informacja wys³ana tam i z powrotem musi byæ podzielona na pakiety przez nadawcê i ponownie po³±czona w ci±g znaków przez odbiorcê. Choæ wydaje siê to trywialne, jest jednak czynno¶ci± do¶æ z³o¿on±.
Nale¿y pamiêtaæ, ¿e IP jest z za³o¿enia protoko³em zawodnym. Za³ó¿my, ¿e dziesiêæ osób w twojej sieci Ethernet rozpoczê³o pobieranie najnowszej wersji kodu ¼ród³owego przegl±darki Netscape z serwera FTP nale¿±cego do przyk³adowego uniwersytetu. Wygenerowany w ten sposób ruch mo¿e byæ za du¿y dla gatewaya, który jest za wolny, i ma za ma³o pamiêci. Je¿eli teraz zdarzy siê, ¿e wy¶lesz pakiet do quarka, sophusowi mo¿e zabrakn±æ przez chwilê miejsca na buforowanie i nie bêdzie w stanie przekazaæ twojego pakietu. W tej sytuacji IP po prostu gubi pakiet, który znika bezpowrotnie. Dlatego to komunikuj±ce siê hosty s± odpowiedzialne za sprawdzenie integralno¶ci i kompletno¶ci danych oraz ich ponown± transmisjê w przypadku b³êdu.
To zadanie jest realizowane przez inny protokó³ - TCP (Transmission Control Protocol), który jest niezawodn± us³ug± ponad IP. Istotn± w³asno¶ci± TCP jest to, ¿e u¿ywa on IP, by daæ ci wra¿enie prostego po³±czenia pomiêdzy dwoma procesami, odpowiednio na twoim ho¶cie i zdalnej maszynie, a wiêc nie musisz martwiæ siê o to, jak i którêdy s± w rzeczywisto¶ci przesy³ane twoje dane. Po³±czenie TCP dzia³a w rzeczywisto¶ci jak dwukierunkowy potok, do którego oba procesy mog± zapisywaæ i odczytywaæ. Dobra jest tu analogia do rozmowy telefonicznej.
TCP identyfikuje punkty koñcowe ka¿dego po³±czenia po adresach IP dwóch komunikuj±cych siê hostów i numerach portów na ka¿dym z nich. Porty mog± byæ postrzegane jako punkty zaczepienia po³±czeñ sieciowych. Gdyby¶my wrócili do przyk³adu z rozmow± telefoniczn±, to mo¿na sobie wyobraziæ, ¿e hosty to miasta, za¶ adresy IP to numery kierunkowe (gdzie numery odwzorowuj± miasta), a numery portów to konkretne numery lokalne (gdzie numery odwzorowuj± indywidualne numery telefonów). Pojedynczy host mo¿e realizowaæ wiele ró¿nych us³ug, rozpoznawanych po numerze portu.
W przyk³adzie rlogin, aplikacja klienta (rlogin) otwiera port na ho¶cie erdos i ³±czy siê z portem 513 hosta quark, na którym nas³uchuje serwer rlogind. W ten sposób zostaje nawi±zane po³±czenie TCP. Za pomoc± tego po³±czenia rlogind przeprowadza procedurê autoryzacji, a nastêpnie uruchamia pow³okê. Standardowe wej¶cie i wyj¶cie pow³oki s± przekierowywane na po³±czenie TCP, a wiêc wszystko, co napiszesz w aplikacji rlogin na swojej maszynie, zostanie przekazane przez strumieñ TCP i podane pow³oce jako standardowe wej¶cie.
Protokó³ datagramów u¿ytkownika (UDP)
Oczywi¶cie TCP nie jest jedynym protoko³em u¿ytkownika w sieci TCP/IP. Choæ jest odpowiedni dla aplikacji takich jak rlogin, jego z³o¿ono¶æ uniemo¿liwia wykorzystanie go w aplikacjach, takich jak NFS, które z kolei u¿ywaj± bratniego protoko³u - UDP (User Datagram Protocol - protokó³ datagramów u¿ytkownika). Podobnie jak TCP, UDP pozwala aplikacji na ³±czenie siê z us³ug± na pewnym porcie zdalnej maszyny, ale bez zestawiania po³±czenia. Mo¿na go wykorzystaæ do wysy³ania pojedynczych pakietów do docelowej us³ugi - st±d nazwa.
Za³ó¿my, ¿e chcesz poprosiæ o niewielk± porcjê danych z serwera baz danych. Zestawienie po³±czenia TCP wymaga co najmniej trzech datagramów, kolejne trzy s± potrzebne do wys³ania i potwierdzenia niewielkiej porcji danych w ka¿d± stronê, a nastêpne trzy do zamkniêcia po³±czenia. UDP obs³u¿y takie po³±czenie za pomoc± tylko dwóch datagramów, a efekt koñcowy bêdzie taki sam. UDP jest protoko³em bezpo³±czeniowym i nie wymaga zestawiania i zamykania sesji. Po prostu umieszczamy dane w datagramie i wysy³amy go do serwera - serwer przygotowuje odpowied¼, umieszcza dane w datagramie zaadresowanym zwrotnie (do nas) i przesy³a go z powrotem. Choæ w przypadku prostych transakcji UDP dzia³a szybciej i bardziej efektywnie ni¿ TCP, nie reaguje na gubienie datagramów. Dba³o¶æ o kompletno¶æ danych pozostawia siê aplikacji, na przyk³ad aplikacji serwera nazw.
Wiêcej na temat portów
Porty mo¿na traktowaæ jako punkty zaczepienia po³±czeñ sieciowych. Je¿eli aplikacja chce udostêpniæ jak±¶ us³ugê, pod³±cza siê sama do portu i czeka na klientów (czêsto nazywa siê to nas³uchiwaniem na porcie). Klient, który chce skorzystaæ z tej us³ugi, alokuje port na swoim ho¶cie lokalnym i pod³±cza siê do portu serwera na ho¶cie zdalnym. Ten sam port mo¿e byæ otwarty na wielu ró¿nych maszynach, ale na ka¿dej maszynie tylko jeden proces mo¿e otworzyæ port w danej chwili.
Istotn± w³asno¶ci± portów jest to, ¿e gdy zostanie ustanowione po³±czenie pomiêdzy klientem a serwerem, inna kopia serwera mo¿e pod³±czyæ siê do portu serwera i oczekiwaæ kolejnych klientów. Ta w³a¶ciwo¶æ pozwala na przyk³ad na kilka jednoczesnych zdalnych logowañ do tego samego hosta wykorzystuj±cych port 513. TCP jest w stanie rozró¿niæ te po³±czenia, poniewa¿ przychodz± one z ró¿nych portów lub hostów. Je¿eli zalogujesz siê dwukrotnie z erdosa do quarka, pierwszy klient rlogin wykorzysta port lokalny 1023, a drugi port 1022. Jednak oba pod³±cz± siê do tego samego portu 513 hosta quark. Te dwa po³±czenia bêd± rozró¿niane poprzez numery portów na erdosie.
W powy¿szym przyk³adzie u¿yto portów jako miejsca spotkania - klient kontaktuje siê z okre¶lonym portem, by uzyskaæ dan± us³ugê. Aby klient wiedzia³, z jakim numerem portu ma siê kontaktowaæ, administratorzy obu systemów musz± uzgodniæ przypisanie numerów portów. W przypadku popularnych us³ug, takich jak rlogin, numerami tymi administruje centralnie organizacja IETF (Internet Engineering Task Force), która regularnie publikuje RFC o nazwie Assigned Numbers (RFC-1700). Dokument ten zawiera miêdzy innymi numery portów przypisane dobrze znanym us³ugom. Linux wykorzystuje plik o nazwie /etc/services, który kojarzy nazwy us³ug z numerami portów.
Warto zauwa¿yæ, ¿e choæ zarówno po³±czenia TCP, jak i UDP opieraj± siê na portach, to ich numery nie k³óc± siê ze sob±. Oznacza to, ¿e na przyk³ad port 513 TCP ró¿ni siê od portu 513 UDP. W rzeczywisto¶ci porty te dzia³aj± jako punkty dostêpu dla dwóch ró¿nych us³ug: rlogin (TCP) i rwho (UDP).

Biblioteka socket
W uniksowych systemach operacyjnych oprogramowanie realizuj±ce wszystkie zadania i obs³uguj±ce opisane powy¿ej protoko³y jest zwykle czê¶ci± j±dra. Podobnie jest w Linuksie. Najpopularniejszym interfejsem programowania w ¶wiecie Uniksa jest biblioteka Berkeley Socket. Jej nazwa wywodzi siê z popularnej analogii, w której port jest postrzegany jako gniazdo, a pod³±czanie siê do portu - jako w³±czanie do gniazda. Biblioteka udostêpnia wywo³anie bind, w którym podaje siê zdalny host, protokó³ transportowy i us³ugê, do której program mo¿e siê pod³±czyæ lub, której ma nas³uchiwaæ (za pomoc± connect, listen i accept). Biblioteka socket jest nieco bardziej ogólna, poniewa¿ udostêpnia nie tylko klasê gniazd opartych na TCP/IP (gniazda AF_INET), ale tak¿e klasê, która obs³uguje po³±czenia lokalne do maszyny (klasa AF_UNIX). Niektóre implementacje mog± tak¿e obs³ugiwaæ inne klasy, takie jak protokó³ XNS (Xerox Networking System) lub X.25.
W Linuksie biblioteka socket jest czê¶ci± standardowej biblioteki lib C. Obs³uguje gniazda AF_INET i AF_INET6 dla TCP/IP oraz AF_UNIX dla gniazd domeny Uniksa. Obs³uguje równie¿ gniazda AF_IPX dla protoko³ów sieci Novell, AF_X25 dla protoko³u sieci X.25, AF_ATMPVC i AF_ATMSVC dla protoko³ów sieci ATM i AF_AX25, AF_NETROM i AF_ROSE dla protoko³ów radia amatorskiego. Inne rodziny protoko³ów s± w trakcie tworzenia i bêd± stopniowo dodawane.
Sieci UUCP
UUCP (Unix-to-Unix Copy Program - program kopiuj±cy miêdzy systemami uniksowymi) by³ pakietem programów, które przesy³a³y pliki po ³±czach szeregowych, rozplanowywa³y te przes³ania w czasie i inicjowa³y wykonywanie programów w zdalnych o¶rodkach. Od czasu pierwszej implementacji, pod koniec lat siedemdziesi±tych, UUCP znacznie siê zmieni³o, chocia¿ zakres oferowanych us³ug pozosta³ niewielki. UUCP stosuje siê g³ównie w sieciach rozleg³ych (WAN), opartych o okresowo uruchamiane ³±cza komutowane.
UUCP stworzono w Bell Laboratories w 1977 roku w celu zapewnienia komunikacji pomiêdzy o¶rodkami programistycznymi pracuj±cymi pod Uniksem. W po³owie 1978 roku sieæ ³±czy³a ju¿ ponad 80 o¶rodków. Dzia³a³a w niej poczta elektroniczna oraz zdalne drukowanie. Jednak podstawowym zastosowaniem systemu by³a dystrybucja nowego oprogramowania i poprawianie b³êdów. Obecnie UUCP nie jest ograniczone wy³±cznie do ¶rodowiska Unix. Istniej± darmowe i komercyjne wersje dla wielu innych platform, takich jak AmigaOS, DOS i Atari TOS.
Jedn± z g³ównych wad sieci UUCP jest to, ¿e dzia³aj± one wsadowo. Zamiast sta³ego po³±czenia pomiêdzy hostami, wykorzystuj± po³±czenia tymczasowe. Host UUCP mo¿e po³±czyæ siê z innym hostem UUCP tylko raz dziennie i to na krótko. W czasie trwania po³±czenia przesy³a wszystkie grupy dyskusyjne, pocztê i pliki, które znajduj± siê w kolejce, a nastêpnie siê roz³±cza. To w³a¶nie konieczno¶æ kolejkowania ogranicza ró¿norodno¶æ zastosowañ UUCP. W przypadku poczty elektronicznej, u¿ytkownik mo¿e przygotowaæ wiadomo¶æ e-mail i wys³aæ j±. Bêdzie ona oczekiwaæ w kolejce na ho¶cie UUCP, a¿ zadzwoni on do innego hosta, by przes³aæ wiadomo¶æ. Jest to do przyjêcia w przypadku us³ug sieciowych takich jak poczta elektroniczna, ale nie nadaje siê dla innych us³ug, na przyk³ad rlogin.
Pomimo tych ograniczeñ, wci±¿ na ¶wiecie istnieje wiele sieci UUCP utrzymywanych g³ównie przez hobbystów, którzy oferuj± prywatnym u¿ytkownikom dostêp do Internetu za rozs±dn± cenê. G³ównym powodem d³ugotrwa³ej popularno¶ci UUCP by³a jej atrakcyjno¶æ cenowa w porównaniu z bezpo¶rednim pod³±czeniem do Internetu. Aby zrobiæ z twojego komputera wêze³ UUCP, potrzebujesz jedynie modemu, dzia³aj±cej implementacji UUCP i innego wêz³a UUCP, który bêdzie chcia³ przyjmowaæ twoj± pocztê i grupy dyskusyjne. Wiele osób chêtnie obs³ugiwa³o ruch UUCP dla indywidualnych u¿ytkowników, poniewa¿ takie po³±czenia nie zak³óca³y zbytnio pracy ich sieci.
Konfiguracjê UUCP omawiamy w jednym z dalszych rozdzia³ów ksi±¿ki, choæ czynimy to skrótowo, gdy¿ protokó³ ten jest obecnie wypierany przez TCP/IP. Dostêp do Internetu jest powszechny i nie stanowi problemu w wiêkszo¶ci zak±tków ¶wiata.
Sieæ w Linuksie
Linux, który powstaje wspólnym wysi³kiem programistów z ca³ego ¶wiata, nie by³by mo¿liwy bez sieci globalnej. Nie ma wiêc nic dziwnego w tym, ¿e od samego pocz±tku pracowano nad zapewnieniem mu zdolno¶ci sieciowych. Implementacja UUCP dzia³a³a ju¿ w pierwszych wersjach Linuksa, a prace nad sieci± opart± na TCP/IP rozpoczê³y siê jesieni± 1992 roku, kiedy Ross Biro wraz z grup± programistów stworzyli to, co teraz jest znane pod nazw± Net-1.
Po Rossie, który odszed³ w maju 1993 roku, pracê nad now± implementacj± kontynuowa³ Fred van Kempen, przepisuj±c g³ówne czê¶ci kodu. Projekt ten by³ znany jako Net-2. Pierwsza publiczna wersja, Net-2d, zosta³a udostêpniona w lecie 1993 roku (jako czê¶æ j±dra 0.99.10) i od tego czasu by³a utrzymywana i rozwijana przez kilka osób, a przede wszystkim przez Alana Coxa*. Oryginalne prace Alana by³y znane pod nazw± Net-2Debugged, gdy¿ uwolni³ on kod od wielu b³êdów i wprowadzi³ liczne udoskonalenia. Od wersji 1.0 Linuksa kod sieciowy Alana nosi³ nazwê Net-3. Kod ten by³ dalej rozwijany w Linuksie 1.2 i 2.0. J±dra 2.2 i nowsze wykorzystuj± wersjê Net-4, która pozostaje standardem do chwili obecnej.
Kod sieciowy Linuksa Net-4 oferuje ró¿norodne sterowniki urz±dzeñ i zaawansowane w³asno¶ci. Do standardowych protoko³ów Net-4 zaliczaj± siê: SLIP i PPP (do przesy³ania danych przez ³±cza szeregowe), PLIP (dla ³±czy równoleg³ych), IPX (dla sieci kompatybilnych z Novellem, które omówimy w rozdziale 15, IPX i system plików NCP), Appletalk (dla sieci Apple) i AX.25, NetRom i Rose (dla sieci radioamatorskich). Inne standardy obs³ugiwane przez Net-4 to: firewalle IP, liczenie ruchu IP (omawiane w rozdzia³ach 9 i 10) i maskowanie IP (omawiane w rozdziale 11, Maskowanie IP i translacja adresów sieciowych). Zaawansowane algorytmy rutingu i tunelowanie IP s± obs³ugiwane na kilka mo¿liwych sposobów. W Net-4 zawarto sterowniki dla szeregu urz±dzeñ Ethernet, a tak¿e dla FDDI, Token Ring, Frame Relay i ISDN oraz ATM.
Ponadto istnieje tu wiele innych w³a¶ciwo¶ci, które znacznie rozszerzaj± elastyczno¶æ Linuksa. Nale¿± do nich implementacja systemu plików SMB, która wspó³dzia³a z takimi aplikacjami, jak lanmanager i Microsoft Windows, oraz implementacja Novell NCP (NetWare Core Protocol)*.
Ró¿ne ¶cie¿ki rozwoju
W ró¿nych okresach w ró¿nych kierunkach rozwijano oprogramowanie sieciowe dla Linuksa.
Po uznaniu Net-2Debugged za implementacjê sieci, Fred nadal pracowa³ nad kodem sieciowym. W rezultacie powsta³a wersja kodu o nazwie Net-2e, która charakteryzowa³a siê du¿o lepiej przemy¶lan± konstrukcj± warstwy sieciowej. Fred chcia³ te¿ ustandaryzowaæ interfejs sterowników urz±dzeñ (Device Driver Interface - DDI), ale prace nad Net-2e zakoñczono.
Inna implementacja sieci TCP/IP pochodzi od Matthiasa Urlichsa, który napisa³ sterownik ISDN dla Linuksa i FreeBSD. W tym celu zintegrowa³ on czê¶æ kodu sieciowego BSD z j±drem Linuksa. Projekt ten równie¿ nie jest rozwijany.
Wiele siê zmieni³o w implementacji sieci w j±drze Linuksa, i wci±¿ siê zmienia. Czasem oznacza to, ¿e zmiany musz± wyst±piæ tak¿e w innym oprogramowaniu, takim jak narzêdzia do konfiguracji sieci. Choæ nie jest to obecnie tak du¿ym problemem jak niegdy¶, jednak wci±¿ mo¿e siê zdarzyæ, ¿e je¶li zainstalujesz nowsz± wersjê j±dra, to narzêdzia do konfiguracji sieci równie¿ bêd± wymaga³y uaktualnienia. Na szczê¶cie w wiêkszo¶ci obecnych dystrybucji Linuksa jest to proste zadanie.
Implementacja sieci Net-4 jest produktem w pe³ni dopracowanym, stosowanym w bardzo wielu o¶rodkach na ca³ym ¶wiecie. Wiele wysi³ku w³o¿ono w poprawê wydajno¶ci implementacji Net-4 i teraz mo¿e ona konkurowaæ z najlepszymi implementacjami dostêpnymi dla danych platform sprzêtowych. Linux cieszy siê coraz wiêkszym wziêciem w ¶rodowisku dostawców Internetu, gdzie czêsto jest u¿ywany do tworzenia tanich i niezawodnych serwerów WWW, serwerów pocztowych i serwerów grup dyskusyjnych dla tego typu organizacji. Obecnie zainteresowanie rozwojem Linuksa jest na tyle du¿e, ¿e wszystkie zmiany w technologii sieciowej znajduj± swoje odzwierciedlenie w kolejnych wersjach j±dra, a jego najnowsze wersje oferuj± jako standard kolejn± generacjê protoko³u IP IPv6.
Sk±d wzi±æ kod
Dzisiaj wydaje siê dziwne, ¿e w pocz±tkach rozwoju kodu sieciowego Linuksa standardowe j±dro wymaga³o ogromnego pakietu poprawek dodaj±cego obs³ugê sieci. Obecnie obs³uga sieci jest uwzglêdniona w g³ównym j±drze Linuksa. Ostatnie stabilne j±dra Linuksa mo¿na znale¼æ w o¶rodku ftp.kernel.org w katalogu /pub/linux/kernel/v2.x/, gdzie x jest liczb± parzyst±. Najnowsze eksperymentalne wersje j±dra Linuksa mo¿na znale¼æ w o¶rodku ftp.kernel.org w katalogu /pub/linux/kernel/v2.y/, gdzie y jest liczb± nieparzyst±. Na ca³ym ¶wiecie znajduj± siê serwery lustrzane z kodem ¼ród³owym j±dra Linuksa. Trudno sobie obecnie wyobraziæ Linuksa bez standardowej obs³ugi sieci.
Utrzymywanie systemu
W niniejszej ksi±¿ce bêdziemy mówiæ g³ównie o instalacji i konfiguracji. Jednak¿e administracja jest czym¶ wiêcej - po skonfigurowaniu us³ugi musisz tak¿e pilnowaæ, by dzia³a³a. Wiêkszo¶æ us³ug nie wymaga zbyt wielkiej uwagi, ale przy niektórych, takich jak poczta i grupy dyskusyjne, musisz wykonywaæ rutynowe czynno¶ci, by twój system by³ sprawny. Zadania te omówimy w kolejnych rozdzia³ach.
Absolutnym minimum niezbêdnym do poprawnego funkcjonowania systemu jest regularne sprawdzanie plików log systemu oraz plików log ka¿dej aplikacji w celu wykrycia b³êdów czy nietypowych zdarzeñ. Zwykle pisze siê w tym celu skrypty administracyjne i co jaki¶ czas uruchamia siê je z us³ugi cron. ?ród³owe dystrybucje niektórych wiêkszych aplikacji, takich jak inn czy C News, zawieraj± takie skrypty. Musisz tylko dopasowaæ je do swoich potrzeb.
Wynik wszelkich zadañ wykonywanych przez us³ugê cron powinien byæ wysy³any poczt± elektroniczn± na konto administracyjne. Domy¶lnie wiele aplikacji wysy³a raporty o b³êdach, statystyki wykorzystania czy streszczenia plików log na konto root. Ma to sens tylko wtedy, je¿eli czêsto logujesz siê jako root. Du¿o lepiej jest przekazywaæ pocztê u¿ytkownika root na w³asne konto, ustawiaj±c alias pocztowy wed³ug opisu w rozdziale 19, Exim, lub rozdziale 18, Sendmail.
Choæby¶ skonfigurowa³ swój o¶rodek z najwiêksz± dba³o¶ci±, zgodnie z prawami Murphy'ego i tak wyst±pi jaki¶ problem. Dlatego utrzymywanie systemu oznacza tak¿e przyjmowanie skarg. Zwykle ludzie spodziewaj± siê, ¿e z administratorem systemu mo¿na skontaktowaæ siê poczt± elektroniczn± pod adresem root, ale istniej± tak¿e inne adresy, które s± powszechnie u¿ywane do kontaktu z osobami odpowiedzialnymi za konkretny aspekt utrzymania o¶rodka. Na przyk³ad skargi na temat b³êdnej konfiguracji poczty zwykle bêd± wysy³ane na adres postmaster, a problemy z grupami dyskusyjnymi mog± byæ raportowane na adres newsmaster lub usenet. Poczta na adres hostmaster powinna byæ przekierowana do osoby odpowiedzialnej za podstawowe us³ugi sieciowe hosta i us³ugi DNS, je¿eli na twojej maszynie dzia³a serwer nazw.
Bezpieczeñstwo systemu
Kolejnym, bardzo istotnym aspektem administracji systemu w ¶rodowisku sieciowym jest zabezpieczenie go i jego u¿ytkowników przed intruzami. Niedbale zarz±dzane systemy stanowi± ³atwy cel dla z³o¶liwych osób. Ataki zaczynaj± siê od zgadywania hase³, a koñcz± na wysy³aniu fa³szywych pakietów Ethernet, natomiast zniszczenia zaczynaj± siê od fa³szywych poczt elektronicznych, a mog± skoñczyæ siê utrat± danych lub pogwa³ceniem prywatno¶ci twoich u¿ytkowników. O pewnych konkretnych problemach powiemy przy omawianiu kontekstu, w którym mog± one wyst±piæ, i poka¿emy sposoby obrony.
Ten podrozdzia³ omawia kilka przyk³adów i podstawowych technik zwi±zanych z bezpieczeñstwem systemu. Oczywi¶cie nie przedstawia wszystkich zagadnieñ bezpieczeñstwa, jakie mo¿esz napotkaæ. Chcemy jedynie zasygnalizowaæ problemy, które mog± wyst±piæ. Dlatego przeczytanie dobrej ksi±¿ki na temat bezpieczeñstwa jest absolutnie niezbêdne, szczególnie w przypadku systemu sieciowego.
Podstaw± bezpieczeñstwa systemu jest dobra administracja. Oznacza to sprawdzanie w³asno¶ci wszystkich istotnych plików i katalogów oraz prawa dostêpu do nich, a tak¿e monitorowanie wykorzystania uprzywilejowanych kont. Na przyk³ad program COPS przeszukuje twój system plików i podstawowe pliki konfiguracyjne pod k±tem nietypowych praw dostêpu lub innych anomalii. M±drze jest tak¿e u¿ywaæ takiego systemu hase³, który wymaga od u¿ytkowników stosowania siê do pewnych regu³, przez co has³a jest trudno odgadn±æ. Na przyk³ad pakiet hase³ shadow wymaga, by has³o mia³o co najmniej 5 znaków i zawiera³o liczby oraz znaki niealfanumeryczne.
Gdy udostêpniasz jak±¶ us³ugê w sieci, pamiêtaj, ¿eby daæ jej "jak najmniej przywilejów". Pozwalaj na robienie tylko tych rzeczy, które s± wymagane, by dzia³a³a tak, jak zosta³a zaprojektowana. Na przyk³ad powiniene¶ nadaæ programom prawo setuid roota lub innego uprzywilejowanego konta, tylko wtedy gdy jest to niezbêdne. Tak¿e, je¿eli chcesz u¿ywaæ us³ugi tylko w bardzo ograniczonym zakresie, nie wahaj siê jej skonfigurowaæ odpowiednio do twoich szczególnych zastosowañ. Na przyk³ad gdyby¶ chcia³ pozwoliæ, aby stacje bezdyskowe uruchamia³y siê z twojej maszyny, musisz udostêpniæ uproszczony protokó³ przesy³ania plików (Trivial File Transfer Protocol - TFTP), tak by mog³y skopiowaæ podstawowe pliki konfiguracyjne z katalogu /boot twojej maszyny. Jednak w przypadku nieograniczonego u¿ycia TFTP pozwala u¿ytkownikom z ca³ego ¶wiata kopiowaæ te pliki z twojego systemu, do których wszyscy maj± prawo odczytu. Je¿eli sobie tego nie ¿yczysz, ogranicz us³ugê TFTP jedynie do katalogu /boot*.
Mo¿esz równie¿ ograniczyæ us³ugi przyznawane u¿ytkownikom okre¶lonych hostów, powiedzmy z twojej sieci lokalnej. W rozdziale 12 przedstawiamy demon tcpd, który wykonuje to zadanie dla wielu aplikacji sieciowych. Bardziej wyrafinowane metody ograniczania dostêpu do poszczególnych hostów lub us³ug omówimy w rozdziale 9.
Kolejn± wa¿n± rzecz± jest unikanie "niebezpiecznego" oprogramowania. W pewnym sensie ka¿de oprogramowanie mo¿e byæ niebezpieczne, poniewa¿ mo¿e zawieraæ b³êdy, które sprytni ludzie mog± wykorzystaæ, by uzyskaæ dostêp do twojego systemu. Takie rzeczy siê zdarzaj± i nie da siê przed tym zabezpieczyæ. Problem ten dotyczy zarówno oprogramowania darmowego, jak i produktów komercyjnych**. Jednak programy wymagaj±ce specjalnych przywilejów s± z natury bardziej nara¿one na niebezpieczeñstwo ni¿ pozosta³e, poniewa¿ wszelkie luki mog± prowadziæ do powa¿nych konsekwencji*. Je¿eli instalujesz program z prawem setuid, który ma pracowaæ z sieci±, b±d¼ dwa razy bardziej ostro¿ny i przeczytaj dokumentacjê, aby¶ przez przypadek nie stworzy³ dziury w bezpieczeñstwie.
Uwagê powiniene¶ zwróciæ tak¿e na programy, które pozwalaj± na logowanie lub wykonywanie poleceñ z niepe³nym uwierzytelnianiem. Polecenia, takie jak rlogin, rsh i rexec, s± bardzo przydatne, ale od osoby uruchamiaj±cej wymagaj± jedynie ograniczonego uwierzytelnienia, które opiera siê na zaufaniu do nazwy wywo³uj±cego hosta, ustalonej na podstawie serwera nazw (bêdziemy mówili o tym pó¼niej), któr± ³atwo mo¿na sfa³szowaæ. Obecnie standardow± praktyk± powinno byæ zupe³ne wy³±czanie poleceñ r i zastêpowanie ich narzêdziami z pakietu ssh. Narzêdzia ssh wykorzystuj± bardziej niezawodne metody uwierzytelniania i oferuj± tak¿e inne us³ugi, takie jak szyfrowanie i kompresja.
Nigdy nie mo¿esz wykluczyæ mo¿liwo¶ci, ¿e twoje zabezpieczenia kiedy¶ zawiod±, bez wzglêdu na to, jak by³e¶ ostro¿ny. Dlatego powiniene¶ upewniæ siê, ¿e dostatecznie wcze¶nie wykrywasz intruzów. Sprawdzanie logów systemu jest dobrym punktem pocz±tkowym, ale intruz jest prawdopodobnie wystarczaj±co m±dry, by przewidzieæ, ¿e tak post±pisz, i usunie wszelkie oczywiste ¶lady pozostawione przez siebie. Jednak istniej± narzêdzia takie jak tripwire, napisane przez Gene Kima i Gene Spafforda, które pozwalaj± sprawdzaæ istotne pliki systemu, by zobaczyæ, czy ich zawarto¶æ lub prawa dostêpu nie zosta³y zmienione; tripwire liczy ró¿ne sumy kontrolne tych plików i umieszcza je w bazie danych. W czasie kolejnych przebiegów sumy s± liczone ponownie i porównywane z wcze¶niej zapisanymi, by w ten sposób wykryæ modyfikacje.


2
Wybrane problemy
sieci TCP/IP

Rozdzia³ 2: Wybrane problemy sieci TCP/IP


W tym rozdziale powiemy, jakie decyzje konfiguracyjne musisz podj±æ, je¶li chcesz pod³±czyæ swojego Linuksa do sieci TCP/IP. Zajmiemy siê adresami IP, nazwami hostów i rutingiem. Rozdzia³ ten daje ci podstawow± wiedzê, niezbêdn± do zrozumienia, czego wymaga twoja konfiguracja, natomiast w nastêpnych rozdzia³ach poznasz narzêdzia, których bêdziesz u¿ywa³.
Aby dowiedzieæ siê wiêcej o TCP/IP i jego budowie, zajrzyj do trzytomowej ksi±¿ki Internetworking with TCP/IP Douglasa R. Comera (Prentice Hall). Bardziej szczegó³owym przewodnikiem po zarz±dzaniu sieci± TCP/IP jest ksi±¿ka TCP/IP Network Administration Craiga Hunta (O'Reilly).
Interfejsy sieciowe
Aby ukryæ ró¿norodno¶æ sprzêtu obecnego w ¶rodowisku sieciowym, TCP/IP odwo³uje siê do interfejsu, przez który nastêpuje dostêp do sprzêtu. Interfejs oferuje zestaw operacji identyczny dla wszystkich rodzajów urz±dzeñ; za jego pomoc± obs³uguje siê wysy³anie i odbieranie pakietów.
Ka¿de sieciowe urz±dzenie peryferyjne musi mieæ w j±drze odpowiedni interfejs. Na przyk³ad interfejsy Ethernet w Linuksie nosz± nazwy eth0 i eth1, interfejsy PPP (omówione w rozdziale 8, Protokó³ punkt-punkt) s± nazywane ppp0 i ppp1, a interfejsy FDDI - fddi0 i fddi1. Nazwy interfejsów s± u¿ywane tylko w poleceniu konfiguracyjnym, kiedy chcesz siê odwo³aæ do konkretnego urz±dzenia fizycznego. Poza tym nie s± stosowane.
Zanim interfejsu bêdzie mo¿na u¿yæ w sieci TCP/IP, nale¿y mu przypisaæ adres IP, który identyfikuje go w procesie komunikacji z reszt± ¶wiata. Adres ten jest ró¿ny od wspomnianej poprzednio nazwy interfejsu. Je¿eli porównasz interfejs do drzwi, to adres jest przyczepion± na nich tabliczk± z nazwiskiem.
Mo¿na ustawiaæ tak¿e inne parametry urz±dzenia, takie jak maksymalny rozmiar datagramów (Maximum Transfer Unit - MTU), które mog± byæ przetworzone przez konkretne urz±dzenie. Inne atrybuty omówimy pó¼niej. Na szczê¶cie wiêkszo¶æ atrybutów ma sensowne warto¶ci domy¶lne.
Adresy IP
Jak wspomnieli¶my w rozdziale 1, Wprowadzenie do sieci, protokó³ sieciowy IP rozumie adresy w postaci liczb 32-bitowych. Ka¿da maszyna musi mieæ przypisany numer, który jest niepowtarzalny w ¶rodowisku sieciowym*. Je¿eli jeste¶ pod³±czony do sieci lokalnej, która nie wymienia ruchu TCP/IP z innymi sieciami, mo¿esz przypisaæ adresy zgodnie z w³asnym widzimisiê. Istniej± pewne zakresy adresów IP, które zosta³y zarezerwowane dla takich sieci prywatnych. Pokazano je w tabeli 2-1. Jednak o¶rodkom pod³±czonym do Internetu adresy s± nadawane przez administracjê centraln±: NIC (Network Information Center)**.
Adresy IP, aby by³y ³atwo czytelne, s± podzielone na cztery 8-bitowe liczby, zwane oktetami. Na przyk³ad quark.physics.groucho.edu ma adres IP 0x954C0C04, zapisywany jako 149.76.12.4. Format ten czêsto nazywany jest kropkow± notacj± czwórkow±.
Innym powodem zastosowania takiego zapisu jest to, ¿e adresy IP s± dzielone na numer sieci zawarty w pierwszej czê¶ci adresu i na numer hosta zawarty w pozosta³ej jego czê¶ci. Gdy prosisz NIC o adresy IP, nie dostajesz adresu dla ka¿dego hosta, który planujesz pod³±czyæ. Otrzymujesz numer sieci i pozwolenie na utworzenie w przyznanym zakresie prawid³owych adresów IP dla hostów w twojej sieci, zgodnie z potrzebami.
Rozmiar czê¶ci sieciowej adresu zale¿y od wielko¶ci sieci. Aby uwzglêdniæ ró¿ne potrzeby, zdefiniowano kilka klas sieci dziel±cych adresy IP w ró¿nych miejscach. Klasy sieci s± nastêpuj±ce:
Klasa A

Klasa A obejmuje sieci od 1.0.0.0 do 127.0.0.0. Numer sieci jest zapisany w pierwszym oktecie. Klasa ta udostêpnia 24-bitowy adres hosta, co pozwala na pod³±czenie do jednej sieci, z grubsza rzecz bior±c, 1,6 miliona hostów w ka¿dej sieci.
Klasa B

Klasa B obejmuje sieci od 128.0.0.0 do 191.255.0.0. Numer sieci jest zapisany w dwóch pierwszych oktetach. Klasa ta pozwala na stworzenie 16 320 sieci o 65 024 hostach w ka¿dej z nich.

Klasa C

Klasa C obejmuje sieci od 192.0.0.0 do 223.255.255.0, gdzie numer sieci jest zapisany w trzech pierwszych oktetach. Klasa ta pozwala na zarejstrowanie prawie 2 milionów sieci po 254 hosty w ka¿dej.
Klasy D, E i F

Adresy nale¿±ce do zakresu 224.0.0.0 do 254.0.0.0 s± albo eksperymentalne, albo zarezerwowane do zastosowañ specjalnych i nie okre¶laj± ¿adnej sieci. Transmisja grupowa IP (ang. IP multicasting) - us³uga pozwalaj±ca na przesy³anie danych do wielu miejsc w Internecie jednocze¶nie - wymaga przypisania adresów w³a¶nie z tego zakresu.
Je¶li wrócimy do przyk³adu z rozdzia³u 1, stwierdzimy, ¿e 149.76.12.4 (adres quarka) oznacza host o numerze 12.4 w sieci klasy B o numerze 149.76.0.0.
Byæ mo¿e zauwa¿y³e¶ przy opisie klas adresów, ¿e nie wszystkie mo¿liwe warto¶ci by³y dozwolone dla ka¿dego oktetu w czê¶ci opisuj±cej hosta. Dzieje siê tak dlatego, ¿e oktety 0 i 255 s± zarezerwowane do specjalnych celów. Adres, w którym wszystkie bity w czê¶ci hosta maj± warto¶æ 0, jest adresem sieci, a adres, w którym wszystkie bity w czê¶ci hosta maj± warto¶æ 1, nazywa siê adresem rozg³oszeniowym (ang. broadcast address). Odnosi siê on do wszystkich hostów w zadanej sieci jednocze¶nie. Tak wiêc 149.76.255.255 nie jest poprawnym adresem hosta, ale odnosi siê do wszystkich hostów w sieci 149.76.0.0.
Kilka adresów sieci jest zarezerwowane do szczególnych celów. Dwa takie adresy to: 0.0.0.0 i 127.0.0.0. Pierwszy nazywamy domy¶lnym rutingiem (ang. default route), a drugi adresem pêtli zwrotnej (ang. loopback address). Domy¶lny ruting jest zwi±zany ze sposobem kierowania datagramów IP.
Sieæ 127.0.0.0 jest zarezerwowana dla ruchu IP lokalnego wzglêdem twojego hosta. Zwykle adres 127.0.0.1  zostaje przypisany specjalnemu interfejsowi twojego hosta - interfejsowi pêtli zwrotnej, który dzia³a jak obwód zamkniêty. Dowolny pakiet IP skierowany na ten interfejs z TCP lub UDP zostanie mu zwrócony tak, jakby w³a¶nie nadszed³ z jakiej¶ sieci. Dziêki temu mo¿na testowaæ oprogramowanie sieciowe bez wykorzystywania "rzeczywistej" sieci. Sieæ pêtli zwrotnej pozwala tak¿e na u¿ywanie oprogramowania sieciowego na pojedynczym ho¶cie. Choæ nie wygl±da to na zbyt przydatne, to jednak jest. Na przyk³ad wiele o¶rodków UUCP nie posiada w ogóle pod³±czenia IP, ale wci±¿ mo¿e w nich dzia³aæ system grup dyskusyjnych INN. Aby prawid³owo pracowaæ w Linuksie, INN wymaga interfejsu pêtli zwrotnej.
W ka¿dej klasie sieci pewne zakresy adresów zosta³y od³o¿one na bok i okre¶lone jako "zarezerwowane" lub "prywatne" zakresy adresów. Adresy te s± przeznaczone do u¿ytku w sieciach prywatnych i nie s± rutowane do Internetu. Zwykle korzystaj± z nich organizacje tworz±ce w³asny intranet, ale tak¿e ma³e sieci. Jak ju¿ mówili¶my, zarezerwowane adresy sieci podaje tabela 2-1.

Tabela 2-1. Zakresy adresów IP zarezerwowane do u¿ytku prywatnego
Klasa	Sieci
A	10.0.0.0 do 10.255.255.255
B	172.16.0.0 do 172.31.0.0
C	192.168.0.0 do 192.168.255.0
Rozwi±zywanie adresów
Teraz, gdy wiesz ju¿, jak tworzy siê adresy IP, mo¿esz zastanawiaæ siê, w jaki sposób s± one u¿ywane do adresowania hostów w sieci Ethernet lub Token Ring. Przecie¿ protoko³y te maj± w³asne adresy identyfikuj±ce hosty, które nie maj± nic wspólnego z adresem IP. Prawda? Tak, masz racjê.
Potrzebny jest mechanizm, który odwzorowuje adresy IP na adresy sieci ni¿szej warstwy. Tym mechanizmem jest protokó³ rozwi±zywania adresów (Address Resolution Protocol - ARP). W praktyce ARP mo¿na stosowaæ nie tylko w Ethernecie czy Token Ringu, ale równie¿ w innych typach sieci, miêdzy innymi takich, w których pracuje protokó³ AX.25. Metoda dzia³ania ARP jest taka sama jak ta, któr± pos³uguje siê wiêkszo¶æ ludzi, kiedy musi znale¼æ Pana X w¶ród 150 go¶ci: osoba szukaj±ca krzyczy na tyle g³o¶no, by ka¿dy móg³ j± us³yszeæ, i oczekuje, ¿e je¿eli Pan X jest w¶ród zgromadzonych, to siê odezwie. Gdy X odpowie, wiemy,  która to osoba.
Gdy ARP chce znale¼æ adres ethernetowy odpowiadaj±cy okre¶lonemu adresowi IP, wykorzystuje funkcjê Ethernetu zwan± rozg³aszaniem (ang. broadcasting). Rozg³aszanie polega na tym, ¿e datagram jest adresowany do wszystkich stacji w sieci jednocze¶nie. Datagram rozg³oszeniowy wys³any przez ARP zawiera zapytanie o adres IP. Ka¿dy host, który go odbierze, porównuje to zapytanie ze swoim w³asnym adresem IP. Je¿eli znajdzie siê host, którego adres IP odpowiada poszukiwanemu, to zwraca on odpowied¼ ARP do pytaj±cego hosta. Pytaj±cy host mo¿e teraz - na podstawie odpowiedzi - odczytaæ adres ethernetowy nadawcy.
Mo¿esz siê zastanawiaæ, jak host mo¿e uzyskaæ adres innego hosta, który znajduje siê na przyk³ad w zupe³nie innej sieci na drugim koñcu ¶wiata. Odpowied¼ na to pytanie wymaga wyja¶nienia mechanizmu rutingu, czyli znalezienia fizycznej lokalizacji hosta w sieci. To zagadnienie omówimy dok³adniej w nastêpnym podrozdziale.
Powiedzmy nieco wiêcej o protokole ARP. Gdy host znajdzie adres ethernetowy, zapisuje go w pamiêci podrêcznej ARP, aby nie pytaæ o niego, gdy bêdzie chcia³ ponownie wys³aæ datagram do tego samego hosta. Jednak niem±dre by³oby trzymanie tej informacji bez koñca. Karta Ethernet zdalnego hosta mo¿e zostaæ wymieniona z powodów technicznych, a wiêc wpis ARP by³by b³êdny. Dlatego wpisy w pamiêci podrêcznej ARP s± po pewnym czasie usuwane, by wymusiæ kolejne zapytanie o adres IP.
Czasem trzeba równie¿ znale¼æ adres IP odpowiadaj±cy danemu adresowi ethernetowemu. Dzieje siê tak, gdy maszyna bezdyskowa chce uruchomiæ siê z serwera w sieci. Sytuacja ta jest powszechnie spotykana w sieciach LAN. Jednak klient bezdyskowy nie ma o sobie informacji - za wyj±tkiem swojego adresu Ethernet. Tak wiêc rozg³asza komunikat, w którym prosi serwer uruchomieniowy (ang. boot server) o adres IP. Tê sytuacjê obs³uguje protokó³ o nazwie odwrotny protokó³ rozwi±zywania adresów (Reverse Address Resolution Protocol - RARP). Wraz z protoko³em BOOTP pozwala na uruchamianie bezdyskowych klientów z sieci.
Ruting IP
Teraz wyja¶nijmy, jak na podstawie adresu IP odszukaæ host, do którego s± adresowane datagramy. Ró¿ne czê¶ci adresu s± obs³ugiwane w ró¿ny sposób. Twoim zadaniem jest skonfigurowanie plików tak, aby mówi³y, jak ma byæ traktowana ka¿da z poszczególnych czê¶ci adresu IP.
Sieci IP
Gdy piszesz do kogo¶ list, zwykle umieszczasz na kopercie pe³ny adres, czyli tak¿e pañstwo, region administracyjny (np. stan, województwo), nazwê poczty wraz z kodem. Po w³o¿eniu listu do skrzynki pocztowej, poczta dostarczy go do miejsca przeznaczenia: zostanie wys³any do podanego na kopercie kraju, gdzie s³u¿by krajowe skieruj± go do odpowiedniego regionu. Zaleta takiego hierarchicznego schematu jest oczywista: gdy wysy³asz list do innego miasta lub kraju, miejscowa poczta wie z grubsza, w jakim kierunku ma go przekazaæ, ale nie martwi siê, którêdy list bêdzie szed³, gdy ju¿ dotrze do kraju przeznaczenia.
Sieci IP maj± podobn± strukturê. Ca³y Internet sk³ada siê z szeregu sieci, zwanych systemami niezale¿nymi. Ka¿dy system realizuje wewnêtrznie ruting pomiêdzy swoimi hostami, tak wiêc zadanie dostarczenia datagramu redukuje siê do znalezienia ¶cie¿ki do sieci zawieraj±cej host adresata. Wystarczy przekazaæ datagram do jakiegokolwiek hosta w sieci adresata, a dalsza wêdrówka odbywa siê ju¿ wy³±cznie w obrêbie tej sieci.
Podsieci
Zasada podzia³u jest widoczna w wyodrêbnieniu w adresach IP czê¶ci hosta i czê¶ci sieciowej, jak ju¿ wyja¶niali¶my wcze¶niej. Domy¶lnie sieæ przeznaczenia jest uzyskiwana z czê¶ci sieciowej adresu IP. Tak wiêc hosty o identycznych numerach sieci IP powinny znajdowaæ siê w tej samej sieci*.
Zastosowanie podobnego schematu ma tak¿e sens wewn±trz sieci, poniewa¿ mo¿e siê ona sk³adaæ z setek mniejszych sieci, w których najmniejszymi jednostkami s± fizyczne sieci np. Ethernet. Dlatego IP pozwala na dalszy podzia³ sieci IP na kilka podsieci.
Podsieæ odpowiada za dostarczanie datagramów do pewnego zakresu adresów IP. Jest to rozszerzenie pojêcia podzia³u pól bitowych, tak jak w klasach A, B i C. Jednak czê¶æ sieciowa jest teraz rozszerzana tak, by zawiera³a niektóre bity z czê¶ci hosta. Liczba bitów, interpretowana jako numer podsieci, jest okre¶lona przez tak zwan± maskê podsieci lub maskê sieci. Jest to równie¿ liczba 32-bitowa, okre¶laj±ca maskê bitow± dla czê¶ci sieciowej adresu IP.
Sieæ campusowa przyk³adowego uniwersytetu Groucho Marx to w³a¶nie taka sieæ. Ma sieæ klasy B o numerze 149.76.0.0 i dlatego jej maska to 255.255.0.0.
Wewnêtrznie sieæ campusowa sk³ada siê z kilku mniejszych sieci, takich jak sieci lokalne ró¿nych wydzia³ów. Tak wiêc zakres adresów IP jest podzielony na 254 podsieci od 149.76.1.0 do 149.76.254.0. Na przyk³ad wydzia³ fizyki teoretycznej ma przypisany adres 149.76.12.0. Szkielet campusu jest sieci± sam± w sobie i ma numer 149.76.1.0. Podsieci te korzystaj± ze wspólnej czê¶ci sieciowej adresu IP, a rozró¿niane s± na podstawie 3. oktetu. Dlatego maska podsieci w tym przypadku ma postaæ 255.255.255.0.
 2-1 pokazuje, jak adres quarka: 149.76.12.4 jest interpretowany, gdy ma byæ zwyk³ym adresem w sieci klasy B i wtedy, gdy ma uwzglêdniaæ podsieci.

Rysunek 2-1. Podzia³ sieci klasy B na podsieci
http://www.rm.com.pl/upgr/lpas/02-01.tif

Warto zauwa¿yæ, ¿e dzielenie na podsieci (technika tworzenia podsieci) jest jedynie wewnêtrznym podzia³em sieci. Podsieci s± generowane przez w³a¶ciciela sieci (lub administratorów). Czêsto podsieci s± tworzone, aby odzwierciedlaæ istniej±ce granice fizyczne (pomiêdzy dwoma sieciami Ethernet), administracyjne (pomiêdzy dwoma wydzia³ami) lub geograficzne (pomiêdzy dwoma lokalizacjami), natomiast w³adza nad ka¿d± z podsieci jest oddawana innej osobie. Jednak struktura ta dotyczy tylko wewnêtrznego zachowania sieci i jest zupe³nie niewidoczna dla ¶wiata zewnêtrznego.
Gatewaye
Podzia³ na podsieci jest korzystny nie tylko ze wzglêdów organizacyjnych. Czêsto jest naturaln± konsekwencj± ograniczeñ sprzêtowych. Punkt widzenia hosta na dan± sieæ fizyczn±, np. Ethernet, jest bardzo ograniczony: mo¿e on komunikowaæ siê tylko z hostem w sieci, do której jest pod³±czony. Dostêp do wszystkich innych hostów jest mo¿liwy tylko przez przeznaczone do tego urz±dzenia nazywane gatewayami. Gateway to host, który jest pod³±czony do dwóch lub wiêcej sieci fizycznych jednocze¶nie i skonfigurowany tak, by przekazywaæ pakiety miêdzy tymi sieciami.
Rysunek 2-2 pokazuje fragment topologii sieci uniwersytetu Groucho Marx (GMU). Hosty nale¿±ce jednocze¶nie do dwóch podsieci s± opatrzone oboma adresami.

Rysunek 2-2. Fragment schematu sieci uniwersytetu Groucho Marx
http://www.rm.com.pl/upgr/lpas/02-02.tif

Ró¿ne sieci fizyczne musz± byæ ró¿nymi sieciami IP, aby protokó³ IP by³ w stanie rozpoznaæ, ¿e host jest w sieci lokalnej. Na przyk³ad numer sieci 149.76.4.0 jest zarezerwowany dla hostów w sieci LAN wydzia³u matematyki. Przy przesy³aniu datagramów do quarka, oprogramowanie sieciowe na erdosie natychmiast rozpoznaje na podstawie adresu IP 149.76.12.4, ¿e host docelowy jest w innej sieci fizycznej, a co za tym idzie mo¿na siê do niego dostaæ jedynie przez gateway (domy¶lnie sophus).
Sam sophus jest pod³±czony do dwóch ró¿nych podsieci: wydzia³u matematyki i sieci szkieletowej campusu. Dostêp do ka¿dej z nich ma przez ró¿ne interfejsy, odpowiednio eth0 i fddi0. Jaki w takim razie powinni¶my przypisaæ mu adres IP? Powinien mieæ adres z podsieci 149.76.1.0 czy mo¿e raczej z 149.76.4.0?
Odpowied¼ brzmi: oba. Gateway sophus ma przypisany adres 149.76.1.1 do u¿ytku w sieci 149.76.1.0 i adres 149.76.4.1 do u¿ytku w sieci 149.76.4.0. Gateway musi mieæ odrêbny adres IP w ka¿dej sieci, do której nale¿y. Adresy te, wraz z odpowiadaj±cymi im maskami sieci, s± zwi±zane z interfejsem, przez który nastêpuje dostêp do sieci. Tak wiêc odwzorowanie interfejsu na adres w przypadku sophusa wygl±da nastêpuj±co:

Interfejs	Adres	Maska sieci
eth0	149.76.4.1	255.255.255.0
fddi0	149.76.1.1	255.255.255.0
lo	127.0.0.1	255.0.0.0
Ostatnia pozycja to interfejs pêtli zwrotnej lo, o którym pisali¶my wcze¶niej.
Zwykle mo¿esz zignorowaæ subtelne ró¿nice pomiêdzy wi±zaniem adresu z hostem lub jego interfejsem. Je¶li host jest tylko w jednej sieci, tak jak erdos, bêdziesz siê odwo³ywa³ do hosta o takim a takim adresie IP, choæ dok³adnie rzecz bior±c, to interfejs Ethernet ma przypisany adres IP. Ró¿nica jest naprawdê istotna tylko w przypadku gatewaya.
Tablica rutingu
Teraz skupimy siê na tym, jak IP wybiera gateway, który ma zostaæ wykorzystany do dostarczenia datagramu do odleg³ej sieci.
Widzieli¶my, ¿e kiedy erdos otrzyma datagram przeznaczony dla quarka, sprawdza adres docelowy i stwierdza, ¿e nie le¿y on w sieci lokalnej. Dlatego erdos wysy³a datagram do domy¶lnego gatewaya sophus, przed którym stoi teraz to samo zadanie. sophus stwierdza, ¿e nie ma takiego hosta w sieciach, do których jest bezpo¶rednio pod³±czony. Musi wiêc znale¼æ inny gateway, do którego bêdzie móg³ przekazaæ datagram. Poprawnym wyborem bêdzie niels, gateway wydzia³u fizyki. sophus potrzebuje zatem informacji wi±¿±cych docelow± sieæ z odpowiednim gatewayem.
IP wykorzystuje do tego celu tablicê, która ³±czy sieci z gatewayami, przez które mo¿na do nich dotrzeæ. Musi w niej istnieæ tak¿e wpis uniwersalny (ruting domy¶lny) - jest to gateway zwi±zany z sieci± 0.0.0.0. Wszystkie adresy docelowe pasuj± do tej trasy, poniewa¿ ¿aden z 32 bitów nie musi odpowiadaæ temu wpisowi i dlatego pakiety do nie znanej sieci s± wysy³ane przez trasê domy¶ln±. Dla gatewaya sophusa, tablica mog³aby wygl±daæ tak:

Sieæ	Maska sieci	Gateway	Interfejs
149.76.1.0	255.255.255.0	-	fddi0
149.76.2.0	255.255.255.0	149.76.1.2	fddi0
149.76.3.0	255.255.255.0	149.76.1.3	fddi0
149.76.4.0	255.255.255.0	-	eth0
149.76.5.0	255.255.255.0	149.76.1.5	fddi0
...	...	...	...
0.0.0.0	0.0.0.0	149.76.1.2	fddi0
Je¿eli masz skorzystaæ z trasy do tej sieci, do której sophus jest bezpo¶rednio pod³±czony, nie potrzebujesz gatewaya. Kolumna z wpisem gatewaya w takim przypadku zawiera kreskê.
Proces identyfikacji, czy dany adres docelowy pasuje do trasy, jest operacj± matematyczn±. Jest do¶æ prosty, ale wymaga znajomo¶ci logiki i arytmetyki binarnej: ¿±dana trasa pasuje do trasy docelowej, je¿eli adres sieci po wykonaniu logicznej operacji AND z mask± sieci jest dok³adnie taki sam, jak adres docelowy po wykonaniu operacji logicznej AND z mask± sieci.
Wyja¶nienie: trasa jest prawid³owa, je¿eli liczba bitów adresu sieci okre¶lona przez maskê sieci (pocz±wszy od pierwszego bitu le¿±cego od lewej strony, czyli najstarszego bitu pierwszego bajtu adresu) jest taka sama jak liczba bitów w adresie docelowym. 
Gdy implementacja IP poszukuje najlepszej trasy do miejsca docelowego, mo¿e znale¼æ wiele pasuj±cych wpisów z trasami. Na przyk³ad wiemy, ¿e domy¶lny ruting pasuje do ka¿dego adresu docelowego, ale datagramy kierowane do sieci pod³±czonych lokalnie bêd± pasowa³y tak¿e do w³asnych tras. Sk±d IP wie, której trasy u¿yæ? To w³a¶nie tutaj maska sieci ma decyduj±ce znaczenie. Choæ obie trasy pasuj± do adresu docelowego, jedna z nich ma wiêksz± maskê sieci ni¿ druga. Wspomnieli¶my wcze¶niej, ¿e maska sieci by³a u¿ywana do podzia³u naszej przestrzeni adresowej na mniejsze sieci. Im wiêksza jest maska, tym lepiej jest dopasowywany adres docelowy. Wyznaczaj±c trasê dla datagramu powinni¶my zawsze wybieraæ trasê o najwiêkszej masce sieci. Domy¶lna trasa ma maskê sieci o wielko¶ci 0 bitów, a w powy¿ej pokazanej konfiguracji, lokalnie pod³±czone sieci maj± maski sieci o d³ugo¶ci 24 bitów. Je¿eli datagram odpowiada lokalnie pod³±czonej sieci, bêdzie rutowany w pierwszej kolejno¶ci do odpowiedniego urz±dzenia, a nie na adres domy¶lny, gdy¿ lokalne trasy s± dopasowane wiêksz± liczb± bitów. Tylko te datagramy, które nie pasuj± do ¿adnej trasy, bêd± przesy³ane przez trasê domy¶ln±.
Tablice rutingu mo¿esz tworzyæ na ró¿ne sposoby. Dla ma³ych sieci lokalnych zwykle najlepiej przygotowaæ j± rêcznie i udostêpniæ protoko³owi IP za pomoc± polecenia route w czasie uruchamiania maszyny (zobacz rozdzia³ 5, Konfigurowanie sieci TCP/IP). Dla wiêkszych sieci tablice s± budowane i uzupe³niane w czasie pracy sieci przez demony rutingu; te programy pracuj± na centralnych hostach sieci i wymieniaj± informacje o rutingu, by obliczyæ "optymalne" trasy pomiêdzy pod³±czonymi sieciami.
Rozmiar sieci decyduje te¿ o wyborze protoko³ów rutingu. W przypadku rutingu w systemach niezale¿nych (tak jak w campusie Groucho Marx), u¿ywane s± wewnêtrzne protoko³y rutingu. Najbardziej znanym z nich jest RIP (Routing Information Protocol), zaimplementowany w demonie routed BSD. W przypadku rutingu pomiêdzy systemami autonomicznymi stosowane s± zewnêtrzne protoko³y rutingu, takie jak EGP (External Gateway Protocol) lub BGP (Border Gateway Protocol). Protoko³y te, wraz z RIP-em, zosta³y zaimplementowane w demonie gated napisanym na Uniwersytecie Cornella.
Warto¶ci metryki
Mo¿na skorzystaæ z rutingu dynamicznego, je¿eli trzeba znale¼æ najlepsz± trasê do hosta docelowego lub sieci na podstawie liczby hopów. Hopy oznaczaj± liczbê gatewayów, przez które datagram musi przej¶æ, zanim dotrze do hosta lub sieci. Im krótsza jest trasa, tym lepiej radzi sobie z ni± RIP. Bardzo d³ugie trasy (ponad 16 hopów) s± traktowane jako bezu¿yteczne i s± usuwane.
RIP obs³uguje informacje o rutingu wewn±trz twojej sieci lokalnej, ale na wszystkich hostach musisz uruchomiæ demona gated. W czasie startu komputera gated sprawdza wszystkie aktywne interfejsy sieciowe. Je¿eli jest aktywny wiêcej ni¿ jeden interfejs (nie licz±c interfejsu pêtli zwrotnej), demon zak³ada, ¿e host przekazuje pakiety pomiêdzy kilkoma sieciami i czynnie wymienia oraz rozg³asza informacje o rutingu. W przeciwnym razie jedynie pasywnie odbiera uaktualnienia RIP i od¶wie¿a lokaln± tablicê rutingu.
Przy rozg³aszaniu informacji z lokalnej tablicy rutingu, gated liczy d³ugo¶æ trasy na podstawie tak zwanej warto¶ci metryki (ang. metric value) zwi±zanej z wpisem w tablicy. Ta warto¶æ jest ustawiana przez administratora podczas konfigurowania rutingu i powinna odpowiadaæ rzeczywistemu kosztowi trasy*. Dlatego metryka trasy do podsieci, do której host jest pod³±czony bezpo¶rednio, zawsze powinna wynosiæ zero, natomiast trasa prowadz±ca przez dwa gatewaye powinna mieæ metrykê o warto¶ci dwa. Nie musisz przejmowaæ siê metryk±, je¿eli nie u¿ywasz protoko³u RIP-a ani gated.
Internetowy protokó³ komunikatów kontrolnych (ICMP)
IP ma protokó³ towarzysz±cy, o którym jeszcze nie mówili¶my. Jest nim ICMP (Internet Control Message Protocol) u¿ywany przez kod sieciowy j±dra do przesy³ania komunikatów o b³êdach do innych hostów. Na przyk³ad za³ó¿my, ¿e jeste¶ znów na erdosie i chcesz zrealizowaæ po³±czenie telnet z portem 12345 na quarku, ale na tym porcie nie ma procesu nas³uchuj±cego. Gdy pierwszy pakiet TCP zaadresowany na ten port nadejdzie do quarka, warstwa sieciowa rozpozna, ¿e co¶ przysz³o i natychmiast zwróci do erdosa komunikat ICMP o tre¶ci "Port Unreachable" (port nieosi±galny).
Protokó³ ICMP udostêpnia ró¿ne komunikaty, g³ównie z informacjami o b³êdach. Jednak istnieje jeden ciekawy komunikat, tak zwany komunikat przekierowania (ang. redirect message). Jest on generowany przez modu³ rutingu, gdy wykryje on, ¿e inny host u¿ywa naszego hosta jako gatewaya, mimo ¿e istnieje krótsza trasa. Na przyk³ad po uruchomieniu systemu tablica rutingu na sophusie mo¿e byæ niepe³na. Mo¿e zawieraæ trasy do sieci wydzia³u matematyki, do szkieletu FDDI i domy¶ln± trasê do gatewaya centrum obliczeniowego Groucho (gcc1). Tak wiêc pakiety adresowane do quarka bêd± wysy³ane do gcc1, a nie do nielsa - gatewaya wydzia³u fizyki. Po odebraniu takiego datagramu gcc1 zauwa¿y, ¿e jest to nieoptymalna trasa i przeka¿e pakiet do nielsa, zwracaj±c równocze¶nie do sophusa komunikat przekierowania ICMP z informacj± o lepszej trasie.
Wydaje siê, ¿e w ten sposób mo¿na ³atwo unikn±æ rêcznej konfiguracji wszelkich tras poza podstawowymi. Trzeba jednak zdawaæ sobie sprawê, ¿e poleganie na schematach rutingu dynamicznego, czy to bêdzie RIP, czy komunikat przekierowania ICMP, nie zawsze jest dobre. Przekierowanie ICMP i RIP daj± ci niewielk± mo¿liwo¶æ (lub wrêcz nie daj± ci ¿adnej szansy) weryfikowania pokrywaj±cych siê informacji o rutingu. Ta sytuacja mo¿e prowadziæ do zak³ócenia pracy ca³ej twojej sieci lub jeszcze gorszych rzeczy. W rezultacie kod sieciowy Linuksa traktuje komunikaty przekierowania sieci tak, jakby to by³y przekierowania hosta. Minimalizuje to zniszczenia w przypadku ataku, które dotkn± wówczas jeden host, a nie ca³± sieæ. Z drugiej strony oznacza to, ¿e w przypadku legalnej sytuacji generowany jest nieco wiêkszy ruch, gdy¿ ka¿dy host wysy³a komunikat przekierowania ICMP. Obecnie opieranie siê na przekierowaniach ICMP nie jest dobrze widziane i uznaje siê je raczej za z³± praktykê.
Rozwi±zywanie nazwy hosta
Jak wcze¶niej napisali¶my, adresowanie w sieci TCP/IP, przynajmniej tam, gdzie korzysta siê z IP w wersji 4, opiera siê na liczbach 32-bitowych. Nie ukrywamy, ¿e zapamiêtywanie takich liczb nie jest ³atwe. Dlatego hosty wystêpuj± równie¿ pod "zwyk³ymi" nazwami, takimi jak gauss czy strange. Znalezienie adresu IP odpowiadaj±cego nazwie to obowi±zek aplikacji. Proces ten jest nazywany rozwi±zywaniem nazwy hosta.
Gdy aplikacja chce znale¼æ adres IP danego hosta, korzysta z funkcji bibliotecznej gethostbyname(3) i gethostbyaddr(3). Tradycyjnie te i inne zwi±zane z nimi procedury by³y zgrupowane w oddzielnej bibliotece o nazwie resolverlibrary. W Linuksie funkcje te s± czê¶ci± standardowej biblioteki libc. Potocznie zestaw tych funkcji jest nazywany "resolverem". Konfiguracjê mechanizmu rozwi±zywania nazw opisano szczegó³owo w rozdziale 6, Us³ugi nazewnicze i konfigurowanie resolvera.
W przypadku ma³ej sieci Ethernet czy nawet grupy takich sieci, nie jest trudno utrzymywaæ tablice odwzorowuj±ce nazwy hostów na adresy. Informacja ta jest zwykle przechowywana w pliku o nazwie /etc/hosts.  Podczas dodawania lub usuwania hostów albo zmiany przypisania adresów, wystarczy uaktualniæ plik hosts na wszystkich hostach. Oczywi¶cie staje siê to uci±¿liwe przy sieciach, które sk³adaj± siê z wiêcej ni¿ kilku maszyn.
Jednym z rozwi±zañ jest NIS (Network Information System - system informacji sieciowej)  stworzony przez firmê Sun Microsystems, potocznie nazywany YP lub Yellow Pages. NIS przechowuje plik hosts (i inne informacje) w bazie danych na ho¶cie g³ównym, z którego klienty mog± go w razie potrzeby odczytywaæ. Rozwi±zanie takie jest odpowiednie jedynie dla ¶redniej wielko¶ci sieci typu LAN, poniewa¿ wymaga utrzymania centralnej bazy danych hosts i dystrybuowania jej do wszystkich serwerów. Instalacja i konfiguracja NIS-a zosta³a omówiona w rozdziale 13, System informacji sieciowej.
W Internecie informacje adresowe by³y pierwotnie przechowywane tak¿e w pliku bazy danych HOSTS.TXT. Plik ten by³ utrzymywany przez NIC (Network Information Center - centrum informacji sieciowej) i musia³ byæ stamt±d pobierany i instalowany przez wszystkie o¶rodki pod³±czone do Internetu. Gdy sieæ siê rozros³a, takie rozwi±zanie sta³o siê niewygodne. Poza uci±¿liwym w administracji regularnym instalowaniem pliku HOSTS.TXT, niebezpiecznie wzros³o obci±¿enie dystrybuuj±cych go serwerów. Co wiêcej, wszystkie nazwy musia³y byæ rejestrowane w NIC, aby mieæ pewno¶æ, ¿e ¿adna siê nie powtarza.
Dlatego w 1994 roku przyjêto nowy schemat rozwi±zywania nazw: system nazw domen (Domain Name System - DNS) autorstwa Paula Mockapetrisa. System nazw domen omawiamy szczegó³owo w rozdziale 6.


3
Konfigurowanie
sprzêtu sieciowego

Rozdzia³ 3: Konfigurowanie sprzêtu sieciowego


Powiedzieli¶my nieco o interfejsach sieciowych i ogólnie o TCP/IP, ale nie opisali¶my, co tak naprawdê siê dzieje, gdy "kod sieciowy" j±dra uzyskuje dostêp do sprzêtu. Aby to wyja¶niæ, musimy podaæ trochê informacji o interfejsach i sterownikach.
Na pocz±tku jest oczywi¶cie sprzêt, na przyk³ad karta Ethernet, FDDI czy Token Ring: jest to p³ytka drukowana, wype³niona wieloma ma³ymi uk³adami scalonymi z wypisanymi na nich dziwnymi numerkami, umieszczona w z³±czu w p³ycie twojego PC. Nazywamy to ogólnie urz±dzeniem fizycznym.
Aby¶ móg³ u¿ywaæ karty sieciowej, j±dro Linuksa musi zawieraæ specjalne funkcje, które rozumiej± okre¶lony dla danego urz±dzenia sposób dostêpu. Oprogramowanie, które implementuje te funkcje, nazywane jest sterownikiem urz±dzenia. Linux ma sterowniki dla wielu ró¿nych typów kart sieciowych: ISA, PCI, MCA, EISA, port równoleg³y, PCMCIA i najnowszy USB.
Co jednak mamy na my¶li, mówi±c, ¿e sterownik "obs³uguje" urz±dzenie? Rozwa¿my to na przyk³adzie karty Ethernet. Sterownik powinien komunikowaæ siê w jaki¶ sposób z peryferiami karty: musi wysy³aæ polecenia i dane do karty, natomiast karta powinna dostarczaæ wszelkie odebrane dane do sterownika.
W komputerach osobistych IBM komunikacja ta odbywa siê przez zestaw adresów wej¶cia/wyj¶cia, które s± odwzorowywane na rejestry na karcie, a tak¿e (lub wy³±cznie) przez wspó³dzielony lub bezpo¶redni dostêp do pamiêci. Wszystkie polecenia i dane, jakie j±dro wysy³a do karty, musz± zostaæ przes³ane na te adresy. Adresy wej¶cia/wyj¶cia oraz pamiêci s± zwykle podawane w postaci adresu pocz±tkowego lub adresu podstawowego (ang. base address). Typowe adresy podstawowe w przypadku kart Ethernet dla magistrali ISA to 0x280 lub 0x300. Karty przeznaczone dla magistrali PCI maj± automatycznie przypisywane w³asne adresy wej¶cia/wyj¶cia.
Zwykle nie musisz siê martwiæ o zagadnienia sprzêtowe, takie jak adres podstawowy, poniewa¿ j±dro w czasie startu podejmuje próbê wykrycia lokalizacji karty. Nazywa siê to autowykrywaniem, co oznacza, ¿e j±dro odczytuje kilka lokalizacji pamiêci i wej¶cia/wyj¶cia oraz porównuje odczytane dane z tym, czego oczekuje, je¿eli dana karta sieciowa jest zainstalowana pod tym adresem. Jednak zdarzaj± siê karty sieciowe, których nie da siê wykryæ automatycznie. Czasem dzieje siê tak w przypadku tanich kart sieciowych, które nie s± w pe³ni klonami standardowych kart innych producentów. W czasie startu j±dro próbuje wykryæ tylko jedn± kartê sieciow±. Je¿eli u¿ywasz wiêcej ni¿ jednej karty, musisz jawnie powiedzieæ o tym j±dru.
Innym parametrem, który byæ mo¿e bêdzie trzeba podaæ j±dru, jest numer przerwania. Urz±dzenia zwykle generuj± przerwanie do j±dra, aby na przyk³ad zwróciæ na siebie uwagê, gdy nadesz³y dane lub wyst±pi³a jaka¶ szczególna sytuacja. W komputerach PC z magistral± ISA przerwania mog± pojawiaæ siê na jednym z 15 kana³ów przerwañ,  ponumerowanych nastêpuj±co: 0, 1, 3 i tak dalej do 15. Numer przerwania przypisany do urz±dzenia nazywa siê numerem zg³oszenia przerwania (ang. Interrupt request number - IRQ)*.
Z rozdzia³u 2, Wybrane problemy sieci TCP/IP, wiemy, ¿e j±dro uzyskuje dostêp do urz±dzenia sieciowego przez oprogramowanie nazywane interfejsem. Interfejsy s± zestawami funkcji (np. wysy³ania lub odbierania datagramu), identycznymi dla ró¿nych typów urz±dzeñ.
Interfejsy s± identyfikowane na podstawie nazw. W wielu uniksowych systemach operacyjnych interfejs sieciowy jest implementowany jako specjalny plik w katalogu /dev. Je¿eli napiszesz polecenie ls -las /dev/, zobaczysz, jak wygl±daj± takie pliki. Zauwa¿ysz, ¿e w kolumnie praw dostêpu (drugiej) pliki urz±dzeñ zaczynaj± siê raczej liter±, a nie my¶lnikiem (jak zwyk³e pliki). Znak ten okre¶la typ urz±dzenia. Najpopularniejsze s± urz±dzenia typu b, czyli urz±dzenia blokowe obs³uguj±ce ca³e bloki danych przy ka¿dym odczycie i zapisie oraz urz±dzenia typu c, czyli urz±dzenia znakowe, obs³uguj±ce dane po jednym znaku. Tam, gdzie zwykle w wyniku pokazywanym przez polecenie ls widzisz rozmiar pliku, tutaj s± dwie liczby nazywane numerem nadrzêdnym i podrzêdnym urz±dzenia. Liczby te wskazuj± rzeczywiste urz±dzenie, z którym jest zwi±zany plik.
Ka¿dy sterownik rejestruje unikalny numer nadrzêdny w j±drze. Ka¿da instancja urz±dzenia rejestruje unikalny numer podrzêdny danego urz±dzenia nadrzêdnego. Interfejsy tty, /dev/tty*, s± urz±dzeniami znakowymi wskazywanymi przez literê c i ka¿de ma numer nadrzêdny 4, ale /dev/tty1 ma numer podrzêdny 1, a /dev/tty2 ma numer podrzêdny 2. Pliki urz±dzeñ s± bardzo u¿yteczne dla wielu typów urz±dzeñ, ale mog± sprawiaæ k³opoty, gdy chcesz otworzyæ nie u¿ywane urz±dzenie.
Nazwy interfejsów w Linuksie s± zdefiniowane wewnêtrznie w j±drze i nie s± plikami urz±dzeñ w katalogu /dev. Niektóre typowe nazwy podano w dalszym podrozdziale Wycieczka po urz±dzeniach sieciowych Linuksa. Przypisanie interfejsów do urz±dzeñ zwykle zale¿y od kolejno¶ci, w której s± one konfigurowane. Na przyk³ad pierwsza zainstalowana karta Ethernet bêdzie nosi³a nazwê eth0, a nastêpna eth1. Interfejsy SLIP s± obs³ugiwane inaczej ni¿ pozosta³e urz±dzenia, poniewa¿ s± przypisywane dynamicznie. Kiedy zostanie zestawione po³±czenie SLIP, interfejs jest przypisywany do portu szeregowego.
Rysunek 3-1 pokazuje zale¿no¶ci pomiêdzy sprzêtem, sterownikami urz±dzenia i interfejsami.

Rysunek 3-1. Zwi±zek pomiêdzy sterownikami, interfejsami i sprzêtem
http://www.rm.com.pl/upgr/lpas/03-01.tif

Przy uruchamianiu systemu j±dro wy¶wietla wykryte urz±dzenia i instalowane interfejsy. Oto fragment typowych komunikatów wy¶wietlanych w czasie uruchamiania systemu:

.
.   This processor honors the WP bit even when in supervisor mode./
    Good.
Swansea University Computer Society NET3.035 for Linux 2.0
NET3: Unix domain sockets 0.13 for Linux NET3.035.
Swansea University Computer Society TCP/IP for NET3.034
IP Protocols: IGMP, ICMP, UDP, TCP
Swansea University Computer Society IPX 0.34 for NET3.035
IPX Portions Copyright (c) 1995 Caldera, Inc.
Serial driver version 4.13 with no serial options enabled
tty00 at 0x03f8 (irq = 4) is a 16550A
tty01 at 0x02f8 (irq = 3) is a 16550A
CSLIP: code copyright 1989 Regents of the University of California
PPP: Version 2.2.0 (dynamic channel allocation)
PPP Dynamic channel allocation code copyright 1995 Caldera, Inc.
PPP line disciplne registered.
eth0: 3C509 at 0x300 tag 1, 10baseT port, address 00 a0 24 0e e4 e0, /
    IRQ 10.
3c509.c:1.12 6/4/97 becker@cesdis.gsfc.nasa.gov
Linux Version 2.0.32 (root@perf) (gcc Version 2.7.2.1)
#1 Tue Oct 21 15:30:44 EST 1997
 .
 .

Ten przyk³ad pokazuje, ¿e j±dro zosta³o skompilowane z w³±czonym protoko³em TCP/IP i zawiera sterowniki dla SLIP, CSLIP i PPP. Trzeci wiersz od koñca mówi, ¿e zosta³a wykryta karta Ethernet 3C509, która jest zainstalowana jako interfejs eth0. Gdyby¶ mia³ kartê innego typu, na przyk³ad D-Link pocket adaptor, j±dro wypisa³oby wiersz rozpoczynaj±cy siê od nazwy takiego urz±dzenia - dl0 w przypadku D-Link, a nastêpnie pokaza³oby typ wykrytej karty. Gdyby¶ mia³ zainstalowan± kartê sieciow±, ale nie widzia³by¶ ¿adnego podobnego komunikatu, oznacza to, ¿e j±dro nie jest w stanie jej poprawnie wykryæ. Sytuacja ta zostanie omówiona w dalszym podrozdziale Automatyczne wykrywanie kart Ethernet.
Konfigurowanie j±dra
Do wielu dystrybucji Linuksa s± do³±czane dyskietki startowe, które dzia³aj± z wiêkszo¶ci± sprzêtu PC. Dostarczone j±dro jest znacznie zmodularyzowane i zawiera prawie wszelkie mo¿liwe sterowniki. Takie rozwi±zanie wygl±da ¶wietnie na dyskietce startowej, ale raczej nie przyda siê zwyk³emu u¿ytkownikowi. Nie ma sensu zajmowaæ miejsca na dysku sterownikami, których nie bêdziesz u¿ywa³. Dlatego najlepiej przygotowaæ w³asne j±dro i umie¶ciæ w nim tylko te sterowniki, których rzeczywi¶cie potrzebujesz - w ten sposób zaoszczêdzisz nieco miejsca na dysku i zmniejszysz czas potrzebny na skompilowanie nowego j±dra.
W ka¿dym razie je¿eli pracujesz z Linuksem, powiniene¶ umieæ tworzyæ j±dro. Uznaj to za potwierdzenie tego, ¿e darmowe oprogramowanie jest ¶wietne - masz kod ¼ród³owy. Nie my¶l: "Muszê skompilowaæ j±dro", ale raczej: "Mogê skompilowaæ j±dro". Podstawy kompilacji j±dra Linuksa zosta³y wyja¶nione w ksi±¿ce Matta Welsha Running Linux (wyd. pol.: Linux, Wydawnictwo RM, Warszawa 2000). Dlatego w tym podrozdziale omówimy jedynie opcje konfiguracyjne dotycz±ce sieci.
Naprawdê wa¿n± rzecz±, któr± warto tutaj przypomieæ, jest schemat numeracji j±dra. J±dra Linuksa s± numerowane w formacie: 2.2.14. Pierwsza cyfra oznacza g³ówny numer wersji. Zmienia siê ona wtedy, gdy nastêpuj± powa¿ne, znacz±ce przekszta³cenia w architekturze j±dra. Na przyk³ad wersjê j±dra przenumerowano z 1. na 2., gdy zosta³o dodane wsparcie dla maszyn opartych na nieintelowskich procesorach. Druga liczba to drugorzêdny numer wersji. Pod wieloma wzglêdami wa¿niejsza jest w³a¶nie ona.
Spo³eczno¶æ twórców Linuksa przyjê³a zasadê, ¿e parzyste drugorzêdne numery wersji oznaczaj± j±dra produkcyjne lub stabilne, a nieparzyste numery wersji oznaczaj± j±dra rozwojowe lub niestabline. Na maszynie, która jest dla ciebie wa¿na, powiniene¶ u¿ywaæ j±der stabilnych, gdy¿ s± one lepiej przetestowane. Po j±dra rozwojowe warto siêgn±æ wtedy, gdy lubisz eksperymentowaæ z najnowszymi funkcjami Linuksa, ale musisz liczyæ siê z tym, ¿e mog± pojawiæ siê jeszcze nie znane i nie poprawione b³êdy. Trzecia liczba to po prostu kolejne wersje wersji oznaczonej numerem drugorzêdnym*.
Gdy wydasz polecenie make menuconfig, pojawi siê tekstowe menu z list± pytañ dotycz±cych konfiguracji. Bêd± to pytania typu: czy chcesz emulacji koprocesora w j±drze. Jedno z tych pytañ dotyczy obs³ugi sieci TCP/IP. Musisz na nie odpowiedzieæ y, aby j±dro by³o w stanie obs³u¿yæ sieæ.
Opcje j±dra w Linuksie 2.0 i nowszych
Po ustaleniu ogólnych opcji konfiguracyjnych nastêpuj± pytania o to, czy chcesz zapewniæ obs³ugê ró¿nych funkcji, takich jak sterowniki SCSI czy karty d¼wiêkowe. Monit bêdzie pokazywa³ dostêpne opcje. Mo¿esz nacisn±æ ?, aby zapoznaæ siê z opisem danej opcji. Zawsze masz do wyboru "tak" (y), aby statycznie do³±czyæ element do j±dra, lub "nie" (n), aby usun±æ go ca³kowicie z j±dra. Spotkasz tak¿e opcjê modu³u (m) w przypadku elementów, które mog± zostaæ skompilowane jako modu³y ³adowane w czasie pracy j±dra. Modu³y ³aduje siê, zanim zostan± wykorzystane i s± one szczególnie przydatne dla sterowników lub rzadziej u¿ywanych elementów.
Dalej nastêpuje lista pytañ o obs³ugê sieci. Dok³adny zestaw opcji konfiguracyjnych nieustannie siê zmienia ze wzglêdu na ci±g³y rozwój. Typowa lista opcji oferowanych przez wiêkszo¶æ j±der rodziny 2.0 i 2.1 wygl±da tak:

*
* Network device support
* 
Network device support (CONFIG_NETDEVICES) [Y/n/?]

Musisz odpowiedzieæ na to pytanie y, je¿eli chcesz korzystaæ z jakichkolwiek urz±dzeñ sieciowych, czy to bêdzie Ethernet, SLIP, PPP, czy cokolwiek innego. Gdy odpowiesz na pytanie twierdz±co, automatycznie zostanie w³±czona obs³uga urz±dzeñ typu Ethernet. Je¿eli chcesz w³±czyæ obs³ugê innych typów sterowników sieciowych, musisz odpowiedzieæ na dodatkowe pytania.

PLIP (parallel port) support (CONFIG_PLIP) [N/y/m/?] y
PPP (point-to-point) support (CONFIG_PPP) [N/y/m/?] y
*
* CCP compressors for PPP are only built as modules.
*
SLIP (serial line) support (CONFIG_SLIP) [N/y/m/?] m
 CSLIP compressed headers (CONFIG_SLIP_COMPRESSED) [N/y/?] (NEW) y
 Keepalive and linefill (CONFIG_SLIP_SMART) [N/y/?] (NEW) y
 Six bit SLIP encapsulation (CONFIG_SLIP_MODE_SLIP6) [N/y/?] (NEW) y

Pytania te dotycz± ró¿nych protoko³ów warstwy ³±cza obs³ugiwanych przez Linuksa. Zarówno PPP, jak i SLIP pozwalaj± na przesy³anie datagramów IP po ³±czach szeregowych. PPP w rzeczywisto¶ci jest zestawem protoko³ów u¿ywanych do wysy³ania danych po ³±czach szeregowych. Niektóre protoko³y wchodz±ce w sk³ad zestawu PPP obs³uguj± uwierzytelnianie siê u¿ytkownika na serwerze dostêpowym, natomiast inne zajmuj± siê przenoszeniem pewnych protoko³ów przez ³±cze - PPP transportuje nie tylko datagramy  TCP/IP - mo¿e tak¿e przenosiæ inne protoko³y, takie jak IPX.
Je¿eli na pytanie o obs³ugê protoko³u SLIP odpowiesz y lub m, zostaniesz poproszony o odpowied¼ na trzy kolejne pytania. Opcja kompresji nag³ówka pozwala na korzystanie z  CSLIP - techniki, która kompresuje nag³ówki TCP/IP do zaledwie trzech bajtów. Zauwa¿, ¿e ta opcja j±dra nie w³±cza automatycznie CSLIP, a jedynie udostêpnia niezbêdne do tego celu funkcje j±dra. Opcja Keepalive and linefill powoduje, ¿e co jaki¶ czas jest generowany sztuczny ruch na ³±czu SLIP, aby unikn±æ zerwania po³±czenia przez czujnik nieaktywno¶ci. Opcja Six bit SLIP encapsulation pozwala na uruchomienie SLIP na liniach i obwodach, które nie s± w stanie przesy³aæ pe³nych 8-bitowych zestawów danych. Jest to technika podobna do uukodowania (ang. uuencoding) lub algorytmu binhex, stosowanych do przesy³ania plików binarnych poczt± elektroniczn±.
Protokó³ PLIP jest sposobem przes³ania datagramów IP przez ³±cze oparte o porty równoleg³e. U¿ywa siê go do komunikowania siê komputerów PC pracuj±cych w systemie DOS. Na typowym komputerze PC, protokó³ PLIP mo¿e byæ szybszy ni¿ PPP czy SLIP, ale bardziej obci±¿a procesor, a wiêc choæ przepustowo¶æ pozostanie odpowiednia, to inne zadania mog± byæ realizowane wolniej.
Poni¿sze pytania dotycz± kart sieciowych ró¿nych sprzedawców. Im wiêcej sterowników jest dostêpnych na rynku, tym bardziej prawdopodobne, ¿e w tej sekcji pojawi siê nowe pytanie. Gdyby¶ chcia³ stworzyæ j±dro, móg³by¶ robiæ to na wielu ró¿nych maszynach, a gdyby twoja maszyna mia³a zainstalowane ró¿ne rodzaje kart sieciowych, móg³by¶ w³±czyæ wiêcej ni¿ jeden sterownik:

 .
 .
Ethernet (10 or 100Mbit) (CONFIG_NET_ETHERNET) [Y/n/?]
3COM cards (CONFIG_NET_VENDOR_3COM) [Y/n/?]
3c501 support (CONFIG_EL1) [N/y/m/?]
3c503 support (CONFIG_EL2) [N/y/m/?]
3c509/3c579 support (CONFIG_EL3) [N/y/m/?]
3c590/3c900 series (592/595/597/900/905) "Vortex/Boomerang" support
    (CONFIG_VORTEX) [N/y/m/?]
AMD LANCE and PCnet (AT1500 and NE2100) support (CONFIG_LANCE) [N/y/?]
AMD PCInet32 (VLB and PCI) support (CONFIG_LANCE32) [N/y/?] (NEW)
Western Digital/SMC cards (CONFIG_NET_VENDOR_SMC) [N/y/?]
WD80*3 support (CONFIG_WD80x3) [N/y/m/?] (NEW)
SMC Ultra support (CONFIG_ULTRA) [N/y/m/?] (NEW)
SMC Ultra32 support (CONFIG_ULTRA32) [N/y/m/?] (NEW)
SMC 9194 support (CONFIG_SMC9194) [N/y/m/?] (NEW)
Other ISA cards (CONFIG_NET_ISA) [N/y/?]
Cabletron E21xx support (CONFIG_E2100) [N/y/m/?] (NEW)
DEPCA, DE10x, DE200, DE201, DE202, DE422 support (CONFIG_DEPCA) [N/y/m/?] (NEW)
EtherWORKS 3 (DE203, DE204, DE205) support (CONFIG_EWRK3) [N/y/m/?] (NEW)
EtherExpress 16 support (CONFIG_EEXPRESS) [N/y/m/?] (NEW)
HP PCLAN+ (27247B and 27252A) support (CONFIG_HPLAN_PLUS) [N/y/m/?] (NEW)
HP PCLAN (27245 and other 27xxx series) support (CONFIG_HPLAN) [N/y/m/?] (NEW)
HP 10/100VG PCLAN (ISA, EISA, PCI) support (CONFIG_HP100) [N/y/m/?] (NEW)
NE2000/NE1000 support (CONFIG_NE2000) [N/y/m/?] (NEW)
SK_G16 support (CONFIG_SK_G16) [N/y/?] (NEW)
EISA, VLB, PCI and on card controllers (CONFIG_NET_EISA) [N/y/?]
Apricot Xen-II on card ethernet (CONFIG_APRICOT) [N/y/m/?] (NEW)
Intel EtherExpress/Pro 100B support (CONFIG_EEXPRESS_PRO100B) [N/y/m/?] (NEW)
DE425, DE434, DE435, DE450, DE500 support (CONFIG_DE4X5) [N/y/m/?] (NEW)
DECchip Tulip (dc21x4x) PCI support (CONFIG_DEC_ELCP) [N/y/m/?] (NEW)
Digi Intl. RightSwitch SE-X support (CONFIG_DGRS) [N/y/m/?] (NEW)
Pocket and portable adaptors (CONFIG_NET_POCKET) [N/y/?]
AT-LAN-TEC/RealTek pocket adaptor support (CONFIG_ATP) [N/y/?] (NEW)
D-Link DE600 pocket adaptor support (CONFIG_DE600) [N/y/m/?] (NEW)
D-Link DE620 pocket adaptor support (CONFIG_DE620) [N/y/m/?] (NEW)
Token Ring driver support (CONFIG_TR) [N/y/?]
IBM Tropic chipset based adaptor support (CONFIG_IBMTR) [N/y/m/?] (NEW)
FDDI driver support (CONFIG_FDDI) [N/y/?]
Digital DEFEA and DEFPA adapter support (CONFIG_DEFXX) [N/y/?] (NEW)
ARCnet support (CONFIG_ARCNET) [N/y/m/?]
  Enable arc0e (ARCnet "Ether-Encap" packet format) (CONFIG_ARCNET_ETH)/
      [N/y/?] (NEW)
  Enable arc0s (ARCnet RFC1051 packet format) (CONFIG_ARCNET_1051)/
      [N/y/?] (NEW)
 .
 .

Pod koniec sekcji dotycz±cej systemu plików skrypt konfiguracyjny zapyta ciê, czy chcesz w³±czyæ obs³ugê NFS - sieciowego systemu plików. NFS pozwala na udostêpnienie systemu plików kilku hostom, na których pliki z twojego hosta bêd± widoczne tak, jakby by³y na zwyk³ym dysku pod³±czonym lokalnie:

NFS file system support (CONFIG_NFS_FS) [y]

NFS opiszemy szczegó³owo w rozdziale 14, Sieciowy system plików.
Opcje sieciowe j±dra w Linuksie 2.0.0 i nowszych
W j±drze Linuksa 2.0.0 nast±pi³y znaczne zmiany w obs³udze sieci. Wiele funkcji sta³o siê standardow± czê¶ci± j±dra, na przyk³ad obs³uga protoko³u IPX. Dodano tak¿e szereg opcji, co otworzy³o nowe mo¿liwo¶ci konfiguracyjne. Wielu opcji  u¿ywa siê tylko w bardzo szczególnych sytuacjach i nie bêdziemy ich opisywaæ. Dokument Networking-HOWTO opisuje to, co my tutaj pomijamy. W tym podrozdziale podajemy najbardziej przydatne opcje i wyja¶niamy, kiedy nale¿y ich u¿ywaæ:
Podstawy

Aby u¿ywaæ sieci TCP/IP, musisz odpowiedzieæ na to pytanie, wpisuj±c y. Je¿eli odpowiesz n, wci±¿ bêdziesz móg³ skompilowaæ j±dro z obs³ug± IPX:

Networking options --->
    [*] TCP/IP networking

Gatewaye

Musisz w³±czyæ tê opcjê, je¿eli twój system pracuje jako gateway pomiêdzy dwoma sieciami lub pomiêdzy sieci± lokaln± a ³±czem SLIP. To, ¿e opcja jest domy¶lnie w³±czona, w niczym nie przeszkadza, ale trzeba j± wy³±czyæ, je¿eli chcesz skonfigurowaæ host jako firewall. Firewalle to hosty, które s± pod³±czone do dwóch lub wiêcej sieci, ale nie rutuj± ruchu pomiêdzy nimi. S± one powszechnie stosowane, aby udostêpniæ u¿ytkownikom Internet przy minimalnym ryzyku dla sieci wewnêtrznej. U¿ytkownicy mog± logowaæ siê do firewalla i korzystaæ z us³ug internetowych, a komputery firmowe s± zabezpieczone przed atakami z zewn±trz, poniewa¿ firewalle nie przepuszczaj± ¿adnych po³±czeñ przychodz±cych z zewn±trz (firewalle opisujemy szczegó³owo w rozdziale 9, Firewall TCP/IP):

[*] IP: forwarding/gatewaying

Wirtualne hosty

Opcje te pozwalaj± na skonfigurowanie wiêcej ni¿ jednego adresu IP dla jednego interfejsu. Przydaj± siê, je¿eli chcesz tworzyæ "hosty wirtualne", czyli skonfigurowaæ maszynê tak, ¿e wygl±da i dzia³a jak kilka oddzielnych maszyn, ka¿da o w³asnych parametrach sieciowych. Wiêcej na temat tworzenia aliasów IP powiemy za chwilê:

[*] Network aliasing
   <*> IP: aliasing support

Liczenie ruchu IP

Opcja ta pozwala na zbieranie danych na temat wielko¶ci ruchu IP (wychodz±cego i wchodz±cego) w danej maszynie. (Omówienie tego zagadnienia zawiera rozdzia³ 10, Liczenie ruchu IP).

[*] IP: accounting

B³±d PC

Opcja ta rozwi±zuje problem niekompatybilno¶ci z niektórymi wersjami zestawu PC/TCP, bed±cego komercyjn± implementacj± TCP/IP dla komputerów PC opartych na DOS-ie. Je¿eli w³±czysz tê opcjê, wci±¿ bêdziesz móg³ komunikowaæ siê ze zwyk³ymi maszynami uniksowymi, ale wydajno¶æ na gorszych ³±czach mo¿e byæ s³absza:

--- (it is safe to leave these untouched)
[*] IP: PC/TCP compatibility mode

Uruchamianie bezdyskowe

Funkcja ta w³±cza RARP (odwrotny protokó³ rozwi±zywania adresów). RARP jest u¿ywany przez klienty bezdyskowe i X terminale do uzyskiwania swojego adresu IP przy uruchamianiu. Powiniene¶ w³±czyæ RARP, je¿eli planujesz obs³ugê klientów tego typu. Ma³y program o nazwie rarp, do³±czony do standardowych narzêdzi sieciowych, jest u¿ywany to dodawania wpisów do tablicy RARP j±dra:

<*> IP: Reverse ARP

MTU

Aby dane wysy³ane przez TCP/IP mog³y zostaæ przekazane do protoko³u IP, j±dro musi podzieliæ ich strumieñ na bloki. Rozmiar bloku jest okre¶lany za pomoc± maksymalnej jednostki transmisji (Maximum Transmission Unit - MTU). W przypadku hostów, które s± osi±galne przez sieæ lokaln±, np. Ethernet, typowe jest u¿ywanie MTU odpowiadaj±cego maksymalnej wielko¶ci pakietu Ethernet - 1500 bajtom. W przypadku rutingu IP przez sieci rozleg³e takie jak Internet, preferowane jest stosowanie mniejszych datagramów, aby nie musia³y byæ dalej dzielone w procesie zwanym fragmentacj± IP (ang. IP fragmentation)*. J±dro jest w stanie automatycznie okre¶liæ najmniejsz± warto¶æ MTU dla danej trasy IP i automatycznie skonfigurowaæ po³±czenie TCP dla tej trasy. Zachowanie to jest domy¶lne. Je¿eli odpowiesz y przy wyborze tej opcji, w³a¶ciwo¶æ ta zostanie wy³±czona.
Je¿eli rzeczywi¶cie chcesz wysy³aæ dane w mniejszych pakietach do okre¶lonych hostów (poniewa¿ na przyk³ad dane s± przesy³ane przez ³±cze SLIP), skorzystaj z opcji mss polecenia route, które zostanie krótko omówione pod koniec tego rozdzia³u:

[ ] IP: Disable Path MTU Discovery (normally enabled)

Bezpieczeñstwo

Protokó³ IP obs³uguje funkcjê ¼ród³owego wyboru trasy (ang. source routing). ?ród³owy wybór trasy pozwala na zakodowanie trasy datagramu w nim samym. Z ca³± pewno¶ci± by³o to dobre rozwi±zanie, zanim upowszechni³y siê protoko³y RIP i OSPF. Obecnie uznawane jest za niebezpieczne, poniewa¿ daje osobom niepowo³anym narzêdzie do pokonania zabezpieczeñ firewalli, mianowicie pozwala na ominiêcie tablicy rutingu rutera. W normalnej sytuacji powiniene¶ filtrowaæ datagramy ze ¼ród³owym wyborem trasy, a wiêc ta opcja powinna byæ w³±czona:

[*] IP: Drop source routed frames

Obs³uga sieci Novell

Opcja ta w³±cza obs³ugê IPX - protoko³u transportowego wykorzystywanego w sieci Novell. Linux bêdzie dzia³a³ doskonale jako ruter IPX, a ponadto funkcja ta jest przydatna w ¶rodowiskach, gdzie znajduj± siê serwery plików Novell. System plików NCP równie¿ wymaga w³±czonej obs³ugi IPX w j±drze. Gdyby¶ chcia³ pod³±czyæ siê i zamontowaæ systemy plików Novell, musia³by¶ mieæ tê opcjê w³±czon± (IPX i system plików NCP omawiamy w rozdziale 15, IPX i system plików NCP):

<*> The IPX protocol

Radio amatorskie

Trzy poni¿sze opcje w³±czaj± obs³ugê protoko³ów radia amatorskiego obs³ugiwanych przez Linuksa: AX.25, NetRom i Rose (nie opisujemy ich w tej ksi±¿ce, ale s± one szczegó³owo przedstawione w dokumencie AX25-HOWTO):

<*> Amateur Radio AX.25 Level 2
<*> Amateur Radio NET/ROM
<*> Amateur Radio X.25 PLP (Rose)

Linux obs³uguje jeszcze jeden typ sterownika: sterownik fikcyjny (ang. dummy driver). Poni¿sze pytanie pojawia siê na pocz±tku sekcji dotycz±cej sterowników urz±dzeñ:

<*> Dummy net driver support

Sterownik fikcyjny jest w zasadzie przydatny tylko w przypadku samodzielnych hostów PPP/SLIP. Jest to w istocie interfejs pêtli zwrotnej z maskowaniem IP. Na hostach, które posiadaj± jedynie interfejsy PPP/SLIP, bêdziesz chcia³ mieæ interfejs, który przez ca³y czas utrzymuje twój adres IP. Omawiamy to nieco bardziej szczegó³owo w podrozdziale Interfejs fikcyjny w rozdziale 5, Konfigurowanie sieci TCP/IP. Zauwa¿, ¿e dzisiaj to samo mo¿esz uzyskaæ, u¿ywaj±c aliasu IP i konfiguruj±c swój adres IP jako alias na interfejsie pêtli zwrotnej.
Wycieczka po urz±dzeniach sieciowych Linuksa
J±dro Linuksa obs³uguje szereg sterowników dla ró¿nego rodzaju sprzêtu. Ten podrozdzia³ to krótki przegl±d dostêpnych rodzin sterowników i u¿ywanych przez nie nazw interfejsów.
Interfejsy w Linuksie maj± standardowe nazwy, wymienione poni¿ej. Wiêkszo¶æ sterowników obs³uguje wiêcej ni¿ jeden interfejs, dlatego interfejsy s± numerowane, na przyk³ad eth0 i eth1.
lo

To lokalny interfejs pêtli zwrotnej. Jest u¿ywany zarówno do celów testowych, jak i przez kilka aplikacji sieciowych. Dzia³a na zasadzie obwodu zamkniêtego, w którym wszelkie dane wys³ane do interfejsu s± zwracane do warstwy sieciowej hosta. W j±drze istnieje zawsze tylko jeden interfejs pêtli zwrotnej i nie ma sensu, aby by³o ich wiêcej.
eth0, eth1...

To interfejsy kart Ethernet. S± u¿ywane przez wiêkszo¶æ kart Ethernet, w³±cznie z tymi pod³±czanymi przez port równoleg³y.
tr0, tr1...

To interfejsy kart Token Ring. S± u¿ywane przez wiêkszo¶æ kart Token Ring, w³±cznie z produkowanymi przez firmy inne ni¿ IBM.
sl0, sl1...

To interfejsy SLIP. S± zwi±zane z ³±czami szeregowymi w kolejno¶ci alokowania dla SLIP.
ppp0, ppp1...

To interfejsy PPP. Podobnie jak interfejsy SLIP, interfejs PPP jest zwi±zany z ³±czem szeregowym pracuj±cym w trybie PPP.
plip0, plip1...

To interfejsy PLIP. PLIP przesy³a datagramy IP przez ³±cza równoleg³e. Interfejsy s± alokowane przez sterownik PLIP w czasie uruchamiania systemu i s± odwzorowane na porty równoleg³e. W j±drach 2.0.x istnieje bezpo¶redni zwi±zek miêdzy nazw± urz±dzenia a portem wej¶cia/wyj¶cia portu równoleg³ego, ale w nowszych j±drach nazwy urz±dzeñ s± przypisywane kolejno, tak jak w urz±dzeniach SLIP i PPP.
ax0, ax1...

To interfejsy AX.25. AX.25 jest podstawowym protoko³em u¿ywanym przez operatorów radia amatorskiego. Interfejsy AX.25 s± alokowane i przypisywane w podobny sposób jak urz±dzenia SLIP.
Istnieje wiele innych typów interfejsów dla innych urz±dzeñ sieciowych. Wymienili¶my tylko najpopularniejsze z nich.
W kilku nastêpnych podrozdzia³ach omówimy dok³adniej korzystanie z opisanych powy¿ej sterowników. Dokument Networkig-HOWTO opisuje konfiguracjê wiêkszo¶ci pozosta³ych interfejsów, natomiast AX25-HOWTO wyja¶nia, jak skonfigurowaæ urz±dzenia sieciowe radia amatorskiego.
Instalowanie Ethernetu
Kod sieciowy Liunksa w obecnej postaci obs³uguje wiele kart Ehternet. Wiêkszo¶æ sterowników zosta³a napisana przez Donalda Beckera, który stworzy³ rodzinê sterowników dla kart opartych o uk³ad National Semiconductor 8390. S± one znane pod nazw± Becker Series Drivers. Sterowniki dla ró¿nego sprzêtu pisali te¿ inni programi¶ci. Dziêki temu wiêkszo¶æ popularnych kart jest obs³ugiwana przez Linuksa, z naprawdê nielicznymi wyj±tkami. Lista obs³ugiwanych kart Ethernet stale siê wyd³u¿a, a wiêc je¿eli twoja karta jeszcze siê na niej nie znajduje, to istnieje realna szansa, ¿e wkrótce tam do³±czy.
Niegdy¶ próbowano sporz±dziæ listê wszystkich obs³ugiwanych kart Ethernet, ale obecnie zajê³oby to zbyt du¿o czasu i miejsca. Na szczê¶cie Paul Gortmaker, który redaguje dokument Ethernet-HOWTO, zamieszcza listê wszystkich obs³ugiwanych kart i podaje przydatne informacje na temat ich uruchamiania w Linuksie*. Co miesi±c jest ona wysy³ana do grupy dyskusyjnej comp.os.linux.answers, a tak¿e jest dostêpna w o¶rodkach lustrzanych Projektu Dokumentacji Linuksa.
Nawet, je¿eli jeste¶ przekonany, ¿e potrafisz zainstalowaæ dany typ karty Ethernet w swoim komputerze, warto zajrzeæ do Ethernet-HOWTO i dowiedzieæ siê, co ma do powiedzenia na ten temat. Znajdziesz tam informacje wykraczaj±ce poza proste zagadnienia konfiguracji. Na przyk³ad zapewne unikniesz niepotrzebnych k³opotów, je¶li bêdziesz wiedzia³, jak siê zachowuj± niektóre karty Ethernet oparte na DMA i wykorzystuj±ce ten sam kana³ DMA, który jest domy¶lnie przeznaczony dla kontrolera SCSI Adaptec AHA 1542. Dopóki nie prze³±czysz ich na inny kana³ DMA, uruchomienie komputera bêdzie siê koñczy³o zapisywaniem pakietów przez kartê Ethernet na losowe miejsca twojego dysku twardego.
Aby skorzystaæ z dowolnej obs³ugiwanej przez Linuksa karty Ethernet, mo¿esz u¿yæ prekompilowanego j±dra z jakiej¶ znanej dystrybucji Linuksa. Zwykle maj± one modu³y dla wszystkich obs³ugiwanych sterowników, a w procesie instalacji zwykle mo¿esz wybraæ te sterowniki, które chcesz za³adowaæ. Jednak na d³u¿sz± metê lepiej jest skompilowaæ w³asne j±dro i umie¶ciæ w nim tylko te sterowniki, które s± rzeczywi¶cie potrzebne. Zaoszczêdzisz miejsce na dysku i pamiêæ.
Automatyczne wykrywanie kart Ethernet
Sterowniki Ethernet w Linuksie s± zwykle na tyle inteligentne, by znale¼æ lokalizacjê karty Ethernet. Dziêki temu nie musisz sam wskazywaæ jej j±dra. Ethernet-HOWTO informuje, czy dany sterownik u¿ywa automatycznego wykrywania i w jakiej kolejno¶ci sprawdza adresy wej¶cia/wyj¶cia karty.
Kod automatycznego wykrywania ma trzy ograniczenia. Po pierwsze, nie jest on w stanie poprawnie rozpoznaæ wszystkich kart. Jest to szczególnie widoczne w przypadku tañszych klonów popularnych kart. Po drugie, j±dro nie wykryje automatycznie wiêcej ni¿ jednej karty, dopóki mu tego jawnie nie zaznaczysz. Jest to ¶wiadome za³o¿enie konstrukcyjne, gdy¿ uznano, ¿e bêdziesz chcia³ mieæ kontrolê nad tym, która karta jest przypisywana do którego interfejsu. Najlepszym sposobem na zrobienie tego porz±dnie jest rêczne skonfigurowanie kart Ethernet we w³asnym komputerze. Po trzecie, sterownik mo¿e przeoczyæ adres, pod którym jest skonfigurowana twoja karta. Podsumowuj±c, sterowniki bêd± automatycznie szuka³y karty tylko pod tymi adresami, pod którymi dane urz±dzenie mo¿e byæ skonfigurowane, ale czasem pewne adresy s± ignorowane w celu unikniêcia konfliktów sprzêtowych z innymi typami kart, które czêsto wykorzystuj± ten sam adres.
Karty sieciowe PCI powinny byæ wykrywane bez k³opotów. Je¿eli jednak u¿ywasz wiêcej ni¿ jednej karty albo je¿eli automatyczne wykrywanie siê nie powiedzie, istnieje sposób na jawne powiadomienie j±dra o adresie podstawowym i nazwie karty.
W czasie uruchamiania systemu mo¿esz podaæ do j±dra argumenty i informacje, które mog± siê przydaæ niektórym jego sk³adnikom. Mechanizm ten pozwala ci na przyk³ad na przekazanie do j±dra informacji, które umo¿liwi± sterownikom Ethernet  zlokalizowanie sprzêtu Ethernet bez wykrywania go przez sterownik.
Je¿eli korzystasz z systemu uruchamiania lilo, mo¿esz przekazaæ parametry do j±dra, wpisuj±c je za pomoc± opcji append w pliku lilo.conf. Aby powiadomiæ j±dro o urz±dzeniu Ethernet, mo¿esz przekazaæ mu nastêpuj±ce parametry:

ether=irq,base_addr,[param1,][param2,]name

Pierwsze cztery parametry s± liczbami, natomiast ostatni to nazwa urz±dzenia. Obowi±zkowe s± irq, base_addr i name, opcjonalne - dwa parametry param. Dowolne warto¶ci liczbowe mog± byæ ustawione na zero, co powoduje, ¿e j±dro okre¶li je przez wykrywanie.
Pierwszy parametr okre¶la IRQ przypisane do urz±dzenia. Domy¶lnie j±dro bêdzie próbowa³o automatycznie wykryæ kana³ IRQ urz±dzenia. Sterownik 3c503, na przyk³ad, ma specjaln± funkcjê, która wybiera wolne IRQ z listy 5, 9, 3, 4 i konfiguruje kartê tak, by z niego korzysta³a. Parametr base_addr okre¶la podstawowy adres wej¶cia/wyj¶cia karty - warto¶æ zero mówi j±dru, by sprawdzi³o podane adresy.
Kolejne dwa parametry s± ró¿nie wykorzystywane przez ró¿ne sterowniki. W przypadku kart wykorzystuj±cych wspó³dzielenie pamiêci, takich jak WD80x3, parametry te okre¶laj± adresy pocz±tkowy i koñcowy obszaru pamiêci. Inne karty powszechnie u¿ywaj± param1 do ustawienia poziomu wy¶wietlanych informacji debuguj±cych. Warto¶ci od 1 do 7 wyznaczaj± kolejne poziomy ilo¶ci informacji, natomiast 8 wy³±cza je wszystkie. 0 jest warto¶ci± domy¶ln±. Sterownik 3c503 u¿ywa param2 do wyboru pomiêdzy wewnêtrznym (domy¶lnie) a zewnêtrznym (warto¶æ 1) transceiverem. Ten pierwszy wykorzystuje z³±cze karty BNC, natomiast drugi jej port AUI. Argumenty param nie musz± byæ w ogóle podawane, je¿eli nie masz nic szczególnego do skonfigurowania.

Pierwszy, nieliczbowy argument jest interpretowany przez j±dro jako nazwa urz±dzenia. Musisz podaæ nazwê urz±dzenia dla ka¿dej konfigurowanej karty Ethernet.
Gdyby¶ mia³ dwie karty Ethernet, Linux móg³by wykryæ jedn± kartê automatycznie i przez lilo przekazaæ parametry do drugiej karty, ale prawdopodobnie wola³by¶ rêcznie skonfigurowaæ obie karty. Je¶li decydujesz siê na wykrywanie jednej karty przez j±dro i rêczne konfigurowanie drugiej, musisz mieæ pewno¶æ, ¿e j±dro nie znajdzie przypadkowo najpierw drugiej karty i ¿e pierwsza zostanie w ogóle znaleziona. Dlatego przeka¿ do lilo opcjê reserve, która jawnie mówi j±dru, by nie sprawdza³o obszaru wej¶cia/wyj¶cia zajêtego przez drug± kartê. Na przyk³ad, aby Linux zainstalowa³ drug± kartê Ethernet znajduj±c± siê pod adresem 0x300 jako eth1, musia³by¶ przekazaæ j±dru nastêpuj±ce parametry:

reserve=0x300,32 ether=0,0x300,eth1

Opcja reserve gwarantuje, ¿e ¿aden sterownik nie bêdzie mia³ dostêpu do obszaru wej¶cia/wyj¶cia drugiej karty w czasie wykrywania innych urz±dzeñ. Mo¿esz tak¿e u¿yæ parametru j±dra, który uniewa¿nia automatyczne wykrywanie eth0:

reserve=0x340,32 ether=0,0x340,eth0

Mo¿esz tak¿e w ogóle wy³±czyæ automatyczne wykrywanie, na przyk³ad, aby j±dro nie próbowa³o szukaæ karty Ethernet, któr± tymczasowo usun±³e¶. W tym celu ustaw argument base_addr na warto¶æ -1:

ether=0,-1,eth0

Aby przekazaæ te parametry do j±dra w czasie uruchamiania, wpisujesz je w monicie "boot:" lilo. Aby lilo pokaza³o monit "boot:", musisz nacisn±æ jeden z klawiszy [Control], [Alt] lub [Shift] w czasie uruchamiania lilo. Je¿eli maj±c monit, naci¶niesz klawisz [Tab], pojawi siê lista j±der. Aby uruchomiæ j±dro z podanymi parametrami, wprowad¼ nazwê wybranego j±dra, a nastêpnie spacjê i parametry, które chcesz przekazaæ. Po naci¶niêciu [Enter] lilo za³aduje j±dro z uwzglêdnieniem podanych parametrów.
Aby te nowe parametry pojawi³y siê automatycznie przy ponownym uruchamianiu systemu, wprowad¼ je do pliku /etc/lilo.conf, u¿ywaj±c s³owa kluczowego append=. Oto przyk³ad:

boot=/dev/hda
root=/dev/hda2
install=/boot/boot.b
map=/boot/map
vga=normal
delay=20
append="ether=10,300,eth0"

image=/boot/vmlinuz-2.2.14
label=2.2.14
read-only

Po edycji pliku lilo.conf musisz ponownie uruchomiæ polecenie lilo, aby uaktywniæ zmiany.

Sterownik PLIP
Protokó³ IP ³±cza równoleg³ego (Parallel Line IP - PLIP) to ³atwy i tani sposób na po³±czenie dwóch maszyn w sieæ. Wykorzystuje port równoleg³y i specjalny kabel. Osi±ga prêdko¶æ od 10 do 20 kilobajtów na sekundê.
PLIP powsta³ w firmie Cyrnwr, Inc. Na swoje czasy odznacza³ siê pomys³ow±  (lub, je¶li wolisz, typowo hakersk± architektur±), poniewa¿ oryginalne porty równoleg³e IBM PC by³y projektowane jako jednokierunkowe porty drukarki. Osiem linii danych s³u¿y³o do wysy³ania danych jedynie z PC do urz±dzenia peryferyjnego, ale nie w drug± stronê.* Protokó³ PLIP firmy Cyrnwr znosi³ to ograniczenie. W PLIP do przyjmowania danych przeznaczono tylko piêæ linii stanu portu, co ograniczy³o wielkoæ dostarczanych danych do pó³bajtu, ale dopuszczono przesy³anie w obie strony. Ten tryb dzia³ania zosta³ nazwany PLIP tryb 0. Obecnie porty równoleg³e PC obs³uguj± pe³ne dwukierunkowe przesy³anie danych 8-bitowych, a PLIP zosta³ rozszerzony i nosi nazwê PLIP tryb 1.
J±dra Linuksa do wersji 2.0 (w³±cznie) obs³ugiwa³y jedynie PLIP tryb 0, ale istnia³y rozszerzone sterowniki portu równoleg³ego (w postaci poprawek dla j±dra 2.0 i jako standardowy kod w j±drze 2.2), które obs³ugiwa³y tak¿e PLIP tryb 1**. W odró¿nieniu od wcze¶niejszych wersji kodu PLIP, obecny sterownik próbuje byæ kompatybilny z implementacjami PLIP firmy Cyrnwr oraz sterownikiem PLIP umieszczonym w NCSA telnet***.  Aby po³±czyæ dwa komputery za pomoc± PLIP, musisz mieæ specjalny kabel sprzedawany w niektórych sklepach pod nazw± Null Printer lub Turbo Laplink. Mo¿esz jednak wykonaæ go samodzielnie i nie jest to trudne. Dodatek B, Przydatne konfiguracje kabli, wyja¶nia, jak to zrobiæ.
Sterownik PLIP dla Linuksa jest dzie³em prawie niezliczonej rzeszy u¿ytkowników. Obecnie znajduje siê pod opiek± Niibe Yutaka (adres kontaktowy: gniibe@mri.co.jp). Sterownik po wkompilowaniu w j±dro konfiguruje interfejs sieciowy dla ka¿dego mo¿liwego portu drukarki, gdzie plip0 odpowiada portowi lp0, plip1 portowi lp1 i tak dalej. Odwzorowanie interfejsów na porty inaczej wygl±da w j±drach 2.0 ni¿ w j±drach 2.2. W j±drach 2.0 odwzorowanie by³o zdefiniowane w pliku drives/ net/Space.c w kodzie j±dra i nie mog³o siê zmieniæ. Domy¶lne odwzorowanie w tym pliku jest nastêpuj±ce:

Interfejs	Port wej¶cia/wyj¶cia	IRQ
plip0	0x3BC	7
plip1	0x378	7
plip2	0x278	5
Gdyby¶ skonfigurowa³ swój port drukarki w inny sposób, musia³by¶ zmieniæ odpowiednie warto¶ci w pliku drivers/net/Space.c w kodzie ¼ród³owym j±dra Linuksa, które trzeba by³oby przekompilowaæ.
W j±drach 2.2 sterownik PLIP wykorzystuje sterownik portu równoleg³ego "parport" napisany przez Philipa Blundella*. Nowy sterownik przypisuje nazwy urz±dzeñ sieciowych PLIP kolejno, tak jak sterowniki Ethernet czy PPP, a wiêc pierwsze utworzone urz±dzenie PLIP ma nazwê plip0, drugie plip1 i tak dalej. Fizyczne porty równoleg³e s± równie¿ przypisywane kolejno. Domy¶lnie sterownik portu równoleg³ego zastosuje procedurê automatycznego wykrywania, aby zidentyfikowaæ sprzêt, który go obs³uguje, i kolejno zapisze uzyskiwane informacje o urz±dzeniu fizycznym. Lepiej jest jawnie przekazaæ j±dru fizyczne parametry wej¶cia/wyj¶cia. W tym celu trzeba podaæ argumenty do modu³u parport_pc.o w czasie jego ³adowania, a je¿eli sterownik jest wkompilowany w j±dro, argumenty podaje siê w czasie uruchamiania lilo. Ustawienia IRQ dowolnego urz±dzenia mog± zostaæ zmienione pó¼niej przez zapisanie nowej warto¶ci IRQ do pliku /proc/parport/*/irq.
Konfigurowanie parametrów fizycznych wej¶cia/wyj¶cia w j±drze 2.2 w czasie ³adowania modu³u jest proste. Na przyk³ad, aby przekazaæ sterownikowi, ¿e masz dwa porty równoleg³e typu PC pod adresami wej¶cia/wyj¶cia 0x278 i 0x378 oraz IRQ odpowiednio 5 i 7, mo¿esz za³adowaæ modu³ z nastêpuj±cymi argumentami:

modprobe parport_pc io=0x278,0x378 irq=5,7

Odpowiednie argumenty przekazywane do j±dra w przypadku wkompilowanego sterownika s± nastêpuj±ce:

parport=0x278,5 parport=0x378,7

Aby argumenty te przekazaæ do j±dra automatycznie w czasie uruchamiania systemu, musisz u¿yæ s³owa kluczowego append w lilo.
Gdy sterownik PLIP zostanie zainicjowany, czy to w czasie uruchamiania systemu, je¿eli jest wbudowany, czy te¿ w czasie ³adowania modu³u plip.o, ka¿dy z portów równoleg³ych bêdzie mia³ zwi±zane z nim urz±dzenie sieciowe plip. Urz±dzenie plip0 zostanie przypisane do pierwszego portu równoleg³ego, plip1 do drugiego i tak dalej. To przypisanie mo¿na pomin±æ, rêcznie zadaj±c inny zestaw argumentów j±dra. Na przyk³ad, aby przypisaæ parport0 do urz±dzenia plip0 i parport1 do urz±dzenia plip1, u¿y³by¶ nastêpuj±cych argumentów j±dra:

plip=parport1 plip=parport0

Jednak takie przypisanie nie znaczy, ¿e nie mo¿esz wykorzystywaæ tych portów równoleg³ych do drukowania czy innych celów. Fizyczne porty równoleg³e s± u¿ywane przez sterownik PLIP jedynie wtedy, gdy odpowiadaj±cy im interfejs jest w trybie up.
Sterowniki PPP i SLIP
Protoko³y PPP (Point-to-point Protocol - protokó³ punkt-punkt) i SLIP (Serial Line IP - IP ³±cza szeregowego) s± powszechnie stosowane do przesy³ania pakietów IP przez ³±cze szeregowe. Wiele firm oferuje dostêp komutowany PPP i SLIP do maszyn, które s± pod³±czone do Internetu, zapewniaj±c w ten sposób po³±czenia IP dla prywatnych osób (czêsto inaczej trudno dostêpne).
Aby uruchomiæ PPP czy SLIP, nie trzeba modyfikowaæ sprzêtu - mo¿esz u¿yæ dowolnego portu szeregowego. Poniewa¿ konfiguracja portu szeregowego nie jest istot± sieci TCP/IP, zagadnienie to znalaz³o siê w rozdziale 4, Konfigurowanie urz±dzeñ szeregowych. Natomiast PPP omawiamy szczegó³owo w rozdziale 8, Protokó³ punkt-punkt, a SLIP - w rozdziale 7, IP ³±cza szeregowego.
Inne typy sieci
Wiêkszo¶æ pozosta³ych typów sieci jest konfigurowana podobnie jak Ethernet. Argumenty przekazywane do modu³ów ³adowalnych bêd± oczywi¶cie inne, a niektóre sterowniki mog± obs³ugiwaæ tylko jedn± kartê, ale ca³a reszta jest taka sama. Dokumentacjê tych kart mo¿esz znale¼æ w katalogu /usr/src/linux/Documentation/networking w kodzie ¼ród³owym Linuksa.


4
Konfigurowanie urz±dzeñ szeregowych

Rozdzia³ 4: Konfigurowanie urz±dzeñ szeregowych


Internet rozwija siê bardzo szybko. A przecie¿ wiekszo¶æ jego u¿ytkowników stanowi± ci, którzy nie mog± sobie pozwoliæ na sta³e i szybkie ³±cza i u¿ywaj± protoko³ów takich jak SLIP, PPP czy UUCP, dzwoni±c do dostawcy us³ug internetowych i odbieraj±c dzienn± porcjê swojej poczty i wiadomo¶ci grup dyskusyjnych.
Rozdzia³ niniejszy ma pomóc tym wszystkim, którzy swoje po³±czenie ze ¶wiatem zewnêtrznym opieraj± na modemach. Nie bêdziemy mówili, jak skonfigurowaæ modem (instrukcja konkretnego urz±dzenia powie ci wiêcej na ten temat), ale opiszemy aspekty specyficzne dla Linuksa i dotycz±ce zarz±dzania urz±dzeniami wykorzystuj±cymi porty szeregowe. Interesuj±ce nas tematy to: oprogramowanie do komunikacji szeregowej, tworzenie plików urz±dzeñ szeregowych, urz±dzenia szeregowe i konfigurowanie urz±dzeñ szeregowych za pomoc± poleceñ setserial i stty. Wiele innych tematów mo¿na znale¼æ w Serial-HOWTO autorstwa Davida Lawyera*.
Oprogramowanie komunikacyjne do po³±czeñ modemowych
Istnieje wiele pakietów komunikacyjnych dla Linuksa. G³ównie s± to programy terminala, które pozwalaj± u¿ytkownikowi dzwoniæ do innego komputera i poczuæ siê tak, jakby siedzia³ przed prostym terminalem. Tradycyjny program terminala dla ¶rodowisk uniksowych to kermit. Obecnie jest on ju¿ nieco przestarza³y i mo¿e wydawaæ siê trudny. Istniej± wygodniejsze programy, które obs³uguj± funkcje, takie jak ksi±¿ki telefoniczne, jêzyki skryptowe do automatycznego dzwonienia i logowania siê do zdalnych systemów komputerowych oraz ró¿ne protoko³y wymiany plików. Jednym z tych programów jest minicom, wzorowany na najpopularniejszym DOS-owym programie terminala. U¿ytkownicy X11 tak¿e maj± narzêdzie dla siebie - seyon jest w pe³ni funkcjonalnym programem komunikacyjnym opartym na X11.
Programy terminala nie s± jedynym rodzajem programów do po³±czeñ szeregowych. Inne pozwalaj± po³±czyæ siê z hostem i pobraæ wiadomo¶ci grup dyskusyjnych oraz pocztê w jednej paczce, aby pó¼niej, w wolnej chwili, zapoznaæ siê z nimi i daæ odpowied¼. Mo¿e zaoszczêdzisz w ten sposób du¿o czasu i pieniêdzy, je¿eli z³o¿y³o siê tak nieszczê¶liwie, ¿e mieszkasz w rejonie, gdzie po³±czenia lokalne s± p³atne*. Podczas czytania i przygotowania odpowiedzi nie musisz mieæ po³±czenia z sieci±, a gdy bêdziesz gotowy, zadzwonisz ponownie i umie¶cisz swoje odpowiedzi na serwerze za jednym zamachem. Potrzebujesz te¿ nieco wiêcej miejsca na dysku twardym, poniewa¿ wszystkie wiadomo¶ci musz± byæ na nim umieszczone, zanim je przeczytasz, ale mo¿e byæ to sensowny kompromis przy obecnych cenach dysków twardych.
UUCP zawiera w sobie w³a¶nie tego typu oprogramowanie komunikacyjne. Jest to zestaw programów, które kopiuj± pliki z jednego hosta na drugi i uruchamiaj± programy na ho¶cie zdalnym. Czêsto jest u¿ywany do przenoszenia poczty czy grup dyskusyjnych w sieciach prywatnych. Pakiet UUCP Iana Taylora, dzia³aj±cy tak¿e pod Linuksem, opisujemy szczegó³owo w rozdziale 16, Zarz±dzanie UUCP Taylora. Pozosta³e nieinteraktywne oprogramowanie komunikacyjne jest u¿ywane w sieciach takich, jak Fidonet. Wersje aplikacji pochodz±ce z Fidonet, takie jak ifmail, s± równie¿ dostêpne, chocia¿ wydaje siê nam, ¿e ju¿ niewiele osób z nich korzysta.
PPP i SLIP s± po¶rodku, gdy¿ pozwalaj± zarówno na interaktywne, jak i nieinteraktywne u¿ycie. Wiele osób u¿ywa PPP i SLIP w celu dzwonienia do swoich sieci campusowych lub innych dostawców Internetu, a potem korzysta z FTP lub czyta strony WWW. PPP i SLIP s± tak¿e powszechnie stosowane do po³±czeñ sta³ych i pó³sta³ych pomiêdzy sieciami LAN, choæ jest to ciekawe jedynie przy po³±czeniach ISDN lub innych o podobnej szybko¶ci.
Wprowadzenie do urz±dzeñ szeregowych
J±dro Linuksa daje mo¿liwo¶æ komunikacji z urz±dzeniami szeregowymi, zwykle nazywanymi urz±dzeniami tty. Jest to skrót od angielskiej nazwy Teletype device**, która wskazuje na g³ównego producenta urz±dzeñ terminalowych z pocz±tków Uniksa. Termin "urz±dzenie tty" odnosi siê obecnie do wszelkich terminali znakowych. W tym rozdziale zawê¿amy jego zakres wy³±cznie do plików urz±dzeñ w Linuksie, czyli oznacza on tutaj fizyczny terminal.
Linux udostêpnia trzy klasy urz±dzeñ tty: urz±dzenia szeregowe, terminale wirtualne (do których masz dostêp przez naci¶niêcie klawiszy od [Alt+F1] do [Alt+Fnn] na konsoli lokalnej) i pseudoterminale (podobne do potoków dwukierunkowych i u¿ywane przez aplikacje takie jak X11). Te pierwsze zosta³y nazwane urz±dzeniami tty, poniewa¿ oryginalne terminale znakowe by³y pod³±czone do maszyny uniksowej przez kabel szeregowy lub liniê telefoniczn± i modem. Dwa kolejne zosta³y te¿ zaliczone do grupy urz±dzeñ tty, poniewa¿ z punktu widzenia programisty dzia³a³y podobnie do tych pierwszych.
SLIP i PPP s± przewa¿nie implementowane w j±drze. J±dro w rzeczywisto¶ci nie traktuje urz±dzenia tty jako urz±dzenia sieciowego, którym mo¿esz pos³ugiwaæ siê tak jak urz±dzeniem Ethernet, u¿ywaj±c poleceñ ifconfig. Natomiast widzi je jako co¶, do czego mo¿e pod³±czyæ urz±dzenia sieciowe. Aby to zrobiæ, j±dro zmienia tzw. protokó³ obs³ugi (ang. line discipline) urz±dzenia tty. Zarówno SLIP, jak i PPP s± protoko³ami obs³ugi, które mog± zostaæ w³±czone na urz±dzeniach tty. Ogólna zasada jest taka, ¿e sterownik szeregowy obs³uguje otrzymane dane w ró¿ny sposób, w zale¿no¶ci od tego, z jakiego protoko³u obs³ugi korzysta. W przypadku domy¶lnego protoko³u obs³ugi sterownik po prostu przesy³a kolejno ka¿dy otrzymany znak. Gdy zostanie wybrany protokó³ obs³ugi PPP lub SLIP, sterownik nie czyta bloków danych, ale opatruje je specjalnym nag³ówkiem, który pozwala na identyfikacjê bloku danych w strumieniu po drugiej stronie i przes³anie nowego bloku danych. Na razie zrozumienie tego nie jest zbyt istotne. W dalszych rozdzia³ach omówimy dok³adniej PPP oraz SLIP i wszystko stanie siê jasne.
Dostêp do urz±dzeñ szeregowych
Tak jak wszystkie urz±dzenia w systemie Unix, tak i porty szeregowe s± dostêpne poprzez specjalne pliki urz±dzeñ znajduj±ce siê w katalogu /dev. Istniej± dwa rodzaje plików urz±dzeñ zwi±zanych ze sterownikami szeregowymi i dla ka¿dego portu istnieje jeden taki plik. Zachowanie urz±dzenia bêdzie zale¿a³o od tego, który z jego plików otworzymy. Tutaj wska¿emy ró¿nice, co pomo¿e nam zrozumieæ pewne konfiguracje. Jednak w praktyce wystarczy u¿ywaæ tylko jednego z tych plików. Nied³ugo jeden z nich mo¿e w ogóle przestaæ istnieæ.
Wa¿niejsze urz±dzenia z dwóch klas urz±dzeñ szeregowych maj± numer nadrzêdny 4, a pliki specjalne urz±dzeñ nosz± nazwy ttyS0, ttyS1 itd. Drugi rodzaj ma numer nadrzêdny 5 i zosta³ stworzony do wykorzystania przy dzwonieniu na zewn±trz przez port. Pliki specjalne w tym przypadku nosz± nazwy cua0, cua1 itd. W ¶wiecie Uniksa liczenie generalnie rozpoczyna siê od zera, choæ inteligentni ludzie zwykle licz± od jednego. Wprowadza to lekkie zamieszanie, poniewa¿ COM1: jest reprezentowany przez /dev/ttyS0, COM2: przez /dev/ttyS1 itd. Ka¿dy, kto zna architekturê sprzêtow± IBM PC wie, ¿e port COM3: i porty o wiêkszych numerach nigdy nie sta³y siê w rzeczywisto¶ci standardem.
Urz±dzenia cua, czyli "s³u¿±ce do dzwonienia" (z ang. calling out), mia³y rozwi±zaæ problem konfliktów urz±dzeñ szeregowych przeznaczonych dla modemów i obs³uguj±cych zarówno po³±czenia przychodz±ce, jak i wychodz±ce. Niestety, sta³y siê one ¼ród³em innych k³opotów i zapewne trzeba bêdzie z nich zrezygnowaæ. Przyjrzyjmy siê pokrótce problemowi.
Linux, podobnie jak Unix, pozwala, by urz±dzenie lub inny plik by³y otwierane przez wiêcej ni¿ jeden proces jednocze¶nie. Niestety nie jest to zalet± w przypadku urz±dzeñ tty, gdy¿ dwa procesy prawie na pewno bêd± sobie przeszkadza³y. Na szczê¶cie wymy¶lono mechanizm pozwalaj±cy sprawdzaæ procesowi, czy urz±dzenie tty zosta³o ju¿ otwarte przez inny proces. Mechanizm ten wykorzystuje tak zwane pliki blokuj±ce (ang. lock files). Dzia³a na nastêpuj±cej zasadzie: gdy proces chce otworzyæ urz±dzenie tty, sprawdza, czy w okre¶lonym miejscu istnieje plik o nazwie podobnej do urz±dzenia, które chce otworzyæ. Je¿eli plik nie istnieje, proces go tworzy i otwiera urz±dzenie tty. Je¿eli plik istnieje, proces zak³ada, ¿e urz±dzenie otworzy³ ju¿ inny proces i podejmuje stosowne dzia³anie. Jeszcze jeden pomys³ na sprawne dzia³anie systemu zarz±dzania plikami blokuj±cymi to zapisywanie w samym pliku ID procesu (pid), który stworzy³ plik blokuj±cy. Wiêcej na ten temat powiemy za chwilê.
Mechanizm pliku blokuj±cego dzia³a doskonale w warunkach, gdy jest zdefiniowane miejsce dla takich plików i wszystkie programy wiedz±, gdzie ich szukaæ. Niestety nie zawsze tak by³o w Linuksie. Korzystanie z tego mechanizmu sta³o siê mo¿liwe dopiero, gdy zosta³ zdefiniowany FSSTND (standard systemu plików Linuksa) z ustalon±  lokalizacj± plików blokuj±cych, które zaczê³y wtedy dzia³aæ poprawnie dla urz±dzeñ tty. Wcze¶niej zdarzy³o siê, ¿e wspó³istnia³o kilka mo¿liwych lokalizacji plików blokuj±cych wybranych przez programistów: /usr/spool/locks/, /var/spool/locks/, /var/lock/ i /usr/lock/. Zamieszanie rodzi³o chaos. Programy otwiera³y pliki blokuj±ce z ró¿nych miejsc, a maj±ce kontrolowaæ jedno urz±dzenie tty. Efekt by³ taki, jakby pliki blokuj±ce w ogóle nie by³y u¿ywane.
Aby rozwi±zaæ ten problem, stworzono urz±dzenia cua. Zamiast polegaæ na plikach blokuj±cych, które mia³y zabezpieczaæ przed kolidowaniem ze sob± programów  korzystaj±cych z urz±dzeñ szeregowych, zdecydowano, ¿e to j±dro bêdzie decydowaæ, kto ma mieæ dostêp do urz±dzenia. Je¿eli urz±dzenie ttyS by³o ju¿ otwarte, próba otwarcia cua koñczy³a siê b³êdem. Program móg³ to zinterpretowaæ jako informacjê, ¿e urz±dzenie jest u¿ywane. Je¿eli urz±dzenie cua by³o ju¿ otwarte i zosta³a podjêta próba otwarcia urz±dzenia ttyS, ¿±danie by³o blokowane, to znaczy wstrzymywane do czasu zamkniêcia urz±dzenia cua przez inny proces. Dzia³a³o do ca³kiem dobrze, je¿eli mia³e¶ jeden modem skonfigurowany do odbierania po³±czeñ i co jaki¶ czas chcia³e¶ zadzwoniæ za pomoc± tego samego urz±dzenia. K³opoty pojawi³y siê w ¶rodowiskach, gdzie wiele programów chcia³o dzwoniæ z tego samego urz±dzenia. Jedynym sposobem na rozwi±zanie tego problemu by³o zastosowanie plików blokuj±cych. Powrót do punktu wyj¶cia.
Wystarczy wspomnieæ, ¿e przyszed³ tu z pomoc± standard systemu plików Linuksa. Teraz pliki blokuj±ce musz± znajdowaæ siê w katalogu /var/lock i nazywaæ zgodnie z przyjêt± konwencj±, czyli plik blokuj±cy dla urz±dzenia ttyS1 nazywa siê na przyk³ad LCK..ttyS1. Pliki blokuj±ce cua powinny tak¿e znajdowaæ siê w tym katalogu, ale u¿ywanie urz±dzeñ cua nie jest zalecane.
Przez jaki¶ czas urz±dzenia cua bêd± jeszcze funkcjonowa³y, by zapewniæ kompatybilno¶æ w okresie przej¶ciowym, ale stopniowo bêd± wycofywane. Je¿eli zastanawiasz siê, czego u¿ywaæ, trzymaj siê urz±dzeñ ttyS i upewnij siê, ¿e twój system jest zgodny z FSSTND lub ¿e przynajmniej wszystkie programy korzystaj±ce z urz±dzeñ szeregowych umieszczaj± pliki blokuj±ce w tym samym miejscu. Wiêkszo¶æ oprogramowania pracuj±cego z urz±dzeniami szeregowymi tty posiada opcjê kompilacyjn± pozwalaj±c± na wskazanie miejsca umieszczania plików blokuj±cych. Czêsto wystêpuje ona w postaci zmiennej o nazwie typu LOCKDIR w pliku Makefile lub w nag³ówkowym pliku konfiguracyjnym. Je¿eli sam kompilujesz oprogramowanie, najlepiej jest ustawiæ tê zmienn± tak, by zapewniæ zgodno¶æ z lokalizacj± okre¶lon± przez FSSTND. Je¿eli korzystasz ze skompilowanych plików binarnych i nie jeste¶ pewien, gdzie program zapisuje swoje pliki blokuj±ce, mo¿esz u¿yæ poni¿szego polecenia, by uzyskaæ wskazówkê:

strings plikbinarny | grep lock

Je¿eli wskazana lokalizacja nie zgadza siê z pozosta³± czê¶ci± twojego systemu, staraj siê utworzyæ dowi±zanie symboliczne z katalogu plików blokuj±cych, którego chce u¿ywaæ dany program, do katalogu /var/lock. Nie jest to zbyt eleganckie rozwi±zanie, ale dzia³a.
Pliki specjalne urz±dzenia szeregowego
Numery podrzêdne s± identyczne dla obu typów urz±dzeñ szeregowych. Gdyby¶ mia³ swój modem na jednym z czterech standardowych portów COM, jego numer podrzêdny by³by numerem portu COM plus 63. Gdyby¶ u¿ywa³ specjalnego urz±dzenia szeregowego, takiego jak szybki wieloportowy kontroler szeregowy, prawdopodobnie musia³by¶ tworzyæ dla niego specjalne pliki urz±dzeñ. Zapewne karta taka nie pos³ugiwa³aby siê standardowym sterownikiem urz±dzenia. Odpowiednie szczegó³y zapewne znajdziesz w dokumencie Serial-HOWTO.
Za³ó¿my, ¿e twój modem jest pod³±czony do COM2:. Jego numer podrzêdny to 65, a nadrzêdny to 4 w przypadku normalnego zastosowania. Powinno istnieæ urz±dzenie ttyS1, które ma takie numery. Wylistuj urz±dzenia szeregowe tty w katalogu /dev/. Pi±ta i szósta kolumna pokazuj± odpowiednio numery podrzêdne i nadrzêdne:

$ ls -l /dev/ttyS*
0 crw-rw---- 1 uucp dialout 4, 64 Oct 13   1997 /dev/ttyS0
0 crw-rw---- 1 uucp dialout 4, 65 Jan 26  21:55 /dev/ttyS1
0 crw-rw---- 1 uucp dialout 4, 66 Oct 13   1997 /dev/ttyS2
0 crw-rw---- 1 uucp dialout 4, 67 Oct 13   1997 /dev/ttyS3

Gdyby nie by³o urz±dzenia o numerze nadrzêdnym 4 i podrzêdnym 65, musia³by¶ je stworzyæ. W takiej sytuacji zaloguj siê jako u¿ytkownik uprzywilejowany i napisz:

# mknod -m 666 /dev/ttyS1 c 4 65
# chown uucp.dialout /dev/ttyS1

Dystrybucje Linuksa u¿ywaj± ró¿nych strategii do okre¶lania, kto powinien byæ w³a¶cicielem urz±dzeñ szeregowych. Czasem bêd± one w³asno¶ci± u¿ytkownika root, a innym razem bêd± nale¿a³y na przyk³ad do uucp, tak jak w naszym przyk³adzie. Wspó³czesne dystrybucje maj± specjaln± grupê dla urz±dzeñ s³u¿±cych do dzwonienia. Ka¿dy u¿ytkownik, który ma prawo ich u¿ywaæ, jest dodawany do tej grupy.

Niektórzy sugeruj± stworzenie dowi±zania symbolicznego /dev/modem do urz±dzenia modemu, tak by zwykli u¿ytkownicy nie musieli zapamiêtywaæ czego¶ tak skomplikowanego jak ttyS1. Jednak nie mo¿esz u¿ywaæ w jednym programie nazwy modem, a w drugim rzeczywistej nazwy pliku urz±dzenia. Ich pliki blokuj±ce bêd± mia³y ró¿ne nazwy i mechanizm blokowania nie zadzia³a.
Urz±dzenia szeregowe
RS-232 jest obecnie najbardziej znanym standardem komunikacji szeregowej w ¶wiecie PC. Wykorzystuje wiele uk³adów do transmisji pojedynczych bitów oraz do synchronizacji. Mo¿na wprowadziæ dodatkowe linie do sygnalizacji obecno¶ci no¶nej (u¿ywanej przez modemy) i do uzgadniania (ang. handshaking). Linux obs³uguje wiele kart szeregowych zgodnych ze standardem RS-232.
Uzgadnianie sprzêtowe jest opcjonalne, ale bardzo przydatne. Pozwala obu stronom na sygnalizowanie gotowo¶ci odbioru kolejnych danych lub na powiadomienie, ¿e druga strona powinna poczekaæ, a¿ odbiorca zakoñczy przetwarzanie odebranych danych. Linie u¿ywane do tego celu s± nazywane odpowiednio "Clear to Send" (CTS) i "Ready to Send" (RTS), co wyja¶nia potoczn± nazwê uzgadniania sprzêtowego: RTS/CTS. Innym rodzajem uzgadniania, z którym mog³e¶ siê ju¿ spotkaæ, jest XON/XOFF. Wykorzystuje ono dwa wyznaczone znaki, zwykle [CTRL+S] i [CTRL+Q] do sygnalizowania drugiej stronie, ¿e powinna odpowiednio zatrzymaæ lub rozpocz±æ przesy³anie danych. Choæ sposób ten jest ³atwy do zaimplementowania i dzia³a poprawnie na terminalach uproszczonych (ang. dumb terminals), powoduje zamieszanie w przypadku danych binarnych. Mo¿e siê bowiem zdarzyæ, ¿e wolisz przes³aæ te znaki jako czê¶æ strumienia danych i chcesz, aby by³y interpretowane jako znaki steruj±ce. Poza tym metoda ta jest wolniejsza ni¿ uzgadnianie sprzêtowe, które jako proste i szybkie jest zalecane zamiast XON/XOFF, o ile oczywi¶cie masz wybór.
W pierwszych modelach IBM PC interfejs RS-232 by³ sterowany przez uk³ad scalony UART 8250. PC z czasów procesora 486 u¿ywa³y nowszej wersji uk³adu UART 16450. By³ on nieco szybszy ni¿ 8250. Prawie wszystkie komputery oparte na Pentium s± wyposa¿one w jeszcze nowsz± wersjê uk³adu UART 16550. Niektóre marki (przewa¿nie modemy wewnêtrzne wyposa¿one w zestaw uk³adów Rockwell) wykorzystuj± zupe³nie inne uk³ady emuluj±ce zachowanie 16550 i mog± byæ traktowane podobnie. Standardowy sterownik portu szeregowego Linuksa obs³uguje je wszystkie*. 
Uk³ad 16550 jest znacznym krokiem naprzód w stosunku do 8250 i 16450, poniewa¿ oferuje 16-bajtowy bufor FIFO. 16550 jest w rzeczywisto¶ci rodzin± urz±dzeñ UART, do której nale¿± uk³ady 16550, 16550A i 16550AFN (nazwa zosta³a pó¼niej zmieniona na PCI16550DN). Ró¿nice miêdzy nimi polegaj± na zapewnieniu dzia³ania FIFO; w uk³adzie 16550AFN dzia³a ono na pewno. Istnia³ tak¿e uk³ad NS16550, ale w nim bufor FIFO nigdy tak naprawdê nie dzia³a³.
Uk³ady UART 8250 i 16450 mia³y prosty bufor jednobajtowy. Oznacza³o to, ¿e 16450 generowa³ przerwanie dla ka¿dego nadanego lub odebranego znaku. Ka¿de wymaga³o krótkiego czasu na jego obs³ugê i to niewielkie opó¼nienie ogranicza³o prêdko¶æ uk³adu 16450 do 9600 bitów na sekundê w typowym komputerze z magistral± ISA.
W domy¶lnej konfiguracji j±dro sprawdza cztery standardowe porty szeregowe, od COM1: do COM4:. J±dro jest tak¿e w stanie wykryæ, jaki uk³ad UART jest u¿ywany dla ka¿dego ze standardowych portów szeregowych i wykorzystuje bufor FIFO uk³adu 16550, je¿eli jest dostêpny.
U¿ywanie narzêdzi konfiguracyjnych
Teraz przyjrzyjmy siê krótko dwóm najbardziej przydatnym narzêdziom do konfiguracji urz±dzenia szeregowego: setserial i stty.
Polecenie setserial
J±dro zrobi wszystko co w jego mocy, by poprawnie rozpoznaæ konfiguracjê twojego urz±dzenia szeregowego, ale wielo¶æ mo¿liwo¶ci powoduje, ¿e trudno jest uzyskaæ w praktyce stuprocentow± niezawodno¶æ. Dobrym przyk³adem tego, co sprawia problemy, s± modemy wewnêtrzne, o których mówili¶my wcze¶niej. U¿ywany przez nie uk³ad UART ma 16-bajtowy bufor FIFO, ale z punktu widzenia sterownika urz±dzenia w j±drze wygl±da jak uk³ad UART 16450: dopóki nie wska¿emy sterownikowi, ¿e jest to urz±dzenie 16550, j±dro nie bêdzie wykorzystywaæ rozszerzonego bufora. Innym przyk³adem s± uproszczone karty 4-portowe pozwalaj±ce na wspó³dzielenie jednego IRQ przez wiele urz±dzeñ szeregowych. W takiej sytuacji musimy wskazaæ j±dru w³a¶ciwe IRQ i uprzedziæ je, ¿e IRQ mo¿e byæ wspó³dzielone.
Do konfiguracji sterownika szeregowego w czasie pracy stworzono program setserial. Polecenie to jest powszechnie uruchamiane w czasie startu systemu ze skryptu 0setserial lub rc.serial, w zale¿no¶ci od dystrybucji. Skrypt ma tak ustawiæ inicjacjê sterownika szeregowego, aby ten dostosowa³ siê do niestandardowych lub niezwyk³ych urz±dzeñ szeregowych zainstalowanych w komputerze.
Ogólna sk³adnia polecenia setserial jest nastêpuj±ca:

setserial urz±dzenie [parametry]

gdzie urz±dzenie to jedno z urz±dzeñ szeregowych, na przyk³ad ttyS0.
Polecenie setserial ma wiele parametrów. Najpopularniejsze z nich opisano w tabeli 4-1. Informacje o pozosta³ych znajdziesz w podrêczniku elektronicznym setserial.

Tabela 4-1. Parametry polecenia setserial
Parametr	Opis
port numer_portu
Okre¶la adres portu wej¶cia/wyj¶cia urz±dzenia szeregowego. Numery portu powinny byæ podawane w notacji szesnastkowej, tzn. 0x2f8.
irq numer
Okre¶la numer przerwania u¿ywany przez urz±dzenie szeregowe.
uart typ_uart
Okre¶la typ UART urz±dzenia szeregowego. Powszechnie stosowane warto¶ci to 16450, 16550 itd. Ustawienie tej warto¶ci na none wy³±cza dane urz±dzenie szeregowe.
fourport
Okre¶lenie tego parametru mówi sterownikowi szeregowemu j±dra, ¿e port jest jednym z portów czteroportowej karty AST.
spd_hi
Programuje UART na prêdko¶æ 57,6 kb/s, gdy proces ¿±da 38,4 kb/s.
spd_vhi
Programuje UART na prêdko¶æ 115 kb/s, gdy proces ¿±da 38,4 kb/s.
spd_normal
Programuje UART na domy¶ln± prêdko¶æ 38,4 kb/s, gdy zostanie za¿±dana. Parametr ten jest u¿ywany do wy³±czenia dzia³ania spd_hi i spd_vhi wykonanych na danym urz±dzeniu szeregowym.
auto_irq
Parametr ten powoduje, ¿e j±dro próbuje automatycznie okre¶liæ IRQ danego urz±dzenia. Próba mo¿e siê nie powie¶æ, a wiêc lepiej traktowaæ to jako ¿±danie odgadniêcia IRQ przez j±dro. Je¿eli znasz IRQ urz±dzenia, powiniene¶ od razu u¿yæ opcji irq.
autoconfig
Parametr ten musi byæ okre¶lony w po³±czeniu z parametrem port. Podanie tego parametru powoduje, ¿e setserial zleca j±dru próbê automatycznego okre¶lenia typu uk³adu UART znajduj±cego siê pod zadanym adresem portu. Je¿eli zostanie podany równie¿ parametr auto_irq, j±dro podejmie tak¿e próbê automatycznego wykrycia IRQ.
skip_test


Parametr ten mówi j±dru, aby nie wykonywa³o sprawdzania typu uk³adu UART podczas automatycznej konfiguracji. Jest on niezbêdny, je¿eli uk³ad UART nie jest poprawnie wykrywany przez j±dro.
Plik rc konfiguruj±cy porty szeregowe w czasie uruchamiania komputera mo¿e wygl±daæ tak, jak w przyk³adzie 4-1. W wiêkszo¶ci dystrybucji Linuksa bêdzie on bardziej wyrafinowany ni¿ tutaj.
Przyk³ad 4-1. Przyk³adowy plik rc.serial zawieraj±cy polecenia setserial
# /etc/rc.serial - skrypt konfiguruj±cy ³±cze szeregowe
#
# Konfiguracja urz±dzeñ szeregowych
/sbin/setserial /dev/ttyS0 auto_irq skip_test autoconfig
/sbin/setserial /dev/ttyS1 auto_irq skip_test autoconfig
/sbin/setserial /dev/ttyS2 auto_irq skip_test autoconfig
/sbin/setserial /dev/ttyS3 auto_irq skip_test autoconfig
#
# Wy¶wietlenie konfiguracji urz±dzeñ szeregowych
/sbin/setserial -bg /dev/ttyS*
Argument -bg /dev/ttyS* w ostatnim poleceniu wypisze ³adnie sformatowane podsumowanie konfiguracji wszystkich urz±dzeñ szeregowych. Wynik bêdzie wygl±da³ tak, jak w przyk³adzie 4-2.
Przyk³ad 4-2. Wynik polecenia setserial -bg /dev/ttyS
/dev/ttyS0 at 0x03f8 (irq = 4) is a 16550A
/dev/ttyS1 at 0x02f8 (irq = 3) is a 16550A
Polecenie stty
Nazwa stty mo¿e oznaczaæ "set tty", ale polecenie stty bywa te¿ u¿ywane do wy¶wietlania konfiguracji terminala. Polecenie stty, prawdopodobnie jeszcze bardziej ni¿ setserial, wprawia w konsternacjê posiadan± liczb± charakterystyk, które mo¿na konfigurowaæ. W tej chwili poka¿emy najwa¿niejsze z nich. Pozosta³e znajdziesz na stronie podrêcznika elektronicznego stty.
Polecenie stty jest najczê¶ciej u¿ywane do konfigurowania parametrów terminala, które decyduje na przyk³ad, czy wprowadzane znaki bêd± wy¶wietlane na ekranie albo czy klawisz powinien generowaæ sygna³ przerwania. Wcze¶niej wyja¶nili¶my, ¿e urz±dzenia szeregowe s± urz±dzeniami tty i dlatego polecenie stty odnosi siê tak¿e do nich.
Jednym z najwa¿niejszych zastosowañ stty w urz±dzeniach szeregowych jest w³±czenie uzgadniania sprzêtowego w urz±dzeniu. Wcze¶niej krótko wspomnieli¶my o uzgadnianiu sprzêtowym. Domy¶lna konfiguracja urz±dzeñ szeregowych zak³ada wy³±czenie uzgadniania sprzêtowego. Wówczas mog± dzia³aæ kable szeregowe "trzy¿y³owe". Nie obs³uguj± one sygna³ów wymaganych do uzgadniania sprzêtowego i gdyby by³o ono domy¶lnie w³±czone, nie mo¿na by³oby przez nie przes³aæ ¿adnych znaków, by to zmieniæ.
Co dziwniejsze, niektóre szeregowe programy komunikacyjne nie w³±czaj± uzgadniaia sprzêtowego, a wiêc je¿eli twój modem je obs³uguje, powiniene¶ go skonfigurowaæ tak, ¿eby go u¿ywa³ (odszukaj w instrukcji modemu w³a¶ciwe polecenie), a tak¿e skonfiguruj odpowiednio urz±dzenie szeregowe. Polecenie stty ma znacznik crtscts, który w³±cza uzgadnianie sprzêtowe w urz±dzeniu - bêdziesz musia³ go u¿yæ. Polecenie prawdopodobnie najlepiej uruchomiæ z pliku rc.serial (lub równowa¿nego) w czasie startu systemu za pomoc± poleceñ pokazanych w przyk³adzie 4-3.
Przyk³ad 4-3. Przyk³adowe polecenia stty w pliku rc.serial
#
stty crtscts < /dev/ttyS0
stty crtscts < /dev/ttyS1
stty crtscts < /dev/ttyS2
stty crtscts < /dev/ttyS3
#

Polecenie stty dzia³a domy¶lnie na bie¿±cym terminalu, ale u¿ywaj±c funkcji przekierowuj±cej wej¶cie ("<") pow³oki, mo¿emy za pomoc± stty operowaæ na dowolnym urz±dzeniu tty. Znak przekierowania "<" czêsto bywa³ mylony z ">" - na szczê¶cie nowsze wersje stty maj± du¿o prostsz± sk³adniê takiego przekierowania. Aby u¿yæ nowej sk³adni, musimy napisaæ nasz± przyk³adow± konfiguracjê tak, jak w przyk³adzie 4-4.
Przyk³ad 4-4. Przyk³ad polecenia stty w pliku rc.serial z wykorzystaniem nowej sk³adni
#
stty crtscts -F /dev/ttys0
stty crtscts -F /dev/ttys1
stty crtscts -F /dev/ttys2
stty crtscts -F /dev/ttys3
#

Wspomnieli¶my, ¿e polecenie stty mo¿e byæ u¿ywane do wy¶wietlenia parametrów konfiguracyjnych terminala. Aby wy¶wietliæ wszystkie aktywne ustawienia urz±dzenia tty, u¿yj:

$ stty -a -F /dev/ttyS1

Wynik dzia³ania tego polecenia, przedstawiony jako przyk³ad 4-5, pokazuje stan wszystkich znaczników urz±dzenia. Znacznik poprzedzony znakiem minus, na przyk³ad -crtscts, oznacza, ¿e dana opcja jest wy³±czona.
Przyk³ad 4-5. Wynik dzia³ania polecenia stty -a
speed 19200 baud; rows 0; columns 0; line = 0;
intr = ^C; quit = "\; erase = ^?; kill = ^U; eof = ^D; eol = <undef>;
         eol2 = <undef>; start = ^Q; stop = ^S; susp = ^Z; rprnt = ^R;
         werase = ^W; lnext = ^V; flush = ^O; min = 1; time = 0;
-parenb -parodd cs8 hupcl -cstopb cread clocl -crtscts
-ignbrk -brkint -ignpar -parmrk -inpck -istrip -inlcr -igncr -icrnl -ixon   
        -ixoff -iuclc -ixany -imaxbel
-opost -olcuc -ocrnl onlcr -onocr -onlret -ofill -ofdel nl0 cr0 tab0
         bs0 vt0 ff0
-isig -icanon iexten echo echoe echok -echonl -noflsh -xcase -tostop
         -echoprt echoctl echoke

Opis najwa¿niejszych znaczników znajduje siê w tabeli 4-2. Ka¿dy z nich jest w³±czany przez podanie w poleceniu stty i wy³±czany przez podanie w poleceniu stty z poprzedzaj±cym znakiem -. Zatem, aby wy³±czyæ uzgadnianie sprzêtowe na urz±dzeniu ttyS0, napisa³by¶:

$ stty -crtscts -F /dev/ttyS0

Kolejny przyk³ad ³±czy niektóre z tych znaczników i konfiguruje urz±dzenie ttyS0 na 19200 bitów na sekundê, 8 bitów danych, brak parzysto¶ci i uzgadnianie sprzêtowe bez wypisywania odebranych znaków u nadawcy:

$ stty 19200 cs8 -parenb -crtscts -echo -F /dev/ttyS0
Tabela 4-2.  Najwa¿niejsze znaczniki w konfiguracji urz±dzeñ szeregowych
Znaczniki	Opis
N
Ustawienie prêdko¶ci ³±cza na N b/s.
crtscts
W³±czenie/wy³±czenie uzgadniania sprzêtowego.
ixon
W³±czenie/wy³±czenie kontroli przep³ywu XON/XOFF.

Znaczniki	Opis
clocal
W³±czenie/wy³±czenie sygna³ów sterowania modemem, takich jak DTR/DTS i DVD. Jest to potrzebne, je¿eli u¿ywasz "trzy¿y³owego" kabla szeregowego.
cs5 cs6 cs7 cs8
Ustawienie liczby bitów danych odpowiednio na 5, 6, 7 lub 8.
parodd
W³±czenie dope³niania bajtu do nieparzystej liczby jedynek. Wy³±czenie tego znacznika powoduje w³±czenie dope³niania bajtu do parzystej liczby jedynek.
parenb
W³±czenie sprawdzania parzysto¶ci. Zanegowanie tego znacznika powoduje nieu¿ywanie parzysto¶ci.
cstopb
W³±czenie u¿ywania dwóch bitów stopu na znak. Zanegowanie tego znacznika powoduje u¿ywanie jednego bitu stopu na znak.
echo

W³±czenie/wy³±czenie wysy³ania odebranych znaków do nadawcy.
Urz±dzenia szeregowe i monit login:
Swego czasu instalacja Uniksa wymaga³a najczê¶ciej jednego serwera i wielu "uproszczonych" terminali znakowych lub modemów do po³±czeñ komutowanych. Obecnie ten typ instalacji jest mniej powszechny. To dobra wiadomo¶æ dla wielu osób zainteresowanych tak± metod± pracy,  poniewa¿ "uproszczone" terminale mo¿na teraz kupiæ za grosze. Konfiguracje z modemami nie straci³y na popularno¶ci, ale dzisiaj s± one raczej u¿ywane do obs³ugi logowania przez SLIP lub PPP (co omawiamy w rozdziale 7, IP ³±cza szeregowego, i w rozdziale 8, Protokó³ punkt-punkt), a nie do zwyk³ego logowania. Niemniej jednak ka¿da z tych konfiguracji mo¿e wykorzystywaæ prosty program o nazwie getty.
Okre¶lenie getty mo¿na traktowaæ jako skrót od "get tty". Program getty otwiera urz±dzenie szeregowe, konfiguruje je w odpowiedni sposób, opcjonalnie konfiguruje modem i czeka na zestawienie po³±czenia. Aktywne po³±czenie na urz±dzeniu szeregowym jest zwykle wskazywane przez wyprowadzenie DCD (Data Carrier Detect) wzbudzanego urz±dzenia szeregowego.
Gdy zostanie wykryte po³±czenie, program getty wy¶wietla monit login: i wywo³uje program login, aby obs³u¿y³ rzeczywiste logowanie do systemu. Ka¿dy terminal wirtualny (na przyk³ad dev/tty1) w Linuksie posiada dzia³aj±cy na jego rzecz program getty.
Istnieje szereg ró¿nych implementacji getty, a ka¿da z nich jest zaprojektowana tak, aby pewne konfiguracje obs³ugiwaæ lepiej ni¿ inne. Opisywany tutaj getty nosi nazwê mgetty. Jest dosyæ popularny, poniewa¿ posiada wszelkie funkcje, które czyni± go szczególnie przydatnym do obs³ugi modemów. Miêdzy innymi jest wyposa¿ony w programy do automatycznej obs³ugi faksu i modemów g³osowych. Skoncentrujemy siê na konfigurowaniu mgetty  do odpowiadania na typowe po³±czenia maj±ce na celu transmisjê danych, a ca³± resztê pozostawiamy ci do zbadania w wolnej chwili.

Konfigurowanie demona mgetty
Demon mgetty jest dostêpny w postaci ¼ród³owej pod adresem ftp://alpha.greenie.net/ pub/mgetty/source/, a w ka¿dej dystrybucji Linuksa wystêpuje w postaci pakietu. Demon mgetty ró¿ni siê od wiêkszo¶ci pozosta³ych implementacji getty tym, ¿e zosta³ stworzony specjalnie dla modemów kompatybilnych ze standardem Hayesa. Wci±¿ obs³uguje bezpo¶rednie po³±czenia terminalowe, ale najlepiej nadaje siê do aplikacji pracuj±cych po ³±czu komutowanym. Zamiast u¿ywaæ linii DCD do wykrywania przychodz±cego po³±czenia, oczekuje na komunikat RING generowany w momencie wykrycia nadchodz±cego po³±czenia przez nowoczesne modemy, o ile nie s± skonfigurowane na automatyczne odpowiadanie.
G³ówny program wykonywalny nazywa siê /usr/sbin/mgetty, a jego plik konfiguracyjny to /etc/mgetty/mgetty.config. Poza tym jest szereg innych programów binarnych i plików konfiguracyjnych, które obs³uguj± inne funkcje mgetty.
W wiêkszo¶ci instalacji konfiguracja polega na edycji pliku /etc/mgetty/mgetty.config i dodaniu odpowiednich wpisów w pliku /etc/inittab, automatycznie uruchamiaj±cych mgetty.
Przyk³ad 4-6 pokazuje bardzo prosty plik konfiguracyjny mgetty dla dwóch urz±dzeñ szeregowych. Pierwsze urz±dzenie /dev/ttyS0, obs³uguje modem kompatybilny ze standardem Hayesa przy prêdko¶ci 38 400 bps. Drugie, /dev/ttyS1, obs³uguje bezpo¶rednio pod³±czony terminal VT100 z prêdko¶ci± 19200 bps.
Przyk³ad 4-6. Przyk³adowy plik /etc/mgetty/mgetty.config
#
# plik konfiguracyjny mgetty
#
# jest to przyk³adowy plik konfiguracyjny, wiêcej szczegó³ów 
# znajdziesz w mgetty.info
#
# wiersze komentarza zaczynaj± siê od "#", puste wiersze s± 
# ignorowane
#
# ----- sekcja ogólna -----
#
# w tej sekcji umieszczasz ogólne warto¶ci domy¶lne, dane 
# dotycz±ce portu znajduj± siê dalej
#
# modem pracuje z prêdko¶ci± 38400 bps
speed 38400
#
# ustawienie ogólnego poziomu debugowania na "4" (domy¶lnie z
# policy.h)
debug 4
#

# ----- sekcja okre¶laj±ca porty -----
#
# Tutaj mo¿esz umie¶ciæ ustawienia dotycz±ce tylko danej linii 
# i nie dotycz±ce innych
#
#
# Modem Hayesa pod³±czony do ttyS0: bez obs³ugi faksu, bez 
# logowania
#
port ttyS0
  debug 3
  data-only y
#
# bezpo¶rednie pod³±czenie terminala VT100, który potrzebuje 
# DTR
#
port ttyS1
  direct y
  speed 19200
  toggle-dtr n
#

Plik konfiguracyjny zawiera opcje ogólne i specyficzne dla portów. W naszym przyk³adzie u¿yli¶my opcji ogólnych do ustawienia prêdko¶ci na 38 400 bitów na sekundê. Warto¶æ ta jest dziedziczona przez port ttyS0. To ustawienie prêdko¶ci dotyczy portów mgetty, dopóki nie zostanie ono nadpisane przez ustawienie prêdko¶ci specyficznej dla portu, co robimy w konfiguracji ttyS1.
S³owo kluczowe debug kontroluje liczbê informacji logowanych przez mgetty. S³owo kluczowe data-only w konfiguracji ttyS0 powoduje, ¿e mgetty ignoruje wszelkie funkcje faksowe modemu, i w zwi±zku z tym modem przesy³a tylko dane. S³owo kluczowe direct w konfiguracji ttyS1 mówi programowi mgetty, aby nie próbowa³ inicjowaæ modemu na danym porcie. Wreszcie s³owo kluczowe toggle-dtr mówi mgetty, aby nie próbowa³ zawieszaæ linii przy braku sygna³u DTR (Data Terminal Ready) na interfejsie szeregowym. Niektóre terminale tego nie lubi±.
Mo¿esz tak¿e zdecydowaæ siê na pozostawienie pustego pliku mgetty.config, a wiêkszo¶æ z tych parametrów okre¶liæ za pomoc± argumentów wiersza poleceñ. Dokumentacja dotycz±ca aplikacji zawiera pe³ny opis parametrów pliku konfiguracyjnego mgetty i argumentów wiersza poleceñ. (Patrz fragment pliku poni¿ej).
Aby uaktywniæ tê konfiguracjê, musimy dodaæ dwa wpisy do pliku /etc/inittab. Plik inittab jest plikiem konfiguracyjnym polecenia init Uniksa w wersji System V. Polecenie init jest odpowiedzialne za inicjacjê systemu. Zapewnia automatyczne uruchamianie programów w czasie startu systemu i ponowne ich uruchamianie po zakoñczeniu pracy. Rozwi±zanie to idealnie nadaje siê do obs³ugi programu getty.

T0:23:respawn:/sbin/mgetty ttyS0
T1:23:respawn:/sbin/mgetty ttyS1

Ka¿dy wiersz pliku /etc/inittab zawiera cztery pola oddzielone dwukropkami. Pierwsze pole to identyfikator jednoznacznie okre¶laj±cy wpis w pliku. Tradycyjnie jest on dwuznakowy, ale nowsze wersje pozwalaj± na zastosowanie czterech znaków. Drugie pole to lista poziomów uruchomienia (ang. run levels), przy których wpis powinien byæ aktywny. Poziom uruchomienia pozwala na ró¿ne konfiguracje systemu i jest zaimplementowany za pomoc± drzewiastej struktury skryptów startowych, znajduj±cych siê w katalogach /etc/rc1.d, /etc/rc2.d itd. Funkcja ta jest zwykle implementowana w bardzo prosty sposób i powiniene¶ wzorowaæ swoje wpisy na innych wpisach w pliku lub zajrzeæ do dokumentacji, je¿eli potrzebujesz dodatkowych informacji. Trzecie pole opisuje, kiedy zadzia³aæ. W przypadku uruchamiania programu getty, pole to powinno mieæ warto¶æ respawn, co oznacza, ¿e polecenie powinno byæ automatycznie uruchomione ponownie po zakoñczeniu dzia³ania. Istnieje kilka innych mo¿liwo¶ci, ale nie s± dla nas teraz przydatne. Czwarte pole to rzeczywiste polecenie do wykonania. Tutaj wpisujemy polecenie mgetty i jego argumenty. W naszym prostym przyk³adzie inicjujemy i ponownie uruchamiamy mgetty, gdy system dzia³a na poziomie drugim lub trzecim, a jako argumenty podajemy nazwê urz±dzenia, z którego chcemy korzystaæ. Polecenie mgetty automatycznie zak³ada ¶cie¿kê /dev/, a wiêc nie musimy jej tutaj podawaæ.
Podrozdzia³ ten by³ krótkim omówieniem mgetty i sposobu udostêpnienia monitu logowania dla urz±dzeñ szeregowych. Wiêcej na ten temat mo¿esz znale¼æ w dokumencie Serial-HOWTO.
Gdy dokonasz edycji plików konfiguracyjnych, musisz prze³adowaæ proces init, aby zmiany by³y aktywne. Po prostu wy¶lij sygna³ hangup do procesu init. Proces ten zawsze ma ID równe 1, a wiêc mo¿esz bezpiecznie wydaæ nastêpuj±ce polecenie:

# kill -HUP 1


5
Konfigurowanie sieci TCP/IP

Rozdzia³ 5: Konfigurowanie sieci TCP/IP


W tym rozdziale poka¿emy wszystkie kroki niezbêdne do skonfigurowania sieci TCP/IP na twoim komputerze. Zaczniemy od przypisania adresów IP, potem zajmiemy siê konfigurowaniem interfejsów sieciowych TCP/IP i na koniec przedstawimy kilka narzêdzi, które przydaj± siê przy rozwi±zywaniu problemów z sieci±.
Wiêkszo¶æ zadañ omówionych w tym rozdziale wykonuje siê zwykle tylko raz. Po pliki konfiguracyjne siêga siê powtórnie tylko wtedy, gdy dodaje siê nowy system do sieci lub zupe³nie przekonfigurowuje istniej±cy system. Niektóre polecenia u¿ywane do konfigurowania TCP/IP musz± byæ jednak uruchamiane przy ka¿dym starcie systemu, zwykle przez ich wywo³anie ze skryptów /etc/rc*.
Czê¶æ sieciowa procedury konfiguracyjnej zwykle jest zawarta w skrypcie. Jego nazwa zale¿y od dystrybucji Linuksa. W wielu starszych dystrybucjach by³ to skrypt rc.net lub rc.inet. Czasem spotkasz siê tak¿e z dwoma skryptami o nazwach rc.inet1 i rc.inet2 - pierwszy z nich inicjuje czê¶æ sieciow± zwi±zan± z j±drem, a drugi uruchamia podstawowe us³ugi sieciowe i aplikacje. We wspó³czesnych dystrybucjach pliki rc s± uporz±dkowane w bardziej wyrafinowany sposób. W katalogu /etc/init.d/ (lub /etc/rc.d/rc.init.d/) mo¿esz znale¼æ skrypty tworz±ce urz±dzenia sieciowe, a inne pliki rc mog± uruchamiaæ aplikacje sieciowe. Przyk³ady w tej ksi±¿ce zosta³y oparte w³a¶nie na tym ostatnim porz±dku plików.
Niniejszy rozdzia³ przedstawia czê¶ci skryptu konfiguruj±ce interfejsy sieciowe, natomiast aplikacje zostan± omówione w dalszych rozdzia³ach. Po lekturze tego rozdzia³u bêdziesz znaæ zestaw poleceñ, za pomoc± których poprawnie skonfigurujesz sieæ TCP/IP na swoim komputerze. Zatem powiniene¶ zast±piæ wszelkie przyk³adowe polecenia w swoich skryptach konfiguracyjnych w³asnymi, upewniæ siê, ¿e skrypt jest uruchamiany z podstawowego skryptu rc w czasie uruchamiania systemu i ponownie uruchomiæ komputer. Skrypty sieciowe rc zawarte w twojej ulubionej dystrybucji Linuksa powinny zawieraæ idealny przyk³ad, z którego mo¿esz skorzystaæ.

Montowanie systemu plików /proc
Niektóre narzêdzia konfiguracyjne NET-2 i NET-3 w Linuksie komunikuj± siê z j±drem za pomoc± systemu plików /proc. Interfejs ten pozwala na dostêp do roboczych informacji j±dra przez mechanizm przypominaj±cy system plików. Po jego zamontowaniu mo¿esz ogl±daæ pliki tak jak w ka¿dym innym systemie plików lub wy¶wietlaæ ich zawarto¶æ. Do typowych elementów nale¿±: plik loadavg informuj±cy o ¶rednim obci±¿eniu systemu i plik meminfo pokazuj±cy aktualne wykorzystanie pamiêci g³ównej i pamiêci wymiany.
Do tego wszystkiego kod sieciowy dodaje katalog net. Zawiera on szereg plików pokazuj±cych takie rzeczy, jak tablica ARP j±dra, stan po³±czeñ TCP oraz tablice rutingu. Wiêkszo¶æ narzêdzi do administrowania sieci odczytuje potrzebne im informacje w³a¶nie z tych plików.
System plików proc (znany te¿ pod nazw± procfs) zwykle jest montowany w katalogu /proc w czasie uruchamiania systemu. Najlepszym sposobem na zrobienie tego jest dodanie nastêpuj±cego wiersza w pliku /etc/fstab:

# punkt montowania procfs
none      /proc      proc      defaults

a nastêpnie wykonanie mount /proc ze skryptu /etc/rc.
Obecnie procfs jest skonfigurowany domy¶lnie w wiêkszo¶ci j±der. Je¿eli w twoim j±drze nie ma procfs,  otrzymasz komunikat typu: mount: fs type procfs not supported by kernel. Bêdziesz zatem musia³ przekompilowaæ j±dro i odpowiedzieæ "yes" na pytanie o obs³ugê procfs.
Instalowanie plików binarnych
Je¿eli korzystasz z dowolnej gotowej dystrybucji Linuksa, znajdziesz w niej g³ówne aplikacje i narzêdzia sieciowe wraz z odpowiednim zestawem przyk³adowych plików. Jedynym przypadkiem, w którym mo¿e zaj¶æ potrzeba znalezienia i zainstalowania nowych narzêdzi, jest instalacja nowej wersji j±dra. Nowe j±dro miewa zmiany w warstwie sieciowej i dlatego nale¿y uaktualniæ podstawowe narzêdzia konfiguracyjne. Uaktualnienie takie oznacza przynajmniej ponown± kompilacjê, ale czasem tak¿e wymaga nowego zestawu plików binarnych. S± one dostêpne na oficjalnej witrynie macierzystej ftp.inka.de/pub/comp/Linux/networking/NetTools/ w postaci pakietu net-tools-XXX.tar.gz, gdzie XXX to numer wersji. Wersja dla Linuksa 2.0 nosi nazwê net-tools-1.45.
Gdyby¶ chcia³ skompilowaæ i zainstalowaæ samodzielnie standardowe aplikacje sieciowe TCP/IP, móg³by¶ zdobyæ ich ¼ród³a z wiêkszo¶ci serwerów FTP Linuksa. Wszystkie wspó³czesne dystrybucje Linuksa zawieraj± pe³ny zestaw aplikacji sieciowych TCP/IP, takich jak przegl±darka WWW, programy telnet i ftp oraz inne aplikacje sieciowe, na przyk³ad talk. Je¿eli jednak dojdziesz do wniosku, ¿e co¶ musisz skompilowaæ samodzielnie, prawdopodobnie nie bêdziesz mia³ z tym problemów w Linuksie, je¿eli tylko bêdziesz postêpowa³ zgodnie z instrukcjami zawartymi w pakiecie ¼ród³owym.
Ustalanie nazwy hosta
Wiêkszo¶æ aplikacji sieciowych, je¿eli nie wszystkie, oczekuje od ciebie ustawienia lokalnej nazwy hosta na jak±¶ sensown± warto¶æ. Najlepiej zrobiæ to w czasie procedury uruchamiania systemu przez wykonanie polecenia hostname. Aby ustaliæ nazwê hosta nazwa, wprowad¼:

# hostname nazwa

Powszechnie stosuje siê skrócon± nazwê hosta bez podawania nazwy domeny. Na przyk³ad hosty w wirtualnym browarze (opisanym w dodatku A, Przyk³adowa sieæ: browar wirtualny) mog³yby nosiæ nazwy vale.vbrew.com czy vlager.vbrew.com. S± to ich pe³ne nazwy domenowe (ang. fully qualified domain names - FQDN). Nazwa hosta to jedynie pierwszy cz³on pe³nej nazwy, czyli na przyk³ad vale. Jednak choæ lokalna nazwa hosta jest czêsto u¿ywana do szukania jego adresu IP, musisz mieæ pewno¶æ, ¿e biblioteka resolvera bêdzie w stanie znale¼æ adres IP hosta. Zwykle oznacza to, ¿e musisz wprowadziæ nazwê do pliku /etc/hosts.
Niektórzy zalecaj± u¿ycie polecenia domainname, by powiadomiæ j±dro o nazwie domeny, czyli o pozosta³ej czê¶ci FQDN. Wydaje siê, ¿e  mo¿na by po³±czyæ wynik hostname i domainname, aby uzyskaæ pe³n± nazwê domenow±. Jednak w najlepszym razie rezultat by³by tylko w po³owie poprawny. Polecenie domainname jest bowiem u¿ywane do definiowania domeny NIS, która mo¿e byæ zupe³nie inna ni¿ domena DNS, do której nale¿y host. Dlatego warto zadbaæ o to, aby nazwa hosta by³a rozwi±zywalna przez wszystkie nowe wersje polecenia hostname. W tym celu nale¿y dodaæ wpis do lokalnego serwera nazw domen lub umie¶ciæ pe³n± nazwê domenow± w pliku /etc/hosts. Teraz mo¿esz u¿yæ argumentu -fqdn polecenia hostname, aby wy¶wietliæ pe³n± nazwê domenow±.
Przypisywanie adresu IP
Je¿eli nie planujesz pracy w sieci, ale konfigurujesz oprogramowanie sieciowe na swoim ho¶cie, aby na przyk³ad móc uruchomiæ oprogramowanie INN Netnews, mo¿esz bezpiecznie pomin±æ ten podrozdzia³, poniewa¿ jedynym potrzebnym ci adresem IP bêdzie interfejs pêtli zwrotnej, który zawsze ma numer 127.0.0.1.
Rzeczy nieco bardziej siê komplikuj± w rzeczywistych sieciach takich jak Ethernet. Gdyby¶ chcia³ pod³±czyæ swój host do istniej±cej sieci, musia³by¶ poprosiæ administratorów o nadanie ci w niej adresu IP. Je¿eli konfigurujesz sam ca³± sieæ, musisz sam przypisaæ adresy IP.
Hosty w sieci lokalnej zwykle powinny mieæ adresy z tej samej logicznej sieci IP. W zwi±zku z tym musisz przypisaæ adres IP dla sieci. Je¿eli masz kilka sieci fizycznych, musisz przypisaæ im ró¿ne numery sieci albo u¿yæ podsieci i podzieliæ posiadany zakres adresów IP na kilka podsieci. Podsieci zostan± omówione w najbli¿szym podrozdziale.
Wybór numeru IP sieci w du¿ym stopniu zale¿y od tego, czy w niedalekiej przysz³o¶ci zamierzasz pod³±czyæ siê do Internetu. Je¿eli tak, powiniene¶ uzyskaæ oficjalny adres IP ju¿ teraz. Popro¶ o pomoc swojego dostawcê us³ug internetowych. Je¿eli chcesz uzyskaæ numer sieci po prostu na wypadek, gdyby¶ kiedy¶ pod³±czy³ siê do Internetu, popro¶ o formularz pro¶by o adres sieci, pisz±c na adres hostmaster@internic.net lub zg³o¶ siê do centrum informacji sieciowej w twoim kraju, o ile takie istnieje.
Je¿eli twoja sieæ nie jest pod³±czona do Internetu i nie nosisz siê z takim zamiarem, mo¿esz wybraæ dowolny dopuszczalny adres sieci. Wystarczy upewniæ siê, ¿e ¿adne pakiety z twojej sieci wewnêtrznej nie przedostan± siê do prawdziwego Internetu. Aby zagwarantowaæ, ¿e nic siê nie stanie, nawet je¿eli pakiety siê przedostan±, powiniene¶ u¿yæ jednego z numerów sieci zarezerwowanych dla sieci prywatnych. Organizacja zajmuj±ca siê przydzielaniem numerów w Internecie (Internet Assigned Numbers Authority - IANA) wyznaczy³a kilka adresów sieci z klasy A, B i C, których mo¿esz u¿ywaæ bez rejestrowania. Adresy te s± wa¿ne tylko w twojej sieci prywatnej i nie s± rutowane pomiêdzy prawdziwymi o¶rodkami w Internecie. S± one zdefiniowane w RFC 1597. My zamie¶cili¶my je w tabeli 2-1 w rozdziale 2, Wybrane problemy sieci TCP/IP. Zauwa¿, ¿e druga i trzecia klasa zawieraj± odpowiednio 16 i 256 sieci.
Wybranie swojego adresu w jednej z tych sieci sprawdza siê nie tylko w przypadku sieci zupe³nie nie pod³±czonych do Internetu. Bêd±c w takiej sieci, mo¿esz zaimplementowaæ nieco bardziej ograniczony dostêp za pomoc± jednego hosta jako gatewaya. Dla twojej sieci lokalnej gateway jest dostêpny pod swoim wewnêtrznym adresem IP, natomiast dla ¶wiata zewnêtrznego - pod oficjalnie zarejestrowanym adresem (nadanym ci przez dostawcê). Powrócimy do tego rozwi±zania przy omawianiu funkcji maskowania (ang. masquarading) w rozdziale 11, Maskowanie IP i translacja adresów sieciowych.
Na potrzeby naszych rozwa¿añ zak³adamy, ¿e administrator przyk³adowej sieci browarów u¿ywa numeru sieci z klasy B, powiedzmy 172.16.0.0. Oczywi¶cie numer z klasy C w zupe³no¶ci by wystarczy³ zarówno dla sieci browarów, jak i winiarni. Klasy B u¿ywamy tu dla uproszczenia. Dziêki temu przyk³ady podzia³u na podsieci pokazane w nastêpnym podrozdziale bêd± bardziej przekonuj±ce.
Tworzenie podsieci
Aby obs³u¿yæ kilka sieci Ethernet (lub innych, dla których dostêpny jest sterownik), musisz podzieliæ swoj± sieæ na podsieci. Zauwa¿, ¿e podzia³ taki jest potrzebny tylko wtedy, gdy masz wiêcej ni¿ jedn± sieæ rozg³oszeniow± - ³±cza punkt-punkt siê nie licz±. Na przyk³ad gdyby¶ mia³ jedn± sieæ Ethernet i przynajmniej jedno ³±cze SLIP do ¶wiata zewnêtrznego, nie musia³by¶ dzieliæ swojej sieci na podsieci. Wyja¶niamy to bardziej szczegó³owo w rozdziale 7, IP ³±cza szeregowego.
Aby obs³u¿yæ dwie sieci Ethernet, administrator sieci browaru zdecydowa³ siê przeznaczyæ w adresie 8 bitów czê¶ci hosta na dodatkowe bity podsieci. Dla hosta zostaje 8 bitów, co pozwala na umieszczenie w ka¿dej podsieci po 254 hosty. Nastêpnie sieæ numer 1 zosta³a przypisana do browaru, a sieæ numer 2 do winiarni. Odpowiednie adresy sieci to 172.16.1.0 i 172.16.2.0. Maska podsieci to 255.255.255.0.
Gateway pomiêdzy tymi dwoma sieciami, vlager,  ma w obu sieciach numer hosta 1, co daje adresy IP odpowiednio 172.16.1.1 i 172.16.2.1.
W tym przyk³adzie u¿ywamy dla uproszczenia sieci klasy B, choæ sieæ klasy C by³aby bardziej realistyczna. W nowym kodzie sieciowym j±dra podzia³ na podsieci nie zale¿y od granic bajtowych, a wiêc nawet klasa C mo¿e byæ dzielona na kilka podsieci. Na przyk³ad móg³by¶ u¿yæ dwóch bitów czê¶ci hosta na adres sieci, co da³oby 4 mo¿liwe podsieci, po 64 hosty w ka¿dej*. 
Tworzenie plików hosts i networks
Je¶li ju¿ podzieli³e¶ swoj± sieæ na podsieci, powiniene¶ postaraæ siê o proste rozwi±zywanie nazw hostów za pomoc± pliku /etc/hosts. Je¿eli nie zamierzasz korzystaæ z DNS-u lub NIS-a do rozwi±zywania adresów, musisz umie¶ciæ wszystkie hosty w pliku hosts.
Nawet je¿eli bêdziesz u¿ywa³ DNS-u lub NIS-a w czasie normalnej pracy, w pliku /etc/hosts powiniene¶ mieæ pewien podzbiór wszystkich nazw hostów. Musisz zapewniæ rozwi±zywanie nazw, nawet je¿eli nie dzia³aj± ¿adne interfejsy sieciowe - na przyk³ad w czasie uruchamiania systemu. Chodzi nie tylko o wygodê, ale te¿ o mo¿liwo¶æ zastosowania symbolicznych nazw hostów w skryptach sieciowych rc. Dziêki temu gdy zmienisz adresy IP, wystarczy jedynie skopiowaæ uaktualniony plik hosts na wszystkie komputery i uruchomiæ je ponownie, zamiast edytowaæ mnóstwo plików rc. Zwykle w pliku hosts umieszczasz wszystkie lokalne nazwy hostów i adresy oraz dodajesz adresy u¿ywanych gatewayów i serwerów NIS**.
Powiniene¶ siê upewniæ, ¿e twój resolver w czasie testowania przy inicjacji wykorzystuje jedynie informacje z pliku hosts. Przyk³adowe pliki dostarczane wraz z oprogramowaniem DNS czy NIS mog± dawaæ dziwne rezultaty. Aby wszystkie aplikacje korzysta³y wy³±cznie z /etc/hosts przy poszukiwaniu adresu IP hosta, musisz dokonaæ edycji pliku /etc/host.conf. Poprzed¼ znakiem komentarza  (#) wszystkie linie zaczynaj±ce siê od s³owa kluczowego order, i wstaw wiersz:

order hosts

Konfiguracja resolvera jest dok³adnie opisana w rozdziale 6, Us³ugi nazewnicze i konfigurowanie resolvera.
Plik hosts zawiera po jednym wpisie w wierszu, a ka¿dy wpis sk³ada siê z adresu IP i nazwy hosta oraz opcjonalnej listy aliasów tej nazwy. Pola s± oddzielone spacjami albo tabulatorami, a pole adresu musi zaczynaæ siê w pierwszej kolumnie. Wszystko, co jest poprzedzone hashem, jest uznawane za komentarz i ignorowane.
Nazwy hostów mog± byæ pe³ne lub wzglêdne dla domeny lokalnej. W przypadku vale wprowadzi³by¶ w pliku hosts pe³n± nazwê vale.vbrew.com oraz vale, aby host by³ znany zarówno pod nazw± oficjaln±, jak i skrócon± - lokaln±.
Oto przyk³ad, jak mo¿e wygl±daæ plik hosts dla wirtualnego browaru. Dodano dwie nazwy specjalne vlager-if1 i vlager-if2, które zawieraj± adresy obu interfejsów u¿ywanych na ho¶cie vlager:

#
# Plik hosts dla wirtualnego browaru/wirtualnej winiarni
#
# IP         FQDN                   aliasy
#
127.0.0.1    localhost
#
172.16.1.1   vlager.vbrew.com       vlager vlager-if1
172.16.1.2   vstout.vbrew.com       vstout
172.16.1.3   vale.vbrew.com         vale
#
172.16.2.1   vlager-if2
172.16.2.2   vbeaujolais.vbrew.com  vbeaujolais
172.16.2.3   vbardolino.vbrew.com   vbardolino
172.16.2.4   vchianti.vbrew.com     vchianti

Podobnie jak w przypadku adresów IP hosta, tak i dla numerów sieci powiniene¶ czasem u¿ywaæ równie¿ nazw symbolicznych. Dlatego plik hosts posiada bli¼niaczy plik /etc/networks, który odwzorowuje nazwy sieci na ich numery i odwrotnie. W wirtualnym browarze zainstalowaliby¶my nastêpuj±cy plik networks:*

# /etc/networks dla wirtualnego browaru
brew-net      172.16.1.0
wine-net      172.16.2.0
Konfigurowanie interfejsu dla IP
Zgodnie z tym, co napisali¶my w rozdziale 4, Konfigurowanie urz±dzeñ szeregowych, po skonfigurowaniu sprzêtu musisz zadbaæ o to, aby oprogramowanie sieciowe j±dra rozpoznawa³o urz±dzenia. Do skonfigurowania interfejsów sieciowych i zainicjowania tablicy rutingu stosuje siê kilka poleceñ. Zadania te zwykle s± wykonywane ze skryptu inicjuj±cego sieæ ka¿dorazowo podczas uruchomienia systemu. Podstawowe narzêdzia do tego celu to ifconfig (gdzie if jest skrótem od interfejs) i route.
Polecenie ifconfig jest u¿ywane do udostêpnienia interfejsu warstwie sieciowej j±dra. Wymaga to przypisania adresu IP i zdefiniowania innych parametrów oraz aktywacji interfejsu, czêsto nazywanej tak¿e "podniesieniem" interfejsu. Interfejs aktywny oznacza tutaj, ¿e j±dro bêdzie przez niego wysy³a³o i odbiera³o datagramy IP. Oto najprostsza procedura tego zadania:

ifconfig interfejs adres-IP

Polecenie to przypisuje adres-IP do interfejsu i go aktywuje. Wszystkie pozosta³e parametry s± ustawiane na warto¶ci domy¶lne. Na przyk³ad domy¶lna maska sieci jest ustalana na podstawie klasy sieci, do której nale¿y podany adres IP, czyli 255.255.0.0 dla klasy B. ifconfig jest opisane szczegó³owo w podrozdziale Wszystko o ifconfig.
Polecenie route pozwala na dodanie lub usuniêcie trasy z tablicy rutingu j±dra. Mo¿na wywo³aæ je nastêpuj±co:

route [add|del] [-net|-host] przeznaczenie [if]

Argumenty add i del okre¶laj±, czy nale¿y dodaæ, czy te¿ usun±æ trasê do przeznaczenia. Argumenty -net i -host mówi± poleceniu route, czy przeznaczenie to sieæ, czy host (domy¶lnie, je¿eli nic nie podasz, przyjmowany jest host). Argument if jest opcjonalny i pozwala na podanie interfejsu sieciowego, do którego powinna zostaæ przekierowana dana trasa - j±dro Linuksa rozs±dnie zgaduje, je¿eli nie podasz tej informacji. Temat ten zostanie szczegó³owo wyja¶niony w kolejnych podrozdzia³ach.
Interfejs pêtli zwrotnej
W pierwszej kolejno¶ci aktywowany jest interfejs pêtli zwrotnej:

# ifconfig lo 127.0.0.1

Mo¿e siê zdarzyæ, ¿e zamiast adresu IP zobaczysz fikcyjn± nazwê hosta localhost. ifconfig bêdzie szukaæ nazwy w pliku hosts, gdzie powinien znajdowaæ siê wpis wi±¿±cy tê nazwê z adresem 127.0.0.1.

# Przyk³adowy wpis localhost w /etc/hosts
localhost      127.0.0.1

Aby obejrzeæ konfiguracjê interfejsu, wywo³ujesz polecenie ifconfig, podaj±c jako argument jedynie nazwê interfejsu.

$ ifconfig lo
lo      Link encap:Local Loopback
        inet addr:127.0.0.1  Mask:255.0.0.0
        UP LOOPBACK RUNNING  MTU:3924  Metric:1
        RX packets:0 errors:0 dropped:0 overruns:0 frame:0
        TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
        Collisions:0

Jak widzisz, interfejsowi pêtli zwrotnej zosta³a przypisana maska sieci 255.0.0.0, poniewa¿ adres 127.0.0.1 nale¿y do klasy A.
Teraz w zasadzie mo¿esz zacz±æ zabawê ze swoj± minisieci±. Wci±¿ jednak brakuje wpisu w tablicy rutingu, mówi±cego IP, ¿e mo¿e u¿ywaæ tego interfejsu jako trasy do adresu 127.0.0.1. Mo¿na go dodaæ nastêpuj±co:

# route add 127.0.0.1

Znów mo¿esz u¿yæ localhost zamiast adresu IP, pod warunkiem, ¿e wpisa³e¶ go do pliku /etc/hosts.
Nastêpnie powiniene¶ sprawdziæ, czy wszystko poprawnie dzia³a, na przyk³ad u¿ywaj±c polecenia ping. Polecenie to sprawdza, czy podany adres jest rzeczywi¶cie osi±galny, i mierzy opó¼nienia wystêpuj±ce przy wysy³aniu datagramu na ten adres i z powrotem. Czas potrzebny do wykonania tego zadania jest czêsto nazywany "czasem przewidzianym na transmisjê i potwierdzenie przyjêcia" (ang. round-trip time):

# ping localhost
PING localhost (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=255 time=0.4 ms
64 bytes from 127.0.0.1: icmp_seq=1 ttl=255 time=0.4 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=255 time=0.4 ms
^C
--- localhost ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 0.4/0.4/0.4 ms
#

Kiedy ping zostanie wywo³ane w pokazany tu sposób, bêdzie wysy³a³o pakiety dopóty, dopóki u¿ytkownik nie przerwie wykonywania polecenia. Znak ^C pokazuje, gdzie nacisnêli¶my [CTRL+C].
W tym przyk³adzie widaæ, ¿e pakiety s± poprawnie dostarczane na adres 127.0.0.1, a odpowied¼ jest zwracana natychmiast. To znak, ¿e prawid³owo skonfigurowa³e¶ swój pierwszy interfejs sieciowy.
Je¶li wynik polecenia ping nie przypomina pokazanego w powy¿szym przyk³adzie, znaczy to, ¿e masz k³opot. Sprawd¼ wszelkie odstêpstwa - czy nie wskazuj± one, ¿e jakie¶ pliki nie zosta³y poprawnie zainstalowane? Sprawd¼, czy binaria ifconfig i route, których u¿ywasz, s± kompatybilne z twoj± wersj± j±dra, a przede wszystkim, czy j±dro zosta³o skompilowane z obs³ug± sieci (powiniene¶ mieæ katalog /proc/net). Je¿eli otrzymasz komunikat o tre¶ci "Network unreachable", prawdopodobnie zrobi³e¶ co¶ nie tak w poleceniu route. Sprawd¼, czy u¿y³e¶ tego samego adresu, który poda³e¶ w ifconfig.
Przedstawiona procedura powinna umo¿liwiæ ci korzystanie z aplikacji sieciowych na pojedynczym ho¶cie. Po dodaniu wcze¶niej wspomnianych linii do skryptu inicjuj±cego sieæ i upewnieniu siê, ¿e zostanie on uruchomiony w czasie startu, mo¿esz ponownie uruchomiæ swój komputer i wypróbowaæ ró¿ne aplikacje. Na przyk³ad telnet localhost powinno zrealizowaæ po³±czenie telnet z twoim hostem, pokazuj±c monit login:.
Jednak interfejs pêtli zwrotnej jest przydatny nie tylko jako przyk³ad w ksi±¿kach o sieci czy do testowania oprogramowania, ale jest rzeczywi¶cie u¿ywany przez niektóre aplikacje w czasie normalnej pracy*. Dlatego zawsze musisz go konfigurowaæ bez wzglêdu na to, czy twoja maszyna jest pod³±czona do sieci, czy nie.

Interfejsy Ethernet
Konfigurowanie interfejsu Ethernet jest prawie identyczne z konfigurowaniem interfejsu pêtli zwrotnej. Wymaga jedynie wprowadzenia kilku dodatkowych parametrów, je¿eli u¿ywasz podzia³u na podsieci.
W wirtualnym browarze podzielili¶my oryginaln± sieæ IP klasy B na podsieci o postaci sieci klasy C. Aby interfejs rozpozna³ podzia³ na podsieci, wywo³anie ifconfig powinno byæ nastêpuj±ce:

# ifconfig eth0 vstout netmask 255.255.255.0

Polecenie to przypisuje interfejsowi eth0 adres IP vstout (172.16.1.2). Gdyby¶my pominêli maskê sieci, ifconfig zredukowa³oby maskê sieci na podstawie adresu IP i uzyskaliby¶my niepoprawn± maskê postaci 255.255.0.0. Teraz szybko sprawdzamy wynik:

# ifconfig eth0
eth0      Link encap 10Mps Ethernet HWaddr 00:00:C0:90:B3:42
          inet addr 172.16.1.2 Bcast 172.16.1.255 Mask 255.255.255.0
          UP BROADCAST RUNNING MTU 1500 Metric 1
          RX packets 0 errors 0 dropped 0 overrun 0
          TX packets 0 errors 0 dropped 0 overrun 0

Mo¿esz zauwa¿yæ, ¿e ifconfig automatycznie ustawia adres rozg³oszeniowy (pole Bcast) na typow± warto¶æ, która sk³ada siê z numeru sieci hosta i ustawionych wszystkich bitów w czê¶ci numeru hosta. Tak¿e maksymalna jednostka transmisji (maksymalny rozmiar datagramów IP tworzonych dla interfejsu przez j±dro) zosta³a ustawiona na maksymalny rozmiar pakietów Ethernet: 1500 bajtów. Zwykle bêdziesz u¿ywa³ warto¶ci domy¶lnych, ale w razie potrzeby mo¿esz je zmieniæ za pomoc± specjalnych opcji, które zostan± opisane w podrozdziale Wszystko o ifconfig.
Tak jak przy konfiguracji interfejsu pêtli zwrotnej, musisz teraz utworzyæ wpis w tablicy rutingu mówi±cy j±dru o sieci, która jest osi±galna przez eth0. W przypadku wirtualnego browaru mo¿esz wywo³aæ polecenie route nastêpuj±co:

# route add -net 172.16.1.0

Z pocz±tku wygl±da to nieco tajemniczo, poniewa¿ nie jest zupe³nie jasne, jak route wykrywa interfejs, przez który ma przesy³aæ pakiety. Jednak ca³y zabieg jest raczej prosty: j±dro sprawdza wszystkie interfejsy, które zosta³y do tej pory skonfigurowane, i porównuje adres docelowy (w tym przypadku 172.16.1.0) z czê¶ci± sieciow± adresu interfejsu (to znaczy wykonuje bitow± logiczn± operacjê AND na adresie interfejsu i masce sieci). Jedynym pasuj±cym interfejsem jest eth0.
A do czego s³u¿y opcja -net? Jest ona potrzebna, poniewa¿ route mo¿e obs³u¿yæ obie trasy: do sieci i do pojedynczego hosta (co widzia³e¶ wcze¶niej przy localhost). Kiedy podamy adres w notacji kropkowej, route próbuje zgadn±æ, czy jest to adres sieci czy hosta, patrz±c na bity czê¶ci hosta. Je¿eli w adresie czê¶æ hosta jest zerowa, route zak³ada, ¿e chodzi o adres sieci - w przeciwnym razie route uznaje go za adres hosta. Dlatego route uzna³oby, ¿e 172.16.1.0 to adres hosta, a nie adres sieci, poniewa¿ nie wie, ¿e zastosowali¶my podzia³ na podsieci. Musimy powiedzieæ jawnie, ¿e chodzi o sieæ, a wiêc podajemy opcjê -net.
Oczywi¶cie wpisywanie polecenia route jest nu¿±ce i ³atwo przy tym o pomy³kê. Wygodniejsze jest u¿ycie nazw sieci, które zdefiniowali¶my w /etc/networks. Polecenie staje siê bardziej czytelne i mo¿na nawet pomin±æ opcjê -net, poniewa¿ route wie, ¿e 172.16.1.0 oznacza sieæ.

# route add brew-net

Teraz, gdy ju¿ masz za sob± podstawowe kroki konfiguracyjne, upewnj siê, ¿e interfejs Ethernet naprawdê dzia³a poprawnie. Wybierz jaki¶ host ze swojej sieci, na przyk³ad vlager, i napisz:

# ping vlager
PING vlager: 64 byte packets
64 bytes from 172.16.1.1: icmp_seq=0. time=11. ms
64 bytes from 172.16.1.1: icmp_seq=1. time=7. ms
64 bytes from 172.16.1.1: icmp_seq=2. time=12. ms
64 bytes from 172.16.1.1: icmp_seq=3. time=3. ms
^C
--- vstout.vbrew.com PING Statistics ---
4 packets transmitted, 4 packets received, 0
round-trip (ms) min/avg/max = 3/8/12

Je¿eli twój wynik siê ró¿ni, co¶ jest nie tak. Je¿eli zauwa¿ysz, ¿e wspó³czynnik utraty pakietów ma jak±¶ nieprawdopodobn± warto¶æ, wskazuje to na problem sprzêtowy, na przyk³ad z³e terminatory w przypadku kabla wspó³osiowego lub ich brak.
Je¿eli nie uzyskasz w ogóle ¿adnych odpowiedzi, powiniene¶ sprawdziæ konfiguracjê interfejsu za pomoc± polecenia netstat (patrz podrozdzia³ Polecenie netstat w tym rozdziale). Statystyka pakietów pokazana przez ifconfig powinna powiedzieæ ci, czy jakie¶ pakiety zosta³y w ogóle wys³ane przez interfejs. Je¿eli masz równie¿ dostêp do zdalnego hosta, powiniene¶ podej¶æ do niego i sprawdziæ statystyki interfejsu. W ten sposób mo¿esz dok³adnie stwierdziæ, gdzie pakiety zosta³y zgubione. Ponadto za pomoc± polecenia route powiniene¶ wy¶wietliæ informacje o rutingu i zobaczyæ, czy oba hosty maj± poprawne wpisy dotycz±ce rutingu. route wy¶wietli pe³n± tablicê rutingu j±dra, je¿eli zostanie wywo³ane bez argumentów (-n powoduje jedynie, ¿e s± drukowane adresy w postaci numerycznej, a nie nazwy hostów):

# route -n
Kernel routing table
Destination    Gateway   Genmask           Flags  Metric Ref Use Iface
127.0.0.1      *         255.255.255.255   UH     1      0   112 lo
172.16.1.0     *         255.255.255.0     U      1      0   10  eth0

Znaczenie poszczególnych pól zostanie wyja¶nione dalej w podrozdziale Polecenie netstat. Kolumna Flags zawiera listê znaczników ustawionych dla ka¿dego interfejsu. U zawsze jest ustawione w przypadku aktywnych interfejsów, a H mówi, ¿e adresem docelowym jest adres hosta. Je¿eli znacznik H jest ustawiony dla trasy, która mia³a byæ tras± do sieci, musisz ponownie wydaæ polecenie route z opcj± -net. Aby dowiedzieæ siê, czy wprowadzona trasa jest w ogóle u¿ywana, sprawd¼, czy warto¶æ pola Use w drugiej kolumnie od koñca zwiêksza siê pomiêdzy wywo³aniami polecenia ping.

Ruting przez gateway
W poprzednim podrozdziale omówili¶my konfiguracjê hosta pod³±czonego do jednej sieci Ethernet. Czêsto siê jednak zdarza, ¿e sieci s± ze sob± po³±czone. S³u¿± do tego gatewaye, które ³±cz± po prostu dwie lub wiêcej sieci Ethernet, ale mog± tak¿e stanowiæ pomost do ¶wiata zewnêtrznego, na przyk³ad do Internetu. Aby wykorzystaæ gateway, musisz podaæ warstwie sieciowej dodatkowe informacje o rutingu.
Sieci Ethernet nale¿±ce do wirtualnego browaru i wirtualnej winiarni s± po³±czone takim w³a¶nie gatewayem. Nosi on nazwê vlager. Zak³adaj±c, ¿e vlager zosta³ ju¿ skonfigurowany, musimy po prostu dodaæ do tablicy rutingu vstout wpis, który poinformuje j±dro, jak mo¿e dostaæ siê przez vlager do wszystkich hostów w sieci winiarni. Odpowiednie wywo³anie polecenia route zosta³o pokazane poni¿ej. S³owo kluczowe gw mówi, ¿e nastêpny argument oznacza gateway:

# route add wine-net gw vlager

Oczywi¶cie dowolny host w sieci winiarni, z którym siê chcesz po³±czyæ, musi mieæ wpis dotycz±cy trasy do sieci browaru. W przeciwnym razie bêdziesz w stanie jedynie wys³aæ dane z sieci browaru do sieci winiarni, ale hosty w sieci winiarni nie bêd± w stanie odpowiedzieæ.
Przyk³ad ten opisuje tylko gateway, który przekazuje pakiety pomiêdzy dwoma wyizolowanymi sieciami Ethernet. Za³ó¿my teraz, ¿e vlager ma tak¿e po³±czenie z Internetem (przyjmij, ¿e przez dodatkowe ³±cze SLIP). W takim razie chcemy, aby datagramy adresowane do dowolnego miejsca poza sieci± browaru by³y obs³ugiwane przez vlager. Mo¿na to zrobiæ, definiuj±c ten gateway jako domy¶lny dla vstout:

# route add default gw vlager

Nazwa sieci default stanowi skrót dla adresu 0.0.0.0, który oznacza trasê domy¶ln±. Domy¶lna trasa pasuje do ka¿dego adresu docelowego i bêdzie u¿ywana, je¿eli w tablicy rutingu nie ma dok³adniejszej trasy. Nie musisz dodawaæ tej nazwy do pliku /etc/networks, poniewa¿ jest ona wbudowana w polecenie route.
Je¿eli polecenie ping skierowane do hosta znajduj±cego siê za jednym lub kilkoma gatewayami pokazuje, ¿e du¿o pakietów jest gubionych, mo¿e to oznaczaæ, ¿e sieæ jest zapchana. Gubienie pakietów nie wynika z wad technicznych, ale z tymczasowego przeci±¿enia hostów przekazuj±cych, które powoduje opó¼nienia, a nawet gubienie przychodz±cych pakietów.
Konfigurowanie gatewaya
Skonfigurowanie maszyny, która przekazuje pakiety pomiêdzy dwoma sieciami Ethernet, jest dosyæ proste. Wróæmy do hosta vlager, który jest wyposa¿ony w dwie karty Ethernet, a ka¿da z nich jest pod³±czona do jednej z dwóch sieci. Musisz jedynie skonfigurowaæ oddzielnie obie karty i nadaæ im odpowiednie adresy IP oraz wyznaczyæ trasy.
Dosyæ przydatne jest dodanie informacji o obu interfejsach do pliku hosts, by mieæ pod rêk± ³atwe do zapamiêtania nazwy, co pokazano w poni¿szym przyk³adzie.

172.16.1.1   vlager.vbrew.com   vlager vlager-if1
172.16.2.1   vlager-if2

Aby skonfigurowaæ te dwa interfejsy, nale¿y wydaæ nastêpuj±ce polecenia:

# ifconfig eth0 vlager-if1
# route add brew-net
# ifconfig eth1 vlager-if2
# route add wine-net

Je¿eli te polecenia nie dzia³aj±, sprawd¼, czy j±dro zosta³o skompilowane z w³±czon± opcj± przekazywania IP (ang. IP forwarding). W tym celu upewnij siê, czy pierwsza liczba w drugim wierszu pliku /proc/net/snmp jest ustawiona na 1.
Interfejs PLIP
£±cze PLIP u¿ywane do po³±czenia dwóch komputerów ró¿ni siê nieco od Ethernetu. £±cza PLIP nale¿± do ³±czy typu punkt-punkt, co oznacza, ¿e na ka¿dym koñcu takiego ³±cza jest jeden host. Sieci typu Ethernet s± nazywane sieciami rozg³oszeniowymi. Konfiguracja ³±czy punkt-punkt jest inna, poniewa¿ w odró¿nieniu od sieci rozg³oszeniowych nie tworz± one w³asnej sieci.
PLIP to bardzo tanie i przeno¶ne ³±cze pomiêdzy komputerami. Jako przyk³ad rozwa¿my komputer typu laptop nale¿±cy do pracownika wirtualnego browaru. Komputer ten jest pod³±czony do hosta vlager przez ³±cze PLIP. Sam laptop nazywa siê vlite i ma tylko jeden port równoleg³y. W czasie uruchamiania systemu port ten rejestruje siê jako plip1. Aby uaktywniæ ³±cze, musisz skonfigurowaæ interfejs plip1, u¿ywaj±c poni¿szych poleceñ*:

# ifconfig plip1 vlite pointopoint vlager
# route add default gw vlager

Pierwsze polecenie konfiguruje interfejs mówi±c j±dru, ¿e jest to ³±cze punkt-punkt i ¿e druga strona ma adres vlager. Drugie polecenie dodaje domy¶ln± trasê, u¿ywaj±c hosta vlager jako gatewaya. Do uaktywnienia ³±cza na ho¶cie vlager niezbêdne jest podobne polecenie ifconfig (wywo³anie route nie jest potrzebne):

# ifconfig plip1 vlager pointopoint vlite

Zauwa¿, ¿e interfejs plip1 na ho¶cie vlager nie potrzebuje oddzielnego adresu IP, ale mo¿na mu nadaæ równie¿ adres 172.16.1.1. £±cza punkt-punkt nie obs³uguj± bezpo¶rednio sieci, a wiêc interfejsy nie wymagaj± adresu. J±dro wykorzystuje informacje o interfejsie zawarte w tablicy rutingu, aby unikn±æ jakich¶ pomy³ek**.
Skonfigurowali¶my ju¿ ruting z laptopa do sieci browaru. Wci±¿ jednak nie mamy trasy z dowolnego hosta browaru do vlite. Dodawanie takiej trasy w tablicy rutingu ka¿dego hosta jest wyj±tkowo k³opotliwe. Trzeba by³oby tam wskazaæ, ¿e vlager jest gatewayem dla vlite:

# route add vlite gw vlager

Dla tras tymczasowych lepszy jest ruting dynamiczny. Na ka¿dym ho¶cie w sieci mo¿na zainstalowaæ demona rutingu gated, który bêdzie dynamicznie rozpowszechnia³ informacje o rutingu. Prostszym wyj¶ciem jednak jest u¿ycie proxy ARP (Address Resolution Protocol). Dziêki proxy ARP, vlager bêdzie odpowiada³ na ka¿de zapytanie ARP o vlite, wysy³aj±c w³asny adres Ethernet. Wszystkie pakiety dla vlite bêd± dociera³y do vlagera, który nastêpnie bêdzie je przekazywa³ do laptopa. Do proxy ARP powrócimy w podrozdziale Sprawdzanie tablic ARP.
Obecna wersja net-tools zawiera narzêdzie o nazwie plipconfig pozwalaj±ce na ustawienie odpowiednich parametrów czasowych PLIP. IRQ dla portu równoleg³ego mo¿na ustawiæ za pomoc± polecenia ifconfig.
Interfejsy SLIP i PPP
Choæ ³±cza SLIP i PPP s±, tak jak PLIP, jedynie prostymi ³±czami typu punkt-punkt, mo¿na o nich powiedzieæ du¿o wiêcej. Zwykle ustanowienie po³±czenia SLIP wymaga zadzwonienia do drugiej strony przez modem i ustawienia trybu SLIP dla ³±cza szeregowego. Z PPP korzysta siê podobnie. SLIP i PPP omawiamy dok³adniej w rozdzia³ach 7, IP ³±cza szeregowego, i 8, Protokó³ punkt-punkt.
Interfejs fikcyjny (ang. dummy interface)
Interfejs fikcyjny (ang. dummy interface) jest nieco egzotyczny, ale jednak przydatny. Jego g³ówn± zalet± w przypadku pojedynczych hostów i komputerów posiadaj±cych jedynie pod³±czenie do sieci IP jest ³±cze komutowane. W rzeczywisto¶ci przewa¿nie obs³uguje pojedyncze hosty.
Problem z pojedynczymi hostami polega na tym, ¿e maj± one aktywne tylko jedno urz±dzenie sieciowe - interfejs pêtli zwrotnej, któremu zwykle jest przypisywany adres 127.0.0.1. Czasami jednak musisz wys³aæ dane na "oficjalny" adres IP hosta lokalnego. Na przyk³ad za³ó¿my, ¿e laptop vlite zosta³ chwilowo od³±czony od sieci. Aplikacja na vlite mo¿e teraz chcieæ wys³aæ dane do innej aplikacji na tym samym ho¶cie. Sprawdzenie vlite w pliku /etc/hosts daje adres IP 172.16.1.65, a wiêc aplikacja próbuje wysy³aæ dane na taki adres. Poniewa¿ interfejs pêtli zwrotnej jest obecnie jedynym aktywnym interfejsem w tym komputerze, j±dro nie ma pojêcia, ¿e adres 172.16.1.65 tak naprawdê odnosi siê do tej samej maszyny! W konsekwencji j±dro odrzuca datagram i zwraca do aplikacji komunikat o b³êdzie. 
Tu w³a¶nie przydaje siê interfejs fikcyjny. Rozwi±zuje on problem wykorzystuj±c interfejs pêtli zwrotnej. W przypadku vlite, po prostu nadajesz interfejsowi adres 172.16.1.65 i dodajesz trasê, tak by na niego wskazywa³a. Ka¿dy datagram przeznaczony dla adresu 172.16.1.65 bêdzie od tej chwili dostarczony lokalnie. Oto poprawne wywo³anie*: 

# ifconfig dummy vlite
# route add vlite
Alias IP
Nowe j±dra obs³uguj± funkcjê, która mo¿e zast±piæ interfejs fikcyjny i pe³niæ inne u¿yteczne role. Alias IP pozwala na skonfigurowanie wielu adresów IP na jednym urz±dzeniu fizycznym. W najprostszym przypadku mo¿na inaczej zrealizowaæ interfejs fikcyjny. Wystarczy skonfigurowaæ adres hosta jako alias dla interfejsu pêtli zwrotnej i mo¿esz zupe³nie zrezygnowaæ z interfejsu fikcyjnego. W bardziej z³o¿onych zastosowaniach móg³by¶ skonfigurowaæ swój host tak, by wygl±da³ jak inne hosty, ka¿dy o swoim w³asnym adresie IP. Konfiguracja taka jest czasem nazywana tworzeniem hostów wirtualnych, choæ technicznie jest równie¿ u¿ywana w wielu innych celach**.
Aby skonfigurowaæ alias dla interfejsu, musisz najpierw sprawdziæ, czy j±dro zosta³o skonfigurowane z obs³ug± aliasów IP (sprawd¼, czy masz plik /proc/net/ip_alias; je¿eli nie - trzeba ponownie skompilowaæ j±dro). Konfiguracja aliasu IP przebiega tak samo jak konfiguracja normalnego urz±dzenia sieciowego. Jedyna ró¿nica polega na u¿yciu specjalnej nazwy wskazuj±cej, ¿e jest to alias. Na przyk³ad:

# ifconfig lo:0 172.16.1.1

To polecenie utworzy alias o adresie 172.16.1.1 dla interfejsu pêtli zwrotnej. Aliasy IP s± oznaczane przez dodanie :n do rzeczywistej nazwy urz±dzenia sieciowego, gdzie "n" jest liczb± ca³kowit±. W naszym przyk³adzie tworzymy alias o numerze 0 dla urz±dzenia sieciowego lo. Dziêki numeracji pojedyncze urz±dzenie fizyczne mo¿e obs³u¿yæ wiele aliasów.
Ka¿dy alias mo¿e byæ traktowany jako oddzielne urz±dzenie i z punktu widzenia oprogramowania IP j±dra tak w³a¶nie jest. Bêdzie jednak wspó³dzieli³ sprzêt z innym interfejsem.
Wszystko o ifconfig
Polecenie ifconfig ma du¿o wiêcej parametrów, ni¿ opisali¶my do tej pory. Typowe wywo³anie wygl±da tak:

ifconfig interfejs [adres [parametry]]

Oczywiste jest, ¿e interfejs to nazwa interfejsu, a adres to nazwa adresu IP przypisanego interfejsowi. Mo¿e byæ to adres w postaci liczbowej lub nazwa, któr± ifconfig odnajdzie w pliku /etc/hosts.
Gdyby¶my wywo³ali ifconfig tylko z nazw± interfejsu, zobaczyliby¶my konfiguracjê interfejsu. Przy wywo³aniu bez parametrów ifconfig wy¶wietla wszystkie interfejsy, jakie masz do tej pory skonfigurowane. Opcja -a wymusza równie¿ pokazanie interfejsów nieaktywnych. Przyk³adowe wywo³anie dla interfejsu Ethernet eth0 mo¿e wygl±daæ nastêpuj±co:

# ifconfig eth0
eth0      Link encap 10Mbps Ethernet HWaddr 00:00:C0:90:B3:42
          inet addr 172.16.1.2 Bcast 172.16.1.255 Mask 255.255.255.0
          UP BROADCAST RUNNING MTU 1500 Metric 0
          RX packets 3136 errors 217 dropped 7 overrun 26
          TX packets 1752 errors 25 dropped 0 overrun 0

Pola MTU i Metric pokazuj± aktualne warto¶ci MTU i metryki interfejsu. Metryka jest tradycyjnie u¿ywana przez niektóre systemy operacyjne do obliczenia kosztu trasy. Linux nie korzysta z tej warto¶ci, ale definiuje j± dla zachowania kompatybilno¶ci.
Wiersze RX i TX pokazuj±, ile pakietów zosta³o pomy¶lnie odebranych i wys³anych, ile wyst±pi³o b³êdów, ile pakietów zosta³o pominiêtych (prawdopodobnie ze wzglêdu na brak pamiêci), a ile zosta³o zgubionych ze wzglêdu na przeci±¿enie. Przeci±¿enia odbiorcy wystêpuj± zwykle wtedy, gdy pakiety nadchodz± szybciej ni¿ j±dro jest w stanie obs³u¿yæ ostatnie przerwanie. Znaczniki pokazywane przez ifconfig z grubsza odpowiadaj± nazwom opcji wiersza poleceñ, które omówimy dalej.
Poni¿ej przedstawiamy listê parametrów rozpoznawanych przez ifconfig z odpowiednimi nazwami znaczników. Opcje, które w³±czaj± funkcjê, pozwalaj± równie¿ j± wy³±czyæ, je¶li przed opcj± umie¶cimy znak minus (-).
up

Ta opcja udostêpnia interfejs warstwie IP. Opcja jest domy¶lna w momencie podania w wierszu poleceñ adresu. Mo¿e byæ tak¿e u¿yta do ponownego w³±czenia interfejsu, który zosta³ tymczasowo zamkniêty za pomoc± opcji down.
Z t± opcj± zwi±zane s± znaczniki UP i RUNNING.
down

Ta opcja oznacza, ¿e interfejs jest niedostêpny dla warstwy IP. W rzeczywisto¶ci odcina ca³y ruch IP do interfejsu. Zauwa¿, ¿e ta opcja usunie automatycznie tak¿e wszystkie wpisy w tablicy rutingu, które wykorzystuj± dany interfejs.
netmask maska

Ta opcja okre¶la maskê sieci u¿ywan± przez interfejs. Mo¿e byæ ona podana w postaci 32-bitowej liczby szesnastkowej poprzedzonej 0x albo w postaci liczb dziesiêtnych oddzielonych kropkami. Choæ postaæ liczb dziesiêtnych jest popularniejsza, czêsto du¿o ³atwiej jest pracowaæ z notacj± szesnastkow±. Maski sieci s± w gruncie rzeczy binarne i ³atwiej dokonaæ konwersji z zapisu binarnego na szesnastkowy, ni¿ z binarnego na dziesiêtny.

pointopoint adres

Ta opcja jest u¿ywana przy ³±czach IP punkt-punkt ³±cz±cych tylko dwa hosty. Jest potrzebna na przyk³ad do skonfigurowania interfejsów SLIP i PPP. Je¿eli zostanie ustawiony adres punkt-punkt, ifconfig wy¶wietli znacznik POINTOPOINT.
broadcast adres

Adres rozg³oszeniowy jest zwykle z³o¿ony z adresu sieci i wszystkich bitów ustawionych w adresie hosta. Niektóre implementacje IP (systemy pochodz±ce na przyk³ad z BSD 4.2) wykorzystuj± inny schemat, w którym wszystkie bity w czê¶ci hosta s± zerowane. Opcja broadcast przystosowuje siê do tych dziwnych ¶rodowisk. Je¿eli adres rozg³oszeniowy zosta³ okre¶lony, ifconfig  wy¶wietla znacznik BROADCAST.
irq

Ta opcja pozwala ustaliæ IRQ u¿ywane przez zadane urz±dzenia. Jest to przydatne zw³aszcza w ³±czach PLIP, ale tak¿e przy niektórych kartach Ethernet.
metric liczba

Ta opcja mo¿e byæ u¿yta do przypisania metryki we wpisie utworzonym dla interfejsu w tablicy rutingu. Metryka jest u¿ywana przez protokó³ rutowania RIP (Routing Information Protocol) do tworzenia tablic rutingu dla sieci*. Domy¶lna metryka u¿ywana przez ifconfig ma warto¶æ zero. Je¿eli nie korzystasz z demona RIP, nie potrzebujesz w ogóle tej opcji. A nawet je¿eli go u¿ywasz, rzadko bêdziesz musia³ zmieniaæ warto¶æ metryki.
mtu bajty 

W ten sposób ustawia siê maksymaln± jednostkê transmisji, która okre¶la maksymaln± liczbê oktetów, jak± interfejs jest w stanie obs³u¿yæ w jednym ruchu. W przypadku Ethernetu domy¶lna warto¶æ MTU wynosi 1500 (najwiêkszy dopuszczalny rozmiar dla pakietu Ethernet). W przypadku interfejsów SLIP jest to 296 (nie ma ograniczeñ MTU w ³±czach SLIP - ta warto¶æ jest po prostu pewnym kompromisem).
arp

Ta opcja jest w³a¶ciwa dla sieci rozg³oszeniowych, takich jak Ethernet, lub dla radia pakietowego. W³±cza ona protokó³ rozwi±zywania adresów (ARP), u¿ywany do znajdowania fizycznych adresów hostów pod³±czonych do sieci. W sieciach rozg³oszeniowych u¿ycie tego protoko³u jest domy¶lne. Je¿eli ARP jest wy³±czony, ifconfig wy¶wietla znacznik NOARP.
-arp

Ta opcja wy³±cza u¿ycie ARP na interfejsie.

promisc

Ta opcja prze³±cza interfejs w tryb przechwytywania pakietów (ang. promiscuous mode). W sieciach rozg³oszeniowych oznacza to, ¿e interfejs odbiera wszystkie pakiety, bez wzglêdu na to, czy s± one dla niego przeznaczone, czy te¿ nie. Pozwala to na analizê ruchu za pomoc± filtrów pakietów i tym podobnych narzêdzi, co jest nazywane tak¿e snoopingiem Ethernetu. Zwykle jest to dobra technika wykrywania problemów z sieci±, które inn± metod± by³yby trudne do znalezienia. Narzêdzia takie jak tcpdump opieraj± siê na tym trybie interfejsu.
Z drugiej strony opcja ta pozwala w³amywaczom na robienie brzydkich rzeczy, na przyk³ad na przegl±danie pakietów twojej sieci w poszukiwaniu hase³. Mo¿esz siê zabezpieczyæ przed tego typu atakiem, zabraniaj±c komukolwiek w³±czaæ komputery do twojej sieci Ethernet. Mo¿esz tak¿e u¿ywaæ bezpiecznych protoko³ów uwierzytelniania, takich jak Kerberos czy pakiet secure shell*. Opcji tej odpowiada znacznik PROMISC.
-promisc

Ta opcja wy³±cza tryb przechwytywania pakietów.
allmulti

Adresy grupowe (ang. multicast addresses) maj± wiele wspólnego z adresami rozg³oszeniowymi Ethernet, z tym wyj±tkiem, ¿e nie implikuj± automatycznego kierowania do pakietów wszystkich cz³onków sieci. Pakiety wys³ane na adres grupowy dostaj± tylko te osoby, które ustawi³y ich odbieranie. Jest to przydatne w takich zastosowaniach, jak wideokonferencje oparte na sieci Ethernet czy audio w sieci, gdzie tylko zainteresowani odbieraj± dane pakiety. Adresowanie grupowe jest obs³ugiwane przez wiêkszo¶æ sterowników Ethernet, aczkolwiek nie przez wszystkie. Gdy opcja ta jest w³±czona, interfejs odbiera i przekazuje pakiety grupowe do przetwarzania. Opcji tej odpowiada znacznik ALLMULTI.
-allmulti

Ta opcja wy³±cza adresy grupowe.
Polecenie netstat
netstat jest przydatnym narzêdziem do sprawdzania konfiguracji sieci i jej dzia³ania. W gruncie rzeczy jest to zestaw kilku po³±czonych ze sob± narzêdzi. W kolejnych podrozdzia³ach omawiamy ka¿d± z funkcji polecenia.
Wy¶wietlanie tablicy rutingu
Kiedy wywo³asz netstat z opcj± -r, wy¶wietli ono tablicê rutingu j±dra w postaci podobnej jak polecenie route. Na ho¶cie vstout wynik wygl±da nastêpuj±co:

# netstat -nr
Kernel IP routing table
Destination   Gateway     Genmask         Flags  MSS   Window   irtt   Iface
127.0.0.1     *           255.255.255.255 UH     0     0        0      lo
172.16.1.0    *           255.255.255.0   U      0     0        0      eth0
172.16.2.0    172.16.1.1  255.255.255.0   UG     0     0        0      eth0

Opcja -n powoduje, ¿e netstat wy¶wietla adresy w postaci numerów IP, a nie symbolicznych nazw hostów i sieci. Opcja ta jest szczególnie przydatna, je¿eli chcesz unikn±æ szukania adresów w sieci (tzn. na serwerach DNS albo NIS).
Druga kolumna wyniku polecenia netstat pokazuje gateway, na który wskazuje dany wpis. Je¿eli gateway nie jest u¿ywany, wy¶wietlana jest gwiazdka. Trzecia kolumna pokazuje maskê sieci dla danej trasy. Gdy podamy adres IP, dla którego chcemy znale¼æ odpowiedni± trasê, j±dro przegl±da kolejne wpisy w tablicy rutingu i wykonuje bitowo logiczn± operacjê AND na adresie i masce sieci, porównuj±c adres docelowy z tras±.
Czwarta kolumna zawiera nastêpuj±ce znaczniki opisuj±ce trasê:
G
Trasa przez gateway.
U
Interfejs, który ma byæ u¿yty, jest aktywny.
H
Przez tê trasê mo¿na dostaæ siê tylko do jednego hosta. Na przyk³ad znacznik ten wystêpuje w przypadku wpisu dla pêtli zwrotnej 127.0.0.1.
D
Ta trasa jest tworzona dynamicznie. Znacznik jest ustawiany, je¿eli wpis w tablicy zosta³ stworzony przez demona rutingu, na przyk³ad gated, lub przez komunikat przekierowania ICMP (zobacz podrozdzia³ Internetowy protokó³ komunikatów kontrolnych (ICMP) w rozdziale 2).
M
Ten znacznik jest ustawiony, je¿eli wpis w tablicy zosta³ zmodyfikowany przez komunikat przekierowania ICMP.
!
Ta trasa zosta³a odrzucona i datagramy do niej skierowane bêd± gubione.
Kolejne trzy kolumny pokazuj± MSS, Window i irtt, czyli zmienne dotycz±ce po³±czeñ TCP zrealizowanych w oparciu o dan± trasê. MSS to maksymalny rozmiar segmentu (ang. maximum segment size); jest to rozmiar najwiêkszego datagramu, jaki j±dro mo¿e zbudowaæ i wys³aæ t± tras±. Window to maksymalna liczba danych, jak± system przyjmie jednorazowo ze zdalnego hosta. Skrót irtt pochodzi od s³ów initial round trip time (wstêpny czas przewidywany na transmisjê i potwierdzenie przyjêcia). Protokó³ TCP zapewnia niezawodno¶æ dostarczania danych pomiêdzy hostami, poniewa¿ ponownie wysy³a datagram, je¿eli zostanie on zgubiony. Pilnuje te¿ licznika mierz±cego czas potrzebny na dostarczenie datagramu na drugi koniec i odebranie potwierdzenia. Na podstawie tego licznika wie, po jakim czasie nale¿y dokonaæ ewentualnej ponownej transmisji datagramu. Proces ten jest nazywany czasem przewidywanym na transmisjê i potwierdzenie przyjêcia (ang. round-trip time). Wstêpny czas przewidywany na transmisjê i potwierdzenie przyjêcia to warto¶æ, jakiej protokó³ TCP u¿ywa, kiedy po raz pierwszy realizuje po³±czenie. W wiêkszo¶ci typów sieci domy¶lna warto¶æ jest poprawna, ale w przypadku niektórych wolnych sieci, jak na przyk³ad w pewnych typach sieci amatorskiego radia pakietowego, czas ten jest zbyt krótki i powoduje niepotrzebne retransmisje. Warto¶æ irtt mo¿e byæ ustawiona za pomoc± polecenia route. Warto¶ci zero w tych polach oznaczaj±, ¿e bêdzie u¿ywana warto¶æ domy¶lna.
No i ostatnie pole pokazuje interfejs sieciowy u¿ywany dla danej trasy.
Wy¶wietlanie statystyk interfejsu
Wywo³anie netstat z opcj± -i wy¶wietla statystyki obecnie skonfigurowanych interfejsów sieciowych. Je¿eli zostanie podana równie¿ opcja -a, wy¶wietlane s± wszystkie interfejsy obecne w j±drze, a nie tylko te obecnie skonfigurowane. Na ho¶cie vstout wynik polecenia netstat bêdzie wygl±da³ nastêpuj±co:

# netstat -i
Kernel Interface table
Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flags
lo      0   0 3185       0      0      0  3185      0     0      0   BLRU
eth0 1500   0 972633    17     20    120 628711   217     0      0   BRU

Pola MTU i Met pokazuj± aktualnie ustalone warto¶ci MTU i metryki dla danego interfejsu. Kolumny RX i TX pokazuj±, ile pakietów zosta³o odebranych albo wys³anych bezb³êdnie (RX-OK/TX-OK), albo uszkodzonych (RX-ERR/TX-ERR), ile pakietów zosta³o zgubionych (RX-DRP/TX-DRP) oraz ile zosta³o zgubionych z powodu przeci±¿enia (RX-OVR/TX-OVR).
Ostatnia kolumna pokazuje znaczniki, które zosta³y ustawione dla danego interfejsu. Litery te s± skrócon± wersj± d³ugich nazw znaczników wy¶wietlanych dla konfiguracji interfejsu przez ifconfig:
B
Zosta³ ustawiony adres rozg³oszeniowy.
L
Ten interfejs to urz±dzenie pêtli zwrotnej.
M
Odbierane s± wszystkie pakiety (tryb przechwytywania).
O
ARP dla interfejsu jest wy³±czony.
P
Jest to po³±czenie punkt-punkt.
R
Interfejs dzia³a.
U
Interfejs jest aktywny.
Wy¶wietlanie po³±czeñ
netstat obs³uguje zestaw opcji do wy¶wietlania aktywnych lub pasywnych gniazd. Opcje -t, -u, -w i -x pokazuj± aktywne po³±czenia TCP, UDP, RAW i gniazda Uniksa. Je¿eli ponadto podasz opcjê -a, gniazda oczekuj±ce na po³±czenie (tzn. nas³uchuj±ce) tak¿e zostan± wy¶wietlone. W wyniku zobaczysz listê wszystkich serwerów, które aktualnie dzia³aj± w twoim systemie.
Wywo³anie netstat -ta na ho¶cie vlager da nastêpuj±cy wynik:

$ netstat -ta
Active Internet Connections
Proto Recv-Q Send-Q Local Address   Foreign Address    (State)
tcp        0      0 *:domain        *:*                 LISTEN
tcp        0      0 *:time          *:*                 LISTEN
tcp        0      0 *:smtp          *:*                 LISTEN
tcp        0      0 vlager:smtp     vstout:1040         ESTABLISHED
tcp        0      0 *:telnet        *:*                 LISTEN
tcp        0      0 localhost:1046  vbardolino:telnet   ESTABLISHED
tcp        0      0 *:chargen       *:*                 LISTEN
tcp        0      0 *:daytime       *:*                 LISTEN
tcp        0      0 *:discard       *:*                 LISTEN
tcp        0      0 *:echo          *:*                 LISTEN
tcp        0      0 *:shell         *:*                 LISTEN
tcp        0      0 *:login         *:*                 LISTEN

Widaæ, ¿e wiêkszo¶æ serwerów po prostu oczekuje na nadchodz±ce po³±czenia. Jednak czwarta linia pokazuje przychodz±ce po³±czenie SMTP z hosta vstout, a szósta linia mówi, ¿e istnieje wychodz±ce po³±czenie telnet do hosta vbardolino*.
U¿ycie samej opcji -a wy¶wietli wszystkie gniazda ze wszystkich rodzin.
Sprawdzanie tablic ARP
W pewnych sytuacjach warto obejrzeæ lub zmieniæ zawarto¶æ tablic ARP j±dra. Przydaje siê to, kiedy na przyk³ad podejrzewasz, ¿e zduplikowany adres internetowy jest powodem sporadycznych problemów z sieci±. Narzêdzie arp zosta³o stworzone do u¿ycia w tego typu sytuacjach. Opcje wiersza poleceñ arp s± nastêpuj±ce:

arp [-v] [-t typhw] -a [nazwahosta]
arp [-v] [-t typhw] -s nazwahosta hwadres
arp [-v] -d nazwahosta [nazwahosta...]

Wszystkie argumenty nazwahosta mog± mieæ postaæ symbolicznych nazw hostów lub adresów IP w notacji kropkowej.
Pierwsze wywo³anie wy¶wietla wpis ARP dla podanego adresu IP lub nazwy hosta albo wszystkich hostów, je¿eli nie zostanie podana nazwahosta. Na przyk³ad wywo³anie arp na ho¶cie vlager mo¿e pokazaæ co¶ takiego:

# arp -a
IP address   HW type           HW address
172.16.1.3   10Mbps Ethernet   00:00:C0:5A:42:C1
172.16.1.2   10Mbps Ethernet   00:00:C0:90:B3:42
172.16.2.4   10Mbps Ethernet   00:00:C0:04:69:AA

S± to adresy Ethernet hostów vlager, vstout i vale.
U¿ywaj±c opcji -t, mo¿esz ograniczyæ wy¶wietlanie do zadanego typu karty. Mo¿e to byæ ether, ax25 albo pronet, czyli odpowiednio Ethernet 10 Mb/s, AMPR AX.25 i token ring IEEE 802.5.
Opcja -s jest u¿ywana do dodawania na sta³e w tablicy ARP adresu ethernetowego nazwyhosta. Argument hwadres okre¶la adres sprzêtowy, który domy¶lnie powinien byæ adresem Ethernet podanym w postaci sze¶ciu liczb szesnastkowych oddzielonych dwukropkami. Za pomoc± opcji -t mo¿esz równie¿ ustawiæ adresy sprzêtowe dla innych typów urz±dzeñ.
Zapytania ARP o zdalny host nie udaj± siê czasem z ró¿nych powodów. Na przyk³ad gdy sterownik ARP jest b³êdny lub inny host w sieci b³êdnie identyfikuje siê z adresem IP innego hosta. Problem ten wymaga rêcznego dodania adresu IP do tablicy ARP. Adresy IP na sztywno (rêcznie) wpisane w tablicy ARP s± równie¿ (bardzo drastycznym) zabezpieczeniem przed tymi hostami w twojej sieci, które udaj±, ¿e s± kim innym.
Wywo³anie arp z opcj± -d powoduje usuniêcie wszystkich wpisów ARP dotycz±cych danego hosta. W ten sposób mo¿na wymusiæ na interfejsie ponown± próbê uzyskania adresu Ethernet zwi±zanego z danym adresem IP. Jest to przydatne, gdy b³êdnie skonfigurowany system rozg³osi z³± informacjê ARP (oczywi¶cie musisz najpierw przekonfigurowaæ b³êdny host).
Wspomniana powy¿ej opcja -s mo¿e byæ u¿ywana do implementacji serwera proxy ARP. Jest to specjalna technika, dziêki której host, powiedzmy gate, dzia³a jako gateway dla innego hosta fnord udaj±c, ¿e oba adresy odnosz± siê do tego samego hosta gate. W tym celu rozg³asza wpis ARP dla fnord wskazuj±cy na jego w³asny interfejs Ethernet. Teraz gdy host wy¶le zapytanie ARP o fnord, gate zwróci odpowied¼ zawieraj±c± jego w³asny adres Ethernet. Pytaj±cy host wy¶le wszystkie datagramy do gate, który z kolei pos³usznie przeka¿e je do fnord.
Taki mechanizm mo¿e byæ potrzebny, gdy chcesz siê dostaæ do fnord z komputera DOS-owego z niepoprawn± implementacj± TCP, niezbyt dobrze rozumiej±c± ruting. Gdy u¿yjesz proxy ARP, maszyna DOS-owa bêdzie widzia³a fnord tak, jakby by³ on w lokalnej podsieci, a wiêc nie bêdzie musia³a rutowaæ pakietów przez gateway.
Proxy ARP przydaje siê te¿, gdy jeden z twoich hostów dzia³a tymczasowo jako gateway dla innego hosta, na przyk³ad po³±czonego przez ³±cze komutowane. W jednym z poprzednich przyk³adów spotkali¶my siê z laptopem vlite, który by³ czasem pod³±czony do vlagera przez ³±cze PLIP. Oczywi¶cie protokó³ zadzia³a tylko wtedy, je¿eli adres hosta, dla którego chcesz realizowaæ proxy ARP, znajduje siê w tej samej podsieci IP co gateway. vstout mo¿e pe³niæ rolê proxy ARP dla dowolnego hosta w podsieci browaru (172.16.1.0), ale nie mo¿e dla hostów w podsieci winiarni (172.16.2.0).
Poni¿ej pokazujemy poprawne wywo³anie tworz±ce proxy ARP dla fnord. Oczywi¶cie podany adres Ethernet musi byæ adresem gate'a:

# arp -s fnord 00:00:c0:a1:42:e0 pub

Wpis proxy ARP mo¿e zostaæ usuniêty przez ponowne wywo³anie:

# arp -d fnord


6
Us³ugi nazewnicze
i konfigurowanie
resolvera
Rozdzia³ 6: Us³ugi nazewnicze i konfigurowanie resolvera


Jak powiedzieli¶my w rozdziale 2, Wybrane problemy sieci TCP/IP, w sieci TCP/IP mog± funkcjonowaæ ró¿ne schematy konwersji nazw na adresy. Najprostszym rozwi±zaniem jest tablica hostów zapisana w pliku /etc/hosts. Sprawdza siê ona jedynie w ma³ych sieciach LAN, które s± pod opiek± jednego administratora albo nie obs³uguj± ruchu IP do ¶wiata zewnêtrznego. Format pliku hosts zosta³ ju¿ opisany w rozdziale 5, Konfigurowanie sieci TCP/IP.
Id±c dalej, do zamiany nazw hostów na adresy IP mo¿esz u¿yæ us³ugi z BIND (Berkeley Internet Name Domain Service - internetowe us³ugi nazewnicze domen z Berkeley). Konfigurowanie BIND-a bywa przykre, ale jak ju¿ to zrobisz, ³atwo wprowadzisz ka¿d± zmianê w topologii sieci. W Linuksie, jak i w wielu innych systemach uniksowych, us³ugi nazewnicze s± obs³ugiwane przez program o nazwie named. Przy uruchamianiu ³aduje on zestaw g³ównych plików do swojej pamiêci wewnêtrznej i czeka na zapytania od lokalnych lub zdalnych procesów u¿ytkownika. Istniej± ró¿ne sposoby skonfigurowania BIND-a i nie wszystkie wymagaj± uruchamiania serwera nazw na ka¿dym ho¶cie.
Chcieliby¶my, aby ten rozdzia³ by³ czym¶ wiêcej ni¿ pobie¿nym szkicem na temat DNS-u i obs³ugi serwera nazw. Informacje tu podane powinny wystarczyæ, je¿eli masz ma³± sieæ lokaln± i po³±czenie z Internetem. Naj¶wie¿sze informacje znajdziesz w dokumentacji zamieszczonej w pakiecie ¼ród³owym BIND, który zawiera strony podrêcznika elektronicznego, uwagi do danej wersji oraz Podrêcznik operatora BIND (BIND Operator's Guide - BOG). Nie pozwól, by ta nazwa ciê odstraszy³a. W praktyce jest to bardzo u¿yteczny dokument. Pe³niejszy opis DNS-u i zwi±zanych z nim zagadnieñ mo¿esz znale¼æ w ksi±¿ce DNS and BIND autorstwa Paula Albitza i Cricketa Liu (wyd. pol.: DNS i BIND, Wydawnictwo RM, Warszawa 1999), która stanowi doskona³e ¼ród³o informacji na ten temat. Odpowiedzi na pytania na temat DNS-u mo¿esz znale¼æ w wiadomo¶ciach grupy dyskusyjnej comp.protocols.tcp-ip.domains. Szczegó³y techniczne DNS-u s± zdefiniowane w nastêpuj±cych dokumentach RFC: 1033, 1034 i 1035.
Biblioteka resolvera
Okre¶lenie resolver nie odnosi siê do jakiej¶ szczególnej aplikacji, ale do biblioteki resolvera. Jest to zbiór funkcji, które mo¿na znale¼æ w standardowej bibliotece C. Podstawowe procedury to gethostyname(2) i gethostbyaddr(2), poszukuj±ce adresów IP zwi±zanych z dan± nazw± hosta i odwrotnie. Mog± byæ skonfigurowane tak, aby po prostu szukaæ informacji w pliku hosts, albo zadawaæ zapytania do serwerów nazw DNS, albo te¿ korzystaæ z bazy danych hosts NIS-a.
Funkcje resolvera odczytuj± pliki konfiguracyjne w momencie, gdy s± wywo³ywane. Na ich podstawie ustalaj±, któr± bazê danych zapytaæ i w jakiej kolejno¶ci, oraz dowiaduj± siê innych szczegó³ów na temat konfiguracji ¶rodowiska. Starsza standardowa biblioteka, libc, w Linuksie wykorzystywa³a plik /etc/host.conf jako g³ówny plik konfiguracyjny, ale wersja 2. standardowej biblioteki GNU, glibc, wykorzystuje plik /etc/nsswitch.conf. Opiszemy kolejno ka¿dy z nich, poniewa¿ oba s± powszechnie u¿ywane.
Plik host.conf
Plik /etc/host.conf mówi funkcjom resolvera ze starszej biblioteki standardowej w Linuksie, jakich us³ug u¿ywaæ i w jakiej kolejno¶ci.
Opcje w pliku host.conf trzeba umieszczaæ w oddzielnych wierszach. Pola mog± byæ oddzielone bia³ymi znakami (spacjami lub tabulatorami). Znak hasha (#) oznacza liniê z komentarzem. Dostêpne s± nastêpuj±ce opcje:
order

Ta opcja okre¶la kolejno¶æ, w jakiej wypróbowane s± us³ugi. Dopuszczalne opcje to: bind dla zapytañ serwera nazw, hosts dla sprawdzania pliku /etc/hosts i nis dla zapytañ NIS. Mo¿na podaæ jedn± opcjê lub wszystkie. Kolejno¶æ przepytywania (sprawdzania) us³ug zale¿y od uporz±dkowania opcji w wierszu.
multi

multi mo¿e posiadaæ opcje on lub off. Okre¶la, czy host wpisany do pliku /etc/hosts mo¿e mieæ kilka adresów IP. Domy¶lna warto¶æ to off. Znacznik nie ma wp³ywu na zapytania do DNS-u czy NIS-a.
nospoof

Jak wyja¶nimy dalej w podrozdziale Wyszukiwanie odwrotne, DNS pozwala na znalezienie nazwy hosta zwi±zanej z danym adresem IP za pomoc± domeny in-addr.arpa. Próbê dostarczenia przez serwery nazw fa³szywej nazwy hosta nazywa siê spoofingiem. Aby siê przed tym obroniæ, resolver mo¿na skonfigurowaæ tak, ¿eby sprawdza³, czy oryginalny adres IP faktycznie jest zwi±zany z uzyskan± nazw± hosta. Je¿eli nie, nazwa jest odrzucana i zwracany jest b³±d. Zachowanie to jest w³±czane przez ustawienie nospoof.

alert

Ta opcja przyjmuje parametry on lub off. Je¿eli jest w³±czona, próby spoofingu skoñcz± siê tym, ¿e resolver zapisze komunikat za pomoc± funkcji syslog.
trim

Jako argument tej opcji wystêpuje nazwa domeny, usuniêtej z nazw hostów przed rozpoczêciem wyszukiwania. Jest to przydatne dla wpisów w pliku hosts, w których chcesz podawaæ same nazwy hosta, bez lokalnej domeny. Je¿eli podasz swoj± domenê lokaln±, zostanie ona usuniêta przy poszukiwaniu hosta z dodan± nazw± domeny lokalnej, co pozwala na poprawne wyszukiwanie w pliku /etc/hosts. Nazwa domeny, któr± podajesz, musi koñczyæ siê kropk± (na przyk³ad linux.org.au.), je¿eli trim ma dzia³aæ poprawnie.
Opcje trim ³±cz± siê ze sob±. Mo¿esz sprawiæ, ¿e twój host bêdzie uznawany za lokalny w kilku domenach.
W przyk³adzie 6-1 pokazano plik host.conf dla hosta vlager.
Przyk³ad 6-1. Przyk³adowy plik host.conf
# /etc/host.conf
# named dzia³a, ale nie mamy NIS-a (jeszcze)
order   bind,hosts
# Pozwalamy na wielokrotne adresy
multi   on
# Zabezpieczamy siê przed próbami spoofingu
nospoof on
# obcinamy domenê lokaln± (nie jest to naprawdê niezbêdne).
trim    vrew.com.
Zmienne ¶rodowiskowe resolvera
Ustawienia w pliku host.conf mog± byæ zmienione za pomoc± szeregu zmiennych ¶rodowiskowych:
RESOLV_HOST_CONF

Ta zmienna okre¶la, jaki plik ma byæ czytany zamiast /etc/host.conf.
RESOLV_SERV_ORDER

Ta zmienna uniewa¿nia opcjê order zawart± w pliku host.conf. Us³ugi s± podawane jako hosts, bind  i nis, oddzielone spacjami, przecinkami, dwukropkami lub ¶rednikami.
RESOLV_SPOOF_CHECK

Ta zmienna okre¶la stopieñ ochrony przed spoofingiem. Podanie off wy³±cza tê opcjê. Warto¶ci warn i warn off w³±czaj± sprawdzanie spoofingu, odpowiednio, przez w³±czenie i wy³±cznie logowania. Warto¶æ* w³±cza sprawdzanie spoofingu, ale pozostawia funkcjê logowania zgodnie z tym, co jest zdefiniowane w pliku host.conf.
RESOLV_MULTI 

Ta zmienna pozwala na podanie warto¶ci on lub off i uniewa¿nia opcjê multi z pliku host.conf.

RESOLV_OVERRIDE_TRIM_DOMAINS

Ta zmienna okre¶la listê domen, które maj± byæ obcinane, i uniewa¿nia te podane w pliku host.conf. Obcinanie domen omówili¶my wcze¶niej, przy opisie s³owa kluczowego trim.
RESOLV_ADD_TRIM_DOMAINS

Ta zmienna okre¶la listê obcinanych domen, dodawan± do listy podanej w pliku host.conf.
Plik nsswitch.conf
Wersja 2. standardowej biblioteki GNU oferuje wydajniejszy i bardziej elastyczny mechanizm, który zastêpuje starszy plik host.conf. Pojêcie us³ugi nazewniczej zosta³o rozszerzone tak, ¿e obecnie jej plik zawiera wiele ró¿nych informacji. Opcje konfiguracyjne dla ró¿nych funkcji zadaj±cych zapytania do jej baz danych zosta³y z powrotem umieszczone w jednym pliku konfiguracyjnym o nazwie nsswitch.conf.
Plik nsswitch.conf pozwala administratorowi systemu skonfigurowaæ szereg ró¿nych baz danych. Ograniczymy omówienie do opcji zwi±zanych z rozwi±zywaniem adresów IP hostów i sieci. Wiêcej informacji na temat innych funkcji mo¿esz znale¼æ w dokumentacji standardowej biblioteki GNU.
Opcje w pliku nsswitch.conf musz± wystêpowaæ w oddzielnych wierszach. Pola mog± byæ oddzielone bia³ymi znakami (spacjami lub tabulatorami). Znak hasha (#) oznacza komentarz, który ci±gnie siê do nastêpnego wiersza. Ka¿dy wiersz opisuje okre¶lon± us³ugê - jedn± z nich jest rozwi±zywanie nazwy hosta. Pierwsze pole w ka¿dym wierszu to nazwa bazy danych koñcz±ca siê dwukropkiem. Nazwa bazy zwi±zanej z rozwi±zywaniem adresów hostów to hosts. Inna, zwi±zana z us³ug± nazewnicz± baza to networks; s³u¿y do zamiany nazw sieci na ich adresy. Pozosta³a czê¶æ ka¿dego wiersza zawiera opcje okre¶laj±ce sposób wyszukiwania w bazie danych.
Dostêpne s± nastêpuj±ce opcje:
dns

U¿ycie systemu nazw domen (DNS) do rozwi±zywania adresów. Ma to sens jedynie przy rozwi±zywaniu adresów hostów, a nie sieci. Mechanizm ten wykorzystuje plik /etc/resolv.conf, opisany w dalszej czê¶ci tego rozdzia³u.
files

Przeszukiwanie pliku lokalnego w poszukiwaniu nazwy hosta lub sieci i odpowiadaj±cych im adresów. Ta opcja wykorzystuje tradycyjne pliki /etc/hosts i /etc/ networks.
nis lub nisplus

U¿ycie systemu informacji sieciowej (NIS) do rozwi±zywania adresów hostów lub sieci. NIS i NIS+ zosta³y szczegó³owo omówione w rodziale 13, System informacji sieciowej.
Kolejno¶æ, w jakiej s± podane, decyduje o porz±dku zadawania zapytañ o rozwi±zanie nazwy. Lista kolejno¶ci zapytañ znajduje siê w opisie us³ugi umieszczonym w pliku /etc/nsswitch.conf. Us³ugi s± zapytywane od lewej do prawej. Domy¶lnie poszukiwanie koñczy siê, gdy rozwi±zanie nazwy siê powiedzie.
W przyk³adzie 6-2 pokazujemy prosty plik, na¶laduj±cy nasz± konfiguracjê wykorzystuj±c± starsz± bibliotekê standardow± libc.
Przyk³ad 6-2.?Przyk³adowy plik nsswitch.conf
# /etc/nsswitch.conf
#
# Przyk³adowa konfiguracja funkcjonalno¶ci GNU Name Service Switch.
# Informacje o tym pliku s± dostêpne w pakiecie 'libc6-doc'.

hosts:         dns files
networks:      files

Zapis taki jak w powy¿szym przyk³adzie oznacza, ¿e system poszukuje hostów najpierw przez system nazw domen, a nastêpnie, je¿eli to siê nie uda, w pliku /etc/hosts. Poszukiwanie nazw sieci bêdzie realizowane tylko w oparciu o plik /etc/networks.
Mo¿esz bardziej precyzyjnie sterowaæ poszukiwaniami, je¶li skorzystasz z "elementów dzia³ania". Podpowiadaj± one kolejne kroki na podstawie wyników uzyskanych w poprzedniej próbie wyszukiwania. Elementy dzia³ania znajduj± siê pomiêdzy specyfikacjami us³ug i s± otoczone nawiasami kwadratowymi []. Ogólna sk³adnia dyrektywy dzia³ania jest nastêpuj±ca:

[ [!] status = dzia³anie ... ]

Istniej± dwa mo¿liwe dzia³ania:
return

Powoduje powrót do programu, który próbowa³ rozwi±zaæ nazwê. Je¿eli próba wyszukiwania siê powiod³a, resolver zwróci szczegó³owe informacje, a w przeciwnym razie zwróci zero.
continue

Resolver przejdzie do kolejnej us³ugi na li¶cie i spróbuje za jej pomoc± znale¼æ nazwê.
Opcjonalny znak wykrzyknika (!) mówi, ¿e status powinien byæ odwrócony przed wykonaniem testu, czyli oznacza "nie".
Dopuszczalne warto¶ci statusu, na których mo¿emy operowaæ to:
success

¯±dany adres zosta³ znaleziony bez b³êdu. Domy¶lne dzia³anie dla tego statusu to return.
notfound

W wyszukiwaniu nie wyst±pi³ b³±d, ale poszukiwany host lub sieæ nie mog± byæ znalezione. Domy¶lne dzia³anie dla tego statusu to continue.
unavail

Us³uga, do której zosta³o zadane zapytanie, jest niedostêpna. Mo¿e to oznaczaæ, ¿e plik hosts lub networks jest nieczytelny dla us³ugi files lub ¿e serwer nazw albo serwer NIS nie odpowiadaj± na us³ugê dns lub nis. Domy¶lne dzia³anie dla tego statusu to continue.
tryagain

Ten status mówi, ¿e us³uga jest tymczasowo niedostêpna. W przypadku us³ugi files zwykle oznacza to, ¿e dany plik jest zablokowany przez inny proces. W przypadku innych us³ug mo¿e to oznaczaæ tymczasow± niemo¿no¶æ przyjêcia po³±czenia. Domy¶lne dzia³anie dla tego statusu to continue.
Prost± ilustracjê wykorzystania tego mechanizmu stanowi przyk³ad 6-3.
Przyk³ad 6-3.?Przyk³adowy plik nsswitch.conf wykorzystuj±cy dyrektywê dzia³ania
# /etc/nsswitch.conf
#
# Przyk³adowa konfiguracja funkcjonalno¶ci GNU Name Service Switch.
# Informacje o tym pliku s± dostêpne w pakiecie 'libc6-doc'.

hosts:         dns [!UNAVAIL=return] files
networks:      files

W tym przyk³adzie próbujemy znale¼æ nazwê hosta za pomoc± systemu us³ug nazewniczych domen. Je¿eli tylko zwrócony status nie oznacza niedostêpno¶ci, resolver zwraca to, co znalaz³. Je¿eli próba zapytania DNS zwróci³a status niedostêpno¶ci (wy³±cznie w tym przypadku), resolver próbuje u¿yæ lokalnego pliku /etc/hosts. Oznacza to, ¿e powinni¶my u¿yæ pliku hosts tylko wtedy, gdy nasz serwer nazw z jakiego¶ powodu jest niedostêpny.
Konfigurowanie poszukiwania przez serwer nazw za pomoc± pliku resolv.conf
Gdy konfigurujesz bibliotekê resolvera do korzystania z us³ugi nazewniczej BIND przy rozwi±zywaniu nazw, musisz tak¿e wskazaæ serwery nazw, które maj± byæ u¿ywane. Do tego celu s³u¿y oddzielny plik resolv.conf. Je¿eli plik ten nie istnieje lub jest pusty, resolver zak³ada, ¿e serwer nazw znajduje siê na twoim ho¶cie lokalnym.
Aby uruchomiæ serwer nazw na ho¶cie lokalnym, musisz go oddzielnie skonfigurowaæ, co wyja¶niamy w kolejnym podrozdziale. Je¿eli pracujesz w sieci lokalnej i masz mo¿liwo¶æ wykorzystania istniej±cego serwera nazw, nie omieszkaj tak zrobiæ. Je¿eli u¿ywasz komutowanego po³±czenia IP z Internetem, w pliku resolv.conf zwykle podajesz serwer nazw twojego dostawcy Internetu.
Najwa¿niejsz± opcj± w pliku resolv.conf jest name server, zawieraj±ca adres tego serwera nazw, który ma byæ u¿ywany. Je¿eli podasz kilka serwerów nazw, wpisuj±c kilkukrotnie opcjê name server, bêd± one sprawdzane w zadanej kolejno¶ci. W zwi±zku z tym najbardziej niezawodne serwery powiniene¶ umieszczaæ na pocz±tku. Bie¿±ca implementacja pozwala ci na umieszczenie w pliku resolv.conf trzech dyrektyw name server. Je¿eli nie zostanie podana opcja name server, resolver podejmie próbê po³±czenia z serwerem nazw na ho¶cie lokalnym.
Dwie pozosta³e opcje to domain i search, pozwalaj±ce na stosowanie skróconych nazw hostów w domenie lokalnej. Zwykle je¶li ³±czysz siê za pomoc± telnetu z innym hostem w domenie lokalnej, nie musisz wpisywaæ pe³nej nazwy. Wystarczy podaæ tylko nazwê krótk± typu gauss. Resolver skojarzy j± z pozosta³± czê¶ci± nazwy: mathematics.groucho.edu.
Tak w³a¶nie dzia³a dyrektywa domain. Pozwala podaæ domy¶ln± nazwê domeny, która ma byæ dodawana, gdy DNS nie znajdzie nazwy hosta. Na przyk³ad, gdy podamy nazwê gauss, resolver nie znajdzie jej w DNS-ie, poniewa¿ nie ma takiej domeny podstawowej. Gdy jako domenê domy¶ln± wska¿emy mathematics.groucho.edu, resolver powtórzy zapytanie o gauss. Tym razem wyszukiwanie siê powiedzie.
Pewnie ci siê to podoba, ale kiedy wyjdziesz poza domenê wydzia³u matematyki, musisz powróciæ do pe³nych nazw domen. Oczywi¶cie chcia³by¶ mieæ równie¿ skróty, takie jak quark.physics dla hostów z domeny wydzia³u fizyki.
Tu z pomoc± przychodzi lista przeszukiwania. Mo¿na j± podaæ za pomoc± opcji search, która jest uogólnieniem dyrektywy domain. Ta druga umo¿liwia wprowadzenie pojedynczej domeny domy¶lnej, natomiast ta pierwsza pozwala na podanie listy domen, które bêd± po kolei sprawdzane, a¿ poszukiwanie zakoñczy siê powodzeniem. Elementy listy musz± byæ oddzielone spacjami lub tabulatorami.
Dyrektywy search i domain wzajemnie siê wykluczaj± i nie mog± pojawiæ siê w pliku wiêcej ni¿ raz. Je¿eli zostanie podana która¶ z opcji, resolver bêdzie próbowa³ odgadn±æ domy¶ln± domenê na podstawie nazwy lokalnego hosta za pomoc± wywo³ania systemowego getdomainname(2). Je¿eli nazwa hosta lokalnego nie zawiera nazwy domeny, przyjmowana jest domena g³ówna (ang. root domain).
Je¿eli zdecydujesz siê umie¶ciæ dyrektywê search w pliku resolv.conf, powiniene¶ uwa¿aæ na to, jakie domeny dodajesz do listy. Biblioteki resolvera wcze¶niejsze ni¿ BIND 4.9 tworzy³y domy¶ln± listê przeszukiwania na podstawie nazwy domeny, je¿eli lista nie zosta³a podana. Domy¶lna lista sk³ada³a siê z samej domeny domy¶lnej oraz wszystkich jej domen nadrzêdnych, a¿ do domeny g³ównej. Powodowa³o to pewne problemy, poniewa¿ zapytania DNS koñczy³y siê na serwerach nazw, do których nigdy nie powinny dotrzeæ.
Za³ó¿my, ¿e jeste¶ w browarze wirtualnym i chcesz zalogowaæ siê do foot.groucho.edu. Przypu¶æmy, ¿e omskn±³ ci siê palec i wpisa³e¶ foo zamiast foot, czyli poda³e¶ nazwê hosta, która nie istnieje. Serwer nazw GMU powie ci, ¿e nie zna takiego hosta. W przypadku listy poszukiwañ starego typu, resolver próbowa³by do³±czaæ do nazwy hosta nazwy vbrew.com i com. Ta ostatnia nazwa mo¿e byæ problematyczna, poniewa¿ domena groucho.edu.com mo¿e istnieæ naprawdê. Co wiêcej, byæ mo¿e w tej domenie serwer znajdzie jakiego¶ hosta foo i wska¿e nie na to, co potrzeba.
Takie fa³szywe wyniki poszukiwañ mog± zagra¿aæ systemowi bezpieczeñstwa niektórych aplikacji. Dlatego zwykle powiniene¶ zawê¿aæ domeny na twojej li¶cie poszukiwañ do swojej lokalnej organizacji lub czego¶ w tym rodzaju. Na wydziale matematyki uniwersytetu Groucho Marx lista poszukiwañ powinna byæ skonfigurowana na maths.groucho.edu i groucho.edu.

Je¿eli zrozumienie domy¶lnych domen sprawia ci k³opot, przyjrzyj siê poni¿szemu przyk³adowi pliku resolv.conf dla wirtualnego browaru:

# /etc/resolv.conf
# Nasza domena
domain       vbrew.com
#
# Jako g³ównego serwera nazw u¿ywamy vlager
name server 172.16.1.1

Przy rozwi±zywaniu nazwy vale, resolverowi nie uda siê znale¼æ vale, ale znajdzie vale.vbrew.com.
Si³a resolvera
Je¿eli obs³ugujesz sieæ lokaln± w obrêbie du¿ej sieci, zdecydowanie powiniene¶ korzystaæ z g³ównych serwerów nazw, je¿eli takie s± dostêpne. Serwery nazw maj± obszern± pamiêæ podrêczn±, która przyspiesza odpowiedzi na powtórne zapytania, a wszystkie zapytania s± kierowane w³a¶nie do tych serwerów. Jednak ten model ma jedn± wadê: gdyby ogieñ zniszczy³ kabel szkieletu na uniwersytecie Olafa, nie mo¿na by³oby pracowaæ w wydzia³owej sieci LAN, poniewa¿ resolver nie móg³by siê skomunikowaæ z ¿adnym z serwerów nazw. Taka sytuacja powoduje trudno¶ci z wiêkszo¶ci± us³ug sieciowych, takich jak logowanie siê z X terminali czy drukowanie.
Choæ niezbyt czêsto zdarza siê, ¿e sieci szkieletowe campusu p³on±, to warto zabezpieczyæ siê przed takim wypadkiem.
Jednym z rozwi±zañ jest skonfigurowanie lokalnego serwera nazw, który rozwi±zuje nazwy z domeny lokalnej i przekazuje wszystkie zapytania o inne hosty do g³ównych serwerów. Oczywi¶cie ma to sens jedynie wtedy, gdy posiadasz w³asn± domenê.
Alternatyw± mo¿e byæ utrzymywanie zapasowej listy hostów dla twojej domeny czy sieci lokalnej w pliku /etc/hosts. Mo¿na to zrobiæ bardzo ³atwo. Po prostu konfigurujemy bibliotekê resolvera tak, aby w pierwszej kolejno¶ci zadawa³a zapytania do DNS-u, a nastêpnie sprawdza³a plik hostów. W pliku /etc/host.conf powiniene¶ wpisaæ: order bind hosts, a w pliku /etc/nsswitch.conf: hosts: dns files. W ten sposób resolver wykorzysta plik hostów, je¿eli g³ówny serwer nazw bêdzie nieosi±galny.
Jak dzia³a DNS
DNS porz±dkuje nazwy hostów w hierarchii domen. Domena to zbiór o¶rodków maszyn, które s± jako¶ powi±zane ze sob±. Na przyk³ad tworz± sieæ (tak jak wszystkie maszyny w campusie lub wszystkie hosty sieci BITNET), lub nale¿± do pewnej organizacji (np. rz±du Stanów Zjednoczonych), lub le¿± blisko siebie. Na przyk³ad uniwersytety s± zwykle grupowane w domenie edu, a ka¿dy uniwersytet czy college u¿ywa oddzielnej poddomeny, w której s± zebrane jego hosty. Uniwersytet Groucho Marx posiada domenê groucho.edu, natomiast sieæ lokalna wydzia³u matematyki znajduje siê w poddomenie maths.groucho.edu. W nazwach hostów z sieci wydzia³u powinny znajdowaæ siê domeny, a wiêc erdos bêdzie znany jako erdos. maths.groucho.edu. Taka nazwa to pe³na nazwa domenowa zwykle identyfikuj±ca dany host w skali ¶wiata.
Rysunek 6-1 pokazuje podzia³ przestrzeni nazw. Wpis u góry drzewa, po prostu kropka, jest nazywany domen± g³ówn± (ang. root domain) i obejmuje wszystkie pozosta³e domeny. Aby pokazaæ, ¿e nazwa hosta jest pe³n± nazw± domenow±, a nie nazw± wzglêdn± dla jakiej¶ (ukrytej) domeny lokalnej, czasem jest ona pisana z kropk± na koñcu. Kropka ta oznacza, ¿e ostatnim cz³onem nazwy jest domena g³ówna.
W zale¿no¶ci od po³o¿enia nazwy w hierarchii, domena mo¿e byæ nazywana domen± najwy¿szego poziomu, drugiego poziomu lub trzeciego poziomu. Poziomów jest jeszcze wiêcej, ale rzadko s± u¿ywane. Poni¿sza lista pokazuje te kilka domen najwy¿szego poziomu, z którymi czêsto siê mo¿esz spotkaæ:
Domena	Opis
edu	(G³ównie w USA) Instytucje edukacyjne, na przyk³ad uniwersytety.
com	Organizacje i firmy komercyjne.
org	Organizacje niekomercyjne. Prywatne sieci UUCP czêsto nale¿± do tej domeny.
net	Gatewaye i inne hosty administracyjne w sieci.
mil	Amerykañskie instytucje wojskowe.
gov	Amerykañskie instytucje rz±dowe.
uucp	Oficjalnie, wszystkie nazwy wcze¶niej u¿ywane jako nazwy UUCP bez domen
	zosta³y przeniesione do tej domeny.
Historycznie pierwsze cztery domeny by³y przypisane Stanom Zjednoczonym, ale ostatnio w praktyce nazewniczej k³adzie siê nacisk na globalny charakter tych domen, równie¿ w znaczeniu terytorialnym, bo przecie¿ s± domenami globalnymi najwy¿szego rzêdu (ang. global Top Level Domains - gTLD). Prowadzone s± negocjacje na temat rozszerzenia zakresu gTLD, co mo¿e zaowocuje wiêkszymi mo¿liwo¶ciami wyboru w przysz³o¶ci.
Poza Stanami Zjednoczonymi, ka¿dy kraj u¿ywa domeny najwy¿szego poziomu w postaci w³asnego dwuliterowego kodu kraju zdefiniowanego w normie ISO-3166. Na przyk³ad Finlandia u¿ywa domeny fi; fr to domena dla Francji, de dla Niemiec, za¶ au dla Australii. Na pozosta³ych poziomach hierarchii (tych poni¿ej domeny najwy¿szego poziomu), organizacja NIC ka¿dego kraju mo¿e porz±dkowaæ nazwy hostów dowolnie. Australia posiada domeny drugiego poziomu podobne do miêdzynarodowych domen najwy¿szego poziomu, czyli com.au i edu.au. Inne kraje, na przyk³ad Niemcy, nie wykorzystuj± tego dodatkowego poziomu, a raczej wyd³u¿aj± nazwê odnosz±c± siê bezpo¶rednio do firmy, z któr± jest zwi±zana dana domena. Nie jest niczym niezwyk³ym spotkanie domeny ftp.informatik.uni-enlargen.de. Ale to ju¿ sprawa Niemców.


Rysunek 6-1. Fragment przestrzeni nazw domen
http://www.rm.com.pl/upgr/lpas/06-01.tif

Oczywi¶cie takie domeny narodowe nie oznaczaj±, ¿e host w danej domenie znajduje siê fizycznie w danym kraju - oznacza to jedynie, ¿e host zosta³ zarejestrowany w organizacji NIC danego kraju. Na przyk³ad za³ó¿my, ¿e szwedzki przemys³owiec ma filiê swojej firmy w Australii, ale wszystkie hosty pracuj±ce w tej filii mog± byæ zarejestrowane w domenie najwy¿szego poziomu se.
Uporz±dkowanie przestrzeni nazw w hierarchii nazw domen to eleganckie rozwi±zanie problemu niepowtarzalno¶ci nazw. W DNS-ie wystarczy, ¿e nazwa hosta bêdzie unikatowa we w³asnej domenie, a pozostanie taka na ca³ym ¶wiecie. Co wiêcej, pe³ne nazwy domenowe s± ³atwe do zapamiêtania. Ju¿ te kilka faktów przemawia za podzia³em du¿ej domeny na kilka domen podrzêdnych.
DNS daje ci jeszcze wiêcej mo¿liwo¶ci. Pozwala tak¿e na przekazywanie w³adzy nad poddomenami ich administratorom. Na przyk³ad osoby obs³uguj±ce centrum komputerowe uniwersytetu Groucho Max mog± stworzyæ poddomenê dla ka¿dego wydzia³u. Ju¿ spotkali¶my poddomeny math i physics. Kiedy stwierdz±, ¿e sieæ na wydziale fizyki jest zbyt du¿a i trudno ni± zarz±dzaæ z zewn±trz (w koñcu wiadomo, ¿e fizycy to niesforna grupa ludzi), mog± po prostu przekazaæ kontrolê nad domen± physics.groucho.edu administratorom tej sieci. Administratorzy bêd± mieli prawo nazywaæ hosty, jak chc±, i przypisywaæ adresy IP z ich sieci w dowolnie wybrany przez siebie sposób, bez konieczno¶ci uwzglêdniania jakichkolwiek sugestii z zewn±trz.

W tym celu przestrzeñ nazw jest podzielona na strefy (ang. zones) oparte na domenach. Zwróæ uwagê na subteln± ró¿nicê pomiêdzy stref± a domen±: domena groucho.edu zawiera wszystkie hosty z uniwersytetu Groucho Marx, natomiast strefa groucho.edu zawiera jedynie hosty zarz±dzane bezpo¶rednio przez centrum komputerowe - na przyk³ad te na wydziale matematyki. Hosty na wydziale fizyki nale¿± do innej strefy, a mianowicie physics.groucho.edu. Na rysunku 6-1 pocz±tek strefy jest zaznaczony ma³ym kó³kiem przy nazwie domeny.
Poszukiwanie nazw w DNS-ie
Na pierwszy rzut oka wydaje siê, ¿e ca³y ten podzia³ na domeny i strefy bardzo komplikuje rozwi±zywanie nazw. W zasadzie, je¿eli ¿adna w³adza centralna nie kontroluje przypisywania nazw hostom, to sk±d ma je znaæ skromna aplikacja?
Teraz przejd¼my do naprawdê pomys³owej czê¶ci DNS-u. Gdyby¶ chcia³ znale¼æ adres IP hosta erdos, DNS powiedzia³by: "Id¼, zapytaj ludzi, którzy go obs³uguj±, a oni ci powiedz±".
W rzeczywisto¶ci DNS to gigantyczna rozproszona baza danych. Jest zaimplementowana w postaci tak zwanych serwerów nazw, które dostarczaj± informacji o zadanej domenie lub zestawie domen. Ka¿da strefa ma przynajmniej dwa (lub kilka) serwerów nazw, które s± ¼ród³em wszelkich informacji o hostach z tej strefy. Aby uzyskaæ adres IP erdosa, wystarczy skontaktowaæ siê z serwerem nazw w strefie groucho.edu, a on zwróci ci wymagane dane.
Mo¿esz pomy¶leæ: ³atwo siê mówi, ale trudniej to zrobiæ. Sk±d mam wiedzieæ, jak znale¼æ serwer nazw uniwersytetu Groucho? Je¿eli twój komputer nie jest wyposa¿ony w wyroczniê, znajduj±c± adresy, mo¿e za ni± pos³u¿yæ tak¿e DNS. Gdy twoja aplikacja chce znale¼æ informacje o erdosie, kontaktuje siê z lokalnym serwerem nazw, który na jej rzecz wykonuje tak zwane zapytania iteracyjne. Rozpoczyna od wysy³ania zapytania o adres erdos.maths.groucho.edu do serwera nazw domeny g³ównej. Serwer nazw domeny g³ównej rozpoznaje, ¿e nazwa nie nale¿y do strefy bêd±cej w jego w³adzy, ale nale¿y do domeny edu. Odpowiada naszemu serwerowi nazw, ¿eby w celu uzyskania dok³adniejszych informacji, skontaktowa³ siê z serwerem nazw strefy edu, i wysy³a listê wszystkich serwerów nazw edu wraz z ich adresami. Twój lokalny serwer nazw dzia³a dalej i wysy³a zapytanie do jednego z poleconych serwerów, na przyk³ad a.isi.edu. Podobnie jak serwer nazw domeny g³ównej, tak i a.isi.edu wie, ¿e ludzie z grouche.edu maj± w³asn± strefê i wskazuje ich serwery. Lokalny serwer nazw nastêpnie kieruje zapytanie o erdosa do jednego z nich, który z kolei ostatecznie identyfikuje nazwê jako nale¿±c± do jego strefy i zwraca odpowiadaj±cy jej adres IP.
Wygl±da na to, ¿e aby znale¼æ jeden marny adres IP, trzeba wygenerowaæ spory ruch, ale to i tak nic w porównaniu z liczb± danych, jaka musia³aby byæ przesy³ana, gdyby¶my wci±¿ korzystali z pliku HOSTS.TXT. Schemat ten jednak daje siê udoskonaliæ.
Aby skróciæ czas odpowiedzi na przysz³e zapytania, serwer nazw zapisuje uzyskane informacje w lokalnej pamiêci podrêcznej. Tak wiêc, je¿eli kto¶ z twojej sieci lokalnej bêdzie chcia³ znowu znale¼æ adres hosta w domenie groucho.edu, twój serwer nazw skontaktuje siê bezpo¶rednio z serwerem nazw w tej domenie*. 
Oczywi¶cie serwer nazw nie bêdzie przechowywa³ tej informacji wiecznie. Po jakim¶ czasie j± usunie. Czas jej przechowywania jest nazywany czasem ¿ycia (ang. time to live), w skrócie TTL. Wszystkim danym w DNS-ie administrator danej strefy przypisuje TTL.
Typy serwerów nazw
Serwery nazw, które przechowuj± wszystkie informacje o hostach z danej strefy, s± nazywane autorytatywnymi (ang. authoritative servers) dla tej strefy, a czasami g³ównymi serwerami nazw (ang. master name servers). Wszelkie zapytania o hosta w danej strefie docieraj± w koñcu do serwerów g³ównych.
Serwery g³ówne musz± byæ doskonale zsynchronizowane. Tak wiêc administrator strefy musi stworzyæ jeden serwer podstawowy (ang. primary), który ³aduje informacje o strefie z plików z danymi, i serwery zapasowe (ang. secondary), które przesy³aj± dane o strefie z serwera podstawowego w równych odstêpach czasu.
Dobrze jest mieæ kilka serwerów nazw, gdy¿ mo¿na równomiernie roz³o¿yæ obci±¿enie i zagwarantowaæ lepsz± niezawodno¶æ. Gdy jedna z maszyn, na której dzia³a serwer nazw w ³agodny sposób przestanie dzia³aæ, na przyk³ad system operacyjny ulegnie awarii lub straci po³±czenie z sieci±, wszystkie zapytania bêd± kierowane do innych serwerów. Oczywi¶cie taki schemat nie zabezpiecza przed pomy³kami (wynikaj±cymi z b³êdów w oprogramowaniu lub w samym programie serwera), które powoduj± b³êdne odpowiedzi na wszystkie zapytania DNS.
Mo¿esz tak¿e uruchomiæ serwer nazw, który nie jest autorytatywny dla danej domeny**. Jest to przydatne, gdy¿ taki serwer bêdzie w stanie realizowaæ zapytania DNS dla aplikacji dzia³aj±cych w sieci lokalnej i zatrzyma informacje w pamiêci podrêcznej. St±d serwery takie s± nazywane serwerami pamiêci podrêcznej (ang. caching-only servers).
Baza danych DNS
Widzieli¶my, ¿e DNS nie tylko podaje adresy IP hostów, ale tak¿e wymienia informacje na temat serwerów nazw. Bazy danych DNS mog± mieæ w praktyce wiele ró¿nych typów wpisów.
Pojedyncza porcja informacji z bazy DNS nazywa siê rekordem zasobu (ang. resource record - RR). Ka¿dy rekord przynale¿y do jakiego¶ typu i klasy rekordów. Typ opisuje rodzaj danych reprezentowanych w rekordzie. Natomiast klasa okre¶la rodzaj sieci, jakiej dotyczy. Klasa s³u¿y do obs³ugi ró¿nych schematów adresowania, jak adresy IP (klasa IN), adresy Hesiod (u¿ywane przez system Kerberos MIT) i kilka innych. Prototypowym rekordem zasobu jest rekord A wi±¿±cy pe³n± nazwê domenow± z adresem IP.
Host mo¿e byæ znany pod wiêcej ni¿ jedn± nazw±. Na przyk³ad mo¿esz mieæ komputer, który posiada serwery FTP i WWW dostêpne pod dwoma nazwami: ftp.machine.org i www.machine.org. Jednak jedna z tych nazw musi byæ oficjaln± lub kanoniczn± nazw± hosta, natomiast pozosta³e s± po prostu jej aliasami. Ró¿nica polega na tym, ¿e kanoniczna nazwa hosta jest zwi±zana z rekordem A, natomiast pozosta³e maj± jedynie rekord typu CNAME, wskazuj±cy na nazwê kanoniczn±.
Nie bêdziemy tu przedstawiaæ wszystkich typów rekordów, ale podamy krótki przyk³ad. Przyk³ad 6-4 pokazuje czê¶æ bazy danych domeny, która jest ³adowana do serwerów nazw dla strefy physics.groucho.edu.
Przyk³ad 6-4. Fragment pliku named.hosts wydzia³u fizyki
; Authoritative Information on physics.groucho.edu.
@  IN SOA niels.physics.groucho.edu. janet.niels.physics.groucho.edu {
                 1999090200        ; numer wersji
                 360000            ; od¶wie¿anie
                 3600              ; ponowna próba
                 3600000           ; wyga¶niêcie
                 3600              ; domy¶lny ttl
                }
;
; serwery nazw
              IN   NS   niels
              IN   NS   gauss.maths.groucho.edu.
gauss.maths.groucho.edu. IN A 149.76.4.23
;
; fizyka teoretyczna (podsieæ 12)
niels         IN   A   149.76.12.1
              IN   A   149.76.1.12
name server   IN CNAME   niels
otto          IN   A   149.76.12.2
quark         IN   A   149.76.12.4
down          IN   A   149.76.12.5
strange       IN   A   149.76.12.6
...
; Laboratorium Collider (podsieæ 14)
boson         IN   A   149.76.14.1
muon          IN   A   149.76.14.7
bogon         IN   A   149.76.14.12
...

Poza rekordami A i CNAME, mo¿esz zobaczyæ na pocz±tku pliku specjalny rekord zajmuj±cy kilka wierszy. Jest to rekord zasobów SOA (lub krócej: rekord SOA); SOA to skrót od angielskiego start of authority - pocz±tek w³adzy). Rekord ten zawiera ogólne informacje o strefie, dla której serwer jest autorytatywny i sk³ada siê miêdzy innymi z domy¶lnego czasu ¿ycia odnosz±cego siê do wszystkich rekordów.
Zauwa¿, ¿e wszystkie nazwy w pliku przyk³adowym, które nie koñcz± siê kropk±, powinny byæ interpretowane wzglêdem domeny physics.groucho.edu. Nazwa specjalna (@) u¿yta w przyk³adowym rekordzie SOA odnosi siê do samej nazwy domeny.
Wcze¶niej zauwa¿yli¶my, ¿e serwery nazw domeny groucho.edu sk±d¶ wiedz± o strefie physics, tak ¿e mog± zadawaæ pytania do jej serwerów nazw. Zwykle robi siê to za pomoc± pary rekordów: rekordu NS, który podaje pe³n± nazwê domenow± serwera, i rekordu A, który wi±¿e adres z t± nazw±. Poniewa¿ te rekordy wi±¿± przestrzeñ nazw, czêsto s± nazywane rekordami klej±cymi (ang. glue records). S± to jedyne rekordy, w których strefa nadrzêdna w rzeczywisto¶ci przechowuje informacje o hostach strefy podrzêdnej. Rekordy klej±ce wskazuj± na serwery nazw domeny physics.groucho.edu, jak pokazano w przyk³adzie 6-5.
Przyk³ad 6-5.?Fragment pliku named.hosts z GMU 
; Dane dla strefy groucho.edu
@  IN  SOA vax12.gcc.groucho.edu. joe.vax12.gcc.groucho.edu. {
                      1999070100       ; numer wersji
                      360000           ; od¶wie¿anie
                      3600             ; ponowna próba
                      3600000          ; wyga¶niêcie
                      3600             ; domy¶lny ttl
              }
...
;
;rekordy klej±ce dla strefy physics.groucho.edu
physics           IN        NS      niels.physics.groucho.edu.
                  IN        NS      gauss.maths.groucho.edu.
niels.physics     IN        A       149.76.12.1
gauss.maths       IN        A       149.76.4.23
...
Wyszukiwanie odwrotne
Znajdowanie adresu IP nale¿±cego do hosta jest pewnie najpowszechniejszym zastosowaniem systemu nazw domen, ale czasem chcesz znale¼æ kanoniczn± nazwê hosta odpowiadaj±c± adresowi. Znajdowanie nazwy hosta jest nazywane odwzorowaniem odwrotnym (ang. reverse mapping) i jest u¿ywane przez pewne us³ugi sieciowe do weryfikacji to¿samo¶ci klienta. Wyszukiwanie odwrotne, przeprowadzane w oparciu o plik hosts, polega po prostu na przeszukaniu pliku i znalezieniu w nim hosta, do którego nale¿y poszukiwany adres IP. W przypadku DNS-u skrupulatne przeszukiwanie przestrzeni nazw jest wykluczone. Zamiast tego zosta³a stworzona specjalna domena in-addr.arpa, która zawiera adresy IP wszystkich hostów zapisane w odwrotnej notacji kropkowej. Na przyk³ad adres IP 149.76.12.4 odpowiada nazwie 4.12.76.149.in-addr.arpa. Rekord zasobu, który ³±cz± nazwy z odpowiadaj±cymi im kanonicznymi nazwami hostów, jest typu PTR.
Tworzenie zarz±dzanej przez nas strefy zwykle oznacza, ¿e jej administratorzy w pe³ni kontroluj± sposób przypisywania adresów do nazw. Poniewa¿ zwykle maj± w swoich rêkach jedn± lub wiêcej sieci lub podsieci IP, odwzorowanie stref DNS na sieci IP jest typu jedna-na-wiele. Na przyk³ad wydzia³ fizyki zawiera podsieci 149.76.8.0, 149.76.12.0 i 149.76.14.0.

Oznacza to, ¿e wraz ze stref± physics w domenie in-addr.arpa musz± byæ stworzone i przekazane administratorom sieci na wydziale nowe strefy: 8.76.149.in-addr.arpa, 12.76.149.in-addr.arpa i 14.76.149.in-addr.arpa. W przeciwnym razie dodanie nowego hosta w laboratorium Collider wymaga³oby skontaktowania siê z domen± nadrzêdn± i wprowadzenia nowego adresu do pliku strefy in-addr.arpa.
Baza danych strefy dla podsieci 12 zosta³a pokazana w przyk³adzie 6-6. Odpowiednie rekordy klej±ce w bazie danych strefy nadrzêdnej zosta³y pokazane w przyk³adzie 6-7.
Przyk³ad 6-6. Fragment z pliku named.rev dla podsieci 12
; domena 12.76.149.in-addr.arpa
@  IN SOA  niels.physics.groucho.edu. janet.niels.physics.groucho.edu. {
                   1999090200 360000 3600 3600000 3600
            }
2      IN PTR           otto.physics.groucho.edu.
4      IN PTR           quark.physics.groucho.edu.
5      IN PTR           down.physics.groucho.edu.
6      IN PTR           strange.physics.groucho.edu.

Przyk³ad 6-7. Fragment pliku named.rev dla sieci 149.76
; domena 76.149.in-addr.arpa
@  IN SOA  vax12.gcc.groucho.edu. joe.vax12.gcc.groucho.edu. {
                      1999070100 360000 3600 3600000 3600
                   }
...
; posieæ 4: wydzia³ matematyki
1.4         IN   PTR         sophus.maths.groucho.edu.
17.4        IN   PTR         erdos.maths.groucho.edu.
23.4        IN   PTR         gauss.maths.groucho.edu.
...
; podsieæ 12: wydzia³ fizyki, oddzielna strefa
12          IN   NS          niels.physics.groucho.edu.
            IN   NS          gauss.maths.groucho.edu.
niels.physics.groucho.edu.   IN A 149.76.12.1
gauss.maths.groucho.edu.     IN A 149.76.4.23
...

Strefy systemu in-addr.arpa mog± byæ tworzone tylko jako nadzbiory sieci IP. Jeszcze powa¿niejszym ograniczeniem jest to, ¿e maski tych sieci musz± przestrzegaæ granic bajtowych*. Wszystkie podsieci uniwersytetu Groucho Marx maj± maskê sieci 255.255.255.0, a wiêc strefa in-addr.arpa mo¿e byæ utworzona dla ka¿dej podsieci. Jednak, gdyby maska mia³a postaæ 255.255.255.128, utworzenie stref dla podsieci 149.76.12.128 by³oby niemo¿liwe, poniewa¿ nie ma sposobu na poinformowanie DNS-u, ¿e domena 12.76.149.in-addr.arpa zosta³a podzielona na dwie strefy, gdzie hosty maj± numery odpowiednio z zakresów: od 1 do 127 i od 128 do 255.

Eksploatacja named
named (wymawiaj: nejm-di) umo¿liwia korzystanie z us³ugi DNS na wiêkszo¶ci komputerów uniksowych. Jest to program serwera, oryginalnie stworzony dla BSD, który s³u¿y do udostêpniania us³ug nazewniczych klientom oraz innym serwerom nazw. Przez jaki¶ czas by³ u¿ywany BIND w wersji 4, obecny w wielu dystrybucjach Linuksa. Nowa wersja, o numerze 8 zosta³a wprowadzona w wiêkszo¶ci dystrybucji Linuksa i znacznie ró¿ni siê od poprzednich wersji*. Ma wiele nowych funkcji, takich jak dynamiczne uaktualnianie DNS-u, powiadomienie o zmianach w DNS-ie, lepsza wydajno¶æ i nowa sk³adania pliku konfiguracyjnego. Szczegó³y znajdziesz w dokumentacji za³±czonej do pakietu dystrybucyjnego.
Ten podrozdzia³ wymaga rozumienia dzia³ania DNS-u. Je¿eli czujesz siê jak na tureckim kazaniu, mo¿e warto ponownie siêgn±æ do poprzedniego podrozdzia³u Jak dzia³a DNS.
named zwykle jest uruchamiany w czasie startu systemu i dzia³a a¿ do zatrzymania maszyny. Implementacje wcze¶niejszych wersji BIND pobiera³y swoje informacje z pliku konfiguracyjnego /etc/named.boot i ró¿nych plików zawieraj±cych odwzorowania nazw domen na adresy. Te ostatnie s± nazywane plikami stref. Wersje BIND od wersji 8 wzwy¿ wykorzystuj± natomiast plik o nazwie /etc/named.conf.
Aby uruchomiæ named, wprowad¼:

# /usr/sbin/named

named uruchomi siê i odczyta plik named.boot oraz pliki stref w nim wskazane. Zapisze ID swojego procesu w postaci pliku ASCII o nazwie /var/run/named.pid, ¶ci±gnie wszelkie pliki stref z serwerów podstawowych, o ile bêdzie taka potrzeba, i zacznie nas³uchiwaæ na porcie 53, oczekuj±c na zapytania DNS.
Plik named.boot
Plik konfiguracyjny wcze¶niejszej wersji BIND mia³ bardzo prost± strukturê. Natomiast ten plik dla wersji 8. ma znacznie trudniejsz± sk³adniê, obs³uguj±c± wiele nowo wprowadzonych funkcji. Nazwa tego pliku zmieni³a siê z /etc/named.boot na /etc/named.conf . Skupimy siê na konfigurowaniu starszej wersji, poniewa¿ wiêkszo¶æ dystrybucji prawdopodobnie wci±¿ jeszcze jej u¿ywa, ale poka¿emy tak¿e równowa¿ny plik named.conf, ¿eby zilustrowaæ ró¿nice i powiemy, jak konwertowaæ stary format na nowy.
Plik named.boot jest generalnie niewielki i zawiera jedynie kilka wskazañ do plików g³ównych z informacjami o strefie i do innych serwerów. Komentarze rozpoczynaj± siê hashem (#) lub ¶rednikiem (;) i ci±gn± siê do nastêpnego wiersza. Zanim bardziej szczegó³owo omówimy format named.boot, przyjrzymy siê przyk³adowemu plikowi z hosta vlager pokazanemu w przyk³adzie 6-8.

Przyk³ad 6-8. Plik named.boot dla hosta vlager
;
; plik /etc/named.boot dla hosta vlager.vbrew.com
;
directory   /var/named
;
;           domena                   plik
;--------------------
cache       .                        named.ca
primary     vbrew.com                named.hosts
primary     0.0.127.in-addr.arpa     named.local
primary     16.172.in-addr.arpa      named.rev

Przyjrzyjmy siê kolejno ka¿dej dyrektywie. S³owo kluczowe directory informuje program named, ¿e wszystkie dalej wymienione pliki, czyli w tym przyk³adzie pliki stref, znajduj± siê w katalogu /var/named. W rezultacie jest nieco mniej pisania.
S³owo kluczowe primary widoczne w tym przyk³adzie ³aduje informacje do named. Informacje te s± brane z plików g³ównych podanych jako ostatnie parametry w wierszu. Te pliki zawieraj± rekordy zasobów DNS, którym przyjrzymy siê dalej.
W tym przyk³adzie skonfigurowali¶my named jako podstawowy serwer nazw dla trzech domen, co pokazuj± trzy dyrektywy primary. Pierwsza z nich nakazuje programowi named dzia³aæ jako podstawowy serwer dla domeny vbrew.com i odczytywaæ dane o strefie z pliku named.hosts.
S³owo kluczowe cache ma szczególne znaczenie i powinno byæ obecne na wszystkich komputerach, na których dzia³a serwer nazw. Powoduje ono, ¿e named w³±cza swoj± pamiêæ podrêczn± i ³aduje wskazania do serwera nazw domeny g³ównej (ang. root name server hints) z pliku pamiêci podrêcznej (w naszym przyk³adzie named.ca). Wrócimy do tego w poni¿szej li¶cie.
Oto lista najwa¿niejszych opcji, jakich mo¿esz u¿ywaæ w pliku named.boot:
directory

Ta opcja wyznacza katalog, w którym znajduj± siê pliki stref. Nazwy plików w innych opcjach mog± byæ podane wzglêdem tego katalogu. Wielokrotnie u¿ywaj±c dyrektywy directory, mo¿na okre¶liæ kilka katalogów. Standard systemu plików Linuksa mówi, ¿e powinno siê u¿ywaæ katalogu /var/named.
primary

Ta opcja przyjmuje jako argument nazwê domeny i nazwê pliku oraz mówi, ¿e lokalny serwer jest autorytatywny dla danej domeny. Jako serwer podstawowy, named ³aduje informacje o strefie z zadanego pliku g³ównego. 
W ka¿dym pliku boot bêdzie istnia³ przynajmniej jeden wpis primary dotycz±cy odwrotnego odwzorowania sieci 127.0.0.0 - lokalnej sieci pêtli zwrotnej.
secondary

Ta dyrektywa jest u¿ywana z nazw± domeny, list± adresów i nazw± pliku jako argumentami. Mówi, ¿e lokalny serwer jest serwerem zapasowym (ang. secondary master server) dla danej domeny.
Serwer zapasowy tak¿e zawiera autorytatywne dane o domenie, ale nie odczytuje ich z plików, tylko próbuje je ³adowaæ z serwera podstawowego. W li¶cie adresów nale¿y podaæ named przynajmniej jeden adres IP serwera podstawowego. Serwer lokalny kontaktuje siê kolejno z ka¿dym z nich, a¿ uda mu siê poprawnie skopiowaæ bazê danych stref, która nastêpnie jest zapisywana w pliku zapasowym o nazwie podanej jako trzeci argument. Je¿eli ¿aden z serwerów g³ównych nie odpowiada, dane o strefie s± odczytywane z pliku zapasowego.
named próbuje od¶wie¿aæ dane o strefie w regularnych odstêpach czasu. Proces ten wyja¶niamy dalej w po³±czeniu z rekordem zasobu SOA.
cache

Ta opcja wymaga podania nazwy domeny i nazwy pliku jako argumentów. Plik zawiera wskazania do serwerów nazw domeny g³ównej, czyli listê rekordów z ich nazwami. Rozpoznawane s± jedynie rekordy NS i A. domain powinno byæ ustawione na nazwê domeny g³ównej, czyli po prostu kropkê (.).
Ta informacja jest kluczowa dla named. Je¿eli w pliku startowym nie wystêpuje dyrektywa cache, named nie utworzy w ogóle lokalnej pamiêci podrêcznej. Taka sytuacja (brak tej funkcji) powa¿nie zmniejszy wydajno¶æ i zwiêkszy obci±¿enie sieci, je¿eli przepytywane serwery nie znajduj± siê w sieci lokalnej. Co wiêcej, named nie bêdzie w stanie skontaktowaæ siê z ¿adnym z serwerów nazw domeny g³ównej, a wiêc nie bêdzie móg³ rozwi±zaæ adresów innych, ni¿ te, dla których jest autorytatywny. Wyj±tkiem od tej regu³y s± serwery przekazuj±ce (ang. forwarding servers; zobacz opcja forwarders opisana poni¿ej).
forwarders

Ta dyrektywa wymaga jako argumentu listy adresów z separatorami w postaci bia³ych znaków. Adresy IP na tej li¶cie odpowiadaj± serwerom nazw, które named mo¿e pytaæ, je¿eli nie uda mu siê odpowiedzieæ na zapytanie na podstawie lokalnej pamiêci podrêcznej. S± one sprawdzane po kolei, a¿ który¶ odpowie na zapytanie. Zwykle w tym miejscu podajesz serwer nazw swojego dostawcy sieci lub inny dobrze znany serwer.
slave

Ta dyrektywa powoduje, ¿e serwer nazw jest definiowany jako serwer podleg³y (ang. slave server). Nigdy sam nie realizuje zapytañ rekurencyjnych, a jedynie przekazuje je do serwerów okre¶lonych w dyrektywie forwarders.
Istniej± dwie opcje, których tutaj nie opisujemy: sortlist i domain. W plikach baz danych mo¿na u¿ywaæ tak¿e dwóch innych dyrektyw: $INCLUDE i $ORIGIN. Poniewa¿ s± one rzadko potrzebne, nie opisujemy ich tutaj.
Plik host.conf dla wersji BIND 8
BIND w wersji 8 wprowadza szereg nowych funkcji i wraz z nimi now± sk³adniê pliku konfiguracyjnego. Plik named.boot ze swoimi prostymi, jednowierszowymi dyrektywami zosta³ zast±piony przez plik named.conf, który ma sk³adniê podobn± do gated, a wiêc przypominaj±c± sk³adniê pliku ¼ród³owego w jêzyku C.
Nowa sk³adnia jest bardziej skomplikowana, ale na szczê¶cie przygotowano narzêdzie, które automatycznie konwertuje star± sk³adniê na now±. W pakiecie ¼ród³owym BIND 8 dodano program named-bootconf.pl napisany w Perlu, który odczytuje istniej±cy plik named.boot z stdin i konwertuje go na równowa¿ny plik w formacie named.conf, wypisywany na stdout. Aby u¿yæ konwertera, musisz mieæ zainstalowany interpreter Perla.
Skryptu u¿ywa siê w nastêpuj±cy sposób:

# cd /etc
# named-bootconf.pl <named.boot >named.conf

Tworzy on plik named.conf, podobny do pokazanego w przyk³adzie 6-9. Usunêli¶my kilka pomocnych komentarzy, jakie dodaje skrypt, aby lepiej by³o widaæ prawie bezpo¶redni zwi±zek pomiêdzy star± i now± sk³adni±.
Przyk³ad 6-9. Równowa¿ny plik named.conf z serwera vlager dla wersji 8 BIND-a 
//
// plik /etc/named.boot dla serwera vlager.vbrew.com
options {
        directory "/var/named";
};

zone "." {
        type hint;
        file "named.ca";
};

zone "vbrew.com" {
        type master;
        file "named.hosts";
};

zone "0.0.127.in-addr.arpa" {
        type master;
        file "named.local";
};

zone "16.172.in-addr.arpa" {
        type master;
        file "named.rev";
};

Je¿eli przyjrzysz siê uwa¿niej, spostrze¿esz, ¿e ka¿da z jednowierszowych dyrektyw pliku named.boot zosta³a zamieniona w pliku named.conf na dyrektywê w stylu jêzyka C, ujêt± w nawiasy {}.
Komentarze, które w pliku named.boot by³y oznaczone ¶rednikiem (;), tutaj s± sygnalizowane dwoma uko¶nikami (//).
Dyrektywa directory zosta³a zamieniona na akapit options, w którym znajduje siê klauzula directory. 
Dyrektywy cache i primary zosta³y zamienione na akapity zone z klauzulami type, wskazuj±cymi odpowiednio na hint i master.
Pliki stref nie musz± byæ w ¿aden sposób modyfikowane. Ich sk³adnia pozostaje bez zmian.

Nowa sk³adnia pliku konfiguracyjnego pozwala na u¿ycie wielu opcji, których tutaj nie omawiali¶my. Je¿eli szukasz informacji na ich temat, najlepszym ¼ród³em jest dokumentacja dostarczana w pakiecie ¼ród³owym BIND-a w wersji 8.
Pliki bazy danych DNS
Pliki g³ówne zwi±zane z named, takie jak named.hosts, zawsze przynale¿± do jakiej¶ domeny, która nosi nazwê pocz±tkowej (ang. origin). Jest to nazwa domeny okre¶lona przez opcje cache i primary. W pliku g³ównym mo¿esz podawaæ nazwy domen i hostów wzglêdem tej domeny. Nazwy podane w pliku konfiguracyjnym s± traktowane jako bezwzglêdne, je¿eli koñcz± siê kropk± - w przeciwnym razie s± one odnoszone do domeny pocz±tkowej. Do samej domeny pocz±tkowej mo¿na siê odwo³ywaæ, u¿ywaj±c znaku (@).
Dane zawarte w pliku g³ównym s± podzielone na rekordy zasobów (ang. resource records - RR). RR s± najmniejszymi jednostkami informacji dostêpnymi przez DNS. Ka¿dy rekord zasobu ma typ. Rekordy typu A na przyk³ad wi±¿± nazwê hosta z adresem IP, a rekordy CNAME zawieraj± alias oficjalnej nazwy hosta. Mo¿esz to zobaczyæ w zamieszczonym dalej przyk³adzie 6-11, który pokazuje plik g³ówny named.hosts dla browaru wirtualnego.
Reprezentacja rekordu zasobu w plikach g³ównych ma wspólny format:

[domena] [ttl] [klasa] typ danerek

Pola s± oddzielane spacjami lub tabulatorami. Wpis mo¿e liczyæ kilka wierszy, je¿eli przed pierwszym nowym wierszem i po ostatnim polu pojawi± siê nawiasy klamrowe. Wszystko pomiêdzy ¶rednikiem a znakiem nowego wiersza jest ignorowane. Oto opis pól:
domena

Jest to nazwa domeny, której dotyczy wpis. Je¿eli nazwa domeny nie jest podana, uznaje siê, ¿e RR dotyczy domeny z poprzedniego RR.
ttl

Aby wymusiæ na resolverach usuwanie informacji po pewnym czasie, z ka¿dym RR jest zwi±zany czas ¿ycia (ttl). Pole ttl okre¶la, w sekundach, czas wa¿no¶ci informacji, liczony od momentu jej uzyskania z serwera. Jest to liczba dziesiêtna, maksymalnie o¶miocyfrowa.
Je¿eli nie zostanie podana warto¶æ ttl, przyjmowana jest domy¶lna warto¶æ pola minimum poprzedniego rekordu SOA.
klasa

Jest to klasa adresu, jak IN dla adresów IP czy HS dla obiektów z klasy Hesiod. W sieci TCP/IP musisz podawaæ IN.
Je¿eli nie zostanie podane pole klasy, przyjmowana jest klasa z poprzedniego RR.
typ  

To pole opisuje typ RR. Najczê¶ciej u¿ywane typy to A, SOA, PTR i NS. W dalszych podrozdzia³ach opisano ró¿ne typy RR.

danerek

To pole zawiera dane zwi±zane z RR. Format tego pola zale¿y od typu RR. W dalszej czê¶ci opiszemy oddzielnie ka¿dy RR.
Oto wybiórcza lista RR u¿ywanych w plikach g³ównych DNS. Istnieje jeszcze kilka innych rekordów, których nie bêdziemy tu opisywaæ, gdy¿ s± albo eksperymentalne, albo rzadko u¿ywane:
SOA

Ten RR opisuje strefê w³adzy (SOA oznacza "pocz±tek w³adzy"). Sygnalizuje, ¿e rekordy wystêpuj±ce po tym typie RR zawieraj± informacje autorytatywne dla domeny. Ka¿dy plik g³ówny wpisany w dyrektywie primary musi zawieraæ rekord SOA dla danej strefy. Dopuszczalne s± nastêpuj±ce pola:
origin

To pole zawiera kanoniczn± nazwê hosta podstawowego serwera nazw dla tej domeny, zwykle pisan± w postaci nazwy bezwzglêdnej.
contact

To pole to adres e-mail osoby odpowiedzialnej za utrzymanie domeny; w tym adresie znak @ zosta³ zast±piony kropk±. Na przyk³ad, gdyby osob± odpowiedzialn± za browar wirtualny by³a janet, pole mia³oby postaæ janet.vbrew. com.
serial

To pole zawiera numer wersji pliku strefy wyra¿ony w postaci jednej liczby dziesiêtnej. Gdy dane w pliku strefy zostan± zmienione, numer ten powinien zostaæ zwiêkszony. Przyjê³o siê, ¿e numer ten to data ostatniego uaktualnienia z dodanym numerem wersji - na wypadek kilku uaktualnieñ w ci±gu dnia. Na przyk³ad 2000012600 oznacza uaktualnienie numer 00 z dnia 26 stycznia 2000 roku.
Numer jest u¿ywany przez zapasowe serwery nazw do rozpoznawania zmian w informacjach o strefie. Aby byæ na bie¿±co, serwery zapasowe co jaki¶ czas odczytuj± rekord SOA serwerów podstawowych i porównuj± numer z w³asnym rekordem SOA. Je¿eli numer siê zmieni³, serwery zapasowe ¶ci±gaj± ca³± bazê danych z serwera podstawowego.
refresh

To pole okre¶la w sekundach, co jaki czas serwery zapasowe powinny sprawdzaæ rekord SOA serwera podstawowego. Znów jest to liczba dziesiêtna z³o¿ona maksymalnie z o¶miu cyfr.
Ogólnie rzecz bior±c topologia sieci nie zmienia siê zbyt czêsto, a wiêc ta liczba powinna byæ ustawiona na oko³o jeden dzieñ w przypadku wiêkszych sieci, a nawet d³u¿ej w przypadku mniejszych sieci.
retry

Ta liczba okre¶la odstêpy czasu, w których serwer zapasowy powinien próbowaæ kontaktowaæ siê z serwerem podstawowym, je¿eli nie uda siê mu od¶wie¿yæ danych o strefie. Nie mo¿e byæ ona zbyt ma³a, gdy¿ w razie chwilowej awarii serwera lub sieci serwer zapasowy bêdzie marnowa³ zasoby sieciowe. Zaleca siê odstêpy godzinne lub pó³godzinne. 
expire

To pole okre¶la czas w sekundach, po którym serwer zapasowy powinien ostatecznie usun±æ wszystkie dane o strefie, je¿eli nie by³ w stanie skontaktowaæ siê z serwerem g³ównym. Zwykle powiniene¶ zdefiniowaæ to pole na przynajmniej tydzieñ (604 800 sekund), ale wyd³u¿enie do miesi±ca lub wiêksze, tak¿e ma sens.
minimum

To pole zawiera domy¶ln± warto¶æ ttl dla rekordów zasobów, które nie definiuj± jej jawnie. Warto¶æ ttl okre¶la maksymalny czas, przez jaki inne serwery nazw mog± trzymaæ RR w swojej pamiêci podrêcznej. Czas ten dotyczy tylko zwyk³ych poszukiwañ i nie ma nic wspólnego z czasem, po którym serwery zapasowe powinny próbowaæ uaktualniæ swoje informacje o strefie.
Je¿eli topologia twojej sieci nie zmienia siê czêsto, wystarczy, ¿e ustawisz ttl na tydzieñ, a nawet d³u¿szy okres czasu. Je¿eli pojedynczy rekord RR zmienia siê czêsto, zawsze mo¿esz przypisaæ mu indywidualnie ma³y ttl. Je¿eli twoja sieæ zmienia siê czêsto, mo¿esz zechcieæ ustawiæ minimum na jeden dzieñ (86 400 sekund).
A

Ten rekord wi±¿e adres IP z nazw± hosta. Pole danych zasobu zawiera adres w notacji kropkowej.
Mo¿e istnieæ tylko jeden rekord A dla danego hosta. Nazwa hosta u¿ywana w rekordzie A jest uznawana za oficjaln±, inaczej kanoniczn±, nazwê hosta. Wszystkie pozosta³e nazwy hosta to aliasy, które musz± byæ odwzorowane na nazwê kanoniczn± za pomoc± rekordu CNAME. Je¿eli nazwa kanoniczna naszego hosta brzmia³aby vlager, mieliby¶my rekord A wi±¿±cy tê nazwê z adresem IP tego hosta. Poniewa¿ czasem chcemy zwi±zaæ z adresem tak¿e inn± nazwê, powiedzmy news, mamy mo¿liwo¶æ stworzenia rekordu CNAME, który wi±¿e nazwê alternatywn± z nazw± kanoniczn±. Wiêcej na temat rekordów CNAME powiemy ju¿ wkrótce.
NS

Rekordy NS s± u¿ywane do okre¶lenia podstawowego serwera strefy i wszystkich jej serwerów zapasowych. Rekord NS wskazuje na g³ówny serwer nazw danej strefy, a pole danych zasobu zawiera nazwê tego serwera.
Z rekordami NS spotkasz siê w dwóch sytuacjach: po pierwsze, je¿eli przekazujesz w³adzê strefie podrzêdnej, a po drugie, w g³ównej bazie danych samej strefy podrzêdnej. Zestaw serwerów podanych w obu strefach (nadrzêdnej i podrzêdnej) powinien byæ taki sam.
Rekord NS okre¶la nazwê podstawowego i zapasowego serwera nazw dla strefy. Nazwy te musz± byæ zamienione na adresy, aby mo¿na by³o z nich korzystaæ. Czasami serwery nale¿± do domeny, któr± obs³uguj±, co rodzi problem "jajka i kury". Nie mo¿emy znale¼æ adresu, dopóki serwer nazw jest nieosi±galny, ale te¿ nie mo¿emy dotrzeæ do serwera nazw, dopóki nie znajdziemy jego adresu. Aby rozwi±zaæ ten dylemat, mo¿emy skonfigurowaæ specjalne rekordy A bezpo¶rednio w serwerze nazw strefy nadrzêdnej. Rekordy A pozwalaj± serwerom nazw domeny nadrzêdnej rozwi±zywaæ adresy IP serwerów strefy podrzêdnej. Te rekordy s± powszechnie nazywane rekordami klej±cymi, poniewa¿ daj± mo¿liwo¶æ powi±zania strefy podrzêdnej z jej stref± nadrzêdn±.
CNAME

Ten rekord wi±¿e alias z kanoniczn± nazw± hosta. Udostêpnia on alternatywn± nazwê, za pomoc± której u¿ytkownicy mog± odwo³ywaæ siê do hosta, którego nazwa kanoniczna jest podana jako parametr. Kanoniczna nazwa hosta to taka, dla której w pliku g³ównym istnieje rekord A. Aliasy s± po prostu zwi±zane z t± nazw± poprzez rekord CNAME, ale nie maj± innych w³asnych rekordów.
PTR

Ten typ rekordu jest u¿ywany do powi±zania nazw w domenie in-addr.arpa z nazwami hostów. S³u¿y do odwrotnego odwzorowania adresów IP na nazwy hostów. Podana nazwa hosta musi byæ nazw± kanoniczn±.
MX

Ten RR okre¶la host wymieniaj±cy pocztê (ang. mail exchanger) dla domeny. Hosty wymieniaj±ce pocztê s± omówione w rozdziale 17, Poczta elektroniczna. Sk³adnia rekordu MX jest nastêpuj±ca:

[domena] [ttl] [klasa] MX priorytet host

Host to nazwa hosta wymieniaj±cego pocztê dla domeny. Z ka¿dym hostem wymieniaj±cym pocztê zwi±zany jest priorytet. Agent transportowy poczty, który chce dostarczyæ pocztê do domeny, sprawdza wszystkie hosty, które dla danej domeny maj± rekord MX, a¿ mu siê uda z jakim¶ skontaktowaæ. Najpierw jest sprawdzany host o najni¿szym priorytecie, a nastêpnie pozosta³e - w rosn±cej kolejno¶ci priorytetów.
HINFO

Ten rekord zawiera informacje o sprzêcie i oprogramowaniu systemu. Sk³adnia jest nastêpuj±ca:

[domena] [ttl] [klasa] HINFO sprzêt oprogramowanie

Pole sprzêt identyfikuje sprzêt u¿ywany w danym ho¶cie. Do jego opisania stosowane s± specjalne konwencje. Lista dopuszczalnych "nazw maszyn" jest podana w RFC Assigned Numbers (RFC-1700). Je¿eli pole zawiera spacje, musi byæ ujête w cudzys³ów. Pole oprogramowanie opisuje system operacyjny u¿ywany przez dany host. Znów dopuszczalne nazwy s± opisane w RFC Assigned Numbers.
Rekord HINFO opisuj±cy komputer oparty na procesorze Intel z zainstalowanym Linuksem powinien wygl±daæ nastêpuj±co:

tao   36500   IN HINFO   IBM-PC   LINUX2.2

Natomiast rekord HINFO dla Linuksa dzia³aj±cego na komputerze z procesorem Motorola 68000 móg³by wygl±daæ tak:

cevad     36500   IN HINFO    ATARI-104ST  LINUX2.0
jedd      36500   IN HINFO    AMIGA-3000   LINUX2.0
Konfiguracja named jako serwera pamiêci podrêcznej
Istnieje szczególny typ konfiguracji named, który nale¿y omówiæ, zanim wyja¶nimy, jak w pe³ni skonfigurowaæ serwer nazw. Jest to konfiguracja serwera pamiêci podrêcznej. W rzeczywisto¶ci nie obs³uguje on domeny, ale dzia³a jako przeka¼nik dla wszystkich zapytañ DNS wygenerowanych przez hosty. Zalet± takiego schematu jest tworzenie pamiêci podrêcznej, a wiêc tylko pierwsze zapytanie o zadane hosty jest w rzeczywisto¶ci wysy³ane do serwera nazw w Internecie. Odpowiedzi na wszelkie powtórne zapytania bêd± wys³ane bezpo¶rednio z pamiêci podrêcznej twojego lokalnego serwera nazw. Mo¿e teraz nie wydaje siê to zbyt u¿yteczne, ale zmienisz zdanie, je¿eli zaczniesz ³±czyæ siê z Internetem przez telefon, co opisano w rozdziale 7, IP ³±cza szeregowego, i rozdziale 8, Protokó³ punkt-punkt.
Plik named.boot dla serwera pamiêci podrêcznej wygl±da nastêpuj±co:

; plik named.boot dla serwera pamiêci podrêcznej
directory                            /var/named
primary      0.0.127.in-addr.arpa    named.local  ; sieæ hosta lokalnego
cache      .                         named.ca     ; serwery domeny g³ównej

Poza powy¿szym plikiem named.boot, musisz te¿ skonfigurowaæ plik named.ca, w którym bêdzie siê znajdowa³a poprawna lista serwerów nazw domeny g³ównej. Mo¿esz skopiowaæ i wykorzystaæ do tego celu przyk³ad 6-10. Do konfiguracji serwera nazw jako serwera pamiêci podrêcznej nie s± potrzebne ¿adne inne pliki.
Tworzenie plików g³ównych
Przyk³ady od 6-10 do 6-13 pokazuj± przyk³adowe pliki serwera nazw sieci browaru, umieszczonego na ho¶cie vlager. Ze wzglêdu na charakter omawianej sieci (pojedyncza sieæ lokalna) przyk³ad jest do¶æ prosty.
Plik pamiêci podrêcznej named.ca, podany jako przyk³ad 6-10, pokazuje przyk³adowe rekordy wskazuj±ce serwer nazw domeny g³ównej. Typowy plik pamiêci podrêcznej zwykle zawiera listê kilku serwerów. Aktualn± listê serwerów nazw domeny g³ównej mo¿esz uzyskaæ za pomoc± narzêdzia nslookup opisanego w nastêpnym podrozdziale*.

Przyk³ad 6-10. Plik named.ca
;
; /var/named/named.ca   Plik pamiêci podrêcznej dla browaru.
;         Nie jeste¶my pod³±czeni do Internetu, a wiêc
;         nie potrzebujemy ¿adnych serwerów nazw domeny
;         g³ównej. Aby uaktywniæ te rekordy, usuñ ¶redniki.
;
;.                     3600000   IN  NS     A.ROOT-SERVERS.NET.
;A.ROOT-SERVERS.NET.   3600000       A      198.41.0.4
;.                     3600000   IN  NS     B.ROOT-SERVERS.NET.
;B.ROOT-SERVERS.NET.   3600000       A      128.9.0.107
;.                     3600000   IN  NS     C.ROOT-SERVERS.NET.
;C.ROOT-SERVERS.NET.   3600000       A      192.33.4.12
;.                     3600000   IN  NS     D.ROOT-SERVERS.NET.
;D.ROOT-SERVERS.NET.   3600000       A      128.8.10.90
;.                     3600000   IN  NS     E.ROOT-SERVERS.NET.
;E.ROOT-SERVERS.NET.   3600000       A      192.203.230.10
;.                     3600000   IN  NS     F.ROOT-SERVERS.NET.
;F.ROOT-SERVERS.NET.   3600000       A      192.5.5.241
;.                     3600000   IN  NS     G.ROOT-SERVERS.NET.
;G.ROOT-SERVERS.NET.   3600000       A      192.112.36.4
;.                     3600000   IN  NS     H.ROOT-SERVERS.NET.
;H.ROOT-SERVERS.NET.   3600000       A      128.63.2.53
;.                     3600000   IN  NS     I.ROOT-SERVERS.NET.
;I.ROOT-SERVERS.NET.   3600000       A      192.36.148.17
;.                     3600000   IN  NS     J.ROOT-SERVERS.NET.
;J.ROOT-SERVERS.NET.   3600000       A      198.41.0.10
;.                     3600000   IN  NS     K.ROOT-SERVERS.NET.
;K.ROOT-SERVERS.NET.   3600000       A      193.0.14.129
;.                     3600000   IN  NS     L.ROOT-SERVERS.NET.
;L.ROOT-SERVERS.NET.   3600000       A      198.32.64.12
;.                     3600000   IN  NS     M.ROOT-SERVERS.NET.
;M.ROOT-SERVERS.NET.   3600000       A      202.12.27.33
;
Przyk³ad 6-11. Plik named.hosts
;
; /var/named/named.hosts      Hosty lokalne w browarze
;                              domena vbrew.com
;
@         IN SOA   vlager.vbrew.com. janet.vbrew.com {
                    2000012601 ; numer kolejny
                    86400      ; od¶wie¿anie:   raz dziennie
                    3600       ; ponowna próba: co godzinê
                    3600000    ; wyga¶niêcie:   42 godziny
                    604800     ; minimum:       1 tydzieñ
                    }
           IN NS    vlager.vbrew.com.
;
; poczta lokalna jest dystrybuowana na vlager
           IN MX    10 vlager
;
; adres pêtli zwrotnej
localhost. IN A     127.0.0.1
;
; Ethernet browaru wirtualnego
vlager     IN A     172.16.1.1
vlager-if1   IN CNAME   vlager
; vlager to tak¿e serwer grup dyskusyjnych
news         IN CNAME   vlager
vstout       IN A       172.16.1.2
vale         IN A       172.16.1.3
;
; Ethernet winiarni wirtualnej
vlager-if2   IN A       172.16.2.1
vbardolino   IN A       172.16.2.2
vchianti     IN A       172.16.2.3
vbeaujolais  IN A       172.16.2.4
;
; Ethernet wirtualnej fabryki napojów alkoholowych 
; (dodatkowych)
vbourbon     IN A       172.16.3.1
vbourbon-if1 IN CNAME   vbourbon
Przyk³ad 6-12. Plik named.local
;
; /var/named/named.local      Odwzorowanie odwrotne sieci 127.0.0
;                             domena pocz±tkowa 0.0.127.in-addr.arpa.
;
@            IN SOA   vlager.vbrew.com. joe.vbrew.com. {
                      1          ; numer kolejny
                      360000     ; od¶wie¿anie:   co 100 godzin
                      3600       ; ponowna próba: co godzinê
                      3600000    ; wyga¶niêcie:   42 dni
                      360000     ; minimum:       100 godzin
                      }
             IN NS    vlager.vbrew.com.
1            IN PTR   localhost.
Przyk³ad 6-13. Plik named.rev
;
; /var/named/named.rev   Odwzorowanie odwrotne naszych adresów IP
;                        domena pocz±tkowa to 16.172.in-addr.arpa.
;
@            IN SOA   vlager.vbrew.com. joe.vbrew.com. {
                      16         ; numer kolejny
                      86400      ; od¶wie¿anie:   raz dziennie
                      3600       ; ponowna próba: co godzinê
                      3600000    ; wyga¶niêcie:   42 dni
                      604800     ; minimum:       1 tydzieñ
                      }
             IN NS    vlager.vbrew.com.

; browar
1.1          IN PTR   vlager.vbrew.com.
2.1          IN PTR   vstout.vbrew.com.
3.1          IN PTR   vale.vbrew.com.
; winiarnia
1.2          IN PTR   vlager-if2.vbrew.com.
2.2          IN PTR   vbardolino.vbrew.com.
3.2          IN PTR   vchianti.vbrew.com.
4.2          IN PTR   vbeaujolais.vbrew.com.

Weryfikowanie konfiguracji serwera nazw
nslookup jest doskona³ym narzêdziem do sprawdzania dzia³ania twojego serwera nazw. Mo¿na go u¿ywaæ zarówno interaktywnie z monitem, jak i w formie polecenia natychmiast wypisuj±cego wynik. W tym ostatnim przypadku po prostu wywo³ujesz polecenie tak:

$ nslookup nazwahosta

nslookup zadaje zapytanie o nazwêhosta do serwera nazw okre¶lonego w pliku resolv.conf. (Je¿eli w pliku znajduje siê wiêcej ni¿ jeden serwer, nslookup wybiera jaki¶ losowo).
Jednak tryb interaktywny jest du¿o ciekawszy. Poza poszukiwaniem poszczególnych hostów, mo¿esz zadawaæ zapytania o dowolny typ rekordu DNS i przesy³aæ ca³e informacje o strefie dla danej domeny.
Po wywo³aniu nslookup bez argumentów, wy¶wietla on u¿ywany serwer nazw i przechodzi do trybu interaktywnego. Po monicie > mo¿esz wpisaæ nazwê domeny, o któr± chcesz pytaæ. Domy¶lnie zadawane s± zapytania o klasê rekordów A - tych zawieraj±cych adres IP odnosz±cy siê do nazwy domeny.
Innych typów rekordów mo¿esz poszukaæ nastêpuj±co:

> set type=typ

gdzie typ to jedna z nazw rekordu zasobu opisanych wcze¶niej lub dyrektywa ANY.
Mo¿na sobie wyobraziæ nastêpuj±c± sesjê z programem nslookup:

$ nslookup
Default Server: tao.linux.org.au
Address: 203.41.101.121

> metalab.unc.edu
Server: tao.linux.org.au
Address: 203.41.101.121
Name: metalab.unc.edu
Address: 152.2.254.81

>

Wynik najpierw pokazuje serwer DNS, do którego s± kierowane zapytania, a nastêpnie odpowied¼ na zapytanie.
Je¿eli spróbujesz zapytaæ o nazwê, z któr± nie jest zwi±zany adres IP, ale w bazie DNS znajduj± siê inne rekordy, nslookup zwróci komunikat o tre¶ci No type A records found. (nie znaleziono rekordów typu A). Jednak mo¿esz zadaæ zapytanie nie tylko o rekordy A - trzeba tylko wydaæ polecenie set type. Aby uzyskaæ rekord SOA z domeny unc.edu, musisz napisaæ:

> unc.edu
Server: tao.linux.org.au
Address: 203.41.101.121

*** No address (A) records available for unc.edu
> set type=SOA
> unc.edu
Server: tao.linux.org.au
Address: 203.41.101.121

unc.edu
      origin = ns.unc.edu
      mail addr = host-reg.ns.unc.edu
      serial = 1998111011
      refresh = 14400 (4H)
      retry = 3600 (1H)
      expire = 1209600 (2W)
      minimum ttl = 86400 (1D)
unc.edu name server = ns2.unc.edu
unc.edu name server = ncnoc.ncren.net
unc.edu name server = ns.unc.edu
ns2.unc.edu       internet address = 152.2.253.100
ncnoc.ncren.net   internet address = 192.101.21.1
ncnoc.ncren.net   internet address = 128.109.193.1
ns.unc.edu        internet address = 152.2.21.1

W podobny sposób mo¿esz zapytaæ o rekordy MX:

> set type=MX
> unc.edu
Server: tao.linux.org.au
Address: 203.41.101.121

unc.edu preference = 0, mail exchanger = conga.oit.unc.edu
unc.edu preference = 10, mail exchanger = imsety.oit.unc.edu
unc.edu name server = ns.unc.edu
unc.edu name server = ns2.unc.edu
unc.edu name server = ncnoc.ncren.net
conga.oit.unc.edu    internet address = 152.2.22.21
imsety.oit.unc.edu   internet address = 152.2.21.99
ns.unc.edu           internet address = 152.2.21.1
ns2.unc.edu          internet address = 152.2.253.100
ncnoc.ncren.net      internet address = 192.101.21.1
ncnoc.ncren.net      internet address = 128.109.193.1

U¿ycie typu ANY zwróci wszystkie rekordy zasobów zwi±zane z dan± nazw±.
Innym praktycznym zastosowaniem nslookup, poza debugowaniem, jest uzyskiwanie aktualnej listy serwerów nazw domeny g³ównej. W tym celu nale¿y zadaæ zapytanie o wszystkie rekordy NS zwi±zane z domen± g³ówn±.

> set type=NS
> .
Server: tao.linux.org.au
Address: 203.41.101.121

Non-authoritative answer:
(root)   name server = A.ROOT-SERVERS.NET
(root)   name server = H.ROOT-SERVERS.NET
(root)   name server = B.ROOT-SERVERS.NET
(root)   name server = C.ROOT-SERVERS.NET
(root)   name server = D.ROOT-SERVERS.NET
(root)   name server = E.ROOT-SERVERS.NET
(root)   name server = I.ROOT-SERVERS.NET
(root)   name server = F.ROOT-SERVERS.NET
(root)   name server = G.ROOT-SERVERS.NET
(root)   name server = J.ROOT-SERVERS.NET
(root)   name server = K.ROOT-SERVERS.NET
(root)   name server = L.ROOT-SERVERS.NET
(root)   name server = M.ROOT-SERVERS.NET

Authoritative answers can be found from:
A.ROOT-SERVERS.NET   internet address = 198.41.0.4
H.ROOT-SERVERS.NET   internet address = 128.63.2.53
B.ROOT-SERVERS.NET   internet address = 128.9.0.107
C.ROOT-SERVERS.NET   internet address = 192.33.4.12
D.ROOT-SERVERS.NET   internet address = 128.8.10.90
E.ROOT-SERVERS.NET   internet address = 192.203.230.10
I.ROOT-SERVERS.NET   internet address = 192.36.148.17
F.ROOT-SERVERS.NET   internet address = 192.5.5.241
G.ROOT-SERVERS.NET   internet address = 192.112.36.4
J.ROOT-SERVERS.NET   internet address = 198.41.0.10
K.ROOT-SERVERS.NET   internet address = 193.0.14.129
L.ROOT-SERVERS.NET   internet address = 198.32.64.12
M.ROOT-SERVERS.NET   internet address = 202.12.27.33

Aby zobaczyæ pe³ny zestaw dostêpnych poleceñ, u¿yj w nslookup komendy help.
Inne przydatne narzêdzia
Istnieje kilka narzêdzi, które mog± pomóc w wype³nianiu obowi±zków administratora BIND. Pokrótce opiszemy dwa z nich. Wiêcej informacji na ten temat znajdziesz w do³±czonej do nich dokumentacji.
hostcvt pomaga we wstêpnej konfiguracji BIND, konwertuj±c plik /etc/hosts na pliki g³ówne dla named. Program generuje wpisy normalne (A) i odwrotne (PTR); obs³uguje tak¿e aliasy. Oczywi¶cie nie zrobi za ciebie wszystkiego, gdy¿ musisz chocia¿by dopasowaæ warto¶ci czasów w rekordzie SOA, czy dodaæ rekordy MX. Ale i tak zaoszczêdzisz sobie kilku tabletek od bólu g³owy. hostcvt jest czê¶ci± pakietu BIND, ale w linuksowych o¶rodkach FTP mo¿na go znale¼æ tak¿e w postaci samodzielnego programu.
Po skonfigurowaniu swojego serwera nazw, na pewno bêdziesz chcia³ sprawdziæ jego konfiguracjê. Istniej± dobre narzêdzia, które znacznie u³atwiaj± to zadanie: pierwszym z nich jest dnswalk - pakiet w jêzyku Perl. Drugi nazywa siê nslint. Oba programy przegl±daj± bazê DNS w poszukiwaniu popularnych b³êdów i weryfikuj±, czy znalezione informacje s± spójne. Dwa inne przydatne narzêdzia to: host i dig - s± to narzêdzia ogólnego przeznaczenia do zadawania zapytañ do bazy DNS. Mo¿esz je wykorzystaæ do rêcznego sprawdzania i diagnozowania wpisów w bazie danych DNS.
Wymienione narzêdzia s± dostêpne w postaci pakietów. dnswalk i nslint s± dostêpne w postaci kodu ¼ród³owego pod adresami: http://www.visi.com/~barr/dnswalk/ i ftp://ftp.ee.lbl.gov/nslint.tar.Z. Kody ¼ród³owe narzêdzi host i dig mo¿na znale¼æ pod adresami ftp://ftp.nikhef.nl/pub/network/ i ftp://ftp.is.co.za/networking/ip/dns/dig/.


7
IP ³±cza szeregowego


Rozdzia³ 7: IP ³±cza szeregowego


Protoko³y pakietowe, takie jak IP czy IPX, dzia³aj± w oparciu o to, ¿e host odbieraj±cy wie, gdzie siê zaczyna i koñczy ka¿dy pakiet w strumieniu danych. Mechanizm u¿ywany do zaznaczania i wykrywania pocz±tku i koñca pakietów nazywa siê rozgraniczaniem (ang. delimitation). Za dzia³anie tego mechanizmu w sieciach lokalnych odpowiada protokó³ Ethernet, natomiast w ³±czach szeregowych - protoko³y SLIP i PPP. 
Stosunkowo ma³y koszt wolnych modemów komutowanych i sieci telefonicznych spowodowa³, ¿e protoko³y IP ³±cza szeregowego sta³y siê bardzo popularne, szczególnie do zapewniania ³±czno¶ci u¿ytkownikom koñcowym Internetu. Sprzêt potrzebny do uruchomienia SLIP czy PPP jest prosty i ³atwo dostêpny. Wystarczy mieæ modem i port szeregowy z buforem FIFO.
Protokó³ SLIP jest bardzo prosty w implementacji i swego czasu by³ popularniejszy ni¿ PPP. Obecnie jednak prawie ka¿dy chêtniej siêga po protokó³ PPP, który udostêpnia bardziej wyrafinowane funkcje. Wa¿niejszym z nich przyjrzymy siê pó¼niej.
Linux obs³uguje sterowniki dla protoko³ów SLIP i PPP oparte na j±drze. Sterowniki te, które powsta³y jaki¶ czas temu, s± stabilne oraz niezawodne. W tym i nastêpnym rozdziale omówimy oba protoko³y i sposób ich konfiguracji.
Wymagania ogólne
Aby korzystaæ z protoko³u SLIP lub PPP, musisz skonfigurowaæ podstawowe funkcje sieciowe opisane w poprzednich rozdzia³ach, a tak¿e interfejs pêtli zwrotnej i resolver. Przy pod³±czeniu do Internetu bêdziesz chcia³ korzystaæ z DNS-u. Mo¿liwo¶ci wyboru s± tu identyczne jak przy PPP: mo¿esz zadawaæ zapytania DNS, albo przez ³±cze szeregowe, je¶li wcze¶niej skonfigurujesz w pliku /etc/resolv.conf adres IP serwera nazw swojego dostawcy Internetu, albo konfiguruj±c serwer nazw pamiêci podrêcznej zgodnie z opisem w rozdziale 6.

Dzia³anie SLIP-a
Serwery IP pod³±czone do ³±cza komutowanego czêsto udostêpniaj± us³ugê SLIP przez specjalne konta u¿ytkowników. Po zalogowaniu siê na takie konto, nie dostajesz typowej pow³oki, tylko uruchamiany jest program lub skrypt pow³oki, który w³±cza sterownik SLIP serwera dla ³±cza szeregowego i konfiguruje odpowiedni interfejs sieciowy. Nastêpnie musisz zrobiæ to samo po swojej stronie ³±cza.
W niektórych systemach operacyjnych sterownik SLIP jest programem dzia³aj±cym w przestrzeni u¿ytkownika. W Linuksie jest to czê¶æ j±dra, co powoduje, ¿e dzia³a on du¿o szybciej. Prêdko¶æ ta jednak wymaga, by ³±cze szeregowe by³o jawnie prze³±czone w tryb SLIP. To prze³±czenie jest realizowane przez specjalny protokó³ obs³ugi ³±cza tty, SLIPDISC. Gdy tty jest w trybie normalnego protoko³u obs³ugi (DISC0), wymienia dane tylko z procesami u¿ytkownika, u¿ywaj±c zwyk³ych wywo³añ read(2) i write(2), a sterownik SLIP nie jest w stanie ani zapisywaæ do tty, ani z niego odczytywaæ. W trybie SLIPDISC role siê odwracaj±: teraz procesy przestrzeni u¿ytkownika s± blokowane przed zapisywaniem do tty lub odczytywaniem z niego, natomiast wszystkie dane przychodz±ce na port szeregowy s± przekazywane bezpo¶rednio do sterownika SLIP.
Sam sterownik SLIP jest w stanie pracowaæ z wieloma odmianami protoko³u SLIP. Poza zwyk³ym SLIP-em rozumie tak¿e CSLIP, który realizuje tak zwan± kompresjê nag³ówków Van Jacobsona wychodz±cych pakietów IP (opisan± w RFC-1144). Kompresja ta znacznie poprawia przepustowo¶æ ³±cza podczas sesji interaktywnych. Istniej± tak¿e sze¶ciobitowe wersje obu tych protoko³ów.
Prostym sposobem na prze³±czenie ³±cza szeregowego w tryb SLIP jest u¿ycie narzêdzia slattach. Za³ó¿my, ¿e twój modem jest ju¿ pod³±czony pod /dev/ttyS3 i poprawnie zalogowa³e¶ siê do serwera SLIP. Teraz musisz wydaæ polecenie:

# slattach /dev/ttyS3 &

Narzêdzie to prze³±czy protokó³ obs³ugi ttyS3 na SLIPDISC i pod³±czy urz±dzenie do jednego z interfejsów sieciowych SLIP. Je¿eli jest to twoje pierwsze aktywne ³±cze SLIP, zostanie ono pod³±czone do sl0. Drugie by³oby pod³±czone do sl1 i tak dalej. Aktualne j±dra obs³uguj± domy¶lnie maksymalnie 256 jednocze¶nie aktywnych ³±czy SLIP.
Domy¶lny protokó³ obs³ugi ³±cza wybierany przez slattach to CSLIP. Mo¿esz wybraæ dowolny inny, u¿ywaj±c prze³±cznika -p. Aby u¿yæ zwyk³ego SLIP-a (bez kompresji), wydaj polecenie:

# slattach -p slip /dev/ttyS3 &

Dostêpne protoko³y obs³ugi s± wymienione w tabeli 7-1. Masz tak¿e do dyspozycji specjalny pseudoprotokó³ obs³ugi o nazwie adaptive, który powoduje, ¿e j±dro automatycznie wykrywa, jaka enkapsulacja SLIP jest w³±czona po drugiej stronie.

Tabela 7-1.?Protoko³y obs³ugi SLIP w Linuksie
Protokó³ obs³ugi	Opis
slip	Tradycyjna enkapsulacja SLIP.
cslip	Enkapsulacja SLIP z kompresj± nag³ówków Van Jacobsona.
slip6	Enkapsulacja SLIP z kodowaniem 6-bitowym. Metoda kodowania jest
	podobna do u¿ywanej przez polecenie uuencode i powoduje, ¿e datagram
	SLIP jest konwertowany do drukowalnych znaków ASCII. Konwersja		ta jest przydatna, je¿eli nie masz 8-bitowego ³±cza szeregowego.
cslip6	Enkapsulacja SLIP z kompresj± nag³ówków Van Jacobsona i kodowaniem		6-bitowym.
adaptive	Nie jest to typowy protokó³ obs³ugi, ale powoduje, ¿e j±dro próbuje		zidentyfikowaæ protokó³ u¿ywany na odleg³ej maszynie i dopasowaæ		siê do niego.
Zauwa¿, ¿e musisz u¿ywaæ tej samej enkapsulacji co twój partner. Na przyk³ad, je¿eli host cowslip u¿ywa CSLIP, ty tak¿e musisz go u¿ywaæ. Gdyby twoje po³±czenie SLIP nie dzia³a³o, to przede wszystkim powiniene¶ sprawdziæ, czy oba koñce ³±cza uwzglêdni³y u¿ywanie kompresji nag³ówków. Je¿eli nie jeste¶ pewien, czego u¿ywa drugi koniec, spróbuj skonfigurowaæ swój host na adaptive slip. Byæ mo¿e j±dro prawid³owo odgadnie typ.
slattach pozwala ci na w³±czenie nie tylko SLIP-a, ale tak¿e innych protoko³ów wykorzystuj±cych ³±cze szeregowe, takich jak PPP czy KISS (inny protokó³ u¿ywany przez fanów ham radio). Mimo to nie jest powszechnie stosowany, gdy¿ s± lepsze narzêdzia do obs³ugi tych protoko³ów. Szczegó³y znajdziesz na stronie podrêcznika elektronicznego slattach(8).
Po prze³±czeniu ³±cza na sterownik SLIP, musisz skonfigurowaæ interfejs sieciowy. Znów, robisz to za pomoc± standardowych poleceñ ifconfig i route. Za³ó¿my, ¿e po³±czyli¶my siê telefonicznie z hosta vlager do serwera o nazwie cowslip. Na ho¶cie vlager powiniene¶ napisaæ:

# ifconfig sl0 vlager-slip pointopoint cowslip
# route add cowslip
# route add default gw cowslip

Pierwsze polecenie konfiguruje interfejs jako ³±cze punkt-punkt do cowslip, a nastêpne dwa polecenia dodaj± trasê do cowslip i trasê domy¶ln± wykorzystuj±c± cowslip jako gateway.
Warto zwróciæ uwagê na dwie rzeczy w wywo³aniu ifconfig: opcjê pointopoint okre¶laj±c± adres drugiego koñca ³±cza punkt-punkt i wykorzystanie vlager-slip jako adresu lokalnego interfejsu SLIP.
Wspomnieli¶my, ¿e dla ³±cza SLIP mo¿esz u¿yæ tego samego adresu, który przypisa³e¶ interfejsowi Ethernet na ho¶cie vlager. W tym przypadku vlager-slip móg³by byæ po prostu aliasem adresu 172.16.1.1. Jednak mo¿liwe jest równie¿ u¿ycie zupe³nie innego adresu dla ³±cza SLIP. Jedn± z takich sytuacji jest sieæ u¿ywaj±ca nie zarejestrowanego adresu IP sieci, tak jak siê to dzieje w naszym wirtualnym browarze. Powrócimy do tej sytuacji i opiszemy j± bardziej szczegó³owo w nastêpnym podrozdziale.
W pozosta³ej czê¶ci tego rozdzia³u zawsze bêdziemy u¿ywaæ vlager-slip, odwo³uj±c siê do adresu lokalnego interfejsu SLIP.
Przy wy³±czaniu ³±cza SLIP powiniene¶ najpierw usun±æ wszystkie trasy wiod±ce przez cowslip za pomoc± polecenia route z opcj± del, a nastêpnie zamkn±æ interfejs i wys³aæ programowi slattach sygna³ zawieszenia. Nastêpnie musisz roz³±czyæ modem, u¿ywaj±c ponownie programu swojego terminala:

# route del default
# route del cowslip
# ifconfig sl0 down
# kill -HUP 516

Pamiêtaj, aby 516 zast±piæ numerem ID procesu (pokazywanym w wyniku dzia³ania ps ax) polecenia slattach kontroluj±cego urz±dzenie slip, które chcesz zamkn±æ.
Korzystanie z sieci prywatnych
Pewnie pamiêtasz z rozdzia³u 5, Konfigurowanie sieci TCP/IP, ¿e browar wirtualny ma sieæ IP wykorzystuj±c± niezarejestrowane numery sieci zastrze¿one do u¿ytku wewnêtrznego. Pakiety kierowane z lub do tych sieci nie s± rutowane do Internetu. Gdyby vlager ³±czy³ siê z cowslip i dzia³a³ jako ruter dla sieci browaru wirtualnego, hosty w sieci browaru nie mog³yby siê bezpo¶rednio komunikowaæ z prawdziwymi hostami z Internetu, poniewa¿ ich pakiety by³yby po cichu odrzucane przez pierwszy powa¿niejszy ruter.
Aby rozwi±zaæ ten problem, skonfigurujemy vlager tak, aby dzia³a³ jako swego rodzaju przeka¼nik udostêpniaj±cy us³ugi internetowe. W ¶wiecie zewnêtrznym bêdzie siê on przedstawia³ jako normalny host pod³±czony do Internetu za po¶rednictwem protoko³u SLIP, z zarejestrowanym adresem IP (prawdopodobnie przypisanym przez dostawcê us³ug, do którego nale¿y cowslip). Ka¿dy, kto zaloguje siê do vlagera, mo¿e u¿ywaæ programów dzia³aj±cych w trybie tekstowym, takich jak ftp, telnet czy nawet lynx, i za ich pomoc± korzystaæ z Internetu. Ka¿dy, kto nale¿y do sieci lokalnej browaru wirtualnego, mo¿e zatem wywo³aæ telnet i zalogowaæ siê do vlagera, a nastêpnie u¿ywaæ na nim programów. Dla niektórych aplikacji mog± istnieæ rozwi±zania, które nie wymagaj± logowania siê do vlagera. Na przyk³ad w przypadku u¿ytkowników WWW mogliby¶my na ho¶cie vlager uruchomiæ tak zwany serwer proxy, który przekazywa³by wszystkie ¿±dania od u¿ytkowników do odpowiednich serwerów.
Wymóg zalogowania siê do vlagera celem korzystania z Internetu jest nieco niewygodny. Ale ma te¿ swoje zalety. Po pierwsze, eliminuje konieczno¶æ rejestrowania siê w sieci IP, co wymaga wype³niania papierów i jest kosztowne, a po drugie daje dodatkowe korzy¶ci przy konfigurowaniu firewalla. Firewalle s± dedykowanymi hostami, które daj±c ograniczony dostêp do Internetu u¿ytkownikom twojej sieci lokalnej, równocze¶nie zabezpieczaj± twoje wewnêtrzne hosty przed atakami ze ¶wiata zewnêtrznego. Prosta konfiguracja firewalla zosta³a szczegó³owo opisana w rozdziale 9, Firewall TCP/IP. W rozdziale 11, Maskowanie IP i translacja adresów sieciowych, omawiamy funkcjê Linuksa zwan± maskowaniem IP, które mo¿e byæ doskona³± alternatyw± dla serwerów proxy.
Za³ó¿my, ¿e browar ma przypisany adres IP 192.168.5.74 dla dostêpu przez SLIP. Aby uzyskaæ omówion± powy¿ej konfiguracjê, musisz jedynie wprowadziæ ten adres do pliku /etc/hosts z nazw± vlager-slip. Procedura w³±czenia interfejsu SLIP pozostaje bez zmian.
Korzystanie z polecenia dip
Dotychczas opisane czynno¶ci nie by³y trudne. Niemniej jednak zapewne wola³by¶ je zautomatyzowaæ. Du¿o lepiej by³oby mieæ proste polecenie, które realizuje wszystkie wymienione kroki niezbêdne do otworzenia urz±dzenia szeregowego, zadzwonienia do dostawcy, zalogowania siê, w³±czenia protoko³u obs³ugi SLIP i skonfigurowania interfejsu sieciowego. Takim poleceniem jest dip.
Nazwa dip to skrót od angielskiego terminu dialup IP (IP ³±cza komutowanego). Polecenie to zosta³o napisane przez Freda van Kempena i rozwiniête dosyæ znacznie przez wiele osób. Obecnie prawie wszyscy u¿ywaj± wersji dip337p-uri, która jest do³±czana do wiêkszo¶ci wspó³czesnych dystrybucji Linuksa, a tak¿e jest dostêpna w archiwum FTP metalab.unc.edu.
dip udostêpnia interpreter prostego jêzyka skryptowego, który mo¿e obs³u¿yæ modem, zmieniæ tryb SLIP i skonfigurowaæ interfejsy. Jêzyk skryptowy jest wystarczaj±co silny, by sprostaæ wiêkszo¶ci konfiguracji.
Aby skonfigurowaæ interfejs SLIP, dip potrzebuje przywilejów u¿ytkownika root. Mo¿e ciê kusiæ, aby nadaæ programowi dip prawo setuid root, tak by wszyscy u¿ytkownicy (bez konieczno¶ci posiadania uprawnieñ roota) mogli dzwoniæ do serwera SLIP. Jest to bardzo niebezpieczne, poniewa¿ ustawienie fa³szywych interfejsów i domy¶lnych tras za pomoc± polecenia dip mo¿e uszkodziæ ruting w twojej sieci. Co gorsza, da to twoim u¿ytkownikom mo¿liwo¶æ pod³±czenia siê do dowolnego serwera SLIP i wykonywania z twojej sieci niebezpiecznych ataków. Je¶li chcesz pozwoliæ u¿ytkownikom na uruchamianie po³±czenia SLIP, napisz ma³e programy dodatkowe dla ka¿dego potencjalnego serwera SLIP i z nich wywo³uj dip ze specjalnym skryptem nawi±zuj±cym po³±czenie. Poprawnie napisanemu programowi tego typu mo¿na bezpiecznie nadaæ prawo setuid root*. Alternatywnym, bardziej elastycznym podej¶ciem jest nadanie zaufanym u¿ytkownikom uprawnieñ roota do dip poprzez program typu sudo.
Przyk³adowy skrypt
Za³ó¿my, ¿e host, z którym ³±czysz siê przez SLIP, to cowslip. Napisali¶my skrypt dla dipa - cowslip.dip - który realizuje nasze po³±czenie. Wywo³ujemy dip z nazw± skryptu jako argumentem:

# dip cowslip.dip
DIP: Dialup IP Protocol Driver version 3.3.7 (12/13/93)
Written by Fred N. van Kempen, MicroWalt Corporation.
connected to cowslip.moo.com with addr 192.168.5.74
#

Sam skrypt pokazano w przyk³adzie 7-1.
Przyk³ad 7-1: Przyk³adowy skrypt dip
# Przyk³adowy skrypt dip dzwoni±cy do cowslip
# Ustawienie lokalnych i zdalnych nazw i adresów
   get $local vlager-slip
   get $remote cowslip
   port ttyS3        # wybór portu szeregowego
   speed 38400      # ustawienie prêdko¶ci na maksimum
   modem HAYES      # ustawienie typu modemu
   reset            # wyzerowanie modemu i tty
   flush            # wyczyszczenie bufora modemu
# Przygotowanie do dzwonienia
   send ATQ0V1E1X1\r
   wait OK 2
   if $errlvl !=0 goto error
   dial 41988
   if $errlvl !=0 goto error
   wait CONNECT 60
   if $errlvl !=0 goto error
# Ok, jeste¶my pod³±czeni
   sleep 3
   send \r\n\r\n
   wait ogin: 10
   if $errlvl !=0 goto error
   send $vlager\n
   wait ssword: 5
   if $errlvl !=0 goto error
   send knockknock\n
   wait running 30
   if $errlvl !=0 goto error
# Zalogowali¶my siê i po drugiej stronie uruchamiany jest SLIP.
   print Connected to $remote with address $rmtip
   default          # Ustawienie rutingu domy¶lnego na to ³±cze
   mode SLIP        # Przechodzimy tak¿e do trybu SLIP
# tu trafiamy w razie wyst±pienia b³êdu
error:
   print SLIP to $remote failed.

Po pod³±czeniu do cowslip i w³±czeniu SLIP, dip od³±cza siê od terminala i przechodzi do pracy w tle. Mo¿esz zacz±æ uruchamiaæ normalne us³ugi sieciowe na ³±czu SLIP. Aby zakoñczyæ po³±czenie, po prostu wywo³aj dip z opcj± -k, co spowoduje wys³anie sygna³u do dip. Wykorzystane zostanie do tego ID procesu, które dip zapisuje w pliku /etc/dip.pid.

# dip -k

W jêzyku skryptowym polecenia dip s³owa kluczowe poprzedzone znakiem dolara oznaczaj± nazwy zmiennych. dip posiada predefiniowany zestaw zmiennych, które zostan± omówione poni¿ej. Na przyk³ad $remote i $local zawieraj± odpowiednio nazwy hostów lokalnego i zdalnego, znajduj±cych siê po obu stronach ³±cza SLIP.
Pierwsze dwie dyrektywy w przyk³adowym skrypcie to polecenia get, za pomoc± których dip definiuje zmienne. Nazwy hostów lokalnego i zdalnego s± tu ustawiane odpowiednio na vlager i cowslip.
Nastêpne piêæ dyrektyw konfiguruje terminal i modem. reset wysy³a do modemu ci±g zeruj±cy. Kolejna dyrektywa czy¶ci bufor modemu tak, aby dialog logowania umieszczony w kolejnych kilku wierszach zadzia³a³ poprawnie. Dialog ten jest dosyæ prosty: po prostu dzwoni pod numer 41988 (numer telefonu cowslip) i loguje siê na konto $vlager za pomoc± has³a knockknock. Polecenie wait powoduje, ¿e dip czeka na ci±g znaków podany jako pierwszy argument. Liczba podana jako drugi argument okre¶la, po ilu sekundach koñczy siê oczekiwanie, je¿eli dany ci±g nie zostanie odebrany. Polecenia if wystêpuj±ce w procedurze logowania sprawdzaj±, czy nie wyst±pi³ b³±d w wykonywanym poleceniu.
Ostatnie polecenia wywo³ywane po zalogowaniu siê to: default, ustawiaj±ce domy¶lny ruting na zestawione w³a¶nie ³±cze SLIP, i mode, w³±czaj±ce tryb SLIP na ³±czu i konfiguruj±ce interfejs oraz tablicê rutingu.
dip
W tym podrozdziale podamy opis wiêkszo¶ci poleceñ dip. Listê wszystkich poleceñ mo¿esz zobaczyæ, wywo³uj±c dip w trybie testowym i wprowadzaj±c help. Aby poznaæ sk³adniê polecenia, mo¿esz je wprowadziæ bez ¿adnych argumentów. Pamiêtaj, ¿e nie sprawdzisz tak sk³adni tych poleceñ, które nie potrzebuj± argumentów. Poni¿szy przyk³ad ilustruje polecenie help:

# dip -t
DIP: Dialup IP Protocol Driver version 3.3.7p-uri (25 Dec 96)
Written by Fred N. van Kempen, MicroWalt Corporation.
Debian version 3.3.7p-2 (debian).

DIP> help
DIP knows about the following commands:

   beep       bootp      break     chatkey   config
   databits   dec        default   dial      echo
   flush      get        goto      help      if
   inc        init       mode      modem     netmask
   onexit     parity     password  proxyarp  print
   psend      port       quit      reset     secureidfixed
   securid    send       shell     skey      sleep
   speed      stopbits   term      timeout   wait

DIP> echo
Usage: echo on|off
DIP>

W kolejnych podrozdzia³ach przyk³ady zawieraj±ce monit DIP> pokazuj±, jak wprowadzaæ polecenia w trybie testowym i jaki daj± one wynik. Przyk³ady bez tego monitu nale¿y traktowaæ jako fragmenty skryptów.

Polecenia dotycz±ce modemu
dip udostêpnia szereg poleceñ konfiguruj±cych ³±cze szeregowe i modem. Niektóre z nich s± oczywiste, np. port, s³u¿±cy do wyboru portu szeregowego, czy speed, databits, stopbits i parity, ustawiaj±ce typowe parametry ³±cza. Polecenie modem wybiera typ modemu. Aktualnie jedynym obs³ugiwanym trybem jest HAYES (wymagane pisanie du¿ymi literami). Musisz okre¶liæ programowi dip typ modemu, gdy¿ w przeciwnym razie nie bêdzie mo¿liwe wykonanie poleceñ dial i reset. Polecenie reset wysy³a ci±g znaków zeruj±cy modem. Stosowany ci±g zale¿y od wybranego typu modemu. W przypadku modemów kompatybilnych ze standardem Hayesa, ci±giem tym jest ATZ.
Polecenie flush mo¿e byæ wykorzystane do usuniêcia z bufora wszystkich odpowiedzi wys³anych przez modem do tej pory. W przeciwnym razie skrypt dialogowy wystêpuj±cy po poleceniu reset móg³by zg³upieæ, poniewa¿ odczyta³by odpowiedzi OK z poprzednich poleceñ.
Polecenie init okre¶la ci±g inicjacyjny przekazywany do modemu przed rozpoczêciem dzwonienia. Domy¶lny ci±g dla modemów Hayesa to ATE0 Q0 V1 X1, w³±cza on wypisywanie poleceñ i dzwonienie na ¶lepo (bez sprawdzania sygna³u na linii). Nowsze modemy posiadaj± dobr± konfiguracjê fabryczn±, a wiêc jest to zbêdne, choæ w niczym nie przeszkadza.
Polecenie dial wysy³a ci±g inicjacyjny do modemu i dzwoni do zdalnego systemu. Domy¶lne polecenie dzwonienia dla modemów Hayesa to ATD.
Polecenie echo
Polecenie echo jest doskona³± pomoc± przy debugowaniu. Wywo³anie echo on powoduje, ¿e dip powtarza na konsoli wszystko, co wysy³a do urz±dzenia szeregowego. Mo¿na to z powrotem wy³±czyæ, wydaj±c polecenie echo off.
dip pozwala tak¿e na chwilê wyj¶æ z trybu skryptowego i wej¶æ do trybu terminalowego. W tym trybie u¿ywasz dip tak jak zwyk³ego programu terminala, wysy³aj±c wpisywane znaki na ³±cze szeregowe, odczytuj±c dane z ³±cza szeregowego i wy¶wietlaj±c znaki. Aby wyj¶æ z tego trybu, naci¶nij [CTRL+]].
Polecenie get
Za pomoc± polecenia get dip nadaje warto¶æ zmiennej. Najprostsze jest przypisanie zmiennej sta³ej warto¶ci, co robili¶my w skrypcie cowslip.dip. Mo¿esz jednak poprosiæ u¿ytkownika o wprowadzenie czego¶, u¿ywaj±c s³owa kluczowego ask zamiast warto¶ci:

DIP> get $local ask
Enter the value for $local: _

Trzecia metoda to uzyskanie warto¶ci ze zdalnego hosta. W pierwszej chwili wygl±da to dziwacznie, ale nieraz siê bardzo przydaje. Niektóre serwery SLIP nie pozwol± ci u¿ywaæ w³asnego adresu IP na ³±czu SLIP, a po po³±czeniu bêd± przypisywaæ ci adres z puli, wypisuj±c komunikat informuj±cy o otrzymanym adresie. Je¿eli otrzymasz komunikat: "Your address: 192.168.5.74, poni¿szy fragment kodu dip pozwoli ci przypisaæ ten adres:

# zakoñczenie logowania siê
wait address: 10
get $locip remote
Polecenie print
Jest to polecenie u¿ywane do wy¶wietlania tekstów dip na konsoli, z której zosta³ uruchomiony. W poleceniu print mog± byæ u¿yte wszystkie zmienne dip. Oto przyk³ad:

DIP> print Using port $port at speed $speed
Using port ttyS3 at speed 38400
Nazwy zmiennych
dip rozumie tylko predefiniowany zestaw zmiennych. Nazwy zmiennych zawsze zaczynaj± siê od znaku dolara i musz± byæ pisane ma³ymi literami.
Zmienne $local i $locip zawieraj± nazwê i adres lokalnego hosta. Je¿eli w zmiennej $local zapiszesz kanoniczn± nazwê hosta, dip bêdzie automatycznie próbowa³ zamieniæ nazwê hosta na jego adres IP i zapisaæ go w zmiennej $locip. Podobny, aczkolwiek odwrotny proces zachodzi, gdy przypiszesz adres IP zmiennej $locip: dip bêdzie próbowa³ wyszukiwania odwrotnego, czyli bêdzie chcia³ zidentyfikowaæ nazwê hosta i zapisaæ j± w zmiennej $local.
Zmienne $remote i $rmtip dzia³aj± w ten sam sposób dla adresu i nazwy hosta zdalnego. $mtu zawiera warto¶æ MTU dla po³±czenia.
Te piêæ zmiennych to jedyne zmienne, którym warto¶ci mog± byæ przypisywane bezpo¶rednio za pomoc± polecenia get. Szereg innych zmiennych jest ustawianych w wyniku dzia³ania poleceñ konfiguracyjnych o tej samej nazwie, a mog± one byæ u¿ywane w dyrektywie print. Nale¿± do nich $modem, $port i $speed.
$errlvl jest zmienn±, przez któr± uzyskujesz wynik wykonania ostatniego polecenia. Poziom b³êdu 0 oznacza poprawne wykonanie, natomiast warto¶ci ró¿ne od zera oznaczaj± b³±d.
Polecenia if i goto
Polecenie if to tradycyjne rozga³êzienie warunkowe, a nie w pe³ni wyposa¿ona programistyczna dyrektywa if. Sk³adnia jest nastêpuj±ca:

if zm op liczba goto etykieta

Wyra¿enie musi byæ prostym porównaniem jednej ze zmiennych: $errlvl, $locip lub $rmtip. zm musi byæ liczb± ca³kowit±, operator op mo¿e byæ jednym ze znaków ==, !=, <, >, <= i >=.
Polecenie goto powoduje, ¿e wykonywanie skryptu jest kontynuowane od wiersza, który nastêpuje po etykiecie. Etykieta musi byæ pierwszym s³owem w wierszu i musi byæ zakoñczona dwukropkiem.
send, wait i sleep
Te polecenia pomagaj± zaimplementowaæ proste skrypty dialogowe w dip. Polecenie send wysy³a argumenty do ³±cza szeregowego. Nie obs³uguje zmiennych, ale rozumie wszelkie sekwencje ze znakami uko¶nika odwrotnego znane z jêzyka C, takie jak \n oznaczaj±ce nowy wiersz i \b oznaczaj±ce cofniêcie. Znak tyldy (~) mo¿e byæ zastosowany jako skrót ci±gu znaków: powrót karetki/nowy wiersz.
Polecenie wait jako argument przyjmuje s³owo i odczytuje wszystkie dane wej¶ciowe na ³±czu szeregowym, a¿ wykryje ci±g znaków pasuj±cy do zadanego s³owa. Samo s³owo nie mo¿e zawieraæ spacji. Opcjonalnie, jako drugi argument, mo¿esz podaæ w poleceniu wait warto¶æ czasu oczekiwania. Je¿eli oczekiwane s³owo nie zostanie odebrane w tym czasie, polecenie zwróci w zmiennej $errlvl warto¶æ 1. Polecenie to jest u¿ywane do wykrywania monitu logowania i innych.
Polecenie sleep mo¿e byæ u¿ywane do odczekania pewnego czasu. Na przyk³ad, aby cierpliwie zaczekaæ na zakoñczenie sekwencji logowania. Znów czas jest podawany w sekundach.
mode i default
Te polecenia s± u¿ywane do prze³±czania ³±cza szeregowego w tryb SLIP i konfigurowania interfejsu.
Polecenie mode jest ostatnim poleceniem wykonywanym przez dip przed przej¶ciem w tryb demona. Dopóki nie wyst±pi b³±d, polecenie nie koñczy siê.
mode przyjmuje jako argument nazwê protoko³u. Obecnie dip rozpoznaje SLIP, CSLIP, SLIP6, CSLIP6, PPP i TERM. Jednak aktualna wersja dip nie rozumie trybu adaptive SLIP.
Po prze³±czeniu ³±cza szeregowego do trybu SLIP, dip wywo³uje polecenie ifconfig w celu skonfigurowania interfejsu jako ³±cza punkt-punkt i polecenie route do skonfigurowania rutingu do zdalnego hosta.
Je¿eli skrypt dodatkowo wywo³a polecenie default przed poleceniem mode, dip tworzy domy¶lny ruting wskazuj±cy na ³±cze SLIP.
Dzia³anie w trybie serwera
Skonfigurowanie klienta SLIP by³o trudniejszym zadaniem. Skonfigurowanie twojego hosta, aby dzia³a³ jako serwer SLIP jest du¿o ³atwiejsze.
Istniej± dwa sposoby skonfigurowania serwera SLIP. Oba wymagaj± utworzenia jednego konta logowania dla ka¿dego klienta SLIP. Za³ó¿my, ¿e udostêpniasz us³ugê SLIP Arthurowi Dentowi z dent.beta.com. Dodaj±c poni¿szy wiersz do twojego pliku passwd, mo¿esz stworzyæ konto o nazwie dent:

dent:*:501:60:Konto SLIP Arthura Denta:/tmp:/usr/sbin/diplogin

Nastêpnie za pomoc± polecenia passwd musisz ustawiæ has³o u¿ytkownika dent.
Polecenie dip mo¿e byæ uruchomione w trybie serwera przez wywo³anie diplogin. Zwykle diplogin jest dowi±zaniem do dip. Jego g³ównym plikiem konfiguracyjnym jest /etc/diphosts, w którym zwykle wpisujesz adres IP  przypisywany u¿ytkownikowi, gdy zadzwoni. Alternatywnie mo¿esz tak¿e u¿yæ polecenia sliplogin, narzêdzia pochodz±cego z BSD i posiadaj±cego bardziej elastyczny schemat konfiguracji pozwalaj±cy ci na wywo³ywanie skryptów pow³oki, gdy host siê pod³±cza lub roz³±cza.
Gdy nasz u¿ytkownik SLIP-a, dent, zaloguje siê, dip jest uruchamiany jako serwer. Aby stwierdziæ, czy dany u¿ytkownik naprawdê ma prawo u¿ywaæ SLIP-a, szuka on nazwy u¿ytkownika w pliku /etc/diphosts. Plik ten zawiera szczegó³owe prawa dostêpu i parametry po³±czenia dla ka¿dego u¿ytkownika SLIP-a. Ogólny format wpisu w /etc/diphosts jest nastêpuj±cy:

# /etc/diphosts
u¿ytkownik:has³o:adres-zdalny:adres-lokalny:maska:komentarze:protokó³,MTU
#

Ka¿de z pól jest opisane w tabeli 7-2.
Tabela 7-2. Opis pól pliku /etc/diphosts
Pole	Opis
u¿ytkownik
Pole to okre¶la nazwê u¿ytkownika wywo³uj±cego dip.
Has³o
Drugie pole pliku /etc/diphosts jest u¿ywane do zapewnienia dodatkowej warstwy bezpieczeñstwa przy ³±czeniu siê na podstawie has³a. Mo¿esz tu umie¶ciæ has³o w zaszyfrowanej postaci (tak jak w pliku /etc/passwd), a diplogin poprosi u¿ytkownika o wprowadzenie has³a, zanim pozwoli mu na dostêp SLIP. Zauwa¿, ¿e jest to has³o uzupe³niaj±ce, u¿ywane obok zwyk³ego has³a wprowadzanego w monicie login.
adres-zdalny
Adres, który zostanie przypisany zdalnej maszynie. Adres ten mo¿e byæ podany tak¿e w postaci nazwy hosta, która zostanie zamieniona na numer IP, albo bezpo¶rednio w postaci numeru IP w notacji kropkowej.
adres-lokalny
Adres IP, który bêdzie u¿ywany dla lokalnego koñca po³±czenia SLIP. Mo¿e byæ podany w postaci nazwy hosta lub numeru IP.
maska
Maska sieci, która bêdzie u¿ywana do rutingu. Wiele osób ¼le interpretuje to pole. Maska sieci nie dotyczy samego ³±cza SLIP, ale jest u¿ywana w po³±czeniu z adresem-zdalnym do utworzenia trasy do zdalnej sieci. Maska sieci powinna byæ taka sama jak maska u¿ywana przez sieæ obs³ugiwan± przez zdalnego hosta.
komentarze
Jest to pole tekstowe, w którym mo¿na wprowadziæ dowolny opis i jest ono traktowane jako pomoc w dokumentowaniu pliku /etc/diphosts. Pole to nie ma innych zastosowañ.
protokó³
W tym polu okre¶la siê, jakiego protoko³u obs³ugi chcesz u¿ywaæ dla danego po³±czenia. Poprawne wpisy s± identyczne z u¿ywanymi z argumentem -p polecenia slattach.
MTU


Maksymalna jednostka transmisji, któr± mo¿na przes³aæ przez ³±cze. To pole opisuje najwiêkszy datagram przesy³any przez ³±cze. Ka¿dy datagram rutowany przez urz±dzenie SLIP, który jest wiêkszy ni¿ MTU, zostanie podzielony na datagramy nie wiêksze ni¿ ta warto¶æ. MTU zwykle jest konfigurowane tak samo na obu koñcach ³±cza.

Przyk³adowy wpis dla dent móg³by wygl±daæ tak:

dent::dent.beta.com:vbrew.com:255.255.255.0:Arthur Dent:CSLIP,296

Ten przyk³ad daje naszemu u¿ytkownikowi dent dostêp do SLIP-a bez potrzeby wprowadzania dodatkowego has³a. Bêdzie mu przypisany adres IP zwi±zany z nazw± dent.beta.com i maska sieci 255.255.255.0. Domy¶lny ruting powinien byæ przekierowany na adres IP vbrew.com. Po³±czenie bêdzie wykorzystywa³o protokó³ CSLIP z MTU równym 296 bajtów.
Gdy dent siê zaloguje, diplogin odczyta informacje na jego temat z pliku diphosts. Gdyby drugie pole zawiera³o warto¶æ, diplogin poprosi³by o dodatkowe has³o. Wprowadzony przez u¿ytkownika ci±g znaków zosta³by zaszyfrowany i porównany z has³em z pliku diphosts. Gdyby ci±gi siê nie zgadza³y, próba zalogowania nie powiod³aby siê. Gdyby pole has³a zawiera³o ci±g znaków s/key, a dip by³by skompilowany z obs³ug± S/Key, uruchomione by³oby uwierzytelnianie S/Key. Jest ono opisane w dokumentacji zawartej w pakiecie ¼ród³owym dip.
Po poprawnym zalogowaniu siê, diplogin prze³±cza ³±cze szeregowe w tryb CSLIP lub SLIP i konfiguruje interfejs oraz ruting. Po³±czenie pozostaje zestawione, dopóki u¿ytkownik go nie roz³±czy i modem nie zostanie od³±czony od linii telefonicznej. diplogin przywraca ³±cze szeregowe do normalnego protoko³u obs³ugi i koñczy pracê.
diplogin wymaga praw u¿ytkownika uprzywilejowanego. Je¿eli dip nie dzia³a z prawem setuid root, powiniene¶ spowodowaæ, ¿eby diplogin by³ oddzieln± kopi± dip, a nie dowi±zaniem. diplogin mo¿e wtedy mieæ nadane prawo setuid bez zmiany statusu samego dip.


8
Protokó³ punkt-punkt


Rozdzia³ 8: Protokó³ punkt-punkt


Podobnie jak SLIP, protokó³ PPP jest u¿ywany do wysy³ania datagramów przez ³±cze szeregowe, jednak nie ma on wielu wad SLIP-a. Po pierwsze, pozwala na przesy³anie wiêkszej liczby protoko³ów i nie jest ograniczony do protoko³u IP. Ma mo¿liwo¶æ wykrywania b³êdów na samym ³±czu, gdzie SLIP akceptowa³ i przekazywa³ uszkodzone datagramy, chyba ¿e uszkodzony zosta³ nag³ówek. Ponadto, pozwala stronom po³±czenia negocjowaæ na pocz±tku opcje, takie jak adres IP i maksymalny rozmiar datagramu, oraz zapewnia uwierzytelnianie klienta. Taka wbudowana mo¿liwo¶æ negocjacji pozwala na niezawodn± automatyzacjê przy zestawianiu po³±czenia, natomiast dziêki uwierzytelnianiu nie s± potrzebne sztuczne konta u¿ytkowników, które by³y stosowane w przypadku SLIP-a. Ka¿da z tych mo¿liwo¶ci jest w PPP obs³ugiwana przez oddzielny protokó³. W tym rozdziale krótko omówimy podstawowe modu³y PPP. Niniejszy opis PPP jest daleki od kompletno¶ci, a wiêc je¿eli chcesz wiedzieæ wiêcej, zachêcamy ciê do przeczytania specyfikacji protoko³u w odpowiednim dokumencie RFC i szeregu uzupe³niaj±cych RFC. Istnieje równie¿ ca³a ksi±¿ka po¶wiêcona temu tematowi: Using & Managing PPP napisana przez Andrew Suna (O'Reilly).
Na samym dole PPP znajduje siê protokó³ wysokopoziomowego sterowania ³±czem danych (High-Level Data Link Control - HDLC), który definiuje granice pojedynczych ramek PPP i zapewnia 16-bitow± sumê kontroln±*. W przeciwieñstwie do¶æ prymitywnej enkapsulacji SLIP, ramka PPP mo¿e zawieraæ pakiety ró¿nych protoko³ów, nie tylko IP, czyli na przyk³ad IPX Novella czy AppleTalk. PPP dodaje bowiem do podstawowej ramki HDLC pole protoko³u identyfikuj±ce typ pakietu przesy³anego w ramce.
Nad HDLC znajduje siê protokó³ sterowania ³±czem (Link Control Protocol - LCP) negocjuj±cy opcje dotycz±ce ³±cza danych, na przyk³ad maksymaln± jednostkê odbioru (Maximum Receive Unit - MRU) wyznaczaj±c± maksymalny rozmiar datagramu, jaki jedna strona ³±cza zgodzi³a siê odbieraæ.
Wa¿nym krokiem naprzód w konfiguracji ³±cza PPP jest autoryzacja (uwierzytelnienia) klienta. Choæ nie jest ona obowi±zkowa, powinna byæ u¿ywana w przypadku linii komutowanych, aby nie dopu¶ciæ intruzów do systemu. Zazwyczaj wywo³ywany host (serwer) prosi klienta o podanie tajnego klucza. Je¿eli host wywo³uj±cy nie wygeneruje odpowiedniego klucza, po³±czenie jest zrywane. W PPP autoryzacja dzia³a w obie strony. Host wywo³uj±cy mo¿e równie¿ poprosiæ o autoryzacjê serwera. Te procedury s± zupe³nie niezale¿ne od siebie. Dla dwóch ró¿nych sposobów autoryzacji istniej± dwa protoko³y, które bêdziemy dok³adniej omawiali w tym rozdziale: protokó³ uwierzytelniania has³em (Password Authentication Protocol - PAP) i protokó³ uwierzytelnienia przez uzgodnienie (Challenge Handshake Authentication Protocol -- CHAP).
Ka¿dy protokó³ sieciowy rutowany przez ³±cze danych (jak IP i AppleTalk) jest konfigurowany dynamicznie za pomoc± odpowiedniego  protoko³u sterowania sieci± (Network Control Protocol - NCP). Aby wys³aæ datagram IP przez ³±cze, obie strony uczestnicz±ce w po³±czeniu PPP musz± najpierw wynegocjowaæ u¿ywane przez ka¿d± z nich adresy IP. Protokó³ steruj±cy u¿ywany w tej negocjacji to protokó³ sterowania protoko³em internetowym (Internet Protocol Control Protocol - IPCP).
Poza wysy³aniem standardowych datagramów IP przez ³±cze, PPP tak¿e obs³uguje kompresjê nag³ówków (Van Jacobsona) datagramów IP. Technika ta zmniejsza nag³ówki pakietów IP do zaledwie trzech bajtów. Jest ona tak¿e stosowana w CSLIP i potocznie nazywa siê j± kompresj± nag³ówków VJ. U¿ycie kompresji mo¿e byæ równie¿ negocjowane za pomoc± protoko³u IPCP.
PPP w Linuksie
W Linuksie do funkcjonowania PPP s± potrzebne dwie rzeczy: element j±dra obs³uguj±cy protoko³y niskopoziomowe (HDLC, IPCP, IPXCP itp.) i demon pppd dzia³aj±cy w przestrzeni u¿ytkownika i obs³uguj±cy ró¿ne protoko³y wy¿szego poziomu, takie jak PAP i CHAP. Aktualna wersja oprogramowania PPP dla Linuksa zawiera demon pppd i program o nazwie chat, które automatyzuj± po³±czenie telefoniczne z systemu zdalnego.
Sterownik PPP j±dra zosta³ napisany przez Michaela Callahana i przerobiony przez Paula Mackerrasa. pppd powsta³o na podstawie darmowej implementacji PPP* dla Suna i komputerów 386BSD, napisanej przez Drew Perkinsa i innych i utrzymywanej przez Paula Mackerrasa. Zosta³o przeniesione na Linuksa przez Ala Longyeara. Program chat napisa³ Karl Fox**.
Podobnie jak SLIP, tak i PPP zosta³ zaimplementowany przez specjalny protokó³ obs³ugi ³±cza. Aby wykorzystaæ ³±cze szeregowe jako ³±cze PPP, musisz najpierw jak zwykle zestawiæ po³±czenie przez modem, a nastêpnie prze³±czyæ ³±cze w tryb PPP. W tym trybie wszystkie przychodz±ce dane s± przekazywane sterownikowi PPP, który sprawdza poprawno¶æ przychodz±cych ramek HDLC (ka¿da ramka HDLC zawiera 16-bitow± sumê kontroln±), rozpakowuje je oraz obs³uguje. Obecnie PPP jest w stanie przesy³aæ zarówno protokó³ IP, opcjonalnie z kompresj± nag³ówków Van Jacobsona, jak i protokó³ IPX.
pppd wspomaga sterownik j±dra, wykonuj±c obowi±zkow± fazê inicjacyjn± i uwierzytelniaj±c±, zanim rzeczywisty ruch sieciowy zostanie przes³any przez ³±cze. Zachowanie pppd mo¿na regulowaæ szeregiem opcji. Poniewa¿ PPP jest raczej z³o¿onym protoko³em, niemo¿liwe jest wyja¶nienie wszystkich opcji w jednym rozdziale. Dlatego ta ksi±¿ka nie omawia wyczerpuj±co pppd, a tylko podaje ogólny zarys. Dok³adniejsze informacje znajdziesz we wspomnianej ju¿ ksi±¿ce Using & Managing PPP lub na stronach podrêcznika elektronicznego pppd oraz we wspomnianych ju¿ plikach README pakietu ¼ród³owego pppd. Pomog± ci one odpowiedzieæ na wiêkszo¶æ pytañ, które tutaj nie zosta³y uwzglêdnione. Pomocny mo¿e byæ tak¿e dokument PPP-HOWTO.
Prawdopodobnie w konfigurowaniu PPP najbardziej pomog± ci inni u¿ytkownicy tej samej dystrybucji Linuksa. Pytania o konfiguracjê PPP s± dosyæ powszechne, a wiêc sprawd¼ swoj± lokaln± grupê dyskusyjn± lub kana³ linuksowy na IRC-u. Je¿eli masz problemy nawet po przeczytaniu dokumentacji, mo¿esz spróbowaæ je rozwi±zaæ poprzez grupê dyskusyjn± comp.protocols.ppp. Jest to miejsce, gdzie spotyka siê wiêkszo¶æ osób zaanga¿owanych w rozwój pppd.
Eksploatacja pppd
Gdy chcesz siê pod³±czyæ do Internetu przez ³±cze PPP, musisz skonfigurowaæ podstawowe funkcje sieciowe, jak urz±dzenie pêtli zwrotnej i resolver. Obie zosta³y omówione w rozdziale 5, Konfigurowanie sieci TCP/IP, i w rozdziale 6, Us³ugi nazewnicze i konfigurowanie resolvera. Mo¿esz po prostu skonfigurowaæ serwer nazw swojego dostawcy Internetu w pliku /etc/resolv.conf, ale bêdzie to oznacza³o, ¿e ka¿de ¿±danie DNS jest wysy³ane przez ³±cze szeregowe. Ta sytuacja nie jest optymalna. Im jeste¶ bli¿ej (w sensie sieci) swojego serwera nazw, tym szybciej s± realizowane wyszukiwania nazw. Alternatywnym rozwi±zaniem jest skonfigurowanie serwera nazw pamiêci podrêcznej na ho¶cie w twojej sieci. Oznacza to, ¿e  pierwsze zapytanie DNS o okre¶lonego hosta jest wysy³ane przez ³±cze szeregowe, ale odpowied¼ na ka¿de kolejne bêdzie wysy³ana bezpo¶rednio z twojego lokalnego serwera nazw i bêdzie realizowana du¿o szybciej. Konfiguracja ta jest opisana w podrozdziale Konfiguracja named jako serwera pamiêci podrêcznej rozdzia³u 6.
Dla potrzeb naszego przyk³adu realizacji po³±czenia PPP z pppd za³ó¿my, ¿e znów jeste¶ na ho¶cie vlager. Najpierw dzwonisz do serwera PPP, c3po, i logujesz siê na koncie ppp. Serwer c3po uruchamia swój sterownik PPP. Po zakoñczeniu pracy z programem komunikacyjnym u¿ywanym do dzwonienia, jest wykonywane nastêpuj±ce polecenie, w którym musisz zast±piæ pokazan± nazwê urz±dzenia szeregowego ttyS3 swoj± nazw±.

# pppd /dev/ttyS3 38400 crtscts defaultroute

Polecenie to prze³±cza ³±cze szeregowe ttyS3 na protokó³ obs³ugi PPP i negocjuje ³±cze IP z c3po. Prêdko¶æ u¿ywana na tym porcie szeregowym wynosi 38 400 bitów na sekundê.
Opcja crtscts w³±cza na porcie uzgadnianie sprzêtowe, które jest bezwzglêdnie wymagane przy prêdko¶ciach powy¿ej 9600 bps.
Po uruchomieniu pppd w pierwszej kolejno¶ci negocjuje kilka charakterystyk ³±cza z drug± stron± za pomoc± LCP. Zwykle wystarcza domy¶lny zestaw opcji pppd, a wiêc nie bêdziemy tu rozwijaæ tego tematu. Wystarczy powiedzieæ, ¿e ta negocjacja czê¶ciowo dotyczy ¿±dania lub przypisania adresów IP dla ka¿dej ze stron po³±czenia.
Na razie zak³adamy, ¿e serwer c3po nie wymaga od nas ¿adnego uwierzytelnienia, a wiêc faza konfiguracji koñczy siê pe³nym sukcesem.
pppd bêdzie nastêpnie negocjowaæ parametry IP z drug± stron±, u¿ywaj±c IPCP - protoko³u steruj±cego IP. Poniewa¿ wcze¶niej nie okre¶lili¶my ¿adnego szczególnego adresu IP dla pppd, to bêdzie on próbowaæ wykorzystaæ adres uzyskany od resolvera sprawdzaj±cego lokaln± nazwê hosta. Nastêpnie obie strony przeka¿± sobie wzajemnie swoje adresy.
Zwykle w ustawieniach domy¶lnych nie ma nic z³ego. Nawet je¿eli twój komputer znajduje siê w sieci Ethernet, mo¿esz mieæ ten sam adres IP zarówno dla interfejsu Ethernet, jak i PPP. Jednak pppd pozwala u¿ywaæ innego adresu, a nawet zasugerowaæ drugiej stronie u¿ycie jakiego¶ okre¶lonego adresu. Opcje te omawiamy dalej, w podrozdziale Opcje konfiguracyjne IP.
Po przej¶ciu przez fazê konfiguracji IPCP, pppd przygotuje warstwê sieciow± twojego hosta do dzia³ania w roli ³±cza PPP. Najpierw konfiguruje interfejs sieciowy PPP jako ³±cze punkt-punkt, u¿ywaj±c ppp0 dla pierwszego aktywnego ³±cza PPP, ppp1 dla drugiego i tak dalej. Nastêpnie dokonuje wpisu w tablicy rutingu, tak by wskazywa³ on na hosta po drugiej stronie ³±cza. W poprzednim przyk³adzie pppd ustawi³ domy¶lny ruting do sieci na c3po, poniewa¿ podali¶my go w opcji defaultroute*. Obecno¶æ trasy domy¶lnej upraszcza ruting, gdy¿ wszelkie datagramy IP nie przeznaczone dla hosta lokalnego s± wysy³ane do c3po. Ma to sens, poniewa¿ jest to jedyna trasa, któr± mo¿na do niego dotrzeæ. Istnieje szereg ró¿nych schematów rutingu obs³ugiwanych przez pppd. Omówimy je szczegó³owo w dalszej czê¶ci tego rozdzia³u.
U¿ywanie plików opcji
Zanim pppd dokona analizy sk³adniowej argumentów wiersza poleceñ, przegl±da kilka plików w poszukiwaniu opcji domy¶lnych. Pliki te mog± zawieraæ wszelkie dopuszczalne argumenty wiersza poleceñ rozrzucone po wielu wierszach. Znaki hasha (#) oznaczaj± komentarze.
Pierwszym plikiem opcji jest /etc/ppp/options. Jest on zawsze przegl±dany podczas uruchamiania pppd. U¿ycie tego pliku do ustawienia kilku globalnych warto¶ci domy¶lnych jest dobrym pomys³em, poniewa¿ pozwala powstrzymaæ u¿ytkowników od zrobienia pewnych rzeczy, które mog± zagra¿aæ bezpieczeñstwu systemu. Na przyk³ad, aby w³±czyæ w pppd wymóg uwierzytelniania (PAP czy CHAP) dla drugiej strony, wystarczy dodaæ w tym pliku opcjê auth. Opcja ta nie mo¿e byæ zmieniona przez u¿ytkownika, a wiêc niemo¿liwe staje siê zrealizowanie po³±czenia PPP z jakimkolwiek systemem, który nie znajduje siê w autoryzacyjnej bazie danych. Zauwa¿ jednak, ¿e niektóre opcje mo¿na zmieniæ. Dobrym przyk³adem jest ci±g znaków opcji connect. 
Inny plik opcji odczytywany po /etc/ppp/options, to .ppprc w katalogu macierzystym u¿ytkownika. Pozwala on ka¿demu u¿ytkownikowi okre¶liæ w³asny zestaw opcji domy¶lnych.
Przyk³adowy plik /etc/ppp/options móg³by wygl±daæ tak:

# Globalne opcje dla pppd dzia³aj±cego na vlager.vbrew.com
lock               # u¿yj blokowania urz±dzenia w stylu UUCP
auth               # wymóg uwierzytelnienia
usehostname        # u¿yj lokalnej nazwy hosta dla CHAP
domain vbrew.com   # nazwa naszej domeny

S³owo kluczowe lock powoduje, ¿e pppd obs³uguje metodê blokowania urz±dzenia zgodn± ze standardem UUCP. W tej konwencji ka¿dy proces, który ma dostêp do urz±dzenia szeregowego, na przyk³ad /dev/ttyS3, tworzy w specjalnym katalogu plik blokuj±cy o nazwie postaci LCK..ttyS3 i w ten sposób informuje, ¿e urz±dzenie jest u¿ywane. Jest to jedyna mo¿liwo¶æ, aby inne programy, takie jak minicom czy uucico, nie otwiera³y urz±dzeñ szeregowych u¿ywanych przez PPP.
Kolejne trzy opcje odnosz± siê do uwierzytelniania i co za tym idzie s± zwi±zane z bezpieczeñstwem systemu. Opcje uwierzytelniania najlepiej umie¶ciæ w globalnym pliku konfiguracyjnym, poniewa¿ jest on "uprzywilejowany" i ma wy¿szy priorytet ni¿ pliki opcji u¿ytkowników ~/.ppprc (nie mog± oni zmieniaæ ustawionych w nim opcji).
Stosowanie chat do automatycznego dzwonienia
Jedn± z rzeczy w poprzednim przyk³adzie, która mog³a wydaæ ci siê niewygodna, jest to, ¿e musisz rêcznie zrealizowaæ po³±czenie, zanim bêdziesz móg³ uruchomiæ pppd. W odró¿nieniu od dip, pppd nie ma w³asnego jêzyka skryptowego pozwalaj±cego na dzwonienie i logowanie siê do zdalnych systemów, ale korzysta z zewnêtrznego programu lub skryptu pow³oki. Polecenie do wykonania mo¿e byæ podane pppd za pomoc± opcji wiersza poleceñ connect. pppd przekieruje standardowe wej¶cie i wyj¶cie polecenia do ³±cza szeregowego.
Pakiet oprogramowania pppd zawiera bardzo prosty program chat, który mo¿e byæ u¿ywany do automatyzacji prostych sekwencji logowania. Polecenie to omówimy bardziej szczegó³owo.
Je¿eli twoja sekwencja logowania jest z³o¿ona, bêdziesz potrzebowa³ czego¶ lepszego ni¿ chat. Na pewno wart rozwa¿enia jest expect, napisany przez Dona Libesa. Ma bardzo wydajny jêzyk oparty na Tcl i zosta³ przewidziany w³a¶nie do takich zadañ. Je¶li masz sekwencjê logowania, która wymaga na przyk³ad uwierzytelnienia typu wywo³anie/odpowied¼, opatrego na kalkulatorowych generatorach kluczy, przekonasz siê, ¿e expect jest wystarczaj±co dobry, by zrealizowaæ to zadanie. Poniewa¿ mo¿liwo¶ci s± tutaj du¿e, nie bêdziemy opisywali, jak stworzyæ odpowiedni skrypt expecta. Do¶æ powiedzieæ, ¿e swój skrypt expect mo¿esz wywo³aæ, podaj±c jego nazwê w opcji connect pppd. Trzeba tak¿e wiedzieæ, ¿e gdy skrypt zostanie uruchomiony, standardowe wej¶cie i wyj¶cie zostan± pod³±czone do modemu, a nie do terminala, z którego zosta³ wywo³any pppd. Je¿eli wymagana jest interakcja z u¿ytkownikiem, powiniene¶ j± obs³u¿yæ, otwieraj±c dodatkowy wirtualny terminal lub w jaki¶ inny sposób.
Polecenie chat pozwala ci stworzyæ skrypt dialogowy w stylu UUCP. Zasadniczo skrypt chat sk³ada siê z kolejnych sekwencji ci±gów znaków, których oczekujemy od zdalnego systemu, i odpowiedzi, które na nie wysy³amy. Nazywamy je odpowiednio ci±giem oczekiwanym (ang. expect string) i ci±giem wysy³anym (ang. send string). Oto typowy fragment skryptu dialogowego:

ogin: b1ff ssword: s3|<r1t

Ten skrypt informuje chat, ¿eby czeka³, a¿ system zdalny przy¶le monit logowania, i w odpowiedzi wys³a³ nazwê u¿ytkownika b1ff. Oczekujemy tylko na ogin:, a wiêc nie ma znaczenia, czy monit logowania zaczyna siê du¿±, czy ma³± liter± l. Nastêpny ci±g powoduje, ¿e chat czeka na monit has³a i wysy³a w odpowiedzi nasze has³o.
W zasadzie jest to wszystko, co robi± skrypty dialogowe. Pe³ny skrypt dzwoni±cy do serwera PPP oczywi¶cie musia³by zawieraæ odpowiednie polecenia modemu. Za³ó¿my, ¿e twój modem rozumie zestaw poleceñ Hayesa, a numer telefonu serwera to 318714. Pe³ne wywo³anie chat realizuj±ce po³±czenie z c3po by³oby nastêpuj±ce:

$ chat -v '' ATZ OK ATDT318714 CONNECT '' ogin: ppp word: GaGariN

Z definicji pierwszy ci±g musi byæ ci±giem oczekiwanym, ale poniewa¿ modem nic nie przy¶le, zanim go nie zainicjujemy, ustawili¶my chat tak, aby pomija³ pierwszy oczekiwany ci±g znaków, podaj±c ci±g pusty. Nastêpnie wysy³amy ATZ - polecenie zerowania modemów kompatybilnych ze standardem Hayesa i czekamy na odpowied¼ (OK). Kolejny ci±g znaków wysy³a do chat polecenie dial wraz z numerem telefonu i oczekuje w odpowiedzi komunikatu CONNECT. Dalej znów nastêpuje pusty ci±g znaków, poniewa¿ nie chcemy teraz nic wysy³aæ, a raczej czekamy na monit logowania. Pozosta³a czê¶æ skryptu dialogowego dzia³a dok³adnie tak, jak opisali¶my wcze¶niej. Opis ten prawdopodobnie wygl±da na nieco zagmatwany, ale za chwilê zobaczymy, ¿e istnieje sposób na stworzenie skryptów dialogowych du¿o ³atwiejszych do zrozumienia.
Opcja -v powoduje, ¿e chat loguje wszystkie dzia³ania przez funkcjê local2* demona syslog.
Podanie skryptu dialogowego w wierszu poleceñ jest ryzykowne, poniewa¿ u¿ytkownicy mog± podejrzeæ wiersz poleceñ za pomoc± ps. Ryzyka tego mo¿esz unikn±æ, umieszczaj±c skrypt dialogowy w pliku na przyk³ad dial-c3po. Nastêpnie zmuszasz chat do czytania skryptu z pliku zamiast z wiersza poleceñ, podaj±c opcjê -f, a po niej nazwê pliku. Takie podej¶cie ma dodatkow± zaletê - u³atwia zrozumienie sekwencji skryptu dialogowego. Po zamianie naszego przyk³adu na plik dial-c3po bêdzie on wygl±da³ nastêpuj±co:

''        ATZ
OK        ATDT318714
CONNECT   ''
ogin:     ppp
word:     GaGariN

W tej postaci skryptu dialogowego oczekiwany ci±g znaków znajduje siê po lewej stronie, a to co wysy³amy w odpowiedzi - po prawej. Co¶ pokazanego w taki sposób czyta siê du¿o ³atwiej.
Pe³ne wywo³anie pppd teraz wygl±da³oby nastêpuj±co:

# pppd connect "chat -f dial-c3po" /dev/ttyS3 38400 -detach \
        crtscts modem defaultroute

Poza opcj± connect okre¶laj±c± skrypt, podali¶my w wierszu poleceñ dwie dodatkowe opcje: -detach, która mówi pppd, by nie od³±cza³ siê od konsoli i nie stawa³ siê procesem dzia³aj±cym w tle, oraz s³owo kluczowe modem, które realizuje dzia³ania specyficzne dla modemu widocznego jako urz±dzenie szeregowe, czyli roz³±czenie linii przed dzwonieniem i po nim. Je¿eli nie u¿yjesz tego s³owa kluczowego, pppd nie bêdzie sprawdza³o linii DCD portu i nie wykryje, czy przypadkiem druga strona  siê nie zawiesi³a.
Pokazane przyk³ady s± raczej proste. chat pozwala na tworzenie du¿o bardziej skomplikowanych skryptów. Na przyk³ad mo¿na okre¶liæ ci±g znaków, przy którym dialog zostanie przerwany z b³êdem. Typowe ci±gi przerywaj±ce komunikat BUSY czy NO CARRIER. Modem zwykle je generuje, gdy wywo³ywany numer jest zajêty albo nie odpowiada. Aby chat rozpoznawa³ te komunikaty natychmiast, mo¿esz je wpisaæ na pocz±tku skryptu, u¿ywaj±c s³owa kluczowego ABORT:

$ chat -v ABORT BUSY ABORT 'NO CARRIER' '' ATZ OK ...

Podobnie mo¿esz zmieniæ warto¶ci czasu oczekiwania dla czê¶ci skryptów dialogowych, wstawiaj±c tam opcje TIMEOUT.
Czasami potrzebne jest tak¿e warunkowe wykonywanie czê¶ci skryptu chat: gdy nie otrzymasz monitu logowania drugiej strony, zapewne zechcesz wys³aæ BREAK lub powrót karetki. Mo¿esz to zrobiæ, dodaj±c podskrypt do oczekiwanego ci±gu. Podskrypt sk³ada siê z oddzielonych kresk± sekwencji ci±gów wysy³anego i oczekiwanego, tak jak normalny skrypt. Podskrypt jest wykonywany wtedy, gdy oczekiwany ci±g znaków, do którego jest doklejony, nie nadejdzie na czas. Powy¿szy przyk³ad mogliby¶my zmodyfikowaæ nastêpuj±co:

ogin:-BREAK-ogin: ppp ssword: GaGariN

Gdy chat nie zobaczy monitu logowania zdalnego systemu, wywo³ywany jest podskrypt, który najpierw wysy³a BREAK, a nastêpnie czeka ponownie na monit logowania. Je¿eli teraz monit siê pojawi, skrypt dzia³a dalej normalnie. W przeciwnym razie koñczy dzia³anie z b³êdem.
Opcje konfiguracyjne IP
Protokó³ IPCP jest u¿ywany do negocjowania szeregu parametrów IP w czasie konfiguracji ³±cza. Zwykle ka¿da ze stron wysy³a pakiet ¿±dania konfiguracji IPCP (ang. IPCP configuration request) zawieraj±cy zmienne, których warto¶æ domy¶ln± chce zmieniæ. Po jego otrzymaniu strona zdalna sprawdza ka¿d± opcjê po kolei i potwierdza j± albo odrzuca.
pppd daje ci du¿± kontrolê nad opcjami IPCP, które próbuje negocjowaæ. Mo¿esz je dostosowywaæ przez ró¿ne opcje wiersza poleceñ, które omawiamy poni¿ej.
Wybór adresów IP
Wszystkim interfejsom trzeba przypisaæ adresy IP. Urz±dzenie PPP zawsze ma adres IP. W zestawie protoko³ów PPP znajduje siê mechanizm pozwalaj±cy na automatyczne przypisanie adresów IP do interfejsów PPP. Program PPP po jednej stronie ³±cza punkt-punkt mo¿e przypisaæ adres IP drugiemu koñcowi, ale mo¿liwe jest tak¿e, by ka¿dy u¿ywa³ w³asnego adresu IP.
Niektóre serwery PPP obs³uguj±ce wiele klientów przypisuj± adresy dynamicznie. S± one przypisywane do systemów tylko wtedy, gdy te zadzwoni±, a odbierane im, gdy siê wyloguj±. Pozwala to na ograniczenie liczby adresów IP do liczby linii komutowanych. Choæ ograniczenie to jest wygodne dla zarz±dców komutowanego serwera PPP, czêsto jest mniej wygodne dla dzwoni±cych do niego u¿ytkowników. W rozdziale 6 omówili¶my sposób odzorowywania nazw hostów na adresy IP za pomoc± bazy danych. Aby ludzie mogli pod³±czyæ siê do twojego hosta, musz± znaæ jego adres IP lub nazwê. Je¿eli jeste¶ u¿ytkownikiem us³ugi PPP, która przypisuje ci adres dynamicznie, trudno bêdzie ci siê tego dowiedzieæ bez uzyskania czego¶ w rodzaju pozwolenia na uaktualnianie bazy danych DNS po przypisaniu adresu IP. Takie systemy istniej±, ale nie bêdziemy ich tu szczegó³owo omawiaæ. Przyjrzymy siê natomiast preferowanemu podej¶ciu, które polega na u¿yciu tego samego adresu IP za ka¿dym razem, gdy ustanawiasz swoje po³±czenie sieciowe*.
W poprzednim przyk³adzie mieli¶my host c3po, na którym dzia³a³ demon pppd, i z nim zestawili¶my po³±czenie IP. Nie postawili¶my warunku, by po jakiejkolwiek stronie po³±czenia zosta³ wybrany konkretny adres IP. Zamiast tego pozwolili¶my pppd na realizacjê swojego dzia³ania domy¶lnego. Demon ten próbowa³ znale¼æ adres IP dla nazwy hosta lokalnego, w naszym przyk³adzie vlager, który wykorzysta³ po stronie lokalnej oraz pozwoli³ maszynie zdalnej c3po na ustalenie w³asnego adresu. PPP obs³uguje kilka ró¿nych sposobów przypisywania numerów IP.
Aby uzyskaæ konkretne adresy, wywo³ujesz pppd z nastêpuj±c± opcj±:

adres_lokalny:adres_zdalny

adres_lokalny i adres_zdalny mog± byæ podane zarówno w postaci liczbowej, jak i w postaci nazw hostów*. Ta opcja powoduje, ¿e pppd próbuje u¿ywaæ pierwszego z dostarczonych adresów jako w³asnego adresu IP, a drugiego jako adresu partnera. Je¿eli partner odmówi przyjêcia któregokolwiek adresu w czasie negocjacji IPCP, ³±cze nie zostanie uaktywnione**.
Je¿eli dzwonisz do serwera po adres IP, powiniene¶ sprawdziæ, czy pppd nie próbuje wynegocjowaæ adresu dla siebie. W tym celu u¿yj opcji noipdefault i pozostaw pole adres_lokalny puste. Opcja noipdefault powstrzyma demona pppd przed prób± u¿ycia adresu IP zwi±zanego z nazw± hosta jako adresu lokalnego.
Gdyby¶ chcia³ ustawiæ tylko adres lokalny oraz przyj±æ adres u¿ywany przez partnera, po prostu pozostaw puste pole adres_zdalny. Aby vlager u¿ywa³ adresu IP 130.83.4.27 zamiast swojego w³asnego, podaj w wierszu poleceñ 130.83.4.27:. Podobnie, aby ustawiæ jedynie adres zdalny, pozostaw puste pole adres_lokalny. Domy¶lnie pppd u¿yje adresu zwi±zanego z nazw± twojego hosta.
Ruting przez ³±cze PPP
Po skonfigurowaniu interfejsu sieciowego, pppd zwykle konfiguruje jedynie trasê hosta do jego partnera. Je¿eli zdalny host jest w sieci LAN, pewnie chcesz ³±czyæ siê tak¿e z hostami "poza" twoim partnerem. W takiej sytuacji nale¿y skonfigurowaæ tak¿e trasê dla sieci.
Widzieli¶my ju¿, ¿e za pomoc± opcji defaultroute, mo¿na poprosiæ pppd o skonfigurowanie trasy domy¶lnej. Opcja ta jest bardzo przydatna, je¿eli serwer PPP, do którego zadzwoni³e¶, dzia³a jako twój gateway internetowy.
Odwrotny przypadek, w którym twój system dzia³a jako gateway dla pojedynczego hosta, jest tak¿e stosunkowo ³atwo zrealizowaæ. Na przyk³ad we¼my pracownika browaru wirtualnego, którego maszyna domowa nazywa siê oneshot. Za³ó¿my tak¿e, ¿e skonfigurowali¶my vlager jako wdzwaniany serwer PPP. Je¿eli skonfigurowali¶my vlager do dynamicznego przypisywania adresu IP nale¿±cego do podsieci browaru, mo¿emy u¿yæ w pppd opcji proxyarp, która zainstaluje wpis proxy ARP dla oneshota. Automatycznie oneshot stanie siê dostêpny ze wszystkich hostów w browarze i winiarni.
Jednak nie zawsze jest to takie proste. Po³±czenie dwóch sieci lokalnych zwykle wymaga dodania szczególnego rutingu do sieci, poniewa¿ sieci te mog± mieæ w³asne trasy domy¶lne. Poza tym, gdyby obie strony ³±cza PPP by³y domy¶lnymi trasami dla ka¿dej z sieci, mog³aby powstaæ pêtla, w której wszystkie pakiety o nieznanym przeznaczeniu odbija³yby siê pomiêdzy koñcami ³±cza PPP, a¿ do wyga¶niêcia ich czasu ¿ycia.
Za³ó¿my, ¿e browar wirtualny otwiera oddzia³ w innym mie¶cie. Ten oddzial ma w³asn± sieæ Ethernet o adresie IP 172.16.3.0, która jest trzeci± podsieci± sieci klasy B browaru. Filia chce pod³±czyæ siê do sieci browaru przez PPP w celu uaktualniania baz klientów. Znów vlager dzia³a jako gateway dla sieci browaru i obs³uguje ³±cze PPP. Jego drugi koniec w oddziale nazywa siê vbourbon i ma adres IP 172.16.3.1. Sieæ ta jest pokazana na rysunku A-2 w dodatku A, Przyk³adowa sieæ: browar wirtualny.
Gdy vbourbon ³±czy siê z vlagerem, ustawia trasê domy¶ln± tak, by wskazywa³a jak zwykle na vlager. Jednak na vlagerze bêdziemy mieli tylko trasê punkt-punkt do vbourbon i bêdziemy musieli specjalnie skonfigurowaæ ruting sieci dla podsieci 3 wykorzystuj±cy vbourbon jako gateway. Mo¿emy to zrobiæ rêcznie, u¿ywaj±c polecenia route po zestawieniu po³±czenia PPP, ale nie jest to zbyt praktyczne rozwi±zanie. Na szczê¶cie mo¿emy skonfigurowaæ trasê automatycznie, u¿ywaj±c funkcji pppd, której jeszcze nie omawiali¶my: polecenia ip-up. Polecenie to jest skryptem pow³oki albo programem ulokowanym w katalogu /etc/ppp i jest uruchamiane przez pppd po skonfigurowaniu interfejsu PPP. Jest wywo³ywane z nastêpuj±cymi parametrami:

ip-up interfejs urz±dzenie prêdko¶æ adr_lok adr_zdal

Poni¿sza tabela podaje znaczenie ka¿dego argumentu (w pierwszej kolumnie pokazujemy liczbê u¿ywan± przez skrypt pow³oki przy odwo³ywaniu siê do ka¿dego z argumentów):
Argument	Nazwa	Przeznaczenie
$1
interfejs
U¿ywany interfejs sieciowy, np. ppp0.
$2
urz±dzenie
¦cie¿ka do pliku u¿ywanego urz±dzenia szeregowego (/dev/tty je¿eli jest u¿ywane stdin/stdout).
$3
prêdko¶æ
Prêdko¶æ urz±dzenia szeregowego w b/s.
$4
adr_lok
Adres IP lokalnego koñca ³±cza w postaci liczbowej.
$5
adr_zdal
Adres IP zdalnego koñca ³±cza w postaci liczbowej.
W naszym przypadku skrypt ip-up mo¿e zawieraæ nastêpuj±cy fragment kodu*:

#!/bin/sh
case $5 in
172.16.3.1)      # to jest vbourbon
      route add -net 172.16.3.0 gw 172.16.3.1;;
...
esac
exit 0

Podobnie /etc/ppp/ip-down mo¿e byæ u¿yte do cofniêcia wszelkich dzia³añ ip-up po roz³±czeniu ³±cza PPP. Tak wiêc w naszym skrypcie /etc/ppp/ip-down mogliby¶my mieæ polecenie route usuwaj±ce trasê stworzon± w skrypcie /etc/ppp/ip-up.
Jednak nie jest to jeszcze pe³ny schemat rutingu. Stworzyli¶my wpisy w tablicy rutingu na obu hostach PPP, ale do tej pory ¿aden host w ¿adnej z tych sieci nic nie wie o ³±czu PPP. Nie stanowi to problemu, je¿eli wszystkie hosty w oddziale maj± w³asny ruting domy¶lny wskazuj±cy na vbourbon, a wszystkie hosty w browarze maj± domy¶lny ruting na vlager. Je¿eli jednak w twojej sytuacji nie jest to dobre rozwi±zanie, jedn± mo¿liwo¶ci± jest zwykle zastosowanie demona rutingu, na przyk³ad gated. Po utworzeniu trasy do vlagera, demon rutingu rozg³asza j± wszystkim hostom w pod³±czonych podsieciach.
Opcje sterowania ³±czem
Spotkali¶my siê ju¿ z protoko³em sterowania ³±czem (LCP), który jest u¿ywany do negocjacji charakterystyk i testowania ³±cza.
Dwie najwa¿niejsze opcje negocjowane przez LCP to: mapa znaków steruj±cych w transmisji asynchronicznej (Asynchronous Control Character Map) i maksymalna jednostka odbioru (Maximum Receive Unit). Istnieje szereg innych opcji konfiguracyjnych LCP, ale s± one zbyt specjalistyczne, by je tu omawiaæ.
Mapa znaków steruj±cych w transmisji asynchronicznej, potocznie zwana map± asynchroniczn± (ang. async map), jest u¿ywana w ³±czach asynchronicznych, takich jak linie telefoniczne, do identyfikowania znaków steruj±cych, które musz± byæ maskowane (zastêpowane przez specyficzn± sekwencjê dwuznakow±), aby nie zosta³y zinterpretowane przez urz±dzenia u¿ywane do zestawiania po³±czenia. Na przyk³ad mo¿na w ten sposób unikn±æ znaków XON i XOFF u¿ywanych przy programowym uzgadnianiu, poniewa¿ ¼le skonfigurowane modemy mog³yby siê zawiesiæ po otrzymaniu XOFF. Inny potencjalnie niebezpieczny znak to [CTRL+l] (znak ucieczkowy telnet). PPP pozwala na maskowanie wszelkich znaków o kodach ASCII od 0 do 31 przez umieszczenie ich w mapie asynchronicznej.
Mapa asynchroniczna jest 32-bitowym ci±giem wyra¿onym w postaci liczby szesnastkowej. Najmniej znacz±cy bit odpowiada znakowi NULL ASCII, a najbardziej znacz±cy bit odpowiada znakowi o dziesiêtnym kodzie 31 w zestawie ASCII. Te 32 znaki ASCII s± znakami steruj±cymi. Je¿eli bit w ci±gu jest ustawiony, sygnalizuje, ¿e odpowiadaj±cy mu znak musi byæ zamaskowany przed przes³aniem przez ³±cze.
Aby powiadomiæ partnera, ¿e nie musi maskowaæ wszystkich znaków steruj±cych, a tylko te kilka, mo¿esz wprowadziæ mapê asynchroniczn± do pppd za pomoc± opcji asyncmap. Na przyk³ad je¿eli musz± byæ maskowane tylko znaki ^S i ^Q (ASCII 17 i 19, powszechnie u¿ywane dla XON i XOFF), u¿yj poni¿szej opcji:

asyncmap 0x000A0000

Konwersja jest prosta, gdy¿ polega jedynie na zamianie liczby binarnej na szesnastkow±. Narysuj sobie 32 bity. Skrajny bit z prawej strony odpowiada znakowi ASCII 00 (NULL), a z lewej strony znakowi ASCII 32 (dziesiêtnie). Ustaw bity odpowiadaj±ce znakom, które chcesz maskowaæ, a wszystkie inne pozostaw wyzerowane. Aby zamieniæ ten ci±g na liczbê szesnastkow±, której oczekuje pppd, po prostu we¼ ka¿de 4 bity i wyra¼ je w postaci liczby szesnastkowej. Powiniene¶ uzyskaæ osiem cyfr szesnastkowych. U³ó¿ z nich ci±g i poprzed¼ znakami "0x", aby wskazaæ, ¿e jest to liczba szesnastkowa. I gotowe.
Pocz±tkowo mapa asynchroniczna jest ustawiona na 0xffffffff, czyli wszystkie znaki steruj±ce s± zamaskowane. Jest to bezpieczna warto¶æ domy¶lna, ale zwykle jest to du¿o wiêcej, ni¿ potrzebujesz. Ka¿dy znak, który znajduje siê w mapie asynchronicznej, daje dwa znaki w czasie przesy³ania przez ³±cze, a wiêc maskowanie jest realizowane kosztem zwiêkszonego wykorzystania ³±cza i zmniejszenia wydajno¶ci.
Zwykle dobrze dzia³a mapa asynchroniczna o warto¶ci 0x0. W takim przypadku ¿adne maskowanie nie jest realizowane.
Maksymalna jednostka odbioru (MRU) przekazuje partnerowi informacjê o maksymalnym rozmiarze ramek HDLC, które chcemy odbieraæ. Choæ MRU mo¿e ci siê kojarzyæ z maksymaln± jednostk± transmisji (MTU), ma z ni± jednak niewiele wspólnego. MTU to parametr urz±dzenia sieciowego j±dra i opisuje maksymalny rozmiar ramki, któr± jest w stanie wys³aæ interfejs. MRU to informacja dla zdalnego koñca, mówi±ca mu, aby nie generowa³ ramek wiêkszych ni¿ MRU. Mimo to interfejs musi mieæ mo¿liwo¶æ odbierania ramek o wielko¶ci do 1500 bajtów.
Wybór MRU nie jest wiêc kwesti± tego, co ³±cze mo¿e przenie¶æ, ale raczej tego, co daje najlepsz± przepustowo¶æ. Je¿eli zamierzasz korzystaæ z aplikacji interaktywnych, ustawienie MRU na warto¶ci tak ma³e jak 296 bajtów jest dobrym pomys³em, a sporadyczne wiêksze pakiety (powiedzmy sesji FTP) nie spowoduj±, ¿e twój kursor bêdzie "skaka³". Aby pppd ¿±da³o MRU o warto¶ci 296, musisz podaæ opcjê mru 296. Jednak ma³e MRU ma sens tylko, je¿eli masz kompresjê nag³ówków VJ (jest ona domy¶lnie w³±czona), poniewa¿ w przeciwnym razie tracisz spor± czê¶æ ³±cza na przesy³anie nag³ówka IP ka¿dego datagramu.
pppd rozumie tak¿e kilka opcji LCP konfiguruj±cych ogólne zachowanie procesu negocjacji, takich jak maksymalna liczba ¿±dañ konfiguracyjnych, które mog± byæ wymienione przed roz³±czeniem ³±cza. Dopóki dok³adnie nie wiesz, co robisz, pozostaw te opcje w spokoju.
I na koniec, istniej± dwie opcje, które dotycz± powtarzania komunikatów LCP. PPP definiuje dwa komunikaty Echo Request i Echo Response. pppd u¿ywa tej funkcji do sprawdzania, czy ³±cze wci±¿ dzia³a. Mo¿esz j± w³±czyæ za pomoc± opcji lcp-echo-interval, podaj±c czas w sekundach. Je¿eli w zadanym przedziale czasu z hosta zdalnego nie zostan± odebrane ¿adne ramki, pppd wygeneruje Echo Request i bêdzie oczekiwa³ a¿ partner zwróci Echo Response. Je¿eli partner nie odpowie, po³±czenie jest przerywane po wys³aniu pewnej liczby ¿±dañ. Liczba ta mo¿e byæ ustalona za pomoc± opcji icp-echo-failure. Domy¶lnie funkcja ta jest wy³±czona.

Uwagi na temat bezpieczeñstwa
?le skonfigurowany demon PPP mo¿e stanowiæ powa¿ne zagro¿enie. Mo¿e pozwoliæ ka¿demu na pod³±czenie swojego komputera do twojej sieci Ethernet (co jest bardzo niebezpiecznie). W tym podrozdziale omówimy kilka ¶rodków zaradczych, dziêki którym konfiguracja twojego PPP bêdzie bezpieczna.

Do skonfigurowania urz±dzenia sieciowego i tablicy rutingu s± potrzebne uprawnienia roota. Zwykle rozwi±zuje siê ten problem, uruchamiaj±c pppd z prawem setuid root. Jednak pppd pozwala u¿ytkownikom na ustawianie ró¿nych opcji maj±cych wp³yw na bezpieczeñstwo.
Aby siê zabezpieczyæ przed atakami, na które mo¿e naraziæ nas u¿ytkownik grzebi±cy w opcjach demona pppd, powiniene¶ ustawiæ kilka domy¶lnych warto¶ci w pliku globalnym /etc/ppp/options, na przyk³ad w sposób pokazany w przyk³adowym pliku we wcze¶niejszym podrozdziale U¿ywanie plików opcji. Niektóre z nich, takie jak opcje uwierzytelniania, nie mog± byæ zmienione przez u¿ytkownika i dziêki temu daj± sensowne zabezpieczenie przed manipulacjami. Wa¿n± opcj± zabezpieczaj±c± jest connect. Je¿eli masz zamiar pozwoliæ u¿ytkownikom nie maj±cym uprawnieñ roota na wywo³ywanie pppd i ³±czenie siê z Internetem, powiniene¶ zawsze dodaæ opcje connect i noauth w globalnym pliku opcji /etc/ppp/options. Je¿eli tego nie zrobisz, u¿ytkownicy bêd± mogli uruchamiaæ ró¿ne polecenia z prawami u¿ytkownika root, podaj±c je jako polecenia connect w wierszu poleceñ pppd albo umieszczaj±c w swoim prywatnym pliku opcji.
Innym dobrym pomys³em jest ograniczenie liczby u¿ytkowników, którym wolno uruchamiaæ pppd. W tym celu nale¿y utworzyæ grupê w pliku /etc/group i dodaæ do niej tylko tych, którzy mog± uruchamiaæ demona PPP. Nastêpnie trzeba zmieniæ prawa do demona pppd, tak aby mia³a do niego dostêp ta grupa i usun±æ prawo uruchamiania dla pozosta³ych osób. Zak³adaj±c, ¿e nazwa³e¶ swoj± grupê dialout, mo¿esz zrobiæ co¶ takiego:

# chown root /usr/sbin/pppd
# chgrp dialout /usr/sbin/pppd
# chmod 4750 /usr/sbin/pppd

Oczywi¶cie musisz siê zabezpieczyæ tak¿e przed systemami, z którymi ³±czysz siê przez PPP. Aby obroniæ siê przed hostami udaj±cymi kogo innego, powiniene¶ zawsze wymagaæ od drugiej strony jakiego¶ uwierzytelnienia. Nie powiniene¶ pozwalaæ obcym hostom na u¿ywanie wybranych przez nie adresów IP. Nale¿y im natomiast wskazaæ kilka dogodnych dla ciebie adresów. Nastêpny podrozdzia³ szczegó³owo opisuje te tematy.
Uwierzytelnianie w PPP
W PPP ka¿dy system mo¿e za¿±daæ uwierzytelnienia partnera za pomoc± jednego z dwóch protoko³ów uwierzytelniaj±cych: protoko³u uwierzytelniania has³em (Password Authentication Protocol - PAP) i protoko³u uwierzytelnienia przez uzgodnienie (Challenge Handshake Authentication Protocol - CHAP). Gdy po³±czenie zostanie zestawione, ka¿da strona mo¿e za¿±daæ od drugiej uwierzytelnienia siê, bez wzglêdu na to, czy jest stron± wywo³uj±c±, czy wywo³ywan±. W dalszym opisie bêdziemy lu¼no mówili o "kliencie" i "serwerze", gdy bêdziemy chcieli rozró¿niæ system wysy³aj±cy ¿±danie uwierzytelnienia od systemu na nie odpowiadaj±cego. Demon PPP mo¿e za¿±daæ uwierzytelnienia partnera, wysy³aj±c ¿±danie konfiguracyjne LCP identyfikuj±ce wybrany protokó³ uwierzytelniania.
PAP a CHAP
PAP, oferowany przez wielu us³ugodawców internetowych, dzia³a w zasadzie w ten sam sposób jak normalna procedura logowania. Klient uwierzytelnia siê, wysy³aj±c nazwê u¿ytkownika i (opcjonalnie zaszyfrowane) has³o do serwera, który porównuje je z baz± danych sekretów*. Ta technika nie stanowi zabezpieczenia przed pods³uchiwaczami, którzy mog± spróbowaæ uzyskaæ has³o, s³uchaj±c danych przesy³anych przez ³±cze szeregowe, i atakowaæ metod± prób i b³êdów.
CHAP nie ma tych niedostatków. W przypadku CHAP serwer wysy³a losowo wygenerowany ci±g "wywo³ania" do klienta wraz ze swoj± nazw± hosta. Klient wykorzystuje nazwê hosta do wyszukania odpowiedniego sekretu, ³±czy go z wywo³aniem i szyfruje ci±g za pomoc± jednokierunkowej funkcji mieszaj±cej. Wynik jest zwracany do serwera wraz z nazw± hosta klienta. Serwer teraz wykonuje te same obliczenia i potwierdza wiarygodno¶æ klienta, je¿eli uzyska ten sam wynik.
CHAP równie¿ nie wymaga, by klient sam uwierzytelnia³ siê tylko na pocz±tku, ale wysy³a wywo³ania w regularnych odstêpach czasu w celu sprawdzenia, czy za klienta nie zosta³ podstawiony kto¶ niepo¿±dany, na przyk³ad przez prze³±czenie linii telefonicznych, lub czy nie wyst±pi³ b³±d konfiguracji modemu, który spowodowa³, ¿e demon PPP nie zauwa¿y³, ¿e oryginalne po³±czenie zosta³o zerwane, a kto inny wdzwoni³ siê na to miejsce.
pppd przechowuje sekrety dla PAP i CHAP w dwóch oddzielnych plikach /etc/ppp/ pap-secrets i /etc/ppp/chap-secrets. Wpisuj±c zdalnego hosta w jednym lub drugim z nich, kontrolujesz, który z tych protoko³ów (PAP czy CHAP) jest u¿ywany do uwierzytelniania siê u twojego partnera i odwrotnie.
Domy¶lnie pppd nie wymaga uwierzytelniania zdalnego hosta, ale zgodzi siê sam uwierzytelniæ, gdy za¿±da tego zdalny host. Poniewa¿ CHAP jest du¿o silniejszym protoko³em ni¿ PAP, pppd próbuje zawsze go u¿ywaæ, o ile to jest tylko mo¿liwe. Je¿eli druga strona nie obs³uguje CHAP, albo je¿eli pppd nie mo¿e znale¼æ w pliku chap-secrets sekretu CHAP dla zdalnego systemu, prze³±cza siê na PAP. Je¿eli nie istnieje sekret PAP dla drugiej strony, pppd w ogóle odmawia uwierzytelnienia. W konsekwencji po³±czenie jest zrywane.
Zachowanie to mo¿esz zmieniæ na kilka sposobów. Gdy podasz s³owo kluczowe auth, pppd za¿±da, by druga strona sama siê uwierzytelni³a. pppd zgadza siê u¿yæ PAP lub CHAP, dopóki posiada w bazie danych odpowiednie sekrety drugiej strony. Istniej± inne opcje pozwalaj±ce na w³±czenie lub wy³±czenie zadanego protoko³u uwierzytelniania, ale nie bêdziemy ich tutaj opisywaæ.
Gdyby wszystkie systemy, z którymi ³±czysz siê przez PPP, zgadza³y siê same uwierzytelniaæ, powiniene¶ umie¶ciæ opcjê auth w globalnym pliku /etc/ppp/options i zdefiniowaæ has³a dla ka¿dego z tych systemów w pliku chap-secrets. Je¿eli system nie obs³uguje CHAP, dodaj dla niego wpis w pliku pap-secrets. Dziêki temu nieautoryzowane systemy nie pod³±cz± siê do twojego hosta.
Dwa nastêpne podrozdzia³y omawiaj± dwa pliki sekretów PPP: pap-secrets i chap-secrets. Znajduj± siê one w katalogu /etc/ppp i zawieraj± trójki klient, serwer i has³o, po których opcjonalnie nastêpuje lista adresów IP. Interpretacja pól klienta i serwera jest ró¿na dla CHAP i PAP i zale¿y od tego, czy sami siê uwierzytelniamy u partnera, czy ¿±damy, aby serwer uwierzytelni³ siê u nas.
Plik sekretów CHAP
Gdy pppd musi siê uwierzytelniæ na serwerze za pomoc± CHAP, przeszukuje plik chap-secrets w poszukiwaniu wpisu, w którym pole klienta jest takie samo jak lokalna nazwa hosta, a pole serwera jest takie samo jak nazwa hosta zdalnego wys³ana w wywo³aniu CHAP. Gdy wymagane jest samodzielne uwierzytelnienie siê partnera, role po prostu siê odwracaj±: pppd wtedy szuka wpisu, w którym pole klienta jest takie samo jak nazwa hosta zdalnego (wys³ana w odpowiedzi CHAP klienta), a pole serwera jest takie samo jak nazwa hosta lokalnego.
Poni¿ej pokazano przyk³adowy plik chap-secrets dla hosta vlager*. 

# Sekrety CHAP dla vlager.vbrew.com
#
# klient           serwer           sekret                 adresy
#--------------------------------------------------------------------------
vlager.vbrew.com   c3po.lucas.com   "Use The Source Luke"  vlager.vbrew.com
c3po.lucas.com     vlager.vbrew.com "arttoo! arttoo!"      c3po.lucas.com
*                  vlager.vbrew.com "TuXdrinksVicBitter"   pub.vbrew.com

Gdy vlager zestawi po³±czenie PPP z c3po, ten poprosi vlagera o uwierzytelnienie siê przez wys³anie wywo³ania CHAP. pppd na ho¶cie vlager sprawdzi nastêpnie plik chap-secrets w poszukiwaniu wpisu, w którym pole klienta ma warto¶æ vlager. vbrew.com, a pole serwera ma warto¶æ c3po.lucas.com, i znajdzie pierwszy wiersz pokazany w przyk³adzie.  Nastêpnie na podstawie ci±gu wywo³ania generuje odpowied¼ i sekret CHAP (Use The Source Luke) i wysy³a je do c3po.
pppd tworzy tak¿e wywo³anie CHAP dla c3po, zawieraj±ce unikatowy ci±g wywo³ania i pe³n± nazwê domenow± hosta, vlager.vbrew.com. Host c3po tworzy odpowied¼ CHAP w omówiony sposób i zwraca j± do vlagera. pppd nastêpnie wydobywa nazwê hosta klienta (c3po.vbrew.com) z odpowiedzi i przeszukuje plik chap-secrets w celu znalezienia wiersza zawieraj±cego klienta c3po i serwer vlager. Drugi wiersz pasuje, a wiêc pppd ³±czy wywo³anie CHAP i sekret arttoo! arttoo!, szyfruje je i porównuje wynik z odpowiedzi± CHAP klienta c3po.
Czwarte pole opcjonalne zawiera adresy IP, które s± dopuszczalne dla klienta o nazwie zawartej w pierwszym polu. Adresy mog± byæ podane w zapisie liczbowym lub jako nazwy hostów, które s± nastêpnie rozwi±zywane przez resolver. Na przyk³ad, gdyby w czasie negocjacji IPCP, klient c3po za¿±da³ u¿ycia adresu IP, którego nie ma na li¶cie, ¿±danie zosta³oby odrzucone, a sesja IPCP zakoñczona. Dlatego w pokazanym powy¿ej przyk³adowym pliku c3po mo¿e u¿ywaæ w³asnego adresu IP. Gdyby pole adresu by³o puste, dopuszczalne by³yby wszystkie adresy, a warto¶æ "-" zapobiega³aby w ogóle u¿yciu adresu IP w przypadku tego klienta.
Trzeci wiersz w przyk³adowym pliku chap-secrets pozwala, aby dowolny host stworzy³ po³±czenie PPP z vlagerem, poniewa¿ pole klienta lub serwera zawiera znak *, który pasuje do dowolnej nazwy hosta. Jedynym wymogiem jest to, ¿e pod³±czaj±cy siê host musi znaæ sekret i u¿ywaæ adresu IP zwi±zanego z hostem pub.vbrew.com. Wpisy z wyra¿eniami regularnymi w nazwie hosta mog± pojawiæ siê w dowolnym miejscu pliku sekretów, poniewa¿ pppd zawsze bêdzie u¿ywaæ tego, co najlepiej pasuje do pary serwer-klient.
pppd mo¿e potrzebowaæ nieco pomocy przy tworzeniu nazw hostów. Jak wcze¶niej wyja¶nili¶my, nazwa hosta zdalnego jest zawsze dostarczana przez drug± stronê w wywo³aniu CHAP lub w pakiecie z odpowiedzi±. Nazwa hosta lokalnego jest uzyskiwana przez domy¶lne wywo³anie funkcji gethostname(2). Gdyby¶ ustawi³ nazwê systemu na niepe³n± nazwê hosta, musia³by¶ dostarczyæ pppd tak¿e nazwê domeny, u¿ywaj±c opcji domain:

# pppd ... domain vbrew.com

Ta klauzula dodaje nazwê domeny browaru do vlagera w przypadku wszelkich dzia³añ zwi±zanych z uwierzytelnianiem. Inne opcje modyfikuj±ce pojêcie nazwy hosta lokalnego pppd to usehostname i name. Gdy w wierszu poleceñ podasz lokalny adres IP, u¿ywaj±c lokalny:zdalny i lokalny w postaci nazw, a nie liczb, pppd   uznaje za nazwê hosta lokalnego.
Plik sekretów PAP
Plik sekretów PAP jest bardzo podobny do pliku CHAP. Pierwsze dwa pola zawsze zawieraj± nazwê u¿ytkownika i nazwê serwera. Trzecie pole zawiera sekret PAP. Gdy zdalny host wysy³a swoje informacje uwierzytelniaj±ce, pppd wykorzystuje wpis, w którym pole serwera odpowiada nazwie lokalnego hosta, a pole u¿ytkownika odpowiada nazwie u¿ytkownika wys³anej w ¿±daniu. Gdy musimy wys³aæ swoje referencje do partnera, pppd wykorzystuje sekret z wiersza, w którym pole u¿ytkownika odpowiada nazwie lokalnego hosta, a pole serwera nazwie hosta zdalnego.

Przyk³adowy plik sekretów PAP mo¿e wygl±daæ nastêpuj±co:

# /etc/ppp/pap-secrets
#
# u¿ytkownik   serwer    sekret         adresy
vlager-pap     c3po      cresspahl      vlager.vbrew.com
c3po           vlager    DonaldGNUth    c3po.lucas.com

Pierwszy wiersz jest u¿ywany do uwierzytelnienia siê przy komunikacji z c3po. Drugi opisuje, jak u¿ytkownik c3po ma siê uwierzytelniæ u nas.
Nazwa vlager-pap w pierwszej kolumnie to nazwa u¿ytkownika, któr± wysy³amy do c3po. Domy¶lnie jako nazwê u¿ytkownika pppd przyjmuje nazwê hosta lokalnego, ale mo¿esz podaæ tak¿e inn± nazwê, wpisuj±c opcjê user, a za ni± nazwê.
Przy wybieraniu wpisu z pliku pap-secrets w celu zidentyfikowania nas na ho¶cie zdalnym, pppd musi znaæ nazwê hosta zdalnego. Poniewa¿ pppd samo nie ma mo¿liwo¶ci siê tego dowiedzieæ, musisz wpisaæ j± w wierszu poleceñ, u¿ywaj±c s³owa kluczowego remotename, a po nim nazwy hosta. Aby za pomoc± powy¿szego wpisu na przyk³ad uwierzytelniæ siê na c3po, musimy dodaæ poni¿sz± opcjê do wiersza poleceñ pppd:

# pppd ... remotename c3po user vlager-pap

W czwartym polu pliku sekretów PAP (i wszystkich kolejnych polach) mo¿esz wpisaæ adresy IP, które maj± prawo komunikowaæ siê z danym hostem, podobnie jak w pliku sekretów CHAP. Partner bêdzie mia³ prawo ¿±daæ tylko adresów z tej listy. W przyk³adowym pliku wpis, którego c3po u¿ywa, gdy siê wdzwania - wiersz, gdzie c3po jest klientem - pozwala na u¿ycie jego rzeczywistego adresu IP i ¿adnego innego.
Zauwa¿, ¿e PAP jest raczej s³ab± metod± uwierzytelniania i powiniene¶ u¿ywaæ CHAP, gdzie to tylko mo¿liwe. Dlatego nie bêdziemy dok³adniej omawiali PAP: je¿eli chcesz go u¿ywaæ, wiêcej na temat jego funkcji znajdziesz na stronach podrêcznika elektronicznego pppd(8).
Debugowanie twojej konfiguracji PPP
Domy¶lnie pppd zapisuje wszelkie ostrze¿enia i b³êdy za pomoc± funkcji daemon programu syslog. Do pliku syslog.conf musisz dodaæ wpis, który przekierowuje komunikaty do pliku lub na konsolê. W przeciwnym razie syslog bêdzie je po prostu ignorowa³. Poni¿ej pokazany wpis powoduje wysy³anie wszystkich komunikatów do pliku /var/log/ppp-log:

daemon.*      /var/log/ppp-log

Je¿eli twoja konfiguracja PPP nie dzia³a poprawnie, powiniene¶ zajrzeæ do tego pliku. Je¿eli zawarte w nim komunikaty nie pomog±, mo¿esz w³±czyæ dodatkowe debugowanie, u¿ywaj±c opcji debug. Spowoduje to, ¿e pppd bêdzie zapisywaæ zawarto¶æ wszystkich pakietów steruj±cych, wys³anych lub odebranych przez syslog. Wszystkie komunikaty bêd± nastêpnie przekierowywane do funkcji daemon.

I na koniec najbardziej drastyczny sposób na poradzenie sobie z problemem, czyli w³±czenie debugowania na poziomie j±dra - robi siê to, wywo³uj±c pppd z opcj± kdebug. Za ni± wpisujemy argument liczbowy bêd±cy sum± nastêpuj±cych warto¶ci: 1 - ogólne komunikaty debuguj±ce, 2 - wypisywanie zawarto¶ci wszystkich przychodz±cych ramek HDLC i 4 - sterownik wypisuje wszystkie wychodz±ce ramki HDLC. Aby przechwyciæ komunikaty debuguj±ce j±dra, musisz uruchomiæ demona syslogd, który czyta plik /proc/kmsg albo demona klogd. Oba te sposoby powoduj± przekierowanie komunikatów debuguj±cych do funkcji kernel demona syslog.
Bardziej zaawansowana konfiguracja PPP
Choæ konfigurowanie PPP tak, by dzwoniæ do sieci Internet, jest najpowszechniejszym zastosowaniem, s± w¶ród was tacy, którzy maj± bardziej zaawansowane wymagania. W tym podrozdziale omówimy kilka zaawansowanych konfiguracji mo¿liwych do uzyskania w PPP w Linuksie.
Serwer PPP
Uruchomienie pppd jako serwera jest jedynie kwesti± skonfigurowania urz±dzenia szeregowego tty na wywo³ywanie pppd z odpowiednimi opcjami, gdy zostan± odebrane przychodz±ce dane. Aby przeprowadziæ tak± konfiguracjê, mo¿na utworzyæ specjalne konto, powiedzmy ppp, i jako pow³okê logowania podaæ program wywo³uj±cy pppd z tymi opcjami. Alternatywnie, je¿eli chcesz korzystaæ z uwierzytelniania PAP lub CHAP, mo¿esz u¿yæ programu mgetty do obs³ugi swojego modemu i wykorzystaæ jego funkcjê "/AutoPPP/".
Aby stworzyæ serwer wykorzystuj±cy metodê logowania, do pliku /etc/passwd musisz dodaæ wiersz podobny do pokazanego poni¿ej*:

ppp:x:500:200:Public PPP Account:/tmp:/etc/ppp/ppplogin

Je¿eli twój system obs³uguje system hase³ shadow, musisz dodaæ tak¿e wpis do pliku /etc/shadow:

ppp:!:10913:0:99999:7:::

Oczywi¶cie u¿yte przez ciebie identyfikatory UID i GID zale¿± od tego, który u¿ytkownik ma byæ w³a¶cicielem po³±czenia i jak je utworzy³e¶. Za pomoc± polecenia passwd musisz tak¿e nadaæ has³o wspomnianemu kontu.
Skrypt ppplogin móg³by wygl±daæ tak:

#!/bin/sh
# ppplogin - skrypt uruchamiaj±cy pppd po zalogowaniu
mesg n
stty -echo
exec pppd -detach silent modem crtscts

Polecenie mesg wy³±cza innym u¿ytkownikom mo¿liwo¶æ zapisu do tty, na przyk³ad za pomoc± polecenia write. Polecenie stty wy³±cza powtarzanie znaków. Jest ono niezbêdne, gdy¿ w przeciwnym razie wszystko, co wy¶le druga strona, bêdzie powtarzane. Najwa¿niejsz± opcj± podan± w pppd jest -detach, poniewa¿ zapobiega od³±czeniu pppd od kontroluj±cego tty. Gdyby¶my nie podali tej opcji, program przeszed³by do pracy w tle, powoduj±c zakoñczenie skryptu pow³oki. Na skutek tego nast±pi³oby roz³±czenie linii i utrata po³±czenia. Opcja silent sprawia, ¿e przed rozpoczêciem wysy³ania, pppd czeka na odebranie pakietu od dzwoni±cego systemu. Ta opcja nie pozwala te¿ na pojawienie siê w transmisji czasów oczekiwania, je¶li system dzwoni±cy jest zbyt wolny przy uruchamianiu klienta PPP. Opcja modem powoduje, ¿e pppd steruje liniami kontrolnymi modemu pod³±czonego do portu szeregowego. Zawsze powiniene¶ w³±czaæ tê opcjê, gdy u¿ywasz pppd z modemem. Opcja crtscts w³±cza uzgadnianie sprzêtowe.
Oprócz wymienionych, s± te¿ jeszcze opcje o innym dzia³aniu. Na przyk³ad podaj±c auth w wierszu wywo³ania pppd lub w globalnym pliku opcji, mo¿esz wymusiæ jakie¶ uwierzytelnienie. Strona podrêcznika elektronicznego omawia bardziej szczegó³owe opcje w³±czania i wy³±czania poszczególnych protoko³ów uwierzytelniania.
Gdyby¶ chcia³ u¿ywaæ demona mgetty, trzeba jedynie skonfigurowaæ go tak, aby obs³ugiwa³ urz±dzenie szeregowe, do którego pod³±czony jest modem (szczegó³y znajdziesz w podrozdziale Konfigurowanie demona mgetty w rozdziale 4), skonfigurowaæ pppd na uwierzytelnianie przez PAP lub CHAP za pomoc± odpowiednich opcji w pliku options i wreszcie dodaæ do pliku /etc/mgetty/login.config co¶ takiego:

# Konfigurowanie mgetty do automatycznego wykrywania
# przychodz±cych wywo³añ PPP i uruchomienie demona pppd do 
# obs³ugi po³±czenia
#
/AutoPPP/ -   ppp   /usr/sbin/pppd auth -chap +pap login

Pierwsze pole to takie magiczne zaklêcie u¿ywane do wykrywania, czy nadchodz±ce po³±czenie jest typu PPP. Nie mo¿esz zmieniaæ pisowni tego ci±gu, gdy¿ istotne s± w nim du¿e i ma³e litery. Trzecia kolumna to nazwa u¿ytkownika, który pojawia siê na li¶cie who, gdy kto¶ siê zaloguje. Pozosta³a czê¶æ wiersza to polecenie do wywo³ania. Za pomoc± takiego zapisu jak w naszym przyk³adzie w³±czamy uwierzytelnianie PAP, wy³±czamy CHAP i mówimy, ¿e plik passwd powinien byæ u¿yty do znalezienia u¿ytkowników do uwierzytelnienia. Zapewne co¶ podobnego chcesz uzyskaæ. Pamiêtaj - mo¿esz okre¶liæ opcje w pliku options lub je¿eli wolisz, w wierszu poleceñ.
Oto krótka lista kolejnych zadañ do wykonania, je¿eli chcesz uruchomiæ na swoim komputerze wdzwaniany serwer PPP. Sprawd¼, czy ka¿dy krok zosta³ poprawnie zrealizowany, zanim przejdziesz do nastêpnego:
1.
Skonfigurowanie modemu do trybu automatycznego odpowiadania. W modemach kompatybilnych ze standardem Hayesa, trzeba podaæ komendê ATS0=3. Je¿eli zamierzasz u¿ywaæ demona mgetty, nie jest to konieczne.
2.
Skonfigurowanie urz±dzenia szeregowego za pomoc± polecenia getty, aby odpowiada³o na przychodz±ce po³±czenia. Powszechnie stosowan± odmian± getty jest mgetty.

3.
Rozwa¿enie uwierzytelniania. Czy te klienty bêd± uwierzytelniaæ siê za pomoc± PAP, CHAP, czy logowania systemowego?
4. 
Skonfigurowanie pppd jako serwera zgodnie z tym, co napisali¶my w tym podrozdziale.
5. 
Rozwa¿enie rutingu. Czy bêdziesz musia³ udostêpniæ klientom trasê do sieci? Mo¿na to zrobiæ za pomoc± skryptu ip-up.
Dzwonienie na ¿±danie
Je¿eli istnieje ruch IP, który ma byæ przesy³any przez ³±cze, zestawianie po³±czenia ze zdalnym hostem mo¿na zrealizowaæ przez dzwonienie na ¿±danie (ang. demand dialing). Jest ono najbardziej u¿yteczne, gdy nie mo¿esz na sta³e pozostawiæ swojej linii telefonicznej w stanie po³±czenia z dostawc± Internetu. Na przyk³ad gdyby¶ musia³ p³aciæ za rozmowy lokalne wed³ug czasu, taniej by³oby u¿ywaæ linii tylko wtedy, gdy jest potrzebna, i roz³±czaæ siê, gdy nie korzystasz z Internetu.
Tradycyjne rozwi±zania w Linuksie wykorzystywa³y polecenie diald, które dzia³a³o dobrze, ale mia³o nieco skomplikowan± konfiguracjê. Wersje 2.3.0 i nowsze demona PPP maj± wbudowan± obs³ugê dzwonienia na ¿±danie i konfiguruje siê j± do¶æ ³atwo. Aby dzia³a³a, musisz u¿yæ tak¿e nowszego j±dra. Nadaj± siê wszystkie j±dra nowsze ni¿ 2.0.
Aby skonfigurowaæ demonowi pppd dzwonienie na ¿±danie, wystarczy dodaæ opcje w swoim pliku options lub w wierszu poleceñ pppd. Poni¿sza tabela stanowi skrótowy opis opcji zwi±zanych z dzwonieniem na ¿±danie:
Opcja	Opis
demand
Ta opcja mówi, ¿e ³±cze PPP powinno byæ prze³±czone do trybu dzwonienia na ¿±danie. Zostanie utworzone urz±dzenie sieciowe PPP, ale polecenie connect nie bêdzie u¿ywane, dopóki z lokalnego hosta nie zostanie wys³any datagram. Ta opcja jest obowi±zkowa, aby dzwonienie na ¿±danie dzia³a³o.
archive-filter
wyra¿enie
Ta opcja pozwala ci okre¶liæ, które pakiety danych s± uznawane za aktywny ruch. Wszelki ruch pasuj±cy do zadanej regu³y bêdzie restartowa³ zegar dzwonienia na ¿±danie, a pppd bêdzie dalej czekaæ, zanim roz³±czy liniê. Sk³adnia filtru zosta³a zapo¿yczona z polecenia tcpdump. Domy¶lny filtr pasuje do wszystkich datagramów.
holdoff n
Ta opcja pozwala na okre¶lenie minimalnego czasu (w sekundach), jaki nale¿y odczekaæ przed roz³±czeniem linii, je¿eli nie ma transmisji. Je¿eli po³±czenie nie dzia³a, a pppd my¶li, ¿e jest ono ca³y czas aktywne, zostanie ono ponownie uruchomione, kiedy up³ynie czas okre¶lony t± opcj±. Nie dotyczy ona jednak ponownego po³±czenia po up³yniêciu czasu ja³owego oczekiwania.
idle n


Je¿eli ta opcja jest skonfigurowana, pppd roz³±czy liniê, gdy up³ynie podany czas. Czasy ja³owego oczekiwania s± okre¶lane w sekundach. Ka¿dy nowy pakiet danych zeruje ten licznik.

Prosta konfiguracja dzwonienia na ¿±danie mog³aby wygl±daæ jako¶ tak:

demand
holdoff 60
idle 180

Ta konfiguracja powoduje w³±czenie dzwonienia na ¿±danie, odczekanie 60 sekund przed ponownym zestawieniem nieudanego po³±czenia i roz³±czenie, je¿eli w ci±gu 180 sekund nie pojawi± siê ¿adne aktywne dane na ³±czu.
Sta³e po³±czenie telefoniczne
Po³±czenie sta³e oznacza, ¿e linia jest ca³y czas w stanie aktywno¶ci, czyli jest pod³±czona do sieci. Istnieje niewielka ró¿nica pomiêdzy dzwonieniem na ¿±danie a po³±czeniem sta³ym. Po³±czenie sta³e jest automatycznie zestawiane zaraz po uruchomieniu demona PPP, a gdy linia telefoniczna obs³uguj±ca ³±cze ulegnie roz³±czeniu, podejmowana jest ponowna próba po³±czenia. Po³±czenie sta³e gwarantuje, ¿e ³±cze jest dostêpne przez ca³y czas dziêki automatycznemu odtwarzaniu uszkodzonego po³±czenia.
Mo¿esz byæ w tej szczê¶liwej sytuacji, ¿e nie musisz p³aciæ za rozmowy telefoniczne. Byæ mo¿e s± to rozmowy lokalne i dlatego s± darmowe, albo s± op³acone przez twoj± firmê. Opcja sta³ego po³±czenia jest niezmiernie przydatna w takiej sytuacji. Je¿eli p³acisz za swoje rozmowy, musisz byæ bardziej ostro¿ny. Je¿eli p³acisz za czas na linii, sta³e z ca³± pewno¶ci± nie jest dla ciebie, chyba ¿e naprawdê musisz je mieæ przez dwadzie¶cia cztery godziny na dobê. Je¿eli p³acisz za nawi±zanie po³±czenia, a nie za czas trwania rozmowy, musisz zabezpieczyæ siê przed sytuacjami, które mog± powodowaæ, ¿e twój modem bêdzie bez koñca nawi±zywa³ nowe po³±czenia. Demon pppd ma tak± opcjê.
Aby uruchomiæ sta³e po³±czenie telefoniczne, musisz do³±czyæ opcjê persist w jednym z plików opcji pppd. To wystarczy, aby pppd automatycznie wywo³ywa³o polecenie okre¶lone w opcji connect, które odtworzy po³±czenie w razie jego zerwania. Je¿eli martwisz siê o zbyt czêste dzwonienie modemu (w przypadku, gdy modem lub serwer po drugiej stronie zostan± uszkodzone), mo¿esz u¿yæ opcji holdoff, aby ustawiæ minimalny czas, jaki pppd musi odczekaæ przed prób± ponownego po³±czenia. Opcja ta nie rozwi±zuje problemu utraty pieniêdzy za po³±czenia w czasie awarii, ale przynajmniej redukuje sumê.
Typowa konfiguracja mog³aby mieæ ustawione nastêpuj±ce opcje zwi±zane ze sta³ym po³±czeniem:

persist
holdoff 600

Czas oczekiwania na ponowne wybranie numeru jest okre¶lony w sekundach. W naszym przyk³adzie pppd czeka pe³ne piêæ minut od momentu zerwania po³±czenia, zanim zacznie ponownie dzwoniæ.
Sta³e po³±czenie telefoniczne mo¿e wspó³wyst±piæ z dzwonieniem na ¿±danie. Aby tak siê sta³o, nale¿y u¿yæ opcji idle do roz³±czania linii, gdy jest nieaktywna przez zadany okres czasu. Nie wydaje nam siê, by wiele osób chcia³o stosowaæ to rozwi±zanie, ale scenariusz ten jest w skrócie opisany na stronie podrêcznika elektronicznego pppd, gdyby¶ chcia³ go wykorzystaæ.


9
Firewall TCP/IP


Rozdzia³ 9: Firewall TCP/IP


Bezpieczeñstwo jest coraz wa¿niejsze zarówno dla firm, jak i osób prywatnych. Internet daje wszystkim doskona³e narzêdzia do rozpowszechniania informacji o sobie i uzyskiwania informacji od innych, ale równocze¶nie niesie ze sob± zagro¿enia, których wcze¶niej nie by³o: przestêpstwa komputerowe, kradzie¿ informacji i z³o¶liwe zniszczenia.
Nieuprawnione i nieuczciwe osoby, które uzyskuj± dostêp do systemu komputerowego, mog± zgadn±æ has³a czy wykorzystaæ b³êdy i naturalne zachowanie pewnych programów, aby za³o¿yæ sobie konto na danym komputerze. Gdy ju¿ mog± siê zalogowaæ, maj± dostêp do ró¿nych informacji, nawet do wa¿nych informacji handlowych, takich jak plany marketingowe, szczegó³y dotycz±ce nowego projektu czy bazy danych o klientach, które mog± wykorzystaæ na szkodê ich w³a¶ciciela. Uszkodzenie lub modyfikacja tego typu danych mo¿e naraziæ na powa¿ne k³opoty firmê.
Najbezpieczniejszym sposobem unikniêcia takich powszechnych zagro¿eñ jest uniemo¿liwienie dostêpu do sieci osobom nieuprawnionym. Z pomoc± przychodz± tutaj firewalle.

Stworzenie bezpiecznych firewalli jest sztuk±. Wymaga dobrego zrozumienia technologii, ale co równie wa¿ne, wymaga zrozumienia filozofii siêgaj±cej poza ich konstrukcjê. Nie bêdziemy tu opisywali wszystkiego, co musisz wiedzieæ. Radzimy, by¶ wykona³ pewne dodatkowe badania, zanim zaufasz jakiej¶ szczególnej architekturze firewalla, równie¿ tej, któr± tutaj pokazujemy.
Istnieje wystarczaj±co du¿o materia³u na temat konfiguracji i budowy firewalla, by wype³niæ nim ca³± ksi±¿kê; do naprawdê doskona³ych ¼róde³ nale¿± miêdzy innymi:
Building Internet Firewalls

autorstwa D. Chapmana i E. Zwicky (O'Reilly; wyd. polskie nak³adem Wydawnictwa RM - w przygotowaniu). Podrêcznik wyja¶niaj±cy, jak utworzyæ i zainstalowaæ firewalle w Uniksie, Linuksie i Windows NT oraz jak skonfigurowaæ us³ugi internetowe do pracy z firewallami.

Firewalls and Internet Security

autorstwa W. Cheswicka i S. Bellovina (wyd. Addison Wesley). Ta ksi±¿ka omawia filozofiê budowy i implementacji firewalli.
W tym rozdziale skupimy siê na zagadnieniach technicznych, specyficznych dla Linuksa. Pó¼niej poka¿emy przyk³adow± konfiguracjê firewalla, która powinna s³u¿yæ jako u¿yteczny punkt wyj¶cia do w³asnej konfiguracji, ale jak to bywa w zagadnieniach bezpieczeñstwa, nigdy nikomu nie ufaj. Dwa razy sprawd¼ projekt, upewnij siê, ¿e go rozumiesz, a nastêpnie zmodyfikuj tak, aby pasowa³ do twoich potrzeb. Pewno¶æ to bezpieczeñstwo.
Metody ataku
Dla administratora sieci wa¿ne jest, by rozumia³ istotê potencjalnych ataków zagra¿aj±cych bezpieczeñstwu komputera. Pokrótce opiszemy najwa¿niejsze typy ataków, tak by¶ lepiej zrozumia³, przed czym chroni ciê firewall IP w Linuksie. Aby byæ pewnym, ¿e jeste¶ w stanie zabezpieczyæ swoj± sieæ przed innymi typami ataków, powiniene¶ siêgn±æ po dodatkow± lekturê. Oto najwa¿niejsze metody ataku i sposoby zabezpieczania siê przed nimi:
Nieautoryzowany dostêp

Oznacza po prostu, ¿e ludzie, którzy nie powinni korzystaæ z us³ug oferowanych przez twój komputer, s± w stanie siê do niego pod³±czyæ i z nich korzystaæ. Na przyk³ad ludzie spoza firmy mog± próbowaæ po³±czyæ siê z komputerem obs³uguj±cym ksiêgowo¶æ twojej firmy lub z twoim serwerem NFS.
Istniej± ró¿ne sposoby unikniêcia tego ataku. Trzeba precyzyjnie okre¶liæ, kto mo¿e mieæ dostêp do danych us³ug. Mo¿esz zabroniæ dostêpu do sieci wszystkim poza wyznaczonymi przez ciebie osobami.
Wykorzystanie znanych dziur w programach

Wczasach kiedy powstawa³y niektóre programy i us³ugi sieciowe, nie uwzglêdniano jeszcze rygorystycznych zasad bezpieczeñstwa. Te w³a¶nie s± z natury bardziej podatne na zagro¿enia. Us³ugi zdalne BSD (rlogin, rexec itp.) s± tu doskona³ym przyk³adem.
Najlepszym sposobem na zabezpieczenie siê przed tego typu atakiem jest wy³±czenie wszelkich podatnych us³ug lub znalezienie alternatywy. W przypadku Open Source czasem mo¿liwe jest za³atanie dziury w programie.
Odmowa obs³ugi

Ataki typu odmowa obs³ugi powoduj±, ¿e us³uga lub program przestaj± dzia³aæ lub nie pozwalaj± innym z siebie korzystaæ. Mo¿e to byæ spowodowane wysy³aniem w warstwie sieciowej starannie przygotowanych, z³o¶liwych datagramów, które powoduj± awarie po³±czeñ sieciowych. Ataki mog± byæ te¿ realizowane w warstwie aplikacji, gdzie starannie przygotowane polecenia aplikacji podane programowi powoduj±, ¿e staje siê on nadzwyczaj zajêty lub przestaje dzia³aæ.

Uniemo¿liwienie podejrzanym pakietom sieciowym dotarcia do twojego hosta oraz zapobiegniêcie uruchamianiu podejrzanych poleceñ i ¿±dañ s± najlepszymi sposobami na zminimalizowanie ryzyka ataku odmowy obs³ugi. Warto dobrze znaæ metody ataku, a wiêc powiniene¶ sam dokszta³caæ siê na temat wszystkich nowych ataków, gdy ich opis zostanie opublikowany.
Podszywanie siê

Ten typ ataku powoduje, ¿e host lub aplikacja na¶laduj± dzia³anie innego. Zwykle atakuj±cy udaje niewinny host, przesy³aj±c sfa³szowane adresy IP w pakietach sieciowych. Na przyk³ad dobrze udokumentowany sposób wykorzystania us³ugi rlogin BSD stosuje tê metodê do udawania po³±czenia TCP z innego hosta. Robi to, odgaduj±c numery kolejnych pakietów TCP.
Aby zabezpieczyæ siê przed tego typu atakiem, weryfikuj wiarygodno¶æ datagramów i poleceñ. Wy³±cz mo¿liwo¶æ rutowania datagramów o z³ym adresie ¼ród³owym. Wprowad¼ nieprzewidywalno¶æ do mechanizmu kontroli po³±czenia, na przyk³ad stosowanie kolejnych numerów TCP lub alokacjê dynamicznych adresów portów.
Pods³uchiwanie

Jest to najprostszy typ ataku. Host jest skonfigurowany na "s³uchanie" i zbieranie danych nie nale¿±cych do niego. Dobrze napisane programy pods³uchuj±ce mog± odczytaæ z po³±czeñ sieciowych nazwy u¿ytkowników i has³a. Sieci rozg³oszniowe, takie jak Ethernet, s± szczególnie podatne na tego typu atak.
Lepiej wiêc unikaj rozwi±zañ opartych o sieci rozg³oszeniowe i wprowadzaj szyfrowanie danych.
Firewalle IP s± bardzo u¿yteczne; s± w stanie zapobiec nieautoryzowanym dostêpom, odmowom obs³ugi w warstwie sieciowej i atakom przez podszywanie siê lub znacznie zmniejszyæ ryzyko ich wyst±pienia. Niezbyt dobrze zabezpieczaj± przed wykorzystywaniem dziur w us³ugach sieciowych czy programach oraz nie zapobiegaj± pods³uchiwaniu.
Co to jest firewall
Firewall to bezpieczny i zaufany komputer, który jest umieszczony pomiêdzy sieci± prywatn± a sieci± publiczn±*. Komputer-firewall jest skonfigurowany w oparciu o zestaw regu³, które okre¶laj±, jaki ruch sieciowy mo¿e byæ przepuszczony, a jaki ma byæ blokowany lub odrzucany. W niektórych du¿ych firmach mo¿esz znale¼æ nawet firewalle umieszczone wewn±trz sieci firmowej, które oddzielaj± wa¿ne obszary firmy od innych pracowników. Wiele przestêpstw komputerowych zdarza siê wewn±trz firmy, a nie jest powodowane atakami z zewn±trz.
Firewalle mo¿na budowaæ na ró¿ne sposoby. Najbardziej wyrafinowane konstrukcje wykorzystuj± kilka oddzielnych komputerów i s± znane pod nazw± sieci wydzielonej (ang. perimeter network). Dwie maszyny dzia³aj± jako "filtry" pozwalaj±ce tylko na przepuszczanie pewnych typów ruchu sieciowego. Pomiêdzy tymi maszynami znajduj± siê serwery sieciowe, takie jak gateway pocztowy czy serwer proxy WWW. Konfiguracja taka mo¿e byæ bardzo bezpieczna i ³atwo pozwala na osi±gniêcie znacznej kontroli nad tym, kto ³±czy siê zarówno z zewn±trz do wewn±trz, jak i z wewn±trz na zewn±trz. Tego typu konfiguracja mo¿e byæ stosowana w du¿ych firmach.
Zwykle jednak firewalle to pojedyncze maszyny pe³ni±ce wszystkie te funkcje. S± one nieco mniej bezpieczne, poniewa¿ je¿eli w maszynie pe³ni±cej rolê firewalla znajdzie siê dziura, która pozwala na uzyskanie dostêpu do niej, to bezpieczeñstwo ca³ej sieci zostaje naruszone. Jednak tego typu firewalle s± tañsze i prostsze w zarz±dzaniu ni¿ opisane wcze¶niej, bardziej wyrafinowane rozwi±zania. Rysunek 9-1 pokazuje dwie najpopularniejsze konfiguracje firewalla.

Rysunek 9-1. Dwie podstawowe architektury firewalli
http://www.rm.com.pl/upgr/lpas/09-01.tif

J±dro Linuksa udostêpnia szereg wbudowanych funkcji pozwalaj±cych mu na pracê w roli firewalla IP. Implementacja sieci zawiera kod do wykonywania filtrowania IP na szereg ró¿nych sposobów i udostêpnia mechanizm pozwalaj±cy na dok³adne skonfigurowanie zasad, jakimi chcesz siê kierowaæ przy takim filtrowaniu. Firewall w Linuksie jest wystarczaj±co elastyczny, by mo¿na go by³o zastosowaæ w obu konfiguracjach pokazanych na rysunku 9-1. Oprogramowanie firewalla w Linuksie udostêpnia dwie inne przydatne funkcje, które omówimy w oddzielnych rozdzia³ach: liczenie ruchu IP (rozdzia³ 10, Liczenie ruchu IP) i maskowanie IP (rozdzia³ 11, Maskowanie IP i translacja adresów sieciowych).

Co to jest filtrowanie IP
Filtrowanie IP to prosty mechanizm decyduj±cy o tym, które typy datagramów IP maj± byæ przetwarzane normalnie, a które maj± byæ odrzucone. Przez odrzucenie (ang. discard) rozumiemy, ¿e datagramy s± usuwane i zupe³nie ignorowane, tak jakby nigdy nie zosta³y odebrane. Mo¿esz wskazaæ wiele ró¿nych kryteriów okre¶laj±cych, które datagramy chcesz filtrowaæ. Oto kilka przyk³adów:
· typ protoko³u: TCP, UDP, ICMP itp.;
· numer gniazda (dla TCP/UDP);
· typ datagramu: SYN/ACK, dane, ICMP Echo Request itp.;
· adres ¼ród³owy datagramu: sk±d pochodzi;
· adres docelowy datagramu: dok±d jest wysy³any;
Wa¿ne jest zrozumienie w tym miejscu, ¿e filtrowanie IP jest funkcj± warstwy sieciowej. Oznacza to, ¿e nie ma ono nic wspólnego z aplikacj± wykorzystuj±c± po³±czenia sieciowe, a dotyczy tylko samych po³±czeñ. Na przyk³ad mo¿esz zabroniæ u¿ytkownikom dostêpu do swojej sieci wewnêtrznej przez standardowy port telnet, ale je¿eli opierasz siê na samym filtrowaniu IP, nie mo¿esz spowodowaæ, ¿eby przestali u¿ywaæ programu telnet na porcie, który przepuszczasz przez swój firewall. Aby unikn±æ tego typu problemów, zastosuj serwery proxy dla ka¿dej us³ugi, któr± chcesz przepu¶ciæ przez firewall. Serwery proxy rozumiej± aplikacje, dla których maj± pe³niæ rolê po¶redników i w ten sposób mog± zapobiec nadu¿yciom, polegaj±cym na przyk³ad na wykorzystywaniu telnetu do po³±czenia z portem WWW poprzez firewall. Je¿eli twój firewall obs³uguje WWW proxy, po³±czenia telnet do tej us³ugi bêd± zawsze obs³ugiwane przez proxy i dopuszczalne bêd± tylko ¿±dania HTTP. Istnieje szereg programów typu serwer proxy. Niektóre s± darmowe, ale jest te¿ wiele komercyjnych. Firewall-HOWTO omawia jeden z popularnych zestawów takich programów, którego tu nie przedstawiamy, poniewa¿ wykracza to poza zakres tej ksi±¿ki.
Zestaw regu³ filtrowania IP sk³ada siê z wielu kombinacji wymienionych powy¿ej kryteriów. Na przyk³ad wyobra¼my sobie, ¿e chcia³by¶ pozwoliæ u¿ytkownikom WWW z sieci browaru wirtualnego na dostêp do Internetu, ale tylko na korzystanie z innych serwerów WWW. Musia³by¶ skonfigurowaæ firewall, tak by pozwala³ na przekazywanie:
· datagramów z adresem ¼ród³owym z sieci browaru wirtualnego i dowolnym adresem docelowym oraz z portem docelowym 80 (WWW),
· datagramów z adresem docelowym browaru wirtualnego i portem ¼ród³owym 80 (WWW) z dowolnego adresu ¼ród³owego.
Zauwa¿, ¿e u¿yli¶my tutaj dwóch regu³. Pozwalamy na wychodzenie naszych danych oraz na przyjmowanie odpowiedzi. W praktyce, jak wkrótce zobaczymy, Linux upraszcza to i pozwala na okre¶lenie tych regu³ jednym poleceniem.

Skonfigurowanie Linuksa w roli firewalla
Aby stworzyæ firewall IP w Linuksie, potrzebne jest j±dro z wbudowan± obs³ug± firewalla IP i odpowiedni program konfiguracyjny. We wszystkich j±drach do serii 2.0 u¿ywa siê narzêdzia ipfwadm. J±dra 2.2.x wprowadzi³y trzeci± generacjê firewalla IP dla Linuksa o nazwie IP Chains (³añcuchy IP). £añcuchy IP u¿ywaj± programu podobnego do ipfwadm, ale nosz±cego nazwê ipchains. J±dra w wersji 2.3.15 i nowsze obs³uguj± czwart± generacjê firewalli o nazwie netfilter. Kod netfilter jest wynikiem powa¿nej zmiany w sposobie obs³ugi pakietów w Linuksie. netfilter jest tworem uniwersalnym, zapewnia bowiem bezpo¶rednio wsteczn± kompatybilno¶æ zarówno z ipfwadm, jak i ipchains oraz nowe alternatywne polecenie iptables. W nastêpnych podrozdzia³ach omówimy ró¿nice pomiêdzy tymi trzema rozwi±zaniami.
J±dro skonfigurowane z firewallem IP
J±dro Linuksa trzeba odpowiednio skonfigurowaæ, aby obs³ugiwa³o firewall IP. Oznacza to po prostu wybór odpowiednich opcji po wywo³aniu make menuconfig przy kompilacji j±dra*. Jak to zrobiæ, opisali¶my w rozdziale 3, Konfigurowanie sprzêtu sieciowego. W j±drach 2.2 powiniene¶ wybraæ nastêpuj±ce opcje:

Networking options --->
       [*] Network firewalls
       [*] TCP/IP networking
       [*] IP: firewalling
       [*] IP: firewall packet logging

W j±drach 2.4.0 i nowszych powiniene¶ wybraæ poni¿sze opcje:

Networking options --->
   [*] Network packet filtering (replaces ipchains)
       IP: Netfilter Configuration ---?
            .
           <M> Userspace queueing via NETLINK (EXPERIMENTAL)
           <M> IP tables support (required for filtering/masq/NAT)
           <M> limit match support
           <M> MAC address match support
           <M> netfilter MARK match support
           <M> Multiple port match support
           <M> TOS match support
           <M> Connection state match support
           <M> Unclean match support (EXPERIMENTAL)
           <M> Owner match support (EXPERIMENTAL)
           <M> Packet filtering
           <M>   REJECT target support
           <M>   MIRROR target support (EXPERIMENTAL)
            .
           <M> Packet mangling
           <M>   TOS target support
           <M>   MARK target support
           <M> LOG target support
           <M> ipchains (2.2-style) support
        <M> ipfwadm (2.0-style) support

Narzêdzie ipfwadm
Narzêdzie ipfwadm (IP Firewall Administration) jest u¿ywane do tworzenia regu³ firewalla dla wszystkich j±der starszych od wersji 2.2.0. Sk³adnia polecenia bywa zagmatwana, poniewa¿ mo¿e ono realizowaæ wiele skomplikowanych zadañ, ale podamy kilka przyk³adów popularnych zastosowañ.
Narzêdzie ipfwadm jest zawarte w wiêkszo¶ci wspó³czesnych dystrybucji Linuksa, ale niekoniecznie standardowo. Mog± istnieæ szczególne pakiety oprogramowania, które musisz zainstalowaæ, aby mieæ to polecenie. Je¿eli nie ma go w twojej dystrybucji, mo¿esz zdobyæ pakiet ¼ród³owy z o¶rodka ftp.xos.nl z katalogu /pub/linux/ ipfwadm/ i skompilowaæ go samodzielnie.
Narzêdzie ipchains
Podobnie jak ipfwadm, tak ipchains mo¿e sprawiæ na pocz±tku nieco k³opotów. Udostêpnia ca³± elastyczno¶æ ipfwadm, ale za pomoc± poleceñ o znacznie uproszczonej sk³adni, a ponadto oferuje mechanizm "³±czenia w ³añcuchy" (ang. chaining), pozwalaj±cy na zarz±dzanie wieloma zestawami regu³ i ich ³±czenie. £±czenie regu³ omówimy w oddzielnym podrozdziale pod koniec tego rozdzia³u, poniewa¿ jest to pojêcie zaawansowane.
Polecenie ipchains istnieje w wiêkszo¶ci dystrybucji Linuksa opartych na j±drach 2.2. Gdyby¶ chcia³ skompilowaæ je samodzielnie, mo¿esz znale¼æ pakiet ¼ród³owy pod adresem: http://www.rustcorp.com/linux/ipchains/. W pakiecie tym znajduje siê dodatkowy skrypt ipfwadm-wrapper, który na¶laduje polecenie ipfwadm, ale w rzeczywisto¶ci wywo³uje polecenie ipchains. Migracja istniej±cej konfiguracji firewalla jest du¿o mniej bolesna, je¿eli posiada siê taki skrypt.
Narzêdzie iptables
Sk³adnia narzêdzia iptables jest bardzo podobna do ipchains. Ró¿nice wynikaj± z wprowadzonych udoskonaleñ i daj± przeprojektowane narzêdzie, które jest rozszerzalne przez biblioteki dzielone. Tak jak w przypadku ipchains, tak i przy iptables podamy skonwertowane przyk³ady, aby¶ móg³ porównaæ i zestawiæ sk³adniê tego i innych poleceñ.
Narzêdzie iptables znajduje siê w pakiecie netfilter, który jest dostêpny pod adresem http://www.samba.org/netfilter/. Bêdzie tak¿e zawarte we wszystkich dystrybucjach Linuksa opartych o j±dra serii 2.4.
Nieco wiêcej o netfilter powiemy w jednym z nastêpnych podrozdzia³ów po¶wiêconych tylko temu pakietowi.

Trzy sposoby realizacji filtrowania
Rozwa¿my, w jaki sposób maszyna uniksowa, czy w praktyce dowolna inna obs³uguj±ca ruting IP, przetwarza datagramy IP.

Rysunek 9-2. Etapy przetwarzania datagramu IP
http://www.rm.com.pl/upgr/lpas/09-02.tif

Podstawowe kroki, pokazane na rysunku 9-2, to:
· Datagram IP jest odbierany (1).
· Przychodz±cy datagram IP jest analizowany w celu ustalenia, czy jest przeznaczony dla tej maszyny.
· Je¿eli datagram jest dla tej maszyny, jest przetwarzany lokalnie (2).
· Je¿eli nie jest dla tej maszyny, w tablicy rutingu jest poszukiwana odpowiednia trasa. Datagram jest przekazywany do odpowiedniego interfejsu lub odrzucany, je¿eli trasy nie mo¿na znale¼æ (3).
· Datagramy z lokalnych procesów s± wysy³ane do oprogramowania rutuj±cego w celu przekazania do odpowiedniego interfejsu (4).
· Wychodz±cy datagram IP jest analizowany w celu ustalenia, czy istnieje dla niego odpowiednia trasa; je¿eli nie, jest odrzucany.
· Datagram IP jest wysy³any (5).
W naszym diagramie, przep³yw 1?3?5 przedstawia maszynê rutuj±c± dane pomiêdzy hostem w naszej sieci Ethernet a hostem osi±galnym przez ³±cze PPP. Przep³yw 1?2 i 4?5 przedstawia dane przychodz±ce i wychodz±ce z programu sieciowego dzia³aj±cego na naszym ho¶cie lokalnym. Przep³yw 4?3?2 przedstawia przep³yw danych przez po³±czenie pêtli zwrotnej. Oczywi¶cie dane przep³ywaj± w obie strony, do i z urz±dzeñ sieciowych. Znak zapytania na diagramie przedstawia punkty, gdzie warstwa IP podejmuje decyzje co do rutingu.
Firewall j±dra Linuksa mo¿e stosowaæ filtry na ró¿nych etapach tego procesu. To znaczy, ¿e mo¿esz filtrowaæ datagramy IP przychodz±ce do twojej maszyny, albo te datagramy, które s± przez ni± przekazywane, albo te¿ te, które s± gotowe do wys³ania.
W programach ipfwadm i ipchains regu³a wej¶ciowa (Input) dotyczy przep³ywu 1 na diagramie, regu³a przekazywania (Forwarding) - przep³ywu 3, a regu³a wyj¶ciowa (Output) - przep³ywu 5. Zobaczymy pó¼niej, przy omawianiu netfilter, ¿e punkty przechwytywania zmieni³y siê tak, ¿e regu³a wej¶ciowa dotyczy przep³ywu 2, a regu³a wyj¶ciowa - przep³ywu 4. Ma to istotny wp³yw na tworzenie regu³, ale ogólne zasady pozostaj± takie same dla wszystkich wersji firewalla w Linuksie.
Na pierwszy rzut oka mo¿e to wygl±daæ na niepotrzebn± komplikacjê, ale zapewnia elastyczno¶æ, która pozwala na tworzenie bardzo wyrafinowanych i wydajnych konfiguracji.
Oryginalny firewall IP (j±dra 2.0)
Pierwsza generacja obs³ugi firewalla IP w Linuksie pojawi³a siê w serii j±der 1.1. By³o to przeniesienie ipfw z BSD dokonane przez Alana Coxa. Obs³uga firewalla w j±drach serii 2.0, okre¶lana mianem drugiej generacji, zosta³a rozszerzona przez Josa Vos, Pauline Middelink i innych.
Korzystanie z ipfwadm
Polecenie ipfwadm by³o narzêdziem konfiguracyjnym dla drugiej generacji firewalla IP w Linuksie. Najlepiej jest opisaæ u¿ycie ipfwadm na przyk³adach. Na pocz±tek zakodujmy pokazany wcze¶niej przyk³ad.
Prosty przyk³ad 
Za³ó¿my, ¿e mamy w naszej firmie sieæ i u¿ywamy firewalla na komputerze z Linuksem, przez który ³±czymy nasz± sieæ z Internetem. Przyjmijmy te¿, ¿e chcemy, aby u¿ytkownicy sieci mieli dostêp do serwerów WWW w Internecie, ale nie dopuszczamy ¿adnego innego ruchu.
Zdefiniujemy regu³ê przekazywania pozwalaj±c± na przepuszczanie na zewn±trz datagramów o adresie ¼ród³owym nale¿±cym do naszej sieci i gnie¼dzie docelowym 80 oraz na przekazywanie przez firewall odpowiedzi przesy³anych z powrotem.
Za³ó¿my, ¿e nasza sieæ ma 24-bitow± maskê (klasa C) i adres 172.16.1.0. Regu³y wygl±daj± tak:

# ipfwadm -F -f
# ipfwadm -F -p deny
# ipfwadm -F -a accept -P tcp -S 172.16.1.0/24 -D 0/0 80
# ipfwadm -F -a accept -P tcp -S 0/0 80 -D 172.16.1.0/24

Argument wiersza poleceñ -F mówi ipfwadm, ¿e jest to regu³a przekazywania. Pierwsze polecenie mówi ipfwadm, aby usun±³ wszystkie dotychczasowe regu³y przekazywania ze swojej konfiguracji. W ten sposób rozpoczynamy od znanego stanu.

Druga regu³a okre¶la domy¶ln± politykê przekazywania. Mówimy j±dru, by odrzuca³o lub nie pozwala³o na przekazywanie datagramów IP. Bardzo wa¿ne jest ustawienie polityki domy¶lnej, poniewa¿ opisuje ona, co siê stanie z datagramami, które nie s± w ¿aden szczególny sposób obs³ugiwane przez inne regu³y. Zwykle konfiguruj±c firewall, bêdziesz ustawia³ domy¶ln± politykê na "odmowê", tak jak to pokazano tutaj, po to, aby przez firewalla przechodzi³ tylko dopuszczalny ruch.
Trzecia i czwarta regu³a implementuj± nasze wymaganie: - trzecie polecenie pozwala na wysy³anie naszych datagramów, a czwarte - na przyjmowanie odpowiedzi.
Przyjrzyjmy siê kolejno argumentom:
-F

Jest to regu³a przekazuj±ca.
-a accept

Regu³a z dopisan± polityk± "akceptowania" oznacza, ¿e bêdziemy przekazywaæ wszystkie datagramy, które do niej pasuj±.
-P tcp

Ta regu³a dotyczy datagramów tcp (w przeciwieñstwie do UDP lub ICMP).
-S 172.16.1.0/24

Adres ¼ród³owy musi mieæ pierwsze 24 bity odpowiadaj±ce adresowi sieci 172.16.1.0.
-D 0/0 80

Adres docelowy musi mieæ zero bitów pasuj±cych do adresu 0.0.0.0. Tak naprawdê jest to skrótowy zapis "wszystkiego". Port docelowy to 80, co w tym przypadku oznacza WWW. Do opisania portu mo¿esz u¿yæ tak¿e wszelkich wpisów znajduj±cych siê w pliku /etc/services, a wiêc -D 0/0 www dzia³a³oby równie dobrze.
ipfwadm wymaga maski sieci w postaci, która mo¿e nie byæ ci znana. Zapis /nn oznacza liczbê istotnych bitów w podanym adresie lub rozmiar maski. Bity s± zawsze liczone od lewej do prawej. W tabeli 9-1 podano czêsto spotykane przyk³ady masek.
Tabela 9-1. Czêsto spotykane maski sieci
Maska sieci	Bity
255.0.0.0	  8
255.255.0.0	16
255.255.255.0	24
255.255.255.128	25
255.255.255.192	26
255.255.255.224	27
255.255.255.240	28
255.255.255.248	29
255.255.255.252	30

Wcze¶niej wspomnieli¶my, ¿e ipfwadm implementuje ma³± sztuczkê, która u³atwia dodawanie tego typu regu³. Ta sztuczka to opcja -b, która sprawia, ¿e polecenie jest dwukierunkowe.
Opcja dwukierunkowo¶ci pozwala na po³±czenie naszych dwóch regu³ w jedn±:

# ipfwadm -F -a accept -P tcp -S 172.16.1.0/24 -D 0/0 80 -b
Wa¿na poprawka
Przyjrzyj siê bli¿ej naszemu zestawowi regu³. Czy widzisz, ¿e wci±¿ nie ma zabezpieczenia przed jedn± metod± ataku, któr± kto¶ z zewn±trz mo¿e wykorzystaæ do pokonania naszego firewalla?
Nasze regu³y pozwalaj± na przyjmowanie z zewn±trz wszystkich datagramów z portem ¼ród³owym 80. Uwaga! Bêd± do nich nale¿a³y tak¿e datagramy z ustawionym bitem SYN! Bit SYN oznacza, ¿e jest to datagram TCP z ¿±daniem po³±czenia. Je¿eli osoba z zewn±trz mia³aby uprzywilejowany dostêp do swojego hosta, mog³aby po³±czyæ siê przez nasz firewall z dowolnym z naszych hostów, pod warunkiem, ¿e u¿ywaj± one portu 80. Nie to chcieli¶my osi±gn±æ.
Na szczê¶cie istnieje rozwi±zanie tego problemu. Polecenie ipfwadm posiada inn± opcjê, która pozwala nam budowaæ regu³y odfiltrowuj±ce datagramy z ustawionym bitem SYN. Zmieñmy nasz przyk³ad tak, aby uwzglêdnia³ tê regu³ê:

# ipfwadm -F -a deny -P tcp -S 0/0 80 -D 172.16.10.0/24 -y
# ipfwadm -F -a accept -P tcp -S 172.16.1.0/24 -D 0/0 80 -b

Opcja -y powoduje, ¿e regu³a pasuje tylko wtedy, je¿eli bit SYN w datagramie jest ustawiony. A wiêc nasza nowa regu³a mówi: "Nie przepuszczaj ¿adnych datagramów TCP przeznaczonych dla naszej sieci, które pochodz± z jakiego¶ miejsca i maj± port ¼ród³owy 80 i ustawiony bit SYN" albo "Nie przepuszczaj ¿adnych ¿±dañ od hostów na port 80".
Dlaczego umie¶cili¶my tê szczególn± regu³ê przed regu³± g³ówn±? Regu³y firewalla dzia³aj± tak, ¿e s± dopasowywane kolejno. Obie regu³y bêd± pasowa³y do datagramów, których nie chcemy przepu¶ciæ, a wiêc musimy byæ pewni, ¿e regu³a deny jest przed regu³± accept.
Listowanie naszych regu³
Po wprowadzeniu naszych regu³ mo¿emy je wylistowaæ, wywo³uj±c ipfwadm w nastêpuj±cy sposób:

# ipfwadm -F -l

To polecenie da w wyniku wszystkie skonfigurowane regu³y przekazywania. Rezultat powinien byæ podobny do tego:

# ipfwadm -F -l
IP firewall forward rules, default policy: accept
type   prot   source          destination         ports
deny   tcp    anywhere        172.16.10.0/24      www -> any
acc    tcp    172.16.1.0/24   anywhere            any -> www

Polecenie ipfwadm bêdzie próbowa³o t³umaczyæ numer portu na nazwê us³ugi za pomoc± pliku /etc/services, o ile istnieje w nim wpis.
W domy¶lnie pokazywanym wyniku brakuje kilku wa¿nych dla nas szczegó³ów. Nie widaæ tam mianowicie dzia³ania argumentu -y. Polecenie ipfwadm potrafi pokazaæ dok³adniejszy wynik, je¿eli podamy tak¿e opcjê -e (wynik rozszerzony). Nie poka¿emy ca³ego wyniku, poniewa¿ jest zbyt szeroki i nie mie¶ci siê na stronie, ale zawiera kolumnê opt (opcje), która pokazuje opcjê -y kontroluj±c± pakiety SYN:

# ipfwadm -F -l -e
IP firewall forward rules, default policy: accept
pkts bytes type prot opt  tosa tosx ifname ifaddress  source        ...
   0     0 deny tcp  --y- 0xFF 0x00 any    any        anywhere      ...
   0     0 acc  tcp  b--- 0xFF 0x00 any    any        172.16.1.0/24 ...
Bardziej skomplikowany przyk³ad
Poprzedni przyk³ad by³ prosty. Nie wszystkie us³ugi sieciowe s± tak ³atwe do skonfigurowania jak WWW. W rzeczywisto¶ci typowa konfiguracja firewalla bêdzie du¿o bardziej z³o¿ona. Przyjrzyjmy siê innemu powszechnie spotykanemu przyk³adowi, tym razem FTP. Chcemy, aby u¿ytkownicy naszej wewnêtrznej sieci mogli logowaæ siê do serwerów FTP w Internecie po to, by odczytywaæ i zapisywaæ pliki. Nie chcemy jednak, aby ludzie z Internetu logowali siê do naszych serwerów FTP.
Wiemy, ¿e FTP u¿ywa dwóch portów TCP: portu 20 (ftp-data) i portu 21 (ftp), a wiêc:

# ipfwadm -a deny -P tcp -S 0/0 20 -D 172.16.1.0/24 -y
# ipfwadm -a accept -P tcp -S 172.16.1.0/24 -D 0/0 20 -b
#
# ipfwadm -a deny -P tcp -S 0/0 21 -D 172.16.1.0/24 -y
# ipfwadm -a accept -P tcp -S 172.16.1.0/24 -D 0/0 21 -b

Dobrze? Nie ca³kiem. Serwery FTP mog± dzia³aæ w dwóch ró¿nych trybach: w trybie biernym (ang. passive mode) i czynnym (ang. active mode)*. W trybie biernym serwer FTP oczekuje na po³±czenie od klienta. W trybie czynnym serwer realizuje po³±czenie do klienta. Tryb czynny jest zwykle domy¶lny. Ró¿nice ilustruje rysunek 9-3.
Wiele serwerów FTP dzia³aj±cych w trybie czynnym tworzy po³±czenie z portu 20, co nieco upraszcza sprawê, ale niestety nie wszystkie tak robi±**.
Jakie to ma jednak dla nas znaczenie? Przyjrzyjmy siê naszej regule dla portu 20, czyli - portu FTP-data. Obecna regu³a zak³ada, ¿e po³±czenie bêdzie inicjowane przez naszego klienta do serwera. Bêdzie to dzia³a³o, je¿eli u¿yjemy trybu biernego. Ale bardzo trudno jest nam skonfigurowaæ poprawn± regu³ê pozwalaj±c± na u¿ycie trybu czynnego, poniewa¿ nie jeste¶my w stanie z góry przewidzieæ, jakie porty bêd± u¿ywane. Je¿eli otworzymy firewall, pozwalaj±c na po³±czenia przychodz±ce na dowolny port, narazimy nasz± sieæ na atak poprzez wszystkie us³ugi przyjmuj±ce po³±czenia.
W tej sytuacji najlepiej jest wymusiæ na naszych u¿ytkownikach pracê w trybie biernym. Wiêkszo¶æ serwerów FTP i wiele klientów FTP dzia³a w ten sposób. Popularny klient ncftp tak¿e obs³uguje tryb bierny, ale mo¿e wymagaæ niewielkiej zmiany w konfiguracji, by by³ to jego tryb domy¶lny. Wiele przegl±darek WWW, takich jak Netsccape, tak¿e obs³uguje bierny tryb FTP, a wiêc znalezienie odpowiedniego oprogramowania nie powinno byæ zbyt trudne. Mo¿na te¿ post±piæ zupe³nie inaczej: u¿yæ serwera proxy FTP, który bêdzie przyjmowa³ po³±czenia z sieci wewnêtrznej i realizowa³ po³±czenia z sieci± zewnêtrzn±.

Rysunek 9-3. Tryby serwera FTP
http://www.rm.com.pl/upgr/lpas/09-03.tif

Przy projektowaniu firewalla prawdopodobnie napotkasz niejeden taki problem. Powiniene¶ zawsze dok³adnie przeanalizowaæ, jak naprawdê dzia³a dana us³uga, by byæ pewnym, ¿e umie¶ci³e¶ odpowiedni zestaw regu³ w odpowiednim miejscu. Konfiguracja prawdziwego firewalla mo¿e byæ do¶æ skomplikowana.
Podsumowanie argumentów ipfwadm
Polecenie ipfwadm ma wiele ró¿nych argumentów odnosz±cych siê do konfiguracji firewalla IP. Ogólna sk³adnia jest nastêpuj±ca:

ipfwadm kategoria polecenie parametry [opcje]

Przyjrzyjmy siê kolejno ka¿demu z cz³onów.
Kategorie
Musi byæ podana jedna i tylko jedna z poni¿szych kategorii. Kategoria mówi firewallowi, jakiego typu regu³ê konfigurujesz:
-I

Regu³a wej¶ciowa.
-O

Regu³a wyj¶ciowa.
-F

Regu³a przekazywania.
Polecenia
Przynajmniej jedno z poni¿szych poleceñ musi byæ podane i musi siê ono odnosiæ do okre¶lonej wcze¶niej kategorii. Polecenia mówi± firewallowi, co ma robiæ.
-a [polityka]

Dodanie nowej regu³y.
-i [polityka]

Wstawienie nowej regu³y.
-d [polityka]

Usuniêcie istniej±cej regu³y.
-p polityka

Ustawienie polityki domy¶lnej.
-l

Wylistowanie wszystkich istniej±cych regu³.
-f

Usuniêcie wszystkich istniej±cych regu³.
Polityki istotne dla firewalla IP i ich znaczenie jest nastêpuj±ce:
accept

Pozwala na odbiór, przekazywanie lub wysy³anie pasuj±cych datagramów.
deny

Nie pozwala na odbiór, przekazywanie lub wysy³anie pasuj±cych datagramów.
reject

Nie pozwala na odbiór, przekazywanie lub wysy³anie pasuj±cych datagramów i wysy³a komunikat b³êdu ICMP do hosta, który przes³a³ datagram.
Parametry
Musi byæ podany przynajmniej jeden z poni¿szych parametrów. U¿ywaj parametrów do okre¶lania datagramów, których dotycz± regu³y:
-P protokó³
Mo¿e mieæ warto¶æ TCP, UDP, ICMP lub all. Przyk³ad:
-P tcp
-S adres/maska/[port]

?ród³owy adres IP, do którego pasuje ta regu³a. Je¿eli nie podasz maski sieci, zostanie przyjêta maska "/32". Opcjonalnie mo¿esz okre¶liæ, którego portu dotyczy regu³a. Musisz tak¿e podaæ protokó³ za pomoc± opisanego wy¿ej argumentu -P, aby ta opcja zadzia³a³a. Je¿eli nie podasz portu lub zakresu portów, przyjmuje siê, ¿e wszystkie porty pasuj±. Porty mog± byæ podane w postaci nazwy zgodnej z wpisem w /etc/services. W przypadku protoko³u ICMP pole portu jest u¿ywane do oznaczenia typu datagramu ICMP. Mo¿liwe jest podanie zakresu portów, a s³u¿y do tego nastêpuj±ca sk³adnia: pierwszyport:ostatniport. Oto przyk³ad:
-S 172.29.16.1/24 ftp:ftp-data
-D adres/maska/[port]

Okre¶lenie adresu docelowego IP, do którego pasuje ta regu³a. Adres docelowy jest zapisywany na tej samej zasadzie co adres ¼ród³owy opisany poprzednio. Oto przyk³ad:
-D 172.29.16.1/24 smtp
-V adres

Okre¶lenie adresu interfejsu sieciowego, na którym pakiet jest odbierany (-I) lub z którego jest wysy³any (-O). Pozwala to na stworzenie regu³ dotycz±cych tylko niektórych interfejsów sieciowych komputera. Oto przyk³ad:
-V 172.29.16.1
-W nazwa

Okre¶lenie nazwy interfejsu sieciowego. Ten argument dzia³a w ten sam sposób co -V, ale podajesz nazwê urz±dzenia zamiast adresu. Oto przyk³ad:
-W ppp0
Argumenty opcjonalne
Te argumenty s± czasem bardzo przydatne:
-b

Jest u¿ywany dla trybu dwukierunkowego. Do tej opcji pasuje ruch w obie strony pomiêdzy zadanymi adresami ¼ród³owym i docelowym. Zaoszczêdza ci ona tworzenia dwóch regu³: jednej do wysy³ania i drugiej do odbierania.
-o

Pozwala na zapisywanie pasuj±cych datagramów do logu j±dra. Wszelkie datagramy pasuj±ce do regu³y bêd± zapisywane jako komunikaty j±dra. Jest to u¿yteczna opcja do wykrywania nieautoryzowanego dostêpu.
-y

Ta opcja jest u¿ywana do filtrowania po³±czeniowych datagramów TCP. Dziêki niej regu³a filtruje tylko datagramy podejmuj±ce próbê zestawienia po³±czeñ TCP. Pasowaæ bêd± jedynie datagramy posiadaj±ce ustawiony bit SYN i wyzerowany bit ACK. Jest to u¿yteczna opcja do filtrowania prób po³±czeñ TCP i ignorowania innych protoko³ów.
-k

Jest u¿ywana do filtrowania datagramów-potwierdzeñ TCP (ang. acknowledgement). Ta opcja powoduje, ¿e do regu³y pasuj± tylko datagramy bêd±ce potwierdzeniem odbioru pakietów próbuj±cych zestawiæ po³±czenie TCP. Bêd± pasowaæ jedynie datagramy, które maj± ustawiony bit ACK. Opcja ta jest u¿yteczna do filtrowania prób po³±czeñ TCP i ignorowania wszystkich pozosta³ych protoko³ów.
Typy datagramów ICMP
Ka¿de polecenie konfiguracyjne firewalla pozwala ci okre¶laæ typy datagramów ICMP. W odró¿nieniu od portów TCP i UDP, nie ma odpowiedniego pliku konfiguracyjnego, który zawiera³by spis typów datagramów i opisywa³ ich znaczenie. Typy datagramów ICMP s± zdefiniowane w RFC-1700 (RFC Assigned Numbers). S± one tak¿e spisane w jednym z plików nag³ówkowych standardowej biblioteki C. Typy datagramów mo¿na te¿ znale¼æ w pliku /usr/include/netinet/ip_icmp.h, nale¿±cym do pakietu standardowej biblioteki GNU i u¿ywanym przez programistów C do pisania oprogramowania sieciowego wykorzystuj±cego protokó³ ICMP. Dla twojej wygody pokazali¶my je w tabeli 9-2. Interfejs polecenia iptables pozwala ci tak¿e okre¶laæ typy ICMP poprzez nazwê, a wiêc podali¶my tak¿e ich mnemonikê.
Tabela 9-2. Typy datagramów ICMP
Typ	Mnemonika iptables	Opis typu
  0	echo-reply	Powtórzenie odpowiedzi
  3	destination-unreachable	Cel nieosi±galny
  4	source-quench	?ród³o nieaktywne
  5	redirect	Przekierowanie
  8	echo-request	¯±danie powtórzenia
11	time-exceeded	Czas up³yn±³
12	parameter-problem	Problem z parametrem
13	timestamp-request	¯±danie znacznika czasu
14	timestamp-reply	Wys³anie znacznika czasu w odpowiedzi
15	none	¯±danie informacji
16	none	Wys³anie informacji w odpowiedzi
17	address-mask-request	¯±danie maski adresu
18	address-mask-reply	Wys³anie maski adresu w odpowiedzi
£añcuchy firewalla IP (j±dra 2.2)
Linux rozwija siê, by sprostaæ rosn±cym wymaganiom jego u¿ytkowników. Firewall IP nie stanowi tu wyj±tku. Tradycyjna implementacja firewalla IP jest dobra, ale mo¿e byæ niewydolna przy konfiguracji bardziej z³o¿onych ¶rodowisk. Aby sprostaæ nowym wymaganiom, opracowano now± metodê konfigurowania firewalla IP i rozwiniêto zwi±zane z ni± w³a¶ciwo¶ci. Ta nowa metoda otrzyma³a nazwê "£añcuchy firewalla IP" (w skrócie ³añcuchy IP) pierwszy raz zosta³a wprowadzona do u¿ytku w j±drze Linuksa 2.2.0.

£añcuchy IP zosta³y opracowane przez Paula Russella i Michaela Neulinga*. Paul udokumentowa³ oprogramowanie ³añcuchów IP w IPCHAINS-HOWTO.
£añcuchy IP pozwalaj± na tworzenie klas regu³, do których mo¿esz nastêpnie dodawaæ hosty albo sieci lub je stamt±d usuwaæ. £±czenie regu³ w ³añcuchy jest o tyle lepsze, ¿e poprawia wydajno¶æ firewalla w konfiguracjach, gdzie u¿ywa siê wielu regu³.
£añcuchy IP s± obs³ugiwane przez j±dra serii 2.2, ale s± tak¿e dostêpne w postaci ³at do j±der 2.0.*. Dokument HOWTO podaje, gdzie mo¿na zdobyæ ³aty i zawiera wiele wskazówek, jak efektywnie u¿ywaæ narzêdzia konfiguracyjnego ipchains.
U¿ywanie ipchains
Korzystaæ z narzêdzia konfiguracyjnego ipchains mo¿na na dwa sposoby. Pierwszy polega na u¿yciu skryptu ipfwadm-wrapper, który w zasadzie udaje ipfwadm, bo wywo³uje w tle program ipchains. Je¿eli chcesz tak u¿ywaæ ipchains, ten podrozdzia³ nie jest ci potrzebny. Lepiej wróciæ do poprzednich, opisuj±cych ipfwadm, i tylko zast±piæ go przez ipfwadm-wrapper. Skrypt ten bêdzie dzia³a³, ale nie ma gwarancji, ¿e bêdzie utrzymywany, a poza tym nie bêdziesz czerpa³ korzy¶ci z zaawansowanych funkcji ³añcuchów IP.
Mo¿na te¿ u¿ywaæ ipchains inaczej. Trzeba siê nauczyæ nowej sk³adni i zmodyfikowaæ istniej±c± konfiguracjê do postaci zgodnej z now± sk³adni±. Chwila zastanowienia i zauwa¿ysz, ¿e w czasie konwersji jest mo¿liwe zoptymalizowanie twojej konfiguracji. Sk³adnia ipchains jest prostsza do nauczenia siê ni¿ ipfwadm, a wiêc to dobry wybór.
Program ipfwadm do skonfigurowania firewalla musia³ operowaæ na trzech regu³ach. W przypadku ³añcuchów IP mo¿esz stworzyæ dowoln± liczbê zestawów regu³, gdzie ka¿da bêdzie po³±czona z inn±, ale wci±¿ s± obecne trzy zestawy regu³ zwi±zane z firewallem. Standardowe zestawy regu³ s± bezpo¶rednimi odpowiednikami tych u¿ywanych w ipfwadm, poza tym, ¿e maj± nazwy: input, forward i output.
Najpierw przyjrzymy siê ogólnej sk³adni polecenia ipchains, a nastêpnie zobaczymy, jak u¿ywaæ ipchains zamiast ipfwadm, przy czym nie uwzglêdnianiamy zaawansowanych funkcji ³±czenia w ³añcuchy. Zrobimy to, przegl±daj±c nasze poprzednie przyk³ady.
Sk³adnia polecenia ipchains
Sk³adnia polecenia ipchains jest prosta. Przyjrzymy siê teraz najwa¿niejszym jej elementom. Ogólna sk³adnia wiêkszo¶ci poleceñ ipchains jest nastêpuj±ca:
ipchains polecenie okre¶lenie-regu³y opcje

Polecenia
Istnieje szereg sposobów na operowanie na regu³ach i zestawach regu³ za pomoc± polecenia ipchains. Istotne dla firewalla IP s±:
-A ³añcuch

Dodanie jednej lub kilku regu³ na koniec zadanego ³añcucha. Je¿eli jest podana nazwa ¼ród³owego lub docelowego hosta i t³umaczy siê na wiêcej ni¿ jeden adres IP, zostanie dodana regu³a dla ka¿dego z tych adresów.
-I ³añcuch numerregu³y

Wstawienie jednej lub kilku regu³ na pocz±tek zadanego ³añcucha. Znów, je¿eli w okre¶leniu regu³y zostanie podana nazwa hosta, bêdzie dodawana do ka¿dego adresu.
-D ³añcuch

Usuniêcie jednej lub kilku regu³ z zadanego ³añcucha, który pasuje do regu³y.
-D ³añcuch numerregu³y

Usuniêcie regu³y znajduj±cej siê na pozycji numerregu³y w zadanym ³añcuchu. Numeracja regu³ zaczyna siê od pierwszej regu³y w ³añcuchu.
-R ³añcuch numerregu³y

Zast±pienie regu³y na pozycji numerregu³y w zadanym ³añcuchu podan± regu³±.
-C ³añcuch

Sprawdzenie zadanym ³añcuchem datagramu opisanego regu³±. Polecenie to zwraca komunikat opisuj±cy, jak datagram by³ przetwarzany przez ³añcuch. Jest to bardzo u¿yteczna opcja to testowania konfiguracji firewalla i nieco pó¼niej przyjrzymy siê jej bardziej szczegó³owo.
-L [³añcuch]

Listowanie regu³ zadanego ³añcucha lub wszystkich ³añcuchów, je¿eli ¿aden nie zostanie zadany.
-F [³añcuch]

Usuniêcie regu³ z zadanego ³añcucha lub usuniêcie wszystkich regu³, je¿eli ¿aden ³añcuch nie zostanie zadany.
-Z [³añcuch]

Wyzerowanie liczników datagramów i bajtów dla wszystkich regu³ zadanego ³añcucha lub wszystkich ³añcuchów, je¿eli ¿aden nie zostanie zadany.
-N ³añcuch

Stworzenie nowego ³añcucha o zadanej nazwie. Nie mo¿e istnieæ drugi ³añcuch o tej samej nazwie. W ten sposób tworzone s± ³añcuchy definiowane przez u¿ytkownika.
-X [³añcuch]

Usuniêcie zadanego ³añcucha zdefiniowanego przez u¿ytkownika lub wszystkich ³añcuchów zdefiniowanych przez u¿ytkownika, je¿eli ¿aden nie zostanie zadany. Aby to polecenie zadzia³a³o, nie mo¿e byæ odwo³añ do zadanego ³añcucha z ¿adnych innych regu³.
-P ³añcuch polityka

Ustawienie domy¶lnej polityki dla zadanego ³añcucha. Dopuszczalne polityki to ACCEPT, DENY, REJECT, REDIR i RETURN. Polityki ACCEPT, DENY i REJECT maj± takie samo znaczenie jak w tradycyjnych implementacjach firewalla. REDIR oznacza, ¿e datagram powinien byæ niewidocznie przekierowany na port firewalla. RETURN powoduje, ¿e kod firewalla IP powraca do tego ³añcucha firewalla, który wywo³a³ ³añcuch zawieraj±cy tê regu³ê, i kontynuuje dalsze dzia³anie, pocz±wszy od nastêpnej regu³y.
Parametry okre¶laj±ce regu³ê
Na regu³ê ipchains sk³ada siê wiele parametrów, które okre¶laj±, jakie typy pakietów maj± do niej pasowaæ. Je¿eli który¶ z tych parametrów zostanie w regule pominiêty, zak³adana jest jego warto¶æ domy¶lna.
-p [!] protokó³

Okre¶la protokó³ datagramu, który bêdzie pasowa³ do tej regu³y. Dopuszczalne nazwy protoko³ów to tcp, udp, icmp lub all. Mo¿esz tak¿e podaæ numer protoko³u. Na przyk³ad móg³by¶ u¿yæ 4, aby dopasowaæ protokó³ enkapsulacji ipip. Je¿eli podasz !, regu³a zostanie zanegowana i datagram bêdzie dopasowywany do wszystkich protoko³ów poza zadanymi. Je¿eli parametr nie zostanie podany, zostanie przyjêta warto¶æ all.
-s [!]adres[/maska][!][port]

Okre¶la adres ¼ród³owy i port w datagramie, który ma pasowaæ do tej regu³y. Adres mo¿e byæ podany w postaci nazwy hosta, nazwy sieci lub adresu IP. Opcja mask pozwala na zadanie u¿ywanej maski sieci, która mo¿e byæ podana albo w tradycyjnej postaci (tj. /255.255.255.0), albo w postaci wspó³czesnej (tj. /24).
Opcjonalny port okre¶la port TCP lub UDP albo typ dopasowywanego datagramu ICMP. Numer portu mo¿esz wskazaæ tylko wtedy, gdy u¿y³e¶ wcze¶niej parametru -p, podaj±c jeden z protoko³ów: tcp, udp lub icmp. Mo¿na te¿ podaæ zakres portów - jego doln± i górn± granicê rozdzielone dwukropkiem. Na przyk³ad 20:25 opisuje wszystkie porty od 20 do 25 w³±cznie. Znak ! mo¿e byæ wykorzystany do zanegowania warto¶ci.
-d [!]adres[/maska][!][port]

Okre¶la adres i port docelowy zawarte w datagramie, który ma pasowaæ do tej regu³y. Kodowanie tego parametru jest identyczne jak parametru -s.
-j cel

Okre¶la dzia³anie do wykonania, je¿eli regu³a bêdzie pasowa³a. Parametr ten mo¿esz sobie przet³umaczyæ jako "skocz do" (ang. jump to). Dopuszczalne cele to ACCEPT, DENY, REJECT, REDIR i RETURN. Ich znaczenie opisali¶my wcze¶niej. Jednak mo¿esz podaæ tak¿e nazwê ³añcucha zdefiniowanego przez u¿ytkownika, w którym bêdzie wykonywane dalsze przetwarzanie. Je¿eli ten parametr zostanie pominiêty, to nawet je¶li datagram pasuje do regu³y, nie zostanie podjête ¿adne inne dzia³anie, oprócz uaktualnienia datagramu i liczników bajtów.

-i[!]nazwa-interfejsu

Okre¶la interfejs, który przyj±³ datagram lub przez który zostanie on wys³any. Znów znak ! odwraca wynik dopasowania. Je¿eli nazwa interfejsu koñczy siê znakiem +, pasowa³ bêdzie ka¿dy interfejs, którego nazwa rozpoczyna siê zadanym ci±giem. Na przyk³ad, -i ppp+ bêdzie pasowaæ do dowolnego urz±dzenia sieciowego PPP, a -i ! eth+ bêdzie pasowaæ do wszystkich urz±dzeñ poza Ethernetem.
[!]-f

Mówi, ¿e regu³a ta dotyczy wszystkiego poza pierwszym fragmentem datagramu podzielonego na fragmenty.
Opcje
Poni¿ej pokazane opcje ipchains s± bardziej ogólne. Niektóre z nich steruj± raczej ezoterycznymi funkcjami oprogramowania ³añcuchów IP:
-b

Powoduje, ¿e polecenie generuje dwie regu³y. Jedna regu³a uwzglêdnia podane parametry, a druga uwzglêdnia je w odwrotnym kierunku.
-v

Powoduje, ¿e ipchains wy¶wietla bogate wyniki, czyli podaje wiêcej informacji.
-n

Powoduje, ¿e ipchains wy¶wietla adres IP i porty jako liczby bez próby ich zamiany na odpowiadaj±ce im nazwy.
-l

W³±cza zapisywanie przez j±dro pasuj±cych datagramów. Wszystkie datagramy pasuj±ce do regu³y s± zapisywane przez j±dro za pomoc± funkcji printk(). Zwykle jest to obs³ugiwane przez program syslogd zapisuj±cy do pliku log. Funkcja ta przydaje siê do ogl±dania niestandardowych datagramów.
-o[maxrozmiar]

Powoduje, ¿e oprogramowanie ³añcuchów IP kopiuje datagramy pasuj±ce do regu³y do urz±dzenia "netlink", które dzia³a w przestrzeni u¿ytkownika. Argument maxrozmiar ogranicza liczbê bajtów ka¿dego datagramu, która zostanie przekazana do urz±dzenia netlink. Opcja ta jest najchêtniej stosowana przez programistów, ale mo¿e byæ w przysz³o¶ci wykorzystana w pakietach oprogramowania.
-m warto¶æznakowania

Powoduje, ¿e pasuj±ce datagramy s± oznaczane zadan± warto¶ci±. Te warto¶ci to 32-bitowe liczby bez znaku. W obecnych implementacjach opcja ta nie dzia³a, ale w przysz³o¶ci mo¿e decydowaæ o obs³udze datagramu przez inne oprogramowanie, takie jak na przyk³ad kod rutuj±cy. Je¿eli warto¶æznakowania rozpoczyna siê od znaku + albo -, jest ona dodawana lub odejmowana od aktualnej warto¶ci znakowania.

-t maskaand maskaxor

Pozwala na operowanie na bitach "typ us³ugi" w nag³ówku IP ka¿dego datagramu pasuj±cego do regu³y. Bity typu us³ugi s± u¿ywane przez inteligentne rutery do nadawania priorytetów datagramom, zanim zostan± dalej przekazane. Oprogramowanie rutuj±ce Linuksa potrafi realizowaæ takie nadawanie priorytetów. Warto¶ci maskaand i maskaxor oznaczaj± maski bitowe, które bêd± poddawane odpowiednio logicznej operacji AND i OR z bitami typu us³ugi datagramu. Jest to zaawansowana funkcja, która szczegó³owo zosta³a omówiona w IPCHAINS-HOWTO.
-x

Powoduje, ¿e wszelkie liczby w wyniku ipchains s± pokazywane dok³adnie, bez zaokr±glania.
-y

Powoduje, ¿e do regu³y pasuj± wszystkie datagramy TCP z ustawionym bitem SYN i wyzerowanymi bitami ACK i FIN. Jest u¿ywana do filtrowania ¿±dañ nawi±zania po³±czenia TCP.
Poprawiona wersja naszego prostego przyk³adu
Powróæmy do przyk³adu z sieci± firmow±, w której dzia³a firewall oparty na komputerze z Linuksem. Umo¿liwia on u¿ytkownikom dostêp do serwerów WWW w Internecie, ale nie pozwala na ¿aden inny ruch.
Gdyby nasza sieæ mia³a 24-bitow± maskê (klasa C) i adres 172.16.1.0, u¿yliby¶my nastêpuj±cych regu³ ipchains:

# ipchains -F forward
# ipchains -P forward DENY
# ipchains -A forward -s 0/0 80 -d 172.16.1.0/24 -p tcp -y -j DENY
# ipchains -A forward -s 172.16.1.0/24 -d 0/0 80 -p tcp -b -j ACCEPT

Pierwsze polecenie czy¶ci wszystkie regu³y z zestawu forward, a drugie definiuje domy¶ln± politykê zestawu regu³ forward na DENY. Trzecie i czwarte polecenie realizuj± wymagane przez nas filtrowanie. Czwarte polecenie pozwala datagramom kierowanym do i z serwerów WWW na przechodzenie do naszej sieci, a trzecie zapobiega przyjmowaniu przychodz±cych po³±czeñ TCP z portem ¼ród³owym 80.
Gdyby¶my teraz chcieli dodaæ regu³y pozwalaj±ce na dostêp do zewnêtrznych serwerów FTP w trybie biernym, musieliby¶my wpisaæ:

# ipchains -A forward -s 0/0 20 -d 172.16.1.0/24 -p tcp -y -j DENY
# ipchains -A forward -s 172.16.1.0/24 -d 0/0 20 -p tcp -b -j ACCEPT
# ipchains -A forward -s 0/0 21 -d 172.16.1.0/24 -p tcp -y -j DENY
# ipchains -A forward -s 172.16.1.0/24 -d 0/0 21 -p tcp -b -j ACCEPT

Listowanie regu³ za pomoc± ipchains
Do wylistowania regu³ za pomoc± ipchains u¿ywamy argumentu -L. Podobnie jak to by³o w ipfwadm, istniej± argumenty kontroluj±ce liczbê szczegó³ów pokazywanych w wyniku. W najprostszej postaci ipchains generuje nastêpuj±cy wynik:

# ipchains -L -n
Chain input (policy ACCEPT):
Chain forward (policy DENY):
target     prot  opt     source           destination      ports
DENY       tcp   -y----  0.0.0.0/0        172.16.1.0/24    80 -> *
ACCEPT     tcp   ------  172.16.1.0/24    0.0.0.0/0        * -> 80
ACCEPT     tcp   ------  0.0.0.0/0        172.16.1.0/24    80 -> *
ACCEPT     tcp   ------  172.16.1.0/24    0.0.0.0/0        * -> 20
ACCEPT     tcp   ------  0.0.0.0/0        172.16.1.0/24    20 -> *
ACCEPT     tcp   ------  172.16.1.0/24    0.0.0.0/0        * -> 21
ACCEPT     tcp   ------  0.0.0.0/0        172.16.1.0/24    21 -> *

Chain output (policy ACCEPT):

Je¿eli nie podasz nazwy ³añcucha, który chcesz obejrzeæ, ipchains wy¶wietli wszystkie regu³y ze wszystkich ³añcuchów. Argument -n w naszym przyk³adzie powoduje, ¿e ipchains nie próbuje konwertowaæ adresów i portów na nazwy. Pokazana informacja powinna byæ oczywista.
Bogatsza forma wyniku, uzyskiwana przez opcjê -u, pokazuje du¿o wiêcej szczegó³ów. Dodatkowe pola zawieraj± liczniki datagramów i bajtów, znaczniki AND i XOR typu us³ugi, nazwê interfejsu, znakowanie i rozmiar wynikowy.
Ze wszystkimi regu³ami utworzonymi za pomoc± ipchains zwi±zane s± liczniki bajtów i datagramów. W ten sposób jest zaimplementowane liczenie ruchu IP, które zostanie szczegó³owo omówione w rozdziale 10. Domy¶lnie liczniki s± pokazywane w postaci zaokr±glonej z przyrostkami K i M oznaczaj±cymi odpowiednio jednostki: tysi±c i milion. Je¿eli zostanie podany argument -x, liczniki s± rozwijane do ich pe³nej, niezaokr±glonej postaci.
Korzystanie z ³añcuchów
Wiesz ju¿, ¿e polecenie ipchains zastêpuje ipfwadm, ma prostsz± sk³adniê i kilka ciekawych rozszerzeñ, ale bez w±tpienia chcesz wiedzieæ, gdzie i po co u¿ywaæ ³añcuchów definiowanych przez u¿ytkownika. Zapewne jeste¶ te¿ ciekawy, jak pos³ugiwaæ siê dodatkowymi skryptami towarzysz±cymi poleceniu ipchains w pakiecie. Przyjrzymy siê teraz tym tematom i postaramy siê odpowiedzieæ na pytania.
£añcuchy definiowane przez u¿ytkownika
Trzy zestawy regu³ dla tradycyjnego firewalla IP stanowi± mechanizm tworzenia prostych konfiguracji firewalla, którymi ³atwo jest zarz±dzaæ w ma³ych sieciach o niewielkich wymaganiach wobec systemu bezpieczeñstwa. Gdy wymagania konfiguracyjne wzrastaj±, pojawia siê szereg problemów. Po pierwsze, du¿e sieci czêsto wymagaj± du¿o wiêcej regu³ firewalla, ni¿ tych kilka, z którymi siê do tej pory spotkali¶my. Nieuchronnie rosn± potrzeby dodawania do firewalla regu³ obs³uguj±cych przypadki szczególne. Gdy liczba regu³ ro¶nie, wydajno¶æ firewalla pogarsza siê, bo na ka¿dym datagramie jest przeprowadzanych coraz wiêcej testów; problemem staje siê te¿ zarz±dzanie. Po drugie, nie jest mo¿liwe w³±czanie i wy³±czanie zestawu regu³ w sposób rozdzielny. Gdy jeste¶ w trakcie przebudowy zestawu regu³, nara¿asz sieæ na ataki.
Zasady budowy ³añcuchów IP pomagaj± z³agodziæ te problemy, gdy¿ umo¿liwiaj± administratorowi tworzenie dowolnych zestawów regu³ firewalla, które mo¿na nastêpnie do³±czaæ do trzech wbudowanych zestawów regu³. Do utworzenia nowego ³añcucha mo¿na u¿yæ opcji -N programu ipchains. Trzeba podaæ jego nazwê, sk³adaj±c± siê z 8 (lub mniej) znaków. (Ograniczenie nazwy do ma³ych liter jest dobrym pomys³em). Opcja -j konfiguruje dzia³anie podejmowane wtedy, gdy datagram pasuje do wymagañ regu³y. Mówi, ¿e je¿eli datagram bêdzie pasowa³ do regu³y, dalsze testowanie powinno byæ realizowane w ³añcuchu zdefiniowanym przez u¿ytkownika. Poka¿emy to na wykresie.
Rozwa¿my nastêpuj±ce polecenia ipchains:

ipchains -P input DENY
ipchains -N tcpin
ipchains -A tcpin -s ! 172.16.0.0/16
ipchains -A tcpin -p tcp -d 172.16.0.0/16 ssh -j ACCEPT
ipchains -A tcpin -p tcp -d 172.16.0.0/16 www -j ACCEPT
ipchains -A input -p tcp -j tcpin
ipchains -A input -p all

Domy¶ln± politykê ³añcucha wej¶ciowego ustawiamy na deny. Drugie polecenie tworzy definiowany przez u¿ytkownika ³añcuch o nazwie "tcpin". Trzecie polecenie dodaje do ³añcucha tcpin regu³ê, do której pasuj± wszystkie datagramy pochodz±ce spoza naszej sieci lokalnej. Nie jest podejmowane ¿adne dodatkowe dzia³anie. Jest to regu³a zliczaj±ca i zostanie omówiona bardziej szczegó³owo w rozdziale 10. Do nastêpnych dwóch regu³ pasuj± datagramy przeznaczone dla naszej sieci lokalnej na porty ssh lub www. Pasuj±ce datagramy s± akceptowane. W nastêpnej regule tkwi prawdziwa magia ipchains. Regu³a ta powoduje, ¿e oprogramowanie firewalla sprawdza ka¿dy datagram TCP za pomoc± ³añcucha tcpin, zdefiniowanego przez u¿ytkownika. Na koniec dodajemy regu³ê do naszego ³añcucha input, do którego pasuje ka¿dy datagram. Jest to kolejna regu³a zliczaj±ca. W ten sposób uzyskujemy ³añcuchy firewalla pokazane na rysunku 9-4.
Nasze ³añcuchy input i tcpin s± zape³niane regu³ami. Przetwarzanie datagramu zawsze rozpoczyna siê w jednym z ³añcuchów wbudowanych. Zobaczymy, jak zdefiniowany przez nas ³añcuch jest u¿ywany przy przetwarzaniu ró¿nych typów datagramów.
Najpierw przyjrzymy siê, co siê dzieje, gdy zostanie odebrany datagram UDP dla jednego z naszych hostów. Rysunek 9-5 pokazuje przep³yw przez regu³y.
Datagram zostaje odebrany przez ³añcuch input, ale nie pasuje do dwóch pierwszych regu³, poniewa¿ pasuj± do nich tylko datagramy protoko³ów ICMP i TCP. Zostaje dopasowany do trzeciej regu³y ³añcucha input, która nie zawiera celu. S± wiêc uaktualniane liczniki bajtowy i datagramów, ale nie jest podejmowane ¿adne inne dzia³anie. Datagram dociera do koñca ³añcucha input, spe³niaj±c warunki jego domy¶lnej polityki i zostaje odrzucony.

Rysunek 9-4. Prosty zestaw regu³ ³añcucha IP
http://www.rm.com.pl/upgr/lpas/09-04.tif

Rysunek 9-5. Kolejno¶æ sprawdzania regu³ dla odebranego datagramu UDP
http://www.rm.com.pl/upgr/lpas/09-05.tif

Aby zobaczyæ zdefiniowany przez nas ³añcuch w dzia³aniu, rozwa¿my, co siê dzieje, gdy zostanie odebrany datagram TCP przeznaczony dla portu ssh jednego z naszych hostów. Kolejno¶æ pokazano na rysunku 9-6.

Rysunek 9-6. Kolejno¶æ regu³ dla odebranego pakietu TCP dla portu ssh
http://www.rm.com.pl/upgr/lpas/09-06.tif

Tym razem datagram pasuje do drugiej regu³y w ³añcuchu input, która kieruje go do celu tcpin - ³añcucha zdefiniowanego przez u¿ytkownika. Podanie ³añcucha zdefiniowanego przez u¿ytkownika jako celu powoduje, ¿e datagram bêdzie sprawdzany przez zawarte w nim regu³y, a wiêc nastêpn± sprawdzan± regu³± bêdzie pierwsza regu³a z ³añcucha tcpin. Do tej regu³y pasuj± datagramy, które maj± adres ¼ród³owy spoza sieci lokalnej i nie zawieraj± adresu przeznaczenia, a wiêc jest to tak¿e regu³a zliczaj±ca i testowanie przechodzi do nastêpnej regu³y. Druga regu³a w naszym ³añcuchu tcpin pasuje do datagramu i okre¶la cel ACCEPT. Dotarli¶my do celu, a wiêc nie bêdzie ju¿ ¿adnego przetwarzania przez firewall. Datagram zostaje przepuszczony.
Na koniec zobaczmy, co siê stanie, gdy dotrzemy do koñca zdefiniowanego przez nas ³añcucha. Aby to zobaczyæ, musimy pokazaæ przep³yw datagramu TCP przeznaczonego dla portu innego ni¿ dwa przez nas obs³ugiwane. Pokazujemy to na rysunku 9-7.

Rysunek 9-7. Kolejno¶æ regu³ dla odebranego pakietu TCP dla telnet
http://www.rm.com.pl/upgr/lpas/09-07.tif

£añcuchy zdefiniowane przez u¿ytkownika nie maj± polityki domy¶lnej. Gdy wszystkie zawarte w nich regu³y zostan± sprawdzone i ¿adna nie pasuje, firewall dzia³a tak, jakby istnia³a regu³a RETURN, a wiêc je¿eli nie tego chcia³e¶, powiniene¶ na koñcu ³añcucha u¿ytkownika umie¶ciæ ¿±dane dzia³anie. W naszym przyk³adzie sprawdzanie powraca do regu³y z zestawu input nastêpnej po tej, przez któr± przeszli¶my do ³añcucha zdefiniowanego przez u¿ytkownika. Ostatecznie docieramy do koñca ³añcucha input, który posiada politykê domy¶ln± i datagram zostaje odrzucony.
Ten przyk³ad jest bardzo prosty, ale pokazuje to, o co nam chodzi³o. W praktyce dzia³anie ³añcuchów IP jest du¿o bardziej skomplikowane. Nieco bardziej wyrafinowany przyk³ad pokazujemy poni¿ej, w postaci listy poleceñ.

#
# Ustawienie domy¶lnej polityki przekazywania na REJECT
ipchains -P forward REJECT
#
# utworzenie naszego ³añcucha
ipchains -N sshin


ipchains -N sshout
ipchains -N wwwin
ipchains -N wwwout
#
# Gwarancja odrzucania po³±czeñ w z³ym kierunku
ipchains -A wwwin -p tcp -s 172.16.0.0/16 -y -j REJECT
ipchains -A wwwout -p tcp -d 172.16.0.0/16 -y -j REJECT
ipchains -A sshin -p tcp -s 172.16.0.0/16 -y -j REJECT
ipchains -A sshout -p tcp -d 172.16.0.0/16 -y -j REJECT
#
# Gwarancja, ¿e wszystko, co dotrze do koñca ³añcucha 
# zdefiniowanego przez u¿ytkownika, zostanie odrzucone
ipchains -A sshin -j REJECT
ipchains -A sshout -j REJECT
ipchains -A wwwin -j REJECT
ipchains -A wwwout -j REJECT
#
# Przekierowanie us³ug www i ssh do odpowiedniego ³añcucha 
# zdefiniowanego przez u¿ytkownika
ipchains -A forward -p tcp -d 172.16.0.0/16 ssh -b -j sshin
ipchains -A forward -p tcp -s 172.16.0.0/16 -d 0/0 ssh -b -j sshout
ipchains -A forward -p tcp -d 172.16.0.0/16 www -b -j wwwin
ipchains -A forward -p tcp -s 172.16.0.0/16 -d 0/0 www -b -j wwwout
#
# Umieszczenie regu³ sprawdzaj±cych hosty na drugiej pozycji w 
# zdefiniowanych przez nas ³añcuchach
ipchains -I wwwin 2 -d 172.16.1.2 -b -j ACCEPT
ipchains -I wwwout 2 -s 172.16.1.0/24 -b -j ACCEPT
ipchains -I sshin 2 -d 172.16.1.4 -b -j ACCEPT
ipchains -I sshout 2 -s 172.16.1.4 -b -j ACCEPT
ipchains -I sshout 2 -s 172.16.1.6 -b -j ACCEPT
#

W tym przyk³adzie u¿yli¶my ³añcuchów definiowanych przez u¿ytkownika do uproszczenia zarz±dzania naszym firewallem i do poprawy wydajno¶ci w porównaniu z rozwi±zaniem wykorzystuj±cym jedynie ³añcuchy wbudowane.
W naszym przyk³adzie s± tworzone ³añcuchy u¿ytkownika dla ka¿dej z us³ug ssh i www w ka¿dym kierunku po³±czenia. W ³añcuchu wwwout umieszczamy regu³y dla hostów, które mog± tworzyæ wychodz±ce po³±czenia WWW, a w sshin definiujemy regu³y dla hostów, które mog± przyjmowaæ przychodz±ce po³±czenia ssh. Za³o¿yli¶my, ¿e potrzebujemy mo¿liwo¶ci przyjmowania i odrzucania po³±czeñ ssh i www tylko dla wybranych hostów w naszej sieci. Jest to pewne uproszczenie, gdy¿ ³añcuchy definiowane przez u¿ytkownika pozwalaj± na grupowanie regu³ wed³ug pakietów przychodz±cych do hosta i wychodz±cych z niego, a nie na ich mieszanie. Poprawia siê wydajno¶æ, poniewa¿ dla ka¿dego datagramu zmniejszyli¶my ¶redni± liczbê testów robionych przed osi±gniêciem celu. Wydajno¶æ zwiêkszy siê jeszcze bardziej, je¿eli wzro¶nie liczba hostów. Gdyby¶my nie mieli ³añcuchów u¿ytkownika, potencjalnie musieliby¶my przeszukiwaæ ca³± listê regu³, by stwierdziæ, czy dzia³anie ma zostaæ podjête przy ka¿dym odebranym datagramie. Nawet gdyby¶my za³o¿yli, ¿e ka¿da z regu³ zawartych na naszej li¶cie pasuje do równej liczby przetworzonych datagramów, wci±¿ musieliby¶my przeszukiwaæ ¶rednio po³owê listy. £añcuchy definiowane przez u¿ytkownika pozwalaj± nam unikn±æ sprawdzania du¿ej liczby regu³, poniewa¿ testowany datagram musi pasowaæ do prostej regu³y wbudowanego ³añcucha, aby w ogóle dotrzeæ do ³añcucha u¿ytkownika.
Skrypty pomocnicze ipchains
Pakiet oprogramowania ipchains jest dostarczany wraz z trzema dodatkowymi skryptami. Pierwszy z nich ju¿ krótko omówili¶my, natomiast pozosta³e dwa zapewniaj± ³atwe i wygodne sposoby zachowywania i odtwarzania konfiguracji firewalla.
Skrypt ipfwadm-wrapper emuluje sk³adniê wiersza poleceñ ipfwadm, ale wymaga polecenia ipchains do tworzenia regu³. Jest to wygodny sposób na migracjê istniej±cej konfiguracji firewalla do j±dra lub alternatywa dla opanowania sk³adni ipchains. Skrypt ipfwadm-wrapper zachowuje siê inaczej ni¿ polecenie ipfwadm pod dwoma wzglêdami. Po pierwsze, ipchains nie pozwala na okre¶lenie interfejsu przez adres, a ipfwadm-wrapper przyjmuje argument -V, ale próbuje zamieniæ go na w³a¶ciwy dla ipchains odpowiednik -W, szukaj±c nazwy interfejsu skonfigurowanej pod zadanym adresem. Skrypt ipfwadm-wrapper zawsze przypomina ci o tym, wypisuj±c komunikat, gdy u¿yjesz opcji -V. Po drugie, regu³y zliczania fragmentów nie s± t³umaczone poprawnie.
Skrypty ipchains-save i ipchains-restore upraszczaj± tworzenie i modyfikowanie konfiguracji firewalla. Polecenie ipchains-save odczytuje aktualn± konfiguracjê firewalla i zapisuje uproszczon± postaæ na standardowe wyj¶cie. Polecenie ipchains-restore odczytuje dane w formacie wyprowadzanym przez ipchains-save i konfiguruje firewall IP zgodnie z odczytanymi regu³ami. Korzy¶ci± z u¿ywania tych skryptów jest mo¿liwo¶æ natychmiastowego dynamicznego tworzenia konfiguracji i jej zapisania, czego nie daje bezpo¶rednie modyfikowanie skryptu konfiguruj±cego firewall i testowanie konfiguracji. Tak± konfiguracjê mo¿na nastêpnie odtworzyæ, zmodyfikowaæ i zapisaæ ponownie.
Aby u¿yæ tych skryptów i zachowaæ aktualn± konfiguracjê firewalla, musisz napisaæ co¶ takiego:

ipchains-save >/var/state/ipchains/firewall.state

Mo¿esz j± potem odtworzyæ, zwykle w czasie uruchamiania systemu, w nastêpuj±cy sposób:

ipchains-restore </var/state/ipchains/firewall.state

Skrypt ipchains-restore sprawdza, czy istniej± ju¿ umieszczone w konfiguracji ³añcuchy zdefiniowane przez u¿ytkownika. Je¶li podasz opcjê -f, regu³y z wcze¶niej skonfigurowanych ³añcuchów u¿ytkownika bêd± automatycznie usuniête przed wczytaniem nowych. Natomiast przy dzia³aniu domy¶lnym jeste¶ pytany, czy pozostawiæ, czy usun±æ dany ³añcuch.
Netfilter i tabele IP (j±dra 2.4)
Kiedy Paul Russell pracowa³ nad ³añcuchami IP, doszed³ do wniosku, ¿e firewalle IP powinny byæ mniej skomplikowane. Wkrótce wiêc zaj±³ siê upraszczaniem przetwarzania datagramów w kodzie firewalla zawartym w j±drze i stworzy³ strukturê filtruj±c±, która by³a du¿o prostsza i du¿o bardziej elastyczna. Tê now± strukturê nazwa³ netfilter.

W czasie pisania tej ksi±¿ki budowa netfilter nie by³a jeszcze ustabilizowana. Mamy nadziejê, ¿e wybaczysz nam wszelkie b³êdy w opisie netfilter i narzêdzi konfiguracyjnych, które wynikaj± ze zmian, jakie zasz³y po przygotowaniu tego materia³u. Uznali¶my, ¿e netfilter jest tematem na tyle istotnym, by usprawiedliwiæ umieszczenie jego roboczego opisu w tej ksi±¿ce, bez wzglêdu na fakt, ¿e jego czê¶ci s± oparte na domys³ach. Gdyby¶ mia³ jakiekolwiek w±tpliwo¶ci, s± ju¿ dostêpne odpowiednie dokumenty HOWTO zawieraj±ce bardziej dok³adne i aktualne informacje na temat szczegó³owych zagadnieñ zwi±zanych z konfiguracj± netfilter.
Có¿ wiêc by³o nie tak z ³añcuchami IP? Poprawi³y one znacznie wydajno¶æ i zarz±dzanie regu³ami firewalla. Ale sposób przetwarzania datagramów wci±¿ by³ skomplikowany, szczególnie w po³±czeniu z funkcjami zwi±zanymi z firewallem, takimi jak maskowanie IP (omówione w rozdziale 11) i inne formy translacji adresów. Czê¶ciowa z³o¿ono¶æ wynika³a z faktu, ¿e maskowanie IP i translacja adresów sieciowych powsta³y niezale¿nie od kodu firewalla w j±drze i dopiero pó¼niej zosta³y do niego do³±czone. Niestety nie by³o to wszystko tworzone razem od pocz±tku i zintegrowane w kodzie firewalla. Gdyby twórcy chcieli dodaæ nastêpne funkcje zwi±zane z przetwarzaniem datagramów, mieliby trudno¶ci ze znalezieniem miejsca na umieszczenie swojego kodu i musieliby dokonaæ zmian w j±drze, aby dopi±æ swego.
Poza tym istnia³y jeszcze inne problemy. W szczególno¶ci ³añcuch "input" opisywa³ wej¶cie do ca³ej warstwy sieci IP. £añcuch wej¶ciowy dotyczy³ zarówno datagramów przeznaczonych dla hosta, jak i datagramów rutowanych przez host. By³o to nieco myl±ce, poniewa¿ miesza³o funkcjê ³añcucha wej¶ciowego z funkcj± ³añcucha przekazuj±cego, dotycz±cego tylko datagramów przekazywanych dalej, ale zawsze sprawdzanych po przej¶ciu przez ³añcuch wej¶ciowy. Gdyby¶ chcia³ inaczej traktowaæ datagramy przeznaczone dla hosta ni¿ datagramy przekazywane dalej, musia³by¶ stworzyæ z³o¿one regu³y wykluczaj±ce jedne lub drugie. Ten sam problem dotyczy³ ³añcucha wyj¶ciowego.
Oczywi¶cie ta z³o¿ono¶æ poniek±d dotknê³a administratora systemu, poniewa¿ odbi³a siê na sposobie tworzenia regu³. Co wiêcej, wszelkie rozszerzenia filtrowania wymaga³y bezpo¶rednich modyfikacji j±dra, poniewa¿ wszystkie polityki filtrowania by³y w nim zaimplementowane i nie by³o sposobu na stworzenie przezroczystego interfejsu. netfilter radzi sobie zarówno ze z³o¿ono¶ci±, jak i sztywno¶ci± starszych rozwi±zañ, implementuj±c w j±drze ogóln± strukturê okre¶laj±c± sposób przetwarzania datagramów i zapewniaj±c± mo¿liwo¶æ rozbudowy polityki filtrowania bez potrzeby modyfikacji j±dra.
Przyjrzyjmy siê dwóm kluczowym zmianom, które zosta³y dokonane. Rysunek 9-8 pokazuje, jak datagramy s± przetwarzane w implementacji ³añcuchów IP, natomiast rysunek 9-9 pokazuje, jak s± one przetwarzane przez netfilter. Zasadnicze ró¿nice to usuniêcie z g³ównego kodu funkcji maskowania i zmiana umiejscowienia ³añcuchów wej¶ciowego i wyj¶ciowego. Zmianom tym towarzyszy nowe, daj±ce siê rozbudowaæ narzêdzie o nazwie iptables.
W ³añcuchach IP ³añcuch wej¶ciowy dotyczy³ wszystkich datagramów odebranych przez host bez wzglêdu na to, czy by³y one dla niego przeznaczone, czy rutowane do innego hosta. W netfilter ³añcuch wej¶ciowy dotyczy tylko datagramów przeznaczonych dla hosta lokalnego, a ³añcuch przekazuj±cy dotyczy tylko datagramów przeznaczonych dla innego hosta. Podobnie w ³añcuchach IP, ³añcuch wyj¶ciowy dotyczy wszystkich datagramów wychodz±cych z hosta lokalnego bez wzglêdu na to, czy s± to datagramy na nim stworzone, czy przez niego rutowane z innego hosta. W netfilter ³añcuch wyj¶ciowy dotyczy tylko datagramów wygenerowanych na danym ho¶cie, a nie dotyczy datagramów przez niego rutowanych. Sama ta zmiana stanowi powa¿ne uproszczenie wielu konfiguracji firewalla.
Na rysunku 9-8 elementy opisane jako "demaskowanie" i "maskowanie" s± oddzielnymi elementami j±dra odpowiedzialnymi za przetwarzanie przychodz±cych i wychodz±cych datagramów maskowanych. Zosta³y one ponownie zaimplementowane w netfilter jako modu³y.

Rysunek 9-8. £añcuch przetwarzania datagramów w ³añcuchach IP
http://www.rm.com.pl/upgr/lpas/09-08.tif

Przyjrzyjmy siê konfiguracji, w której domy¶lna polityka dla ka¿dego ³añcucha: wej¶ciowego, wyj¶ciowego i przekazuj±cego, jest ustawiona na deny. W ³añcuchach IP potrzebne jest sze¶æ regu³, aby przepuszczaæ jak±kolwiek sesjê przez firewall: po dwie w ka¿dym ³añcuchu: wej¶ciowym, wyj¶ciowym i przekazuj±cym (jedna obs³ugiwa³aby przesy³anie w jedn± stronê, a druga w drug±.). Mo¿esz sobie wyobraziæ, jak ³atwo mog³oby to siê staæ nadzwyczaj skomplikowane i trudne do ogarniêcia, gdyby¶ chcia³ mieszaæ sesje rutowane i sesje po³±czeñ do hosta bez rutowania. £añcuchy IP pozwalaj± na tworzenie ³añcuchów nieco upraszczaj±cych to zadanie, ale ich budowa nie jest oczywista i wymaga pewnego do¶wiadczenia.
W implementacji netfilter ta z³o¿ono¶æ znika zupe³nie dziêki iptables. W przypadku us³ugi rutowanej przez firewalla, ale nie koñcz±cej siê na ho¶cie lokalnym, potrzebne s± tylko dwie regu³y w ³añcuchu przekazuj±cym: jedna w jednym kierunku i druga w przeciwnym. Jest to oczywisty sposób tworzenia regu³ dla firewalla i znacznie upraszcza jego konfiguracjê.
W dokumencie PACKETE-FILTERING-HOWTO znajdziesz szczegó³ow± listê zmian, dokonywanych w czasie tworzenia oprogramowania, a wiêc tam szukaj bardziej praktycznych zagadnieñ zwi±zanych z tym tematem.

Rysunek 9-9. £añcuch przetwarzania datagramów w netfilter
http://www.rm.com.pl/upgr/lpas/09-09.tif

Wsteczna zgodno¶æ z ipfwadm i ipchains
Niezwyk³a elastyczno¶æ netfilter w Linuksie uwidacznia siê w mo¿liwo¶ci emulowania interfejsów ipfwadm i ipchains. Dziêki emulacji przej¶cie na oprogramowanie firewalla nowej generacji jest du¿o prostsze.
Dwa modu³y j±dra netfilter, zwane ipfwadm.o i ipchains.o, zapewniaj± kompatybilno¶æ wsteczn± dla ipfwadm i ipchains. Mo¿esz za³adowaæ tylko jeden z nich na raz i u¿ywaæ tylko wtedy, gdy modu³ ip_tables.o nie jest za³adowany. Gdy odpowiedni modu³ zostanie za³adowany, netfilter dzia³a dok³adnie tak jak poprzednia implementacja firewalla.
netfilter na¶laduje interfejs ipchains po wydaniu nastêpuj±cych poleceñ:

rmmod ip_tables
modprobe ipchains
ipchains …

U¿ywanie iptables
Program iptables jest u¿ywany do konfigurowania regu³ filtrowania netfilter. Jego sk³adnia ma wiele wspólnego z ipchains, ale ró¿ni siê pod jednym bardzo szczególnym wzglêdem: jest rozszerzalna. Oznacza to, ¿e jej funkcjonalno¶æ mo¿na roszerzyæ bez ponownej kompilacji. S³u¿± do tego biblioteki dzielone. Istniej± standardowe rozszerzenia, które omówimy za chwilê.
Zanim bêdziesz móg³ u¿ywaæ polecenia iptables, musisz za³adowaæ modu³ j±dra netfilter niezbêdny do jego obs³ugi. Najpro¶ciej zrobisz to za pomoc± polecenia modprobe:

modprobe ip_tables

Polecenie iptables jest u¿ywane do konfigurowania zarówno filtrowania IP, jak i translacji adresów sieciowych (Network Address Translation). Aby temu sprostaæ, istniej± dwie tablice regu³: filter i net. Tablica filter jest u¿ywana domy¶lnie, je¿eli nie podasz opcji -t zmieniaj±cej to zachowanie. W netfilter udostêpniono piêæ wbudowanych ³añcuchów. £añcuchy INPUT i FORWARD s± dostêpne dla tablicy filter, a PREROUTING i POSTROUTING s± dostêpne dla tablicy nat, natomiast ³añcuch OUTPUT jest dostêpny dla obu tablic. W tym rozdziale omówimy tylko tablice filter. Tablicom net przyjrzymy siê w rozdziale 11.
Ogólna sk³adnia wiêkszo¶ci poleceñ iptables jest nastêpuj±ca:

iptables polecenie okre¶lenie-regu³y rozszerzenia

Teraz przyjrzymy siê szczegó³owo kilku opcjom, po czym podamy przyk³ady.
Polecenia
Istnieje szereg sposobów operowania na regu³ach i ich zestawach za pomoc± polecenia iptables. Istotne dla filtrowania IP s± nastêpuj±ce:
-A ³añcuch

Dodanie jednej lub kilku regu³ na koniec zadanego ³añcucha. Je¿eli zostanie podana nazwa hosta ¼ród³owego lub docelowego, z któr± zwi±zany jest wiêcej ni¿ jeden adres IP, regu³a zostanie dodana do ka¿dego adresu.
-I ³añcuch num_regu³y

Wstawienie jednej lub kilku regu³ na pocz±tku zadanego ³añcucha. Znów, je¿eli w opisie regu³y zostanie podana nazwa hosta, regu³a bêdzie dodana dla ka¿dego adresu IP odpowiadaj±cego temu hostowi.
-D ³añcuch

Usuniêcie jednej lub kilku regu³ z zadanego ³añcucha, który takie regu³y zawiera.
-D ³añcuch num_regu³y

Usuniêcie regu³y znajduj±cej siê na pozycji num_regu³y w zadanym ³añcuchu. Liczenie regu³ zaczyna siê od 1 w przypadku pierwszej regu³y w ³añcuchu.
-R ³añcuch num_regu³y

Zast±pienie regu³y na pozycji num_regu³y w zadanym ³añcuchu regu³± o podanej charakterystyce.

-C ³añcuch

Sprawdzenie zadanym ³añcuchem datagramu opisanego przez regu³ê. To polecenie zwróci komunikat opisuj±cy, w jaki sposób ³añcuch przetworzy³ datagram. Jest bardzo przydatne do testowania konfiguracji firewalla i za chwilê przyjrzymy siê mu bardziej szczegó³owo.
-L[³añcuch]

Wylistowanie regu³ z zadanego ³añcucha lub ze wszystkich ³añcuchów, je¿eli ¿aden nie zostanie wybrany.
-F [³añcuch]

Usuniêcie regu³ z zadanego ³añcucha lub ze wszystkich ³añcuchów, je¿eli ¿aden nie zostanie wybrany.
-Z [³añcuch]

Wyzerowanie liczników bajtów i datagramów dla wszystkich regu³ w zadanym ³añcuchu lub we wszystkich ³añcuchach, je¿eli ¿aden nie zostanie wybrany.
-N ³añcuch

Utworzenie nowego ³añcucha o zadanej nazwie. Nie mog± istnieæ ³añcuchy o tej samej nazwie. W ten sposób tworzy siê ³añcuch definiowany przez u¿ytkownika.
-X [³añcuch]

Usuniêcie zadanego ³añcucha zdefiniowanego przez u¿ytkownika lub wszystkich takich ³añcuchów, je¿eli ¿aden nie zostanie wybrany. Aby to polecenie zadzia³a³o, nie mo¿e byæ odwo³añ do usuwanego ³añcucha z ¿adnych innych ³añcuchów regu³.
-P ³añcuch polityka

Ustawienie domy¶lnej polityki dla zadanego ³añcucha. Dopuszczalne polityki to ACCEPT, DROP, QUEUE i RETURN. ACCEPT pozwala na przepuszczenie datagramu. DROP powoduje, ¿e datagram jest odrzucany. QUEUE powoduje, ¿e datagram jest przekazywany do przestrzeni u¿ytkownika w celu dalszego przetwarzania. RETURN powoduje, ¿e kod firewalla IP wraca do ³añcucha, który go wywo³a³, i kontynuuje dzia³anie od nastêpnej regu³y.
Parametry definicji regu³y
Istnieje kilka parametrów iptables u¿ywanych do definiowania regu³y. Gdy wymagane jest zdefiniowanie regu³y, musi zostaæ podana warto¶æ ka¿dego z nich albo zostan± przyjête warto¶ci domy¶lne.
-p[!]protokó³

Okre¶la protokó³ datagramu, który ma pasowaæ do tej regu³y. Dopuszczalne nazwy protoko³ów to: tcp, udp, icmp lub numer, je¿eli znasz numery protoko³u IP*. Na przyk³ad móg³by¶ u¿yæ liczby 4 do okre¶lenia enkapsulacji ipip. Gdyby¶ poda³ znak !, regu³a zosta³aby zanegowana, a datagram pasowa³by do ka¿dego protoko³u poza podanym. Gdy ten parametr nie zostanie okre¶lony, domy¶lnie przyjête bêd± wszystkie protoko³y.

-s[!]adres[/maska]

Okre¶la adres ¼ród³owy datagramu, który bêdzie pasowa³ do tej regu³y. Adres mo¿e byæ podany w postaci nazwy hosta, nazwy sieci lub adresu IP. Opcjonalny parametr maska definiuje maskê sieci, która ma byæ zastosowana. Mo¿e byæ ona podana w postaci tradycyjnej (tj. /255.255.255.0) lub w postaci wspó³czesnej (tj. /24).
-d[!]adres[/maska]

Okre¶la adres przeznaczenia i port datagramu, który bêdzie pasowa³ do tej regu³y. Kodowanie tego parametru jest takie samo jak parametru -s.
-j cel

Okre¶la, jakie dzia³anie ma zostaæ podjête, gdy regu³a zostanie dopasowana. Parametr ten mo¿esz sobie przet³umaczyæ jako "skocz do" (ang. jump to). Dopuszczalne cele to ACCEPT, DROP, QUEUE i RETURN. Ich znaczenie opisali¶my wcze¶niej w sekcji "Polecenia". Jednak mo¿esz podaæ tak¿e nazwê ³añcucha zdefiniowanego przez u¿ytkownika ³añcucha, w którym bêdzie wykonywane dalsze przetwarzanie. Mo¿esz tak¿e podaæ cel obs³ugiwany przez rozszerzenie. Wkrótce opiszemy rozszerzenia. Je¿eli ten parametr zostanie pominiêty, to je¶li datagram pasuje do regu³y, nie zostanie podjête ¿adne inne dzia³anie oprócz uaktualnienia datagramu i liczników bajtów.
-i[!]nazwa-interfejsu

Okre¶la interfejs, który przyj±³ datagram. Znów znak ! odwraca wynik dopasowania. Je¿eli nazwa interfejsu koñczy siê znakiem +, pasowa³ bêdzie ka¿dy interfejs, którego nazwa rozpoczyna siê zadanym ci±giem. Na przyk³ad, -i ppp+ bêdzie pasowaæ do dowolnego urz±dzenia sieciowego PPP, a -i ! eth+ bêdzie pasowaæ do wszystkich urz±dzeñ poza Ethernetem.
-o[!]nazwa-interfejsu

Okre¶la interfejs, na który datagram bêdzie wys³any. Ten argument ma tak± sam± sk³adniê jak -i.
[!]-f

Mówi, ¿e regu³a ta dotyczy tylko drugiego i dalszych fragmentów datagramu. Nie dotyczy pierwszego fragmentu.
Opcje
Poni¿ej pokazano bardziej ogólne opcje iptables. Niektóre z nich steruj± raczej ezoterycznymi funkcjami oprogramowania netfilter.
-v

Powoduje, ¿e iptables wy¶wietla bogate wyniki. Podawane bêdzie wiêcej informacji.
-n

Powoduje, ¿e iptables wy¶wietla adres IP i porty tylko jako liczby, nie próbuje zamieniaæ ich na odpowiadaj±ce im nazwy.
-x

Powoduje, ¿e wszelkie liczby w wyniku iptables s± pokazywane dok³adnie, bez zaokr±glania.
- -numery_wierszy

Powoduje, ¿e przy wy¶wietlaniu zestawów regu³ pokazywane s± numery wierszy. Numer wiersza odpowiada pozycji regu³y w ³añcuchu.
Rozszerzenia
Powiedzieli¶my wcze¶niej, ¿e iptables jest narzêdziem rozszerzalnym poprzez opcjonalne modu³y bibliotek dzielonych. Istniej± standardowe rozszerzenia udostêpniaj±ce funkcje ipchains. Aby z nich skorzystaæ, musisz podaæ poleceniu iptables ich nazwê poprzez argument -m nazwa. Poni¿sza lista pokazuje opcje -m i -p okre¶laj±ce kontekst rozszerzeñ oraz opcje udostêpniane przez rozszerzenie.
Rozszerzenia TCP: u¿ywane z -m tcp -p tcp
- -sport [!][port[:port]]

Okre¶la port, z którego musi pochodziæ datagram, aby pasowa³ do regu³y. Mo¿na wyznaczyæ pewien zakres portów, wypisuj±c górny i dolny limit (nale¿y rozdzieliæ je dwukropkiem). Na przyk³ad 20:25 oznacza wszystkie porty o numerach od 20 do 25 w³±cznie. Znów znak ! mo¿e byæ u¿yty do zanegowania warto¶ci.
- -dport[!][port[:port]]

Okre¶la port, do którego musi byæ skierowany datagram, aby pasowa³ do regu³y. Argument jest kodowany identycznie jak --sport.
- -tcp-flags [!] maska lista

Okre¶la, ¿e regu³a pasuje, gdy znaczniki TCP w datagramie pasuj± do okre¶lonych przez  maskê i listê.  maska to lista rozdzielonych przecinkami znaczników, które powinny byæ sprawdzone przy przeprowadzaniu testu. lista to lista oddzielonych przecinkami, znaczników, które musz± byæ ustawione, aby regu³a pasowa³a. Dopuszczalne znaczniki to SYN, ACK, FIN, RST, URG, PSH, ALL lub NONE. Jest to zaawansowana opcja. Zajrzyj do dobrego opisu protoko³u TCP, na przyk³ad do RFC-793, a znajdziesz tam opis znaczenia i dzia³ania ka¿dego z tych znaczników. Znak ! neguje regu³ê.
[!] --syn

Powoduje, ¿e regu³a pasuje tylko do datagramów z ustawionym bitem SYN i wyzerowanymi bitami ACK i FIN. Datagramy z tymi bitami s± u¿ywane do otwierania po³±czeñ TCP i dlatego ta opcja jest u¿ywana do obs³ugi ¿±dañ po³±czeñ. Opcja ta to skrót od:
- -tcp-flags SYN,RST,ACK SYN
Gdy u¿yjesz operatora negacji, do regu³y bêd± pasowa³y wszystkie datagramy, które nie maj± ustawionych bitów SYN i ACK.
Rozszerzenia UDP: u¿ywane z -m udp -p udp
- -sport[!][port[:port]]

Okre¶la port, z którego musi pochodziæ datagram, aby pasowa³ do regu³y. Porty mog± byæ podane jako zakres przez okre¶lenie górnego i dolnego limitu zakresu, które nale¿y rozdzieliæ dwukropkiem. Na przyk³ad 20:25 oznacza wszystkie porty o numerach od 20 do 25 w³±cznie. Znów znak ! mo¿e byæ u¿yty do zanegowania warto¶ci.
- -dport[!][port[:port]]

Okre¶la port, do którego musi byæ skierowany datagram, aby pasowa³ do regu³y. Argument jest kodowany tak samo jak --sport.
Rozszerzenia ICMP: u¿ywane z -m icmp -p icmp
- -icmp-type[!] nazwa_typu

Okre¶la typ komunikatu ICMP pasuj±cego do regu³y. Typ mo¿e byæ okre¶lony przez nazwê lub numer. Niektóre dopuszczalne nazwy to: echo-request, echo-reply, source-quench, time-exceeded, destination-unreachable, network-unreachable, host-unreachable, protocol-unreachable i port-unreachable.
Rozszerzenia MAC: u¿ywane z -m mac
- -mac-source[!] adres

Okre¶la adres hosta Ethernet, który wys³a³ datagram pasuj±cy do tej regu³y. Ma to sens jedynie w ³añcuchach wej¶ciowym i przekazuj±cym regu³y, poniewa¿ wszystkie datagramy, które przechodz± przez ³añcuch wychodz±cy, s± wysy³ane przez nas.
Kolejna poprawiona wersja naszego prostego przyk³adu
Aby zaimplementowaæ nasz prosty przyk³ad za pomoc± netfilter, móg³by¶ za³adowaæ modu³ ipchains.o i wykorzystaæ skrypt w wersji dla ipchains. Jednak zamiast tego, zaimplementowali¶my go, u¿ywaj±c iptables, by pokazaæ, jak bardzo te dwa programy s± do siebie podobne.
Znów za³ó¿my, ¿e mamy w firmie sieæ i ¿e u¿ywamy komputera z Liunksem jako firewalla, który pozwala naszym u¿ytkownikom dostawaæ siê do serwerów WWW w Internecie, ale nie przepuszcza innego ruchu.
Gdyby nasza sieæ mia³a 24-bitow± maskê (klasa C) i adres 172.16.1.0, u¿yliby¶my nastêpuj±cych regu³ iptables:

# modprobe ip_tables
# iptables -F FORWARD
# iptables -P FORWARD DROP
# iptables -A FORWARD -m tcp -p tcp -s 0/0 --sport 80 -d 172.16.1.0/24 --syn -j DROP
# iptables -A FORWARD -m tcp -p tcp -s 172.16.1.0./24 --sport 80 -d 0/0 -j ACCEPT
# iptables -A FORWARD -m tcp -p tcp -d 172.16.1.0/24 --dport 80 -s 0/0 -j ACCEPT

W tym przyk³adzie polecenia iptables s± interpretowane dok³adnie tak jak ich równowa¿ne polecenia ipchains. G³ówna ró¿nica polega na tym, ¿e musi byæ za³adowany modu³ ip_tables.o. Zauwa¿, ¿e iptables nie obs³uguje opcji -b, a wiêc musimy podaæ regu³ê dla ka¿dego kierunku.

Operowanie bitem TOS
Bity typu us³ugi (Type of Service - TOS) to zestaw czterobitowych znaczników w nag³ówku IP. Gdy dowolny z tych znaczników jest ustawiony, rutery mog± obs³ugiwaæ taki datagram inaczej ni¿ datagramy bez ustawionych bitów TOS. Ka¿dy z czterech bitów ma inne zadanie, a ustawiony mo¿e byæ tylko jeden z nich - kombinacja jest niedopuszczalna. Znaczniki s± nazywane bitami typu us³ugi, poniewa¿ nakazuj± aplikacji wysy³aj±cej dane informowaæ sieæ o typie wymaganej us³ugi sieciowej.
Dostêpne klasy us³ug sieciowych:
Minimalne opó¼nienie

U¿ywane, gdy czas potrzebny na przej¶cie datagramu od hosta ¼ród³owego do hosta docelowego (opó¼nienie) jest bardzo wa¿ny. Dostawca us³ug sieciowych mo¿e na przyk³ad u¿ywaæ zarówno po³±czeñ ¶wiat³owodowych, jak i satelitarnych. Dane przesy³ane przez satelitê pokonuj± d³u¿sz± drogê, ni¿ w przypadku sieci naziemnej pomiêdzy tymi samymi punktami i ich opó¼nienie jest du¿o wiêksze. Dostawca us³ug mo¿e spowodowaæ, ¿e datagramy z tym typem us³ugi na pewno nie bêd± przesy³ane przez satelitê.
Maksymalna przepustowo¶æ 

U¿ywana, gdy wa¿na jest liczba przesy³anych danych w dowolnym czasie. Istnieje wiele aplikacji sieciowych, dla których opó¼nienie nie jest szczególnie wa¿ne, ale przepustowo¶æ - tak. Na przyk³ad masowe przesy³anie plików. Dostawca us³ug sieciowych mo¿e ustawiæ rutowanie datagramów tego typu us³ugi przez trasy o du¿ej przepustowo¶ci i du¿ych opó¼nieniach, czyli np. po³±czenia satelitarne.
Maksymalna niezawodno¶æ

U¿ywana, gdy wa¿ne jest, by¶ mia³ pewno¶æ, ¿e dane dotr± do celu bez potrzeby ponownego przesy³ania. Protokó³ IP mo¿e byæ przesy³any przez szereg ró¿nych mediów transmisyjnych. Choæ SLIP i PPP te¿ siê nadaj± do przenoszenia IP, nie s± tak niezawodne jak sieæ X.25. Dostawca us³ug sieciowych mo¿e udostêpniæ sieæ alternatywn± oferuj±c± wysok± niezawodno¶æ i przeznaczon± do przesy³ania IP, je¿eli zostanie wybrany ten typ us³ug.
Minimalny koszt

U¿ywany, gdy wa¿ne jest zminimalizowanie kosztu przesy³ania danych. Dzier¿awienie przepustowo¶ci na satelicie dla po³±czeñ przez ocean jest ogólnie tañsze, ni¿ dzier¿awienie kana³u w ¶wiat³owodzie na tej samej odleg³o¶ci, a wiêc dostawcy mog± udostêpniaæ obie te mo¿liwo¶ci, ale ró¿nie liczyæ koszty po³±czenia w zale¿no¶ci od tego, którego medium u¿ywasz. W tym scenariuszu us³uga typu "minimalny koszt" mo¿e oznaczaæ, ¿e datagramy bêd± kierowane przez tanie ³±cze satelitarne.

Ustawianie bitów TOS za pomoc± ipfwadm i ipchains
Polecenia ipfwadm i ipchains obs³uguj± bity TOS prawie tak samo. W obu przypadkach podajesz regu³ê, do której maj± pasowaæ datagramy z ustawionymi odpowiednimi bitami TOS, i u¿ywasz argumentu -t do okre¶lenia zmian, jakich chcesz dokonaæ.
Zmiany s± okre¶lane za pomoc± dwóch masek bitowych. Pierwsza z tych masek bitowych jest poddawana operacji logicznej AND z polem opcji IP datagramu, a druga jest poddawana logicznej operacji XOR z wynikiem poprzedniej operacji. Mo¿e wydawaæ siê to skomplikowane, ale za chwilê wyja¶nimy, jak w³±cza siê ka¿dy z typów us³ug.
Maski bitowe s± okre¶lane za pomoc± o¶miobitowych warto¶ci szesnastkowych. Zarówno ipfwadm, jak i ipchains u¿ywaj± tej samej sk³adni przy zapisywaniu argumentów:

-t maskaand maskaxor

Na szczê¶cie te same maski mog± byæ u¿ywane za ka¿dym razem, gdy chcesz ustawiæ dany typ us³ugi, co zaoszczêdzi ci ka¿dorazowego ich rozpracowywania. W tabeli 9-3 pokazano je wraz z sugerowanym zastosowaniem.
Tabela 9-3. Sugerowane zastosowanie masek bitowych TOS
TOS	MaskaAND	MaskaXOR	Sugerowane zastosowanie
Minimalne opó¼nienie	0x01	0x10	ftp, telnet, ssh
Maksymalna przepustowo¶æ	0x01	0x08	ftp-data, www
Maksymalna niezawodno¶æ	0x01	0x04	snmp, dns
Minimalny koszt	0x01	0x02	nntp, smtp
Ustawienie bitów TOS za pomoc± iptables
Narzêdzie iptables pozwala okre¶liæ regu³y, które przechwytuj± tylko datagramy z bitami TOS pasuj±cymi do warto¶ci okre¶lonej wcze¶niej, za pomoc± opcji -m tos. Ustawienie bitów TOS datagramów IP pasuj±cych do regu³y nastêpuje za pomoc± celu -j TOS. Bity TOS mo¿esz ustawiaæ tylko w ³añcuchach FORWARD i OUTPUT. Dopasowanie i ustawienie s± realizowane niezale¿nie od siebie. Mo¿esz skonfigurowaæ wszelkie regu³y. Na przyk³ad mo¿esz skonfigurowaæ regu³ê, która odrzuca wszystkie datagramy o pewnych kombinacjach bitów TOS, lub inn±, która ustawia bity TOS datagramu pochodz±cego tylko z pewnych hostów. Najczê¶ciej bêdziesz u¿ywa³ regu³, które realizuj± zarówno dopasowanie, jak i zmianê, by za ich pomoc± t³umaczyæ TOS, podobnie jak mo¿esz to zrobiæ w ipfwadm i ipchains.
Zamiast skomplikowanej, wykorzystuj±cej dwie maski, konfiguracji stosowanej przez ipfwadm i ipchains, iptables proponuje prostsze rozwi±zanie. Polega ono na jawnym okre¶laniu bitów TOS, które powinny pasowaæ, i tych, które powinny byæ ustawione. Co wiêcej, zamiast w warto¶ciach szesnastkowych, mo¿esz podaæ bity TOS za pomoc± bardziej przyjaznych mnemonik, podanych w poni¿szej tabeli.
Ogólna sk³adnia u¿ywana do dopasowania bitów TOS wygl±da tak:

-m tos --tos mnemonik [inne-typy] -j cel

Ogólna sk³adnia u¿ywana do ustawiania bitów TOS jest nastêpuj±ca:

[inne-argumenty] -j TOS --set mnemonik

Pamiêtaj, ¿e zwykle powinny byæ one u¿ywane razem, ale mog± byæ u¿ywane niezale¿nie, je¿eli twoja konfiguracja tego wymaga.
Mnemonika		Warto¶æ szesnastkowa
Normal-Service	0x00
Minimize-Cost	0x02
Maximize-Reliability	0x04
Maximize-Throughput	0x08
Minimize-Delay	0x10
Testowanie konfiguracji firewalla
Gdy odpowiednio skonfigurowa³e¶ firewall, trzeba sprawdziæ, czy rzeczywi¶cie dzia³a tak, jak chcesz. Mo¿na w tym celu spróbowaæ przebiæ siê przez firewall testowym hostem spoza twojej sieci. Jest to sposób i niezrêczny, i wolny, a poza tym jest ograniczony do testowania jedynie tych adresów, których rzeczywi¶cie u¿ywasz.
W implementacji firewalla w Linuksie dostêpna jest szybsza i prostsza metoda. Pozwala ona na rêczne generowanie testów i uruchamianie ich z konfiguracj± firewalla tak, jakby¶ testowa³ rzeczywiste datagramy. Wszystkie odmiany oprogramowania firewalla w Linuksie, ipfwadm, ipchains i iptables, udostêpniaj± tego typu testowanie. Implementacja wykorzystuje polecenie check.
Ogólna procedura testowa wygl±da nastêpuj±co:
1.
Zaprojektuj i skonfiguruj firewall, u¿ywaj±c ipfwadm, ipchains lub iptables.
2.
Przygotuj seriê testów, które poka¿±, czy twój firewall rzeczywi¶cie dzia³a tak, jak chcia³e¶. Do tych testów mo¿esz u¿yæ dowolnych adresów ¼ród³a i przeznaczenia, a wiêc wybierz jak±¶ mieszankê adresów, które bêd± mog³y byæ przyjête i które powinny byæ odrzucone. Je¿eli przepuszczasz i odrzucasz dane zakresy adresów, dobrze jest testowaæ adresy z obu stron ograniczeñ, tzn. jeden adres ze ¶rodka zakresu i jeden spoza niego. Pomo¿e to upewniæ siê, ¿e masz skonfigurowane poprawne ograniczenia, poniewa¿ czasem zdarza siê podaæ w konfiguracji niepoprawn± maskê. Je¿eli filtrujesz wed³ug numerów protoko³ów i portów, twoje testy powinny równie¿ uwzglêdniaæ wszystkie istotne kombinacje tych parametrów. Na przyk³ad, je¿eli zamierzasz przyjmowaæ tylko pakiety TCP w pewnych warunkach, sprawdzaj, czy pakiety UDP s± odrzucane.
3.
Wykorzystaj regu³y ipfwadm, ipchains lub iptables do implementacji ka¿dego testu. Na pewno warto zapisaæ wszystkie regu³y w skrypcie, tak by¶ móg³ ³atwo powtarzaæ testy, gdy zrobisz b³±d lub zmienisz budowê. Testy wykorzystuj± prawie tê sam± sk³±dniê co regu³y, ale argumenty maj± nieco inne znaczenie. Na przyk³ad argument adresu ¼ród³owego w regule okre¶la adres ¼ród³owy, który powinien mieæ datagram, by pasowaæ do danej regu³y. Adres ¼ród³owy w sk³adni testowej dla odmiany oznacza adres ¼ród³owy datagramu testowego, który zostanie wygenerowany. W przypadku ipfwadm musisz u¿yæ opcji -c, by okre¶liæ, ¿e to polecenie jest testowe, natomiast w ipchains i iptables robisz to za pomoc± opcji -C. We wszystkich przypadkach musisz zawsze podawaæ adres ¼ród³owy, adres docelowy, protokó³ i interfejs, które maj± byæ u¿yte w te¶cie. Inne argumenty, takie jak numery portów czy ustawienie bitów TOS, s± opcjonalne.
4.
Wykonaj ka¿de polecenie testowe i zapisz wynik. Wynik ka¿dego testu bêdzie mia³ postaæ jednego s³owa wskazuj±cego ostateczne przeznaczenie datagramu po przej¶ciu przez konfiguracjê firewalla - to znaczy po zakoñczeniu przetwarzania. W przypadku ipchains i iptables, poza ³añcuchami wbudowanymi, bêd± testowane ³añcuchy definiowane przez u¿ytkownika.
5.
Porównaj wynik ka¿dego testu z oczekiwanym rezultatem. Je¿eli widzisz jakie¶ ró¿nice, musisz przeanalizowaæ swój zestaw regu³, by stwierdziæ, gdzie zrobi³e¶ b³±d. Je¿eli zapisa³e¶ polecenia testowe w skrypcie, mo¿esz ³atwo powtórzyæ test po poprawieniu wszelkich b³êdów w konfiguracji firewalla. Dobrze jest zupe³nie skasowaæ zestaw regu³ i stworzyæ je od nowa, a nie dokonywaæ zmian dynamicznie. Pomaga to upewniæ siê, ¿e aktywna konfiguracja, któr± testujesz, rzeczywi¶cie odzwierciedla zestaw poleceñ w twoim skrypcie konfiguracyjnym.
Przyjrzyjmy siê, jak mo¿e wygl±daæ zapis rêcznego testowania naszego przyk³adu w przypadku ipchains. Pamiêtasz, ¿e nasza przyk³adowa sieæ lokalna ma adres 172.16.1.0 i maskê sieciow± 255.255.255.0, i ¿e pozwolili¶my na realizowanie po³±czeñ do serwerów WWW w sieci. Nic wiêcej nie powinno przechodziæ przez nasz ³añcuch przekazywania. Rozpocznijmy od testowania tego, o czym wiemy, ¿e powinno dzia³aæ - po³±czenia z lokalnego hosta do serwera WWW na zewn±trz:

# ipchains -C forward -p tcp -s 172.16.1.0 1025 -d 44.136.8.2 80 -i eth0 
accepted

Zwróæ uwagê, które argumenty musz± byæ podane i w jaki sposób zosta³y u¿yte do opisania datagramu. Wynik polecenia wskazuje, ¿e datagram zosta³ przyjêty do przekazania, czyli jest zgodny z naszymi oczekiwaniami.
Teraz spróbujmy innego testu; tym razem adres ¼ród³owy nie nale¿y do naszej sieci. Pakiet nie powinien przej¶æ:

# ipchains -C forward -p tcp -s 172.16.2.0 1025 -d 44.136.8.2 80 -i eth0
denied

Zróbmy kilka innych testów, tym razem z kilkoma szczegó³ami identycznymi z pierwszym testem, ale innymi protoko³ami. Te pakiety te¿ nie powinny zostaæ przepuszczone.

# ipchains -C forward -p udp -s 172.16.1.0 1025 -d 44.136.8.2 80 -i eth0
denied
# ipchains -C forward -p icmp -s 172.16.1.0 1025 -d 44.136.8.2 80 -i eth0
denied

Sprawd¼my inny port docelowy. Znów oczekujemy, ¿e pakiet zostanie odrzucony:

# ipchains -C forward -p tcp -s 172.16.1.0 1025 -d 44.136.8.2 23 -i eth0
denied

Musisz przebyæ d³ug± drogê, zanim uspokoisz swoje my¶li, wykonuj±c szereg wyczerpuj±cych testów. Choæ czasem mo¿e to byæ równie trudne jak skonfigurowanie firewalla, jest to najlepszy sposób, by wiedzieæ, ¿e twój projekt zapewnia najlepsze bezpieczeñstwo, jakiego mo¿esz oczekiwaæ.
Przyk³adowa konfiguracja firewalla
Omówili¶my podstawowe konfiguracje firewalla. Przyjrzyjmy siê, jak w praktyce taka konfiguracja mo¿e wygl±daæ.
Konfiguracja pokazana w tym przyk³adzie zosta³a zaprojektowana tak, by by³o j± ³atwo rozbudowaæ i dostosowaæ do w³asnych potrzeb. Pokazali¶my trzy wersje. Pierwsza jest zaimplementowana za pomoc± polecenia ipfwadm (lub skryptu ipfwadm-wrapper), druga wykorzystuje ipchains, a trzecia iptables. Przyk³ady nie wykorzystuj± ³añcuchów definiowanych przez u¿ytkownika, ale pokazuj± podobieñstwa i ró¿nice pomiêdzy starymi i nowymi sk³adniami narzêdzi do konfiguracji firewalla:

#!/bin/bash
##############################################################
# WERSJA IPFWADM
# Ta przyk³adowa konfiguracja jest przeznaczona dla jednego
# hosta i nie uwzglêdnia us³ug oferowanych przez sam komputer,
# na którym dzia³a firewall.
##############################################################

# CZÊ¦Æ DO KONFIGURACJI PRZEZ U¯YTKOWNIKA

# Nazwa i lokalizacja programu ipfwadm. U¿yj ipfwadm-wrapper
# w przypadku j±der 2.2.*
IPFWADM=ipfwadm

# ¦cie¿ka do pliku wykonywalnego ipfwadm
PATH="/sbin"

# Przestrzeñ adresowa naszej sieci wewnêtrznej i urz±dzenie j± obs³uguj±ce
OURNET="172.29.16.0/24"
OURBCAST="172.29.16.255"
OURDEV="eth0"

# Adres zewnêtrzny i urz±dzenie sieciowe go obs³uguj±ce
ANYADDR="0/0"
ANYDEV="eth1"

# Us³ugi TCP, które chcemy przepuszczaæ - "" puste oznacza wszystkie porty
# uwaga: oddzielone spacj±
TCPIN="smtp www"
TCPOUT="smtp www ftp ftp-data irc"

# Us³ugi UDP, które chcemy przepuszczaæ - "" puste oznacza wszystkie porty
# uwaga: oddzielone spacj±
UDPIN="domain"
UDPOUT="domain"

# Us³ugi ICMP, które chcemy przepuszczaæ - "" puste oznacza wszystkie typy
# numery typów us³ug znajdziesz w pliku /usr/include/netinet/ip_icmp.h
# uwaga: oddzielone spacj±
ICMPIN="0 3 11"
ICMPOUT="8 3 11"

# Logowanie; usuñ komentarz z poni¿szego wiersza, by w³±czyæ 
# zapisywanie datagramów, które nie s± przepuszczane przez 
# firewall
# LOGGING=1

# KONIEC CZÊ¦CI KONFIGUROWALNEJ PRZEZ U¯YTKOWNIKA
##############################################################
# Usuniêcie tablicy regu³ przychodz±cych
$IPFWADM -I -f

# Chcemy domy¶lnie odrzucaæ ruch przychodz±cy
$IPFWADM -I -p deny

# PODSZYWANIE SIÊ (SPOOFING)
# Nie powinni¶my przyjmowaæ datagramów, które maj± adres 
# ¼ród³owy z naszej sieci, ale pakiet przychodzi z 
# zewn±trz, a wiêc go odrzucamy
$IPFWADM -I -a deny -S $OURNET -W $ANYDEV

# SMURF
# Zabraniamy wys³ania pakietów ICMP na nasz adres 
# rozg³oszeniowy, by zapobiec atakowi typu "Smurf"
$IPFWADM -I -a deny -p icmp -W $ANYDEV -D $OURBCAST

# TCP
# Bêdziemy przyjmowali wszystkie datagramy TCP nale¿±ce do 
# istniej±cego po³±czenia (tj. posiadaj±ce ustawiony bit ACK) 
# z portem TCP, który przepuszczamy. Powinno to obj±æ 
# ponad 95 % wszystkich poprawnych pakietów TCP.
$IPFWADM -I -a accept -P tcp -D $OURNET $TCPIN -k -b

# TCP - PO£¡CZENIA PRZYCHODZ¡CE
# Bêdziemy przyjmowali ¿±dania po³±czeñ z zewn±trz tylko na 
# dozwolone porty TCP
$IPFWADM -I -a accept -P tcp -W $ANYDEV -D $OURNET $TCPIN -y

# TCP - PO£¡CZENIA WYCHODZ¡CE
# Przyjmujemy wszystkie ¿±dania wychodz±cych po³±czeñ tcp na 
# dozwolone porty TCP.
$IPFWADM -I -a accept -P tcp -W $OURDEV -D $ANYADDR $TCPOUT -y

# UDP - PRZYCHODZ¡CE
# Przepuszczamy wszystkie datagramy UDP przychodz±ce na 
# dozwolone porty
$IPFWADM -I -a accept -P udp -W $ANYDEV -D $OURNET $UDPIN

# UDP - WYCHODZ¡CE
# Przepuszczamy wszystkie datagramy UDP wychodz±ce na 
# dozwolone porty
$IPFWADM -I -a accept -P udp -W $OURDEV -D $ANYADDR $UDPOUT

# ICMP - PRZYCHODZ¡CE
# Przepuszczamy wszystkie przychodz±ce datagramy ICMP o 
# dopuszczalnych typach
$IPFWADM -I -a accept -P icmp -W $ANYDEV -D $OURNET $ICMPIN

# ICMP - WYCHODZ¡CE
# Przepuszczamy wszystkie wychodz±ce datagramy ICMP o 
# dopuszczalnych typach
$IPFWADM -I -a accept -P icmp -W $OURDEV -D $ANYADDR $ICMPOUT

# DEFAULT i LOGGING
# Wszystkie pozosta³e datagramy trafiaj± do regu³y domy¶lnej i 
# s± odrzucane. Je¿eli skonfigurujesz wcze¶niej zmienn± 
# LOGGING, bêd± one zapisywane.
#
if [ "$LOGGING" ]
then
   # Zapisywanie odrzuconych pakietów TCP
   $IPFWADM -I -a reject -P tcp -o

   # Zapisywanie odrzuconych pakietów UDP
   $IPFWADM -I -a reject -P udp -o

   # Zapisywanie odrzuconych pakietów ICMP
   $IPFWADM -I -a reject -P icmp -o
fi
#
#end.

Teraz zaimplementujemy to samo za pomoc± polecenia ipchains:

#!/bin/bash
##############################################################
# WERSJA IPCHAINS
# Ta przyk³adowa konfiguracja jest przeznaczona dla jednego
# hosta i nie uwzglêdnia us³ug oferowanych przez sam komputer,
# na którym dzia³a firewall.
##############################################################

# CZÊ¦Æ KONFIGUROWALNA PRZEZ U¯YTKOWNIKA

# Nazwa i lokalizacja programu ipchains.
IPCHAINS=ipchains

# ¦cie¿ka do pliku wykonywalnego ipchains
PATH="/sbin"

# Przestrzeñ adresowa naszej sieci wewnêtrznej i urz±dzenie j± obs³uguj±ce
OURNET="172.29.16.0/24"
OURBCAST="172.29.16.255"
OURDEV="eth0"

# Adres zewnêtrzny i urz±dzenie sieciowe go obs³uguj±ce
ANYADDR="0/0"
ANYDEV="eth1"

# Us³ugi TCP, które chcemy przepuszczaæ - "" puste oznacza wszystkie porty
# uwaga: oddzielone spacj±
TCPIN="smtp www"
TCPOUT="smtp www ftp ftp-data irc"

# Us³ugi UDP, które chcemy przepuszczaæ - "" puste oznacza wszystkie porty
# uwaga: oddzielone spacj±
UDPIN="domain"
UDPOUT="domain"

# Us³ugi ICMP, które chcemy przepuszczaæ - "" puste oznacza wszystkie typy
# numery typów us³ug znajdziesz w pliku 
# /usr/include/netinet/ip_icmp.h
# uwaga: oddzielone spacj±
ICMPIN="0 3 11"
ICMPOUT="8 3 11"

# Logowanie; usuñ komentarz z poni¿szego wiersza, by w³±czyæ 
# zapisywanie datagramów, które nie s± przepuszczane przez 
# firewall
# LOGGING=1

# KONIEC CZÊ¦CI KONFIGUROWALNEJ PRZEZ U¯YTKOWNIKA
##############################################################
# Usuniêcie tablicy regu³ przychodz±cych
$IPCHAINS -F input

# Chcemy domy¶lnie odrzucaæ ruch przychodz±cy
$IPCHAINS -P input deny

# PODSZYWANIE SIÊ (SPOOFING)
# Nie powinni¶my przyjmowaæ datagramów, w których adres 
# ¼ród³owy jest z naszej sieci, ale pakiet przychodzi z 
# zewn±trz, a wiêc go odrzucamy
$IPCHAINS -A input -s $OURNET -i $ANYDEV -j deny

# SMURF
# Zabraniamy wys³ania pakietów ICMP na nasz adres 
# rozg³oszeniowy, by zapobiec atakowi typu "Smurf"
$IPCHAINS -A input -p icmp -w $ANYDEV -d $OURBCAST -j deny

# Powinni¶my przyjmowaæ fragmenty, w ipchains musimy to 
# zadeklarowaæ jawnie
$IPCHAINS -A input -f -j accept

# TCP
# Bêdziemy przyjmowali wszystkie datagramy TCP nale¿±ce do 
# istniej±cego po³±czenia (tj. posiadaj±ce ustawiony bit ACK) 
# z portem TCP, który przepuszczamy. Powinno to obj±æ 
# ponad 95 % wszystkich poprawnych pakietów TCP.
$IPCHAINS -A input -p tcp -d $OURNET $TCPIN ! -y -b -j accept

# TCP - PO£¡CZENIA PRZYCHODZ¡CE
# Bêdziemy przyjmowali ¿±dania po³±czeñ z zewn±trz tylko na 
# dozwolone porty TCP
$IPCHAINS -A input -p tcp -i $ANYDEV -d $OURNET $TCPIN -y -j accept

# TCP - PO£¡CZENIA WYCHODZ¡CE
# Przyjmujemy wszystkie ¿±dania wychodz±cych po³±czeñ tcp na 
# dozwolone porty TCP.
$IPCHAINS -A input -p tcp -i $OURDEV -d $ANYADDR $TCPOUT -y -j accept

# UDP - PRZYCHODZ¡CE
# Przepuszczamy wszystkie datagramy UDP przychodz±ce na 
# dozwolone porty
$IPCHAINS -A input -p udp -i $ANYDEV -d $OURNET $UDPIN -j accept

# UDP - WYCHODZ¡CE
# Przepuszczamy wszystkie datagramy UDP wychodz±ce na 
# dozwolone porty
$IPCHAINS -A input -p udp -i $OURDEV -d $ANYADDR $UDPOUT -j accept

# ICMP - PRZYCHODZ¡CE
# Przepuszczamy wszystkie przychodz±ce datagramy ICMP o 
# dopuszczalnych typach
$IPCHAINS -A input -p icmp -w $ANYDEV -d $OURNET $ICMPIN -j accept

# ICMP - WYCHODZ¡CE
# Przepuszczamy wszystkie wychodz±ce datagramy ICMP o 
# dopuszczalnych typach
$IPCHAINS -A input -p icmp -i $OURDEV -d $ANYADDR $ICMPOUT -j accept

# DEFAULT i LOGGING
# Wszystkie pozosta³e datagramy trafiaj± do regu³y domy¶lnej i 
# s± odrzucane. Je¿eli skonfigurujesz wcze¶niej zmienn± 
# LOGGING, bêd± one zapisywane.
#
if [ "$LOGGING" ]
then\

                    
   # Zapisywanie odrzuconych pakietów TCP
   $IPCHAINS -A input -p tcp -l -j reject

   # Zapisywanie odrzuconych pakietów UDP
   $IPCHAINS -A input -p udp -l -j reject

   # Zapisywanie odrzuconych pakietów ICMP
   $IPCHAINS -A input -p icmp -l -j reject
fi
#
#end.

W naszym przyk³adzie iptables przeszli¶my na korzystanie z regu³y FORWARD, ze wzglêdu na ró¿nicê w znaczeniu zestawu regu³ INPUT w implementaji netfilter. Jest to dla nas istotne;  oznacza, ¿e ¿adna z regu³ nie broni samego hosta firewalla. Aby dok³adnie na¶ladowaæ przyk³ad ipchains, skopiujemy ka¿d± z naszych regu³ do ³añcucha INPUT. Dla jasno¶ci odrzucili¶my wszystkie przychodz±ce datagramy odebrane po zewnêtrznej stronie naszego interfejsu.

#!/bin/bash
##############################################################
# WERSJA IPTABLES
# Ta przyk³adowa konfiguracja jest przeznaczona dla jednego
# hosta i nie uwzglêdnia us³ug oferowanych przez sam komputer,
# na którym dzia³a firewall.
##############################################################

# CZÊ¦Æ KONFIGUROWALNA PRZEZ U¯YTKOWNIKA

# Nazwa i lokalizacja programu iptables.
IPTABLES=iptables

# ¦cie¿ka do pliku wykonywalnego ipchains
PATH="/sbin"

# Przestrzeñ adresowa naszej sieci wewnêtrznej i urz±dzenie j±
# obs³uguj±ce
OURNET="172.29.16.0/24"
OURBCAST="172.29.16.255"
OURDEV="eth0"

# Adres zewnêtrzny i urz±dzenie sieciowe go obs³uguj±ce
ANYADDR="0/0"
ANYDEV="eth1"

# Us³ugi TCP, które chcemy przepuszczaæ - "" puste oznacza wszystkie porty
# uwaga: oddzielone przecinkami
TCPIN="smtp,www"
TCPOUT="smtp,www,ftp,ftp-data,irc"

# Us³ugi UDP, które chcemy przepuszczaæ - "" puste oznacza wszystkie porty
# uwaga: oddzielone przecinkami
UDPIN="domain"
UDPOUT="domain"

# Us³ugi ICMP, które chcemy przepuszczaæ - "" puste oznacza wszystkie typy
# numery typów us³ug znajdziesz w pliku
# /usr/include/netinet/ip_icmp.h
# uwaga: oddzielone przecinkami
ICMPIN="0,3,11"
ICMPOUT="8,3,11"

# Logowanie; usuñ komentarz z poni¿szego wiersza, by w³±czyæ
# zapisywanie datagramów, które nie s± przepuszczane przez
# firewall
# LOGGING=1

# KONIEC CZÊ¦CI KONFIGUROWALNEJ PRZEZ U¯YTKOWNIKA
##############################################################
# Usuniêcie tablicy regu³ przychodz±cych
$IPTABLES -F FORWARD

# Chcemy domy¶lnie odrzucaæ ruch przychodz±cy
$IPTABLES -P FORWARD deny

# Odrzucamy wszystkie datagramy pochodz±ce z zewn±trz i 
# przeznaczone dla tego hosta
$IPTABLES -A INPUT -i $ANYDEV -j DROP

# PODSZYWANIE SIÊ (SPOOFING)
# Nie powinni¶my przyjmowaæ datagramów, w których adres 
# ¼ród³owy jest z naszej sieci, ale pakiet przychodzi z
# zewn±trz, a wiêc go odrzucamy
$IPTABLES -A FORWARD -s $OURNET -i $ANYDEV -j DROP

# SMURF
# Zabraniamy wys³ania pakietów ICMP na nasz adres 
# rozg³oszeniowy, by zapobiec atakowi typu "Smurf"
$IPTABLES -A FORWARD -m multiport -p icmp -i $ANYDEV -d $OURBCAST -j DENY

# Powinni¶my przyjmowaæ fragmenty, w iptables musimy to
# zadeklarowaæ jawnie
$IPTABLES -A FORWARD -f -j ACCEPT

# TCP
# Bêdziemy przyjmowali wszystkie datagramy TCP nale¿±ce do 
# istniej±cego po³±czenia (tj. posiadaj±ce ustawiony bit ACK) 
# z portem TCP, który przepuszczamy. Powinno to obj±æ 
# ponad 95 % wszystkich poprawnych pakietów TCP.
$IPTABLES -A FORWARD -m multiport -p tcp -d $OURNET --dports $TCPIN /
    ! --tcp-flags SYN,ACK ACK -j ACCEPT
$IPTABLES -A FORWARD -m multiport -p tcp -s $OURNET --sports $TCPIN /
    ! --tcp-flags SYN,ACK ACK -j ACCEPT

# TCP - PO£¡CZENIA PRZYCHODZ¡CE
# Bêdziemy przyjmowali ¿±dania po³±czeñ z zewn±trz tylko na 
# dozwolone porty TCP
$IPTABLES -A FORWARD -m multiport -p tcp -i $ANYDEV -d $OURNET $TCPIN /
    --syn -j ACCEPT

# TCP - PO£¡CZENIA WYCHODZ¡CE
# Przyjmujemy wszystkie ¿±dania wychodz±cych po³±czeñ tcp na 
# dozwolone porty TCP.
$IPTABLES -A FORWARD -m multiport -p tcp -i $OURDEV -d $ANYADDR /
    --dport $TCPOUT --syn -j ACCEPT

# UDP - PRZYCHODZ¡CE
# Przepuszczamy wszystkie datagramy UDP przychodz±ce na 
# dozwolone porty
$IPTABLES -A FORWARD -m multiport -p udp -i $ANYDEV -d $OURNET /
    --dports $UDPIN -j ACCEPT
$IPTABLES -A FORWARD -m multiport -p udp -i $ANYDEV -s $OURNET /
    --sports $UDPIN -j ACCEPT

# UDP - WYCHODZ¡CE
# Przepuszczamy wszystkie datagramy UDP wychodz±ce na 
# dozwolone porty
$IPTABLES -A FORWARD -m multiport -p udp -i $OURDEV -d $ANYADDR /
    --dports $UDPOUT -j ACCEPT
$IPTABLES -A FORWARD -m multiport -p udp -i $OURDEV -s $ANYADDR /
    --sports $UDPOUT -j ACCEPT

# ICMP - PRZYCHODZ¡CE
# Przepuszczamy wszystkie przychodz±ce datagramy ICMP o 
# dopuszczalnych typach
$IPTABLES -A FORWARD -m multiport -p icmp -i $ANYDEV -d $OURNET /
    --dports $ICMPIN -j ACCEPT

# ICMP - WYCHODZ¡CE
# Przepuszczamy wszystkie wychodz±ce datagramy ICMP o 
# dopuszczalnych typach
$IPTABLES -A FORWARD -m multiport -p icmp -i $OURDEV -d $ANYADDR /
    --dports $ICMPOUT -j ACCEPT

# DEFAULT i LOGGING
# Wszystkie pozosta³e datagramy trafiaj± do regu³y domy¶lnej i 
# s± odrzucane. Je¿eli skonfigurujesz wcze¶niej zmienn± 
# LOGGING, bêd± one zapisywane.
#
if [ "$LOGGING" ]
then
   # Zapisywanie odrzuconych pakietów TCP
   $IPTABLES -A FORWARD -m tcp -p tcp -l -j LOG

   # Zapisywanie odrzuconych pakietów UDP
   $IPTABLES -A FORWARD -m udp -p udp -l -j LOG

   # Zapisywanie odrzuconych pakietów ICMP
   $IPTABLES -A FORWARD -m icmp -p icmp -l -j LOG
fi
#
#end.

W wielu prostych sytuacjach, aby skorzystaæ z pokazanych przyk³adów, wystarczy dokonaæ edycji pocz±tkowej czê¶ci skryptu zatuty³owanej "CZÊ¦Æ DO KONFIGURACJI PRZEZ U¯YTKOWNIKA", aby okre¶liæ, które protoko³y i typy datagramów chcesz przepuszczaæ w obie strony. Przy bardziej z³o¿onych konfiguracjach bêdziesz musia³ dokonaæ tak¿e edycji pozosta³ej czê¶ci skryptu. Pamiêtaj - jest to prosty przyk³ad, a wiêc podczas jego implementacji przeanalizuj go bardzo uwa¿nie, by robi³ to, co chcesz.


10
Liczenie ruchu IP


Rozdzia³ 10: Liczenie ruchu IP


W ¶wiecie komercyjnych us³ug internetowych coraz wa¿niejsza staje siê wiedza o tym, ile danych wysy³asz i ile odbierasz przez swoje po³±czenia sieciowe. Przyda ci siê, je¿eli jeste¶ dostawc± us³ug internetowych i wystawiasz rachunki swoim klientom wed³ug ilo¶ci przes³anych danych. Natomiast je¿eli jeste¶ klientem dostawcy us³ug, który obci±¿a ciê wed³ug ilo¶ci przes³anych danych, warto samemu zbieraæ dane, aby sprawdzaæ rachunki wystawiane przez dostawcê.
S± jeszcze inne zastosowania liczenia ruchu, nie maj±ce nic wspólnego z pieniêdzmi ani rachunkami. Je¿eli zarz±dzasz serwerem, który udostêpnia ró¿ne typy us³ug sieciowych, przydatna mo¿e byæ wiedza o tym, ile danych generuje ka¿da z nich. Tego typu informacje mog± ci pomóc przy podejmowaniu decyzji o tym, jaki sprzêt kupiæ lub ile serwerów uruchomiæ.
J±dro Linuksa udostêpnia funkcjê pozwalaj±c± zbieraæ wszelkiego rodzaju przydatne informacje o ruchu sieciowym. Funkcja ta to liczenie ruchu IP (ang. IP accounting).
Konfigurowanie j±dra do liczenia ruchu IP
Funkcja liczenia ruchu IP w Linuksie jest blisko zwi±zana z oprogramowaniem firewalla. Miejsca, z których chcesz zbieraæ dane rozliczeniowe, to te same miejsca, które interesuj± ciê przy filtrowaniu przez firewall: wej¶cie i wyj¶cie z hosta do sieci oraz oprogramowanie rutuj±ce datagramy. Je¿eli jeszcze nie przeczyta³e¶ rozdzia³u o firewallach, to teraz jest doskona³y moment, ¿eby to zrobiæ oraz wykorzystaæ kilka pojêæ opisanych w rozdziale 9, Firewall TCP/IP.
Aby w³±czyæ funkcjê liczenia ruchu IP w Linuksie, powiniene¶ najpierw zobaczyæ, czy j±dro jest odpowiednio skonfigurowane. Sprawd¼, czy istnieje plik /proc/net/ ip_acct. Je¿eli istnieje, twoje j±dro ju¿ obs³uguje liczenie ruchu IP. Je¿eli nie istnieje, musisz skompilowaæ j±dro od nowa, pilnuj±c, by¶ odpowiedzia³ "Y" na poni¿sze pytania w j±drach serii 2.0 i 2.2.

Networking options --->
       [*] Network firewalls
       [*] TCP/IP networking
        ...
       [*] IP: accounting

lub w j±drach serii 2.4:

Networking options --->
    [*] Network packet filtering (replaces ipchains)
Konfigurowanie liczenia ruchu IP
Poniewa¿ us³uga liczenia ruchu IP jest ¶ci¶le zwi±zana z firewallem IP, do jej konfigurowania s³u¿± te same narzêdzia, czyli ipfwadm, ipchains lub iptables. Sk³adnia polecenia jest bardzo podobna jak w przypadku regu³ firewalla, a wiêc nie bêdziemy siê na niej skupiaæ, a omówimy to, czego mo¿esz siê dowiedzieæ o swojej sieci, u¿ywaj±c tej funkcji.
Ogólna sk³adnia polecenia licz±cego ruch IP dla ipfwadm jest nastêpuj±ca:

# ipfwadm -A [kierunek] [polecenie] [parametry]

Nowy jest argument kierunku. Przyjmuje on jedn± z warto¶ci in, out lub both. S± to kierunki ruchu z punktu widzenia samego komputera z Linuksem, a wiêc in oznacza dane przychodz±ce z sieci do komputera, a out oznacza dane wysy³ane przez hosta do sieci. Kierunek both stanowi sumê danych przychodz±cych i wychodz±cych.
Ogólna sk³adnia polecenia dla ipchains i iptables jest nastêpuj±ca:

# ipchains -A ³añcuch definicja-regu³y
# iptables -A ³añcuch definicja-regu³y

Polecenia ipchains i iptables pozwalaj± okre¶liæ kierunek w sposób bardziej spójny z regu³ami firewalla. £añcuchy IP nie pozwalaj± na konfigurowanie regu³, które obejmuj± oba kierunki, ale dopuszczaj± skonfigurowanie regu³ w ³añcuchu forward, co nie by³o mo¿liwe w starszej implementacji. W kilku przyk³adach pokazanych dalej zobaczymy, co z tego wyniknie.
Polecenia s± w du¿ym stopniu takie same jak w regu³ach firewalla, z t± ró¿nic±, ¿e nie u¿ywa siê tu polityk. Mo¿emy dodawaæ, wstawiaæ, usuwaæ i listowaæ regu³y liczenia ruchu. W przypadku ipchains i iptables dopuszczalne s± tylko regu³y liczenia ruchu, a wszelkie polecenia nie zawieraj±ce opcji -j realizuj± jedynie liczenie ruchu.
Parametry w definicji regu³y liczenia ruchu IP s± identyczne z u¿ywanymi dla firewalla IP. Za ich pomoc± definiujemy dok³adnie, jaki ruch sieciowy chcemy liczyæ.
Liczenie wed³ug adresu
Na przyk³adzie poka¿emy, jak korzysta siê z funkcji liczenia ruchu IP.
Wyobra¼ sobie, ¿e mamy ruter oparty na Linuksie, który obs³uguje dwa wydzia³y browaru wirtualnego. Ruter ma dwa urz±dzenia Ethernet, eth0 i eth1, z których ka¿de obs³uguje jeden wydzia³, oraz urz±dzenie PPP, ppp0, które ³±czy nas za pomoc± szybkiego ³±cza szeregowego z g³ównym campusem uniwersytetu Groucho Marx.
Wyobra¼my sobie równie¿, ¿e dla celów rozliczeniowych chcemy znaæ ca³kowity ruch generowany przez ka¿dy wydzia³ pod³±czony przez ³±cze szeregowe, a dla celów zarz±dzania chcemy znaæ ca³kowity ruch generowany pomiêdzy wydzia³ami.
Poni¿sza tabela pokazuje adresy interfejsów, których bêdziemy u¿ywaæ w naszym przyk³adzie:
iface	adres	maska sieci
eth0	172.16.3.0	255.255.255.0
eth1	172.16.4.0	255.255.255.0
Aby odpowiedzieæ na pytanie: "Jak du¿o danych na ³±czu PPP generuje ka¿dy wydzia³ ?", powinni¶my u¿yæ nastêpuj±cego zestawu regu³:

# ipfwadm -A both -a W ppp0 -S 172.16.3.0/24 -b
# ipfwadm -A both -a W ppp0 -S 172.16.4.0/24 -b

lub

# ipchains -A input -i ppp0 -d 172.16.3.0/24
# ipchains -A output -i ppp0 -s 172.16.3.0/24
# ipchains -A input -i ppp0 -d 172.16.4.0/24
# ipchains -A output -i ppp0 -s 172.16.4.0/24

i w przypadku iptables:

# iptables -A FORWARD -i ppp0 -d 172.16.3.0/24
# iptables -A FORWARD -o ppp0 -s 172.16.3.0/24
# iptables -A FORWARD -i ppp0 -d 172.16.4.0/24
# iptables -A FORWARD -o ppp0 -s 172.16.4.0/24

Pierwsza po³owa ka¿dego z tych zestawów mówi: "Licz wszystkie dane przechodz±ce w obu kierunkach przez interfejs o nazwie ppp0 z adresami ¼ród³owym lub docelowym (pamiêtaj o funkcji -b w przypadku ipfwadm i ipchains) 172.16.3.0/24". Druga po³owa ka¿dego zestawu regu³ jest taka sama, ale dotyczy drugiej sieci Ethernet.
Aby odpowiedzieæ na drugie pytanie: "Ile danych jest przesy³anych pomiêdzy dwoma wydzia³ami?", potrzebujemy nastêpuj±cych regu³:

# ipfwadm -A both -a -S 172.16.3.0/24 -D 172.16.4.0/24 -b

lub:

# ipchains -A forward -s 172.16.3.0/24 -d 172.16.4.0/24 -b

lub:

# iptables -A FORWARD -s 172.16.3.0/24 -d 172.16.4.0/24
# iptables -A FORWARD -s 172.16.4.0/24 -d 172.16.3.0/24

Te zestawy regu³ licz± wszystkie datagramy, których adres ¼ród³owy  nale¿y do sieci jednego wydzia³u, a adres docelowy - do sieci drugiego wydzia³u.

Liczenie ruchu wed³ug portu us³ugi
W porz±dku, za³ó¿my teraz, ¿e chcemy wiedzieæ co¶ o tym, jaki rodzaj ruchu jest przesy³any przez nasze ³±cze PPP. Mo¿emy na przyk³ad dowiedzieæ siê, jak± czê¶æ ³±cza zajmuj± us³ugi FTP, smtp i WWW.
Skrypt z regu³ami w³±czaj±cymi zbieranie tego typu informacji mo¿e wygl±daæ nastêpuj±co:

#!/bin/sh
# Zbieranie, za pomoc± ipfwadm, statystyk o ruchu FTP, smtp i www 
#dla danych przesy³anych przez ³±cze PPP
#
ipfwadm -A both -a -W ppp0 -P tcp -S 0/0 ftp ftp-data
ipfwadm -A both -a -W ppp0 -P tcp -S 0/0 smtp
ipfwadm -A both -a -W ppp0 -P tcp -S 0/0 www

lub:

#!/bin/sh
# Zbieranie, za pomoc± ipchains, statystyk o ruchu FTP, smtp i www  
# dla danych przesy³anych przez ³±cze PPP
#
ipchains -A input -i ppp0 -p tcp -s 0/0 ftp-data:ftp
ipchains -A output -i ppp0 -p tcp -d 0/0 ftp-data:ftp
ipchains -A input -i ppp0 -p tcp -s 0/0 smtp
ipchains -A output -i ppp0 -p tcp -d 0/0 smtp
ipchains -A input -i ppp0 -p tcp -s 0/0 www
ipchains -A output -i ppp0 -p tcp -d 0/0 www

lub:

#!/bin/sh
# Zbieranie, za pomoc± iptables, statystyk o ruchu FTP, smtp i www 
# dla danych przesy³anych przez ³±cze PPP
#
iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport ftp-data:ftp
iptables -A FORWARD -o ppp0 -m tcp -p tcp --dport ftp-data:ftp
iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport smtp
iptables -A FORWARD -o ppp0 -m tcp -p tcp --dport smtp
iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport www
iptables -A FORWARD -o ppp0 -m tcp -p tcp --dport www

W tej konfiguracji jest kilka ciekawostek. Po pierwsze, okre¶lili¶my protokó³. Gdy w regu³ach podajemy numery portów, musimy tak¿e podaæ protokó³, poniewa¿ TCP i UDP posiadaj± oddzielne zestawy portów. Poniewa¿ wszystkie z tych us³ug s± oparte na TCP, podali¶my go jako protokó³. Po drugie, podali¶my dwie us³ugi ftp i ftp-data w jednym poleceniu. ipfwadm pozwala na podawanie poszczególnych portów, zakresów portów lub losowych list portów. Polecenie ipchains równie¿ pozwala na podawanie poszczególnych portów lub zakresów portów, z czego skorzystali¶my. Sk³adnia "ftp-data:ftp" oznacza "porty od ftp-data (20) do ftp (21)" i jest to sposób kodowania zakresu portów w poleceniach ipchains i iptables. Gdy w regule zliczaj±cej podasz listê portów, oznacza to, ¿e wszelkie dane odebrane na wskazanych portach bêd± sumowane przy zliczaniu. Pamiêtaj±c, ¿e FTP u¿ywa dwóch portów, portu poleceñ i danych, podali¶my je razem, ¿eby sumowaæ ca³y ruch FTP. Na koñcu podali¶my adres ¼ród³owy w postaci "0/0", co jest szczególnym zapisem, do którego pasuj± wszystkie adresy; taki zapis jest wymagany przez polecenia ipfwadm i ipchains, aby mo¿na by³o okre¶liæ porty.
Mo¿emy siê nieco bardziej skupiæ na drugim punkcie, co da nam inne spojrzenie na dane na naszym ³±czu. Wyobra¼my sobie, ¿e traktujemy ruch FTP, SMTP i WWW jako istotny, a pozosta³y ruch jako nieistotny. Gdyby¶my chcieli znaæ stosunek ruchu istotnego do nieistotnego, mogliby¶my u¿yæ czego¶ takiego:

# ipfwadm -A both -a W ppp0 -P tcp -S 0/0 ftp ftp-data smtp www
# ipfwadm -A both -a W ppp0 -P tcp -S 0/0 1:19 22:24 26:79 81:32767

Je¿eli ju¿ przejrza³e¶ swój plik /etc/services, wiesz, ¿e druga regu³a obejmuje wszystkie porty poza wymienionymi w pierwszej (ftp, ftp-data, smtp i www).
Jak to robimy w poleceniach ipchains i iptables, skoro pozwalaj± one okre¶liæ tylko jeden port jako argument? Do liczenia ruchu mo¿emy równie ³atwo jak w regu³ach firewalla wykorzystaæ ³añcuchy definiowane przez u¿ytkownika. Rozwa¿my nastêpuj±ce podej¶cie:

# ipchains -N a-essent
# ipchains -N a-noness
# ipchains -A a-essent -j ACCEPT
# ipchains -A a-noness -j ACCEPT
# ipchains -A forward -i ppp0 -p tcp -s 0/0 ftp-data:ftp -j a-essent
# ipchains -A forward -i ppp0 -p tcp -s 0/0 smtp -j a-essent
# ipchains -A forward -i ppp0 -p tcp -s 0/0 www -j a-essent
# ipchains -A forward -j a-noness

Tworzymy tutaj dwa ³añcuchy definiowane przez u¿ytkownika, jeden o nazwie a-essent, w którym zbieramy dane dla istotnych us³ug, oraz drugi o nazwie a-noness, w którym zbieramy dane o us³ugach nieistotnych. Nastêpnie dodajemy regu³y do naszego ³añcucha przekazywania, który dopasowuje nasze istotne us³ugi i przechodzi do ³añcucha a-essent, gdzie mamy tylko jedn± regu³ê akceptuj±c± wszystkie datagramy i je licz±c±. Ostatnia regu³a w naszym ³añcuchu przekazywania to regu³a, która przechodzi do ³añcucha a-noness, w którym znów mamy jedn± regu³ê przyjmuj±c± i zliczaj±c± wszystkie datagramy. Do regu³y, która przechodzi do ³añcucha a-noness, nie dotrze ¿adna z naszych istotnych us³ug, gdy¿ zostan± one zaakceptowane przez ich w³asny ³añcuch. Rejestr istotnych i nieistotnych us³ug bêdzie dostêpny w regu³ach tych ³añcuchów. Opisali¶my jeden ze sposobów, w jaki mo¿na liczyæ ruch istotny i nieistotny - s± oczywi¶cie tak¿e inne. Nasza implementacja iptables wykorzystuje to samo podej¶cie i przedstawia siê tak:

# iptables -N a-essent
# iptables -N a-noness
# iptables -A a-essent -j ACCEPT
# iptables -A a-noness -j ACCEPT
# iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport ftp-data:ftp -j a-essent
# iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport smtp -j a-essent
# iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport www -j a-essent
# iptables -A FORWARD -j a-noness

Wygl±da to do¶æ prosto. Niestety wystêpuje tu niewielki, ale nieunikniony problem przy próbie liczenia us³ug wed³ug typu. Pamiêtasz, ¿e w poprzednich rozdzia³ach mówili¶my o roli, jak± w sieci TCP/IP odgrywa MTU. MTU definiuje najwiêkszy datagram, jaki mo¿e zostaæ przes³any przez urz±dzenie sieciowe. Gdy datagram zostanie odebrany przez ruter i jest wiêkszy ni¿ MTU interfejsu, który musi go przetransmitowaæ, ruter stosuje sztuczkê nazywan± fragmentacj±. Ruter dzieli du¿y datagram na mniejsze fragmenty, nie wiêksze jednak ni¿ MTU interfejsu, a nastêpnie je przesy³a. Ruter tworzy nowe nag³ówki, które umieszcza na pocz±tku ka¿dego fragmentu. Zdalna maszyna u¿ywa ich do odtworzenia oryginalnych danych. Niestety w procesie fragmentacji port jest usuwany ze wszystkich fragmentów poza pierwszym. Oznacza to, ¿e zliczanie IP nie jest w stanie poprawnie obs³u¿yæ datagramów podzielonych na fragmenty. Mo¿e poprawnie policzyæ tylko pierwszy fragment. Istnieje sztuczka wykonywana przez ipfwadm, która pozwala zliczaæ dalsze fragmenty, mimo ¿e nie jeste¶my w stanie dowiedzieæ siê dok³adnie, z jakiego portu pochodz±. Wcze¶niejsze wersje oprogramowania zliczaj±cego dla Linuksa przypisywa³y fragmentom fa³szywy numer portu 0xFFFF, który pozwala³ liczyæ. Aby mieæ pewno¶æ, ¿e uwzglêdniamy drugi i dalsze fragmenty, mo¿emy u¿yæ nastêpuj±cej regu³y:

# ipfwadm -A both -a -W ppp0 -P tcp -S 0/0 0xFFFF

Implementacja ³añcuchów IP oferowa³a nieco bardziej wyrafinowane rozwi±zanie, ale wynik by³ podobny. W przypadku polecenia ipchains mogli¶my u¿yæ:

# ipchains -A forward -i ppp0 -p tcp -f

a w przypadku iptables:

# iptables -A FORWARD -i ppp0 -m tcp -p tcp -f

Nie poka¿e nam to, jaki by³ oryginalny port danych, ale przynajmniej bêdziemy w stanie stwierdziæ, ile danych zosta³o podzielonych na fragmenty i policzyæ generowany przez nie ruch.
Podczas kompilacji j±der serii 2.2 mo¿esz wybraæ opcjê, która usuwa ca³y ten problem, je¿eli twój komputer z Linuksem dzia³a jako pojedynczy punkt dostêpu do sieci. Je¿eli w czasie kompilacji j±dra w³±czysz opcjê IP: always defragment, wszystkie odebrane datagramy bêd± sk³adane przez ruter linuksowy, zanim zostan± przerutowane i ponownie wys³ane. Ta operacja jest realizowana przed filtrowaniem na firewallu i oprogramowanie zliczaj±ce widzi datagram tak, jakby nie by³ podzielony na fragmenty. W j±drach 2.4 musisz skompilowaæ i za³adowaæ modu³ netfilter forward-fragment.
Zliczanie datagramów ICMP
Protokó³ ICMP nie u¿ywa numerów portów us³ugi i dlatego nieco trudniej jest zbieraæ szczegó³owe dane na jego temat. ICMP wykorzystuje ró¿nego typu datagramy. Wiele z nich jest nieszkodliwych i normalnych, natomiast niektóre powinny pojawiaæ siê tylko w pewnych okoliczno¶ciach. Czasami ludzie, którzy maj± zbyt wiele czasu, próbuj± z³o¶liwie zak³óciæ u¿ytkownikom dostêp do sieci, generuj±c du¿± liczbê komunikatów ICMP. Powszechnie nazywa siê to zalaniem pingami (ang. ping flooding). Choæ za pomoc± mechanizmu zliczania ruchu IP nie mo¿na zrobiæ nic, by zapobiec temu problemowi (choæ mo¿e tu pomóc firewall IP!), mo¿emy przynajmniej stworzyæ regu³y, które poka¿± nam, czy kto¶ próbuje takiego dzia³ania.
ICMP nie u¿ywa portów, tak jak TCP czy UDP. Natomiast ma ró¿ne typy komunikatów. Mo¿esz stworzyæ regu³y licz±ce ka¿dy typ komunikatu ICMP. W tym celu umieszczamy komunikat ICMP i numer typu w polu portu polecenia zliczaj±cego ipfwadm. Typy komunikatów ICMP wymienili¶my w podrozdziale Typy datagramów ICMP, a wiêc zajrzyj tam, je¿eli chcesz je sobie przypomnieæ.
Regu³a liczenia ruchu IP zbieraj±ca informacje o liczbie pingów wysy³anych do naszej maszyny i z niej generowanych mo¿e wygl±daæ tak:

# ipfwadm -A both -a -P icmp -S 0/0 8
# ipfwadm -A both -a -P icmp -S 0/0 0
# ipfwadm -A both -a -P icmp -S 0/0 0xff

lub w przypadku ipchains tak:

# ipchains -A forward -p icmp -s 0/0 8
# ipchains -A forward -p icmp -s 0/0 0
# ipchains -A forward -p icmp -s 0/0 -f

lub w przypadku iptables tak:

# iptables -A FORWARD -m icmp -p icmp --sports echo-request
# iptables -A FORWARD -m icmp -p icmp --sports echo-reply
# iptables -A FORWARD -m icmp -p icmp -f

Pierwsza regu³a zbiera informacje o datagramach "ICMP Echo Request" (¿±dania ping), a druga zbiera informacje o "ICMP Echo Reply" (odpowiedzi na ping). Trzecia regu³a zbiera informacje o fragmentach datagramów ICMP. Jest to sztuczka podobna do opisanej w przypadku podzielonych na fragmenty datagramów TCP i UDP.
Je¿eli w swoich regu³ach podasz adres ¼ród³owy i docelowy, mo¿esz wy¶ledziæ, sk±d pochodz± pingi, z sieci wewnêtrznej czy zewnêtrznej. Gdy ju¿ ustalisz, sk±d przychodz± szkodliwe datagramy, mo¿esz rozwa¿yæ, czy chcesz umie¶ciæ regu³ê firewalla, która bêdzie zapobiega³a ich przyjmowaniu, czy te¿ podj±æ jakie¶ inne dzia³ania, jak skontaktowanie siê z w³a¶cicielem sieci, z której one pochodz± i powiadomienie go o problemie, a mo¿e nawet wytoczenie sprawy, je¿eli dzia³anie by³o szczególnie z³o¶liwe.
Zliczanie wed³ug protoko³u
Wyobra¼my sobie teraz, ¿e chcemy wiedzieæ, jak du¿y ruch na naszym ³±czu generuj± protoko³y TCP, UDP i ICMP. U¿yjemy do tego celu nastêpuj±cych regu³:

# ipfwadm -A both -a -W ppp0 -P tcp -D 0/0
# ipfwadm -A both -a -W ppp0 -p udp -D 0/0
# ipfwadm -A both -a -W ppp0 -p icmp -D 0/0

lub:

# ipchains -A forward -i ppp0 -p tcp -d 0/0
# ipchains -A forward -i ppp0 -p udp -d 0/0
# ipchains -A forward -i ppp0 -p icmp -d 0/0

lub:

# iptables -A FORWARD -i ppp0 -m tcp -p tcp
# iptables -A FORWARD -o ppp0 -m tcp -p tcp
# iptables -A FORWARD -i ppp0 -m udp -p udp
# iptables -A FORWARD -o ppp0 -m udp -p udp
# iptables -A FORWARD -i ppp0 -m icmp -p icmp
# iptables -A FORWARD -o ppp0 -m icmp -p icmp

Zgodnie z regu³ami, ca³y ruch przechodz±cy przez interfejs ppp0 bêdzie analizowany pod k±tem ustalenia, czy jest to ruch TCP, UDP czy ICMP i bêd± uaktualniane odpowiednie liczniki dla ka¿dego z protoko³ów. W przyk³adzie dla polecenia iptables ruch przychodz±cy jest oddzielany od wychodz±cego, gdy¿ wymaga tego sk³adnia.
Wykorzystywanie wyników zliczania ruchu IP
Bardzo dobrze, ¿e zbieramy informacje, ale jak zobaczyæ wynik? Aby obejrzeæ zebrane dane o ruchu i skonfigurowane regu³y zliczaj±ce, odwo³ujemy siê do poleceñ konfiguracyjnych firewalla, prosz±c je o pokazanie listy regu³. W wyniku s± pokazywane liczniki pakietów i bajtów dla ka¿dej z naszych regu³. 
Polecenia ipfwadm, ipchains i iptables ró¿nie obs³uguj± zebrane dane, a wiêc musimy je pokazaæ niezale¿nie.
Ogl±danie danych za pomoc± ipfwadm
Najprostszym sposobem na obejrzenie danych o ruchu za pomoc± polecenia ipfwadm jest u¿ycie go w nastêpuj±cy sposób:

# ipfwadm -A -l
IP accounting rules
 pkts bytes dir prot source               destination     ports
 9833 2345K i/o all  172.16.3.0/24        anywhere        n/a
56527   33M i/o all  172.16.4.0/24        anywhere        n/a

Widaæ tu liczbê pakietów wys³anych w obie strony. Gdyby¶my u¿yli opcji -e do pokazania wyniku w bogatszej postaci (nie pokazujemy tutaj, gdy¿ nie zmie¶ci³by siê na stronie), musieliby¶my podaæ równie¿ odpowiednie opcje i nazwy interfejsów. Wiêkszo¶æ pól tego wyniku jest oczywista, ale poni¿sze mog± wymagaæ wyja¶nienia:
dir

Kierunek, którego dotyczy regu³a. Mo¿liwe warto¶ci to in, out lub i/o, co oznacza oba kierunki.
prot

Protoko³y, których dotycz± regu³y.
opt

Zakodowana postaæ opcji, których u¿ywamy w wywo³aniu ipfwadm.
ifname

Nazwa interfejsu, którego dotyczy regu³a.
ifaddress

Adres interfejsu, którego dotyczy regu³a.
Domy¶lnie ipfwadm wy¶wietla liczniki pakietów i bajtów w skróconej postaci, czyli zaokr±glone do najbli¿szego tysi±ca (K) lub miliona (M). Mo¿emy spowodowaæ, by wyniki by³y wy¶wietlane bez zaokr±glania. Robi siê to tak:

# ipfwadm -A -l -e -x
Ogl±danie danych za pomoc± ipchains
Polecenie ipchains nie wy¶wietli zebranych danych (liczników pakietów i bajtów), dopóki nie podamy argumentu -v. Najprostszy sposób na obejrzenie danych za pomoc± ipchains jest nastêpuj±cy:

# ipchains -L -v

Znów, tak jak w ipfwadm, u¿ywaj±c trybu rozszerzonego wyniku, mo¿emy wy¶wietliæ liczniki pakietów i bajtów w dok³adnych jednostkach. ipchains do tego celu wykorzystuje argument -x:

# ipchains -L -v -x
Ogl±danie danych za pomoc± iptables
Polecenie iptables zachowuje siê bardzo podobnie jak ipchains. Znów musimy u¿yæ opcji -v, gdy chcemy obejrzeæ nasze liczniki. Aby obejrzeæ zebrane dane o ruchu, piszemy:

# iptables -L -v

Tak jak w poleceniu ipchains, mo¿esz u¿yæ argumentu -x do obejrzenia wyniku w rozszerzonej wersji, z liczbami w dok³adnej postaci.
Zerowanie liczników
Liczniki zliczaj±ce ruch IP przepe³ni± siê, je¿eli pozostawisz je w³±czone na d³u¿szy czas. Gdy siê przepe³ni±, bêdziesz mia³ trudno¶ci w ustaleniu ich rzeczywistej warto¶ci. Aby unikn±æ tego problemu, powiniene¶ co jaki¶ czas odczytywaæ zebrane dane, zapisywaæ je, a nastêpnie zerowaæ liczniki, by ponownie rozpocz±æ zbieranie informacji o ruchu przez nastêpny okres zliczeniowy.
Polecenia ipfwadm i ipchains udostêpniaj± prosty sposób na zerowanie liczników:

# ipfwadm -A -z

lub:

# ipchains -Z

lub:

# iptables -Z

Mo¿esz tak¿e po³±czyæ wy¶wietlanie i zerowanie, by mieæ pewno¶æ, ¿e w miêdzyczasie dane siê nie zagubi±:

# ipfwadm -A -l -z

lub:

# ipchains -L -Z

lub:

# iptables -L -Z -v

Polecenia powy¿sze najpierw poka¿± dane o ruchu, a nastêpnie natychmiast wyzeruj± liczniki i rozpoczn± zliczanie od nowa. Je¿eli chcesz zbieraæ i wykorzystywaæ informacje regularnie, prawdopodobnie umie¶cisz to polecenie w skrypcie uruchamianym co jaki¶ czasu przez polecenie cron. Skrypt ten zapisuje wynik i gdzie¶ go zachowuje.
Usuwanie zestawów regu³
Ostatnie polecenie, które mo¿e byæ przydatne, pozwala ci usun±æ wszystkie skonfigurowane wcze¶niej regu³y zliczaj±ce IP. Jest najbardziej przydatne, gdy chcesz radykalnie zmieniæ zestaw regu³ bez ponownego uruchamiania komputera.
Argument -f w po³±czeniu z poleceniem ipfwadm wyrzuci wszystkie regu³y danego typu. ipchains obs³uguje argument -F, który robi to samo:

# ipfwadm -A -f

lub:

# ipchains -F

lub:

# iptables -F

Powy¿sze polecenia powoduj± usuniêcie wszystkich skonfigurowanych regu³ zliczania ruchu IP, dziêki czemu nie tracisz czasu na usuwanie ich pojedynczo. Zauwa¿, ¿e takie usuwanie regu³ w przypadku ipchains nie powoduje usuniêcia ¿adnego z ³añcuchów zdefiniowanych przez u¿ytkownika, a usuwa tylko zawarte w nich regu³y.
Bierne zbieranie danych o ruchu
Ostatnia sztuczka, któr± warto poznaæ: je¿eli twój Linux jest pod³±czony do Ethernetu, mo¿esz zastosowaæ regu³y liczenia ruchu do wszystkich danych z twojego segmentu, a nie tylko do tych, które s± przez niego przesy³ane lub do niego adresowane. Twoja maszyna mo¿e biernie pods³uchiwaæ wszystkie dane przesy³ane w segmencie sieci, do którego jest pod³±czona i je zliczaæ.
Powiniene¶ najpierw wy³±czyæ przekazywanie IP na twoim komputerze z Linuksem, tak by nie próbowa³ on rutowaæ odebranych datagramów*. W j±drach 2.0.36 i 2.2 robi siê to za pomoc±:

# echo 0>/proc/sys/net/ipv4/ip_forward

Nastêpnie za pomoc± polecenia ifconfig, powiniene¶ przej¶æ na swojej karcie Ethernet do trybu przechwytywania (ang. promiscuous). Teraz mo¿esz stworzyæ regu³y liczenia ruchu pozwalaj±ce ci zbieraæ informacje o datagramach przesy³anych w segmencie Ethernet bez w³±czania rutingu na swoim Linuksie.


11
Maskowanie IP
i translacja adresów sieciowych
Rozdzia³ 11: Maskowanie IP i translacja adresów sieciowych


Nie musisz mieæ dobrej pamiêci, by pamiêtaæ czasy, gdy tylko du¿e instytucje mog³y pozwoliæ sobie na po³±czenie wielu komputerów w sieæ LAN. Obecnie technologia sieciowa jest na tyle tania, ¿e mo¿emy zaobserwowaæ dwa zjawiska. Po pierwsze, sieci LAN s± teraz powszechne, nawet dostêpne w gospodarstwach domowych. Wielu u¿ytkowników Linuksa ma po kilka komputerów po³±czonych sieci± Ethernet. Po drugie, zasoby sieciowe, szczególnie adresy IP, koñcz± siê i choæ przyzwyczaili¶my siê, ¿e s± za darmo, obecnie coraz czê¶ciej s± kupowane i sprzedawane.
Wiêkszo¶æ posiadaczy sieci LAN zwykle chce tak¿e mieæ po³±czenie z Internetem, wykorzystywane przez ka¿dy komputer w sieci. Regu³y rutingu IP s± dosyæ sztywne, je¶li chodzi o dzia³anie w takiej sytuacji. Tradycyjne rozwi±zania tego problemu zak³adaj± uzyskanie adresu IP dla sieci, byæ mo¿e klasy C w przypadku mniejszych o¶rodków, i przypisanie adresu ka¿demu hostowi sieci LAN , a nastêpnie pod³±czenie sieci LAN do Internetu przez ruter.
W skomercjalizowanych ¶rodowiskach internetowych jest to do¶æ droga propozycja. Po pierwsze, musia³by¶ zap³aciæ za przypisanie twojej sieci adresów IP. Po drugie, musia³by¶ zap³aciæ dostawcy us³ug internetowych za przywilej posiadania odpowiedniego rutera dla twojej sieci, dziêki któremu reszta Internetu wiedzia³aby, jak siê do niej dostaæ. Mo¿e byæ to wci±¿ praktyczne rozwi±zanie dla firm, ale w³a¶ciciele domowych instalacji zwykle nie s± w stanie ud¼wign±æ jego kosztów.
Na szczê¶cie Linux oferuje inne rozwi±zanie tego problemu. Rozwi±zanie to wymaga elementu z grupy zaawansowanych funkcji sieciowych, tak zwanej translacji adresów sieciowych (Network Address Translation - NAT). Jest to proces modyfikacji adresów sieciowych zawartych w nag³ówkach datagramu, który zachodzi w czasie ich przesy³ania. Na pocz±tku mo¿e ci siê to wydawaæ do¶æ dziwne, ale zobaczysz wkrótce, ¿e jest to idealne rozwi±zanie opisywanego problemu i wiele osób z niego korzysta. Maskowanie IP (ang. IP masquerading) to nazwa nadana jednej z odmian translacji adresów sieciowych, która pozwala hostom z adresem sieci prywatnej przedstawiæ siê w Internecie pod jednym publicznym adresem IP.

Maskowanie IP daje mo¿liwo¶æ u¿ywania adresu IP z sieci prywatnej (zarezerwowanego) w twojej sieci LAN, a twój ruter oparty na Linuksie wykonuje w czasie rzeczywistym pewne inteligentne t³umaczeni