GNU/Linux >> Znalost Linux >  >> Panels >> Webmin

Server pro volání PPP

Tato stránka popisuje proces nastavení systému Linux s připojeným modemem jako serverem pro telefonické připojení pomocí protokolu point-to-point (PPP), aby se k němu mohly ostatní počítače připojit a přistupovat k připojeným sítím.

Obsah

Úvod do PPP v systému Linux

Jakýkoli linuxový systém s připojeným modemem lze nakonfigurovat tak, aby se k němu ostatní počítače mohly vytáčet a zahájit relaci PPP, což jim poskytne TCP/IP přístup k systému a všem sítím, ke kterým je připojen. To mu umožňuje fungovat jako miniaturní ISP a ve skutečnosti někteří malí ISP provozovali systémy Linux s více kartami sériových portů jako přístupovými servery.

Za různé části služby telefonického připojení jsou zodpovědné dva samostatné programy. První je mgetty , který komunikuje na sériovém portu s připojeným modemem a dává mu pokyn, aby přijal telefon. Jakmile jsou serverové a klientské modemy připojeny, mgetty zobrazí textovou výzvu k přihlášení a čeká buď na uživatelské jméno, nebo na začátek relace PPP. Klient se může přihlásit v textovém režimu a získat výzvu unixového shellu, aniž by musel vůbec spouštět relaci PPP, ale to se v dnešní době dělá jen zřídka. Jakmile se klient odpojí nebo odhlásí, mgetty zavěsí modem a čeká na nové připojení.

Chcete-li nainstalovat mgetty můžete použít modul softwarových balíčků.

Protože většina klientů zahájí relaci PPP, jakmile se připojí, mgetty je obvykle nakonfigurován pro spuštění samostatného pppd program, pokud detekuje připojení PPP. To vytvoří na serveru síťové rozhraní ppp, ověří klienta, přidělí IP adresu a začne odesílat a přijímat data pomocí protokolu PPP. Přidělená IP adresa a další možnosti konfigurace se používají nastaveny na základě jednotlivých sériových portů, takže můžete mít více modemů a podporovat několik současných klientů s různými adresami.

Modul PPP Dialin Server umožňuje nastavit jak mgetty, tak pppd aby se klienti mohli připojit a spouštět relace PPP. Když jej zadáte z kategorie Networking, hlavní stránka jednoduše zobrazí čtyři ikony, pod kterými jsou skutečné konfigurovatelné možnosti.

V současné době lze modul PPP Dialin Server používat pouze na systémech Linux a Solaris, i když mgetty je k dispozici na některých jiných verzích Unixu. Pokud není nainstalován žádný z programů, které konfiguruje, na hlavní stránce se zobrazí chybová zpráva – všechny distribuce Linuxu však obsahují balíčky pro pppd a mgetty na svých CD nebo webových stránkách. Pokud je nainstalován pouze mgetty, můžete použít Konfiguraci sériového portu a Přístup k ID volajícího funkce. Naopak, pokud je nainstalován pouze pppd, máte přístup pouze k Možnosti PPP a Účty PPP stránky.

Když použijete modul k nastavení mgetty pro přijímání hovorů na sériovém portu, přidá se záznam do /etc/inittab soubor, takže init spustí proces mgetty při zavádění a znovu jej spustí podle potřeby. Tuto položku uvidíte v konfiguračním modulu SysV Init, ale neměli byste ji tam upravovat, pokud nevíte, co děláte.

I když byla tato kapitola napsána s ohledem na Linux, modul se na Solarisu chová téměř identicky. Jediným rozdílem jsou názvy souborů zařízení se sériovým portem – zatímco /dev/ttyS0 je první sériový port na Linuxu, Solaris by používal /dev/term/a místo toho.

Konfigurace serveru PPP

Hlavní obrazovka PPP Dialin Server

Než budete moci nastavit systém tak, aby umožňoval klientům připojení pomocí PPP, musí mít buď modem připojený k sériovému portu, nebo musí být připojen kabelem nulového modemu k jinému počítači. Interní modemy, které emulují sériový port, lze také použít, i když se nedoporučují, protože nemají dobře viditelné LED diody, které indikují, zda je modem připojen, vysílá a podobně. USB modemy by měly fungovat, pokud je jádro rozpozná - pravděpodobně však budou používat speciální soubor zařízení. Modemy, které ke svému provozu vyžadují speciální ovladače (běžně známé jako Winmodemy), nelze vůbec použít, pokud není k dispozici ovladač pro modem v systému Linux.

Každý modem musí být přirozeně připojen k telefonní lince. Protože váš systém bude nakonfigurován tak, aby po několika zazvoněních přijal telefon, neměla by být telefonní linka používána k ničemu jinému – jinak bude hlasovým volajícím odpovídat na hovory modem, který není příliš přátelský.

Konfigurace sériového portu

Jakmile je veškerý hardware připraven, kroky k nastavení vašeho systému jako serveru PPP jsou:

  1. Na hlavní stránce modulu klikněte na Konfigurace sériového portu ikona. Tím se dostanete na stránku se seznamem všech existujících portů, které byly nakonfigurovány pro PPP nebo hlasovou poštu.
  2. Klikněte na Přidat nový sériový port odkaz, který zobrazí formulář konfigurace portu zobrazený na prvním snímku obrazovky níže.
  3. Nastavte Sériové zařízení k portu, ke kterému je připojen modem nebo kabel nulového modemu. Sériový port 1 odpovídá souboru zařízení /dev/ttyS0 a tak dále. U modemů na sériových zařízeních, která nezačínají na /dev/ttyS (jako jsou modemy USB), vyberte možnost Jiné zařízení a zadejte úplnou cestu k souboru zařízení do textového pole vedle nabídky.
  4. Nastavte Typ možnost buď Přímé připojení (pro systém připojený kabelem null-modem) nebo Modem (pro skutečný modem pro telefonické připojení).
  5. Port rychlost by měla být nastavena na přenosovou rychlost, kterou bude modem nebo připojení null-modem používat. Musí to být jedna ze standardních rychlostí, například 57600 nebo 33600.
  6. V části Odpověď za, zadejte počet zazvonění, na která má mgetty čekat, než zvedne telefon. Pokud se telefonní linka, na které je váš modem, bude používat také pro příjem hlasových hovorů, můžete toto nastavit na něco velkého, například 20, abyste měli dostatek času na přijetí telefonu dříve, než to udělá modem. Tato možnost přirozeně nemá žádný význam pro připojení null-modem.
  7. Klikněte na tlačítko Vytvořit knoflík. Do souboru /etc/inittab bude přidána nová položka a vrátíte se do seznamu sériových portů.
  8. Klikněte na Použít konfiguraci aktivovat mgetty na novém portu. Telefonní hovory na linku, na které je váš modem, by nyní měly být přijímány po nastaveném počtu zazvonění. Pokud se staráte pouze o textové klienty, pak není třeba nic dalšího dělat – budou se moci připojovat, autentizovat na výzvu k přihlášení a provádět příkazy shellu.
Možnosti PPP
  1. Chcete-li nastavit PPP, klikněte na Možnosti PPP ikonu zpět na hlavní stránku. Tím se dostanete do formuláře zobrazeného na druhém obrázku níže, kde můžete nastavit možnosti, které budou platit pro všechna připojení PPP.
  2. Pokud nechcete, aby se klienti přihlašovali v textovém režimu a spouštěli příkaz pppd ručně, je nejlepší nastavit možnost *Automaticky detekovat připojení PPP na sériových portech?* na Ano . Když je toto povoleno, mgetty zjistí, že klient chce zahájit relaci PPP, když server čeká na výzvu k přihlášení, a automaticky spustí pppd.
  3. V poli IP adresa PPP do polí zadejte IP adresu, kterou má server používat na konci připojení (*Local IP*) a adresu pro klientský konec připojení (Vzdálená IP ). Obvykle tyto adresy nebudou ve vaší místní síti LAN, ale v jiné podsíti. Ostatní systémy v síti by měly být nakonfigurovány tak, aby směrovaly provoz pro adresu klienta do vašeho systému, aby mohly komunikovat. Pokud nejsou zadány žádné adresy, server PPP použije adresy zadané klientem. To může dávat smysl při připojování dvou počítačů přes null-modem, ale nebude to fungovat s většinou vytáčených klientů. Klientovi je možné přiřadit IP adresu, která je v dosahu místní LAN, zapnutím položky Vytvořit proxy ARP? volba. Pokud je tato možnost povolena, zadejte nepoužívanou LAN IP adresu do Vzdálená IP pole a aktuální ethernetovou IP vašeho systému do místní IP pole.
  4. Nastavte režim kontrolních čar pole na Místní pro připojení null-modem nebo Modem pokud je k sériovému portu připojen skutečný modem.
  5. Pokud nenastavujete připojení null-modem, měli by být klienti nuceni k ověření, aby se zabránilo potenciálním útočníkům v připojení. Chcete-li zapnout ověřování, nastavte pole *Vyžadovat ověření?* na Ano . Chcete-li jej úplně vypnout pro použití s ​​nulovým modemem, nastavte pole na Ne . Chcete-li nastavit uživatelská jména a hesla pro klienty, proti nimž se budou ověřovat, viz část *Správa účtů PPP* níže.
  6. Chcete-li odpojit klienty, kteří byli dlouhou dobu nečinní, zadejte počet sekund do pole Doba nečinnosti před odpojením pole.
  7. Zadejte IP adresy všech serverů DNS ve vaší síti do Serverů DNS pro klienty pole. Klientské operační systémy jako Windows je budou používat automaticky, což zjednodušuje jejich konfiguraci.
  8. Nakonec klikněte na tlačítko Uložit knoflík. Klienti by nyní měli mít možnost se připojit, vytvořit relaci PPP a přistupovat k vašemu systému a síti!
Přístup k ID volajícího

Pokud váš systém bude mít připojeno více současných klientů PPP, budete muset nastavit různé možnosti pro každý sériový port. Zejména musí mít každý klient jinou vzdálenou IP adresu, ačkoli lokální adresu lze znovu použít.

Chcete-li nastavit různé možnosti PPP pro každý sériový port, postupujte takto:

  1. Na hlavní stránce modulu klikněte na Možnosti PPP ikona. Změňte IP adresy PPP pole zpět na Od klienta a nastavte všechny další možnosti, které chcete nastavit na základě jednotlivých portů, zpět na jejich výchozí hodnoty.
  2. Vraťte se na hlavní stránku a klikněte na Konfigurace sériového portu a poté na Upravit odkaz pod Port PPP Config pro sériový port, pro který chcete nastavit možnosti. Tím se dostanete na stránku možností pro jednotlivé porty, která je velmi podobná formuláři globálních možností PPP, který je znázorněn na obrázku 18-2.
  3. Zadejte vzdálené a místní adresy IP, které mají být přiřazeny klientům PPP připojujícím se na tento port, a změňte jakékoli další možnosti, které nebyly nastaveny na stránce globálních možností PPP.
  4. Po dokončení klikněte na tlačítko Uložit knoflík. Klienti připojující se na nakonfigurovaném portu budou od této chvíle používat nové možnosti.

Nejjednodušší způsob, jak zabránit tomu, aby váš systém fungoval jako PPP server, je jednoduše odstranit položku konfigurace sériového portu pro váš modem. Pokud máte připojeno více modemů, níže uvedené kroky lze použít k deaktivaci jednoho, aniž by to mělo vliv na ostatní:

  1. Na hlavní stránce klikněte na Konfigurace sériového portu a poté na název zařízení portu s připojeným modemem.
  2. Na stránce možností portu klikněte na Odstranit tlačítko v pravém dolním rohu. Příslušná položka bude odstraněna ze souboru /etc/inittab a vrátíte se na seznam povolených portů.
  3. Klikněte na tlačítko Použít konfiguraci tlačítko pro aktivaci změny. Od této chvíle již váš systém nebude odpovídat na příchozí telefonní hovory ani komunikovat s jiným počítačem připojeným kabelem nulového modemu.

Správa účtů PPP

Pokud povolíte telefonický přístup k vašemu systému, měli byste donutit všechny klienty, aby se sami ověřili zapnutím možnosti 'Vyžadovat ověření?' možnost v Možnosti PPP strana. I když si myslíte, že váš server nepotřebuje ověřovat klienty, protože jen vy znáte telefonní číslo linky, na které je váš modem, přesto je dobré to povolit pro případ, že by někdo na toto číslo náhodou narazil – nebo případ, kdy jej najde „válečný vytáčení“, který zkouší stovky telefonních čísel při hledání nezabezpečených serverů. Jakmile je ověřování povoleno, můžete přidat nový účet, kterému je povoleno se přihlásit, podle následujících kroků:

  1. Na hlavní stránce modulu klikněte na Účty PPP ikona. Tím se dostanete na stránku se seznamem všech existujících účtů, včetně těch, které byly vytvořeny pro vytáčení na jiné servery.
  2. Postupujte podle Vytvoření nového účtu PPP odkaz, který vás přenese na níže zobrazený formulář pro vytvoření účtu.
  3. Do pole Uživatelské jméno zadejte přihlašovací jméno pole a ujistěte se, že je Jakékoli možnost není vybrána.
  4. Ujistěte se, že Server pole je nastaveno na Jakýkoli . Pokud jej nastavíte na něco jiného, ​​uživatelské jméno bude přijato pouze tehdy, když se název hostitele klienta shoduje s tím, co zadáte.
  5. Vyberte možnost Nastavit na možnost v pole *Heslo , *a do textového pole vedle zadejte heslo k účtu. Je také možné, aby PPP server načetl heslo ze samostatného souboru výběrem Ze souboru a zadáním názvu souboru do jeho textového pole. Nebo můžete odstranit nutnost zadávat heslo, a to výběrem Žádné - z bezpečnostního hlediska to však není moc dobrý nápad.
  6. Za předpokladu, že všem klientům jsou přidělovány adresy IP, nastavte Platné adresy v poli Povolit jakékoli . Pokud však na stránce Možnosti PPP nejsou zadány žádné adresy, můžete vybrat možnost Povolit uvedené a do textového pole pod ní zadat přijatelné adresy.
  7. Nakonec klikněte na tlačítko Uložit a vytvoří se nový PPP účet. Může být okamžitě použit připojením klientů.
Vytvoření nového účtu PPP

Chcete-li upravit existující PPP účet, stačí kliknout na jeho uživatelské jméno v seznamu účtů. Tím se dostanete do formuláře pro úpravu účtu, který je téměř totožný s formulářem pro vytvoření zobrazeným na obrázku výše. Změňte uživatelské jméno, heslo nebo jakékoli jiné možnosti a klikněte na Uložit uložíte změny a okamžitě je aktivujete. Nebo klikněte na Smazat tlačítko na editačním formuláři pro odstranění účtu.

Ve výchozím nastavení Webmin přidá nové uživatele do souboru /etc/ppp/pap-secrets. Toto čte pouze server PPP při ověřování PAP, které se používá ve výchozím nastavení. Pokud jste svůj systém ručně nakonfigurovali tak, aby ověřoval klienty pomocí bezpečnějšího protokolu CHAP, budete muset nakonfigurovat Webmin, aby místo toho upravoval soubor chap-secrets. To lze provést kliknutím na Konfigurace modulu odkaz v levém horním rohu hlavní stránky a změna souboru PAP secrets pole do /etc/ppp/chap-secrets.

Omezení přístupu pomocí ID volajícího

Pokud má vaše telefonní linka povolenou identifikaci volajícího a váš modem ji podporuje, lze službu mgetty nakonfigurovat tak, aby blokovala určité volající na základě jejich telefonních čísel. Ve výchozím nastavení se bude moci připojit kterýkoli volající – toto však můžete změnit tak, aby bylo povoleno pouze několik čísel, a to podle následujících kroků:

  1. Na hlavní stránce modulu klikněte na Přístup k ID volajícího ikona. Tím se dostanete do formuláře se seznamem omezených čísel, který bude pravděpodobně prázdný, pokud jste ještě žádná nepřidali.
  2. Klikněte na Přidat nové číslo ID volajícího odkaz, který vás přesměruje na formulář pro zadání nového čísla.
  3. Nastavte Telefonní číslo možnost Čísla začínající a do pole vedle zadejte částečné nebo úplné telefonní číslo, které chcete povolit. Pokud zadáte něco jako jen 555 , každý volající, jehož telefonní číslo začíná 555 (například 555-1234 ) bude povoleno.
  4. Nastavte Akci pole Povolit .
  5. Klikněte na tlačítko Vytvořit tlačítko, které číslo uloží a vrátí vás na seznam povolených a zakázáných.
  6. Chcete-li přidat další povolené číslo, opakujte kroky 2 až 5.
  7. Nakonec klikněte na Přidat nové číslo ID volajícího znovu a ve formuláři pro vytvoření nastavte Telefonní číslo na Všechna čísla a Akce Odmítnout .
  8. Klikněte na tlačítko Vytvořit tlačítko pro přidání této poslední položky do seznamu. Od této chvíle se budou moci připojit pouze telefonní čísla, která jste výslovně povolili.

Protože systém kontroluje každý záznam v seznamu v pořadí a zastaví se, když najde odpovídající, každý záznam, který odmítne (nebo povolí) všechny volající, se musí objevit na konci seznamu – jinak nebudou ti po něm nikdy zpracováni. Pokud chcete v budoucnu povolit nové telefonní číslo, po jeho přidání šipky v Přesunout sloupec musí být použit k přesunutí nad poslední položku, která zakazuje všechny.

Protože někteří klienti nemusí poskytovat informace o identifikaci volajícího, Neznámá čísla možnost pro pole P*hone number* lze použít pro spárování jejich hovorů. Povolení všech neznámých volajících však není dobrý způsob, jak zablokovat známé útočníky, protože mohou pouze zakázat odesílání informací o ID volajícího na své telefonní lince.

Omezení identifikace volajícího by nikdy neměla být jedinou formou zabezpečení na vašem serveru pro telefonické připojení, protože čísla volajících poskytuje telefonní společnost, a proto je nemáte zcela pod kontrolou. Mělo by být povoleno také ověřování PPP, aby se všichni klienti museli přihlásit.

Řízení přístupu k modulu

Stejně jako ostatní má tento modul několik možností, které můžete nastavit v modulu Webmin Users a řídit, které z jeho funkcí může uživatel používat. Jsou nejužitečnější pro deaktivaci částí modulu, které se v konkrétním systému nepoužívají – například můžete chtít, aby byla stránka Účty PPP viditelná pouze pro určitého uživatele.

Chcete-li upravit možnosti řízení přístupu v tomto modulu pro uživatele nebo skupinu, postupujte takto:

  1. V modulu Webmin Users klikněte na PPP Dialin Server vedle jména uživatele, kterému byl udělen přístup k modulu.
  2. Pro Dostupné stránky zrušte výběr těch ikon na hlavní stránce modulu, ke kterým nechcete, aby měl uživatel přístup. Pokud zrušíte výběr Možnosti PPP, nebude moci upravovat ani možnosti, které se vztahují na jeden sériový port.
  3. Pokud je uživateli udělen přístup pouze k jedné stránce, nastavte možnost Přejít přímo na jednu stránku? pole na Ano způsobí, že prohlížeč po vstupu do modulu skočí přímo na tuto stránku. To je užitečné pro přeskočení hlavní stránky modulu, pokud bude obsahovat pouze jednu ikonu.
  4. Klikněte na tlačítko Uložit pro aktivaci nastavení řízení přístupu.

Webmin

  1. Jabber IM Server

  2. Databázový server PostgreSQL

  3. Server ProFTPD

  1. Proxy server Squid

  2. Server WU-FTPD

  3. Server PPTP VPN

  1. SSL tunely

  2. Server iSCSI

  3. Restartujte server