6. Informazioni specifiche ad IP ed Ethernet.

Questa sezione presenta informazioni specifiche a Ethernet e IP. Queste sottosezioni sono state raggruppate assieme perché credo siano le più interessanti della sezione precedentemente intitolata "Informazioni specifiche alle singole tecnologie di rete". Chiunque abbia una rete locale (LAN) dovrebbe poterne beneficiare.

6.1 Ethernet

I nomi dei dispositivi Ethernet sono `eth0', `eth1', `eth2' eccetera. Alla prima scheda di rete riconosciuta del kernel viene assegnato `eth0', alle altre eventuali schede viene assegnato un nome in sequenza, nell'ordine in cui vengono riconosciute.

Per default, il kernel Linux effettua il probing di un solo dispositivo Ethernet, è necessario passare degli argomenti dalla linea di comando al kernel per poter forzare il riconoscimento di ulteriori schede.

Per imparare come far lavorare correttamente sotto Linux le proprie schede ethernet, si può far riferimento al Ethernet-HOWTO.

Quando il kernel è compilato con le opzioni corrette per supportare la propria scheda ethernet, la sua configurazione è facile.

Tipicamente sarà necessario qualcosa di simile (di solito la maggior parte delle distribuzioni lo fa automaticamente, se configurata per supportare la scheda ethernet presente):

        root# ifconfig eth0 192.168.0.1 netmask 255.255.255.0 up
        root# route add -net 192.168.0.0 netmask 255.255.255.0 eth0
        

La maggior parte dei driver ethernet sono stati sviluppati da Donald Becker, becker@CESDIS.gsfc.nasa.gov.

6.2 EQL - equalizzazione del traffico su linea multipla

Il nome della periferica EQL è `eql'. Con la distribuzione standard del kernel si può avere al massimo una periferica EQL per macchina. Il protocollo EQL offre un mezzo per utilizzare connessioni multiple punto-a-punto (come PPP, slip o plip) come se fossero un singolo collegamento TCP/IP. Spesso è più economico usare vari collegamenti a bassa velocità che installare un singolo collegamento ad alta velocità.

Opzioni di compilazione del kernel:

        Network device support  --->
            [*] Network device support
            <*> EQL (serial line load balancing) support
        

Per utilizzare questo meccanismo occorre che anche la macchina che sta all'altro capo del collegamento supporti EQL. Linux, i "Livingstone Portmaster" e altri recenti server a chiamata telefonica (dial-in server) supportano funzionalità compatibili.

Per configurare EQL occorrono gli strumenti EQL, che si posso prendere da: sunsite.unc.edu.

La configurazione è abbastanza intuitiva. Si inizia configurando l'interfaccia eql. A questa interfaccia, come a qualunque altra interfaccia di rete, viene assegnato un indirizzo IP ed una MTU usando il comando ifconfig. Per esempio:

        ifconfig eql 192.168.10.1 mtu 1006
        

Poi occorre attivare manualmente ognuna delle linee che si intendono usare. Queste possono essere una qualsiasi combinazione di dispositivi di rete punto-a-punto. Come effettuare tali connessioni dipende dal tipo di collegamenti in gioco. Per avere ulteriori informazioni occorre riferirsi alle sezioni appropriate.

Infine occorre associare questi collegamenti seriali alla periferica EQL. Questa operazione si chiama "asservimento" (enslave) e viene effettuata con il comando eql_enslave come mostrato qui:

        eql_enslave eql sl0 28800
        eql_enslave eql ppp0 14400
        

Il parametro che viene passato è la velocità stimata, e non ha alcun effetto diretto: viene solo usato dal driver EQL per determinare la suddivisione dei pacchetti, in modo da poter aggiustare con precisione il bilanciamento delle linee mediante la scelta oculata di questo valore.

Per staccare una linea dal dispositivo EQL occorre usare il comando eql_emancipate, come qui mostrato:

        eql_emancipate eql sl0
        

Per aggiungere informazioni di instradamento si fa come per qualunque altro collegamento punto-a-punto, tranne che i percorsi devono riferirsi al dispositivo eql piuttosto che ai singoli collegamenti. Di solito si usano comandi come il seguente:

        root# route add default eql
        

Il driver EQL è stato scritto da Simon Janes, simon@ncm.com.

6.3 IP Accounting (per Linux-2.0)

Le caratteristiche di accounting del kernel Linux permettono di raccogliere ed analizzare alcuni dati di utilizzo della rete. I dati raccolti comprendono il numero di pacchetti e il numero di byte accumulati dal momento in cui le cifre sono state azzerate l'ultima volta. Si possono specificare una varietà di regole per raccogliere le cifre in categorie secondo le proprie finalità. Questa possibilità è stata rimossa a partire dal kernel 2.1.102, poiché il firewalling basato su `ipfwadm' è stato rimpiazzato da `ipfwchains'.

Opzioni di compilazione del kernel:

        Networking options  --->
            [*] IP: accounting
        

Dopo aver ricompilato ed installato il kernel occorre usare il comando ipfwadm per configurare l'accounting IP. Si può scegliere tra diversi modi di dividere le informazioni di accounting. Ho scelto qui un semplice esempio di cosa può essere utile usare, bisognerebbe leggere la pagina del manuale di ipfwadm per avere ulteriori informazioni.

Scenario: una rete ethernet è collegata a Internet tramite una connessione PPP. Sulla ethernet c'è una macchina che offre svariati servizi, e interessa sapere quanto traffico viene generato da ftp e WWW, come pure il traffico totale TCP e UDP.

Si può usare a questo fine un insieme di comandi simile al seguente, riportato come script di shell:

        #!/bin/sh
        #
        # Dimentica tutte le regole di accounting
        ipfwadm -A -f
        #
        # assegna dei riferimenti simbolici
        localnet=44.136.8.96/29
        any=0/0
        # Aggiungi le regole per il segmento ethernet locale
        ipfwadm -A in  -a -P tcp -D $localnet ftp-data
        ipfwadm -A out -a -P tcp -S $localnet ftp-data
        ipfwadm -A in  -a -P tcp -D $localnet www
        ipfwadm -A out -a -P tcp -S $localnet www
        ipfwadm -A in  -a -P tcp -D $localnet 
        ipfwadm -A out -a -P tcp -S $localnet 
        ipfwadm -A in  -a -P udp -D $localnet 
        ipfwadm -A out -a -P udp -S $localnet 
        #
        # Regole di default
        ipfwadm -A in  -a -P tcp -D $any ftp-data
        ipfwadm -A out -a -P tcp -S $any ftp-data
        ipfwadm -A in  -a -P tcp -D $any www
        ipfwadm -A out -a -P tcp -S $any www
        ipfwadm -A in  -a -P tcp -D $any 
        ipfwadm -A out -a -P tcp -S $any 
        ipfwadm -A in  -a -P udp -D $any 
        ipfwadm -A out -a -P udp -S $any 
        #
        # Stampa le regole
        ipfwadm -A -l -n
        #
        

I nomi `ftp-data' e `www' si riferiscono a voci di /etc/services. L'ultimo comando stampa tutte le regole di accounting e mostra i totali raccolti.

Un punto importante da sottolineare quando si parla di accounting IP è che vengono incrementati i totali per tutte le regole che si applicano, cosicché per ottenere cifre relative alle differenza ci vuole un po' di matematica. Per esempio, se si vuol sapere quanto traffico non era ftp o www bisogna sottrarre i totali individuali dalla regola che si applica a tutte le porte.

root# ipfwadm -A -l -n
IP accounting rules
 pkts bytes dir prot source               destination          ports
    0     0 in  tcp  0.0.0.0/0            44.136.8.96/29       * -> 20
    0     0 out tcp  44.136.8.96/29       0.0.0.0/0            20 -> *
   10  1166 in  tcp  0.0.0.0/0            44.136.8.96/29       * -> 80
   10   572 out tcp  44.136.8.96/29       0.0.0.0/0            80 -> *
  252 10943 in  tcp  0.0.0.0/0            44.136.8.96/29       * -> *
  231 18831 out tcp  44.136.8.96/29       0.0.0.0/0             * -> *
    0     0 in  udp  0.0.0.0/0            44.136.8.96/29       * -> *
    0     0 out udp  44.136.8.96/29       0.0.0.0/0            * -> *
    0     0 in  tcp  0.0.0.0/0            0.0.0.0/0            * -> 20
    0     0 out tcp  0.0.0.0/0            0.0.0.0/0            20 -> *
   10  1166 in  tcp  0.0.0.0/0            0.0.0.0/0            * -> 80
   10   572 out tcp  0.0.0.0/0            0.0.0.0/0            80 -> *
  253 10983 in  tcp  0.0.0.0/0            0.0.0.0/0            * -> *
  231 18831 out tcp  0.0.0.0/0            0.0.0.0/0            * -> *
    0     0 in  udp  0.0.0.0/0            0.0.0.0/0            * -> *
    0     0 out udp  0.0.0.0/0            0.0.0.0/0            * -> *

6.4 IP Accounting (per Linux-2.2)

Il nuovo accounting IP è gestito mediante `IP Firewall Chains'. Si può fare riferimento alla home page di IP chains per ulteriori informazioni. Tra le altre cose adesso è necessario usare ipchains al posto di ipfwadm per configurare le proprie regole. (Da Documentation/Changes nei sorgenti più recenti del kernel). [È disponibile IP-Chains mini-HOWTO N.d.T.]

6.5 IP Aliasing

Ci sono alcune applicazioni dove è utile poter configurare diversi indirizzi IP associati ad un unica scheda di rete. I fornitori di accesso ad internet spesso usano questa funzionalità per la personalizzazione delle loro offerte di servizi ftp e WWW per i loro clienti. Si può fare riferimento a `IP-Alias mini-HOWTO' per maggiori informazioni.

Opzioni di compilazione del kernel:

        Networking options  --->
            ....
            [*] Network aliasing
            ....
            <*> IP: aliasing support
        

Dopo aver compilato ed installato il kernel con il supporto per l'IP Aliasing, la configurazione è molto semplice. I nomi alternativi (alias) vengono aggiunti a periferiche di rete virtuali associate all'interfaccia di rete fisica. Esiste una semplice convenzione per l'assegnamento dei nomi a queste periferiche, del tipo <nomePeriferica>:<numeroPerifericaVirtuale>, per esempio eth0:0, ppp0:10. Si noti che l'interfaccia nome:numero può essere configurata solo dopo aver configurato l'interfaccia principale.

Assumiamo per esempio di avere una rete ethernet che porta due sottoreti IP contemporaneamente, e che si voglia che una macchina abbia accesso diretto ad entrambe le sottoreti; in questo caso si può usare qualcosa come:

        root# ifconfig eth0 192.168.1.1 netmask 255.255.255.0 up
        root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
        
        root# ifconfig eth0:0 192.168.10.1 netmask 255.255.255.0 up
        root# route add -net 192.168.10.0 netmask 255.255.255.0 eth0:0
        

Per rimuovere un alias basta aggiungere un carattere `-' alla fine del suo nome e riferirsi ad esso, così:

        # ifconfig eth0:0- 0
        

Tutte le regole di instradamento associate a quell'alias verranno rimosse automaticamente.

6.6 IP Firewall (per Linux-2.0)

Il Firewall IP e gli argomenti correlati sono trattati con maggior dettaglio nel Firewall-HOWTO. Le tecniche di firewall permettono di rendere sicura la propria macchina verso gli accessi di rete non autorizzati filtrando i pacchetti: i pacchetti di rete sono accettati oppure no in base agli indirizzi IP di partenza/destinazione. Ci sono tre classi di regole: filtro di ingresso (incoming), di uscita (outgoing) e passante (forwarding). Le regole di ingresso vengono applicate ai pacchetti che vengono ricevuti dalle interfacce di rete, le regole di uscita vengono applicate ai pacchetti che devono essere trasmessi da un'interfaccia. Le regole di filtro passante vengono applicate ai pacchetti che sono stati ricevuti ma non sono destinati a questa macchina, cioè i pacchetti che devono essere instradati.

Opzioni di compilazione del kernel:

        Networking options  --->
            [*] Network firewalls
            ....
            [*] IP: forwarding/gatewaying
            ....
            [*] IP: firewalling
            [ ] IP: firewall packet logging
        

La configurazione delle regole del firewall IP viene effettuata tramite il comando ipfwadm. Come ho accennato prima, non sono un esperto nel campo della sicurezza informatica; perciò, mentre l'esempio che sto per presentare è utilizzabile, consiglio di fare le proprie ricerche e sviluppare le proprie regole se la sicurezza è un problema importante.

Probabilmente l'uso più comune del firewall IP si ha quando la propria macchina Linux è usata come router e come filtro per proteggere la propria rete locale dall'accesso non autorizzato dall'esterno della rete.

La configurazione seguente è basata su di un contributo di Arnt Gulbrandsen, <agulbra@troll.no>.

L'esempio descrive la configurazione delle regole di firewall nella macchina Linux rappresentata in figura:

-                                   -
 \                                  | 172.16.37.0
  \                                 |   /255.255.255.0
   \                 ---------      |
    |  172.16.174.30 | Linux |      |
NET =================|  f/w  |------|    ..37.19
    |    PPP         | router|      |  --------
   /                 ---------      |--| Mail |
  /                                 |  | /DNS |
 /                                  |  --------
-                                   -

I comandi seguenti risiederanno probabilmente in un file nella directory rc in modo da essere eseguiti automaticamente tutte le volte che il sistema viene avviato. Ai fini della massima sicurezza, i comandi dovrebbero essere eseguiti dopo aver configurato le interfacce di rete, ma prima di attivarle, in modo da impedire a chiunque di accedere al calcolatore mentre sta riavviandosi.

        #!/bin/sh
        
        # Azzera la tabella di 'Forward'
        # Cambia il comportamento di default perché accetti i pacchetti.
        #
        /sbin/ipfwadm -F -f
        /sbin/ipfwadm -F -p accept
        #
        # .. e lo stesso per le regole di entrata.
        #
        /sbin/ipfwadm -I -f
        /sbin/ipfwadm -I -p accept

        # Prima di tutto, chiudere l'interfaccia PPP
        # Vorrei usare '-a deny' invece di '-a reject -y', ma non sarebbe
        # possibile creare delle connessioni da questa interfaccia.
        # Il -o fa sì che tutti pacchetti rifiutati siano registrati sul log.
        # Questo spreca spazio su disco ma lascia informazione in casi di
        # attacco o errore di configurazione.
        #
        /sbin/ipfwadm -I -a reject -y -o -P tcp -S 0/0 -D 172.16.174.30

        # Rigetta subito i pacchetti chiaramente costruiti a scopo malevolo:
        # niente dovrebbe provenire da indirizzi multicast/anycast/broadcast
        #
        /sbin/ipfwadm -F -a deny -o -S 224.0/3 -D 172.16.37.0/24
        #
        # e nulla proveniente dalla rete loopback deve apparire su un cavo
        # di rete
        /sbin/ipfwadm -F -a deny -o -S 127.0/8 -D 172.16.37.0/24

        # Accetta connessioni SMTP e DNS entranti, ma solo verso il server
        # di posta e di risoluzione dei nomi (name server)
        #
        /sbin/ipfwadm -F -a accept -P tcp -S 0/0 -D 172.16.37.19 25 53
        #
        # Il DNS usa anche UDP oltre a TCP, quindi bisogna permetterlo
        # per le interrogazioni al nostro name server
        #
        /sbin/ipfwadm -F -a accept -P udp -S 0/0 -D 172.16.37.19 53
        #
        # ma non autorizzare risposte provenienti da porte
        # pericolose, come NFS e le sue estensioni a cura di Larry MCVoy.
        # Se si usa squid, aggiungere qui la sua porta.
        #
        /sbin/ipfwadm -F -a deny -o -P udp -S 0/0 53 \
                  -D 172.16.37.0/24 2049 2050

        # risposte per le altre porte non privilegiate vanno bene
        #
        /sbin/ipfwadm -F -a accept -P udp -S 0/0 53 \
                  -D 172.16.37.0/24 53 1024:65535

        # Rifiuta le connessioni entranti per identd
        # Usare 'reject' così alla connessione viene notificato subito
        # di non continuare. Altrimenti avremmo dei ritardi mentre identd
        # aspetta il time out.
        #
        /sbin/ipfwadm -F -a reject -o -P tcp -S 0/0 -D 172.16.37.0/24 113

        # Accetta le connessioni per alcuni servizi comuni dalle reti
    # 192.168.64 e 192.168.65: sono amici e ci fidiamo.
        #
        /sbin/ipfwadm -F -a accept -P tcp -S 192.168.64.0/23 \
                  -D 172.16.37.0/24 20:23

        # accetta e ritrasmetti tutto quello che viene dall'interno
        #
        /sbin/ipfwadm -F -a accept -P tcp -S 172.16.37.0/24 -D 0/0

        # impedisci la maggior parte delle altre connessioni TCP entranti, e
        # registrale sul log di sistema.
        # (occorre aggiungere 1:1023 se ftp non funziona)
        #
        /sbin/ipfwadm -F -a deny -o -y -P tcp -S 0/0 -D 172.16.37.0/24

        # ... e lo stesso per UDP
        #
        /sbin/ipfwadm -F -a deny -o -P udp -S 0/0 -D 172.16.37.0/24
        

Una buona configurazione del firewall è abbastanza difficile da raggiungere. Questo esempio dovrebbe essere un punto di partenza ragionevole. La pagina di manuale di ipfwadm offre un po' di assistenza nell'uso del programma. Se si intende configurare un firewall occorre essere sicuri di chiedere e di recuperare il maggior numero possibile di informazioni da fonti che si considerino affidabili. Occorre anche che qualcuno verifichi la configurazione dall'esterno.

6.7 IP Firewall (per Linux-2.2)

Il nuovo firewall è gestito mediante `IP Firewall Chains'. Si può fare riferimento alla home page di IP chains per ulteriori informazioni. Tra le altre cose adesso è necessario usare ipchains al posto di ipfwadm per configurare le proprie regole. (Da Documentation/Changes nei sorgenti più recenti del kernel). [È disponibile IP-Chains mini-HOWTO N.d.T.]

6.8 Incapsulazione IPIP

Perché si dovrebbe aver bisogno di incapsulare i pacchetti IP in altri pacchetti IP? Deve sembrare una cosa molto strana se non si è mai vista prima una sua applicazione. Ok, ecco un paio di esempi di uso abbastanza comune dell'incapsulazione: gli indirizzi mobili (mobile-IP) e il multicast. Quello che probabilmente è l'uso più comune di questa tecnica, anche se probabilmente il meno noto, è la radio amatoriale.

Opzioni di compilazione del kernel:

        Networking options  --->
            [*] TCP/IP networking
            [*] IP: forwarding/gatewaying
            ....
            <*> IP: tunneling
        

Le periferiche tunnel sono chiamate `tunl0', `tunl1' eccetera.

"Ma perché?". Ecco: l'instradamento convenzionale dei pacchetti IP richiede che una rete IP comprenda un indirizzo di rete ed una maschera di rete. Questo produce una serie di indirizzi contigui che possono essere instradati collettivamente da una singola voce di instradamento. Questo è molto comodo, ma significa che un particolare indirizzo può essere usato solo mentre si è connessi alla rete cui quell'indirizzo appartiene. Nella maggior parte di casi questo va bene, ma se si è un utente mobile della rete può essere difficile collegarsi sempre nello stesso posto. L'incapsulazione IP/IP (o tunneling IP) permette di scavalcare questa restrizione permettendo ai pacchetti destinati all'indirizzo IP dell'utente mobile di essere reimpacchettati e rediretti ad un altro indirizzo IP. Se si sa di doversi collegare ad un altro indirizzo IP per un certo tempo, si può predisporre un calcolatore sulla propria rete di appartenenza perché accetti i pacchetti per il vecchio indirizzo IP e li ridiriga all'indirizzo che si utilizzerà temporaneamente.

Una configurazione di rete a "tunnel"

Come sempre, credo che un diagramma possa evitare un sacco di testo poco chiaro, perciò eccone qui uno:

 192.168.1/24                          192.168.2/24

     -                                     -
     |      ppp0 =            ppp0 =       |
     |  aaa.bbb.ccc.ddd  fff.ggg.hhh.iii   |
     |                                     |
     |   /-----\                 /-----\   |
     |   |     |       //        |     |   |
     |---|  A  |------//---------|  B  |---|
     |   |     |     //          |     |   |
     |   \-----/                 \-----/   |
     |                                     |
     -                                     -

Il diagramma mostra un'altra ragione possibile per usare l'incapsulazione IP/IP: le reti private virtuali. Questo esempio presuppone che si abbiano due macchine, ciascuna con una semplice connessione telefonica alla rete, e ogni calcolatore ha un solo indirizzo IP. Dietro a queste due macchine ci sono delle reti locali private, configurate con gli indirizzi di rete riservati a tal fine. Supponiamo di voler permettere a tutti i calcolatori della rete A di collegarsi a qualsiasi calcolatore della rete B, come se fossero connessi normalmente a Internet tramite una regola di instradamento. L'incapsulazione IPIP permette di fare questo. Si noti che l'incapsulazione non risolve il problema di come far parlare le reti A e B con gli altri calcolatori di internet: per fare questo occorrono altri trucchi, come il mascheramento. L'incapsulazione di solito viene effettuata dalle macchine che funzionano da router.

Il router Linux `A' dovrà essere configurato con uno script come il seguente:

        #!/bin/sh
        PATH=/sbin:/usr/sbin
        mask=255.255.255.0
        remotegw=fff.ggg.hhh.iii
        #
        # configurazione Ethernet
        ifconfig eth0 192.168.1.1 netmask $mask up
        route add -net 192.168.1.0 netmask $mask eth0
        #
        # configurazione ppp0  (avvio del collegamento punto-a-punto,
        # configura il percorso di default)
        pppd
        route add default ppp0
        #
        # configurazione della periferica Tunnel
        ifconfig tunl0 192.168.1.1 up
        route add -net 192.168.2.0 netmask $mask gw $remotegw tunl0
        

Il router `B' dovrà essere configurato con uno script simile:

        #!/bin/sh
        PATH=/sbin:/usr/sbin
        mask=255.255.255.0
        remotegw=aaa.bbb.ccc.ddd
        #
        # configurazione Ethernet
        ifconfig eth0 192.168.2.1 netmask $mask up
        route add -net 192.168.2.0 netmask $mask eth0
        #
        # configurazione ppp0  (avvio del collegamento punto-a-punto,
        # configura il percorso di default)
        pppd
        route add default ppp0
        #
        # configurazione della periferica Tunnel
        ifconfig tunl0 192.168.2.1 up
        route add -net 192.168.1.0 netmask $mask gw $remotegw tunl0
        

Il comando:

        route add -net 192.168.1.0 netmask $mask gw $remotegw tunl0
        

significa: `Manda tutti i pacchetti destinati a 192.168.1.0/24 incapsulati entro un datagramma IPIP con indirizzo di destinazione aaa.bbb.ccc.ddd'.

Si noti che le configurazioni delle due macchine sono simmetriche. Il dispositivo tunnel usa l'opzione `gw' nell'informazione di instradamento come destinazione del pacchetto IP incapsulante. Tale macchina deve sapere come de-capsulare i pacchetti IPIP, in altre parole deve anch'essa essere configurata con un dispositivo tunnel.

Una configurazione di calcolatore con tunnel

Non occorre aver bisogno di instradare un'intera rete. Si può per esempio instradare un singolo indirizzo IP. In questo caso si configurerà l'interfaccia tunl sulla macchina remota con il suo proprio indirizzo IP, mentre all'estremo A si userà un normale instradamento di host (usando Proxy Arp), piuttosto che un'instradamento di rete attraverso l'interfaccia tunnel. Si deve ridisegnare e modificare a questo fine la configurazione precedente. Adesso c'è un solo calcolatore `B' che vuole comportarsi come se fosse completamente connesso a Internet e anche parte della rete supportata dall'host `A':

 192.168.1/24

     -
     |      ppp0 =                ppp0 =
     |  aaa.bbb.ccc.ddd      fff.ggg.hhh.iii
     |
     |   /-----\                 /-----\
     |   |     |       //        |     |
     |---|  A  |------//---------|  B  |
     |   |     |     //          |     |
     |   \-----/                 \-----/
     |                      anche: 192.168.1.12
     -

Il router `A' sarà così configurato tramite lo script:

        #!/bin/sh
        PATH=/sbin:/usr/sbin
        mask=255.255.255.0
        remotegw=fff.ggg.hhh.iii
        #
        # configurazione Ethernet
        ifconfig eth0 192.168.1.1 netmask $mask up
        route add -net 192.168.1.0 netmask $mask eth0
        #
        # configurazione ppp0  (avvio del collegamento punto-a-punto,
        # configura il percorso di default)
        pppd
        route add default ppp0
        #
        # configurazione della periferica Tunnel
        ifconfig tunl0 192.168.1.1 up
        route add -host 192.168.1.12 gw $remotegw tunl0
        #
        # Proxy ARP per l'host remoto
        arp -s 192.168.1.12 xx:xx:xx:xx:xx:xx pub
        

Il calcolatore Linux `B' sarà configurato con:

        #!/bin/sh
        PATH=/sbin:/usr/sbin
        #
        # configurazione ppp0  (avvio del collegamento punto-a-punto,
        # configura il percorso di default)
        pppd
        route add default ppp0
        #
        # configurazione della periferica Tunnel
        ifconfig tunl0 192.168.1.12 up
        route add -net 192.168.1.0 netmask $mask gw $remotegw tunl0
        

Questo tipo di configurazione è tipico per le applicazioni di Mobile-IP. In questo caso un singolo calcolatore vuole spostarsi in Internet e mantenere un singolo indirizzo IP per tutto il tempo. Nella sezione su Mobile-IP ci sono ulteriori informazioni su come affrontare in pratica questo problema.

6.9 Mascheramento IP (IP Masquerade) per Linux-2.0

Molte persone si connettono a Internet attraverso un semplice accesso telefonico. Quasi tutti quelli che hanno questo tipo di configurazione hanno solo un indirizzo IP destinato a loro dall'Internet Provider. Questo è di solito sufficiente per collegare una sola macchina alla rete. Il mascheramento IP (IP masquerading) è un trucco intelligente che permette di avere molte macchine che usino un singolo indirizzo IP, facendo in modo che i calcolatori aggiuntivi sembrino (da cui il termine "mascheramento") quello che ha il collegamento telefonico. C'è però un piccolo problema, ed è che la funzione di mascheramento funziona quasi sempre in una sola direzione, per cui i calcolatori mascherati possono chiamare all'esterno ma non possono accettare connessioni dall'esterno. Questo vuol dire che alcuni servizi di rete (ad esempio talk) non funzionano mentre altri, tra cui ftp, devono essere configurati per operare in modo passivo (PASV) per poter essere usati. Per fortuna i servizi più comuni, come telnet, WWW e irc funzionano perfettamente.

Opzioni di compilazione del kernel:

        Code maturity level options  --->
            [*] Prompt for development and/or incomplete code/drivers
        Networking options  --->
            [*] Network firewalls
            ....
            [*] TCP/IP networking
            [*] IP: forwarding/gatewaying
            ....
            [*] IP: masquerading (EXPERIMENTAL)
        

Normalmente si avrà la propria macchina Linux collegata tramite una linea telefonica con slip o PPP, come se fosse un normale calcolatore isolato. Inoltre avrà un'altra periferica di rete attiva, probabilmente un'interfaccia ethernet, configurata usando uno degli indirizzi di rete riservati. I calcolatori da mascherare saranno su questa seconda rete. Ognuno di questi calcolatori userà l'indirizzo ethernet della macchina Linux configurato come proprio router.

Una tipica configurazione potrebbe apparire come la seguente:

-                                   -
 \                                  | 192.168.1.0
  \                                 |   /255.255.255.0
   \                 ---------      |
    |                | Linux | .1.1 |
NET =================| masq  |------|
    |    PPP/slip    | router|      |  --------
   /                 ---------      |--| host |
  /                                 |  |      |
 /                                  |  --------
-                                   -

I comandi più importanti per questa configurazione sono i seguenti:

        # Instradamento per la ethernet
        root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
        #
        # Instradamento di default per il resto della rete.
        root# route add default ppp0
        #
        # Facciamo in modo che tutte le macchine sulla rete 192.168.1/24
        # siano mascherate
        root# ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0 

Se siete minimalisti e non avete voglia di pigiare troppi tasti, come me, e la macchina mascherante ha due sole interfacce (per cui ogni pacchetto che vi transita dev'essere mascherato), il seguente comando sarà sufficiente:

        root# /sbin/ipfwadm -F -a accept -m
        

Si possono trovare ulteriori informazioni sulla funzionalità di mascheramento IP di Linux su pagina dell'IP Masquerade. Inoltre un ben dettagliato documento circa il mascheramento è `IP-Masquerade mini-HOWTO'. Fornisce anche istruzioni su come configurare altri sistemi operativi per utilizzare un server di mascheramento linux).

6.10 IP Transparent Proxy

Il "proxy trasparente" è una funzionalità che permette di ridirigere dei server o dei servizi destinati ad un'altra macchina verso server e servizi su questa stessa macchina. Di solito questo è utile quando si usa un calcolatore Linux come router che fa anche da server proxy. Si vuole in questo caso ridirigere tutte le connessioni dirette ad un dato servizio su macchine remote verso il server locale.

Opzioni di compilazione del kernel:

        Code maturity level options  --->
                [*] Prompt for development and/or incomplete code/drivers
        Networking options  --->
                [*] Network firewalls
                ....
                [*] TCP/IP networking
                ....
                [*] IP: firewalling
                ....
                [*] IP: transparent proxy support (EXPERIMENTAL)
        

La configurazione delle capacità di proxy trasparente si effettua usando il comando ipfwadm.

Un esempio che potrebbe rivelarsi utile è il seguente:

        root# ipfwadm -I -a accept -D 0/0 telnet -r 2323
        

Questo esempio fa sì che ogni tentativo di connettersi alla porta telnet (23) di qualunque host venga rediretto verso la porta 2323 di questo calcolatore. Se viene fatto girare un servizio su tale porta, risulta possibile fare il forward delle connessioni telnet, registrarle o fare qualsivoglia altra operazione che soddisfi le proprie necessità.

Un esempio più interessante consiste nel redirigere tutto il traffico http verso una cache locale. D'altra parte, il protocollo usato dai server proxy è diverso dall'http nativo: mentre un client che si connette a www.server.com:80 chiederà la pagine /path/page, un client che si connette al proxy locale contatta proxy.local.domain:8080 e richiede www.server.com/path/page.

Per filtrare una richiesta http attraverso il proxy locale, occorre adattare il protocollo, tramite l'inserimento di un piccolo server, chiamato transproxy (è possibile trovarlo sulla rete). Si può decidere di far andare transproxy sulla porta 8081 e usare il seguente comando:

        root# ipfwadm -I -a accept -D 0/0 80 -r 8081
        

Il programma transproxy quindi riceverà tutti i pacchetti che dovrebbero raggiungere server esterni alla rete locale e li passerà al proxy locale sistemando le differenze di protocollo.

6.11 IPv6

Proprio nel momento in cui si credeva di aver iniziato a capire come funzionano le reti IP, le regole sono cambiate! IPv6 è l'abbreviazione usata per riferirsi alla versione 6 del protocollo internet. IPv6 è stato sviluppato principalmente per risolvere i timori della comunità Internet riguardo alla prossima saturazione dello spazio di indirizzi IP. Gli indirizzi IPv6 sono lunghi 16 byte (128 bit). IPv6 incorpora un certo numero di altri cambiamenti, principalmente semplificazioni, che renderanno le reti IPv6 più gestibili di quelle IPv4.

Linux contiene un'implementazione funzionante, ma non completa, del protocollo IPv6 nella serie 2.1.* dei kernel.

Chi vuole sperimentare questa nuova generazione di tecnologia Internet, o ha bisogno di essa, dovrebbe leggere il documento IPv6-FAQ, diponibile presso www.terra.net.

6.12 IP mobile

L'espressione "Mobile-IP" descrive l'abilità di un calcolatore di muovere la propria connessione di rete da un punto di Internet ad un altro senza cambiare il proprio indirizzo IP e senza perdere la connettività. Di solito, quando un calcolatore IP cambia il suo punto di connessione deve anche cambiare indirizzo IP. La mobilità IP risolve questo problema allocando un indirizzo IP fisso per il calcolatore mobile e usando l'incapsulazione IP (il tunneling) con instradamento automatico, per assicurarsi che i pacchetti destinati a tale calcolatore siano instradati all'indirizzo IP che sta usando al momento.

C'è un progetto attivo al fine di fornire un insieme completo di strumenti per la mobilità IP sotto Linux. Lo stato attuale del progetto e gli strumenti sviluppati si possono trovare alla home page del Mobile-IP per Linux.

6.13 Multicast

Il multicast IP permette ad un numero arbitrario di host IP su reti IP diverse di avere instradati verso di loro simultaneamente i pacchetti IP. Questo meccanismo viene usato per distribuire su Internet materiale "broadcast", come le trasmissioni audio e video, o altre applicazioni innovative.

Opzioni di compilazione del kernel:

Networking options  --->
        [*] TCP/IP networking
        ....
        [*] IP: multicasting

È richiesto a tal fine un pacchetto di programmi e un minimo sforzo di configurazione. Si può fare riferimento a Multicast-HOWTO per maggiori informazioni sul supporto al multicast in Linux.

6.14 NAT - Network Address Translation

La funzionalità di traduzione degli indirizzi di rete è in qualche modo il fratello maggiore standardizzato del mascheramento IP di Linux. Si possono trovare i dettagli nel RFC-1631 in un qualunque archivio di RFC. Il NAT offre delle funzionalità non fornite dal mascheramento dei pacchetti; queste capacità aggiuntive lo rendono molto più adatto all'uso nei progetti di router che facciano da firewall per gruppi di aziende e per installazioni su larga scala.

Una implementazione di prova del NAT per Linux 2.0.29 è stata sviluppata da Michael Hasenstein, Michael.Hasenstein@informatik.tu-chemnitz.de. La documentazione e l'implementazione di Michael si possono recuperare dalla pagina web del `Linux IP Network Address'

I più recenti kernel 2.1.* includono parte della funzionalità NAT negli algoritmi di instradamento.

6.15 Il `Traffic Shaper' - Come cambiare l'ampiezza di banda assegnata

Il `traffic shaper' (limitatore di banda) è un driver per creare nuovi dispositivi di rete. Tali dispositivi sono caratterizzati da una limitazione del traffico consentito in base all'utente. Si basano sulle interfacce fisiche di rete per l'effettiva trasmissione e possono essere usati come percorsi di instradamento in uscita per il traffico di rete.

Il `traffic shaper' è stato introdotto a partire da Linux 2.1.15 e portato sul Linux-2.0.36 a partire dalla patch 2.0.36-pre-patch-2 distribuita da Alan Cox autore del driver e manutentore di Linux-2.0.

Il `traffic shaper' può essere compilato solo come modulo e viene configurato tramite il programma shapecfg con comandi simili ai seguenti:

        shapecfg attach shaper0 eth1
        shapecfg speed shaper0 64000
        

Tale dispositivo può controllare solo l'ampiezza di banda del traffico in uscita, dato che i pacchetti sono trasmessi attraverso lo `shaper' secondo le tabelle di instradamento. Dunque una funzionalità di "instradamento secondo l'indirizzo sorgente" potrebbe aiutare a limitare lo spreco di banda da parte di specifici host usando un router Linux.

Linux-2.1 supporta già tale tipo di instradamento, se è necessario su un Linux-2.0 si può utilizzare la patch di Mike McLagan, presso ftp.invlogic.com. Si può fare riferimento a Documentation/networking/shaper.txt per ulteriori informazioni sul `traffic shaper'.

Se si desidera provare un limitatore (sperimentale) per i pacchetti in entrata, c'è rshaper-1.01 (o una versione più recente), da ftp.systemy.it.

6.16 Instradamento (routing) in Linux-2.2

Le versioni più recenti di Linux-2.1 offrono un sacco di flessibilità nella gestione dell'instradamento. Sfortunatamente dovete aspettare la prossima versione di questo howto o andare a leggere i sorgenti del kernel.

6.17 ISDN

La "rete digitale di servizi integrati" (Integrated Services Digital Network - ISDN) consiste in una serie di standard che definiscono una rete di trasmissione dati a commutazione di circuito per uso generale. Una "chiamata" ISDN crea un servizio di trasmissione dati punto-a-punto sincrono verso la destinazione. La rete ISDN in genere passa su una connessione ad alta velocità che viene poi suddivisa in un numero di canali discreti (i "canali B"), che portano effettivamente i dati dell'utente, e un "canale D" che viene usato per mandare le informazioni di controllo ai commutatori ISDN, per effettuare le chiamate e altre funzioni. In Australia, per esempio, ISDN può viaggiare su una connessione a 2 megabit per secondo che viene suddiviza in 30 canali B discreti da 64 kilobit per secondo e un canale D sempre da 64 kilobit. Qualunque numero di canali può essere usato in ogni momento e in ogni combinazione. Si possono per esempio effettuare 30 chiamate a 30 destinazioni diverse, ciascuna di queste a 64 Kbit, oppure 15 chiamate a 15 destinazioni, ciascuna da 128 Kbit (due canali per chiamata), oppure si può fare un numero minore di chiamate e lasciare il resto delle linee inattive. Un canale può essere usato per chiamate entranti o uscenti. L'intenzione originale di ISDN era quella di permettere alle aziende di telecomunicazione di fornire un singolo servizio dati che potesse portare sia la comunicazione telefonica (tramite la digitalizzazione della voce) sia i servizi dati verso le case e gli uffici degli utenti senza richiedere speciali modifiche alla configurazione.

Ci sono diversi modi per connettere il proprio computer ad un servizio ISDN. Un modo è quello di usare una perifericha chiamata "Adattatore di Terminale", che si inserisce nell'"Unità di Terminazione di Rete" che viene installata dalla propria compagnia di telecomucazioni quando consegna il servizio ISDN. Tale Adattatore di Terminale offre in uscita svariate interfacce seriali. Una di queste interfacce viene usata per dare comandi al fine di effettuare le chiamate e la configurazione, mentre le altre sono connesse alle interfacce di rete che, una volta connesse, useranno i circuiti dati. In questa situazione Linux lavora senza alcun bisogno di modifiche, basta trattare la porta dell'adattatore di terminale come se fosse una qualsiasi interfaccia seriale. Un'alternativa, che è quella per cui il supporto ISDN di Linux è stato progettato, è installare una scheda ISDN nella propria macchina Linux e permettere al software di sistema di gestire i protocolli ed effettuare le chiamate.

Opzioni di compilazione del kernel:

        ISDN subsystem  --->
                <*> ISDN support
                [ ] Support synchronous PPP
                [ ] Support audio via ISDN
                < > ICN 2B and 4B support
                < > PCBIT-D support
                < > Teles/NICCY1016PC/Creatix support
        

L'implementazione Linux di ISDN supporta un certo numero di schede ISDN diverse. Queste sono quelle elencate nelle opzioni di configurazione del kernel:

• ICN 2B and 4B
• Octal PCBIT-D
• Schede ISDN Teles e compatibili

Alcune di queste schede richiedono, per funzionare, che venga loro scaricato del software aggiuntivo. C'è un programma separato che svolge questa funzione.

Maggiori dettagli su come configurare il supporto ISDN per Linux sono disponibili nella directory /usr/src/linux/Documentation/isdn/. Una FAQ (Frequently Asked Questions) dedicata a isdn4linux (ISDN per Linux) è disponibile presso www.lrz-muenchen.de. (Cliccando sulla bandiera inglese si ottiene la versione inglese).

Una nota su PPP. La suite di protocolli PPP funziona sia su linee seriali asincrone che sincrone. Il server PPP distribuito normalmente per Linux `pppd' funziona solo in modo asincrono. Se si vuole far girare i protocolli PPP sul proprio sevizio ISDN occorre una versione modificata a tal fine. I dettagli su dove trovare tale programma fanno parte della documentazione presentata qui sopra.

6.18 PLIP per Linux-2.0

I nomi delle periferiche PLIP sono `plip0', `plip1 e plip2.

Opzioni di compilazione del kernel:

        Networking options  --->
            <*> PLIP (parallel port) support
        

plip (Parallel Line IP), è come SLIP per il fatto che viene usato per avere una connessione di rete punto-a-punto tra due macchine, solo che è progettato per usare la porta parallela dei calcolatori invece della porta seriale (lo schema del cavo è incluso più avanti in questo stesso documento). Siccome è possibile trasmettere più di un bit per volta con la porta parallela, con plip si può ottenere una velocità di trasferimento dati più alta di quella che si ottiene con la porta seriale. Inoltre, anche le porte parallele più semplici possono essere usate, mentre per usare le porte seriali a velocità accettabili occorre comperare delle UART 16550AFN che sono relativamente più care. PLIP usa molto tempo macchina in confronto ad una connessione seriale e molto probabilmente non è una buona soluzione per chi può trovare delle schede ethernet economiche. PLIP ha però il grosso vantaggio di funzionare quando non si ha altro a disposizione, e di farlo abbastanza bene. Ci si può aspettare una velocità di trasferimento dati di 20 kB per secondo quando la connessione funziona a regime.

Il driver PLIP è in competizione con il driver per la stampante parallela per quanto riguarda l'accesso alla periferica fisica. Se si desidera utilizzare entrambi i driver bisogna compilarli sotto forma di modulo per poter scegliere quali interfacce parallele dedicare a PLIP e quali alla stampante. Si veda il Modules-HOWTO per avere ulteriori informazioni riguardo alla configurazione dei moduli.

Si noti che alcuni portatili usano delle porte che non funzionano con PLIP perché non permettono alcune combinazioni di segnali necessarie per il funzionamento di PLIP, ma che non vengono usate dalle stampanti.

L'interfaccia plip di Linux è compatibile con il packet-driver PLIP della Crynwyr, questo significa che si può connettere una macchina DOS ad una macchina Linux tramite plip, a patto che la macchina DOS abbia qualche tipo di software tcp/ip.

Nella serie 2.0 di kernel Linux le periferiche PLIP sono mappate sulle porte di I/O e sulle linee di interruzione in questo modo:

        dispositivo  indirizzo I/O    IRQ
        -----------  -------------    -----
           plip0         0x3BC          5
           plip1         0x378          7
           plip2         0x278          2
        

Se le porte parallele usate non corrispondono alle combinazioni qui sopra, si può cambiare il numero di interrupt associato ad una porta tramite il comando ifconfig usando il parametro `irq'. Bisogna assicurarsi di abilitare la generazione di interrupt sulla porta stampante dalla configurazione del BIOS se si vuole usare PLIP. Come alternativa, si possono specificare le opzioni `io=' e `irq=' sulla linea di comando di insmod, se si usano i moduli. Ad esempio:

        root# insmod plip.o io=0x288 irq=5
        

Il funzionamento di PLIP è controllato tramite due timeout, i cui valori di default probabilmente vanno bene nella maggior parte dei casi. Potrebbe essere necessario incrementare i valori nel caso si usi un elaboratore particolarmente lento, nel qual caso bisogna aumentare il valore di timeout dell'altro elaboratore. Esiste un programma, plipconfig, che permette di cambiare tali valori dei timer senza dover ricompilare il kernel; tale programma è presente in tutte le maggiori distribuzioni Linux.

Per configurare un interfaccia plip è necessario lanciare i seguenti comandi (o aggiungerli ai propri script di inizializzazione):

        root# /sbin/ifconfig plip1 plip_locale pointopoint plip_remoto
        root# /sbin/route add plip_remoto plip1
        

Nell'esempio viene usata la porta all'indirizzo di I/O 0x378; plip_locale e plip_remoto sono i nomi o gli indirizzi IP usati nella connessione PLIP. Personalmente uso metterli tra le voci del mio /etc/hosts:

        # nomi per plip
        192.168.3.1   plip_locale
        192.168.3.2   plip_remoto
        

Il parametro pointopoint ha lo stesso significato che in SLIP, specifica cioè l'indirizzo della macchina all'altro capo della connessione.

In quasi tutti i casi si può trattare un'interfaccia plip come fosse un'interfaccia SLIP, eccetto che né dip né slattach possono o debbono venir usati.

Ulteriori informazioni su PLIP si possono trovare in `PLIP mini-HOWTO'.

6.19 PLIP per Linux-2.2

Durante lo sviluppo delle versioni 2.1 del kernel, il supporto per la porta parallela è stato migliorato.

Opzioni di compilazione del kernel:

        General setup  --->
            [*] Parallel port support
        Network device support  --->
            <*> PLIP (parallel port) support
        

Il nuovo codice per PLIP si comporta come quello vecchio (usa gli stessi comandi ifconfig e route visti nella sezioni precedente) ma l'inizializzazione della periferica è diversa a causa del supporto per le porte parallele avanzate.

In modo simile a quanto accade per le schede Ethernet, il primo dispositivo PLIP riconosciuto dal kernel viene chiamato `plip0'. La porta parallela effettivamente utilizzata è una di quelle disponibili, come mostrato in /proc/parport. Ad esempio se sul proprio sistema è presente una sola porta parallela, ci sarà una sola sottodirectory: /proc/parport/0.

Nel caso il proprio kernel non riconosca da sé la linea di interrupt usata dalla porta, il comando `insmod plip' non andrà a buon fine. In questo caso sarà sufficiente scrivere il valore corretto in /proc/parport/0/irq e lanciare nuovamente insmod.

Informazioni esaurienti sulla gestione della porta parallela sono disponibili nel file Documentation/parport.txt nei sorgenti del kernel.

6.20 PPP

I nomi delle periferiche PPP sono `ppp0', `ppp1 eccetera. I dispositivi sono numerati sequenzialmente, ove il primo di essi riceve il numero `0'.

Opzioni di compilazione del kernel:

        Networking options  --->
            <*> PPP (point-to-point) support
        

La configurazione di PPP è coperta ad un buon livello di dettaglio nel documento PPP-HOWTO.

Gestire una connessione permanente ad internet con pppd.

Se si è abbastanza fortunati da avere una connessione semi-permanente con internet e si desidera che la propria macchina ristabilisca automaticamente la connessione PPP quando questa viene interrotta, ecco un semplice trucco per riuscirci.

Configurare PPP in modo che possa essere avviato dall'utente root tramite il seguente comando:

# pppd

Ci si assicuri di avere attivato l'opzione `-detach' nel proprio file /etc/ppp/options. Poi si inserisca la linea seguente nel proprio file /etc/inittab, in fondo, dove si trovano le definizioni per getty:

pd:23:respawn:/usr/sbin/pppd

Questa linea fa sì che il programma init faccia partire il programma pppd e lo controlli, facendolo ripartire automaticamente nel caso in cui termini.

6.21 SLIP client

Le periferiche SLIP sono chiamate `sl0', `sl1' eccetera, dove alla prima periferica viene assegnato lo `0', e alle altre i numeri successivi, nell'ordine in cui vengono configurate.

Opzioni di compilazione del kernel:

        Network device support  --->
            [*] Network device support
            <*> SLIP (serial line) support
            [ ]  CSLIP compressed headers
            [ ]  Keepalive and linefill
            [ ]  Six bit SLIP encapsulation
        

SLIP (Serial Line Internet Protocol) permette di usare tcp/ip su una linea seriale, sia si tratti di una linea telefonica con collegato un modem, o una linea dedicata di qualche altro tipo. Naturalmente, per usare SLIP occorre accedere ad uno SLIP-server nella propria area. Molte università e molte aziende in tutto il mondo offrono accesso tramite SLIP.

SLIP usa la porta seriale del calcolatore per trasportare pacchetti IP. Per fare questo deve prendere controllo dell'interfaccia seriale. Già sappiamo che le periferiche SLIP si chiamano sl0, sl1 eccetera, ma come corrispondono questi nomi a quelli delle porte seriali? Il codice di rete usa una chiamata ioctl (I/O control) per trasformare una porta seriale in una periferica SLIP. Ci sono due programmi che svolgono questo compito, chiamati dip e slattach.

dip

dip (Dialup IP) è un simpatico programma che può assegnare la velocità della porta seriale, dire al modem di chiamare l'altro estremo della connessione, autenticarsi nel server remoto e ascoltare i messaggi mandati dal server al fine di estrarre informazioni quale l'indirizzo IP. Il programma invoca poi le chiamate ioctl necessarie per trasformare l'interfaccia seriale in una porta SLIP. dip ha una potente funzionalità di "scripting", ed è questo che viene sfruttato per automatizzare la procedura di collegamento.

Si può trovare il programma su: sunsite.unc.edu.

Per installarlo, usare questi comandi:

        user% tar xvzf dip337o-uri.tgz
        user% cd dip-3.3.7o
        user% vi Makefile
        root# make install
        

Il Makefile assume l'esistenza di un gruppo chiamato uucp, ma questo può essere impostato a dip oppure a SLIP, in base alla propria configurazione.

slattach

slattach, a differenza di dip, è un programma molto semplice, facile da usare, ma non così sofisticato come dip. Non ha la capacità di "scripting", e tutto quello che fa è configurare la porta seriale come interfaccia SLIP. Il programma assume che si abbia tutta l'informazione necessaria, e che la comunicazione seriale sia già stata stabilita prima di invocare slattach. Questo programma è ideale da usare quando si ha una connessione permanente con il proprio server, come un cavo fisico o una linea dedicata.

Come scegliere se usare l'uno o l'altro?

Conviene usare dip quando il collegamento verso il server SLIP è un modem telefonico, o qualche altro tipo di collegamanto temporaneo. Conviene usare slattach quando si ha una linea dedicata, o un cavo fisico, tra la propria macchina e il server, perché in questi casi non occorre nessuna azione speciale per far funzionare il collegamento. Vedere la sezione "connessione SLIP permanente" per avere ulteriori informazioni.

La configurazione di SLIP è molto simile alla configurazione di una interfaccia ethernet (vedere la sezione `Configurazione di un interfaccia ethernet', più sopra). Nonostante ciò, ci sono alcune differenze chiave.

Prima di tutto, le connessioni SLIP sono diverse dalle reti ethernet, in quanto ci sono sempre solo due calcolatori sulla rete, uno ad ogni estremo della connessione. A differenza della ethernet che è disponibile all'uso non appena passati i cavi, con SLIP, a seconda del tipo di collegamento che si usa, può essere necessario inizializzare la propria connessione di rete in qualche modo speciale.

Se si usa dip, questo non verrà solitamente effettuato all'avvio della macchina, ma qualche tempo dopo, quando si è pronti ad usare la connessione ed è possibile automatizzare questa procedura. Se si usa slattach, probabilmente si vorrà aggiungere una sezione al proprio file rc.inet1. Questo verrà descritto tra poco.

Ci sono due tipi principali di server SLIP: quelli che forniscono un indirizzo IP dinamico, e quello che lo forniscono statico. Quasi tutti i server SLIP chiederanno il nome utente e la password quando viene stabilita la connessione. dip può gestire automaticamente l'autenticazione.

SLIP server statico con linea telefonica e DIP.

Un server SLIP statico è quello con il quale si riceve un indirizzo IP che è solo proprio. Ogni volta che ci si connette con il server, la porta viene configurata con lo stesso indirizzo. Il server statico risponderà alla chiamata del modem, probabilmente chiederà nome utente e password, e poi instraderà tutti i pacchetti destinati all'indirizzo corrispondente attraverso quella connessione. Se si ha un server statico, probabilmente si desidererà mettere in /etc/hosts le associazioni tra nome della macchina e indirizzo IP (che sarà noto). Si dovrebbero anche sistemare altri file, cioè: rc.inet2, host.conf, resolv.conf, /etc/HOSTNAME ed rc.local. Si ricordi che quando si configura rc.inet1 non occorre aggiungere alcun comando speciale per la connessione SLIP, poiché dip fa già tutto il lavoro impegnativo di configurare l'interfaccia. Occorrerà dare a dip le informazioni appropriate e lui configurerà l'interfaccia da solo dopo aver detto al modem di stabilire la chiamata e dopo aver autenticato il chiamante presso il server SLIP.

Se il server SLIP che si usa funziona così, allora si può passare direttamente alla sezione `Uso di Dip' per imparare come configurare il programma correttamente.

SLIP server dinamico con linea telefonica e DIP.

Un server SLIP dinamico è quello che assegna un indirizzo IP casualmente, da un insieme di indirizzi possibili, tutte le volte che ci si collega. Questo significa che non c'è alcuna garanzia che si avrà un particolare indirizzo ogni volta. Significa anche che lo stesso indirizzo può essere usato da qualcun altro dopo che si è terminata la connessione. L'amministratore di rete che ha configurato il server SLIP avrà ricevuto un gruppo di indirizzi da usare per il server: quando il server riceve una nuova chiamata sceglie il primo numero non utilizzato, guida l'utente nella procedura di autenticazione e poi stampa un messaggio di benvenuto che contiene l'indirizzo IP da usarsi per la durata della chiamata.

La configurazione per usare questo tipo di server è simile alla configurazione nel caso di un server statico, tranne per il fatto che occorre aggiungere un passo, durante il quale si ottiene l'indirizzo IP che il server ha scelto per questa sessione e si configura la periferica SLIP con quell'indirizzo.

Ancora una volta, dip si occupa dei dettagli laboriosi. Le nuove versioni sono abbastanza furbe da recuperare automaticamente l'indirizzo IP dal messaggio di benvenuto e salvarlo per configurare l'interfaccia SLIP, in aggiunta a gestire il processo di autenticazione.

Se il server SLIP che si usa funziona così, allora si può passare direttamente alla sezione `Uso di Dip' per imparare come configurare il programma correttamente.

Uso di DIP.

Come spiegato in precedenza, dip è un programma potente che può semplificare ed automatizzare il processo di chiamare il server SLIP, autenticarsi, iniziare la connessione e invocare i comandi ifconfig e route appropriati per la propria interfaccia.

Fondamentalmente, per usare dip bisogna scrivere uno "script", che è in pratica una lista di comandi comprensibili a dip che dicono al programma come eseguire ogni azione che si vuole esegua. Si veda il file sample.dip che viene distribuito con dip per avere un'idea di come funziona. dip è un programma abbastanza potente, con molte opzioni; piuttosto che descriverle tutte qui, si consiglia di guardare la pagina del manuale, il file README e gli esempi che fanno parte del pacchetto dip.

Si noterà che lo script sample.dip assume che si sta usando un server SLIP statico, cioè che si conosca il proprio indirizzo IP in anticipo. Per quando si usa un server dinamico, le versioni più recenti di dip includono un comando che si può usare per leggere automaticamente l'indirizzo che il server dinamico ha assegnato e configurare di conseguenza la periferica SLIP. L'esempio seguente è una versione modificata del file sample.dip che viene distribuito con dip337j-uri.tgz, ed è probabilmente un buon punto di partenza. Si può salvare questo script come /etc/dipscript e modificarlo per rispecchiare la propria configurazione.

#
# sample.dip    Programma di supporto alla connessione telefonica.
#
#       Questo file mostra (dovrebbe mostrare) come usare DIP
#       Questo file dovrebbe funzionare con server dinamici tipo "Annex".
#       Se si usa un server statico, usare il file "sample.dip" che
#       è distribuito con il pacchetto dip337-uri.tgz.
#
#
# Version:      @(#)sample.dip  1.40    07/20/93
#
# Author:       Fred N. van Kempen, <waltje@uWalt.NL.Mugnet.ORG>
#

main:
# Predisporre il nome e indirizzo dell'altro estremo.
# La mia macchina remota si chiama 'xs4all.hacktic.nl' (== 193.78.33.42)
get $remote xs4all.hacktic.nl
# Assegnare la netmask su sl0 a 255.255.255.0
netmask 255.255.255.0
# Assegnare la porta specificata e la velocità.
port cua02
speed 38400

# Reinizializza il modem e la linea del terminale
# Questo causa problemi ad alcune persone!
reset

# Nota: i valori di errore predefiniti sono:
#  0 - OK
#  1 - CONNECT
#  2 - ERROR
#
# Si possono cambiare cercando "addchat()" usando "grep" su *.c...

# Prepara la chiamata
send ATQ0V1E1X4\r
wait OK 2
if $errlvl != 0 goto modem_trouble
dial 555-1234567
if $errlvl != 1 goto modem_trouble

# Siamo connessi. Autentichiamoci.
login:
sleep 2
wait ogin: 20
if $errlvl != 0 goto login_trouble
send MYLOGIN\n
wait ord: 20
if $errlvl != 0 goto password_error
send MYPASSWD\n
loggedin:

# Adesso siamo autenticati.
wait SOMEPROMPT 30
if $errlvl != 0 goto prompt_error

# Ordiniamo al server di andare in modo SLIP
send SLIP\n
wait SLIP 30
if $errlvl != 0 goto prompt_error

# Recuperiamo l'indirizzo IP dal server
#   Si assume che dopo aver detto al server di passare in SLIP, questo
#   stampi il nostro indirizzo.
get $locip remote 30
if $errlvl != 0 goto prompt_error

# Assegnamo i parametri operativi SLIP
get $mtu 296
# Assicuriamoci di dare "route add -net default xs4all.hacktic.nl"
default

# Salutiamo e via!
done:
print CONNECTED $locip ---> $rmtip
mode CSLIP
goto exit

prompt_error:
print TIME-OUT waiting for sliplogin to fire up...
goto error

login_trouble:
print Trouble waiting for the Login: prompt...
goto error

password:error:
print Trouble waiting for the Password: prompt...
goto error

modem_trouble:
print Trouble occurred with the modem...
error:
print CONNECT FAILED to $remote
quit

exit:
exit

L'esempio precedente assume che si stia chiamando un server SLIP dinamico. Se si chiama un server statico, allora il file sample.dip del pacchetto dip337j-uri.tgz dovrebbe funzionare senza alcuna modifica.

Quando a dip viene passato il comando get $local, il programma cerca una stringa che assomigli ad un indirizzo IP all'interno del testo che arriva dall'altra estremità della connessione; cerca cioè delle stringhe di numeri separate dal carattere `.'. Questa modifica è stata inserita specificamente per i server SLIP dinamici, in modo da automatizzare il processo di lettura dell'indirizzo IP fornito dal server.

L'esempio precedente creerà automaticamente una regola di instradamento di default attraverso la connessione SLIP. Se questo non è quello che si desidera, per esempio perché si vuole avere un instradamento di default sulla propria ethernet, allora occorre rimuovere il comando default dallo script. Dopo che questo script ha terminato l'esecuzione, chi provasse ad invocare ifconfig vedrà che una periferica sl0 esiste nel sistema: si tratta della porta SLIP. Se occorre, si può modificare la configurazione di tale interfaccia manualmente, dopo che il comando dip ha terminato di girare, usando i comandi ifconfig e route.

Si noti che dip permette di scegliere un certo numero di protocolli usando il comando mode, il più comune esempio al proposito è cSLIP, per abilitare la compressione di SLIP. Si noti che entrambi gli estremi della connessione devono essere d'accordo, e bisogna assicurarsi che qualunque protocollo si scelga questo corrisponda con quello che viene attivato dal server.

L'esempio precedente è abbastanza robusto, e dovrebbe gestire correttamente la maggior parte degli errori. Si faccia riferimento alla pagina del manuale di dip per avere ulteriori informazioni. Si può, ovviamente, fare di più, come scrivere uno script che faccia cose come richiamare il server se non riesce a collegarsi entro un certo tempo limite, o provare una lista di server, se si ha accesso a più di uno di essi.

Connessione SLIP permanente con linea dedicata e slattach.

Se si possiede un cavo che collega due macchine, o se si è abbastanza fortunati da avere una linea dedicata o qualche altro tipo di connessione seriale permanente tra la propria macchina e un'altra, allora non occorre incontrare tutte le difficoltà relative all'uso di dip al fine di preparare la propria connessione. slattach è un programma molto semplice da usare che offre una funzionalità sufficiente a configurare la propria connessione.

Siccome la connessione sarà permanente, si vorranno aggiungere alcuni comandi al proprio file rc.inet1. In sintesi, tutto quello che bisogna fare per avere una connessione permanente è assicurarsi di configurare la periferica seriale alla velocità corretta, e far passare la seriale alla modalità SLIP. slattach permette di fare questo lavoro con un comando solo. Le seguenti linee vanno aggiunte al proprio file rc.inet1:

#
# Attiva una connessione SLIP statica su linea dedicata
#
#  configura /dev/cua0 per 19.2kbps e cslip
/sbin/slattach -p cslip -s 19200 /dev/cua0 &
/sbin/ifconfig sl0 IPA.IPA.IPA.IPA pointopoint IPR.IPR.IPR.IPR up
#
# Fine configurazione SLIP statico.

Dove:

IPA.IPA.IPA.IPA

rappresenta il proprio indirizzo IP.

IPR.IPR.IPR.IPR

rappresenta l'indirizzo IP del calcolatore remoto.

slattach alloca la prima periferica SLIP disponibile all'interfaccia seriale specificata. slattach parte da sl0, quindi il primo comando slattach connette la periferica SLIP sl0 alla porta seriale specificata. La seguente invocazione collegherà sl1, eccetera.

slattach permette di configurare uno tra diversi protocolli con l'argomento -p. In questo caso viene usato SLIP oppure cSLIP, a seconda se si voglia usare la compressione o no. Nota: i due capi della connessione devono essere d'accordo se usare o meno la compressione.

6.22 Server SLIP.

Se si possiede una macchina, magari connessa in rete, alla quale si vuole che altri si connettano telefonicamente per accedere ai propri servizi di rete, allora occorre configurare la propria macchina come un server. Se si vuole usare SLIP come protocollo seriale, ci sono attualmente tre possibilità per configurare la propria macchina come server SLIP. Personalmente preferirei la prima possibilità che sto per introdurre (sliplogin), in quanto sembra essere la più semplice da configurare e capire. Presenterò in ogni caso un'introduzione a ciascun metodo, in modo da permettere a tutti di fare la propria scelta.

Server SLIP usando sliplogin.

sliplogin è un programma che può essere usato al posto della normale shell di login per gli utenti SLIP che devono convertire il terminale seriale in una linea di comunicazione SLIP. Il programma permette di configurare la propria macchina Linux come un server di indirizzi statici (dove gli utenti ricevono lo stesso indirizzo IP tutte le volte che si connettono) oppure come un server di indirizzi dinamici (dove gli utenti ricevono un indirizzo che puoò non essere lo stesso della volta precedente).

Il chiamante si collegherà come si fa per il processo standard di login: fornendo il proprio nome e utente e la password; ma dopo aver autenticato l'utente, invece di una shell il sistema eseguirà sliplogin. Il programma cercherà poi nel suo file di configurazione (/etc/slip.hosts) una voce che corrisponda al nome di login dell'utente. Se tale voce viene trovata, la linea viene configurata ad 8 bit e la "disciplina di linea" viene convertita a quella di SLIP. Quando questo processo è completo, viene svolta l'ultima parte della configurazione, nella quale sliplogin invoca uno script di shell che configura l'interfaccia SLIP con i valori IP appropriati: indirizzo, maschera di rete e informazioni di instradamento. Lo script viene di solito chiamato /etc/slip.login, ma si possono creare script personalizzati per gli utenti che hanno bisogno di un'inizializzazione particolare, come si fa con getty. Questi script si chiameranno /etc/slip.login.loginname e verranno eseguiti al posto di quello di default per gli utenti con esigenze particolari.

Ci sono tre o quattro file che occorre configurare perché sliplogin funzioni; mostrerò ora come ottenere il software e come ciascuno di questi file viene configurato. I file coinvolti sono:

• /etc/passwd, per gli account degli utenti telefonici.
• /etc/slip.hosts, per fornire le informazioni specifiche a ciascun utente.
• /etc/slip.login, che gestisce la configurazione dell'instradamento per l'utente.
• /etc/slip.tty, necessario solo se il server viene configurato per l'allocazione dinamica degli indirizzi. Tale file contiene una tabella di indirizzi per l'allocazione.
• /etc/slip.logout, contiene i comandi per fare pulizia dopo che un utente ha messo giù o si è scollegato.

Dove ottenere sliplogin

È probabile che il pacchetto sliplogin sia già installato come parte della propria distribuzione, se questo non accade, sliplogin si può trovare su: sunsite.unc.edu. Il pacchetto contiene il sorgente, dei binari precompilati e la pagina del manuale.

Per assicurarsi che solo gli utenti autorizzati possano eseguire il programma sliplogin, bisognerebbe aggiungere una voce simile alla seguente nel proprio file /etc/group:

 ..
slip::13:radio,fred
 ..

Quando si installa il pacchetto sliplogin, il Makefile cambierà il gruppo del programma sliplogin in modo che sia slip. Questo significa che solo gli utenti che appartengono a tale gruppo saranno in grado di eseguire il programma. L'esempio precedente permetterebbe solo agli utenti radio e fred di eseguire sliplogin.

Per installare gli eseguibili nella directory /sbin e la pagina del manuale nella sezione 8, si fa così:

# cd /usr/src
# gzip -dc .../sliplogin-2.1.1.tar.gz | tar xvf -
# cd sliplogin-2.1.1
# <..si modifichi il Makefile se non si usano le shadow password..>
# make install

Se si vogliono ricompilare gli eseguibili prima di installare, si aggiunga un make clean prima del make install. Se si vogliono installare gli eseguibili in qualche altra directory, occorre modificare la regola install del Makefile.

Si legga il file README del pacchetto per ulteriori informazioni.

Configurazione di /etc/passwd per gli host Slip

Di solito si creano dei nomi utente speciali in /etc/passwd per gli utenti Slip. Una convenzione seguita comunemente consiste nell'usare il nome del calcolatore chiamante preceduta da una `s' maiuscola. Quindi, per esempio, se il calcolatore chiamante si chiama radio la voce in /etc/passwd sarà simile a questa:

Sradio:FvKurok73:1427:1:radio SLIP login:/tmp:/sbin/sliplogin

In effetti, non ha nessuna importanza come viene chiamato l'utente; basta che sia significativo per chi amministra il sistema.

Nota: il chiamante non ha bisogno di una directory home, in quanto non usufruirà di un interprete di comandi sulla macchina server, perciò /tmp è una buona scelta. Si noti anche che il programma sliplogin viene usato al posto della shell di login.

Configurazione di /etc/slip.hosts

Il file /etc/slip.hosts è quello che viene letto da sliplogin alla ricerca di voci corrispondenti al nome di login, al fine di ottenere i dettagli di configurazione per questo calcolatore chiamante. Questo è il file in cui si specificano l'indirizzo IP e la maschera di rete da assegnare al chiamante e che saranno configurati per questo uso. Due voci esemplificative per due calcolatori, uno con configurazione statica (radio) e uno con configurazione dinamica (albert) sono le seguenti:

#
Sradio   44.136.8.99   44.136.8.100  255.255.255.0  normal      -1
Salbert  44.136.8.99   DYNAMIC       255.255.255.0  compressed  60
#

Le voci in /etc/slip.hosts consistono dei seguenti campi:

1. il nome di login del chiamante.
2. l'indirizzo ip del server, cioè di questo calcolatore.
3. l'indirizzo IP da assegnare al chiamante. Se questo campo vale DYNAMIC, allora l'indirizzo sarà allocato in base alle informazioni contenute nel file /etc/slip.tty, presentato più avanti. Nota: occorre usare almeno la versione 1.3 di sliplogin perché l'assegnazione dinamica funzioni.
4. la maschera di rete per la macchina chiamante, in notazione decimale con punti. Per esempio, 255.255.255.0 per una classe C.
5. il modo SLIP, che permette di abilitare o disabilitare la compressione e altre caratteristiche. I valori possibili sono "normal" e "compressed".
6. Un parametro di timeout che specifica per quanto tempo la linea può rimanere inattiva (senza trasmissione di pacchetti) prima che venga automaticamente scollegata. Un valore negativo disabilita questa funzionalità.
7. argomenti opzionali.

Nota: per i campi 2 e 3 si possono usare sia i nomi degli host che gli indirizzi IP in notazione decimale. Se si usano i nomi, questi nomi devono essere risolubili, altrimenti lo script fallirà quando verrà invocato. Si può verificare se il nome viene risolto provando a fare telnet verso il nome: se si riceve il messaggio `Trying nnn.nnn.nnn...', allora il nome viene correttamente risolto; se si riceve il messaggio `Unknown host', il nome non viene risolto. Se il nome non viene risolto bisogna usare l'indirizzo in notazione decimale con punti oppure bisogna sistemare la configurazione del risolutore (si veda la sezione sulla risoluzione dei nomi).

I modi SLIP più comuni sono:

normal

per abilitare il normale modo SLIP non compresso.

compressed

per abilitare la compressione degli header con l'algoritmo di van Jacobsen (cSLIP).

Ovviamente, questi due modi sono mutuamente esclusivi: si può usare uno o l'altro. Per ulteriori informazioni sulle opzioni disponibili si vedano le pagine del manuale.

Configurazione del file /etc/slip.login.

Quando sliplogin ha trovato una voce corretta in /etc/slip.hosts, proverà ad eseguire il file /etc/slip.login per assegnare indirizzo e maschera di rete all'interfaccia SLIP.

Il file /etc/slip.login di esempio distribuito con il pacchetto sliplogin assomiglia al seguente:

#!/bin/sh -
#
#       @(#)slip.login  5.1 (Berkeley) 7/1/90
#
# file di login generico per una linea SLIP 
# sliplogin lo invoca con i seguenti parametri:
#     $1       $2       $3    $4, $5, $6 ...
#   SLIPunit velocità  pid   arcomenti da slip.hosts
#
/sbin/ifconfig $1 $5 pointopoint $6 mtu 1500 -trailers up
/sbin/route add $6
arp -s $6 <hw_addr> pub
exit 0
#

Si noterà che questo script usa i normali comandi ifconfig e route per configurare l'indirizzo dell'interfaccia, l'indirizzo remoto e la sua maschera di rete, e per creare un instradamento per il calcolatore remoto attraverso l'interfaccia SLIP. Questi compiti sono gli stessi che vanno svolti se si usa il comando slattach.

Si noti anche l'uso del Proxy ARP per assicurarsi che altri host sulla stessa ethernet del server siano in grado di raggiungere il calcolatore chiamante. Il campo <hw_addr> dovrebbe essere l'indirizzo hardware della scheda ethernet del server. Se il server non è su una rete ethernet questa linea può essere rimossa.

Configurazione del file /etc/slip.logout.

Quando cade la linea ci si vuole assicurare che la periferica seriale ritorni al suo stato normale, in modo che altri possano collegarsi correttamente. Questo compito viene svolto tramite il file /etc/slip.logout. Questo file ha un formato abbastanza semplice e viene chiamato con gli stessi argomenti di /etc/slip.login.

        #!/bin/sh -
        #
        #               slip.logout
        #
        /sbin/ifconfig $1 down
        arp -d $6
        exit 0
        #
        

Tutto quello che fa è disattivare l'interfaccia, il che causerà la rimozione delle informazioni di instradamento associate. Lo script usa anche il comando arp per rimuovere le informazioni di proxy arp. Ancora una volta, non occorre il comando arp nello script se il server non ha una porta ethernet.

Configurazione di /etc/slip.tty.

Se si usa l'allocazione dinamica degli indirizzi IP (se qualche host è configurato con la parola chiave DYNAMIC in /etc/slip.hosts), allora bisogna configurare il file /etc/slip.tty perché elenchi quali indirizzi sono assegnati alle porte. Questo file occorre solo se si vuole che il proprio server allochi dinamicamente gli indirizzi agli utenti.

Il file è una tabella che elenca le periferiche di tipo tty che supportano le connessioni SLIP entranti e gli indirizzi IP che devono essere assegnati agli utenti che si collegano su quelle porte.

Il suo formato è il seguente:

# slip.tty    mappatura terminale -> indirizzo IP per lo SLIP dinamico
# formato: /dev/tty?? xxx.xxx.xxx.xxx
#
/dev/ttyS0      192.168.0.100
/dev/ttyS1      192.168.0.101
#

Quello che questa tabella dice è che gli utenti che chiamano su /dev/ttyS0 e che hanno l'indirizzo assegnato a DYNAMIC in /etc/slip.hosts, devono ricevere l'indirizzo 192.168.0.100.

In questo modo occorre allocare solo un indirizzo per porta per tutti gli utenti che non hanno bisogno di un indirizzo dedicato. Questo aiuta a tenere al minimo il numero di indirizzi necessari, per evitare sprechi.

Server Slip che usa dip.

Lasciatemi dire fin dall'inizio che alcune delle informazioni seguenti vengono dalle pagine del manuale di dip, dove è spiegato brevemente come far girare Linux come server SLIP. Bisogna anche fare attenzione al fatto che le informazioni seguenti si basano sul pacchetto dip337o-uri.tgz, e probabilmente non si applicano ad altre versioni di dip.

dip offre un modo operativo "di input", nel quale trova automaticamente in /etc/diphosts la voce corrispondente all'utente che lo ha chiamato, e configura la porta seriale come connessione SLIP in base alle informazioni che trova nel file. Questo modo di inpupt viene attivato chiamando il programma dip come diplogin. Per usare dip come server SLIP, perciò, basta creare degli account che usino diplogin come shell.

La prima cosa da fare è creare un link simbolico come segue:

# ln -sf /usr/sbin/dip /usr/sbin/diplogin

Poi occorre aggiungere le voci ai file /etc/passwd ed /etc/diphosts. Le voci da creare sono fatte come segue.

Per configurare Linux come server SLIP con dip, occorre creare gli account SLIP per gli utenti, dove il comando dip è usato in modalità input come shell. Una convenzione suggerita è quella di usare una `S' maiuscola all'inizio dei nomi di account SLIP.

Una voce esemplificativa in /etc/passwd per un utente SLIP è la seguente:

Sfredm:ij/SMxiTlGVCo:1004:10:Fred:/tmp:/usr/sbin/diplogin
^^         ^^        ^^  ^^   ^^   ^^   ^^
|          |         |   |    |    |    \__ diplogin come shell
|          |         |   |    |    \_______ directory home
|          |         |   |    \____________ nome dell'utente
|          |         |   \_________________ group ID
|          |         \_____________________ user ID
|          \_______________________________ password crittata
\__________________________________________ nome utente slip

Dopo che l'utente si è collegato, il programma login, dopo aver autenticato l'utente, eseguirà il comando diplogin. dip, quando viene invocato con il nome di diplogin sa che deve assumere di essere usato come shell dell'utente. La prima cosa che fa quando viene invocato come diplogin è usare la funzione getuid() per sapere la UID dell'utente che l'ha invocato. Poi cerca in /etc/diphosts la prima voce che corrisponde o al nome della periferica che ha ricevuto la chiamata oppure al nome utente, e si configura di conseguenza. Si può creare un server che si comporti come server statico per alcuni utenti e come server dinamico per gli altri, creando una voce nel file diphosts per i primi e lasciando la configurazione di default per i secondi.

dip, quando chiamato in "modo input" aggiunge automaticamente una voce `Proxy-ARP', per cui non occorre preocuparsi di svolgere questo compito manualmente.

Configurazione di /etc/diphosts

/etc/diphosts viene usato da dip per recuperare le informazioni di configurazione per i calcolatori remoti. Tali calcolatori possono essere utenti che si collegano telefonicamente a questa macchina linux, oppure macchine che vengono chiamate da questa.

Il formato generale per /etc/diphosts è il seguente:

 ..
Suwalt::145.71.34.1:145.71.34.2:255.255.255.0:SLIP uwalt:CSLIP,1006
ttyS1::145.71.34.3:145.71.34.2:255.255.255.0:Dynamic ttyS1:CSLIP,296
 ..

I campi sono:

1. nome di login: come ritornato da getpwuid(getuid()), o il nome del terminale.
2. inutilizzato: compatibile con /etc/passwd
3. indirizzo remoto: indirizzo IP dell'host chiamante, numerico o nome
4. indirizzo locale: indirizzo IP di questa macchina, numerico o nome
5. Netmask: in notazione decimale con punti
6. Commento: si scriva quello che si vuole
7. protocollo: Slip, CSlip eccetera
8. MTU: numero decimale

Un esempio di voce di /etc/net/diphosts relativa ad un utente SLIP remoto potrebbe essere:

Sfredm::145.71.34.1:145.71.34.2:255.255.255.0:SLIP uwalt:SLIP,296

che specifica una connessione SLIP con un indirizzo remoto di 145.71.34.1 e una MTU di 296. Oppure:

Sfredm::145.71.34.1:145.71.34.2:255.255.255.0:SLIP uwalt:CSLIP,1006

specifica una connessione SLIP con un indirizzo remoto di 145.71.34.1 e una MTU di 1006.

Perciò, tutti gli utenti ai quali si vuole dare un indirizzo IP statico avranno una voce corrispondente in /etc/diphosts, mentre chi deve ricevere un indirizzo dinamico associato alla porta che viene chiamata deve avere una voce associata alla periferica invece che al suo nome. Bisogna ricordarsi di creare almeno una voce per ciascuna periferica tty alla quale gli utenti possono connettersi telefonicamente, per assicurarsi che sia sempre disponibile una configurazione appropriata indipendentemente da quale modem riceva la chiamata.

Quando un utente si collegherà, riceverà una normale richiesta di login e password, alla quale risponderà con il proprio nome utente e la propria password. Se questi saranno corretti non si vedranno altri messaggi e sarà sufficiente che ai due capi della connessione si passi in modo SLIP per avere una connessione funzionante configurata con i parametri del file diphosts.

Server SLIP che usa il pacchetto dSLIP.

Matt Dillon <dillon@apollo.west.oic.com> ha scritto un pacchetto che non solo permette le connessioni SLIP entranti, ma anche quelle uscenti. Il pacchetto di Matt è una combinazione di piccoli programmi e di script che gestiscono le connessioni. Occorre avere tcsh installata, perché almeno uno degli script usa questa shell. Matt fornisce nel pacchetto una copia binaria dell'utility expect, perché anch'essa è richiesta da uno degli script. Probabilmente occorrerà un po' di esperienza con expect per far funzionare il pacchetto a proprio piacimento, ma non conviene lasciarsi intimidire da ciò.

Matt ha scritto un buon insieme di istruzioni di installazione nel file README, perciò non le ripeterò qui.

Il pacchetto dSLIP si può ottenere dal suo sito ftp:

apollo.west.oic.com

/pub/linux/dillon_src/dSLIP203.tgz

oppure da:

sunsite.unc.edu

/pub/Linux/system/Network/serial/dSLIP203.tgz

L'unica attenzione da porre è che occorre leggere il file README e creare le voci in /etc/passwd ed /etc/group prima di fare make install.