GNU/Linux >> Linux Esercitazione >  >> Panels >> Webmin

Server PPP Dialin

Questa pagina illustra il processo di configurazione di un sistema Linux con un modem collegato come server di accesso esterno utilizzando il protocollo punto a punto (PPP), in modo che altri computer possano collegarsi e accedere alle reti connesse.

Contenuti

Introduzione al PPP su Linux

Qualsiasi sistema Linux con un modem collegato può essere configurato in modo che altri computer possano collegarsi ad esso e avviare una sessione PPP, dando loro accesso TCP/IP al sistema ea tutte le reti a cui è connesso. Ciò gli consente di agire come un ISP in miniatura, e in effetti alcuni piccoli ISP sono stati eseguiti utilizzando sistemi Linux con più schede di porte seriali come server di accesso.

Due programmi separati sono responsabili di diverse parti del servizio di chiamata in ingresso. Il primo è mgetty , che comunica su una porta seriale con un modem collegato e gli indica di rispondere al telefono. Una volta che il server ei modem client sono collegati, mgetty visualizza una richiesta di accesso testuale e attende un nome utente o l'inizio di una sessione PPP. Un client può accedere in modalità testo e ottenere un prompt della shell Unix senza dover avviare una sessione PPP, ma questo è raramente fatto in questi giorni. Una volta che il client si è disconnesso o si è disconnesso, mgetty riattacca il modem e attende una nuova connessione.

Per installare mgetty puoi utilizzare il modulo Pacchetti software.

Poiché la maggior parte dei client avvia una sessione PPP non appena si connette, mgetty di solito è configurato per eseguire pppd separato programma se rileva una connessione PPP. Questo crea un'interfaccia di rete ppp sul server, autentica il client, assegna un indirizzo IP e inizia a inviare e ricevere dati utilizzando il protocollo PPP. L'indirizzo IP assegnato e altre opzioni di configurazione vengono impostate in base alla porta seriale, in modo da poter disporre di più modem e supportare diversi client simultanei con indirizzi diversi.

Il modulo PPP Dialin Server consente di configurare sia mgetty che pppd in modo che i clienti possano collegarsi e avviare sessioni PPP. Quando lo inserisci dalla categoria Networking, la pagina principale mostra semplicemente quattro icone, sotto le quali ci sono le effettive opzioni configurabili.

Attualmente, il modulo PPP Dialin Server può essere utilizzato solo su sistemi Linux e Solaris, anche se mgetty è disponibile su alcune altre versioni di Unix. Se nessuno dei programmi che configura è installato, la pagina principale visualizzerà un messaggio di errore, tuttavia, tutte le distribuzioni Linux includono pacchetti per pppd e mgetty sui loro CD o siti web. Se è installato solo mgetty, puoi utilizzare la Configurazione porta seriale e Accesso all'ID chiamante caratteristiche. Al contrario, se è installato solo pppd, puoi accedere solo alle Opzioni PPP e Account PPP pagine.

Quando si utilizza il modulo per impostare mgetty per rispondere alle chiamate su una porta seriale, viene aggiunta una voce a /etc/inittab file in modo che init esegua il processo mgetty all'avvio e lo riesegui se necessario. Sarai in grado di vedere questa voce nel modulo SysV Init Configuration ma non dovresti modificarla lì a meno che tu non sappia cosa stai facendo.

Anche se questo capitolo è stato scritto pensando a Linux, il modulo si comporta in modo quasi identico su Solaris. L'unica differenza sono i nomi dei file del dispositivo della porta seriale, mentre /dev/ttyS0 è la prima porta seriale su Linux, Solaris userebbe /dev/term/a invece.

Configurazione di un server PPP

Schermata principale del server PPP Dialin

Prima di poter configurare un sistema per consentire ai client di connettersi con PPP, deve avere un modem collegato a una porta seriale o essere collegato tramite un cavo null-modem a un'altra macchina. Possono essere utilizzati anche modem interni che emulano una porta seriale, anche se non sono consigliati in quanto non hanno LED facilmente visibili per indicare se il modem è connesso, trasmette e così via. I modem USB dovrebbero funzionare, purché siano riconosciuti dal kernel, tuttavia, probabilmente utilizzeranno un file di dispositivo speciale. I modem che richiedono driver speciali per funzionare (comunemente noti come Winmodem) non possono essere utilizzati affatto, a meno che non sia disponibile un driver per il modem su Linux.

Naturalmente, qualsiasi modem deve essere collegato a una linea telefonica. Poiché il sistema sarà configurato per rispondere al telefono dopo alcuni squilli, la linea telefonica non dovrebbe essere utilizzata per nient'altro, altrimenti, i chiamanti vocali riceveranno risposta alle chiamate dal modem, che non è molto amichevole.

Configurazione porta seriale

Una volta che tutto l'hardware è pronto, i passaggi per configurare il sistema come server PPP sono:

  1. Nella pagina principale del modulo, fare clic su Configurazione porta seriale icona. Questo ti porterà a una pagina che elenca tutte le porte esistenti che sono state configurate per PPP o segreteria telefonica.
  2. Fai clic su Aggiungi una nuova porta seriale link, che farà apparire il modulo di configurazione della porta mostrato nella prima schermata qui sotto.
  3. Imposta il Dispositivo seriale alla porta su cui è collegato il modem o il cavo null-modem. Porta seriale 1 corrisponde al file del dispositivo /dev/ttyS0 e così via. Per i modem su dispositivi seriali che non iniziano con /dev/ttyS (come i modem USB), seleziona Altro dispositivo opzione e inserisci il percorso completo del file del dispositivo nel campo di testo accanto al menu.
  4. Imposta il Tipo opzione per Connessione diretta (per un sistema connesso tramite cavo null-modem) o Modem (per un vero modem con accesso esterno).
  5. Il Porto Il campo della velocità deve essere impostato sulla velocità in baud utilizzata dal modem o dalla connessione null-modem. Deve essere una delle velocità standard, ad esempio 57600 o 33600.
  6. Nella Risposta dopo il campo, inserisci il numero di squilli che vuoi che mgetty attenda prima di rispondere al telefono. Se la linea telefonica su cui è acceso il modem verrà utilizzata anche per ricevere chiamate vocali, è possibile impostarla su qualcosa di grande come 20 per avere tutto il tempo per rispondere al telefono prima che lo faccia il modem. Naturalmente, questa opzione non ha significato per le connessioni null-modem.
  7. Fai clic su Crea pulsante. Verrà aggiunta una nuova voce al file /etc/inittab e verrai riportato all'elenco delle porte seriali.
  8. Fai clic su Applica configurazione per attivare mgetty sulla nuova porta. Le telefonate sulla linea su cui si trova il modem dovrebbero ora ricevere risposta dopo il numero di squilli configurato. Se ti interessano solo i client di solo testo, non è necessario fare altro:saranno in grado di connettersi, autenticarsi al prompt di accesso ed eseguire comandi della shell.
Opzioni PPP
  1. Per impostare PPP, fai clic su Opzioni PPP icona nella pagina principale. Questo ti porterà al modulo mostrato nella seconda immagine qui sotto, dove puoi impostare le opzioni che si applicheranno a tutte le connessioni PPP.
  2. A meno che non si desideri che i client accedano in modalità testo e avviino il comando pppd manualmente, è meglio impostare l'opzione *Rileva automaticamente le connessioni PPP sulle porte seriali?* su . Con questa opzione abilitata, mgetty rileverà che il client vuole avviare una sessione PPP quando il server è in attesa di una richiesta di accesso ed eseguirà automaticamente pppd.
  3. Nell'Indirizzo IP PPP campi, inserisci l'indirizzo IP che desideri venga utilizzato dall'estremità della connessione del server (l'*IP locale*) e l'indirizzo dell'estremità della connessione del client (l'IP remoto ). Normalmente questi indirizzi non saranno sulla tua LAN locale, ma su una sottorete diversa. Gli altri sistemi sulla rete devono essere configurati per instradare il traffico per l'indirizzo del client al sistema, in modo che possano comunicare. Se non vengono specificati indirizzi, il server PPP utilizzerà tutti gli indirizzi forniti dal client. Questo potrebbe avere senso quando si collegano due macchine tramite modem null, ma non funzionerà con la maggior parte dei client dialup. E' possibile assegnare al client un indirizzo IP che rientri nel range della LAN locale, attivando la voce Creare proxy ARP entry? opzione. Se è abilitato, inserisci un indirizzo IP LAN non utilizzato in IP remoto campo e l'attuale IP Ethernet del sistema nell'IP locale campo.
  4. Imposta la Modalità linee di controllo campo su Locale per una connessione null-modem o Modem se c'è un vero modem collegato alla porta seriale.
  5. A meno che tu non stia configurando una connessione null-modem, i client dovrebbero essere obbligati ad autenticarsi per impedire la connessione di potenziali aggressori. Per attivare l'autenticazione, imposta il campo *Richiedi autenticazione?* su . Per disattivarlo completamente per l'uso null-modem, imposta il campo su No . Per impostare nomi utente e password per i client per l'autenticazione, vedere la sezione *Gestione degli account PPP* di seguito.
  6. Per disconnettere i client che sono rimasti inattivi per un lungo periodo, inserisci un numero di secondi nel Tempo di inattività prima della disconnessione campo.
  7. Inserisci gli indirizzi IP di tutti i server DNS sulla tua rete nei server DNS per client campo. I sistemi operativi client come Windows li utilizzeranno automaticamente, il che semplifica la loro configurazione.
  8. Infine, fai clic su Salva pulsante. I clienti dovrebbero ora essere in grado di collegarsi, stabilire una sessione PPP e accedere al tuo sistema e alla tua rete!
Accesso all'ID chiamante

Se il tuo sistema avrà più client PPP simultanei collegati, dovrai impostare opzioni diverse per ciascuna porta seriale. In particolare, ogni client deve avere un indirizzo IP remoto diverso, sebbene l'indirizzo locale possa essere riutilizzato.

Per impostare diverse opzioni PPP per ciascuna porta seriale, i passaggi da seguire sono:

  1. Nella pagina principale del modulo, fai clic su Opzioni PPP icona. Modifica gli indirizzi IP PPP campo torna a Dal cliente e ripristinare le impostazioni predefinite di tutte le altre opzioni che si desidera impostare in base alla porta.
  2. Torna alla pagina principale, fai clic su Configurazione porta seriale e poi su Modifica collegamento in Configurazione PPP porta per la porta seriale per la quale si desidera impostare le opzioni. Questo ti porterà alla pagina delle opzioni per porta, che è molto simile al modulo delle opzioni PPP globali mostrato nella Figura 18-2.
  3. Immettere gli indirizzi IP remoti e locali a cui si desidera assegnare i client PPP che si connettono su questa porta e modificare tutte le altre opzioni che non sono state impostate nella pagina delle opzioni PPP globali.
  4. Al termine, fai clic su Salva pulsante. I client che si connettono sulla porta configurata utilizzeranno le nuove opzioni d'ora in poi.

Il modo più semplice per impedire al tuo sistema di fungere da server PPP è semplicemente rimuovere la voce di configurazione della porta seriale per il tuo modem. Se hai più modem collegati, i passaggi seguenti possono essere utilizzati per disabilitarne uno senza alcun effetto sugli altri:

  1. Nella pagina principale, fare clic su Configurazione porta seriale e poi sul nome del dispositivo della porta con il modem collegato.
  2. Nella pagina delle opzioni della porta, fai clic su Elimina pulsante nell'angolo inferiore destro. La voce appropriata verrà rimossa dal file /etc/inittab e verrai riportato all'elenco delle porte abilitate.
  3. Fai clic su Applica configurazione pulsante per rendere attiva la modifica. D'ora in poi, il tuo sistema non risponderà più alle telefonate in arrivo né comunicherà con un altro computer collegato tramite un cavo null-modem.

Gestione degli account PPP

Se abiliti l'accesso dial-in al tuo sistema, dovresti forzare tutti i client ad autenticarsi attivando l'opzione "Richiedi autenticazione?" opzione nelle Opzioni PPP pagina. Anche se pensi che il tuo server non abbia bisogno di autenticare i client perché solo tu conosci il numero di telefono della linea su cui si trova il tuo modem, è comunque una buona idea abilitarlo nel caso qualcuno si imbattesse nel numero per caso - o in caso un "compositore di guerra" che prova centinaia di numeri di telefono alla ricerca di server non sicuri lo trova. Una volta abilitata l'autenticazione, puoi aggiungere un nuovo account a cui è consentito accedere seguendo questi passaggi:

  1. Nella pagina principale del modulo, fare clic su Account PPP icona. Questo ti porterà a una pagina che elenca tutti gli account esistenti, inclusi quelli che sono stati creati per effettuare chiamate in uscita ad altri server.
  2. Segui la procedura Crea un nuovo account PPP link, che ti porterà al modulo di creazione dell'account mostrato di seguito.
  3. Inserisci un nome di accesso nel Nome utente campo e assicurati che sia Qualsiasi l'opzione non è selezionata.
  4. Assicurati che il Server il campo è impostato su Qualsiasi . Se lo imposti su qualcos'altro, il nome utente verrà accettato solo quando il nome host del client corrisponde a quello che inserisci.
  5. Seleziona Imposta su opzione nel campo Password * , *e inserisci una password per l'account nel campo di testo accanto. È anche possibile fare in modo che il server PPP legga la password da un file separato, selezionando Da file opzione e inserendo un nome file nel relativo campo di testo. Oppure puoi eliminare la necessità di fornire una password selezionando Nessuna - tuttavia, questa non è una buona idea dal punto di vista della sicurezza.
  6. Supponendo che a tutti i client venga assegnato un indirizzo IP, impostare gli Indirizzi validi campo per Consenti qualsiasi . Tuttavia, se nessun indirizzo è specificato nella pagina Opzioni PPP, potresti voler selezionare Consenti elencato e inserire indirizzi accettabili nella casella di testo sottostante.
  7. Infine, fai clic su Salva pulsante e verrà creato il nuovo account PPP. Può essere utilizzato immediatamente collegando i client.
Creazione di un nuovo account PPP

Per modificare un account PPP esistente, fai semplicemente clic sul suo nome utente dall'elenco degli account. Questo sarai tu al modulo di modifica dell'account, che è quasi identico al modulo di creazione mostrato nell'immagine sopra. Modifica il nome utente, la password o qualsiasi altra opzione e fai clic su Salva pulsante per salvare le modifiche e renderle immediatamente attive. Oppure fai clic su Elimina pulsante sul modulo di modifica per rimuovere invece l'account.

Per impostazione predefinita, Webmin aggiungerà nuovi utenti al file /etc/ppp/pap-secrets. Questo viene letto solo dal server PPP quando si esegue l'autenticazione PAP, che viene utilizzata per impostazione predefinita. Se hai configurato manualmente il tuo sistema per autenticare i client utilizzando invece il protocollo CHAP più sicuro, dovrai configurare Webmin per modificare invece il file chap-secrets. Questo può essere fatto facendo clic su Module Config link nell'angolo in alto a sinistra della pagina principale e modificando il file PAP secrets campo in /etc/ppp/chap-secrets.

Limitazione dell'accesso tramite ID chiamante

Se la tua linea telefonica ha l'ID chiamante abilitato e il tuo modem lo supporta, mgetty può essere configurato per bloccare determinati chiamanti in base ai loro numeri di telefono. Per impostazione predefinita, qualsiasi chiamante potrà connettersi, ma puoi modificarlo in modo che siano consentiti solo pochi numeri seguendo questi passaggi:

  1. Nella pagina principale del modulo, fare clic su Accesso all'ID chiamante icona. Questo ti porterà a un modulo che elenca i numeri con restrizioni, che probabilmente sarà vuoto se non ne hai ancora aggiunto nessuno.
  2. Fai clic su Aggiungi un nuovo numero ID chiamante link, che ti porterà a un modulo per l'inserimento del nuovo numero.
  3. Imposta il Numero di telefono opzione su Numeri che iniziano con e inserisci un numero di telefono parziale o completo che desideri consentire nel campo accanto. Se inserisci qualcosa come solo 555 , qualsiasi chiamante il cui numero di telefono inizia con 555 (come 555-1234 ) sarà consentito.
  4. Imposta l'Azione campo per Consenti .
  5. Fai clic su Crea pulsante, che salverà il numero e ti riporterà all'elenco di quelli consentiti e negati.
  6. Per aggiungere un altro numero consentito, ripeti i passaggi da 2 a 5.
  7. Infine, fai clic su Aggiungi un nuovo numero ID chiamante di nuovo e nel modulo di creazione impostare Numero di telefono a Tutti i numeri e l'Azione per Negare .
  8. Fai clic su Crea pulsante per aggiungere questa voce di rifiuto finale all'elenco. D'ora in poi, potranno connettersi solo i numeri di telefono che hai esplicitamente consentito.

Poiché il sistema controlla ogni voce nell'elenco in ordine e si interrompe quando ne trova una corrispondente, qualsiasi voce che nega (o consente) a tutti i chiamanti deve apparire in fondo all'elenco, altrimenti quelle successive non verranno mai elaborate. Se desideri consentire un nuovo numero di telefono in futuro, dopo averlo aggiunto le frecce nella sezione Sposta la colonna deve essere utilizzata per spostarla sopra la voce finale che nega tutti.

Poiché alcuni client potrebbero non fornire informazioni sull'ID chiamante, i Numeri sconosciuti l'opzione per il campo P*one numero* può essere utilizzata per abbinare le loro chiamate. Tuttavia, consentire a tutti i chiamanti sconosciuti non è un buon modo per bloccare gli aggressori noti, poiché potrebbero semplicemente disabilitare l'invio di informazioni sull'ID chiamante sulla propria linea telefonica.

Le restrizioni sull'ID chiamante non dovrebbero mai essere l'unica forma di sicurezza sul tuo server di accesso remoto, poiché i numeri dei chiamanti sono forniti dalla compagnia telefonica e quindi non sono totalmente sotto il tuo controllo. Anche l'autenticazione PPP dovrebbe essere abilitata, in modo che tutti i client siano obbligati ad accedere.

Controllo dell'accesso al modulo

Come altri, questo modulo ha diverse opzioni che puoi impostare nel modulo Utenti Webmin per controllare quali delle sue funzionalità un utente può utilizzare. Sono molto utili per disabilitare parti del modulo che non sono utili su un particolare sistema - ad esempio, potresti volere che la pagina Account PPP sia visibile solo per un determinato utente.

Per modificare le opzioni di controllo dell'accesso in questo modulo per un utente o un gruppo, i passaggi da seguire sono:

  1. Nel modulo Utenti Webmin, fare clic su PPP Dialin Server accanto al nome di un utente a cui è stato concesso l'accesso al modulo.
  2. Per le Pagine disponibili campo, deseleziona quelle icone nella pagina principale del modulo a cui non vuoi che l'utente possa accedere. Se Opzioni PPP è deselezionato, non sarà nemmeno in grado di modificare le opzioni che si applicano a una singola porta seriale.
  3. Se all'utente viene concesso l'accesso a una sola pagina, impostare Vai direttamente a una pagina? campo su farà sì che il browser salti direttamente a quella pagina quando si accede al modulo. Questo è utile per saltare la pagina principale del modulo quando conterrà solo una singola icona.
  4. Fai clic su Salva pulsante per rendere attive le impostazioni di controllo accessi.

Webmin
  1. Server database PostgreSQL

  2. Server ProFTPD

  3. Server proxy calamari

  4. Server WU-FTPD

  5. Riavvia un server

Server LDAP

Server database MySQL

Server OpenSLP

Server di posta Postfix

Server SSH

Client dialup PPP