
Linux - podrêcznik administratora sieci

Olaf Kirch, Terry Dawson

Tytu³ orygina³u: Linux Network Administrator’s Guide, Second Edition
T³umaczenie: Krzysztof £abanowski


 Wydawnictwo RM, Warszawa 2000
Authorized translation of the English edition 2000 O’Reilly and Associates, Inc. This translation is published and sold by permission of O’Reilly and Associates, Inc., the owner of all rights to publish and sell the same.

Wydawnictwo RM, 00-987 Warszawa 4, skr. poczt. 144
rm@rm.com.pl
www.rm.com.pl

Zezwala siê na kopiowanie, drukowanie, rozpowszechnianie i modyfikowanie dokumentu elektronicznego na warunkach licencji GNU Free Documenation License w wersji 1.1 lub jakiejkolwiek nowszej wersji opublikowanej przez Free Software Foundation. 33, 1034 Tre¶æ licencji znajduje siê w dodatku C na koñcu ksi±¿ki. 
Wszystkie nazwy handlowe i towarów wystêpuj±ce w niniejszej publikacji s± znakami towarowymi zastrze¿onymi lub nazwami zastrze¿onymi odpowiednich firm odno¶nych w³a¶cicieli.
Nazwy i adresy firm, nazwiska i adresy osób, nazwy towarów i inne dane wykorzystane w przyk³adach s± fikcyjne i jakakolwiek zbie¿no¶æ z rzeczywisto¶ci± jest wy³±cznie przypadkowa.
Wydawnictwo RM do³o¿y³o wszelkich starañ, aby zapewniæ najwy¿sz± jako¶æ tej ksi±¿ce. Jednak¿e nikomu nie udziela ¿adnej rêkojmi ani gwarancji. Wydawnictwo RM nie jest w ¿adnym przypadku odpowiedzialne za jak±kolwiek szkodê (³±cznie ze szkodami z tytu³u utraty zysków zwi±zanych z prowadzeniem przedsiêbiorstwa, przerw w dzia³alno¶ci przedsiêbiorstwa lub utraty informacji gospodarczej) bêd±c± nastêpstwem korzystania z informacji zawartych w niniejszej publikacji nawet, je¶li Wydawnictwo RM zosta³o zawiadomione o mo¿liwo¶ci wyst±pienia szkód. 

ISBN   83-7243-116-7

Redaktor prowadz±cy: Danuta Cyrul
Redakcja: Irmina Pêgierska
Korekta: Miros³awa Szymañska
Opracowanie graficzne ok³adki wed³ug orygina³u: Gra¿yna Jêdrzejec
Redaktor techniczny: Beata Donner-Soska
Sk³ad: Marcin Fabijañski
Druk i oprawa:  Oficyna Wydawnicza READ ME - Drukarnia w £odzi

Wydanie I
10 9 8 7 6 5 4 3 2 1

Spis tre¶ci
Spis tre¶ci
Wstêp	XI
Po co i dla kogo jest ta ksi±¿ka	XII
¬ród³a informacji	XIII
Standardy systemów plików	XVIII
Standardowa podstawa Linuksa	XVIII
O tej ksi±¿ce	XIX
Oficjalna wersja drukowania	XX
Przegl±d tre¶ci	XXII
Konwencje zastosowane w tej ksi±¿ce	XXIII
Zg³aszanie uwag	XXIV
Podziêkowania	XXV
Rozdzia³ 1:?Wprowadzenie do sieci	1
Historia	1
Sieci TCP/IP	2
Sieci UUCP	12
Sieæ w Linuksie	13
Utrzymywanie systemu	15
Rozdzia³ 2:?Wybrane problemy sieci TCP/IP	19
Interfejsy sieciowe	19
Adresy IP	20
Rozwi±zywanie adresów	22
Ruting IP	23
Internetowy protokó³ komunikatów kontrolnych (ICMP)	28
Rozwi±zywanie nazwy hosta	29
Rozdzia³ 3:?Konfigurowanie sprzêtu sieciowego	31
Konfigurowanie j±dra	34
Wycieczka po urz±dzeniach sieciowych Linuksa	40
Instalowanie Ethernetu	41
Sterownik PLIP	44
Sterowniki PPP i SLIP	46
Inne typy sieci	46
Rozdzia³ 4:?Konfigurowanie urz±dzeñ szeregowych	47
Oprogramowanie komunikacyjne do po³±czeñ modemowych	47
Wprowadzenie do urz±dzeñ szeregowych	48
Dostêp do urz±dzeñ szeregowych	49
Urz±dzenia szeregowe	52
U¿ywanie narzêdzi konfiguracyjnych	53
Urz±dzenia szeregowe i monit login:	57
Rozdzia³ 5:?Konfigurowanie sieci TCP/IP	61
Montowanie systemu plików /proc	62
Instalowanie plików binarnych	62
Ustalanie nazwy hosta	63
Przypisywanie adresu IP	63
Tworzenie podsieci	64
Tworzenie plików hosts i networks	65
Konfigurowanie interfejsu dla IP	66
Wszystko o ifconfig	74
Polecenie netstat	77
Sprawdzanie tablic ARP	80
Rozdzia³ 6:?Us³ugi nazewnicze i konfigurowanie resolvera	83
Biblioteka resolvera	84
Jak dzia³a DNS	90
Eksploatacja named	98
Rozdzia³ 7:?IP ³±cza szeregowego	113
Wymagania ogólne	113
Dzia³anie SLIP-a	114
Korzystanie z sieci prywatnych	116
Korzystanie z polecenia dip	117
Dzia³anie w trybie serwera	122
Rozdzia³ 8:?Protokó³ punkt-punkt	125
PPP w Linuksie	126
Eksploatacja pppd	127
U¿ywanie plików opcji	128
Stosowanie chat do automatycznego dzwonienia	129
Opcje konfiguracyjne IP	132
Opcje sterowania ³±czem	135
Uwagi na temat bezpieczeñstwa	137
Uwierzytelnianie w PPP	137
Debugowanie twojej konfiguracji PPP	141
Bardziej zaawansowana konfiguracja PPP	142
Rozdzia³ 9 :?Firewall TCP/IP	147
Metody ataku	148
Co to jest firewall	149
Co to jest filtrowanie IP	151
Skonfigurowanie Linuksa w roli firewalla	152
Trzy sposoby realizacji filtrowania	154
Oryginalny firewall IP (j±dra 2.0)	155
£añcuchy firewalla IP (j±dra 2.2)	162
Netfilter i tabele IP (j±dra 2.4)	173
Operowanie bitem TOS	182
Testowanie konfiguracji firewalla	184
Przyk³adowa konfiguracja firewalla	186
Rozdzia³ 10:?Liczenie ruchu IP	195
Konfigurowanie j±dra do liczenia ruchu IP	195
Konfigurowanie liczenia ruchu IP	196
Wykorzystywanie wyników zliczania ruchu IP	202
Zerowanie liczników	203
Usuwanie zestawów regu³	204
Bierne zbieranie danych o ruchu	204

Rozdzia³ 11:?Maskowanie IP i translacja adresów sieciowych	205
Skutki uboczne i dodatkowe korzy¶ci	207
Konfigurowanie j±dra do maskowania IP	208
Konfigurowanie maskowania IP	209
Obs³ugiwanie przeszukiwania serwerów nazw	211
Wiêcej na temat translacji adresów sieciowych	211
Rozdzia³ 12:?Wa¿ne funkcje sieciowe	213
Superserwer inetd	213
Funkcja kontroli dostêpu tcpd	216
Pliki services i protocols	218
Zdalne wywo³anie procedur	219
Konfigurowanie zdalnego logowania i uruchamiania	220
Rozdzia³ 13:?System informacji sieciowej	229
Poznawanie NIS-a	230
NIS kontra NIS+	233
NIS - strona klienta	233
Eksploatowanie serwera NIS	234
Bezpieczeñstwo serwera NIS	235
Konfigurowanie klienta NIS z GNU libc	236
Wybór odpowiednich map	238
Korzystanie z map passwd i group	240
U¿ywanie NIS-a z obs³ug± hase³ shadow	242
Rozdzia³ 14:?Sieciowy system plików	243
Przygotowanie NFS-a	244
Montowanie wolumenu NFS	245
Demony NFS	247
Plik exports	248
Serwer NFSv2 oparty na j±drze	250
Server NFSv3 oparty na j±drze	251
Rozdzia³ 15:?IPX i system plików NCP	253
Xerox, Novell i historia	253
IPX i Linux	254
Konfigurowanie j±dra do obs³ugi IPX-a i NCPFS	256
Konfigurowanie interfejsów IPX	256
Konfigurowanie rutera IPX	259
Montowanie zdalnych wolumenów NetWare	263
Kilka innych narzêdzi IPX	266
Drukowanie do kolejki NetWare	267
Emulacja serwera NetWare	270
Rozdzia³ 16:?Zarz±dzanie UUCP Taylora 	271
Przesy³anie i zdalne wykonywanie w UUCP	273
Pliki konfiguracyjne UUCP	275
Kontrola dostêpu do funkcji UUCP	289
Konfigurowanie systemu do przyjmowania po³±czeñ komutowanych	292
Protoko³y niskiego poziomu w UUCP	295
Rozwi±zywanie problemów	297

Rozdzia³ 17:?Poczta elektroniczna	301
Co to jest wiadomo¶æ pocztowa	302
Jak jest dostarczana poczta	305
Adresy e-mail	306
Jak dzia³a ruting poczty	308
Konfigurowanie elma	313
Rozdzia³ 18:?Sendmail	317
Wprowadzenie do sendmaila	317
Instalacja sendmaila	317
Przegl±d plików konfiguracyjnych	318
Pliki sendmail.cf i sendmail.mc	319
Generowanie pliku sendmail.cf	324
Interpretacja i pisanie regu³ podstawiania	324
Konfigurowanie opcji sendmaila	330
U¿yteczne konfiguracje sendmaila	331
Testowanie konfiguracji	339
Eksploatowanie sendmaila	342
Sztuczki i kruczki	343
Rozdzia³ 19:?Exim	347
Eksploatowanie Exima	348
Je¿eli twoja poczta nie dochodzi	349
Kompilowanie Exima	350
Tryby dostarczania poczty	351
Ró¿ne opcje konfiguracyjne	352
Ruting i dostarczanie poczty	353
Ochrona przed spamem	357
Konfigurowanie UUCP	358
Rozdzia³ 20:?Grupy dyskusyjne	361
Historia Usenetu	361
Czym jest Usenet	362
Jak Usenet obs³uguje grupy dyskusyjne	364
Rozdzia³ 21:?C News	367
Dostarczanie grup dyskusyjnych	367
Instalacja	369
Plik sys	371
Plik active	374
Przetwarzanie wsadowe artyku³ów	375
Wygasanie grup dyskusyjnych	378
Ró¿ne dodatkowe pliki	380
Wiadomo¶ci kontrolne	382
C News w ¶rodowisku NFS	384
Narzêdzia i zadania administracyjne	385
Rozdzia³ 22:?NNTP i demon nntpd	387
Protokó³ NNTP	389
Instalowanie serwera NNTP	395
Ograniczanie dostêpu NNTP	395
Autoryzacja NNTP	396
Wspó³praca nntpd z C News	397
Rozdzia³ 23:?Internet News	399
Pewne tajniki wewnêtrzne INN-a	399
Przegl±darki grup dyskusyjnych i INN	402
Instalowanie INN-a	402
Podstawowe konfigurowanie INN-a	403
Pliki konfiguracyjne INN-a	403
Eksploatowanie INN-a	418
Zarz±dzanie INN-em: polecenie ctlinnd	419
Rozdzia³ 24:?Konfigurowanie przegl±darki grup dyskusyjnych	425
Konfigurowanie tina	426
Konfigurowanie trn	426
Konfigurowanie nn	427
Dodatek A:?Przyk³adowa sieæ: browar wirtualny	429
Pod³±czanie sieci wirtualnej filli	430
Dodatek B:?Przydatne konfiguracje kabli	431
Kabel równoleg³y PLIP	431
Kabel szeregowy NULL modem 	431
Dodatek C:?Linux - podrêcznik administratora sieci. Wydanie drugie.
Informacje o prawach autorskich	433
Dodatek D:?SAGE: cech administratorów systemu	441
Indeks	443


Wstêp


Wstêp


Termin "Internet" zadomowi³ siê ju¿ na dobre w wielu jêzykach, a mnóstwo, sk±din±d powa¿nych ludzi, z rado¶ci± podró¿uje po infostradzie. Dlatego mo¿na powiedzieæ, ¿e sieci komputerowe staj± siê ju¿ czym¶ tak zwyk³ym jak telewizory i kuchenki mikrofalowe. Internet cieszy siê niezwyk³ym zainteresowaniem mediów, a studenci socjologii zaczynaj± siê specjalizowaæ w grupach dyskusyjnych Usenetu, ¶rodowiskach elektronicznej rzeczywisto¶ci wirtualnej i WWW, badaj±c w ten sposób now± "kulturê internetow±".
Oczywi¶cie sieæ istnieje z dawien dawna. £±czenie komputerów tak, aby tworzy³y sieci lokalne, by³o powszechne w przypadku ma³ych instalacji, a gdy maszyny by³y od siebie oddalone wykorzystywano ³±cza telekomunikacyjne. Jednak¿e szybki rozwój sieci ogólno¶wiatowych da³ szansê przy³±czenia siê do globalnej wioski wielu zwyk³ym u¿ytkownikom komputerów oraz ma³ym, niedochodowym organizacjom prywatnym. Wyra¼nie spadaj± ceny hostów internetowych z obs³ug± poczty i grup dyskusyjnych przez dostêp komutowany oraz ISDN, a pojawienie siê DSL (Digital Subscriber Line) oraz technologii modemów kablowych niew±tpliwie podtrzyma tê tendencjê.
Je¿eli mówimy o sieciach komputerowych, nie sposób nie wspomnieæ o Uniksie. Oczywi¶cie Unix nie jest jedynym systemem operacyjnym, który mo¿e pracowaæ w sieci, ani te¿ nawet nie jest najpopularniejszym z nich, ale w biznesie sieciowym istnieje od dawna i z ca³± pewno¶ci± bêdzie istnia³ jeszcze przez jaki¶ czas.
Unix jest szczególnie ciekawy dla zwyk³ych u¿ytkowników dziêki temu, ¿e w³o¿ono wiele wysi³ku w stworzenie dla PC darmowych uniksowych systemów operacyjnych, takich jak 386BSD, FreeBSD czy Linux.
Linux jest dystrybuowan± bezp³atnie odmian± Uniksa, przeznaczon± dla komputerów osobistych. Aktualnie dzia³a na ró¿nych maszynach, i na tych z procesami firmy Intel, z procesorami Motorola 680x0 (np. Commodore Amiga i Apple Macintosh); na maszynach Sun SPARC i Ultra-SPARC; na Alphach firmy Compaq; MIPS-ach; na PowerPC, czyli na nowej generacji komputerów Apple Macintosh, i na StrongARM-ach, takich jak Netwinder firmy rebel.com czy palmtopy firmy 3Com. Linux zosta³ zaadaptowany tak¿e na pewne stosunkowo ma³o znane platformy, takie jak Fujitsu AP-1000 i IBM System 3/90. Aktualnie realizowane s± adaptacje na inne interesuj±ce architektury, a zadanie przeniesienia Linuksa do postaci zamkniêtego kontrolera tak¿e wygl±da obiecuj±co. 
Linux rozwija siê dziêki zaanga¿owaniu du¿ej grupy ochotników z Internetu. Projekt zosta³ zapocz±tkowany w 1990 roku przez Linusa Torvaldsa - wówczas studenta fiñskiego college'u - w ramach zajêæ z systemów operacyjnych. Od tego czasu Linux urós³ do rangi pe³nego klonu Uniksa, na którym mo¿na uruchamiaæ aplikacje tak ró¿norodne, jak programy do symulacji i modelowania, procesory tekstu, systemy rozpoznawania mowy, przegl±darki WWW i mnóstwo innego oprogramowania, w³±czaj±c w to ró¿ne doskona³e gry. Wspó³pracuje z ró¿norodnym sprzêtem, a zawiera pe³n± implementacjê sieci TCP/IP (³±cznie z protoko³ami SLIP i PPP oraz firewallami), pe³n± implementacjê protoko³u IPX, a tak¿e implementacje wielu funkcji oraz protoko³ów, których nie znajdziemy w ¿adnym innym systemie operacyjnym. Linux jest wydajny, szybki i darmowy, a jego popularno¶æ na ¶wiecie poza Internetem ro¶nie w szybkim tempie.
Sam system operacyjny Linux zosta³ objêty licencj± publiczn± GNU, t± sam±, która jest u¿ywana przez oprogramowanie tworzone przez Free Software Foundation (Fundacjê Wolnego Oprogramowania). Licencja pozwala ka¿demu na dystrybuowanie i modyfikowanie oprogramowania (bezp³atnie lub dla zysku) dopóty, dopóki wszystkie modyfikacje i dystrybucje s± równie¿ bezp³atnie udostêpniane. Okre¶lenie "wolne oprogramowanie" oznacza wolno¶æ aplikacji, a nie wolno¶æ kosztów.
Po co i dla kogo jest ta ksi±¿ka
Niniejsza ksi±¿ka zosta³a napisana po to, aby w jednym miejscu zebraæ informacje potrzebne administratorom sieci ¶rodowiska Linux. Zarówno pocz±tkuj±cy, jak i zaawansowani u¿ytkownicy powinni tu znale¼æ informacje potrzebne do wykonania wiêkszo¶ci najwa¿niejszych zadañ administracyjnych, wymaganych do konfiguracji sieci w Linuksie. Temat tej ksi±¿ki - sieci - jest prawie nieograniczony, a wiêc oczywi¶cie niemo¿liwo¶ci± jest opisanie wszystkiego i w ka¿dym aspekcie. Podjêli¶my próbê prezentacji wiêkszo¶ci wa¿nych i powszechnie spotykanych zadañ. Naszym zamierzeniem by³o, aby ta ksi±¿ka s³u¿y³a pomoc± nawet pocz±tkuj±cym adeptom sieci linuksowych (tak¿e tym, którzy nie mieli jeszcze do czynienia z uniksopodobnym systemem operacyjnym), aby po jej lekturze mogli poprawnie skonfigurowaæ swoj± sieæ w Linuksie.
Istnieje wiele ksi±¿ek i innych ¼róde³ informacji, które poruszaj± tematy opisane w tej ksi±¿ce (z ma³ymi wyj±tkami prawdziwie linuksowych funkcji, takich jak nowy interfejs firewalla, który nie jest nigdzie indziej dobrze udokumentowany). Gdyby¶ chcia³ siê dowiedzieæ wiêcej, w poni¿szym podrozdziale zamieszczamy bibliografiê.

¬ród³a informacji
Je¿eli jeste¶ nowicjuszem w ¶wiecie Linuksa, masz wiele do przejrzenia i przeczytania. Pomocne, aczkolwiek niekonieczne, jest posiadanie dostêpu do Internetu.
Podrêczniki zespo³u Linux Documentation Project (Projekt Dokumentacji Linuksa - LDP)

Projekt Dokumentacji Linuksa to grupa ochotników, który opracowuj± ksi±¿ki (przewodniki), dokumenty HOWTO, strony podrêcznika elektronicznego na ró¿ne tematy: od instalacji po programowanie j±dra. Publikacje LDP to miêdzy innymi:
Linux Installation and Getting Started

Ta ksi±¿ka, napisana pod kierunkiem Matta Welsha, opisuje jak zdobyæ, zainstalowaæ i u¿ywaæ Linuksa. Zawiera wprowadzenie do Uniksa i informacje o administracji systemu, systemie X Window oraz sieci.
Linux System Administration Guide

Ta ksi±¿ka, napisana przez Larsa Wirzeniusa i Joannê Oja, jest ogólnym przewodnikiem po administracji Linuksa i porusza takie tematy, jak tworzenie i konfigurowanie u¿ytkowników, wykonywanie kopii zapasowych systemu, konfigurowanie podstawowych pakietów i instalowanie oraz uaktualnianie oprogramowania.
Linux System Administration Made Easy

Ta ksi±¿ka, napisana przez Steve'a Framptona, opisuje codzienne zadania administracyjne i zagadnienia zwi±zane z utrzymaniem Linuksa w odniesieniu do jego u¿ytkowników.
Linux Programmers Guide

Ta ksi±¿ka, napisana przez B. Scotta Burketta, Svena Goldta, Johna D. Harpera, Svena van der Meera i Matta Welsha, bêdzie interesuj±ca dla tych, którzy chc± tworzyæ aplikacje dla Linuksa.
The Linux Kernel

Ta ksi±¿ka, napisana przez Davida A. Ruslinga, zawiera wprowadzenie do j±dra Linuksa: opisuje jego budowê oraz dzia³anie. 
The Linux Kernel Module Programming Guide

Ta ksi±¿ka, napisana przez Ori Pomerantza, stanowi podrêcznik wyja¶niaj±cy, jak pisaæ modu³y j±dra Linuksa.
W fazie tworzenia s± kolejne podrêczniki. Wiêcej informacji na temat LDP znajdziesz na stronach WWW pod adresem http://www.linuxdoc.org/ lub jednym z jego serwerów lustrzanych.
Dokumenty HOWTO

Dokumenty HOWTO po¶wiêcone Linuksowi to szereg szczegó³owych opracowañ omawiaj±cych bardzo ró¿ne aspekty systemu, takie jak instalacja i konfiguracja oprogramowania systemu X Window lub pisanie w asemblerze pod Linuksem. Generalnie znajduj± siê one w podkatalogu HOWTO o¶rodków FTP lub s± dostêpne na stronach WWW zawieraj±cych dokumenty Projektu Dokumentacji Linuksa. W pliku HOWTO-INDEX znajdziesz listê tego, co jest dostêpne.

Mog± ci siê przydaæ: Installation HOWTO, opisuj±cy jak zainstalowaæ Linuksa na twoim komputerze, Hardware Compatibility HOWTO, zawieraj±cy listê urz±dzeñ, o których wiadomo, ¿e dzia³aj± w Linuksie, oraz Distribution HOWTO, zawieraj±cy listê sprzedawców oprogramowania oferuj±cych Linuksa na dyskietkach lub na p³ytach CD-ROM.
Czêsto zadawane pytania na temat Linuksa (Linux Frequently Asked Questions), FAQ
FAQ (The Linux Frequently Asked Questions with Answers) gromadzi ró¿norodne pytania i odpowiedzi na temat systemu. Jest to obowi±zkowa lektura dla ka¿dego nowicjusza.
Dokumentacja dostêpna przez FTP
Je¿eli masz dostêp do anonimowych serwerów FTP, mo¿esz z nich pobraæ ca³± wspomnian± tutaj dokumentacjê Linuksa. Wypróbuj takie adresy jak metalab.unc.edu:/pub/Linux/docs i tsx-11.mit.edu/pub/linux/docs.
Dokumentacja dostêpna przez WWW
Dostêpnych jest wiele o¶rodków WWW zwi±zanych z Linuksem. Macierzysta strona Projektu Dokumentacji Linuksa znajduje siê pod adresem http://www.linuxdoc.org/.
OSWG (Open Source Writers Guild) jest projektem wykraczaj±cym poza Linuksa. OSWG, podobnie jak ta ksi±¿ka, opowiada siê za tworzeniem dokumentacji OpenSource. Witryna macierzysta OSWG znajduje siê pod adresem http://www.oswg. org:8080/oswg.
Obie powy¿sze witryny zawieraj± wersje hipertekstowe (i inne) wielu dokumentów zwi±zanych z Linuksem.
Dokumentacja dostêpna odp³atnie
Liczne wydawnictwa i sprzedawcy oprogramowania publikuj± prace stworzone w ramach Projektu Dokumentacji Linuksa. Dwaj przyk³adowi sprzedawcy to:
Specialized Systems Consultants, Inc. (SSC)
http://www.ssc.com/
P.O. Box 55549 Seattle, WA 98155-0549
1-206-782-7733
1-206-782-7191 (faks)
sales@ssc.com
oraz
Linux Systems Labs
http://www.lsl.com/
18300 Tara Drive
Clinton Township, MI 48036
1-810-987-8807
1-810-987-3562 (faks)
sales@lsl.com

Obie firmy sprzedaj± kompendia dokumentów HOWTO i innej dokumentacji dotycz±cej Linuksa w formie drukowanej.
O'Reilly & Associates wydaje seriê ksi±¿ek o Linuksie. Niniejsza ksi±¿ka powsta³a w ramach Projektu Dokumentacji Linuksa, ale wiêkszo¶æ zosta³a napisana niezale¿nie. Nale¿± do nich:
Running Linux (wyd. pol.: Linux, Wydawnictwo RM, Warszawa 2000)

Przewodnik po instalacji i u¿ytkowaniu systemu, opisuj±cy, jak najlepiej wykorzystaæ komputer osobisty, pracuj±c w Linuksie.
Learning Debian GNU/Linux
Learning Red Hat Linux (wyd. pol.: Red Hat Linux, Wydawnictwo RM, Warszawa 2000)


Ksi±¿ki bardziej podstawowe ni¿ Running Linux. Zawieraj± one popularne dystrybucje na p³ycie CD-ROM i informuj± dok³adnie, jak je skonfigurowaæ i jak z nich korzystaæ.
Linux in Nutshell (wyd. pol.: Linux - podrêcznik u¿ytkownika, Wydawnictwo RM, Warszawa 1999)


Kolejna ksi±¿ka z doskona³ej serii "podrêcznik u¿ytkownika". Daje wyczerpuj±cy opis poszczególnych poleceñ Linuksa.
Linux Journal and Linux Magazine
"Linux Journal" i "Linux Magazine" to miesiêczniki dla spo³eczno¶ci linuksowej, pisane i wydawane przez licznych linuksowych aktywistów. Poziom artyku³ów jest bardzo ró¿ny: od pytañ nowicjuszy, po odpowiedzi dotycz±ce programowania j±dra. Nawet je¿eli masz dostêp do grup dyskusyjnych Usenetu, te czasopisma s± doskona³ym sposobem, aby byæ na bie¿±co ze sprawami spo³eczno¶ci Linuksa.
"Linux Journal" jest najstarszym czasopismem i jest wydawany przez wspomniane wcze¶niej SSC, Incorporated. Czasopismo to mo¿esz tak¿e znale¼æ w sieci WWW pod adresem http://www.linuxjournal.com/.
"Linux Magazine" jest nowsz±, niezale¿n± publikacj±. Macierzysty adres WWW tego czasopisma to http://www.linuxmagazine.com/.
Linuksowe grupy dyskusyjne Usenetu 
Oto grupy dyskusyjne Usenetu po¶wiêcone Linuksowi:
comp.os.linux.announce

Moderowana grupa dyskusyjna zawieraj±ca zapowiedzi nowego oprogramowania, dystrybucji, raporty o b³êdach i nowinki z ¿ycia spo³eczno¶ci Linuksa. Wszyscy u¿ytkownicy Linuksa powinni czytaæ tê grupê. Propozycje mog± byæ wysy³ane na adres linux-announce@news.ornl.gov.
comp.os.linux.help

Ogólne pytania i odpowiedzi na temat instalacji i u¿ytkowania Linuksa.
comp.os.linux.admin

Dyskusje zwi±zane z administrowaniem systemu Linux.

comp.os.linux.networking

Dyskusje zwi±zane z sieci± w Linuksie.
comp.os.linux.development

Dyskusje na temat tworzenia j±dra Linuksa i samego systemu.
comp.os.linux.misc

Inne dyskusje, które nie pasuj± do ¿adnej z poprzednich kategorii.
Istnieje równie¿ kilka innych grup po¶wiêconych Linuksowi i prowadzonych w jêzykach innych ni¿ angielski, a nale¿± do nich na przyk³ad fr.comp.os.linux po francusku czy de.comp.os.linux po niemiecku.
Pocztowe listy dyskusyjne zwi±zane z Linuksem
Istnieje szereg specjalistycznych pocztowych list dyskusyjnych na temat Linuksa. Spotkasz na nich wiele osób, które chêtnie odpowiedz± na twoje pytania.
Najbardziej znane z nich to listy obs³ugiwane przez uniwersytet Rutgers. Mo¿esz siê do nich zapisaæ, wysy³aj±c wiadomo¶æ e-mail sformatowan± w nastêpuj±cy sposób:
To: majordomo@vger.rutgers.edu
Subject: anything at all
Body:
subscribe nazwa-listy
Niektóre listy zwi±zane z sieci± w Linuksie to:
linux-net
Dyskusje zwi±zane z sieci± w Linuksie.
linux-ppp
Dyskusje zwi±zane z implementacj± PPP w Linuksie.
linux-kernel
Dyskusje zwi±zane z tworzeniem j±dra Linuksa.
Elektroniczne wsparcie Linuksa
W wielu miejscach w sieci mo¿na uzyskaæ pomoc elektroniczn±. Ochotnicy z ca³ego ¶wiata oferuj± tam swoj± specjalistyczn± wiedzê i us³ugi tym u¿ytkownikom, którzy maj± pytania i problemy.
Sieæ OpenProjects IRC to sieæ IRC po¶wiêcona w ca³o¶ci projektom otwartym - zarówno Open Source, jak i Open Hardware. Niektóre kana³y s± przeznaczone do udostêpniania elektronicznego wsparcia dla Linuksa. IRC to skrót od Internet Relay Chat. Jest to us³uga sieciowa pozwalaj±ca interaktywnie "rozmawiaæ" przez Internet z innymi u¿ytkownikami. Sieci IRC obs³uguj± wiele kana³ów, na których grupy prowadz± pisane "rozmowy". Cokolwiek napiszesz na kanale, bêdzie to widoczne dla wszystkich pozosta³ych uczestników "rozmowy".
W sieci OpenProjects IRC istnieje szereg aktywnych kana³ów, na których spotkasz u¿ytkowników przez 24 godziny na dobê, 7 dni w tygodniu. S± to u¿ytkownicy, którzy chc± i potrafi± pomóc w rozwi±zaniu twoich problemów z Linuksem albo mog± po prostu z tob± pogadaæ. Z us³ugi tej mo¿esz korzystaæ po zainstalowaniu klienta IRC, na przyk³ad irc-II, pod³±czeniu siê do serwera o zadanej nazwie, np. irc.openprojects.org:6667, i przy³±czeniu siê do kana³u #linpeople.
Grupy u¿ytkowników Linuksa
Bezpo¶redni± pomoc oferuje te¿ wiele grup u¿ytkowników Linuksa z ca³ego ¶wiata. Ich uczestnicy anga¿uj± siê w tak± dzia³alno¶æ, jak organizowanie dni instalacji, seminaria i dyskusje panelowe, prezentacje i inne imprezy towarzyskie. Grupy u¿ytkowników Linuksa s± doskona³ym sposobem na spotkanie siê z innymi linuksowcami z twojego rejonu. Istnieje szereg list grup u¿ytkowników Linuksa. Do lepiej znanych nale¿±:
Group of Linux Users Everywhere - http://www.ssc.com/glue/groups
LUG list project - http://www.nllgg.nl/lugww/
LUG registry - http://www.linux.org/users/
Sk±d wzi±æ Linuksa
Nie ma jednej jedynej dystrybucji oprogramowania dla Linuksa. Takich dystrybucji jest wiele, m.in. Debian, RedHat, Caldera, Corel, SuSE i Slackware. Ka¿da dystrybucja zawiera wszystko, czego potrzebujesz do uruchomienia pe³nego systemu Linux: j±dro, podstawowe programy u¿ytkowe, biblioteki, pliki pomocnicze i aplikacje.
Dystrybucje Linuksa mo¿na zdobyæ z szeregu ¼róde³ elektronicznych, jak Internet. Ka¿da powa¿na dystrybucja posiada w³asny o¶rodek FTP i WWW. Oto niektóre o¶rodki:
Caldera

http://www.caldera.com/ftp://ftp.caldera.com/
Corel

http://www.corel.com/ftp://ftp.corel.com/
Debian

http://www.debian.org/ftp://ftp.debian.org/
RedHat

http://www.redhat.com/ftp://ftp.redhat.com/
Slackware

http://www.slackware.com/ftp://ftp.slackware.com/
SuSE

http://www.suse.com/ftp://ftp.suse.com/
Popularne archiwa FTP równie¿ zawieraj± ró¿ne dystrybucje Linuksa. Najbardziej znane z nich to:
metalab.unc.edu:/pub/Linux/distributions/
ftp.funet.fi:/pub/Linux/mirrors/
tsx-11.mit.edu:/pub/linux/distributions/
mirror.aarnet.edu.au:/pub/linux/distributions/
Wiele z nowoczesnych dystrybucji mo¿na zainstalowaæ bezpo¶rednio z Internetu. Jednak w przypadku typowej instalacji nale¿y ¶ci±gn±æ spor± liczbê oprogramowania, a wiêc prawdopodobnie zdecydujesz siê na to tylko, je¿eli masz szybkie sta³e po³±czenie sieciowe lub, je¿eli musisz uaktualniæ swoj± instalacjê*.
Linuksa mo¿na kupiæ na p³ycie CD-ROM u coraz wiêkszej liczby sprzedawców. Je¿eli w twoim sklepie komputerowym go nie ma, mo¿esz poprosiæ o sprowadzenie. Wiêkszo¶æ popularnych dystrybucji mo¿na zdobyæ na p³ycie CD-ROM. Niektórzy sprzedawcy tworz± produkty sk³adaj±ce siê z wielu p³yt CD-ROM zawieraj±cych poszczególne dystrybucje Linuksa. Jest to idealny sposób na wypróbowanie ró¿nych dystrybucji, aby móc stwierdziæ, która jest nasz± ulubion±.
Standardy systemów plików
Niegdy¶ jednym z problemów, który dotyka³ dystrybucji Linuksa oraz pakietów oprogramowania, by³ brak jednolitego systemu plików. Wynika³y z tego niezgodno¶ci pomiêdzy ró¿nymi pakietami, co wymaga³o od u¿ytkowników i administratorów lokalizowania ró¿nych plików i programów.
Aby zaradziæ tej k³opotliwej sytuacji w sierpniu 1993 roku powo³ano zespó³ do spraw standaryzacji systemu plików Linuksa (Linux File System Standard Group - FSSTND). W ci±gu sze¶ciu miesiêcy opracowano szkic spójnej struktury systemu plików i zdefiniowano rozk³ad wiêkszo¶ci istotnych programów i plików konfiguracyjnych.
Oczekiwano, ¿e standard ten zostanie zaimplementowany w wiêkszo¶ci g³ównych dystrybucji Linuksa i pakietach. Niezupe³nie tak siê sta³o. Choæ w wiêkszo¶ci dystrybucji starano siê spe³niæ wymogi FSSTND, uda³o siê to tylko w niewielu. W ksi±¿ce tej zak³adamy, ¿e wszelkie omawiane pliki znajduj± siê w miejscach okre¶lonych przez standard. Alternatywne niestandardowe lokalizacje bêd± przywo³ywane tylko wtedy, gdy s± utrwalane d³ug± tradycj±.
Linux FSSTND obowi±zywa³ do 1997 roku, kiedy zosta³ zast±piony przez FHS (Linux File Hierarchy Standard). FHS rozwi±zuje zagadnienia miêdzyarchitekturowe, nieuwzglêdnione przez FSSTND. FHS mo¿na zdobyæ z katalogu z dokumentacj± wiêkszo¶ci o¶rodków FTP Linuksa i ich serwerów lustrzanych lub ze strony macierzystej pod adresem http://www.pathname.com/fhs/. Z Danielem Quinlanem - koordynatorem grupy FHS - mo¿na skontaktowaæ siê pod adresem quinlan@transmeta.com.
Standardowa podstawa Linuksa
Wielo¶æ dystrybucji Linuksa, choæ umo¿liwia wybór jego u¿ytkownikom, przysparza problemów twórcom oprogramowania - szczególnie tego, które nie jest darmowe.

Ka¿da dystrybucja zawiera pewne podstawowe biblioteki, narzêdzia konfiguracyjne, aplikacje systemowe i pliki konfiguracyjne. Niestety, ró¿nice pomiêdzy wersjami, nazwami i lokalizacjami powoduj±, ¿e bardzo trudno jest zgadn±æ, co bêdzie w danej dystrybucji. A bez tej wiedzy nie da siê stworzyæ binarnych wersji aplikacji, które dzia³a³yby niezawodnie we wszystkich dystrybucjach Linuksa.
Aby rozwi±zaæ ten problem, powo³ano nowy projekt o nazwie "Linux Standard Base" (standardowa podstawa Linuksa). Jego celem jest opisanie standardowej podstawy dystrybucji, do której dostosuj± siê poszczególne dystrybucje. Je¿eli programista stworzy aplikacjê w oparciu o standardow± podstawê, to bêdzie ona dzia³a³a we wszelkich dystrybucjach zgodnych ze standardem.
Informacje na temat stanu projektu standardowej podstawy Linuksa mo¿esz znale¼æ na jego stronie macierzystej pod adresem http://www.linuxbase.org/.
Je¿eli martwisz siê o zgodno¶æ, szczególnie oprogramowania komercyjnego, powiniene¶ upewniæ siê, czy w przypadku twojej dystrybucji zosta³y podjête kroki prowadz±ce do zgodno¶ci z projektem standaryzacyjnym.
O tej ksi±¿ce
Gdy Olaf do³±czy³ do Projektu Dokumentacji Linuksa w 1992 roku, napisa³ dwa ma³e rozdzia³y na temat UUCP i smaila, które zamierza³ umie¶ciæ w ksi±¿ce System Administrator's Guide. Sieci TCP/IP zaczê³y dopiero powstawaæ. W miarê ich rozwoju te dwa "ma³e rozdzia³y" zaczê³y siê rozrastaæ. Wtedy Olaf pomy¶la³, ¿e by³oby dobrze mieæ przewodnik po sieci. Ka¿dy mówi³: "¦wietny pomys³", "zrób to!". A wiêc wzi±³ siê do pracy i napisa³ pierwsz± wersjê przewodnika po sieci, która zosta³a wydana we wrze¶niu 1993 roku.
Olaf kontynuowa³ prace nad przewodnikiem po sieci i ostatecznie stworzy³ znacznie rozszerzon± jego wersjê.  Rozdzia³ na temat sendmaila napisa³ Vince Skahan. W tym wydaniu rozdzia³ ten zosta³ ca³kowicie zmieniony, ze wzglêdu na nowy interfejs konfiguracyjny sendmaila.
Wersja ksi±¿ki, któr± czytasz, zosta³a skorygowana i uaktualniona przez Terry'ego Dawsona* na ¿yczenie wydawnictwa O'Reilly & Associates. Terry przez 20 lat by³ operatorem radia amatorskiego, z czego 15 lat przepracowa³ w przemy¶le telekomunikacyjnym. By³ wspó³autorem dokumentu NET-FAQ i napisa³ oraz utrzymywa³ ró¿ne dokumenty HOWTO zwi±zane z sieci±. Terry zawsze z entuzjazmem wspiera³ projekt podrêcznika administratora sieci i doda³ w niniejszej edycji kilka rozdzia³ów na najnowsze tematy, które ze zrozumia³ych wzglêdów nie trafi³y do pierwszego wydania. Dokona³ te¿ mnóstwa zmian w celu uaktualnienia ca³ej ksi±¿ki.
Rozdzia³ omawiaj±cy exim napisa³ Philip Hazel**, który jest g³ównym twórc± pakietu.
Ksi±¿ka ta ma formê sekwencji kroków, jakie nale¿y podj±æ, by skonfigurowaæ system do pracy w sieci. Rozpoczyna siê omówieniem podstawowych pojêæ sieciowych, a w szczególno¶ci sieci opartych na TCP/IP. Nastêpnie kolejno wprowadza w konfigurowanie TCP/IP na poziomie urz±dzenia konfigurowanie firewalli, liczenie ruchu IP (accounting) i maskowanie IP, wreszcie w konfigurowanie popularnych aplikacji, takich jak rlogin i tym podobne, sieciowego systemu plików (NFS - Network File System) oraz systemu informacji sieciowej (NIS - Network Information System). Dalej znajduje siê rozdzia³ o tym, jak skonfigurowaæ maszynê jako wêze³ UUCP. Wiêkszo¶æ pozosta³ych podrozdzia³ów jest po¶wiêcona dwóm podstawowym aplikacjom, które dzia³aj± na TCP/IP i UUCP: poczcie elektronicznej i grupom dyskusyjnym. Specjalny rozdzia³ zosta³ po¶wiêcony protoko³owi IPX i systemowi plików NCP, poniewa¿ s± one u¿ywane w ¶rodowiskach korporacyjnych, w których spotyka siê Linuksa.
W czê¶ci omawiaj±cej pocztê znajduje siê bardziej gruntowne wprowadzenie do transportu i rutingu poczty oraz miriady schematów adresowania, które mo¿esz napotkaæ. Opisuje ona konfiguracjê exima i zarz±dzanie nim. Exim to agent transportowy poczty, idealny tam, gdzie nie s± wymagane UUCP ani tym bardziej sendmail, który jest dla realizuj±cych ruting bardziej skomplikowany, ni¿ te obs³ugiwane przez UUCP.
Czê¶æ po¶wiêcona grupom dyskusyjnym daje pojêcie o tym, jak dzia³a Usenet. Omawia INN i C News - dwa powszechnie u¿ywane pakiety oprogramowania transportowego grup dyskusyjnych oraz zastosowanie NNTP do zapewnienia dostêpu do czytania grup w sieci lokalnej. Ksi±¿kê zamyka rozdzia³ na temat stosowania najpopularniejszych programów do czytania grup dyskusyjnych w Linuksie.
Oczywi¶cie ksi±¿ka ta na pewno nie jest w stanie wyczerpuj±co odpowiedzieæ na wszystkie potencjalne pytania. Tak, wiêc je¿eli bêdziesz postêpowa³ zgodnie z instrukcjami w niej zawartymi, a co¶ wci±¿ nie bêdzie dzia³a³o, b±d¼ cierpliwy. Niektóre z twoich problemów mog± wynikaæ z naszych b³êdów (zobacz podrozdzia³ Zg³aszanie uwag w dalszej czê¶ci Wstêpu), ale mog± tak¿e byæ spowodowane zmianami w oprogramowaniu sieciowym. Dlatego powiniene¶ sprawdziæ najpierw informacje zawarte w zasobach. Istnieje du¿e prawdopodobieñstwo, ¿e nie tylko ty masz takie problemy, a wiêc poprawka lub przynajmniej proponowane rozwi±zanie jest ju¿ byæ mo¿e znane. Je¿eli masz okazjê, powiniene¶ tak¿e spróbowaæ zdobyæ najnowsz± wersjê j±dra i sieci z jednego z linuksowych o¶rodków FTP lub z pobliskiego BBS-u. Wiele problemów wynika z nierównomiernego rozwoju ró¿nego oprogramowania, które nie wspó³pracuje poprawnie ze sob±. W koñcu Linux to "praca w toku".
Oficjalna wersja drukowana
Na jesieni 1993 roku Andy Oram, który prawie od pocz±tku by³ zwi±zany z list± dyskusyjn± LDP, zaproponowa³ Olafowi opublikowanie tej ksi±¿ki w wydawnictwie O'Reilly & Associates. By³ ni± zachwycony, ale nigdy nie przypuszcza³, ¿e odniesie ona taki sukces. Postanowiono, ¿e O'Reilly stworzy rozszerzon± oficjaln± wersjê drukowan± przewodnika po sieci, natomiast Olaf zatrzyma prawa autorskie i ¼ród³a ksi±¿ki bêd± mog³y byæ rozpowszechniane za darmo. Oznacza to, ¿e masz wolny wybór: mo¿esz wzi±æ ró¿ne darmowe wersje dokumentu z najbli¿szego o¶rodka lustrzanego Projektu Dokumentacji Linuksa i wydrukowaæ je sobie albo zakupiæ oficjaln± wersjê drukowan± wydan± przez O'Reilly'ego.
Nasuwa siê pytanie: dlaczego masz p³aciæ za co¶, co mo¿esz mieæ za darmo? Czy Tim O'Reilly postrada³ zmys³y i wydaje co¶, co ka¿dy mo¿e sobie sam wydrukowaæ, a nawet sam sprzedawaæ?*. Czy istniej± jakie¶ ró¿nice pomiêdzy tymi wersjami?
Odpowiedzi brzmi± "to zale¿y", "nie, zdecydowanie nie" i "tak i nie". O'Reilly & Associates podejmuje ryzyko, wydaj±c przewodnik po sieci w formie tradycyjnej, ale jako¶ siê im to op³aca (poprosili autorów, by przygotowali nastêpne wydanie). Wierzymy, ¿e to przedsiêwziêcie jest doskona³ym przyk³adem tego, jak ¶wiat darmowego oprogramowania i firmy komercyjne mog± ze sob± wspó³pracowaæ, by stworzyæ co¶, z czego obie strony czerpi± korzy¶ci. Z naszego punktu widzenia wydawnictwo O'Reilly przys³u¿y³o siê spo³eczno¶ci Linuksa (nie tylko t± ksi±¿k±, która jest dostêpna w twojej ksiêgarni). Dziêki niemu Linux zacz±³ byæ rozpoznawany jako co¶ powa¿nego: jako rentowna i u¿yteczna alternatywa dla innych, komercyjnych systemów operacyjnych. Je¿eli jaka¶ ksiêgarnia techniczna w USA nie ma u siebie przynajmniej jednej pó³ki z ksi±¿kami wydawnictwa O'Reilly, to jest to kiepska ksiêgarnia.
Dlaczego to wydaj±? Uznaj± to za swoj± specjalno¶æ. Oto, czego oczekuj±, podpisuj±c z autorami kontrakt na napisanie ksi±¿ki o Linuksie: tempo, poziom szczegó³owo¶ci i styl maj± dok³adnie odpowiadaæ innym wydanym przez nich ksi±¿kom.
Celem licencji LDP jest zapewnienie wszystkim dostêpu do ksi±¿ki. Niektórzy mog± wydrukowaæ sobie tê ksi±¿kê sami i nikt nie bêdzie ciê wini³, je¿eli z niej skorzystasz. Jednak, je¿eli nie mia³e¶ okazji zobaczyæ wersji wydawnictwa O'Reilly, przejd¼ siê do ksiêgarni albo obejrzyj ksi±¿kê u kolegi. Wydaje nam siê, ¿e spodoba ci siê to, co zobaczysz, i bêdziesz chcia³ ksi±¿kê kupiæ.
Jakie s±, wiêc ró¿nice pomiêdzy wersj± drukowan± a wersj± elektroniczn±? Andy Oram w³o¿y³ wiele pracy w to, aby przetworzyæ nasze chaotyczne my¶li w potoczysty wyk³ad wart wydrukowania. (Dokona³ tak¿e korekty kilku innych ksi±¿ek stworzonych w ramach Projektu Dokumentacji Linuksa, s³u¿±c spo³eczno¶ci Linuksa ca³± swoj± fachow± wiedz±).
Na redakcji Andy'ego ksi±¿ka znacznie zyska³a w stosunku do wersji oryginalnej. Nie mo¿na by³o marnowaæ okazji skorzystania z us³ug i umiejêtno¶ci profesjonalnego redaktora. Pod wieloma wzglêdami praca Andy'ego jest równie wa¿na jak autorów. To samo dotyczy równie¿ redaktorów technicznych, którzy nadali ksi±¿ce obecny kszta³t. Wszystkie te poprawki zosta³y równie¿ wprowadzone w wersji elektronicznej, a wiêc w zawarto¶ci nie ma ró¿nic.
Jednak wci±¿ wersja wydana przez O'Reilly'ego bêdzie inna. Jest porz±dnie oprawiona. Mo¿esz mieæ problemy z ³adnym wydrukowaniem wersji domowej. Jest te¿ ma³o prawdopodobne, aby¶ uzyska³ zbli¿on± jako¶æ, a je¶li ju¿ - to zapewne za du¿o wiêksze pieni±dze. Ponadto nasze amatorskie ilustracje zosta³y w wersji drukowanej zast±pione innymi grafikami, piêknie przygotowanymi przez profesjonalnych artystów z wydawnictwa O'Reilly. Dla wersji drukowanej przygotowano te¿ nowy, dok³adniejszy indeks, dziêki czemu du¿o ³atwiej wyszukuje siê informacje. Je¿eli ta ksi±¿ka jest czym¶, co zamierzasz przeczytaæ od pocz±tku do koñca, powiniene¶ zastanowiæ siê nad przeczytaniem oficjalnej wersji drukowanej.
Przegl±d tre¶ci
Rozdzia³ 1, Wprowadzenie do sieci, omawia historiê Linuksa i podaje podstawowe informacje o UUCP, TCP/IP, ró¿nych protoko³ach, sprzêcie i bezpieczeñstwie. Kolejne kilka rozdzia³ów omawia konfigurowanie Linuksa w sieci TCP/IP i uruchamianie podstawowych aplikacji. Nieco dok³adniej przygl±damy siê IP w rozdziale 2, Wybrane problemy sieci TCP/IP, zanim przejdziemy do edycji plików i tym podobnych tematów. Je¿eli wiesz ju¿, jak dzia³a ruting IP i na czym polega rozwi±zywanie adresów, mo¿esz pomin±æ ten rozdzia³.
Rozdzia³ 3, Konfigurowanie sprzêtu sieciowego, omawia podstawowe zagadnienia konfiguracyjne, takie jak tworzenie j±dra i konfigurowanie karty Ethernet. Konfiguracja portów szeregowych jest przedstawiona oddzielnie w rozdziale 4, Konfigurowanie urz±dzeñ szeregowych, poniewa¿ ten temat nie dotyczy jedynie sieci TCP/IP, ale ma tak¿e zwi±zek z UUCP.
Rozdzia³ 5, Konfigurowanie sieci TCP/IP, pomaga skonfigurowaæ maszynê w sieci TCP/IP. Zawiera wskazówki instalacyjne dla samodzielnych hostów z w³±czonym jedynie interfejsem pêtli zwrotnej i hostów pod³±czonych do sieci Ethernet. Pokazuje tak¿e kilka przydatnych narzêdzi, których mo¿esz u¿ywaæ do testowania i debugowania swojej konfiguracji. Rozdzia³ 6, Us³ugi nazewnicze i konfigurowanie resolvera, wyja¶nia, jak skonfigurowaæ rozwi±zywanie nazw i uruchomiæ serwer nazw.
Rozdzia³ 7, IP ³±cza szeregowego, pokazuje, jak zestawiæ po³±czenie SLIP i szczegó³owo omawia dip - narzêdzie pozwalaj±ce na automatyzacjê wiêkszo¶ci niezbêdnych kroków. Rozdzia³ 8, Protokó³ punkt-punkt, jest po¶wiêcony PPP i pppd - demonowi PPP.
Rozdzia³ 9, Firewall TCP/IP, rozwija zagadnienia bezpieczeñstwa sieciowego i opisuje firewall TCP/IP dla Linuksa oraz narzêdzia do jego konfiguracji: ipfwadm, ipchains i iptables. Firewall IP zapewnia dok³adn± kontrolê nadal tym, kto dostaje siê do sieci i z jakiego hosta.
Rozdzia³ 10, Liczenie ruchu IP, wyja¶nia, jak skonfigurowaæ funkcjê liczenia ruchu IP w Linuksie, tak, aby ¶ledziæ, jak du¿y jest ruch wychodz±cy i kto go generuje.
Rozdzia³ 11, Maskowanie IP i translacja adresów sieciowych, omawia w³asno¶ci specjalnego typu oprogramowania sieciowego Linuksa zwanego maskowaniem IP, które pozwala ³±czyæ ze sob± ca³e sieci IP i korzystaæ z Internetu tylko przy u¿yciu jednego adresu IP, tak ¿e wewnêtrzna struktura sieci staje siê niewidoczna.
Rozdzia³ 12, Wa¿ne funkcje sieciowe, stanowi krótkie wprowadzenie do konfigurowania pewnych wa¿niejszych aplikacji sieciowych, takich jak rlogin, ssh i tym podobne. Rozdzia³ ten omawia równie¿ zarz±dzanie us³ugami przez inetd i podpowiada, w jaki sposób mo¿na zwiêkszyæ bezpieczeñstwo pewnych us³ug skierowanych do zaufanych hostów.
Rozdzia³ 13, System informacji sieciowej, i rozdzia³ 14, Sieciowy system plików, omawiaj± NIS i NFS. NIS to narzêdzie u¿ywane do dystrybuowania informacji administracyjnych, takich jak has³a u¿ytkownika w sieci lokalnej. NFS pozwala na wspó³dzielenie systemów plików pomiêdzy hostami w sieci.
W rozdziale 15, IPX i system plików NCP, omawiamy protokó³ IPX i system plików NCP. Pozwalaj± one zintegrowaæ Linuksa ze ¶rodowiskiem Novell Netware przez wspó³dzielenie plików oraz drukarek z maszynami nielinuksowymi.
Rozdzia³ 16, Zarz±dzanie UUCP Taylora, stanowi wyczerpuj±ce wprowadzenie do administrowania UUCP Taylora - darmow± implementacj± UUCP.
Pozosta³e rozdzia³y ksi±¿ki szczegó³owo przedstawiaj± pocztê elektroniczn± i grupy dyskusyjne Usenetu. Rozdzia³ 17, Poczta elektroniczna, wprowadza w g³ówne zagadnienia poczty elektronicznej, takie jak wygl±d adresów pocztowych i sposób, w jaki system obs³uguje pocztê, by dotar³a do adresata.
Rozdzia³ 18, Sendmail, i rozdzia³ 19, Exim, omawiaj± konfiguracjê programów sendmail i exim - dwóch ma³ych agentów transportowych, które mo¿esz wykorzystaæ w Linuksie. Przedstawiamy oba, poniewa¿ exim jest ³atwiejszy do zainstalowania dla pocz±tkuj±cego, a sendmail obs³uguje UUCP.
Od rozdzia³u 20, Grupy dyskusyjne, do rozdzia³u 23, Internet News, wyja¶niamy obs³ugê wiadomo¶ci Usenetu i sposób instalacji i u¿ywania C News, nntpd i INN - trzech popularnych pakietów oprogramowania do zarz±dzania wiadomo¶ciami Usenetu. Po krótkim wprowadzeniu w rozdziale 20, mo¿esz przeczytaæ rozdzia³ 21, C News, je¿eli chcesz przesy³aæ wiadomo¶ci za pomoc± C News - tradycyjnej us³ugi u¿ywanej wraz z UUCP. Kolejne rozdzia³y omawiaj± nowocze¶niejsze metody wykorzystuj±ce protokó³ internetowy NNTP (Network News Transport Protocol). Rozdzia³ 22, NNTP i demon nntpd, przedstawia sposób konfiguracji prostego demona NNTP o nazwie nntp, który zapewnia dostêp do czytania wiadomo¶ci w sieci lokalnej, za¶ rozdzia³ 23 opisuje silniejszy serwer do bardziej intensywnych transferów NetNews'ów: INN (InterNet News). I na koniec rozdzia³ 24, Konfigurowanie przegl±darki grup dyskusyjnych, pokazuje, jak skonfigurowaæ ró¿ne programy do czytania grup.
Konwencje zastosowane w tej ksi±¿ce
We wszystkich przyk³adach przedstawionych w tej ksi±¿ce zak³adamy, ¿e u¿ywasz pow³oki, która jest kompatybilna z sh. Standardow± pow³ok± wszystkich dystrybucji Linuksa jest bash kompatybilna z sh. Je¿eli korzystasz z csh, bêdziesz musia³ odpowiednio zmodyfikowaæ przyk³ady.

Poni¿ej przedstawiamy listê konwencji typograficznych u¿ytych w ksi±¿ce:
Czcionka pochy³a

U¿ywana do oznaczenia nazw plików i katalogów, programów i poleceñ, opcji wiersza poleceñ, adresów e-mail i ¶cie¿ki, URL i do podkre¶lenia nowych pojêæ.
Czcionka pogrubiona

U¿ywana do nazw maszyn, hostów, o¶rodków, u¿ytkowników i ID oraz, okazjonalnie, do podkre¶lania pojêæ.
Czcionka o sta³ej szeroko¶ci

U¿ywana w przyk³adach do pokazania zawarto¶ci kodu plików lub wyniku dzia³ania poleceñ oraz wskazywania zmiennych ¶rodowiskowych i s³ów kluczowych, które pojawiaj± siê w kodzie.
Czcionka pochy³a o sta³ej szeroko¶ci
U¿ywana do wskazania opcji zmiennych, s³ów kluczowych albo tekstu, który u¿ytkownik ma zast±piæ konkretn± warto¶ci±.
Czcionka pogrubiona o sta³ej szeroko¶ci
U¿ywana w przyk³adach do pokazania poleceñ lub innego tekstu, który powinien byæ wpisywany przez u¿ytkownika dos³ownie.

Ramka z t± ikon± zawiera ostrze¿enie. £atwo tu o b³±d, który mo¿e ¼le siê skoñczyæ dla twojego systemu lub jest trudny od naprawienia.


Ramka z t± ikon± zawiera komentarz do pobliskiego tekstu.


Zg³aszanie uwag
Informacje zawarte w tej ksi±¿ce sprawdzali¶my i weryfikowali¶my na tyle, na ile byli¶my w stanie, ale pewne rzeczy mog³y siê zmieniæ (lub my mogli¶my pope³niæ b³±d!). Bêdziemy wdziêczni za powiadomienie nas o wszelkich dostrze¿onych b³êdach oraz podzielenie siê swoimi sugestiami, co do przysz³ych wydañ. Prosimy pisaæ na adres:
O'Reilly & Associates, Inc.
101 Morris Street
Sebastopol, CA 95472
1-800-998-9938 (w USA lub Kanadzie)
1-707-829-0515 (miêdzynarodowy lub lokalny)
1-707-829-0104 (faks)

Mo¿esz nam tak¿e wysy³aæ wiadomo¶ci elektronicznie. Aby zapisaæ siê na listê dyskusyjn± lub poprosiæ o katalog, wy¶lij e-mail na adres:
info@oreilly.com
Aby poprosiæ o pomoc techniczn± lub komentarz na temat ksi±¿ki, wy¶lij e-mail na adres:
bookquestions@oreilly.com
Prowadzimy witrynê WWW dla niniejszej ksi±¿ki. Znajduj± siê na niej przyk³ady, errata i plany przysz³ych wydañ. Strona ta znajduje siê pod adresem:
http://www.oreilly.com/catalog/linag2
Wiêcej informacji na temat tej i innych ksi±¿ek znajdziesz w witrynie WWW wydawnictwa O'Reilly:
http://www.oreilly.com/
Podziêkowania
To wydanie Podrêcznika administratora sieci jest niemal wy³±czn± zas³ug± Olafa i Vince'a. Trudno doceniæ wysi³ek w³o¿ony w badania i napisanie tego typu ksi±¿ki, je¿eli nie zrobi siê tego samemu. Uaktualnianie ksi±¿ki by³o wyzwaniem - powa¿nym, ale dziêki dobrej podstawie tak¿e przyjemnym.
Ksi±¿ka wiele zawdziêcza tym, którzy po¶wiêcili czas na jej korektê i pomogli usun±æ wiele b³êdów, zarówno technicznych, jak i jêzykowych. W tym dzia³aniu znakomicie siê uzupe³niali Phil Hughes, John MacDonald i Erik Ratcliffe.
Serdeczne podziêkowania kierujemy do cz³onków zespo³u redakcyjnego wydawnictwa O'Reilly, z którymi mieli¶my przyjemno¶æ pracowaæ. Dziêkujemy Sarah Jane Shangraw, która nada³a ksi±¿ce obecny kszta³t; Maureen Dempsey, która redagowa³a tekst; Robowi Romano, Rhonowi Porterowi i Chrisowi Reilleyowi, którzy wykonali rysunki; Hannie Dyer, która zaprojektowa³a ok³adkê, Alicii Cech, Davidowi Futato i Jennifer Niedherst za uk³ad wewnêtrzny, Larsowi Kaufmanowi, który wpad³ na pomys³ zamieszczenia drzeworytów; Judy Hoer za indeks i na koniec Timowi O'Reilly'emu za odwagê podjêcia takiego projektu.
Na nasz± wdziêczno¶æ zas³u¿yli te¿ Andres Sepúlveda, Wolfgang Michaelis Michael K. Johnson i wszyscy programi¶ci, którzy po¶wiêcili wolny czas na sprawdzenie informacji zawartych w Podrêczniku administratora sieci. Phil Hughes, John MacDonald i Eric Ratcliffe zg³osili nieocenione komentarze do drugiego wydania. Chcemy równie¿ podziêkowaæ wszystkim, którzy przeczytali pierwsze wydanie ksi±¿ki i przys³ali poprawki i sugestie. Pe³n±, miejmy nadziejê, listê tych osób mo¿esz znale¼æ w pliku Thanks w wersji elektronicznej. Ostatecznie ta ksi±¿ka nie powsta³aby bez wsparcia Holgera Grothego, który udostêpni³ Olafowi pod³±czenie do Internetu, niezbêdne do powstania oryginalnej wersji.
Olaf chcia³by równie¿ podziêkowaæ nastêpuj±cym grupom i firmom, które wydrukowa³y pierwsze wydanie Podrêcznika administratora sieci i wspar³y finansowo zarówno jego osobê, jak i ca³y Projekt Dokumentacji Linuksa: Linux Support Team, Erlangen, Niemcy; S.u.S.E. GmbH, Fuerth, Niemcy; Linux System Labs, Inc., Clinton Twp., USA; RedHat Software, Pó³nocna Karolina, USA.
Terry dziêkuje swojej ¿onie Maggie, która niestrudzenie wspiera³a go w pracy na rzecz Projektu mimo wyzwania, jakie stawia³o przed ni± urodzenie ich pierwszego dziecka, Jacka. Ponadto dziêkuje wielu osobom ze spo³eczno¶ci Linuksa, dziêki którym osi±gn±³ poziom pozwalaj±cy mu na wziêcie udzia³u w tym przedsiêwziêciu. "Pomogê ci, je¿eli obiecasz pomóc za to komu¶ innemu".
Jest jeszcze wiele osób, poza ju¿ wspomnianymi, które przyczyni³y siê do powstania Podrêcznika administratora sieci. Zapoznali siê z nim i przesy³ali nam poprawki i sugestie. Jeste¶my im bardzo wdziêczni.
Oto lista tych, których dzia³alno¶æ pozostawi³a ¶lad w naszych folderach pocztowych.
Al Longyear, Alan Cox, Andres Sepúlveda, Ben Cooper, Cameron Spitzer, Colin McCormack, D.J. Roberts, Emilio Lopes, Fred N. van Kempen, Gert Doering, Greg Hankins, Heiko Eissfeldt, J.P. Szikora, Johannes Stille, Karl Eichwalder, Les Johnson, Ludger Kunz, Marc van Diest, Michael K. Johnson, Michael Nebel, Michael Wing, Mitch D'Souza, Paul Gortmaker, Peter Brouwer, Peter Eriksson, Phil Hughes, Raul Deluth Miller, Rich Braun, Rick Sladkey, Ronald Aarts, Swen Thüemmler, Terry Dawson, Thomas Quinot i Yury Shevchuk.


1
Wprowadzenie do sieci


Rozdzia³ 1: Wprowadzenie do sieci


Historia
Idea sieci jest prawdopodobnie tak stara jak sama komunikacja. Siêgnijmy do epoki kamiennej, kiedy to ludzie u¿ywali bêbnów do przesy³ania wiadomo¶ci. Za³ó¿my, ¿e jaskiniowiec A chce zaprosiæ jaskiniowca B do gry w rzucanie kamieniami, ale mieszkaj± oni zbyt daleko od siebie, by B us³ysza³ uderzenia A w bêben. Co mo¿e zrobiæ jaskiniowiec A? Mo¿e on 1) i¶æ do miejsca zamieszkania B, 2) u¿yæ wiêkszego bêbna lub 3) poprosiæ C, który mieszka w po³owie drogi pomiêdzy nimi, aby przekaza³ komunikat. Ostatni± mo¿liwo¶æ mo¿na nazwaæ sieci±.
Oczywi¶cie od czasów naszych przodków zmieni³y siê metody i urz±dzenia s³u¿±ce komunikacji. Obecnie mamy komputery po³±czone ze sob± zwojami drutów, ¶wiat³owodami, mikrofalami i tym podobnymi; za ich pomoc± umawiamy siê na sobotni mecz pi³ki no¿nej*. Poni¿ej opiszemy, jakimi ¶rodkami i metodami mo¿na nak³oniæ komputery do porozumiewania siê, choæ pominiemy i druty, i pi³kê no¿n±. 
W tym przewodniku opiszemy trzy typy sieci. G³ównie skupimy siê na sieciach opartych na TCP/IP, który jest najpopularniejszym zestawem protoko³ów stosowanym zarówno w sieciach lokalnych (Local Area Networks - LAN), jak i w sieciach rozleg³ych (Wide Area Networks - WAN), takich jak Internet. Przyjrzymy siê równie¿ protoko³om UUCP i IPX. Swego czasu UUCP by³ powszechnie u¿ywany do przesy³ania wiadomo¶ci Usenet i poczty przez komutowane po³±czenia telefoniczne. Obecnie jest mniej popularny, ale wci±¿ bywa przydatny w pewnych sytuacjach. Protokó³ IPX jest u¿ywany przewa¿nie w ¶rodowisku Novell NetWare. Opiszemy, jak wykorzystaæ go do pod³±czenia maszyny linuksowej do sieci Novell. Ka¿dy z wymienionych protoko³ów jest protoko³em sieciowym s³u¿±cym do przesy³ania danych pomiêdzy komputerami. Omówimy, jak s± one u¿ywane, i poka¿emy rz±dz±ce nimi zasady.
Sieæ definiujemy jako zbiór hostów, które s± w stanie komunikowaæ siê ze sob±, czêsto za po¶rednictwem pewnych wybranych spo¶ród nich hostów, które rozsy³aj± dane pomiêdzy uczestników. Hosty to czêsto komputery, ale nie zawsze - za hosty mo¿na uznaæ tak¿e X terminale czy inteligentne drukarki. Niewielkie zbiorowiska hostów s± nazywane równie¿ o¶rodkami (ang. sites).
Komunikacja nie jest mo¿liwa bez pewnego rodzaju jêzyka czy kodu. W sieciach komputerowych te jêzyki s± nazywane protoko³ami. Jednak protoko³u sieciowego nie powiniene¶ kojarzyæ z pisemnym sprawozdaniem z zebrania. Trafniejsza jest analogia do sformalizowanych regu³ zachowania obowi±zuj±cych, gdy na przyk³ad spotykaj± siê g³owy pañstw, czyli do protoko³u dyplomatycznego. Podobne protoko³y u¿ywane w sieciach komputerowych to po prostu sztywne zasady wymiany komunikatów pomiêdzy dwoma lub wiêcej hostami.
Sieci TCP/IP
Nowoczesne aplikacje sieciowe wymagaj± wyrafinowanego podej¶cia do przesy³ania danych z jednej maszyny do drugiej. Je¿eli zarz±dzasz maszyn± z Linuksem, z której korzysta wielu u¿ytkowników, to mo¿e siê zdarzyæ, ¿e wszyscy jednocze¶nie bêd± chcieli po³±czyæ siê ze zdalnymi hostami w sieci. Potrzebujesz wiêc sposobu, który pozwoli im wspó³dzieliæ po³±czenie sieciowe bez przeszkadzania sobie wzajemnie. Rozwi±zanie, które wykorzystuje wiele wspó³czesnych protoko³ów sieciowych, nazywane jest prze³±czaniem pakietów. Pakiet to ma³a porcja danych, przesy³ana przez sieæ z jednej maszyny do drugiej. Prze³±czanie wystêpuje w momencie, gdy datagram jest przenoszony przez dowolne ³±cze w sieci. W sieci z prze³±czaniem pakietów jedno ³±cze jest wspó³dzielone przez wielu u¿ytkowników w ten sposób, ¿e przez to ³±cze pakiety s± wysy³ane kolejno od jednego u¿ytkownika do drugiego.
Rozwi±zanie, które przyjê³o siê w wielu systemach Unix, a nastêpnie tak¿e w systemach nieuniksowych, nosi nazwê TCP/IP. Przy omawianiu sieci TCP/IP spotkasz siê z okre¶leniem datagram, które jest czêsto u¿ywane wymiennie z okre¶leniem pakiet, choæ ma te¿ inne, techniczne znaczenie. W tym podrozdziale przyjrzymy siê podstawowym pojêciom zwi±zanym z TCP/IP.
Wprowadzenie do sieci TCP/IP
Pocz±tki TCP/IP siêgaj± programu badawczego finansowanego przez amerykañsk± agencjê rz±dow± DARPA (Defense Advanced Research Projects Agency) w 1969 roku. ARPANET by³a sieci± eksperymentaln±, która w 1975 roku, po latach zakoñczonych sukcesem badañ, sta³a siê sieci± operacyjn±.
W 1983 roku jako standard przyjêto nowy zestaw protoko³ów o nazwie TCP/IP, którego mia³y u¿ywaæ wszystkie hosty w sieci. Ostatecznie ARPANET przekszta³ci³ siê w Internet (sam ARPANET przesta³ istnieæ w 1990 roku), a zestaw TCP/IP jest stosowany tak¿e poza nim. Wiele firm stworzy³o korporacyjne sieci TCP/IP, a Internet osi±gn±³ poziom, w którym mo¿na go uznaæ za wszechobecn± technologiê. Trudno jest, czytaj±c gazetê lub czasopismo, nie zauwa¿yæ odno¶ników do Internetu - prawie ka¿dy ma dzi¶ do niego dostêp.
Aby nasze rozwa¿ania o TCP/IP oprzeæ na czym¶ konkretnym, we¼my jako przyk³ad sieæ uniwersytetu Groucho Marx (GMU), znajduj±cego siê gdzie¶ w Fredland. Wiêkszo¶æ wydzia³ów tej uczelni posiada w³asne sieci lokalne, jednak niektóre wspó³dziel± jedn± sieæ, a inne maj± ich po kilka. Wszystkie one s± po³±czone ze sob± i pod³±czone do Internetu poprzez jedno szybkie ³±cze.
Za³ó¿my, ¿e twój linuksowy komputer jest pod³±czony do sieci LAN zbudowanej z hostów uniksowych na wydziale matematyki i nazywa siê erdos. Aby dostaæ siê do hosta, powiedzmy quark, na wydziale fizyki, wprowadzasz nastêpuj±ce polecenie:

$ rlogin quark.physics
Welcome to the Physics Department at GMU
(ttyq2) login:

Po monicie wpisujesz nazwê u¿ytkownika, powiedzmy andres, i swoje has³o. Nastêpnie uzyskujesz dostêp do pow³oki* komputera quark, w której mo¿esz pisaæ tak, jakby¶ siedzia³ przy jego konsoli. Gdy wyjdziesz z pow³oki, powracasz do monitu w³asnej maszyny. W³a¶nie u¿y³e¶ jednej z natychmiastowych, interaktywnych aplikacji, udostêpnianych przez TCP/IP: zdalnego logowania.
Gdy jeste¶ zalogowany do maszyny quark, mo¿esz równie¿ uruchomiæ aplikacjê graficzn±, np. program procesora tekstów, program do rysowania czy przegl±darkê WWW. System X Window jest w pe³ni sieciowym ¶rodowiskiem graficznym, dostêpnym dla wielu ró¿nych systemów komputerowych. Aby powiedzieæ aplikacji, ¿e chcesz, aby na ekranie twojego hosta ukazywa³y siê jej okna, musisz ustawiæ zmienn± ¶rodowiskow± DISPLAY:

$ DISPLAY=erdos.maths:0.0
$ export DISPLAY

Je¿eli teraz uruchomisz swoj± aplikacjê, skontaktuje siê ona z twoim X serwerem, a nie z tym dzia³aj±cym na quarku, i wy¶wietli wszystkie okna na twoim ekranie. Oczywi¶cie na erdosie musi dzia³aæ X11. Istota sprawy polega na tym, ¿e TCP/IP pozwala quarkowi i erdosowi na wysy³anie pakietów X11 w tê i z powrotem, st±d masz wra¿enie, ¿e znajdujesz siê w jednym systemie. Sieæ jest tu niemal przezroczysta.
Kolejn± bardzo wa¿n± aplikacj± TCP/IP jest NFS. Jej nazwa to skrót od s³ów Network File System (sieciowy system plików). Jest to inny sposób na spowodowanie, by sieæ by³a przezroczysta. NFS pozwala na traktowanie hierarchii katalogów z innych hostów tak, jakby by³y one lokalnymi systemami plików, i sprawia, ¿e wygl±daj± one jak inne katalogi na twoim ho¶cie. Na przyk³ad katalogi domowe wszystkich u¿ytkowników mog± byæ przechowywane na serwerze centralnym, z którego mog± je montowaæ wszystkie hosty w sieci LAN. W efekcie u¿ytkownicy mog± logowaæ siê do dowolnej maszyny i znale¼æ siê w tym samym katalogu. Podobnie mo¿liwe jest wspó³dzielenie du¿ej liczby danych (takich jak bazy danych, dokumentacje czy aplikacje) przez wiele hostów w ten sposób, ¿e na serwerze jest utrzymywana jedna baza danych, do której maj± dostêp inne hosty. Do NFS-u powrócimy w rozdziale 14, Sieciowy system plików.
Oczywi¶cie s± to tylko przyk³ady tego, co mo¿esz zrobiæ w sieciach TCP/IP. Mo¿liwo¶ci s± prawie nieograniczone i podczas lektury tej ksi±¿ki poznasz ich wiêcej.
Teraz przyjrzymy siê bli¿ej sposobowi dzia³ania TCP/IP. Wiedza ta pomo¿e ci zrozumieæ, jak musisz skonfigurowaæ swój komputer i dlaczego. Rozpoczniemy od analizy sprzêtu.
Ethernet
Najpopularniejszym rodzajem sprzêtu w sieci lokalnej jest Ethernet. W najprostszej postaci sk³ada siê z jednego kabla i hostów pod³±czonych do niego przez wtyczki lub transceivery. Prosta instalacja ethernetowa jest stosunkowo niedroga, co wraz z przepustowo¶ci± sieci rzêdu 10, 100 czy nawet 1000 megabitów na sekundê przyczyni³o siê do du¿ej popularno¶ci tego standardu sprzêtowego.
Ethernet wystêpuje w trzech odmianach: cienki, gruby i skrêtkowy. Cienki Ethernet i gruby Ethernet wykorzystuj± kable wspó³osiowe, które ró¿ni± siê ¶rednic± i sposobem pod³±czania kabla do hosta. Cienki Ethernet wykorzystuje z³±cza "BNC" w kszta³cie litery T, które wk³adasz w kabel i wkrêcasz do gniazda z ty³u komputera. Gruby Ethernet wymaga wywiercenia niewielkiej dziurki w kablu i pod³±czenia transceivera za pomoc± "zaczepu wampirowego" (ang. vampire tap). Nastêpnie do transceivera mo¿na pod³±czyæ hosty (jeden lub wiêcej). Cienki kabel ethernetowy mo¿e mieæ maksymalnie 200 metrów d³ugo¶ci, za¶ kabel gruby - 500; ich nazwy to, odpowiednio, 10base-2 i 10base-5. "Base" odnosi siê do modulacji pasma podstawowego (ang. baseband modulation) i po prostu oznacza, ¿e dane s± wysy³ane do kabla bezpo¶rednio, bez ¿adnego modemu. Liczba na pocz±tku oznacza prêdko¶æ w megabitach na sekundê, a liczba na koñcu maksymaln± d³ugo¶æ kabla w setkach metrów. Sieæ skrêtkowa wykorzystuje kabel zbudowany z dwóch par drutów miedzianych i zwykle wymaga dodatkowego urz±dzenia zwanego hubem aktywnym. Sieæ skrêtkowa jest tak¿e znana pod nazw± 10base-T, gdzie "T" oznacza skrêtkê. Wersja sieci dzia³aj±ca z prêdko¶ci± 100 megabitów nosi nazwê 100base-T.
Aby dodaæ host do sieci zbudowanej w oparciu o cienki Ethernet, musisz przerwaæ jej dzia³anie na co najmniej kilka minut, poniewa¿ trzeba roz³±czyæ kabel i do³o¿yæ wtyczki. Chocia¿ dodanie hosta do instalacji zbudowanej w oparciu o gruby Ethernet jest nieco bardziej skomplikowane, zwykle nie wymaga wy³±czenia sieci. Ethernet oparty na skrêtce jest jeszcze mniej k³opotliwy. Wykorzystuje urz±dzenie zwane hubem. Pe³ni ono rolê punktu pod³±czeniowego. Mo¿esz do³±czaæ hosty do huba lub od³±czaæ je bez przerywania pracy ca³ej sieci.
Wiele osób woli cienki Ethernet w ma³ych sieciach, poniewa¿ jest on niedrogi. Karty PC kosztuj± oko³o 30 USD (obecnie wiele firm dos³ownie je wyrzuca), a kabel - kilka centów za metr. Jednak w du¿ych instalacjach lepszy jest gruby Ethernet lub skrêtka. Na przyk³ad na wydziale matematyki GMU pierwotnie wybrano gruby Ethernet, poniewa¿ kabel musia³ byæ d³ugi, a wiêc ruch nie mo¿e byæ zak³ócany za ka¿dym razem, gdy do sieci jest dodawany nowy host. Instalacje skrêtkowe s± obecnie bardzo popularne. Huby taniej±, a mniejsze jednostki mo¿na dostaæ za cenê, która jest atrakcyjna nawet dla ma³ych sieci domowych. Okablowanie skrêtkowe mo¿e byæ znacznie tañsze w przypadku du¿ych instalacji, a sam kabel jest du¿o bardziej elastyczny ni¿ kable wspó³osiowe u¿ywane w innych rodzajach sieci Ethernet. Administratorzy sieci na wydziale matematyki GMU planuj± w przysz³ym roku finansowym wymieniæ istniej±ce okablowanie i urz±dzenia na skrêtkowe, by unowocze¶niæ sieæ i zaoszczêdziæ czas przy instalowaniu nowych hostów i przenoszeniu istniej±cych z miejsca na miejsce.
Jedn± z wad technologii Ethernet jest ograniczenie d³ugo¶ci kabla, co uniemo¿liwia jej zastosowanie w sieciach innych ni¿ LAN. Jednak za pomoc± wzmacniaków (ang. repeater), bryd¿y i ruterów mo¿liwe jest ³±czenie ze sob± segmentów sieci Ethernet. Wzmacniaki po prostu kopiuj± sygna³y pomiêdzy dwoma lub wiêcej segmentami tak, ¿e wszystkie segmenty dzia³aj± jakby to by³a jedna sieæ Ethernet. Ze wzglêdu na wymagania czasowe, mo¿na umie¶ciæ co najwy¿ej cztery wzmacniaki pomiêdzy dwoma hostami w sieci. Bryd¿e i rutery s± bardziej inteligentne. Analizuj± nadchodz±ce dane i przekazuj± je tylko wtedy, je¿eli docelowy host nie znajduje siê w sieci lokalnej.
Ethernet dzia³a na zasadzie systemu magistralowego, gdzie host mo¿e wysy³aæ pakiety (lub ramki) o wielko¶ci do 1500 bajtów do innego hosta w tej samej sieci Ethernet. Host jest identyfikowany za pomoc± sze¶ciobajtowego adresu trwale zapisanego w oprogramowaniu firmowym interfejsu karty sieciowej Ethernet (Network Interface Card, NIC). Adresy te s± zwykle sekwencj± dwucyfrowych liczb szesnastkowych oddzielonych dwukropkami, czyli na przyk³ad aa:bb:cc:dd:ee:ff.
Ramkê wysy³an± przez jedn± stacjê widz± wszystkie pod³±czone stacje, ale tylko host, dla którego jest przeznaczona, odczytuje j± i przetwarza. Je¿eli dwie stacje próbuj± wys³aæ ramkê w tym samym czasie, dochodzi do kolizji. Kolizje w sieci Ethernet s± wykrywane bardzo szybko przez elektronikê kart interfejsu i s± rozwi±zywane przez przerwanie wysy³ania z obu stacji, odczekanie przez ka¿d± z nich losowego przedzia³u czasu i ponown± próbê transmisji. Nieraz spotkasz siê z opini±, ¿e kolizje w Ethernecie s± problemem i ¿e przez nie wykorzystanie Ethernetu wynosi zaledwie oko³o 30 procent dostêpnego pasma. Kolizje s± zjawiskiem typowym dla sieci Ethernet i nie powiniene¶ byæ zaskoczony, zw³aszcza je¶li sieæ jest przeci±¿ona. Mo¿e ich byæ maksymalnie 30 procent. Wykorzystanie sieci Ethernet jest w rzeczywisto¶ci ograniczone do oko³o 60 procent - dopiero je¿eli nie osi±gniesz tej warto¶ci, to mo¿esz zacz±æ siê martwiæ*.
Inne typy urz±dzeñ
W wiêkszych instalacjach, takich jak na uniwersytecie Groucho Marx, Ethernet zwykle nie jest jedynym typem u¿ywanego sprzêtu. Istnieje wiele innych protoko³ów przesy³ania danych, które mo¿na wykorzystywaæ. Wszystkie wymienione poni¿ej protoko³y s± obs³ugiwane przez Linuksa, ale ze wzglêdu na ograniczon± ilo¶æ miejsca przedstawimy je skrótowo. Szczegó³owy opis wielu innych protoko³ów znajduje siê w odpowiednich dokumentach HOWTO, mo¿esz tam zajrzeæ, je¿eli jeste¶ zainteresowany poznaniem tych, których nie opisujemy w naszej ksi±¿ce.
Na uniwersytecie Groucho Marx sieæ LAN ka¿dego wydzia³u jest pod³±czona do szybkiej sieci szkieletowej, w której wykorzystano ¶wiat³owód i technologiê sieciow± FDDI (Fiber Distributed Data Interface). FDDI prezentuje ca³kiem inne podej¶cie do przesy³ania danych, zasadniczo polegaj±ce na wysy³aniu ¿etonów (ang. tokens). Stacja ma prawo wys³aæ ramkê tylko wtedy, je¿eli wcze¶niej odbierze ¿eton. G³ówn± zalet± protoko³u przekazywania ¿etonów jest zmniejszenie liczby kolizji. Protokó³ mo¿e du¿o pro¶ciej osi±gn±æ pe³n± prêdko¶æ przesy³ania, w przypadku FDDI do 100 Mb/s. FDDI oparte na ¶wiat³owodzie ma wiele zalet, poniewa¿ dopuszczalna d³ugo¶æ kabla jest du¿o wiêksza ni¿ w technologiach wykorzystuj±cych zwyk³y kabel miedziany. Limit wynosi tutaj oko³o 200 km, co sprawia, ¿e FDDI znakomicie nadaje siê do ³±czenia wielu budynków w mie¶cie lub, tak jak w naszym przyk³adzie, wielu budynków campusu.
Podobnie je¿eli w okolicy znajduj± siê urz±dzenia sieciowe firmy IBM, prawdopodobnie zainstalowano sieæ IBM Token Ring. Token Ring jest stosowana jako alternatywa dla Ethernetu w niektórych sieciach LAN i ma te same zalety co FDDI, je¶li chodzi o prêdko¶æ, ale mniejsz± przepustowo¶æ (4 lub 16 Mb/s). Jest te¿ tañsza, poniewa¿ wykorzystuje kabel miedziany, a nie ¶wiat³owodowy. W Linuksie sieæ Token Ring jest konfigurowana prawie tak samo jak Ethernet, a wiêc nie musimy jej tutaj po¶wiêcaæ wiêcej uwagi.
W sieciach lokalnych LAN mog± byæ te¿ stosowane inne technologie, takie jak ArcNet czy DECNet, choæ obecnie ju¿ raczej sporadycznie. Linux równie¿ je obs³uguje, ale nie bêdziemy ich tu opisywaæ.
Wiele sieci pañstwowych obs³ugiwanych przez firmy telekomunikacyjne wykorzystuje protoko³y prze³±czania pakietów. Chyba najwiêksz± popularno¶ci± cieszy siê standard o nazwie X.25. Wiele sieci publicznych, takich jak Tymnet w USA, Austpac w Australii i Datex-P w Niemczech, oferuje tê us³ugê. X.25 definiuje zestaw protoko³ów sieciowych, które opisuj±, jak urz±dzenie bêd±ce terminalem danych, takie jak host, ³±czy siê ze urz±dzeniem do przesy³ania danych (prze³±cznikiem X.25). X.25 wymaga synchronicznego ³±cza danych, a zatem specjalnego synchronicznego portu szeregowego. Mo¿na stosowaæ X.25 z normalnymi portami szeregowymi pod warunkiem, ¿e ma siê specjalne urz±dzenie o nazwie PAD (Packet Assembler Disassembler). PAD jest samodzielnym urz±dzeniem udostêpniaj±cym synchroniczne i asynchroniczne porty szeregowe. Obs³uguje protokó³ X.25, tak wiêc proste urz±dzenia terminalowe mog± nawi±zywaæ i przyjmowaæ po³±czenia realizowane za pomoc± tego protoko³u. X.25 jest czêsto u¿ywany do przesy³ania innych protoko³ów sieciowych, takich jak TCP/IP. Poniewa¿ datagramy IP nie mog± byæ w prosty sposób przet³umaczone na X.25 (lub odwrotnie), s± one enkapsulowane w pakietach X.25 i wysy³ane przez sieæ. W Linuksie dostêpna jest eksperymentalna implementacja protoko³u X.25.

Nowszym protoko³em, powszechnie oferowanym przez firmy telekomunikacyjne, jest Frame Relay. Pod wzglêdem technicznym ma on wiele wspólnego z protoko³em X.25, ale w dzia³aniu bardziej przypomina protokó³ IP. Podobnie jak X.25, tak Frame Relay wymaga specjalnego synchronicznego portu szeregowego. St±d wiele kart obs³uguje oba te protoko³y. Alternatyw± jest urz±dzenie nazywane Frame Relay Access Device (FRAD) obs³uguj±ce enkapsulacjê pakietów Ethernet w pakietach Frame Relay na czas transmisji w sieci. Frame Relay znakomicie nadaje siê do przesy³ania pakietów TCP/IP pomiêdzy o¶rodkami. Linux jest wyposa¿ony w sterowniki, które obs³uguj± pewne typy wewnêtrznych urz±dzeñ Frame Relay.
Je¿eli potrzebujesz szybszej sieci, która bêdzie przesy³aæ wiele ró¿nych i nietypowych rodzajów danych, takich jak cyfrowo zapisany g³os i wideo, to zapewne zainteresuje ciê ATM (Asynchronous Transfer Mode). ATM jest now± technologi± sieciow±, która zosta³a zaprojektowana tak, by zapewniæ ³atwe zarz±dzanie, du¿± prêdko¶æ, ma³e opó¼nienia przy przesy³aniu danych i kontrolê nad jako¶ci± us³ug (Quality of Service - QS). Wiele firm telekomunikacyjnych, które licz± na usprawnienie zarz±dzania sieci± i jej obs³ugi, siêga po infrastrukturê sieci ATM, poniewa¿ pozwala ona ³±czyæ wiele ró¿nych us³ug sieciowych na jednej platformie. ATM jest czêsto u¿ywana do przesy³ania protoko³u TCP/IP. W Networking-HOWTO znajdziesz informacje na temat obs³ugi ATM-u przez Linuksa.
Czêsto radioamatorzy wykorzystuj± swój sprzêt do ³±czenia komputerów w sieæ - powszechnie nosi to nazwê radia pakietowego (ang. packet radio). Jednym z protoko³ów wykorzystywanych przez nich jest AX.25, w pewnym stopniu oparty na X.25. Radioamatorzy u¿ywaj± protoko³u AX.25 do przesy³ania TCP/IP, a tak¿e innych protoko³ów. AX.25, podobnie jak X.25, wymaga urz±dzenia szeregowego, które mo¿e dzia³aæ w trybie synchronicznym lub urz±dzenia zewnêtrznego o nazwie Terminal Node Controller, które konwertuje pakiety przesy³ane przez ³±cze asynchroniczne na pakiety przesy³ane synchronicznie. Istnieje szereg ró¿nych kart interfejsów obs³uguj±cych radio pakietowe - mówi siê, ¿e s± to karty oparte na Z8530 SCC. Nazwa ta odnosi siê do najpopularniejszego kontrolera komunikacyjnego u¿ywanego do ich budowy. Dwa inne protoko³y, czêsto przesy³ane przez AX.25, to NetRom i Rose - s± to protoko³y warstwy sieciowej. Poniewa¿ protoko³y te dzia³aj± w oparciu o AX.25, maj± te same wymagania sprzêtowe. Linux w pe³ni implementuje protoko³y AX.25, NetRom i Rose. AX25-HOWTO jest dobrym ¼ród³em informacji na temat implementacji tych protoko³ów w Linuksie.
Dostêp do Internetu mo¿na równie¿ uzyskaæ poprzez po³±czenia komutowane do systemu centralnego korzystaj±ce z wolnych, ale tanich ³±czy szeregowych (telefon, ISDN i tym podobne). Wymagaj± one jeszcze innych protoko³ów przesy³ania pakietów, takich jak SLIP czy PPP. Opiszemy je pó¼niej. 
Protokó³ internetowy (IP)
Zapewne szczytem twoich marzeñ nie jest sieæ oparta na jednym po³±czeniu ethernetowym lub typu punkt-punkt. Idealnie by³oby, gdyby¶ móg³ ³±czyæ siê z hostem bez wzglêdu na to, jakiego typu ³±czem fizycznym jest pod³±czony do sieci. Na przyk³ad w du¿ych instalacjach, takich jak na przyk³adowym uniwersytecie Groucho Marx, zwykle masz kilka oddzielnych sieci, które s± w pewien sposób ze sob± po³±czone. Wydzia³ matematyki ma dwie sieci Ethernet, jedn± z szybkimi maszynami dla profesorów i absolwentów, a drug± z wolnymi komputerami dla studentów. Obie s± pod³±czone do szkieletowej sieci FDDI w campusie.
Po³±czenie to jest obs³ugiwane przez dedykowany host zwany gatewayem, który obs³uguje nadchodz±ce i wychodz±ce pakiety, kopiuj±c je miêdzy dwoma Ethernetami i kablem optycznym w sieci FDDI. Na przyk³ad gdyby¶ by³ na wydziale matematyki i chcia³by¶ dostaæ siê ze swojego Linuksa do komputera quark na wydziale fizyki, oprogramowanie sieciowe nie wys³a³oby pakietów bezpo¶rednio do komputera quark, poniewa¿ nie znajduje siê on w tym samym segmencie Ethernet. W tym wypadku jako przeka¼nik zostanie wykorzystany gateway. Gateway (o nazwie sophus) przekazuje te pakiety poprzez sieæ szkieletow± do gatewaya niels na wydziale fizyki. Dopiero niels dostarcza je do docelowej maszyny. Przep³yw danych pomiêdzy komputerami erdos i quark pokazano na rysunku 1-1.

Rysunek 1-1. Trzy etapy wysy³ania datagramu z erdosa do quarka
http://www.rm.com.pl/upgr/lpas/01-01.tif

Taki sposób przekazywania danych do zdalnego hosta nazywa siê rutowaniem, a w tym kontek¶cie pakiety czêsto s± nazywane datagramami. Aby upro¶ciæ opisan± procedurê, wymianê datagramów niezale¿nie od stosowanych urz±dzeñ, powierza siê zawsze temu samemu protoko³owi, który nosi nazwê protoko³u internetowego (Internet Protocol - IP). W rozdziale 2, Wybrane problemy sieci TCP/IP, opiszemy bardziej szczegó³owo zarówno IP, jak i ruting.
G³ówn± zalet± IP jest to, ¿e przekszta³ca on fizycznie ró¿ne od siebie sieci w jedn±, stuprocentowo homogeniczn± sieæ. Nazywa siê to wspó³dzia³aniem miêdzysieciowym (ang. internetworking), a uzyskana "metasieæ" to internet. Zwróæ tutaj uwagê na subteln± ró¿nicê pomiêdzy nazwami "internet" a "Internet". Ta ostatnia to nazwa w³asna konkretnego internetu o globalnym zasiêgu. 
Oczywi¶cie IP wymaga tak¿e niezale¿nego od sprzêtu schematu adresowania. Taki schemat to unikalny 32-bitowy numer przypisywany ka¿demu hostowi, zwany adresem IP. Adres IP ma zwykle postaæ czterech liczb dziesiêtnych, oddzielonych kropkami, po jednej liczbie na ka¿dy 8-bitowy segment. Na przyk³ad quark móg³by mieæ adres IP o postaci 0x954C0C04, który by³by zapisany jako 149.76.12.4. Format ten jest równie¿ nazywany kropkow± notacj± dziesiêtn± (ang. dotted decimal notation), a czasem kropkow± notacj± czwórkow± (ang. dotted quad notation). Dla adresów IP coraz czê¶ciej spotyka siê nazwê IPv4 (od Internet Protocol Version 4), poniewa¿ nowy standard o nazwie IPv6 oferuje du¿o bardziej elastyczny sposób adresowania oraz inne, nowoczesne w³asno¶ci. Ale minie co najmniej rok od wydania tej ksi±¿ki, zanim wejdzie on w ¿ycie.
Zapewne ju¿ zauwa¿y³e¶, ¿e mamy teraz trzy ró¿ne typy adresów: pierwszy to nazwa hosta, jak quark, nastêpnie adres IP i jeszcze adresy sprzêtowe, takie jak 6-bajtowy adres ethernetowy. Wszystkie te adresy w pewien sposób musz± do siebie pasowaæ, tak ¿eby po napisaniu rlogin quark, oprogramowanie sieciowe mog³o podaæ adres IP komputera quark, a nastêpnie znale¼æ adres ethernetowy odpowiadaj±cy adresowi IP, wtedy gdy IP dostarczy ju¿ dane do sieci Ethernet na wydziale fizyki.
Sytuacjê tê omówimy w rozdziale 2. Teraz wystarczy zapamiêtaæ, ¿e wyszukiwanie adresów jest nazywane albo rozwi±zywaniem nazwy hosta, je¶li dotyczy zamiany nazw hostów na adresy IP, albo rozwi±zywaniem adresów, je¶li ma nast±piæ zamiana tych drugich na adresy sprzêtowe.
IP w ³±czach szeregowych
W ³±czach szeregowych obowi±zuje standard znany jako SLIP (Serial Line IP - protokó³ internetowy ³±cza szeregowego). Zmodyfikowana wersja SLIP, znana pod nazw± CSLIP (Compressed SLIP - SLIP z kompresj±), kompresuje nag³ówki IP, co pozwala lepiej wykorzystaæ relatywnie ma³± przepustowo¶æ cechuj±c± wiêkszo¶æ ³±czy szeregowych. Innym protoko³em szeregowym jest PPP (Point-to-Point Protocol - protokó³ punkt-punkt). PPP jest bardziej nowoczesny, ni¿ SLIP i posiada ró¿ne w³a¶ciwo¶ci, które stanowi± o jego wiêkszej atrakcyjno¶ci. Jego g³ówn± zalet± w stosunku do SLIP jest to, ¿e nie ogranicza siê do przesy³ania datagramów IP, ale jest zaprojektowany tak, by mo¿na by³o przez niego przesy³aæ dowolny protokó³.
Protokó³ kontroli transmisji (TCP)
Wysy³anie datagramów z jednego hosta do innego to nie wszystko. Je¿eli zalogujesz siê do quarka, bêdziesz chcia³ mieæ niezawodne po³±czenie pomiêdzy twoim procesem rlogin na erdosie a procesem pow³oki na quarku. Tak, wiêc informacja wys³ana tam i z powrotem musi byæ podzielona na pakiety przez nadawcê i ponownie po³±czona w ci±g znaków przez odbiorcê. Choæ wydaje siê to trywialne, jest jednak czynno¶ci± do¶æ z³o¿on±.
Nale¿y pamiêtaæ, ¿e IP jest z za³o¿enia protoko³em zawodnym. Za³ó¿my, ¿e dziesiêæ osób w twojej sieci Ethernet rozpoczê³o pobieranie najnowszej wersji kodu ¼ród³owego przegl±darki Netscape z serwera FTP nale¿±cego do przyk³adowego uniwersytetu. Wygenerowany w ten sposób ruch mo¿e byæ za du¿y dla gatewaya, który jest za wolny, i ma za ma³o pamiêci. Je¿eli teraz zdarzy siê, ¿e wy¶lesz pakiet do quarka, sophusowi mo¿e zabrakn±æ przez chwilê miejsca na buforowanie i nie bêdzie w stanie przekazaæ twojego pakietu. W tej sytuacji IP po prostu gubi pakiet, który znika bezpowrotnie. Dlatego to komunikuj±ce siê hosty s± odpowiedzialne za sprawdzenie integralno¶ci i kompletno¶ci danych oraz ich ponown± transmisjê w przypadku b³êdu.
To zadanie jest realizowane przez inny protokó³ - TCP (Transmission Control Protocol), który jest niezawodn± us³ug± ponad IP. Istotn± w³asno¶ci± TCP jest to, ¿e u¿ywa on IP, by daæ ci wra¿enie prostego po³±czenia pomiêdzy dwoma procesami, odpowiednio na twoim ho¶cie i zdalnej maszynie, a wiêc nie musisz martwiæ siê o to, jak i którêdy s± w rzeczywisto¶ci przesy³ane twoje dane. Po³±czenie TCP dzia³a w rzeczywisto¶ci jak dwukierunkowy potok, do którego oba procesy mog± zapisywaæ i odczytywaæ. Dobra jest tu analogia do rozmowy telefonicznej.
TCP identyfikuje punkty koñcowe ka¿dego po³±czenia po adresach IP dwóch komunikuj±cych siê hostów i numerach portów na ka¿dym z nich. Porty mog± byæ postrzegane jako punkty zaczepienia po³±czeñ sieciowych. Gdyby¶my wrócili do przyk³adu z rozmow± telefoniczn±, to mo¿na sobie wyobraziæ, ¿e hosty to miasta, za¶ adresy IP to numery kierunkowe (gdzie numery odwzorowuj± miasta), a numery portów to konkretne numery lokalne (gdzie numery odwzorowuj± indywidualne numery telefonów). Pojedynczy host mo¿e realizowaæ wiele ró¿nych us³ug, rozpoznawanych po numerze portu.
W przyk³adzie rlogin, aplikacja klienta (rlogin) otwiera port na ho¶cie erdos i ³±czy siê z portem 513 hosta quark, na którym nas³uchuje serwer rlogind. W ten sposób zostaje nawi±zane po³±czenie TCP. Za pomoc± tego po³±czenia rlogind przeprowadza procedurê autoryzacji, a nastêpnie uruchamia pow³okê. Standardowe wej¶cie i wyj¶cie pow³oki s± przekierowywane na po³±czenie TCP, a wiêc wszystko, co napiszesz w aplikacji rlogin na swojej maszynie, zostanie przekazane przez strumieñ TCP i podane pow³oce jako standardowe wej¶cie.
Protokó³ datagramów u¿ytkownika (UDP)
Oczywi¶cie TCP nie jest jedynym protoko³em u¿ytkownika w sieci TCP/IP. Choæ jest odpowiedni dla aplikacji takich jak rlogin, jego z³o¿ono¶æ uniemo¿liwia wykorzystanie go w aplikacjach, takich jak NFS, które z kolei u¿ywaj± bratniego protoko³u - UDP (User Datagram Protocol - protokó³ datagramów u¿ytkownika). Podobnie jak TCP, UDP pozwala aplikacji na ³±czenie siê z us³ug± na pewnym porcie zdalnej maszyny, ale bez zestawiania po³±czenia. Mo¿na go wykorzystaæ do wysy³ania pojedynczych pakietów do docelowej us³ugi - st±d nazwa.
Za³ó¿my, ¿e chcesz poprosiæ o niewielk± porcjê danych z serwera baz danych. Zestawienie po³±czenia TCP wymaga co najmniej trzech datagramów, kolejne trzy s± potrzebne do wys³ania i potwierdzenia niewielkiej porcji danych w ka¿d± stronê, a nastêpne trzy do zamkniêcia po³±czenia. UDP obs³u¿y takie po³±czenie za pomoc± tylko dwóch datagramów, a efekt koñcowy bêdzie taki sam. UDP jest protoko³em bezpo³±czeniowym i nie wymaga zestawiania i zamykania sesji. Po prostu umieszczamy dane w datagramie i wysy³amy go do serwera - serwer przygotowuje odpowied¼, umieszcza dane w datagramie zaadresowanym zwrotnie (do nas) i przesy³a go z powrotem. Choæ w przypadku prostych transakcji UDP dzia³a szybciej i bardziej efektywnie ni¿ TCP, nie reaguje na gubienie datagramów. Dba³o¶æ o kompletno¶æ danych pozostawia siê aplikacji, na przyk³ad aplikacji serwera nazw.
Wiêcej na temat portów
Porty mo¿na traktowaæ jako punkty zaczepienia po³±czeñ sieciowych. Je¿eli aplikacja chce udostêpniæ jak±¶ us³ugê, pod³±cza siê sama do portu i czeka na klientów (czêsto nazywa siê to nas³uchiwaniem na porcie). Klient, który chce skorzystaæ z tej us³ugi, alokuje port na swoim ho¶cie lokalnym i pod³±cza siê do portu serwera na ho¶cie zdalnym. Ten sam port mo¿e byæ otwarty na wielu ró¿nych maszynach, ale na ka¿dej maszynie tylko jeden proces mo¿e otworzyæ port w danej chwili.
Istotn± w³asno¶ci± portów jest to, ¿e gdy zostanie ustanowione po³±czenie pomiêdzy klientem a serwerem, inna kopia serwera mo¿e pod³±czyæ siê do portu serwera i oczekiwaæ kolejnych klientów. Ta w³a¶ciwo¶æ pozwala na przyk³ad na kilka jednoczesnych zdalnych logowañ do tego samego hosta wykorzystuj±cych port 513. TCP jest w stanie rozró¿niæ te po³±czenia, poniewa¿ przychodz± one z ró¿nych portów lub hostów. Je¿eli zalogujesz siê dwukrotnie z erdosa do quarka, pierwszy klient rlogin wykorzysta port lokalny 1023, a drugi port 1022. Jednak oba pod³±cz± siê do tego samego portu 513 hosta quark. Te dwa po³±czenia bêd± rozró¿niane poprzez numery portów na erdosie.
W powy¿szym przyk³adzie u¿yto portów jako miejsca spotkania - klient kontaktuje siê z okre¶lonym portem, by uzyskaæ dan± us³ugê. Aby klient wiedzia³, z jakim numerem portu ma siê kontaktowaæ, administratorzy obu systemów musz± uzgodniæ przypisanie numerów portów. W przypadku popularnych us³ug, takich jak rlogin, numerami tymi administruje centralnie organizacja IETF (Internet Engineering Task Force), która regularnie publikuje RFC o nazwie Assigned Numbers (RFC-1700). Dokument ten zawiera miêdzy innymi numery portów przypisane dobrze znanym us³ugom. Linux wykorzystuje plik o nazwie /etc/services, który kojarzy nazwy us³ug z numerami portów.
Warto zauwa¿yæ, ¿e choæ zarówno po³±czenia TCP, jak i UDP opieraj± siê na portach, to ich numery nie k³óc± siê ze sob±. Oznacza to, ¿e na przyk³ad port 513 TCP ró¿ni siê od portu 513 UDP. W rzeczywisto¶ci porty te dzia³aj± jako punkty dostêpu dla dwóch ró¿nych us³ug: rlogin (TCP) i rwho (UDP).

Biblioteka socket
W uniksowych systemach operacyjnych oprogramowanie realizuj±ce wszystkie zadania i obs³uguj±ce opisane powy¿ej protoko³y jest zwykle czê¶ci± j±dra. Podobnie jest w Linuksie. Najpopularniejszym interfejsem programowania w ¶wiecie Uniksa jest biblioteka Berkeley Socket. Jej nazwa wywodzi siê z popularnej analogii, w której port jest postrzegany jako gniazdo, a pod³±czanie siê do portu - jako w³±czanie do gniazda. Biblioteka udostêpnia wywo³anie bind, w którym podaje siê zdalny host, protokó³ transportowy i us³ugê, do której program mo¿e siê pod³±czyæ lub, której ma nas³uchiwaæ (za pomoc± connect, listen i accept). Biblioteka socket jest nieco bardziej ogólna, poniewa¿ udostêpnia nie tylko klasê gniazd opartych na TCP/IP (gniazda AF_INET), ale tak¿e klasê, która obs³uguje po³±czenia lokalne do maszyny (klasa AF_UNIX). Niektóre implementacje mog± tak¿e obs³ugiwaæ inne klasy, takie jak protokó³ XNS (Xerox Networking System) lub X.25.
W Linuksie biblioteka socket jest czê¶ci± standardowej biblioteki lib C. Obs³uguje gniazda AF_INET i AF_INET6 dla TCP/IP oraz AF_UNIX dla gniazd domeny Uniksa. Obs³uguje równie¿ gniazda AF_IPX dla protoko³ów sieci Novell, AF_X25 dla protoko³u sieci X.25, AF_ATMPVC i AF_ATMSVC dla protoko³ów sieci ATM i AF_AX25, AF_NETROM i AF_ROSE dla protoko³ów radia amatorskiego. Inne rodziny protoko³ów s± w trakcie tworzenia i bêd± stopniowo dodawane.
Sieci UUCP
UUCP (Unix-to-Unix Copy Program - program kopiuj±cy miêdzy systemami uniksowymi) by³ pakietem programów, które przesy³a³y pliki po ³±czach szeregowych, rozplanowywa³y te przes³ania w czasie i inicjowa³y wykonywanie programów w zdalnych o¶rodkach. Od czasu pierwszej implementacji, pod koniec lat siedemdziesi±tych, UUCP znacznie siê zmieni³o, chocia¿ zakres oferowanych us³ug pozosta³ niewielki. UUCP stosuje siê g³ównie w sieciach rozleg³ych (WAN), opartych o okresowo uruchamiane ³±cza komutowane.
UUCP stworzono w Bell Laboratories w 1977 roku w celu zapewnienia komunikacji pomiêdzy o¶rodkami programistycznymi pracuj±cymi pod Uniksem. W po³owie 1978 roku sieæ ³±czy³a ju¿ ponad 80 o¶rodków. Dzia³a³a w niej poczta elektroniczna oraz zdalne drukowanie. Jednak podstawowym zastosowaniem systemu by³a dystrybucja nowego oprogramowania i poprawianie b³êdów. Obecnie UUCP nie jest ograniczone wy³±cznie do ¶rodowiska Unix. Istniej± darmowe i komercyjne wersje dla wielu innych platform, takich jak AmigaOS, DOS i Atari TOS.
Jedn± z g³ównych wad sieci UUCP jest to, ¿e dzia³aj± one wsadowo. Zamiast sta³ego po³±czenia pomiêdzy hostami, wykorzystuj± po³±czenia tymczasowe. Host UUCP mo¿e po³±czyæ siê z innym hostem UUCP tylko raz dziennie i to na krótko. W czasie trwania po³±czenia przesy³a wszystkie grupy dyskusyjne, pocztê i pliki, które znajduj± siê w kolejce, a nastêpnie siê roz³±cza. To w³a¶nie konieczno¶æ kolejkowania ogranicza ró¿norodno¶æ zastosowañ UUCP. W przypadku poczty elektronicznej, u¿ytkownik mo¿e przygotowaæ wiadomo¶æ e-mail i wys³aæ j±. Bêdzie ona oczekiwaæ w kolejce na ho¶cie UUCP, a¿ zadzwoni on do innego hosta, by przes³aæ wiadomo¶æ. Jest to do przyjêcia w przypadku us³ug sieciowych takich jak poczta elektroniczna, ale nie nadaje siê dla innych us³ug, na przyk³ad rlogin.
Pomimo tych ograniczeñ, wci±¿ na ¶wiecie istnieje wiele sieci UUCP utrzymywanych g³ównie przez hobbystów, którzy oferuj± prywatnym u¿ytkownikom dostêp do Internetu za rozs±dn± cenê. G³ównym powodem d³ugotrwa³ej popularno¶ci UUCP by³a jej atrakcyjno¶æ cenowa w porównaniu z bezpo¶rednim pod³±czeniem do Internetu. Aby zrobiæ z twojego komputera wêze³ UUCP, potrzebujesz jedynie modemu, dzia³aj±cej implementacji UUCP i innego wêz³a UUCP, który bêdzie chcia³ przyjmowaæ twoj± pocztê i grupy dyskusyjne. Wiele osób chêtnie obs³ugiwa³o ruch UUCP dla indywidualnych u¿ytkowników, poniewa¿ takie po³±czenia nie zak³óca³y zbytnio pracy ich sieci.
Konfiguracjê UUCP omawiamy w jednym z dalszych rozdzia³ów ksi±¿ki, choæ czynimy to skrótowo, gdy¿ protokó³ ten jest obecnie wypierany przez TCP/IP. Dostêp do Internetu jest powszechny i nie stanowi problemu w wiêkszo¶ci zak±tków ¶wiata.
Sieæ w Linuksie
Linux, który powstaje wspólnym wysi³kiem programistów z ca³ego ¶wiata, nie by³by mo¿liwy bez sieci globalnej. Nie ma wiêc nic dziwnego w tym, ¿e od samego pocz±tku pracowano nad zapewnieniem mu zdolno¶ci sieciowych. Implementacja UUCP dzia³a³a ju¿ w pierwszych wersjach Linuksa, a prace nad sieci± opart± na TCP/IP rozpoczê³y siê jesieni± 1992 roku, kiedy Ross Biro wraz z grup± programistów stworzyli to, co teraz jest znane pod nazw± Net-1.
Po Rossie, który odszed³ w maju 1993 roku, pracê nad now± implementacj± kontynuowa³ Fred van Kempen, przepisuj±c g³ówne czê¶ci kodu. Projekt ten by³ znany jako Net-2. Pierwsza publiczna wersja, Net-2d, zosta³a udostêpniona w lecie 1993 roku (jako czê¶æ j±dra 0.99.10) i od tego czasu by³a utrzymywana i rozwijana przez kilka osób, a przede wszystkim przez Alana Coxa*. Oryginalne prace Alana by³y znane pod nazw± Net-2Debugged, gdy¿ uwolni³ on kod od wielu b³êdów i wprowadzi³ liczne udoskonalenia. Od wersji 1.0 Linuksa kod sieciowy Alana nosi³ nazwê Net-3. Kod ten by³ dalej rozwijany w Linuksie 1.2 i 2.0. J±dra 2.2 i nowsze wykorzystuj± wersjê Net-4, która pozostaje standardem do chwili obecnej.
Kod sieciowy Linuksa Net-4 oferuje ró¿norodne sterowniki urz±dzeñ i zaawansowane w³asno¶ci. Do standardowych protoko³ów Net-4 zaliczaj± siê: SLIP i PPP (do przesy³ania danych przez ³±cza szeregowe), PLIP (dla ³±czy równoleg³ych), IPX (dla sieci kompatybilnych z Novellem, które omówimy w rozdziale 15, IPX i system plików NCP), Appletalk (dla sieci Apple) i AX.25, NetRom i Rose (dla sieci radioamatorskich). Inne standardy obs³ugiwane przez Net-4 to: firewalle IP, liczenie ruchu IP (omawiane w rozdzia³ach 9 i 10) i maskowanie IP (omawiane w rozdziale 11, Maskowanie IP i translacja adresów sieciowych). Zaawansowane algorytmy rutingu i tunelowanie IP s± obs³ugiwane na kilka mo¿liwych sposobów. W Net-4 zawarto sterowniki dla szeregu urz±dzeñ Ethernet, a tak¿e dla FDDI, Token Ring, Frame Relay i ISDN oraz ATM.
Ponadto istnieje tu wiele innych w³a¶ciwo¶ci, które znacznie rozszerzaj± elastyczno¶æ Linuksa. Nale¿± do nich implementacja systemu plików SMB, która wspó³dzia³a z takimi aplikacjami, jak lanmanager i Microsoft Windows, oraz implementacja Novell NCP (NetWare Core Protocol)*.
Ró¿ne ¶cie¿ki rozwoju
W ró¿nych okresach w ró¿nych kierunkach rozwijano oprogramowanie sieciowe dla Linuksa.
Po uznaniu Net-2Debugged za implementacjê sieci, Fred nadal pracowa³ nad kodem sieciowym. W rezultacie powsta³a wersja kodu o nazwie Net-2e, która charakteryzowa³a siê du¿o lepiej przemy¶lan± konstrukcj± warstwy sieciowej. Fred chcia³ te¿ ustandaryzowaæ interfejs sterowników urz±dzeñ (Device Driver Interface - DDI), ale prace nad Net-2e zakoñczono.
Inna implementacja sieci TCP/IP pochodzi od Matthiasa Urlichsa, który napisa³ sterownik ISDN dla Linuksa i FreeBSD. W tym celu zintegrowa³ on czê¶æ kodu sieciowego BSD z j±drem Linuksa. Projekt ten równie¿ nie jest rozwijany.
Wiele siê zmieni³o w implementacji sieci w j±drze Linuksa, i wci±¿ siê zmienia. Czasem oznacza to, ¿e zmiany musz± wyst±piæ tak¿e w innym oprogramowaniu, takim jak narzêdzia do konfiguracji sieci. Choæ nie jest to obecnie tak du¿ym problemem jak niegdy¶, jednak wci±¿ mo¿e siê zdarzyæ, ¿e je¶li zainstalujesz nowsz± wersjê j±dra, to narzêdzia do konfiguracji sieci równie¿ bêd± wymaga³y uaktualnienia. Na szczê¶cie w wiêkszo¶ci obecnych dystrybucji Linuksa jest to proste zadanie.
Implementacja sieci Net-4 jest produktem w pe³ni dopracowanym, stosowanym w bardzo wielu o¶rodkach na ca³ym ¶wiecie. Wiele wysi³ku w³o¿ono w poprawê wydajno¶ci implementacji Net-4 i teraz mo¿e ona konkurowaæ z najlepszymi implementacjami dostêpnymi dla danych platform sprzêtowych. Linux cieszy siê coraz wiêkszym wziêciem w ¶rodowisku dostawców Internetu, gdzie czêsto jest u¿ywany do tworzenia tanich i niezawodnych serwerów WWW, serwerów pocztowych i serwerów grup dyskusyjnych dla tego typu organizacji. Obecnie zainteresowanie rozwojem Linuksa jest na tyle du¿e, ¿e wszystkie zmiany w technologii sieciowej znajduj± swoje odzwierciedlenie w kolejnych wersjach j±dra, a jego najnowsze wersje oferuj± jako standard kolejn± generacjê protoko³u IP IPv6.
Sk±d wzi±æ kod
Dzisiaj wydaje siê dziwne, ¿e w pocz±tkach rozwoju kodu sieciowego Linuksa standardowe j±dro wymaga³o ogromnego pakietu poprawek dodaj±cego obs³ugê sieci. Obecnie obs³uga sieci jest uwzglêdniona w g³ównym j±drze Linuksa. Ostatnie stabilne j±dra Linuksa mo¿na znale¼æ w o¶rodku ftp.kernel.org w katalogu /pub/linux/kernel/v2.x/, gdzie x jest liczb± parzyst±. Najnowsze eksperymentalne wersje j±dra Linuksa mo¿na znale¼æ w o¶rodku ftp.kernel.org w katalogu /pub/linux/kernel/v2.y/, gdzie y jest liczb± nieparzyst±. Na ca³ym ¶wiecie znajduj± siê serwery lustrzane z kodem ¼ród³owym j±dra Linuksa. Trudno sobie obecnie wyobraziæ Linuksa bez standardowej obs³ugi sieci.
Utrzymywanie systemu
W niniejszej ksi±¿ce bêdziemy mówiæ g³ównie o instalacji i konfiguracji. Jednak¿e administracja jest czym¶ wiêcej - po skonfigurowaniu us³ugi musisz tak¿e pilnowaæ, by dzia³a³a. Wiêkszo¶æ us³ug nie wymaga zbyt wielkiej uwagi, ale przy niektórych, takich jak poczta i grupy dyskusyjne, musisz wykonywaæ rutynowe czynno¶ci, by twój system by³ sprawny. Zadania te omówimy w kolejnych rozdzia³ach.
Absolutnym minimum niezbêdnym do poprawnego funkcjonowania systemu jest regularne sprawdzanie plików log systemu oraz plików log ka¿dej aplikacji w celu wykrycia b³êdów czy nietypowych zdarzeñ. Zwykle pisze siê w tym celu skrypty administracyjne i co jaki¶ czas uruchamia siê je z us³ugi cron. ?ród³owe dystrybucje niektórych wiêkszych aplikacji, takich jak inn czy C News, zawieraj± takie skrypty. Musisz tylko dopasowaæ je do swoich potrzeb.
Wynik wszelkich zadañ wykonywanych przez us³ugê cron powinien byæ wysy³any poczt± elektroniczn± na konto administracyjne. Domy¶lnie wiele aplikacji wysy³a raporty o b³êdach, statystyki wykorzystania czy streszczenia plików log na konto root. Ma to sens tylko wtedy, je¿eli czêsto logujesz siê jako root. Du¿o lepiej jest przekazywaæ pocztê u¿ytkownika root na w³asne konto, ustawiaj±c alias pocztowy wed³ug opisu w rozdziale 19, Exim, lub rozdziale 18, Sendmail.
Choæby¶ skonfigurowa³ swój o¶rodek z najwiêksz± dba³o¶ci±, zgodnie z prawami Murphy'ego i tak wyst±pi jaki¶ problem. Dlatego utrzymywanie systemu oznacza tak¿e przyjmowanie skarg. Zwykle ludzie spodziewaj± siê, ¿e z administratorem systemu mo¿na skontaktowaæ siê poczt± elektroniczn± pod adresem root, ale istniej± tak¿e inne adresy, które s± powszechnie u¿ywane do kontaktu z osobami odpowiedzialnymi za konkretny aspekt utrzymania o¶rodka. Na przyk³ad skargi na temat b³êdnej konfiguracji poczty zwykle bêd± wysy³ane na adres postmaster, a problemy z grupami dyskusyjnymi mog± byæ raportowane na adres newsmaster lub usenet. Poczta na adres hostmaster powinna byæ przekierowana do osoby odpowiedzialnej za podstawowe us³ugi sieciowe hosta i us³ugi DNS, je¿eli na twojej maszynie dzia³a serwer nazw.
Bezpieczeñstwo systemu
Kolejnym, bardzo istotnym aspektem administracji systemu w ¶rodowisku sieciowym jest zabezpieczenie go i jego u¿ytkowników przed intruzami. Niedbale zarz±dzane systemy stanowi± ³atwy cel dla z³o¶liwych osób. Ataki zaczynaj± siê od zgadywania hase³, a koñcz± na wysy³aniu fa³szywych pakietów Ethernet, natomiast zniszczenia zaczynaj± siê od fa³szywych poczt elektronicznych, a mog± skoñczyæ siê utrat± danych lub pogwa³ceniem prywatno¶ci twoich u¿ytkowników. O pewnych konkretnych problemach powiemy przy omawianiu kontekstu, w którym mog± one wyst±piæ, i poka¿emy sposoby obrony.
Ten podrozdzia³ omawia kilka przyk³adów i podstawowych technik zwi±zanych z bezpieczeñstwem systemu. Oczywi¶cie nie przedstawia wszystkich zagadnieñ bezpieczeñstwa, jakie mo¿esz napotkaæ. Chcemy jedynie zasygnalizowaæ problemy, które mog± wyst±piæ. Dlatego przeczytanie dobrej ksi±¿ki na temat bezpieczeñstwa jest absolutnie niezbêdne, szczególnie w przypadku systemu sieciowego.
Podstaw± bezpieczeñstwa systemu jest dobra administracja. Oznacza to sprawdzanie w³asno¶ci wszystkich istotnych plików i katalogów oraz prawa dostêpu do nich, a tak¿e monitorowanie wykorzystania uprzywilejowanych kont. Na przyk³ad program COPS przeszukuje twój system plików i podstawowe pliki konfiguracyjne pod k±tem nietypowych praw dostêpu lub innych anomalii. M±drze jest tak¿e u¿ywaæ takiego systemu hase³, który wymaga od u¿ytkowników stosowania siê do pewnych regu³, przez co has³a jest trudno odgadn±æ. Na przyk³ad pakiet hase³ shadow wymaga, by has³o mia³o co najmniej 5 znaków i zawiera³o liczby oraz znaki niealfanumeryczne.
Gdy udostêpniasz jak±¶ us³ugê w sieci, pamiêtaj, ¿eby daæ jej "jak najmniej przywilejów". Pozwalaj na robienie tylko tych rzeczy, które s± wymagane, by dzia³a³a tak, jak zosta³a zaprojektowana. Na przyk³ad powiniene¶ nadaæ programom prawo setuid roota lub innego uprzywilejowanego konta, tylko wtedy gdy jest to niezbêdne. Tak¿e, je¿eli chcesz u¿ywaæ us³ugi tylko w bardzo ograniczonym zakresie, nie wahaj siê jej skonfigurowaæ odpowiednio do twoich szczególnych zastosowañ. Na przyk³ad gdyby¶ chcia³ pozwoliæ, aby stacje bezdyskowe uruchamia³y siê z twojej maszyny, musisz udostêpniæ uproszczony protokó³ przesy³ania plików (Trivial File Transfer Protocol - TFTP), tak by mog³y skopiowaæ podstawowe pliki konfiguracyjne z katalogu /boot twojej maszyny. Jednak w przypadku nieograniczonego u¿ycia TFTP pozwala u¿ytkownikom z ca³ego ¶wiata kopiowaæ te pliki z twojego systemu, do których wszyscy maj± prawo odczytu. Je¿eli sobie tego nie ¿yczysz, ogranicz us³ugê TFTP jedynie do katalogu /boot*.
Mo¿esz równie¿ ograniczyæ us³ugi przyznawane u¿ytkownikom okre¶lonych hostów, powiedzmy z twojej sieci lokalnej. W rozdziale 12 przedstawiamy demon tcpd, który wykonuje to zadanie dla wielu aplikacji sieciowych. Bardziej wyrafinowane metody ograniczania dostêpu do poszczególnych hostów lub us³ug omówimy w rozdziale 9.
Kolejn± wa¿n± rzecz± jest unikanie "niebezpiecznego" oprogramowania. W pewnym sensie ka¿de oprogramowanie mo¿e byæ niebezpieczne, poniewa¿ mo¿e zawieraæ b³êdy, które sprytni ludzie mog± wykorzystaæ, by uzyskaæ dostêp do twojego systemu. Takie rzeczy siê zdarzaj± i nie da siê przed tym zabezpieczyæ. Problem ten dotyczy zarówno oprogramowania darmowego, jak i produktów komercyjnych**. Jednak programy wymagaj±ce specjalnych przywilejów s± z natury bardziej nara¿one na niebezpieczeñstwo ni¿ pozosta³e, poniewa¿ wszelkie luki mog± prowadziæ do powa¿nych konsekwencji*. Je¿eli instalujesz program z prawem setuid, który ma pracowaæ z sieci±, b±d¼ dwa razy bardziej ostro¿ny i przeczytaj dokumentacjê, aby¶ przez przypadek nie stworzy³ dziury w bezpieczeñstwie.
Uwagê powiniene¶ zwróciæ tak¿e na programy, które pozwalaj± na logowanie lub wykonywanie poleceñ z niepe³nym uwierzytelnianiem. Polecenia, takie jak rlogin, rsh i rexec, s± bardzo przydatne, ale od osoby uruchamiaj±cej wymagaj± jedynie ograniczonego uwierzytelnienia, które opiera siê na zaufaniu do nazwy wywo³uj±cego hosta, ustalonej na podstawie serwera nazw (bêdziemy mówili o tym pó¼niej), któr± ³atwo mo¿na sfa³szowaæ. Obecnie standardow± praktyk± powinno byæ zupe³ne wy³±czanie poleceñ r i zastêpowanie ich narzêdziami z pakietu ssh. Narzêdzia ssh wykorzystuj± bardziej niezawodne metody uwierzytelniania i oferuj± tak¿e inne us³ugi, takie jak szyfrowanie i kompresja.
Nigdy nie mo¿esz wykluczyæ mo¿liwo¶ci, ¿e twoje zabezpieczenia kiedy¶ zawiod±, bez wzglêdu na to, jak by³e¶ ostro¿ny. Dlatego powiniene¶ upewniæ siê, ¿e dostatecznie wcze¶nie wykrywasz intruzów. Sprawdzanie logów systemu jest dobrym punktem pocz±tkowym, ale intruz jest prawdopodobnie wystarczaj±co m±dry, by przewidzieæ, ¿e tak post±pisz, i usunie wszelkie oczywiste ¶lady pozostawione przez siebie. Jednak istniej± narzêdzia takie jak tripwire, napisane przez Gene Kima i Gene Spafforda, które pozwalaj± sprawdzaæ istotne pliki systemu, by zobaczyæ, czy ich zawarto¶æ lub prawa dostêpu nie zosta³y zmienione; tripwire liczy ró¿ne sumy kontrolne tych plików i umieszcza je w bazie danych. W czasie kolejnych przebiegów sumy s± liczone ponownie i porównywane z wcze¶niej zapisanymi, by w ten sposób wykryæ modyfikacje.


2
Wybrane problemy
sieci TCP/IP

Rozdzia³ 2: Wybrane problemy sieci TCP/IP


W tym rozdziale powiemy, jakie decyzje konfiguracyjne musisz podj±æ, je¶li chcesz pod³±czyæ swojego Linuksa do sieci TCP/IP. Zajmiemy siê adresami IP, nazwami hostów i rutingiem. Rozdzia³ ten daje ci podstawow± wiedzê, niezbêdn± do zrozumienia, czego wymaga twoja konfiguracja, natomiast w nastêpnych rozdzia³ach poznasz narzêdzia, których bêdziesz u¿ywa³.
Aby dowiedzieæ siê wiêcej o TCP/IP i jego budowie, zajrzyj do trzytomowej ksi±¿ki Internetworking with TCP/IP Douglasa R. Comera (Prentice Hall). Bardziej szczegó³owym przewodnikiem po zarz±dzaniu sieci± TCP/IP jest ksi±¿ka TCP/IP Network Administration Craiga Hunta (O'Reilly).
Interfejsy sieciowe
Aby ukryæ ró¿norodno¶æ sprzêtu obecnego w ¶rodowisku sieciowym, TCP/IP odwo³uje siê do interfejsu, przez który nastêpuje dostêp do sprzêtu. Interfejs oferuje zestaw operacji identyczny dla wszystkich rodzajów urz±dzeñ; za jego pomoc± obs³uguje siê wysy³anie i odbieranie pakietów.
Ka¿de sieciowe urz±dzenie peryferyjne musi mieæ w j±drze odpowiedni interfejs. Na przyk³ad interfejsy Ethernet w Linuksie nosz± nazwy eth0 i eth1, interfejsy PPP (omówione w rozdziale 8, Protokó³ punkt-punkt) s± nazywane ppp0 i ppp1, a interfejsy FDDI - fddi0 i fddi1. Nazwy interfejsów s± u¿ywane tylko w poleceniu konfiguracyjnym, kiedy chcesz siê odwo³aæ do konkretnego urz±dzenia fizycznego. Poza tym nie s± stosowane.
Zanim interfejsu bêdzie mo¿na u¿yæ w sieci TCP/IP, nale¿y mu przypisaæ adres IP, który identyfikuje go w procesie komunikacji z reszt± ¶wiata. Adres ten jest ró¿ny od wspomnianej poprzednio nazwy interfejsu. Je¿eli porównasz interfejs do drzwi, to adres jest przyczepion± na nich tabliczk± z nazwiskiem.
Mo¿na ustawiaæ tak¿e inne parametry urz±dzenia, takie jak maksymalny rozmiar datagramów (Maximum Transfer Unit - MTU), które mog± byæ przetworzone przez konkretne urz±dzenie. Inne atrybuty omówimy pó¼niej. Na szczê¶cie wiêkszo¶æ atrybutów ma sensowne warto¶ci domy¶lne.
Adresy IP
Jak wspomnieli¶my w rozdziale 1, Wprowadzenie do sieci, protokó³ sieciowy IP rozumie adresy w postaci liczb 32-bitowych. Ka¿da maszyna musi mieæ przypisany numer, który jest niepowtarzalny w ¶rodowisku sieciowym*. Je¿eli jeste¶ pod³±czony do sieci lokalnej, która nie wymienia ruchu TCP/IP z innymi sieciami, mo¿esz przypisaæ adresy zgodnie z w³asnym widzimisiê. Istniej± pewne zakresy adresów IP, które zosta³y zarezerwowane dla takich sieci prywatnych. Pokazano je w tabeli 2-1. Jednak o¶rodkom pod³±czonym do Internetu adresy s± nadawane przez administracjê centraln±: NIC (Network Information Center)**.
Adresy IP, aby by³y ³atwo czytelne, s± podzielone na cztery 8-bitowe liczby, zwane oktetami. Na przyk³ad quark.physics.groucho.edu ma adres IP 0x954C0C04, zapisywany jako 149.76.12.4. Format ten czêsto nazywany jest kropkow± notacj± czwórkow±.
Innym powodem zastosowania takiego zapisu jest to, ¿e adresy IP s± dzielone na numer sieci zawarty w pierwszej czê¶ci adresu i na numer hosta zawarty w pozosta³ej jego czê¶ci. Gdy prosisz NIC o adresy IP, nie dostajesz adresu dla ka¿dego hosta, który planujesz pod³±czyæ. Otrzymujesz numer sieci i pozwolenie na utworzenie w przyznanym zakresie prawid³owych adresów IP dla hostów w twojej sieci, zgodnie z potrzebami.
Rozmiar czê¶ci sieciowej adresu zale¿y od wielko¶ci sieci. Aby uwzglêdniæ ró¿ne potrzeby, zdefiniowano kilka klas sieci dziel±cych adresy IP w ró¿nych miejscach. Klasy sieci s± nastêpuj±ce:
Klasa A

Klasa A obejmuje sieci od 1.0.0.0 do 127.0.0.0. Numer sieci jest zapisany w pierwszym oktecie. Klasa ta udostêpnia 24-bitowy adres hosta, co pozwala na pod³±czenie do jednej sieci, z grubsza rzecz bior±c, 1,6 miliona hostów w ka¿dej sieci.
Klasa B

Klasa B obejmuje sieci od 128.0.0.0 do 191.255.0.0. Numer sieci jest zapisany w dwóch pierwszych oktetach. Klasa ta pozwala na stworzenie 16 320 sieci o 65 024 hostach w ka¿dej z nich.

Klasa C

Klasa C obejmuje sieci od 192.0.0.0 do 223.255.255.0, gdzie numer sieci jest zapisany w trzech pierwszych oktetach. Klasa ta pozwala na zarejstrowanie prawie 2 milionów sieci po 254 hosty w ka¿dej.
Klasy D, E i F

Adresy nale¿±ce do zakresu 224.0.0.0 do 254.0.0.0 s± albo eksperymentalne, albo zarezerwowane do zastosowañ specjalnych i nie okre¶laj± ¿adnej sieci. Transmisja grupowa IP (ang. IP multicasting) - us³uga pozwalaj±ca na przesy³anie danych do wielu miejsc w Internecie jednocze¶nie - wymaga przypisania adresów w³a¶nie z tego zakresu.
Je¶li wrócimy do przyk³adu z rozdzia³u 1, stwierdzimy, ¿e 149.76.12.4 (adres quarka) oznacza host o numerze 12.4 w sieci klasy B o numerze 149.76.0.0.
Byæ mo¿e zauwa¿y³e¶ przy opisie klas adresów, ¿e nie wszystkie mo¿liwe warto¶ci by³y dozwolone dla ka¿dego oktetu w czê¶ci opisuj±cej hosta. Dzieje siê tak dlatego, ¿e oktety 0 i 255 s± zarezerwowane do specjalnych celów. Adres, w którym wszystkie bity w czê¶ci hosta maj± warto¶æ 0, jest adresem sieci, a adres, w którym wszystkie bity w czê¶ci hosta maj± warto¶æ 1, nazywa siê adresem rozg³oszeniowym (ang. broadcast address). Odnosi siê on do wszystkich hostów w zadanej sieci jednocze¶nie. Tak wiêc 149.76.255.255 nie jest poprawnym adresem hosta, ale odnosi siê do wszystkich hostów w sieci 149.76.0.0.
Kilka adresów sieci jest zarezerwowane do szczególnych celów. Dwa takie adresy to: 0.0.0.0 i 127.0.0.0. Pierwszy nazywamy domy¶lnym rutingiem (ang. default route), a drugi adresem pêtli zwrotnej (ang. loopback address). Domy¶lny ruting jest zwi±zany ze sposobem kierowania datagramów IP.
Sieæ 127.0.0.0 jest zarezerwowana dla ruchu IP lokalnego wzglêdem twojego hosta. Zwykle adres 127.0.0.1  zostaje przypisany specjalnemu interfejsowi twojego hosta - interfejsowi pêtli zwrotnej, który dzia³a jak obwód zamkniêty. Dowolny pakiet IP skierowany na ten interfejs z TCP lub UDP zostanie mu zwrócony tak, jakby w³a¶nie nadszed³ z jakiej¶ sieci. Dziêki temu mo¿na testowaæ oprogramowanie sieciowe bez wykorzystywania "rzeczywistej" sieci. Sieæ pêtli zwrotnej pozwala tak¿e na u¿ywanie oprogramowania sieciowego na pojedynczym ho¶cie. Choæ nie wygl±da to na zbyt przydatne, to jednak jest. Na przyk³ad wiele o¶rodków UUCP nie posiada w ogóle pod³±czenia IP, ale wci±¿ mo¿e w nich dzia³aæ system grup dyskusyjnych INN. Aby prawid³owo pracowaæ w Linuksie, INN wymaga interfejsu pêtli zwrotnej.
W ka¿dej klasie sieci pewne zakresy adresów zosta³y od³o¿one na bok i okre¶lone jako "zarezerwowane" lub "prywatne" zakresy adresów. Adresy te s± przeznaczone do u¿ytku w sieciach prywatnych i nie s± rutowane do Internetu. Zwykle korzystaj± z nich organizacje tworz±ce w³asny intranet, ale tak¿e ma³e sieci. Jak ju¿ mówili¶my, zarezerwowane adresy sieci podaje tabela 2-1.

Tabela 2-1. Zakresy adresów IP zarezerwowane do u¿ytku prywatnego
Klasa	Sieci
A	10.0.0.0 do 10.255.255.255
B	172.16.0.0 do 172.31.0.0
C	192.168.0.0 do 192.168.255.0
Rozwi±zywanie adresów
Teraz, gdy wiesz ju¿, jak tworzy siê adresy IP, mo¿esz zastanawiaæ siê, w jaki sposób s± one u¿ywane do adresowania hostów w sieci Ethernet lub Token Ring. Przecie¿ protoko³y te maj± w³asne adresy identyfikuj±ce hosty, które nie maj± nic wspólnego z adresem IP. Prawda? Tak, masz racjê.
Potrzebny jest mechanizm, który odwzorowuje adresy IP na adresy sieci ni¿szej warstwy. Tym mechanizmem jest protokó³ rozwi±zywania adresów (Address Resolution Protocol - ARP). W praktyce ARP mo¿na stosowaæ nie tylko w Ethernecie czy Token Ringu, ale równie¿ w innych typach sieci, miêdzy innymi takich, w których pracuje protokó³ AX.25. Metoda dzia³ania ARP jest taka sama jak ta, któr± pos³uguje siê wiêkszo¶æ ludzi, kiedy musi znale¼æ Pana X w¶ród 150 go¶ci: osoba szukaj±ca krzyczy na tyle g³o¶no, by ka¿dy móg³ j± us³yszeæ, i oczekuje, ¿e je¿eli Pan X jest w¶ród zgromadzonych, to siê odezwie. Gdy X odpowie, wiemy,  która to osoba.
Gdy ARP chce znale¼æ adres ethernetowy odpowiadaj±cy okre¶lonemu adresowi IP, wykorzystuje funkcjê Ethernetu zwan± rozg³aszaniem (ang. broadcasting). Rozg³aszanie polega na tym, ¿e datagram jest adresowany do wszystkich stacji w sieci jednocze¶nie. Datagram rozg³oszeniowy wys³any przez ARP zawiera zapytanie o adres IP. Ka¿dy host, który go odbierze, porównuje to zapytanie ze swoim w³asnym adresem IP. Je¿eli znajdzie siê host, którego adres IP odpowiada poszukiwanemu, to zwraca on odpowied¼ ARP do pytaj±cego hosta. Pytaj±cy host mo¿e teraz - na podstawie odpowiedzi - odczytaæ adres ethernetowy nadawcy.
Mo¿esz siê zastanawiaæ, jak host mo¿e uzyskaæ adres innego hosta, który znajduje siê na przyk³ad w zupe³nie innej sieci na drugim koñcu ¶wiata. Odpowied¼ na to pytanie wymaga wyja¶nienia mechanizmu rutingu, czyli znalezienia fizycznej lokalizacji hosta w sieci. To zagadnienie omówimy dok³adniej w nastêpnym podrozdziale.
Powiedzmy nieco wiêcej o protokole ARP. Gdy host znajdzie adres ethernetowy, zapisuje go w pamiêci podrêcznej ARP, aby nie pytaæ o niego, gdy bêdzie chcia³ ponownie wys³aæ datagram do tego samego hosta. Jednak niem±dre by³oby trzymanie tej informacji bez koñca. Karta Ethernet zdalnego hosta mo¿e zostaæ wymieniona z powodów technicznych, a wiêc wpis ARP by³by b³êdny. Dlatego wpisy w pamiêci podrêcznej ARP s± po pewnym czasie usuwane, by wymusiæ kolejne zapytanie o adres IP.
Czasem trzeba równie¿ znale¼æ adres IP odpowiadaj±cy danemu adresowi ethernetowemu. Dzieje siê tak, gdy maszyna bezdyskowa chce uruchomiæ siê z serwera w sieci. Sytuacja ta jest powszechnie spotykana w sieciach LAN. Jednak klient bezdyskowy nie ma o sobie informacji - za wyj±tkiem swojego adresu Ethernet. Tak wiêc rozg³asza komunikat, w którym prosi serwer uruchomieniowy (ang. boot server) o adres IP. Tê sytuacjê obs³uguje protokó³ o nazwie odwrotny protokó³ rozwi±zywania adresów (Reverse Address Resolution Protocol - RARP). Wraz z protoko³em BOOTP pozwala na uruchamianie bezdyskowych klientów z sieci.
Ruting IP
Teraz wyja¶nijmy, jak na podstawie adresu IP odszukaæ host, do którego s± adresowane datagramy. Ró¿ne czê¶ci adresu s± obs³ugiwane w ró¿ny sposób. Twoim zadaniem jest skonfigurowanie plików tak, aby mówi³y, jak ma byæ traktowana ka¿da z poszczególnych czê¶ci adresu IP.
Sieci IP
Gdy piszesz do kogo¶ list, zwykle umieszczasz na kopercie pe³ny adres, czyli tak¿e pañstwo, region administracyjny (np. stan, województwo), nazwê poczty wraz z kodem. Po w³o¿eniu listu do skrzynki pocztowej, poczta dostarczy go do miejsca przeznaczenia: zostanie wys³any do podanego na kopercie kraju, gdzie s³u¿by krajowe skieruj± go do odpowiedniego regionu. Zaleta takiego hierarchicznego schematu jest oczywista: gdy wysy³asz list do innego miasta lub kraju, miejscowa poczta wie z grubsza, w jakim kierunku ma go przekazaæ, ale nie martwi siê, którêdy list bêdzie szed³, gdy ju¿ dotrze do kraju przeznaczenia.
Sieci IP maj± podobn± strukturê. Ca³y Internet sk³ada siê z szeregu sieci, zwanych systemami niezale¿nymi. Ka¿dy system realizuje wewnêtrznie ruting pomiêdzy swoimi hostami, tak wiêc zadanie dostarczenia datagramu redukuje siê do znalezienia ¶cie¿ki do sieci zawieraj±cej host adresata. Wystarczy przekazaæ datagram do jakiegokolwiek hosta w sieci adresata, a dalsza wêdrówka odbywa siê ju¿ wy³±cznie w obrêbie tej sieci.
Podsieci
Zasada podzia³u jest widoczna w wyodrêbnieniu w adresach IP czê¶ci hosta i czê¶ci sieciowej, jak ju¿ wyja¶niali¶my wcze¶niej. Domy¶lnie sieæ przeznaczenia jest uzyskiwana z czê¶ci sieciowej adresu IP. Tak wiêc hosty o identycznych numerach sieci IP powinny znajdowaæ siê w tej samej sieci*.
Zastosowanie podobnego schematu ma tak¿e sens wewn±trz sieci, poniewa¿ mo¿e siê ona sk³adaæ z setek mniejszych sieci, w których najmniejszymi jednostkami s± fizyczne sieci np. Ethernet. Dlatego IP pozwala na dalszy podzia³ sieci IP na kilka podsieci.
Podsieæ odpowiada za dostarczanie datagramów do pewnego zakresu adresów IP. Jest to rozszerzenie pojêcia podzia³u pól bitowych, tak jak w klasach A, B i C. Jednak czê¶æ sieciowa jest teraz rozszerzana tak, by zawiera³a niektóre bity z czê¶ci hosta. Liczba bitów, interpretowana jako numer podsieci, jest okre¶lona przez tak zwan± maskê podsieci lub maskê sieci. Jest to równie¿ liczba 32-bitowa, okre¶laj±ca maskê bitow± dla czê¶ci sieciowej adresu IP.
Sieæ campusowa przyk³adowego uniwersytetu Groucho Marx to w³a¶nie taka sieæ. Ma sieæ klasy B o numerze 149.76.0.0 i dlatego jej maska to 255.255.0.0.
Wewnêtrznie sieæ campusowa sk³ada siê z kilku mniejszych sieci, takich jak sieci lokalne ró¿nych wydzia³ów. Tak wiêc zakres adresów IP jest podzielony na 254 podsieci od 149.76.1.0 do 149.76.254.0. Na przyk³ad wydzia³ fizyki teoretycznej ma przypisany adres 149.76.12.0. Szkielet campusu jest sieci± sam± w sobie i ma numer 149.76.1.0. Podsieci te korzystaj± ze wspólnej czê¶ci sieciowej adresu IP, a rozró¿niane s± na podstawie 3. oktetu. Dlatego maska podsieci w tym przypadku ma postaæ 255.255.255.0.
 2-1 pokazuje, jak adres quarka: 149.76.12.4 jest interpretowany, gdy ma byæ zwyk³ym adresem w sieci klasy B i wtedy, gdy ma uwzglêdniaæ podsieci.

Rysunek 2-1. Podzia³ sieci klasy B na podsieci
http://www.rm.com.pl/upgr/lpas/02-01.tif

Warto zauwa¿yæ, ¿e dzielenie na podsieci (technika tworzenia podsieci) jest jedynie wewnêtrznym podzia³em sieci. Podsieci s± generowane przez w³a¶ciciela sieci (lub administratorów). Czêsto podsieci s± tworzone, aby odzwierciedlaæ istniej±ce granice fizyczne (pomiêdzy dwoma sieciami Ethernet), administracyjne (pomiêdzy dwoma wydzia³ami) lub geograficzne (pomiêdzy dwoma lokalizacjami), natomiast w³adza nad ka¿d± z podsieci jest oddawana innej osobie. Jednak struktura ta dotyczy tylko wewnêtrznego zachowania sieci i jest zupe³nie niewidoczna dla ¶wiata zewnêtrznego.
Gatewaye
Podzia³ na podsieci jest korzystny nie tylko ze wzglêdów organizacyjnych. Czêsto jest naturaln± konsekwencj± ograniczeñ sprzêtowych. Punkt widzenia hosta na dan± sieæ fizyczn±, np. Ethernet, jest bardzo ograniczony: mo¿e on komunikowaæ siê tylko z hostem w sieci, do której jest pod³±czony. Dostêp do wszystkich innych hostów jest mo¿liwy tylko przez przeznaczone do tego urz±dzenia nazywane gatewayami. Gateway to host, który jest pod³±czony do dwóch lub wiêcej sieci fizycznych jednocze¶nie i skonfigurowany tak, by przekazywaæ pakiety miêdzy tymi sieciami.
Rysunek 2-2 pokazuje fragment topologii sieci uniwersytetu Groucho Marx (GMU). Hosty nale¿±ce jednocze¶nie do dwóch podsieci s± opatrzone oboma adresami.

Rysunek 2-2. Fragment schematu sieci uniwersytetu Groucho Marx
http://www.rm.com.pl/upgr/lpas/02-02.tif

Ró¿ne sieci fizyczne musz± byæ ró¿nymi sieciami IP, aby protokó³ IP by³ w stanie rozpoznaæ, ¿e host jest w sieci lokalnej. Na przyk³ad numer sieci 149.76.4.0 jest zarezerwowany dla hostów w sieci LAN wydzia³u matematyki. Przy przesy³aniu datagramów do quarka, oprogramowanie sieciowe na erdosie natychmiast rozpoznaje na podstawie adresu IP 149.76.12.4, ¿e host docelowy jest w innej sieci fizycznej, a co za tym idzie mo¿na siê do niego dostaæ jedynie przez gateway (domy¶lnie sophus).
Sam sophus jest pod³±czony do dwóch ró¿nych podsieci: wydzia³u matematyki i sieci szkieletowej campusu. Dostêp do ka¿dej z nich ma przez ró¿ne interfejsy, odpowiednio eth0 i fddi0. Jaki w takim razie powinni¶my przypisaæ mu adres IP? Powinien mieæ adres z podsieci 149.76.1.0 czy mo¿e raczej z 149.76.4.0?
Odpowied¼ brzmi: oba. Gateway sophus ma przypisany adres 149.76.1.1 do u¿ytku w sieci 149.76.1.0 i adres 149.76.4.1 do u¿ytku w sieci 149.76.4.0. Gateway musi mieæ odrêbny adres IP w ka¿dej sieci, do której nale¿y. Adresy te, wraz z odpowiadaj±cymi im maskami sieci, s± zwi±zane z interfejsem, przez który nastêpuje dostêp do sieci. Tak wiêc odwzorowanie interfejsu na adres w przypadku sophusa wygl±da nastêpuj±co:

Interfejs	Adres	Maska sieci
eth0	149.76.4.1	255.255.255.0
fddi0	149.76.1.1	255.255.255.0
lo	127.0.0.1	255.0.0.0
Ostatnia pozycja to interfejs pêtli zwrotnej lo, o którym pisali¶my wcze¶niej.
Zwykle mo¿esz zignorowaæ subtelne ró¿nice pomiêdzy wi±zaniem adresu z hostem lub jego interfejsem. Je¶li host jest tylko w jednej sieci, tak jak erdos, bêdziesz siê odwo³ywa³ do hosta o takim a takim adresie IP, choæ dok³adnie rzecz bior±c, to interfejs Ethernet ma przypisany adres IP. Ró¿nica jest naprawdê istotna tylko w przypadku gatewaya.
Tablica rutingu
Teraz skupimy siê na tym, jak IP wybiera gateway, który ma zostaæ wykorzystany do dostarczenia datagramu do odleg³ej sieci.
Widzieli¶my, ¿e kiedy erdos otrzyma datagram przeznaczony dla quarka, sprawdza adres docelowy i stwierdza, ¿e nie le¿y on w sieci lokalnej. Dlatego erdos wysy³a datagram do domy¶lnego gatewaya sophus, przed którym stoi teraz to samo zadanie. sophus stwierdza, ¿e nie ma takiego hosta w sieciach, do których jest bezpo¶rednio pod³±czony. Musi wiêc znale¼æ inny gateway, do którego bêdzie móg³ przekazaæ datagram. Poprawnym wyborem bêdzie niels, gateway wydzia³u fizyki. sophus potrzebuje zatem informacji wi±¿±cych docelow± sieæ z odpowiednim gatewayem.
IP wykorzystuje do tego celu tablicê, która ³±czy sieci z gatewayami, przez które mo¿na do nich dotrzeæ. Musi w niej istnieæ tak¿e wpis uniwersalny (ruting domy¶lny) - jest to gateway zwi±zany z sieci± 0.0.0.0. Wszystkie adresy docelowe pasuj± do tej trasy, poniewa¿ ¿aden z 32 bitów nie musi odpowiadaæ temu wpisowi i dlatego pakiety do nie znanej sieci s± wysy³ane przez trasê domy¶ln±. Dla gatewaya sophusa, tablica mog³aby wygl±daæ tak:

Sieæ	Maska sieci	Gateway	Interfejs
149.76.1.0	255.255.255.0	-	fddi0
149.76.2.0	255.255.255.0	149.76.1.2	fddi0
149.76.3.0	255.255.255.0	149.76.1.3	fddi0
149.76.4.0	255.255.255.0	-	eth0
149.76.5.0	255.255.255.0	149.76.1.5	fddi0
...	...	...	...
0.0.0.0	0.0.0.0	149.76.1.2	fddi0
Je¿eli masz skorzystaæ z trasy do tej sieci, do której sophus jest bezpo¶rednio pod³±czony, nie potrzebujesz gatewaya. Kolumna z wpisem gatewaya w takim przypadku zawiera kreskê.
Proces identyfikacji, czy dany adres docelowy pasuje do trasy, jest operacj± matematyczn±. Jest do¶æ prosty, ale wymaga znajomo¶ci logiki i arytmetyki binarnej: ¿±dana trasa pasuje do trasy docelowej, je¿eli adres sieci po wykonaniu logicznej operacji AND z mask± sieci jest dok³adnie taki sam, jak adres docelowy po wykonaniu operacji logicznej AND z mask± sieci.
Wyja¶nienie: trasa jest prawid³owa, je¿eli liczba bitów adresu sieci okre¶lona przez maskê sieci (pocz±wszy od pierwszego bitu le¿±cego od lewej strony, czyli najstarszego bitu pierwszego bajtu adresu) jest taka sama jak liczba bitów w adresie docelowym. 
Gdy implementacja IP poszukuje najlepszej trasy do miejsca docelowego, mo¿e znale¼æ wiele pasuj±cych wpisów z trasami. Na przyk³ad wiemy, ¿e domy¶lny ruting pasuje do ka¿dego adresu docelowego, ale datagramy kierowane do sieci pod³±czonych lokalnie bêd± pasowa³y tak¿e do w³asnych tras. Sk±d IP wie, której trasy u¿yæ? To w³a¶nie tutaj maska sieci ma decyduj±ce znaczenie. Choæ obie trasy pasuj± do adresu docelowego, jedna z nich ma wiêksz± maskê sieci ni¿ druga. Wspomnieli¶my wcze¶niej, ¿e maska sieci by³a u¿ywana do podzia³u naszej przestrzeni adresowej na mniejsze sieci. Im wiêksza jest maska, tym lepiej jest dopasowywany adres docelowy. Wyznaczaj±c trasê dla datagramu powinni¶my zawsze wybieraæ trasê o najwiêkszej masce sieci. Domy¶lna trasa ma maskê sieci o wielko¶ci 0 bitów, a w powy¿ej pokazanej konfiguracji, lokalnie pod³±czone sieci maj± maski sieci o d³ugo¶ci 24 bitów. Je¿eli datagram odpowiada lokalnie pod³±czonej sieci, bêdzie rutowany w pierwszej kolejno¶ci do odpowiedniego urz±dzenia, a nie na adres domy¶lny, gdy¿ lokalne trasy s± dopasowane wiêksz± liczb± bitów. Tylko te datagramy, które nie pasuj± do ¿adnej trasy, bêd± przesy³ane przez trasê domy¶ln±.
Tablice rutingu mo¿esz tworzyæ na ró¿ne sposoby. Dla ma³ych sieci lokalnych zwykle najlepiej przygotowaæ j± rêcznie i udostêpniæ protoko³owi IP za pomoc± polecenia route w czasie uruchamiania maszyny (zobacz rozdzia³ 5, Konfigurowanie sieci TCP/IP). Dla wiêkszych sieci tablice s± budowane i uzupe³niane w czasie pracy sieci przez demony rutingu; te programy pracuj± na centralnych hostach sieci i wymieniaj± informacje o rutingu, by obliczyæ "optymalne" trasy pomiêdzy pod³±czonymi sieciami.
Rozmiar sieci decyduje te¿ o wyborze protoko³ów rutingu. W przypadku rutingu w systemach niezale¿nych (tak jak w campusie Groucho Marx), u¿ywane s± wewnêtrzne protoko³y rutingu. Najbardziej znanym z nich jest RIP (Routing Information Protocol), zaimplementowany w demonie routed BSD. W przypadku rutingu pomiêdzy systemami autonomicznymi stosowane s± zewnêtrzne protoko³y rutingu, takie jak EGP (External Gateway Protocol) lub BGP (Border Gateway Protocol). Protoko³y te, wraz z RIP-em, zosta³y zaimplementowane w demonie gated napisanym na Uniwersytecie Cornella.
Warto¶ci metryki
Mo¿na skorzystaæ z rutingu dynamicznego, je¿eli trzeba znale¼æ najlepsz± trasê do hosta docelowego lub sieci na podstawie liczby hopów. Hopy oznaczaj± liczbê gatewayów, przez które datagram musi przej¶æ, zanim dotrze do hosta lub sieci. Im krótsza jest trasa, tym lepiej radzi sobie z ni± RIP. Bardzo d³ugie trasy (ponad 16 hopów) s± traktowane jako bezu¿yteczne i s± usuwane.
RIP obs³uguje informacje o rutingu wewn±trz twojej sieci lokalnej, ale na wszystkich hostach musisz uruchomiæ demona gated. W czasie startu komputera gated sprawdza wszystkie aktywne interfejsy sieciowe. Je¿eli jest aktywny wiêcej ni¿ jeden interfejs (nie licz±c interfejsu pêtli zwrotnej), demon zak³ada, ¿e host przekazuje pakiety pomiêdzy kilkoma sieciami i czynnie wymienia oraz rozg³asza informacje o rutingu. W przeciwnym razie jedynie pasywnie odbiera uaktualnienia RIP i od¶wie¿a lokaln± tablicê rutingu.
Przy rozg³aszaniu informacji z lokalnej tablicy rutingu, gated liczy d³ugo¶æ trasy na podstawie tak zwanej warto¶ci metryki (ang. metric value) zwi±zanej z wpisem w tablicy. Ta warto¶æ jest ustawiana przez administratora podczas konfigurowania rutingu i powinna odpowiadaæ rzeczywistemu kosztowi trasy*. Dlatego metryka trasy do podsieci, do której host jest pod³±czony bezpo¶rednio, zawsze powinna wynosiæ zero, natomiast trasa prowadz±ca przez dwa gatewaye powinna mieæ metrykê o warto¶ci dwa. Nie musisz przejmowaæ siê metryk±, je¿eli nie u¿ywasz protoko³u RIP-a ani gated.
Internetowy protokó³ komunikatów kontrolnych (ICMP)
IP ma protokó³ towarzysz±cy, o którym jeszcze nie mówili¶my. Jest nim ICMP (Internet Control Message Protocol) u¿ywany przez kod sieciowy j±dra do przesy³ania komunikatów o b³êdach do innych hostów. Na przyk³ad za³ó¿my, ¿e jeste¶ znów na erdosie i chcesz zrealizowaæ po³±czenie telnet z portem 12345 na quarku, ale na tym porcie nie ma procesu nas³uchuj±cego. Gdy pierwszy pakiet TCP zaadresowany na ten port nadejdzie do quarka, warstwa sieciowa rozpozna, ¿e co¶ przysz³o i natychmiast zwróci do erdosa komunikat ICMP o tre¶ci "Port Unreachable" (port nieosi±galny).
Protokó³ ICMP udostêpnia ró¿ne komunikaty, g³ównie z informacjami o b³êdach. Jednak istnieje jeden ciekawy komunikat, tak zwany komunikat przekierowania (ang. redirect message). Jest on generowany przez modu³ rutingu, gdy wykryje on, ¿e inny host u¿ywa naszego hosta jako gatewaya, mimo ¿e istnieje krótsza trasa. Na przyk³ad po uruchomieniu systemu tablica rutingu na sophusie mo¿e byæ niepe³na. Mo¿e zawieraæ trasy do sieci wydzia³u matematyki, do szkieletu FDDI i domy¶ln± trasê do gatewaya centrum obliczeniowego Groucho (gcc1). Tak wiêc pakiety adresowane do quarka bêd± wysy³ane do gcc1, a nie do nielsa - gatewaya wydzia³u fizyki. Po odebraniu takiego datagramu gcc1 zauwa¿y, ¿e jest to nieoptymalna trasa i przeka¿e pakiet do nielsa, zwracaj±c równocze¶nie do sophusa komunikat przekierowania ICMP z informacj± o lepszej trasie.
Wydaje siê, ¿e w ten sposób mo¿na ³atwo unikn±æ rêcznej konfiguracji wszelkich tras poza podstawowymi. Trzeba jednak zdawaæ sobie sprawê, ¿e poleganie na schematach rutingu dynamicznego, czy to bêdzie RIP, czy komunikat przekierowania ICMP, nie zawsze jest dobre. Przekierowanie ICMP i RIP daj± ci niewielk± mo¿liwo¶æ (lub wrêcz nie daj± ci ¿adnej szansy) weryfikowania pokrywaj±cych siê informacji o rutingu. Ta sytuacja mo¿e prowadziæ do zak³ócenia pracy ca³ej twojej sieci lub jeszcze gorszych rzeczy. W rezultacie kod sieciowy Linuksa traktuje komunikaty przekierowania sieci tak, jakby to by³y przekierowania hosta. Minimalizuje to zniszczenia w przypadku ataku, które dotkn± wówczas jeden host, a nie ca³± sieæ. Z drugiej strony oznacza to, ¿e w przypadku legalnej sytuacji generowany jest nieco wiêkszy ruch, gdy¿ ka¿dy host wysy³a komunikat przekierowania ICMP. Obecnie opieranie siê na przekierowaniach ICMP nie jest dobrze widziane i uznaje siê je raczej za z³± praktykê.
Rozwi±zywanie nazwy hosta
Jak wcze¶niej napisali¶my, adresowanie w sieci TCP/IP, przynajmniej tam, gdzie korzysta siê z IP w wersji 4, opiera siê na liczbach 32-bitowych. Nie ukrywamy, ¿e zapamiêtywanie takich liczb nie jest ³atwe. Dlatego hosty wystêpuj± równie¿ pod "zwyk³ymi" nazwami, takimi jak gauss czy strange. Znalezienie adresu IP odpowiadaj±cego nazwie to obowi±zek aplikacji. Proces ten jest nazywany rozwi±zywaniem nazwy hosta.
Gdy aplikacja chce znale¼æ adres IP danego hosta, korzysta z funkcji bibliotecznej gethostbyname(3) i gethostbyaddr(3). Tradycyjnie te i inne zwi±zane z nimi procedury by³y zgrupowane w oddzielnej bibliotece o nazwie resolverlibrary. W Linuksie funkcje te s± czê¶ci± standardowej biblioteki libc. Potocznie zestaw tych funkcji jest nazywany "resolverem". Konfiguracjê mechanizmu rozwi±zywania nazw opisano szczegó³owo w rozdziale 6, Us³ugi nazewnicze i konfigurowanie resolvera.
W przypadku ma³ej sieci Ethernet czy nawet grupy takich sieci, nie jest trudno utrzymywaæ tablice odwzorowuj±ce nazwy hostów na adresy. Informacja ta jest zwykle przechowywana w pliku o nazwie /etc/hosts.  Podczas dodawania lub usuwania hostów albo zmiany przypisania adresów, wystarczy uaktualniæ plik hosts na wszystkich hostach. Oczywi¶cie staje siê to uci±¿liwe przy sieciach, które sk³adaj± siê z wiêcej ni¿ kilku maszyn.
Jednym z rozwi±zañ jest NIS (Network Information System - system informacji sieciowej)  stworzony przez firmê Sun Microsystems, potocznie nazywany YP lub Yellow Pages. NIS przechowuje plik hosts (i inne informacje) w bazie danych na ho¶cie g³ównym, z którego klienty mog± go w razie potrzeby odczytywaæ. Rozwi±zanie takie jest odpowiednie jedynie dla ¶redniej wielko¶ci sieci typu LAN, poniewa¿ wymaga utrzymania centralnej bazy danych hosts i dystrybuowania jej do wszystkich serwerów. Instalacja i konfiguracja NIS-a zosta³a omówiona w rozdziale 13, System informacji sieciowej.
W Internecie informacje adresowe by³y pierwotnie przechowywane tak¿e w pliku bazy danych HOSTS.TXT. Plik ten by³ utrzymywany przez NIC (Network Information Center - centrum informacji sieciowej) i musia³ byæ stamt±d pobierany i instalowany przez wszystkie o¶rodki pod³±czone do Internetu. Gdy sieæ siê rozros³a, takie rozwi±zanie sta³o siê niewygodne. Poza uci±¿liwym w administracji regularnym instalowaniem pliku HOSTS.TXT, niebezpiecznie wzros³o obci±¿enie dystrybuuj±cych go serwerów. Co wiêcej, wszystkie nazwy musia³y byæ rejestrowane w NIC, aby mieæ pewno¶æ, ¿e ¿adna siê nie powtarza.
Dlatego w 1994 roku przyjêto nowy schemat rozwi±zywania nazw: system nazw domen (Domain Name System - DNS) autorstwa Paula Mockapetrisa. System nazw domen omawiamy szczegó³owo w rozdziale 6.


3
Konfigurowanie
sprzêtu sieciowego

Rozdzia³ 3: Konfigurowanie sprzêtu sieciowego


Powiedzieli¶my nieco o interfejsach sieciowych i ogólnie o TCP/IP, ale nie opisali¶my, co tak naprawdê siê dzieje, gdy "kod sieciowy" j±dra uzyskuje dostêp do sprzêtu. Aby to wyja¶niæ, musimy podaæ trochê informacji o interfejsach i sterownikach.
Na pocz±tku jest oczywi¶cie sprzêt, na przyk³ad karta Ethernet, FDDI czy Token Ring: jest to p³ytka drukowana, wype³niona wieloma ma³ymi uk³adami scalonymi z wypisanymi na nich dziwnymi numerkami, umieszczona w z³±czu w p³ycie twojego PC. Nazywamy to ogólnie urz±dzeniem fizycznym.
Aby¶ móg³ u¿ywaæ karty sieciowej, j±dro Linuksa musi zawieraæ specjalne funkcje, które rozumiej± okre¶lony dla danego urz±dzenia sposób dostêpu. Oprogramowanie, które implementuje te funkcje, nazywane jest sterownikiem urz±dzenia. Linux ma sterowniki dla wielu ró¿nych typów kart sieciowych: ISA, PCI, MCA, EISA, port równoleg³y, PCMCIA i najnowszy USB.
Co jednak mamy na my¶li, mówi±c, ¿e sterownik "obs³uguje" urz±dzenie? Rozwa¿my to na przyk³adzie karty Ethernet. Sterownik powinien komunikowaæ siê w jaki¶ sposób z peryferiami karty: musi wysy³aæ polecenia i dane do karty, natomiast karta powinna dostarczaæ wszelkie odebrane dane do sterownika.
W komputerach osobistych IBM komunikacja ta odbywa siê przez zestaw adresów wej¶cia/wyj¶cia, które s± odwzorowywane na rejestry na karcie, a tak¿e (lub wy³±cznie) przez wspó³dzielony lub bezpo¶redni dostêp do pamiêci. Wszystkie polecenia i dane, jakie j±dro wysy³a do karty, musz± zostaæ przes³ane na te adresy. Adresy wej¶cia/wyj¶cia oraz pamiêci s± zwykle podawane w postaci adresu pocz±tkowego lub adresu podstawowego (ang. base address). Typowe adresy podstawowe w przypadku kart Ethernet dla magistrali ISA to 0x280 lub 0x300. Karty przeznaczone dla magistrali PCI maj± automatycznie przypisywane w³asne adresy wej¶cia/wyj¶cia.
Zwykle nie musisz siê martwiæ o zagadnienia sprzêtowe, takie jak adres podstawowy, poniewa¿ j±dro w czasie startu podejmuje próbê wykrycia lokalizacji karty. Nazywa siê to autowykrywaniem, co oznacza, ¿e j±dro odczytuje kilka lokalizacji pamiêci i wej¶cia/wyj¶cia oraz porównuje odczytane dane z tym, czego oczekuje, je¿eli dana karta sieciowa jest zainstalowana pod tym adresem. Jednak zdarzaj± siê karty sieciowe, których nie da siê wykryæ automatycznie. Czasem dzieje siê tak w przypadku tanich kart sieciowych, które nie s± w pe³ni klonami standardowych kart innych producentów. W czasie startu j±dro próbuje wykryæ tylko jedn± kartê sieciow±. Je¿eli u¿ywasz wiêcej ni¿ jednej karty, musisz jawnie powiedzieæ o tym j±dru.
Innym parametrem, który byæ mo¿e bêdzie trzeba podaæ j±dru, jest numer przerwania. Urz±dzenia zwykle generuj± przerwanie do j±dra, aby na przyk³ad zwróciæ na siebie uwagê, gdy nadesz³y dane lub wyst±pi³a jaka¶ szczególna sytuacja. W komputerach PC z magistral± ISA przerwania mog± pojawiaæ siê na jednym z 15 kana³ów przerwañ,  ponumerowanych nastêpuj±co: 0, 1, 3 i tak dalej do 15. Numer przerwania przypisany do urz±dzenia nazywa siê numerem zg³oszenia przerwania (ang. Interrupt request number - IRQ)*.
Z rozdzia³u 2, Wybrane problemy sieci TCP/IP, wiemy, ¿e j±dro uzyskuje dostêp do urz±dzenia sieciowego przez oprogramowanie nazywane interfejsem. Interfejsy s± zestawami funkcji (np. wysy³ania lub odbierania datagramu), identycznymi dla ró¿nych typów urz±dzeñ.
Interfejsy s± identyfikowane na podstawie nazw. W wielu uniksowych systemach operacyjnych interfejs sieciowy jest implementowany jako specjalny plik w katalogu /dev. Je¿eli napiszesz polecenie ls -las /dev/, zobaczysz, jak wygl±daj± takie pliki. Zauwa¿ysz, ¿e w kolumnie praw dostêpu (drugiej) pliki urz±dzeñ zaczynaj± siê raczej liter±, a nie my¶lnikiem (jak zwyk³e pliki). Znak ten okre¶la typ urz±dzenia. Najpopularniejsze s± urz±dzenia typu b, czyli urz±dzenia blokowe obs³uguj±ce ca³e bloki danych przy ka¿dym odczycie i zapisie oraz urz±dzenia typu c, czyli urz±dzenia znakowe, obs³uguj±ce dane po jednym znaku. Tam, gdzie zwykle w wyniku pokazywanym przez polecenie ls widzisz rozmiar pliku, tutaj s± dwie liczby nazywane numerem nadrzêdnym i podrzêdnym urz±dzenia. Liczby te wskazuj± rzeczywiste urz±dzenie, z którym jest zwi±zany plik.
Ka¿dy sterownik rejestruje unikalny numer nadrzêdny w j±drze. Ka¿da instancja urz±dzenia rejestruje unikalny numer podrzêdny danego urz±dzenia nadrzêdnego. Interfejsy tty, /dev/tty*, s± urz±dzeniami znakowymi wskazywanymi przez literê c i ka¿de ma numer nadrzêdny 4, ale /dev/tty1 ma numer podrzêdny 1, a /dev/tty2 ma numer podrzêdny 2. Pliki urz±dzeñ s± bardzo u¿yteczne dla wielu typów urz±dzeñ, ale mog± sprawiaæ k³opoty, gdy chcesz otworzyæ nie u¿ywane urz±dzenie.
Nazwy interfejsów w Linuksie s± zdefiniowane wewnêtrznie w j±drze i nie s± plikami urz±dzeñ w katalogu /dev. Niektóre typowe nazwy podano w dalszym podrozdziale Wycieczka po urz±dzeniach sieciowych Linuksa. Przypisanie interfejsów do urz±dzeñ zwykle zale¿y od kolejno¶ci, w której s± one konfigurowane. Na przyk³ad pierwsza zainstalowana karta Ethernet bêdzie nosi³a nazwê eth0, a nastêpna eth1. Interfejsy SLIP s± obs³ugiwane inaczej ni¿ pozosta³e urz±dzenia, poniewa¿ s± przypisywane dynamicznie. Kiedy zostanie zestawione po³±czenie SLIP, interfejs jest przypisywany do portu szeregowego.
Rysunek 3-1 pokazuje zale¿no¶ci pomiêdzy sprzêtem, sterownikami urz±dzenia i interfejsami.

Rysunek 3-1. Zwi±zek pomiêdzy sterownikami, interfejsami i sprzêtem
http://www.rm.com.pl/upgr/lpas/03-01.tif

Przy uruchamianiu systemu j±dro wy¶wietla wykryte urz±dzenia i instalowane interfejsy. Oto fragment typowych komunikatów wy¶wietlanych w czasie uruchamiania systemu:

.
.   This processor honors the WP bit even when in supervisor mode./
    Good.
Swansea University Computer Society NET3.035 for Linux 2.0
NET3: Unix domain sockets 0.13 for Linux NET3.035.
Swansea University Computer Society TCP/IP for NET3.034
IP Protocols: IGMP, ICMP, UDP, TCP
Swansea University Computer Society IPX 0.34 for NET3.035
IPX Portions Copyright (c) 1995 Caldera, Inc.
Serial driver version 4.13 with no serial options enabled
tty00 at 0x03f8 (irq = 4) is a 16550A
tty01 at 0x02f8 (irq = 3) is a 16550A
CSLIP: code copyright 1989 Regents of the University of California
PPP: Version 2.2.0 (dynamic channel allocation)
PPP Dynamic channel allocation code copyright 1995 Caldera, Inc.
PPP line disciplne registered.
eth0: 3C509 at 0x300 tag 1, 10baseT port, address 00 a0 24 0e e4 e0, /
    IRQ 10.
3c509.c:1.12 6/4/97 becker@cesdis.gsfc.nasa.gov
Linux Version 2.0.32 (root@perf) (gcc Version 2.7.2.1)
#1 Tue Oct 21 15:30:44 EST 1997
 .
 .

Ten przyk³ad pokazuje, ¿e j±dro zosta³o skompilowane z w³±czonym protoko³em TCP/IP i zawiera sterowniki dla SLIP, CSLIP i PPP. Trzeci wiersz od koñca mówi, ¿e zosta³a wykryta karta Ethernet 3C509, która jest zainstalowana jako interfejs eth0. Gdyby¶ mia³ kartê innego typu, na przyk³ad D-Link pocket adaptor, j±dro wypisa³oby wiersz rozpoczynaj±cy siê od nazwy takiego urz±dzenia - dl0 w przypadku D-Link, a nastêpnie pokaza³oby typ wykrytej karty. Gdyby¶ mia³ zainstalowan± kartê sieciow±, ale nie widzia³by¶ ¿adnego podobnego komunikatu, oznacza to, ¿e j±dro nie jest w stanie jej poprawnie wykryæ. Sytuacja ta zostanie omówiona w dalszym podrozdziale Automatyczne wykrywanie kart Ethernet.
Konfigurowanie j±dra
Do wielu dystrybucji Linuksa s± do³±czane dyskietki startowe, które dzia³aj± z wiêkszo¶ci± sprzêtu PC. Dostarczone j±dro jest znacznie zmodularyzowane i zawiera prawie wszelkie mo¿liwe sterowniki. Takie rozwi±zanie wygl±da ¶wietnie na dyskietce startowej, ale raczej nie przyda siê zwyk³emu u¿ytkownikowi. Nie ma sensu zajmowaæ miejsca na dysku sterownikami, których nie bêdziesz u¿ywa³. Dlatego najlepiej przygotowaæ w³asne j±dro i umie¶ciæ w nim tylko te sterowniki, których rzeczywi¶cie potrzebujesz - w ten sposób zaoszczêdzisz nieco miejsca na dysku i zmniejszysz czas potrzebny na skompilowanie nowego j±dra.
W ka¿dym razie je¿eli pracujesz z Linuksem, powiniene¶ umieæ tworzyæ j±dro. Uznaj to za potwierdzenie tego, ¿e darmowe oprogramowanie jest ¶wietne - masz kod ¼ród³owy. Nie my¶l: "Muszê skompilowaæ j±dro", ale raczej: "Mogê skompilowaæ j±dro". Podstawy kompilacji j±dra Linuksa zosta³y wyja¶nione w ksi±¿ce Matta Welsha Running Linux (wyd. pol.: Linux, Wydawnictwo RM, Warszawa 2000). Dlatego w tym podrozdziale omówimy jedynie opcje konfiguracyjne dotycz±ce sieci.
Naprawdê wa¿n± rzecz±, któr± warto tutaj przypomieæ, jest schemat numeracji j±dra. J±dra Linuksa s± numerowane w formacie: 2.2.14. Pierwsza cyfra oznacza g³ówny numer wersji. Zmienia siê ona wtedy, gdy nastêpuj± powa¿ne, znacz±ce przekszta³cenia w architekturze j±dra. Na przyk³ad wersjê j±dra przenumerowano z 1. na 2., gdy zosta³o dodane wsparcie dla maszyn opartych na nieintelowskich procesorach. Druga liczba to drugorzêdny numer wersji. Pod wieloma wzglêdami wa¿niejsza jest w³a¶nie ona.
Spo³eczno¶æ twórców Linuksa przyjê³a zasadê, ¿e parzyste drugorzêdne numery wersji oznaczaj± j±dra produkcyjne lub stabilne, a nieparzyste numery wersji oznaczaj± j±dra rozwojowe lub niestabline. Na maszynie, która jest dla ciebie wa¿na, powiniene¶ u¿ywaæ j±der stabilnych, gdy¿ s± one lepiej przetestowane. Po j±dra rozwojowe warto siêgn±æ wtedy, gdy lubisz eksperymentowaæ z najnowszymi funkcjami Linuksa, ale musisz liczyæ siê z tym, ¿e mog± pojawiæ siê jeszcze nie znane i nie poprawione b³êdy. Trzecia liczba to po prostu kolejne wersje wersji oznaczonej numerem drugorzêdnym*.
Gdy wydasz polecenie make menuconfig, pojawi siê tekstowe menu z list± pytañ dotycz±cych konfiguracji. Bêd± to pytania typu: czy chcesz emulacji koprocesora w j±drze. Jedno z tych pytañ dotyczy obs³ugi sieci TCP/IP. Musisz na nie odpowiedzieæ y, aby j±dro by³o w stanie obs³u¿yæ sieæ.
Opcje j±dra w Linuksie 2.0 i nowszych
Po ustaleniu ogólnych opcji konfiguracyjnych nastêpuj± pytania o to, czy chcesz zapewniæ obs³ugê ró¿nych funkcji, takich jak sterowniki SCSI czy karty d¼wiêkowe. Monit bêdzie pokazywa³ dostêpne opcje. Mo¿esz nacisn±æ ?, aby zapoznaæ siê z opisem danej opcji. Zawsze masz do wyboru "tak" (y), aby statycznie do³±czyæ element do j±dra, lub "nie" (n), aby usun±æ go ca³kowicie z j±dra. Spotkasz tak¿e opcjê modu³u (m) w przypadku elementów, które mog± zostaæ skompilowane jako modu³y ³adowane w czasie pracy j±dra. Modu³y ³aduje siê, zanim zostan± wykorzystane i s± one szczególnie przydatne dla sterowników lub rzadziej u¿ywanych elementów.
Dalej nastêpuje lista pytañ o obs³ugê sieci. Dok³adny zestaw opcji konfiguracyjnych nieustannie siê zmienia ze wzglêdu na ci±g³y rozwój. Typowa lista opcji oferowanych przez wiêkszo¶æ j±der rodziny 2.0 i 2.1 wygl±da tak:

*
* Network device support
* 
Network device support (CONFIG_NETDEVICES) [Y/n/?]

Musisz odpowiedzieæ na to pytanie y, je¿eli chcesz korzystaæ z jakichkolwiek urz±dzeñ sieciowych, czy to bêdzie Ethernet, SLIP, PPP, czy cokolwiek innego. Gdy odpowiesz na pytanie twierdz±co, automatycznie zostanie w³±czona obs³uga urz±dzeñ typu Ethernet. Je¿eli chcesz w³±czyæ obs³ugê innych typów sterowników sieciowych, musisz odpowiedzieæ na dodatkowe pytania.

PLIP (parallel port) support (CONFIG_PLIP) [N/y/m/?] y
PPP (point-to-point) support (CONFIG_PPP) [N/y/m/?] y
*
* CCP compressors for PPP are only built as modules.
*
SLIP (serial line) support (CONFIG_SLIP) [N/y/m/?] m
 CSLIP compressed headers (CONFIG_SLIP_COMPRESSED) [N/y/?] (NEW) y
 Keepalive and linefill (CONFIG_SLIP_SMART) [N/y/?] (NEW) y
 Six bit SLIP encapsulation (CONFIG_SLIP_MODE_SLIP6) [N/y/?] (NEW) y

Pytania te dotycz± ró¿nych protoko³ów warstwy ³±cza obs³ugiwanych przez Linuksa. Zarówno PPP, jak i SLIP pozwalaj± na przesy³anie datagramów IP po ³±czach szeregowych. PPP w rzeczywisto¶ci jest zestawem protoko³ów u¿ywanych do wysy³ania danych po ³±czach szeregowych. Niektóre protoko³y wchodz±ce w sk³ad zestawu PPP obs³uguj± uwierzytelnianie siê u¿ytkownika na serwerze dostêpowym, natomiast inne zajmuj± siê przenoszeniem pewnych protoko³ów przez ³±cze - PPP transportuje nie tylko datagramy  TCP/IP - mo¿e tak¿e przenosiæ inne protoko³y, takie jak IPX.
Je¿eli na pytanie o obs³ugê protoko³u SLIP odpowiesz y lub m, zostaniesz poproszony o odpowied¼ na trzy kolejne pytania. Opcja kompresji nag³ówka pozwala na korzystanie z  CSLIP - techniki, która kompresuje nag³ówki TCP/IP do zaledwie trzech bajtów. Zauwa¿, ¿e ta opcja j±dra nie w³±cza automatycznie CSLIP, a jedynie udostêpnia niezbêdne do tego celu funkcje j±dra. Opcja Keepalive and linefill powoduje, ¿e co jaki¶ czas jest generowany sztuczny ruch na ³±czu SLIP, aby unikn±æ zerwania po³±czenia przez czujnik nieaktywno¶ci. Opcja Six bit SLIP encapsulation pozwala na uruchomienie SLIP na liniach i obwodach, które nie s± w stanie przesy³aæ pe³nych 8-bitowych zestawów danych. Jest to technika podobna do uukodowania (ang. uuencoding) lub algorytmu binhex, stosowanych do przesy³ania plików binarnych poczt± elektroniczn±.
Protokó³ PLIP jest sposobem przes³ania datagramów IP przez ³±cze oparte o porty równoleg³e. U¿ywa siê go do komunikowania siê komputerów PC pracuj±cych w systemie DOS. Na typowym komputerze PC, protokó³ PLIP mo¿e byæ szybszy ni¿ PPP czy SLIP, ale bardziej obci±¿a procesor, a wiêc choæ przepustowo¶æ pozostanie odpowiednia, to inne zadania mog± byæ realizowane wolniej.
Poni¿sze pytania dotycz± kart sieciowych ró¿nych sprzedawców. Im wiêcej sterowników jest dostêpnych na rynku, tym bardziej prawdopodobne, ¿e w tej sekcji pojawi siê nowe pytanie. Gdyby¶ chcia³ stworzyæ j±dro, móg³by¶ robiæ to na wielu ró¿nych maszynach, a gdyby twoja maszyna mia³a zainstalowane ró¿ne rodzaje kart sieciowych, móg³by¶ w³±czyæ wiêcej ni¿ jeden sterownik:

 .
 .
Ethernet (10 or 100Mbit) (CONFIG_NET_ETHERNET) [Y/n/?]
3COM cards (CONFIG_NET_VENDOR_3COM) [Y/n/?]
3c501 support (CONFIG_EL1) [N/y/m/?]
3c503 support (CONFIG_EL2) [N/y/m/?]
3c509/3c579 support (CONFIG_EL3) [N/y/m/?]
3c590/3c900 series (592/595/597/900/905) "Vortex/Boomerang" support
    (CONFIG_VORTEX) [N/y/m/?]
AMD LANCE and PCnet (AT1500 and NE2100) support (CONFIG_LANCE) [N/y/?]
AMD PCInet32 (VLB and PCI) support (CONFIG_LANCE32) [N/y/?] (NEW)
Western Digital/SMC cards (CONFIG_NET_VENDOR_SMC) [N/y/?]
WD80*3 support (CONFIG_WD80x3) [N/y/m/?] (NEW)
SMC Ultra support (CONFIG_ULTRA) [N/y/m/?] (NEW)
SMC Ultra32 support (CONFIG_ULTRA32) [N/y/m/?] (NEW)
SMC 9194 support (CONFIG_SMC9194) [N/y/m/?] (NEW)
Other ISA cards (CONFIG_NET_ISA) [N/y/?]
Cabletron E21xx support (CONFIG_E2100) [N/y/m/?] (NEW)
DEPCA, DE10x, DE200, DE201, DE202, DE422 support (CONFIG_DEPCA) [N/y/m/?] (NEW)
EtherWORKS 3 (DE203, DE204, DE205) support (CONFIG_EWRK3) [N/y/m/?] (NEW)
EtherExpress 16 support (CONFIG_EEXPRESS) [N/y/m/?] (NEW)
HP PCLAN+ (27247B and 27252A) support (CONFIG_HPLAN_PLUS) [N/y/m/?] (NEW)
HP PCLAN (27245 and other 27xxx series) support (CONFIG_HPLAN) [N/y/m/?] (NEW)
HP 10/100VG PCLAN (ISA, EISA, PCI) support (CONFIG_HP100) [N/y/m/?] (NEW)
NE2000/NE1000 support (CONFIG_NE2000) [N/y/m/?] (NEW)
SK_G16 support (CONFIG_SK_G16) [N/y/?] (NEW)
EISA, VLB, PCI and on card controllers (CONFIG_NET_EISA) [N/y/?]
Apricot Xen-II on card ethernet (CONFIG_APRICOT) [N/y/m/?] (NEW)
Intel EtherExpress/Pro 100B support (CONFIG_EEXPRESS_PRO100B) [N/y/m/?] (NEW)
DE425, DE434, DE435, DE450, DE500 support (CONFIG_DE4X5) [N/y/m/?] (NEW)
DECchip Tulip (dc21x4x) PCI support (CONFIG_DEC_ELCP) [N/y/m/?] (NEW)
Digi Intl. RightSwitch SE-X support (CONFIG_DGRS) [N/y/m/?] (NEW)
Pocket and portable adaptors (CONFIG_NET_POCKET) [N/y/?]
AT-LAN-TEC/RealTek pocket adaptor support (CONFIG_ATP) [N/y/?] (NEW)
D-Link DE600 pocket adaptor support (CONFIG_DE600) [N/y/m/?] (NEW)
D-Link DE620 pocket adaptor support (CONFIG_DE620) [N/y/m/?] (NEW)
Token Ring driver support (CONFIG_TR) [N/y/?]
IBM Tropic chipset based adaptor support (CONFIG_IBMTR) [N/y/m/?] (NEW)
FDDI driver support (CONFIG_FDDI) [N/y/?]
Digital DEFEA and DEFPA adapter support (CONFIG_DEFXX) [N/y/?] (NEW)
ARCnet support (CONFIG_ARCNET) [N/y/m/?]
  Enable arc0e (ARCnet "Ether-Encap" packet format) (CONFIG_ARCNET_ETH)/
      [N/y/?] (NEW)
  Enable arc0s (ARCnet RFC1051 packet format) (CONFIG_ARCNET_1051)/
      [N/y/?] (NEW)
 .
 .

Pod koniec sekcji dotycz±cej systemu plików skrypt konfiguracyjny zapyta ciê, czy chcesz w³±czyæ obs³ugê NFS - sieciowego systemu plików. NFS pozwala na udostêpnienie systemu plików kilku hostom, na których pliki z twojego hosta bêd± widoczne tak, jakby by³y na zwyk³ym dysku pod³±czonym lokalnie:

NFS file system support (CONFIG_NFS_FS) [y]

NFS opiszemy szczegó³owo w rozdziale 14, Sieciowy system plików.
Opcje sieciowe j±dra w Linuksie 2.0.0 i nowszych
W j±drze Linuksa 2.0.0 nast±pi³y znaczne zmiany w obs³udze sieci. Wiele funkcji sta³o siê standardow± czê¶ci± j±dra, na przyk³ad obs³uga protoko³u IPX. Dodano tak¿e szereg opcji, co otworzy³o nowe mo¿liwo¶ci konfiguracyjne. Wielu opcji  u¿ywa siê tylko w bardzo szczególnych sytuacjach i nie bêdziemy ich opisywaæ. Dokument Networking-HOWTO opisuje to, co my tutaj pomijamy. W tym podrozdziale podajemy najbardziej przydatne opcje i wyja¶niamy, kiedy nale¿y ich u¿ywaæ:
Podstawy

Aby u¿ywaæ sieci TCP/IP, musisz odpowiedzieæ na to pytanie, wpisuj±c y. Je¿eli odpowiesz n, wci±¿ bêdziesz móg³ skompilowaæ j±dro z obs³ug± IPX:

Networking options --->
    [*] TCP/IP networking

Gatewaye

Musisz w³±czyæ tê opcjê, je¿eli twój system pracuje jako gateway pomiêdzy dwoma sieciami lub pomiêdzy sieci± lokaln± a ³±czem SLIP. To, ¿e opcja jest domy¶lnie w³±czona, w niczym nie przeszkadza, ale trzeba j± wy³±czyæ, je¿eli chcesz skonfigurowaæ host jako firewall. Firewalle to hosty, które s± pod³±czone do dwóch lub wiêcej sieci, ale nie rutuj± ruchu pomiêdzy nimi. S± one powszechnie stosowane, aby udostêpniæ u¿ytkownikom Internet przy minimalnym ryzyku dla sieci wewnêtrznej. U¿ytkownicy mog± logowaæ siê do firewalla i korzystaæ z us³ug internetowych, a komputery firmowe s± zabezpieczone przed atakami z zewn±trz, poniewa¿ firewalle nie przepuszczaj± ¿adnych po³±czeñ przychodz±cych z zewn±trz (firewalle opisujemy szczegó³owo w rozdziale 9, Firewall TCP/IP):

[*] IP: forwarding/gatewaying

Wirtualne hosty

Opcje te pozwalaj± na skonfigurowanie wiêcej ni¿ jednego adresu IP dla jednego interfejsu. Przydaj± siê, je¿eli chcesz tworzyæ "hosty wirtualne", czyli skonfigurowaæ maszynê tak, ¿e wygl±da i dzia³a jak kilka oddzielnych maszyn, ka¿da o w³asnych parametrach sieciowych. Wiêcej na temat tworzenia aliasów IP powiemy za chwilê:

[*] Network aliasing
   <*> IP: aliasing support

Liczenie ruchu IP

Opcja ta pozwala na zbieranie danych na temat wielko¶ci ruchu IP (wychodz±cego i wchodz±cego) w danej maszynie. (Omówienie tego zagadnienia zawiera rozdzia³ 10, Liczenie ruchu IP).

[*] IP: accounting

B³±d PC

Opcja ta rozwi±zuje problem niekompatybilno¶ci z niektórymi wersjami zestawu PC/TCP, bed±cego komercyjn± implementacj± TCP/IP dla komputerów PC opartych na DOS-ie. Je¿eli w³±czysz tê opcjê, wci±¿ bêdziesz móg³ komunikowaæ siê ze zwyk³ymi maszynami uniksowymi, ale wydajno¶æ na gorszych ³±czach mo¿e byæ s³absza:

--- (it is safe to leave these untouched)
[*] IP: PC/TCP compatibility mode

Uruchamianie bezdyskowe

Funkcja ta w³±cza RARP (odwrotny protokó³ rozwi±zywania adresów). RARP jest u¿ywany przez klienty bezdyskowe i X terminale do uzyskiwania swojego adresu IP przy uruchamianiu. Powiniene¶ w³±czyæ RARP, je¿eli planujesz obs³ugê klientów tego typu. Ma³y program o nazwie rarp, do³±czony do standardowych narzêdzi sieciowych, jest u¿ywany to dodawania wpisów do tablicy RARP j±dra:

<*> IP: Reverse ARP

MTU

Aby dane wysy³ane przez TCP/IP mog³y zostaæ przekazane do protoko³u IP, j±dro musi podzieliæ ich strumieñ na bloki. Rozmiar bloku jest okre¶lany za pomoc± maksymalnej jednostki transmisji (Maximum Transmission Unit - MTU). W przypadku hostów, które s± osi±galne przez sieæ lokaln±, np. Ethernet, typowe jest u¿ywanie MTU odpowiadaj±cego maksymalnej wielko¶ci pakietu Ethernet - 1500 bajtom. W przypadku rutingu IP przez sieci rozleg³e takie jak Internet, preferowane jest stosowanie mniejszych datagramów, aby nie musia³y byæ dalej dzielone w procesie zwanym fragmentacj± IP (ang. IP fragmentation)*. J±dro jest w stanie automatycznie okre¶liæ najmniejsz± warto¶æ MTU dla danej trasy IP i automatycznie skonfigurowaæ po³±czenie TCP dla tej trasy. Zachowanie to jest domy¶lne. Je¿eli odpowiesz y przy wyborze tej opcji, w³a¶ciwo¶æ ta zostanie wy³±czona.
Je¿eli rzeczywi¶cie chcesz wysy³aæ dane w mniejszych pakietach do okre¶lonych hostów (poniewa¿ na przyk³ad dane s± przesy³ane przez ³±cze SLIP), skorzystaj z opcji mss polecenia route, które zostanie krótko omówione pod koniec tego rozdzia³u:

[ ] IP: Disable Path MTU Discovery (normally enabled)

Bezpieczeñstwo

Protokó³ IP obs³uguje funkcjê ¼ród³owego wyboru trasy (ang. source routing). ?ród³owy wybór trasy pozwala na zakodowanie trasy datagramu w nim samym. Z ca³± pewno¶ci± by³o to dobre rozwi±zanie, zanim upowszechni³y siê protoko³y RIP i OSPF. Obecnie uznawane jest za niebezpieczne, poniewa¿ daje osobom niepowo³anym narzêdzie do pokonania zabezpieczeñ firewalli, mianowicie pozwala na ominiêcie tablicy rutingu rutera. W normalnej sytuacji powiniene¶ filtrowaæ datagramy ze ¼ród³owym wyborem trasy, a wiêc ta opcja powinna byæ w³±czona:

[*] IP: Drop source routed frames

Obs³uga sieci Novell

Opcja ta w³±cza obs³ugê IPX - protoko³u transportowego wykorzystywanego w sieci Novell. Linux bêdzie dzia³a³ doskonale jako ruter IPX, a ponadto funkcja ta jest przydatna w ¶rodowiskach, gdzie znajduj± siê serwery plików Novell. System plików NCP równie¿ wymaga w³±czonej obs³ugi IPX w j±drze. Gdyby¶ chcia³ pod³±czyæ siê i zamontowaæ systemy plików Novell, musia³by¶ mieæ tê opcjê w³±czon± (IPX i system plików NCP omawiamy w rozdziale 15, IPX i system plików NCP):

<*> The IPX protocol

Radio amatorskie

Trzy poni¿sze opcje w³±czaj± obs³ugê protoko³ów radia amatorskiego obs³ugiwanych przez Linuksa: AX.25, NetRom i Rose (nie opisujemy ich w tej ksi±¿ce, ale s± one szczegó³owo przedstawione w dokumencie AX25-HOWTO):

<*> Amateur Radio AX.25 Level 2
<*> Amateur Radio NET/ROM
<*> Amateur Radio X.25 PLP (Rose)

Linux obs³uguje jeszcze jeden typ sterownika: sterownik fikcyjny (ang. dummy driver). Poni¿sze pytanie pojawia siê na pocz±tku sekcji dotycz±cej sterowników urz±dzeñ:

<*> Dummy net driver support

Sterownik fikcyjny jest w zasadzie przydatny tylko w przypadku samodzielnych hostów PPP/SLIP. Jest to w istocie interfejs pêtli zwrotnej z maskowaniem IP. Na hostach, które posiadaj± jedynie interfejsy PPP/SLIP, bêdziesz chcia³ mieæ interfejs, który przez ca³y czas utrzymuje twój adres IP. Omawiamy to nieco bardziej szczegó³owo w podrozdziale Interfejs fikcyjny w rozdziale 5, Konfigurowanie sieci TCP/IP. Zauwa¿, ¿e dzisiaj to samo mo¿esz uzyskaæ, u¿ywaj±c aliasu IP i konfiguruj±c swój adres IP jako alias na interfejsie pêtli zwrotnej.
Wycieczka po urz±dzeniach sieciowych Linuksa
J±dro Linuksa obs³uguje szereg sterowników dla ró¿nego rodzaju sprzêtu. Ten podrozdzia³ to krótki przegl±d dostêpnych rodzin sterowników i u¿ywanych przez nie nazw interfejsów.
Interfejsy w Linuksie maj± standardowe nazwy, wymienione poni¿ej. Wiêkszo¶æ sterowników obs³uguje wiêcej ni¿ jeden interfejs, dlatego interfejsy s± numerowane, na przyk³ad eth0 i eth1.
lo

To lokalny interfejs pêtli zwrotnej. Jest u¿ywany zarówno do celów testowych, jak i przez kilka aplikacji sieciowych. Dzia³a na zasadzie obwodu zamkniêtego, w którym wszelkie dane wys³ane do interfejsu s± zwracane do warstwy sieciowej hosta. W j±drze istnieje zawsze tylko jeden interfejs pêtli zwrotnej i nie ma sensu, aby by³o ich wiêcej.
eth0, eth1...

To interfejsy kart Ethernet. S± u¿ywane przez wiêkszo¶æ kart Ethernet, w³±cznie z tymi pod³±czanymi przez port równoleg³y.
tr0, tr1...

To interfejsy kart Token Ring. S± u¿ywane przez wiêkszo¶æ kart Token Ring, w³±cznie z produkowanymi przez firmy inne ni¿ IBM.
sl0, sl1...

To interfejsy SLIP. S± zwi±zane z ³±czami szeregowymi w kolejno¶ci alokowania dla SLIP.
ppp0, ppp1...

To interfejsy PPP. Podobnie jak interfejsy SLIP, interfejs PPP jest zwi±zany z ³±czem szeregowym pracuj±cym w trybie PPP.
plip0, plip1...

To interfejsy PLIP. PLIP przesy³a datagramy IP przez ³±cza równoleg³e. Interfejsy s± alokowane przez sterownik PLIP w czasie uruchamiania systemu i s± odwzorowane na porty równoleg³e. W j±drach 2.0.x istnieje bezpo¶redni zwi±zek miêdzy nazw± urz±dzenia a portem wej¶cia/wyj¶cia portu równoleg³ego, ale w nowszych j±drach nazwy urz±dzeñ s± przypisywane kolejno, tak jak w urz±dzeniach SLIP i PPP.
ax0, ax1...

To interfejsy AX.25. AX.25 jest podstawowym protoko³em u¿ywanym przez operatorów radia amatorskiego. Interfejsy AX.25 s± alokowane i przypisywane w podobny sposób jak urz±dzenia SLIP.
Istnieje wiele innych typów interfejsów dla innych urz±dzeñ sieciowych. Wymienili¶my tylko najpopularniejsze z nich.
W kilku nastêpnych podrozdzia³ach omówimy dok³adniej korzystanie z opisanych powy¿ej sterowników. Dokument Networkig-HOWTO opisuje konfiguracjê wiêkszo¶ci pozosta³ych interfejsów, natomiast AX25-HOWTO wyja¶nia, jak skonfigurowaæ urz±dzenia sieciowe radia amatorskiego.
Instalowanie Ethernetu
Kod sieciowy Liunksa w obecnej postaci obs³uguje wiele kart Ehternet. Wiêkszo¶æ sterowników zosta³a napisana przez Donalda Beckera, który stworzy³ rodzinê sterowników dla kart opartych o uk³ad National Semiconductor 8390. S± one znane pod nazw± Becker Series Drivers. Sterowniki dla ró¿nego sprzêtu pisali te¿ inni programi¶ci. Dziêki temu wiêkszo¶æ popularnych kart jest obs³ugiwana przez Linuksa, z naprawdê nielicznymi wyj±tkami. Lista obs³ugiwanych kart Ethernet stale siê wyd³u¿a, a wiêc je¿eli twoja karta jeszcze siê na niej nie znajduje, to istnieje realna szansa, ¿e wkrótce tam do³±czy.
Niegdy¶ próbowano sporz±dziæ listê wszystkich obs³ugiwanych kart Ethernet, ale obecnie zajê³oby to zbyt du¿o czasu i miejsca. Na szczê¶cie Paul Gortmaker, który redaguje dokument Ethernet-HOWTO, zamieszcza listê wszystkich obs³ugiwanych kart i podaje przydatne informacje na temat ich uruchamiania w Linuksie*. Co miesi±c jest ona wysy³ana do grupy dyskusyjnej comp.os.linux.answers, a tak¿e jest dostêpna w o¶rodkach lustrzanych Projektu Dokumentacji Linuksa.
Nawet, je¿eli jeste¶ przekonany, ¿e potrafisz zainstalowaæ dany typ karty Ethernet w swoim komputerze, warto zajrzeæ do Ethernet-HOWTO i dowiedzieæ siê, co ma do powiedzenia na ten temat. Znajdziesz tam informacje wykraczaj±ce poza proste zagadnienia konfiguracji. Na przyk³ad zapewne unikniesz niepotrzebnych k³opotów, je¶li bêdziesz wiedzia³, jak siê zachowuj± niektóre karty Ethernet oparte na DMA i wykorzystuj±ce ten sam kana³ DMA, który jest domy¶lnie przeznaczony dla kontrolera SCSI Adaptec AHA 1542. Dopóki nie prze³±czysz ich na inny kana³ DMA, uruchomienie komputera bêdzie siê koñczy³o zapisywaniem pakietów przez kartê Ethernet na losowe miejsca twojego dysku twardego.
Aby skorzystaæ z dowolnej obs³ugiwanej przez Linuksa karty Ethernet, mo¿esz u¿yæ prekompilowanego j±dra z jakiej¶ znanej dystrybucji Linuksa. Zwykle maj± one modu³y dla wszystkich obs³ugiwanych sterowników, a w procesie instalacji zwykle mo¿esz wybraæ te sterowniki, które chcesz za³adowaæ. Jednak na d³u¿sz± metê lepiej jest skompilowaæ w³asne j±dro i umie¶ciæ w nim tylko te sterowniki, które s± rzeczywi¶cie potrzebne. Zaoszczêdzisz miejsce na dysku i pamiêæ.
Automatyczne wykrywanie kart Ethernet
Sterowniki Ethernet w Linuksie s± zwykle na tyle inteligentne, by znale¼æ lokalizacjê karty Ethernet. Dziêki temu nie musisz sam wskazywaæ jej j±dra. Ethernet-HOWTO informuje, czy dany sterownik u¿ywa automatycznego wykrywania i w jakiej kolejno¶ci sprawdza adresy wej¶cia/wyj¶cia karty.
Kod automatycznego wykrywania ma trzy ograniczenia. Po pierwsze, nie jest on w stanie poprawnie rozpoznaæ wszystkich kart. Jest to szczególnie widoczne w przypadku tañszych klonów popularnych kart. Po drugie, j±dro nie wykryje automatycznie wiêcej ni¿ jednej karty, dopóki mu tego jawnie nie zaznaczysz. Jest to ¶wiadome za³o¿enie konstrukcyjne, gdy¿ uznano, ¿e bêdziesz chcia³ mieæ kontrolê nad tym, która karta jest przypisywana do którego interfejsu. Najlepszym sposobem na zrobienie tego porz±dnie jest rêczne skonfigurowanie kart Ethernet we w³asnym komputerze. Po trzecie, sterownik mo¿e przeoczyæ adres, pod którym jest skonfigurowana twoja karta. Podsumowuj±c, sterowniki bêd± automatycznie szuka³y karty tylko pod tymi adresami, pod którymi dane urz±dzenie mo¿e byæ skonfigurowane, ale czasem pewne adresy s± ignorowane w celu unikniêcia konfliktów sprzêtowych z innymi typami kart, które czêsto wykorzystuj± ten sam adres.
Karty sieciowe PCI powinny byæ wykrywane bez k³opotów. Je¿eli jednak u¿ywasz wiêcej ni¿ jednej karty albo je¿eli automatyczne wykrywanie siê nie powiedzie, istnieje sposób na jawne powiadomienie j±dra o adresie podstawowym i nazwie karty.
W czasie uruchamiania systemu mo¿esz podaæ do j±dra argumenty i informacje, które mog± siê przydaæ niektórym jego sk³adnikom. Mechanizm ten pozwala ci na przyk³ad na przekazanie do j±dra informacji, które umo¿liwi± sterownikom Ethernet  zlokalizowanie sprzêtu Ethernet bez wykrywania go przez sterownik.
Je¿eli korzystasz z systemu uruchamiania lilo, mo¿esz przekazaæ parametry do j±dra, wpisuj±c je za pomoc± opcji append w pliku lilo.conf. Aby powiadomiæ j±dro o urz±dzeniu Ethernet, mo¿esz przekazaæ mu nastêpuj±ce parametry:

ether=irq,base_addr,[param1,][param2,]name

Pierwsze cztery parametry s± liczbami, natomiast ostatni to nazwa urz±dzenia. Obowi±zkowe s± irq, base_addr i name, opcjonalne - dwa parametry param. Dowolne warto¶ci liczbowe mog± byæ ustawione na zero, co powoduje, ¿e j±dro okre¶li je przez wykrywanie.
Pierwszy parametr okre¶la IRQ przypisane do urz±dzenia. Domy¶lnie j±dro bêdzie próbowa³o automatycznie wykryæ kana³ IRQ urz±dzenia. Sterownik 3c503, na przyk³ad, ma specjaln± funkcjê, która wybiera wolne IRQ z listy 5, 9, 3, 4 i konfiguruje kartê tak, by z niego korzysta³a. Parametr base_addr okre¶la podstawowy adres wej¶cia/wyj¶cia karty - warto¶æ zero mówi j±dru, by sprawdzi³o podane adresy.
Kolejne dwa parametry s± ró¿nie wykorzystywane przez ró¿ne sterowniki. W przypadku kart wykorzystuj±cych wspó³dzielenie pamiêci, takich jak WD80x3, parametry te okre¶laj± adresy pocz±tkowy i koñcowy obszaru pamiêci. Inne karty powszechnie u¿ywaj± param1 do ustawienia poziomu wy¶wietlanych informacji debuguj±cych. Warto¶ci od 1 do 7 wyznaczaj± kolejne poziomy ilo¶ci informacji, natomiast 8 wy³±cza je wszystkie. 0 jest warto¶ci± domy¶ln±. Sterownik 3c503 u¿ywa param2 do wyboru pomiêdzy wewnêtrznym (domy¶lnie) a zewnêtrznym (warto¶æ 1) transceiverem. Ten pierwszy wykorzystuje z³±cze karty BNC, natomiast drugi jej port AUI. Argumenty param nie musz± byæ w ogóle podawane, je¿eli nie masz nic szczególnego do skonfigurowania.

Pierwszy, nieliczbowy argument jest interpretowany przez j±dro jako nazwa urz±dzenia. Musisz podaæ nazwê urz±dzenia dla ka¿dej konfigurowanej karty Ethernet.
Gdyby¶ mia³ dwie karty Ethernet, Linux móg³by wykryæ jedn± kartê automatycznie i przez lilo przekazaæ parametry do drugiej karty, ale prawdopodobnie wola³by¶ rêcznie skonfigurowaæ obie karty. Je¶li decydujesz siê na wykrywanie jednej karty przez j±dro i rêczne konfigurowanie drugiej, musisz mieæ pewno¶æ, ¿e j±dro nie znajdzie przypadkowo najpierw drugiej karty i ¿e pierwsza zostanie w ogóle znaleziona. Dlatego przeka¿ do lilo opcjê reserve, która jawnie mówi j±dru, by nie sprawdza³o obszaru wej¶cia/wyj¶cia zajêtego przez drug± kartê. Na przyk³ad, aby Linux zainstalowa³ drug± kartê Ethernet znajduj±c± siê pod adresem 0x300 jako eth1, musia³by¶ przekazaæ j±dru nastêpuj±ce parametry:

reserve=0x300,32 ether=0,0x300,eth1

Opcja reserve gwarantuje, ¿e ¿aden sterownik nie bêdzie mia³ dostêpu do obszaru wej¶cia/wyj¶cia drugiej karty w czasie wykrywania innych urz±dzeñ. Mo¿esz tak¿e u¿yæ parametru j±dra, który uniewa¿nia automatyczne wykrywanie eth0:

reserve=0x340,32 ether=0,0x340,eth0

Mo¿esz tak¿e w ogóle wy³±czyæ automatyczne wykrywanie, na przyk³ad, aby j±dro nie próbowa³o szukaæ karty Ethernet, któr± tymczasowo usun±³e¶. W tym celu ustaw argument base_addr na warto¶æ -1:

ether=0,-1,eth0

Aby przekazaæ te parametry do j±dra w czasie uruchamiania, wpisujesz je w monicie "boot:" lilo. Aby lilo pokaza³o monit "boot:", musisz nacisn±æ jeden z klawiszy [Control], [Alt] lub [Shift] w czasie uruchamiania lilo. Je¿eli maj±c monit, naci¶niesz klawisz [Tab], pojawi siê lista j±der. Aby uruchomiæ j±dro z podanymi parametrami, wprowad¼ nazwê wybranego j±dra, a nastêpnie spacjê i parametry, które chcesz przekazaæ. Po naci¶niêciu [Enter] lilo za³aduje j±dro z uwzglêdnieniem podanych parametrów.
Aby te nowe parametry pojawi³y siê automatycznie przy ponownym uruchamianiu systemu, wprowad¼ je do pliku /etc/lilo.conf, u¿ywaj±c s³owa kluczowego append=. Oto przyk³ad:

boot=/dev/hda
root=/dev/hda2
install=/boot/boot.b
map=/boot/map
vga=normal
delay=20
append="ether=10,300,eth0"

image=/boot/vmlinuz-2.2.14
label=2.2.14
read-only

Po edycji pliku lilo.conf musisz ponownie uruchomiæ polecenie lilo, aby uaktywniæ zmiany.

Sterownik PLIP
Protokó³ IP ³±cza równoleg³ego (Parallel Line IP - PLIP) to ³atwy i tani sposób na po³±czenie dwóch maszyn w sieæ. Wykorzystuje port równoleg³y i specjalny kabel. Osi±ga prêdko¶æ od 10 do 20 kilobajtów na sekundê.
PLIP powsta³ w firmie Cyrnwr, Inc. Na swoje czasy odznacza³ siê pomys³ow±  (lub, je¶li wolisz, typowo hakersk± architektur±), poniewa¿ oryginalne porty równoleg³e IBM PC by³y projektowane jako jednokierunkowe porty drukarki. Osiem linii danych s³u¿y³o do wysy³ania danych jedynie z PC do urz±dzenia peryferyjnego, ale nie w drug± stronê.* Protokó³ PLIP firmy Cyrnwr znosi³ to ograniczenie. W PLIP do przyjmowania danych przeznaczono tylko piêæ linii stanu portu, co ograniczy³o wielkoæ dostarczanych danych do pó³bajtu, ale dopuszczono przesy³anie w obie strony. Ten tryb dzia³ania zosta³ nazwany PLIP tryb 0. Obecnie porty równoleg³e PC obs³uguj± pe³ne dwukierunkowe przesy³anie danych 8-bitowych, a PLIP zosta³ rozszerzony i nosi nazwê PLIP tryb 1.
J±dra Linuksa do wersji 2.0 (w³±cznie) obs³ugiwa³y jedynie PLIP tryb 0, ale istnia³y rozszerzone sterowniki portu równoleg³ego (w postaci poprawek dla j±dra 2.0 i jako standardowy kod w j±drze 2.2), które obs³ugiwa³y tak¿e PLIP tryb 1**. W odró¿nieniu od wcze¶niejszych wersji kodu PLIP, obecny sterownik próbuje byæ kompatybilny z implementacjami PLIP firmy Cyrnwr oraz sterownikiem PLIP umieszczonym w NCSA telnet***.  Aby po³±czyæ dwa komputery za pomoc± PLIP, musisz mieæ specjalny kabel sprzedawany w niektórych sklepach pod nazw± Null Printer lub Turbo Laplink. Mo¿esz jednak wykonaæ go samodzielnie i nie jest to trudne. Dodatek B, Przydatne konfiguracje kabli, wyja¶nia, jak to zrobiæ.
Sterownik PLIP dla Linuksa jest dzie³em prawie niezliczonej rzeszy u¿ytkowników. Obecnie znajduje siê pod opiek± Niibe Yutaka (adres kontaktowy: gniibe@mri.co.jp). Sterownik po wkompilowaniu w j±dro konfiguruje interfejs sieciowy dla ka¿dego mo¿liwego portu drukarki, gdzie plip0 odpowiada portowi lp0, plip1 portowi lp1 i tak dalej. Odwzorowanie interfejsów na porty inaczej wygl±da w j±drach 2.0 ni¿ w j±drach 2.2. W j±drach 2.0 odwzorowanie by³o zdefiniowane w pliku drives/ net/Space.c w kodzie j±dra i nie mog³o siê zmieniæ. Domy¶lne odwzorowanie w tym pliku jest nastêpuj±ce:

Interfejs	Port wej¶cia/wyj¶cia	IRQ
plip0	0x3BC	7
plip1	0x378	7
plip2	0x278	5
Gdyby¶ skonfigurowa³ swój port drukarki w inny sposób, musia³by¶ zmieniæ odpowiednie warto¶ci w pliku drivers/net/Space.c w kodzie ¼ród³owym j±dra Linuksa, które trzeba by³oby przekompilowaæ.
W j±drach 2.2 sterownik PLIP wykorzystuje sterownik portu równoleg³ego "parport" napisany przez Philipa Blundella*. Nowy sterownik przypisuje nazwy urz±dzeñ sieciowych PLIP kolejno, tak jak sterowniki Ethernet czy PPP, a wiêc pierwsze utworzone urz±dzenie PLIP ma nazwê plip0, drugie plip1 i tak dalej. Fizyczne porty równoleg³e s± równie¿ przypisywane kolejno. Domy¶lnie sterownik portu równoleg³ego zastosuje procedurê automatycznego wykrywania, aby zidentyfikowaæ sprzêt, który go obs³uguje, i kolejno zapisze uzyskiwane informacje o urz±dzeniu fizycznym. Lepiej jest jawnie przekazaæ j±dru fizyczne parametry wej¶cia/wyj¶cia. W tym celu trzeba podaæ argumenty do modu³u parport_pc.o w czasie jego ³adowania, a je¿eli sterownik jest wkompilowany w j±dro, argumenty podaje siê w czasie uruchamiania lilo. Ustawienia IRQ dowolnego urz±dzenia mog± zostaæ zmienione pó¼niej przez zapisanie nowej warto¶ci IRQ do pliku /proc/parport/*/irq.
Konfigurowanie parametrów fizycznych wej¶cia/wyj¶cia w j±drze 2.2 w czasie ³adowania modu³u jest proste. Na przyk³ad, aby przekazaæ sterownikowi, ¿e masz dwa porty równoleg³e typu PC pod adresami wej¶cia/wyj¶cia 0x278 i 0x378 oraz IRQ odpowiednio 5 i 7, mo¿esz za³adowaæ modu³ z nastêpuj±cymi argumentami:

modprobe parport_pc io=0x278,0x378 irq=5,7

Odpowiednie argumenty przekazywane do j±dra w przypadku wkompilowanego sterownika s± nastêpuj±ce:

parport=0x278,5 parport=0x378,7

Aby argumenty te przekazaæ do j±dra automatycznie w czasie uruchamiania systemu, musisz u¿yæ s³owa kluczowego append w lilo.
Gdy sterownik PLIP zostanie zainicjowany, czy to w czasie uruchamiania systemu, je¿eli jest wbudowany, czy te¿ w czasie ³adowania modu³u plip.o, ka¿dy z portów równoleg³ych bêdzie mia³ zwi±zane z nim urz±dzenie sieciowe plip. Urz±dzenie plip0 zostanie przypisane do pierwszego portu równoleg³ego, plip1 do drugiego i tak dalej. To przypisanie mo¿na pomin±æ, rêcznie zadaj±c inny zestaw argumentów j±dra. Na przyk³ad, aby przypisaæ parport0 do urz±dzenia plip0 i parport1 do urz±dzenia plip1, u¿y³by¶ nastêpuj±cych argumentów j±dra:

plip=parport1 plip=parport0

Jednak takie przypisanie nie znaczy, ¿e nie mo¿esz wykorzystywaæ tych portów równoleg³ych do drukowania czy innych celów. Fizyczne porty równoleg³e s± u¿ywane przez sterownik PLIP jedynie wtedy, gdy odpowiadaj±cy im interfejs jest w trybie up.
Sterowniki PPP i SLIP
Protoko³y PPP (Point-to-point Protocol - protokó³ punkt-punkt) i SLIP (Serial Line IP - IP ³±cza szeregowego) s± powszechnie stosowane do przesy³ania pakietów IP przez ³±cze szeregowe. Wiele firm oferuje dostêp komutowany PPP i SLIP do maszyn, które s± pod³±czone do Internetu, zapewniaj±c w ten sposób po³±czenia IP dla prywatnych osób (czêsto inaczej trudno dostêpne).
Aby uruchomiæ PPP czy SLIP, nie trzeba modyfikowaæ sprzêtu - mo¿esz u¿yæ dowolnego portu szeregowego. Poniewa¿ konfiguracja portu szeregowego nie jest istot± sieci TCP/IP, zagadnienie to znalaz³o siê w rozdziale 4, Konfigurowanie urz±dzeñ szeregowych. Natomiast PPP omawiamy szczegó³owo w rozdziale 8, Protokó³ punkt-punkt, a SLIP - w rozdziale 7, IP ³±cza szeregowego.
Inne typy sieci
Wiêkszo¶æ pozosta³ych typów sieci jest konfigurowana podobnie jak Ethernet. Argumenty przekazywane do modu³ów ³adowalnych bêd± oczywi¶cie inne, a niektóre sterowniki mog± obs³ugiwaæ tylko jedn± kartê, ale ca³a reszta jest taka sama. Dokumentacjê tych kart mo¿esz znale¼æ w katalogu /usr/src/linux/Documentation/networking w kodzie ¼ród³owym Linuksa.


4
Konfigurowanie urz±dzeñ szeregowych

Rozdzia³ 4: Konfigurowanie urz±dzeñ szeregowych


Internet rozwija siê bardzo szybko. A przecie¿ wiekszo¶æ jego u¿ytkowników stanowi± ci, którzy nie mog± sobie pozwoliæ na sta³e i szybkie ³±cza i u¿ywaj± protoko³ów takich jak SLIP, PPP czy UUCP, dzwoni±c do dostawcy us³ug internetowych i odbieraj±c dzienn± porcjê swojej poczty i wiadomo¶ci grup dyskusyjnych.
Rozdzia³ niniejszy ma pomóc tym wszystkim, którzy swoje po³±czenie ze ¶wiatem zewnêtrznym opieraj± na modemach. Nie bêdziemy mówili, jak skonfigurowaæ modem (instrukcja konkretnego urz±dzenia powie ci wiêcej na ten temat), ale opiszemy aspekty specyficzne dla Linuksa i dotycz±ce zarz±dzania urz±dzeniami wykorzystuj±cymi porty szeregowe. Interesuj±ce nas tematy to: oprogramowanie do komunikacji szeregowej, tworzenie plików urz±dzeñ szeregowych, urz±dzenia szeregowe i konfigurowanie urz±dzeñ szeregowych za pomoc± poleceñ setserial i stty. Wiele innych tematów mo¿na znale¼æ w Serial-HOWTO autorstwa Davida Lawyera*.
Oprogramowanie komunikacyjne do po³±czeñ modemowych
Istnieje wiele pakietów komunikacyjnych dla Linuksa. G³ównie s± to programy terminala, które pozwalaj± u¿ytkownikowi dzwoniæ do innego komputera i poczuæ siê tak, jakby siedzia³ przed prostym terminalem. Tradycyjny program terminala dla ¶rodowisk uniksowych to kermit. Obecnie jest on ju¿ nieco przestarza³y i mo¿e wydawaæ siê trudny. Istniej± wygodniejsze programy, które obs³uguj± funkcje, takie jak ksi±¿ki telefoniczne, jêzyki skryptowe do automatycznego dzwonienia i logowania siê do zdalnych systemów komputerowych oraz ró¿ne protoko³y wymiany plików. Jednym z tych programów jest minicom, wzorowany na najpopularniejszym DOS-owym programie terminala. U¿ytkownicy X11 tak¿e maj± narzêdzie dla siebie - seyon jest w pe³ni funkcjonalnym programem komunikacyjnym opartym na X11.
Programy terminala nie s± jedynym rodzajem programów do po³±czeñ szeregowych. Inne pozwalaj± po³±czyæ siê z hostem i pobraæ wiadomo¶ci grup dyskusyjnych oraz pocztê w jednej paczce, aby pó¼niej, w wolnej chwili, zapoznaæ siê z nimi i daæ odpowied¼. Mo¿e zaoszczêdzisz w ten sposób du¿o czasu i pieniêdzy, je¿eli z³o¿y³o siê tak nieszczê¶liwie, ¿e mieszkasz w rejonie, gdzie po³±czenia lokalne s± p³atne*. Podczas czytania i przygotowania odpowiedzi nie musisz mieæ po³±czenia z sieci±, a gdy bêdziesz gotowy, zadzwonisz ponownie i umie¶cisz swoje odpowiedzi na serwerze za jednym zamachem. Potrzebujesz te¿ nieco wiêcej miejsca na dysku twardym, poniewa¿ wszystkie wiadomo¶ci musz± byæ na nim umieszczone, zanim je przeczytasz, ale mo¿e byæ to sensowny kompromis przy obecnych cenach dysków twardych.
UUCP zawiera w sobie w³a¶nie tego typu oprogramowanie komunikacyjne. Jest to zestaw programów, które kopiuj± pliki z jednego hosta na drugi i uruchamiaj± programy na ho¶cie zdalnym. Czêsto jest u¿ywany do przenoszenia poczty czy grup dyskusyjnych w sieciach prywatnych. Pakiet UUCP Iana Taylora, dzia³aj±cy tak¿e pod Linuksem, opisujemy szczegó³owo w rozdziale 16, Zarz±dzanie UUCP Taylora. Pozosta³e nieinteraktywne oprogramowanie komunikacyjne jest u¿ywane w sieciach takich, jak Fidonet. Wersje aplikacji pochodz±ce z Fidonet, takie jak ifmail, s± równie¿ dostêpne, chocia¿ wydaje siê nam, ¿e ju¿ niewiele osób z nich korzysta.
PPP i SLIP s± po¶rodku, gdy¿ pozwalaj± zarówno na interaktywne, jak i nieinteraktywne u¿ycie. Wiele osób u¿ywa PPP i SLIP w celu dzwonienia do swoich sieci campusowych lub innych dostawców Internetu, a potem korzysta z FTP lub czyta strony WWW. PPP i SLIP s± tak¿e powszechnie stosowane do po³±czeñ sta³ych i pó³sta³ych pomiêdzy sieciami LAN, choæ jest to ciekawe jedynie przy po³±czeniach ISDN lub innych o podobnej szybko¶ci.
Wprowadzenie do urz±dzeñ szeregowych
J±dro Linuksa daje mo¿liwo¶æ komunikacji z urz±dzeniami szeregowymi, zwykle nazywanymi urz±dzeniami tty. Jest to skrót od angielskiej nazwy Teletype device**, która wskazuje na g³ównego producenta urz±dzeñ terminalowych z pocz±tków Uniksa. Termin "urz±dzenie tty" odnosi siê obecnie do wszelkich terminali znakowych. W tym rozdziale zawê¿amy jego zakres wy³±cznie do plików urz±dzeñ w Linuksie, czyli oznacza on tutaj fizyczny terminal.
Linux udostêpnia trzy klasy urz±dzeñ tty: urz±dzenia szeregowe, terminale wirtualne (do których masz dostêp przez naci¶niêcie klawiszy od [Alt+F1] do [Alt+Fnn] na konsoli lokalnej) i pseudoterminale (podobne do potoków dwukierunkowych i u¿ywane przez aplikacje takie jak X11). Te pierwsze zosta³y nazwane urz±dzeniami tty, poniewa¿ oryginalne terminale znakowe by³y pod³±czone do maszyny uniksowej przez kabel szeregowy lub liniê telefoniczn± i modem. Dwa kolejne zosta³y te¿ zaliczone do grupy urz±dzeñ tty, poniewa¿ z punktu widzenia programisty dzia³a³y podobnie do tych pierwszych.
SLIP i PPP s± przewa¿nie implementowane w j±drze. J±dro w rzeczywisto¶ci nie traktuje urz±dzenia tty jako urz±dzenia sieciowego, którym mo¿esz pos³ugiwaæ siê tak jak urz±dzeniem Ethernet, u¿ywaj±c poleceñ ifconfig. Natomiast widzi je jako co¶, do czego mo¿e pod³±czyæ urz±dzenia sieciowe. Aby to zrobiæ, j±dro zmienia tzw. protokó³ obs³ugi (ang. line discipline) urz±dzenia tty. Zarówno SLIP, jak i PPP s± protoko³ami obs³ugi, które mog± zostaæ w³±czone na urz±dzeniach tty. Ogólna zasada jest taka, ¿e sterownik szeregowy obs³uguje otrzymane dane w ró¿ny sposób, w zale¿no¶ci od tego, z jakiego protoko³u obs³ugi korzysta. W przypadku domy¶lnego protoko³u obs³ugi sterownik po prostu przesy³a kolejno ka¿dy otrzymany znak. Gdy zostanie wybrany protokó³ obs³ugi PPP lub SLIP, sterownik nie czyta bloków danych, ale opatruje je specjalnym nag³ówkiem, który pozwala na identyfikacjê bloku danych w strumieniu po drugiej stronie i przes³anie nowego bloku danych. Na razie zrozumienie tego nie jest zbyt istotne. W dalszych rozdzia³ach omówimy dok³adniej PPP oraz SLIP i wszystko stanie siê jasne.
Dostêp do urz±dzeñ szeregowych
Tak jak wszystkie urz±dzenia w systemie Unix, tak i porty szeregowe s± dostêpne poprzez specjalne pliki urz±dzeñ znajduj±ce siê w katalogu /dev. Istniej± dwa rodzaje plików urz±dzeñ zwi±zanych ze sterownikami szeregowymi i dla ka¿dego portu istnieje jeden taki plik. Zachowanie urz±dzenia bêdzie zale¿a³o od tego, który z jego plików otworzymy. Tutaj wska¿emy ró¿nice, co pomo¿e nam zrozumieæ pewne konfiguracje. Jednak w praktyce wystarczy u¿ywaæ tylko jednego z tych plików. Nied³ugo jeden z nich mo¿e w ogóle przestaæ istnieæ.
Wa¿niejsze urz±dzenia z dwóch klas urz±dzeñ szeregowych maj± numer nadrzêdny 4, a pliki specjalne urz±dzeñ nosz± nazwy ttyS0, ttyS1 itd. Drugi rodzaj ma numer nadrzêdny 5 i zosta³ stworzony do wykorzystania przy dzwonieniu na zewn±trz przez port. Pliki specjalne w tym przypadku nosz± nazwy cua0, cua1 itd. W ¶wiecie Uniksa liczenie generalnie rozpoczyna siê od zera, choæ inteligentni ludzie zwykle licz± od jednego. Wprowadza to lekkie zamieszanie, poniewa¿ COM1: jest reprezentowany przez /dev/ttyS0, COM2: przez /dev/ttyS1 itd. Ka¿dy, kto zna architekturê sprzêtow± IBM PC wie, ¿e port COM3: i porty o wiêkszych numerach nigdy nie sta³y siê w rzeczywisto¶ci standardem.
Urz±dzenia cua, czyli "s³u¿±ce do dzwonienia" (z ang. calling out), mia³y rozwi±zaæ problem konfliktów urz±dzeñ szeregowych przeznaczonych dla modemów i obs³uguj±cych zarówno po³±czenia przychodz±ce, jak i wychodz±ce. Niestety, sta³y siê one ¼ród³em innych k³opotów i zapewne trzeba bêdzie z nich zrezygnowaæ. Przyjrzyjmy siê pokrótce problemowi.
Linux, podobnie jak Unix, pozwala, by urz±dzenie lub inny plik by³y otwierane przez wiêcej ni¿ jeden proces jednocze¶nie. Niestety nie jest to zalet± w przypadku urz±dzeñ tty, gdy¿ dwa procesy prawie na pewno bêd± sobie przeszkadza³y. Na szczê¶cie wymy¶lono mechanizm pozwalaj±cy sprawdzaæ procesowi, czy urz±dzenie tty zosta³o ju¿ otwarte przez inny proces. Mechanizm ten wykorzystuje tak zwane pliki blokuj±ce (ang. lock files). Dzia³a na nastêpuj±cej zasadzie: gdy proces chce otworzyæ urz±dzenie tty, sprawdza, czy w okre¶lonym miejscu istnieje plik o nazwie podobnej do urz±dzenia, które chce otworzyæ. Je¿eli plik nie istnieje, proces go tworzy i otwiera urz±dzenie tty. Je¿eli plik istnieje, proces zak³ada, ¿e urz±dzenie otworzy³ ju¿ inny proces i podejmuje stosowne dzia³anie. Jeszcze jeden pomys³ na sprawne dzia³anie systemu zarz±dzania plikami blokuj±cymi to zapisywanie w samym pliku ID procesu (pid), który stworzy³ plik blokuj±cy. Wiêcej na ten temat powiemy za chwilê.
Mechanizm pliku blokuj±cego dzia³a doskonale w warunkach, gdy jest zdefiniowane miejsce dla takich plików i wszystkie programy wiedz±, gdzie ich szukaæ. Niestety nie zawsze tak by³o w Linuksie. Korzystanie z tego mechanizmu sta³o siê mo¿liwe dopiero, gdy zosta³ zdefiniowany FSSTND (standard systemu plików Linuksa) z ustalon±  lokalizacj± plików blokuj±cych, które zaczê³y wtedy dzia³aæ poprawnie dla urz±dzeñ tty. Wcze¶niej zdarzy³o siê, ¿e wspó³istnia³o kilka mo¿liwych lokalizacji plików blokuj±cych wybranych przez programistów: /usr/spool/locks/, /var/spool/locks/, /var/lock/ i /usr/lock/. Zamieszanie rodzi³o chaos. Programy otwiera³y pliki blokuj±ce z ró¿nych miejsc, a maj±ce kontrolowaæ jedno urz±dzenie tty. Efekt by³ taki, jakby pliki blokuj±ce w ogóle nie by³y u¿ywane.
Aby rozwi±zaæ ten problem, stworzono urz±dzenia cua. Zamiast polegaæ na plikach blokuj±cych, które mia³y zabezpieczaæ przed kolidowaniem ze sob± programów  korzystaj±cych z urz±dzeñ szeregowych, zdecydowano, ¿e to j±dro bêdzie decydowaæ, kto ma mieæ dostêp do urz±dzenia. Je¿eli urz±dzenie ttyS by³o ju¿ otwarte, próba otwarcia cua koñczy³a siê b³êdem. Program móg³ to zinterpretowaæ jako informacjê, ¿e urz±dzenie jest u¿ywane. Je¿eli urz±dzenie cua by³o ju¿ otwarte i zosta³a podjêta próba otwarcia urz±dzenia ttyS, ¿±danie by³o blokowane, to znaczy wstrzymywane do czasu zamkniêcia urz±dzenia cua przez inny proces. Dzia³a³o do ca³kiem dobrze, je¿eli mia³e¶ jeden modem skonfigurowany do odbierania po³±czeñ i co jaki¶ czas chcia³e¶ zadzwoniæ za pomoc± tego samego urz±dzenia. K³opoty pojawi³y siê w ¶rodowiskach, gdzie wiele programów chcia³o dzwoniæ z tego samego urz±dzenia. Jedynym sposobem na rozwi±zanie tego problemu by³o zastosowanie plików blokuj±cych. Powrót do punktu wyj¶cia.
Wystarczy wspomnieæ, ¿e przyszed³ tu z pomoc± standard systemu plików Linuksa. Teraz pliki blokuj±ce musz± znajdowaæ siê w katalogu /var/lock i nazywaæ zgodnie z przyjêt± konwencj±, czyli plik blokuj±cy dla urz±dzenia ttyS1 nazywa siê na przyk³ad LCK..ttyS1. Pliki blokuj±ce cua powinny tak¿e znajdowaæ siê w tym katalogu, ale u¿ywanie urz±dzeñ cua nie jest zalecane.
Przez jaki¶ czas urz±dzenia cua bêd± jeszcze funkcjonowa³y, by zapewniæ kompatybilno¶æ w okresie przej¶ciowym, ale stopniowo bêd± wycofywane. Je¿eli zastanawiasz siê, czego u¿ywaæ, trzymaj siê urz±dzeñ ttyS i upewnij siê, ¿e twój system jest zgodny z FSSTND lub ¿e przynajmniej wszystkie programy korzystaj±ce z urz±dzeñ szeregowych umieszczaj± pliki blokuj±ce w tym samym miejscu. Wiêkszo¶æ oprogramowania pracuj±cego z urz±dzeniami szeregowymi tty posiada opcjê kompilacyjn± pozwalaj±c± na wskazanie miejsca umieszczania plików blokuj±cych. Czêsto wystêpuje ona w postaci zmiennej o nazwie typu LOCKDIR w pliku Makefile lub w nag³ówkowym pliku konfiguracyjnym. Je¿eli sam kompilujesz oprogramowanie, najlepiej jest ustawiæ tê zmienn± tak, by zapewniæ zgodno¶æ z lokalizacj± okre¶lon± przez FSSTND. Je¿eli korzystasz ze skompilowanych plików binarnych i nie jeste¶ pewien, gdzie program zapisuje swoje pliki blokuj±ce, mo¿esz u¿yæ poni¿szego polecenia, by uzyskaæ wskazówkê:

strings plikbinarny | grep lock

Je¿eli wskazana lokalizacja nie zgadza siê z pozosta³± czê¶ci± twojego systemu, staraj siê utworzyæ dowi±zanie symboliczne z katalogu plików blokuj±cych, którego chce u¿ywaæ dany program, do katalogu /var/lock. Nie jest to zbyt eleganckie rozwi±zanie, ale dzia³a.
Pliki specjalne urz±dzenia szeregowego
Numery podrzêdne s± identyczne dla obu typów urz±dzeñ szeregowych. Gdyby¶ mia³ swój modem na jednym z czterech standardowych portów COM, jego numer podrzêdny by³by numerem portu COM plus 63. Gdyby¶ u¿ywa³ specjalnego urz±dzenia szeregowego, takiego jak szybki wieloportowy kontroler szeregowy, prawdopodobnie musia³by¶ tworzyæ dla niego specjalne pliki urz±dzeñ. Zapewne karta taka nie pos³ugiwa³aby siê standardowym sterownikiem urz±dzenia. Odpowiednie szczegó³y zapewne znajdziesz w dokumencie Serial-HOWTO.
Za³ó¿my, ¿e twój modem jest pod³±czony do COM2:. Jego numer podrzêdny to 65, a nadrzêdny to 4 w przypadku normalnego zastosowania. Powinno istnieæ urz±dzenie ttyS1, które ma takie numery. Wylistuj urz±dzenia szeregowe tty w katalogu /dev/. Pi±ta i szósta kolumna pokazuj± odpowiednio numery podrzêdne i nadrzêdne:

$ ls -l /dev/ttyS*
0 crw-rw---- 1 uucp dialout 4, 64 Oct 13   1997 /dev/ttyS0
0 crw-rw---- 1 uucp dialout 4, 65 Jan 26  21:55 /dev/ttyS1
0 crw-rw---- 1 uucp dialout 4, 66 Oct 13   1997 /dev/ttyS2
0 crw-rw---- 1 uucp dialout 4, 67 Oct 13   1997 /dev/ttyS3

Gdyby nie by³o urz±dzenia o numerze nadrzêdnym 4 i podrzêdnym 65, musia³by¶ je stworzyæ. W takiej sytuacji zaloguj siê jako u¿ytkownik uprzywilejowany i napisz:

# mknod -m 666 /dev/ttyS1 c 4 65
# chown uucp.dialout /dev/ttyS1

Dystrybucje Linuksa u¿ywaj± ró¿nych strategii do okre¶lania, kto powinien byæ w³a¶cicielem urz±dzeñ szeregowych. Czasem bêd± one w³asno¶ci± u¿ytkownika root, a innym razem bêd± nale¿a³y na przyk³ad do uucp, tak jak w naszym przyk³adzie. Wspó³czesne dystrybucje maj± specjaln± grupê dla urz±dzeñ s³u¿±cych do dzwonienia. Ka¿dy u¿ytkownik, który ma prawo ich u¿ywaæ, jest dodawany do tej grupy.

Niektórzy sugeruj± stworzenie dowi±zania symbolicznego /dev/modem do urz±dzenia modemu, tak by zwykli u¿ytkownicy nie musieli zapamiêtywaæ czego¶ tak skomplikowanego jak ttyS1. Jednak nie mo¿esz u¿ywaæ w jednym programie nazwy modem, a w drugim rzeczywistej nazwy pliku urz±dzenia. Ich pliki blokuj±ce bêd± mia³y ró¿ne nazwy i mechanizm blokowania nie zadzia³a.
Urz±dzenia szeregowe
RS-232 jest obecnie najbardziej znanym standardem komunikacji szeregowej w ¶wiecie PC. Wykorzystuje wiele uk³adów do transmisji pojedynczych bitów oraz do synchronizacji. Mo¿na wprowadziæ dodatkowe linie do sygnalizacji obecno¶ci no¶nej (u¿ywanej przez modemy) i do uzgadniania (ang. handshaking). Linux obs³uguje wiele kart szeregowych zgodnych ze standardem RS-232.
Uzgadnianie sprzêtowe jest opcjonalne, ale bardzo przydatne. Pozwala obu stronom na sygnalizowanie gotowo¶ci odbioru kolejnych danych lub na powiadomienie, ¿e druga strona powinna poczekaæ, a¿ odbiorca zakoñczy przetwarzanie odebranych danych. Linie u¿ywane do tego celu s± nazywane odpowiednio "Clear to Send" (CTS) i "Ready to Send" (RTS), co wyja¶nia potoczn± nazwê uzgadniania sprzêtowego: RTS/CTS. Innym rodzajem uzgadniania, z którym mog³e¶ siê ju¿ spotkaæ, jest XON/XOFF. Wykorzystuje ono dwa wyznaczone znaki, zwykle [CTRL+S] i [CTRL+Q] do sygnalizowania drugiej stronie, ¿e powinna odpowiednio zatrzymaæ lub rozpocz±æ przesy³anie danych. Choæ sposób ten jest ³atwy do zaimplementowania i dzia³a poprawnie na terminalach uproszczonych (ang. dumb terminals), powoduje zamieszanie w przypadku danych binarnych. Mo¿e siê bowiem zdarzyæ, ¿e wolisz przes³aæ te znaki jako czê¶æ strumienia danych i chcesz, aby by³y interpretowane jako znaki steruj±ce. Poza tym metoda ta jest wolniejsza ni¿ uzgadnianie sprzêtowe, które jako proste i szybkie jest zalecane zamiast XON/XOFF, o ile oczywi¶cie masz wybór.
W pierwszych modelach IBM PC interfejs RS-232 by³ sterowany przez uk³ad scalony UART 8250. PC z czasów procesora 486 u¿ywa³y nowszej wersji uk³adu UART 16450. By³ on nieco szybszy ni¿ 8250. Prawie wszystkie komputery oparte na Pentium s± wyposa¿one w jeszcze nowsz± wersjê uk³adu UART 16550. Niektóre marki (przewa¿nie modemy wewnêtrzne wyposa¿one w zestaw uk³adów Rockwell) wykorzystuj± zupe³nie inne uk³ady emuluj±ce zachowanie 16550 i mog± byæ traktowane podobnie. Standardowy sterownik portu szeregowego Linuksa obs³uguje je wszystkie*. 
Uk³ad 16550 jest znacznym krokiem naprzód w stosunku do 8250 i 16450, poniewa¿ oferuje 16-bajtowy bufor FIFO. 16550 jest w rzeczywisto¶ci rodzin± urz±dzeñ UART, do której nale¿± uk³ady 16550, 16550A i 16550AFN (nazwa zosta³a pó¼niej zmieniona na PCI16550DN). Ró¿nice miêdzy nimi polegaj± na zapewnieniu dzia³ania FIFO; w uk³adzie 16550AFN dzia³a ono na pewno. Istnia³ tak¿e uk³ad NS16550, ale w nim bufor FIFO nigdy tak naprawdê nie dzia³a³.
Uk³ady UART 8250 i 16450 mia³y prosty bufor jednobajtowy. Oznacza³o to, ¿e 16450 generowa³ przerwanie dla ka¿dego nadanego lub odebranego znaku. Ka¿de wymaga³o krótkiego czasu na jego obs³ugê i to niewielkie opó¼nienie ogranicza³o prêdko¶æ uk³adu 16450 do 9600 bitów na sekundê w typowym komputerze z magistral± ISA.
W domy¶lnej konfiguracji j±dro sprawdza cztery standardowe porty szeregowe, od COM1: do COM4:. J±dro jest tak¿e w stanie wykryæ, jaki uk³ad UART jest u¿ywany dla ka¿dego ze standardowych portów szeregowych i wykorzystuje bufor FIFO uk³adu 16550, je¿eli jest dostêpny.
U¿ywanie narzêdzi konfiguracyjnych
Teraz przyjrzyjmy siê krótko dwóm najbardziej przydatnym narzêdziom do konfiguracji urz±dzenia szeregowego: setserial i stty.
Polecenie setserial
J±dro zrobi wszystko co w jego mocy, by poprawnie rozpoznaæ konfiguracjê twojego urz±dzenia szeregowego, ale wielo¶æ mo¿liwo¶ci powoduje, ¿e trudno jest uzyskaæ w praktyce stuprocentow± niezawodno¶æ. Dobrym przyk³adem tego, co sprawia problemy, s± modemy wewnêtrzne, o których mówili¶my wcze¶niej. U¿ywany przez nie uk³ad UART ma 16-bajtowy bufor FIFO, ale z punktu widzenia sterownika urz±dzenia w j±drze wygl±da jak uk³ad UART 16450: dopóki nie wska¿emy sterownikowi, ¿e jest to urz±dzenie 16550, j±dro nie bêdzie wykorzystywaæ rozszerzonego bufora. Innym przyk³adem s± uproszczone karty 4-portowe pozwalaj±ce na wspó³dzielenie jednego IRQ przez wiele urz±dzeñ szeregowych. W takiej sytuacji musimy wskazaæ j±dru w³a¶ciwe IRQ i uprzedziæ je, ¿e IRQ mo¿e byæ wspó³dzielone.
Do konfiguracji sterownika szeregowego w czasie pracy stworzono program setserial. Polecenie to jest powszechnie uruchamiane w czasie startu systemu ze skryptu 0setserial lub rc.serial, w zale¿no¶ci od dystrybucji. Skrypt ma tak ustawiæ inicjacjê sterownika szeregowego, aby ten dostosowa³ siê do niestandardowych lub niezwyk³ych urz±dzeñ szeregowych zainstalowanych w komputerze.
Ogólna sk³adnia polecenia setserial jest nastêpuj±ca:

setserial urz±dzenie [parametry]

gdzie urz±dzenie to jedno z urz±dzeñ szeregowych, na przyk³ad ttyS0.
Polecenie setserial ma wiele parametrów. Najpopularniejsze z nich opisano w tabeli 4-1. Informacje o pozosta³ych znajdziesz w podrêczniku elektronicznym setserial.

Tabela 4-1. Parametry polecenia setserial
Parametr	Opis
port numer_portu
Okre¶la adres portu wej¶cia/wyj¶cia urz±dzenia szeregowego. Numery portu powinny byæ podawane w notacji szesnastkowej, tzn. 0x2f8.
irq numer
Okre¶la numer przerwania u¿ywany przez urz±dzenie szeregowe.
uart typ_uart
Okre¶la typ UART urz±dzenia szeregowego. Powszechnie stosowane warto¶ci to 16450, 16550 itd. Ustawienie tej warto¶ci na none wy³±cza dane urz±dzenie szeregowe.
fourport
Okre¶lenie tego parametru mówi sterownikowi szeregowemu j±dra, ¿e port jest jednym z portów czteroportowej karty AST.
spd_hi
Programuje UART na prêdko¶æ 57,6 kb/s, gdy proces ¿±da 38,4 kb/s.
spd_vhi
Programuje UART na prêdko¶æ 115 kb/s, gdy proces ¿±da 38,4 kb/s.
spd_normal
Programuje UART na domy¶ln± prêdko¶æ 38,4 kb/s, gdy zostanie za¿±dana. Parametr ten jest u¿ywany do wy³±czenia dzia³ania spd_hi i spd_vhi wykonanych na danym urz±dzeniu szeregowym.
auto_irq
Parametr ten powoduje, ¿e j±dro próbuje automatycznie okre¶liæ IRQ danego urz±dzenia. Próba mo¿e siê nie powie¶æ, a wiêc lepiej traktowaæ to jako ¿±danie odgadniêcia IRQ przez j±dro. Je¿eli znasz IRQ urz±dzenia, powiniene¶ od razu u¿yæ opcji irq.
autoconfig
Parametr ten musi byæ okre¶lony w po³±czeniu z parametrem port. Podanie tego parametru powoduje, ¿e setserial zleca j±dru próbê automatycznego okre¶lenia typu uk³adu UART znajduj±cego siê pod zadanym adresem portu. Je¿eli zostanie podany równie¿ parametr auto_irq, j±dro podejmie tak¿e próbê automatycznego wykrycia IRQ.
skip_test


Parametr ten mówi j±dru, aby nie wykonywa³o sprawdzania typu uk³adu UART podczas automatycznej konfiguracji. Jest on niezbêdny, je¿eli uk³ad UART nie jest poprawnie wykrywany przez j±dro.
Plik rc konfiguruj±cy porty szeregowe w czasie uruchamiania komputera mo¿e wygl±daæ tak, jak w przyk³adzie 4-1. W wiêkszo¶ci dystrybucji Linuksa bêdzie on bardziej wyrafinowany ni¿ tutaj.
Przyk³ad 4-1. Przyk³adowy plik rc.serial zawieraj±cy polecenia setserial
# /etc/rc.serial - skrypt konfiguruj±cy ³±cze szeregowe
#
# Konfiguracja urz±dzeñ szeregowych
/sbin/setserial /dev/ttyS0 auto_irq skip_test autoconfig
/sbin/setserial /dev/ttyS1 auto_irq skip_test autoconfig
/sbin/setserial /dev/ttyS2 auto_irq skip_test autoconfig
/sbin/setserial /dev/ttyS3 auto_irq skip_test autoconfig
#
# Wy¶wietlenie konfiguracji urz±dzeñ szeregowych
/sbin/setserial -bg /dev/ttyS*
Argument -bg /dev/ttyS* w ostatnim poleceniu wypisze ³adnie sformatowane podsumowanie konfiguracji wszystkich urz±dzeñ szeregowych. Wynik bêdzie wygl±da³ tak, jak w przyk³adzie 4-2.
Przyk³ad 4-2. Wynik polecenia setserial -bg /dev/ttyS
/dev/ttyS0 at 0x03f8 (irq = 4) is a 16550A
/dev/ttyS1 at 0x02f8 (irq = 3) is a 16550A
Polecenie stty
Nazwa stty mo¿e oznaczaæ "set tty", ale polecenie stty bywa te¿ u¿ywane do wy¶wietlania konfiguracji terminala. Polecenie stty, prawdopodobnie jeszcze bardziej ni¿ setserial, wprawia w konsternacjê posiadan± liczb± charakterystyk, które mo¿na konfigurowaæ. W tej chwili poka¿emy najwa¿niejsze z nich. Pozosta³e znajdziesz na stronie podrêcznika elektronicznego stty.
Polecenie stty jest najczê¶ciej u¿ywane do konfigurowania parametrów terminala, które decyduje na przyk³ad, czy wprowadzane znaki bêd± wy¶wietlane na ekranie albo czy klawisz powinien generowaæ sygna³ przerwania. Wcze¶niej wyja¶nili¶my, ¿e urz±dzenia szeregowe s± urz±dzeniami tty i dlatego polecenie stty odnosi siê tak¿e do nich.
Jednym z najwa¿niejszych zastosowañ stty w urz±dzeniach szeregowych jest w³±czenie uzgadniania sprzêtowego w urz±dzeniu. Wcze¶niej krótko wspomnieli¶my o uzgadnianiu sprzêtowym. Domy¶lna konfiguracja urz±dzeñ szeregowych zak³ada wy³±czenie uzgadniania sprzêtowego. Wówczas mog± dzia³aæ kable szeregowe "trzy¿y³owe". Nie obs³uguj± one sygna³ów wymaganych do uzgadniania sprzêtowego i gdyby by³o ono domy¶lnie w³±czone, nie mo¿na by³oby przez nie przes³aæ ¿adnych znaków, by to zmieniæ.
Co dziwniejsze, niektóre szeregowe programy komunikacyjne nie w³±czaj± uzgadniaia sprzêtowego, a wiêc je¿eli twój modem je obs³uguje, powiniene¶ go skonfigurowaæ tak, ¿eby go u¿ywa³ (odszukaj w instrukcji modemu w³a¶ciwe polecenie), a tak¿e skonfiguruj odpowiednio urz±dzenie szeregowe. Polecenie stty ma znacznik crtscts, który w³±cza uzgadnianie sprzêtowe w urz±dzeniu - bêdziesz musia³ go u¿yæ. Polecenie prawdopodobnie najlepiej uruchomiæ z pliku rc.serial (lub równowa¿nego) w czasie startu systemu za pomoc± poleceñ pokazanych w przyk³adzie 4-3.
Przyk³ad 4-3. Przyk³adowe polecenia stty w pliku rc.serial
#
stty crtscts < /dev/ttyS0
stty crtscts < /dev/ttyS1
stty crtscts < /dev/ttyS2
stty crtscts < /dev/ttyS3
#

Polecenie stty dzia³a domy¶lnie na bie¿±cym terminalu, ale u¿ywaj±c funkcji przekierowuj±cej wej¶cie ("<") pow³oki, mo¿emy za pomoc± stty operowaæ na dowolnym urz±dzeniu tty. Znak przekierowania "<" czêsto bywa³ mylony z ">" - na szczê¶cie nowsze wersje stty maj± du¿o prostsz± sk³adniê takiego przekierowania. Aby u¿yæ nowej sk³adni, musimy napisaæ nasz± przyk³adow± konfiguracjê tak, jak w przyk³adzie 4-4.
Przyk³ad 4-4. Przyk³ad polecenia stty w pliku rc.serial z wykorzystaniem nowej sk³adni
#
stty crtscts -F /dev/ttys0
stty crtscts -F /dev/ttys1
stty crtscts -F /dev/ttys2
stty crtscts -F /dev/ttys3
#

Wspomnieli¶my, ¿e polecenie stty mo¿e byæ u¿ywane do wy¶wietlenia parametrów konfiguracyjnych terminala. Aby wy¶wietliæ wszystkie aktywne ustawienia urz±dzenia tty, u¿yj:

$ stty -a -F /dev/ttyS1

Wynik dzia³ania tego polecenia, przedstawiony jako przyk³ad 4-5, pokazuje stan wszystkich znaczników urz±dzenia. Znacznik poprzedzony znakiem minus, na przyk³ad -crtscts, oznacza, ¿e dana opcja jest wy³±czona.
Przyk³ad 4-5. Wynik dzia³ania polecenia stty -a
speed 19200 baud; rows 0; columns 0; line = 0;
intr = ^C; quit = "\; erase = ^?; kill = ^U; eof = ^D; eol = <undef>;
         eol2 = <undef>; start = ^Q; stop = ^S; susp = ^Z; rprnt = ^R;
         werase = ^W; lnext = ^V; flush = ^O; min = 1; time = 0;
-parenb -parodd cs8 hupcl -cstopb cread clocl -crtscts
-ignbrk -brkint -ignpar -parmrk -inpck -istrip -inlcr -igncr -icrnl -ixon   
        -ixoff -iuclc -ixany -imaxbel
-opost -olcuc -ocrnl onlcr -onocr -onlret -ofill -ofdel nl0 cr0 tab0
         bs0 vt0 ff0
-isig -icanon iexten echo echoe echok -echonl -noflsh -xcase -tostop
         -echoprt echoctl echoke

Opis najwa¿niejszych znaczników znajduje siê w tabeli 4-2. Ka¿dy z nich jest w³±czany przez podanie w poleceniu stty i wy³±czany przez podanie w poleceniu stty z poprzedzaj±cym znakiem -. Zatem, aby wy³±czyæ uzgadnianie sprzêtowe na urz±dzeniu ttyS0, napisa³by¶:

$ stty -crtscts -F /dev/ttyS0

Kolejny przyk³ad ³±czy niektóre z tych znaczników i konfiguruje urz±dzenie ttyS0 na 19200 bitów na sekundê, 8 bitów danych, brak parzysto¶ci i uzgadnianie sprzêtowe bez wypisywania odebranych znaków u nadawcy:

$ stty 19200 cs8 -parenb -crtscts -echo -F /dev/ttyS0
Tabela 4-2.  Najwa¿niejsze znaczniki w konfiguracji urz±dzeñ szeregowych
Znaczniki	Opis
N
Ustawienie prêdko¶ci ³±cza na N b/s.
crtscts
W³±czenie/wy³±czenie uzgadniania sprzêtowego.
ixon
W³±czenie/wy³±czenie kontroli przep³ywu XON/XOFF.

Znaczniki	Opis
clocal
W³±czenie/wy³±czenie sygna³ów sterowania modemem, takich jak DTR/DTS i DVD. Jest to potrzebne, je¿eli u¿ywasz "trzy¿y³owego" kabla szeregowego.
cs5 cs6 cs7 cs8
Ustawienie liczby bitów danych odpowiednio na 5, 6, 7 lub 8.
parodd
W³±czenie dope³niania bajtu do nieparzystej liczby jedynek. Wy³±czenie tego znacznika powoduje w³±czenie dope³niania bajtu do parzystej liczby jedynek.
parenb
W³±czenie sprawdzania parzysto¶ci. Zanegowanie tego znacznika powoduje nieu¿ywanie parzysto¶ci.
cstopb
W³±czenie u¿ywania dwóch bitów stopu na znak. Zanegowanie tego znacznika powoduje u¿ywanie jednego bitu stopu na znak.
echo

W³±czenie/wy³±czenie wysy³ania odebranych znaków do nadawcy.
Urz±dzenia szeregowe i monit login:
Swego czasu instalacja Uniksa wymaga³a najczê¶ciej jednego serwera i wielu "uproszczonych" terminali znakowych lub modemów do po³±czeñ komutowanych. Obecnie ten typ instalacji jest mniej powszechny. To dobra wiadomo¶æ dla wielu osób zainteresowanych tak± metod± pracy,  poniewa¿ "uproszczone" terminale mo¿na teraz kupiæ za grosze. Konfiguracje z modemami nie straci³y na popularno¶ci, ale dzisiaj s± one raczej u¿ywane do obs³ugi logowania przez SLIP lub PPP (co omawiamy w rozdziale 7, IP ³±cza szeregowego, i w rozdziale 8, Protokó³ punkt-punkt), a nie do zwyk³ego logowania. Niemniej jednak ka¿da z tych konfiguracji mo¿e wykorzystywaæ prosty program o nazwie getty.
Okre¶lenie getty mo¿na traktowaæ jako skrót od "get tty". Program getty otwiera urz±dzenie szeregowe, konfiguruje je w odpowiedni sposób, opcjonalnie konfiguruje modem i czeka na zestawienie po³±czenia. Aktywne po³±czenie na urz±dzeniu szeregowym jest zwykle wskazywane przez wyprowadzenie DCD (Data Carrier Detect) wzbudzanego urz±dzenia szeregowego.
Gdy zostanie wykryte po³±czenie, program getty wy¶wietla monit login: i wywo³uje program login, aby obs³u¿y³ rzeczywiste logowanie do systemu. Ka¿dy terminal wirtualny (na przyk³ad dev/tty1) w Linuksie posiada dzia³aj±cy na jego rzecz program getty.
Istnieje szereg ró¿nych implementacji getty, a ka¿da z nich jest zaprojektowana tak, aby pewne konfiguracje obs³ugiwaæ lepiej ni¿ inne. Opisywany tutaj getty nosi nazwê mgetty. Jest dosyæ popularny, poniewa¿ posiada wszelkie funkcje, które czyni± go szczególnie przydatnym do obs³ugi modemów. Miêdzy innymi jest wyposa¿ony w programy do automatycznej obs³ugi faksu i modemów g³osowych. Skoncentrujemy siê na konfigurowaniu mgetty  do odpowiadania na typowe po³±czenia maj±ce na celu transmisjê danych, a ca³± resztê pozostawiamy ci do zbadania w wolnej chwili.

Konfigurowanie demona mgetty
Demon mgetty jest dostêpny w postaci ¼ród³owej pod adresem ftp://alpha.greenie.net/ pub/mgetty/source/, a w ka¿dej dystrybucji Linuksa wystêpuje w postaci pakietu. Demon mgetty ró¿ni siê od wiêkszo¶ci pozosta³ych implementacji getty tym, ¿e zosta³ stworzony specjalnie dla modemów kompatybilnych ze standardem Hayesa. Wci±¿ obs³uguje bezpo¶rednie po³±czenia terminalowe, ale najlepiej nadaje siê do aplikacji pracuj±cych po ³±czu komutowanym. Zamiast u¿ywaæ linii DCD do wykrywania przychodz±cego po³±czenia, oczekuje na komunikat RING generowany w momencie wykrycia nadchodz±cego po³±czenia przez nowoczesne modemy, o ile nie s± skonfigurowane na automatyczne odpowiadanie.
G³ówny program wykonywalny nazywa siê /usr/sbin/mgetty, a jego plik konfiguracyjny to /etc/mgetty/mgetty.config. Poza tym jest szereg innych programów binarnych i plików konfiguracyjnych, które obs³uguj± inne funkcje mgetty.
W wiêkszo¶ci instalacji konfiguracja polega na edycji pliku /etc/mgetty/mgetty.config i dodaniu odpowiednich wpisów w pliku /etc/inittab, automatycznie uruchamiaj±cych mgetty.
Przyk³ad 4-6 pokazuje bardzo prosty plik konfiguracyjny mgetty dla dwóch urz±dzeñ szeregowych. Pierwsze urz±dzenie /dev/ttyS0, obs³uguje modem kompatybilny ze standardem Hayesa przy prêdko¶ci 38 400 bps. Drugie, /dev/ttyS1, obs³uguje bezpo¶rednio pod³±czony terminal VT100 z prêdko¶ci± 19200 bps.
Przyk³ad 4-6. Przyk³adowy plik /etc/mgetty/mgetty.config
#
# plik konfiguracyjny mgetty
#
# jest to przyk³adowy plik konfiguracyjny, wiêcej szczegó³ów 
# znajdziesz w mgetty.info
#
# wiersze komentarza zaczynaj± siê od "#", puste wiersze s± 
# ignorowane
#
# ----- sekcja ogólna -----
#
# w tej sekcji umieszczasz ogólne warto¶ci domy¶lne, dane 
# dotycz±ce portu znajduj± siê dalej
#
# modem pracuje z prêdko¶ci± 38400 bps
speed 38400
#
# ustawienie ogólnego poziomu debugowania na "4" (domy¶lnie z
# policy.h)
debug 4
#

# ----- sekcja okre¶laj±ca porty -----
#
# Tutaj mo¿esz umie¶ciæ ustawienia dotycz±ce tylko danej linii 
# i nie dotycz±ce innych
#
#
# Modem Hayesa pod³±czony do ttyS0: bez obs³ugi faksu, bez 
# logowania
#
port ttyS0
  debug 3
  data-only y
#
# bezpo¶rednie pod³±czenie terminala VT100, który potrzebuje 
# DTR
#
port ttyS1
  direct y
  speed 19200
  toggle-dtr n
#

Plik konfiguracyjny zawiera opcje ogólne i specyficzne dla portów. W naszym przyk³adzie u¿yli¶my opcji ogólnych do ustawienia prêdko¶ci na 38 400 bitów na sekundê. Warto¶æ ta jest dziedziczona przez port ttyS0. To ustawienie prêdko¶ci dotyczy portów mgetty, dopóki nie zostanie ono nadpisane przez ustawienie prêdko¶ci specyficznej dla portu, co robimy w konfiguracji ttyS1.
S³owo kluczowe debug kontroluje liczbê informacji logowanych przez mgetty. S³owo kluczowe data-only w konfiguracji ttyS0 powoduje, ¿e mgetty ignoruje wszelkie funkcje faksowe modemu, i w zwi±zku z tym modem przesy³a tylko dane. S³owo kluczowe direct w konfiguracji ttyS1 mówi programowi mgetty, aby nie próbowa³ inicjowaæ modemu na danym porcie. Wreszcie s³owo kluczowe toggle-dtr mówi mgetty, aby nie próbowa³ zawieszaæ linii przy braku sygna³u DTR (Data Terminal Ready) na interfejsie szeregowym. Niektóre terminale tego nie lubi±.
Mo¿esz tak¿e zdecydowaæ siê na pozostawienie pustego pliku mgetty.config, a wiêkszo¶æ z tych parametrów okre¶liæ za pomoc± argumentów wiersza poleceñ. Dokumentacja dotycz±ca aplikacji zawiera pe³ny opis parametrów pliku konfiguracyjnego mgetty i argumentów wiersza poleceñ. (Patrz fragment pliku poni¿ej).
Aby uaktywniæ tê konfiguracjê, musimy dodaæ dwa wpisy do pliku /etc/inittab. Plik inittab jest plikiem konfiguracyjnym polecenia init Uniksa w wersji System V. Polecenie init jest odpowiedzialne za inicjacjê systemu. Zapewnia automatyczne uruchamianie programów w czasie startu systemu i ponowne ich uruchamianie po zakoñczeniu pracy. Rozwi±zanie to idealnie nadaje siê do obs³ugi programu getty.

T0:23:respawn:/sbin/mgetty ttyS0
T1:23:respawn:/sbin/mgetty ttyS1

Ka¿dy wiersz pliku /etc/inittab zawiera cztery pola oddzielone dwukropkami. Pierwsze pole to identyfikator jednoznacznie okre¶laj±cy wpis w pliku. Tradycyjnie jest on dwuznakowy, ale nowsze wersje pozwalaj± na zastosowanie czterech znaków. Drugie pole to lista poziomów uruchomienia (ang. run levels), przy których wpis powinien byæ aktywny. Poziom uruchomienia pozwala na ró¿ne konfiguracje systemu i jest zaimplementowany za pomoc± drzewiastej struktury skryptów startowych, znajduj±cych siê w katalogach /etc/rc1.d, /etc/rc2.d itd. Funkcja ta jest zwykle implementowana w bardzo prosty sposób i powiniene¶ wzorowaæ swoje wpisy na innych wpisach w pliku lub zajrzeæ do dokumentacji, je¿eli potrzebujesz dodatkowych informacji. Trzecie pole opisuje, kiedy zadzia³aæ. W przypadku uruchamiania programu getty, pole to powinno mieæ warto¶æ respawn, co oznacza, ¿e polecenie powinno byæ automatycznie uruchomione ponownie po zakoñczeniu dzia³ania. Istnieje kilka innych mo¿liwo¶ci, ale nie s± dla nas teraz przydatne. Czwarte pole to rzeczywiste polecenie do wykonania. Tutaj wpisujemy polecenie mgetty i jego argumenty. W naszym prostym przyk³adzie inicjujemy i ponownie uruchamiamy mgetty, gdy system dzia³a na poziomie drugim lub trzecim, a jako argumenty podajemy nazwê urz±dzenia, z którego chcemy korzystaæ. Polecenie mgetty automatycznie zak³ada ¶cie¿kê /dev/, a wiêc nie musimy jej tutaj podawaæ.
Podrozdzia³ ten by³ krótkim omówieniem mgetty i sposobu udostêpnienia monitu logowania dla urz±dzeñ szeregowych. Wiêcej na ten temat mo¿esz znale¼æ w dokumencie Serial-HOWTO.
Gdy dokonasz edycji plików konfiguracyjnych, musisz prze³adowaæ proces init, aby zmiany by³y aktywne. Po prostu wy¶lij sygna³ hangup do procesu init. Proces ten zawsze ma ID równe 1, a wiêc mo¿esz bezpiecznie wydaæ nastêpuj±ce polecenie:

# kill -HUP 1


5
Konfigurowanie sieci TCP/IP

Rozdzia³ 5: Konfigurowanie sieci TCP/IP


W tym rozdziale poka¿emy wszystkie kroki niezbêdne do skonfigurowania sieci TCP/IP na twoim komputerze. Zaczniemy od przypisania adresów IP, potem zajmiemy siê konfigurowaniem interfejsów sieciowych TCP/IP i na koniec przedstawimy kilka narzêdzi, które przydaj± siê przy rozwi±zywaniu problemów z sieci±.
Wiêkszo¶æ zadañ omówionych w tym rozdziale wykonuje siê zwykle tylko raz. Po pliki konfiguracyjne siêga siê powtórnie tylko wtedy, gdy dodaje siê nowy system do sieci lub zupe³nie przekonfigurowuje istniej±cy system. Niektóre polecenia u¿ywane do konfigurowania TCP/IP musz± byæ jednak uruchamiane przy ka¿dym starcie systemu, zwykle przez ich wywo³anie ze skryptów /etc/rc*.
Czê¶æ sieciowa procedury konfiguracyjnej zwykle jest zawarta w skrypcie. Jego nazwa zale¿y od dystrybucji Linuksa. W wielu starszych dystrybucjach by³ to skrypt rc.net lub rc.inet. Czasem spotkasz siê tak¿e z dwoma skryptami o nazwach rc.inet1 i rc.inet2 - pierwszy z nich inicjuje czê¶æ sieciow± zwi±zan± z j±drem, a drugi uruchamia podstawowe us³ugi sieciowe i aplikacje. We wspó³czesnych dystrybucjach pliki rc s± uporz±dkowane w bardziej wyrafinowany sposób. W katalogu /etc/init.d/ (lub /etc/rc.d/rc.init.d/) mo¿esz znale¼æ skrypty tworz±ce urz±dzenia sieciowe, a inne pliki rc mog± uruchamiaæ aplikacje sieciowe. Przyk³ady w tej ksi±¿ce zosta³y oparte w³a¶nie na tym ostatnim porz±dku plików.
Niniejszy rozdzia³ przedstawia czê¶ci skryptu konfiguruj±ce interfejsy sieciowe, natomiast aplikacje zostan± omówione w dalszych rozdzia³ach. Po lekturze tego rozdzia³u bêdziesz znaæ zestaw poleceñ, za pomoc± których poprawnie skonfigurujesz sieæ TCP/IP na swoim komputerze. Zatem powiniene¶ zast±piæ wszelkie przyk³adowe polecenia w swoich skryptach konfiguracyjnych w³asnymi, upewniæ siê, ¿e skrypt jest uruchamiany z podstawowego skryptu rc w czasie uruchamiania systemu i ponownie uruchomiæ komputer. Skrypty sieciowe rc zawarte w twojej ulubionej dystrybucji Linuksa powinny zawieraæ idealny przyk³ad, z którego mo¿esz skorzystaæ.

Montowanie systemu plików /proc
Niektóre narzêdzia konfiguracyjne NET-2 i NET-3 w Linuksie komunikuj± siê z j±drem za pomoc± systemu plików /proc. Interfejs ten pozwala na dostêp do roboczych informacji j±dra przez mechanizm przypominaj±cy system plików. Po jego zamontowaniu mo¿esz ogl±daæ pliki tak jak w ka¿dym innym systemie plików lub wy¶wietlaæ ich zawarto¶æ. Do typowych elementów nale¿±: plik loadavg informuj±cy o ¶rednim obci±¿eniu systemu i plik meminfo pokazuj±cy aktualne wykorzystanie pamiêci g³ównej i pamiêci wymiany.
Do tego wszystkiego kod sieciowy dodaje katalog net. Zawiera on szereg plików pokazuj±cych takie rzeczy, jak tablica ARP j±dra, stan po³±czeñ TCP oraz tablice rutingu. Wiêkszo¶æ narzêdzi do administrowania sieci odczytuje potrzebne im informacje w³a¶nie z tych plików.
System plików proc (znany te¿ pod nazw± procfs) zwykle jest montowany w katalogu /proc w czasie uruchamiania systemu. Najlepszym sposobem na zrobienie tego jest dodanie nastêpuj±cego wiersza w pliku /etc/fstab:

# punkt montowania procfs
none      /proc      proc      defaults

a nastêpnie wykonanie mount /proc ze skryptu /etc/rc.
Obecnie procfs jest skonfigurowany domy¶lnie w wiêkszo¶ci j±der. Je¿eli w twoim j±drze nie ma procfs,  otrzymasz komunikat typu: mount: fs type procfs not supported by kernel. Bêdziesz zatem musia³ przekompilowaæ j±dro i odpowiedzieæ "yes" na pytanie o obs³ugê procfs.
Instalowanie plików binarnych
Je¿eli korzystasz z dowolnej gotowej dystrybucji Linuksa, znajdziesz w niej g³ówne aplikacje i narzêdzia sieciowe wraz z odpowiednim zestawem przyk³adowych plików. Jedynym przypadkiem, w którym mo¿e zaj¶æ potrzeba znalezienia i zainstalowania nowych narzêdzi, jest instalacja nowej wersji j±dra. Nowe j±dro miewa zmiany w warstwie sieciowej i dlatego nale¿y uaktualniæ podstawowe narzêdzia konfiguracyjne. Uaktualnienie takie oznacza przynajmniej ponown± kompilacjê, ale czasem tak¿e wymaga nowego zestawu plików binarnych. S± one dostêpne na oficjalnej witrynie macierzystej ftp.inka.de/pub/comp/Linux/networking/NetTools/ w postaci pakietu net-tools-XXX.tar.gz, gdzie XXX to numer wersji. Wersja dla Linuksa 2.0 nosi nazwê net-tools-1.45.
Gdyby¶ chcia³ skompilowaæ i zainstalowaæ samodzielnie standardowe aplikacje sieciowe TCP/IP, móg³by¶ zdobyæ ich ¼ród³a z wiêkszo¶ci serwerów FTP Linuksa. Wszystkie wspó³czesne dystrybucje Linuksa zawieraj± pe³ny zestaw aplikacji sieciowych TCP/IP, takich jak przegl±darka WWW, programy telnet i ftp oraz inne aplikacje sieciowe, na przyk³ad talk. Je¿eli jednak dojdziesz do wniosku, ¿e co¶ musisz skompilowaæ samodzielnie, prawdopodobnie nie bêdziesz mia³ z tym problemów w Linuksie, je¿eli tylko bêdziesz postêpowa³ zgodnie z instrukcjami zawartymi w pakiecie ¼ród³owym.
Ustalanie nazwy hosta
Wiêkszo¶æ aplikacji sieciowych, je¿eli nie wszystkie, oczekuje od ciebie ustawienia lokalnej nazwy hosta na jak±¶ sensown± warto¶æ. Najlepiej zrobiæ to w czasie procedury uruchamiania systemu przez wykonanie polecenia hostname. Aby ustaliæ nazwê hosta nazwa, wprowad¼:

# hostname nazwa

Powszechnie stosuje siê skrócon± nazwê hosta bez podawania nazwy domeny. Na przyk³ad hosty w wirtualnym browarze (opisanym w dodatku A, Przyk³adowa sieæ: browar wirtualny) mog³yby nosiæ nazwy vale.vbrew.com czy vlager.vbrew.com. S± to ich pe³ne nazwy domenowe (ang. fully qualified domain names - FQDN). Nazwa hosta to jedynie pierwszy cz³on pe³nej nazwy, czyli na przyk³ad vale. Jednak choæ lokalna nazwa hosta jest czêsto u¿ywana do szukania jego adresu IP, musisz mieæ pewno¶æ, ¿e biblioteka resolvera bêdzie w stanie znale¼æ adres IP hosta. Zwykle oznacza to, ¿e musisz wprowadziæ nazwê do pliku /etc/hosts.
Niektórzy zalecaj± u¿ycie polecenia domainname, by powiadomiæ j±dro o nazwie domeny, czyli o pozosta³ej czê¶ci FQDN. Wydaje siê, ¿e  mo¿na by po³±czyæ wynik hostname i domainname, aby uzyskaæ pe³n± nazwê domenow±. Jednak w najlepszym razie rezultat by³by tylko w po³owie poprawny. Polecenie domainname jest bowiem u¿ywane do definiowania domeny NIS, która mo¿e byæ zupe³nie inna ni¿ domena DNS, do której nale¿y host. Dlatego warto zadbaæ o to, aby nazwa hosta by³a rozwi±zywalna przez wszystkie nowe wersje polecenia hostname. W tym celu nale¿y dodaæ wpis do lokalnego serwera nazw domen lub umie¶ciæ pe³n± nazwê domenow± w pliku /etc/hosts. Teraz mo¿esz u¿yæ argumentu -fqdn polecenia hostname, aby wy¶wietliæ pe³n± nazwê domenow±.
Przypisywanie adresu IP
Je¿eli nie planujesz pracy w sieci, ale konfigurujesz oprogramowanie sieciowe na swoim ho¶cie, aby na przyk³ad móc uruchomiæ oprogramowanie INN Netnews, mo¿esz bezpiecznie pomin±æ ten podrozdzia³, poniewa¿ jedynym potrzebnym ci adresem IP bêdzie interfejs pêtli zwrotnej, który zawsze ma numer 127.0.0.1.
Rzeczy nieco bardziej siê komplikuj± w rzeczywistych sieciach takich jak Ethernet. Gdyby¶ chcia³ pod³±czyæ swój host do istniej±cej sieci, musia³by¶ poprosiæ administratorów o nadanie ci w niej adresu IP. Je¿eli konfigurujesz sam ca³± sieæ, musisz sam przypisaæ adresy IP.
Hosty w sieci lokalnej zwykle powinny mieæ adresy z tej samej logicznej sieci IP. W zwi±zku z tym musisz przypisaæ adres IP dla sieci. Je¿eli masz kilka sieci fizycznych, musisz przypisaæ im ró¿ne numery sieci albo u¿yæ podsieci i podzieliæ posiadany zakres adresów IP na kilka podsieci. Podsieci zostan± omówione w najbli¿szym podrozdziale.
Wybór numeru IP sieci w du¿ym stopniu zale¿y od tego, czy w niedalekiej przysz³o¶ci zamierzasz pod³±czyæ siê do Internetu. Je¿eli tak, powiniene¶ uzyskaæ oficjalny adres IP ju¿ teraz. Popro¶ o pomoc swojego dostawcê us³ug internetowych. Je¿eli chcesz uzyskaæ numer sieci po prostu na wypadek, gdyby¶ kiedy¶ pod³±czy³ siê do Internetu, popro¶ o formularz pro¶by o adres sieci, pisz±c na adres hostmaster@internic.net lub zg³o¶ siê do centrum informacji sieciowej w twoim kraju, o ile takie istnieje.
Je¿eli twoja sieæ nie jest pod³±czona do Internetu i nie nosisz siê z takim zamiarem, mo¿esz wybraæ dowolny dopuszczalny adres sieci. Wystarczy upewniæ siê, ¿e ¿adne pakiety z twojej sieci wewnêtrznej nie przedostan± siê do prawdziwego Internetu. Aby zagwarantowaæ, ¿e nic siê nie stanie, nawet je¿eli pakiety siê przedostan±, powiniene¶ u¿yæ jednego z numerów sieci zarezerwowanych dla sieci prywatnych. Organizacja zajmuj±ca siê przydzielaniem numerów w Internecie (Internet Assigned Numbers Authority - IANA) wyznaczy³a kilka adresów sieci z klasy A, B i C, których mo¿esz u¿ywaæ bez rejestrowania. Adresy te s± wa¿ne tylko w twojej sieci prywatnej i nie s± rutowane pomiêdzy prawdziwymi o¶rodkami w Internecie. S± one zdefiniowane w RFC 1597. My zamie¶cili¶my je w tabeli 2-1 w rozdziale 2, Wybrane problemy sieci TCP/IP. Zauwa¿, ¿e druga i trzecia klasa zawieraj± odpowiednio 16 i 256 sieci.
Wybranie swojego adresu w jednej z tych sieci sprawdza siê nie tylko w przypadku sieci zupe³nie nie pod³±czonych do Internetu. Bêd±c w takiej sieci, mo¿esz zaimplementowaæ nieco bardziej ograniczony dostêp za pomoc± jednego hosta jako gatewaya. Dla twojej sieci lokalnej gateway jest dostêpny pod swoim wewnêtrznym adresem IP, natomiast dla ¶wiata zewnêtrznego - pod oficjalnie zarejestrowanym adresem (nadanym ci przez dostawcê). Powrócimy do tego rozwi±zania przy omawianiu funkcji maskowania (ang. masquarading) w rozdziale 11, Maskowanie IP i translacja adresów sieciowych.
Na potrzeby naszych rozwa¿añ zak³adamy, ¿e administrator przyk³adowej sieci browarów u¿ywa numeru sieci z klasy B, powiedzmy 172.16.0.0. Oczywi¶cie numer z klasy C w zupe³no¶ci by wystarczy³ zarówno dla sieci browarów, jak i winiarni. Klasy B u¿ywamy tu dla uproszczenia. Dziêki temu przyk³ady podzia³u na podsieci pokazane w nastêpnym podrozdziale bêd± bardziej przekonuj±ce.
Tworzenie podsieci
Aby obs³u¿yæ kilka sieci Ethernet (lub innych, dla których dostêpny jest sterownik), musisz podzieliæ swoj± sieæ na podsieci. Zauwa¿, ¿e podzia³ taki jest potrzebny tylko wtedy, gdy masz wiêcej ni¿ jedn± sieæ rozg³oszeniow± - ³±cza punkt-punkt siê nie licz±. Na przyk³ad gdyby¶ mia³ jedn± sieæ Ethernet i przynajmniej jedno ³±cze SLIP do ¶wiata zewnêtrznego, nie musia³by¶ dzieliæ swojej sieci na podsieci. Wyja¶niamy to bardziej szczegó³owo w rozdziale 7, IP ³±cza szeregowego.
Aby obs³u¿yæ dwie sieci Ethernet, administrator sieci browaru zdecydowa³ siê przeznaczyæ w adresie 8 bitów czê¶ci hosta na dodatkowe bity podsieci. Dla hosta zostaje 8 bitów, co pozwala na umieszczenie w ka¿dej podsieci po 254 hosty. Nastêpnie sieæ numer 1 zosta³a przypisana do browaru, a sieæ numer 2 do winiarni. Odpowiednie adresy sieci to 172.16.1.0 i 172.16.2.0. Maska podsieci to 255.255.255.0.
Gateway pomiêdzy tymi dwoma sieciami, vlager,  ma w obu sieciach numer hosta 1, co daje adresy IP odpowiednio 172.16.1.1 i 172.16.2.1.
W tym przyk³adzie u¿ywamy dla uproszczenia sieci klasy B, choæ sieæ klasy C by³aby bardziej realistyczna. W nowym kodzie sieciowym j±dra podzia³ na podsieci nie zale¿y od granic bajtowych, a wiêc nawet klasa C mo¿e byæ dzielona na kilka podsieci. Na przyk³ad móg³by¶ u¿yæ dwóch bitów czê¶ci hosta na adres sieci, co da³oby 4 mo¿liwe podsieci, po 64 hosty w ka¿dej*. 
Tworzenie plików hosts i networks
Je¶li ju¿ podzieli³e¶ swoj± sieæ na podsieci, powiniene¶ postaraæ siê o proste rozwi±zywanie nazw hostów za pomoc± pliku /etc/hosts. Je¿eli nie zamierzasz korzystaæ z DNS-u lub NIS-a do rozwi±zywania adresów, musisz umie¶ciæ wszystkie hosty w pliku hosts.
Nawet je¿eli bêdziesz u¿ywa³ DNS-u lub NIS-a w czasie normalnej pracy, w pliku /etc/hosts powiniene¶ mieæ pewien podzbiór wszystkich nazw hostów. Musisz zapewniæ rozwi±zywanie nazw, nawet je¿eli nie dzia³aj± ¿adne interfejsy sieciowe - na przyk³ad w czasie uruchamiania systemu. Chodzi nie tylko o wygodê, ale te¿ o mo¿liwo¶æ zastosowania symbolicznych nazw hostów w skryptach sieciowych rc. Dziêki temu gdy zmienisz adresy IP, wystarczy jedynie skopiowaæ uaktualniony plik hosts na wszystkie komputery i uruchomiæ je ponownie, zamiast edytowaæ mnóstwo plików rc. Zwykle w pliku hosts umieszczasz wszystkie lokalne nazwy hostów i adresy oraz dodajesz adresy u¿ywanych gatewayów i serwerów NIS**.
Powiniene¶ siê upewniæ, ¿e twój resolver w czasie testowania przy inicjacji wykorzystuje jedynie informacje z pliku hosts. Przyk³adowe pliki dostarczane wraz z oprogramowaniem DNS czy NIS mog± dawaæ dziwne rezultaty. Aby wszystkie aplikacje korzysta³y wy³±cznie z /etc/hosts przy poszukiwaniu adresu IP hosta, musisz dokonaæ edycji pliku /etc/host.conf. Poprzed¼ znakiem komentarza  (#) wszystkie linie zaczynaj±ce siê od s³owa kluczowego order, i wstaw wiersz:

order hosts

Konfiguracja resolvera jest dok³adnie opisana w rozdziale 6, Us³ugi nazewnicze i konfigurowanie resolvera.
Plik hosts zawiera po jednym wpisie w wierszu, a ka¿dy wpis sk³ada siê z adresu IP i nazwy hosta oraz opcjonalnej listy aliasów tej nazwy. Pola s± oddzielone spacjami albo tabulatorami, a pole adresu musi zaczynaæ siê w pierwszej kolumnie. Wszystko, co jest poprzedzone hashem, jest uznawane za komentarz i ignorowane.
Nazwy hostów mog± byæ pe³ne lub wzglêdne dla domeny lokalnej. W przypadku vale wprowadzi³by¶ w pliku hosts pe³n± nazwê vale.vbrew.com oraz vale, aby host by³ znany zarówno pod nazw± oficjaln±, jak i skrócon± - lokaln±.
Oto przyk³ad, jak mo¿e wygl±daæ plik hosts dla wirtualnego browaru. Dodano dwie nazwy specjalne vlager-if1 i vlager-if2, które zawieraj± adresy obu interfejsów u¿ywanych na ho¶cie vlager:

#
# Plik hosts dla wirtualnego browaru/wirtualnej winiarni
#
# IP         FQDN                   aliasy
#
127.0.0.1    localhost
#
172.16.1.1   vlager.vbrew.com       vlager vlager-if1
172.16.1.2   vstout.vbrew.com       vstout
172.16.1.3   vale.vbrew.com         vale
#
172.16.2.1   vlager-if2
172.16.2.2   vbeaujolais.vbrew.com  vbeaujolais
172.16.2.3   vbardolino.vbrew.com   vbardolino
172.16.2.4   vchianti.vbrew.com     vchianti

Podobnie jak w przypadku adresów IP hosta, tak i dla numerów sieci powiniene¶ czasem u¿ywaæ równie¿ nazw symbolicznych. Dlatego plik hosts posiada bli¼niaczy plik /etc/networks, który odwzorowuje nazwy sieci na ich numery i odwrotnie. W wirtualnym browarze zainstalowaliby¶my nastêpuj±cy plik networks:*

# /etc/networks dla wirtualnego browaru
brew-net      172.16.1.0
wine-net      172.16.2.0
Konfigurowanie interfejsu dla IP
Zgodnie z tym, co napisali¶my w rozdziale 4, Konfigurowanie urz±dzeñ szeregowych, po skonfigurowaniu sprzêtu musisz zadbaæ o to, aby oprogramowanie sieciowe j±dra rozpoznawa³o urz±dzenia. Do skonfigurowania interfejsów sieciowych i zainicjowania tablicy rutingu stosuje siê kilka poleceñ. Zadania te zwykle s± wykonywane ze skryptu inicjuj±cego sieæ ka¿dorazowo podczas uruchomienia systemu. Podstawowe narzêdzia do tego celu to ifconfig (gdzie if jest skrótem od interfejs) i route.
Polecenie ifconfig jest u¿ywane do udostêpnienia interfejsu warstwie sieciowej j±dra. Wymaga to przypisania adresu IP i zdefiniowania innych parametrów oraz aktywacji interfejsu, czêsto nazywanej tak¿e "podniesieniem" interfejsu. Interfejs aktywny oznacza tutaj, ¿e j±dro bêdzie przez niego wysy³a³o i odbiera³o datagramy IP. Oto najprostsza procedura tego zadania:

ifconfig interfejs adres-IP

Polecenie to przypisuje adres-IP do interfejsu i go aktywuje. Wszystkie pozosta³e parametry s± ustawiane na warto¶ci domy¶lne. Na przyk³ad domy¶lna maska sieci jest ustalana na podstawie klasy sieci, do której nale¿y podany adres IP, czyli 255.255.0.0 dla klasy B. ifconfig jest opisane szczegó³owo w podrozdziale Wszystko o ifconfig.
Polecenie route pozwala na dodanie lub usuniêcie trasy z tablicy rutingu j±dra. Mo¿na wywo³aæ je nastêpuj±co:

route [add|del] [-net|-host] przeznaczenie [if]

Argumenty add i del okre¶laj±, czy nale¿y dodaæ, czy te¿ usun±æ trasê do przeznaczenia. Argumenty -net i -host mówi± poleceniu route, czy przeznaczenie to sieæ, czy host (domy¶lnie, je¿eli nic nie podasz, przyjmowany jest host). Argument if jest opcjonalny i pozwala na podanie interfejsu sieciowego, do którego powinna zostaæ przekierowana dana trasa - j±dro Linuksa rozs±dnie zgaduje, je¿eli nie podasz tej informacji. Temat ten zostanie szczegó³owo wyja¶niony w kolejnych podrozdzia³ach.
Interfejs pêtli zwrotnej
W pierwszej kolejno¶ci aktywowany jest interfejs pêtli zwrotnej:

# ifconfig lo 127.0.0.1

Mo¿e siê zdarzyæ, ¿e zamiast adresu IP zobaczysz fikcyjn± nazwê hosta localhost. ifconfig bêdzie szukaæ nazwy w pliku hosts, gdzie powinien znajdowaæ siê wpis wi±¿±cy tê nazwê z adresem 127.0.0.1.

# Przyk³adowy wpis localhost w /etc/hosts
localhost      127.0.0.1

Aby obejrzeæ konfiguracjê interfejsu, wywo³ujesz polecenie ifconfig, podaj±c jako argument jedynie nazwê interfejsu.

$ ifconfig lo
lo      Link encap:Local Loopback
        inet addr:127.0.0.1  Mask:255.0.0.0
        UP LOOPBACK RUNNING  MTU:3924  Metric:1
        RX packets:0 errors:0 dropped:0 overruns:0 frame:0
        TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
        Collisions:0

Jak widzisz, interfejsowi pêtli zwrotnej zosta³a przypisana maska sieci 255.0.0.0, poniewa¿ adres 127.0.0.1 nale¿y do klasy A.
Teraz w zasadzie mo¿esz zacz±æ zabawê ze swoj± minisieci±. Wci±¿ jednak brakuje wpisu w tablicy rutingu, mówi±cego IP, ¿e mo¿e u¿ywaæ tego interfejsu jako trasy do adresu 127.0.0.1. Mo¿na go dodaæ nastêpuj±co:

# route add 127.0.0.1

Znów mo¿esz u¿yæ localhost zamiast adresu IP, pod warunkiem, ¿e wpisa³e¶ go do pliku /etc/hosts.
Nastêpnie powiniene¶ sprawdziæ, czy wszystko poprawnie dzia³a, na przyk³ad u¿ywaj±c polecenia ping. Polecenie to sprawdza, czy podany adres jest rzeczywi¶cie osi±galny, i mierzy opó¼nienia wystêpuj±ce przy wysy³aniu datagramu na ten adres i z powrotem. Czas potrzebny do wykonania tego zadania jest czêsto nazywany "czasem przewidzianym na transmisjê i potwierdzenie przyjêcia" (ang. round-trip time):

# ping localhost
PING localhost (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=255 time=0.4 ms
64 bytes from 127.0.0.1: icmp_seq=1 ttl=255 time=0.4 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=255 time=0.4 ms
^C
--- localhost ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 0.4/0.4/0.4 ms
#

Kiedy ping zostanie wywo³ane w pokazany tu sposób, bêdzie wysy³a³o pakiety dopóty, dopóki u¿ytkownik nie przerwie wykonywania polecenia. Znak ^C pokazuje, gdzie nacisnêli¶my [CTRL+C].
W tym przyk³adzie widaæ, ¿e pakiety s± poprawnie dostarczane na adres 127.0.0.1, a odpowied¼ jest zwracana natychmiast. To znak, ¿e prawid³owo skonfigurowa³e¶ swój pierwszy interfejs sieciowy.
Je¶li wynik polecenia ping nie przypomina pokazanego w powy¿szym przyk³adzie, znaczy to, ¿e masz k³opot. Sprawd¼ wszelkie odstêpstwa - czy nie wskazuj± one, ¿e jakie¶ pliki nie zosta³y poprawnie zainstalowane? Sprawd¼, czy binaria ifconfig i route, których u¿ywasz, s± kompatybilne z twoj± wersj± j±dra, a przede wszystkim, czy j±dro zosta³o skompilowane z obs³ug± sieci (powiniene¶ mieæ katalog /proc/net). Je¿eli otrzymasz komunikat o tre¶ci "Network unreachable", prawdopodobnie zrobi³e¶ co¶ nie tak w poleceniu route. Sprawd¼, czy u¿y³e¶ tego samego adresu, który poda³e¶ w ifconfig.
Przedstawiona procedura powinna umo¿liwiæ ci korzystanie z aplikacji sieciowych na pojedynczym ho¶cie. Po dodaniu wcze¶niej wspomnianych linii do skryptu inicjuj±cego sieæ i upewnieniu siê, ¿e zostanie on uruchomiony w czasie startu, mo¿esz ponownie uruchomiæ swój komputer i wypróbowaæ ró¿ne aplikacje. Na przyk³ad telnet localhost powinno zrealizowaæ po³±czenie telnet z twoim hostem, pokazuj±c monit login:.
Jednak interfejs pêtli zwrotnej jest przydatny nie tylko jako przyk³ad w ksi±¿kach o sieci czy do testowania oprogramowania, ale jest rzeczywi¶cie u¿ywany przez niektóre aplikacje w czasie normalnej pracy*. Dlatego zawsze musisz go konfigurowaæ bez wzglêdu na to, czy twoja maszyna jest pod³±czona do sieci, czy nie.

Interfejsy Ethernet
Konfigurowanie interfejsu Ethernet jest prawie identyczne z konfigurowaniem interfejsu pêtli zwrotnej. Wymaga jedynie wprowadzenia kilku dodatkowych parametrów, je¿eli u¿ywasz podzia³u na podsieci.
W wirtualnym browarze podzielili¶my oryginaln± sieæ IP klasy B na podsieci o postaci sieci klasy C. Aby interfejs rozpozna³ podzia³ na podsieci, wywo³anie ifconfig powinno byæ nastêpuj±ce:

# ifconfig eth0 vstout netmask 255.255.255.0

Polecenie to przypisuje interfejsowi eth0 adres IP vstout (172.16.1.2). Gdyby¶my pominêli maskê sieci, ifconfig zredukowa³oby maskê sieci na podstawie adresu IP i uzyskaliby¶my niepoprawn± maskê postaci 255.255.0.0. Teraz szybko sprawdzamy wynik:

# ifconfig eth0
eth0      Link encap 10Mps Ethernet HWaddr 00:00:C0:90:B3:42
          inet addr 172.16.1.2 Bcast 172.16.1.255 Mask 255.255.255.0
          UP BROADCAST RUNNING MTU 1500 Metric 1
          RX packets 0 errors 0 dropped 0 overrun 0
          TX packets 0 errors 0 dropped 0 overrun 0

Mo¿esz zauwa¿yæ, ¿e ifconfig automatycznie ustawia adres rozg³oszeniowy (pole Bcast) na typow± warto¶æ, która sk³ada siê z numeru sieci hosta i ustawionych wszystkich bitów w czê¶ci numeru hosta. Tak¿e maksymalna jednostka transmisji (maksymalny rozmiar datagramów IP tworzonych dla interfejsu przez j±dro) zosta³a ustawiona na maksymalny rozmiar pakietów Ethernet: 1500 bajtów. Zwykle bêdziesz u¿ywa³ warto¶ci domy¶lnych, ale w razie potrzeby mo¿esz je zmieniæ za pomoc± specjalnych opcji, które zostan± opisane w podrozdziale Wszystko o ifconfig.
Tak jak przy konfiguracji interfejsu pêtli zwrotnej, musisz teraz utworzyæ wpis w tablicy rutingu mówi±cy j±dru o sieci, która jest osi±galna przez eth0. W przypadku wirtualnego browaru mo¿esz wywo³aæ polecenie route nastêpuj±co:

# route add -net 172.16.1.0

Z pocz±tku wygl±da to nieco tajemniczo, poniewa¿ nie jest zupe³nie jasne, jak route wykrywa interfejs, przez który ma przesy³aæ pakiety. Jednak ca³y zabieg jest raczej prosty: j±dro sprawdza wszystkie interfejsy, które zosta³y do tej pory skonfigurowane, i porównuje adres docelowy (w tym przypadku 172.16.1.0) z czê¶ci± sieciow± adresu interfejsu (to znaczy wykonuje bitow± logiczn± operacjê AND na adresie interfejsu i masce sieci). Jedynym pasuj±cym interfejsem jest eth0.
A do czego s³u¿y opcja -net? Jest ona potrzebna, poniewa¿ route mo¿e obs³u¿yæ obie trasy: do sieci i do pojedynczego hosta (co widzia³e¶ wcze¶niej przy localhost). Kiedy podamy adres w notacji kropkowej, route próbuje zgadn±æ, czy jest to adres sieci czy hosta, patrz±c na bity czê¶ci hosta. Je¿eli w adresie czê¶æ hosta jest zerowa, route zak³ada, ¿e chodzi o adres sieci - w przeciwnym razie route uznaje go za adres hosta. Dlatego route uzna³oby, ¿e 172.16.1.0 to adres hosta, a nie adres sieci, poniewa¿ nie wie, ¿e zastosowali¶my podzia³ na podsieci. Musimy powiedzieæ jawnie, ¿e chodzi o sieæ, a wiêc podajemy opcjê -net.
Oczywi¶cie wpisywanie polecenia route jest nu¿±ce i ³atwo przy tym o pomy³kê. Wygodniejsze jest u¿ycie nazw sieci, które zdefiniowali¶my w /etc/networks. Polecenie staje siê bardziej czytelne i mo¿na nawet pomin±æ opcjê -net, poniewa¿ route wie, ¿e 172.16.1.0 oznacza sieæ.

# route add brew-net

Teraz, gdy ju¿ masz za sob± podstawowe kroki konfiguracyjne, upewnj siê, ¿e interfejs Ethernet naprawdê dzia³a poprawnie. Wybierz jaki¶ host ze swojej sieci, na przyk³ad vlager, i napisz:

# ping vlager
PING vlager: 64 byte packets
64 bytes from 172.16.1.1: icmp_seq=0. time=11. ms
64 bytes from 172.16.1.1: icmp_seq=1. time=7. ms
64 bytes from 172.16.1.1: icmp_seq=2. time=12. ms
64 bytes from 172.16.1.1: icmp_seq=3. time=3. ms
^C
--- vstout.vbrew.com PING Statistics ---
4 packets transmitted, 4 packets received, 0
round-trip (ms) min/avg/max = 3/8/12

Je¿eli twój wynik siê ró¿ni, co¶ jest nie tak. Je¿eli zauwa¿ysz, ¿e wspó³czynnik utraty pakietów ma jak±¶ nieprawdopodobn± warto¶æ, wskazuje to na problem sprzêtowy, na przyk³ad z³e terminatory w przypadku kabla wspó³osiowego lub ich brak.
Je¿eli nie uzyskasz w ogóle ¿adnych odpowiedzi, powiniene¶ sprawdziæ konfiguracjê interfejsu za pomoc± polecenia netstat (patrz podrozdzia³ Polecenie netstat w tym rozdziale). Statystyka pakietów pokazana przez ifconfig powinna powiedzieæ ci, czy jakie¶ pakiety zosta³y w ogóle wys³ane przez interfejs. Je¿eli masz równie¿ dostêp do zdalnego hosta, powiniene¶ podej¶æ do niego i sprawdziæ statystyki interfejsu. W ten sposób mo¿esz dok³adnie stwierdziæ, gdzie pakiety zosta³y zgubione. Ponadto za pomoc± polecenia route powiniene¶ wy¶wietliæ informacje o rutingu i zobaczyæ, czy oba hosty maj± poprawne wpisy dotycz±ce rutingu. route wy¶wietli pe³n± tablicê rutingu j±dra, je¿eli zostanie wywo³ane bez argumentów (-n powoduje jedynie, ¿e s± drukowane adresy w postaci numerycznej, a nie nazwy hostów):

# route -n
Kernel routing table
Destination    Gateway   Genmask           Flags  Metric Ref Use Iface
127.0.0.1      *         255.255.255.255   UH     1      0   112 lo
172.16.1.0     *         255.255.255.0     U      1      0   10  eth0

Znaczenie poszczególnych pól zostanie wyja¶nione dalej w podrozdziale Polecenie netstat. Kolumna Flags zawiera listê znaczników ustawionych dla ka¿dego interfejsu. U zawsze jest ustawione w przypadku aktywnych interfejsów, a H mówi, ¿e adresem docelowym jest adres hosta. Je¿eli znacznik H jest ustawiony dla trasy, która mia³a byæ tras± do sieci, musisz ponownie wydaæ polecenie route z opcj± -net. Aby dowiedzieæ siê, czy wprowadzona trasa jest w ogóle u¿ywana, sprawd¼, czy warto¶æ pola Use w drugiej kolumnie od koñca zwiêksza siê pomiêdzy wywo³aniami polecenia ping.

Ruting przez gateway
W poprzednim podrozdziale omówili¶my konfiguracjê hosta pod³±czonego do jednej sieci Ethernet. Czêsto siê jednak zdarza, ¿e sieci s± ze sob± po³±czone. S³u¿± do tego gatewaye, które ³±cz± po prostu dwie lub wiêcej sieci Ethernet, ale mog± tak¿e stanowiæ pomost do ¶wiata zewnêtrznego, na przyk³ad do Internetu. Aby wykorzystaæ gateway, musisz podaæ warstwie sieciowej dodatkowe informacje o rutingu.
Sieci Ethernet nale¿±ce do wirtualnego browaru i wirtualnej winiarni s± po³±czone takim w³a¶nie gatewayem. Nosi on nazwê vlager. Zak³adaj±c, ¿e vlager zosta³ ju¿ skonfigurowany, musimy po prostu dodaæ do tablicy rutingu vstout wpis, który poinformuje j±dro, jak mo¿e dostaæ siê przez vlager do wszystkich hostów w sieci winiarni. Odpowiednie wywo³anie polecenia route zosta³o pokazane poni¿ej. S³owo kluczowe gw mówi, ¿e nastêpny argument oznacza gateway:

# route add wine-net gw vlager

Oczywi¶cie dowolny host w sieci winiarni, z którym siê chcesz po³±czyæ, musi mieæ wpis dotycz±cy trasy do sieci browaru. W przeciwnym razie bêdziesz w stanie jedynie wys³aæ dane z sieci browaru do sieci winiarni, ale hosty w sieci winiarni nie bêd± w stanie odpowiedzieæ.
Przyk³ad ten opisuje tylko gateway, który przekazuje pakiety pomiêdzy dwoma wyizolowanymi sieciami Ethernet. Za³ó¿my teraz, ¿e vlager ma tak¿e po³±czenie z Internetem (przyjmij, ¿e przez dodatkowe ³±cze SLIP). W takim razie chcemy, aby datagramy adresowane do dowolnego miejsca poza sieci± browaru by³y obs³ugiwane przez vlager. Mo¿na to zrobiæ, definiuj±c ten gateway jako domy¶lny dla vstout:

# route add default gw vlager

Nazwa sieci default stanowi skrót dla adresu 0.0.0.0, który oznacza trasê domy¶ln±. Domy¶lna trasa pasuje do ka¿dego adresu docelowego i bêdzie u¿ywana, je¿eli w tablicy rutingu nie ma dok³adniejszej trasy. Nie musisz dodawaæ tej nazwy do pliku /etc/networks, poniewa¿ jest ona wbudowana w polecenie route.
Je¿eli polecenie ping skierowane do hosta znajduj±cego siê za jednym lub kilkoma gatewayami pokazuje, ¿e du¿o pakietów jest gubionych, mo¿e to oznaczaæ, ¿e sieæ jest zapchana. Gubienie pakietów nie wynika z wad technicznych, ale z tymczasowego przeci±¿enia hostów przekazuj±cych, które powoduje opó¼nienia, a nawet gubienie przychodz±cych pakietów.
Konfigurowanie gatewaya
Skonfigurowanie maszyny, która przekazuje pakiety pomiêdzy dwoma sieciami Ethernet, jest dosyæ proste. Wróæmy do hosta vlager, który jest wyposa¿ony w dwie karty Ethernet, a ka¿da z nich jest pod³±czona do jednej z dwóch sieci. Musisz jedynie skonfigurowaæ oddzielnie obie karty i nadaæ im odpowiednie adresy IP oraz wyznaczyæ trasy.
Dosyæ przydatne jest dodanie informacji o obu interfejsach do pliku hosts, by mieæ pod rêk± ³atwe do zapamiêtania nazwy, co pokazano w poni¿szym przyk³adzie.

172.16.1.1   vlager.vbrew.com   vlager vlager-if1
172.16.2.1   vlager-if2

Aby skonfigurowaæ te dwa interfejsy, nale¿y wydaæ nastêpuj±ce polecenia:

# ifconfig eth0 vlager-if1
# route add brew-net
# ifconfig eth1 vlager-if2
# route add wine-net

Je¿eli te polecenia nie dzia³aj±, sprawd¼, czy j±dro zosta³o skompilowane z w³±czon± opcj± przekazywania IP (ang. IP forwarding). W tym celu upewnij siê, czy pierwsza liczba w drugim wierszu pliku /proc/net/snmp jest ustawiona na 1.
Interfejs PLIP
£±cze PLIP u¿ywane do po³±czenia dwóch komputerów ró¿ni siê nieco od Ethernetu. £±cza PLIP nale¿± do ³±czy typu punkt-punkt, co oznacza, ¿e na ka¿dym koñcu takiego ³±cza jest jeden host. Sieci typu Ethernet s± nazywane sieciami rozg³oszeniowymi. Konfiguracja ³±czy punkt-punkt jest inna, poniewa¿ w odró¿nieniu od sieci rozg³oszeniowych nie tworz± one w³asnej sieci.
PLIP to bardzo tanie i przeno¶ne ³±cze pomiêdzy komputerami. Jako przyk³ad rozwa¿my komputer typu laptop nale¿±cy do pracownika wirtualnego browaru. Komputer ten jest pod³±czony do hosta vlager przez ³±cze PLIP. Sam laptop nazywa siê vlite i ma tylko jeden port równoleg³y. W czasie uruchamiania systemu port ten rejestruje siê jako plip1. Aby uaktywniæ ³±cze, musisz skonfigurowaæ interfejs plip1, u¿ywaj±c poni¿szych poleceñ*:

# ifconfig plip1 vlite pointopoint vlager
# route add default gw vlager

Pierwsze polecenie konfiguruje interfejs mówi±c j±dru, ¿e jest to ³±cze punkt-punkt i ¿e druga strona ma adres vlager. Drugie polecenie dodaje domy¶ln± trasê, u¿ywaj±c hosta vlager jako gatewaya. Do uaktywnienia ³±cza na ho¶cie vlager niezbêdne jest podobne polecenie ifconfig (wywo³anie route nie jest potrzebne):

# ifconfig plip1 vlager pointopoint vlite

Zauwa¿, ¿e interfejs plip1 na ho¶cie vlager nie potrzebuje oddzielnego adresu IP, ale mo¿na mu nadaæ równie¿ adres 172.16.1.1. £±cza punkt-punkt nie obs³uguj± bezpo¶rednio sieci, a wiêc interfejsy nie wymagaj± adresu. J±dro wykorzystuje informacje o interfejsie zawarte w tablicy rutingu, aby unikn±æ jakich¶ pomy³ek**.
Skonfigurowali¶my ju¿ ruting z laptopa do sieci browaru. Wci±¿ jednak nie mamy trasy z dowolnego hosta browaru do vlite. Dodawanie takiej trasy w tablicy rutingu ka¿dego hosta jest wyj±tkowo k³opotliwe. Trzeba by³oby tam wskazaæ, ¿e vlager jest gatewayem dla vlite:

# route add vlite gw vlager

Dla tras tymczasowych lepszy jest ruting dynamiczny. Na ka¿dym ho¶cie w sieci mo¿na zainstalowaæ demona rutingu gated, który bêdzie dynamicznie rozpowszechnia³ informacje o rutingu. Prostszym wyj¶ciem jednak jest u¿ycie proxy ARP (Address Resolution Protocol). Dziêki proxy ARP, vlager bêdzie odpowiada³ na ka¿de zapytanie ARP o vlite, wysy³aj±c w³asny adres Ethernet. Wszystkie pakiety dla vlite bêd± dociera³y do vlagera, który nastêpnie bêdzie je przekazywa³ do laptopa. Do proxy ARP powrócimy w podrozdziale Sprawdzanie tablic ARP.
Obecna wersja net-tools zawiera narzêdzie o nazwie plipconfig pozwalaj±ce na ustawienie odpowiednich parametrów czasowych PLIP. IRQ dla portu równoleg³ego mo¿na ustawiæ za pomoc± polecenia ifconfig.
Interfejsy SLIP i PPP
Choæ ³±cza SLIP i PPP s±, tak jak PLIP, jedynie prostymi ³±czami typu punkt-punkt, mo¿na o nich powiedzieæ du¿o wiêcej. Zwykle ustanowienie po³±czenia SLIP wymaga zadzwonienia do drugiej strony przez modem i ustawienia trybu SLIP dla ³±cza szeregowego. Z PPP korzysta siê podobnie. SLIP i PPP omawiamy dok³adniej w rozdzia³ach 7, IP ³±cza szeregowego, i 8, Protokó³ punkt-punkt.
Interfejs fikcyjny (ang. dummy interface)
Interfejs fikcyjny (ang. dummy interface) jest nieco egzotyczny, ale jednak przydatny. Jego g³ówn± zalet± w przypadku pojedynczych hostów i komputerów posiadaj±cych jedynie pod³±czenie do sieci IP jest ³±cze komutowane. W rzeczywisto¶ci przewa¿nie obs³uguje pojedyncze hosty.
Problem z pojedynczymi hostami polega na tym, ¿e maj± one aktywne tylko jedno urz±dzenie sieciowe - interfejs pêtli zwrotnej, któremu zwykle jest przypisywany adres 127.0.0.1. Czasami jednak musisz wys³aæ dane na "oficjalny" adres IP hosta lokalnego. Na przyk³ad za³ó¿my, ¿e laptop vlite zosta³ chwilowo od³±czony od sieci. Aplikacja na vlite mo¿e teraz chcieæ wys³aæ dane do innej aplikacji na tym samym ho¶cie. Sprawdzenie vlite w pliku /etc/hosts daje adres IP 172.16.1.65, a wiêc aplikacja próbuje wysy³aæ dane na taki adres. Poniewa¿ interfejs pêtli zwrotnej jest obecnie jedynym aktywnym interfejsem w tym komputerze, j±dro nie ma pojêcia, ¿e adres 172.16.1.65 tak naprawdê odnosi siê do tej samej maszyny! W konsekwencji j±dro odrzuca datagram i zwraca do aplikacji komunikat o b³êdzie. 
Tu w³a¶nie przydaje siê interfejs fikcyjny. Rozwi±zuje on problem wykorzystuj±c interfejs pêtli zwrotnej. W przypadku vlite, po prostu nadajesz interfejsowi adres 172.16.1.65 i dodajesz trasê, tak by na niego wskazywa³a. Ka¿dy datagram przeznaczony dla adresu 172.16.1.65 bêdzie od tej chwili dostarczony lokalnie. Oto poprawne wywo³anie*: 

# ifconfig dummy vlite
# route add vlite
Alias IP
Nowe j±dra obs³uguj± funkcjê, która mo¿e zast±piæ interfejs fikcyjny i pe³niæ inne u¿yteczne role. Alias IP pozwala na skonfigurowanie wielu adresów IP na jednym urz±dzeniu fizycznym. W najprostszym przypadku mo¿na inaczej zrealizowaæ interfejs fikcyjny. Wystarczy skonfigurowaæ adres hosta jako alias dla interfejsu pêtli zwrotnej i mo¿esz zupe³nie zrezygnowaæ z interfejsu fikcyjnego. W bardziej z³o¿onych zastosowaniach móg³by¶ skonfigurowaæ swój host tak, by wygl±da³ jak inne hosty, ka¿dy o swoim w³asnym adresie IP. Konfiguracja taka jest czasem nazywana tworzeniem hostów wirtualnych, choæ technicznie jest równie¿ u¿ywana w wielu innych celach**.
Aby skonfigurowaæ alias dla interfejsu, musisz najpierw sprawdziæ, czy j±dro zosta³o skonfigurowane z obs³ug± aliasów IP (sprawd¼, czy masz plik /proc/net/ip_alias; je¿eli nie - trzeba ponownie skompilowaæ j±dro). Konfiguracja aliasu IP przebiega tak samo jak konfiguracja normalnego urz±dzenia sieciowego. Jedyna ró¿nica polega na u¿yciu specjalnej nazwy wskazuj±cej, ¿e jest to alias. Na przyk³ad:

# ifconfig lo:0 172.16.1.1

To polecenie utworzy alias o adresie 172.16.1.1 dla interfejsu pêtli zwrotnej. Aliasy IP s± oznaczane przez dodanie :n do rzeczywistej nazwy urz±dzenia sieciowego, gdzie "n" jest liczb± ca³kowit±. W naszym przyk³adzie tworzymy alias o numerze 0 dla urz±dzenia sieciowego lo. Dziêki numeracji pojedyncze urz±dzenie fizyczne mo¿e obs³u¿yæ wiele aliasów.
Ka¿dy alias mo¿e byæ traktowany jako oddzielne urz±dzenie i z punktu widzenia oprogramowania IP j±dra tak w³a¶nie jest. Bêdzie jednak wspó³dzieli³ sprzêt z innym interfejsem.
Wszystko o ifconfig
Polecenie ifconfig ma du¿o wiêcej parametrów, ni¿ opisali¶my do tej pory. Typowe wywo³anie wygl±da tak:

ifconfig interfejs [adres [parametry]]

Oczywiste jest, ¿e interfejs to nazwa interfejsu, a adres to nazwa adresu IP przypisanego interfejsowi. Mo¿e byæ to adres w postaci liczbowej lub nazwa, któr± ifconfig odnajdzie w pliku /etc/hosts.
Gdyby¶my wywo³ali ifconfig tylko z nazw± interfejsu, zobaczyliby¶my konfiguracjê interfejsu. Przy wywo³aniu bez parametrów ifconfig wy¶wietla wszystkie interfejsy, jakie masz do tej pory skonfigurowane. Opcja -a wymusza równie¿ pokazanie interfejsów nieaktywnych. Przyk³adowe wywo³anie dla interfejsu Ethernet eth0 mo¿e wygl±daæ nastêpuj±co:

# ifconfig eth0
eth0      Link encap 10Mbps Ethernet HWaddr 00:00:C0:90:B3:42
          inet addr 172.16.1.2 Bcast 172.16.1.255 Mask 255.255.255.0
          UP BROADCAST RUNNING MTU 1500 Metric 0
          RX packets 3136 errors 217 dropped 7 overrun 26
          TX packets 1752 errors 25 dropped 0 overrun 0

Pola MTU i Metric pokazuj± aktualne warto¶ci MTU i metryki interfejsu. Metryka jest tradycyjnie u¿ywana przez niektóre systemy operacyjne do obliczenia kosztu trasy. Linux nie korzysta z tej warto¶ci, ale definiuje j± dla zachowania kompatybilno¶ci.
Wiersze RX i TX pokazuj±, ile pakietów zosta³o pomy¶lnie odebranych i wys³anych, ile wyst±pi³o b³êdów, ile pakietów zosta³o pominiêtych (prawdopodobnie ze wzglêdu na brak pamiêci), a ile zosta³o zgubionych ze wzglêdu na przeci±¿enie. Przeci±¿enia odbiorcy wystêpuj± zwykle wtedy, gdy pakiety nadchodz± szybciej ni¿ j±dro jest w stanie obs³u¿yæ ostatnie przerwanie. Znaczniki pokazywane przez ifconfig z grubsza odpowiadaj± nazwom opcji wiersza poleceñ, które omówimy dalej.
Poni¿ej przedstawiamy listê parametrów rozpoznawanych przez ifconfig z odpowiednimi nazwami znaczników. Opcje, które w³±czaj± funkcjê, pozwalaj± równie¿ j± wy³±czyæ, je¶li przed opcj± umie¶cimy znak minus (-).
up

Ta opcja udostêpnia interfejs warstwie IP. Opcja jest domy¶lna w momencie podania w wierszu poleceñ adresu. Mo¿e byæ tak¿e u¿yta do ponownego w³±czenia interfejsu, który zosta³ tymczasowo zamkniêty za pomoc± opcji down.
Z t± opcj± zwi±zane s± znaczniki UP i RUNNING.
down

Ta opcja oznacza, ¿e interfejs jest niedostêpny dla warstwy IP. W rzeczywisto¶ci odcina ca³y ruch IP do interfejsu. Zauwa¿, ¿e ta opcja usunie automatycznie tak¿e wszystkie wpisy w tablicy rutingu, które wykorzystuj± dany interfejs.
netmask maska

Ta opcja okre¶la maskê sieci u¿ywan± przez interfejs. Mo¿e byæ ona podana w postaci 32-bitowej liczby szesnastkowej poprzedzonej 0x albo w postaci liczb dziesiêtnych oddzielonych kropkami. Choæ postaæ liczb dziesiêtnych jest popularniejsza, czêsto du¿o ³atwiej jest pracowaæ z notacj± szesnastkow±. Maski sieci s± w gruncie rzeczy binarne i ³atwiej dokonaæ konwersji z zapisu binarnego na szesnastkowy, ni¿ z binarnego na dziesiêtny.

pointopoint adres

Ta opcja jest u¿ywana przy ³±czach IP punkt-punkt ³±cz±cych tylko dwa hosty. Jest potrzebna na przyk³ad do skonfigurowania interfejsów SLIP i PPP. Je¿eli zostanie ustawiony adres punkt-punkt, ifconfig wy¶wietli znacznik POINTOPOINT.
broadcast adres

Adres rozg³oszeniowy jest zwykle z³o¿ony z adresu sieci i wszystkich bitów ustawionych w adresie hosta. Niektóre implementacje IP (systemy pochodz±ce na przyk³ad z BSD 4.2) wykorzystuj± inny schemat, w którym wszystkie bity w czê¶ci hosta s± zerowane. Opcja broadcast przystosowuje siê do tych dziwnych ¶rodowisk. Je¿eli adres rozg³oszeniowy zosta³ okre¶lony, ifconfig  wy¶wietla znacznik BROADCAST.
irq

Ta opcja pozwala ustaliæ IRQ u¿ywane przez zadane urz±dzenia. Jest to przydatne zw³aszcza w ³±czach PLIP, ale tak¿e przy niektórych kartach Ethernet.
metric liczba

Ta opcja mo¿e byæ u¿yta do przypisania metryki we wpisie utworzonym dla interfejsu w tablicy rutingu. Metryka jest u¿ywana przez protokó³ rutowania RIP (Routing Information Protocol) do tworzenia tablic rutingu dla sieci*. Domy¶lna metryka u¿ywana przez ifconfig ma warto¶æ zero. Je¿eli nie korzystasz z demona RIP, nie potrzebujesz w ogóle tej opcji. A nawet je¿eli go u¿ywasz, rzadko bêdziesz musia³ zmieniaæ warto¶æ metryki.
mtu bajty 

W ten sposób ustawia siê maksymaln± jednostkê transmisji, która okre¶la maksymaln± liczbê oktetów, jak± interfejs jest w stanie obs³u¿yæ w jednym ruchu. W przypadku Ethernetu domy¶lna warto¶æ MTU wynosi 1500 (najwiêkszy dopuszczalny rozmiar dla pakietu Ethernet). W przypadku interfejsów SLIP jest to 296 (nie ma ograniczeñ MTU w ³±czach SLIP - ta warto¶æ jest po prostu pewnym kompromisem).
arp

Ta opcja jest w³a¶ciwa dla sieci rozg³oszeniowych, takich jak Ethernet, lub dla radia pakietowego. W³±cza ona protokó³ rozwi±zywania adresów (ARP), u¿ywany do znajdowania fizycznych adresów hostów pod³±czonych do sieci. W sieciach rozg³oszeniowych u¿ycie tego protoko³u jest domy¶lne. Je¿eli ARP jest wy³±czony, ifconfig wy¶wietla znacznik NOARP.
-arp

Ta opcja wy³±cza u¿ycie ARP na interfejsie.

promisc

Ta opcja prze³±cza interfejs w tryb przechwytywania pakietów (ang. promiscuous mode). W sieciach rozg³oszeniowych oznacza to, ¿e interfejs odbiera wszystkie pakiety, bez wzglêdu na to, czy s± one dla niego przeznaczone, czy te¿ nie. Pozwala to na analizê ruchu za pomoc± filtrów pakietów i tym podobnych narzêdzi, co jest nazywane tak¿e snoopingiem Ethernetu. Zwykle jest to dobra technika wykrywania problemów z sieci±, które inn± metod± by³yby trudne do znalezienia. Narzêdzia takie jak tcpdump opieraj± siê na tym trybie interfejsu.
Z drugiej strony opcja ta pozwala w³amywaczom na robienie brzydkich rzeczy, na przyk³ad na przegl±danie pakietów twojej sieci w poszukiwaniu hase³. Mo¿esz siê zabezpieczyæ przed tego typu atakiem, zabraniaj±c komukolwiek w³±czaæ komputery do twojej sieci Ethernet. Mo¿esz tak¿e u¿ywaæ bezpiecznych protoko³ów uwierzytelniania, takich jak Kerberos czy pakiet secure shell*. Opcji tej odpowiada znacznik PROMISC.
-promisc

Ta opcja wy³±cza tryb przechwytywania pakietów.
allmulti

Adresy grupowe (ang. multicast addresses) maj± wiele wspólnego z adresami rozg³oszeniowymi Ethernet, z tym wyj±tkiem, ¿e nie implikuj± automatycznego kierowania do pakietów wszystkich cz³onków sieci. Pakiety wys³ane na adres grupowy dostaj± tylko te osoby, które ustawi³y ich odbieranie. Jest to przydatne w takich zastosowaniach, jak wideokonferencje oparte na sieci Ethernet czy audio w sieci, gdzie tylko zainteresowani odbieraj± dane pakiety. Adresowanie grupowe jest obs³ugiwane przez wiêkszo¶æ sterowników Ethernet, aczkolwiek nie przez wszystkie. Gdy opcja ta jest w³±czona, interfejs odbiera i przekazuje pakiety grupowe do przetwarzania. Opcji tej odpowiada znacznik ALLMULTI.
-allmulti

Ta opcja wy³±cza adresy grupowe.
Polecenie netstat
netstat jest przydatnym narzêdziem do sprawdzania konfiguracji sieci i jej dzia³ania. W gruncie rzeczy jest to zestaw kilku po³±czonych ze sob± narzêdzi. W kolejnych podrozdzia³ach omawiamy ka¿d± z funkcji polecenia.
Wy¶wietlanie tablicy rutingu
Kiedy wywo³asz netstat z opcj± -r, wy¶wietli ono tablicê rutingu j±dra w postaci podobnej jak polecenie route. Na ho¶cie vstout wynik wygl±da nastêpuj±co:

# netstat -nr
Kernel IP routing table
Destination   Gateway     Genmask         Flags  MSS   Window   irtt   Iface
127.0.0.1     *           255.255.255.255 UH     0     0        0      lo
172.16.1.0    *           255.255.255.0   U      0     0        0      eth0
172.16.2.0    172.16.1.1  255.255.255.0   UG     0     0        0      eth0

Opcja -n powoduje, ¿e netstat wy¶wietla adresy w postaci numerów IP, a nie symbolicznych nazw hostów i sieci. Opcja ta jest szczególnie przydatna, je¿eli chcesz unikn±æ szukania adresów w sieci (tzn. na serwerach DNS albo NIS).
Druga kolumna wyniku polecenia netstat pokazuje gateway, na który wskazuje dany wpis. Je¿eli gateway nie jest u¿ywany, wy¶wietlana jest gwiazdka. Trzecia kolumna pokazuje maskê sieci dla danej trasy. Gdy podamy adres IP, dla którego chcemy znale¼æ odpowiedni± trasê, j±dro przegl±da kolejne wpisy w tablicy rutingu i wykonuje bitowo logiczn± operacjê AND na adresie i masce sieci, porównuj±c adres docelowy z tras±.
Czwarta kolumna zawiera nastêpuj±ce znaczniki opisuj±ce trasê:
G
Trasa przez gateway.
U
Interfejs, który ma byæ u¿yty, jest aktywny.
H
Przez tê trasê mo¿na dostaæ siê tylko do jednego hosta. Na przyk³ad znacznik ten wystêpuje w przypadku wpisu dla pêtli zwrotnej 127.0.0.1.
D
Ta trasa jest tworzona dynamicznie. Znacznik jest ustawiany, je¿eli wpis w tablicy zosta³ stworzony przez demona rutingu, na przyk³ad gated, lub przez komunikat przekierowania ICMP (zobacz podrozdzia³ Internetowy protokó³ komunikatów kontrolnych (ICMP) w rozdziale 2).
M
Ten znacznik jest ustawiony, je¿eli wpis w tablicy zosta³ zmodyfikowany przez komunikat przekierowania ICMP.
!
Ta trasa zosta³a odrzucona i datagramy do niej skierowane bêd± gubione.
Kolejne trzy kolumny pokazuj± MSS, Window i irtt, czyli zmienne dotycz±ce po³±czeñ TCP zrealizowanych w oparciu o dan± trasê. MSS to maksymalny rozmiar segmentu (ang. maximum segment size); jest to rozmiar najwiêkszego datagramu, jaki j±dro mo¿e zbudowaæ i wys³aæ t± tras±. Window to maksymalna liczba danych, jak± system przyjmie jednorazowo ze zdalnego hosta. Skrót irtt pochodzi od s³ów initial round trip time (wstêpny czas przewidywany na transmisjê i potwierdzenie przyjêcia). Protokó³ TCP zapewnia niezawodno¶æ dostarczania danych pomiêdzy hostami, poniewa¿ ponownie wysy³a datagram, je¿eli zostanie on zgubiony. Pilnuje te¿ licznika mierz±cego czas potrzebny na dostarczenie datagramu na drugi koniec i odebranie potwierdzenia. Na podstawie tego licznika wie, po jakim czasie nale¿y dokonaæ ewentualnej ponownej transmisji datagramu. Proces ten jest nazywany czasem przewidywanym na transmisjê i potwierdzenie przyjêcia (ang. round-trip time). Wstêpny czas przewidywany na transmisjê i potwierdzenie przyjêcia to warto¶æ, jakiej protokó³ TCP u¿ywa, kiedy po raz pierwszy realizuje po³±czenie. W wiêkszo¶ci typów sieci domy¶lna warto¶æ jest poprawna, ale w przypadku niektórych wolnych sieci, jak na przyk³ad w pewnych typach sieci amatorskiego radia pakietowego, czas ten jest zbyt krótki i powoduje niepotrzebne retransmisje. Warto¶æ irtt mo¿e byæ ustawiona za pomoc± polecenia route. Warto¶ci zero w tych polach oznaczaj±, ¿e bêdzie u¿ywana warto¶æ domy¶lna.
No i ostatnie pole pokazuje interfejs sieciowy u¿ywany dla danej trasy.
Wy¶wietlanie statystyk interfejsu
Wywo³anie netstat z opcj± -i wy¶wietla statystyki obecnie skonfigurowanych interfejsów sieciowych. Je¿eli zostanie podana równie¿ opcja -a, wy¶wietlane s± wszystkie interfejsy obecne w j±drze, a nie tylko te obecnie skonfigurowane. Na ho¶cie vstout wynik polecenia netstat bêdzie wygl±da³ nastêpuj±co:

# netstat -i
Kernel Interface table
Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flags
lo      0   0 3185       0      0      0  3185      0     0      0   BLRU
eth0 1500   0 972633    17     20    120 628711   217     0      0   BRU

Pola MTU i Met pokazuj± aktualnie ustalone warto¶ci MTU i metryki dla danego interfejsu. Kolumny RX i TX pokazuj±, ile pakietów zosta³o odebranych albo wys³anych bezb³êdnie (RX-OK/TX-OK), albo uszkodzonych (RX-ERR/TX-ERR), ile pakietów zosta³o zgubionych (RX-DRP/TX-DRP) oraz ile zosta³o zgubionych z powodu przeci±¿enia (RX-OVR/TX-OVR).
Ostatnia kolumna pokazuje znaczniki, które zosta³y ustawione dla danego interfejsu. Litery te s± skrócon± wersj± d³ugich nazw znaczników wy¶wietlanych dla konfiguracji interfejsu przez ifconfig:
B
Zosta³ ustawiony adres rozg³oszeniowy.
L
Ten interfejs to urz±dzenie pêtli zwrotnej.
M
Odbierane s± wszystkie pakiety (tryb przechwytywania).
O
ARP dla interfejsu jest wy³±czony.
P
Jest to po³±czenie punkt-punkt.
R
Interfejs dzia³a.
U
Interfejs jest aktywny.
Wy¶wietlanie po³±czeñ
netstat obs³uguje zestaw opcji do wy¶wietlania aktywnych lub pasywnych gniazd. Opcje -t, -u, -w i -x pokazuj± aktywne po³±czenia TCP, UDP, RAW i gniazda Uniksa. Je¿eli ponadto podasz opcjê -a, gniazda oczekuj±ce na po³±czenie (tzn. nas³uchuj±ce) tak¿e zostan± wy¶wietlone. W wyniku zobaczysz listê wszystkich serwerów, które aktualnie dzia³aj± w twoim systemie.
Wywo³anie netstat -ta na ho¶cie vlager da nastêpuj±cy wynik:

$ netstat -ta
Active Internet Connections
Proto Recv-Q Send-Q Local Address   Foreign Address    (State)
tcp        0      0 *:domain        *:*                 LISTEN
tcp        0      0 *:time          *:*                 LISTEN
tcp        0      0 *:smtp          *:*                 LISTEN
tcp        0      0 vlager:smtp     vstout:1040         ESTABLISHED
tcp        0      0 *:telnet        *:*                 LISTEN
tcp        0      0 localhost:1046  vbardolino:telnet   ESTABLISHED
tcp        0      0 *:chargen       *:*                 LISTEN
tcp        0      0 *:daytime       *:*                 LISTEN
tcp        0      0 *:discard       *:*                 LISTEN
tcp        0      0 *:echo          *:*                 LISTEN
tcp        0      0 *:shell         *:*                 LISTEN
tcp        0      0 *:login         *:*                 LISTEN

Widaæ, ¿e wiêkszo¶æ serwerów po prostu oczekuje na nadchodz±ce po³±czenia. Jednak czwarta linia pokazuje przychodz±ce po³±czenie SMTP z hosta vstout, a szósta linia mówi, ¿e istnieje wychodz±ce po³±czenie telnet do hosta vbardolino*.
U¿ycie samej opcji -a wy¶wietli wszystkie gniazda ze wszystkich rodzin.
Sprawdzanie tablic ARP
W pewnych sytuacjach warto obejrzeæ lub zmieniæ zawarto¶æ tablic ARP j±dra. Przydaje siê to, kiedy na przyk³ad podejrzewasz, ¿e zduplikowany adres internetowy jest powodem sporadycznych problemów z sieci±. Narzêdzie arp zosta³o stworzone do u¿ycia w tego typu sytuacjach. Opcje wiersza poleceñ arp s± nastêpuj±ce:

arp [-v] [-t typhw] -a [nazwahosta]
arp [-v] [-t typhw] -s nazwahosta hwadres
arp [-v] -d nazwahosta [nazwahosta...]

Wszystkie argumenty nazwahosta mog± mieæ postaæ symbolicznych nazw hostów lub adresów IP w notacji kropkowej.
Pierwsze wywo³anie wy¶wietla wpis ARP dla podanego adresu IP lub nazwy hosta albo wszystkich hostów, je¿eli nie zostanie podana nazwahosta. Na przyk³ad wywo³anie arp na ho¶cie vlager mo¿e pokazaæ co¶ takiego:

# arp -a
IP address   HW type           HW address
172.16.1.3   10Mbps Ethernet   00:00:C0:5A:42:C1
172.16.1.2   10Mbps Ethernet   00:00:C0:90:B3:42
172.16.2.4   10Mbps Ethernet   00:00:C0:04:69:AA

S± to adresy Ethernet hostów vlager, vstout i vale.
U¿ywaj±c opcji -t, mo¿esz ograniczyæ wy¶wietlanie do zadanego typu karty. Mo¿e to byæ ether, ax25 albo pronet, czyli odpowiednio Ethernet 10 Mb/s, AMPR AX.25 i token ring IEEE 802.5.
Opcja -s jest u¿ywana do dodawania na sta³e w tablicy ARP adresu ethernetowego nazwyhosta. Argument hwadres okre¶la adres sprzêtowy, który domy¶lnie powinien byæ adresem Ethernet podanym w postaci sze¶ciu liczb szesnastkowych oddzielonych dwukropkami. Za pomoc± opcji -t mo¿esz równie¿ ustawiæ adresy sprzêtowe dla innych typów urz±dzeñ.
Zapytania ARP o zdalny host nie udaj± siê czasem z ró¿nych powodów. Na przyk³ad gdy sterownik ARP jest b³êdny lub inny host w sieci b³êdnie identyfikuje siê z adresem IP innego hosta. Problem ten wymaga rêcznego dodania adresu IP do tablicy ARP. Adresy IP na sztywno (rêcznie) wpisane w tablicy ARP s± równie¿ (bardzo drastycznym) zabezpieczeniem przed tymi hostami w twojej sieci, które udaj±, ¿e s± kim innym.
Wywo³anie arp z opcj± -d powoduje usuniêcie wszystkich wpisów ARP dotycz±cych danego hosta. W ten sposób mo¿na wymusiæ na interfejsie ponown± próbê uzyskania adresu Ethernet zwi±zanego z danym adresem IP. Jest to przydatne, gdy b³êdnie skonfigurowany system rozg³osi z³± informacjê ARP (oczywi¶cie musisz najpierw przekonfigurowaæ b³êdny host).
Wspomniana powy¿ej opcja -s mo¿e byæ u¿ywana do implementacji serwera proxy ARP. Jest to specjalna technika, dziêki której host, powiedzmy gate, dzia³a jako gateway dla innego hosta fnord udaj±c, ¿e oba adresy odnosz± siê do tego samego hosta gate. W tym celu rozg³asza wpis ARP dla fnord wskazuj±cy na jego w³asny interfejs Ethernet. Teraz gdy host wy¶le zapytanie ARP o fnord, gate zwróci odpowied¼ zawieraj±c± jego w³asny adres Ethernet. Pytaj±cy host wy¶le wszystkie datagramy do gate, który z kolei pos³usznie przeka¿e je do fnord.
Taki mechanizm mo¿e byæ potrzebny, gdy chcesz siê dostaæ do fnord z komputera DOS-owego z niepoprawn± implementacj± TCP, niezbyt dobrze rozumiej±c± ruting. Gdy u¿yjesz proxy ARP, maszyna DOS-owa bêdzie widzia³a fnord tak, jakby by³ on w lokalnej podsieci, a wiêc nie bêdzie musia³a rutowaæ pakietów przez gateway.
Proxy ARP przydaje siê te¿, gdy jeden z twoich hostów dzia³a tymczasowo jako gateway dla innego hosta, na przyk³ad po³±czonego przez ³±cze komutowane. W jednym z poprzednich przyk³adów spotkali¶my siê z laptopem vlite, który by³ czasem pod³±czony do vlagera przez ³±cze PLIP. Oczywi¶cie protokó³ zadzia³a tylko wtedy, je¿eli adres hosta, dla którego chcesz realizowaæ proxy ARP, znajduje siê w tej samej podsieci IP co gateway. vstout mo¿e pe³niæ rolê proxy ARP dla dowolnego hosta w podsieci browaru (172.16.1.0), ale nie mo¿e dla hostów w podsieci winiarni (172.16.2.0).
Poni¿ej pokazujemy poprawne wywo³anie tworz±ce proxy ARP dla fnord. Oczywi¶cie podany adres Ethernet musi byæ adresem gate'a:

# arp -s fnord 00:00:c0:a1:42:e0 pub

Wpis proxy ARP mo¿e zostaæ usuniêty przez ponowne wywo³anie:

# arp -d fnord


6
Us³ugi nazewnicze
i konfigurowanie
resolvera
Rozdzia³ 6: Us³ugi nazewnicze i konfigurowanie resolvera


Jak powiedzieli¶my w rozdziale 2, Wybrane problemy sieci TCP/IP, w sieci TCP/IP mog± funkcjonowaæ ró¿ne schematy konwersji nazw na adresy. Najprostszym rozwi±zaniem jest tablica hostów zapisana w pliku /etc/hosts. Sprawdza siê ona jedynie w ma³ych sieciach LAN, które s± pod opiek± jednego administratora albo nie obs³uguj± ruchu IP do ¶wiata zewnêtrznego. Format pliku hosts zosta³ ju¿ opisany w rozdziale 5, Konfigurowanie sieci TCP/IP.
Id±c dalej, do zamiany nazw hostów na adresy IP mo¿esz u¿yæ us³ugi z BIND (Berkeley Internet Name Domain Service - internetowe us³ugi nazewnicze domen z Berkeley). Konfigurowanie BIND-a bywa przykre, ale jak ju¿ to zrobisz, ³atwo wprowadzisz ka¿d± zmianê w topologii sieci. W Linuksie, jak i w wielu innych systemach uniksowych, us³ugi nazewnicze s± obs³ugiwane przez program o nazwie named. Przy uruchamianiu ³aduje on zestaw g³ównych plików do swojej pamiêci wewnêtrznej i czeka na zapytania od lokalnych lub zdalnych procesów u¿ytkownika. Istniej± ró¿ne sposoby skonfigurowania BIND-a i nie wszystkie wymagaj± uruchamiania serwera nazw na ka¿dym ho¶cie.
Chcieliby¶my, aby ten rozdzia³ by³ czym¶ wiêcej ni¿ pobie¿nym szkicem na temat DNS-u i obs³ugi serwera nazw. Informacje tu podane powinny wystarczyæ, je¿eli masz ma³± sieæ lokaln± i po³±czenie z Internetem. Naj¶wie¿sze informacje znajdziesz w dokumentacji zamieszczonej w pakiecie ¼ród³owym BIND, który zawiera strony podrêcznika elektronicznego, uwagi do danej wersji oraz Podrêcznik operatora BIND (BIND Operator's Guide - BOG). Nie pozwól, by ta nazwa ciê odstraszy³a. W praktyce jest to bardzo u¿yteczny dokument. Pe³niejszy opis DNS-u i zwi±zanych z nim zagadnieñ mo¿esz znale¼æ w ksi±¿ce DNS and BIND autorstwa Paula Albitza i Cricketa Liu (wyd. pol.: DNS i BIND, Wydawnictwo RM, Warszawa 1999), która stanowi doskona³e ¼ród³o informacji na ten temat. Odpowiedzi na pytania na temat DNS-u mo¿esz znale¼æ w wiadomo¶ciach grupy dyskusyjnej comp.protocols.tcp-ip.domains. Szczegó³y techniczne DNS-u s± zdefiniowane w nastêpuj±cych dokumentach RFC: 1033, 1034 i 1035.
Biblioteka resolvera
Okre¶lenie resolver nie odnosi siê do jakiej¶ szczególnej aplikacji, ale do biblioteki resolvera. Jest to zbiór funkcji, które mo¿na znale¼æ w standardowej bibliotece C. Podstawowe procedury to gethostyname(2) i gethostbyaddr(2), poszukuj±ce adresów IP zwi±zanych z dan± nazw± hosta i odwrotnie. Mog± byæ skonfigurowane tak, aby po prostu szukaæ informacji w pliku hosts, albo zadawaæ zapytania do serwerów nazw DNS, albo te¿ korzystaæ z bazy danych hosts NIS-a.
Funkcje resolvera odczytuj± pliki konfiguracyjne w momencie, gdy s± wywo³ywane. Na ich podstawie ustalaj±, któr± bazê danych zapytaæ i w jakiej kolejno¶ci, oraz dowiaduj± siê innych szczegó³ów na temat konfiguracji ¶rodowiska. Starsza standardowa biblioteka, libc, w Linuksie wykorzystywa³a plik /etc/host.conf jako g³ówny plik konfiguracyjny, ale wersja 2. standardowej biblioteki GNU, glibc, wykorzystuje plik /etc/nsswitch.conf. Opiszemy kolejno ka¿dy z nich, poniewa¿ oba s± powszechnie u¿ywane.
Plik host.conf
Plik /etc/host.conf mówi funkcjom resolvera ze starszej biblioteki standardowej w Linuksie, jakich us³ug u¿ywaæ i w jakiej kolejno¶ci.
Opcje w pliku host.conf trzeba umieszczaæ w oddzielnych wierszach. Pola mog± byæ oddzielone bia³ymi znakami (spacjami lub tabulatorami). Znak hasha (#) oznacza liniê z komentarzem. Dostêpne s± nastêpuj±ce opcje:
order

Ta opcja okre¶la kolejno¶æ, w jakiej wypróbowane s± us³ugi. Dopuszczalne opcje to: bind dla zapytañ serwera nazw, hosts dla sprawdzania pliku /etc/hosts i nis dla zapytañ NIS. Mo¿na podaæ jedn± opcjê lub wszystkie. Kolejno¶æ przepytywania (sprawdzania) us³ug zale¿y od uporz±dkowania opcji w wierszu.
multi

multi mo¿e posiadaæ opcje on lub off. Okre¶la, czy host wpisany do pliku /etc/hosts mo¿e mieæ kilka adresów IP. Domy¶lna warto¶æ to off. Znacznik nie ma wp³ywu na zapytania do DNS-u czy NIS-a.
nospoof

Jak wyja¶nimy dalej w podrozdziale Wyszukiwanie odwrotne, DNS pozwala na znalezienie nazwy hosta zwi±zanej z danym adresem IP za pomoc± domeny in-addr.arpa. Próbê dostarczenia przez serwery nazw fa³szywej nazwy hosta nazywa siê spoofingiem. Aby siê przed tym obroniæ, resolver mo¿na skonfigurowaæ tak, ¿eby sprawdza³, czy oryginalny adres IP faktycznie jest zwi±zany z uzyskan± nazw± hosta. Je¿eli nie, nazwa jest odrzucana i zwracany jest b³±d. Zachowanie to jest w³±czane przez ustawienie nospoof.

alert

Ta opcja przyjmuje parametry on lub off. Je¿eli jest w³±czona, próby spoofingu skoñcz± siê tym, ¿e resolver zapisze komunikat za pomoc± funkcji syslog.
trim

Jako argument tej opcji wystêpuje nazwa domeny, usuniêtej z nazw hostów przed rozpoczêciem wyszukiwania. Jest to przydatne dla wpisów w pliku hosts, w których chcesz podawaæ same nazwy hosta, bez lokalnej domeny. Je¿eli podasz swoj± domenê lokaln±, zostanie ona usuniêta przy poszukiwaniu hosta z dodan± nazw± domeny lokalnej, co pozwala na poprawne wyszukiwanie w pliku /etc/hosts. Nazwa domeny, któr± podajesz, musi koñczyæ siê kropk± (na przyk³ad linux.org.au.), je¿eli trim ma dzia³aæ poprawnie.
Opcje trim ³±cz± siê ze sob±. Mo¿esz sprawiæ, ¿e twój host bêdzie uznawany za lokalny w kilku domenach.
W przyk³adzie 6-1 pokazano plik host.conf dla hosta vlager.
Przyk³ad 6-1. Przyk³adowy plik host.conf
# /etc/host.conf
# named dzia³a, ale nie mamy NIS-a (jeszcze)
order   bind,hosts
# Pozwalamy na wielokrotne adresy
multi   on
# Zabezpieczamy siê przed próbami spoofingu
nospoof on
# obcinamy domenê lokaln± (nie jest to naprawdê niezbêdne).
trim    vrew.com.
Zmienne ¶rodowiskowe resolvera
Ustawienia w pliku host.conf mog± byæ zmienione za pomoc± szeregu zmiennych ¶rodowiskowych:
RESOLV_HOST_CONF

Ta zmienna okre¶la, jaki plik ma byæ czytany zamiast /etc/host.conf.
RESOLV_SERV_ORDER

Ta zmienna uniewa¿nia opcjê order zawart± w pliku host.conf. Us³ugi s± podawane jako hosts, bind  i nis, oddzielone spacjami, przecinkami, dwukropkami lub ¶rednikami.
RESOLV_SPOOF_CHECK

Ta zmienna okre¶la stopieñ ochrony przed spoofingiem. Podanie off wy³±cza tê opcjê. Warto¶ci warn i warn off w³±czaj± sprawdzanie spoofingu, odpowiednio, przez w³±czenie i wy³±cznie logowania. Warto¶æ* w³±cza sprawdzanie spoofingu, ale pozostawia funkcjê logowania zgodnie z tym, co jest zdefiniowane w pliku host.conf.
RESOLV_MULTI 

Ta zmienna pozwala na podanie warto¶ci on lub off i uniewa¿nia opcjê multi z pliku host.conf.

RESOLV_OVERRIDE_TRIM_DOMAINS

Ta zmienna okre¶la listê domen, które maj± byæ obcinane, i uniewa¿nia te podane w pliku host.conf. Obcinanie domen omówili¶my wcze¶niej, przy opisie s³owa kluczowego trim.
RESOLV_ADD_TRIM_DOMAINS

Ta zmienna okre¶la listê obcinanych domen, dodawan± do listy podanej w pliku host.conf.
Plik nsswitch.conf
Wersja 2. standardowej biblioteki GNU oferuje wydajniejszy i bardziej elastyczny mechanizm, który zastêpuje starszy plik host.conf. Pojêcie us³ugi nazewniczej zosta³o rozszerzone tak, ¿e obecnie jej plik zawiera wiele ró¿nych informacji. Opcje konfiguracyjne dla ró¿nych funkcji zadaj±cych zapytania do jej baz danych zosta³y z powrotem umieszczone w jednym pliku konfiguracyjnym o nazwie nsswitch.conf.
Plik nsswitch.conf pozwala administratorowi systemu skonfigurowaæ szereg ró¿nych baz danych. Ograniczymy omówienie do opcji zwi±zanych z rozwi±zywaniem adresów IP hostów i sieci. Wiêcej informacji na temat innych funkcji mo¿esz znale¼æ w dokumentacji standardowej biblioteki GNU.
Opcje w pliku nsswitch.conf musz± wystêpowaæ w oddzielnych wierszach. Pola mog± byæ oddzielone bia³ymi znakami (spacjami lub tabulatorami). Znak hasha (#) oznacza komentarz, który ci±gnie siê do nastêpnego wiersza. Ka¿dy wiersz opisuje okre¶lon± us³ugê - jedn± z nich jest rozwi±zywanie nazwy hosta. Pierwsze pole w ka¿dym wierszu to nazwa bazy danych koñcz±ca siê dwukropkiem. Nazwa bazy zwi±zanej z rozwi±zywaniem adresów hostów to hosts. Inna, zwi±zana z us³ug± nazewnicz± baza to networks; s³u¿y do zamiany nazw sieci na ich adresy. Pozosta³a czê¶æ ka¿dego wiersza zawiera opcje okre¶laj±ce sposób wyszukiwania w bazie danych.
Dostêpne s± nastêpuj±ce opcje:
dns

U¿ycie systemu nazw domen (DNS) do rozwi±zywania adresów. Ma to sens jedynie przy rozwi±zywaniu adresów hostów, a nie sieci. Mechanizm ten wykorzystuje plik /etc/resolv.conf, opisany w dalszej czê¶ci tego rozdzia³u.
files

Przeszukiwanie pliku lokalnego w poszukiwaniu nazwy hosta lub sieci i odpowiadaj±cych im adresów. Ta opcja wykorzystuje tradycyjne pliki /etc/hosts i /etc/ networks.
nis lub nisplus

U¿ycie systemu informacji sieciowej (NIS) do rozwi±zywania adresów hostów lub sieci. NIS i NIS+ zosta³y szczegó³owo omówione w rodziale 13, System informacji sieciowej.
Kolejno¶æ, w jakiej s± podane, decyduje o porz±dku zadawania zapytañ o rozwi±zanie nazwy. Lista kolejno¶ci zapytañ znajduje siê w opisie us³ugi umieszczonym w pliku /etc/nsswitch.conf. Us³ugi s± zapytywane od lewej do prawej. Domy¶lnie poszukiwanie koñczy siê, gdy rozwi±zanie nazwy siê powiedzie.
W przyk³adzie 6-2 pokazujemy prosty plik, na¶laduj±cy nasz± konfiguracjê wykorzystuj±c± starsz± bibliotekê standardow± libc.
Przyk³ad 6-2.?Przyk³adowy plik nsswitch.conf
# /etc/nsswitch.conf
#
# Przyk³adowa konfiguracja funkcjonalno¶ci GNU Name Service Switch.
# Informacje o tym pliku s± dostêpne w pakiecie 'libc6-doc'.

hosts:         dns files
networks:      files

Zapis taki jak w powy¿szym przyk³adzie oznacza, ¿e system poszukuje hostów najpierw przez system nazw domen, a nastêpnie, je¿eli to siê nie uda, w pliku /etc/hosts. Poszukiwanie nazw sieci bêdzie realizowane tylko w oparciu o plik /etc/networks.
Mo¿esz bardziej precyzyjnie sterowaæ poszukiwaniami, je¶li skorzystasz z "elementów dzia³ania". Podpowiadaj± one kolejne kroki na podstawie wyników uzyskanych w poprzedniej próbie wyszukiwania. Elementy dzia³ania znajduj± siê pomiêdzy specyfikacjami us³ug i s± otoczone nawiasami kwadratowymi []. Ogólna sk³adnia dyrektywy dzia³ania jest nastêpuj±ca:

[ [!] status = dzia³anie ... ]

Istniej± dwa mo¿liwe dzia³ania:
return

Powoduje powrót do programu, który próbowa³ rozwi±zaæ nazwê. Je¿eli próba wyszukiwania siê powiod³a, resolver zwróci szczegó³owe informacje, a w przeciwnym razie zwróci zero.
continue

Resolver przejdzie do kolejnej us³ugi na li¶cie i spróbuje za jej pomoc± znale¼æ nazwê.
Opcjonalny znak wykrzyknika (!) mówi, ¿e status powinien byæ odwrócony przed wykonaniem testu, czyli oznacza "nie".
Dopuszczalne warto¶ci statusu, na których mo¿emy operowaæ to:
success

¯±dany adres zosta³ znaleziony bez b³êdu. Domy¶lne dzia³anie dla tego statusu to return.
notfound

W wyszukiwaniu nie wyst±pi³ b³±d, ale poszukiwany host lub sieæ nie mog± byæ znalezione. Domy¶lne dzia³anie dla tego statusu to continue.
unavail

Us³uga, do której zosta³o zadane zapytanie, jest niedostêpna. Mo¿e to oznaczaæ, ¿e plik hosts lub networks jest nieczytelny dla us³ugi files lub ¿e serwer nazw albo serwer NIS nie odpowiadaj± na us³ugê dns lub nis. Domy¶lne dzia³anie dla tego statusu to continue.
tryagain

Ten status mówi, ¿e us³uga jest tymczasowo niedostêpna. W przypadku us³ugi files zwykle oznacza to, ¿e dany plik jest zablokowany przez inny proces. W przypadku innych us³ug mo¿e to oznaczaæ tymczasow± niemo¿no¶æ przyjêcia po³±czenia. Domy¶lne dzia³anie dla tego statusu to continue.
Prost± ilustracjê wykorzystania tego mechanizmu stanowi przyk³ad 6-3.
Przyk³ad 6-3.?Przyk³adowy plik nsswitch.conf wykorzystuj±cy dyrektywê dzia³ania
# /etc/nsswitch.conf
#
# Przyk³adowa konfiguracja funkcjonalno¶ci GNU Name Service Switch.
# Informacje o tym pliku s± dostêpne w pakiecie 'libc6-doc'.

hosts:         dns [!UNAVAIL=return] files
networks:      files

W tym przyk³adzie próbujemy znale¼æ nazwê hosta za pomoc± systemu us³ug nazewniczych domen. Je¿eli tylko zwrócony status nie oznacza niedostêpno¶ci, resolver zwraca to, co znalaz³. Je¿eli próba zapytania DNS zwróci³a status niedostêpno¶ci (wy³±cznie w tym przypadku), resolver próbuje u¿yæ lokalnego pliku /etc/hosts. Oznacza to, ¿e powinni¶my u¿yæ pliku hosts tylko wtedy, gdy nasz serwer nazw z jakiego¶ powodu jest niedostêpny.
Konfigurowanie poszukiwania przez serwer nazw za pomoc± pliku resolv.conf
Gdy konfigurujesz bibliotekê resolvera do korzystania z us³ugi nazewniczej BIND przy rozwi±zywaniu nazw, musisz tak¿e wskazaæ serwery nazw, które maj± byæ u¿ywane. Do tego celu s³u¿y oddzielny plik resolv.conf. Je¿eli plik ten nie istnieje lub jest pusty, resolver zak³ada, ¿e serwer nazw znajduje siê na twoim ho¶cie lokalnym.
Aby uruchomiæ serwer nazw na ho¶cie lokalnym, musisz go oddzielnie skonfigurowaæ, co wyja¶niamy w kolejnym podrozdziale. Je¿eli pracujesz w sieci lokalnej i masz mo¿liwo¶æ wykorzystania istniej±cego serwera nazw, nie omieszkaj tak zrobiæ. Je¿eli u¿ywasz komutowanego po³±czenia IP z Internetem, w pliku resolv.conf zwykle podajesz serwer nazw twojego dostawcy Internetu.
Najwa¿niejsz± opcj± w pliku resolv.conf jest name server, zawieraj±ca adres tego serwera nazw, który ma byæ u¿ywany. Je¿eli podasz kilka serwerów nazw, wpisuj±c kilkukrotnie opcjê name server, bêd± one sprawdzane w zadanej kolejno¶ci. W zwi±zku z tym najbardziej niezawodne serwery powiniene¶ umieszczaæ na pocz±tku. Bie¿±ca implementacja pozwala ci na umieszczenie w pliku resolv.conf trzech dyrektyw name server. Je¿eli nie zostanie podana opcja name server, resolver podejmie próbê po³±czenia z serwerem nazw na ho¶cie lokalnym.
Dwie pozosta³e opcje to domain i search, pozwalaj±ce na stosowanie skróconych nazw hostów w domenie lokalnej. Zwykle je¶li ³±czysz siê za pomoc± telnetu z innym hostem w domenie lokalnej, nie musisz wpisywaæ pe³nej nazwy. Wystarczy podaæ tylko nazwê krótk± typu gauss. Resolver skojarzy j± z pozosta³± czê¶ci± nazwy: mathematics.groucho.edu.
Tak w³a¶nie dzia³a dyrektywa domain. Pozwala podaæ domy¶ln± nazwê domeny, która ma byæ dodawana, gdy DNS nie znajdzie nazwy hosta. Na przyk³ad, gdy podamy nazwê gauss, resolver nie znajdzie jej w DNS-ie, poniewa¿ nie ma takiej domeny podstawowej. Gdy jako domenê domy¶ln± wska¿emy mathematics.groucho.edu, resolver powtórzy zapytanie o gauss. Tym razem wyszukiwanie siê powiedzie.
Pewnie ci siê to podoba, ale kiedy wyjdziesz poza domenê wydzia³u matematyki, musisz powróciæ do pe³nych nazw domen. Oczywi¶cie chcia³by¶ mieæ równie¿ skróty, takie jak quark.physics dla hostów z domeny wydzia³u fizyki.
Tu z pomoc± przychodzi lista przeszukiwania. Mo¿na j± podaæ za pomoc± opcji search, która jest uogólnieniem dyrektywy domain. Ta druga umo¿liwia wprowadzenie pojedynczej domeny domy¶lnej, natomiast ta pierwsza pozwala na podanie listy domen, które bêd± po kolei sprawdzane, a¿ poszukiwanie zakoñczy siê powodzeniem. Elementy listy musz± byæ oddzielone spacjami lub tabulatorami.
Dyrektywy search i domain wzajemnie siê wykluczaj± i nie mog± pojawiæ siê w pliku wiêcej ni¿ raz. Je¿eli zostanie podana która¶ z opcji, resolver bêdzie próbowa³ odgadn±æ domy¶ln± domenê na podstawie nazwy lokalnego hosta za pomoc± wywo³ania systemowego getdomainname(2). Je¿eli nazwa hosta lokalnego nie zawiera nazwy domeny, przyjmowana jest domena g³ówna (ang. root domain).
Je¿eli zdecydujesz siê umie¶ciæ dyrektywê search w pliku resolv.conf, powiniene¶ uwa¿aæ na to, jakie domeny dodajesz do listy. Biblioteki resolvera wcze¶niejsze ni¿ BIND 4.9 tworzy³y domy¶ln± listê przeszukiwania na podstawie nazwy domeny, je¿eli lista nie zosta³a podana. Domy¶lna lista sk³ada³a siê z samej domeny domy¶lnej oraz wszystkich jej domen nadrzêdnych, a¿ do domeny g³ównej. Powodowa³o to pewne problemy, poniewa¿ zapytania DNS koñczy³y siê na serwerach nazw, do których nigdy nie powinny dotrzeæ.
Za³ó¿my, ¿e jeste¶ w browarze wirtualnym i chcesz zalogowaæ siê do foot.groucho.edu. Przypu¶æmy, ¿e omskn±³ ci siê palec i wpisa³e¶ foo zamiast foot, czyli poda³e¶ nazwê hosta, która nie istnieje. Serwer nazw GMU powie ci, ¿e nie zna takiego hosta. W przypadku listy poszukiwañ starego typu, resolver próbowa³by do³±czaæ do nazwy hosta nazwy vbrew.com i com. Ta ostatnia nazwa mo¿e byæ problematyczna, poniewa¿ domena groucho.edu.com mo¿e istnieæ naprawdê. Co wiêcej, byæ mo¿e w tej domenie serwer znajdzie jakiego¶ hosta foo i wska¿e nie na to, co potrzeba.
Takie fa³szywe wyniki poszukiwañ mog± zagra¿aæ systemowi bezpieczeñstwa niektórych aplikacji. Dlatego zwykle powiniene¶ zawê¿aæ domeny na twojej li¶cie poszukiwañ do swojej lokalnej organizacji lub czego¶ w tym rodzaju. Na wydziale matematyki uniwersytetu Groucho Marx lista poszukiwañ powinna byæ skonfigurowana na maths.groucho.edu i groucho.edu.

Je¿eli zrozumienie domy¶lnych domen sprawia ci k³opot, przyjrzyj siê poni¿szemu przyk³adowi pliku resolv.conf dla wirtualnego browaru:

# /etc/resolv.conf
# Nasza domena
domain       vbrew.com
#
# Jako g³ównego serwera nazw u¿ywamy vlager
name server 172.16.1.1

Przy rozwi±zywaniu nazwy vale, resolverowi nie uda siê znale¼æ vale, ale znajdzie vale.vbrew.com.
Si³a resolvera
Je¿eli obs³ugujesz sieæ lokaln± w obrêbie du¿ej sieci, zdecydowanie powiniene¶ korzystaæ z g³ównych serwerów nazw, je¿eli takie s± dostêpne. Serwery nazw maj± obszern± pamiêæ podrêczn±, która przyspiesza odpowiedzi na powtórne zapytania, a wszystkie zapytania s± kierowane w³a¶nie do tych serwerów. Jednak ten model ma jedn± wadê: gdyby ogieñ zniszczy³ kabel szkieletu na uniwersytecie Olafa, nie mo¿na by³oby pracowaæ w wydzia³owej sieci LAN, poniewa¿ resolver nie móg³by siê skomunikowaæ z ¿adnym z serwerów nazw. Taka sytuacja powoduje trudno¶ci z wiêkszo¶ci± us³ug sieciowych, takich jak logowanie siê z X terminali czy drukowanie.
Choæ niezbyt czêsto zdarza siê, ¿e sieci szkieletowe campusu p³on±, to warto zabezpieczyæ siê przed takim wypadkiem.
Jednym z rozwi±zañ jest skonfigurowanie lokalnego serwera nazw, który rozwi±zuje nazwy z domeny lokalnej i przekazuje wszystkie zapytania o inne hosty do g³ównych serwerów. Oczywi¶cie ma to sens jedynie wtedy, gdy posiadasz w³asn± domenê.
Alternatyw± mo¿e byæ utrzymywanie zapasowej listy hostów dla twojej domeny czy sieci lokalnej w pliku /etc/hosts. Mo¿na to zrobiæ bardzo ³atwo. Po prostu konfigurujemy bibliotekê resolvera tak, aby w pierwszej kolejno¶ci zadawa³a zapytania do DNS-u, a nastêpnie sprawdza³a plik hostów. W pliku /etc/host.conf powiniene¶ wpisaæ: order bind hosts, a w pliku /etc/nsswitch.conf: hosts: dns files. W ten sposób resolver wykorzysta plik hostów, je¿eli g³ówny serwer nazw bêdzie nieosi±galny.
Jak dzia³a DNS
DNS porz±dkuje nazwy hostów w hierarchii domen. Domena to zbiór o¶rodków maszyn, które s± jako¶ powi±zane ze sob±. Na przyk³ad tworz± sieæ (tak jak wszystkie maszyny w campusie lub wszystkie hosty sieci BITNET), lub nale¿± do pewnej organizacji (np. rz±du Stanów Zjednoczonych), lub le¿± blisko siebie. Na przyk³ad uniwersytety s± zwykle grupowane w domenie edu, a ka¿dy uniwersytet czy college u¿ywa oddzielnej poddomeny, w której s± zebrane jego hosty. Uniwersytet Groucho Marx posiada domenê groucho.edu, natomiast sieæ lokalna wydzia³u matematyki znajduje siê w poddomenie maths.groucho.edu. W nazwach hostów z sieci wydzia³u powinny znajdowaæ siê domeny, a wiêc erdos bêdzie znany jako erdos. maths.groucho.edu. Taka nazwa to pe³na nazwa domenowa zwykle identyfikuj±ca dany host w skali ¶wiata.
Rysunek 6-1 pokazuje podzia³ przestrzeni nazw. Wpis u góry drzewa, po prostu kropka, jest nazywany domen± g³ówn± (ang. root domain) i obejmuje wszystkie pozosta³e domeny. Aby pokazaæ, ¿e nazwa hosta jest pe³n± nazw± domenow±, a nie nazw± wzglêdn± dla jakiej¶ (ukrytej) domeny lokalnej, czasem jest ona pisana z kropk± na koñcu. Kropka ta oznacza, ¿e ostatnim cz³onem nazwy jest domena g³ówna.
W zale¿no¶ci od po³o¿enia nazwy w hierarchii, domena mo¿e byæ nazywana domen± najwy¿szego poziomu, drugiego poziomu lub trzeciego poziomu. Poziomów jest jeszcze wiêcej, ale rzadko s± u¿ywane. Poni¿sza lista pokazuje te kilka domen najwy¿szego poziomu, z którymi czêsto siê mo¿esz spotkaæ:
Domena	Opis
edu	(G³ównie w USA) Instytucje edukacyjne, na przyk³ad uniwersytety.
com	Organizacje i firmy komercyjne.
org	Organizacje niekomercyjne. Prywatne sieci UUCP czêsto nale¿± do tej domeny.
net	Gatewaye i inne hosty administracyjne w sieci.
mil	Amerykañskie instytucje wojskowe.
gov	Amerykañskie instytucje rz±dowe.
uucp	Oficjalnie, wszystkie nazwy wcze¶niej u¿ywane jako nazwy UUCP bez domen
	zosta³y przeniesione do tej domeny.
Historycznie pierwsze cztery domeny by³y przypisane Stanom Zjednoczonym, ale ostatnio w praktyce nazewniczej k³adzie siê nacisk na globalny charakter tych domen, równie¿ w znaczeniu terytorialnym, bo przecie¿ s± domenami globalnymi najwy¿szego rzêdu (ang. global Top Level Domains - gTLD). Prowadzone s± negocjacje na temat rozszerzenia zakresu gTLD, co mo¿e zaowocuje wiêkszymi mo¿liwo¶ciami wyboru w przysz³o¶ci.
Poza Stanami Zjednoczonymi, ka¿dy kraj u¿ywa domeny najwy¿szego poziomu w postaci w³asnego dwuliterowego kodu kraju zdefiniowanego w normie ISO-3166. Na przyk³ad Finlandia u¿ywa domeny fi; fr to domena dla Francji, de dla Niemiec, za¶ au dla Australii. Na pozosta³ych poziomach hierarchii (tych poni¿ej domeny najwy¿szego poziomu), organizacja NIC ka¿dego kraju mo¿e porz±dkowaæ nazwy hostów dowolnie. Australia posiada domeny drugiego poziomu podobne do miêdzynarodowych domen najwy¿szego poziomu, czyli com.au i edu.au. Inne kraje, na przyk³ad Niemcy, nie wykorzystuj± tego dodatkowego poziomu, a raczej wyd³u¿aj± nazwê odnosz±c± siê bezpo¶rednio do firmy, z któr± jest zwi±zana dana domena. Nie jest niczym niezwyk³ym spotkanie domeny ftp.informatik.uni-enlargen.de. Ale to ju¿ sprawa Niemców.


Rysunek 6-1. Fragment przestrzeni nazw domen
http://www.rm.com.pl/upgr/lpas/06-01.tif

Oczywi¶cie takie domeny narodowe nie oznaczaj±, ¿e host w danej domenie znajduje siê fizycznie w danym kraju - oznacza to jedynie, ¿e host zosta³ zarejestrowany w organizacji NIC danego kraju. Na przyk³ad za³ó¿my, ¿e szwedzki przemys³owiec ma filiê swojej firmy w Australii, ale wszystkie hosty pracuj±ce w tej filii mog± byæ zarejestrowane w domenie najwy¿szego poziomu se.
Uporz±dkowanie przestrzeni nazw w hierarchii nazw domen to eleganckie rozwi±zanie problemu niepowtarzalno¶ci nazw. W DNS-ie wystarczy, ¿e nazwa hosta bêdzie unikatowa we w³asnej domenie, a pozostanie taka na ca³ym ¶wiecie. Co wiêcej, pe³ne nazwy domenowe s± ³atwe do zapamiêtania. Ju¿ te kilka faktów przemawia za podzia³em du¿ej domeny na kilka domen podrzêdnych.
DNS daje ci jeszcze wiêcej mo¿liwo¶ci. Pozwala tak¿e na przekazywanie w³adzy nad poddomenami ich administratorom. Na przyk³ad osoby obs³uguj±ce centrum komputerowe uniwersytetu Groucho Max mog± stworzyæ poddomenê dla ka¿dego wydzia³u. Ju¿ spotkali¶my poddomeny math i physics. Kiedy stwierdz±, ¿e sieæ na wydziale fizyki jest zbyt du¿a i trudno ni± zarz±dzaæ z zewn±trz (w koñcu wiadomo, ¿e fizycy to niesforna grupa ludzi), mog± po prostu przekazaæ kontrolê nad domen± physics.groucho.edu administratorom tej sieci. Administratorzy bêd± mieli prawo nazywaæ hosty, jak chc±, i przypisywaæ adresy IP z ich sieci w dowolnie wybrany przez siebie sposób, bez konieczno¶ci uwzglêdniania jakichkolwiek sugestii z zewn±trz.

W tym celu przestrzeñ nazw jest podzielona na strefy (ang. zones) oparte na domenach. Zwróæ uwagê na subteln± ró¿nicê pomiêdzy stref± a domen±: domena groucho.edu zawiera wszystkie hosty z uniwersytetu Groucho Marx, natomiast strefa groucho.edu zawiera jedynie hosty zarz±dzane bezpo¶rednio przez centrum komputerowe - na przyk³ad te na wydziale matematyki. Hosty na wydziale fizyki nale¿± do innej strefy, a mianowicie physics.groucho.edu. Na rysunku 6-1 pocz±tek strefy jest zaznaczony ma³ym kó³kiem przy nazwie domeny.
Poszukiwanie nazw w DNS-ie
Na pierwszy rzut oka wydaje siê, ¿e ca³y ten podzia³ na domeny i strefy bardzo komplikuje rozwi±zywanie nazw. W zasadzie, je¿eli ¿adna w³adza centralna nie kontroluje przypisywania nazw hostom, to sk±d ma je znaæ skromna aplikacja?
Teraz przejd¼my do naprawdê pomys³owej czê¶ci DNS-u. Gdyby¶ chcia³ znale¼æ adres IP hosta erdos, DNS powiedzia³by: "Id¼, zapytaj ludzi, którzy go obs³uguj±, a oni ci powiedz±".
W rzeczywisto¶ci DNS to gigantyczna rozproszona baza danych. Jest zaimplementowana w postaci tak zwanych serwerów nazw, które dostarczaj± informacji o zadanej domenie lub zestawie domen. Ka¿da strefa ma przynajmniej dwa (lub kilka) serwerów nazw, które s± ¼ród³em wszelkich informacji o hostach z tej strefy. Aby uzyskaæ adres IP erdosa, wystarczy skontaktowaæ siê z serwerem nazw w strefie groucho.edu, a on zwróci ci wymagane dane.
Mo¿esz pomy¶leæ: ³atwo siê mówi, ale trudniej to zrobiæ. Sk±d mam wiedzieæ, jak znale¼æ serwer nazw uniwersytetu Groucho? Je¿eli twój komputer nie jest wyposa¿ony w wyroczniê, znajduj±c± adresy, mo¿e za ni± pos³u¿yæ tak¿e DNS. Gdy twoja aplikacja chce znale¼æ informacje o erdosie, kontaktuje siê z lokalnym serwerem nazw, który na jej rzecz wykonuje tak zwane zapytania iteracyjne. Rozpoczyna od wysy³ania zapytania o adres erdos.maths.groucho.edu do serwera nazw domeny g³ównej. Serwer nazw domeny g³ównej rozpoznaje, ¿e nazwa nie nale¿y do strefy bêd±cej w jego w³adzy, ale nale¿y do domeny edu. Odpowiada naszemu serwerowi nazw, ¿eby w celu uzyskania dok³adniejszych informacji, skontaktowa³ siê z serwerem nazw strefy edu, i wysy³a listê wszystkich serwerów nazw edu wraz z ich adresami. Twój lokalny serwer nazw dzia³a dalej i wysy³a zapytanie do jednego z poleconych serwerów, na przyk³ad a.isi.edu. Podobnie jak serwer nazw domeny g³ównej, tak i a.isi.edu wie, ¿e ludzie z grouche.edu maj± w³asn± strefê i wskazuje ich serwery. Lokalny serwer nazw nastêpnie kieruje zapytanie o erdosa do jednego z nich, który z kolei ostatecznie identyfikuje nazwê jako nale¿±c± do jego strefy i zwraca odpowiadaj±cy jej adres IP.
Wygl±da na to, ¿e aby znale¼æ jeden marny adres IP, trzeba wygenerowaæ spory ruch, ale to i tak nic w porównaniu z liczb± danych, jaka musia³aby byæ przesy³ana, gdyby¶my wci±¿ korzystali z pliku HOSTS.TXT. Schemat ten jednak daje siê udoskonaliæ.
Aby skróciæ czas odpowiedzi na przysz³e zapytania, serwer nazw zapisuje uzyskane informacje w lokalnej pamiêci podrêcznej. Tak wiêc, je¿eli kto¶ z twojej sieci lokalnej bêdzie chcia³ znowu znale¼æ adres hosta w domenie groucho.edu, twój serwer nazw skontaktuje siê bezpo¶rednio z serwerem nazw w tej domenie*. 
Oczywi¶cie serwer nazw nie bêdzie przechowywa³ tej informacji wiecznie. Po jakim¶ czasie j± usunie. Czas jej przechowywania jest nazywany czasem ¿ycia (ang. time to live), w skrócie TTL. Wszystkim danym w DNS-ie administrator danej strefy przypisuje TTL.
Typy serwerów nazw
Serwery nazw, które przechowuj± wszystkie informacje o hostach z danej strefy, s± nazywane autorytatywnymi (ang. authoritative servers) dla tej strefy, a czasami g³ównymi serwerami nazw (ang. master name servers). Wszelkie zapytania o hosta w danej strefie docieraj± w koñcu do serwerów g³ównych.
Serwery g³ówne musz± byæ doskonale zsynchronizowane. Tak wiêc administrator strefy musi stworzyæ jeden serwer podstawowy (ang. primary), który ³aduje informacje o strefie z plików z danymi, i serwery zapasowe (ang. secondary), które przesy³aj± dane o strefie z serwera podstawowego w równych odstêpach czasu.
Dobrze jest mieæ kilka serwerów nazw, gdy¿ mo¿na równomiernie roz³o¿yæ obci±¿enie i zagwarantowaæ lepsz± niezawodno¶æ. Gdy jedna z maszyn, na której dzia³a serwer nazw w ³agodny sposób przestanie dzia³aæ, na przyk³ad system operacyjny ulegnie awarii lub straci po³±czenie z sieci±, wszystkie zapytania bêd± kierowane do innych serwerów. Oczywi¶cie taki schemat nie zabezpiecza przed pomy³kami (wynikaj±cymi z b³êdów w oprogramowaniu lub w samym programie serwera), które powoduj± b³êdne odpowiedzi na wszystkie zapytania DNS.
Mo¿esz tak¿e uruchomiæ serwer nazw, który nie jest autorytatywny dla danej domeny**. Jest to przydatne, gdy¿ taki serwer bêdzie w stanie realizowaæ zapytania DNS dla aplikacji dzia³aj±cych w sieci lokalnej i zatrzyma informacje w pamiêci podrêcznej. St±d serwery takie s± nazywane serwerami pamiêci podrêcznej (ang. caching-only servers).
Baza danych DNS
Widzieli¶my, ¿e DNS nie tylko podaje adresy IP hostów, ale tak¿e wymienia informacje na temat serwerów nazw. Bazy danych DNS mog± mieæ w praktyce wiele ró¿nych typów wpisów.
Pojedyncza porcja informacji z bazy DNS nazywa siê rekordem zasobu (ang. resource record - RR). Ka¿dy rekord przynale¿y do jakiego¶ typu i klasy rekordów. Typ opisuje rodzaj danych reprezentowanych w rekordzie. Natomiast klasa okre¶la rodzaj sieci, jakiej dotyczy. Klasa s³u¿y do obs³ugi ró¿nych schematów adresowania, jak adresy IP (klasa IN), adresy Hesiod (u¿ywane przez system Kerberos MIT) i kilka innych. Prototypowym rekordem zasobu jest rekord A wi±¿±cy pe³n± nazwê domenow± z adresem IP.
Host mo¿e byæ znany pod wiêcej ni¿ jedn± nazw±. Na przyk³ad mo¿esz mieæ komputer, który posiada serwery FTP i WWW dostêpne pod dwoma nazwami: ftp.machine.org i www.machine.org. Jednak jedna z tych nazw musi byæ oficjaln± lub kanoniczn± nazw± hosta, natomiast pozosta³e s± po prostu jej aliasami. Ró¿nica polega na tym, ¿e kanoniczna nazwa hosta jest zwi±zana z rekordem A, natomiast pozosta³e maj± jedynie rekord typu CNAME, wskazuj±cy na nazwê kanoniczn±.
Nie bêdziemy tu przedstawiaæ wszystkich typów rekordów, ale podamy krótki przyk³ad. Przyk³ad 6-4 pokazuje czê¶æ bazy danych domeny, która jest ³adowana do serwerów nazw dla strefy physics.groucho.edu.
Przyk³ad 6-4. Fragment pliku named.hosts wydzia³u fizyki
; Authoritative Information on physics.groucho.edu.
@  IN SOA niels.physics.groucho.edu. janet.niels.physics.groucho.edu {
                 1999090200        ; numer wersji
                 360000            ; od¶wie¿anie
                 3600              ; ponowna próba
                 3600000           ; wyga¶niêcie
                 3600              ; domy¶lny ttl
                }
;
; serwery nazw
              IN   NS   niels
              IN   NS   gauss.maths.groucho.edu.
gauss.maths.groucho.edu. IN A 149.76.4.23
;
; fizyka teoretyczna (podsieæ 12)
niels         IN   A   149.76.12.1
              IN   A   149.76.1.12
name server   IN CNAME   niels
otto          IN   A   149.76.12.2
quark         IN   A   149.76.12.4
down          IN   A   149.76.12.5
strange       IN   A   149.76.12.6
...
; Laboratorium Collider (podsieæ 14)
boson         IN   A   149.76.14.1
muon          IN   A   149.76.14.7
bogon         IN   A   149.76.14.12
...

Poza rekordami A i CNAME, mo¿esz zobaczyæ na pocz±tku pliku specjalny rekord zajmuj±cy kilka wierszy. Jest to rekord zasobów SOA (lub krócej: rekord SOA); SOA to skrót od angielskiego start of authority - pocz±tek w³adzy). Rekord ten zawiera ogólne informacje o strefie, dla której serwer jest autorytatywny i sk³ada siê miêdzy innymi z domy¶lnego czasu ¿ycia odnosz±cego siê do wszystkich rekordów.
Zauwa¿, ¿e wszystkie nazwy w pliku przyk³adowym, które nie koñcz± siê kropk±, powinny byæ interpretowane wzglêdem domeny physics.groucho.edu. Nazwa specjalna (@) u¿yta w przyk³adowym rekordzie SOA odnosi siê do samej nazwy domeny.
Wcze¶niej zauwa¿yli¶my, ¿e serwery nazw domeny groucho.edu sk±d¶ wiedz± o strefie physics, tak ¿e mog± zadawaæ pytania do jej serwerów nazw. Zwykle robi siê to za pomoc± pary rekordów: rekordu NS, który podaje pe³n± nazwê domenow± serwera, i rekordu A, który wi±¿e adres z t± nazw±. Poniewa¿ te rekordy wi±¿± przestrzeñ nazw, czêsto s± nazywane rekordami klej±cymi (ang. glue records). S± to jedyne rekordy, w których strefa nadrzêdna w rzeczywisto¶ci przechowuje informacje o hostach strefy podrzêdnej. Rekordy klej±ce wskazuj± na serwery nazw domeny physics.groucho.edu, jak pokazano w przyk³adzie 6-5.
Przyk³ad 6-5.?Fragment pliku named.hosts z GMU 
; Dane dla strefy groucho.edu
@  IN  SOA vax12.gcc.groucho.edu. joe.vax12.gcc.groucho.edu. {
                      1999070100       ; numer wersji
                      360000           ; od¶wie¿anie
                      3600             ; ponowna próba
                      3600000          ; wyga¶niêcie
                      3600             ; domy¶lny ttl
              }
...
;
;rekordy klej±ce dla strefy physics.groucho.edu
physics           IN        NS      niels.physics.groucho.edu.
                  IN        NS      gauss.maths.groucho.edu.
niels.physics     IN        A       149.76.12.1
gauss.maths       IN        A       149.76.4.23
...
Wyszukiwanie odwrotne
Znajdowanie adresu IP nale¿±cego do hosta jest pewnie najpowszechniejszym zastosowaniem systemu nazw domen, ale czasem chcesz znale¼æ kanoniczn± nazwê hosta odpowiadaj±c± adresowi. Znajdowanie nazwy hosta jest nazywane odwzorowaniem odwrotnym (ang. reverse mapping) i jest u¿ywane przez pewne us³ugi sieciowe do weryfikacji to¿samo¶ci klienta. Wyszukiwanie odwrotne, przeprowadzane w oparciu o plik hosts, polega po prostu na przeszukaniu pliku i znalezieniu w nim hosta, do którego nale¿y poszukiwany adres IP. W przypadku DNS-u skrupulatne przeszukiwanie przestrzeni nazw jest wykluczone. Zamiast tego zosta³a stworzona specjalna domena in-addr.arpa, która zawiera adresy IP wszystkich hostów zapisane w odwrotnej notacji kropkowej. Na przyk³ad adres IP 149.76.12.4 odpowiada nazwie 4.12.76.149.in-addr.arpa. Rekord zasobu, który ³±cz± nazwy z odpowiadaj±cymi im kanonicznymi nazwami hostów, jest typu PTR.
Tworzenie zarz±dzanej przez nas strefy zwykle oznacza, ¿e jej administratorzy w pe³ni kontroluj± sposób przypisywania adresów do nazw. Poniewa¿ zwykle maj± w swoich rêkach jedn± lub wiêcej sieci lub podsieci IP, odwzorowanie stref DNS na sieci IP jest typu jedna-na-wiele. Na przyk³ad wydzia³ fizyki zawiera podsieci 149.76.8.0, 149.76.12.0 i 149.76.14.0.

Oznacza to, ¿e wraz ze stref± physics w domenie in-addr.arpa musz± byæ stworzone i przekazane administratorom sieci na wydziale nowe strefy: 8.76.149.in-addr.arpa, 12.76.149.in-addr.arpa i 14.76.149.in-addr.arpa. W przeciwnym razie dodanie nowego hosta w laboratorium Collider wymaga³oby skontaktowania siê z domen± nadrzêdn± i wprowadzenia nowego adresu do pliku strefy in-addr.arpa.
Baza danych strefy dla podsieci 12 zosta³a pokazana w przyk³adzie 6-6. Odpowiednie rekordy klej±ce w bazie danych strefy nadrzêdnej zosta³y pokazane w przyk³adzie 6-7.
Przyk³ad 6-6. Fragment z pliku named.rev dla podsieci 12
; domena 12.76.149.in-addr.arpa
@  IN SOA  niels.physics.groucho.edu. janet.niels.physics.groucho.edu. {
                   1999090200 360000 3600 3600000 3600
            }
2      IN PTR           otto.physics.groucho.edu.
4      IN PTR           quark.physics.groucho.edu.
5      IN PTR           down.physics.groucho.edu.
6      IN PTR           strange.physics.groucho.edu.

Przyk³ad 6-7. Fragment pliku named.rev dla sieci 149.76
; domena 76.149.in-addr.arpa
@  IN SOA  vax12.gcc.groucho.edu. joe.vax12.gcc.groucho.edu. {
                      1999070100 360000 3600 3600000 3600
                   }
...
; posieæ 4: wydzia³ matematyki
1.4         IN   PTR         sophus.maths.groucho.edu.
17.4        IN   PTR         erdos.maths.groucho.edu.
23.4        IN   PTR         gauss.maths.groucho.edu.
...
; podsieæ 12: wydzia³ fizyki, oddzielna strefa
12          IN   NS          niels.physics.groucho.edu.
            IN   NS          gauss.maths.groucho.edu.
niels.physics.groucho.edu.   IN A 149.76.12.1
gauss.maths.groucho.edu.     IN A 149.76.4.23
...

Strefy systemu in-addr.arpa mog± byæ tworzone tylko jako nadzbiory sieci IP. Jeszcze powa¿niejszym ograniczeniem jest to, ¿e maski tych sieci musz± przestrzegaæ granic bajtowych*. Wszystkie podsieci uniwersytetu Groucho Marx maj± maskê sieci 255.255.255.0, a wiêc strefa in-addr.arpa mo¿e byæ utworzona dla ka¿dej podsieci. Jednak, gdyby maska mia³a postaæ 255.255.255.128, utworzenie stref dla podsieci 149.76.12.128 by³oby niemo¿liwe, poniewa¿ nie ma sposobu na poinformowanie DNS-u, ¿e domena 12.76.149.in-addr.arpa zosta³a podzielona na dwie strefy, gdzie hosty maj± numery odpowiednio z zakresów: od 1 do 127 i od 128 do 255.

Eksploatacja named
named (wymawiaj: nejm-di) umo¿liwia korzystanie z us³ugi DNS na wiêkszo¶ci komputerów uniksowych. Jest to program serwera, oryginalnie stworzony dla BSD, który s³u¿y do udostêpniania us³ug nazewniczych klientom oraz innym serwerom nazw. Przez jaki¶ czas by³ u¿ywany BIND w wersji 4, obecny w wielu dystrybucjach Linuksa. Nowa wersja, o numerze 8 zosta³a wprowadzona w wiêkszo¶ci dystrybucji Linuksa i znacznie ró¿ni siê od poprzednich wersji*. Ma wiele nowych funkcji, takich jak dynamiczne uaktualnianie DNS-u, powiadomienie o zmianach w DNS-ie, lepsza wydajno¶æ i nowa sk³adania pliku konfiguracyjnego. Szczegó³y znajdziesz w dokumentacji za³±czonej do pakietu dystrybucyjnego.
Ten podrozdzia³ wymaga rozumienia dzia³ania DNS-u. Je¿eli czujesz siê jak na tureckim kazaniu, mo¿e warto ponownie siêgn±æ do poprzedniego podrozdzia³u Jak dzia³a DNS.
named zwykle jest uruchamiany w czasie startu systemu i dzia³a a¿ do zatrzymania maszyny. Implementacje wcze¶niejszych wersji BIND pobiera³y swoje informacje z pliku konfiguracyjnego /etc/named.boot i ró¿nych plików zawieraj±cych odwzorowania nazw domen na adresy. Te ostatnie s± nazywane plikami stref. Wersje BIND od wersji 8 wzwy¿ wykorzystuj± natomiast plik o nazwie /etc/named.conf.
Aby uruchomiæ named, wprowad¼:

# /usr/sbin/named

named uruchomi siê i odczyta plik named.boot oraz pliki stref w nim wskazane. Zapisze ID swojego procesu w postaci pliku ASCII o nazwie /var/run/named.pid, ¶ci±gnie wszelkie pliki stref z serwerów podstawowych, o ile bêdzie taka potrzeba, i zacznie nas³uchiwaæ na porcie 53, oczekuj±c na zapytania DNS.
Plik named.boot
Plik konfiguracyjny wcze¶niejszej wersji BIND mia³ bardzo prost± strukturê. Natomiast ten plik dla wersji 8. ma znacznie trudniejsz± sk³adniê, obs³uguj±c± wiele nowo wprowadzonych funkcji. Nazwa tego pliku zmieni³a siê z /etc/named.boot na /etc/named.conf . Skupimy siê na konfigurowaniu starszej wersji, poniewa¿ wiêkszo¶æ dystrybucji prawdopodobnie wci±¿ jeszcze jej u¿ywa, ale poka¿emy tak¿e równowa¿ny plik named.conf, ¿eby zilustrowaæ ró¿nice i powiemy, jak konwertowaæ stary format na nowy.
Plik named.boot jest generalnie niewielki i zawiera jedynie kilka wskazañ do plików g³ównych z informacjami o strefie i do innych serwerów. Komentarze rozpoczynaj± siê hashem (#) lub ¶rednikiem (;) i ci±gn± siê do nastêpnego wiersza. Zanim bardziej szczegó³owo omówimy format named.boot, przyjrzymy siê przyk³adowemu plikowi z hosta vlager pokazanemu w przyk³adzie 6-8.

Przyk³ad 6-8. Plik named.boot dla hosta vlager
;
; plik /etc/named.boot dla hosta vlager.vbrew.com
;
directory   /var/named
;
;           domena                   plik
;--------------------
cache       .                        named.ca
primary     vbrew.com                named.hosts
primary     0.0.127.in-addr.arpa     named.local
primary     16.172.in-addr.arpa      named.rev

Przyjrzyjmy siê kolejno ka¿dej dyrektywie. S³owo kluczowe directory informuje program named, ¿e wszystkie dalej wymienione pliki, czyli w tym przyk³adzie pliki stref, znajduj± siê w katalogu /var/named. W rezultacie jest nieco mniej pisania.
S³owo kluczowe primary widoczne w tym przyk³adzie ³aduje informacje do named. Informacje te s± brane z plików g³ównych podanych jako ostatnie parametry w wierszu. Te pliki zawieraj± rekordy zasobów DNS, którym przyjrzymy siê dalej.
W tym przyk³adzie skonfigurowali¶my named jako podstawowy serwer nazw dla trzech domen, co pokazuj± trzy dyrektywy primary. Pierwsza z nich nakazuje programowi named dzia³aæ jako podstawowy serwer dla domeny vbrew.com i odczytywaæ dane o strefie z pliku named.hosts.
S³owo kluczowe cache ma szczególne znaczenie i powinno byæ obecne na wszystkich komputerach, na których dzia³a serwer nazw. Powoduje ono, ¿e named w³±cza swoj± pamiêæ podrêczn± i ³aduje wskazania do serwera nazw domeny g³ównej (ang. root name server hints) z pliku pamiêci podrêcznej (w naszym przyk³adzie named.ca). Wrócimy do tego w poni¿szej li¶cie.
Oto lista najwa¿niejszych opcji, jakich mo¿esz u¿ywaæ w pliku named.boot:
directory

Ta opcja wyznacza katalog, w którym znajduj± siê pliki stref. Nazwy plików w innych opcjach mog± byæ podane wzglêdem tego katalogu. Wielokrotnie u¿ywaj±c dyrektywy directory, mo¿na okre¶liæ kilka katalogów. Standard systemu plików Linuksa mówi, ¿e powinno siê u¿ywaæ katalogu /var/named.
primary

Ta opcja przyjmuje jako argument nazwê domeny i nazwê pliku oraz mówi, ¿e lokalny serwer jest autorytatywny dla danej domeny. Jako serwer podstawowy, named ³aduje informacje o strefie z zadanego pliku g³ównego. 
W ka¿dym pliku boot bêdzie istnia³ przynajmniej jeden wpis primary dotycz±cy odwrotnego odwzorowania sieci 127.0.0.0 - lokalnej sieci pêtli zwrotnej.
secondary

Ta dyrektywa jest u¿ywana z nazw± domeny, list± adresów i nazw± pliku jako argumentami. Mówi, ¿e lokalny serwer jest serwerem zapasowym (ang. secondary master server) dla danej domeny.
Serwer zapasowy tak¿e zawiera autorytatywne dane o domenie, ale nie odczytuje ich z plików, tylko próbuje je ³adowaæ z serwera podstawowego. W li¶cie adresów nale¿y podaæ named przynajmniej jeden adres IP serwera podstawowego. Serwer lokalny kontaktuje siê kolejno z ka¿dym z nich, a¿ uda mu siê poprawnie skopiowaæ bazê danych stref, która nastêpnie jest zapisywana w pliku zapasowym o nazwie podanej jako trzeci argument. Je¿eli ¿aden z serwerów g³ównych nie odpowiada, dane o strefie s± odczytywane z pliku zapasowego.
named próbuje od¶wie¿aæ dane o strefie w regularnych odstêpach czasu. Proces ten wyja¶niamy dalej w po³±czeniu z rekordem zasobu SOA.
cache

Ta opcja wymaga podania nazwy domeny i nazwy pliku jako argumentów. Plik zawiera wskazania do serwerów nazw domeny g³ównej, czyli listê rekordów z ich nazwami. Rozpoznawane s± jedynie rekordy NS i A. domain powinno byæ ustawione na nazwê domeny g³ównej, czyli po prostu kropkê (.).
Ta informacja jest kluczowa dla named. Je¿eli w pliku startowym nie wystêpuje dyrektywa cache, named nie utworzy w ogóle lokalnej pamiêci podrêcznej. Taka sytuacja (brak tej funkcji) powa¿nie zmniejszy wydajno¶æ i zwiêkszy obci±¿enie sieci, je¿eli przepytywane serwery nie znajduj± siê w sieci lokalnej. Co wiêcej, named nie bêdzie w stanie skontaktowaæ siê z ¿adnym z serwerów nazw domeny g³ównej, a wiêc nie bêdzie móg³ rozwi±zaæ adresów innych, ni¿ te, dla których jest autorytatywny. Wyj±tkiem od tej regu³y s± serwery przekazuj±ce (ang. forwarding servers; zobacz opcja forwarders opisana poni¿ej).
forwarders

Ta dyrektywa wymaga jako argumentu listy adresów z separatorami w postaci bia³ych znaków. Adresy IP na tej li¶cie odpowiadaj± serwerom nazw, które named mo¿e pytaæ, je¿eli nie uda mu siê odpowiedzieæ na zapytanie na podstawie lokalnej pamiêci podrêcznej. S± one sprawdzane po kolei, a¿ który¶ odpowie na zapytanie. Zwykle w tym miejscu podajesz serwer nazw swojego dostawcy sieci lub inny dobrze znany serwer.
slave

Ta dyrektywa powoduje, ¿e serwer nazw jest definiowany jako serwer podleg³y (ang. slave server). Nigdy sam nie realizuje zapytañ rekurencyjnych, a jedynie przekazuje je do serwerów okre¶lonych w dyrektywie forwarders.
Istniej± dwie opcje, których tutaj nie opisujemy: sortlist i domain. W plikach baz danych mo¿na u¿ywaæ tak¿e dwóch innych dyrektyw: $INCLUDE i $ORIGIN. Poniewa¿ s± one rzadko potrzebne, nie opisujemy ich tutaj.
Plik host.conf dla wersji BIND 8
BIND w wersji 8 wprowadza szereg nowych funkcji i wraz z nimi now± sk³adniê pliku konfiguracyjnego. Plik named.boot ze swoimi prostymi, jednowierszowymi dyrektywami zosta³ zast±piony przez plik named.conf, który ma sk³adniê podobn± do gated, a wiêc przypominaj±c± sk³adniê pliku ¼ród³owego w jêzyku C.
Nowa sk³adnia jest bardziej skomplikowana, ale na szczê¶cie przygotowano narzêdzie, które automatycznie konwertuje star± sk³adniê na now±. W pakiecie ¼ród³owym BIND 8 dodano program named-bootconf.pl napisany w Perlu, który odczytuje istniej±cy plik named.boot z stdin i konwertuje go na równowa¿ny plik w formacie named.conf, wypisywany na stdout. Aby u¿yæ konwertera, musisz mieæ zainstalowany interpreter Perla.
Skryptu u¿ywa siê w nastêpuj±cy sposób:

# cd /etc
# named-bootconf.pl <named.boot >named.conf

Tworzy on plik named.conf, podobny do pokazanego w przyk³adzie 6-9. Usunêli¶my kilka pomocnych komentarzy, jakie dodaje skrypt, aby lepiej by³o widaæ prawie bezpo¶redni zwi±zek pomiêdzy star± i now± sk³adni±.
Przyk³ad 6-9. Równowa¿ny plik named.conf z serwera vlager dla wersji 8 BIND-a 
//
// plik /etc/named.boot dla serwera vlager.vbrew.com
options {
        directory "/var/named";
};

zone "." {
        type hint;
        file "named.ca";
};

zone "vbrew.com" {
        type master;
        file "named.hosts";
};

zone "0.0.127.in-addr.arpa" {
        type master;
        file "named.local";
};

zone "16.172.in-addr.arpa" {
        type master;
        file "named.rev";
};

Je¿eli przyjrzysz siê uwa¿niej, spostrze¿esz, ¿e ka¿da z jednowierszowych dyrektyw pliku named.boot zosta³a zamieniona w pliku named.conf na dyrektywê w stylu jêzyka C, ujêt± w nawiasy {}.
Komentarze, które w pliku named.boot by³y oznaczone ¶rednikiem (;), tutaj s± sygnalizowane dwoma uko¶nikami (//).
Dyrektywa directory zosta³a zamieniona na akapit options, w którym znajduje siê klauzula directory. 
Dyrektywy cache i primary zosta³y zamienione na akapity zone z klauzulami type, wskazuj±cymi odpowiednio na hint i master.
Pliki stref nie musz± byæ w ¿aden sposób modyfikowane. Ich sk³adnia pozostaje bez zmian.

Nowa sk³adnia pliku konfiguracyjnego pozwala na u¿ycie wielu opcji, których tutaj nie omawiali¶my. Je¿eli szukasz informacji na ich temat, najlepszym ¼ród³em jest dokumentacja dostarczana w pakiecie ¼ród³owym BIND-a w wersji 8.
Pliki bazy danych DNS
Pliki g³ówne zwi±zane z named, takie jak named.hosts, zawsze przynale¿± do jakiej¶ domeny, która nosi nazwê pocz±tkowej (ang. origin). Jest to nazwa domeny okre¶lona przez opcje cache i primary. W pliku g³ównym mo¿esz podawaæ nazwy domen i hostów wzglêdem tej domeny. Nazwy podane w pliku konfiguracyjnym s± traktowane jako bezwzglêdne, je¿eli koñcz± siê kropk± - w przeciwnym razie s± one odnoszone do domeny pocz±tkowej. Do samej domeny pocz±tkowej mo¿na siê odwo³ywaæ, u¿ywaj±c znaku (@).
Dane zawarte w pliku g³ównym s± podzielone na rekordy zasobów (ang. resource records - RR). RR s± najmniejszymi jednostkami informacji dostêpnymi przez DNS. Ka¿dy rekord zasobu ma typ. Rekordy typu A na przyk³ad wi±¿± nazwê hosta z adresem IP, a rekordy CNAME zawieraj± alias oficjalnej nazwy hosta. Mo¿esz to zobaczyæ w zamieszczonym dalej przyk³adzie 6-11, który pokazuje plik g³ówny named.hosts dla browaru wirtualnego.
Reprezentacja rekordu zasobu w plikach g³ównych ma wspólny format:

[domena] [ttl] [klasa] typ danerek

Pola s± oddzielane spacjami lub tabulatorami. Wpis mo¿e liczyæ kilka wierszy, je¿eli przed pierwszym nowym wierszem i po ostatnim polu pojawi± siê nawiasy klamrowe. Wszystko pomiêdzy ¶rednikiem a znakiem nowego wiersza jest ignorowane. Oto opis pól:
domena

Jest to nazwa domeny, której dotyczy wpis. Je¿eli nazwa domeny nie jest podana, uznaje siê, ¿e RR dotyczy domeny z poprzedniego RR.
ttl

Aby wymusiæ na resolverach usuwanie informacji po pewnym czasie, z ka¿dym RR jest zwi±zany czas ¿ycia (ttl). Pole ttl okre¶la, w sekundach, czas wa¿no¶ci informacji, liczony od momentu jej uzyskania z serwera. Jest to liczba dziesiêtna, maksymalnie o¶miocyfrowa.
Je¿eli nie zostanie podana warto¶æ ttl, przyjmowana jest domy¶lna warto¶æ pola minimum poprzedniego rekordu SOA.
klasa

Jest to klasa adresu, jak IN dla adresów IP czy HS dla obiektów z klasy Hesiod. W sieci TCP/IP musisz podawaæ IN.
Je¿eli nie zostanie podane pole klasy, przyjmowana jest klasa z poprzedniego RR.
typ  

To pole opisuje typ RR. Najczê¶ciej u¿ywane typy to A, SOA, PTR i NS. W dalszych podrozdzia³ach opisano ró¿ne typy RR.

danerek

To pole zawiera dane zwi±zane z RR. Format tego pola zale¿y od typu RR. W dalszej czê¶ci opiszemy oddzielnie ka¿dy RR.
Oto wybiórcza lista RR u¿ywanych w plikach g³ównych DNS. Istnieje jeszcze kilka innych rekordów, których nie bêdziemy tu opisywaæ, gdy¿ s± albo eksperymentalne, albo rzadko u¿ywane:
SOA

Ten RR opisuje strefê w³adzy (SOA oznacza "pocz±tek w³adzy"). Sygnalizuje, ¿e rekordy wystêpuj±ce po tym typie RR zawieraj± informacje autorytatywne dla domeny. Ka¿dy plik g³ówny wpisany w dyrektywie primary musi zawieraæ rekord SOA dla danej strefy. Dopuszczalne s± nastêpuj±ce pola:
origin

To pole zawiera kanoniczn± nazwê hosta podstawowego serwera nazw dla tej domeny, zwykle pisan± w postaci nazwy bezwzglêdnej.
contact

To pole to adres e-mail osoby odpowiedzialnej za utrzymanie domeny; w tym adresie znak @ zosta³ zast±piony kropk±. Na przyk³ad, gdyby osob± odpowiedzialn± za browar wirtualny by³a janet, pole mia³oby postaæ janet.vbrew. com.
serial

To pole zawiera numer wersji pliku strefy wyra¿ony w postaci jednej liczby dziesiêtnej. Gdy dane w pliku strefy zostan± zmienione, numer ten powinien zostaæ zwiêkszony. Przyjê³o siê, ¿e numer ten to data ostatniego uaktualnienia z dodanym numerem wersji - na wypadek kilku uaktualnieñ w ci±gu dnia. Na przyk³ad 2000012600 oznacza uaktualnienie numer 00 z dnia 26 stycznia 2000 roku.
Numer jest u¿ywany przez zapasowe serwery nazw do rozpoznawania zmian w informacjach o strefie. Aby byæ na bie¿±co, serwery zapasowe co jaki¶ czas odczytuj± rekord SOA serwerów podstawowych i porównuj± numer z w³asnym rekordem SOA. Je¿eli numer siê zmieni³, serwery zapasowe ¶ci±gaj± ca³± bazê danych z serwera podstawowego.
refresh

To pole okre¶la w sekundach, co jaki czas serwery zapasowe powinny sprawdzaæ rekord SOA serwera podstawowego. Znów jest to liczba dziesiêtna z³o¿ona maksymalnie z o¶miu cyfr.
Ogólnie rzecz bior±c topologia sieci nie zmienia siê zbyt czêsto, a wiêc ta liczba powinna byæ ustawiona na oko³o jeden dzieñ w przypadku wiêkszych sieci, a nawet d³u¿ej w przypadku mniejszych sieci.
retry

Ta liczba okre¶la odstêpy czasu, w których serwer zapasowy powinien próbowaæ kontaktowaæ siê z serwerem podstawowym, je¿eli nie uda siê mu od¶wie¿yæ danych o strefie. Nie mo¿e byæ ona zbyt ma³a, gdy¿ w razie chwilowej awarii serwera lub sieci serwer zapasowy bêdzie marnowa³ zasoby sieciowe. Zaleca siê odstêpy godzinne lub pó³godzinne. 
expire

To pole okre¶la czas w sekundach, po którym serwer zapasowy powinien ostatecznie usun±æ wszystkie dane o strefie, je¿eli nie by³ w stanie skontaktowaæ siê z serwerem g³ównym. Zwykle powiniene¶ zdefiniowaæ to pole na przynajmniej tydzieñ (604 800 sekund), ale wyd³u¿enie do miesi±ca lub wiêksze, tak¿e ma sens.
minimum

To pole zawiera domy¶ln± warto¶æ ttl dla rekordów zasobów, które nie definiuj± jej jawnie. Warto¶æ ttl okre¶la maksymalny czas, przez jaki inne serwery nazw mog± trzymaæ RR w swojej pamiêci podrêcznej. Czas ten dotyczy tylko zwyk³ych poszukiwañ i nie ma nic wspólnego z czasem, po którym serwery zapasowe powinny próbowaæ uaktualniæ swoje informacje o strefie.
Je¿eli topologia twojej sieci nie zmienia siê czêsto, wystarczy, ¿e ustawisz ttl na tydzieñ, a nawet d³u¿szy okres czasu. Je¿eli pojedynczy rekord RR zmienia siê czêsto, zawsze mo¿esz przypisaæ mu indywidualnie ma³y ttl. Je¿eli twoja sieæ zmienia siê czêsto, mo¿esz zechcieæ ustawiæ minimum na jeden dzieñ (86 400 sekund).
A

Ten rekord wi±¿e adres IP z nazw± hosta. Pole danych zasobu zawiera adres w notacji kropkowej.
Mo¿e istnieæ tylko jeden rekord A dla danego hosta. Nazwa hosta u¿ywana w rekordzie A jest uznawana za oficjaln±, inaczej kanoniczn±, nazwê hosta. Wszystkie pozosta³e nazwy hosta to aliasy, które musz± byæ odwzorowane na nazwê kanoniczn± za pomoc± rekordu CNAME. Je¿eli nazwa kanoniczna naszego hosta brzmia³aby vlager, mieliby¶my rekord A wi±¿±cy tê nazwê z adresem IP tego hosta. Poniewa¿ czasem chcemy zwi±zaæ z adresem tak¿e inn± nazwê, powiedzmy news, mamy mo¿liwo¶æ stworzenia rekordu CNAME, który wi±¿e nazwê alternatywn± z nazw± kanoniczn±. Wiêcej na temat rekordów CNAME powiemy ju¿ wkrótce.
NS

Rekordy NS s± u¿ywane do okre¶lenia podstawowego serwera strefy i wszystkich jej serwerów zapasowych. Rekord NS wskazuje na g³ówny serwer nazw danej strefy, a pole danych zasobu zawiera nazwê tego serwera.
Z rekordami NS spotkasz siê w dwóch sytuacjach: po pierwsze, je¿eli przekazujesz w³adzê strefie podrzêdnej, a po drugie, w g³ównej bazie danych samej strefy podrzêdnej. Zestaw serwerów podanych w obu strefach (nadrzêdnej i podrzêdnej) powinien byæ taki sam.
Rekord NS okre¶la nazwê podstawowego i zapasowego serwera nazw dla strefy. Nazwy te musz± byæ zamienione na adresy, aby mo¿na by³o z nich korzystaæ. Czasami serwery nale¿± do domeny, któr± obs³uguj±, co rodzi problem "jajka i kury". Nie mo¿emy znale¼æ adresu, dopóki serwer nazw jest nieosi±galny, ale te¿ nie mo¿emy dotrzeæ do serwera nazw, dopóki nie znajdziemy jego adresu. Aby rozwi±zaæ ten dylemat, mo¿emy skonfigurowaæ specjalne rekordy A bezpo¶rednio w serwerze nazw strefy nadrzêdnej. Rekordy A pozwalaj± serwerom nazw domeny nadrzêdnej rozwi±zywaæ adresy IP serwerów strefy podrzêdnej. Te rekordy s± powszechnie nazywane rekordami klej±cymi, poniewa¿ daj± mo¿liwo¶æ powi±zania strefy podrzêdnej z jej stref± nadrzêdn±.
CNAME

Ten rekord wi±¿e alias z kanoniczn± nazw± hosta. Udostêpnia on alternatywn± nazwê, za pomoc± której u¿ytkownicy mog± odwo³ywaæ siê do hosta, którego nazwa kanoniczna jest podana jako parametr. Kanoniczna nazwa hosta to taka, dla której w pliku g³ównym istnieje rekord A. Aliasy s± po prostu zwi±zane z t± nazw± poprzez rekord CNAME, ale nie maj± innych w³asnych rekordów.
PTR

Ten typ rekordu jest u¿ywany do powi±zania nazw w domenie in-addr.arpa z nazwami hostów. S³u¿y do odwrotnego odwzorowania adresów IP na nazwy hostów. Podana nazwa hosta musi byæ nazw± kanoniczn±.
MX

Ten RR okre¶la host wymieniaj±cy pocztê (ang. mail exchanger) dla domeny. Hosty wymieniaj±ce pocztê s± omówione w rozdziale 17, Poczta elektroniczna. Sk³adnia rekordu MX jest nastêpuj±ca:

[domena] [ttl] [klasa] MX priorytet host

Host to nazwa hosta wymieniaj±cego pocztê dla domeny. Z ka¿dym hostem wymieniaj±cym pocztê zwi±zany jest priorytet. Agent transportowy poczty, który chce dostarczyæ pocztê do domeny, sprawdza wszystkie hosty, które dla danej domeny maj± rekord MX, a¿ mu siê uda z jakim¶ skontaktowaæ. Najpierw jest sprawdzany host o najni¿szym priorytecie, a nastêpnie pozosta³e - w rosn±cej kolejno¶ci priorytetów.
HINFO

Ten rekord zawiera informacje o sprzêcie i oprogramowaniu systemu. Sk³adnia jest nastêpuj±ca:

[domena] [ttl] [klasa] HINFO sprzêt oprogramowanie

Pole sprzêt identyfikuje sprzêt u¿ywany w danym ho¶cie. Do jego opisania stosowane s± specjalne konwencje. Lista dopuszczalnych "nazw maszyn" jest podana w RFC Assigned Numbers (RFC-1700). Je¿eli pole zawiera spacje, musi byæ ujête w cudzys³ów. Pole oprogramowanie opisuje system operacyjny u¿ywany przez dany host. Znów dopuszczalne nazwy s± opisane w RFC Assigned Numbers.
Rekord HINFO opisuj±cy komputer oparty na procesorze Intel z zainstalowanym Linuksem powinien wygl±daæ nastêpuj±co:

tao   36500   IN HINFO   IBM-PC   LINUX2.2

Natomiast rekord HINFO dla Linuksa dzia³aj±cego na komputerze z procesorem Motorola 68000 móg³by wygl±daæ tak:

cevad     36500   IN HINFO    ATARI-104ST  LINUX2.0
jedd      36500   IN HINFO    AMIGA-3000   LINUX2.0
Konfiguracja named jako serwera pamiêci podrêcznej
Istnieje szczególny typ konfiguracji named, który nale¿y omówiæ, zanim wyja¶nimy, jak w pe³ni skonfigurowaæ serwer nazw. Jest to konfiguracja serwera pamiêci podrêcznej. W rzeczywisto¶ci nie obs³uguje on domeny, ale dzia³a jako przeka¼nik dla wszystkich zapytañ DNS wygenerowanych przez hosty. Zalet± takiego schematu jest tworzenie pamiêci podrêcznej, a wiêc tylko pierwsze zapytanie o zadane hosty jest w rzeczywisto¶ci wysy³ane do serwera nazw w Internecie. Odpowiedzi na wszelkie powtórne zapytania bêd± wys³ane bezpo¶rednio z pamiêci podrêcznej twojego lokalnego serwera nazw. Mo¿e teraz nie wydaje siê to zbyt u¿yteczne, ale zmienisz zdanie, je¿eli zaczniesz ³±czyæ siê z Internetem przez telefon, co opisano w rozdziale 7, IP ³±cza szeregowego, i rozdziale 8, Protokó³ punkt-punkt.
Plik named.boot dla serwera pamiêci podrêcznej wygl±da nastêpuj±co:

; plik named.boot dla serwera pamiêci podrêcznej
directory                            /var/named
primary      0.0.127.in-addr.arpa    named.local  ; sieæ hosta lokalnego
cache      .                         named.ca     ; serwery domeny g³ównej

Poza powy¿szym plikiem named.boot, musisz te¿ skonfigurowaæ plik named.ca, w którym bêdzie siê znajdowa³a poprawna lista serwerów nazw domeny g³ównej. Mo¿esz skopiowaæ i wykorzystaæ do tego celu przyk³ad 6-10. Do konfiguracji serwera nazw jako serwera pamiêci podrêcznej nie s± potrzebne ¿adne inne pliki.
Tworzenie plików g³ównych
Przyk³ady od 6-10 do 6-13 pokazuj± przyk³adowe pliki serwera nazw sieci browaru, umieszczonego na ho¶cie vlager. Ze wzglêdu na charakter omawianej sieci (pojedyncza sieæ lokalna) przyk³ad jest do¶æ prosty.
Plik pamiêci podrêcznej named.ca, podany jako przyk³ad 6-10, pokazuje przyk³adowe rekordy wskazuj±ce serwer nazw domeny g³ównej. Typowy plik pamiêci podrêcznej zwykle zawiera listê kilku serwerów. Aktualn± listê serwerów nazw domeny g³ównej mo¿esz uzyskaæ za pomoc± narzêdzia nslookup opisanego w nastêpnym podrozdziale*.

Przyk³ad 6-10. Plik named.ca
;
; /var/named/named.ca   Plik pamiêci podrêcznej dla browaru.
;         Nie jeste¶my pod³±czeni do Internetu, a wiêc
;         nie potrzebujemy ¿adnych serwerów nazw domeny
;         g³ównej. Aby uaktywniæ te rekordy, usuñ ¶redniki.
;
;.                     3600000   IN  NS     A.ROOT-SERVERS.NET.
;A.ROOT-SERVERS.NET.   3600000       A      198.41.0.4
;.                     3600000   IN  NS     B.ROOT-SERVERS.NET.
;B.ROOT-SERVERS.NET.   3600000       A      128.9.0.107
;.                     3600000   IN  NS     C.ROOT-SERVERS.NET.
;C.ROOT-SERVERS.NET.   3600000       A      192.33.4.12
;.                     3600000   IN  NS     D.ROOT-SERVERS.NET.
;D.ROOT-SERVERS.NET.   3600000       A      128.8.10.90
;.                     3600000   IN  NS     E.ROOT-SERVERS.NET.
;E.ROOT-SERVERS.NET.   3600000       A      192.203.230.10
;.                     3600000   IN  NS     F.ROOT-SERVERS.NET.
;F.ROOT-SERVERS.NET.   3600000       A      192.5.5.241
;.                     3600000   IN  NS     G.ROOT-SERVERS.NET.
;G.ROOT-SERVERS.NET.   3600000       A      192.112.36.4
;.                     3600000   IN  NS     H.ROOT-SERVERS.NET.
;H.ROOT-SERVERS.NET.   3600000       A      128.63.2.53
;.                     3600000   IN  NS     I.ROOT-SERVERS.NET.
;I.ROOT-SERVERS.NET.   3600000       A      192.36.148.17
;.                     3600000   IN  NS     J.ROOT-SERVERS.NET.
;J.ROOT-SERVERS.NET.   3600000       A      198.41.0.10
;.                     3600000   IN  NS     K.ROOT-SERVERS.NET.
;K.ROOT-SERVERS.NET.   3600000       A      193.0.14.129
;.                     3600000   IN  NS     L.ROOT-SERVERS.NET.
;L.ROOT-SERVERS.NET.   3600000       A      198.32.64.12
;.                     3600000   IN  NS     M.ROOT-SERVERS.NET.
;M.ROOT-SERVERS.NET.   3600000       A      202.12.27.33
;
Przyk³ad 6-11. Plik named.hosts
;
; /var/named/named.hosts      Hosty lokalne w browarze
;                              domena vbrew.com
;
@         IN SOA   vlager.vbrew.com. janet.vbrew.com {
                    2000012601 ; numer kolejny
                    86400      ; od¶wie¿anie:   raz dziennie
                    3600       ; ponowna próba: co godzinê
                    3600000    ; wyga¶niêcie:   42 godziny
                    604800     ; minimum:       1 tydzieñ
                    }
           IN NS    vlager.vbrew.com.
;
; poczta lokalna jest dystrybuowana na vlager
           IN MX    10 vlager
;
; adres pêtli zwrotnej
localhost. IN A     127.0.0.1
;
; Ethernet browaru wirtualnego
vlager     IN A     172.16.1.1
vlager-if1   IN CNAME   vlager
; vlager to tak¿e serwer grup dyskusyjnych
news         IN CNAME   vlager
vstout       IN A       172.16.1.2
vale         IN A       172.16.1.3
;
; Ethernet winiarni wirtualnej
vlager-if2   IN A       172.16.2.1
vbardolino   IN A       172.16.2.2
vchianti     IN A       172.16.2.3
vbeaujolais  IN A       172.16.2.4
;
; Ethernet wirtualnej fabryki napojów alkoholowych 
; (dodatkowych)
vbourbon     IN A       172.16.3.1
vbourbon-if1 IN CNAME   vbourbon
Przyk³ad 6-12. Plik named.local
;
; /var/named/named.local      Odwzorowanie odwrotne sieci 127.0.0
;                             domena pocz±tkowa 0.0.127.in-addr.arpa.
;
@            IN SOA   vlager.vbrew.com. joe.vbrew.com. {
                      1          ; numer kolejny
                      360000     ; od¶wie¿anie:   co 100 godzin
                      3600       ; ponowna próba: co godzinê
                      3600000    ; wyga¶niêcie:   42 dni
                      360000     ; minimum:       100 godzin
                      }
             IN NS    vlager.vbrew.com.
1            IN PTR   localhost.
Przyk³ad 6-13. Plik named.rev
;
; /var/named/named.rev   Odwzorowanie odwrotne naszych adresów IP
;                        domena pocz±tkowa to 16.172.in-addr.arpa.
;
@            IN SOA   vlager.vbrew.com. joe.vbrew.com. {
                      16         ; numer kolejny
                      86400      ; od¶wie¿anie:   raz dziennie
                      3600       ; ponowna próba: co godzinê
                      3600000    ; wyga¶niêcie:   42 dni
                      604800     ; minimum:       1 tydzieñ
                      }
             IN NS    vlager.vbrew.com.

; browar
1.1          IN PTR   vlager.vbrew.com.
2.1          IN PTR   vstout.vbrew.com.
3.1          IN PTR   vale.vbrew.com.
; winiarnia
1.2          IN PTR   vlager-if2.vbrew.com.
2.2          IN PTR   vbardolino.vbrew.com.
3.2          IN PTR   vchianti.vbrew.com.
4.2          IN PTR   vbeaujolais.vbrew.com.

Weryfikowanie konfiguracji serwera nazw
nslookup jest doskona³ym narzêdziem do sprawdzania dzia³ania twojego serwera nazw. Mo¿na go u¿ywaæ zarówno interaktywnie z monitem, jak i w formie polecenia natychmiast wypisuj±cego wynik. W tym ostatnim przypadku po prostu wywo³ujesz polecenie tak:

$ nslookup nazwahosta

nslookup zadaje zapytanie o nazwêhosta do serwera nazw okre¶lonego w pliku resolv.conf. (Je¿eli w pliku znajduje siê wiêcej ni¿ jeden serwer, nslookup wybiera jaki¶ losowo).
Jednak tryb interaktywny jest du¿o ciekawszy. Poza poszukiwaniem poszczególnych hostów, mo¿esz zadawaæ zapytania o dowolny typ rekordu DNS i przesy³aæ ca³e informacje o strefie dla danej domeny.
Po wywo³aniu nslookup bez argumentów, wy¶wietla on u¿ywany serwer nazw i przechodzi do trybu interaktywnego. Po monicie > mo¿esz wpisaæ nazwê domeny, o któr± chcesz pytaæ. Domy¶lnie zadawane s± zapytania o klasê rekordów A - tych zawieraj±cych adres IP odnosz±cy siê do nazwy domeny.
Innych typów rekordów mo¿esz poszukaæ nastêpuj±co:

> set type=typ

gdzie typ to jedna z nazw rekordu zasobu opisanych wcze¶niej lub dyrektywa ANY.
Mo¿na sobie wyobraziæ nastêpuj±c± sesjê z programem nslookup:

$ nslookup
Default Server: tao.linux.org.au
Address: 203.41.101.121

> metalab.unc.edu
Server: tao.linux.org.au
Address: 203.41.101.121
Name: metalab.unc.edu
Address: 152.2.254.81

>

Wynik najpierw pokazuje serwer DNS, do którego s± kierowane zapytania, a nastêpnie odpowied¼ na zapytanie.
Je¿eli spróbujesz zapytaæ o nazwê, z któr± nie jest zwi±zany adres IP, ale w bazie DNS znajduj± siê inne rekordy, nslookup zwróci komunikat o tre¶ci No type A records found. (nie znaleziono rekordów typu A). Jednak mo¿esz zadaæ zapytanie nie tylko o rekordy A - trzeba tylko wydaæ polecenie set type. Aby uzyskaæ rekord SOA z domeny unc.edu, musisz napisaæ:

> unc.edu
Server: tao.linux.org.au
Address: 203.41.101.121

*** No address (A) records available for unc.edu
> set type=SOA
> unc.edu
Server: tao.linux.org.au
Address: 203.41.101.121

unc.edu
      origin = ns.unc.edu
      mail addr = host-reg.ns.unc.edu
      serial = 1998111011
      refresh = 14400 (4H)
      retry = 3600 (1H)
      expire = 1209600 (2W)
      minimum ttl = 86400 (1D)
unc.edu name server = ns2.unc.edu
unc.edu name server = ncnoc.ncren.net
unc.edu name server = ns.unc.edu
ns2.unc.edu       internet address = 152.2.253.100
ncnoc.ncren.net   internet address = 192.101.21.1
ncnoc.ncren.net   internet address = 128.109.193.1
ns.unc.edu        internet address = 152.2.21.1

W podobny sposób mo¿esz zapytaæ o rekordy MX:

> set type=MX
> unc.edu
Server: tao.linux.org.au
Address: 203.41.101.121

unc.edu preference = 0, mail exchanger = conga.oit.unc.edu
unc.edu preference = 10, mail exchanger = imsety.oit.unc.edu
unc.edu name server = ns.unc.edu
unc.edu name server = ns2.unc.edu
unc.edu name server = ncnoc.ncren.net
conga.oit.unc.edu    internet address = 152.2.22.21
imsety.oit.unc.edu   internet address = 152.2.21.99
ns.unc.edu           internet address = 152.2.21.1
ns2.unc.edu          internet address = 152.2.253.100
ncnoc.ncren.net      internet address = 192.101.21.1
ncnoc.ncren.net      internet address = 128.109.193.1

U¿ycie typu ANY zwróci wszystkie rekordy zasobów zwi±zane z dan± nazw±.
Innym praktycznym zastosowaniem nslookup, poza debugowaniem, jest uzyskiwanie aktualnej listy serwerów nazw domeny g³ównej. W tym celu nale¿y zadaæ zapytanie o wszystkie rekordy NS zwi±zane z domen± g³ówn±.

> set type=NS
> .
Server: tao.linux.org.au
Address: 203.41.101.121

Non-authoritative answer:
(root)   name server = A.ROOT-SERVERS.NET
(root)   name server = H.ROOT-SERVERS.NET
(root)   name server = B.ROOT-SERVERS.NET
(root)   name server = C.ROOT-SERVERS.NET
(root)   name server = D.ROOT-SERVERS.NET
(root)   name server = E.ROOT-SERVERS.NET
(root)   name server = I.ROOT-SERVERS.NET
(root)   name server = F.ROOT-SERVERS.NET
(root)   name server = G.ROOT-SERVERS.NET
(root)   name server = J.ROOT-SERVERS.NET
(root)   name server = K.ROOT-SERVERS.NET
(root)   name server = L.ROOT-SERVERS.NET
(root)   name server = M.ROOT-SERVERS.NET

Authoritative answers can be found from:
A.ROOT-SERVERS.NET   internet address = 198.41.0.4
H.ROOT-SERVERS.NET   internet address = 128.63.2.53
B.ROOT-SERVERS.NET   internet address = 128.9.0.107
C.ROOT-SERVERS.NET   internet address = 192.33.4.12
D.ROOT-SERVERS.NET   internet address = 128.8.10.90
E.ROOT-SERVERS.NET   internet address = 192.203.230.10
I.ROOT-SERVERS.NET   internet address = 192.36.148.17
F.ROOT-SERVERS.NET   internet address = 192.5.5.241
G.ROOT-SERVERS.NET   internet address = 192.112.36.4
J.ROOT-SERVERS.NET   internet address = 198.41.0.10
K.ROOT-SERVERS.NET   internet address = 193.0.14.129
L.ROOT-SERVERS.NET   internet address = 198.32.64.12
M.ROOT-SERVERS.NET   internet address = 202.12.27.33

Aby zobaczyæ pe³ny zestaw dostêpnych poleceñ, u¿yj w nslookup komendy help.
Inne przydatne narzêdzia
Istnieje kilka narzêdzi, które mog± pomóc w wype³nianiu obowi±zków administratora BIND. Pokrótce opiszemy dwa z nich. Wiêcej informacji na ten temat znajdziesz w do³±czonej do nich dokumentacji.
hostcvt pomaga we wstêpnej konfiguracji BIND, konwertuj±c plik /etc/hosts na pliki g³ówne dla named. Program generuje wpisy normalne (A) i odwrotne (PTR); obs³uguje tak¿e aliasy. Oczywi¶cie nie zrobi za ciebie wszystkiego, gdy¿ musisz chocia¿by dopasowaæ warto¶ci czasów w rekordzie SOA, czy dodaæ rekordy MX. Ale i tak zaoszczêdzisz sobie kilku tabletek od bólu g³owy. hostcvt jest czê¶ci± pakietu BIND, ale w linuksowych o¶rodkach FTP mo¿na go znale¼æ tak¿e w postaci samodzielnego programu.
Po skonfigurowaniu swojego serwera nazw, na pewno bêdziesz chcia³ sprawdziæ jego konfiguracjê. Istniej± dobre narzêdzia, które znacznie u³atwiaj± to zadanie: pierwszym z nich jest dnswalk - pakiet w jêzyku Perl. Drugi nazywa siê nslint. Oba programy przegl±daj± bazê DNS w poszukiwaniu popularnych b³êdów i weryfikuj±, czy znalezione informacje s± spójne. Dwa inne przydatne narzêdzia to: host i dig - s± to narzêdzia ogólnego przeznaczenia do zadawania zapytañ do bazy DNS. Mo¿esz je wykorzystaæ do rêcznego sprawdzania i diagnozowania wpisów w bazie danych DNS.
Wymienione narzêdzia s± dostêpne w postaci pakietów. dnswalk i nslint s± dostêpne w postaci kodu ¼ród³owego pod adresami: http://www.visi.com/~barr/dnswalk/ i ftp://ftp.ee.lbl.gov/nslint.tar.Z. Kody ¼ród³owe narzêdzi host i dig mo¿na znale¼æ pod adresami ftp://ftp.nikhef.nl/pub/network/ i ftp://ftp.is.co.za/networking/ip/dns/dig/.


7
IP ³±cza szeregowego


Rozdzia³ 7: IP ³±cza szeregowego


Protoko³y pakietowe, takie jak IP czy IPX, dzia³aj± w oparciu o to, ¿e host odbieraj±cy wie, gdzie siê zaczyna i koñczy ka¿dy pakiet w strumieniu danych. Mechanizm u¿ywany do zaznaczania i wykrywania pocz±tku i koñca pakietów nazywa siê rozgraniczaniem (ang. delimitation). Za dzia³anie tego mechanizmu w sieciach lokalnych odpowiada protokó³ Ethernet, natomiast w ³±czach szeregowych - protoko³y SLIP i PPP. 
Stosunkowo ma³y koszt wolnych modemów komutowanych i sieci telefonicznych spowodowa³, ¿e protoko³y IP ³±cza szeregowego sta³y siê bardzo popularne, szczególnie do zapewniania ³±czno¶ci u¿ytkownikom koñcowym Internetu. Sprzêt potrzebny do uruchomienia SLIP czy PPP jest prosty i ³atwo dostêpny. Wystarczy mieæ modem i port szeregowy z buforem FIFO.
Protokó³ SLIP jest bardzo prosty w implementacji i swego czasu by³ popularniejszy ni¿ PPP. Obecnie jednak prawie ka¿dy chêtniej siêga po protokó³ PPP, który udostêpnia bardziej wyrafinowane funkcje. Wa¿niejszym z nich przyjrzymy siê pó¼niej.
Linux obs³uguje sterowniki dla protoko³ów SLIP i PPP oparte na j±drze. Sterowniki te, które powsta³y jaki¶ czas temu, s± stabilne oraz niezawodne. W tym i nastêpnym rozdziale omówimy oba protoko³y i sposób ich konfiguracji.
Wymagania ogólne
Aby korzystaæ z protoko³u SLIP lub PPP, musisz skonfigurowaæ podstawowe funkcje sieciowe opisane w poprzednich rozdzia³ach, a tak¿e interfejs pêtli zwrotnej i resolver. Przy pod³±czeniu do Internetu bêdziesz chcia³ korzystaæ z DNS-u. Mo¿liwo¶ci wyboru s± tu identyczne jak przy PPP: mo¿esz zadawaæ zapytania DNS, albo przez ³±cze szeregowe, je¶li wcze¶niej skonfigurujesz w pliku /etc/resolv.conf adres IP serwera nazw swojego dostawcy Internetu, albo konfiguruj±c serwer nazw pamiêci podrêcznej zgodnie z opisem w rozdziale 6.

Dzia³anie SLIP-a
Serwery IP pod³±czone do ³±cza komutowanego czêsto udostêpniaj± us³ugê SLIP przez specjalne konta u¿ytkowników. Po zalogowaniu siê na takie konto, nie dostajesz typowej pow³oki, tylko uruchamiany jest program lub skrypt pow³oki, który w³±cza sterownik SLIP serwera dla ³±cza szeregowego i konfiguruje odpowiedni interfejs sieciowy. Nastêpnie musisz zrobiæ to samo po swojej stronie ³±cza.
W niektórych systemach operacyjnych sterownik SLIP jest programem dzia³aj±cym w przestrzeni u¿ytkownika. W Linuksie jest to czê¶æ j±dra, co powoduje, ¿e dzia³a on du¿o szybciej. Prêdko¶æ ta jednak wymaga, by ³±cze szeregowe by³o jawnie prze³±czone w tryb SLIP. To prze³±czenie jest realizowane przez specjalny protokó³ obs³ugi ³±cza tty, SLIPDISC. Gdy tty jest w trybie normalnego protoko³u obs³ugi (DISC0), wymienia dane tylko z procesami u¿ytkownika, u¿ywaj±c zwyk³ych wywo³añ read(2) i write(2), a sterownik SLIP nie jest w stanie ani zapisywaæ do tty, ani z niego odczytywaæ. W trybie SLIPDISC role siê odwracaj±: teraz procesy przestrzeni u¿ytkownika s± blokowane przed zapisywaniem do tty lub odczytywaniem z niego, natomiast wszystkie dane przychodz±ce na port szeregowy s± przekazywane bezpo¶rednio do sterownika SLIP.
Sam sterownik SLIP jest w stanie pracowaæ z wieloma odmianami protoko³u SLIP. Poza zwyk³ym SLIP-em rozumie tak¿e CSLIP, który realizuje tak zwan± kompresjê nag³ówków Van Jacobsona wychodz±cych pakietów IP (opisan± w RFC-1144). Kompresja ta znacznie poprawia przepustowo¶æ ³±cza podczas sesji interaktywnych. Istniej± tak¿e sze¶ciobitowe wersje obu tych protoko³ów.
Prostym sposobem na prze³±czenie ³±cza szeregowego w tryb SLIP jest u¿ycie narzêdzia slattach. Za³ó¿my, ¿e twój modem jest ju¿ pod³±czony pod /dev/ttyS3 i poprawnie zalogowa³e¶ siê do serwera SLIP. Teraz musisz wydaæ polecenie:

# slattach /dev/ttyS3 &

Narzêdzie to prze³±czy protokó³ obs³ugi ttyS3 na SLIPDISC i pod³±czy urz±dzenie do jednego z interfejsów sieciowych SLIP. Je¿eli jest to twoje pierwsze aktywne ³±cze SLIP, zostanie ono pod³±czone do sl0. Drugie by³oby pod³±czone do sl1 i tak dalej. Aktualne j±dra obs³uguj± domy¶lnie maksymalnie 256 jednocze¶nie aktywnych ³±czy SLIP.
Domy¶lny protokó³ obs³ugi ³±cza wybierany przez slattach to CSLIP. Mo¿esz wybraæ dowolny inny, u¿ywaj±c prze³±cznika -p. Aby u¿yæ zwyk³ego SLIP-a (bez kompresji), wydaj polecenie:

# slattach -p slip /dev/ttyS3 &

Dostêpne protoko³y obs³ugi s± wymienione w tabeli 7-1. Masz tak¿e do dyspozycji specjalny pseudoprotokó³ obs³ugi o nazwie adaptive, który powoduje, ¿e j±dro automatycznie wykrywa, jaka enkapsulacja SLIP jest w³±czona po drugiej stronie.

Tabela 7-1.?Protoko³y obs³ugi SLIP w Linuksie
Protokó³ obs³ugi	Opis
slip	Tradycyjna enkapsulacja SLIP.
cslip	Enkapsulacja SLIP z kompresj± nag³ówków Van Jacobsona.
slip6	Enkapsulacja SLIP z kodowaniem 6-bitowym. Metoda kodowania jest
	podobna do u¿ywanej przez polecenie uuencode i powoduje, ¿e datagram
	SLIP jest konwertowany do drukowalnych znaków ASCII. Konwersja		ta jest przydatna, je¿eli nie masz 8-bitowego ³±cza szeregowego.
cslip6	Enkapsulacja SLIP z kompresj± nag³ówków Van Jacobsona i kodowaniem		6-bitowym.
adaptive	Nie jest to typowy protokó³ obs³ugi, ale powoduje, ¿e j±dro próbuje		zidentyfikowaæ protokó³ u¿ywany na odleg³ej maszynie i dopasowaæ		siê do niego.
Zauwa¿, ¿e musisz u¿ywaæ tej samej enkapsulacji co twój partner. Na przyk³ad, je¿eli host cowslip u¿ywa CSLIP, ty tak¿e musisz go u¿ywaæ. Gdyby twoje po³±czenie SLIP nie dzia³a³o, to przede wszystkim powiniene¶ sprawdziæ, czy oba koñce ³±cza uwzglêdni³y u¿ywanie kompresji nag³ówków. Je¿eli nie jeste¶ pewien, czego u¿ywa drugi koniec, spróbuj skonfigurowaæ swój host na adaptive slip. Byæ mo¿e j±dro prawid³owo odgadnie typ.
slattach pozwala ci na w³±czenie nie tylko SLIP-a, ale tak¿e innych protoko³ów wykorzystuj±cych ³±cze szeregowe, takich jak PPP czy KISS (inny protokó³ u¿ywany przez fanów ham radio). Mimo to nie jest powszechnie stosowany, gdy¿ s± lepsze narzêdzia do obs³ugi tych protoko³ów. Szczegó³y znajdziesz na stronie podrêcznika elektronicznego slattach(8).
Po prze³±czeniu ³±cza na sterownik SLIP, musisz skonfigurowaæ interfejs sieciowy. Znów, robisz to za pomoc± standardowych poleceñ ifconfig i route. Za³ó¿my, ¿e po³±czyli¶my siê telefonicznie z hosta vlager do serwera o nazwie cowslip. Na ho¶cie vlager powiniene¶ napisaæ:

# ifconfig sl0 vlager-slip pointopoint cowslip
# route add cowslip
# route add default gw cowslip

Pierwsze polecenie konfiguruje interfejs jako ³±cze punkt-punkt do cowslip, a nastêpne dwa polecenia dodaj± trasê do cowslip i trasê domy¶ln± wykorzystuj±c± cowslip jako gateway.
Warto zwróciæ uwagê na dwie rzeczy w wywo³aniu ifconfig: opcjê pointopoint okre¶laj±c± adres drugiego koñca ³±cza punkt-punkt i wykorzystanie vlager-slip jako adresu lokalnego interfejsu SLIP.
Wspomnieli¶my, ¿e dla ³±cza SLIP mo¿esz u¿yæ tego samego adresu, który przypisa³e¶ interfejsowi Ethernet na ho¶cie vlager. W tym przypadku vlager-slip móg³by byæ po prostu aliasem adresu 172.16.1.1. Jednak mo¿liwe jest równie¿ u¿ycie zupe³nie innego adresu dla ³±cza SLIP. Jedn± z takich sytuacji jest sieæ u¿ywaj±ca nie zarejestrowanego adresu IP sieci, tak jak siê to dzieje w naszym wirtualnym browarze. Powrócimy do tej sytuacji i opiszemy j± bardziej szczegó³owo w nastêpnym podrozdziale.
W pozosta³ej czê¶ci tego rozdzia³u zawsze bêdziemy u¿ywaæ vlager-slip, odwo³uj±c siê do adresu lokalnego interfejsu SLIP.
Przy wy³±czaniu ³±cza SLIP powiniene¶ najpierw usun±æ wszystkie trasy wiod±ce przez cowslip za pomoc± polecenia route z opcj± del, a nastêpnie zamkn±æ interfejs i wys³aæ programowi slattach sygna³ zawieszenia. Nastêpnie musisz roz³±czyæ modem, u¿ywaj±c ponownie programu swojego terminala:

# route del default
# route del cowslip
# ifconfig sl0 down
# kill -HUP 516

Pamiêtaj, aby 516 zast±piæ numerem ID procesu (pokazywanym w wyniku dzia³ania ps ax) polecenia slattach kontroluj±cego urz±dzenie slip, które chcesz zamkn±æ.
Korzystanie z sieci prywatnych
Pewnie pamiêtasz z rozdzia³u 5, Konfigurowanie sieci TCP/IP, ¿e browar wirtualny ma sieæ IP wykorzystuj±c± niezarejestrowane numery sieci zastrze¿one do u¿ytku wewnêtrznego. Pakiety kierowane z lub do tych sieci nie s± rutowane do Internetu. Gdyby vlager ³±czy³ siê z cowslip i dzia³a³ jako ruter dla sieci browaru wirtualnego, hosty w sieci browaru nie mog³yby siê bezpo¶rednio komunikowaæ z prawdziwymi hostami z Internetu, poniewa¿ ich pakiety by³yby po cichu odrzucane przez pierwszy powa¿niejszy ruter.
Aby rozwi±zaæ ten problem, skonfigurujemy vlager tak, aby dzia³a³ jako swego rodzaju przeka¼nik udostêpniaj±cy us³ugi internetowe. W ¶wiecie zewnêtrznym bêdzie siê on przedstawia³ jako normalny host pod³±czony do Internetu za po¶rednictwem protoko³u SLIP, z zarejestrowanym adresem IP (prawdopodobnie przypisanym przez dostawcê us³ug, do którego nale¿y cowslip). Ka¿dy, kto zaloguje siê do vlagera, mo¿e u¿ywaæ programów dzia³aj±cych w trybie tekstowym, takich jak ftp, telnet czy nawet lynx, i za ich pomoc± korzystaæ z Internetu. Ka¿dy, kto nale¿y do sieci lokalnej browaru wirtualnego, mo¿e zatem wywo³aæ telnet i zalogowaæ siê do vlagera, a nastêpnie u¿ywaæ na nim programów. Dla niektórych aplikacji mog± istnieæ rozwi±zania, które nie wymagaj± logowania siê do vlagera. Na przyk³ad w przypadku u¿ytkowników WWW mogliby¶my na ho¶cie vlager uruchomiæ tak zwany serwer proxy, który przekazywa³by wszystkie ¿±dania od u¿ytkowników do odpowiednich serwerów.
Wymóg zalogowania siê do vlagera celem korzystania z Internetu jest nieco niewygodny. Ale ma te¿ swoje zalety. Po pierwsze, eliminuje konieczno¶æ rejestrowania siê w sieci IP, co wymaga wype³niania papierów i jest kosztowne, a po drugie daje dodatkowe korzy¶ci przy konfigurowaniu firewalla. Firewalle s± dedykowanymi hostami, które daj±c ograniczony dostêp do Internetu u¿ytkownikom twojej sieci lokalnej, równocze¶nie zabezpieczaj± twoje wewnêtrzne hosty przed atakami ze ¶wiata zewnêtrznego. Prosta konfiguracja firewalla zosta³a szczegó³owo opisana w rozdziale 9, Firewall TCP/IP. W rozdziale 11, Maskowanie IP i translacja adresów sieciowych, omawiamy funkcjê Linuksa zwan± maskowaniem IP, które mo¿e byæ doskona³± alternatyw± dla serwerów proxy.
Za³ó¿my, ¿e browar ma przypisany adres IP 192.168.5.74 dla dostêpu przez SLIP. Aby uzyskaæ omówion± powy¿ej konfiguracjê, musisz jedynie wprowadziæ ten adres do pliku /etc/hosts z nazw± vlager-slip. Procedura w³±czenia interfejsu SLIP pozostaje bez zmian.
Korzystanie z polecenia dip
Dotychczas opisane czynno¶ci nie by³y trudne. Niemniej jednak zapewne wola³by¶ je zautomatyzowaæ. Du¿o lepiej by³oby mieæ proste polecenie, które realizuje wszystkie wymienione kroki niezbêdne do otworzenia urz±dzenia szeregowego, zadzwonienia do dostawcy, zalogowania siê, w³±czenia protoko³u obs³ugi SLIP i skonfigurowania interfejsu sieciowego. Takim poleceniem jest dip.
Nazwa dip to skrót od angielskiego terminu dialup IP (IP ³±cza komutowanego). Polecenie to zosta³o napisane przez Freda van Kempena i rozwiniête dosyæ znacznie przez wiele osób. Obecnie prawie wszyscy u¿ywaj± wersji dip337p-uri, która jest do³±czana do wiêkszo¶ci wspó³czesnych dystrybucji Linuksa, a tak¿e jest dostêpna w archiwum FTP metalab.unc.edu.
dip udostêpnia interpreter prostego jêzyka skryptowego, który mo¿e obs³u¿yæ modem, zmieniæ tryb SLIP i skonfigurowaæ interfejsy. Jêzyk skryptowy jest wystarczaj±co silny, by sprostaæ wiêkszo¶ci konfiguracji.
Aby skonfigurowaæ interfejs SLIP, dip potrzebuje przywilejów u¿ytkownika root. Mo¿e ciê kusiæ, aby nadaæ programowi dip prawo setuid root, tak by wszyscy u¿ytkownicy (bez konieczno¶ci posiadania uprawnieñ roota) mogli dzwoniæ do serwera SLIP. Jest to bardzo niebezpieczne, poniewa¿ ustawienie fa³szywych interfejsów i domy¶lnych tras za pomoc± polecenia dip mo¿e uszkodziæ ruting w twojej sieci. Co gorsza, da to twoim u¿ytkownikom mo¿liwo¶æ pod³±czenia siê do dowolnego serwera SLIP i wykonywania z twojej sieci niebezpiecznych ataków. Je¶li chcesz pozwoliæ u¿ytkownikom na uruchamianie po³±czenia SLIP, napisz ma³e programy dodatkowe dla ka¿dego potencjalnego serwera SLIP i z nich wywo³uj dip ze specjalnym skryptem nawi±zuj±cym po³±czenie. Poprawnie napisanemu programowi tego typu mo¿na bezpiecznie nadaæ prawo setuid root*. Alternatywnym, bardziej elastycznym podej¶ciem jest nadanie zaufanym u¿ytkownikom uprawnieñ roota do dip poprzez program typu sudo.
Przyk³adowy skrypt
Za³ó¿my, ¿e host, z którym ³±czysz siê przez SLIP, to cowslip. Napisali¶my skrypt dla dipa - cowslip.dip - który realizuje nasze po³±czenie. Wywo³ujemy dip z nazw± skryptu jako argumentem:

# dip cowslip.dip
DIP: Dialup IP Protocol Driver version 3.3.7 (12/13/93)
Written by Fred N. van Kempen, MicroWalt Corporation.
connected to cowslip.moo.com with addr 192.168.5.74
#

Sam skrypt pokazano w przyk³adzie 7-1.
Przyk³ad 7-1: Przyk³adowy skrypt dip
# Przyk³adowy skrypt dip dzwoni±cy do cowslip
# Ustawienie lokalnych i zdalnych nazw i adresów
   get $local vlager-slip
   get $remote cowslip
   port ttyS3        # wybór portu szeregowego
   speed 38400      # ustawienie prêdko¶ci na maksimum
   modem HAYES      # ustawienie typu modemu
   reset            # wyzerowanie modemu i tty
   flush            # wyczyszczenie bufora modemu
# Przygotowanie do dzwonienia
   send ATQ0V1E1X1\r
   wait OK 2
   if $errlvl !=0 goto error
   dial 41988
   if $errlvl !=0 goto error
   wait CONNECT 60
   if $errlvl !=0 goto error
# Ok, jeste¶my pod³±czeni
   sleep 3
   send \r\n\r\n
   wait ogin: 10
   if $errlvl !=0 goto error
   send $vlager\n
   wait ssword: 5
   if $errlvl !=0 goto error
   send knockknock\n
   wait running 30
   if $errlvl !=0 goto error
# Zalogowali¶my siê i po drugiej stronie uruchamiany jest SLIP.
   print Connected to $remote with address $rmtip
   default          # Ustawienie rutingu domy¶lnego na to ³±cze
   mode SLIP        # Przechodzimy tak¿e do trybu SLIP
# tu trafiamy w razie wyst±pienia b³êdu
error:
   print SLIP to $remote failed.

Po pod³±czeniu do cowslip i w³±czeniu SLIP, dip od³±cza siê od terminala i przechodzi do pracy w tle. Mo¿esz zacz±æ uruchamiaæ normalne us³ugi sieciowe na ³±czu SLIP. Aby zakoñczyæ po³±czenie, po prostu wywo³aj dip z opcj± -k, co spowoduje wys³anie sygna³u do dip. Wykorzystane zostanie do tego ID procesu, które dip zapisuje w pliku /etc/dip.pid.

# dip -k

W jêzyku skryptowym polecenia dip s³owa kluczowe poprzedzone znakiem dolara oznaczaj± nazwy zmiennych. dip posiada predefiniowany zestaw zmiennych, które zostan± omówione poni¿ej. Na przyk³ad $remote i $local zawieraj± odpowiednio nazwy hostów lokalnego i zdalnego, znajduj±cych siê po obu stronach ³±cza SLIP.
Pierwsze dwie dyrektywy w przyk³adowym skrypcie to polecenia get, za pomoc± których dip definiuje zmienne. Nazwy hostów lokalnego i zdalnego s± tu ustawiane odpowiednio na vlager i cowslip.
Nastêpne piêæ dyrektyw konfiguruje terminal i modem. reset wysy³a do modemu ci±g zeruj±cy. Kolejna dyrektywa czy¶ci bufor modemu tak, aby dialog logowania umieszczony w kolejnych kilku wierszach zadzia³a³ poprawnie. Dialog ten jest dosyæ prosty: po prostu dzwoni pod numer 41988 (numer telefonu cowslip) i loguje siê na konto $vlager za pomoc± has³a knockknock. Polecenie wait powoduje, ¿e dip czeka na ci±g znaków podany jako pierwszy argument. Liczba podana jako drugi argument okre¶la, po ilu sekundach koñczy siê oczekiwanie, je¿eli dany ci±g nie zostanie odebrany. Polecenia if wystêpuj±ce w procedurze logowania sprawdzaj±, czy nie wyst±pi³ b³±d w wykonywanym poleceniu.
Ostatnie polecenia wywo³ywane po zalogowaniu siê to: default, ustawiaj±ce domy¶lny ruting na zestawione w³a¶nie ³±cze SLIP, i mode, w³±czaj±ce tryb SLIP na ³±czu i konfiguruj±ce interfejs oraz tablicê rutingu.
dip
W tym podrozdziale podamy opis wiêkszo¶ci poleceñ dip. Listê wszystkich poleceñ mo¿esz zobaczyæ, wywo³uj±c dip w trybie testowym i wprowadzaj±c help. Aby poznaæ sk³adniê polecenia, mo¿esz je wprowadziæ bez ¿adnych argumentów. Pamiêtaj, ¿e nie sprawdzisz tak sk³adni tych poleceñ, które nie potrzebuj± argumentów. Poni¿szy przyk³ad ilustruje polecenie help:

# dip -t
DIP: Dialup IP Protocol Driver version 3.3.7p-uri (25 Dec 96)
Written by Fred N. van Kempen, MicroWalt Corporation.
Debian version 3.3.7p-2 (debian).

DIP> help
DIP knows about the following commands:

   beep       bootp      break     chatkey   config
   databits   dec        default   dial      echo
   flush      get        goto      help      if
   inc        init       mode      modem     netmask
   onexit     parity     password  proxyarp  print
   psend      port       quit      reset     secureidfixed
   securid    send       shell     skey      sleep
   speed      stopbits   term      timeout   wait

DIP> echo
Usage: echo on|off
DIP>

W kolejnych podrozdzia³ach przyk³ady zawieraj±ce monit DIP> pokazuj±, jak wprowadzaæ polecenia w trybie testowym i jaki daj± one wynik. Przyk³ady bez tego monitu nale¿y traktowaæ jako fragmenty skryptów.

Polecenia dotycz±ce modemu
dip udostêpnia szereg poleceñ konfiguruj±cych ³±cze szeregowe i modem. Niektóre z nich s± oczywiste, np. port, s³u¿±cy do wyboru portu szeregowego, czy speed, databits, stopbits i parity, ustawiaj±ce typowe parametry ³±cza. Polecenie modem wybiera typ modemu. Aktualnie jedynym obs³ugiwanym trybem jest HAYES (wymagane pisanie du¿ymi literami). Musisz okre¶liæ programowi dip typ modemu, gdy¿ w przeciwnym razie nie bêdzie mo¿liwe wykonanie poleceñ dial i reset. Polecenie reset wysy³a ci±g znaków zeruj±cy modem. Stosowany ci±g zale¿y od wybranego typu modemu. W przypadku modemów kompatybilnych ze standardem Hayesa, ci±giem tym jest ATZ.
Polecenie flush mo¿e byæ wykorzystane do usuniêcia z bufora wszystkich odpowiedzi wys³anych przez modem do tej pory. W przeciwnym razie skrypt dialogowy wystêpuj±cy po poleceniu reset móg³by zg³upieæ, poniewa¿ odczyta³by odpowiedzi OK z poprzednich poleceñ.
Polecenie init okre¶la ci±g inicjacyjny przekazywany do modemu przed rozpoczêciem dzwonienia. Domy¶lny ci±g dla modemów Hayesa to ATE0 Q0 V1 X1, w³±cza on wypisywanie poleceñ i dzwonienie na ¶lepo (bez sprawdzania sygna³u na linii). Nowsze modemy posiadaj± dobr± konfiguracjê fabryczn±, a wiêc jest to zbêdne, choæ w niczym nie przeszkadza.
Polecenie dial wysy³a ci±g inicjacyjny do modemu i dzwoni do zdalnego systemu. Domy¶lne polecenie dzwonienia dla modemów Hayesa to ATD.
Polecenie echo
Polecenie echo jest doskona³± pomoc± przy debugowaniu. Wywo³anie echo on powoduje, ¿e dip powtarza na konsoli wszystko, co wysy³a do urz±dzenia szeregowego. Mo¿na to z powrotem wy³±czyæ, wydaj±c polecenie echo off.
dip pozwala tak¿e na chwilê wyj¶æ z trybu skryptowego i wej¶æ do trybu terminalowego. W tym trybie u¿ywasz dip tak jak zwyk³ego programu terminala, wysy³aj±c wpisywane znaki na ³±cze szeregowe, odczytuj±c dane z ³±cza szeregowego i wy¶wietlaj±c znaki. Aby wyj¶æ z tego trybu, naci¶nij [CTRL+]].
Polecenie get
Za pomoc± polecenia get dip nadaje warto¶æ zmiennej. Najprostsze jest przypisanie zmiennej sta³ej warto¶ci, co robili¶my w skrypcie cowslip.dip. Mo¿esz jednak poprosiæ u¿ytkownika o wprowadzenie czego¶, u¿ywaj±c s³owa kluczowego ask zamiast warto¶ci:

DIP> get $local ask
Enter the value for $local: _

Trzecia metoda to uzyskanie warto¶ci ze zdalnego hosta. W pierwszej chwili wygl±da to dziwacznie, ale nieraz siê bardzo przydaje. Niektóre serwery SLIP nie pozwol± ci u¿ywaæ w³asnego adresu IP na ³±czu SLIP, a po po³±czeniu bêd± przypisywaæ ci adres z puli, wypisuj±c komunikat informuj±cy o otrzymanym adresie. Je¿eli otrzymasz komunikat: "Your address: 192.168.5.74, poni¿szy fragment kodu dip pozwoli ci przypisaæ ten adres:

# zakoñczenie logowania siê
wait address: 10
get $locip remote
Polecenie print
Jest to polecenie u¿ywane do wy¶wietlania tekstów dip na konsoli, z której zosta³ uruchomiony. W poleceniu print mog± byæ u¿yte wszystkie zmienne dip. Oto przyk³ad:

DIP> print Using port $port at speed $speed
Using port ttyS3 at speed 38400
Nazwy zmiennych
dip rozumie tylko predefiniowany zestaw zmiennych. Nazwy zmiennych zawsze zaczynaj± siê od znaku dolara i musz± byæ pisane ma³ymi literami.
Zmienne $local i $locip zawieraj± nazwê i adres lokalnego hosta. Je¿eli w zmiennej $local zapiszesz kanoniczn± nazwê hosta, dip bêdzie automatycznie próbowa³ zamieniæ nazwê hosta na jego adres IP i zapisaæ go w zmiennej $locip. Podobny, aczkolwiek odwrotny proces zachodzi, gdy przypiszesz adres IP zmiennej $locip: dip bêdzie próbowa³ wyszukiwania odwrotnego, czyli bêdzie chcia³ zidentyfikowaæ nazwê hosta i zapisaæ j± w zmiennej $local.
Zmienne $remote i $rmtip dzia³aj± w ten sam sposób dla adresu i nazwy hosta zdalnego. $mtu zawiera warto¶æ MTU dla po³±czenia.
Te piêæ zmiennych to jedyne zmienne, którym warto¶ci mog± byæ przypisywane bezpo¶rednio za pomoc± polecenia get. Szereg innych zmiennych jest ustawianych w wyniku dzia³ania poleceñ konfiguracyjnych o tej samej nazwie, a mog± one byæ u¿ywane w dyrektywie print. Nale¿± do nich $modem, $port i $speed.
$errlvl jest zmienn±, przez któr± uzyskujesz wynik wykonania ostatniego polecenia. Poziom b³êdu 0 oznacza poprawne wykonanie, natomiast warto¶ci ró¿ne od zera oznaczaj± b³±d.
Polecenia if i goto
Polecenie if to tradycyjne rozga³êzienie warunkowe, a nie w pe³ni wyposa¿ona programistyczna dyrektywa if. Sk³adnia jest nastêpuj±ca:

if zm op liczba goto etykieta

Wyra¿enie musi byæ prostym porównaniem jednej ze zmiennych: $errlvl, $locip lub $rmtip. zm musi byæ liczb± ca³kowit±, operator op mo¿e byæ jednym ze znaków ==, !=, <, >, <= i >=.
Polecenie goto powoduje, ¿e wykonywanie skryptu jest kontynuowane od wiersza, który nastêpuje po etykiecie. Etykieta musi byæ pierwszym s³owem w wierszu i musi byæ zakoñczona dwukropkiem.
send, wait i sleep
Te polecenia pomagaj± zaimplementowaæ proste skrypty dialogowe w dip. Polecenie send wysy³a argumenty do ³±cza szeregowego. Nie obs³uguje zmiennych, ale rozumie wszelkie sekwencje ze znakami uko¶nika odwrotnego znane z jêzyka C, takie jak \n oznaczaj±ce nowy wiersz i \b oznaczaj±ce cofniêcie. Znak tyldy (~) mo¿e byæ zastosowany jako skrót ci±gu znaków: powrót karetki/nowy wiersz.
Polecenie wait jako argument przyjmuje s³owo i odczytuje wszystkie dane wej¶ciowe na ³±czu szeregowym, a¿ wykryje ci±g znaków pasuj±cy do zadanego s³owa. Samo s³owo nie mo¿e zawieraæ spacji. Opcjonalnie, jako drugi argument, mo¿esz podaæ w poleceniu wait warto¶æ czasu oczekiwania. Je¿eli oczekiwane s³owo nie zostanie odebrane w tym czasie, polecenie zwróci w zmiennej $errlvl warto¶æ 1. Polecenie to jest u¿ywane do wykrywania monitu logowania i innych.
Polecenie sleep mo¿e byæ u¿ywane do odczekania pewnego czasu. Na przyk³ad, aby cierpliwie zaczekaæ na zakoñczenie sekwencji logowania. Znów czas jest podawany w sekundach.
mode i default
Te polecenia s± u¿ywane do prze³±czania ³±cza szeregowego w tryb SLIP i konfigurowania interfejsu.
Polecenie mode jest ostatnim poleceniem wykonywanym przez dip przed przej¶ciem w tryb demona. Dopóki nie wyst±pi b³±d, polecenie nie koñczy siê.
mode przyjmuje jako argument nazwê protoko³u. Obecnie dip rozpoznaje SLIP, CSLIP, SLIP6, CSLIP6, PPP i TERM. Jednak aktualna wersja dip nie rozumie trybu adaptive SLIP.
Po prze³±czeniu ³±cza szeregowego do trybu SLIP, dip wywo³uje polecenie ifconfig w celu skonfigurowania interfejsu jako ³±cza punkt-punkt i polecenie route do skonfigurowania rutingu do zdalnego hosta.
Je¿eli skrypt dodatkowo wywo³a polecenie default przed poleceniem mode, dip tworzy domy¶lny ruting wskazuj±cy na ³±cze SLIP.
Dzia³anie w trybie serwera
Skonfigurowanie klienta SLIP by³o trudniejszym zadaniem. Skonfigurowanie twojego hosta, aby dzia³a³ jako serwer SLIP jest du¿o ³atwiejsze.
Istniej± dwa sposoby skonfigurowania serwera SLIP. Oba wymagaj± utworzenia jednego konta logowania dla ka¿dego klienta SLIP. Za³ó¿my, ¿e udostêpniasz us³ugê SLIP Arthurowi Dentowi z dent.beta.com. Dodaj±c poni¿szy wiersz do twojego pliku passwd, mo¿esz stworzyæ konto o nazwie dent:

dent:*:501:60:Konto SLIP Arthura Denta:/tmp:/usr/sbin/diplogin

Nastêpnie za pomoc± polecenia passwd musisz ustawiæ has³o u¿ytkownika dent.
Polecenie dip mo¿e byæ uruchomione w trybie serwera przez wywo³anie diplogin. Zwykle diplogin jest dowi±zaniem do dip. Jego g³ównym plikiem konfiguracyjnym jest /etc/diphosts, w którym zwykle wpisujesz adres IP  przypisywany u¿ytkownikowi, gdy zadzwoni. Alternatywnie mo¿esz tak¿e u¿yæ polecenia sliplogin, narzêdzia pochodz±cego z BSD i posiadaj±cego bardziej elastyczny schemat konfiguracji pozwalaj±cy ci na wywo³ywanie skryptów pow³oki, gdy host siê pod³±cza lub roz³±cza.
Gdy nasz u¿ytkownik SLIP-a, dent, zaloguje siê, dip jest uruchamiany jako serwer. Aby stwierdziæ, czy dany u¿ytkownik naprawdê ma prawo u¿ywaæ SLIP-a, szuka on nazwy u¿ytkownika w pliku /etc/diphosts. Plik ten zawiera szczegó³owe prawa dostêpu i parametry po³±czenia dla ka¿dego u¿ytkownika SLIP-a. Ogólny format wpisu w /etc/diphosts jest nastêpuj±cy:

# /etc/diphosts
u¿ytkownik:has³o:adres-zdalny:adres-lokalny:maska:komentarze:protokó³,MTU
#

Ka¿de z pól jest opisane w tabeli 7-2.
Tabela 7-2. Opis pól pliku /etc/diphosts
Pole	Opis
u¿ytkownik
Pole to okre¶la nazwê u¿ytkownika wywo³uj±cego dip.
Has³o
Drugie pole pliku /etc/diphosts jest u¿ywane do zapewnienia dodatkowej warstwy bezpieczeñstwa przy ³±czeniu siê na podstawie has³a. Mo¿esz tu umie¶ciæ has³o w zaszyfrowanej postaci (tak jak w pliku /etc/passwd), a diplogin poprosi u¿ytkownika o wprowadzenie has³a, zanim pozwoli mu na dostêp SLIP. Zauwa¿, ¿e jest to has³o uzupe³niaj±ce, u¿ywane obok zwyk³ego has³a wprowadzanego w monicie login.
adres-zdalny
Adres, który zostanie przypisany zdalnej maszynie. Adres ten mo¿e byæ podany tak¿e w postaci nazwy hosta, która zostanie zamieniona na numer IP, albo bezpo¶rednio w postaci numeru IP w notacji kropkowej.
adres-lokalny
Adres IP, który bêdzie u¿ywany dla lokalnego koñca po³±czenia SLIP. Mo¿e byæ podany w postaci nazwy hosta lub numeru IP.
maska
Maska sieci, która bêdzie u¿ywana do rutingu. Wiele osób ¼le interpretuje to pole. Maska sieci nie dotyczy samego ³±cza SLIP, ale jest u¿ywana w po³±czeniu z adresem-zdalnym do utworzenia trasy do zdalnej sieci. Maska sieci powinna byæ taka sama jak maska u¿ywana przez sieæ obs³ugiwan± przez zdalnego hosta.
komentarze
Jest to pole tekstowe, w którym mo¿na wprowadziæ dowolny opis i jest ono traktowane jako pomoc w dokumentowaniu pliku /etc/diphosts. Pole to nie ma innych zastosowañ.
protokó³
W tym polu okre¶la siê, jakiego protoko³u obs³ugi chcesz u¿ywaæ dla danego po³±czenia. Poprawne wpisy s± identyczne z u¿ywanymi z argumentem -p polecenia slattach.
MTU


Maksymalna jednostka transmisji, któr± mo¿na przes³aæ przez ³±cze. To pole opisuje najwiêkszy datagram przesy³any przez ³±cze. Ka¿dy datagram rutowany przez urz±dzenie SLIP, który jest wiêkszy ni¿ MTU, zostanie podzielony na datagramy nie wiêksze ni¿ ta warto¶æ. MTU zwykle jest konfigurowane tak samo na obu koñcach ³±cza.

Przyk³adowy wpis dla dent móg³by wygl±daæ tak:

dent::dent.beta.com:vbrew.com:255.255.255.0:Arthur Dent:CSLIP,296

Ten przyk³ad daje naszemu u¿ytkownikowi dent dostêp do SLIP-a bez potrzeby wprowadzania dodatkowego has³a. Bêdzie mu przypisany adres IP zwi±zany z nazw± dent.beta.com i maska sieci 255.255.255.0. Domy¶lny ruting powinien byæ przekierowany na adres IP vbrew.com. Po³±czenie bêdzie wykorzystywa³o protokó³ CSLIP z MTU równym 296 bajtów.
Gdy dent siê zaloguje, diplogin odczyta informacje na jego temat z pliku diphosts. Gdyby drugie pole zawiera³o warto¶æ, diplogin poprosi³by o dodatkowe has³o. Wprowadzony przez u¿ytkownika ci±g znaków zosta³by zaszyfrowany i porównany z has³em z pliku diphosts. Gdyby ci±gi siê nie zgadza³y, próba zalogowania nie powiod³aby siê. Gdyby pole has³a zawiera³o ci±g znaków s/key, a dip by³by skompilowany z obs³ug± S/Key, uruchomione by³oby uwierzytelnianie S/Key. Jest ono opisane w dokumentacji zawartej w pakiecie ¼ród³owym dip.
Po poprawnym zalogowaniu siê, diplogin prze³±cza ³±cze szeregowe w tryb CSLIP lub SLIP i konfiguruje interfejs oraz ruting. Po³±czenie pozostaje zestawione, dopóki u¿ytkownik go nie roz³±czy i modem nie zostanie od³±czony od linii telefonicznej. diplogin przywraca ³±cze szeregowe do normalnego protoko³u obs³ugi i koñczy pracê.
diplogin wymaga praw u¿ytkownika uprzywilejowanego. Je¿eli dip nie dzia³a z prawem setuid root, powiniene¶ spowodowaæ, ¿eby diplogin by³ oddzieln± kopi± dip, a nie dowi±zaniem. diplogin mo¿e wtedy mieæ nadane prawo setuid bez zmiany statusu samego dip.


8
Protokó³ punkt-punkt


Rozdzia³ 8: Protokó³ punkt-punkt


Podobnie jak SLIP, protokó³ PPP jest u¿ywany do wysy³ania datagramów przez ³±cze szeregowe, jednak nie ma on wielu wad SLIP-a. Po pierwsze, pozwala na przesy³anie wiêkszej liczby protoko³ów i nie jest ograniczony do protoko³u IP. Ma mo¿liwo¶æ wykrywania b³êdów na samym ³±czu, gdzie SLIP akceptowa³ i przekazywa³ uszkodzone datagramy, chyba ¿e uszkodzony zosta³ nag³ówek. Ponadto, pozwala stronom po³±czenia negocjowaæ na pocz±tku opcje, takie jak adres IP i maksymalny rozmiar datagramu, oraz zapewnia uwierzytelnianie klienta. Taka wbudowana mo¿liwo¶æ negocjacji pozwala na niezawodn± automatyzacjê przy zestawianiu po³±czenia, natomiast dziêki uwierzytelnianiu nie s± potrzebne sztuczne konta u¿ytkowników, które by³y stosowane w przypadku SLIP-a. Ka¿da z tych mo¿liwo¶ci jest w PPP obs³ugiwana przez oddzielny protokó³. W tym rozdziale krótko omówimy podstawowe modu³y PPP. Niniejszy opis PPP jest daleki od kompletno¶ci, a wiêc je¿eli chcesz wiedzieæ wiêcej, zachêcamy ciê do przeczytania specyfikacji protoko³u w odpowiednim dokumencie RFC i szeregu uzupe³niaj±cych RFC. Istnieje równie¿ ca³a ksi±¿ka po¶wiêcona temu tematowi: Using & Managing PPP napisana przez Andrew Suna (O'Reilly).
Na samym dole PPP znajduje siê protokó³ wysokopoziomowego sterowania ³±czem danych (High-Level Data Link Control - HDLC), który definiuje granice pojedynczych ramek PPP i zapewnia 16-bitow± sumê kontroln±*. W przeciwieñstwie do¶æ prymitywnej enkapsulacji SLIP, ramka PPP mo¿e zawieraæ pakiety ró¿nych protoko³ów, nie tylko IP, czyli na przyk³ad IPX Novella czy AppleTalk. PPP dodaje bowiem do podstawowej ramki HDLC pole protoko³u identyfikuj±ce typ pakietu przesy³anego w ramce.
Nad HDLC znajduje siê protokó³ sterowania ³±czem (Link Control Protocol - LCP) negocjuj±cy opcje dotycz±ce ³±cza danych, na przyk³ad maksymaln± jednostkê odbioru (Maximum Receive Unit - MRU) wyznaczaj±c± maksymalny rozmiar datagramu, jaki jedna strona ³±cza zgodzi³a siê odbieraæ.
Wa¿nym krokiem naprzód w konfiguracji ³±cza PPP jest autoryzacja (uwierzytelnienia) klienta. Choæ nie jest ona obowi±zkowa, powinna byæ u¿ywana w przypadku linii komutowanych, aby nie dopu¶ciæ intruzów do systemu. Zazwyczaj wywo³ywany host (serwer) prosi klienta o podanie tajnego klucza. Je¿eli host wywo³uj±cy nie wygeneruje odpowiedniego klucza, po³±czenie jest zrywane. W PPP autoryzacja dzia³a w obie strony. Host wywo³uj±cy mo¿e równie¿ poprosiæ o autoryzacjê serwera. Te procedury s± zupe³nie niezale¿ne od siebie. Dla dwóch ró¿nych sposobów autoryzacji istniej± dwa protoko³y, które bêdziemy dok³adniej omawiali w tym rozdziale: protokó³ uwierzytelniania has³em (Password Authentication Protocol - PAP) i protokó³ uwierzytelnienia przez uzgodnienie (Challenge Handshake Authentication Protocol -- CHAP).
Ka¿dy protokó³ sieciowy rutowany przez ³±cze danych (jak IP i AppleTalk) jest konfigurowany dynamicznie za pomoc± odpowiedniego  protoko³u sterowania sieci± (Network Control Protocol - NCP). Aby wys³aæ datagram IP przez ³±cze, obie strony uczestnicz±ce w po³±czeniu PPP musz± najpierw wynegocjowaæ u¿ywane przez ka¿d± z nich adresy IP. Protokó³ steruj±cy u¿ywany w tej negocjacji to protokó³ sterowania protoko³em internetowym (Internet Protocol Control Protocol - IPCP).
Poza wysy³aniem standardowych datagramów IP przez ³±cze, PPP tak¿e obs³uguje kompresjê nag³ówków (Van Jacobsona) datagramów IP. Technika ta zmniejsza nag³ówki pakietów IP do zaledwie trzech bajtów. Jest ona tak¿e stosowana w CSLIP i potocznie nazywa siê j± kompresj± nag³ówków VJ. U¿ycie kompresji mo¿e byæ równie¿ negocjowane za pomoc± protoko³u IPCP.
PPP w Linuksie
W Linuksie do funkcjonowania PPP s± potrzebne dwie rzeczy: element j±dra obs³uguj±cy protoko³y niskopoziomowe (HDLC, IPCP, IPXCP itp.) i demon pppd dzia³aj±cy w przestrzeni u¿ytkownika i obs³uguj±cy ró¿ne protoko³y wy¿szego poziomu, takie jak PAP i CHAP. Aktualna wersja oprogramowania PPP dla Linuksa zawiera demon pppd i program o nazwie chat, które automatyzuj± po³±czenie telefoniczne z systemu zdalnego.
Sterownik PPP j±dra zosta³ napisany przez Michaela Callahana i przerobiony przez Paula Mackerrasa. pppd powsta³o na podstawie darmowej implementacji PPP* dla Suna i komputerów 386BSD, napisanej przez Drew Perkinsa i innych i utrzymywanej przez Paula Mackerrasa. Zosta³o przeniesione na Linuksa przez Ala Longyeara. Program chat napisa³ Karl Fox**.
Podobnie jak SLIP, tak i PPP zosta³ zaimplementowany przez specjalny protokó³ obs³ugi ³±cza. Aby wykorzystaæ ³±cze szeregowe jako ³±cze PPP, musisz najpierw jak zwykle zestawiæ po³±czenie przez modem, a nastêpnie prze³±czyæ ³±cze w tryb PPP. W tym trybie wszystkie przychodz±ce dane s± przekazywane sterownikowi PPP, który sprawdza poprawno¶æ przychodz±cych ramek HDLC (ka¿da ramka HDLC zawiera 16-bitow± sumê kontroln±), rozpakowuje je oraz obs³uguje. Obecnie PPP jest w stanie przesy³aæ zarówno protokó³ IP, opcjonalnie z kompresj± nag³ówków Van Jacobsona, jak i protokó³ IPX.
pppd wspomaga sterownik j±dra, wykonuj±c obowi±zkow± fazê inicjacyjn± i uwierzytelniaj±c±, zanim rzeczywisty ruch sieciowy zostanie przes³any przez ³±cze. Zachowanie pppd mo¿na regulowaæ szeregiem opcji. Poniewa¿ PPP jest raczej z³o¿onym protoko³em, niemo¿liwe jest wyja¶nienie wszystkich opcji w jednym rozdziale. Dlatego ta ksi±¿ka nie omawia wyczerpuj±co pppd, a tylko podaje ogólny zarys. Dok³adniejsze informacje znajdziesz we wspomnianej ju¿ ksi±¿ce Using & Managing PPP lub na stronach podrêcznika elektronicznego pppd oraz we wspomnianych ju¿ plikach README pakietu ¼ród³owego pppd. Pomog± ci one odpowiedzieæ na wiêkszo¶æ pytañ, które tutaj nie zosta³y uwzglêdnione. Pomocny mo¿e byæ tak¿e dokument PPP-HOWTO.
Prawdopodobnie w konfigurowaniu PPP najbardziej pomog± ci inni u¿ytkownicy tej samej dystrybucji Linuksa. Pytania o konfiguracjê PPP s± dosyæ powszechne, a wiêc sprawd¼ swoj± lokaln± grupê dyskusyjn± lub kana³ linuksowy na IRC-u. Je¿eli masz problemy nawet po przeczytaniu dokumentacji, mo¿esz spróbowaæ je rozwi±zaæ poprzez grupê dyskusyjn± comp.protocols.ppp. Jest to miejsce, gdzie spotyka siê wiêkszo¶æ osób zaanga¿owanych w rozwój pppd.
Eksploatacja pppd
Gdy chcesz siê pod³±czyæ do Internetu przez ³±cze PPP, musisz skonfigurowaæ podstawowe funkcje sieciowe, jak urz±dzenie pêtli zwrotnej i resolver. Obie zosta³y omówione w rozdziale 5, Konfigurowanie sieci TCP/IP, i w rozdziale 6, Us³ugi nazewnicze i konfigurowanie resolvera. Mo¿esz po prostu skonfigurowaæ serwer nazw swojego dostawcy Internetu w pliku /etc/resolv.conf, ale bêdzie to oznacza³o, ¿e ka¿de ¿±danie DNS jest wysy³ane przez ³±cze szeregowe. Ta sytuacja nie jest optymalna. Im jeste¶ bli¿ej (w sensie sieci) swojego serwera nazw, tym szybciej s± realizowane wyszukiwania nazw. Alternatywnym rozwi±zaniem jest skonfigurowanie serwera nazw pamiêci podrêcznej na ho¶cie w twojej sieci. Oznacza to, ¿e  pierwsze zapytanie DNS o okre¶lonego hosta jest wysy³ane przez ³±cze szeregowe, ale odpowied¼ na ka¿de kolejne bêdzie wysy³ana bezpo¶rednio z twojego lokalnego serwera nazw i bêdzie realizowana du¿o szybciej. Konfiguracja ta jest opisana w podrozdziale Konfiguracja named jako serwera pamiêci podrêcznej rozdzia³u 6.
Dla potrzeb naszego przyk³adu realizacji po³±czenia PPP z pppd za³ó¿my, ¿e znów jeste¶ na ho¶cie vlager. Najpierw dzwonisz do serwera PPP, c3po, i logujesz siê na koncie ppp. Serwer c3po uruchamia swój sterownik PPP. Po zakoñczeniu pracy z programem komunikacyjnym u¿ywanym do dzwonienia, jest wykonywane nastêpuj±ce polecenie, w którym musisz zast±piæ pokazan± nazwê urz±dzenia szeregowego ttyS3 swoj± nazw±.

# pppd /dev/ttyS3 38400 crtscts defaultroute

Polecenie to prze³±cza ³±cze szeregowe ttyS3 na protokó³ obs³ugi PPP i negocjuje ³±cze IP z c3po. Prêdko¶æ u¿ywana na tym porcie szeregowym wynosi 38 400 bitów na sekundê.
Opcja crtscts w³±cza na porcie uzgadnianie sprzêtowe, które jest bezwzglêdnie wymagane przy prêdko¶ciach powy¿ej 9600 bps.
Po uruchomieniu pppd w pierwszej kolejno¶ci negocjuje kilka charakterystyk ³±cza z drug± stron± za pomoc± LCP. Zwykle wystarcza domy¶lny zestaw opcji pppd, a wiêc nie bêdziemy tu rozwijaæ tego tematu. Wystarczy powiedzieæ, ¿e ta negocjacja czê¶ciowo dotyczy ¿±dania lub przypisania adresów IP dla ka¿dej ze stron po³±czenia.
Na razie zak³adamy, ¿e serwer c3po nie wymaga od nas ¿adnego uwierzytelnienia, a wiêc faza konfiguracji koñczy siê pe³nym sukcesem.
pppd bêdzie nastêpnie negocjowaæ parametry IP z drug± stron±, u¿ywaj±c IPCP - protoko³u steruj±cego IP. Poniewa¿ wcze¶niej nie okre¶lili¶my ¿adnego szczególnego adresu IP dla pppd, to bêdzie on próbowaæ wykorzystaæ adres uzyskany od resolvera sprawdzaj±cego lokaln± nazwê hosta. Nastêpnie obie strony przeka¿± sobie wzajemnie swoje adresy.
Zwykle w ustawieniach domy¶lnych nie ma nic z³ego. Nawet je¿eli twój komputer znajduje siê w sieci Ethernet, mo¿esz mieæ ten sam adres IP zarówno dla interfejsu Ethernet, jak i PPP. Jednak pppd pozwala u¿ywaæ innego adresu, a nawet zasugerowaæ drugiej stronie u¿ycie jakiego¶ okre¶lonego adresu. Opcje te omawiamy dalej, w podrozdziale Opcje konfiguracyjne IP.
Po przej¶ciu przez fazê konfiguracji IPCP, pppd przygotuje warstwê sieciow± twojego hosta do dzia³ania w roli ³±cza PPP. Najpierw konfiguruje interfejs sieciowy PPP jako ³±cze punkt-punkt, u¿ywaj±c ppp0 dla pierwszego aktywnego ³±cza PPP, ppp1 dla drugiego i tak dalej. Nastêpnie dokonuje wpisu w tablicy rutingu, tak by wskazywa³ on na hosta po drugiej stronie ³±cza. W poprzednim przyk³adzie pppd ustawi³ domy¶lny ruting do sieci na c3po, poniewa¿ podali¶my go w opcji defaultroute*. Obecno¶æ trasy domy¶lnej upraszcza ruting, gdy¿ wszelkie datagramy IP nie przeznaczone dla hosta lokalnego s± wysy³ane do c3po. Ma to sens, poniewa¿ jest to jedyna trasa, któr± mo¿na do niego dotrzeæ. Istnieje szereg ró¿nych schematów rutingu obs³ugiwanych przez pppd. Omówimy je szczegó³owo w dalszej czê¶ci tego rozdzia³u.
U¿ywanie plików opcji
Zanim pppd dokona analizy sk³adniowej argumentów wiersza poleceñ, przegl±da kilka plików w poszukiwaniu opcji domy¶lnych. Pliki te mog± zawieraæ wszelkie dopuszczalne argumenty wiersza poleceñ rozrzucone po wielu wierszach. Znaki hasha (#) oznaczaj± komentarze.
Pierwszym plikiem opcji jest /etc/ppp/options. Jest on zawsze przegl±dany podczas uruchamiania pppd. U¿ycie tego pliku do ustawienia kilku globalnych warto¶ci domy¶lnych jest dobrym pomys³em, poniewa¿ pozwala powstrzymaæ u¿ytkowników od zrobienia pewnych rzeczy, które mog± zagra¿aæ bezpieczeñstwu systemu. Na przyk³ad, aby w³±czyæ w pppd wymóg uwierzytelniania (PAP czy CHAP) dla drugiej strony, wystarczy dodaæ w tym pliku opcjê auth. Opcja ta nie mo¿e byæ zmieniona przez u¿ytkownika, a wiêc niemo¿liwe staje siê zrealizowanie po³±czenia PPP z jakimkolwiek systemem, który nie znajduje siê w autoryzacyjnej bazie danych. Zauwa¿ jednak, ¿e niektóre opcje mo¿na zmieniæ. Dobrym przyk³adem jest ci±g znaków opcji connect. 
Inny plik opcji odczytywany po /etc/ppp/options, to .ppprc w katalogu macierzystym u¿ytkownika. Pozwala on ka¿demu u¿ytkownikowi okre¶liæ w³asny zestaw opcji domy¶lnych.
Przyk³adowy plik /etc/ppp/options móg³by wygl±daæ tak:

# Globalne opcje dla pppd dzia³aj±cego na vlager.vbrew.com
lock               # u¿yj blokowania urz±dzenia w stylu UUCP
auth               # wymóg uwierzytelnienia
usehostname        # u¿yj lokalnej nazwy hosta dla CHAP
domain vbrew.com   # nazwa naszej domeny

S³owo kluczowe lock powoduje, ¿e pppd obs³uguje metodê blokowania urz±dzenia zgodn± ze standardem UUCP. W tej konwencji ka¿dy proces, który ma dostêp do urz±dzenia szeregowego, na przyk³ad /dev/ttyS3, tworzy w specjalnym katalogu plik blokuj±cy o nazwie postaci LCK..ttyS3 i w ten sposób informuje, ¿e urz±dzenie jest u¿ywane. Jest to jedyna mo¿liwo¶æ, aby inne programy, takie jak minicom czy uucico, nie otwiera³y urz±dzeñ szeregowych u¿ywanych przez PPP.
Kolejne trzy opcje odnosz± siê do uwierzytelniania i co za tym idzie s± zwi±zane z bezpieczeñstwem systemu. Opcje uwierzytelniania najlepiej umie¶ciæ w globalnym pliku konfiguracyjnym, poniewa¿ jest on "uprzywilejowany" i ma wy¿szy priorytet ni¿ pliki opcji u¿ytkowników ~/.ppprc (nie mog± oni zmieniaæ ustawionych w nim opcji).
Stosowanie chat do automatycznego dzwonienia
Jedn± z rzeczy w poprzednim przyk³adzie, która mog³a wydaæ ci siê niewygodna, jest to, ¿e musisz rêcznie zrealizowaæ po³±czenie, zanim bêdziesz móg³ uruchomiæ pppd. W odró¿nieniu od dip, pppd nie ma w³asnego jêzyka skryptowego pozwalaj±cego na dzwonienie i logowanie siê do zdalnych systemów, ale korzysta z zewnêtrznego programu lub skryptu pow³oki. Polecenie do wykonania mo¿e byæ podane pppd za pomoc± opcji wiersza poleceñ connect. pppd przekieruje standardowe wej¶cie i wyj¶cie polecenia do ³±cza szeregowego.
Pakiet oprogramowania pppd zawiera bardzo prosty program chat, który mo¿e byæ u¿ywany do automatyzacji prostych sekwencji logowania. Polecenie to omówimy bardziej szczegó³owo.
Je¿eli twoja sekwencja logowania jest z³o¿ona, bêdziesz potrzebowa³ czego¶ lepszego ni¿ chat. Na pewno wart rozwa¿enia jest expect, napisany przez Dona Libesa. Ma bardzo wydajny jêzyk oparty na Tcl i zosta³ przewidziany w³a¶nie do takich zadañ. Je¶li masz sekwencjê logowania, która wymaga na przyk³ad uwierzytelnienia typu wywo³anie/odpowied¼, opatrego na kalkulatorowych generatorach kluczy, przekonasz siê, ¿e expect jest wystarczaj±co dobry, by zrealizowaæ to zadanie. Poniewa¿ mo¿liwo¶ci s± tutaj du¿e, nie bêdziemy opisywali, jak stworzyæ odpowiedni skrypt expecta. Do¶æ powiedzieæ, ¿e swój skrypt expect mo¿esz wywo³aæ, podaj±c jego nazwê w opcji connect pppd. Trzeba tak¿e wiedzieæ, ¿e gdy skrypt zostanie uruchomiony, standardowe wej¶cie i wyj¶cie zostan± pod³±czone do modemu, a nie do terminala, z którego zosta³ wywo³any pppd. Je¿eli wymagana jest interakcja z u¿ytkownikiem, powiniene¶ j± obs³u¿yæ, otwieraj±c dodatkowy wirtualny terminal lub w jaki¶ inny sposób.
Polecenie chat pozwala ci stworzyæ skrypt dialogowy w stylu UUCP. Zasadniczo skrypt chat sk³ada siê z kolejnych sekwencji ci±gów znaków, których oczekujemy od zdalnego systemu, i odpowiedzi, które na nie wysy³amy. Nazywamy je odpowiednio ci±giem oczekiwanym (ang. expect string) i ci±giem wysy³anym (ang. send string). Oto typowy fragment skryptu dialogowego:

ogin: b1ff ssword: s3|<r1t

Ten skrypt informuje chat, ¿eby czeka³, a¿ system zdalny przy¶le monit logowania, i w odpowiedzi wys³a³ nazwê u¿ytkownika b1ff. Oczekujemy tylko na ogin:, a wiêc nie ma znaczenia, czy monit logowania zaczyna siê du¿±, czy ma³± liter± l. Nastêpny ci±g powoduje, ¿e chat czeka na monit has³a i wysy³a w odpowiedzi nasze has³o.
W zasadzie jest to wszystko, co robi± skrypty dialogowe. Pe³ny skrypt dzwoni±cy do serwera PPP oczywi¶cie musia³by zawieraæ odpowiednie polecenia modemu. Za³ó¿my, ¿e twój modem rozumie zestaw poleceñ Hayesa, a numer telefonu serwera to 318714. Pe³ne wywo³anie chat realizuj±ce po³±czenie z c3po by³oby nastêpuj±ce:

$ chat -v '' ATZ OK ATDT318714 CONNECT '' ogin: ppp word: GaGariN

Z definicji pierwszy ci±g musi byæ ci±giem oczekiwanym, ale poniewa¿ modem nic nie przy¶le, zanim go nie zainicjujemy, ustawili¶my chat tak, aby pomija³ pierwszy oczekiwany ci±g znaków, podaj±c ci±g pusty. Nastêpnie wysy³amy ATZ - polecenie zerowania modemów kompatybilnych ze standardem Hayesa i czekamy na odpowied¼ (OK). Kolejny ci±g znaków wysy³a do chat polecenie dial wraz z numerem telefonu i oczekuje w odpowiedzi komunikatu CONNECT. Dalej znów nastêpuje pusty ci±g znaków, poniewa¿ nie chcemy teraz nic wysy³aæ, a raczej czekamy na monit logowania. Pozosta³a czê¶æ skryptu dialogowego dzia³a dok³adnie tak, jak opisali¶my wcze¶niej. Opis ten prawdopodobnie wygl±da na nieco zagmatwany, ale za chwilê zobaczymy, ¿e istnieje sposób na stworzenie skryptów dialogowych du¿o ³atwiejszych do zrozumienia.
Opcja -v powoduje, ¿e chat loguje wszystkie dzia³ania przez funkcjê local2* demona syslog.
Podanie skryptu dialogowego w wierszu poleceñ jest ryzykowne, poniewa¿ u¿ytkownicy mog± podejrzeæ wiersz poleceñ za pomoc± ps. Ryzyka tego mo¿esz unikn±æ, umieszczaj±c skrypt dialogowy w pliku na przyk³ad dial-c3po. Nastêpnie zmuszasz chat do czytania skryptu z pliku zamiast z wiersza poleceñ, podaj±c opcjê -f, a po niej nazwê pliku. Takie podej¶cie ma dodatkow± zaletê - u³atwia zrozumienie sekwencji skryptu dialogowego. Po zamianie naszego przyk³adu na plik dial-c3po bêdzie on wygl±da³ nastêpuj±co:

''        ATZ
OK        ATDT318714
CONNECT   ''
ogin:     ppp
word:     GaGariN

W tej postaci skryptu dialogowego oczekiwany ci±g znaków znajduje siê po lewej stronie, a to co wysy³amy w odpowiedzi - po prawej. Co¶ pokazanego w taki sposób czyta siê du¿o ³atwiej.
Pe³ne wywo³anie pppd teraz wygl±da³oby nastêpuj±co:

# pppd connect "chat -f dial-c3po" /dev/ttyS3 38400 -detach \
        crtscts modem defaultroute

Poza opcj± connect okre¶laj±c± skrypt, podali¶my w wierszu poleceñ dwie dodatkowe opcje: -detach, która mówi pppd, by nie od³±cza³ siê od konsoli i nie stawa³ siê procesem dzia³aj±cym w tle, oraz s³owo kluczowe modem, które realizuje dzia³ania specyficzne dla modemu widocznego jako urz±dzenie szeregowe, czyli roz³±czenie linii przed dzwonieniem i po nim. Je¿eli nie u¿yjesz tego s³owa kluczowego, pppd nie bêdzie sprawdza³o linii DCD portu i nie wykryje, czy przypadkiem druga strona  siê nie zawiesi³a.
Pokazane przyk³ady s± raczej proste. chat pozwala na tworzenie du¿o bardziej skomplikowanych skryptów. Na przyk³ad mo¿na okre¶liæ ci±g znaków, przy którym dialog zostanie przerwany z b³êdem. Typowe ci±gi przerywaj±ce komunikat BUSY czy NO CARRIER. Modem zwykle je generuje, gdy wywo³ywany numer jest zajêty albo nie odpowiada. Aby chat rozpoznawa³ te komunikaty natychmiast, mo¿esz je wpisaæ na pocz±tku skryptu, u¿ywaj±c s³owa kluczowego ABORT:

$ chat -v ABORT BUSY ABORT 'NO CARRIER' '' ATZ OK ...

Podobnie mo¿esz zmieniæ warto¶ci czasu oczekiwania dla czê¶ci skryptów dialogowych, wstawiaj±c tam opcje TIMEOUT.
Czasami potrzebne jest tak¿e warunkowe wykonywanie czê¶ci skryptu chat: gdy nie otrzymasz monitu logowania drugiej strony, zapewne zechcesz wys³aæ BREAK lub powrót karetki. Mo¿esz to zrobiæ, dodaj±c podskrypt do oczekiwanego ci±gu. Podskrypt sk³ada siê z oddzielonych kresk± sekwencji ci±gów wysy³anego i oczekiwanego, tak jak normalny skrypt. Podskrypt jest wykonywany wtedy, gdy oczekiwany ci±g znaków, do którego jest doklejony, nie nadejdzie na czas. Powy¿szy przyk³ad mogliby¶my zmodyfikowaæ nastêpuj±co:

ogin:-BREAK-ogin: ppp ssword: GaGariN

Gdy chat nie zobaczy monitu logowania zdalnego systemu, wywo³ywany jest podskrypt, który najpierw wysy³a BREAK, a nastêpnie czeka ponownie na monit logowania. Je¿eli teraz monit siê pojawi, skrypt dzia³a dalej normalnie. W przeciwnym razie koñczy dzia³anie z b³êdem.
Opcje konfiguracyjne IP
Protokó³ IPCP jest u¿ywany do negocjowania szeregu parametrów IP w czasie konfiguracji ³±cza. Zwykle ka¿da ze stron wysy³a pakiet ¿±dania konfiguracji IPCP (ang. IPCP configuration request) zawieraj±cy zmienne, których warto¶æ domy¶ln± chce zmieniæ. Po jego otrzymaniu strona zdalna sprawdza ka¿d± opcjê po kolei i potwierdza j± albo odrzuca.
pppd daje ci du¿± kontrolê nad opcjami IPCP, które próbuje negocjowaæ. Mo¿esz je dostosowywaæ przez ró¿ne opcje wiersza poleceñ, które omawiamy poni¿ej.
Wybór adresów IP
Wszystkim interfejsom trzeba przypisaæ adresy IP. Urz±dzenie PPP zawsze ma adres IP. W zestawie protoko³ów PPP znajduje siê mechanizm pozwalaj±cy na automatyczne przypisanie adresów IP do interfejsów PPP. Program PPP po jednej stronie ³±cza punkt-punkt mo¿e przypisaæ adres IP drugiemu koñcowi, ale mo¿liwe jest tak¿e, by ka¿dy u¿ywa³ w³asnego adresu IP.
Niektóre serwery PPP obs³uguj±ce wiele klientów przypisuj± adresy dynamicznie. S± one przypisywane do systemów tylko wtedy, gdy te zadzwoni±, a odbierane im, gdy siê wyloguj±. Pozwala to na ograniczenie liczby adresów IP do liczby linii komutowanych. Choæ ograniczenie to jest wygodne dla zarz±dców komutowanego serwera PPP, czêsto jest mniej wygodne dla dzwoni±cych do niego u¿ytkowników. W rozdziale 6 omówili¶my sposób odzorowywania nazw hostów na adresy IP za pomoc± bazy danych. Aby ludzie mogli pod³±czyæ siê do twojego hosta, musz± znaæ jego adres IP lub nazwê. Je¿eli jeste¶ u¿ytkownikiem us³ugi PPP, która przypisuje ci adres dynamicznie, trudno bêdzie ci siê tego dowiedzieæ bez uzyskania czego¶ w rodzaju pozwolenia na uaktualnianie bazy danych DNS po przypisaniu adresu IP. Takie systemy istniej±, ale nie bêdziemy ich tu szczegó³owo omawiaæ. Przyjrzymy siê natomiast preferowanemu podej¶ciu, które polega na u¿yciu tego samego adresu IP za ka¿dym razem, gdy ustanawiasz swoje po³±czenie sieciowe*.
W poprzednim przyk³adzie mieli¶my host c3po, na którym dzia³a³ demon pppd, i z nim zestawili¶my po³±czenie IP. Nie postawili¶my warunku, by po jakiejkolwiek stronie po³±czenia zosta³ wybrany konkretny adres IP. Zamiast tego pozwolili¶my pppd na realizacjê swojego dzia³ania domy¶lnego. Demon ten próbowa³ znale¼æ adres IP dla nazwy hosta lokalnego, w naszym przyk³adzie vlager, który wykorzysta³ po stronie lokalnej oraz pozwoli³ maszynie zdalnej c3po na ustalenie w³asnego adresu. PPP obs³uguje kilka ró¿nych sposobów przypisywania numerów IP.
Aby uzyskaæ konkretne adresy, wywo³ujesz pppd z nastêpuj±c± opcj±:

adres_lokalny:adres_zdalny

adres_lokalny i adres_zdalny mog± byæ podane zarówno w postaci liczbowej, jak i w postaci nazw hostów*. Ta opcja powoduje, ¿e pppd próbuje u¿ywaæ pierwszego z dostarczonych adresów jako w³asnego adresu IP, a drugiego jako adresu partnera. Je¿eli partner odmówi przyjêcia któregokolwiek adresu w czasie negocjacji IPCP, ³±cze nie zostanie uaktywnione**.
Je¿eli dzwonisz do serwera po adres IP, powiniene¶ sprawdziæ, czy pppd nie próbuje wynegocjowaæ adresu dla siebie. W tym celu u¿yj opcji noipdefault i pozostaw pole adres_lokalny puste. Opcja noipdefault powstrzyma demona pppd przed prób± u¿ycia adresu IP zwi±zanego z nazw± hosta jako adresu lokalnego.
Gdyby¶ chcia³ ustawiæ tylko adres lokalny oraz przyj±æ adres u¿ywany przez partnera, po prostu pozostaw puste pole adres_zdalny. Aby vlager u¿ywa³ adresu IP 130.83.4.27 zamiast swojego w³asnego, podaj w wierszu poleceñ 130.83.4.27:. Podobnie, aby ustawiæ jedynie adres zdalny, pozostaw puste pole adres_lokalny. Domy¶lnie pppd u¿yje adresu zwi±zanego z nazw± twojego hosta.
Ruting przez ³±cze PPP
Po skonfigurowaniu interfejsu sieciowego, pppd zwykle konfiguruje jedynie trasê hosta do jego partnera. Je¿eli zdalny host jest w sieci LAN, pewnie chcesz ³±czyæ siê tak¿e z hostami "poza" twoim partnerem. W takiej sytuacji nale¿y skonfigurowaæ tak¿e trasê dla sieci.
Widzieli¶my ju¿, ¿e za pomoc± opcji defaultroute, mo¿na poprosiæ pppd o skonfigurowanie trasy domy¶lnej. Opcja ta jest bardzo przydatna, je¿eli serwer PPP, do którego zadzwoni³e¶, dzia³a jako twój gateway internetowy.
Odwrotny przypadek, w którym twój system dzia³a jako gateway dla pojedynczego hosta, jest tak¿e stosunkowo ³atwo zrealizowaæ. Na przyk³ad we¼my pracownika browaru wirtualnego, którego maszyna domowa nazywa siê oneshot. Za³ó¿my tak¿e, ¿e skonfigurowali¶my vlager jako wdzwaniany serwer PPP. Je¿eli skonfigurowali¶my vlager do dynamicznego przypisywania adresu IP nale¿±cego do podsieci browaru, mo¿emy u¿yæ w pppd opcji proxyarp, która zainstaluje wpis proxy ARP dla oneshota. Automatycznie oneshot stanie siê dostêpny ze wszystkich hostów w browarze i winiarni.
Jednak nie zawsze jest to takie proste. Po³±czenie dwóch sieci lokalnych zwykle wymaga dodania szczególnego rutingu do sieci, poniewa¿ sieci te mog± mieæ w³asne trasy domy¶lne. Poza tym, gdyby obie strony ³±cza PPP by³y domy¶lnymi trasami dla ka¿dej z sieci, mog³aby powstaæ pêtla, w której wszystkie pakiety o nieznanym przeznaczeniu odbija³yby siê pomiêdzy koñcami ³±cza PPP, a¿ do wyga¶niêcia ich czasu ¿ycia.
Za³ó¿my, ¿e browar wirtualny otwiera oddzia³ w innym mie¶cie. Ten oddzial ma w³asn± sieæ Ethernet o adresie IP 172.16.3.0, która jest trzeci± podsieci± sieci klasy B browaru. Filia chce pod³±czyæ siê do sieci browaru przez PPP w celu uaktualniania baz klientów. Znów vlager dzia³a jako gateway dla sieci browaru i obs³uguje ³±cze PPP. Jego drugi koniec w oddziale nazywa siê vbourbon i ma adres IP 172.16.3.1. Sieæ ta jest pokazana na rysunku A-2 w dodatku A, Przyk³adowa sieæ: browar wirtualny.
Gdy vbourbon ³±czy siê z vlagerem, ustawia trasê domy¶ln± tak, by wskazywa³a jak zwykle na vlager. Jednak na vlagerze bêdziemy mieli tylko trasê punkt-punkt do vbourbon i bêdziemy musieli specjalnie skonfigurowaæ ruting sieci dla podsieci 3 wykorzystuj±cy vbourbon jako gateway. Mo¿emy to zrobiæ rêcznie, u¿ywaj±c polecenia route po zestawieniu po³±czenia PPP, ale nie jest to zbyt praktyczne rozwi±zanie. Na szczê¶cie mo¿emy skonfigurowaæ trasê automatycznie, u¿ywaj±c funkcji pppd, której jeszcze nie omawiali¶my: polecenia ip-up. Polecenie to jest skryptem pow³oki albo programem ulokowanym w katalogu /etc/ppp i jest uruchamiane przez pppd po skonfigurowaniu interfejsu PPP. Jest wywo³ywane z nastêpuj±cymi parametrami:

ip-up interfejs urz±dzenie prêdko¶æ adr_lok adr_zdal

Poni¿sza tabela podaje znaczenie ka¿dego argumentu (w pierwszej kolumnie pokazujemy liczbê u¿ywan± przez skrypt pow³oki przy odwo³ywaniu siê do ka¿dego z argumentów):
Argument	Nazwa	Przeznaczenie
$1
interfejs
U¿ywany interfejs sieciowy, np. ppp0.
$2
urz±dzenie
¦cie¿ka do pliku u¿ywanego urz±dzenia szeregowego (/dev/tty je¿eli jest u¿ywane stdin/stdout).
$3
prêdko¶æ
Prêdko¶æ urz±dzenia szeregowego w b/s.
$4
adr_lok
Adres IP lokalnego koñca ³±cza w postaci liczbowej.
$5
adr_zdal
Adres IP zdalnego koñca ³±cza w postaci liczbowej.
W naszym przypadku skrypt ip-up mo¿e zawieraæ nastêpuj±cy fragment kodu*:

#!/bin/sh
case $5 in
172.16.3.1)      # to jest vbourbon
      route add -net 172.16.3.0 gw 172.16.3.1;;
...
esac
exit 0

Podobnie /etc/ppp/ip-down mo¿e byæ u¿yte do cofniêcia wszelkich dzia³añ ip-up po roz³±czeniu ³±cza PPP. Tak wiêc w naszym skrypcie /etc/ppp/ip-down mogliby¶my mieæ polecenie route usuwaj±ce trasê stworzon± w skrypcie /etc/ppp/ip-up.
Jednak nie jest to jeszcze pe³ny schemat rutingu. Stworzyli¶my wpisy w tablicy rutingu na obu hostach PPP, ale do tej pory ¿aden host w ¿adnej z tych sieci nic nie wie o ³±czu PPP. Nie stanowi to problemu, je¿eli wszystkie hosty w oddziale maj± w³asny ruting domy¶lny wskazuj±cy na vbourbon, a wszystkie hosty w browarze maj± domy¶lny ruting na vlager. Je¿eli jednak w twojej sytuacji nie jest to dobre rozwi±zanie, jedn± mo¿liwo¶ci± jest zwykle zastosowanie demona rutingu, na przyk³ad gated. Po utworzeniu trasy do vlagera, demon rutingu rozg³asza j± wszystkim hostom w pod³±czonych podsieciach.
Opcje sterowania ³±czem
Spotkali¶my siê ju¿ z protoko³em sterowania ³±czem (LCP), który jest u¿ywany do negocjacji charakterystyk i testowania ³±cza.
Dwie najwa¿niejsze opcje negocjowane przez LCP to: mapa znaków steruj±cych w transmisji asynchronicznej (Asynchronous Control Character Map) i maksymalna jednostka odbioru (Maximum Receive Unit). Istnieje szereg innych opcji konfiguracyjnych LCP, ale s± one zbyt specjalistyczne, by je tu omawiaæ.
Mapa znaków steruj±cych w transmisji asynchronicznej, potocznie zwana map± asynchroniczn± (ang. async map), jest u¿ywana w ³±czach asynchronicznych, takich jak linie telefoniczne, do identyfikowania znaków steruj±cych, które musz± byæ maskowane (zastêpowane przez specyficzn± sekwencjê dwuznakow±), aby nie zosta³y zinterpretowane przez urz±dzenia u¿ywane do zestawiania po³±czenia. Na przyk³ad mo¿na w ten sposób unikn±æ znaków XON i XOFF u¿ywanych przy programowym uzgadnianiu, poniewa¿ ¼le skonfigurowane modemy mog³yby siê zawiesiæ po otrzymaniu XOFF. Inny potencjalnie niebezpieczny znak to [CTRL+l] (znak ucieczkowy telnet). PPP pozwala na maskowanie wszelkich znaków o kodach ASCII od 0 do 31 przez umieszczenie ich w mapie asynchronicznej.
Mapa asynchroniczna jest 32-bitowym ci±giem wyra¿onym w postaci liczby szesnastkowej. Najmniej znacz±cy bit odpowiada znakowi NULL ASCII, a najbardziej znacz±cy bit odpowiada znakowi o dziesiêtnym kodzie 31 w zestawie ASCII. Te 32 znaki ASCII s± znakami steruj±cymi. Je¿eli bit w ci±gu jest ustawiony, sygnalizuje, ¿e odpowiadaj±cy mu znak musi byæ zamaskowany przed przes³aniem przez ³±cze.
Aby powiadomiæ partnera, ¿e nie musi maskowaæ wszystkich znaków steruj±cych, a tylko te kilka, mo¿esz wprowadziæ mapê asynchroniczn± do pppd za pomoc± opcji asyncmap. Na przyk³ad je¿eli musz± byæ maskowane tylko znaki ^S i ^Q (ASCII 17 i 19, powszechnie u¿ywane dla XON i XOFF), u¿yj poni¿szej opcji:

asyncmap 0x000A0000

Konwersja jest prosta, gdy¿ polega jedynie na zamianie liczby binarnej na szesnastkow±. Narysuj sobie 32 bity. Skrajny bit z prawej strony odpowiada znakowi ASCII 00 (NULL), a z lewej strony znakowi ASCII 32 (dziesiêtnie). Ustaw bity odpowiadaj±ce znakom, które chcesz maskowaæ, a wszystkie inne pozostaw wyzerowane. Aby zamieniæ ten ci±g na liczbê szesnastkow±, której oczekuje pppd, po prostu we¼ ka¿de 4 bity i wyra¼ je w postaci liczby szesnastkowej. Powiniene¶ uzyskaæ osiem cyfr szesnastkowych. U³ó¿ z nich ci±g i poprzed¼ znakami "0x", aby wskazaæ, ¿e jest to liczba szesnastkowa. I gotowe.
Pocz±tkowo mapa asynchroniczna jest ustawiona na 0xffffffff, czyli wszystkie znaki steruj±ce s± zamaskowane. Jest to bezpieczna warto¶æ domy¶lna, ale zwykle jest to du¿o wiêcej, ni¿ potrzebujesz. Ka¿dy znak, który znajduje siê w mapie asynchronicznej, daje dwa znaki w czasie przesy³ania przez ³±cze, a wiêc maskowanie jest realizowane kosztem zwiêkszonego wykorzystania ³±cza i zmniejszenia wydajno¶ci.
Zwykle dobrze dzia³a mapa asynchroniczna o warto¶ci 0x0. W takim przypadku ¿adne maskowanie nie jest realizowane.
Maksymalna jednostka odbioru (MRU) przekazuje partnerowi informacjê o maksymalnym rozmiarze ramek HDLC, które chcemy odbieraæ. Choæ MRU mo¿e ci siê kojarzyæ z maksymaln± jednostk± transmisji (MTU), ma z ni± jednak niewiele wspólnego. MTU to parametr urz±dzenia sieciowego j±dra i opisuje maksymalny rozmiar ramki, któr± jest w stanie wys³aæ interfejs. MRU to informacja dla zdalnego koñca, mówi±ca mu, aby nie generowa³ ramek wiêkszych ni¿ MRU. Mimo to interfejs musi mieæ mo¿liwo¶æ odbierania ramek o wielko¶ci do 1500 bajtów.
Wybór MRU nie jest wiêc kwesti± tego, co ³±cze mo¿e przenie¶æ, ale raczej tego, co daje najlepsz± przepustowo¶æ. Je¿eli zamierzasz korzystaæ z aplikacji interaktywnych, ustawienie MRU na warto¶ci tak ma³e jak 296 bajtów jest dobrym pomys³em, a sporadyczne wiêksze pakiety (powiedzmy sesji FTP) nie spowoduj±, ¿e twój kursor bêdzie "skaka³". Aby pppd ¿±da³o MRU o warto¶ci 296, musisz podaæ opcjê mru 296. Jednak ma³e MRU ma sens tylko, je¿eli masz kompresjê nag³ówków VJ (jest ona domy¶lnie w³±czona), poniewa¿ w przeciwnym razie tracisz spor± czê¶æ ³±cza na przesy³anie nag³ówka IP ka¿dego datagramu.
pppd rozumie tak¿e kilka opcji LCP konfiguruj±cych ogólne zachowanie procesu negocjacji, takich jak maksymalna liczba ¿±dañ konfiguracyjnych, które mog± byæ wymienione przed roz³±czeniem ³±cza. Dopóki dok³adnie nie wiesz, co robisz, pozostaw te opcje w spokoju.
I na koniec, istniej± dwie opcje, które dotycz± powtarzania komunikatów LCP. PPP definiuje dwa komunikaty Echo Request i Echo Response. pppd u¿ywa tej funkcji do sprawdzania, czy ³±cze wci±¿ dzia³a. Mo¿esz j± w³±czyæ za pomoc± opcji lcp-echo-interval, podaj±c czas w sekundach. Je¿eli w zadanym przedziale czasu z hosta zdalnego nie zostan± odebrane ¿adne ramki, pppd wygeneruje Echo Request i bêdzie oczekiwa³ a¿ partner zwróci Echo Response. Je¿eli partner nie odpowie, po³±czenie jest przerywane po wys³aniu pewnej liczby ¿±dañ. Liczba ta mo¿e byæ ustalona za pomoc± opcji icp-echo-failure. Domy¶lnie funkcja ta jest wy³±czona.

Uwagi na temat bezpieczeñstwa
?le skonfigurowany demon PPP mo¿e stanowiæ powa¿ne zagro¿enie. Mo¿e pozwoliæ ka¿demu na pod³±czenie swojego komputera do twojej sieci Ethernet (co jest bardzo niebezpiecznie). W tym podrozdziale omówimy kilka ¶rodków zaradczych, dziêki którym konfiguracja twojego PPP bêdzie bezpieczna.

Do skonfigurowania urz±dzenia sieciowego i tablicy rutingu s± potrzebne uprawnienia roota. Zwykle rozwi±zuje siê ten problem, uruchamiaj±c pppd z prawem setuid root. Jednak pppd pozwala u¿ytkownikom na ustawianie ró¿nych opcji maj±cych wp³yw na bezpieczeñstwo.
Aby siê zabezpieczyæ przed atakami, na które mo¿e naraziæ nas u¿ytkownik grzebi±cy w opcjach demona pppd, powiniene¶ ustawiæ kilka domy¶lnych warto¶ci w pliku globalnym /etc/ppp/options, na przyk³ad w sposób pokazany w przyk³adowym pliku we wcze¶niejszym podrozdziale U¿ywanie plików opcji. Niektóre z nich, takie jak opcje uwierzytelniania, nie mog± byæ zmienione przez u¿ytkownika i dziêki temu daj± sensowne zabezpieczenie przed manipulacjami. Wa¿n± opcj± zabezpieczaj±c± jest connect. Je¿eli masz zamiar pozwoliæ u¿ytkownikom nie maj±cym uprawnieñ roota na wywo³ywanie pppd i ³±czenie siê z Internetem, powiniene¶ zawsze dodaæ opcje connect i noauth w globalnym pliku opcji /etc/ppp/options. Je¿eli tego nie zrobisz, u¿ytkownicy bêd± mogli uruchamiaæ ró¿ne polecenia z prawami u¿ytkownika root, podaj±c je jako polecenia connect w wierszu poleceñ pppd albo umieszczaj±c w swoim prywatnym pliku opcji.
Innym dobrym pomys³em jest ograniczenie liczby u¿ytkowników, którym wolno uruchamiaæ pppd. W tym celu nale¿y utworzyæ grupê w pliku /etc/group i dodaæ do niej tylko tych, którzy mog± uruchamiaæ demona PPP. Nastêpnie trzeba zmieniæ prawa do demona pppd, tak aby mia³a do niego dostêp ta grupa i usun±æ prawo uruchamiania dla pozosta³ych osób. Zak³adaj±c, ¿e nazwa³e¶ swoj± grupê dialout, mo¿esz zrobiæ co¶ takiego:

# chown root /usr/sbin/pppd
# chgrp dialout /usr/sbin/pppd
# chmod 4750 /usr/sbin/pppd

Oczywi¶cie musisz siê zabezpieczyæ tak¿e przed systemami, z którymi ³±czysz siê przez PPP. Aby obroniæ siê przed hostami udaj±cymi kogo innego, powiniene¶ zawsze wymagaæ od drugiej strony jakiego¶ uwierzytelnienia. Nie powiniene¶ pozwalaæ obcym hostom na u¿ywanie wybranych przez nie adresów IP. Nale¿y im natomiast wskazaæ kilka dogodnych dla ciebie adresów. Nastêpny podrozdzia³ szczegó³owo opisuje te tematy.
Uwierzytelnianie w PPP
W PPP ka¿dy system mo¿e za¿±daæ uwierzytelnienia partnera za pomoc± jednego z dwóch protoko³ów uwierzytelniaj±cych: protoko³u uwierzytelniania has³em (Password Authentication Protocol - PAP) i protoko³u uwierzytelnienia przez uzgodnienie (Challenge Handshake Authentication Protocol - CHAP). Gdy po³±czenie zostanie zestawione, ka¿da strona mo¿e za¿±daæ od drugiej uwierzytelnienia siê, bez wzglêdu na to, czy jest stron± wywo³uj±c±, czy wywo³ywan±. W dalszym opisie bêdziemy lu¼no mówili o "kliencie" i "serwerze", gdy bêdziemy chcieli rozró¿niæ system wysy³aj±cy ¿±danie uwierzytelnienia od systemu na nie odpowiadaj±cego. Demon PPP mo¿e za¿±daæ uwierzytelnienia partnera, wysy³aj±c ¿±danie konfiguracyjne LCP identyfikuj±ce wybrany protokó³ uwierzytelniania.
PAP a CHAP
PAP, oferowany przez wielu us³ugodawców internetowych, dzia³a w zasadzie w ten sam sposób jak normalna procedura logowania. Klient uwierzytelnia siê, wysy³aj±c nazwê u¿ytkownika i (opcjonalnie zaszyfrowane) has³o do serwera, który porównuje je z baz± danych sekretów*. Ta technika nie stanowi zabezpieczenia przed pods³uchiwaczami, którzy mog± spróbowaæ uzyskaæ has³o, s³uchaj±c danych przesy³anych przez ³±cze szeregowe, i atakowaæ metod± prób i b³êdów.
CHAP nie ma tych niedostatków. W przypadku CHAP serwer wysy³a losowo wygenerowany ci±g "wywo³ania" do klienta wraz ze swoj± nazw± hosta. Klient wykorzystuje nazwê hosta do wyszukania odpowiedniego sekretu, ³±czy go z wywo³aniem i szyfruje ci±g za pomoc± jednokierunkowej funkcji mieszaj±cej. Wynik jest zwracany do serwera wraz z nazw± hosta klienta. Serwer teraz wykonuje te same obliczenia i potwierdza wiarygodno¶æ klienta, je¿eli uzyska ten sam wynik.
CHAP równie¿ nie wymaga, by klient sam uwierzytelnia³ siê tylko na pocz±tku, ale wysy³a wywo³ania w regularnych odstêpach czasu w celu sprawdzenia, czy za klienta nie zosta³ podstawiony kto¶ niepo¿±dany, na przyk³ad przez prze³±czenie linii telefonicznych, lub czy nie wyst±pi³ b³±d konfiguracji modemu, który spowodowa³, ¿e demon PPP nie zauwa¿y³, ¿e oryginalne po³±czenie zosta³o zerwane, a kto inny wdzwoni³ siê na to miejsce.
pppd przechowuje sekrety dla PAP i CHAP w dwóch oddzielnych plikach /etc/ppp/ pap-secrets i /etc/ppp/chap-secrets. Wpisuj±c zdalnego hosta w jednym lub drugim z nich, kontrolujesz, który z tych protoko³ów (PAP czy CHAP) jest u¿ywany do uwierzytelniania siê u twojego partnera i odwrotnie.
Domy¶lnie pppd nie wymaga uwierzytelniania zdalnego hosta, ale zgodzi siê sam uwierzytelniæ, gdy za¿±da tego zdalny host. Poniewa¿ CHAP jest du¿o silniejszym protoko³em ni¿ PAP, pppd próbuje zawsze go u¿ywaæ, o ile to jest tylko mo¿liwe. Je¿eli druga strona nie obs³uguje CHAP, albo je¿eli pppd nie mo¿e znale¼æ w pliku chap-secrets sekretu CHAP dla zdalnego systemu, prze³±cza siê na PAP. Je¿eli nie istnieje sekret PAP dla drugiej strony, pppd w ogóle odmawia uwierzytelnienia. W konsekwencji po³±czenie jest zrywane.
Zachowanie to mo¿esz zmieniæ na kilka sposobów. Gdy podasz s³owo kluczowe auth, pppd za¿±da, by druga strona sama siê uwierzytelni³a. pppd zgadza siê u¿yæ PAP lub CHAP, dopóki posiada w bazie danych odpowiednie sekrety drugiej strony. Istniej± inne opcje pozwalaj±ce na w³±czenie lub wy³±czenie zadanego protoko³u uwierzytelniania, ale nie bêdziemy ich tutaj opisywaæ.
Gdyby wszystkie systemy, z którymi ³±czysz siê przez PPP, zgadza³y siê same uwierzytelniaæ, powiniene¶ umie¶ciæ opcjê auth w globalnym pliku /etc/ppp/options i zdefiniowaæ has³a dla ka¿dego z tych systemów w pliku chap-secrets. Je¿eli system nie obs³uguje CHAP, dodaj dla niego wpis w pliku pap-secrets. Dziêki temu nieautoryzowane systemy nie pod³±cz± siê do twojego hosta.
Dwa nastêpne podrozdzia³y omawiaj± dwa pliki sekretów PPP: pap-secrets i chap-secrets. Znajduj± siê one w katalogu /etc/ppp i zawieraj± trójki klient, serwer i has³o, po których opcjonalnie nastêpuje lista adresów IP. Interpretacja pól klienta i serwera jest ró¿na dla CHAP i PAP i zale¿y od tego, czy sami siê uwierzytelniamy u partnera, czy ¿±damy, aby serwer uwierzytelni³ siê u nas.
Plik sekretów CHAP
Gdy pppd musi siê uwierzytelniæ na serwerze za pomoc± CHAP, przeszukuje plik chap-secrets w poszukiwaniu wpisu, w którym pole klienta jest takie samo jak lokalna nazwa hosta, a pole serwera jest takie samo jak nazwa hosta zdalnego wys³ana w wywo³aniu CHAP. Gdy wymagane jest samodzielne uwierzytelnienie siê partnera, role po prostu siê odwracaj±: pppd wtedy szuka wpisu, w którym pole klienta jest takie samo jak nazwa hosta zdalnego (wys³ana w odpowiedzi CHAP klienta), a pole serwera jest takie samo jak nazwa hosta lokalnego.
Poni¿ej pokazano przyk³adowy plik chap-secrets dla hosta vlager*. 

# Sekrety CHAP dla vlager.vbrew.com
#
# klient           serwer           sekret                 adresy
#--------------------------------------------------------------------------
vlager.vbrew.com   c3po.lucas.com   "Use The Source Luke"  vlager.vbrew.com
c3po.lucas.com     vlager.vbrew.com "arttoo! arttoo!"      c3po.lucas.com
*                  vlager.vbrew.com "TuXdrinksVicBitter"   pub.vbrew.com

Gdy vlager zestawi po³±czenie PPP z c3po, ten poprosi vlagera o uwierzytelnienie siê przez wys³anie wywo³ania CHAP. pppd na ho¶cie vlager sprawdzi nastêpnie plik chap-secrets w poszukiwaniu wpisu, w którym pole klienta ma warto¶æ vlager. vbrew.com, a pole serwera ma warto¶æ c3po.lucas.com, i znajdzie pierwszy wiersz pokazany w przyk³adzie.  Nastêpnie na podstawie ci±gu wywo³ania generuje odpowied¼ i sekret CHAP (Use The Source Luke) i wysy³a je do c3po.
pppd tworzy tak¿e wywo³anie CHAP dla c3po, zawieraj±ce unikatowy ci±g wywo³ania i pe³n± nazwê domenow± hosta, vlager.vbrew.com. Host c3po tworzy odpowied¼ CHAP w omówiony sposób i zwraca j± do vlagera. pppd nastêpnie wydobywa nazwê hosta klienta (c3po.vbrew.com) z odpowiedzi i przeszukuje plik chap-secrets w celu znalezienia wiersza zawieraj±cego klienta c3po i serwer vlager. Drugi wiersz pasuje, a wiêc pppd ³±czy wywo³anie CHAP i sekret arttoo! arttoo!, szyfruje je i porównuje wynik z odpowiedzi± CHAP klienta c3po.
Czwarte pole opcjonalne zawiera adresy IP, które s± dopuszczalne dla klienta o nazwie zawartej w pierwszym polu. Adresy mog± byæ podane w zapisie liczbowym lub jako nazwy hostów, które s± nastêpnie rozwi±zywane przez resolver. Na przyk³ad, gdyby w czasie negocjacji IPCP, klient c3po za¿±da³ u¿ycia adresu IP, którego nie ma na li¶cie, ¿±danie zosta³oby odrzucone, a sesja IPCP zakoñczona. Dlatego w pokazanym powy¿ej przyk³adowym pliku c3po mo¿e u¿ywaæ w³asnego adresu IP. Gdyby pole adresu by³o puste, dopuszczalne by³yby wszystkie adresy, a warto¶æ "-" zapobiega³aby w ogóle u¿yciu adresu IP w przypadku tego klienta.
Trzeci wiersz w przyk³adowym pliku chap-secrets pozwala, aby dowolny host stworzy³ po³±czenie PPP z vlagerem, poniewa¿ pole klienta lub serwera zawiera znak *, który pasuje do dowolnej nazwy hosta. Jedynym wymogiem jest to, ¿e pod³±czaj±cy siê host musi znaæ sekret i u¿ywaæ adresu IP zwi±zanego z hostem pub.vbrew.com. Wpisy z wyra¿eniami regularnymi w nazwie hosta mog± pojawiæ siê w dowolnym miejscu pliku sekretów, poniewa¿ pppd zawsze bêdzie u¿ywaæ tego, co najlepiej pasuje do pary serwer-klient.
pppd mo¿e potrzebowaæ nieco pomocy przy tworzeniu nazw hostów. Jak wcze¶niej wyja¶nili¶my, nazwa hosta zdalnego jest zawsze dostarczana przez drug± stronê w wywo³aniu CHAP lub w pakiecie z odpowiedzi±. Nazwa hosta lokalnego jest uzyskiwana przez domy¶lne wywo³anie funkcji gethostname(2). Gdyby¶ ustawi³ nazwê systemu na niepe³n± nazwê hosta, musia³by¶ dostarczyæ pppd tak¿e nazwê domeny, u¿ywaj±c opcji domain:

# pppd ... domain vbrew.com

Ta klauzula dodaje nazwê domeny browaru do vlagera w przypadku wszelkich dzia³añ zwi±zanych z uwierzytelnianiem. Inne opcje modyfikuj±ce pojêcie nazwy hosta lokalnego pppd to usehostname i name. Gdy w wierszu poleceñ podasz lokalny adres IP, u¿ywaj±c lokalny:zdalny i lokalny w postaci nazw, a nie liczb, pppd   uznaje za nazwê hosta lokalnego.
Plik sekretów PAP
Plik sekretów PAP jest bardzo podobny do pliku CHAP. Pierwsze dwa pola zawsze zawieraj± nazwê u¿ytkownika i nazwê serwera. Trzecie pole zawiera sekret PAP. Gdy zdalny host wysy³a swoje informacje uwierzytelniaj±ce, pppd wykorzystuje wpis, w którym pole serwera odpowiada nazwie lokalnego hosta, a pole u¿ytkownika odpowiada nazwie u¿ytkownika wys³anej w ¿±daniu. Gdy musimy wys³aæ swoje referencje do partnera, pppd wykorzystuje sekret z wiersza, w którym pole u¿ytkownika odpowiada nazwie lokalnego hosta, a pole serwera nazwie hosta zdalnego.

Przyk³adowy plik sekretów PAP mo¿e wygl±daæ nastêpuj±co:

# /etc/ppp/pap-secrets
#
# u¿ytkownik   serwer    sekret         adresy
vlager-pap     c3po      cresspahl      vlager.vbrew.com
c3po           vlager    DonaldGNUth    c3po.lucas.com

Pierwszy wiersz jest u¿ywany do uwierzytelnienia siê przy komunikacji z c3po. Drugi opisuje, jak u¿ytkownik c3po ma siê uwierzytelniæ u nas.
Nazwa vlager-pap w pierwszej kolumnie to nazwa u¿ytkownika, któr± wysy³amy do c3po. Domy¶lnie jako nazwê u¿ytkownika pppd przyjmuje nazwê hosta lokalnego, ale mo¿esz podaæ tak¿e inn± nazwê, wpisuj±c opcjê user, a za ni± nazwê.
Przy wybieraniu wpisu z pliku pap-secrets w celu zidentyfikowania nas na ho¶cie zdalnym, pppd musi znaæ nazwê hosta zdalnego. Poniewa¿ pppd samo nie ma mo¿liwo¶ci siê tego dowiedzieæ, musisz wpisaæ j± w wierszu poleceñ, u¿ywaj±c s³owa kluczowego remotename, a po nim nazwy hosta. Aby za pomoc± powy¿szego wpisu na przyk³ad uwierzytelniæ siê na c3po, musimy dodaæ poni¿sz± opcjê do wiersza poleceñ pppd:

# pppd ... remotename c3po user vlager-pap

W czwartym polu pliku sekretów PAP (i wszystkich kolejnych polach) mo¿esz wpisaæ adresy IP, które maj± prawo komunikowaæ siê z danym hostem, podobnie jak w pliku sekretów CHAP. Partner bêdzie mia³ prawo ¿±daæ tylko adresów z tej listy. W przyk³adowym pliku wpis, którego c3po u¿ywa, gdy siê wdzwania - wiersz, gdzie c3po jest klientem - pozwala na u¿ycie jego rzeczywistego adresu IP i ¿adnego innego.
Zauwa¿, ¿e PAP jest raczej s³ab± metod± uwierzytelniania i powiniene¶ u¿ywaæ CHAP, gdzie to tylko mo¿liwe. Dlatego nie bêdziemy dok³adniej omawiali PAP: je¿eli chcesz go u¿ywaæ, wiêcej na temat jego funkcji znajdziesz na stronach podrêcznika elektronicznego pppd(8).
Debugowanie twojej konfiguracji PPP
Domy¶lnie pppd zapisuje wszelkie ostrze¿enia i b³êdy za pomoc± funkcji daemon programu syslog. Do pliku syslog.conf musisz dodaæ wpis, który przekierowuje komunikaty do pliku lub na konsolê. W przeciwnym razie syslog bêdzie je po prostu ignorowa³. Poni¿ej pokazany wpis powoduje wysy³anie wszystkich komunikatów do pliku /var/log/ppp-log:

daemon.*      /var/log/ppp-log

Je¿eli twoja konfiguracja PPP nie dzia³a poprawnie, powiniene¶ zajrzeæ do tego pliku. Je¿eli zawarte w nim komunikaty nie pomog±, mo¿esz w³±czyæ dodatkowe debugowanie, u¿ywaj±c opcji debug. Spowoduje to, ¿e pppd bêdzie zapisywaæ zawarto¶æ wszystkich pakietów steruj±cych, wys³anych lub odebranych przez syslog. Wszystkie komunikaty bêd± nastêpnie przekierowywane do funkcji daemon.

I na koniec najbardziej drastyczny sposób na poradzenie sobie z problemem, czyli w³±czenie debugowania na poziomie j±dra - robi siê to, wywo³uj±c pppd z opcj± kdebug. Za ni± wpisujemy argument liczbowy bêd±cy sum± nastêpuj±cych warto¶ci: 1 - ogólne komunikaty debuguj±ce, 2 - wypisywanie zawarto¶ci wszystkich przychodz±cych ramek HDLC i 4 - sterownik wypisuje wszystkie wychodz±ce ramki HDLC. Aby przechwyciæ komunikaty debuguj±ce j±dra, musisz uruchomiæ demona syslogd, który czyta plik /proc/kmsg albo demona klogd. Oba te sposoby powoduj± przekierowanie komunikatów debuguj±cych do funkcji kernel demona syslog.
Bardziej zaawansowana konfiguracja PPP
Choæ konfigurowanie PPP tak, by dzwoniæ do sieci Internet, jest najpowszechniejszym zastosowaniem, s± w¶ród was tacy, którzy maj± bardziej zaawansowane wymagania. W tym podrozdziale omówimy kilka zaawansowanych konfiguracji mo¿liwych do uzyskania w PPP w Linuksie.
Serwer PPP
Uruchomienie pppd jako serwera jest jedynie kwesti± skonfigurowania urz±dzenia szeregowego tty na wywo³ywanie pppd z odpowiednimi opcjami, gdy zostan± odebrane przychodz±ce dane. Aby przeprowadziæ tak± konfiguracjê, mo¿na utworzyæ specjalne konto, powiedzmy ppp, i jako pow³okê logowania podaæ program wywo³uj±cy pppd z tymi opcjami. Alternatywnie, je¿eli chcesz korzystaæ z uwierzytelniania PAP lub CHAP, mo¿esz u¿yæ programu mgetty do obs³ugi swojego modemu i wykorzystaæ jego funkcjê "/AutoPPP/".
Aby stworzyæ serwer wykorzystuj±cy metodê logowania, do pliku /etc/passwd musisz dodaæ wiersz podobny do pokazanego poni¿ej*:

ppp:x:500:200:Public PPP Account:/tmp:/etc/ppp/ppplogin

Je¿eli twój system obs³uguje system hase³ shadow, musisz dodaæ tak¿e wpis do pliku /etc/shadow:

ppp:!:10913:0:99999:7:::

Oczywi¶cie u¿yte przez ciebie identyfikatory UID i GID zale¿± od tego, który u¿ytkownik ma byæ w³a¶cicielem po³±czenia i jak je utworzy³e¶. Za pomoc± polecenia passwd musisz tak¿e nadaæ has³o wspomnianemu kontu.
Skrypt ppplogin móg³by wygl±daæ tak:

#!/bin/sh
# ppplogin - skrypt uruchamiaj±cy pppd po zalogowaniu
mesg n
stty -echo
exec pppd -detach silent modem crtscts

Polecenie mesg wy³±cza innym u¿ytkownikom mo¿liwo¶æ zapisu do tty, na przyk³ad za pomoc± polecenia write. Polecenie stty wy³±cza powtarzanie znaków. Jest ono niezbêdne, gdy¿ w przeciwnym razie wszystko, co wy¶le druga strona, bêdzie powtarzane. Najwa¿niejsz± opcj± podan± w pppd jest -detach, poniewa¿ zapobiega od³±czeniu pppd od kontroluj±cego tty. Gdyby¶my nie podali tej opcji, program przeszed³by do pracy w tle, powoduj±c zakoñczenie skryptu pow³oki. Na skutek tego nast±pi³oby roz³±czenie linii i utrata po³±czenia. Opcja silent sprawia, ¿e przed rozpoczêciem wysy³ania, pppd czeka na odebranie pakietu od dzwoni±cego systemu. Ta opcja nie pozwala te¿ na pojawienie siê w transmisji czasów oczekiwania, je¶li system dzwoni±cy jest zbyt wolny przy uruchamianiu klienta PPP. Opcja modem powoduje, ¿e pppd steruje liniami kontrolnymi modemu pod³±czonego do portu szeregowego. Zawsze powiniene¶ w³±czaæ tê opcjê, gdy u¿ywasz pppd z modemem. Opcja crtscts w³±cza uzgadnianie sprzêtowe.
Oprócz wymienionych, s± te¿ jeszcze opcje o innym dzia³aniu. Na przyk³ad podaj±c auth w wierszu wywo³ania pppd lub w globalnym pliku opcji, mo¿esz wymusiæ jakie¶ uwierzytelnienie. Strona podrêcznika elektronicznego omawia bardziej szczegó³owe opcje w³±czania i wy³±czania poszczególnych protoko³ów uwierzytelniania.
Gdyby¶ chcia³ u¿ywaæ demona mgetty, trzeba jedynie skonfigurowaæ go tak, aby obs³ugiwa³ urz±dzenie szeregowe, do którego pod³±czony jest modem (szczegó³y znajdziesz w podrozdziale Konfigurowanie demona mgetty w rozdziale 4), skonfigurowaæ pppd na uwierzytelnianie przez PAP lub CHAP za pomoc± odpowiednich opcji w pliku options i wreszcie dodaæ do pliku /etc/mgetty/login.config co¶ takiego:

# Konfigurowanie mgetty do automatycznego wykrywania
# przychodz±cych wywo³añ PPP i uruchomienie demona pppd do 
# obs³ugi po³±czenia
#
/AutoPPP/ -   ppp   /usr/sbin/pppd auth -chap +pap login

Pierwsze pole to takie magiczne zaklêcie u¿ywane do wykrywania, czy nadchodz±ce po³±czenie jest typu PPP. Nie mo¿esz zmieniaæ pisowni tego ci±gu, gdy¿ istotne s± w nim du¿e i ma³e litery. Trzecia kolumna to nazwa u¿ytkownika, który pojawia siê na li¶cie who, gdy kto¶ siê zaloguje. Pozosta³a czê¶æ wiersza to polecenie do wywo³ania. Za pomoc± takiego zapisu jak w naszym przyk³adzie w³±czamy uwierzytelnianie PAP, wy³±czamy CHAP i mówimy, ¿e plik passwd powinien byæ u¿yty do znalezienia u¿ytkowników do uwierzytelnienia. Zapewne co¶ podobnego chcesz uzyskaæ. Pamiêtaj - mo¿esz okre¶liæ opcje w pliku options lub je¿eli wolisz, w wierszu poleceñ.
Oto krótka lista kolejnych zadañ do wykonania, je¿eli chcesz uruchomiæ na swoim komputerze wdzwaniany serwer PPP. Sprawd¼, czy ka¿dy krok zosta³ poprawnie zrealizowany, zanim przejdziesz do nastêpnego:
1.
Skonfigurowanie modemu do trybu automatycznego odpowiadania. W modemach kompatybilnych ze standardem Hayesa, trzeba podaæ komendê ATS0=3. Je¿eli zamierzasz u¿ywaæ demona mgetty, nie jest to konieczne.
2.
Skonfigurowanie urz±dzenia szeregowego za pomoc± polecenia getty, aby odpowiada³o na przychodz±ce po³±czenia. Powszechnie stosowan± odmian± getty jest mgetty.

3.
Rozwa¿enie uwierzytelniania. Czy te klienty bêd± uwierzytelniaæ siê za pomoc± PAP, CHAP, czy logowania systemowego?
4. 
Skonfigurowanie pppd jako serwera zgodnie z tym, co napisali¶my w tym podrozdziale.
5. 
Rozwa¿enie rutingu. Czy bêdziesz musia³ udostêpniæ klientom trasê do sieci? Mo¿na to zrobiæ za pomoc± skryptu ip-up.
Dzwonienie na ¿±danie
Je¿eli istnieje ruch IP, który ma byæ przesy³any przez ³±cze, zestawianie po³±czenia ze zdalnym hostem mo¿na zrealizowaæ przez dzwonienie na ¿±danie (ang. demand dialing). Jest ono najbardziej u¿yteczne, gdy nie mo¿esz na sta³e pozostawiæ swojej linii telefonicznej w stanie po³±czenia z dostawc± Internetu. Na przyk³ad gdyby¶ musia³ p³aciæ za rozmowy lokalne wed³ug czasu, taniej by³oby u¿ywaæ linii tylko wtedy, gdy jest potrzebna, i roz³±czaæ siê, gdy nie korzystasz z Internetu.
Tradycyjne rozwi±zania w Linuksie wykorzystywa³y polecenie diald, które dzia³a³o dobrze, ale mia³o nieco skomplikowan± konfiguracjê. Wersje 2.3.0 i nowsze demona PPP maj± wbudowan± obs³ugê dzwonienia na ¿±danie i konfiguruje siê j± do¶æ ³atwo. Aby dzia³a³a, musisz u¿yæ tak¿e nowszego j±dra. Nadaj± siê wszystkie j±dra nowsze ni¿ 2.0.
Aby skonfigurowaæ demonowi pppd dzwonienie na ¿±danie, wystarczy dodaæ opcje w swoim pliku options lub w wierszu poleceñ pppd. Poni¿sza tabela stanowi skrótowy opis opcji zwi±zanych z dzwonieniem na ¿±danie:
Opcja	Opis
demand
Ta opcja mówi, ¿e ³±cze PPP powinno byæ prze³±czone do trybu dzwonienia na ¿±danie. Zostanie utworzone urz±dzenie sieciowe PPP, ale polecenie connect nie bêdzie u¿ywane, dopóki z lokalnego hosta nie zostanie wys³any datagram. Ta opcja jest obowi±zkowa, aby dzwonienie na ¿±danie dzia³a³o.
archive-filter
wyra¿enie
Ta opcja pozwala ci okre¶liæ, które pakiety danych s± uznawane za aktywny ruch. Wszelki ruch pasuj±cy do zadanej regu³y bêdzie restartowa³ zegar dzwonienia na ¿±danie, a pppd bêdzie dalej czekaæ, zanim roz³±czy liniê. Sk³adnia filtru zosta³a zapo¿yczona z polecenia tcpdump. Domy¶lny filtr pasuje do wszystkich datagramów.
holdoff n
Ta opcja pozwala na okre¶lenie minimalnego czasu (w sekundach), jaki nale¿y odczekaæ przed roz³±czeniem linii, je¿eli nie ma transmisji. Je¿eli po³±czenie nie dzia³a, a pppd my¶li, ¿e jest ono ca³y czas aktywne, zostanie ono ponownie uruchomione, kiedy up³ynie czas okre¶lony t± opcj±. Nie dotyczy ona jednak ponownego po³±czenia po up³yniêciu czasu ja³owego oczekiwania.
idle n


Je¿eli ta opcja jest skonfigurowana, pppd roz³±czy liniê, gdy up³ynie podany czas. Czasy ja³owego oczekiwania s± okre¶lane w sekundach. Ka¿dy nowy pakiet danych zeruje ten licznik.

Prosta konfiguracja dzwonienia na ¿±danie mog³aby wygl±daæ jako¶ tak:

demand
holdoff 60
idle 180

Ta konfiguracja powoduje w³±czenie dzwonienia na ¿±danie, odczekanie 60 sekund przed ponownym zestawieniem nieudanego po³±czenia i roz³±czenie, je¿eli w ci±gu 180 sekund nie pojawi± siê ¿adne aktywne dane na ³±czu.
Sta³e po³±czenie telefoniczne
Po³±czenie sta³e oznacza, ¿e linia jest ca³y czas w stanie aktywno¶ci, czyli jest pod³±czona do sieci. Istnieje niewielka ró¿nica pomiêdzy dzwonieniem na ¿±danie a po³±czeniem sta³ym. Po³±czenie sta³e jest automatycznie zestawiane zaraz po uruchomieniu demona PPP, a gdy linia telefoniczna obs³uguj±ca ³±cze ulegnie roz³±czeniu, podejmowana jest ponowna próba po³±czenia. Po³±czenie sta³e gwarantuje, ¿e ³±cze jest dostêpne przez ca³y czas dziêki automatycznemu odtwarzaniu uszkodzonego po³±czenia.
Mo¿esz byæ w tej szczê¶liwej sytuacji, ¿e nie musisz p³aciæ za rozmowy telefoniczne. Byæ mo¿e s± to rozmowy lokalne i dlatego s± darmowe, albo s± op³acone przez twoj± firmê. Opcja sta³ego po³±czenia jest niezmiernie przydatna w takiej sytuacji. Je¿eli p³acisz za swoje rozmowy, musisz byæ bardziej ostro¿ny. Je¿eli p³acisz za czas na linii, sta³e z ca³± pewno¶ci± nie jest dla ciebie, chyba ¿e naprawdê musisz je mieæ przez dwadzie¶cia cztery godziny na dobê. Je¿eli p³acisz za nawi±zanie po³±czenia, a nie za czas trwania rozmowy, musisz zabezpieczyæ siê przed sytuacjami, które mog± powodowaæ, ¿e twój modem bêdzie bez koñca nawi±zywa³ nowe po³±czenia. Demon pppd ma tak± opcjê.
Aby uruchomiæ sta³e po³±czenie telefoniczne, musisz do³±czyæ opcjê persist w jednym z plików opcji pppd. To wystarczy, aby pppd automatycznie wywo³ywa³o polecenie okre¶lone w opcji connect, które odtworzy po³±czenie w razie jego zerwania. Je¿eli martwisz siê o zbyt czêste dzwonienie modemu (w przypadku, gdy modem lub serwer po drugiej stronie zostan± uszkodzone), mo¿esz u¿yæ opcji holdoff, aby ustawiæ minimalny czas, jaki pppd musi odczekaæ przed prób± ponownego po³±czenia. Opcja ta nie rozwi±zuje problemu utraty pieniêdzy za po³±czenia w czasie awarii, ale przynajmniej redukuje sumê.
Typowa konfiguracja mog³aby mieæ ustawione nastêpuj±ce opcje zwi±zane ze sta³ym po³±czeniem:

persist
holdoff 600

Czas oczekiwania na ponowne wybranie numeru jest okre¶lony w sekundach. W naszym przyk³adzie pppd czeka pe³ne piêæ minut od momentu zerwania po³±czenia, zanim zacznie ponownie dzwoniæ.
Sta³e po³±czenie telefoniczne mo¿e wspó³wyst±piæ z dzwonieniem na ¿±danie. Aby tak siê sta³o, nale¿y u¿yæ opcji idle do roz³±czania linii, gdy jest nieaktywna przez zadany okres czasu. Nie wydaje nam siê, by wiele osób chcia³o stosowaæ to rozwi±zanie, ale scenariusz ten jest w skrócie opisany na stronie podrêcznika elektronicznego pppd, gdyby¶ chcia³ go wykorzystaæ.


9
Firewall TCP/IP


Rozdzia³ 9: Firewall TCP/IP


Bezpieczeñstwo jest coraz wa¿niejsze zarówno dla firm, jak i osób prywatnych. Internet daje wszystkim doskona³e narzêdzia do rozpowszechniania informacji o sobie i uzyskiwania informacji od innych, ale równocze¶nie niesie ze sob± zagro¿enia, których wcze¶niej nie by³o: przestêpstwa komputerowe, kradzie¿ informacji i z³o¶liwe zniszczenia.
Nieuprawnione i nieuczciwe osoby, które uzyskuj± dostêp do systemu komputerowego, mog± zgadn±æ has³a czy wykorzystaæ b³êdy i naturalne zachowanie pewnych programów, aby za³o¿yæ sobie konto na danym komputerze. Gdy ju¿ mog± siê zalogowaæ, maj± dostêp do ró¿nych informacji, nawet do wa¿nych informacji handlowych, takich jak plany marketingowe, szczegó³y dotycz±ce nowego projektu czy bazy danych o klientach, które mog± wykorzystaæ na szkodê ich w³a¶ciciela. Uszkodzenie lub modyfikacja tego typu danych mo¿e naraziæ na powa¿ne k³opoty firmê.
Najbezpieczniejszym sposobem unikniêcia takich powszechnych zagro¿eñ jest uniemo¿liwienie dostêpu do sieci osobom nieuprawnionym. Z pomoc± przychodz± tutaj firewalle.

Stworzenie bezpiecznych firewalli jest sztuk±. Wymaga dobrego zrozumienia technologii, ale co równie wa¿ne, wymaga zrozumienia filozofii siêgaj±cej poza ich konstrukcjê. Nie bêdziemy tu opisywali wszystkiego, co musisz wiedzieæ. Radzimy, by¶ wykona³ pewne dodatkowe badania, zanim zaufasz jakiej¶ szczególnej architekturze firewalla, równie¿ tej, któr± tutaj pokazujemy.
Istnieje wystarczaj±co du¿o materia³u na temat konfiguracji i budowy firewalla, by wype³niæ nim ca³± ksi±¿kê; do naprawdê doskona³ych ¼róde³ nale¿± miêdzy innymi:
Building Internet Firewalls

autorstwa D. Chapmana i E. Zwicky (O'Reilly; wyd. polskie nak³adem Wydawnictwa RM - w przygotowaniu). Podrêcznik wyja¶niaj±cy, jak utworzyæ i zainstalowaæ firewalle w Uniksie, Linuksie i Windows NT oraz jak skonfigurowaæ us³ugi internetowe do pracy z firewallami.

Firewalls and Internet Security

autorstwa W. Cheswicka i S. Bellovina (wyd. Addison Wesley). Ta ksi±¿ka omawia filozofiê budowy i implementacji firewalli.
W tym rozdziale skupimy siê na zagadnieniach technicznych, specyficznych dla Linuksa. Pó¼niej poka¿emy przyk³adow± konfiguracjê firewalla, która powinna s³u¿yæ jako u¿yteczny punkt wyj¶cia do w³asnej konfiguracji, ale jak to bywa w zagadnieniach bezpieczeñstwa, nigdy nikomu nie ufaj. Dwa razy sprawd¼ projekt, upewnij siê, ¿e go rozumiesz, a nastêpnie zmodyfikuj tak, aby pasowa³ do twoich potrzeb. Pewno¶æ to bezpieczeñstwo.
Metody ataku
Dla administratora sieci wa¿ne jest, by rozumia³ istotê potencjalnych ataków zagra¿aj±cych bezpieczeñstwu komputera. Pokrótce opiszemy najwa¿niejsze typy ataków, tak by¶ lepiej zrozumia³, przed czym chroni ciê firewall IP w Linuksie. Aby byæ pewnym, ¿e jeste¶ w stanie zabezpieczyæ swoj± sieæ przed innymi typami ataków, powiniene¶ siêgn±æ po dodatkow± lekturê. Oto najwa¿niejsze metody ataku i sposoby zabezpieczania siê przed nimi:
Nieautoryzowany dostêp

Oznacza po prostu, ¿e ludzie, którzy nie powinni korzystaæ z us³ug oferowanych przez twój komputer, s± w stanie siê do niego pod³±czyæ i z nich korzystaæ. Na przyk³ad ludzie spoza firmy mog± próbowaæ po³±czyæ siê z komputerem obs³uguj±cym ksiêgowo¶æ twojej firmy lub z twoim serwerem NFS.
Istniej± ró¿ne sposoby unikniêcia tego ataku. Trzeba precyzyjnie okre¶liæ, kto mo¿e mieæ dostêp do danych us³ug. Mo¿esz zabroniæ dostêpu do sieci wszystkim poza wyznaczonymi przez ciebie osobami.
Wykorzystanie znanych dziur w programach

Wczasach kiedy powstawa³y niektóre programy i us³ugi sieciowe, nie uwzglêdniano jeszcze rygorystycznych zasad bezpieczeñstwa. Te w³a¶nie s± z natury bardziej podatne na zagro¿enia. Us³ugi zdalne BSD (rlogin, rexec itp.) s± tu doskona³ym przyk³adem.
Najlepszym sposobem na zabezpieczenie siê przed tego typu atakiem jest wy³±czenie wszelkich podatnych us³ug lub znalezienie alternatywy. W przypadku Open Source czasem mo¿liwe jest za³atanie dziury w programie.
Odmowa obs³ugi

Ataki typu odmowa obs³ugi powoduj±, ¿e us³uga lub program przestaj± dzia³aæ lub nie pozwalaj± innym z siebie korzystaæ. Mo¿e to byæ spowodowane wysy³aniem w warstwie sieciowej starannie przygotowanych, z³o¶liwych datagramów, które powoduj± awarie po³±czeñ sieciowych. Ataki mog± byæ te¿ realizowane w warstwie aplikacji, gdzie starannie przygotowane polecenia aplikacji podane programowi powoduj±, ¿e staje siê on nadzwyczaj zajêty lub przestaje dzia³aæ.

Uniemo¿liwienie podejrzanym pakietom sieciowym dotarcia do twojego hosta oraz zapobiegniêcie uruchamianiu podejrzanych poleceñ i ¿±dañ s± najlepszymi sposobami na zminimalizowanie ryzyka ataku odmowy obs³ugi. Warto dobrze znaæ metody ataku, a wiêc powiniene¶ sam dokszta³caæ siê na temat wszystkich nowych ataków, gdy ich opis zostanie opublikowany.
Podszywanie siê

Ten typ ataku powoduje, ¿e host lub aplikacja na¶laduj± dzia³anie innego. Zwykle atakuj±cy udaje niewinny host, przesy³aj±c sfa³szowane adresy IP w pakietach sieciowych. Na przyk³ad dobrze udokumentowany sposób wykorzystania us³ugi rlogin BSD stosuje tê metodê do udawania po³±czenia TCP z innego hosta. Robi to, odgaduj±c numery kolejnych pakietów TCP.
Aby zabezpieczyæ siê przed tego typu atakiem, weryfikuj wiarygodno¶æ datagramów i poleceñ. Wy³±cz mo¿liwo¶æ rutowania datagramów o z³ym adresie ¼ród³owym. Wprowad¼ nieprzewidywalno¶æ do mechanizmu kontroli po³±czenia, na przyk³ad stosowanie kolejnych numerów TCP lub alokacjê dynamicznych adresów portów.
Pods³uchiwanie

Jest to najprostszy typ ataku. Host jest skonfigurowany na "s³uchanie" i zbieranie danych nie nale¿±cych do niego. Dobrze napisane programy pods³uchuj±ce mog± odczytaæ z po³±czeñ sieciowych nazwy u¿ytkowników i has³a. Sieci rozg³oszniowe, takie jak Ethernet, s± szczególnie podatne na tego typu atak.
Lepiej wiêc unikaj rozwi±zañ opartych o sieci rozg³oszeniowe i wprowadzaj szyfrowanie danych.
Firewalle IP s± bardzo u¿yteczne; s± w stanie zapobiec nieautoryzowanym dostêpom, odmowom obs³ugi w warstwie sieciowej i atakom przez podszywanie siê lub znacznie zmniejszyæ ryzyko ich wyst±pienia. Niezbyt dobrze zabezpieczaj± przed wykorzystywaniem dziur w us³ugach sieciowych czy programach oraz nie zapobiegaj± pods³uchiwaniu.
Co to jest firewall
Firewall to bezpieczny i zaufany komputer, który jest umieszczony pomiêdzy sieci± prywatn± a sieci± publiczn±*. Komputer-firewall jest skonfigurowany w oparciu o zestaw regu³, które okre¶laj±, jaki ruch sieciowy mo¿e byæ przepuszczony, a jaki ma byæ blokowany lub odrzucany. W niektórych du¿ych firmach mo¿esz znale¼æ nawet firewalle umieszczone wewn±trz sieci firmowej, które oddzielaj± wa¿ne obszary firmy od innych pracowników. Wiele przestêpstw komputerowych zdarza siê wewn±trz firmy, a nie jest powodowane atakami z zewn±trz.
Firewalle mo¿na budowaæ na ró¿ne sposoby. Najbardziej wyrafinowane konstrukcje wykorzystuj± kilka oddzielnych komputerów i s± znane pod nazw± sieci wydzielonej (ang. perimeter network). Dwie maszyny dzia³aj± jako "filtry" pozwalaj±ce tylko na przepuszczanie pewnych typów ruchu sieciowego. Pomiêdzy tymi maszynami znajduj± siê serwery sieciowe, takie jak gateway pocztowy czy serwer proxy WWW. Konfiguracja taka mo¿e byæ bardzo bezpieczna i ³atwo pozwala na osi±gniêcie znacznej kontroli nad tym, kto ³±czy siê zarówno z zewn±trz do wewn±trz, jak i z wewn±trz na zewn±trz. Tego typu konfiguracja mo¿e byæ stosowana w du¿ych firmach.
Zwykle jednak firewalle to pojedyncze maszyny pe³ni±ce wszystkie te funkcje. S± one nieco mniej bezpieczne, poniewa¿ je¿eli w maszynie pe³ni±cej rolê firewalla znajdzie siê dziura, która pozwala na uzyskanie dostêpu do niej, to bezpieczeñstwo ca³ej sieci zostaje naruszone. Jednak tego typu firewalle s± tañsze i prostsze w zarz±dzaniu ni¿ opisane wcze¶niej, bardziej wyrafinowane rozwi±zania. Rysunek 9-1 pokazuje dwie najpopularniejsze konfiguracje firewalla.

Rysunek 9-1. Dwie podstawowe architektury firewalli
http://www.rm.com.pl/upgr/lpas/09-01.tif

J±dro Linuksa udostêpnia szereg wbudowanych funkcji pozwalaj±cych mu na pracê w roli firewalla IP. Implementacja sieci zawiera kod do wykonywania filtrowania IP na szereg ró¿nych sposobów i udostêpnia mechanizm pozwalaj±cy na dok³adne skonfigurowanie zasad, jakimi chcesz siê kierowaæ przy takim filtrowaniu. Firewall w Linuksie jest wystarczaj±co elastyczny, by mo¿na go by³o zastosowaæ w obu konfiguracjach pokazanych na rysunku 9-1. Oprogramowanie firewalla w Linuksie udostêpnia dwie inne przydatne funkcje, które omówimy w oddzielnych rozdzia³ach: liczenie ruchu IP (rozdzia³ 10, Liczenie ruchu IP) i maskowanie IP (rozdzia³ 11, Maskowanie IP i translacja adresów sieciowych).

Co to jest filtrowanie IP
Filtrowanie IP to prosty mechanizm decyduj±cy o tym, które typy datagramów IP maj± byæ przetwarzane normalnie, a które maj± byæ odrzucone. Przez odrzucenie (ang. discard) rozumiemy, ¿e datagramy s± usuwane i zupe³nie ignorowane, tak jakby nigdy nie zosta³y odebrane. Mo¿esz wskazaæ wiele ró¿nych kryteriów okre¶laj±cych, które datagramy chcesz filtrowaæ. Oto kilka przyk³adów:
· typ protoko³u: TCP, UDP, ICMP itp.;
· numer gniazda (dla TCP/UDP);
· typ datagramu: SYN/ACK, dane, ICMP Echo Request itp.;
· adres ¼ród³owy datagramu: sk±d pochodzi;
· adres docelowy datagramu: dok±d jest wysy³any;
Wa¿ne jest zrozumienie w tym miejscu, ¿e filtrowanie IP jest funkcj± warstwy sieciowej. Oznacza to, ¿e nie ma ono nic wspólnego z aplikacj± wykorzystuj±c± po³±czenia sieciowe, a dotyczy tylko samych po³±czeñ. Na przyk³ad mo¿esz zabroniæ u¿ytkownikom dostêpu do swojej sieci wewnêtrznej przez standardowy port telnet, ale je¿eli opierasz siê na samym filtrowaniu IP, nie mo¿esz spowodowaæ, ¿eby przestali u¿ywaæ programu telnet na porcie, który przepuszczasz przez swój firewall. Aby unikn±æ tego typu problemów, zastosuj serwery proxy dla ka¿dej us³ugi, któr± chcesz przepu¶ciæ przez firewall. Serwery proxy rozumiej± aplikacje, dla których maj± pe³niæ rolê po¶redników i w ten sposób mog± zapobiec nadu¿yciom, polegaj±cym na przyk³ad na wykorzystywaniu telnetu do po³±czenia z portem WWW poprzez firewall. Je¿eli twój firewall obs³uguje WWW proxy, po³±czenia telnet do tej us³ugi bêd± zawsze obs³ugiwane przez proxy i dopuszczalne bêd± tylko ¿±dania HTTP. Istnieje szereg programów typu serwer proxy. Niektóre s± darmowe, ale jest te¿ wiele komercyjnych. Firewall-HOWTO omawia jeden z popularnych zestawów takich programów, którego tu nie przedstawiamy, poniewa¿ wykracza to poza zakres tej ksi±¿ki.
Zestaw regu³ filtrowania IP sk³ada siê z wielu kombinacji wymienionych powy¿ej kryteriów. Na przyk³ad wyobra¼my sobie, ¿e chcia³by¶ pozwoliæ u¿ytkownikom WWW z sieci browaru wirtualnego na dostêp do Internetu, ale tylko na korzystanie z innych serwerów WWW. Musia³by¶ skonfigurowaæ firewall, tak by pozwala³ na przekazywanie:
· datagramów z adresem ¼ród³owym z sieci browaru wirtualnego i dowolnym adresem docelowym oraz z portem docelowym 80 (WWW),
· datagramów z adresem docelowym browaru wirtualnego i portem ¼ród³owym 80 (WWW) z dowolnego adresu ¼ród³owego.
Zauwa¿, ¿e u¿yli¶my tutaj dwóch regu³. Pozwalamy na wychodzenie naszych danych oraz na przyjmowanie odpowiedzi. W praktyce, jak wkrótce zobaczymy, Linux upraszcza to i pozwala na okre¶lenie tych regu³ jednym poleceniem.

Skonfigurowanie Linuksa w roli firewalla
Aby stworzyæ firewall IP w Linuksie, potrzebne jest j±dro z wbudowan± obs³ug± firewalla IP i odpowiedni program konfiguracyjny. We wszystkich j±drach do serii 2.0 u¿ywa siê narzêdzia ipfwadm. J±dra 2.2.x wprowadzi³y trzeci± generacjê firewalla IP dla Linuksa o nazwie IP Chains (³añcuchy IP). £añcuchy IP u¿ywaj± programu podobnego do ipfwadm, ale nosz±cego nazwê ipchains. J±dra w wersji 2.3.15 i nowsze obs³uguj± czwart± generacjê firewalli o nazwie netfilter. Kod netfilter jest wynikiem powa¿nej zmiany w sposobie obs³ugi pakietów w Linuksie. netfilter jest tworem uniwersalnym, zapewnia bowiem bezpo¶rednio wsteczn± kompatybilno¶æ zarówno z ipfwadm, jak i ipchains oraz nowe alternatywne polecenie iptables. W nastêpnych podrozdzia³ach omówimy ró¿nice pomiêdzy tymi trzema rozwi±zaniami.
J±dro skonfigurowane z firewallem IP
J±dro Linuksa trzeba odpowiednio skonfigurowaæ, aby obs³ugiwa³o firewall IP. Oznacza to po prostu wybór odpowiednich opcji po wywo³aniu make menuconfig przy kompilacji j±dra*. Jak to zrobiæ, opisali¶my w rozdziale 3, Konfigurowanie sprzêtu sieciowego. W j±drach 2.2 powiniene¶ wybraæ nastêpuj±ce opcje:

Networking options --->
       [*] Network firewalls
       [*] TCP/IP networking
       [*] IP: firewalling
       [*] IP: firewall packet logging

W j±drach 2.4.0 i nowszych powiniene¶ wybraæ poni¿sze opcje:

Networking options --->
   [*] Network packet filtering (replaces ipchains)
       IP: Netfilter Configuration ---?
            .
           <M> Userspace queueing via NETLINK (EXPERIMENTAL)
           <M> IP tables support (required for filtering/masq/NAT)
           <M> limit match support
           <M> MAC address match support
           <M> netfilter MARK match support
           <M> Multiple port match support
           <M> TOS match support
           <M> Connection state match support
           <M> Unclean match support (EXPERIMENTAL)
           <M> Owner match support (EXPERIMENTAL)
           <M> Packet filtering
           <M>   REJECT target support
           <M>   MIRROR target support (EXPERIMENTAL)
            .
           <M> Packet mangling
           <M>   TOS target support
           <M>   MARK target support
           <M> LOG target support
           <M> ipchains (2.2-style) support
        <M> ipfwadm (2.0-style) support

Narzêdzie ipfwadm
Narzêdzie ipfwadm (IP Firewall Administration) jest u¿ywane do tworzenia regu³ firewalla dla wszystkich j±der starszych od wersji 2.2.0. Sk³adnia polecenia bywa zagmatwana, poniewa¿ mo¿e ono realizowaæ wiele skomplikowanych zadañ, ale podamy kilka przyk³adów popularnych zastosowañ.
Narzêdzie ipfwadm jest zawarte w wiêkszo¶ci wspó³czesnych dystrybucji Linuksa, ale niekoniecznie standardowo. Mog± istnieæ szczególne pakiety oprogramowania, które musisz zainstalowaæ, aby mieæ to polecenie. Je¿eli nie ma go w twojej dystrybucji, mo¿esz zdobyæ pakiet ¼ród³owy z o¶rodka ftp.xos.nl z katalogu /pub/linux/ ipfwadm/ i skompilowaæ go samodzielnie.
Narzêdzie ipchains
Podobnie jak ipfwadm, tak ipchains mo¿e sprawiæ na pocz±tku nieco k³opotów. Udostêpnia ca³± elastyczno¶æ ipfwadm, ale za pomoc± poleceñ o znacznie uproszczonej sk³adni, a ponadto oferuje mechanizm "³±czenia w ³añcuchy" (ang. chaining), pozwalaj±cy na zarz±dzanie wieloma zestawami regu³ i ich ³±czenie. £±czenie regu³ omówimy w oddzielnym podrozdziale pod koniec tego rozdzia³u, poniewa¿ jest to pojêcie zaawansowane.
Polecenie ipchains istnieje w wiêkszo¶ci dystrybucji Linuksa opartych na j±drach 2.2. Gdyby¶ chcia³ skompilowaæ je samodzielnie, mo¿esz znale¼æ pakiet ¼ród³owy pod adresem: http://www.rustcorp.com/linux/ipchains/. W pakiecie tym znajduje siê dodatkowy skrypt ipfwadm-wrapper, który na¶laduje polecenie ipfwadm, ale w rzeczywisto¶ci wywo³uje polecenie ipchains. Migracja istniej±cej konfiguracji firewalla jest du¿o mniej bolesna, je¿eli posiada siê taki skrypt.
Narzêdzie iptables
Sk³adnia narzêdzia iptables jest bardzo podobna do ipchains. Ró¿nice wynikaj± z wprowadzonych udoskonaleñ i daj± przeprojektowane narzêdzie, które jest rozszerzalne przez biblioteki dzielone. Tak jak w przypadku ipchains, tak i przy iptables podamy skonwertowane przyk³ady, aby¶ móg³ porównaæ i zestawiæ sk³adniê tego i innych poleceñ.
Narzêdzie iptables znajduje siê w pakiecie netfilter, który jest dostêpny pod adresem http://www.samba.org/netfilter/. Bêdzie tak¿e zawarte we wszystkich dystrybucjach Linuksa opartych o j±dra serii 2.4.
Nieco wiêcej o netfilter powiemy w jednym z nastêpnych podrozdzia³ów po¶wiêconych tylko temu pakietowi.

Trzy sposoby realizacji filtrowania
Rozwa¿my, w jaki sposób maszyna uniksowa, czy w praktyce dowolna inna obs³uguj±ca ruting IP, przetwarza datagramy IP.

Rysunek 9-2. Etapy przetwarzania datagramu IP
http://www.rm.com.pl/upgr/lpas/09-02.tif

Podstawowe kroki, pokazane na rysunku 9-2, to:
· Datagram IP jest odbierany (1).
· Przychodz±cy datagram IP jest analizowany w celu ustalenia, czy jest przeznaczony dla tej maszyny.
· Je¿eli datagram jest dla tej maszyny, jest przetwarzany lokalnie (2).
· Je¿eli nie jest dla tej maszyny, w tablicy rutingu jest poszukiwana odpowiednia trasa. Datagram jest przekazywany do odpowiedniego interfejsu lub odrzucany, je¿eli trasy nie mo¿na znale¼æ (3).
· Datagramy z lokalnych procesów s± wysy³ane do oprogramowania rutuj±cego w celu przekazania do odpowiedniego interfejsu (4).
· Wychodz±cy datagram IP jest analizowany w celu ustalenia, czy istnieje dla niego odpowiednia trasa; je¿eli nie, jest odrzucany.
· Datagram IP jest wysy³any (5).
W naszym diagramie, przep³yw 1?3?5 przedstawia maszynê rutuj±c± dane pomiêdzy hostem w naszej sieci Ethernet a hostem osi±galnym przez ³±cze PPP. Przep³yw 1?2 i 4?5 przedstawia dane przychodz±ce i wychodz±ce z programu sieciowego dzia³aj±cego na naszym ho¶cie lokalnym. Przep³yw 4?3?2 przedstawia przep³yw danych przez po³±czenie pêtli zwrotnej. Oczywi¶cie dane przep³ywaj± w obie strony, do i z urz±dzeñ sieciowych. Znak zapytania na diagramie przedstawia punkty, gdzie warstwa IP podejmuje decyzje co do rutingu.
Firewall j±dra Linuksa mo¿e stosowaæ filtry na ró¿nych etapach tego procesu. To znaczy, ¿e mo¿esz filtrowaæ datagramy IP przychodz±ce do twojej maszyny, albo te datagramy, które s± przez ni± przekazywane, albo te¿ te, które s± gotowe do wys³ania.
W programach ipfwadm i ipchains regu³a wej¶ciowa (Input) dotyczy przep³ywu 1 na diagramie, regu³a przekazywania (Forwarding) - przep³ywu 3, a regu³a wyj¶ciowa (Output) - przep³ywu 5. Zobaczymy pó¼niej, przy omawianiu netfilter, ¿e punkty przechwytywania zmieni³y siê tak, ¿e regu³a wej¶ciowa dotyczy przep³ywu 2, a regu³a wyj¶ciowa - przep³ywu 4. Ma to istotny wp³yw na tworzenie regu³, ale ogólne zasady pozostaj± takie same dla wszystkich wersji firewalla w Linuksie.
Na pierwszy rzut oka mo¿e to wygl±daæ na niepotrzebn± komplikacjê, ale zapewnia elastyczno¶æ, która pozwala na tworzenie bardzo wyrafinowanych i wydajnych konfiguracji.
Oryginalny firewall IP (j±dra 2.0)
Pierwsza generacja obs³ugi firewalla IP w Linuksie pojawi³a siê w serii j±der 1.1. By³o to przeniesienie ipfw z BSD dokonane przez Alana Coxa. Obs³uga firewalla w j±drach serii 2.0, okre¶lana mianem drugiej generacji, zosta³a rozszerzona przez Josa Vos, Pauline Middelink i innych.
Korzystanie z ipfwadm
Polecenie ipfwadm by³o narzêdziem konfiguracyjnym dla drugiej generacji firewalla IP w Linuksie. Najlepiej jest opisaæ u¿ycie ipfwadm na przyk³adach. Na pocz±tek zakodujmy pokazany wcze¶niej przyk³ad.
Prosty przyk³ad 
Za³ó¿my, ¿e mamy w naszej firmie sieæ i u¿ywamy firewalla na komputerze z Linuksem, przez który ³±czymy nasz± sieæ z Internetem. Przyjmijmy te¿, ¿e chcemy, aby u¿ytkownicy sieci mieli dostêp do serwerów WWW w Internecie, ale nie dopuszczamy ¿adnego innego ruchu.
Zdefiniujemy regu³ê przekazywania pozwalaj±c± na przepuszczanie na zewn±trz datagramów o adresie ¼ród³owym nale¿±cym do naszej sieci i gnie¼dzie docelowym 80 oraz na przekazywanie przez firewall odpowiedzi przesy³anych z powrotem.
Za³ó¿my, ¿e nasza sieæ ma 24-bitow± maskê (klasa C) i adres 172.16.1.0. Regu³y wygl±daj± tak:

# ipfwadm -F -f
# ipfwadm -F -p deny
# ipfwadm -F -a accept -P tcp -S 172.16.1.0/24 -D 0/0 80
# ipfwadm -F -a accept -P tcp -S 0/0 80 -D 172.16.1.0/24

Argument wiersza poleceñ -F mówi ipfwadm, ¿e jest to regu³a przekazywania. Pierwsze polecenie mówi ipfwadm, aby usun±³ wszystkie dotychczasowe regu³y przekazywania ze swojej konfiguracji. W ten sposób rozpoczynamy od znanego stanu.

Druga regu³a okre¶la domy¶ln± politykê przekazywania. Mówimy j±dru, by odrzuca³o lub nie pozwala³o na przekazywanie datagramów IP. Bardzo wa¿ne jest ustawienie polityki domy¶lnej, poniewa¿ opisuje ona, co siê stanie z datagramami, które nie s± w ¿aden szczególny sposób obs³ugiwane przez inne regu³y. Zwykle konfiguruj±c firewall, bêdziesz ustawia³ domy¶ln± politykê na "odmowê", tak jak to pokazano tutaj, po to, aby przez firewalla przechodzi³ tylko dopuszczalny ruch.
Trzecia i czwarta regu³a implementuj± nasze wymaganie: - trzecie polecenie pozwala na wysy³anie naszych datagramów, a czwarte - na przyjmowanie odpowiedzi.
Przyjrzyjmy siê kolejno argumentom:
-F

Jest to regu³a przekazuj±ca.
-a accept

Regu³a z dopisan± polityk± "akceptowania" oznacza, ¿e bêdziemy przekazywaæ wszystkie datagramy, które do niej pasuj±.
-P tcp

Ta regu³a dotyczy datagramów tcp (w przeciwieñstwie do UDP lub ICMP).
-S 172.16.1.0/24

Adres ¼ród³owy musi mieæ pierwsze 24 bity odpowiadaj±ce adresowi sieci 172.16.1.0.
-D 0/0 80

Adres docelowy musi mieæ zero bitów pasuj±cych do adresu 0.0.0.0. Tak naprawdê jest to skrótowy zapis "wszystkiego". Port docelowy to 80, co w tym przypadku oznacza WWW. Do opisania portu mo¿esz u¿yæ tak¿e wszelkich wpisów znajduj±cych siê w pliku /etc/services, a wiêc -D 0/0 www dzia³a³oby równie dobrze.
ipfwadm wymaga maski sieci w postaci, która mo¿e nie byæ ci znana. Zapis /nn oznacza liczbê istotnych bitów w podanym adresie lub rozmiar maski. Bity s± zawsze liczone od lewej do prawej. W tabeli 9-1 podano czêsto spotykane przyk³ady masek.
Tabela 9-1. Czêsto spotykane maski sieci
Maska sieci	Bity
255.0.0.0	  8
255.255.0.0	16
255.255.255.0	24
255.255.255.128	25
255.255.255.192	26
255.255.255.224	27
255.255.255.240	28
255.255.255.248	29
255.255.255.252	30

Wcze¶niej wspomnieli¶my, ¿e ipfwadm implementuje ma³± sztuczkê, która u³atwia dodawanie tego typu regu³. Ta sztuczka to opcja -b, która sprawia, ¿e polecenie jest dwukierunkowe.
Opcja dwukierunkowo¶ci pozwala na po³±czenie naszych dwóch regu³ w jedn±:

# ipfwadm -F -a accept -P tcp -S 172.16.1.0/24 -D 0/0 80 -b
Wa¿na poprawka
Przyjrzyj siê bli¿ej naszemu zestawowi regu³. Czy widzisz, ¿e wci±¿ nie ma zabezpieczenia przed jedn± metod± ataku, któr± kto¶ z zewn±trz mo¿e wykorzystaæ do pokonania naszego firewalla?
Nasze regu³y pozwalaj± na przyjmowanie z zewn±trz wszystkich datagramów z portem ¼ród³owym 80. Uwaga! Bêd± do nich nale¿a³y tak¿e datagramy z ustawionym bitem SYN! Bit SYN oznacza, ¿e jest to datagram TCP z ¿±daniem po³±czenia. Je¿eli osoba z zewn±trz mia³aby uprzywilejowany dostêp do swojego hosta, mog³aby po³±czyæ siê przez nasz firewall z dowolnym z naszych hostów, pod warunkiem, ¿e u¿ywaj± one portu 80. Nie to chcieli¶my osi±gn±æ.
Na szczê¶cie istnieje rozwi±zanie tego problemu. Polecenie ipfwadm posiada inn± opcjê, która pozwala nam budowaæ regu³y odfiltrowuj±ce datagramy z ustawionym bitem SYN. Zmieñmy nasz przyk³ad tak, aby uwzglêdnia³ tê regu³ê:

# ipfwadm -F -a deny -P tcp -S 0/0 80 -D 172.16.10.0/24 -y
# ipfwadm -F -a accept -P tcp -S 172.16.1.0/24 -D 0/0 80 -b

Opcja -y powoduje, ¿e regu³a pasuje tylko wtedy, je¿eli bit SYN w datagramie jest ustawiony. A wiêc nasza nowa regu³a mówi: "Nie przepuszczaj ¿adnych datagramów TCP przeznaczonych dla naszej sieci, które pochodz± z jakiego¶ miejsca i maj± port ¼ród³owy 80 i ustawiony bit SYN" albo "Nie przepuszczaj ¿adnych ¿±dañ od hostów na port 80".
Dlaczego umie¶cili¶my tê szczególn± regu³ê przed regu³± g³ówn±? Regu³y firewalla dzia³aj± tak, ¿e s± dopasowywane kolejno. Obie regu³y bêd± pasowa³y do datagramów, których nie chcemy przepu¶ciæ, a wiêc musimy byæ pewni, ¿e regu³a deny jest przed regu³± accept.
Listowanie naszych regu³
Po wprowadzeniu naszych regu³ mo¿emy je wylistowaæ, wywo³uj±c ipfwadm w nastêpuj±cy sposób:

# ipfwadm -F -l

To polecenie da w wyniku wszystkie skonfigurowane regu³y przekazywania. Rezultat powinien byæ podobny do tego:

# ipfwadm -F -l
IP firewall forward rules, default policy: accept
type   prot   source          destination         ports
deny   tcp    anywhere        172.16.10.0/24      www -> any
acc    tcp    172.16.1.0/24   anywhere            any -> www

Polecenie ipfwadm bêdzie próbowa³o t³umaczyæ numer portu na nazwê us³ugi za pomoc± pliku /etc/services, o ile istnieje w nim wpis.
W domy¶lnie pokazywanym wyniku brakuje kilku wa¿nych dla nas szczegó³ów. Nie widaæ tam mianowicie dzia³ania argumentu -y. Polecenie ipfwadm potrafi pokazaæ dok³adniejszy wynik, je¿eli podamy tak¿e opcjê -e (wynik rozszerzony). Nie poka¿emy ca³ego wyniku, poniewa¿ jest zbyt szeroki i nie mie¶ci siê na stronie, ale zawiera kolumnê opt (opcje), która pokazuje opcjê -y kontroluj±c± pakiety SYN:

# ipfwadm -F -l -e
IP firewall forward rules, default policy: accept
pkts bytes type prot opt  tosa tosx ifname ifaddress  source        ...
   0     0 deny tcp  --y- 0xFF 0x00 any    any        anywhere      ...
   0     0 acc  tcp  b--- 0xFF 0x00 any    any        172.16.1.0/24 ...
Bardziej skomplikowany przyk³ad
Poprzedni przyk³ad by³ prosty. Nie wszystkie us³ugi sieciowe s± tak ³atwe do skonfigurowania jak WWW. W rzeczywisto¶ci typowa konfiguracja firewalla bêdzie du¿o bardziej z³o¿ona. Przyjrzyjmy siê innemu powszechnie spotykanemu przyk³adowi, tym razem FTP. Chcemy, aby u¿ytkownicy naszej wewnêtrznej sieci mogli logowaæ siê do serwerów FTP w Internecie po to, by odczytywaæ i zapisywaæ pliki. Nie chcemy jednak, aby ludzie z Internetu logowali siê do naszych serwerów FTP.
Wiemy, ¿e FTP u¿ywa dwóch portów TCP: portu 20 (ftp-data) i portu 21 (ftp), a wiêc:

# ipfwadm -a deny -P tcp -S 0/0 20 -D 172.16.1.0/24 -y
# ipfwadm -a accept -P tcp -S 172.16.1.0/24 -D 0/0 20 -b
#
# ipfwadm -a deny -P tcp -S 0/0 21 -D 172.16.1.0/24 -y
# ipfwadm -a accept -P tcp -S 172.16.1.0/24 -D 0/0 21 -b

Dobrze? Nie ca³kiem. Serwery FTP mog± dzia³aæ w dwóch ró¿nych trybach: w trybie biernym (ang. passive mode) i czynnym (ang. active mode)*. W trybie biernym serwer FTP oczekuje na po³±czenie od klienta. W trybie czynnym serwer realizuje po³±czenie do klienta. Tryb czynny jest zwykle domy¶lny. Ró¿nice ilustruje rysunek 9-3.
Wiele serwerów FTP dzia³aj±cych w trybie czynnym tworzy po³±czenie z portu 20, co nieco upraszcza sprawê, ale niestety nie wszystkie tak robi±**.
Jakie to ma jednak dla nas znaczenie? Przyjrzyjmy siê naszej regule dla portu 20, czyli - portu FTP-data. Obecna regu³a zak³ada, ¿e po³±czenie bêdzie inicjowane przez naszego klienta do serwera. Bêdzie to dzia³a³o, je¿eli u¿yjemy trybu biernego. Ale bardzo trudno jest nam skonfigurowaæ poprawn± regu³ê pozwalaj±c± na u¿ycie trybu czynnego, poniewa¿ nie jeste¶my w stanie z góry przewidzieæ, jakie porty bêd± u¿ywane. Je¿eli otworzymy firewall, pozwalaj±c na po³±czenia przychodz±ce na dowolny port, narazimy nasz± sieæ na atak poprzez wszystkie us³ugi przyjmuj±ce po³±czenia.
W tej sytuacji najlepiej jest wymusiæ na naszych u¿ytkownikach pracê w trybie biernym. Wiêkszo¶æ serwerów FTP i wiele klientów FTP dzia³a w ten sposób. Popularny klient ncftp tak¿e obs³uguje tryb bierny, ale mo¿e wymagaæ niewielkiej zmiany w konfiguracji, by by³ to jego tryb domy¶lny. Wiele przegl±darek WWW, takich jak Netsccape, tak¿e obs³uguje bierny tryb FTP, a wiêc znalezienie odpowiedniego oprogramowania nie powinno byæ zbyt trudne. Mo¿na te¿ post±piæ zupe³nie inaczej: u¿yæ serwera proxy FTP, który bêdzie przyjmowa³ po³±czenia z sieci wewnêtrznej i realizowa³ po³±czenia z sieci± zewnêtrzn±.

Rysunek 9-3. Tryby serwera FTP
http://www.rm.com.pl/upgr/lpas/09-03.tif

Przy projektowaniu firewalla prawdopodobnie napotkasz niejeden taki problem. Powiniene¶ zawsze dok³adnie przeanalizowaæ, jak naprawdê dzia³a dana us³uga, by byæ pewnym, ¿e umie¶ci³e¶ odpowiedni zestaw regu³ w odpowiednim miejscu. Konfiguracja prawdziwego firewalla mo¿e byæ do¶æ skomplikowana.
Podsumowanie argumentów ipfwadm
Polecenie ipfwadm ma wiele ró¿nych argumentów odnosz±cych siê do konfiguracji firewalla IP. Ogólna sk³adnia jest nastêpuj±ca:

ipfwadm kategoria polecenie parametry [opcje]

Przyjrzyjmy siê kolejno ka¿demu z cz³onów.
Kategorie
Musi byæ podana jedna i tylko jedna z poni¿szych kategorii. Kategoria mówi firewallowi, jakiego typu regu³ê konfigurujesz:
-I

Regu³a wej¶ciowa.
-O

Regu³a wyj¶ciowa.
-F

Regu³a przekazywania.
Polecenia
Przynajmniej jedno z poni¿szych poleceñ musi byæ podane i musi siê ono odnosiæ do okre¶lonej wcze¶niej kategorii. Polecenia mówi± firewallowi, co ma robiæ.
-a [polityka]

Dodanie nowej regu³y.
-i [polityka]

Wstawienie nowej regu³y.
-d [polityka]

Usuniêcie istniej±cej regu³y.
-p polityka

Ustawienie polityki domy¶lnej.
-l

Wylistowanie wszystkich istniej±cych regu³.
-f

Usuniêcie wszystkich istniej±cych regu³.
Polityki istotne dla firewalla IP i ich znaczenie jest nastêpuj±ce:
accept

Pozwala na odbiór, przekazywanie lub wysy³anie pasuj±cych datagramów.
deny

Nie pozwala na odbiór, przekazywanie lub wysy³anie pasuj±cych datagramów.
reject

Nie pozwala na odbiór, przekazywanie lub wysy³anie pasuj±cych datagramów i wysy³a komunikat b³êdu ICMP do hosta, który przes³a³ datagram.
Parametry
Musi byæ podany przynajmniej jeden z poni¿szych parametrów. U¿ywaj parametrów do okre¶lania datagramów, których dotycz± regu³y:
-P protokó³
Mo¿e mieæ warto¶æ TCP, UDP, ICMP lub all. Przyk³ad:
-P tcp
-S adres/maska/[port]

?ród³owy adres IP, do którego pasuje ta regu³a. Je¿eli nie podasz maski sieci, zostanie przyjêta maska "/32". Opcjonalnie mo¿esz okre¶liæ, którego portu dotyczy regu³a. Musisz tak¿e podaæ protokó³ za pomoc± opisanego wy¿ej argumentu -P, aby ta opcja zadzia³a³a. Je¿eli nie podasz portu lub zakresu portów, przyjmuje siê, ¿e wszystkie porty pasuj±. Porty mog± byæ podane w postaci nazwy zgodnej z wpisem w /etc/services. W przypadku protoko³u ICMP pole portu jest u¿ywane do oznaczenia typu datagramu ICMP. Mo¿liwe jest podanie zakresu portów, a s³u¿y do tego nastêpuj±ca sk³adnia: pierwszyport:ostatniport. Oto przyk³ad:
-S 172.29.16.1/24 ftp:ftp-data
-D adres/maska/[port]

Okre¶lenie adresu docelowego IP, do którego pasuje ta regu³a. Adres docelowy jest zapisywany na tej samej zasadzie co adres ¼ród³owy opisany poprzednio. Oto przyk³ad:
-D 172.29.16.1/24 smtp
-V adres

Okre¶lenie adresu interfejsu sieciowego, na którym pakiet jest odbierany (-I) lub z którego jest wysy³any (-O). Pozwala to na stworzenie regu³ dotycz±cych tylko niektórych interfejsów sieciowych komputera. Oto przyk³ad:
-V 172.29.16.1
-W nazwa

Okre¶lenie nazwy interfejsu sieciowego. Ten argument dzia³a w ten sam sposób co -V, ale podajesz nazwê urz±dzenia zamiast adresu. Oto przyk³ad:
-W ppp0
Argumenty opcjonalne
Te argumenty s± czasem bardzo przydatne:
-b

Jest u¿ywany dla trybu dwukierunkowego. Do tej opcji pasuje ruch w obie strony pomiêdzy zadanymi adresami ¼ród³owym i docelowym. Zaoszczêdza ci ona tworzenia dwóch regu³: jednej do wysy³ania i drugiej do odbierania.
-o

Pozwala na zapisywanie pasuj±cych datagramów do logu j±dra. Wszelkie datagramy pasuj±ce do regu³y bêd± zapisywane jako komunikaty j±dra. Jest to u¿yteczna opcja do wykrywania nieautoryzowanego dostêpu.
-y

Ta opcja jest u¿ywana do filtrowania po³±czeniowych datagramów TCP. Dziêki niej regu³a filtruje tylko datagramy podejmuj±ce próbê zestawienia po³±czeñ TCP. Pasowaæ bêd± jedynie datagramy posiadaj±ce ustawiony bit SYN i wyzerowany bit ACK. Jest to u¿yteczna opcja do filtrowania prób po³±czeñ TCP i ignorowania innych protoko³ów.
-k

Jest u¿ywana do filtrowania datagramów-potwierdzeñ TCP (ang. acknowledgement). Ta opcja powoduje, ¿e do regu³y pasuj± tylko datagramy bêd±ce potwierdzeniem odbioru pakietów próbuj±cych zestawiæ po³±czenie TCP. Bêd± pasowaæ jedynie datagramy, które maj± ustawiony bit ACK. Opcja ta jest u¿yteczna do filtrowania prób po³±czeñ TCP i ignorowania wszystkich pozosta³ych protoko³ów.
Typy datagramów ICMP
Ka¿de polecenie konfiguracyjne firewalla pozwala ci okre¶laæ typy datagramów ICMP. W odró¿nieniu od portów TCP i UDP, nie ma odpowiedniego pliku konfiguracyjnego, który zawiera³by spis typów datagramów i opisywa³ ich znaczenie. Typy datagramów ICMP s± zdefiniowane w RFC-1700 (RFC Assigned Numbers). S± one tak¿e spisane w jednym z plików nag³ówkowych standardowej biblioteki C. Typy datagramów mo¿na te¿ znale¼æ w pliku /usr/include/netinet/ip_icmp.h, nale¿±cym do pakietu standardowej biblioteki GNU i u¿ywanym przez programistów C do pisania oprogramowania sieciowego wykorzystuj±cego protokó³ ICMP. Dla twojej wygody pokazali¶my je w tabeli 9-2. Interfejs polecenia iptables pozwala ci tak¿e okre¶laæ typy ICMP poprzez nazwê, a wiêc podali¶my tak¿e ich mnemonikê.
Tabela 9-2. Typy datagramów ICMP
Typ	Mnemonika iptables	Opis typu
  0	echo-reply	Powtórzenie odpowiedzi
  3	destination-unreachable	Cel nieosi±galny
  4	source-quench	?ród³o nieaktywne
  5	redirect	Przekierowanie
  8	echo-request	¯±danie powtórzenia
11	time-exceeded	Czas up³yn±³
12	parameter-problem	Problem z parametrem
13	timestamp-request	¯±danie znacznika czasu
14	timestamp-reply	Wys³anie znacznika czasu w odpowiedzi
15	none	¯±danie informacji
16	none	Wys³anie informacji w odpowiedzi
17	address-mask-request	¯±danie maski adresu
18	address-mask-reply	Wys³anie maski adresu w odpowiedzi
£añcuchy firewalla IP (j±dra 2.2)
Linux rozwija siê, by sprostaæ rosn±cym wymaganiom jego u¿ytkowników. Firewall IP nie stanowi tu wyj±tku. Tradycyjna implementacja firewalla IP jest dobra, ale mo¿e byæ niewydolna przy konfiguracji bardziej z³o¿onych ¶rodowisk. Aby sprostaæ nowym wymaganiom, opracowano now± metodê konfigurowania firewalla IP i rozwiniêto zwi±zane z ni± w³a¶ciwo¶ci. Ta nowa metoda otrzyma³a nazwê "£añcuchy firewalla IP" (w skrócie ³añcuchy IP) pierwszy raz zosta³a wprowadzona do u¿ytku w j±drze Linuksa 2.2.0.

£añcuchy IP zosta³y opracowane przez Paula Russella i Michaela Neulinga*. Paul udokumentowa³ oprogramowanie ³añcuchów IP w IPCHAINS-HOWTO.
£añcuchy IP pozwalaj± na tworzenie klas regu³, do których mo¿esz nastêpnie dodawaæ hosty albo sieci lub je stamt±d usuwaæ. £±czenie regu³ w ³añcuchy jest o tyle lepsze, ¿e poprawia wydajno¶æ firewalla w konfiguracjach, gdzie u¿ywa siê wielu regu³.
£añcuchy IP s± obs³ugiwane przez j±dra serii 2.2, ale s± tak¿e dostêpne w postaci ³at do j±der 2.0.*. Dokument HOWTO podaje, gdzie mo¿na zdobyæ ³aty i zawiera wiele wskazówek, jak efektywnie u¿ywaæ narzêdzia konfiguracyjnego ipchains.
U¿ywanie ipchains
Korzystaæ z narzêdzia konfiguracyjnego ipchains mo¿na na dwa sposoby. Pierwszy polega na u¿yciu skryptu ipfwadm-wrapper, który w zasadzie udaje ipfwadm, bo wywo³uje w tle program ipchains. Je¿eli chcesz tak u¿ywaæ ipchains, ten podrozdzia³ nie jest ci potrzebny. Lepiej wróciæ do poprzednich, opisuj±cych ipfwadm, i tylko zast±piæ go przez ipfwadm-wrapper. Skrypt ten bêdzie dzia³a³, ale nie ma gwarancji, ¿e bêdzie utrzymywany, a poza tym nie bêdziesz czerpa³ korzy¶ci z zaawansowanych funkcji ³añcuchów IP.
Mo¿na te¿ u¿ywaæ ipchains inaczej. Trzeba siê nauczyæ nowej sk³adni i zmodyfikowaæ istniej±c± konfiguracjê do postaci zgodnej z now± sk³adni±. Chwila zastanowienia i zauwa¿ysz, ¿e w czasie konwersji jest mo¿liwe zoptymalizowanie twojej konfiguracji. Sk³adnia ipchains jest prostsza do nauczenia siê ni¿ ipfwadm, a wiêc to dobry wybór.
Program ipfwadm do skonfigurowania firewalla musia³ operowaæ na trzech regu³ach. W przypadku ³añcuchów IP mo¿esz stworzyæ dowoln± liczbê zestawów regu³, gdzie ka¿da bêdzie po³±czona z inn±, ale wci±¿ s± obecne trzy zestawy regu³ zwi±zane z firewallem. Standardowe zestawy regu³ s± bezpo¶rednimi odpowiednikami tych u¿ywanych w ipfwadm, poza tym, ¿e maj± nazwy: input, forward i output.
Najpierw przyjrzymy siê ogólnej sk³adni polecenia ipchains, a nastêpnie zobaczymy, jak u¿ywaæ ipchains zamiast ipfwadm, przy czym nie uwzglêdnianiamy zaawansowanych funkcji ³±czenia w ³añcuchy. Zrobimy to, przegl±daj±c nasze poprzednie przyk³ady.
Sk³adnia polecenia ipchains
Sk³adnia polecenia ipchains jest prosta. Przyjrzymy siê teraz najwa¿niejszym jej elementom. Ogólna sk³adnia wiêkszo¶ci poleceñ ipchains jest nastêpuj±ca:
ipchains polecenie okre¶lenie-regu³y opcje

Polecenia
Istnieje szereg sposobów na operowanie na regu³ach i zestawach regu³ za pomoc± polecenia ipchains. Istotne dla firewalla IP s±:
-A ³añcuch

Dodanie jednej lub kilku regu³ na koniec zadanego ³añcucha. Je¿eli jest podana nazwa ¼ród³owego lub docelowego hosta i t³umaczy siê na wiêcej ni¿ jeden adres IP, zostanie dodana regu³a dla ka¿dego z tych adresów.
-I ³añcuch numerregu³y

Wstawienie jednej lub kilku regu³ na pocz±tek zadanego ³añcucha. Znów, je¿eli w okre¶leniu regu³y zostanie podana nazwa hosta, bêdzie dodawana do ka¿dego adresu.
-D ³añcuch

Usuniêcie jednej lub kilku regu³ z zadanego ³añcucha, który pasuje do regu³y.
-D ³añcuch numerregu³y

Usuniêcie regu³y znajduj±cej siê na pozycji numerregu³y w zadanym ³añcuchu. Numeracja regu³ zaczyna siê od pierwszej regu³y w ³añcuchu.
-R ³añcuch numerregu³y

Zast±pienie regu³y na pozycji numerregu³y w zadanym ³añcuchu podan± regu³±.
-C ³añcuch

Sprawdzenie zadanym ³añcuchem datagramu opisanego regu³±. Polecenie to zwraca komunikat opisuj±cy, jak datagram by³ przetwarzany przez ³añcuch. Jest to bardzo u¿yteczna opcja to testowania konfiguracji firewalla i nieco pó¼niej przyjrzymy siê jej bardziej szczegó³owo.
-L [³añcuch]

Listowanie regu³ zadanego ³añcucha lub wszystkich ³añcuchów, je¿eli ¿aden nie zostanie zadany.
-F [³añcuch]

Usuniêcie regu³ z zadanego ³añcucha lub usuniêcie wszystkich regu³, je¿eli ¿aden ³añcuch nie zostanie zadany.
-Z [³añcuch]

Wyzerowanie liczników datagramów i bajtów dla wszystkich regu³ zadanego ³añcucha lub wszystkich ³añcuchów, je¿eli ¿aden nie zostanie zadany.
-N ³añcuch

Stworzenie nowego ³añcucha o zadanej nazwie. Nie mo¿e istnieæ drugi ³añcuch o tej samej nazwie. W ten sposób tworzone s± ³añcuchy definiowane przez u¿ytkownika.
-X [³añcuch]

Usuniêcie zadanego ³añcucha zdefiniowanego przez u¿ytkownika lub wszystkich ³añcuchów zdefiniowanych przez u¿ytkownika, je¿eli ¿aden nie zostanie zadany. Aby to polecenie zadzia³a³o, nie mo¿e byæ odwo³añ do zadanego ³añcucha z ¿adnych innych regu³.
-P ³añcuch polityka

Ustawienie domy¶lnej polityki dla zadanego ³añcucha. Dopuszczalne polityki to ACCEPT, DENY, REJECT, REDIR i RETURN. Polityki ACCEPT, DENY i REJECT maj± takie samo znaczenie jak w tradycyjnych implementacjach firewalla. REDIR oznacza, ¿e datagram powinien byæ niewidocznie przekierowany na port firewalla. RETURN powoduje, ¿e kod firewalla IP powraca do tego ³añcucha firewalla, który wywo³a³ ³añcuch zawieraj±cy tê regu³ê, i kontynuuje dalsze dzia³anie, pocz±wszy od nastêpnej regu³y.
Parametry okre¶laj±ce regu³ê
Na regu³ê ipchains sk³ada siê wiele parametrów, które okre¶laj±, jakie typy pakietów maj± do niej pasowaæ. Je¿eli który¶ z tych parametrów zostanie w regule pominiêty, zak³adana jest jego warto¶æ domy¶lna.
-p [!] protokó³

Okre¶la protokó³ datagramu, który bêdzie pasowa³ do tej regu³y. Dopuszczalne nazwy protoko³ów to tcp, udp, icmp lub all. Mo¿esz tak¿e podaæ numer protoko³u. Na przyk³ad móg³by¶ u¿yæ 4, aby dopasowaæ protokó³ enkapsulacji ipip. Je¿eli podasz !, regu³a zostanie zanegowana i datagram bêdzie dopasowywany do wszystkich protoko³ów poza zadanymi. Je¿eli parametr nie zostanie podany, zostanie przyjêta warto¶æ all.
-s [!]adres[/maska][!][port]

Okre¶la adres ¼ród³owy i port w datagramie, który ma pasowaæ do tej regu³y. Adres mo¿e byæ podany w postaci nazwy hosta, nazwy sieci lub adresu IP. Opcja mask pozwala na zadanie u¿ywanej maski sieci, która mo¿e byæ podana albo w tradycyjnej postaci (tj. /255.255.255.0), albo w postaci wspó³czesnej (tj. /24).
Opcjonalny port okre¶la port TCP lub UDP albo typ dopasowywanego datagramu ICMP. Numer portu mo¿esz wskazaæ tylko wtedy, gdy u¿y³e¶ wcze¶niej parametru -p, podaj±c jeden z protoko³ów: tcp, udp lub icmp. Mo¿na te¿ podaæ zakres portów - jego doln± i górn± granicê rozdzielone dwukropkiem. Na przyk³ad 20:25 opisuje wszystkie porty od 20 do 25 w³±cznie. Znak ! mo¿e byæ wykorzystany do zanegowania warto¶ci.
-d [!]adres[/maska][!][port]

Okre¶la adres i port docelowy zawarte w datagramie, który ma pasowaæ do tej regu³y. Kodowanie tego parametru jest identyczne jak parametru -s.
-j cel

Okre¶la dzia³anie do wykonania, je¿eli regu³a bêdzie pasowa³a. Parametr ten mo¿esz sobie przet³umaczyæ jako "skocz do" (ang. jump to). Dopuszczalne cele to ACCEPT, DENY, REJECT, REDIR i RETURN. Ich znaczenie opisali¶my wcze¶niej. Jednak mo¿esz podaæ tak¿e nazwê ³añcucha zdefiniowanego przez u¿ytkownika, w którym bêdzie wykonywane dalsze przetwarzanie. Je¿eli ten parametr zostanie pominiêty, to nawet je¶li datagram pasuje do regu³y, nie zostanie podjête ¿adne inne dzia³anie, oprócz uaktualnienia datagramu i liczników bajtów.

-i[!]nazwa-interfejsu

Okre¶la interfejs, który przyj±³ datagram lub przez który zostanie on wys³any. Znów znak ! odwraca wynik dopasowania. Je¿eli nazwa interfejsu koñczy siê znakiem +, pasowa³ bêdzie ka¿dy interfejs, którego nazwa rozpoczyna siê zadanym ci±giem. Na przyk³ad, -i ppp+ bêdzie pasowaæ do dowolnego urz±dzenia sieciowego PPP, a -i ! eth+ bêdzie pasowaæ do wszystkich urz±dzeñ poza Ethernetem.
[!]-f

Mówi, ¿e regu³a ta dotyczy wszystkiego poza pierwszym fragmentem datagramu podzielonego na fragmenty.
Opcje
Poni¿ej pokazane opcje ipchains s± bardziej ogólne. Niektóre z nich steruj± raczej ezoterycznymi funkcjami oprogramowania ³añcuchów IP:
-b

Powoduje, ¿e polecenie generuje dwie regu³y. Jedna regu³a uwzglêdnia podane parametry, a druga uwzglêdnia je w odwrotnym kierunku.
-v

Powoduje, ¿e ipchains wy¶wietla bogate wyniki, czyli podaje wiêcej informacji.
-n

Powoduje, ¿e ipchains wy¶wietla adres IP i porty jako liczby bez próby ich zamiany na odpowiadaj±ce im nazwy.
-l

W³±cza zapisywanie przez j±dro pasuj±cych datagramów. Wszystkie datagramy pasuj±ce do regu³y s± zapisywane przez j±dro za pomoc± funkcji printk(). Zwykle jest to obs³ugiwane przez program syslogd zapisuj±cy do pliku log. Funkcja ta przydaje siê do ogl±dania niestandardowych datagramów.
-o[maxrozmiar]

Powoduje, ¿e oprogramowanie ³añcuchów IP kopiuje datagramy pasuj±ce do regu³y do urz±dzenia "netlink", które dzia³a w przestrzeni u¿ytkownika. Argument maxrozmiar ogranicza liczbê bajtów ka¿dego datagramu, która zostanie przekazana do urz±dzenia netlink. Opcja ta jest najchêtniej stosowana przez programistów, ale mo¿e byæ w przysz³o¶ci wykorzystana w pakietach oprogramowania.
-m warto¶æznakowania

Powoduje, ¿e pasuj±ce datagramy s± oznaczane zadan± warto¶ci±. Te warto¶ci to 32-bitowe liczby bez znaku. W obecnych implementacjach opcja ta nie dzia³a, ale w przysz³o¶ci mo¿e decydowaæ o obs³udze datagramu przez inne oprogramowanie, takie jak na przyk³ad kod rutuj±cy. Je¿eli warto¶æznakowania rozpoczyna siê od znaku + albo -, jest ona dodawana lub odejmowana od aktualnej warto¶ci znakowania.

-t maskaand maskaxor

Pozwala na operowanie na bitach "typ us³ugi" w nag³ówku IP ka¿dego datagramu pasuj±cego do regu³y. Bity typu us³ugi s± u¿ywane przez inteligentne rutery do nadawania priorytetów datagramom, zanim zostan± dalej przekazane. Oprogramowanie rutuj±ce Linuksa potrafi realizowaæ takie nadawanie priorytetów. Warto¶ci maskaand i maskaxor oznaczaj± maski bitowe, które bêd± poddawane odpowiednio logicznej operacji AND i OR z bitami typu us³ugi datagramu. Jest to zaawansowana funkcja, która szczegó³owo zosta³a omówiona w IPCHAINS-HOWTO.
-x

Powoduje, ¿e wszelkie liczby w wyniku ipchains s± pokazywane dok³adnie, bez zaokr±glania.
-y

Powoduje, ¿e do regu³y pasuj± wszystkie datagramy TCP z ustawionym bitem SYN i wyzerowanymi bitami ACK i FIN. Jest u¿ywana do filtrowania ¿±dañ nawi±zania po³±czenia TCP.
Poprawiona wersja naszego prostego przyk³adu
Powróæmy do przyk³adu z sieci± firmow±, w której dzia³a firewall oparty na komputerze z Linuksem. Umo¿liwia on u¿ytkownikom dostêp do serwerów WWW w Internecie, ale nie pozwala na ¿aden inny ruch.
Gdyby nasza sieæ mia³a 24-bitow± maskê (klasa C) i adres 172.16.1.0, u¿yliby¶my nastêpuj±cych regu³ ipchains:

# ipchains -F forward
# ipchains -P forward DENY
# ipchains -A forward -s 0/0 80 -d 172.16.1.0/24 -p tcp -y -j DENY
# ipchains -A forward -s 172.16.1.0/24 -d 0/0 80 -p tcp -b -j ACCEPT

Pierwsze polecenie czy¶ci wszystkie regu³y z zestawu forward, a drugie definiuje domy¶ln± politykê zestawu regu³ forward na DENY. Trzecie i czwarte polecenie realizuj± wymagane przez nas filtrowanie. Czwarte polecenie pozwala datagramom kierowanym do i z serwerów WWW na przechodzenie do naszej sieci, a trzecie zapobiega przyjmowaniu przychodz±cych po³±czeñ TCP z portem ¼ród³owym 80.
Gdyby¶my teraz chcieli dodaæ regu³y pozwalaj±ce na dostêp do zewnêtrznych serwerów FTP w trybie biernym, musieliby¶my wpisaæ:

# ipchains -A forward -s 0/0 20 -d 172.16.1.0/24 -p tcp -y -j DENY
# ipchains -A forward -s 172.16.1.0/24 -d 0/0 20 -p tcp -b -j ACCEPT
# ipchains -A forward -s 0/0 21 -d 172.16.1.0/24 -p tcp -y -j DENY
# ipchains -A forward -s 172.16.1.0/24 -d 0/0 21 -p tcp -b -j ACCEPT

Listowanie regu³ za pomoc± ipchains
Do wylistowania regu³ za pomoc± ipchains u¿ywamy argumentu -L. Podobnie jak to by³o w ipfwadm, istniej± argumenty kontroluj±ce liczbê szczegó³ów pokazywanych w wyniku. W najprostszej postaci ipchains generuje nastêpuj±cy wynik:

# ipchains -L -n
Chain input (policy ACCEPT):
Chain forward (policy DENY):
target     prot  opt     source           destination      ports
DENY       tcp   -y----  0.0.0.0/0        172.16.1.0/24    80 -> *
ACCEPT     tcp   ------  172.16.1.0/24    0.0.0.0/0        * -> 80
ACCEPT     tcp   ------  0.0.0.0/0        172.16.1.0/24    80 -> *
ACCEPT     tcp   ------  172.16.1.0/24    0.0.0.0/0        * -> 20
ACCEPT     tcp   ------  0.0.0.0/0        172.16.1.0/24    20 -> *
ACCEPT     tcp   ------  172.16.1.0/24    0.0.0.0/0        * -> 21
ACCEPT     tcp   ------  0.0.0.0/0        172.16.1.0/24    21 -> *

Chain output (policy ACCEPT):

Je¿eli nie podasz nazwy ³añcucha, który chcesz obejrzeæ, ipchains wy¶wietli wszystkie regu³y ze wszystkich ³añcuchów. Argument -n w naszym przyk³adzie powoduje, ¿e ipchains nie próbuje konwertowaæ adresów i portów na nazwy. Pokazana informacja powinna byæ oczywista.
Bogatsza forma wyniku, uzyskiwana przez opcjê -u, pokazuje du¿o wiêcej szczegó³ów. Dodatkowe pola zawieraj± liczniki datagramów i bajtów, znaczniki AND i XOR typu us³ugi, nazwê interfejsu, znakowanie i rozmiar wynikowy.
Ze wszystkimi regu³ami utworzonymi za pomoc± ipchains zwi±zane s± liczniki bajtów i datagramów. W ten sposób jest zaimplementowane liczenie ruchu IP, które zostanie szczegó³owo omówione w rozdziale 10. Domy¶lnie liczniki s± pokazywane w postaci zaokr±glonej z przyrostkami K i M oznaczaj±cymi odpowiednio jednostki: tysi±c i milion. Je¿eli zostanie podany argument -x, liczniki s± rozwijane do ich pe³nej, niezaokr±glonej postaci.
Korzystanie z ³añcuchów
Wiesz ju¿, ¿e polecenie ipchains zastêpuje ipfwadm, ma prostsz± sk³adniê i kilka ciekawych rozszerzeñ, ale bez w±tpienia chcesz wiedzieæ, gdzie i po co u¿ywaæ ³añcuchów definiowanych przez u¿ytkownika. Zapewne jeste¶ te¿ ciekawy, jak pos³ugiwaæ siê dodatkowymi skryptami towarzysz±cymi poleceniu ipchains w pakiecie. Przyjrzymy siê teraz tym tematom i postaramy siê odpowiedzieæ na pytania.
£añcuchy definiowane przez u¿ytkownika
Trzy zestawy regu³ dla tradycyjnego firewalla IP stanowi± mechanizm tworzenia prostych konfiguracji firewalla, którymi ³atwo jest zarz±dzaæ w ma³ych sieciach o niewielkich wymaganiach wobec systemu bezpieczeñstwa. Gdy wymagania konfiguracyjne wzrastaj±, pojawia siê szereg problemów. Po pierwsze, du¿e sieci czêsto wymagaj± du¿o wiêcej regu³ firewalla, ni¿ tych kilka, z którymi siê do tej pory spotkali¶my. Nieuchronnie rosn± potrzeby dodawania do firewalla regu³ obs³uguj±cych przypadki szczególne. Gdy liczba regu³ ro¶nie, wydajno¶æ firewalla pogarsza siê, bo na ka¿dym datagramie jest przeprowadzanych coraz wiêcej testów; problemem staje siê te¿ zarz±dzanie. Po drugie, nie jest mo¿liwe w³±czanie i wy³±czanie zestawu regu³ w sposób rozdzielny. Gdy jeste¶ w trakcie przebudowy zestawu regu³, nara¿asz sieæ na ataki.
Zasady budowy ³añcuchów IP pomagaj± z³agodziæ te problemy, gdy¿ umo¿liwiaj± administratorowi tworzenie dowolnych zestawów regu³ firewalla, które mo¿na nastêpnie do³±czaæ do trzech wbudowanych zestawów regu³. Do utworzenia nowego ³añcucha mo¿na u¿yæ opcji -N programu ipchains. Trzeba podaæ jego nazwê, sk³adaj±c± siê z 8 (lub mniej) znaków. (Ograniczenie nazwy do ma³ych liter jest dobrym pomys³em). Opcja -j konfiguruje dzia³anie podejmowane wtedy, gdy datagram pasuje do wymagañ regu³y. Mówi, ¿e je¿eli datagram bêdzie pasowa³ do regu³y, dalsze testowanie powinno byæ realizowane w ³añcuchu zdefiniowanym przez u¿ytkownika. Poka¿emy to na wykresie.
Rozwa¿my nastêpuj±ce polecenia ipchains:

ipchains -P input DENY
ipchains -N tcpin
ipchains -A tcpin -s ! 172.16.0.0/16
ipchains -A tcpin -p tcp -d 172.16.0.0/16 ssh -j ACCEPT
ipchains -A tcpin -p tcp -d 172.16.0.0/16 www -j ACCEPT
ipchains -A input -p tcp -j tcpin
ipchains -A input -p all

Domy¶ln± politykê ³añcucha wej¶ciowego ustawiamy na deny. Drugie polecenie tworzy definiowany przez u¿ytkownika ³añcuch o nazwie "tcpin". Trzecie polecenie dodaje do ³añcucha tcpin regu³ê, do której pasuj± wszystkie datagramy pochodz±ce spoza naszej sieci lokalnej. Nie jest podejmowane ¿adne dodatkowe dzia³anie. Jest to regu³a zliczaj±ca i zostanie omówiona bardziej szczegó³owo w rozdziale 10. Do nastêpnych dwóch regu³ pasuj± datagramy przeznaczone dla naszej sieci lokalnej na porty ssh lub www. Pasuj±ce datagramy s± akceptowane. W nastêpnej regule tkwi prawdziwa magia ipchains. Regu³a ta powoduje, ¿e oprogramowanie firewalla sprawdza ka¿dy datagram TCP za pomoc± ³añcucha tcpin, zdefiniowanego przez u¿ytkownika. Na koniec dodajemy regu³ê do naszego ³añcucha input, do którego pasuje ka¿dy datagram. Jest to kolejna regu³a zliczaj±ca. W ten sposób uzyskujemy ³añcuchy firewalla pokazane na rysunku 9-4.
Nasze ³añcuchy input i tcpin s± zape³niane regu³ami. Przetwarzanie datagramu zawsze rozpoczyna siê w jednym z ³añcuchów wbudowanych. Zobaczymy, jak zdefiniowany przez nas ³añcuch jest u¿ywany przy przetwarzaniu ró¿nych typów datagramów.
Najpierw przyjrzymy siê, co siê dzieje, gdy zostanie odebrany datagram UDP dla jednego z naszych hostów. Rysunek 9-5 pokazuje przep³yw przez regu³y.
Datagram zostaje odebrany przez ³añcuch input, ale nie pasuje do dwóch pierwszych regu³, poniewa¿ pasuj± do nich tylko datagramy protoko³ów ICMP i TCP. Zostaje dopasowany do trzeciej regu³y ³añcucha input, która nie zawiera celu. S± wiêc uaktualniane liczniki bajtowy i datagramów, ale nie jest podejmowane ¿adne inne dzia³anie. Datagram dociera do koñca ³añcucha input, spe³niaj±c warunki jego domy¶lnej polityki i zostaje odrzucony.

Rysunek 9-4. Prosty zestaw regu³ ³añcucha IP
http://www.rm.com.pl/upgr/lpas/09-04.tif

Rysunek 9-5. Kolejno¶æ sprawdzania regu³ dla odebranego datagramu UDP
http://www.rm.com.pl/upgr/lpas/09-05.tif

Aby zobaczyæ zdefiniowany przez nas ³añcuch w dzia³aniu, rozwa¿my, co siê dzieje, gdy zostanie odebrany datagram TCP przeznaczony dla portu ssh jednego z naszych hostów. Kolejno¶æ pokazano na rysunku 9-6.

Rysunek 9-6. Kolejno¶æ regu³ dla odebranego pakietu TCP dla portu ssh
http://www.rm.com.pl/upgr/lpas/09-06.tif

Tym razem datagram pasuje do drugiej regu³y w ³añcuchu input, która kieruje go do celu tcpin - ³añcucha zdefiniowanego przez u¿ytkownika. Podanie ³añcucha zdefiniowanego przez u¿ytkownika jako celu powoduje, ¿e datagram bêdzie sprawdzany przez zawarte w nim regu³y, a wiêc nastêpn± sprawdzan± regu³± bêdzie pierwsza regu³a z ³añcucha tcpin. Do tej regu³y pasuj± datagramy, które maj± adres ¼ród³owy spoza sieci lokalnej i nie zawieraj± adresu przeznaczenia, a wiêc jest to tak¿e regu³a zliczaj±ca i testowanie przechodzi do nastêpnej regu³y. Druga regu³a w naszym ³añcuchu tcpin pasuje do datagramu i okre¶la cel ACCEPT. Dotarli¶my do celu, a wiêc nie bêdzie ju¿ ¿adnego przetwarzania przez firewall. Datagram zostaje przepuszczony.
Na koniec zobaczmy, co siê stanie, gdy dotrzemy do koñca zdefiniowanego przez nas ³añcucha. Aby to zobaczyæ, musimy pokazaæ przep³yw datagramu TCP przeznaczonego dla portu innego ni¿ dwa przez nas obs³ugiwane. Pokazujemy to na rysunku 9-7.

Rysunek 9-7. Kolejno¶æ regu³ dla odebranego pakietu TCP dla telnet
http://www.rm.com.pl/upgr/lpas/09-07.tif

£añcuchy zdefiniowane przez u¿ytkownika nie maj± polityki domy¶lnej. Gdy wszystkie zawarte w nich regu³y zostan± sprawdzone i ¿adna nie pasuje, firewall dzia³a tak, jakby istnia³a regu³a RETURN, a wiêc je¿eli nie tego chcia³e¶, powiniene¶ na koñcu ³añcucha u¿ytkownika umie¶ciæ ¿±dane dzia³anie. W naszym przyk³adzie sprawdzanie powraca do regu³y z zestawu input nastêpnej po tej, przez któr± przeszli¶my do ³añcucha zdefiniowanego przez u¿ytkownika. Ostatecznie docieramy do koñca ³añcucha input, który posiada politykê domy¶ln± i datagram zostaje odrzucony.
Ten przyk³ad jest bardzo prosty, ale pokazuje to, o co nam chodzi³o. W praktyce dzia³anie ³añcuchów IP jest du¿o bardziej skomplikowane. Nieco bardziej wyrafinowany przyk³ad pokazujemy poni¿ej, w postaci listy poleceñ.

#
# Ustawienie domy¶lnej polityki przekazywania na REJECT
ipchains -P forward REJECT
#
# utworzenie naszego ³añcucha
ipchains -N sshin


ipchains -N sshout
ipchains -N wwwin
ipchains -N wwwout
#
# Gwarancja odrzucania po³±czeñ w z³ym kierunku
ipchains -A wwwin -p tcp -s 172.16.0.0/16 -y -j REJECT
ipchains -A wwwout -p tcp -d 172.16.0.0/16 -y -j REJECT
ipchains -A sshin -p tcp -s 172.16.0.0/16 -y -j REJECT
ipchains -A sshout -p tcp -d 172.16.0.0/16 -y -j REJECT
#
# Gwarancja, ¿e wszystko, co dotrze do koñca ³añcucha 
# zdefiniowanego przez u¿ytkownika, zostanie odrzucone
ipchains -A sshin -j REJECT
ipchains -A sshout -j REJECT
ipchains -A wwwin -j REJECT
ipchains -A wwwout -j REJECT
#
# Przekierowanie us³ug www i ssh do odpowiedniego ³añcucha 
# zdefiniowanego przez u¿ytkownika
ipchains -A forward -p tcp -d 172.16.0.0/16 ssh -b -j sshin
ipchains -A forward -p tcp -s 172.16.0.0/16 -d 0/0 ssh -b -j sshout
ipchains -A forward -p tcp -d 172.16.0.0/16 www -b -j wwwin
ipchains -A forward -p tcp -s 172.16.0.0/16 -d 0/0 www -b -j wwwout
#
# Umieszczenie regu³ sprawdzaj±cych hosty na drugiej pozycji w 
# zdefiniowanych przez nas ³añcuchach
ipchains -I wwwin 2 -d 172.16.1.2 -b -j ACCEPT
ipchains -I wwwout 2 -s 172.16.1.0/24 -b -j ACCEPT
ipchains -I sshin 2 -d 172.16.1.4 -b -j ACCEPT
ipchains -I sshout 2 -s 172.16.1.4 -b -j ACCEPT
ipchains -I sshout 2 -s 172.16.1.6 -b -j ACCEPT
#

W tym przyk³adzie u¿yli¶my ³añcuchów definiowanych przez u¿ytkownika do uproszczenia zarz±dzania naszym firewallem i do poprawy wydajno¶ci w porównaniu z rozwi±zaniem wykorzystuj±cym jedynie ³añcuchy wbudowane.
W naszym przyk³adzie s± tworzone ³añcuchy u¿ytkownika dla ka¿dej z us³ug ssh i www w ka¿dym kierunku po³±czenia. W ³añcuchu wwwout umieszczamy regu³y dla hostów, które mog± tworzyæ wychodz±ce po³±czenia WWW, a w sshin definiujemy regu³y dla hostów, które mog± przyjmowaæ przychodz±ce po³±czenia ssh. Za³o¿yli¶my, ¿e potrzebujemy mo¿liwo¶ci przyjmowania i odrzucania po³±czeñ ssh i www tylko dla wybranych hostów w naszej sieci. Jest to pewne uproszczenie, gdy¿ ³añcuchy definiowane przez u¿ytkownika pozwalaj± na grupowanie regu³ wed³ug pakietów przychodz±cych do hosta i wychodz±cych z niego, a nie na ich mieszanie. Poprawia siê wydajno¶æ, poniewa¿ dla ka¿dego datagramu zmniejszyli¶my ¶redni± liczbê testów robionych przed osi±gniêciem celu. Wydajno¶æ zwiêkszy siê jeszcze bardziej, je¿eli wzro¶nie liczba hostów. Gdyby¶my nie mieli ³añcuchów u¿ytkownika, potencjalnie musieliby¶my przeszukiwaæ ca³± listê regu³, by stwierdziæ, czy dzia³anie ma zostaæ podjête przy ka¿dym odebranym datagramie. Nawet gdyby¶my za³o¿yli, ¿e ka¿da z regu³ zawartych na naszej li¶cie pasuje do równej liczby przetworzonych datagramów, wci±¿ musieliby¶my przeszukiwaæ ¶rednio po³owê listy. £añcuchy definiowane przez u¿ytkownika pozwalaj± nam unikn±æ sprawdzania du¿ej liczby regu³, poniewa¿ testowany datagram musi pasowaæ do prostej regu³y wbudowanego ³añcucha, aby w ogóle dotrzeæ do ³añcucha u¿ytkownika.
Skrypty pomocnicze ipchains
Pakiet oprogramowania ipchains jest dostarczany wraz z trzema dodatkowymi skryptami. Pierwszy z nich ju¿ krótko omówili¶my, natomiast pozosta³e dwa zapewniaj± ³atwe i wygodne sposoby zachowywania i odtwarzania konfiguracji firewalla.
Skrypt ipfwadm-wrapper emuluje sk³adniê wiersza poleceñ ipfwadm, ale wymaga polecenia ipchains do tworzenia regu³. Jest to wygodny sposób na migracjê istniej±cej konfiguracji firewalla do j±dra lub alternatywa dla opanowania sk³adni ipchains. Skrypt ipfwadm-wrapper zachowuje siê inaczej ni¿ polecenie ipfwadm pod dwoma wzglêdami. Po pierwsze, ipchains nie pozwala na okre¶lenie interfejsu przez adres, a ipfwadm-wrapper przyjmuje argument -V, ale próbuje zamieniæ go na w³a¶ciwy dla ipchains odpowiednik -W, szukaj±c nazwy interfejsu skonfigurowanej pod zadanym adresem. Skrypt ipfwadm-wrapper zawsze przypomina ci o tym, wypisuj±c komunikat, gdy u¿yjesz opcji -V. Po drugie, regu³y zliczania fragmentów nie s± t³umaczone poprawnie.
Skrypty ipchains-save i ipchains-restore upraszczaj± tworzenie i modyfikowanie konfiguracji firewalla. Polecenie ipchains-save odczytuje aktualn± konfiguracjê firewalla i zapisuje uproszczon± postaæ na standardowe wyj¶cie. Polecenie ipchains-restore odczytuje dane w formacie wyprowadzanym przez ipchains-save i konfiguruje firewall IP zgodnie z odczytanymi regu³ami. Korzy¶ci± z u¿ywania tych skryptów jest mo¿liwo¶æ natychmiastowego dynamicznego tworzenia konfiguracji i jej zapisania, czego nie daje bezpo¶rednie modyfikowanie skryptu konfiguruj±cego firewall i testowanie konfiguracji. Tak± konfiguracjê mo¿na nastêpnie odtworzyæ, zmodyfikowaæ i zapisaæ ponownie.
Aby u¿yæ tych skryptów i zachowaæ aktualn± konfiguracjê firewalla, musisz napisaæ co¶ takiego:

ipchains-save >/var/state/ipchains/firewall.state

Mo¿esz j± potem odtworzyæ, zwykle w czasie uruchamiania systemu, w nastêpuj±cy sposób:

ipchains-restore </var/state/ipchains/firewall.state

Skrypt ipchains-restore sprawdza, czy istniej± ju¿ umieszczone w konfiguracji ³añcuchy zdefiniowane przez u¿ytkownika. Je¶li podasz opcjê -f, regu³y z wcze¶niej skonfigurowanych ³añcuchów u¿ytkownika bêd± automatycznie usuniête przed wczytaniem nowych. Natomiast przy dzia³aniu domy¶lnym jeste¶ pytany, czy pozostawiæ, czy usun±æ dany ³añcuch.
Netfilter i tabele IP (j±dra 2.4)
Kiedy Paul Russell pracowa³ nad ³añcuchami IP, doszed³ do wniosku, ¿e firewalle IP powinny byæ mniej skomplikowane. Wkrótce wiêc zaj±³ siê upraszczaniem przetwarzania datagramów w kodzie firewalla zawartym w j±drze i stworzy³ strukturê filtruj±c±, która by³a du¿o prostsza i du¿o bardziej elastyczna. Tê now± strukturê nazwa³ netfilter.

W czasie pisania tej ksi±¿ki budowa netfilter nie by³a jeszcze ustabilizowana. Mamy nadziejê, ¿e wybaczysz nam wszelkie b³êdy w opisie netfilter i narzêdzi konfiguracyjnych, które wynikaj± ze zmian, jakie zasz³y po przygotowaniu tego materia³u. Uznali¶my, ¿e netfilter jest tematem na tyle istotnym, by usprawiedliwiæ umieszczenie jego roboczego opisu w tej ksi±¿ce, bez wzglêdu na fakt, ¿e jego czê¶ci s± oparte na domys³ach. Gdyby¶ mia³ jakiekolwiek w±tpliwo¶ci, s± ju¿ dostêpne odpowiednie dokumenty HOWTO zawieraj±ce bardziej dok³adne i aktualne informacje na temat szczegó³owych zagadnieñ zwi±zanych z konfiguracj± netfilter.
Có¿ wiêc by³o nie tak z ³añcuchami IP? Poprawi³y one znacznie wydajno¶æ i zarz±dzanie regu³ami firewalla. Ale sposób przetwarzania datagramów wci±¿ by³ skomplikowany, szczególnie w po³±czeniu z funkcjami zwi±zanymi z firewallem, takimi jak maskowanie IP (omówione w rozdziale 11) i inne formy translacji adresów. Czê¶ciowa z³o¿ono¶æ wynika³a z faktu, ¿e maskowanie IP i translacja adresów sieciowych powsta³y niezale¿nie od kodu firewalla w j±drze i dopiero pó¼niej zosta³y do niego do³±czone. Niestety nie by³o to wszystko tworzone razem od pocz±tku i zintegrowane w kodzie firewalla. Gdyby twórcy chcieli dodaæ nastêpne funkcje zwi±zane z przetwarzaniem datagramów, mieliby trudno¶ci ze znalezieniem miejsca na umieszczenie swojego kodu i musieliby dokonaæ zmian w j±drze, aby dopi±æ swego.
Poza tym istnia³y jeszcze inne problemy. W szczególno¶ci ³añcuch "input" opisywa³ wej¶cie do ca³ej warstwy sieci IP. £añcuch wej¶ciowy dotyczy³ zarówno datagramów przeznaczonych dla hosta, jak i datagramów rutowanych przez host. By³o to nieco myl±ce, poniewa¿ miesza³o funkcjê ³añcucha wej¶ciowego z funkcj± ³añcucha przekazuj±cego, dotycz±cego tylko datagramów przekazywanych dalej, ale zawsze sprawdzanych po przej¶ciu przez ³añcuch wej¶ciowy. Gdyby¶ chcia³ inaczej traktowaæ datagramy przeznaczone dla hosta ni¿ datagramy przekazywane dalej, musia³by¶ stworzyæ z³o¿one regu³y wykluczaj±ce jedne lub drugie. Ten sam problem dotyczy³ ³añcucha wyj¶ciowego.
Oczywi¶cie ta z³o¿ono¶æ poniek±d dotknê³a administratora systemu, poniewa¿ odbi³a siê na sposobie tworzenia regu³. Co wiêcej, wszelkie rozszerzenia filtrowania wymaga³y bezpo¶rednich modyfikacji j±dra, poniewa¿ wszystkie polityki filtrowania by³y w nim zaimplementowane i nie by³o sposobu na stworzenie przezroczystego interfejsu. netfilter radzi sobie zarówno ze z³o¿ono¶ci±, jak i sztywno¶ci± starszych rozwi±zañ, implementuj±c w j±drze ogóln± strukturê okre¶laj±c± sposób przetwarzania datagramów i zapewniaj±c± mo¿liwo¶æ rozbudowy polityki filtrowania bez potrzeby modyfikacji j±dra.
Przyjrzyjmy siê dwóm kluczowym zmianom, które zosta³y dokonane. Rysunek 9-8 pokazuje, jak datagramy s± przetwarzane w implementacji ³añcuchów IP, natomiast rysunek 9-9 pokazuje, jak s± one przetwarzane przez netfilter. Zasadnicze ró¿nice to usuniêcie z g³ównego kodu funkcji maskowania i zmiana umiejscowienia ³añcuchów wej¶ciowego i wyj¶ciowego. Zmianom tym towarzyszy nowe, daj±ce siê rozbudowaæ narzêdzie o nazwie iptables.
W ³añcuchach IP ³añcuch wej¶ciowy dotyczy³ wszystkich datagramów odebranych przez host bez wzglêdu na to, czy by³y one dla niego przeznaczone, czy rutowane do innego hosta. W netfilter ³añcuch wej¶ciowy dotyczy tylko datagramów przeznaczonych dla hosta lokalnego, a ³añcuch przekazuj±cy dotyczy tylko datagramów przeznaczonych dla innego hosta. Podobnie w ³añcuchach IP, ³añcuch wyj¶ciowy dotyczy wszystkich datagramów wychodz±cych z hosta lokalnego bez wzglêdu na to, czy s± to datagramy na nim stworzone, czy przez niego rutowane z innego hosta. W netfilter ³añcuch wyj¶ciowy dotyczy tylko datagramów wygenerowanych na danym ho¶cie, a nie dotyczy datagramów przez niego rutowanych. Sama ta zmiana stanowi powa¿ne uproszczenie wielu konfiguracji firewalla.
Na rysunku 9-8 elementy opisane jako "demaskowanie" i "maskowanie" s± oddzielnymi elementami j±dra odpowiedzialnymi za przetwarzanie przychodz±cych i wychodz±cych datagramów maskowanych. Zosta³y one ponownie zaimplementowane w netfilter jako modu³y.

Rysunek 9-8. £añcuch przetwarzania datagramów w ³añcuchach IP
http://www.rm.com.pl/upgr/lpas/09-08.tif

Przyjrzyjmy siê konfiguracji, w której domy¶lna polityka dla ka¿dego ³añcucha: wej¶ciowego, wyj¶ciowego i przekazuj±cego, jest ustawiona na deny. W ³añcuchach IP potrzebne jest sze¶æ regu³, aby przepuszczaæ jak±kolwiek sesjê przez firewall: po dwie w ka¿dym ³añcuchu: wej¶ciowym, wyj¶ciowym i przekazuj±cym (jedna obs³ugiwa³aby przesy³anie w jedn± stronê, a druga w drug±.). Mo¿esz sobie wyobraziæ, jak ³atwo mog³oby to siê staæ nadzwyczaj skomplikowane i trudne do ogarniêcia, gdyby¶ chcia³ mieszaæ sesje rutowane i sesje po³±czeñ do hosta bez rutowania. £añcuchy IP pozwalaj± na tworzenie ³añcuchów nieco upraszczaj±cych to zadanie, ale ich budowa nie jest oczywista i wymaga pewnego do¶wiadczenia.
W implementacji netfilter ta z³o¿ono¶æ znika zupe³nie dziêki iptables. W przypadku us³ugi rutowanej przez firewalla, ale nie koñcz±cej siê na ho¶cie lokalnym, potrzebne s± tylko dwie regu³y w ³añcuchu przekazuj±cym: jedna w jednym kierunku i druga w przeciwnym. Jest to oczywisty sposób tworzenia regu³ dla firewalla i znacznie upraszcza jego konfiguracjê.
W dokumencie PACKETE-FILTERING-HOWTO znajdziesz szczegó³ow± listê zmian, dokonywanych w czasie tworzenia oprogramowania, a wiêc tam szukaj bardziej praktycznych zagadnieñ zwi±zanych z tym tematem.

Rysunek 9-9. £añcuch przetwarzania datagramów w netfilter
http://www.rm.com.pl/upgr/lpas/09-09.tif

Wsteczna zgodno¶æ z ipfwadm i ipchains
Niezwyk³a elastyczno¶æ netfilter w Linuksie uwidacznia siê w mo¿liwo¶ci emulowania interfejsów ipfwadm i ipchains. Dziêki emulacji przej¶cie na oprogramowanie firewalla nowej generacji jest du¿o prostsze.
Dwa modu³y j±dra netfilter, zwane ipfwadm.o i ipchains.o, zapewniaj± kompatybilno¶æ wsteczn± dla ipfwadm i ipchains. Mo¿esz za³adowaæ tylko jeden z nich na raz i u¿ywaæ tylko wtedy, gdy modu³ ip_tables.o nie jest za³adowany. Gdy odpowiedni modu³ zostanie za³adowany, netfilter dzia³a dok³adnie tak jak poprzednia implementacja firewalla.
netfilter na¶laduje interfejs ipchains po wydaniu nastêpuj±cych poleceñ:

rmmod ip_tables
modprobe ipchains
ipchains …

U¿ywanie iptables
Program iptables jest u¿ywany do konfigurowania regu³ filtrowania netfilter. Jego sk³adnia ma wiele wspólnego z ipchains, ale ró¿ni siê pod jednym bardzo szczególnym wzglêdem: jest rozszerzalna. Oznacza to, ¿e jej funkcjonalno¶æ mo¿na roszerzyæ bez ponownej kompilacji. S³u¿± do tego biblioteki dzielone. Istniej± standardowe rozszerzenia, które omówimy za chwilê.
Zanim bêdziesz móg³ u¿ywaæ polecenia iptables, musisz za³adowaæ modu³ j±dra netfilter niezbêdny do jego obs³ugi. Najpro¶ciej zrobisz to za pomoc± polecenia modprobe:

modprobe ip_tables

Polecenie iptables jest u¿ywane do konfigurowania zarówno filtrowania IP, jak i translacji adresów sieciowych (Network Address Translation). Aby temu sprostaæ, istniej± dwie tablice regu³: filter i net. Tablica filter jest u¿ywana domy¶lnie, je¿eli nie podasz opcji -t zmieniaj±cej to zachowanie. W netfilter udostêpniono piêæ wbudowanych ³añcuchów. £añcuchy INPUT i FORWARD s± dostêpne dla tablicy filter, a PREROUTING i POSTROUTING s± dostêpne dla tablicy nat, natomiast ³añcuch OUTPUT jest dostêpny dla obu tablic. W tym rozdziale omówimy tylko tablice filter. Tablicom net przyjrzymy siê w rozdziale 11.
Ogólna sk³adnia wiêkszo¶ci poleceñ iptables jest nastêpuj±ca:

iptables polecenie okre¶lenie-regu³y rozszerzenia

Teraz przyjrzymy siê szczegó³owo kilku opcjom, po czym podamy przyk³ady.
Polecenia
Istnieje szereg sposobów operowania na regu³ach i ich zestawach za pomoc± polecenia iptables. Istotne dla filtrowania IP s± nastêpuj±ce:
-A ³añcuch

Dodanie jednej lub kilku regu³ na koniec zadanego ³añcucha. Je¿eli zostanie podana nazwa hosta ¼ród³owego lub docelowego, z któr± zwi±zany jest wiêcej ni¿ jeden adres IP, regu³a zostanie dodana do ka¿dego adresu.
-I ³añcuch num_regu³y

Wstawienie jednej lub kilku regu³ na pocz±tku zadanego ³añcucha. Znów, je¿eli w opisie regu³y zostanie podana nazwa hosta, regu³a bêdzie dodana dla ka¿dego adresu IP odpowiadaj±cego temu hostowi.
-D ³añcuch

Usuniêcie jednej lub kilku regu³ z zadanego ³añcucha, który takie regu³y zawiera.
-D ³añcuch num_regu³y

Usuniêcie regu³y znajduj±cej siê na pozycji num_regu³y w zadanym ³añcuchu. Liczenie regu³ zaczyna siê od 1 w przypadku pierwszej regu³y w ³añcuchu.
-R ³añcuch num_regu³y

Zast±pienie regu³y na pozycji num_regu³y w zadanym ³añcuchu regu³± o podanej charakterystyce.

-C ³añcuch

Sprawdzenie zadanym ³añcuchem datagramu opisanego przez regu³ê. To polecenie zwróci komunikat opisuj±cy, w jaki sposób ³añcuch przetworzy³ datagram. Jest bardzo przydatne do testowania konfiguracji firewalla i za chwilê przyjrzymy siê mu bardziej szczegó³owo.
-L[³añcuch]

Wylistowanie regu³ z zadanego ³añcucha lub ze wszystkich ³añcuchów, je¿eli ¿aden nie zostanie wybrany.
-F [³añcuch]

Usuniêcie regu³ z zadanego ³añcucha lub ze wszystkich ³añcuchów, je¿eli ¿aden nie zostanie wybrany.
-Z [³añcuch]

Wyzerowanie liczników bajtów i datagramów dla wszystkich regu³ w zadanym ³añcuchu lub we wszystkich ³añcuchach, je¿eli ¿aden nie zostanie wybrany.
-N ³añcuch

Utworzenie nowego ³añcucha o zadanej nazwie. Nie mog± istnieæ ³añcuchy o tej samej nazwie. W ten sposób tworzy siê ³añcuch definiowany przez u¿ytkownika.
-X [³añcuch]

Usuniêcie zadanego ³añcucha zdefiniowanego przez u¿ytkownika lub wszystkich takich ³añcuchów, je¿eli ¿aden nie zostanie wybrany. Aby to polecenie zadzia³a³o, nie mo¿e byæ odwo³añ do usuwanego ³añcucha z ¿adnych innych ³añcuchów regu³.
-P ³añcuch polityka

Ustawienie domy¶lnej polityki dla zadanego ³añcucha. Dopuszczalne polityki to ACCEPT, DROP, QUEUE i RETURN. ACCEPT pozwala na przepuszczenie datagramu. DROP powoduje, ¿e datagram jest odrzucany. QUEUE powoduje, ¿e datagram jest przekazywany do przestrzeni u¿ytkownika w celu dalszego przetwarzania. RETURN powoduje, ¿e kod firewalla IP wraca do ³añcucha, który go wywo³a³, i kontynuuje dzia³anie od nastêpnej regu³y.
Parametry definicji regu³y
Istnieje kilka parametrów iptables u¿ywanych do definiowania regu³y. Gdy wymagane jest zdefiniowanie regu³y, musi zostaæ podana warto¶æ ka¿dego z nich albo zostan± przyjête warto¶ci domy¶lne.
-p[!]protokó³

Okre¶la protokó³ datagramu, który ma pasowaæ do tej regu³y. Dopuszczalne nazwy protoko³ów to: tcp, udp, icmp lub numer, je¿eli znasz numery protoko³u IP*. Na przyk³ad móg³by¶ u¿yæ liczby 4 do okre¶lenia enkapsulacji ipip. Gdyby¶ poda³ znak !, regu³a zosta³aby zanegowana, a datagram pasowa³by do ka¿dego protoko³u poza podanym. Gdy ten parametr nie zostanie okre¶lony, domy¶lnie przyjête bêd± wszystkie protoko³y.

-s[!]adres[/maska]

Okre¶la adres ¼ród³owy datagramu, który bêdzie pasowa³ do tej regu³y. Adres mo¿e byæ podany w postaci nazwy hosta, nazwy sieci lub adresu IP. Opcjonalny parametr maska definiuje maskê sieci, która ma byæ zastosowana. Mo¿e byæ ona podana w postaci tradycyjnej (tj. /255.255.255.0) lub w postaci wspó³czesnej (tj. /24).
-d[!]adres[/maska]

Okre¶la adres przeznaczenia i port datagramu, który bêdzie pasowa³ do tej regu³y. Kodowanie tego parametru jest takie samo jak parametru -s.
-j cel

Okre¶la, jakie dzia³anie ma zostaæ podjête, gdy regu³a zostanie dopasowana. Parametr ten mo¿esz sobie przet³umaczyæ jako "skocz do" (ang. jump to). Dopuszczalne cele to ACCEPT, DROP, QUEUE i RETURN. Ich znaczenie opisali¶my wcze¶niej w sekcji "Polecenia". Jednak mo¿esz podaæ tak¿e nazwê ³añcucha zdefiniowanego przez u¿ytkownika ³añcucha, w którym bêdzie wykonywane dalsze przetwarzanie. Mo¿esz tak¿e podaæ cel obs³ugiwany przez rozszerzenie. Wkrótce opiszemy rozszerzenia. Je¿eli ten parametr zostanie pominiêty, to je¶li datagram pasuje do regu³y, nie zostanie podjête ¿adne inne dzia³anie oprócz uaktualnienia datagramu i liczników bajtów.
-i[!]nazwa-interfejsu

Okre¶la interfejs, który przyj±³ datagram. Znów znak ! odwraca wynik dopasowania. Je¿eli nazwa interfejsu koñczy siê znakiem +, pasowa³ bêdzie ka¿dy interfejs, którego nazwa rozpoczyna siê zadanym ci±giem. Na przyk³ad, -i ppp+ bêdzie pasowaæ do dowolnego urz±dzenia sieciowego PPP, a -i ! eth+ bêdzie pasowaæ do wszystkich urz±dzeñ poza Ethernetem.
-o[!]nazwa-interfejsu

Okre¶la interfejs, na który datagram bêdzie wys³any. Ten argument ma tak± sam± sk³adniê jak -i.
[!]-f

Mówi, ¿e regu³a ta dotyczy tylko drugiego i dalszych fragmentów datagramu. Nie dotyczy pierwszego fragmentu.
Opcje
Poni¿ej pokazano bardziej ogólne opcje iptables. Niektóre z nich steruj± raczej ezoterycznymi funkcjami oprogramowania netfilter.
-v

Powoduje, ¿e iptables wy¶wietla bogate wyniki. Podawane bêdzie wiêcej informacji.
-n

Powoduje, ¿e iptables wy¶wietla adres IP i porty tylko jako liczby, nie próbuje zamieniaæ ich na odpowiadaj±ce im nazwy.
-x

Powoduje, ¿e wszelkie liczby w wyniku iptables s± pokazywane dok³adnie, bez zaokr±glania.
- -numery_wierszy

Powoduje, ¿e przy wy¶wietlaniu zestawów regu³ pokazywane s± numery wierszy. Numer wiersza odpowiada pozycji regu³y w ³añcuchu.
Rozszerzenia
Powiedzieli¶my wcze¶niej, ¿e iptables jest narzêdziem rozszerzalnym poprzez opcjonalne modu³y bibliotek dzielonych. Istniej± standardowe rozszerzenia udostêpniaj±ce funkcje ipchains. Aby z nich skorzystaæ, musisz podaæ poleceniu iptables ich nazwê poprzez argument -m nazwa. Poni¿sza lista pokazuje opcje -m i -p okre¶laj±ce kontekst rozszerzeñ oraz opcje udostêpniane przez rozszerzenie.
Rozszerzenia TCP: u¿ywane z -m tcp -p tcp
- -sport [!][port[:port]]

Okre¶la port, z którego musi pochodziæ datagram, aby pasowa³ do regu³y. Mo¿na wyznaczyæ pewien zakres portów, wypisuj±c górny i dolny limit (nale¿y rozdzieliæ je dwukropkiem). Na przyk³ad 20:25 oznacza wszystkie porty o numerach od 20 do 25 w³±cznie. Znów znak ! mo¿e byæ u¿yty do zanegowania warto¶ci.
- -dport[!][port[:port]]

Okre¶la port, do którego musi byæ skierowany datagram, aby pasowa³ do regu³y. Argument jest kodowany identycznie jak --sport.
- -tcp-flags [!] maska lista

Okre¶la, ¿e regu³a pasuje, gdy znaczniki TCP w datagramie pasuj± do okre¶lonych przez  maskê i listê.  maska to lista rozdzielonych przecinkami znaczników, które powinny byæ sprawdzone przy przeprowadzaniu testu. lista to lista oddzielonych przecinkami, znaczników, które musz± byæ ustawione, aby regu³a pasowa³a. Dopuszczalne znaczniki to SYN, ACK, FIN, RST, URG, PSH, ALL lub NONE. Jest to zaawansowana opcja. Zajrzyj do dobrego opisu protoko³u TCP, na przyk³ad do RFC-793, a znajdziesz tam opis znaczenia i dzia³ania ka¿dego z tych znaczników. Znak ! neguje regu³ê.
[!] --syn

Powoduje, ¿e regu³a pasuje tylko do datagramów z ustawionym bitem SYN i wyzerowanymi bitami ACK i FIN. Datagramy z tymi bitami s± u¿ywane do otwierania po³±czeñ TCP i dlatego ta opcja jest u¿ywana do obs³ugi ¿±dañ po³±czeñ. Opcja ta to skrót od:
- -tcp-flags SYN,RST,ACK SYN
Gdy u¿yjesz operatora negacji, do regu³y bêd± pasowa³y wszystkie datagramy, które nie maj± ustawionych bitów SYN i ACK.
Rozszerzenia UDP: u¿ywane z -m udp -p udp
- -sport[!][port[:port]]

Okre¶la port, z którego musi pochodziæ datagram, aby pasowa³ do regu³y. Porty mog± byæ podane jako zakres przez okre¶lenie górnego i dolnego limitu zakresu, które nale¿y rozdzieliæ dwukropkiem. Na przyk³ad 20:25 oznacza wszystkie porty o numerach od 20 do 25 w³±cznie. Znów znak ! mo¿e byæ u¿yty do zanegowania warto¶ci.
- -dport[!][port[:port]]

Okre¶la port, do którego musi byæ skierowany datagram, aby pasowa³ do regu³y. Argument jest kodowany tak samo jak --sport.
Rozszerzenia ICMP: u¿ywane z -m icmp -p icmp
- -icmp-type[!] nazwa_typu

Okre¶la typ komunikatu ICMP pasuj±cego do regu³y. Typ mo¿e byæ okre¶lony przez nazwê lub numer. Niektóre dopuszczalne nazwy to: echo-request, echo-reply, source-quench, time-exceeded, destination-unreachable, network-unreachable, host-unreachable, protocol-unreachable i port-unreachable.
Rozszerzenia MAC: u¿ywane z -m mac
- -mac-source[!] adres

Okre¶la adres hosta Ethernet, który wys³a³ datagram pasuj±cy do tej regu³y. Ma to sens jedynie w ³añcuchach wej¶ciowym i przekazuj±cym regu³y, poniewa¿ wszystkie datagramy, które przechodz± przez ³añcuch wychodz±cy, s± wysy³ane przez nas.
Kolejna poprawiona wersja naszego prostego przyk³adu
Aby zaimplementowaæ nasz prosty przyk³ad za pomoc± netfilter, móg³by¶ za³adowaæ modu³ ipchains.o i wykorzystaæ skrypt w wersji dla ipchains. Jednak zamiast tego, zaimplementowali¶my go, u¿ywaj±c iptables, by pokazaæ, jak bardzo te dwa programy s± do siebie podobne.
Znów za³ó¿my, ¿e mamy w firmie sieæ i ¿e u¿ywamy komputera z Liunksem jako firewalla, który pozwala naszym u¿ytkownikom dostawaæ siê do serwerów WWW w Internecie, ale nie przepuszcza innego ruchu.
Gdyby nasza sieæ mia³a 24-bitow± maskê (klasa C) i adres 172.16.1.0, u¿yliby¶my nastêpuj±cych regu³ iptables:

# modprobe ip_tables
# iptables -F FORWARD
# iptables -P FORWARD DROP
# iptables -A FORWARD -m tcp -p tcp -s 0/0 --sport 80 -d 172.16.1.0/24 --syn -j DROP
# iptables -A FORWARD -m tcp -p tcp -s 172.16.1.0./24 --sport 80 -d 0/0 -j ACCEPT
# iptables -A FORWARD -m tcp -p tcp -d 172.16.1.0/24 --dport 80 -s 0/0 -j ACCEPT

W tym przyk³adzie polecenia iptables s± interpretowane dok³adnie tak jak ich równowa¿ne polecenia ipchains. G³ówna ró¿nica polega na tym, ¿e musi byæ za³adowany modu³ ip_tables.o. Zauwa¿, ¿e iptables nie obs³uguje opcji -b, a wiêc musimy podaæ regu³ê dla ka¿dego kierunku.

Operowanie bitem TOS
Bity typu us³ugi (Type of Service - TOS) to zestaw czterobitowych znaczników w nag³ówku IP. Gdy dowolny z tych znaczników jest ustawiony, rutery mog± obs³ugiwaæ taki datagram inaczej ni¿ datagramy bez ustawionych bitów TOS. Ka¿dy z czterech bitów ma inne zadanie, a ustawiony mo¿e byæ tylko jeden z nich - kombinacja jest niedopuszczalna. Znaczniki s± nazywane bitami typu us³ugi, poniewa¿ nakazuj± aplikacji wysy³aj±cej dane informowaæ sieæ o typie wymaganej us³ugi sieciowej.
Dostêpne klasy us³ug sieciowych:
Minimalne opó¼nienie

U¿ywane, gdy czas potrzebny na przej¶cie datagramu od hosta ¼ród³owego do hosta docelowego (opó¼nienie) jest bardzo wa¿ny. Dostawca us³ug sieciowych mo¿e na przyk³ad u¿ywaæ zarówno po³±czeñ ¶wiat³owodowych, jak i satelitarnych. Dane przesy³ane przez satelitê pokonuj± d³u¿sz± drogê, ni¿ w przypadku sieci naziemnej pomiêdzy tymi samymi punktami i ich opó¼nienie jest du¿o wiêksze. Dostawca us³ug mo¿e spowodowaæ, ¿e datagramy z tym typem us³ugi na pewno nie bêd± przesy³ane przez satelitê.
Maksymalna przepustowo¶æ 

U¿ywana, gdy wa¿na jest liczba przesy³anych danych w dowolnym czasie. Istnieje wiele aplikacji sieciowych, dla których opó¼nienie nie jest szczególnie wa¿ne, ale przepustowo¶æ - tak. Na przyk³ad masowe przesy³anie plików. Dostawca us³ug sieciowych mo¿e ustawiæ rutowanie datagramów tego typu us³ugi przez trasy o du¿ej przepustowo¶ci i du¿ych opó¼nieniach, czyli np. po³±czenia satelitarne.
Maksymalna niezawodno¶æ

U¿ywana, gdy wa¿ne jest, by¶ mia³ pewno¶æ, ¿e dane dotr± do celu bez potrzeby ponownego przesy³ania. Protokó³ IP mo¿e byæ przesy³any przez szereg ró¿nych mediów transmisyjnych. Choæ SLIP i PPP te¿ siê nadaj± do przenoszenia IP, nie s± tak niezawodne jak sieæ X.25. Dostawca us³ug sieciowych mo¿e udostêpniæ sieæ alternatywn± oferuj±c± wysok± niezawodno¶æ i przeznaczon± do przesy³ania IP, je¿eli zostanie wybrany ten typ us³ug.
Minimalny koszt

U¿ywany, gdy wa¿ne jest zminimalizowanie kosztu przesy³ania danych. Dzier¿awienie przepustowo¶ci na satelicie dla po³±czeñ przez ocean jest ogólnie tañsze, ni¿ dzier¿awienie kana³u w ¶wiat³owodzie na tej samej odleg³o¶ci, a wiêc dostawcy mog± udostêpniaæ obie te mo¿liwo¶ci, ale ró¿nie liczyæ koszty po³±czenia w zale¿no¶ci od tego, którego medium u¿ywasz. W tym scenariuszu us³uga typu "minimalny koszt" mo¿e oznaczaæ, ¿e datagramy bêd± kierowane przez tanie ³±cze satelitarne.

Ustawianie bitów TOS za pomoc± ipfwadm i ipchains
Polecenia ipfwadm i ipchains obs³uguj± bity TOS prawie tak samo. W obu przypadkach podajesz regu³ê, do której maj± pasowaæ datagramy z ustawionymi odpowiednimi bitami TOS, i u¿ywasz argumentu -t do okre¶lenia zmian, jakich chcesz dokonaæ.
Zmiany s± okre¶lane za pomoc± dwóch masek bitowych. Pierwsza z tych masek bitowych jest poddawana operacji logicznej AND z polem opcji IP datagramu, a druga jest poddawana logicznej operacji XOR z wynikiem poprzedniej operacji. Mo¿e wydawaæ siê to skomplikowane, ale za chwilê wyja¶nimy, jak w³±cza siê ka¿dy z typów us³ug.
Maski bitowe s± okre¶lane za pomoc± o¶miobitowych warto¶ci szesnastkowych. Zarówno ipfwadm, jak i ipchains u¿ywaj± tej samej sk³adni przy zapisywaniu argumentów:

-t maskaand maskaxor

Na szczê¶cie te same maski mog± byæ u¿ywane za ka¿dym razem, gdy chcesz ustawiæ dany typ us³ugi, co zaoszczêdzi ci ka¿dorazowego ich rozpracowywania. W tabeli 9-3 pokazano je wraz z sugerowanym zastosowaniem.
Tabela 9-3. Sugerowane zastosowanie masek bitowych TOS
TOS	MaskaAND	MaskaXOR	Sugerowane zastosowanie
Minimalne opó¼nienie	0x01	0x10	ftp, telnet, ssh
Maksymalna przepustowo¶æ	0x01	0x08	ftp-data, www
Maksymalna niezawodno¶æ	0x01	0x04	snmp, dns
Minimalny koszt	0x01	0x02	nntp, smtp
Ustawienie bitów TOS za pomoc± iptables
Narzêdzie iptables pozwala okre¶liæ regu³y, które przechwytuj± tylko datagramy z bitami TOS pasuj±cymi do warto¶ci okre¶lonej wcze¶niej, za pomoc± opcji -m tos. Ustawienie bitów TOS datagramów IP pasuj±cych do regu³y nastêpuje za pomoc± celu -j TOS. Bity TOS mo¿esz ustawiaæ tylko w ³añcuchach FORWARD i OUTPUT. Dopasowanie i ustawienie s± realizowane niezale¿nie od siebie. Mo¿esz skonfigurowaæ wszelkie regu³y. Na przyk³ad mo¿esz skonfigurowaæ regu³ê, która odrzuca wszystkie datagramy o pewnych kombinacjach bitów TOS, lub inn±, która ustawia bity TOS datagramu pochodz±cego tylko z pewnych hostów. Najczê¶ciej bêdziesz u¿ywa³ regu³, które realizuj± zarówno dopasowanie, jak i zmianê, by za ich pomoc± t³umaczyæ TOS, podobnie jak mo¿esz to zrobiæ w ipfwadm i ipchains.
Zamiast skomplikowanej, wykorzystuj±cej dwie maski, konfiguracji stosowanej przez ipfwadm i ipchains, iptables proponuje prostsze rozwi±zanie. Polega ono na jawnym okre¶laniu bitów TOS, które powinny pasowaæ, i tych, które powinny byæ ustawione. Co wiêcej, zamiast w warto¶ciach szesnastkowych, mo¿esz podaæ bity TOS za pomoc± bardziej przyjaznych mnemonik, podanych w poni¿szej tabeli.
Ogólna sk³adnia u¿ywana do dopasowania bitów TOS wygl±da tak:

-m tos --tos mnemonik [inne-typy] -j cel

Ogólna sk³adnia u¿ywana do ustawiania bitów TOS jest nastêpuj±ca:

[inne-argumenty] -j TOS --set mnemonik

Pamiêtaj, ¿e zwykle powinny byæ one u¿ywane razem, ale mog± byæ u¿ywane niezale¿nie, je¿eli twoja konfiguracja tego wymaga.
Mnemonika		Warto¶æ szesnastkowa
Normal-Service	0x00
Minimize-Cost	0x02
Maximize-Reliability	0x04
Maximize-Throughput	0x08
Minimize-Delay	0x10
Testowanie konfiguracji firewalla
Gdy odpowiednio skonfigurowa³e¶ firewall, trzeba sprawdziæ, czy rzeczywi¶cie dzia³a tak, jak chcesz. Mo¿na w tym celu spróbowaæ przebiæ siê przez firewall testowym hostem spoza twojej sieci. Jest to sposób i niezrêczny, i wolny, a poza tym jest ograniczony do testowania jedynie tych adresów, których rzeczywi¶cie u¿ywasz.
W implementacji firewalla w Linuksie dostêpna jest szybsza i prostsza metoda. Pozwala ona na rêczne generowanie testów i uruchamianie ich z konfiguracj± firewalla tak, jakby¶ testowa³ rzeczywiste datagramy. Wszystkie odmiany oprogramowania firewalla w Linuksie, ipfwadm, ipchains i iptables, udostêpniaj± tego typu testowanie. Implementacja wykorzystuje polecenie check.
Ogólna procedura testowa wygl±da nastêpuj±co:
1.
Zaprojektuj i skonfiguruj firewall, u¿ywaj±c ipfwadm, ipchains lub iptables.
2.
Przygotuj seriê testów, które poka¿±, czy twój firewall rzeczywi¶cie dzia³a tak, jak chcia³e¶. Do tych testów mo¿esz u¿yæ dowolnych adresów ¼ród³a i przeznaczenia, a wiêc wybierz jak±¶ mieszankê adresów, które bêd± mog³y byæ przyjête i które powinny byæ odrzucone. Je¿eli przepuszczasz i odrzucasz dane zakresy adresów, dobrze jest testowaæ adresy z obu stron ograniczeñ, tzn. jeden adres ze ¶rodka zakresu i jeden spoza niego. Pomo¿e to upewniæ siê, ¿e masz skonfigurowane poprawne ograniczenia, poniewa¿ czasem zdarza siê podaæ w konfiguracji niepoprawn± maskê. Je¿eli filtrujesz wed³ug numerów protoko³ów i portów, twoje testy powinny równie¿ uwzglêdniaæ wszystkie istotne kombinacje tych parametrów. Na przyk³ad, je¿eli zamierzasz przyjmowaæ tylko pakiety TCP w pewnych warunkach, sprawdzaj, czy pakiety UDP s± odrzucane.
3.
Wykorzystaj regu³y ipfwadm, ipchains lub iptables do implementacji ka¿dego testu. Na pewno warto zapisaæ wszystkie regu³y w skrypcie, tak by¶ móg³ ³atwo powtarzaæ testy, gdy zrobisz b³±d lub zmienisz budowê. Testy wykorzystuj± prawie tê sam± sk³±dniê co regu³y, ale argumenty maj± nieco inne znaczenie. Na przyk³ad argument adresu ¼ród³owego w regule okre¶la adres ¼ród³owy, który powinien mieæ datagram, by pasowaæ do danej regu³y. Adres ¼ród³owy w sk³adni testowej dla odmiany oznacza adres ¼ród³owy datagramu testowego, który zostanie wygenerowany. W przypadku ipfwadm musisz u¿yæ opcji -c, by okre¶liæ, ¿e to polecenie jest testowe, natomiast w ipchains i iptables robisz to za pomoc± opcji -C. We wszystkich przypadkach musisz zawsze podawaæ adres ¼ród³owy, adres docelowy, protokó³ i interfejs, które maj± byæ u¿yte w te¶cie. Inne argumenty, takie jak numery portów czy ustawienie bitów TOS, s± opcjonalne.
4.
Wykonaj ka¿de polecenie testowe i zapisz wynik. Wynik ka¿dego testu bêdzie mia³ postaæ jednego s³owa wskazuj±cego ostateczne przeznaczenie datagramu po przej¶ciu przez konfiguracjê firewalla - to znaczy po zakoñczeniu przetwarzania. W przypadku ipchains i iptables, poza ³añcuchami wbudowanymi, bêd± testowane ³añcuchy definiowane przez u¿ytkownika.
5.
Porównaj wynik ka¿dego testu z oczekiwanym rezultatem. Je¿eli widzisz jakie¶ ró¿nice, musisz przeanalizowaæ swój zestaw regu³, by stwierdziæ, gdzie zrobi³e¶ b³±d. Je¿eli zapisa³e¶ polecenia testowe w skrypcie, mo¿esz ³atwo powtórzyæ test po poprawieniu wszelkich b³êdów w konfiguracji firewalla. Dobrze jest zupe³nie skasowaæ zestaw regu³ i stworzyæ je od nowa, a nie dokonywaæ zmian dynamicznie. Pomaga to upewniæ siê, ¿e aktywna konfiguracja, któr± testujesz, rzeczywi¶cie odzwierciedla zestaw poleceñ w twoim skrypcie konfiguracyjnym.
Przyjrzyjmy siê, jak mo¿e wygl±daæ zapis rêcznego testowania naszego przyk³adu w przypadku ipchains. Pamiêtasz, ¿e nasza przyk³adowa sieæ lokalna ma adres 172.16.1.0 i maskê sieciow± 255.255.255.0, i ¿e pozwolili¶my na realizowanie po³±czeñ do serwerów WWW w sieci. Nic wiêcej nie powinno przechodziæ przez nasz ³añcuch przekazywania. Rozpocznijmy od testowania tego, o czym wiemy, ¿e powinno dzia³aæ - po³±czenia z lokalnego hosta do serwera WWW na zewn±trz:

# ipchains -C forward -p tcp -s 172.16.1.0 1025 -d 44.136.8.2 80 -i eth0 
accepted

Zwróæ uwagê, które argumenty musz± byæ podane i w jaki sposób zosta³y u¿yte do opisania datagramu. Wynik polecenia wskazuje, ¿e datagram zosta³ przyjêty do przekazania, czyli jest zgodny z naszymi oczekiwaniami.
Teraz spróbujmy innego testu; tym razem adres ¼ród³owy nie nale¿y do naszej sieci. Pakiet nie powinien przej¶æ:

# ipchains -C forward -p tcp -s 172.16.2.0 1025 -d 44.136.8.2 80 -i eth0
denied

Zróbmy kilka innych testów, tym razem z kilkoma szczegó³ami identycznymi z pierwszym testem, ale innymi protoko³ami. Te pakiety te¿ nie powinny zostaæ przepuszczone.

# ipchains -C forward -p udp -s 172.16.1.0 1025 -d 44.136.8.2 80 -i eth0
denied
# ipchains -C forward -p icmp -s 172.16.1.0 1025 -d 44.136.8.2 80 -i eth0
denied

Sprawd¼my inny port docelowy. Znów oczekujemy, ¿e pakiet zostanie odrzucony:

# ipchains -C forward -p tcp -s 172.16.1.0 1025 -d 44.136.8.2 23 -i eth0
denied

Musisz przebyæ d³ug± drogê, zanim uspokoisz swoje my¶li, wykonuj±c szereg wyczerpuj±cych testów. Choæ czasem mo¿e to byæ równie trudne jak skonfigurowanie firewalla, jest to najlepszy sposób, by wiedzieæ, ¿e twój projekt zapewnia najlepsze bezpieczeñstwo, jakiego mo¿esz oczekiwaæ.
Przyk³adowa konfiguracja firewalla
Omówili¶my podstawowe konfiguracje firewalla. Przyjrzyjmy siê, jak w praktyce taka konfiguracja mo¿e wygl±daæ.
Konfiguracja pokazana w tym przyk³adzie zosta³a zaprojektowana tak, by by³o j± ³atwo rozbudowaæ i dostosowaæ do w³asnych potrzeb. Pokazali¶my trzy wersje. Pierwsza jest zaimplementowana za pomoc± polecenia ipfwadm (lub skryptu ipfwadm-wrapper), druga wykorzystuje ipchains, a trzecia iptables. Przyk³ady nie wykorzystuj± ³añcuchów definiowanych przez u¿ytkownika, ale pokazuj± podobieñstwa i ró¿nice pomiêdzy starymi i nowymi sk³adniami narzêdzi do konfiguracji firewalla:

#!/bin/bash
##############################################################
# WERSJA IPFWADM
# Ta przyk³adowa konfiguracja jest przeznaczona dla jednego
# hosta i nie uwzglêdnia us³ug oferowanych przez sam komputer,
# na którym dzia³a firewall.
##############################################################

# CZÊ¦Æ DO KONFIGURACJI PRZEZ U¯YTKOWNIKA

# Nazwa i lokalizacja programu ipfwadm. U¿yj ipfwadm-wrapper
# w przypadku j±der 2.2.*
IPFWADM=ipfwadm

# ¦cie¿ka do pliku wykonywalnego ipfwadm
PATH="/sbin"

# Przestrzeñ adresowa naszej sieci wewnêtrznej i urz±dzenie j± obs³uguj±ce
OURNET="172.29.16.0/24"
OURBCAST="172.29.16.255"
OURDEV="eth0"

# Adres zewnêtrzny i urz±dzenie sieciowe go obs³uguj±ce
ANYADDR="0/0"
ANYDEV="eth1"

# Us³ugi TCP, które chcemy przepuszczaæ - "" puste oznacza wszystkie porty
# uwaga: oddzielone spacj±
TCPIN="smtp www"
TCPOUT="smtp www ftp ftp-data irc"

# Us³ugi UDP, które chcemy przepuszczaæ - "" puste oznacza wszystkie porty
# uwaga: oddzielone spacj±
UDPIN="domain"
UDPOUT="domain"

# Us³ugi ICMP, które chcemy przepuszczaæ - "" puste oznacza wszystkie typy
# numery typów us³ug znajdziesz w pliku /usr/include/netinet/ip_icmp.h
# uwaga: oddzielone spacj±
ICMPIN="0 3 11"
ICMPOUT="8 3 11"

# Logowanie; usuñ komentarz z poni¿szego wiersza, by w³±czyæ 
# zapisywanie datagramów, które nie s± przepuszczane przez 
# firewall
# LOGGING=1

# KONIEC CZÊ¦CI KONFIGUROWALNEJ PRZEZ U¯YTKOWNIKA
##############################################################
# Usuniêcie tablicy regu³ przychodz±cych
$IPFWADM -I -f

# Chcemy domy¶lnie odrzucaæ ruch przychodz±cy
$IPFWADM -I -p deny

# PODSZYWANIE SIÊ (SPOOFING)
# Nie powinni¶my przyjmowaæ datagramów, które maj± adres 
# ¼ród³owy z naszej sieci, ale pakiet przychodzi z 
# zewn±trz, a wiêc go odrzucamy
$IPFWADM -I -a deny -S $OURNET -W $ANYDEV

# SMURF
# Zabraniamy wys³ania pakietów ICMP na nasz adres 
# rozg³oszeniowy, by zapobiec atakowi typu "Smurf"
$IPFWADM -I -a deny -p icmp -W $ANYDEV -D $OURBCAST

# TCP
# Bêdziemy przyjmowali wszystkie datagramy TCP nale¿±ce do 
# istniej±cego po³±czenia (tj. posiadaj±ce ustawiony bit ACK) 
# z portem TCP, który przepuszczamy. Powinno to obj±æ 
# ponad 95 % wszystkich poprawnych pakietów TCP.
$IPFWADM -I -a accept -P tcp -D $OURNET $TCPIN -k -b

# TCP - PO£¡CZENIA PRZYCHODZ¡CE
# Bêdziemy przyjmowali ¿±dania po³±czeñ z zewn±trz tylko na 
# dozwolone porty TCP
$IPFWADM -I -a accept -P tcp -W $ANYDEV -D $OURNET $TCPIN -y

# TCP - PO£¡CZENIA WYCHODZ¡CE
# Przyjmujemy wszystkie ¿±dania wychodz±cych po³±czeñ tcp na 
# dozwolone porty TCP.
$IPFWADM -I -a accept -P tcp -W $OURDEV -D $ANYADDR $TCPOUT -y

# UDP - PRZYCHODZ¡CE
# Przepuszczamy wszystkie datagramy UDP przychodz±ce na 
# dozwolone porty
$IPFWADM -I -a accept -P udp -W $ANYDEV -D $OURNET $UDPIN

# UDP - WYCHODZ¡CE
# Przepuszczamy wszystkie datagramy UDP wychodz±ce na 
# dozwolone porty
$IPFWADM -I -a accept -P udp -W $OURDEV -D $ANYADDR $UDPOUT

# ICMP - PRZYCHODZ¡CE
# Przepuszczamy wszystkie przychodz±ce datagramy ICMP o 
# dopuszczalnych typach
$IPFWADM -I -a accept -P icmp -W $ANYDEV -D $OURNET $ICMPIN

# ICMP - WYCHODZ¡CE
# Przepuszczamy wszystkie wychodz±ce datagramy ICMP o 
# dopuszczalnych typach
$IPFWADM -I -a accept -P icmp -W $OURDEV -D $ANYADDR $ICMPOUT

# DEFAULT i LOGGING
# Wszystkie pozosta³e datagramy trafiaj± do regu³y domy¶lnej i 
# s± odrzucane. Je¿eli skonfigurujesz wcze¶niej zmienn± 
# LOGGING, bêd± one zapisywane.
#
if [ "$LOGGING" ]
then
   # Zapisywanie odrzuconych pakietów TCP
   $IPFWADM -I -a reject -P tcp -o

   # Zapisywanie odrzuconych pakietów UDP
   $IPFWADM -I -a reject -P udp -o

   # Zapisywanie odrzuconych pakietów ICMP
   $IPFWADM -I -a reject -P icmp -o
fi
#
#end.

Teraz zaimplementujemy to samo za pomoc± polecenia ipchains:

#!/bin/bash
##############################################################
# WERSJA IPCHAINS
# Ta przyk³adowa konfiguracja jest przeznaczona dla jednego
# hosta i nie uwzglêdnia us³ug oferowanych przez sam komputer,
# na którym dzia³a firewall.
##############################################################

# CZÊ¦Æ KONFIGUROWALNA PRZEZ U¯YTKOWNIKA

# Nazwa i lokalizacja programu ipchains.
IPCHAINS=ipchains

# ¦cie¿ka do pliku wykonywalnego ipchains
PATH="/sbin"

# Przestrzeñ adresowa naszej sieci wewnêtrznej i urz±dzenie j± obs³uguj±ce
OURNET="172.29.16.0/24"
OURBCAST="172.29.16.255"
OURDEV="eth0"

# Adres zewnêtrzny i urz±dzenie sieciowe go obs³uguj±ce
ANYADDR="0/0"
ANYDEV="eth1"

# Us³ugi TCP, które chcemy przepuszczaæ - "" puste oznacza wszystkie porty
# uwaga: oddzielone spacj±
TCPIN="smtp www"
TCPOUT="smtp www ftp ftp-data irc"

# Us³ugi UDP, które chcemy przepuszczaæ - "" puste oznacza wszystkie porty
# uwaga: oddzielone spacj±
UDPIN="domain"
UDPOUT="domain"

# Us³ugi ICMP, które chcemy przepuszczaæ - "" puste oznacza wszystkie typy
# numery typów us³ug znajdziesz w pliku 
# /usr/include/netinet/ip_icmp.h
# uwaga: oddzielone spacj±
ICMPIN="0 3 11"
ICMPOUT="8 3 11"

# Logowanie; usuñ komentarz z poni¿szego wiersza, by w³±czyæ 
# zapisywanie datagramów, które nie s± przepuszczane przez 
# firewall
# LOGGING=1

# KONIEC CZÊ¦CI KONFIGUROWALNEJ PRZEZ U¯YTKOWNIKA
##############################################################
# Usuniêcie tablicy regu³ przychodz±cych
$IPCHAINS -F input

# Chcemy domy¶lnie odrzucaæ ruch przychodz±cy
$IPCHAINS -P input deny

# PODSZYWANIE SIÊ (SPOOFING)
# Nie powinni¶my przyjmowaæ datagramów, w których adres 
# ¼ród³owy jest z naszej sieci, ale pakiet przychodzi z 
# zewn±trz, a wiêc go odrzucamy
$IPCHAINS -A input -s $OURNET -i $ANYDEV -j deny

# SMURF
# Zabraniamy wys³ania pakietów ICMP na nasz adres 
# rozg³oszeniowy, by zapobiec atakowi typu "Smurf"
$IPCHAINS -A input -p icmp -w $ANYDEV -d $OURBCAST -j deny

# Powinni¶my przyjmowaæ fragmenty, w ipchains musimy to 
# zadeklarowaæ jawnie
$IPCHAINS -A input -f -j accept

# TCP
# Bêdziemy przyjmowali wszystkie datagramy TCP nale¿±ce do 
# istniej±cego po³±czenia (tj. posiadaj±ce ustawiony bit ACK) 
# z portem TCP, który przepuszczamy. Powinno to obj±æ 
# ponad 95 % wszystkich poprawnych pakietów TCP.
$IPCHAINS -A input -p tcp -d $OURNET $TCPIN ! -y -b -j accept

# TCP - PO£¡CZENIA PRZYCHODZ¡CE
# Bêdziemy przyjmowali ¿±dania po³±czeñ z zewn±trz tylko na 
# dozwolone porty TCP
$IPCHAINS -A input -p tcp -i $ANYDEV -d $OURNET $TCPIN -y -j accept

# TCP - PO£¡CZENIA WYCHODZ¡CE
# Przyjmujemy wszystkie ¿±dania wychodz±cych po³±czeñ tcp na 
# dozwolone porty TCP.
$IPCHAINS -A input -p tcp -i $OURDEV -d $ANYADDR $TCPOUT -y -j accept

# UDP - PRZYCHODZ¡CE
# Przepuszczamy wszystkie datagramy UDP przychodz±ce na 
# dozwolone porty
$IPCHAINS -A input -p udp -i $ANYDEV -d $OURNET $UDPIN -j accept

# UDP - WYCHODZ¡CE
# Przepuszczamy wszystkie datagramy UDP wychodz±ce na 
# dozwolone porty
$IPCHAINS -A input -p udp -i $OURDEV -d $ANYADDR $UDPOUT -j accept

# ICMP - PRZYCHODZ¡CE
# Przepuszczamy wszystkie przychodz±ce datagramy ICMP o 
# dopuszczalnych typach
$IPCHAINS -A input -p icmp -w $ANYDEV -d $OURNET $ICMPIN -j accept

# ICMP - WYCHODZ¡CE
# Przepuszczamy wszystkie wychodz±ce datagramy ICMP o 
# dopuszczalnych typach
$IPCHAINS -A input -p icmp -i $OURDEV -d $ANYADDR $ICMPOUT -j accept

# DEFAULT i LOGGING
# Wszystkie pozosta³e datagramy trafiaj± do regu³y domy¶lnej i 
# s± odrzucane. Je¿eli skonfigurujesz wcze¶niej zmienn± 
# LOGGING, bêd± one zapisywane.
#
if [ "$LOGGING" ]
then\

                    
   # Zapisywanie odrzuconych pakietów TCP
   $IPCHAINS -A input -p tcp -l -j reject

   # Zapisywanie odrzuconych pakietów UDP
   $IPCHAINS -A input -p udp -l -j reject

   # Zapisywanie odrzuconych pakietów ICMP
   $IPCHAINS -A input -p icmp -l -j reject
fi
#
#end.

W naszym przyk³adzie iptables przeszli¶my na korzystanie z regu³y FORWARD, ze wzglêdu na ró¿nicê w znaczeniu zestawu regu³ INPUT w implementaji netfilter. Jest to dla nas istotne;  oznacza, ¿e ¿adna z regu³ nie broni samego hosta firewalla. Aby dok³adnie na¶ladowaæ przyk³ad ipchains, skopiujemy ka¿d± z naszych regu³ do ³añcucha INPUT. Dla jasno¶ci odrzucili¶my wszystkie przychodz±ce datagramy odebrane po zewnêtrznej stronie naszego interfejsu.

#!/bin/bash
##############################################################
# WERSJA IPTABLES
# Ta przyk³adowa konfiguracja jest przeznaczona dla jednego
# hosta i nie uwzglêdnia us³ug oferowanych przez sam komputer,
# na którym dzia³a firewall.
##############################################################

# CZÊ¦Æ KONFIGUROWALNA PRZEZ U¯YTKOWNIKA

# Nazwa i lokalizacja programu iptables.
IPTABLES=iptables

# ¦cie¿ka do pliku wykonywalnego ipchains
PATH="/sbin"

# Przestrzeñ adresowa naszej sieci wewnêtrznej i urz±dzenie j±
# obs³uguj±ce
OURNET="172.29.16.0/24"
OURBCAST="172.29.16.255"
OURDEV="eth0"

# Adres zewnêtrzny i urz±dzenie sieciowe go obs³uguj±ce
ANYADDR="0/0"
ANYDEV="eth1"

# Us³ugi TCP, które chcemy przepuszczaæ - "" puste oznacza wszystkie porty
# uwaga: oddzielone przecinkami
TCPIN="smtp,www"
TCPOUT="smtp,www,ftp,ftp-data,irc"

# Us³ugi UDP, które chcemy przepuszczaæ - "" puste oznacza wszystkie porty
# uwaga: oddzielone przecinkami
UDPIN="domain"
UDPOUT="domain"

# Us³ugi ICMP, które chcemy przepuszczaæ - "" puste oznacza wszystkie typy
# numery typów us³ug znajdziesz w pliku
# /usr/include/netinet/ip_icmp.h
# uwaga: oddzielone przecinkami
ICMPIN="0,3,11"
ICMPOUT="8,3,11"

# Logowanie; usuñ komentarz z poni¿szego wiersza, by w³±czyæ
# zapisywanie datagramów, które nie s± przepuszczane przez
# firewall
# LOGGING=1

# KONIEC CZÊ¦CI KONFIGUROWALNEJ PRZEZ U¯YTKOWNIKA
##############################################################
# Usuniêcie tablicy regu³ przychodz±cych
$IPTABLES -F FORWARD

# Chcemy domy¶lnie odrzucaæ ruch przychodz±cy
$IPTABLES -P FORWARD deny

# Odrzucamy wszystkie datagramy pochodz±ce z zewn±trz i 
# przeznaczone dla tego hosta
$IPTABLES -A INPUT -i $ANYDEV -j DROP

# PODSZYWANIE SIÊ (SPOOFING)
# Nie powinni¶my przyjmowaæ datagramów, w których adres 
# ¼ród³owy jest z naszej sieci, ale pakiet przychodzi z
# zewn±trz, a wiêc go odrzucamy
$IPTABLES -A FORWARD -s $OURNET -i $ANYDEV -j DROP

# SMURF
# Zabraniamy wys³ania pakietów ICMP na nasz adres 
# rozg³oszeniowy, by zapobiec atakowi typu "Smurf"
$IPTABLES -A FORWARD -m multiport -p icmp -i $ANYDEV -d $OURBCAST -j DENY

# Powinni¶my przyjmowaæ fragmenty, w iptables musimy to
# zadeklarowaæ jawnie
$IPTABLES -A FORWARD -f -j ACCEPT

# TCP
# Bêdziemy przyjmowali wszystkie datagramy TCP nale¿±ce do 
# istniej±cego po³±czenia (tj. posiadaj±ce ustawiony bit ACK) 
# z portem TCP, który przepuszczamy. Powinno to obj±æ 
# ponad 95 % wszystkich poprawnych pakietów TCP.
$IPTABLES -A FORWARD -m multiport -p tcp -d $OURNET --dports $TCPIN /
    ! --tcp-flags SYN,ACK ACK -j ACCEPT
$IPTABLES -A FORWARD -m multiport -p tcp -s $OURNET --sports $TCPIN /
    ! --tcp-flags SYN,ACK ACK -j ACCEPT

# TCP - PO£¡CZENIA PRZYCHODZ¡CE
# Bêdziemy przyjmowali ¿±dania po³±czeñ z zewn±trz tylko na 
# dozwolone porty TCP
$IPTABLES -A FORWARD -m multiport -p tcp -i $ANYDEV -d $OURNET $TCPIN /
    --syn -j ACCEPT

# TCP - PO£¡CZENIA WYCHODZ¡CE
# Przyjmujemy wszystkie ¿±dania wychodz±cych po³±czeñ tcp na 
# dozwolone porty TCP.
$IPTABLES -A FORWARD -m multiport -p tcp -i $OURDEV -d $ANYADDR /
    --dport $TCPOUT --syn -j ACCEPT

# UDP - PRZYCHODZ¡CE
# Przepuszczamy wszystkie datagramy UDP przychodz±ce na 
# dozwolone porty
$IPTABLES -A FORWARD -m multiport -p udp -i $ANYDEV -d $OURNET /
    --dports $UDPIN -j ACCEPT
$IPTABLES -A FORWARD -m multiport -p udp -i $ANYDEV -s $OURNET /
    --sports $UDPIN -j ACCEPT

# UDP - WYCHODZ¡CE
# Przepuszczamy wszystkie datagramy UDP wychodz±ce na 
# dozwolone porty
$IPTABLES -A FORWARD -m multiport -p udp -i $OURDEV -d $ANYADDR /
    --dports $UDPOUT -j ACCEPT
$IPTABLES -A FORWARD -m multiport -p udp -i $OURDEV -s $ANYADDR /
    --sports $UDPOUT -j ACCEPT

# ICMP - PRZYCHODZ¡CE
# Przepuszczamy wszystkie przychodz±ce datagramy ICMP o 
# dopuszczalnych typach
$IPTABLES -A FORWARD -m multiport -p icmp -i $ANYDEV -d $OURNET /
    --dports $ICMPIN -j ACCEPT

# ICMP - WYCHODZ¡CE
# Przepuszczamy wszystkie wychodz±ce datagramy ICMP o 
# dopuszczalnych typach
$IPTABLES -A FORWARD -m multiport -p icmp -i $OURDEV -d $ANYADDR /
    --dports $ICMPOUT -j ACCEPT

# DEFAULT i LOGGING
# Wszystkie pozosta³e datagramy trafiaj± do regu³y domy¶lnej i 
# s± odrzucane. Je¿eli skonfigurujesz wcze¶niej zmienn± 
# LOGGING, bêd± one zapisywane.
#
if [ "$LOGGING" ]
then
   # Zapisywanie odrzuconych pakietów TCP
   $IPTABLES -A FORWARD -m tcp -p tcp -l -j LOG

   # Zapisywanie odrzuconych pakietów UDP
   $IPTABLES -A FORWARD -m udp -p udp -l -j LOG

   # Zapisywanie odrzuconych pakietów ICMP
   $IPTABLES -A FORWARD -m icmp -p icmp -l -j LOG
fi
#
#end.

W wielu prostych sytuacjach, aby skorzystaæ z pokazanych przyk³adów, wystarczy dokonaæ edycji pocz±tkowej czê¶ci skryptu zatuty³owanej "CZÊ¦Æ DO KONFIGURACJI PRZEZ U¯YTKOWNIKA", aby okre¶liæ, które protoko³y i typy datagramów chcesz przepuszczaæ w obie strony. Przy bardziej z³o¿onych konfiguracjach bêdziesz musia³ dokonaæ tak¿e edycji pozosta³ej czê¶ci skryptu. Pamiêtaj - jest to prosty przyk³ad, a wiêc podczas jego implementacji przeanalizuj go bardzo uwa¿nie, by robi³ to, co chcesz.


10
Liczenie ruchu IP


Rozdzia³ 10: Liczenie ruchu IP


W ¶wiecie komercyjnych us³ug internetowych coraz wa¿niejsza staje siê wiedza o tym, ile danych wysy³asz i ile odbierasz przez swoje po³±czenia sieciowe. Przyda ci siê, je¿eli jeste¶ dostawc± us³ug internetowych i wystawiasz rachunki swoim klientom wed³ug ilo¶ci przes³anych danych. Natomiast je¿eli jeste¶ klientem dostawcy us³ug, który obci±¿a ciê wed³ug ilo¶ci przes³anych danych, warto samemu zbieraæ dane, aby sprawdzaæ rachunki wystawiane przez dostawcê.
S± jeszcze inne zastosowania liczenia ruchu, nie maj±ce nic wspólnego z pieniêdzmi ani rachunkami. Je¿eli zarz±dzasz serwerem, który udostêpnia ró¿ne typy us³ug sieciowych, przydatna mo¿e byæ wiedza o tym, ile danych generuje ka¿da z nich. Tego typu informacje mog± ci pomóc przy podejmowaniu decyzji o tym, jaki sprzêt kupiæ lub ile serwerów uruchomiæ.
J±dro Linuksa udostêpnia funkcjê pozwalaj±c± zbieraæ wszelkiego rodzaju przydatne informacje o ruchu sieciowym. Funkcja ta to liczenie ruchu IP (ang. IP accounting).
Konfigurowanie j±dra do liczenia ruchu IP
Funkcja liczenia ruchu IP w Linuksie jest blisko zwi±zana z oprogramowaniem firewalla. Miejsca, z których chcesz zbieraæ dane rozliczeniowe, to te same miejsca, które interesuj± ciê przy filtrowaniu przez firewall: wej¶cie i wyj¶cie z hosta do sieci oraz oprogramowanie rutuj±ce datagramy. Je¿eli jeszcze nie przeczyta³e¶ rozdzia³u o firewallach, to teraz jest doskona³y moment, ¿eby to zrobiæ oraz wykorzystaæ kilka pojêæ opisanych w rozdziale 9, Firewall TCP/IP.
Aby w³±czyæ funkcjê liczenia ruchu IP w Linuksie, powiniene¶ najpierw zobaczyæ, czy j±dro jest odpowiednio skonfigurowane. Sprawd¼, czy istnieje plik /proc/net/ ip_acct. Je¿eli istnieje, twoje j±dro ju¿ obs³uguje liczenie ruchu IP. Je¿eli nie istnieje, musisz skompilowaæ j±dro od nowa, pilnuj±c, by¶ odpowiedzia³ "Y" na poni¿sze pytania w j±drach serii 2.0 i 2.2.

Networking options --->
       [*] Network firewalls
       [*] TCP/IP networking
        ...
       [*] IP: accounting

lub w j±drach serii 2.4:

Networking options --->
    [*] Network packet filtering (replaces ipchains)
Konfigurowanie liczenia ruchu IP
Poniewa¿ us³uga liczenia ruchu IP jest ¶ci¶le zwi±zana z firewallem IP, do jej konfigurowania s³u¿± te same narzêdzia, czyli ipfwadm, ipchains lub iptables. Sk³adnia polecenia jest bardzo podobna jak w przypadku regu³ firewalla, a wiêc nie bêdziemy siê na niej skupiaæ, a omówimy to, czego mo¿esz siê dowiedzieæ o swojej sieci, u¿ywaj±c tej funkcji.
Ogólna sk³adnia polecenia licz±cego ruch IP dla ipfwadm jest nastêpuj±ca:

# ipfwadm -A [kierunek] [polecenie] [parametry]

Nowy jest argument kierunku. Przyjmuje on jedn± z warto¶ci in, out lub both. S± to kierunki ruchu z punktu widzenia samego komputera z Linuksem, a wiêc in oznacza dane przychodz±ce z sieci do komputera, a out oznacza dane wysy³ane przez hosta do sieci. Kierunek both stanowi sumê danych przychodz±cych i wychodz±cych.
Ogólna sk³adnia polecenia dla ipchains i iptables jest nastêpuj±ca:

# ipchains -A ³añcuch definicja-regu³y
# iptables -A ³añcuch definicja-regu³y

Polecenia ipchains i iptables pozwalaj± okre¶liæ kierunek w sposób bardziej spójny z regu³ami firewalla. £añcuchy IP nie pozwalaj± na konfigurowanie regu³, które obejmuj± oba kierunki, ale dopuszczaj± skonfigurowanie regu³ w ³añcuchu forward, co nie by³o mo¿liwe w starszej implementacji. W kilku przyk³adach pokazanych dalej zobaczymy, co z tego wyniknie.
Polecenia s± w du¿ym stopniu takie same jak w regu³ach firewalla, z t± ró¿nic±, ¿e nie u¿ywa siê tu polityk. Mo¿emy dodawaæ, wstawiaæ, usuwaæ i listowaæ regu³y liczenia ruchu. W przypadku ipchains i iptables dopuszczalne s± tylko regu³y liczenia ruchu, a wszelkie polecenia nie zawieraj±ce opcji -j realizuj± jedynie liczenie ruchu.
Parametry w definicji regu³y liczenia ruchu IP s± identyczne z u¿ywanymi dla firewalla IP. Za ich pomoc± definiujemy dok³adnie, jaki ruch sieciowy chcemy liczyæ.
Liczenie wed³ug adresu
Na przyk³adzie poka¿emy, jak korzysta siê z funkcji liczenia ruchu IP.
Wyobra¼ sobie, ¿e mamy ruter oparty na Linuksie, który obs³uguje dwa wydzia³y browaru wirtualnego. Ruter ma dwa urz±dzenia Ethernet, eth0 i eth1, z których ka¿de obs³uguje jeden wydzia³, oraz urz±dzenie PPP, ppp0, które ³±czy nas za pomoc± szybkiego ³±cza szeregowego z g³ównym campusem uniwersytetu Groucho Marx.
Wyobra¼my sobie równie¿, ¿e dla celów rozliczeniowych chcemy znaæ ca³kowity ruch generowany przez ka¿dy wydzia³ pod³±czony przez ³±cze szeregowe, a dla celów zarz±dzania chcemy znaæ ca³kowity ruch generowany pomiêdzy wydzia³ami.
Poni¿sza tabela pokazuje adresy interfejsów, których bêdziemy u¿ywaæ w naszym przyk³adzie:
iface	adres	maska sieci
eth0	172.16.3.0	255.255.255.0
eth1	172.16.4.0	255.255.255.0
Aby odpowiedzieæ na pytanie: "Jak du¿o danych na ³±czu PPP generuje ka¿dy wydzia³ ?", powinni¶my u¿yæ nastêpuj±cego zestawu regu³:

# ipfwadm -A both -a W ppp0 -S 172.16.3.0/24 -b
# ipfwadm -A both -a W ppp0 -S 172.16.4.0/24 -b

lub

# ipchains -A input -i ppp0 -d 172.16.3.0/24
# ipchains -A output -i ppp0 -s 172.16.3.0/24
# ipchains -A input -i ppp0 -d 172.16.4.0/24
# ipchains -A output -i ppp0 -s 172.16.4.0/24

i w przypadku iptables:

# iptables -A FORWARD -i ppp0 -d 172.16.3.0/24
# iptables -A FORWARD -o ppp0 -s 172.16.3.0/24
# iptables -A FORWARD -i ppp0 -d 172.16.4.0/24
# iptables -A FORWARD -o ppp0 -s 172.16.4.0/24

Pierwsza po³owa ka¿dego z tych zestawów mówi: "Licz wszystkie dane przechodz±ce w obu kierunkach przez interfejs o nazwie ppp0 z adresami ¼ród³owym lub docelowym (pamiêtaj o funkcji -b w przypadku ipfwadm i ipchains) 172.16.3.0/24". Druga po³owa ka¿dego zestawu regu³ jest taka sama, ale dotyczy drugiej sieci Ethernet.
Aby odpowiedzieæ na drugie pytanie: "Ile danych jest przesy³anych pomiêdzy dwoma wydzia³ami?", potrzebujemy nastêpuj±cych regu³:

# ipfwadm -A both -a -S 172.16.3.0/24 -D 172.16.4.0/24 -b

lub:

# ipchains -A forward -s 172.16.3.0/24 -d 172.16.4.0/24 -b

lub:

# iptables -A FORWARD -s 172.16.3.0/24 -d 172.16.4.0/24
# iptables -A FORWARD -s 172.16.4.0/24 -d 172.16.3.0/24

Te zestawy regu³ licz± wszystkie datagramy, których adres ¼ród³owy  nale¿y do sieci jednego wydzia³u, a adres docelowy - do sieci drugiego wydzia³u.

Liczenie ruchu wed³ug portu us³ugi
W porz±dku, za³ó¿my teraz, ¿e chcemy wiedzieæ co¶ o tym, jaki rodzaj ruchu jest przesy³any przez nasze ³±cze PPP. Mo¿emy na przyk³ad dowiedzieæ siê, jak± czê¶æ ³±cza zajmuj± us³ugi FTP, smtp i WWW.
Skrypt z regu³ami w³±czaj±cymi zbieranie tego typu informacji mo¿e wygl±daæ nastêpuj±co:

#!/bin/sh
# Zbieranie, za pomoc± ipfwadm, statystyk o ruchu FTP, smtp i www 
#dla danych przesy³anych przez ³±cze PPP
#
ipfwadm -A both -a -W ppp0 -P tcp -S 0/0 ftp ftp-data
ipfwadm -A both -a -W ppp0 -P tcp -S 0/0 smtp
ipfwadm -A both -a -W ppp0 -P tcp -S 0/0 www

lub:

#!/bin/sh
# Zbieranie, za pomoc± ipchains, statystyk o ruchu FTP, smtp i www  
# dla danych przesy³anych przez ³±cze PPP
#
ipchains -A input -i ppp0 -p tcp -s 0/0 ftp-data:ftp
ipchains -A output -i ppp0 -p tcp -d 0/0 ftp-data:ftp
ipchains -A input -i ppp0 -p tcp -s 0/0 smtp
ipchains -A output -i ppp0 -p tcp -d 0/0 smtp
ipchains -A input -i ppp0 -p tcp -s 0/0 www
ipchains -A output -i ppp0 -p tcp -d 0/0 www

lub:

#!/bin/sh
# Zbieranie, za pomoc± iptables, statystyk o ruchu FTP, smtp i www 
# dla danych przesy³anych przez ³±cze PPP
#
iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport ftp-data:ftp
iptables -A FORWARD -o ppp0 -m tcp -p tcp --dport ftp-data:ftp
iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport smtp
iptables -A FORWARD -o ppp0 -m tcp -p tcp --dport smtp
iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport www
iptables -A FORWARD -o ppp0 -m tcp -p tcp --dport www

W tej konfiguracji jest kilka ciekawostek. Po pierwsze, okre¶lili¶my protokó³. Gdy w regu³ach podajemy numery portów, musimy tak¿e podaæ protokó³, poniewa¿ TCP i UDP posiadaj± oddzielne zestawy portów. Poniewa¿ wszystkie z tych us³ug s± oparte na TCP, podali¶my go jako protokó³. Po drugie, podali¶my dwie us³ugi ftp i ftp-data w jednym poleceniu. ipfwadm pozwala na podawanie poszczególnych portów, zakresów portów lub losowych list portów. Polecenie ipchains równie¿ pozwala na podawanie poszczególnych portów lub zakresów portów, z czego skorzystali¶my. Sk³adnia "ftp-data:ftp" oznacza "porty od ftp-data (20) do ftp (21)" i jest to sposób kodowania zakresu portów w poleceniach ipchains i iptables. Gdy w regule zliczaj±cej podasz listê portów, oznacza to, ¿e wszelkie dane odebrane na wskazanych portach bêd± sumowane przy zliczaniu. Pamiêtaj±c, ¿e FTP u¿ywa dwóch portów, portu poleceñ i danych, podali¶my je razem, ¿eby sumowaæ ca³y ruch FTP. Na koñcu podali¶my adres ¼ród³owy w postaci "0/0", co jest szczególnym zapisem, do którego pasuj± wszystkie adresy; taki zapis jest wymagany przez polecenia ipfwadm i ipchains, aby mo¿na by³o okre¶liæ porty.
Mo¿emy siê nieco bardziej skupiæ na drugim punkcie, co da nam inne spojrzenie na dane na naszym ³±czu. Wyobra¼my sobie, ¿e traktujemy ruch FTP, SMTP i WWW jako istotny, a pozosta³y ruch jako nieistotny. Gdyby¶my chcieli znaæ stosunek ruchu istotnego do nieistotnego, mogliby¶my u¿yæ czego¶ takiego:

# ipfwadm -A both -a W ppp0 -P tcp -S 0/0 ftp ftp-data smtp www
# ipfwadm -A both -a W ppp0 -P tcp -S 0/0 1:19 22:24 26:79 81:32767

Je¿eli ju¿ przejrza³e¶ swój plik /etc/services, wiesz, ¿e druga regu³a obejmuje wszystkie porty poza wymienionymi w pierwszej (ftp, ftp-data, smtp i www).
Jak to robimy w poleceniach ipchains i iptables, skoro pozwalaj± one okre¶liæ tylko jeden port jako argument? Do liczenia ruchu mo¿emy równie ³atwo jak w regu³ach firewalla wykorzystaæ ³añcuchy definiowane przez u¿ytkownika. Rozwa¿my nastêpuj±ce podej¶cie:

# ipchains -N a-essent
# ipchains -N a-noness
# ipchains -A a-essent -j ACCEPT
# ipchains -A a-noness -j ACCEPT
# ipchains -A forward -i ppp0 -p tcp -s 0/0 ftp-data:ftp -j a-essent
# ipchains -A forward -i ppp0 -p tcp -s 0/0 smtp -j a-essent
# ipchains -A forward -i ppp0 -p tcp -s 0/0 www -j a-essent
# ipchains -A forward -j a-noness

Tworzymy tutaj dwa ³añcuchy definiowane przez u¿ytkownika, jeden o nazwie a-essent, w którym zbieramy dane dla istotnych us³ug, oraz drugi o nazwie a-noness, w którym zbieramy dane o us³ugach nieistotnych. Nastêpnie dodajemy regu³y do naszego ³añcucha przekazywania, który dopasowuje nasze istotne us³ugi i przechodzi do ³añcucha a-essent, gdzie mamy tylko jedn± regu³ê akceptuj±c± wszystkie datagramy i je licz±c±. Ostatnia regu³a w naszym ³añcuchu przekazywania to regu³a, która przechodzi do ³añcucha a-noness, w którym znów mamy jedn± regu³ê przyjmuj±c± i zliczaj±c± wszystkie datagramy. Do regu³y, która przechodzi do ³añcucha a-noness, nie dotrze ¿adna z naszych istotnych us³ug, gdy¿ zostan± one zaakceptowane przez ich w³asny ³añcuch. Rejestr istotnych i nieistotnych us³ug bêdzie dostêpny w regu³ach tych ³añcuchów. Opisali¶my jeden ze sposobów, w jaki mo¿na liczyæ ruch istotny i nieistotny - s± oczywi¶cie tak¿e inne. Nasza implementacja iptables wykorzystuje to samo podej¶cie i przedstawia siê tak:

# iptables -N a-essent
# iptables -N a-noness
# iptables -A a-essent -j ACCEPT
# iptables -A a-noness -j ACCEPT
# iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport ftp-data:ftp -j a-essent
# iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport smtp -j a-essent
# iptables -A FORWARD -i ppp0 -m tcp -p tcp --sport www -j a-essent
# iptables -A FORWARD -j a-noness

Wygl±da to do¶æ prosto. Niestety wystêpuje tu niewielki, ale nieunikniony problem przy próbie liczenia us³ug wed³ug typu. Pamiêtasz, ¿e w poprzednich rozdzia³ach mówili¶my o roli, jak± w sieci TCP/IP odgrywa MTU. MTU definiuje najwiêkszy datagram, jaki mo¿e zostaæ przes³any przez urz±dzenie sieciowe. Gdy datagram zostanie odebrany przez ruter i jest wiêkszy ni¿ MTU interfejsu, który musi go przetransmitowaæ, ruter stosuje sztuczkê nazywan± fragmentacj±. Ruter dzieli du¿y datagram na mniejsze fragmenty, nie wiêksze jednak ni¿ MTU interfejsu, a nastêpnie je przesy³a. Ruter tworzy nowe nag³ówki, które umieszcza na pocz±tku ka¿dego fragmentu. Zdalna maszyna u¿ywa ich do odtworzenia oryginalnych danych. Niestety w procesie fragmentacji port jest usuwany ze wszystkich fragmentów poza pierwszym. Oznacza to, ¿e zliczanie IP nie jest w stanie poprawnie obs³u¿yæ datagramów podzielonych na fragmenty. Mo¿e poprawnie policzyæ tylko pierwszy fragment. Istnieje sztuczka wykonywana przez ipfwadm, która pozwala zliczaæ dalsze fragmenty, mimo ¿e nie jeste¶my w stanie dowiedzieæ siê dok³adnie, z jakiego portu pochodz±. Wcze¶niejsze wersje oprogramowania zliczaj±cego dla Linuksa przypisywa³y fragmentom fa³szywy numer portu 0xFFFF, który pozwala³ liczyæ. Aby mieæ pewno¶æ, ¿e uwzglêdniamy drugi i dalsze fragmenty, mo¿emy u¿yæ nastêpuj±cej regu³y:

# ipfwadm -A both -a -W ppp0 -P tcp -S 0/0 0xFFFF

Implementacja ³añcuchów IP oferowa³a nieco bardziej wyrafinowane rozwi±zanie, ale wynik by³ podobny. W przypadku polecenia ipchains mogli¶my u¿yæ:

# ipchains -A forward -i ppp0 -p tcp -f

a w przypadku iptables:

# iptables -A FORWARD -i ppp0 -m tcp -p tcp -f

Nie poka¿e nam to, jaki by³ oryginalny port danych, ale przynajmniej bêdziemy w stanie stwierdziæ, ile danych zosta³o podzielonych na fragmenty i policzyæ generowany przez nie ruch.
Podczas kompilacji j±der serii 2.2 mo¿esz wybraæ opcjê, która usuwa ca³y ten problem, je¿eli twój komputer z Linuksem dzia³a jako pojedynczy punkt dostêpu do sieci. Je¿eli w czasie kompilacji j±dra w³±czysz opcjê IP: always defragment, wszystkie odebrane datagramy bêd± sk³adane przez ruter linuksowy, zanim zostan± przerutowane i ponownie wys³ane. Ta operacja jest realizowana przed filtrowaniem na firewallu i oprogramowanie zliczaj±ce widzi datagram tak, jakby nie by³ podzielony na fragmenty. W j±drach 2.4 musisz skompilowaæ i za³adowaæ modu³ netfilter forward-fragment.
Zliczanie datagramów ICMP
Protokó³ ICMP nie u¿ywa numerów portów us³ugi i dlatego nieco trudniej jest zbieraæ szczegó³owe dane na jego temat. ICMP wykorzystuje ró¿nego typu datagramy. Wiele z nich jest nieszkodliwych i normalnych, natomiast niektóre powinny pojawiaæ siê tylko w pewnych okoliczno¶ciach. Czasami ludzie, którzy maj± zbyt wiele czasu, próbuj± z³o¶liwie zak³óciæ u¿ytkownikom dostêp do sieci, generuj±c du¿± liczbê komunikatów ICMP. Powszechnie nazywa siê to zalaniem pingami (ang. ping flooding). Choæ za pomoc± mechanizmu zliczania ruchu IP nie mo¿na zrobiæ nic, by zapobiec temu problemowi (choæ mo¿e tu pomóc firewall IP!), mo¿emy przynajmniej stworzyæ regu³y, które poka¿± nam, czy kto¶ próbuje takiego dzia³ania.
ICMP nie u¿ywa portów, tak jak TCP czy UDP. Natomiast ma ró¿ne typy komunikatów. Mo¿esz stworzyæ regu³y licz±ce ka¿dy typ komunikatu ICMP. W tym celu umieszczamy komunikat ICMP i numer typu w polu portu polecenia zliczaj±cego ipfwadm. Typy komunikatów ICMP wymienili¶my w podrozdziale Typy datagramów ICMP, a wiêc zajrzyj tam, je¿eli chcesz je sobie przypomnieæ.
Regu³a liczenia ruchu IP zbieraj±ca informacje o liczbie pingów wysy³anych do naszej maszyny i z niej generowanych mo¿e wygl±daæ tak:

# ipfwadm -A both -a -P icmp -S 0/0 8
# ipfwadm -A both -a -P icmp -S 0/0 0
# ipfwadm -A both -a -P icmp -S 0/0 0xff

lub w przypadku ipchains tak:

# ipchains -A forward -p icmp -s 0/0 8
# ipchains -A forward -p icmp -s 0/0 0
# ipchains -A forward -p icmp -s 0/0 -f

lub w przypadku iptables tak:

# iptables -A FORWARD -m icmp -p icmp --sports echo-request
# iptables -A FORWARD -m icmp -p icmp --sports echo-reply
# iptables -A FORWARD -m icmp -p icmp -f

Pierwsza regu³a zbiera informacje o datagramach "ICMP Echo Request" (¿±dania ping), a druga zbiera informacje o "ICMP Echo Reply" (odpowiedzi na ping). Trzecia regu³a zbiera informacje o fragmentach datagramów ICMP. Jest to sztuczka podobna do opisanej w przypadku podzielonych na fragmenty datagramów TCP i UDP.
Je¿eli w swoich regu³ach podasz adres ¼ród³owy i docelowy, mo¿esz wy¶ledziæ, sk±d pochodz± pingi, z sieci wewnêtrznej czy zewnêtrznej. Gdy ju¿ ustalisz, sk±d przychodz± szkodliwe datagramy, mo¿esz rozwa¿yæ, czy chcesz umie¶ciæ regu³ê firewalla, która bêdzie zapobiega³a ich przyjmowaniu, czy te¿ podj±æ jakie¶ inne dzia³ania, jak skontaktowanie siê z w³a¶cicielem sieci, z której one pochodz± i powiadomienie go o problemie, a mo¿e nawet wytoczenie sprawy, je¿eli dzia³anie by³o szczególnie z³o¶liwe.
Zliczanie wed³ug protoko³u
Wyobra¼my sobie teraz, ¿e chcemy wiedzieæ, jak du¿y ruch na naszym ³±czu generuj± protoko³y TCP, UDP i ICMP. U¿yjemy do tego celu nastêpuj±cych regu³:

# ipfwadm -A both -a -W ppp0 -P tcp -D 0/0
# ipfwadm -A both -a -W ppp0 -p udp -D 0/0
# ipfwadm -A both -a -W ppp0 -p icmp -D 0/0

lub:

# ipchains -A forward -i ppp0 -p tcp -d 0/0
# ipchains -A forward -i ppp0 -p udp -d 0/0
# ipchains -A forward -i ppp0 -p icmp -d 0/0

lub:

# iptables -A FORWARD -i ppp0 -m tcp -p tcp
# iptables -A FORWARD -o ppp0 -m tcp -p tcp
# iptables -A FORWARD -i ppp0 -m udp -p udp
# iptables -A FORWARD -o ppp0 -m udp -p udp
# iptables -A FORWARD -i ppp0 -m icmp -p icmp
# iptables -A FORWARD -o ppp0 -m icmp -p icmp

Zgodnie z regu³ami, ca³y ruch przechodz±cy przez interfejs ppp0 bêdzie analizowany pod k±tem ustalenia, czy jest to ruch TCP, UDP czy ICMP i bêd± uaktualniane odpowiednie liczniki dla ka¿dego z protoko³ów. W przyk³adzie dla polecenia iptables ruch przychodz±cy jest oddzielany od wychodz±cego, gdy¿ wymaga tego sk³adnia.
Wykorzystywanie wyników zliczania ruchu IP
Bardzo dobrze, ¿e zbieramy informacje, ale jak zobaczyæ wynik? Aby obejrzeæ zebrane dane o ruchu i skonfigurowane regu³y zliczaj±ce, odwo³ujemy siê do poleceñ konfiguracyjnych firewalla, prosz±c je o pokazanie listy regu³. W wyniku s± pokazywane liczniki pakietów i bajtów dla ka¿dej z naszych regu³. 
Polecenia ipfwadm, ipchains i iptables ró¿nie obs³uguj± zebrane dane, a wiêc musimy je pokazaæ niezale¿nie.
Ogl±danie danych za pomoc± ipfwadm
Najprostszym sposobem na obejrzenie danych o ruchu za pomoc± polecenia ipfwadm jest u¿ycie go w nastêpuj±cy sposób:

# ipfwadm -A -l
IP accounting rules
 pkts bytes dir prot source               destination     ports
 9833 2345K i/o all  172.16.3.0/24        anywhere        n/a
56527   33M i/o all  172.16.4.0/24        anywhere        n/a

Widaæ tu liczbê pakietów wys³anych w obie strony. Gdyby¶my u¿yli opcji -e do pokazania wyniku w bogatszej postaci (nie pokazujemy tutaj, gdy¿ nie zmie¶ci³by siê na stronie), musieliby¶my podaæ równie¿ odpowiednie opcje i nazwy interfejsów. Wiêkszo¶æ pól tego wyniku jest oczywista, ale poni¿sze mog± wymagaæ wyja¶nienia:
dir

Kierunek, którego dotyczy regu³a. Mo¿liwe warto¶ci to in, out lub i/o, co oznacza oba kierunki.
prot

Protoko³y, których dotycz± regu³y.
opt

Zakodowana postaæ opcji, których u¿ywamy w wywo³aniu ipfwadm.
ifname

Nazwa interfejsu, którego dotyczy regu³a.
ifaddress

Adres interfejsu, którego dotyczy regu³a.
Domy¶lnie ipfwadm wy¶wietla liczniki pakietów i bajtów w skróconej postaci, czyli zaokr±glone do najbli¿szego tysi±ca (K) lub miliona (M). Mo¿emy spowodowaæ, by wyniki by³y wy¶wietlane bez zaokr±glania. Robi siê to tak:

# ipfwadm -A -l -e -x
Ogl±danie danych za pomoc± ipchains
Polecenie ipchains nie wy¶wietli zebranych danych (liczników pakietów i bajtów), dopóki nie podamy argumentu -v. Najprostszy sposób na obejrzenie danych za pomoc± ipchains jest nastêpuj±cy:

# ipchains -L -v

Znów, tak jak w ipfwadm, u¿ywaj±c trybu rozszerzonego wyniku, mo¿emy wy¶wietliæ liczniki pakietów i bajtów w dok³adnych jednostkach. ipchains do tego celu wykorzystuje argument -x:

# ipchains -L -v -x
Ogl±danie danych za pomoc± iptables
Polecenie iptables zachowuje siê bardzo podobnie jak ipchains. Znów musimy u¿yæ opcji -v, gdy chcemy obejrzeæ nasze liczniki. Aby obejrzeæ zebrane dane o ruchu, piszemy:

# iptables -L -v

Tak jak w poleceniu ipchains, mo¿esz u¿yæ argumentu -x do obejrzenia wyniku w rozszerzonej wersji, z liczbami w dok³adnej postaci.
Zerowanie liczników
Liczniki zliczaj±ce ruch IP przepe³ni± siê, je¿eli pozostawisz je w³±czone na d³u¿szy czas. Gdy siê przepe³ni±, bêdziesz mia³ trudno¶ci w ustaleniu ich rzeczywistej warto¶ci. Aby unikn±æ tego problemu, powiniene¶ co jaki¶ czas odczytywaæ zebrane dane, zapisywaæ je, a nastêpnie zerowaæ liczniki, by ponownie rozpocz±æ zbieranie informacji o ruchu przez nastêpny okres zliczeniowy.
Polecenia ipfwadm i ipchains udostêpniaj± prosty sposób na zerowanie liczników:

# ipfwadm -A -z

lub:

# ipchains -Z

lub:

# iptables -Z

Mo¿esz tak¿e po³±czyæ wy¶wietlanie i zerowanie, by mieæ pewno¶æ, ¿e w miêdzyczasie dane siê nie zagubi±:

# ipfwadm -A -l -z

lub:

# ipchains -L -Z

lub:

# iptables -L -Z -v

Polecenia powy¿sze najpierw poka¿± dane o ruchu, a nastêpnie natychmiast wyzeruj± liczniki i rozpoczn± zliczanie od nowa. Je¿eli chcesz zbieraæ i wykorzystywaæ informacje regularnie, prawdopodobnie umie¶cisz to polecenie w skrypcie uruchamianym co jaki¶ czasu przez polecenie cron. Skrypt ten zapisuje wynik i gdzie¶ go zachowuje.
Usuwanie zestawów regu³
Ostatnie polecenie, które mo¿e byæ przydatne, pozwala ci usun±æ wszystkie skonfigurowane wcze¶niej regu³y zliczaj±ce IP. Jest najbardziej przydatne, gdy chcesz radykalnie zmieniæ zestaw regu³ bez ponownego uruchamiania komputera.
Argument -f w po³±czeniu z poleceniem ipfwadm wyrzuci wszystkie regu³y danego typu. ipchains obs³uguje argument -F, który robi to samo:

# ipfwadm -A -f

lub:

# ipchains -F

lub:

# iptables -F

Powy¿sze polecenia powoduj± usuniêcie wszystkich skonfigurowanych regu³ zliczania ruchu IP, dziêki czemu nie tracisz czasu na usuwanie ich pojedynczo. Zauwa¿, ¿e takie usuwanie regu³ w przypadku ipchains nie powoduje usuniêcia ¿adnego z ³añcuchów zdefiniowanych przez u¿ytkownika, a usuwa tylko zawarte w nich regu³y.
Bierne zbieranie danych o ruchu
Ostatnia sztuczka, któr± warto poznaæ: je¿eli twój Linux jest pod³±czony do Ethernetu, mo¿esz zastosowaæ regu³y liczenia ruchu do wszystkich danych z twojego segmentu, a nie tylko do tych, które s± przez niego przesy³ane lub do niego adresowane. Twoja maszyna mo¿e biernie pods³uchiwaæ wszystkie dane przesy³ane w segmencie sieci, do którego jest pod³±czona i je zliczaæ.
Powiniene¶ najpierw wy³±czyæ przekazywanie IP na twoim komputerze z Linuksem, tak by nie próbowa³ on rutowaæ odebranych datagramów*. W j±drach 2.0.36 i 2.2 robi siê to za pomoc±:

# echo 0>/proc/sys/net/ipv4/ip_forward

Nastêpnie za pomoc± polecenia ifconfig, powiniene¶ przej¶æ na swojej karcie Ethernet do trybu przechwytywania (ang. promiscuous). Teraz mo¿esz stworzyæ regu³y liczenia ruchu pozwalaj±ce ci zbieraæ informacje o datagramach przesy³anych w segmencie Ethernet bez w³±czania rutingu na swoim Linuksie.


11
Maskowanie IP
i translacja adresów sieciowych
Rozdzia³ 11: Maskowanie IP i translacja adresów sieciowych


Nie musisz mieæ dobrej pamiêci, by pamiêtaæ czasy, gdy tylko du¿e instytucje mog³y pozwoliæ sobie na po³±czenie wielu komputerów w sieæ LAN. Obecnie technologia sieciowa jest na tyle tania, ¿e mo¿emy zaobserwowaæ dwa zjawiska. Po pierwsze, sieci LAN s± teraz powszechne, nawet dostêpne w gospodarstwach domowych. Wielu u¿ytkowników Linuksa ma po kilka komputerów po³±czonych sieci± Ethernet. Po drugie, zasoby sieciowe, szczególnie adresy IP, koñcz± siê i choæ przyzwyczaili¶my siê, ¿e s± za darmo, obecnie coraz czê¶ciej s± kupowane i sprzedawane.
Wiêkszo¶æ posiadaczy sieci LAN zwykle chce tak¿e mieæ po³±czenie z Internetem, wykorzystywane przez ka¿dy komputer w sieci. Regu³y rutingu IP s± dosyæ sztywne, je¶li chodzi o dzia³anie w takiej sytuacji. Tradycyjne rozwi±zania tego problemu zak³adaj± uzyskanie adresu IP dla sieci, byæ mo¿e klasy C w przypadku mniejszych o¶rodków, i przypisanie adresu ka¿demu hostowi sieci LAN , a nastêpnie pod³±czenie sieci LAN do Internetu przez ruter.
W skomercjalizowanych ¶rodowiskach internetowych jest to do¶æ droga propozycja. Po pierwsze, musia³by¶ zap³aciæ za przypisanie twojej sieci adresów IP. Po drugie, musia³by¶ zap³aciæ dostawcy us³ug internetowych za przywilej posiadania odpowiedniego rutera dla twojej sieci, dziêki któremu reszta Internetu wiedzia³aby, jak siê do niej dostaæ. Mo¿e byæ to wci±¿ praktyczne rozwi±zanie dla firm, ale w³a¶ciciele domowych instalacji zwykle nie s± w stanie ud¼wign±æ jego kosztów.
Na szczê¶cie Linux oferuje inne rozwi±zanie tego problemu. Rozwi±zanie to wymaga elementu z grupy zaawansowanych funkcji sieciowych, tak zwanej translacji adresów sieciowych (Network Address Translation - NAT). Jest to proces modyfikacji adresów sieciowych zawartych w nag³ówkach datagramu, który zachodzi w czasie ich przesy³ania. Na pocz±tku mo¿e ci siê to wydawaæ do¶æ dziwne, ale zobaczysz wkrótce, ¿e jest to idealne rozwi±zanie opisywanego problemu i wiele osób z niego korzysta. Maskowanie IP (ang. IP masquerading) to nazwa nadana jednej z odmian translacji adresów sieciowych, która pozwala hostom z adresem sieci prywatnej przedstawiæ siê w Internecie pod jednym publicznym adresem IP.

Maskowanie IP daje mo¿liwo¶æ u¿ywania adresu IP z sieci prywatnej (zarezerwowanego) w twojej sieci LAN, a twój ruter oparty na Linuksie wykonuje w czasie rzeczywistym pewne inteligentne t³umaczenie adresów IP i portów. Gdy ruter odbierze datagram od komputera z sieci LAN, sprawdza, czy jest to datagram typu "TCP", "UDP", "ICMP" itp. i modyfikuje go tak, ¿e wygl±da on jakby by³ wygenerowany przez sam ruter (ruter pamiêta, ¿e to zrobi³). Nastêpnie ruter wysy³a datagram do Internetu, nadaj±c mu jeden adres IP. Gdy host docelowy odbierze datagram, uwierzy, ¿e przyszed³ on z rutera i wy¶le w odpowiedzi datagramy na jego adres. Gdy ruter linuksowy z w³±czonym maskowaniem odbierze datagram przez swoje po³±czenie sieciowe, zajrzy do swojej tablicy aktywnych, maskowanych po³±czeñ, by zobaczyæ, czy datagram rzeczywi¶cie nale¿y do komputera w sieci LAN. Je¿eli tak, odwróci dokonan± przez siebie wcze¶niej modyfikacjê oraz wy¶le datagram temu komputerowi.
Prosty przyk³ad takiego dzia³ania pokazano na rysunku 11-1.

Rysunek 11-1. Typowa konfiguracja maskowania IP
http://www.rm.com.pl/upgr/lpas/11-01.tif

Mamy ma³± sieæ Ethernet wykorzystuj±c± jeden z zarezerwowanych adresów sieci. W sieci jest linuksowy ruter z funkcj± maskowania, daj±cy dostêp do Internetu. Jedna ze stacji roboczych w sieci (192.168.1.3) chce po³±czyæ siê z hostem zdalnym o adresie 209.1.106.178 na porcie 8888. Stacja robocza kieruje swój datagram do rutera, który stwierdza, ¿e ¿±danie po³±czenia wymaga maskowania. Przyjmuje datagram i alokuje port (1035), zastêpuje adres i port hosta swoimi w³asnymi i przesy³a datagram do hosta docelowego. Docelowy host my¶li, ¿e otrzyma³ ¿±danie po³±czenia od rutera linuksowego z w³±czonym maskowaniem i generuje datagram z odpowiedzi±. Otrzymawszy datagram, ruter znajduje powi±zanie w tablicy maskowania i odwraca operacje wykonane na wychodz±cym datagramie. Nastêpnie przesy³a odpowied¼ do hosta, od którego pierwotnie wyszed³ datagram.

Lokalny host my¶li, ¿e komunikuje siê bezpo¶rednio z hostem zdalnym. Zdalny host nic nie wie o ho¶cie lokalnym, a my¶li, ¿e po³±czenie nawi±zuje z ruterem. Ruter z maskowaniem wie, ¿e te dwa hosty komunikuj± siê ze sob±, jakich portów u¿ywaj± i dokonuje translacji adresów i portów wymaganej do uzyskania takiej komunikacji.
Mo¿e to wydawaæ siê nieco zagmatwane, ale dzia³a i ³atwo siê konfiguruje. Nie przejmuj siê wiêc, je¿eli nie rozumiesz jeszcze szczegó³ów.
Skutki uboczne i dodatkowe korzy¶ci
Funkcji maskowania IP towarzysz± pewne skutki uboczne, z których niektóre s± u¿yteczne, a inne mog± przeszkadzaæ.
Po pierwsze, ¿aden z hostów sieci, która jest obs³ugiwana przez ruter maskuj±cy, nie jest widziany bezpo¶rednio, dziêki czemu potrzebujesz tylko jednego poprawnego i rutowalnego adresu IP, aby wszystkie hosty mog³y ³±czyæ siê z Internetem. Ma to tak± wadê, ¿e ¿aden z hostów nie jest widoczny z Internetu i nie mo¿esz siê do niego pod³±czyæ bezpo¶rednio. Jedynym widocznym hostem w maskowanej sieci jest sama maszyna maskuj±ca. Jest to istotne, gdy rozwa¿asz us³ugi, takie jak poczta czy FTP. Pomaga ustaliæ, jakie us³ugi powinny byæ udostêpniane przez ruter maskuj±cy, a jakie powinny byæ udostêpniane przez proxy lub traktowane w inny, szczególny sposób.
Po drugie, poniewa¿ ¿aden z maskowanych hostów nie jest widoczny, s± one w pewnym sensie zabezpieczone przed atakami z zewn±trz. Zapewne upraszcza to konfigurowanie firewalla na ho¶cie maskuj±cym. Mo¿esz siê nawet zastanawiaæ, czy firewall jest w ogóle potrzebny. Nie powiniene¶ jednak zbytnio ufaæ maskowaniu. Ca³a twoja sieæ jest tylko tak zabezpieczona jak host maskuj±cy, a wiêc powiniene¶ u¿yæ firewalla, je¿eli bezpieczeñstwo jest dla ciebie istotne.
Po trzecie, maskowanie IP bêdzie mia³o pewien wp³yw na wydajno¶æ sieci. W typowych konfiguracjach prawdopodobnie bêdzie to ledwo zauwa¿alne. Gdyby¶ jednak mia³ wiele aktywnych, zamaskowanych sesji, móg³by¶ zauwa¿yæ, ¿e przetwarzanie realizowane na maszynie maskuj±cej zaczyna wp³ywaæ na przepustowo¶æ sieci. Maskowanie IP wymaga wykonania sporej pracy dla ka¿dego datagramu, porównywalnej z typowym rutingiem. Je¿eli planowa³e¶ powierzyæ komputerowi 386SX16 obs³ugê maskowania dla komutowanego ³±cza do Internetu, mo¿e to wystarczyæ, ale nie spodziewaj siê zbyt wiele, je¿eli zdecydujesz siê go u¿yæ jako rutera w sieci korporacyjnej dzia³aj±cej z prêdko¶ciami sieci Ethernet.
Pewne us³ugi sieciowe nie bêd± dzia³a³y przy w³±czonej funkcji maskowania lub bêd± wymaga³y wsparcia. Zwykle s± to us³ugi, które opieraj± siê na przychodz±cych sesjach, takie jak bezpo¶rednie kana³y komunikacyjne (Direct Communications Channels - DCC) w IRC-u czy pewne typy us³ug grupowych wideo i audio. Dla niektórych z nich stworzono specjalne modu³y j±dra pozwalaj±ce problem rozwi±zaæ; za chwilê o tym powiemy. Mo¿e siê jednak tak zdarzyæ, ¿e nie znajdziesz rozwi±zania, a wiêc b±d¼ ostro¿ny, gdy¿ nie zawsze da siê zastosowaæ maskowanie.

Konfigurowanie j±dra do maskowania IP
Aby u¿yæ funkcji maskowania IP, twoje j±dro musi zostaæ skompilowane z jej obs³ug±. W czasie konfigurowania j±dra serii 2.2 musisz wybraæ nastêpuj±ce opcje:

Networking options --->
        [*] Network firewalls
        [*] TCP/IP networking
        [*] IP: firewalling
        [*] IP: masquerading
        --- Protocol-specific masquerading support will be built as modules.
        [*] IP: inautofw masq support
        [*] IP: ICMP masquerading

Zauwa¿, ¿e obs³uga maskowania jest dostêpna tylko jako modu³ j±dra. Oznacza to, ¿e w czasie kompilacji j±dra musisz pamiêtaæ o wykonaniu "make modules" poza zwyk³ym "make zImage".
J±dra serii 2.4 nie posiadaj± obs³ugi maskowania IP jako opcji wybieranej w czasie kompilacji j±dra. Natomiast powiniene¶ wybraæ opcjê filtrowania pakietów sieciowych:

Networking options --->
    [M] Network packet filtering (replaces ipchains)

W czasie kompilacji j±der serii 2.2 powstaje szereg modu³ów pomocniczych, specyficznych dla protoko³ów. Niektóre protoko³y rozpoczynaj± dzia³anie od wysy³ania ¿±dañ na jednym porcie, a potem oczekuj± na po³±czenia przychodz±ce na innym porcie. Protoko³y takie zwykle nie mog± byæ maskowane, gdy¿ nie ma innego sposobu na powi±zanie drugiego po³±czenia z pierwszym, jak powi±zanie ich wewn±trz samych protoko³ów. Modu³y pomocnicze to w³a¶nie robi±. W praktyce zagl±daj± do ¶rodka datagramów i umo¿liwiaj± dzia³anie maskowania z niektórych protoko³ów, co w innej sytuacji by³oby niemo¿liwe. Obs³ugiwane protoko³y to:
Modu³	Protokó³
ip_masq_ftp	FTP
ip_masq_irc	IRC
ip_masq_raudio	RealAudio
ip_masq_cuseeme	CU-See-Me
ip_masq_vdolive	For VDO Live
ip_masq_quake	IdSoftware Quake
Aby uruchomiæ te modu³y, musisz je rêcznie za³adowaæ za pomoc± polecenia insmod. Zauwa¿, ¿e modu³y te nie mog± byæ ³adowane przez demona kerneld. Ka¿dy z modu³ów przyjmuje argument, który okre¶la, na jakich portach modu³ bêdzie nas³uchiwa³. Modu³ RealAudio móg³by¶ za³adowaæ w nastêpuj±co**.

# insmod ip_masq_raudio.o ports=7070,7071,7072

Numery portów zale¿± od protoko³u. Dokument mini-HOWTO o maskowaniu IP napisany przez Ambrose Au, podaje wiêcej szczegó³ów na temat modu³ów maskowania IP i omawia, jak je konfigurowaæ**.
Pakiet netfilter zawiera modu³y dzia³aj±ce podobnie. Na przyk³ad, aby udostêpniæ po³±czenie ¶ledz±ce sesje FTP, powiniene¶ za³adowaæ modu³y ip_conntrack_ftp i ip_nat_ftp.o i u¿yæ ich.
Konfigurowanie maskowania IP
Je¿eli ju¿ przeczyta³e¶ rozdzia³y na temat firewalla i liczenia ruchu IP, nie bêdziesz zaskoczony, ¿e do konfigurowania regu³ maskowania IP s± u¿ywane równie¿ polecenia ipfwadm, ipchains i iptables.
Regu³y maskowania s± szczególn± klas± regu³ filtruj±cych. Mo¿liwe jest maskowanie jedynie tych datagramów, które s± odbierane na jednym interfejsie i rutowane do innego interfejsu. W celu utworzenia regu³y maskowania musisz skonstruowaæ regu³ê bardzo podobn± do regu³y przekazywania dla firewalla, ale z wykorzystaniem specjalnych opcji, które mówi± j±dru, by maskowa³o datagram. Polecenie ipfwadm wykorzystuje opcjê -m, ipchains opcjê -j MASQ, a iptables opcjê -j MASQUERADE, by pokazaæ, ¿e datagram pasuj±cy do regu³y powinien byæ zamaskowany.
Spójrzmy na przyk³ad. Student informatyki z uniwersytetu Groucho Marx ma w domu kilka komputerów po³±czonych w sieæ Ethernet. Zdecydowa³ siê na u¿ycie jednego z prywatnych, zarezerwowanych adresów sieci. Mieszka razem z innymi studentami, którzy te¿ chc± mieæ dostêp do Internetu. Poniewa¿ ich warunki ¿yciowe s± do¶æ skromne, nie mog± pozwoliæ sobie na sta³e po³±czenie z Internetem, a wiêc u¿ywaj± zwyk³ego, komutowanego po³±czenia PPP. Wszyscy chcieliby wspó³dzieliæ ³±cze, by pogadaæ na IRC-u, poogl±daæ strony WWW czy pobraæ pliki przez FTP bezpo¶rednio na swoje komputery - maskowanie IP jest tu dobrym rozwi±zaniem.
Student konfiguruje najpierw komputer z Linuksem obs³uguj±cy ³±cze komutowane i dzia³aj±cy jako ruter dla sieci LAN. Adres IP, jakiego u¿ywa przy dzwonieniu, nie jest istotny. Konfiguruje ruter z maskowaniem IP i u¿ywa jednego z adresów sieci prywatnej dla swojej sieci LAN: 192.168.1.0. Zapewnia ka¿demu hostowi w sieci LAN ustawienie domy¶lnego rutingu tak, by wskazywa³ na ruter linuksowy.
Poni¿sze polecenia ipfwadm wystarcz±, by maskowanie zadzia³a³o w takiej konfiguracji:

# ipfwadm -F -p deny
# ipfwadm -F -a accept -m -S 192.168.1.0/24 -D 0/0

lub w przypadku ipchains:

# ipchains -P forward -j deny
# ipchains -A forward -s 192.168.1.0/24 -d 0/0 -j MASQ

lub w przypadku iptables:

# iptables -t nat -P POSTROUTING DROP
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Teraz, gdy tylko jaki¶ z hostów z sieci LAN spróbuje po³±czyæ siê z us³ug± na ho¶cie zdalnym, jego datagramy zostan± automatycznie zamaskowane przez ruter z Linuksem. Pierwsza regu³a w ka¿dym z przyk³adów zapobiega przed rutowaniem wszelkich innych datagramów i zapewnia pewne bezpieczeñstwo.
Aby zobaczyæ w³a¶nie utworzon± listê regu³ maskowania, u¿yj argumentu -l w poleceniu ipfwadm zgodnie z tym, co opisali¶my, omawiaj±c firewalle.
Oto, jak nale¿y zapisaæ to polecenie:

# ipfwadm -F -l -e

W wyniku otrzymujemy:

# ipfwadm -F -l -e
IP firewall forward rules, default policy: accept
 pkts bytes type  prot opt tosa tosx ifname ifaddress ...
    0     0 acc/m all ---- 0xFF 0x00 any    any       ...

Symbol "/m" w wyniku pokazuje w³a¶nie regu³ê maskowania.
Aby zobaczyæ listê regu³ maskowania w przypadku polecenia ipchains, u¿yj argumentu -L. Wynik bêdzie nastêpuj±cy:

# ipchains -L
Chain input (policy ACCEPT):
Chain forward (policy ACCEPT):
target     prot   opt   source            destination      ports
MASQ       all  ------  192.168.1.0/24    anywhere         n/a
Chain output (policy ACCEPT):

Wszelkie regu³y, w których pole target ma warto¶æ MASQ, to regu³y maskowania.
No i aby zobaczyæ regu³y za pomoc± iptables, musisz u¿yæ czego¶ takiego:

# iptables -t net -L
Chain PREROUTING (policy ACCEPT)
target     prot   opt   source      destination

Chain POSTROUTING (policy DROP)
target     prot   opt   source      destination
MASQUERADE  all  --   anywhere      anywhere               MASQUERADE

Chain OUTPUT (policy ACCEPT)
target     prot   opt   source      destination

Znów, regu³y maskowania s± oznaczone s³owem MASQUERADE w polu target.
Ustawianie parametrów czasowych dla maskowania IP
Gdy jest nawi±zywane ka¿de nowe po³±czenie, oprogramowanie maskowania IP tworzy w pamiêci powi±zanie pomiêdzy ka¿dym z hostów w nim uczestnicz±cych. Mo¿esz obejrzeæ te powi±zania w dowolnej chwili, zagl±daj±c do pliku /proc/net/ ip_masquerade. Powi±zania wygasn± po pewnym czasie nieaktywno¶ci.
Za pomoc± polecenia ipfwadm mo¿esz ustawiæ warto¶ci czasu ich wyga¶niêcia. Ogólna sk³adnia jest nastêpuj±ca:

ipfwadm -M -s <tcp> <tcpfin> <udp>

i dla polecenia ipchains jest tak:

ipchains -M -S <tcp> <tcpfin> <udp>

Implementacja iptables wykorzystuje liczniki czasowe o du¿o wiêkszej warto¶ci i nie pozwala na ich ustawianie.
Ka¿da z tych warto¶ci okre¶la licznik czasu u¿ywany przez oprogramowanie maskowania IP i jest wyra¿ona w sekundach. Poni¿sza tabela podsumowuje liczniki i ich znaczenie:
Nazwa
Opis
tcp
Czas przerwy w sesji TCP. Mówi, jak d³ugo po³±czenie TCP mo¿e pozostawaæ ja³owe, zanim powi±zanie zostanie usuniête.
tcpfin
Czas oczekiwania TCP po napotkaniu FIN. Mówi, jak d³ugo powi±zanie pozostanie w tablicy po roz³±czeniu po³±czenia TCP.
udp

Czas przerwy w sesji UDP. Mówi, jak d³ugo po³±czenie UDP mo¿e pozostawaæ ja³owe, zanim powi±zanie zostanie usuniête.
Obs³ugiwanie przeszukiwania serwerów nazw
Obs³ugiwanie przeszukiwania serwerów nazw z hostów w sieci z maskowaniem IP zawsze stanowi³o problem. Istniej± dwa sposoby na dostosowanie DNS-u do ¶rodowiska z maskowaniem. Mo¿esz powiedzieæ ka¿demu z hostów, ¿eby u¿ywa³ tego samego DNS-u co ruter i niech maskowanie IP obs³uguje ich zapytania DNS. Albo mo¿esz uruchomiæ linuksowy serwer pamiêci podrêcznej i ustawiæ go tak, by ka¿dy z hostów u¿ywa³ go jako swojego DNS-u. Jest to bardziej agresywne dzia³anie, ale o tyle korzystniejsze, ¿e redukuje rozmiar ruchu DNS przesy³anego do ³±cza internetowego i bêdzie nieco szybsze, poniewa¿ wiêkszo¶æ zapytañ bêdzie obs³ugiwana z pamiêci podrêcznej. Wad± tej konfiguracji jest to, ¿e jest bardziej skomplikowana. Podrozdzia³ Konfiguracja named jak serwera pamiêci podrêcznej w rozdziale 6 opisuje przebieg konfiguracji takiego serwera.
Wiêcej na temat translacji adresów sieciowych
Oprogramowanie netfilter jest w stanie obs³u¿yæ wiele ró¿nych typów translacji adresów sieciowych. Maskowanie IP jest jednym z prostszych jego zastosowañ.
Mo¿liwe jest na przyk³ad stworzenie takich regu³ translacji, które bêd± t³umaczyæ tylko pewne adresy lub zakresy adresów, a reszta pozostanie nietkniêta lub bêd± t³umaczyæ adresy na pule adresów, a nie na pojedyncze adresy, tak jak w maskowaniu. W praktyce mo¿esz u¿yæ polecenia iptables do stworzenia regu³ translacji, które odwzorowuj± wszystko, wykorzystuj±c po³±czenie ró¿nych atrybutów, takich jak adres ¼ród³owy, adres docelowy, typ protoko³u, numer portu itp.
W dokumentacji netfilter t³umaczenie adresu ¼ród³owego datagramu nazywa siê SNAT (Source NAT). T³umaczenie adresu docelowego datagramu jest nazywane DNAT (Destination NAT). T³umaczenie portu TCP lub UDP jest znane pod pojêciem REDIRECT. SNAT, DNAT i REDIRECT to cele, których mo¿esz u¿ywaæ w poleceniu iptables do tworzenia bardziej wyrafinowanych i skomplikowanych regu³.
Opisem odmian translacji adresów sieciowych mo¿na by wype³niæ ca³y oddzielny rozdzia³*. Niestety my nie mamy tu do¶æ miejsca. Je¿eli chcesz siê dowiedzieæ wiêcej o tym, jak u¿ywaæ translacji adresów sieciowych, powiniene¶ przeczytaæ IPTABLES-HOWTO.


12
Wa¿ne funkcje
sieciowe

Rozdzia³ 12: Wa¿ne funkcje sieciowe


Po pomy¶lnym skonfigurowaniu IP i resolvera, warto przyjrzeæ siê us³ugom, które mo¿esz udostêpniaæ w sieci. Ten rozdzia³ omawia konfiguracjê kilku prostych zastosowañ sieci, miêdzy innymi serwera inetd i programów z rodziny rlogin. Krótko omówimy tak¿e interfejs zdalnego wywo³ania procedur (RPC - Remote Procedure Call), na którym oparte s± us³ugi, takie jak sieciowy system plików (NFS - Network File System) i system informacji sieciowej (NIS - Network Information System). Jednak konfiguracja NFS-a i NIS-a s± bardziej z³o¿one i omówimy je w oddzielnych rozdzia³ach, podobnie jak pocztê elektroniczn± oraz grupy dyskusyjne.
Oczywi¶cie nie mo¿emy w tej ksi±¿ce opisaæ wszystkich zastosowañ sieci. Gdyby¶ chcia³ zainstalowaæ co¶, czego nie omawiamy, na przyk³ad talk, gopher czy http, szukaj obja¶nieñ na stronach podrêcznika elektronicznego danego serwera.
Superserwer inetd
Programy udostêpniaj±ce us³ugi przez sieæ s± nazywane demonami sieciowymi. Demon to program, który otwiera port (przewa¿nie jest to dobrze znany port us³ugi) i oczekuje na przychodz±ce na niego po³±czenia. Je¿eli takie nadejdzie, demon tworzy proces potomny przyjmuj±cy po³±czenie, natomiast proces macierzysty dalej oczekuje na kolejne ¿±dania. Mechanizm ten siê sprawdza, ale ma kilka wad. Przynajmniej jedna instancja ka¿dej mo¿liwej us³ugi, któr± chcesz udostêpniaæ, musi byæ aktywna w pamiêci przez ca³y czas. Ponadto procedury oprogramowania nas³uchuj±cego i obs³uguj±cego port musz± byæ replikowane w ka¿dym demonie sieciowym.
Aby dzia³anie demona sta³o siê bardziej efektywne, wiêkszo¶æ instalacji Uniksa uruchamia specjalnego demona sieciowego, którego mo¿esz uznaæ za "superserwer". Demon ten tworzy gniazda w imieniu szeregu us³ug i nas³uchuje na nich wszystkich równocze¶nie. Gdy na którym¶ z tych gniazd zostanie odebrane przychodz±ce po³±czenie, superserwer przyjmuje je i uruchamia serwer dla okre¶lonego portu, przekazuj±c gniazdo do obs³u¿enia przez proces potomny. Nastêpnie powraca do nas³uchiwania.

Najpopularniejszy superserwer nosi nazwê inetd (z ang. Internet Daemon). Jest on uruchamiany w czasie startu systemu i przyjmuje listê us³ug do obs³u¿enia na podstawie pliku o nazwie /etc/inetd.conf. Poza tymi us³ugami, istnieje szereg prostych us³ug realizowanych przez sam inetd, nazywanych us³ugami wewnêtrznymi. Zaliczaj± siê do nich chargen, generuj±cy po prostu ci±g znaków, i daytime, który zwraca czas systemowy.
Wpis w tym pliku sk³ada siê z pojedynczego wiersza, w którym znajduj± siê z kolei nastêpuj±ce pola:

us³uga typ protokó³ wait u¿ytkownik serwer wiersz-poleceñ

Ka¿de z pól opisujemy poni¿ej:
us³uga

Zawiera nazwê us³ugi. Nazwa us³ugi musi byæ przet³umaczona na numer portu na podstawie pliku /etc/services. Plik ten zostanie opisany dalej, w podrozdziale Pliki services i protocols.
typ

Okre¶la typ gniazda, czyli stream (dla protoko³ów zorientowanych po³±czeniowo) lub dgram (dla protoko³ów datagramowych). Us³ugi oparte na TCP powinny zawsze u¿ywaæ s³owa stream, a us³ugi oparte na UDP, s³owa dgram.
protokó³

Nazwa protoko³u transportowego u¿ywanego przez us³ugê. Musi byæ to dopuszczalna nazwa protoko³u znajduj±ca siê w pliku protocols, opisanym dalej.
wait

Ta opcja dotyczy tylko gniazd dgram. Mo¿e przyjmowaæ warto¶æ wait lub nowait. Je¿eli podano wait, inetd uruchamia tylko po jednym serwerze dla zadanego portu. W przeciwnym razie natychmiast po uruchomieniu serwera zaczyna nas³uchiwaæ na porcie.
Jest to przydatna opcja dla serwerów "jednow±tkowych", które czytaj± wszystkie datagramy, dopóki przychodz±, a nastêpnie koñcz± pracê. Wiêkszo¶æ serwerów RPC jest tego typu i powinny w tym polu zawieraæ s³owo wait. Dzia³aj±ce odwrotnie serwery - "wielow±tkowe" - pozwalaj± na jednoczesne uruchamianie nieograniczonej liczby instancji. Takie serwery powinny mieæ tu wpisane nowait.
Gniazda stream powinny zawsze u¿ywaæ s³owa nowait.
u¿ytkownik

Jest to ID u¿ytkownika, który jest w³a¶cicielem procesu w czasie jego uruchamiania. Czêsto bêdzie to u¿ytkownik root, ale niektóre us³ugi mog± wykorzystywaæ inne konta. Dobrze jest stosowaæ tu zasadê ograniczonego przywileju, która mówi, ¿e nie powiniene¶ uruchamiaæ polecenia z prawami konta uprzywilejowanego, je¿eli program nie wymaga tego do poprawnego dzia³ania. Na przyk³ad serwer grup dyskusyjnych NNTP dzia³a jako news, natomiast us³ugi, które mog± potencjalnie zagra¿aæ bezpieczeñstwu (takie jak tftp czy finger) czêsto s± uruchamiane jako nobody.

serwer

Zawiera pe³n± ¶cie¿kê do uruchamianego programu serwera. Wewnêtrzne us³ugi s± tutaj oznaczane s³owem kluczowym internal.
wiersz-poleceñ

Jest to wiersz poleceñ przekazywany do serwera. Rozpoczyna siê od nazwy uruchamianego serwera i mo¿e zawieraæ wszelkie argumenty, które powinny byæ przekazane serwerowi. Je¿eli u¿ywasz wrappera TCP, podajesz tutaj pe³n± ¶cie¿kê do serwera. W przeciwnym razie podajesz jedynie nazwê serwera, tak± jaka pojawia siê na li¶cie procesów. Wkrótce powiemy o wrapperach TCP.
W przypadku us³ug wewnêtrznych pole to jest puste.
Przyk³adowy plik inetd.conf zosta³ pokazany w przyk³adzie 12-1. Us³uga finger jest zakomentowana, a wiêc nie jest dostêpna. Czêsto tak siê robi ze wzglêdów bezpieczeñstwa, poniewa¿ us³uga ta mo¿e byæ u¿ywana przez osoby niepowo³ane do uzyskania nazw i innych szczegó³ów na temat u¿ytkowników twojego systemu.
Przyk³ad 12-1.?Przyk³adowy plik /etc/inetd.conf
# 
# us³ugi inetd
ftp      stream tcp nowait root /usr/sbin/ftpd    in.ftpd -1
telnet   stream tcp nowait root /usr/sbin/telnetd in.telnetd -b /etc/issue
#finger  stream tcp nowait bin  /usr/sbin/fingerd in.fingerd
#tftp    dgram  udp wait nobody /usr/sbin/tftpd   in.tftpd
#tftp    dgram  udp wait nobody /usr/sbin/tftpd   in.tftpd /boot/diskless
#login   stream tcp nowait root /usr/sbin/rlogind in.rlogind
#shell   stream tcp nowait root /usr/sbin/rshd    in.rshd
#exec    stream tcp nowait root /usr/sbin/rexecd  in.rexecd
#
#      us³ugi wewnêtrzne inetd
#
daytime  stream tcp nowait root internal
daytime  dgram  udp nowait root internal
time     stream tcp nowait root internal
time     dgram  udp nowait root internal
echo     stream tcp nowait root internal
echo     dgram  udp nowait root internal
discard  stream tcp nowait root internal
discard  dgram  udp nowait root internal
chargen  stream tcp nowait root internal
chargen  dgram  udp nowait root internal

Demon tftp jest równie¿ zakomentowany. tftp implementuje uproszczony protokó³ przesy³ania plików (Trivial File Transfer Protocol - TFTP), który pozwala ka¿demu, bez sprawdzania has³a, pobraæ z systemu dowolny plik, który ma prawo do odczytu ustawione dla wszystkich. Jest to szczególnie niebezpieczne w przypadku pliku /etc/passwd, a jeszcze bardziej, je¿eli nie u¿ywamy hase³ typu shadow.
TFTP jest powszechnie stosowany przez klienty bezdyskowe i Xterminale do ³adowania z serwera swojego kodu. Gdyby¶ z tego powodu musia³ uruchomiæ tftpd, ogranicz dostêp tylko do tych katalogów, z których klienty bêd± odczytywaæ pliki. Bêdziesz musia³ podaæ nazwy tych katalogów w wierszu poleceñ tftpd. Pokazano to w drugim wierszu tftp w powy¿szym przyk³adzie.
Funkcja kontroli dostêpu tcpd
Poniewa¿ udostêpnianie komputera w sieci stwarza wiele zagro¿eñ dla bezpieczeñstwa, aplikacje s± tak projektowane, by broniæ siê przed pewnymi typami ataków. Niektóre funkcje bezpieczeñstwa bywaj± jednak s³abe (co pokaza³ internetowy robak RTM, który wykorzysta³ dziury w kilku programach, tak¿e w starych wersjach demona pocztowego sendmail) lub nie rozró¿niaj± bezpiecznych hostów, od których ¿±danie jakiej¶ us³ugi mo¿na przyj±æ, od niebezpiecznych hostów, których ¿±dania powinny byæ odrzucone. Opisali¶my ju¿ krótko us³ugi finger i tftp. Administrator sieci bêdzie chcia³, aby jedynie zaufane hosty mog³y z nich korzystaæ, co jest niemo¿liwe przy typowej konfiguracji, w której inetd udostêpnia us³ugê wszystkim klientom lub nie udostêpnia jej nikomu.
Przydatnym narzêdziem do zarz±dzania dostêpem ograniczonym do zadanego hosta jest tcpd, czêsto nazywane demonem "wrappera"*. W przypadku us³ug TCP, które chcesz monitorowaæ lub zabezpieczaæ, jest on wywo³ywany zamiast programu serwera. tcpd sprawdza, czy zdalny host ma prawo u¿ywaæ us³ugi i je¿eli test zakoñczy siê poprawnie, uruchamia prawdziwy serwer. tcpd zapisuje równie¿ ¿±dania do demona syslog. Zauwa¿, ¿e demon ten nie obs³uguje us³ug opartych na UDP.
Na przyk³ad, aby "opakowaæ" demona finger, musisz zmieniæ odpowiedni± liniê w pliku inetd.conf z takiej:

# demon finger wywo³ywany bezpo¶rednio
finger    stream tcp nowait bin    /usr/sbin/fingerd in.fingerd

na tak±:

# "opakowany" demon finger
finger    stream tcp nowait root   /usr/sbin/tcpd in.fingerd

Przy zupe³nym braku kontroli dostêpu bêdzie to wygl±da³o z punktu widzenia klienta tak jak zwyk³a konfiguracja finger, z tym wyj±tkiem, ¿e wszelkie ¿±dania bêd± zapisywane przez funkcjê o nazwie  sysloga auth.
Kontrola dostêpu jest realizowana przez dwa pliki: /etc/hosts.allow i /etc/hosts.deny. Zawieraj± one wpisy, które pozwalaj± na dostêp do pewnych us³ug i hostów lub go zabraniaj±. Gdy tcpd obs³uguje ¿±danie us³ugi, na przyk³ad finger od klienta z hosta o nazwie biff.foobar.com, przegl±da pliki hosts.allow i hosts.deny (w tej kolejno¶ci) w poszukiwaniu wpisu pasuj±cego zarówno do us³ugi, jak i do hosta. Je¿eli odpowiedni wpis zostanie znaleziony w pliku hosts.allow, dostêp jest udzielany, a tcpd nie sprawdza pliku hosts.deny. Je¿eli w pliku hosts.allow nie zostanie znaleziony wpis, ale zostanie on znaleziony w hosts.deny, ¿±danie jest odrzucane przez zamkniêcie po³±czenia. ¯±danie jest jednak akceptowane, je¿eli odpowiedni wpis nie zostanie znaleziony w ¿adnym z plików.
Wpisy w plikach dostêpu wygl±daj± tak:

listaus³ug: listahostów [:polecenie]

listaus³ug to lista nazw us³ug na podstawie pliku /etc/services lub s³owo kluczowe ALL. Aby pasowa³y wszystkie us³ugi poza finger i tftp, u¿yj ALL EXCEPT finger, tftp.
listahostów to lista nazw hostów, adresów IP lub s³ów kluczowych ALL, LOCAL, UNKNOWN lub PARANOID. ALL pasuje do dowolnego hosta, natomiast LOCAL tylko do hostów, które nie zawieraj± kropki*. Do UNKNOWN pasuje dowolny host, którego nazwy lub adresu nie znaleziono. Do PARANOID pasuje dowolny host, którego nazwa nie zamienia siê na jego poprawny adres IP**. Do nazwy rozpoczynaj±cej siê od kropki pasuj± wszystkie hosty z domeny o tej nazwie. Na przyk³ad do .foobar.com pasuje biff.foobar.com, ale nie pasuje nurks.fredsville.com. Do wzorca koñcz±cego siê kropk± pasuje dowolny host, którego adres IP rozpoczyna siê od podanego wzorca, a wiêc do 172.16 pasuje 172.16.32.0, ale nie pasuje 172.15.9.1. Wzorzec postaci n.n.n.n/m.m.m.m jest traktowany jak adres IP i maska sieci, a wiêc mo¿emy zapisaæ poprzedni przyk³ad jako 172.16.0.0/255.255.0.0. Wreszcie dowolny wzorzec rozpoczynaj±cy siê od znaku "/" pozwala na zadanie pliku, w którym zawarta bêdzie lista dopasowywanych wzorców nazw hostów lub adresów IP. Tak wiêc wzorzec wygl±daj±cy jak /var/access/trustedhosts spowodowa³by, ¿e demon tcpd odczyta³by plik, sprawdzaj±c, czy jakie¶ zawarte w nim wiersze odpowiadaj± pod³±czaj±cemu siê hostowi.
Aby zakazaæ dostêpu do us³ug finger i tcpd wszystkim oprócz hostów lokalnych, umie¶æ nastêpuj±cy wpis w pliku /etc/hosts.deny i pozostaw plik /etc/hosts.allow pusty:

in.tftpd, in.fingerd: ALL EXCEPT LOCAL, .twoja.domena

Opcjonalne pole polecenie mo¿e zawieraæ polecenie wywo³ywane po dopasowaniu wpisu. Jest to przydatne do konfigurowania pu³apek, które mog± ujawniaæ potencjalnych atakuj±cych. Poni¿szy przyk³ad tworzy plik logu, w którym s± wpisywani u¿ytkownicy i pod³±czaj±ce siê hosty. Je¿eli host nie nazywa siê vlager.vbrew.com, do nazwy zostanie dodany wynik polecenia finger:

in.ftpd: ALL EXCEPT LOCAL, .vbrew.com : \
      echo "request from %d@%h: >> /var/log/finger.log; \
      if [ %h != "vlager.vbrew.com:" ]; then \
          finger -l @%h >> /var/log/finger.log \
      fi

Argumenty %h i %d s± rozwijane przez tcpd odpowiednio do nazwy hosta klienta i nazwy us³ugi. Szczegó³y znajdziesz na stronie podrêcznika elektronicznego hosts_access(5).

Pliki services i protocols
Numery portów, na których s± udostêpniane pewne "standardowe" us³ugi zosta³y zdefiniowane w dokumencie RFC Assigned Numbers. Aby programy serwera i klienta mog³y konwertowaæ nazwy us³ug na te numery, ka¿dy host posiada przynajmniej czê¶æ tej listy. Znajduje siê ona w pliku o nazwie /etc/services. Wpis wygl±da tak:

us³uga   port/protokó³   [aliasy]

Us³uga oznacza tutaj nazwê us³ugi, a port definiuje port, na którym jest ona oferowana, natomiast protokó³ okre¶la u¿ywany protokó³ transportowy. To ostatnie pole przewa¿nie ma warto¶æ udp lub tcp. Zdarza siê, ¿e us³uga jest udostêpniana nie tylko poprzez jeden protokó³, oraz ¿e na tym samym porcie udostêpniane s± ró¿ne us³ugi, je¿eli protoko³y s± ró¿ne. Pole aliasy pozwala okre¶liæ alternatywne nazwy tej samej us³ugi.
Zwykle nie musisz zmieniaæ pliku services, który jest dostarczany wraz z oprogramowaniem sieciowym twojego Linuksa. Niemniej jednak w przyk³adzie 12-2 pokazujemy urywek tego pliku.
Przyk³ad 12-2.?Przyk³adowy plik /etc/services
# Plik services:
#
# dobrze znane us³ugi
echo         7/tcp                # Echo
echo         7/udp                #
discard      9/tcp sink null      # Discard
discard      9/udp sink null      #
daytime     13/tcp                # Daytime
daytime     13/udp                #
chargen     19/tcp ttytst source  # Generator znaków
chargen     19/udp ttytst source  #
ftp-data    20/tcp                # Protokó³ transmisji plików (dane)
ftp         21/tcp                # Protokó³ transmisji plików (sterowanie)
telnet      23/tcp                # Protokó³ wirtualnego terminala
smtp        25/tcp                # Prosty protokó³ przesy³ania poczty elektronicznej
nntp       119/tcp readnews       # Protokó³ przesy³ania wiadomo¶ci w sieci USENET
#
# us³ugi UNIX
exec       512/tcp                # zdalne wykonywanie BSD
biff       512/udp comsat         # powiadomienie o poczcie
login      513/tcp                # zdalne logowanie
who        513/udp whod           # zdalne who i uptime
shell      514/tcp cmd            # zdalne polecenie, has³o nie jest u¿ywane
syslog     514/udp                # zdalny syslog
printer    515/tcp spooler        # zdalne buforowanie drukowania
route      520/udp router routed  # protokó³ informacyjny rutowania

Zauwa¿, ¿e us³uga echo jest udostêpniana na porcie 7 zarówno protoko³owi TCP, jak i UDP, i ¿e port 512 jest u¿ywany przez dwie ró¿ne us³ugi: zdalne wykonywanie (rexec) przez TCP i demona COMSAT na UDP, powiadamiaj±cego u¿ytkowników o nowej poczcie (zobacz xbiff(1x)).
Podobnie jak plik services, biblioteka sieciowa potrzebuje sposobu na przet³umaczenie nazw protoko³ów - na przyk³ad u¿ywanych w pliku services - na numery protoko³ów rozumiane przez warstwê IP na innych hostach. Dlatego poszukuje nazwy w pliku /etc/protocols. Plik ten zawiera po jednym wpisie w wierszu, a ka¿dy wpis podaje nazwê protoko³u i odpowiadaj±cy jej numer. Prawdopodobieñstwo robienia czegokolwiek z tym plikiem jest jeszcze mniejsze ni¿ w przypadku /etc/services. Przyk³adowy plik pokazujemy poni¿ej.
Przyk³ad 12-3.?Przyk³adowy plik /etc/protocols
#
# Protoko³y internetowe (IP)
#
ip      0      IP        # protokó³ internetowy, pseudonumer protoko³u
icmp    1      ICMP      # internetowy protokó³ komunikatów kontrolnych
igmp    2      IGMP      # protokó³ grupowy Internet
tcp     6      TCP       # protokó³ steruj±cy transmisj±
udp     17     UDP       # protokó³ datagramów u¿ytkownika
raw     255    RAW       # interfejs RAW IP
Zdalne wywo³anie procedur
Ogólny mechanizm aplikacji klient-serwer jest udostêpniany przez RPC - pakiet zdalnego wywo³ania procedur. RPC powsta³ w firmie Sun Microsystems. Jest to zbiór narzêdzi i funkcji bibliotecznych. Wa¿ne aplikacje zbudowane w oparciu o RPC to NIS - system informacji sieciowej i NFS - sieciowy system plików. Oba zostan± opisane w tej ksi±¿ce, odpowiednio w rozdzia³ach 13, System informacji sieciowej i 14, Sieciowy system plików.
Serwer RPC zawiera zbiór procedur, które klient mo¿e wywo³ywaæ, wysy³aj±c ¿±dania RPC do serwera wraz z parametrami procedury. Serwer wywo³a wskazan± procedurê w imieniu klienta i przeka¿e mu zwrócon± warto¶æ, je¿eli taka bêdzie. Aby uniezale¿niæ siê od maszyny, wszystkie dane wymieniane pomiêdzy klientem i serwerem s± konwertowane przez wysy³aj±cego do formatu zewnêtrznej reprezentacji danych (External Data Representation - XDR) i konwertowane z powrotem do lokalnej reprezentacji przez odbiorcê. RPC opiera siê na standardowych gniazdach UDP i TCP przy przenoszeniu danych w formacie XDR do zdalnego hosta. Firma Sun udostêpni³a RPC na zasadach oprogramowania do publicznego rozpowszechniania. Opisano je w wielu RFC.
Czasem poprawki w aplikacji RPC s± niekompatybilne z interfejsem wywo³ania procedur. Oczywi¶cie zwyk³a zmiana serwera spowoduje awariê aplikacji, które wci±¿ oczekuj± pierwotnego dzia³ania. Dlatego programy RPC maj± przypisane numery wersji, zwykle rozpoczynaj±ce siê od 1, a potem, wraz z ka¿d± now± wersj± interfejsu RPC, licznik ten jest zwiêkszany. Czêsto serwer mo¿e obs³ugiwaæ kilka wersji jednocze¶nie, a klienty w ¿±daniu wskazuj± numer wersji implementacji, której chc± u¿ywaæ.
Komunikacja pomiêdzy serwerami i klientami RPC jest w pewnym sensie szczególna. Serwer RPC udostêpnia jeden lub kilka zbiorów procedur. Ka¿dy zestaw nazywa siê programem i jest unikalnie identyfikowany przez numer programu. Lista odwzorowuj±ca nazwy us³ug na numery programów zwykle znajduje siê w pliku /etc/rpc, którego fragment pokazano w przyk³adzie 12-4.

Przyk³ad 12-4.?Przyk³adowy plik /etc/rpc
#
# /etc/rpc - ró¿ne us³ugi oparte na RPC
#
portmapper     100000  portmap sunrpc
rstatd         100001  rstat rstat_svc rup perfmeter
rusersd        100002  rusers
nfs            100003  nfsprog
ypserv         100004  ypprog
mountd         100005  mount showmount
ypbind         100007 
walld          100008  rwall shutdown
yppasswdd      100009  yppasswd
bootparam      100026
ypupdated      100028  ypupdate

W sieciach TCP/IP autorzy RPC stanêli wobec problemu odwzorowania numerów programów na typowe us³ugi sieciowe. Zaprojektowali ka¿dy serwer tak, by udostêpnia³ porty TCP i UDP dla ka¿dego programu i ka¿dej wersji. Generalnie do wysy³ania danych aplikacje RPC u¿ywaj± UDP, a TCP jedynie wtedy, gdy przesy³ane dane nie mieszcz± siê w jednym datagramie UDP.
Oczywi¶cie programy klientów musz± dopasowaæ numer portu do numeru programu. Wykorzystanie w tym celu pliku konfiguracyjnego by³oby zbyt ma³o elastyczne. Poniewa¿ aplikacje RPC nie u¿ywaj± zarezerwowanych portów, nie ma gwarancji, ¿e port, który pierwotnie by³ przeznaczony dla naszej aplikacji bazy danych, nie zostanie zabrany przez inny proces. Dlatego aplikacje RPC bior± dostêpny port i rejestruj± go w specjalnym programie, nazywanym demonem portmapper. Portmapper dzia³a jako us³uga po¶rednia dla wszystkich serwerów RPC funkcjonuj±cych na danym komputerze. Klient, który chce skontaktowaæ siê z us³ug± o danym numerze programu, najpierw wysy³a zapytanie do portmappera na danym ho¶cie, a ten zwraca mu numery portów TCP i UDP, pod którymi us³uga jest dostêpna.
Niestety portmapper mo¿e odmówiæ dzia³ania ju¿ wtedy, gdy zostanie uszkodzony tylko jeden punkt, podobnie jak demon inetd dla standardowych us³ug Berkeley. Jednak ten przypadek jest jeszcze gorszy, gdy¿ je¿eli portmapper nie zadzia³a, wszystkie informacje o portach RPC zostan± stracone. Zwykle oznacza to, ¿e bêdziesz musia³ ponownie rêcznie uruchomiæ wszystkie serwery RPC lub ca³± maszynê.
W Linuksie portmapper nosi nazwê /sbin/portmap lub czasem /usr/sbin/rpc.portmap. Poza sprawdzeniem, czy jest on uruchamiany przez sieciowe skrypty startowe, nie wymaga ¿adnej konfiguracji.
Konfigurowanie zdalnego logowania i uruchamiania
Czêsto bardzo przydatne jest uruchomienie jakiego¶ polecenia na ho¶cie zdalnym, ale z mo¿liwo¶ci± wprowadzania danych i ogl±dania wyniku przez sieæ.
Tradycyjne polecenia u¿ywane do wykonywania poleceñ na hostach zdalnych to rlogin, rsh i rcp. Przyk³ad polecenia rlogin widzieli¶my w rozdziale 1, Wprowadzenie do sieci. Tam¿e, w podrozdziale Bezpieczeñstwo systemu krótko omówili¶my zagadnienia bezpieczeñstwa zwi±zane z tym poleceniem i zasugerowali¶my zast±pienie go przez ssh. Pakiet ssh zawiera zamienniki w postaci slogin, ssh i scp.
Ka¿de z tych poleceñ uruchamia pow³okê na zdalnym ho¶cie i pozwala u¿ytkownikowi na wykonywanie poleceñ. Oczywi¶cie klient musi mieæ konto na ho¶cie zdalnym, na którym jest wykonywane polecenie. Tak wiêc, wszystkie polecenia wykorzystuj± proces uwierzytelniania. Polecenia r u¿ywaj± po prostu nazwy u¿ytkownika i has³a, które wymieniaj± pomiêdzy hostami bez szyfrowania, a wiêc ka¿dy, kto s³ucha mo¿e ³atwo przej±æ has³a. Pakiet poleceñ ssh zapewnia wy¿szy poziom bezpieczeñstwa, gdy¿ wykorzystuje technikê kodowania informacji z kluczem wielodostêpu (ang. Public Key Cryptography), która zapewnia uwierzytelnianie i szyfrowanie pomiêdzy hostami, co z kolei daje pewno¶æ, ¿e ani has³a, ani dane sesji nie zostan± ³atwo przechwycone przez inne hosty.
Pewnym u¿ytkownikom mo¿na u³atwiæ sprawdzanie hase³. Na przyk³ad, je¿eli czêsto logujesz siê na komputerach w swojej sieci LAN, mo¿esz byæ wpuszczany bez potrzeby ci±g³ego wpisywania has³a. Polecenia typu r tak¿e dawa³y tak± mo¿liwo¶æ, ale pakiet ssh pozwala to zrobiæ nieco pro¶ciej. Zaznaczmy, ¿e nie jest to ¿adna rewelacja. Po prostu, je¿eli zdobêdzie siê ju¿ konto na jednej maszynie, mo¿na uzyskaæ dostêp do wszystkich pozosta³ych kont, które u¿ytkownik skonfigurowa³ do logowania siê bez has³a. Jest to dosyæ wygodne i dlatego u¿ytkownicy czêsto siêgaj± po to rozwi±zanie.
Omówmy usuwanie poleceñ r i uruchamianie zamiast nich pakietu ssh.
Wy³±czanie poleceñ r
Rozpocznijmy od usuwania poleceñ r. Najprostszym sposobem na wy³±czenie poleceñ r jest poprzedzenie komentarzem (lub usuniêcie) wpisów w pliku /etc/inetd.conf. Interesuj±ce nas wpisy wygl±daj± nastêpuj±co:

# Shell, login, exec i talk to protoko³y BSD
shell    stream  tcp   nowait  root  /usr/sbin/tcpd /usr/sbin/in.rshd
login    stream  tcp   nowait  root  /usr/sbin/tcpd /usr/sbin/in.rlogind
exec     stream  tcp   nowait  root  /usr/sbin/tcpd /usr/sbin/in.rexecd

Mo¿esz je zakomentowaæ, umieszczaj±c znak # na pocz±tku ka¿dego wiersza, lub zupe³nie usun±æ wiersze. Pamiêtaj, ¿e musisz uruchomiæ ponownie demona inetd, aby zmiana odnios³a skutek. Najlepiej by³oby usun±æ równie¿ same programy demonów.
Instalowanie i konfigurowanie ssh
OpenSSH jest darmow± wersj± pakietu programów ssh. Wersjê dla Linuksa mo¿na znale¼æ pod adresem http://violet.ibs.com.au/openssh/ i w wiêkszo¶ci najnowszych dystrybucji*. Nie bêdziemy opisywali tutaj kompilacji. Dobre instrukcje znajduj± siê w pakiecie ¼ród³owym. Je¿eli mo¿esz zainstalowaæ ju¿ skompilowany pakiet, warto to zrobiæ. 
Sesja ssh anga¿uje dwie strony. Jedna z nich to klient ssh, którego musisz skonfigurowaæ i uruchomiæ na ho¶cie lokalnym, a druga to demon ssh, który musi dzia³aæ na ho¶cie zdalnym.
Demon ssh
Demon sshd to program, który oczekuje po³±czeñ sieciowych od klientów ssh, obs³uguje uwierzytelnienie i wykonuje ¿±dane polecenia. Ma on jeden plik konfiguracyjny o nazwie /etc/ssh/sshd_config i specjalny, reprezentuj±cy hosta plik, który zawiera klucz u¿ywany w procesach uwierzytelniania i szyfrowania. Ka¿dy host i ka¿dy klient maj± w³asny klucz.
W pakiecie umieszczane jest te¿ narzêdzie ssh-keygen, które s³u¿y do generowania klucza losowego. Zwykle jest u¿ywane w czasie instalacji do wygenerowania klucza hosta, który administrator zwykle umieszcza w pliku /etc/ssh/ssh_host_key. Klucze mog± mieæ dowoln± d³ugo¶æ wiêksz± od 512 bitów. Domy¶lnie ssh_keygen generuje klucze d³ugo¶ci 1024 bitów, a wiêkszo¶æ osób tê warto¶æ domy¶ln± uznaje. Aby wygenerowaæ klucz losowy, musisz wywo³aæ polecenie ssh-keygen w nastêpuj±cy sposób:

# ssh-keygen -f /etc/ssh/ssh_host_key

Zostaniesz poproszony o wprowadzenie frazy (ang. passphrase). Jednak klucze hosta nie musz± wykorzystywaæ frazy, a wiêc po prostu naci¶nij [Enter] i przejd¼ dalej. Wynik dzia³ania programu bêdzie nastêpuj±cy:

Generating RSA keys: ......oooooO...............................oooooO
Key generation complete.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /etc/ssh/ssh_host_key
Your public key has been saved in /etc/ssh/ssh_host_key.pub
The key fingerprint is:
1024 3a:14:78:8e:5a:a3:6b:bc:b0:69:10:23:b7:d8:56:82 root@moria

Widaæ, ¿e zosta³y utworzone dwa pliki. Pierwszy, /etc/ssh/ssh_host_key, jest nazywany kluczem prywatnym i musi byæ trzymany w tajemnicy. Drugi, /etc/ssh/ssh_host_key.pub, jest nazywany kluczem publicznym i ten mo¿esz udostêpniaæ.
Kiedy masz klucze ssh do komunikacji, musisz stworzyæ plik konfiguracyjny. Pakiet ssh ma wiele mo¿liwo¶ci i plik konfiguracyjny mo¿e zawieraæ wiele opcji. Poka¿emy prosty przyk³ad, od którego ³atwo ci bêdzie zacz±æ. Aby w³±czyæ dalsze funkcje, powiniene¶ zajrzeæ do dokumentacji. Poni¿szy kod pokazuje bezpieczny i minimalny plik konfiguracyjny sshd. Pozosta³e opcje konfiguracyjne s± szczegó³owo opisane na stronie podrêcznika elektronicznego sshd(8):

# /etc/ssh/sshd_config
#

# Adresy IP, na których oczekiwane s± po³±czenia. 0.0.0.0 
# oznacza wszystkie adresy lokalne.
ListenAddress 0.0.0.0

# Port TCP, na którym oczekiwane s± po³±czenia. Domy¶lnie 22.
Port 22

# Nazwa pliku z kluczem hosta.
HostKey /etc/ssh/ssh_host_key

# D³ugo¶æ klucza w bitach.
ServerKeyBits 1024

# Czy pozwalamy na logowanie roota przez ssh?
PermitRootLogin no

# Czy demon ssh powinien sprawdzaæ katalogi macierzyste 
# u¿ytkowników i prawa dostêpu do plików przed pozwoleniem na 
# zalogowanie?
StrictModes yes

# Czy pozwalamy na metodê uwierzytelniania przez ~/.rhosts i 
# /etc/hosts.equiv
RhostsAuthentication no
# Czy pozwalamy na czyste uwierzytelnienie RSA?
RSAAuthentication yes
# Czy pozwalamy na uwierzytelnienie has³em?
PasswordAuthentication yes

# Czy pozwalamy na uwierzytelnienie RSA w po³±czeniu z 
# /etc/hosts.equiv?
RhostRSAAuthentication no
# Czy powinni¶my ignorowaæ pliki ~/.rhosts?
IgnoreRhosts yes

# Czy pozwalamy na logowanie na konta bez hase³?
PermitEmptyPasswords no

Wa¿ne jest sprawdzenie praw dostêpu do plików konfiguracyjnych, gdy¿ ich poprawno¶æ ma wp³yw na bezpieczeñstwo systemu. U¿yj poni¿szych poleceñ:

# chown -R root:root /etc/ssh
# chmod 755 /etc/ssh
# chmod 600 /etc/ssh/ssh_host_key
# chmod 644 /etc/ssh/ssh_host_key.pub
# chmod 644 /etc/ssh/sshd_config

Ostatnim etapem administracji sshd jest uruchomienie demona. Zwykle tworzysz dla niego plik rc lub dodajesz go do istniej±cego, aby by³ automatycznie uruchamiany przy starcie komputera. Demon dzia³a samodzielnie i nie potrzebuje ¿adnego wpisu w pliku /etc/inetd.conf. Demon musi byæ uruchomiony jako u¿ytkownik root. Sk³adnia jest bardzo prosta:

/usr/sbin/sshd

Demon sshd automatycznie przejdzie w t³o zaraz po uruchomieniu. Od tej chwili jeste¶ gotów przyjmowaæ po³±czenia ssh.
Klient ssh
Istnieje kilka programów klientów ssh: slogin, scp i ssh. Ka¿dy z nich odczytuje ten sam plik konfiguracyjny, zwykle /etc/ssh/ssh_config. Ka¿dy czyta tak¿e pliki konfiguracyjne z podkatalogu .ssh katalogu macierzystego u¿ytkownika uruchamiaj±cego klienta. Najwa¿niejsze z tych plików to .ssh/config, który mo¿e zawieraæ opcje o wy¿szym priorytecie ni¿ te w pliku /etc/ssh/ssh_config, plik .ssh/identity, który zawiera prywatny klucz u¿ytkownika, oraz odpowiedni plik .ssh/identity.pub zawieraj±cy publiczny klucz u¿ytkownika. Inne wa¿ne pliki to .ssh/known_hosts i .ssh/authorized_keys. Omówimy je dalej w podrozdziale Korzystanie z ssh. Najpierw przygotujmy globalny plik konfiguracyjny i plik klucza u¿ytkownika.
Plik /etc/ssh/ssh_config jest bardzo podobny do pliku konfiguracyjnego serwera. Analogicznie, zawiera wiele funkcji, które mo¿na konfigurowaæ, ale minimalna konfiguracja wygl±da tak, jak pokazano w przyk³adzie 12-5. Pozosta³e opcje konfiguracyjne s± szczegó³owo omówione na stronach podrêcznika elektronicznego sshd(8). Mo¿esz dodaæ czê¶ci odpowiedzialne za okre¶lone hosty lub grupy hostów. Parametrem dyrektywy "Host" mo¿e byæ zarówno pe³na nazwa hosta, jak i nazwa zapisana za pomoc± znaków uniwersalnych (ang. wildcards), czego u¿yli¶my w przyk³adzie, by uwzglêdniæ wszystkie hosty. Mogliby¶my stworzyæ na przyk³ad wpis, który u¿ywa³by Host *.vbrew.com; wtedy pasowa³yby do niego wszystkie hosty z domeny vbrew.com.
Przyk³ad 12-5. Przyk³adowy plik konfiguracyjny klienta ssh
# /etc/ssh/ssh_config

# Domy¶lne opcje u¿ywane przy po³±czeniu z hostem zdalnym
Host *
  # Kompresowaæ dane w czasie sesji?
  Compression yes
  # .. u¿ywaj±c którego poziomu kompresji? (1 - szybka/s³aba, 9 - wolna/dobra)
  CompressionLevel 6

  # Czy skorzystaæ z rsh, je¿eli po³±czenie bezpieczne siê nie uda?
  FallBackToRsh no

  # Czy powinni¶my wysy³aæ komunikaty o aktywno¶ci? 
  # Przydatne, je¿eli korzystasz z maskowania IP
  KeepAlive yes

  # Próbowaæ uwierzytelniania RSA?
  RSAAuthentication yes
  # Próbowaæ uwierzytelniania RSA w po³±czeniu z 
  # uwierzytelnianiem .rhosts?
  RhostsRSAAuthentication yes

W podrozdziale dotycz±cym konfiguracji serwera wspomnieli¶my, ¿e ka¿dy host i u¿ytkownik maj± klucz. Klucz u¿ytkownika jest umieszczony w pliku ~/.ssh/identity. Aby wygenerowaæ klucz, pos³ugujesz siê tym samym poleceniem ssh-keygen, które s³u¿y³o do generowania klucza hosta, tylko, ¿e tym razem nie potrzebujesz podawaæ nazwy pliku, w którym zapisujesz klucz. ssh-keygen domy¶lnie umieszcza go w odpowiednim miejscu, ale pyta ciê o nazwê pliku na wypadek, gdyby¶ chcia³ go zapisaæ gdzie indziej. Czasem warto mieæ kilka kluczy to¿samo¶ci, a wiêc ssh na to pozwala. Tak jak przedtem, ssh-keygen pyta ciê o wprowadzenie frazy. Frazy daj± dodatkowy poziom bezpieczeñstwa i s± dobrym rozwi±zaniem. Twoja fraza nie bêdzie wy¶wietlana na ekranie podczas wprowadzania.


Nie ma mo¿liwo¶ci odtworzenia frazy, gdyby¶ jej zapomnia³. Wymy¶l wiêc co¶, co zapamiêtasz, ale tak jak w przypadku wszystkich hase³, niech to nie bêdzie co¶ oczywistego, pospolity rzeczownik ani twoje imiê. Aby fraza by³a naprawdê skuteczna, powinna liczyæ od 10 do 30 znaków i nie mo¿e byæ zwyk³ym wyra¿eniem. Spróbuj wtr±ciæ kilka nietypowych znaków. Je¿eli zapomnisz frazy, bêdziesz musia³ wygenerowaæ nowy klucz.
Powiniene¶ poprosiæ wszystkich swoich u¿ytkowników o uruchomienie polecenia ssh-keygen, by mieæ pewno¶æ, ¿e ich klucz zosta³ stworzony poprawnie. ssh-keygen utworzy za nich katalogi ~/.ssh/ z odpowiednimi prawami dostêpu oraz stworzy klucze prywatny i publiczny odpowiednio w plikach .ssh/identity i .ssh/identity.pub. Przyk³adowa sesja powinna wygl±daæ tak:

$ ssh-keygen
Generating RSA keys: .......oooooO................................
Key generation complete.
Enter file in which to save the key (/home/maggie/.ssh/identity):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/maggie/.ssh/identity.
Your public key has been saved in /home/maggie/.ssh/identity.pub.
The key fingerprint is:
1024 85:49:53:f4:8a:d6:d9:05:d0:1f:23:c4:d7:2a:11:67 maggie@moria
$

Teraz ssh jest gotowe do pracy.
Korzystanie z ssh
Mamy ju¿ zainstalowane polecenie ssh wraz z towarzysz±cymi mu narzêdziami pomocniczymi. Wszystko jest gotowe do pracy. Przyjrzyjmy siê teraz, jak mo¿na je uruchamiaæ.
Najpierw spróbujemy zalogowaæ siê do zdalnego hosta. Mo¿emy pos³u¿yæ siê programem slogin w prawie identyczny sposób, jak u¿ywali¶my programu rlogin we wcze¶niejszym przyk³adzie w tej ksi±¿ce. Gdy za pierwszym razem próbujesz siê ³±czyæ z hostem, klient ssh odczytuje klucz publiczny hosta i pyta ciê, czy potwierdzasz jego to¿samo¶æ, pokazuj±c skrócon± wersjê klucza publicznego nazywan± odciskiem palca (ang. fingerprint).
Administrator hosta zdalnego powinien wcze¶niej dostarczyæ ci "odcisk palca" klucza publicznego tego hosta. Ten klucz powiniene¶ dodaæ do swojego pliku .ssh/known_hosts. Je¿eli administrator zdalnego hosta tego nie zrobi³, mo¿esz po³±czyæ siê z hostem zdalnym, ale ssh ostrze¿e ciê, ¿e nie ma klucza i zapyta, czy chcesz przyj±æ ten oferowany przez host zdalny. Zak³adaj±c, ¿e jeste¶ pewien, ¿e nikt nie podszywa siê pod DNS i ¿e po³±czy³e¶ siê z poprawnym hostem, mo¿esz wybraæ odpowied¼ yes. Odpowiedni klucz zostanie zapisany automatycznie w twoim pliku .ssh/known_hosts i nie bêdziesz o niego pytany po raz kolejny. Je¿eli przy nastêpnej próbie po³±czenia klucz publiczny uzyskany z danego hosta nie bêdzie pasowa³ do tego, który przechowujesz w pliku .ssh/known_hosts, otrzymasz ostrze¿enie, poniewa¿ narusza to bezpieczeñstwo.
Pierwsze logowanie do zdalnego hosta bêdzie wygl±da³o jako¶ tak:

$ slogin vchianti.vbrew.com
The authenticity of host 'vchianti.vbrew.com' can't be established.
Key fingerprint is 1024 7b:d4:a8:28:c5:19:52:53:3a:fe:8d:95:dd:14:93:f5.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permamently added 'vchianti.vbrew.com,172.16.2.3' to the list of/
    known hosts.
maggie@vchianti.vbrew.com's password:
Last login: Thu Feb  1 23:28:58 2000 from vstout.vbrew.com
$

Zostaniesz poproszony o podanie has³a, które powiniene¶ wprowadziæ na konto na ho¶cie zdalnym, a nie lokalnym. Has³o to nie pojawia siê na ekranie w czasie wpisywania.
Je¿eli nie podamy ¿adnych szczególnych argumentów, slogin spróbuje zalogowaæ siê z tym samym identyfikatorem u¿ytkownika, jaki jest u¿ywany na komputerze lokalnym. Mo¿esz to zmieniæ, u¿ywaj±c argumentu -l, w którym podaje siê inn± nazwê u¿ytkownika loguj±cego siê do hosta zdalnego. Tak w³a¶nie robili¶my we wcze¶niejszym przyk³adzie.
Za pomoc± programu scp mo¿emy kopiowaæ pliki zarówno ze zdalnego hosta, jak i do niego. Sk³adnia jest podobna do typowego cp z t± ró¿nic±, ¿e musisz podaæ nazwê hosta przed nazw± pliku, co oznacza, ¿e ¶cie¿ka dotyczy podanego hosta. Poni¿szy przyk³ad, w którym lokalny plik /tmp/fred jest kopiowany do katalogu /home/ maggie na ho¶cie chianti.vbrew.com, pokazuje sk³adniê scp:

$ scp /tmp/fred vchianti.vbrew.com:/home/maggie/
maggie@vchianti.vbrew.com's password:
fred                 100% |*****************************| 50165 00:01 ETA

Znów zostaniesz poproszony o wprowadzenie has³a. Polecenie scp domy¶lnie wy¶wietla przydatne komunikaty informuj±ce o postêpie. Równie ³atwo mo¿esz skopiowaæ plik z hosta zdalnego. Po prostu podaj nazwê hosta i ¶cie¿kê jako plik ¼ród³owy, a ¶cie¿kê lokaln± jako plik docelowy. Mo¿liwe jest równie¿ skopiowanie pliku z hosta zdalnego na inny host zdalny, ale zwykle siê tego nie robi, poniewa¿ wszystkie dane przechodz± przez twój host.
Za pomoc± ssh mo¿esz uruchamiaæ polecenia na ho¶cie zdalnym. Znów sk³adnia jest bardzo prosta. Niech u¿ytkownik maggie obejrzy zawarto¶æ katalogu g³ównego hosta vchianti.vbrew.com. Mo¿e to zrobiæ nastêpuj±co:

$ ssh vchianti.vbrew.com ls -CF /
maggie@vchianti.vbrew.com's password:
bin/    console@  dos/     home/    lost+found/  pub@   tmp/  vmlinuz@
boot/   dev/      etc/     initrd/  mnt/         root/  usr/  vmlinuz.old@
cdrom/  disk/     floppy/  lib/     proc/        sbin/  var/

Polecenie ssh mo¿esz umie¶ciæ w potoku poleceñ i przekazywaæ wej¶cie/wyj¶cie programu do lub z innego programu, tak jak w innych poleceniach, z t± ró¿nic±, ¿e wej¶cie lub wyj¶cie s± kierowane do lub z hosta zdalnego przez po³±czenie ssh. Oto przyk³ad, jak mo¿esz wykorzystaæ tê mo¿liwo¶æ w po³±czeniu z poleceniem tar do przekopiowania ca³ego katalogu (z podkatalogami i plikami) z hosta zdalnego na host lokalny:

$ ssh vchianti.vbrew.com "tar cf - /etc/" | tar xvf -
maggie@vchianti.vbrew.com's password:
etc/GNUstep
etc/Muttrc
etc/Net
etc/X11
etc/adduser.conf
..
..

Polecenie do wykonania wziêli¶my tutaj w cudzys³ów, aby by³o jasne, co przekazujemy jako argument do ssh i co jest u¿ywane przez lokaln± pow³okê. Polecenie to wykonuje tar na ho¶cie zdalnym, które z kolei archiwizuje katalog /etc i wypisuje wynik na standardowe wyj¶cie. Zastosowali¶my potok, przez który przekazujemy standardowe wyj¶cie do polecenia tar dzia³aj±cego na ho¶cie lokalnym w trybie odczytywania ze standardowego wej¶cia.
Znów zostali¶my poproszeni o wprowadzenie has³a. Teraz mo¿esz zobaczyæ, dlaczego zachêcali¶my ciê do skonfigurowania ssh tak, ¿eby nie pyta³o o has³a za ka¿dym razem! Skonfigurujmy teraz naszego lokalnego klienta ssh tak, by nie pyta³ o has³o przy ³±czeniu siê z hostem vchianti.vbrew.com. Wspomnieli¶my wcze¶niej o pliku .ssh/authorized_keys. W³a¶nie on jest u¿ywany do tego celu. Plik .ssh/authorized_keys zawiera klucze publiczne wszelkich zdalnych kont u¿ytkowników, na które chcemy siê automatycznie logowaæ. Automatyczne logowanie mo¿esz ustawiæ, kopiuj±c zawarto¶æ pliku .ssh/identity.pub z konta zdalnego do lokalnego pliku .ssh/authorized_keys. Istotne jest, by prawa dostêpu do pliku .ssh/authorized_keys pozwala³y na dostêp tylko tobie i tylko na zapis i odczyt. W przeciwnym razie kto¶ móg³by ukra¶æ klucze i zalogowaæ siê na zdalne konto. Aby mieæ pewno¶æ, ¿e prawa dostêpu s± poprawne, zmieñ .ssh/authorized_keys w nastêpuj±cy sposób:

$ chmod 600 ~/.ssh/authorized_keys

Klucze publiczne to jeden d³ugi wiersz czystego tekstu. Je¿eli u¿ywasz funkcji kopiowania i wklejania do powielania kluczy w twoim pliku lokalnym, pamiêtaj o usuniêciu wszelkich znaków koñca wiersza, które mog³y zostaæ przez przypadek wstawione. Plik .ssh/authorized_keys mo¿e zawieraæ wiele takich kluczy, ale ka¿dy z nich musi znajdowaæ siê w oddzielnym wierszu.
Pakiet narzêdzi ssh oferuje wiele przydatnych funkcji i opcji, które warto poznaæ. W poszukiwaniu dodatkowych informacji zajrzyj do podrêcznika elektronicznego i dokumentacji dostarczanej wraz z pakietem.


13
System informacji
sieciowej

Rozdzia³ 13: System informacji sieciowej


Gdy obs³ugujesz sieæ lokaln±, zwykle twoim g³ównym celem jest zapewnienie swoim u¿ytkownikom takiego ¶rodowiska, w którym sieæ jest przezroczysta. Warunkiem jest synchronizacja na wszystkich hostach w sieci takich danych, jak informacje o kontach u¿ytkowników. Wówczas u¿ytkownicy mog± swobodnie przesiadaæ siê z komputera na komputer bez potrzeby pamiêtania ró¿nych hase³ i kopiowania danych miêdzy maszynami. Dane, które s± przechowywane centralnie, nie musz± byæ replikowane, je¶li istnieje jaki¶ wygodny sposób na dostanie siê do nich z hosta pod³±czonego do sieci. Centralne przechowywanie istotnych informacji administracyjnych ma szereg zalet. Gwarantuje spójno¶æ danych. Daje wiêksz± swobodê u¿ytkownikom poprzez mo¿liwo¶æ przesiadania siê z hosta do hosta. U³atwia ¿ycie administratorowi systemu, który zarz±dza tylko jednym "egzemplarzem" informacji.
Wcze¶niej omówili¶my wa¿ny przyk³ad centralizacji danych, pochodz±cy z Internetu - system nazw domen (DNS). DNS udostêpnia ograniczony zakres informacji, z których najwa¿niejsze to t³umaczenie nazw hostów na adresy IP i odwrotnie. Inne typy danych nie maj± swoich specjalistycznych us³ug. Co wiêcej, je¿eli zarz±dzasz tylko ma³± sieci± LAN bez dostêpu do Internetu, korzy¶ci ze skonfigurowania DNS-u mog± nie byæ warte pracy, jak± trzeba w to w³o¿yæ.
Dlatego w³a¶nie firma Sun stworzy³a system informacji sieciowej (Network Information System  - NIS). NIS to funkcje ogólnego dostêpu do bazy danych. Za ich pomoc± mo¿na dystrybuowaæ do wszystkich hostów w sieci na przyk³ad informacje zawarte w plikach passwd i group. Dziêki temu sieæ jest widoczna jako jeden system, z tymi samymi kontami na wszystkich hostach. Podobnie mo¿esz wykorzystaæ NIS-a do dystrybuowania informacji o nazwie hosta zawartych w pliku /etc/hosts do wszystkich innych maszyn w sieci.
NIS jest oparty na RPC i sk³ada siê z serwera, bibliotek strony klienta i kilku narzêdzi administracyjnych. Pierwotnie nosi³ nazwê Yellow Pages (lub YP); nadal mo¿na spotkaæ siê z odwo³aniami do niej. Jednak okaza³o siê, ¿e nazwa ta jest znakiem towarowym firmy British Telecom, która za¿±da³a, by Sun przesta³ jej u¿ywaæ. Jak wiadomo, niektóre nazwy ³atwo siê zapamiêtuje i dlatego "YP" pozosta³o jako przedrostek w wiêkszo¶ci poleceñ zwi±zanych z NIS-em, jak ypserv i ypbind.
Obecnie NIS jest dostêpny praktycznie we wszystkich Uniksach i istniej± nawet darmowe jego implementacje. BSD Net-2 zawiera implementacjê, która pochodzi od wzorcowej implementacji public domain finansowanej przez Suna. Kod biblioteki klienta z tej wersji znajdowa³ siê przez d³ugi czas w linuksowej bibliotece libc, a programy administracyjne zosta³y przeniesione do Linuksa przez Swena Thümmlera*. Jednak we wzorcowej implementacji brakuje serwera NIS.
Peter Eriksson przygotowa³ now± implementacjê o nazwie NYS**. Obs³uguje ona zarówno NIS-a, jak i jego rozszerzon± wersjê NIS+. NYS nie tylko udostêpnia zestaw narzêdzi i serwer NIS-a, ale tak¿e ca³y nowy zestaw funkcji bibliotecznych, które trzeba wkompilowaæ w bibliotekê libc, je¿eli chcesz ich u¿ywaæ. Nale¿y do nich nowy sposób konfiguracji rozwi±zywania nazw, który zastêpuje aktualny schemat oparty na pliku host.conf.
Biblioteka GNU libc, znana jako libc6 w spo³eczno¶ci Linuksa, zawiera uaktualnion± wersjê tradycyjnego NIS-a autorstwa Thorstena Kukuka***. Obs³uguje ona wszystkie funkcje biblioteczne udostêpnione przez NYS-a i wykorzystuje równie¿ rozszerzony schemat konfiguracji NYS. Wci±¿ potrzebne ci bêd± narzêdzia i serwer, ale u¿ycie biblioteki GNU libc zaoszczêdzi ci problemów z poprawianiem i kompilowaniem biblioteki.
Ten rozdzia³ jest po¶wiêcony procedurom obs³ugi NIS-a zawartym w bibliotece GNU libc, a nie tej z dwóch pozosta³ych pakietów. Gdyby¶ chcia³ uruchomiæ który¶ z tych pakietów, instrukcje zawarte w tym rozdziale mog± nie wystarczyæ. Dodatkowych informacji szukaj w dokumencie NIS-HOWTO lub w ksi±¿ce Managing NFS and NIS autorstwa Hala Sterna (wyd. O'Reilly).
Poznawanie NIS-a
Swoj± bazê z informacjami NIS przechowuje w plikach zwanych mapami (ang. maps), które z kolei zawieraj± pary klucz-warto¶æ. Przyk³ad pary klucz-warto¶æ to nazwa u¿ytkownika i zaszyfrowana postaæ jego has³a. Plik jest przechowywany na centralnym ho¶cie, na którym dzia³a serwer NIS-a i z którego klienty mog± pobieraæ informacje, u¿ywaj±c ró¿nych wywo³añ RPC. Czêsto mapy s± przechowywane w plikach DBM****.
Same mapy s± zwykle generowane na podstawie g³ównych plików tekstowych, takich jak /etc/hosts czy /etc/passwd. Niektóre pliki potrzebuj± po kilka map, po jednej dla ka¿dego typu klucza poszukiwañ. Na przyk³ad w pliku hosts mo¿esz poszukiwaæ nazwy hosta lub adresu IP. W zwi±zku z tym na jego podstawie s± tworzone dwie mapy NIS o nazwach hosts.byname i hosts.byaddr. Tabela 13-1 pokazuje powszechnie u¿ywane mapy i pliki, na podstawie których s± one tworzone.
Tabela 13-1. Niektóre standardowe mapy NIS-a i odpowiadaj±ce im pliki
Plik g³ówny
Map(y)
Opis
/etc/hosts
hosts.byname,
hosts.byaddr
Odwzorowuje adresy IP na nazwy hostów.
/etc/networks
networks.byname,
networks.byaddr
Odwzorowuje adresy sieci na ich nazwy.
/etc/passwd
passwd.byname,
passwd.byuid
Odwzorowuje zaszyfrowane has³a na nazwy u¿ytkowników.
/etc/group
group.byname,
group.bygid
Odwzorowuje ID grupy na jej nazwê.
/etc/services
services.byname,
services.bynumber
Odwzorowuje opisy us³ug na ich nazwy.
/etc/rpc
rpc.byname,
rpc.bynumber
Odwzorowuje numery us³ug Sun RPC na nazwy us³ug RPC.
/etc/protocols
protocols.byname,
protocols.bynumber
Odwzorowuje numery protoko³ów na ich nazwy.
/usr/lib/aliases

mail.aliases
Odwzorowuje aliasy pocztowe na nazwy aliasów pocztowych.
Pakiety NIS obs³uguj± tak¿e inne pliki i mapy. Zawieraj± one zwykle informacje dla aplikacji nie omawianych w tej ksi±¿ce, tak± jest mapa bootparams u¿ywana przez serwer Suna bootparamd.
Dla niektórych map powszechnie u¿ywa siê skrótów, które s± ³atwiejsze do wpisywania. Nale¿y jednak pamiêtaæ, ¿e jedynie ypcat i ypmatch   - dwa narzêdzia sprawdzaj±ce konfiguracjê NIS-a - potrafi± rozwi±zywaæ te skróty. Aby uzyskaæ pe³n± listê skrótów interpretowanych przez te narzêdzia, uruchom nastêpuj±ce polecenie:

$ ypcat -x
Use "passwd" for "passwd.byname"
Use "group" for "group.byname"
Use "networks" for "networks.byaddr"
Use "hosts" for "hosts.byaddr"
Use "protocols" for "protocols.bynumber"
Use "services" for "services.byname"
Use "aliases" for "mail.aliases"
Use "ethers" for "ethers.byname"

Program serwera NIS jest tradycyjnie nazywany ypserv. Pojedynczy serwer zwykle wystarcza dla sieci ¶rednich rozmiarów. W du¿ych sieciach mo¿esz zdecydowaæ siê na uruchomienie kilku serwerów na ró¿nych komputerach i w ró¿nych segmentach sieci, aby roz³o¿yæ obci±¿enie pomiêdzy serwerami i ruterami. Serwery s± synchronizowane przez wybranie jednego serwera g³ównego (ang. master server) i ustawienie pozosta³ych serwerów jako podrzêdnych (ang. slave servers). Mapy s± tworzone tylko na serwerze g³ównym. Z niego s± dystrybuowane do serwerów podrzêdnych.
Dosyæ skrótowo omówili¶my pojêcie "sieci". W NIS-ie istnieje wa¿ny termin na okre¶lenie zbioru wszystkich hostów, które maj± wspóln± konfiguracjê rozpowszechnian± przez NIS: domena NIS. Jednak domeny NIS nie maj± nic wspólnego z domenami, które spotkali¶my przy omawianiu DNS-u. Aby unikn±æ dwuznaczno¶ci, w tym rozdziale zawsze bêdziemy wskazywaæ typ domeny, o której mówimy.
Domeny NIS pe³ni± funkcjê czysto administracyjn±. S± w zasadzie niewidoczne dla u¿ytkowników, z wyj±tkiem dzielenia hase³ pomiêdzy wszystkimi maszynami w domenie. Dlatego nazwa nadana domenie NIS jest istotna tylko dla administratorów. Zwykle mo¿e to byæ dowolna nazwa: chodzi tylko o to, aby by³a inna ni¿ nazwy pozosta³ych domen NIS w twojej sieci lokalnej. Na przyk³ad administrator browaru wirtualnego mo¿e stworzyæ dwie domeny NIS, jedn± dla samego browaru, a drug± dla winiarni. Móg³by nadaæ im odpowiednio nazwy brewery i winery. Innym powszechnie stosowanym schematem jest po prostu u¿ywanie nazw domenowych DNS tak¿e dla NIS-a.
Aby nadaæ nazwê domenie NIS, do której nale¿y twój host, i j± wy¶wietliæ, mo¿esz u¿yæ polecenia domainname. Wywo³anie bez argumentów powoduje wypisanie aktualnej nazwy domeny NIS. Aby nadaæ nazwê domenie, musisz uzyskaæ prawa u¿ytkownika uprzywilejowanego:

# domainname brewery

Domeny NIS okre¶laj±, do którego serwera NIS bêd± wysy³ane zapytania. Na przyk³ad program login na ho¶cie winiarni powinien oczywi¶cie wysy³aæ zapytania o has³o u¿ytkownika tylko do serwera NIS winiarni (lub jednego z nich, je¿eli jest ich kilka), natomiast aplikacja dzia³aj±ca na ho¶cie browaru powinna trzymaæ siê serwera nale¿±cego do browaru.
Pozosta³a jeszcze jedna zagadka do wyja¶nienia: sk±d klient wie, z którym serwerem ma siê po³±czyæ? Najprostsze rozwi±zanie to u¿ycie pliku konfiguracyjnego, w którym znajduje siê nazwa hosta, na którym dzia³a serwer. Jednak podej¶cie to jest ma³o elastyczne, poniewa¿ nie pozwala klientom na u¿ywanie ró¿nych serwerów (z tej samej domeny oczywi¶cie) w zale¿no¶ci od ich dostêpno¶ci. Dlatego implementacje NIS-a opieraj± siê na specjalnym demonie ypbind, dziêki któremu mo¿na wykryæ odpowiedni serwer NIS w danej domenie. Przed wys³aniem zapytañ NIS, aplikacja najpierw ustala za pomoc± ypbind, którego serwera ma u¿ywaæ.
ypbind znajduje serwery przez rozg³aszanie zapytania w lokalnej sieci IP. Pierwszy serwer, który odpowie, jest uznawany za najszybszy i wykorzystywany we wszystkich kolejnych zapytaniach NIS. Po pewnym czasie ypbind ponownie szuka aktywnych serwerów. Robi tak równie¿, je¿eli serwer nie jest dostêpny.
Dynamiczne przypisywanie jest przydatne tylko wtedy, gdy twoja sieæ udostêpnia wiêcej ni¿ jeden serwer NIS. Trzeba jednak pamiêtaæ, ¿e zagra¿a bezpieczeñstwu. ypbind na ¶lepo wierzy temu, kto odpowie, bez wzglêdu na to, czy jest to oficjalny serwer NIS, czy z³o¶liwy intruz. Nie trzeba mówiæ, ¿e jest to szczególnie niebezpieczne, je¿eli za pomoc± NIS-a zarz±dzasz bazami danych hase³. Aby uchroniæ siê przed k³opotami, linuksowy program ypbind posiada opcjê szukania serwera NIS w sieci lokalnej lub podania nazwy hosta, na którym dzia³a serwer NIS, w pliku konfiguracyjnym.
NIS kontra NIS+
Cel i nazwa to jedyne rzeczy, które ³±cz± NIS-a i NIS+. NIS+ jest zbudowany zupe³nie inaczej ni¿ NIS. Zamiast p³askiej przestrzeni nazw z chaotycznymi domenami NIS-a, NIS+ wykorzystuje hierarchiczn± strukturê nazw podobn± do DNS-u. Zamiast map, u¿ywane s± tak zwane tabele, które sk³adaj± siê z wierszy i kolumn. Ka¿dy wiersz zawiera obiekt z bazy danych NIS+, a ka¿da kolumna opisuje w³asno¶ci obiektu NIS+. Ka¿da tabela dla danej domeny NIS+ zawiera dane z domeny nadrzêdnej. Ponadto wpis w tabeli mo¿e zawieraæ dowi±zanie do innej tabeli. Te funkcje umo¿liwiaj± porz±dkowanie informacji na wiele sposobów.
NIS+ dodatkowo obs³uguje bezpieczne i szyfrowane RPC, co znacznie pomaga w rozwi±zywaniu problemów z bezpieczeñstwem, które ujawni³y siê w przypadku NIS-a.
Tradycyjny NIS u¿ywa RPC w wersji 2, natomiast NIS+ - w wersji 3. W czasie pisania tej ksi±¿ki nie ma jeszcze dobrze dzia³aj±cej implementacji NIS+ dla Linuksa, dlatego nie po¶wiêcamy wiêcej miejsca temu tematowi.
NIS - strona klienta
Je¿eli znasz siê na pisaniu lub przenoszeniu aplikacji sieciowych, zapewne zauwa¿y³e¶, ¿e wiêkszo¶æ przedstawionych map NIS odpowiada funkcjom bibliotecznym z biblioteki C. Na przyk³ad, aby uzyskaæ informacje o passwd, u¿ywasz funkcji getpwnam i getpwuid, zwracaj±cych informacje o koncie zwi±zane odpowiednio z dan± nazw± u¿ytkownika lub jego ID. W normalnych warunkach funkcje te realizuj± przeszukiwanie standardowego pliku, na przyk³ad /etc/passwd.
Implementacja tych funkcji uwzglêdniaj±ca NIS-a modyfikuje jednak to zachowanie przez dodanie do serwera NIS wywo³ania RPC, które szuka nazwy u¿ytkownika lub jego ID. Dzieje siê to niewidocznie dla aplikacji. Funkcja mo¿e traktowaæ dane NIS tak, jakby by³y zawarte w oryginalnym pliku passwd, a wiêc oba zestawy informacji s± dostêpne dla aplikacji i przez ni± wykorzystywane, lub tak, jakby zupe³nie zastêpowa³y dane w passwd i wtedy je ignoruje, a wykorzystuje tylko dane NIS.
W tradycyjnych implementacjach NIS-a obowi±zywa³y pewne ustalenia co do tego, kiedy mapy by³y zastêpowane innymi, a kiedy dodawane do oryginalnych informacji. Niektóre mapy, takie jak passwd, wymaga³y modyfikacji pliku passwd. Je¿eli zosta³a ona wykonana niepoprawnie, tworzy³y siê dziury w bezpieczeñstwie. Aby unikn±æ tych pu³apek, NYS i GNU libc wykorzystuj± ogólny schemat konfiguracji okre¶laj±cy, czy dany zestaw funkcji klienta u¿ywa oryginalnych plików, plików NIS czy NIS+ i w jakiej kolejno¶ci. Ten schemat bêdzie opisany w dalszej czê¶ci tego rozdzia³u.
Eksploatowanie serwera NIS
Do¶æ ju¿ tej teoretycznej paplaniny. Czas przyjrzeæ siê, jak dzia³a rzeczywista konfiguracja. W tym podrozdziale omówimy konfiguracjê serwera NIS. Je¿eli serwer NIS ju¿ dzia³a w twojej sieci, nie musisz tworzyæ w³asnego i mo¿esz bez szkody dla siebie pomin±æ ten podrozdzia³.
Pamiêtaj, ¿e je¿eli zamierzasz eksperymentowaæ z serwerem, musisz uwa¿aæ, by nie zdublowaæ nazwy domeny NIS. Mog³oby doj¶æ do awarii us³ugi w ca³ej sieci. Nie mówi±c ju¿ o zdenerwowaniu wspó³u¿ytkowników. 
Istniej± dwie mo¿liwe konfiguracje serwera NIS: jako serwera g³ównego i jako podrzêdnego. Konfiguracja serwera podrzêdnego daje dzia³aj±cy komputer zapasowy na wypadek, gdyby serwer g³ówny uleg³ awarii. Omówimy tutaj jedynie konfiguracjê serwera g³ównego. Dokumentacja serwera wyja¶nia ró¿nice miêdzy tymi dwoma konfiguracjami, a wiêc zajrzyj do niej, gdyby¶ musia³ skonfigurowaæ serwer podrzêdny.
Obecnie istniej± dwa darmowe serwery NIS dostêpne dla Linuksa: jeden zawarty w pakiecie yps Tobiasa Rebera i drugi - w pakiecie ypserv Petera Erikssona. Nie gra roli, który z nich uruchomisz.
Po zainstalowaniu programu serwera (ypserv) w katalogu /usr/sbin, powiniene¶ stworzyæ katalog, w którym bêd± przechowywane pliki map rozpowszechniane przez twój serwer. Przy konfigurowaniu domeny NIS dla domeny brewery, mapy bêd± umieszczone w katalogu /var/yp/brewery. Zanim serwer zdecyduje siê obs³ugiwaæ konkretn± domenê, sprawdza, czy istnieje jej katalog map. Je¿eli wy³±czasz us³ugê dla jakiej¶ domeny NIS, pamiêtaj o usuniêciu katalogu.
Mapy zwykle s± przechowywane w plikach DBM, aby przy¶pieszyæ poszukiwania. Tworzone s± na podstawie plików g³ównych za pomoc± programu makedbm (dla serwera Tobiasa) lub dbmload (dla serwera Petera).
Przekszta³canie pliku g³ównego do postaci, któr± mo¿e zrozumieæ dbmload, zwykle wymaga pewnych magicznych poleceñ awk i sed, które s± mêcz±ce przy wpisywaniu i trudne do zapamiêtania. Dlatego pakiet Petera Erikssona, ypserv, zawiera plik Makefile (nazwany ypMakefile), który realizuje tê konwersjê dla wiêkszo¶ci plików g³ównych. Powiniene¶ zainstalowaæ go pod nazw± Makefile w katalogu map i dokonaæ edycji, aby uwzglêdnia³ mapy NIS-a, które chcesz wspó³dzieliæ. Na pocz±tku pliku znajdziesz cel all, który zawiera us³ugi oferowane przez ypserv. Domy¶lnie wiersz wygl±da tak:

all: ethers hosts networks protocols rpc services passwd group netid

Je¿eli na przyk³ad nie chcesz generowaæ map ethers.byname i ethers.byaddr, po prostu usuñ ethers z tej regu³y. Aby przetestowaæ swoj± konfiguracjê, mo¿esz zacz±æ od jednej lub dwóch map, na przyk³ad services.*.
Po edycji pliku Makefile, bêd±c w katalogu map, wpisz make. Spowoduje to automatyczne wygenerowanie i zainstalowanie map. Musisz pamiêtaæ o ich uaktualnianiu po ka¿dej zmianie dokonanej w plikach g³ównych. W przeciwnym razie zmiany nie bêd± widoczne w sieci.

Podrozdzia³ Konfigurowanie klienta NIS z GNU libc wyja¶nia, jak skonfigurowaæ kod klienta NIS. Je¿eli twoja konfiguracja nie dzia³a, powiniene¶ spróbowaæ dowiedzieæ siê, czy twoje zapytania docieraj± do serwera. Je¿eli podasz opcjê --debug w wywo³aniu polecenia ypserv, wypisze ono na konsoli komunikaty o wszystkich przychodz±cych zapytaniach NIS i zwracanych wynikach. Tam powiniene¶ znale¼æ wskazówkê, gdzie le¿y problem. Serwer Tobiasa nie ma tej opcji.
Bezpieczeñstwo serwera NIS
Z punktu widzenia bezpieczeñstwa NIS ma podstawow± wadê: plik passwd jest dostêpny praktycznie dla ka¿dego w ca³ym Internecie, czyli równie¿ dla sporej liczby potencjalnych intruzów. Kiedy intruz wie, jak nazywa siê twoja domena NIS, i zna adres serwera, mo¿e po prostu wys³aæ zapytanie o mapê passwd.byname i natychmiast uzyska wszystkie has³a z twojego systemu (w postaci zaszyfrowanej). Z pomoc± szybkiego programu do ³amania hase³, jak crack, i dobrego s³ownika, odgadniêcie hase³, przynajmniej kilku u¿ytkowników, nie stanowi problemu.
Tu w³a¶nie przydaje siê opcja securenets. Na podstawie adresów IP lub numerów sieci zezwala na dostêp do twojego serwera NIS tylko pewnym hostom. Ostatnia wersja ypserv implementuje tê funkcjê na dwa sposoby. Pierwszy opiera siê na specjalnym pliku konfiguracyjnym /etc/ypserv.securenets, a drugi u¿ywa odpowiednich plików /etc/hosts.allow i /etc/hosts.deny, które omówili¶my w rozdziale 12, Wa¿ne funkcje sieciowe*. Aby wiêc ograniczyæ dostêp do hostów z browaru, administrator sieci powinien dodaæ poni¿szy wiersz do pliku hosts.allow:

ypserv: 172.16.2.

Pozwoli to wszystkim hostom o adresach IP 172.16.2.0 na dostêp do serwera NIS. Aby zabroniæ dostêpu wszystkim pozosta³ym hostom, musisz umie¶ciæ w pliku hosts.deny nastêpuj±cy wpis:

ypserv: ALL

Numery IP nie s± jedynym sposobem na okre¶lenie hostów (lub sieci) w pliku hosts.allow i hosts.deny. Szczegó³y znajdziesz na stronie podrêcznika hosts_access(5) w twoim systemie. Jednak pamiêtaj, ¿e nie mo¿esz u¿ywaæ nazw hosta lub domen we wpisie ypserv. Je¿eli podasz nazwê hosta, serwer bêdzie próbowa³ j± rozwi±zaæ, ale resolver z kolej wywo³a ypserv i wejdziesz w nieskoñczon± pêtlê.
Aby skonfigurowaæ bezpieczeñstwo securenets za pomoc± metody /etc/ypserv. securenets, musisz stworzyæ plik konfiguracyjny /etc/ypserv.securenets. Ten plik konfiguracyjny ma prost± strukturê. Ka¿dy wiersz opisuje host lub sieæ, które maj± dostêp do serwera. Wszelkie adresy nie opisane przez wpisy w tym pliku nie bêd± mia³y dostêpu do serwera. Wiersz rozpoczynaj±cy siê do znaku # bêdzie traktowany jako komentarz. Przyk³ad 13-1 pokazuje, jak wygl±da prosty plik /etc/ypserv.securenets.

Przyk³ad 13-1. Przyk³adowy plik ypserv.securenets
# dopuszczenie po³±czeñ z lokalnego hosta - potrzebne
host 127.0.0.1
# to samo co 255.255.255.255 127.0.0.1
#
# dopuszczenie po³±czeñ z dowolnego hosta z sieci browaru 
# wirtualnego
255.255.255.0 172.16.1.0
#

Pierwszy wpis w ka¿dym wierszu to maska sieci, a s³owo kluczowe host jest traktowane jako "maska sieci 255.255.255.255". Drugi wpis w ka¿dym wierszu to adres IP, którego dotyczy maska sieci.
Trzecia mo¿liwo¶æ to u¿ycie bezpiecznego portmappera zamiast securenets w ypserv. Bezpieczny portmapper (portmap-5.0) wykorzystuje tak¿e schemat hosts.allow, ale udostêpnia go dla wszystkich serwerów RPC, a nie tylko dla ypserv*. Jednak nie powiniene¶ u¿ywaæ jednocze¶nie opcji securenets i bezpiecznego portmappera, poniewa¿ spowoduje to nadmiar uwierzytelniania.
Konfigurowanie klienta NIS z GNU libc
Opiszemy teraz i omówimy konfiguracjê klienta NIS-a wykorzystuj±cego bibliotekê GNU libc.
Pierwszym krokiem powinno byæ powiadomienie klienta NIS, którego serwera ma u¿ywaæ. Wspomnieli¶my wcze¶niej, ¿e to ypbind dla Linuksa pozwala ci na skonfigurowanie w³a¶ciwego serwera NIS. Domy¶lne zachowanie polega na szukaniu serwera w sieci lokalnej. Je¿eli istnieje prawdopodobieñstwo, ¿e konfigurowany host (na przyk³ad laptop) bêdzie przenoszony z jednej domeny do drugiej, powiniene¶ pozostawiæ plik /etc/yp.conf pusty i poszukiwaæ serwera w sieci lokalnej.
Bezpieczniejsza konfiguracja hostów polega na ustawieniu nazwy serwera w pliku konfiguracyjnym /etc/yp.conf. Bardzo prosty plik dla hosta z sieci winiarni mo¿e wygl±daæ tak:

# yp.conf - Konfiguracja YP dla biblioteki GNU libc
#
ypserver vbardolino

Dyrektywa ypserver mówi twojemu hostowi, by u¿ywa³ podanej nazwy jako serwera NIS dla domeny lokalnej. W tym przyk³adzie podali¶my serwer NIS vbardolino. Oczywi¶cie w pliku hosts musi znajdowaæ siê adres IP odpowiadaj±cy vbardolino. Mo¿esz równie¿ u¿yæ samego adresu IP jako argumentu server.
W postaci pokazanej w przyk³adzie polecenie ypserver informuje ypbind, aby u¿ywa³o serwera o zadanej nazwie bez wzglêdu na to, jaka jest aktualna domena NIS. Je¿eli jednak czêsto przenosisz swój komputer pomiêdzy ró¿nymi domenami NIS, warto zachowaæ w pliku yp.conf informacje o serwerach dla kilku domen. Umieszczasz je tam za pomoc± dyrektywy domain. Na przyk³ad móg³by¶ zmieniæ poprzedni przyk³adowy plik, aby dla laptopa wygl±da³ tak:

# yp.conf - Konfiguracja YP dla biblioteki GNU libc
#
domain winery server vbardolino
domain brewery server vstout

Pozwala ci to pod³±czyæ laptopa do dowolnej z dwóch domen przez ustawienie w czasie inicjacji komputera odpowiedniej domeny NIS poleceniem domainname. Klient NIS u¿ywa serwera odpowiedniego dla danej domeny.
Istnieje trzecia mo¿liwo¶æ, która mo¿e siê przydaæ. Dotyczy sytuacji, gdy nie znasz ani nazwy, ani adresu IP serwera u¿ywanego w okre¶lonej domenie, ale obstajesz przy u¿ywaniu sta³ej nazwy w pewnych domenach. Wyobra¼my sobie, ¿e chcemy wymusiæ korzystanie z zadanego serwera w domenie winiarni, ale w domenie browaru chcemy szukaæ serwera w sieci. Mogliby¶my zmodyfikowaæ nasz plik yp.conf do takiej postaci:

# yp.conf - Konfiguracja YP dla biblioteki GNU libc
#
domain winery server vbardolino
domain brewery broadcast

S³owo kluczowe broadcast mówi ypbind, by u¿ywa³ w domenie dowolnego, znalezionego serwera NIS.
Po stworzeniu tego podstawowego pliku konfiguracyjnego i upewnieniu siê, ¿e jest on czytelny dla wszystkich, powiniene¶ wykonaæ swój pierwszy test pod³±czenia siê do serwera. Sprawd¼, czy korzystasz z map rozpowszechnianych przez twój serwer, jak hosts.byname, i spróbuj je odczytaæ za pomoc± narzêdzia ypcat:

# ypcat hosts.byname
172.16.2.2      vbeaujolais.vbrew.com   vbeaujolais
172.16.2.3      vbardolino.vbrew.com    vbardolino
172.16.1.1      vlager.vbrew.com        vlager
172.16.2.1      vlager.vbrew.com        vlager
172.16.1.2      vstout.vbrew.com        vstout
172.16.1.3      vale.vbrew.com          vale
172.16.2.4      vchianti.vbrew.com      vchianti

Uzyskany wynik powinien przypominaæ to, co pokazali¶my powy¿ej. Je¿eli pojawi³ siê komunikat b³êdu o tre¶ci Can't bind to server which serves domain, to albo ustawiona przez ciebie nazwa domeny NIS nie ma serwera zdefiniowanego w pliku yp.conf, albo serwer z jakiego¶ powodu jest nieosi±galny. W tym drugim przypadku sprawd¼, czy ping do hosta daje pozytywny wynik, i czy serwer NIS rzeczywi¶cie dzia³a. Mo¿esz to sprawdziæ, u¿ywaj±c polecenia rpcinfo, które powinno pokazaæ nastêpuj±cy wynik:

# rpcinfo -u serwer ypserv
program 100004 version 1 ready and waiting
program 100004 version 2 ready and waiting

Wybór odpowiednich map
Je¿eli jeste¶ w stanie skomunikowaæ siê z serwerem NIS, musisz zdecydowaæ, które pliki konfiguracyjne zast±piæ innymi, a do których dodaæ mapy NIS-a. Przewa¿nie bêdziesz chcia³ u¿ywaæ dwóch map NIS-a: do przeszukiwania hostów i do przeszukiwania hase³. Pierwsza jest szczególnie przydatna, je¿eli nie masz us³ugi nazewniczej BIND. Druga pozwala na logowanie siê wszystkich u¿ytkowników na konta z dowolnego systemu nale¿±cego do domeny NIS. Ma to szczególne znaczenie, je¿eli posiadasz centralny katalog /home, który hosty wspó³dziel± przez NFS. Mapa hase³ zostanie szczegó³owo omówiona w nastêpnym podrozdziale.
Inne mapy, takie jak services.byname, nie daj± tak znacznych korzy¶ci, ale pozwalaj± zaoszczêdziæ nieco pracy edycyjnej. Mapa services.byname jest cenna, je¿eli instalujesz jakie¶ aplikacje sieciowe wykorzystuj±ce us³ugi o nazwach, których nie ma w standardowym pliku services.
Zapewne chcia³by¶ mieæ jaki¶ wybór pomiêdzy tym, czy funkcja wyszukiwania u¿ywa plików lokalnych, zapytuje serwer NIS, czy u¿ywa innych serwerów, jak np. DNS. GNU libc pozwala ci skonfigurowaæ kolejno¶æ, w której funkcja uzyskuje dostêp do tych us³ug. Jest to kontrolowane przez plik /etc/nsswitch.conf, którego nazwa jest skrótem od Name Service Switch. Plik ten oczywi¶cie nie jest ograniczony do us³ugi nazewniczej. Mo¿e zawieraæ wiersze dla dowolnych us³ug wyszukiwania danych, obs³ugiwanych przez GNU libc.
Poprawna kolejno¶æ us³ug zale¿y od typu danych, oferowanych przez ka¿d± z us³ug. Jest ma³o prawdopodobne, by mapa services.byname zawiera³a wpisy ró¿ni±ce siê od tych w lokalnym pliku services, bêdzie jedynie mia³a dodatkowe wpisy. A wiêc sensowne wydaje siê korzystanie z pliku lokalnego w pierwszej kolejno¶ci, a sprawdzanie NIS-a tylko wtedy, gdy nazwa us³ugi nie zostanie znaleziona. Z drugiej strony informacje o nazwie hosta mog± siê czêsto zmieniaæ, a wiêc serwer DNS lub NIS powinien zawsze mieæ aktualne informacje, natomiast plik hosts s³u¿y jedynie jako kopia zapasowa na wypadek, gdyby DNS lub NIS nie dzia³a³y. Dlatego w przypadku nazw hostów, zwykle plik lokalny sprawdza siê na koñcu.
Poni¿szy przyk³ad pokazuje, jak wymusiæ na funkcjach gethostbyname i gethostbyaddr, by najpierw korzysta³y z NIS i DNS, a potem dopiero z pliku hosts, oraz jak sprawiæ, by funkcja getservbyname najpierw korzysta³a z plików lokalnych, a dopiero potem z NIS-a. Te funkcje resolvera bêd± kolejno wypróbowywa³y ka¿d± z podanych us³ug. Je¿eli wyszukiwanie siê powiedzie, zostanie zwrócony wynik. W przeciwnym razie zostanie sprawdzona kolejna us³uga z listy. Konfiguracja pliku dla takiej kolejno¶ci wygl±da nastêpuj±co:

# ma³y przyk³adowy plik /etc/nsswitch.conf
#
hosts:   nis dns files
services:   files nis

Poni¿ej pokazano pe³n± listê us³ug i lokalizacji, które mog± byæ u¿ywane we wpisie w pliku nsswitch.conf. Rzeczywiste mapy, pliki, serwery i obiekty s± zapytywane w zale¿no¶ci od nazwy wpisu. Elementy z poni¿szej listy mog± pojawiaæ siê za dwukropkiem:
nis

Zastosowanie serwera aktualnej domeny NIS. Lokalizacja serwera jest definiowana w pliku yp.conf, zgodnie z opisem w poprzednim podrozdziale. W przypadku wpisu hosts przeszukiwane s± mapy hosts.byname i hosts.byaddr.
nisplus lub nis+

Zastosowanie serwera NIS+ dla tej domeny. Lokalizacja serwera jest ustalana na podstawie pliku /etc/nis.conf.
dns

Zastosowanie serwera nazw DNS. Ten typ us³ugi jest przydatny tylko we wpisie hosts. Wykorzystywane serwery nazwy s± wci±¿ okre¶lane na podstawie standardowego pliku resolv.conf.
files

Zastosowanie pliku lokalnego, na przyk³ad /etc/hosts, dla wpisu hosts.
compat

Kompatybilno¶æ ze starymi formatami plików. Ta opcja mo¿e byæ przydatna, gdy do poszukiwañ NIS lub NIS+ jest u¿ywany NYS lub glibc 2.x. Choæ normalnie te wersje nie potrafi± interpretowaæ starszych wpisów NIS w plikach passwd i group, opcja compat pozwala dzia³aæ im z tymi formatami. 
db

Poszukiwanie informacji w plikach DBM umieszczonych w katalogu /var/db. Nazwa pliku jest taka sama jak odpowiadaj±ca jej mapa NIS.
Aktualnie obs³uga NIS-a w GNU libc dotyczy nastêpuj±cych baz danych nsswitch.conf: aliases, ethers.group, hosts, netgroup, network, passwd, protocols, publickey, rpc, services i shadow. Prawdopodobnie zostan± dodane nastêpne wpisy.
Przyk³ad 13-2 pokazuje bardziej z³o¿one wykorzystanie innej funkcji pliku nsswitch.conf. S³owo kluczowe [NOTFOUND=return] we wpisie hosts informuje klienta NIS, by koñczy³ poszukiwanie, je¿eli ¿±dany element nie zostanie znaleziony w bazach NIS lub DNS. To znaczy, ¿e klient NIS bêdzie kontynuowa³ przeszukiwanie plików lokalnych tylko wtedy, gdy przeszukiwanie serwerów NIS i DNS siê nie uda z jakiego¶ innego powodu. Pliki lokalne bêd± u¿ywane jedynie w czasie inicjacji i jako kopia zapasowa w sytuacji, gdy serwer NIS nie dzia³a.
Przyk³ad 13-2. Przyk³adowy plik nsswitch.conf
# /etc/nsswitch.conf
#
hosts:      nis dns [NOTFOUND=return] files
networks:   nis [NOTFOUND=return] files
services:   files nis
protocols:  files nis
rpc:        files nis

Biblioteka GNU libc pozwala na inne mo¿liwe dzia³ania. Opisano to na stronach podrêcznika elektronicznego nsswitch.
Korzystanie z map passwd i group
Jednym z g³ównych zastosowañ NIS-a jest synchronizowanie informacji o kontach i u¿ytkownikach na wszystkich hostach w domenie NIS. W rezultacie zwykle posiadasz tylko lokalny plik /etc/passwd, do którego s± dodawane informacje z map NIS. Jednak proste w³±czenie przeszukiwania NIS dla tej us³ugi w pliku nsswitch.conf nie wystarczy.
Je¿eli chcesz siê opieraæ na informacjach o has³ach rozpowszechnianych przez NIS-a, najpierw musisz sprawdziæ, czy ID u¿ytkowników w twoim lokalnym pliku passwd s± zgodne z ID u¿ytkowników widzianych przez serwer NIS-a. Spójno¶æ ID u¿ytkowników jest tak¿e istotna dla innych celów, jak montowanie wolumenów NFS z innych hostów w twojej sieci.
Je¿eli jaki¶ numer ID w plikach /etc/passwd lub /etc/group ró¿ni siê od ID zawartego w mapach, musisz poprawiæ prawa w³asno¶ci wszystkich plików danego u¿ytkownika. Najpierw powiniene¶ zmieniæ wszystkie warto¶ci uid i gid w plikach passwd i group na nowe, a nastêpnie sprawdziæ, czy wszystkie pliki nale¿±ce do u¿ytkownika maj± poprawne prawa i ewentualnie zmieniæ ich w³a¶ciciela. Za³ó¿my, ¿e news ma ID u¿ytkownika 9, a okir mia³ przed zmian± ID u¿ytkownika 103. Jako root móg³by¶ wydaæ nastêpuj±ce polecenia:

# find / -uid 9 -print >/tmp/uid.9
# find / -uid 103 -print >/tmp/uid.103
# cat /tmp/uid.9 | xargs chown news
# cat /tmp/uid.103 | xargs chown okir

Wa¿ne, by¶ wyda³ te polecenia po zainstalowaniu nowego pliku passwd i by¶ pozna³ wszystkie nazwy plików, zanim zmienisz prawa w³asno¶ci jakiegokolwiek z nich. Aby uaktualniæ prawa w³asno¶ci plików dla grupy, u¿yj podobnej metody, ale zamiast uid, zastosuj gid, a zamiast chown - chgrp.
Gdy to zrobisz, numery uid oraz gid w twoim systemie bêd± zgodne z numerami na pozosta³ych hostach w twojej domenie NIS. Kolejnym krokiem jest dodanie wierszy konfiguracyjnych do nsswitch.conf, pozwalaj±cych na wyszukiwanie informacji o u¿ytkownikach i grupach w NIS-ie.

# /etc/nsswitch.conf - obs³uga passwd i group
passwd:   nis files
group:    nis files

Od tego zale¿y, gdzie polecenie login i wszystkie pochodne szukaj± informacji o u¿ytkowniku. Gdy u¿ytkownik próbuje siê zalogowaæ, login pyta najpierw mapy NIS, a je¿eli to poszukiwanie siê nie uda, powraca do plików lokalnych. Zwykle z plików lokalnych usuwasz prawie wszystkich u¿ytkowników i pozostawiasz jedynie wpisy dla root i kont ogólnych, takich jak mail. Robi siê tak dlatego, ¿e istotne zadania systemowe wymagaj± przet³umaczenia warto¶ci uid na nazwy u¿ytkownika lub odwrotnie. Na przyk³ad zadania administracyjne cron mog± wykonywaæ polecenie su, by tymczasowo uzyskaæ prawa u¿ytkownika news, lub podsystem UUCP mo¿e wysy³aæ raport o stanie. Je¿eli news i uucp nie bêd± mia³y wpisów w lokalnym pliku passwd, zadania nie przejd± nawet przez etap przeszukiwañ NIS-a.
Je¿eli u¿ywasz te¿ starej implementacji NIS-a (obs³ugiwanej przez tryb compat dla plików passwd i group w implementacjach NYS lub glibc), musisz wstawiæ w plikach passwd dziwne wpisy specjalne. Wpisy te informuj±, gdzie zostan± wstawione rekordy NIS w bazie informacji. Wpisy mog± zostaæ dodane w dowolnym miejscu pliku, zwykle na jego koñcu. Wpisy dodawane do pliku /etc/passwd s± nastêpuj±ce:

+::::::

a do pliku /etc/groups:

+:::

Zarówno w glibc 2.x, jak i w NYS mo¿esz zmieniaæ parametry w rekordzie u¿ytkownika uzyskanym z serwera NIS, tworz±c wpisy ze znakiem + umieszczonym przed nazw± u¿ytkownika, i usuwaæ pewne wpisy, dodaj±c znak -. Na przyk³ad wpisy:

+stuart::::::/bin/jacl
-jedd::::::

uniewa¿ni± pow³okê zdefiniowan± dla u¿ytkownika stuart na serwerze NIS i nie pozwol± u¿ytkownikowi jedd zalogowaæ siê na tej maszynie. Pola puste, nie wype³nione, oznaczaj± wykorzystanie informacji dostarczonych przez serwer NIS.
S± tu jednak dwa powa¿ne zastrze¿enia. Po pierwsze, opisana do tej pory konfiguracja dzia³a tylko dla logowania, które nie wykorzystuje hase³ shadow. Zawi³o¶ci korzystania z hase³ shadow w NIS-ie zostan± omówione w kolejnym podrozdziale. Po drugie, polecenia logowania nie s± jedynymi, które dostaj± siê do pliku passwd -  porównaj polecenie ls, którego wci±¿ u¿ywa wiele osób. W pe³nym listingu ls wy¶wietla nazwy symboliczne u¿ytkownika i grupy, którzy s± w³a¶cicielami pliku. To znaczy, ¿e w przypadku napotkania ka¿dego uid i gid polecenie musi zadaæ zapytanie do serwera NIS. Zapytanie NIS trwa nieco d³u¿ej, ni¿ równowa¿ne przeszukiwanie pliku lokalnego. Mo¿e siê okazaæ, ¿e umieszczenie w NIS-ie informacji z plików passwd i group znacznie zmniejsza wydajno¶æ programów, które czêsto korzystaj± z tych informacji.
To jeszcze nie wszystko. Wyobra¼ sobie, co siê stanie, je¿eli u¿ytkownik zechce zmieniæ has³o. Zwykle wywo³uje on polecenie passwd, które wczytuje nowe has³o i uaktualnia lokalny plik passwd. Jest to niemo¿liwe w przypadku NIS-a, gdy¿ plik nie jest nigdzie dostêpny lokalnie, a logowanie siê u¿ytkowników do serwera NIS za ka¿dym razem, gdy chc± oni zmieniæ has³o, nie jest tak¿e dobrym rozwi±zaniem. Dlatego NIS udostêpnia zastêpcê passwd - polecenie yppasswd, które obs³uguje zmianê has³a w NIS-ie. Aby zmieniæ has³o na serwerze, ³±czy siê ono przez RPC z demonem yppasswdd na tym serwerze i przekazuje mu aktualne informacje o ha¶le. Zwykle instaluje siê yppasswd, zamiast normalnego polecenia passwd, w nastêpuj±cy sposób:

# cd /bin
# mv passwd passwd.old
# ln yppasswd passwd

W tym samym czasie musisz zainstalowaæ na serwerze program rpc.yppasswdd i uruchomiæ go ze skryptu sieciowego. Spowoduje to ukrycie przed u¿ytkownikami wiêkszo¶ci dzia³añ NIS-a.
U¿ywanie NIS-a z obs³ug± hase³ shadow
Korzystanie z NIS-a w po³±czeniu z plikami hase³ shadow jest nieco k³opotliwe. Najpierw z³e wiadomo¶ci: NIS podwa¿a sens u¿ywania hase³ shadow. Schemat hase³ shadow zosta³ zaprojektowany po to, by zabroniæ u¿ytkownikom nie posiadaj±cym prawa roota dostêpu do zaszyfrowanej postaci hase³. U¿ywanie NIS-a do wspó³dzielenia danych shadow powoduje konieczno¶æ udostêpnienia zaszyfrowanych hase³ osobom, które pods³uchuj± odpowiedzi serwera NIS w sieci. Rozwi±zanie polegaj±ce na zmuszaniu ludzi do wyboru "dobrych" hase³ jest zdecydowanie lepsze, ni¿ próba u¿ywania hase³ shadow w ¶rodowisku NIS. Przyjrzyjmy siê szybko, jak to zrobiæ.
W libc5 nie ma prawdziwego rozwi±zania pozwalaj±cego na wspó³dzielenie danych shadow za pomoc± NIS-a. Jedynym sposobem na rozpowszechnianie informacji o u¿ytkownikach i has³ach przez NIS jest u¿ycie standardowych map passwd.*. Je¿eli masz zainstalowane has³a typu shadow, najprostszym sposobem na ich rozsy³anie jest generowanie odpowiedniego pliku passwd na podstawie /etc/shadow za pomoc± narzêdzi takich, jak pwuncov, i tworzenie map NIS-a na podstawie uzyskanego pliku.
Oczywi¶cie wymy¶lono kilka zabiegów, które umo¿liwiaj± u¿ywanie hase³ shadow i NIS-a w tym samym czasie, jak na przyk³ad instalacja pliku /etc/shadow na ka¿dym ho¶cie w sieci i dystrybuowanie informacji o u¿ytkownikach przez NIS-a. Jednak ta sztuczka jest naprawdê prymitywna i w zasadzie zaprzecza istocie NIS-a, który ma u³atwiaæ administrowanie systemem.
Obs³uga NIS-a w bibliotece GNU libc (libc6)  uwzglêdnia has³a typu shadow. Nie zapewnia ¿adnego rozwi±zania, które udostêpnia³oby has³a, ale upraszcza zarz±dzanie has³ami w ¶rodowiskach, w których chcesz u¿ywaæ i NIS-a, i hase³ shadow. Aby to zrobiæ, musisz stworzyæ bazê danych shadow.byname i dodaæ poni¿szy wiersz do swojego pliku /etc/nsswitch.conf:

# Obs³uga hase³ typu shadow
shadow:   compat

Je¶li u¿ywasz hase³ shadow wraz z NIS-em, musisz przestrzegaæ pewnej zasady bezpieczeñstwa i ograniczyæ dostêp do bazy danych NIS. Przypomnij sobie podrozdzia³ Bezpieczeñstwo serwera NIS z tego rozdzia³u.


14
Sieciowy system
plików

Rozdzia³ 14: Sieciowy system plików


Sieciowy system plików (Network File System - NFS) jest prawdopodobnie najbardziej znan± us³ug± opart± na RPC. Pozwala ona na dostêp do plików znajduj±cych siê na ho¶cie zdalnym dok³adnie w taki sam sposób, w jaki masz dostêp do plików lokalnych. Taki dostêp sta³ siê mo¿liwy dziêki po³±czeniu procedur obs³ugi w j±drze i demonów przestrzeni u¿ytkownika po stronie klienta z serwerem NFS po stronie serwera. Jest on zupe³nie przezroczysty dla klienta i dzia³a pomiêdzy ró¿nymi architekturami serwera i hosta.
NFS oferuje szereg przydatnych funkcji:
· Dane wykorzystywane przez wszystkich u¿ytkowników mog± byæ przechowywane na centralnym ho¶cie, którego katalogi klienty montuj± w czasie uruchamiania. Na przyk³ad mo¿esz przechowywaæ wszystkie konta u¿ytkowników na jednym ho¶cie, z którego bêdziesz montowaæ katalog /home na wszystkich pozosta³ych. Je¿eli NFS jest zainstalowany wraz z NIS-em, u¿ytkownicy mog± logowaæ siê do dowolnego systemu i wci±¿ pracowaæ na jednym zestawie plików.
· Dane zajmuj±ce du¿o miejsca na dysku mog± byæ przechowywane na jednym ho¶cie. Na przyk³ad wszystkie pliki i programy zwi±zane z LaTeX-em i METAFONT-em mog± byæ przechowywane i zarz±dzane w jednym miejscu.
· Dane administracyjne mog± byæ przechowywane na osobnym ho¶cie. Nie ma potrzeby u¿ywania rcp do instalacji tego samego g³upiego pliku na dwudziestu ró¿nych komputerach.
Konfigurowanie podstawowych operacji NFS po stronie klienta i serwera nie jest trudne. Omawia to ten rozdzia³.
NFS dla Linuksa to g³ównie zas³uga Ricka Sladkeya*, który napisa³ kod NFS-a dla j±dra i du¿± czê¶æ serwera NFS. Ten ostatni zosta³ opracowany na podstawie serwera unfsd, którego autorem jest Mark Shand, i na podstawie serwera NFS hnfs, napisanego przez Donalda Beckera.
Przyjrzyjmy siê, jak dzia³a NFS. Najpierw klient próbuje zamontowaæ katalog z hosta zdalnego w katalogu lokalnym, tak jakby montowa³ fizyczne urz±dzenie. Jednak sk³adnia u¿ywana do okre¶lenia zdalnego katalogu jest inna. Na przyk³ad, aby zamontowaæ /home z hosta vlager w katalogu /user na ho¶cie vale, administrator wydaje nastêpuj±ce polecenie na ho¶cie vale*:

# mount -t nfs vlager:/home /users

mount podejmie próbê skomunikowania siê przez RPC z demonem rpc.mountd dzia³aj±cym na ho¶cie vlager. Serwer sprawdzi, czy vale ma prawo zamontowaæ ¿±dany katalog. Je¿eli tak, zwróci uchwyt pliku. Ten uchwyt bêdzie u¿ywany we wszystkich kolejnych odwo³aniach do plików w katalogu /users.
Gdy kto¶ dostaje siê do pliku przez NFS, j±dro wysy³a wywo³anie RPC do rpc.nfsd (demona NFS) na maszynie serwera. To wywo³anie w parametrach zawiera uchwyt pliku, nazwê pliku, do którego siê chcemy dostaæ, i ID u¿ytkownika oraz grupy tego, kto chce siê dostaæ. S± one wykorzystywane przy ustalaniu praw dostêpu do zadanego pliku. Aby uniemo¿liwiæ nieuprawnionym u¿ytkownikom odczytywanie lub modyfikowanie plików, ID u¿ytkownika i grupy musz± byæ takie same na obu hostach.
W wiêkszo¶ci implementacji uniksowych zarówno po stronie klienta, jak i serwera NFS  dzia³a w formie demonów j±dra uruchamianych z przestrzeni u¿ytkownika w czasie startu systemu. S± to demony NFS (rpc.nfsd) na ho¶cie serwera i demony blokowego wej¶cia/wyj¶cia (biod) na ho¶cie klienta. Aby poprawiæ przepustowo¶æ, biod realizuje asynchroniczne operacje wej¶cia/wyj¶cia za pomoc± algorytmów odczytu z wyprzedzeniem (ang. read-ahead) i zapisywania z opó¼nieniem (ang. write-behind). Ponadto kilka demonów rpc.nfsd zwykle dzia³a jednocze¶nie.
Aktualna implementacja NFS-a dla Linuksa ró¿ni siê od klasycznego NFS-a, w którym kod serwera dzia³a ca³kowicie w przestrzeni u¿ytkownika, a wiêc uruchomienie kilku kopii jednocze¶nie jest nieco bardziej skomplikowane. Aktualna implementacja rpc.nfsd oferuje eksperymentaln± funkcjê pozwalaj±c± na ograniczenie obs³ugi dla wielu serwerów. W j±drach serii 2.2 Olaf Kirch stworzy³ serwer NFS oparty na j±drze. Jego wydajno¶æ jest znacznie lepsza ni¿ istniej±cych implementacji opartych na przestrzeni u¿ytkownika. Opiszemy go w dalszej czê¶ci rozdzia³u.
Przygotowanie NFS-a
Zanim bêdziesz móg³ u¿yæ NFS-a, czy to serwera, czy klienta, musisz sprawdziæ, czy twoje j±dro jest skompilowane z jego obs³ug±. Nowsze j±dra maj± prosty interfejs oparty na systemie plików /proc; plik /proc/filesystems, mo¿esz wy¶wietliæ za pomoc± cat:

$ cat /proc/filesystems
   minix
   ext2

   msdos
   nodev proc
   nodev nfs

Je¿eli na tej li¶cie brakuje nfs, musisz skompilowaæ j±dro z obs³ug± NFS-a lub za³adowaæ modu³, je¿eli obs³uga NFS-a zosta³a skompilowana w postaci modu³u. Konfigurowanie opcji j±dra wyja¶niono w podrozdziale Konfigurowanie j±dra w rozdziale 3, Konfigurowanie sprzêtu sieciowego.
Montowanie wolumenu NFS
Montowanie wolumenów NFS przypomina do z³udzenia montowanie normalnych systemów plików. Wywo³aj mount, u¿ywaj±c nastêpuj±cej sk³adni:

# mount -t nfs wolumen_nfs katalog_lokalny opcje

wolumen_nfs jest okre¶lany nastêpuj±co: zdalny_host:zdalny_katalog. Poniewa¿ ten zapis jest unikatowy dla systemów plików NFS, mo¿esz nie stosowaæ opcji -t nfs.
Istnieje szereg dodatkowych opcji, które mo¿esz podaæ w poleceniu mount przy montowaniu wolumenu NFS. Mog± byæ one podane zarówno z prze³±cznikiem -o w wierszu poleceñ, jak i w polu opcji wpisu /etc/fstab dla wolumenu. W obu przypadkach opcje s± oddzielone przecinkami i nie mog± zawieraæ bia³ych znaków. Opcje okre¶lone w wierszu poleceñ zawsze maj± wy¿szy priorytet, ni¿ te podane w pliku fstab.
Oto przyk³adowy wpis w pliku /etc/fstab:

# wolumen            punkt montowania   typ   opcje
news:/var/spool/news   /var/spool/news   nfs   timeo=14,intr

Z kolei wolumen mo¿e zostaæ zamontowany poleceniem:

# mount news:/var/spool/news

W przypadku braku wpisu w pliku fstab, wywo³anie mount wygl±da du¿o gorzej. Na przyk³ad za³ó¿my, ¿e montujesz katalogi macierzyste swoich u¿ytkowników z komputera o nazwie moonshot, który wykorzystuje domy¶lny rozmiar bloku (4 KB) dla operacji odczytu i zapisu. Za pomoc± poni¿szego polecenia mo¿esz zwiêkszyæ rozmiar bloku do 8 KB, by uzyskaæ lepsz± wydajno¶æ:

# mount moonshot:/home /home -o rsize=8192,wsize=8192

Lista wszystkich dopuszczalnych opcji znajduje siê na stronie podrêcznika elektronicznego nfs(5). Poni¿ej pokazano skrócon± listê opcji, których prawdopodobnie bêdziesz najczê¶ciej u¿ywaæ:
rsize=n i wsize=n
Okre¶laj± rozmiar datagramu u¿ywanego przez klientów NFS, odpowiednio w ¿±daniach odczytu i zapisu. Domy¶lna warto¶æ zale¿y od wersji j±dra, ale zwykle wynosi 1024 bajty.

timeo=n

Wskazuje, ile czasu (w dziesi±tych czê¶ciach sekundy) klient NFS czeka na zakoñczenie ¿±dania. Domy¶lna warto¶æ wynosi 7 (0,7 sekundy). To, co siê dzieje po up³yniêciu tego czasu, zale¿y od tego, czy u¿ywasz opcji hard czy soft.
hard

Jawnie oznacza wolumen jako zamontowany na sta³e. Jest w³±czona domy¶lnie. Opcja powoduje, ¿e serwer zg³asza na konsoli komunikat, gdy nie uda siê mu dostaæ do wolumenu po up³yniêciu d³ugiego czasu oczekiwania, i wci±¿ próbuje siê do niego dostaæ.
soft

Ta opcja (w przeciwieñstwie do montowania na sta³e) powoduje, ¿e gdy up³ynie d³ugi czas oczekiwania, do procesu próbuj±cego wykonaæ operacjê na pliku jest zg³aszany b³±d wej¶cia/wyj¶cia.
intr

Pozwala sygna³om przerywaæ wywo³anie NFS. Przydatne do przerywania dzia³ania, je¿eli serwer nie odpowiada.
Wszystkie opcje, poza rsize i wsize, dotycz± zachowania klienta w sytuacji, gdy serwer jest chwilowo niedostêpny. Dzia³aj± razem w nastêpuj±cy sposób: gdy klient wysy³a ¿±danie do serwera NFS, oczekuje, ¿e operacja zostanie zakoñczona po zadanym okresie czasu (okre¶lonym w opcji timeout). Je¿eli przez ten czas nie uzyska potwierdzenia, nastêpuje tak zwany krótki czas oczekiwania (ang. minor timeout): operacja jest powtarzana, ale teraz jej czas oczekiwania jest dwukrotnie d³u¿szy. Je¶li warto¶æ czasu oczekiwania dojdzie do 60 sekund, nastêpuje d³ugi czas oczekiwania (ang. major timeout).
Domy¶lnie d³ugi czas oczekiwania powoduje, ¿e klient wypisuje na konsoli komunikat i rozpoczyna oczekiwanie od nowa, tym razem pierwszy czas oczekiwania jest dwukrotnie d³u¿szy od poprzedniego. Potencjalnie ten czas bêdzie siê wyd³u¿aæ w nieskoñczono¶æ. Wolumeny, w odniesieniu do których operacje s± uparcie wykonywane powtórnie, s± nazywane zamontowanymi na sta³e (ang. hard-mounted). W przeciwieñstwie do nich, wolumeny zamontowane nietrwale (ang. soft-mounted) generuj± b³±d wej¶cia/wyj¶cia dla wywo³uj±cego procesu, gdy wyst±pi d³ugi czas oczekiwania. Poniewa¿ bufor pamiêci podrêcznej jest zapisywany z opó¼nieniem, warunek b³êdu nie jest dostarczany do samego procesu przed wywo³aniem nastêpnej funkcji write, a wiêc program mo¿e w ogóle nigdy nie uzyskaæ pewno¶ci, ¿e operacja zapisu na wolumen zamontowany nietrwale zakoñczy³a siê poprawnie.
To, czy montujesz wolumeny jako zamontowane na sta³e, czy jako nietrwa³e zale¿y w du¿ej mierze od twoich upodobañ, ale tak¿e od typu informacji, które siê na nich znajduj±. Na przyk³ad, je¿eli zamontujesz programy X przez NFS, pewnie nie bêdziesz chcia³, by twoja X-sesja zosta³a przerwana dlatego, ¿e kto¶ zatrzyma³ ruch w sieci, bo uruchomi³ w³a¶nie siedem kopii Dooma lub wyci±gn±³ na chwilê wtyczkê Ethernet. W przypadku wolumenu zamontowanego na sta³e masz pewno¶æ, ¿e komputer bêdzie czeka³, a¿ zaistnieje mo¿liwo¶æ ponownego skontaktowania siê z serwerem NFS. Z drugiej strony, ma³o potrzebne dane, takie jak zamontowane przez NFS partycje z grupami dyskusyjnymi czy archiwami FTP, mo¿na montowaæ w sposób nietrwa³y, tak ¿e gdy zdalny host bêdzie tymczasowo nieosi±galny lub wy³±czony, nie zawiesi twojej sesji. Je¿eli po³±czenie sieciowe z serwerem jest niestabilne lub przechodzi przez obci±¿ony ruter, mo¿esz zwiêkszyæ wstêpny czas oczekiwania za pomoc± opcji timeo lub zamontowaæ wolumen na sta³e. Wolumeny NFS s± domy¶lnie montowane na sta³e.
Montowanie na sta³e stanowi problem, poniewa¿ domy¶lnie operacje na pliku nie s± przerywalne. Tak wiêc, je¿eli proces na przyk³ad próbuje zapisaæ do zdalnego serwera, a ten jest nieosi±galny, aplikacja u¿ytkownika zawiesza siê i u¿ytkownik nie mo¿e nic zrobiæ, by przerwaæ operacjê. Je¿eli u¿yjesz opcji intr w po³±czeniu z montowaniem na sta³e, wszelkie sygna³y odebrane przez proces przerywaj± wywo³anie NFS, tak ¿e u¿ytkownicy mog± wci±¿ przerwaæ zawieszone dostêpy do plików i pracowaæ dalej (choæ bez zapisania pliku).
Zwykle demon rpc.mountd w jaki¶ sposób pilnuje, które katalogi zosta³y zamontowane i przez jakie hosty. Informacjê tê mo¿na wy¶wietliæ, u¿ywaj±c programu showmount, który jest tak¿e do³±czony do pakietu serwera NFS:

# showmount -e moonshot
Export list for localhost:
/home <anon clnt>

# showmount -d moonshot
Directories on localhost:
/home

# showmount -a moonshot
All mount points on localhost:
localhost:/home
Demony NFS
Je¿eli chcesz udostêpniæ us³ugê NFS innym hostom, musisz uruchomiæ na swoim komputerze demony rpc.nfsd i rpc.mountd. Jako programy oparte na RPC nie s± one zarz±dzane przez inetd, ale s± uruchamiane w czasie startu systemu i rejestruj± siê w portmapperze. Dlatego mo¿esz je uruchamiaæ tylko, je¿eli masz pewno¶æ, ¿e dzia³a rpc.portmap. Zwykle w jednym ze swoich skryptów uruchamiaj±cych sieæ powiniene¶ mieæ co¶ takiego:

if [ -x /usr/sbin/rpc.mountd ]; then
   /usr/sbin/rpc.mountd; echo -n " mountd"
fi
if [ -x /usr/sbin/rpc.nfsd ]; then
   /usr/sbin/rpc.nfsd; echo -n " nfsd"
fi

Informacje o prawach w³asno¶ci plików udostêpnianych klientom przez demona NFS zwykle zawieraj± numeryczne warto¶ci ID u¿ytkownika i grupy. Je¿eli zarówno klient, jak i serwer kojarz± te same nazwy u¿ytkownika i grupy z ich warto¶ciami numerycznymi ID, mówi siê, ¿e maj± wspóln± przestrzeñ uid/gid. Na przyk³ad jest tak w sytuacji, gdy u¿ywasz NIS-a do rozpowszechniania informacji passwd do wszystkich hostów swojej sieci lokalnej.
Jednak w pewnych sytuacjach ID na ró¿nych hostach nie zgadzaj± siê ze sob±. Zamiast uaktualniaæ uid i gid klienta, tak by pasowa³y do u¿ywanych przez serwer, mo¿esz u¿yæ demona mapowania rpc.ugidd, który wyrówna rozbie¿no¶ci w odwzorowaniach. Korzystaj±c z opcji map_daemon (wyja¶nionej nieco dalej), mo¿esz zmusiæ rpc.nfsd, by odwzorowa³ przestrzeñ uid/gid serwera na przestrzeñ uid/gid klienta za pomoc± rpc.ugidd po stronie klienta. Niestety demon rpc.ugidd nie zawsze znajduje siê w dystrybucji Linuksa, a wiêc je¿eli go potrzebujesz, a nie ma go w twojej dystrybucji, bêdziesz musia³ skompilowaæ kody ¼ród³owe.
rpc.ugidd jest serwerem opartym na RPC, uruchamianym ze startowych skryptów sieciowych, tak jak rpc.nfsd i rpc.mountd.

if [ -x /usr/sbin/rpc.ugidd ]; then
   /usr/sbin/rpc.ugidd; echo -n " ugidd"
fi
Plik exports
Teraz zobaczymy, jak konfiguruje siê serwer NFS. Zw³aszcza przyjrzymy siê, jak nale¿y poinformowaæ serwer NFS, które systemy plików powinien udostêpniaæ do montowania. Poznamy te¿ ró¿ne parametry, które kontroluj± dostêp klientów do systemu plików. Serwer okre¶la typ dostêpu do jego plików. W pliku /etc/exports znajduje siê lista systemów plików, które serwer udostêpnia klientom do montowania i u¿ytku.
Domy¶lnie rpc.mountd nie pozwala na montowanie wszystkich katalogów, co jest raczej rozs±dnym podej¶ciem. Je¶li chcesz pozwoliæ jednemu lub kilku hostom na montowanie katalogu przez NFS, musisz wyeksportowaæ host, to znaczy wpisaæ go do pliku exports. Przyk³adowy plik mo¿e wygl±daæ tak:

# plik exports dla hosta vlager
/home         vale(rw) vstout(rw) vlight(rw)
/usr/X11R6    vale(ro) vstout(ro) vlight(ro)
/usr/TeX      vale(ro) vstout(ro) vlight(ro)
/             vale(rw,no_root_squash)
/home/ftp      (ro)

Ka¿dy wiersz definiuje katalog i hosty, które mog± go montowaæ. Nazwa hosta jest zwykle podawana w postaci pe³nej nazwy domenowej, ale mo¿e dodatkowo zawieraæ znaki uniwersalne * i ?, które dzia³aj± w sposób analogiczny do pow³oki Bourne'a. Na przyk³ad do lab*.foo.com pasuje zarówno lab01.foo.com, jak i laboratory.foo.com. Host mo¿na tak¿e wskazaæ za pomoc± zakresu adresów IP w postaci adres/maska_sieci. Je¿eli nazwa hosta nie zostanie podana, tak jak w przypadku katalogu /home/ftp w poprzednim przyk³adzie, oznacza to, ¿e pasuje ka¿dy host i ka¿dy ma prawo montowaæ katalog.
Przy sprawdzaniu klienta w pliku exports, rpc.mountd szuka nazwy hosta klienta za pomoc± wywo³ania gethostbyaddr. Je¿eli u¿ywany jest DNS, to wywo³anie zwraca kanoniczn± nazwê hosta klienta, a wiêc musisz pamiêtaæ, by nie u¿ywaæ aliasów w pliku exports. W ¶rodowisku NIS zwracan± nazw± jest pierwsza pasuj±ca nazwa z bazy danych hostów. Nigdy - ani w przypadku u¿ycia DNS-a, ani NIS-a - zwracana nazwa nie jest pierwsz± nazw± hosta, pasuj±c± do adresu klienta i znalezion± w pliku hosts.
Za nazw± hosta nastêpuje opcjonalna lista znaczników ujêtych w nawiasy; poszczególne elementy listy s± oddzielone przecinkami. Niektóre warto¶ci tych znaczników to:
secure

Ten znacznik powoduje, ¿e ¿±danie musi pochodziæ z zarezerwowanego portu ¼ród³owego, tzn. o warto¶ci mniejszej ni¿ 1024. Znacznik ten jest ustawiony domy¶lnie.
insecure

Ten znacznik dzia³a odwrotnie ni¿ znacznik secure.
ro

Ten znacznik powoduje, ¿e wolumen NFS jest montowany jako przeznaczony tylko do odczytu. Znacznik jest ustawiony domy¶lnie.
rw

Ta opcja montuje pliki do odczytu i zapisu.
root_squash


Ta funkcja, zwi±zana z bezpieczeñstwem, odmawia u¿ytkownikom uprzywilejowanym na zadanych hostach specjalnych praw dostêpu przez odwzorowanie ¿±dañ z uid 0 po stronie klienta na uid 65534 (tzn. -2) po stronie serwera. Ta warto¶æ uid powinna byæ zwi±zana z u¿ytkownikiem nobody.
no_root_squash

Nie odwzorowuje ¿±dañ z uid 0. Ta opcja jest ustawiona domy¶lnie, a wiêc u¿ytkownicy uprzywilejowani maj± nieograniczony dostêp do wyeksportowanych katalogów systemu.
link_relative

Ta opcja zamienia bezwzglêdne dowi±zania symboliczne (gdzie dowi±zania rozpoczynaj± siê od uko¶nika) na dowi±zania wzglêdne. Ta opcja ma sens tylko wtedy, gdy zamontowany jest ca³y system plików hosta. W przeciwnym razie niektóre dowi±zania mog± wskazywaæ donik±d lub co gorsza, na pliki, których nigdy nie mia³y wskazywaæ. Ta opcja jest domy¶lnie w³±czona.
link_absolute

Ta opcja pozostawia dowi±zania symboliczne bez zmian (normalne zachowanie serwerów NFS firmy Sun).
map_identity

Ta opcja mówi serwerowi, by zak³ada³, ¿e klient u¿ywa tych samych warto¶ci uid i gid co serwer. Ta opcja jest ustawiona domy¶lnie.
map_daemon

Ta opcja mówi serwerowi NFS, by zak³ada³, ¿e klient i serwer nie wspó³dziel± tej samej przestrzeni uid/gid. Dlatego rpc.nfsd tworzy listê, która odwzorowuje ID pomiêdzy klientem a serwerem, zadaj±c zapytania demonowi rpc.ugidd na maszynie klienta.
map_static

Ta opcja pozwala na podanie nazwy pliku, który zawiera statyczne odwzorowanie warto¶ci uid i gid. Na przyk³ad map_static=/etc/nfs/vlight.map wskazywa³by plik /etc/nfs/vlight.map jako plik zawieraj±cy odwzorowania uid/gid. Sk³adnia pliku odwzorowañ jest opisana na stronie podrêcznika elektronicznego exports(5).
maps_nis

Ta opcja powoduje, ¿e serwer NIS-a realizuje odwzorowania uid i gid.
anonuid i anongid

Te opcje pozwalaj± na okre¶lenie uid i gid kont anonimowych. Jest to przydatne, je¿eli masz publicznie wyeksportowany wolumen.
Wszelkie b³êdy przy analizie sk³adniowej pliku exports s± zg³aszane do funkcji daemon sysloga na poziomie notice, o ile s± uruchomione demony rpc.nfsd i rpc.mountd.
Zauwa¿, ¿e nazwy hostów s± uzyskiwane na podstawie adresów IP klienta przez odwzorowanie odwrotne, a wiêc resolver musi byæ odpowiednio skonfigurowany. Je¿eli u¿ywasz BIND i jeste¶ ¶wiadomy problemów zwi±zanych z bezpieczeñstwem, powiniene¶ w³±czyæ w swoim pliku host.conf sprawdzanie podszywania siê. Te tematy omawiamy w rozdziale 6, Us³ugi nazewnicze i konfigurowanie resolvera.
Serwer NFSv2 oparty na j±drze
Tradycyjnie u¿ywany w Linuksie serwer NFS dzia³aj±cy w przestrzeni u¿ytkownika jest niezawodny, ale sprawia problemy wydajno¶ciowe, je¿eli jest przeci±¿ony. Dzieje siê tak g³ównie ze wzglêdu na obci±¿enie wnoszone przez interfejs wywo³añ systemowych, ale te¿ dlatego, ¿e musi on dzieliæ czas z innymi, potencjalnie mniej istotnymi procesami dzia³aj±cymi w przestrzeni u¿ytkownika.
J±dro 2.2.0 obs³uguje ekperymentalny serwer NFS oparty na j±drze, stworzony przez Olafa Kircha i dalej rozwijany przez H.J. Lu, G. Allana Morrisa i Tronda Myklebusta. Serwer NFS oparty na j±drze daje zdecydowan± poprawê wydajno¶ci.
W obecnych dystrybucjach mo¿esz znale¼æ narzêdzia serwera w postaci pakietów. Je¿eli ich tam nie ma, mo¿esz je znale¼æ pod adresem http://csua.berkeley.edu/~gam3/knfsd/. Aby u¿ywaæ tych narzêdzi, musisz skompilowaæ j±dro 2.2.0 z demonem NFS opartym na j±drze. Mo¿esz upewniæ siê, czy twoje j±dro ma wbudowanego demona NFS, sprawdzaj±c, czy istnieje plik /proc/sys/sunrpc/nfsd_debug. Je¿eli go nie ma, mo¿esz za³adowaæ modu³ rpc.nfsd, u¿ywaj±c narzêdzia modprobe.
Demon NFS oparty na j±drze wykorzystuje standardowy plik konfiguracyjny /etc/exports. Pakiet zawiera zastêpcze wersje demonów rpc.mountd i rpc.nfsd, które uruchamiasz prawie tak samo, jak ich odpowiedniki dzia³aj±ce w przestrzeni u¿ytkownika.

Server NFSv3 oparty na j±drze
Powszechnie u¿ywan± wersj± NFS-a jest wersja 2. Jednak technika szybko idzie naprzód i ujawnia niedoskona³o¶ci, które mo¿e poprawiæ tylko inna wersja protoko³u. Wersja 3 sieciowego systemu plików obs³uguje wiêksze pliki i systemy plików, gwarantuj±c znacznie wiêksze bezpieczeñstwo i oferuj±c szereg poprawek wydajno¶ciowych, które przydadz± siê wiêkszo¶ci u¿ytkowników.
Olaf Kirch i Trond Myklebust pracuj± nad eksperymentalnym serwerem NFSv3. Jest on umieszczany w j±drach serii 2.3. Dostêpne s± ³aty dla j±dra serii 2.2. Korzysta on z demona NFS w wersji 2, opartego na j±drze.
£aty s± dostêpne na stronie macierzystej serwera NFS opartego na j±drze Linuksa, znajduj±cej siê pod adresem http://csua.berkeley.edu/~gam3/knfsd/.


15
IPX i system 
plików NCP

Rozdzia³ 15: IPX i system plików NCP


Na d³ugo zanim firma Microsoft zajê³a siê sieciami i nawet zanim Internet wyszed³ poza krêgi akademickie, firmy wspó³dzieli³y pliki i drukarki, u¿ywaj±c serwerów plików i drukowania opartych na systemie operacyjnym Novell Netware i zwi±zanych z nim protoko³ach*. Wielu z tych u¿ytkowników nadal utrzymuje sieci wykorzystuj±ce te protoko³y i chcia³oby integrowaæ je z nowszymi sieciami TCP/IP.
Linux obs³uguje nie tylko protoko³y TCP/IP, ale tak¿e zestaw protoko³ów u¿ywanych przez system operacyjny NetWare firmy Novell Corporation. Protoko³y te s± dalekimi kuzynami TCP/IP i choæ pe³ni± podobn± rolê, ró¿ni± siê pod wieloma wzglêdami i niestety nie s± ze sob± kompatybilne.
Linux posiada zarówno darmowe, jak i komercyjne oprogramowanie do integracji z produktami Novella.
W tym rozdziale krótko opiszemy same protoko³y, a skupimy siê na konfigurowaniu i wykorzystaniu darmowego oprogramowania, które pozwala Linuksowi na wspó³pracê z produktami firmy Novell.
Xerox, Novell i historia
Przyjrzyjmy siê najpierw, sk±d pochodz± protoko³y i jak wygl±daj±. Pod koniec lat siedemdziesi±tych w firmie Xerox Corporation opracowano, a nastêpnie opublikowano otwarty standard o nazwie Xerox Network Specification (XNS). Standard ten opisywa³ szereg protoko³ów obs³uguj±cych ogólnie pojêt± komunikacjê sieciow±, ze szczególnym uwzglêdnieniem sieci lokalnych. By³y tam wykorzystane dwa g³ówne protoko³y sieciowe: internetowy protokó³ datagramów (Internet Datagram Protocol - IDP), zapewniaj±cy bezpo³±czeniowe i zawodne przesy³anie datagramów miêdzy hostami, oraz protokó³ komunikacyjny pakietów danych (Sequenced Packet Protocol - SPP) zaadoptowany z IDP, ale po³±czeniowy i niezawodny. Datagramy w sieci XNS by³y adresowane indywidualnie. Schemat adresowania opiera³ siê na po³±czeniu 4-bajtowego adresu sieci IDP (który by³ unikalnie przypisany do ka¿dego segmentu sieci lokalnej Ethernet) i 6-bajtowego adresu wêz³a (adresu karty sieciowej). Rutery by³y urz±dzeniami, które przekazywa³y datagramy pomiêdzy dwoma lub kilkoma oddzielnymi sieciami IDP. IDP nie obs³uguje podsieci. Ka¿dy nowy zbiór hostów wymaga innego adresu sieci. Adresy sieci s± dobierane tak, aby by³y unikalne w obrêbie intersieci. Czasem administratorzy tworz± konwencje, przypisuj±ce typy informacji (np. rejon geograficzny) do poszczególnych bajtów adresu, a wiêc adresy sieci s± przydzielane w systematyczny sposób. Nie jest to jednak wymaganie protoko³u.
Firma Novell zdecydowa³a siê oprzeæ swoj± sieæ na pakiecie XNS. Stworzy³a kilka rozszerzeñ dla IDP i SPP, które otrzyma³y nazwy: IPX (Internet Packet eXchange) i SPX (Sequenced Packet eXchange). Doda³a te¿ nowe protoko³y, takie jak NCP (NetWare Core Protocol), pozwalaj±cy na wspó³dzielenie plików i drukarek w sieci IPX, czy SAP (Service Advertisement Protocol) daj±cy hostom w sieci Novell wiedzê o us³ugach oferowanych przez poszczególne hosty.
Tabela 15-1 pokazuje powi±zanie pomiêdzy zestawami protoko³ów XNS, Novell i TCP/IP pod wzglêdem funkcjonalno¶ci. Powi±zania s± jedynie przybli¿one, ale powinny pomóc zrozumieæ, o co chodzi, gdy bêdziemy siê dalej odwo³ywaæ do tych protoko³ów.
Tabela 15-1.?Powi±zania miêdzy protoko³ami XNS, Novell i TCP/IP
XNS	Novell	TCP/IP	Funkcje
IDP	IPX	UDP/IP	Bezpo³±czeniowe i zawodne przesy³anie danych.
SPP	SPX	TCP	Po³±czeniowe i niezawodne przesy³anie danych.
	NCP	NFS	Us³ugi plikowe.
	RIP	RIP	Wymiana informacji o rutingu.
	SAP		Wymiana informacji o dostêpno¶ci us³ugi.
IPX i Linux
Alan Cox jako pierwszy opracowa³ obs³ugê protoko³u IPX w j±drze Linuksa w 1995 roku*. Na pocz±tku przydawa³o siê to w zasadzie tylko do rutowania datagramów IPX. Od tego czasu inni ludzie, g³ównie Greg Page, rozbudowali tê us³ugê**. Greg stworzy³ narzêdzia do konfiguracji IPX-a, które wykorzystamy w tym rozdziale do konfigurowania naszych interfejsów. Volker Lendecke opracowa³ obs³ugê systemu plików NCP, co umo¿liwi³o montowanie w Linuksie wolumenów z pod³±czonych do sieci serwerów plików NetWare***. Stworzy³ równie¿ narzêdzia, które pozwalaj± drukowaæ do i z Linuksa. Ales Dryak i Martin Stover niezale¿nie opracowali demony serwera plików NCP dla Linuksa, które pozwala³y klientom sieci NetWare montowaæ katalogi linuksowe wyeksportowane jako wolumeny NCP, podobnie jak demon NFS pozwala Linuksowi na udostêpnianie klientom systemów plików przez protokó³ NFS*. Firma Caldera Systems Inc. oferuje komercyjnego i w pe³ni licencjonowanego klienta i serwer NetWare obs³uguj±ce najnowsze standardy firmy Novell, w³±cznie z obs³ug± us³ug katalogowych NetWare (NetWare Directory Services -  NDS).
Obecnie Linux obs³uguje szeroki zakres us³ug, które umo¿liwiaj± integrowanie systemów z istniej±cymi sieciami opartymi na Novellu.
Wsparcie Caldery
Choæ w tym rozdziale nie omawiamy szczegó³owo wsparcia Caldery dla NetWare, wa¿niejsze jest to, ¿e w ogóle o tym mówimy. Firma Caldera zosta³a za³o¿ona przez Raya Noorda, który wcze¶niej by³ dyrektorem naczelnym firmy Novell. Obs³uga NetWare przez Calderê jest produktem komercyjnym i w pe³ni serwisowanym przez firmê Caldera. Jest to czê¶æ ich firmowej dystrybucji Linuksa o nazwie Caldera OpenLinux. Rozwi±zania Caldery s± idealnym sposobem na wprowadzenie Linuksa do ¶rodowisk, które wymagaj± zarówno wsparcia komercyjnego, jak i mo¿liwo¶ci integracji z istniej±cymi lub nowymi sieciami Novell.
Wsparcie Caldery dla NetWare jest w pe³ni licencjonowane przez firmê Novell, co daje du¿± pewno¶æ, ¿e produkty obu firm bêd± ze sob± wspó³pracowa³y. Dwa wyj±tki od tej regu³y to: tryb "pure IP" dla klienta oraz serwer NDS (¿adna z tych opcji nie by³a dostêpna w czasie pisania tej ksi±¿ki). Dostêpne s± natomiast zarówno klient, jak i serwer NetWare. Istnieje tak¿e zestaw narzêdzi, u³atwiaj±cych zarz±dzanie nie tylko serwerami NetWare opartymi na Linuksie, ale tak¿e rzeczywistymi serwerami Novell Netware, a to dziêki du¿ym mo¿liwo¶ciom jêzyków skryptowych Uniksa. Wiêcej informacji na temat Caldery mo¿na znale¼æ na ich witrynie internetowej**.
Wiêcej na temat wsparcia NDS-u
W 4. wersji systemu NetWare firma Novell wprowadzi³a now± funkcjê o nazwie us³ugi katalogowe NetWare (NDS). Specyfikacja NDS-u nie jest dostêpna bez specjalnej umowy, co ogranicza rozwój darmowej obs³ugi tego systemu. Jedynie pakiet ncpfs od wersji 2.2.0, który omówimy pó¼niej, obs³uguje NDS. Zosta³ on opracowany na zasadzie odwrotnej analizy (ang. reverse engineering)  protoko³u NDS. Wsparcie to wydaje siê dzia³aæ, ale wci±¿ jest oficjalnie uznawane za eksperymentalne. Z serwerami NetWare 4 mo¿esz u¿ywaæ narzêdzi nie-NDS-owych, pracuj±cych w "trybie emulacji bindery".
Oprogramowanie Caldery w pe³ni obs³uguje NDS, poniewa¿ ich implementacja ma licencjê firmy Novell. Ta implementacja nie jest jednak bezp³atna. A wiêc nie masz dostêpu do kodu ¼ród³owego i nie bêdziesz w stanie dowolnie kopiowaæ i dystrybuowaæ tego oprogramowania.
Konfigurowanie j±dra do obs³ugi IPX-a i NCPFS
Konfigurowanie j±dra do obs³ugi protoko³u IPX i systemu plików NCP jest proste. Polega na wybraniu odpowiednich opcji j±dra w czasie jego kompilacji. Tak jak dzieje siê z wieloma innymi sk³adnikami j±dra, elementy IPX i NCPFS mog± byæ albo wbudowane w j±dro, albo skompilowane w postaci modu³ów i ³adowane w razie potrzeby poleceniem insmod.
Nale¿y wybraæ poni¿sze opcje, je¿eli chce siê mieæ w Linuksie obs³ugê protoko³u IPX i rutingu:

General setup --->
   [*] Networking support

Networking options --->
   <*> The IPX protocol

Network device support --->
   [*] Ethernet (10 or 100Mbit)
      ... and appropriate Ethernet device drivers

Gdyby¶ chcia³, ¿eby Linux obs³ugiwa³ system plików NCP, tak by mo¿na by³o montowaæ zdalne wolumeny NetWare, musia³by¶ dodatkowo wybraæ te opcje:

Filesystems --->
   [*] /proc filesystem support
   <*> NCP filesystem support (to mount NetWare volumes)

Gdy skompilujesz i zainstalujesz nowe j±dro, jeste¶ gotów do pracy z IPX-em.
Konfigurowanie interfejsów IPX
Tak jak w TCP/IP, musisz skonfigurowaæ swoje interfejsy IPX, zanim bêdziesz móg³ ich u¿ywaæ. Protokó³ IPX ma kilka wyj±tkowych wymagañ. Z tego powodu zosta³ stworzony zestaw narzêdzi konfiguracyjnych. Bêdziemy ich u¿ywali do konfigurowania naszych interfejsów IPX i rutingu.
Urz±dzenia sieciowe obs³uguj±ce IPX
Protokó³ IPX zak³ada, ¿e hosty, które mog± wymieniaæ datagramy bez rutowania, nale¿± do tej samej sieci IPX. Wszystkie hosty nale¿±ce do jednego segmentu Ethernet nale¿± do tej samej sieci IPX. Podobnie (ale mniej intuicyjnie), oba hosty obs³uguj±ce ³±cze szeregowe oparte na PPP musz± nale¿eæ do sieci IPX, która sama jest ³±czem szeregowym. W ¶rodowisku Ethernet istnieje szereg ró¿nych typów ramek, które mog± byæ u¿ywane do przenoszenia datagramów IPX. Typy ramek reprezentuj± ró¿ne protoko³y Ethernet i opisuj± ró¿ne sposoby przenoszenia wielu protoko³ów w tej samej sieci Ethernet. Najczê¶ciej bêdziesz siê spotyka³ z ramkami 802.2 i ethernet_II. Wiêcej o typach ramek powiemy w nastêpnym podrozdziale.
Urz±dzenia sieciowe Linuksa, które obs³uguj± obecnie protokó³ IPX, to Ethernet i PPP. Interfejsy Ethernet i PPP musz± byæ aktywne, zanim nast±pi ich konfiguracja do pracy z protoko³em IPX. Zwykle kartê Ethernet konfigurujesz z obs³ug± zarówno IP, jak i IPX-a, a wiêc urz±dzenie ju¿ istnieje. Ale je¿eli chcesz korzystaæ tylko z sieci IPX, musisz zmieniæ status urz±dzenia Ethernet, u¿ywaj±c polecenia ifconfig w nastêpuj±cy sposób:

# ifconfig eth0 up
Narzêdzia do konfiguracji interfejsu IPX
Greg Page opracowa³ zestaw narzêdzi konfiguracyjnych dla interfejsów IPX. S± one rozpowszechniane w postaci pakietów w nowoczesnych dystrybucjach Linuksa, ale mo¿na je tak¿e uzyskaæ w postaci ¼ród³owej z anonimowego o¶rodka FTP znajduj±cego siê pod adresem http://metalab.unc.edu w pliku /pub/Linux/system/filesystems/ncpfs/ipx.tgz.
Narzêdzia IPX s± zwykle uruchamiane w czasie startu systemu z pliku rc. Twoja dystrybucja mo¿e to ju¿ robiæ, je¿eli zainstalowa³e¶ oprogramowanie w postaci pakietów.
Polecenie ipx_configure
Ka¿dy interfejs IPX musi wiedzieæ, do której sieci IPX nale¿y i jakiego typu ramki ma u¿ywaæ dla protoko³u IPX. Ka¿dy host obs³uguj±cy IPX ma przynajmniej jeden interfejs, którego reszta sieci bêdzie u¿ywa³a do komunikacji z nim. Jest to tak zwany interfejs podstawowy (ang. primary interface). Obs³uga IPX-a w j±drze Linuksa pozwala na automatyczne konfigurowanie tych parametrów. Polecenie ipx_configure w³±cza lub wy³±cza tê funkcjê automatycznej konfiguracji.
Polecenie ipx_configure wywo³ane bez argumentów wy¶wietla aktualne ustawienia znaczników automatycznej konfiguracji:

# ipx_configure
Auto Primary Select is OFF
Auto Interface Create is OFF

Oba znaczniki (Auto Primary i Auto Interface) domy¶lnie s± wy³±czone. Aby je ustawiæ i w³±czyæ automatyczn± konfiguracjê, po prostu podajesz w wywo³aniu nastêpuj±ce argumenty:

# ipx_configure --auto_interface=on --auto_primary=on

Gdy argument --auto_primary ma warto¶æ on, j±dro automatycznie zapewnia, ¿e przynajmniej jeden aktywny interfejs dzia³a jako interfejs podstawowy dla hosta.
Gdy argument --auto_interface ma warto¶æ on, sterownik IPX j±dra bêdzie nas³uchiwa³ wszystkich ramek odebranych na aktywnym interfejsie sieciowym, i bêdzie próbowa³ ustaliæ adres sieci IPX oraz u¿ywany typ ramki.
Mechanizm automatycznego wykrywania dzia³a bez zarzutu w poprawnie zarz±dzanych sieciach. Czasem administratorzy sieci id± na skróty i ³ami± regu³y, co mo¿e spowodowaæ problemy w kodzie automatycznego wykrywania w Linuksie. Najczê¶ciej dochodzi do nich, gdy jedna sieæ IPX jest skonfigurowana do pracy w tej samej sieci Ethernet z wieloma typami ramek. Jest to konfiguracja nieprawid³owa technicznie, gdy¿ host 802.2 nie mo¿e bezpo¶rednio komunikowaæ siê z hostem Ethernet-II i dlatego nie mog± one byæ w tej samej sieci IPX. Oprogramowanie sieciowe IPX Linuksa nas³uchuje na segmencie wys³anych w nim datagramów IPX. Na ich podstawie próbuje zidentyfikowaæ u¿ywane adresy sieci i zwi±zane z nimi typy ramek. Je¿eli ten sam adres sieci jest u¿ywany z wieloma typami ramek lub na wielu interfejsach, kod Linuksa wykrywa kolizjê adresów sieci i nie jest w stanie ustaliæ poprawnego typu ramki. Dowiesz siê, ¿e tak siê sta³o, je¿eli w logu systemowym zobaczysz nastêpuj±ce komunikaty:

IPX: Network number collision 0x3901ab00
eth0 etherII and eth0 802.3

Je¿eli napotkasz taki problem, wy³±cz funkcjê automatycznego wykrywania i skonfiguruj interfejs rêcznie, u¿ywaj±c polecenia ipx_interface, które opisujemy poni¿ej.
Polecenie ipx_interface
Polecenie ipx_interface jest u¿ywane do rêcznego dodawania, modyfikacji i usuwania protoko³u IPX z istniej±cego urz±dzenia sieciowego. Je¿eli nie zadzia³a w³a¶nie opisana metoda automatycznego wykrywania konfiguracji lub je¿eli nie chcesz pozostawiaæ konfiguracji interfejsu przypadkowi, powiniene¶ u¿yæ ipx_interface. Pozwala ci ono na podanie adresu sieci IPX, statusu interfejsu postawowego i typu ramki IPX, która bêdzie u¿ywana przez urz±dzenie sieciowe. Je¿eli tworzysz wiele interfejsów IPX, dla ka¿dego z nich musisz wykonaæ polecenie ipx_interface.
Sk³adnia tego polecenia przy dodawaniu IPX do istniej±cego urz±dzenia jest prosta i najlepiej wyja¶ni j± przyk³ad. Dodajmy IPX do istniej±cego urz±dzenia Ethernet:

# ipx_interface add -p eth0 etherII 0x32a10103

Oto znaczenie parametrów:
-p

Ten parametr okre¶la, ¿e ten interfejs powinien byæ interfejsem podstawowym. Jest on opcjonalny.
eth0

Jest to nazwa urz±dzenia sieciowego, do którego dodajemy obs³ugê IPX.
etherII

Ten parametr to typ ramki Ethernet II. Mo¿e tu wyst±piæ równie¿ warto¶æ: 802.2, 802.3 lub SNAP.
0x32a10103

To jest adres sieci IPX, do której nale¿y interfejs.
Poni¿sze polecenie usuwa obs³ugê IPX z interfejsu:

# ipx_interface del eth0 etherII

Aby wy¶wietliæ aktualn± konfiguracjê protoko³u IPX na urz±dzeniu sieciowym, u¿yj:

# ipx_interface check eth0 etherII

Polecenie ipx_interface jest wyja¶nione dok³adniej na stronie podrêcznika elektronicznego.
Konfigurowanie rutera IPX
Przypomnij sobie z naszego krótkiego omówienie na temat protoko³ów u¿ywanych w ¶rodowisku IPX, ¿e IPX jest protoko³em rutowalnym i ¿e do rozg³aszania informacji o rutingu jest u¿ywany protokó³ RIP (Routing Information Protocol). IPX-owa wersja RIP-a jest podobna do wersji IP. Dzia³aj± dok³adnie w ten sam sposób. Co jaki¶ czas rutery rozg³aszaj± zawarto¶æ swoich tablic rutingu, a inne rutery "ucz± siê" jej przez nas³uchiwanie i integruj± otrzymane informacje. Hosty musz± tylko znaæ swoj± sieæ lokaln± i wysy³aæ datagramy do wszystkich innych sieci przez swój lokalny ruter. Ruter jest odpowiedzialny za przenoszenie tych datagramów i przekazywanie ich do nastêpnego hopa na trasie.
W ¶rodowisku IPX w sieci musi byæ rozg³aszana druga klasa informacji. Protokó³ og³aszaj±cy us³ugi (Service Advertisement Protocol - SAP) przenosi informacje o rodzajach us³ug udostêpnianych na poszczególnych hostach w sieci. To w³a¶nie protokó³ SAP pozwala u¿ytkownikom na przyk³ad na uzyskanie listy plików lub serwerów drukowania istniej±cych w sieci. Protokó³ SAP dzia³a dziêki hostom, które co jaki¶ czas rozg³aszaj± listê udostêpnianych us³ug. Rutery sieciowe IPX zbieraj± te informacje i propaguj± je w sieci wraz z informacj± o rutingu. Aby ruter móg³ zostaæ uznany za zgodny z protoko³em IPX, musi og³aszaæ zarówno informacje z RIP-a, jak i z SAP-a.
Tak jak IP, tak¿e IPX na Linuksie ma demona rutingu o nazwie ipxd, który realizuje zadania zwi±zane z zarz±dzaniem rutingiem. I znów analogicznie do IP, w rzeczywisto¶ci to j±dro obs³uguje przekazywanie datagramów pomiêdzy interfejsami sieciowymi IPX, ale w oparciu o zestaw regu³ nazywany tablic± rutingu IPX. Demon ipxd pilnuje aktualno¶ci tego zestawu regu³. Nas³uchuje ka¿dego z aktywnych interfejsów sieciowych i analizuje informacje, ¿eby wiedzieæ, kiedy jest wymagana zmiana w rutingu. Demon ipxd odpowiada równie¿ na ¿±dania hostów pod³±czonych bezpo¶rednio do sieci, które potrzebuj± informacji o rutingu.
Polecenie ipxd jest dostêpne w postaci pakietu w niektórych dystrybucjach oraz w postaci ¼ród³owej w anonimowym o¶rodku FTP pod adresem http://metalab.unc.edu/ w pliku /pub/Linux/system/filesystems/ncpfs/ipxripd-x.xx.tgz.
Demon ipxd nie wymaga konfiguracji. Wystarczy go uruchomiæ, aby automatycznie realizowa³ ruting pomiêdzy skonfigurowanymi urz±dzeniami IPX. Przed uruchomieniem ipxd trzeba koniecznie upewniæ siê, ¿e urz±dzenia IPX s± skonfigurowane poprawnie poleceniem ipx_interface. Automatyczne wykrywanie mo¿e dzia³aæ, ale gdy wykonujesz ruting, lepiej nie polegaæ na przypadku i rêcznie skonfigurowaæ interfejsy, co zaoszczêdzi ci bolesnego rozwi±zywania trudnych problemów z rutingiem. Co 30 sekund ipxd ponownie wykrywa wszystkie lokalnie pod³±czone sieci IPX i automatycznie nimi zarz±dza. Pozwala to na zarz±dzanie sieciami zbudowanymi na interfejsach, które nie utrzymuj± aktywno¶ci przez ca³y czas, jak interfejsy PPP.

Demon ipxd zwykle jest uruchamiany w czasie startu systemu ze skryptu rc w nastêpuj±cy sposób:

# /usr/sbin/ipxd

Nie jest potrzebny znak &, poniewa¿ ipxd sam domy¶lnie przejdzie do trybu t³a. Choæ demon ipxd najbardziej przydaje siê na komputerach dzia³aj±cych jako rutery IPX, bywa te¿ u¿yteczny na hostach pod³±czonych do segmentów, w których znajduje siê wiele ruterów. Je¶li podasz parametr -p, ipxd bêdzie dzia³a³ biernie, nas³uchuj±c informacji o rutingu przychodz±cych z segmentu i uaktualniaj±c tablice rutingu, ale nie bêdzie rozsy³a³ ¿adnych informacji. W ten sposób host mo¿e uaktualniaæ tablice rutingu i nie ¿±daæ za ka¿dym razem informacji o trasie, gdy chce siê po³±czyæ z hostem zdalnym.
Statyczny ruting IPX za pomoc± polecenia ipx_route
Istniej± sytuacje, kiedy trzeba ustawiæ ruting IPX "na sztywno". Robimy to podobnie jak dla IP. Polecenie ipx_route zapisuje trasê do tablicy rutingu IPX bez potrzeby uczenia siê jej od demona ipxd. Sk³adnia rutingu jest bardzo prosta (poniewa¿ IPX nie obs³uguje podsieci) i wygl±da tak:

# ipx_route add 203a41bc 31a10103 00002a02b102

Pokazane polecenie dodaje trasê do zdalnej sieci IPX 203a41bc przez ruter naszej sieci lokalnej 31a10103 o adresie wêz³a 00002a02b102.
Adres wêz³a rutera mo¿esz znale¼æ, robi±c prawdziwy u¿ytek z polecenia tcpdump z argumentem -e, które wy¶wietla nag³ówki poziomu ³±cza i wska¿e ruch z rutera. Je¿eli ruterem jest komputer linuksowy, mo¿esz po prostu u¿yæ polecenia ifconfig, by wy¶wietliæ adres.
Za pomoc± polecenia ipx_route mo¿esz te¿ usun±æ trasê:

# ipx_route del 203a41bc

Trasy aktywne w j±drze mo¿esz wy¶wietliæ, zagl±daj±c do pliku /proc/net/ipx_route. Nasza dotychczasowa tablica rutingu wygl±da tak:

# cat ipx_route
Network    Router_Net    Router_Node
203A41BC   31A10103      00002a02b102
31A10103   Directly      Connected

Trasa do sieci 31A10103 zosta³a stworzona automatycznie przy konfiguracji interfejsu IPX. Ka¿da z naszych sieci lokalnych bêdzie reprezentowana przez podobny wpis w pliku /proc/net/ipx_route. Oczywi¶cie je¿eli nasza maszyna dzia³a jako ruter, musi mieæ jeszcze przynajmniej jeden interfejs.
Wewnêtrzne sieci IPX i ruting
Hosty IPX o wiêcej ni¿ jednym interfejsie maj± unikalne po³±czenie adresów sieci/wêz³a dla ka¿dego ze swoich interfejsów. Aby pod³±czyæ siê do takiego hosta, mo¿esz u¿yæ dowolnej kombinacji adresów sieci/wêz³a. Gdy SAP og³asza us³ugi, podaje adres sieci/wêz³a zwi±zany z oferowan± us³ug±. Na ho¶cie o wielu interfejsach oznacza to, ¿e jeden z interfejsów musi byæ wybrany jako ten, który rozg³asza. Do tego s³u¿y znacznik interfejsu podstawowego, o którym mówili¶my wcze¶niej. Jest jednak pewien problem: trasa do tego interfejsu nie zawsze mo¿e byæ tras± optymaln±, a je¿eli wyst±pi awaria sieci, która odizoluje tê sieæ od reszty sieci, host stanie siê nieosi±galny, nawet je¿eli istniej± inne mo¿liwe trasy do innych interfejsów. Inne trasy nigdy nie s± znane innym hostom, poniewa¿ nigdy nie s± rozg³aszane i j±dro nie ma mo¿liwo¶ci dowiedzieæ siê, ¿e powinno wybraæ inny interfejs podstawowy. Aby unikn±æ tego problemu, zosta³ wymy¶lony mechanizm, który pozwala, aby host IPX by³ znany pod jednym, niezale¿nym od trasy adresem sieci/wêz³a wykorzystywanym do celów rozg³aszania pakietów SAP. To rozwi±zuje nasz problem, gdy¿ ten nowy adres jest dostêpny wszystkim interfejsom hosta i jest jedynym adresem rozg³aszanym przez SAP.
Aby zilustrowaæ problem i jego rozwi±zanie, rysunek 15-1 pokazuje serwer pod³±czony do dwóch sieci IPX, z których jedna ma sieæ wewnêtrzn±. Host na rysunku 15-1 definiuje jeden ze swoich interfejsów jako interfejs podstawowy, za³ó¿my 0000001a:0800000010aa. To on zostanie og³oszony jako punkt dostêpu do us³ugi. Jest to prawid³owe rozwi±zanie dla hostów w sieci 0000001a. Natomiast oznacza, ¿e u¿ytkownicy sieci 0000002c bêd± kierowani przez sieæ, aby dotrzeæ do tego portu, nawet je¿eli port jest bezpo¶rednio pod³±czony do sieci, gdy¿ i tak widz± ten serwer na podstawie tego, co dostali przez protokó³ SAP.
Je¶li takie hosty bêd± mia³y wirtualn± sieæ o wirtualnych adresach hosta konstruowanych w pe³ni programowo, problem zniknie. Sieæ wirtualn± jest najlepiej wyobraziæ sobie jako istniej±c± wewn±trz hosta IPX. Informacje SAP wystarczy wówczas rozg³aszaæ jedynie dla adresu sieci/wêz³a tej sieci wirtualnej. Ta sieæ wirtualna jest nazywana sieci± wewnêtrzn±. Sk±d jednak inne hosty wiedz±, jak dotrzeæ do tej sieci wewnêtrznej? Hosty zdalne trafiaj± do sieci wewnêtrznej przez sieci, do których host jest pod³±czony bezpo¶rednio. Oznacza to, ¿e widzisz wpisy rutingowe odnosz±ce siê do sieci wewnêtrznej hostów obs³uguj±cych wielokrotne interfejsy IPX.
Te trasy powinny byæ optymalnymi trasami dostêpnymi w danej chwili i je¿eli jaka¶ z nich przesta³aby dzia³aæ, ruting automatycznie zosta³by poprowadzony do nastêpnego najlepszego interfejsu i trasy. Na rysunku 15-1 skonfigurowali¶my wewnêtrzn± sieæ IPX o adresie 0x10000010 i u¿yli¶my adresu hosta 00:00:00:00:00:01. Jest to adres naszego interfejsu podstawowego i bêdzie rozg³aszany przez SAP. Nasz ruting bêdzie odzwierciedla³ tê sieæ jako osi±galn± przez który¶ z naszych rzeczywistych portów sieciowych, a wiêc hosty bêd± zawsze u¿ywa³y najlepszej trasy do ³±czenia siê z naszym serwerem.
Aby utworzyæ tak± sieæ wewnêtrzn±, u¿yj polecenia ipx_internal_net znajduj±cego siê w pakiecie narzêdzi IPX Grega Page'a. Na przyk³ad tak:

# ipx_internal_net add 10000010 000000000001

To polecenie tworzy sieæ wewnêtrzn± IPX o adresie 10000010 i adresie wêz³a 000000000001. Adres sieci, tak jak ka¿dy inny adres sieci IPX, musi byæ unikalny w obrêbie sieci. Adres wêz³a jest zupe³nie dowolny, gdy¿ zwykle w sieci jest tylko jeden wêze³. Ka¿dy host mo¿e mieæ tylko jedn± sieæ wewnêtrzn± IPX i je¿eli jest ona skonfigurowana, zawsze bêdzie sieci± podstawow±.

Rysunek 15-1. Wewnêtrzna sieæ IPX
http://www.rm.com.pl/upgr/lpas/15-01.tif

Aby usun±æ sieæ wewnêtrzn± IPX, u¿yj:

# ipx_internal_net del

Wewnêtrzna sieæ IPX absolutnie nie jest potrzebna, je¿eli twój host nie udostêpnia ¿adnych us³ug i ma tylko jeden aktywny interfejs IPX.

Montowanie zdalnych wolumenów NetWare
IPX jest powszechnie u¿ywany do montowania wolumenów NetWare w systemie plików Linuksa. Pozwala to na oparte na plikach wspó³dzielenie danych pomiêdzy innymi systemami operacyjnymi i Linuksem. Volker Lendecke opracowa³ klienta NCP dla Linuksa i pakiet narzêdzi, które umo¿liwiaj± wspó³dzielenie danych.
W ¶rodowisku NFS do montowania zdalnego systemu plików u¿yliby¶my polecenia mount. Niestety system plików NCP ma szczególne wymagania, które powoduj±, ¿e jego wbudowanie w normalne polecenie mount jest nierealne. Linux posiada polecenie ncpmount, którego u¿yjemy zamiast mount. Polecenie ncpmount jest jednym z narzêdzi z pakietu ncpfs Volkera, dostêpnego w wiêkszo¶ci najnowszych dystrybucji lub w postaci ¼ród³owej pod adresem ftp.gwdg.de w katalogu /pub/linux/misc/ncpfs/. W czasie pisania tej ksi±¿ki obowi±zywa³a wersja 2.2.0.
Zanim bêdziesz montowaæ wolumeny NetWare, musisz mieæ poprawnie skonfigurowany interfejs sieciowy IPX (zgodnie z tym, co opisano wcze¶niej). Nastêpnie musisz znaæ szczegó³y logowania do serwera NetWare, którego wolumeny chcesz montowaæ. Potrzebne bêdzie ID u¿ytkownika i has³o. Poza tym musisz wiedzieæ, który wolumen chcesz zamontowaæ i w jakim katalogu lokalnym.
Prosty przyk³ad ncpmount
Prosty przyk³ad zastosowania ncpmount wygl±da tak:

# ncpmount -S ALES_F1 -U rick -P d00-b-gud /mnt/brewery

To polecenie montuje wszystkie wolumeny z serwera ALES_F1 w katalogu /mnt/brewery, wykorzystuj±c u¿ytkownika NetWare rick z has³em d00-b-gud.
Polecenie ncpmount zwykle ma prawo setuid root i dlatego mo¿e byæ u¿ywane przez ka¿dego u¿ytkownika Linuksa. Domy¶lnie u¿ytkownik jest w³a¶cicielem po³±czenia i tylko on lub root bêdzie móg³ je odmontowaæ.
NetWare korzysta z pojêcia wolumenu, które jest analogiczne do systemu plików w Linuksie. Wolumen NetWare stanowi logiczn± reprezentacjê systemu plików NetWare, który mo¿e byæ pojedyncz± partycj± dyskow± podzielon± na wiele partycji logicznych. Domy¶lnie NCPFS w Linuksie traktuje wolumeny jako podkatalogi wiêkszego logicznego systemu plików reprezentowanego przez ca³y serwer plików. Polecenie ncpmount powoduje, ¿e ka¿dy wolumen NetWare serwera plików jest widoczny jako podkatalog w punkcie montowania. Jest to wygodne, je¿eli chcesz mieæ dostêp do ca³ego serwera, ale gdyby¶ chcia³ ponownie wyeksportowaæ te katalogi za pomoc± NFS-a, niestety nie bêdziesz w stanie tego zrobiæ ze skomplikowanych powodów technicznych. Za chwilê omówimy inne, bardziej z³o¿one rozwi±zania tego problemu.
Polecenie ncpmount w szczegó³ach
Polecenie ncpmount ma wiele opcji wiersza poleceñ, które pozwalaj± na du¿± elastyczno¶æ w sposobie montowania NCP. Najwa¿niejsze z nich opisano w tabeli 15-2.

Tabela 15-2.  Argumenty polecenia ncpmount
Argument                                       Opis
-S serwer
Nazwa serwera plików, z którego bêd± montowane wolumeny.
-U nazwa_u¿yt
ID u¿ytkownika NetWare u¿ywane do logowania do serwera plików.
-P has³o
Has³o u¿ywane do zalogowania siê do systemu NetWare.
-n
Ta opcja musi byæ u¿yta w przypadku u¿ytkownika NetWare, który nie posiada has³a.
-C
Ten argument wy³±cza automatyczn± konwersjê hase³ na pisane du¿ymi literami.
-c nazwa_klienta
Ta opcja pozwala ci podaæ, kto jest w³a¶cicielem po³±czenia z serwerem plików. Jest ona u¿yteczna przy drukowaniu w NetWare, które omówimy szczegó³owo za chwilê.
-u uid
ID u¿ytkownika w Linuksie, który powinien byæ pokazany jako w³a¶ciciel plików w zamontowanym katalogu. Je¿eli nie zostanie podany, domy¶lnie bêdzie to u¿ytkownik, który wywo³a³ polecenie ncpmount.
-g gid
ID grupy w Linuksie, która powinna byæ pokazana jako w³a¶ciciel plików w zamontowanym katalogu. Je¿eli nie zostanie podana, domy¶lnie bêdzie to ID grupy, do której nale¿y u¿ytkownik wywo³uj±cy polecenie ncpmount.
-f prawa_dost_plików
Ta opcja pozwala na ustawienie praw dostêpu, jakie powinny mieæ pliki w zamontowanym katalogu. Warto¶ci powinny byæ okre¶lane ósemkowo, np. 0664. Rzeczywiste prawa dostêpu s± obliczane przez zamaskowanie praw podanych w tej opcji z prawami u¿ytkownika NetWare do plików na serwerze. Musisz mieæ prawa na serwerze oraz musisz podaæ prawa w tej opcji, aby uzyskaæ dostêp do pliku. Domy¶lna warto¶æ jest ustalana na podstawie aktualnej warto¶ci umask.
-d prawa_dost_katalogów
Ta opcja pozwala na ustawienie praw dostêpu, jakie powinny mieæ katalogi w zamontowanym katalogu. Dzia³a w taki sam sposób jak opcja -f, z t± ró¿nic±, ¿e domy¶lne prawa dostêpu s± ustalane na podstawie aktualnej warto¶ci umask. Prawa wykonywania s± przydzielane wszêdzie tam, gdzie istniej± prawa odczytu.
-V wolumen
Ta opcja pozwala ci podaæ nazwê jednego wolumenu NetWare, który chcesz zamontowaæ w punkcie montowania. W przeciwnym razie montowane s± wszystkie wolumeny. Ta opcja jest potrzebna, je¿eli chcesz ponownie wyeksportowaæ przez NFS zamontowane wolumeny NetWare.
-t czas_oczekiwania
Ta opcja pozwala na okre¶lenie, ile czasu klient NCPFS czeka na odpowied¼ z serwera. Domy¶lna warto¶æ to 60 milisekund. Czas oczekiwania jest podawany w setnych czê¶ciach sekundy. Je¿eli napotkasz na jakie¶ problemy ze stabilno¶ci± wolumenów NCP, powiniene¶ zwiêkszyæ tê warto¶æ.
-r licznik_ponownych_
prób

Kod klienta NCP próbuje wiele razy wysy³aæ datagramy do serwera, zanim stwierdzi, ¿e po³±czenie jest nieaktywne. Ta opcja pozwala zmieniæ domy¶ln± liczbê prób, która wynosi 5.
Ukrywanie twojego has³a u¿ytkownika systemu NetWare
Umieszczanie has³a w wierszu poleceñ, jak to robili¶my w poleceniu ncpmount, stwarza pewne zagro¿enie. Inni u¿ytkownicy, którzy pracuj± równocze¶nie z tob±, mogliby zobaczyæ has³o, gdyby uruchomili takie programy, jak top czy ps. Aby zmniejszyæ ryzyko podejrzenia has³a NetWare, ncpmount mo¿e odczytywaæ pewne szczegó³y z pliku znajduj±cego siê w katalogu macierzystym u¿ytkownika. W tym pliku u¿ytkownik wpisuje swoj± nazwê i has³o z ni± zwi±zane, niezbêdne do zalogowania siê do serwerów plików, których wolumeny chce montowaæ. Plik nosi nazwê ~/.nwclient i musi mieæ prawa dostêpu 0600, ¿eby nikt nie móg³ go przeczytaæ. Je¿eli prawa dostêpu s± niepoprawne, polecenie ncpmount nie pozwoli wykorzystaæ tego pliku.
Plik ma bardzo prost± sk³adniê. Wszelkie wiersze rozpoczynaj±ce siê od znaku # s± traktowane jako komentarze i s± ignorowane. Pozosta³e wiersze maj± nastêpuj±c± sk³adniê:

serwer_plików/u¿ytkownik has³o

serwer_plików to nazwa serwera plików zawieraj±cego wolumeny, które chcesz montowaæ. u¿ytkownik to nazwa konta u¿ytkownika na serwerze NetWare. Pole has³o jest opcjonalne. Je¿eli nie zostanie podane, polecenie ncpmount pyta o has³o w czasie montowania wolumenu. Je¿eli w polu has³o zostanie podany znak -, konto nie ma has³a. Jest to równowa¿ne argumentowi -n wiersza poleceñ.
W pliku mo¿esz umie¶ciæ dowoln± liczbê wierszy, ale pole serwera plików musi byæ unikalne. Pierwszy wpis w pliku ma szczególne znaczenie. Polecenie ncpmount wykorzystuje argument wiersza poleceñ -S, aby ustaliæ, którego wpisu z pliku ~/.nwclient ma u¿ywaæ. Je¿eli serwer nie zostanie okre¶lony przez opcjê -S, domy¶lnie brany jest pierwszy serwer z pliku ~/.nwclient i jest traktowany jako serwer preferowany. Na pierwszej pozycji w pliku powiniene¶ wiêc umie¶ciæ ten serwer plików, którego wolumeny montujesz najczê¶ciej.
Bardziej skomplikowany przyk³ad ncpmount
Przyjrzyjmy siê bardziej skomplikowanemu przyk³adowi ncpmount wykorzystuj±cemu w³a¶nie opisane funkcje. Po pierwsze, napiszmy prosty plik ~/.nwclient:

# Szczegó³y logowania do serwera NetWare dla wirtualnego 
# browaru i winiarni
#
# Konto browaru
ALES_F1/MATT staoicl
#
# Konto winiarni
REDS01/MATT staoicl
#

Aby upewniæ siê, ¿e prawa dostêpu s± poprawne, wykonaj:

# chmod 600 ~/.nwclient

Zamontujmy jeden wolumen z serwera winiarni we wspó³dzielonym podkatalogu, podaj±c prawa dostêpu do pliku i katalogu, tak by inni mogli korzystaæ z tych danych:

$ ncpmount -S REDS01 -V RESEARCH -f 0664 -d 0775 /usr/share/winery/data/

To polecenie w po³±czeniu z pokazanym plikiem ~/.nwclient montuje wolumen RESEARCH z serwera REDS01 w katalogu /usr/share/winery/data/, u¿ywaj±c konta MATT i pobieraj±c has³o z pliku ~/.nwclient. Prawa dostêpu do zamontowanych plików to 0664, a do katalogów - 0775.
Kilka innych narzêdzi IPX
Pakiet ncpfs zawiera szereg przydatnych narzêdzi, których do tej pory nie opisali¶my. Wiele z nich na¶laduje narzêdzia dostarczane z systemem NetWare. W tym podrozdziale przyjrzymy siê najbardziej przydatnym z nich.
Lista serwerów
Polecenie slist pokazuje wszystkie serwery plików dostêpne dla hosta. Informacje s± w rzeczywisto¶ci pobierane z najbli¿szego rutera IPX. W za³o¿eniu polecenie mia³o zapewne pokazaæ u¿ytkownikom, z jakich serwerów mo¿na montowaæ wolumeny. Sta³o siê jednak przydatnym narzêdziem diagnostycznym, które pozwala administratorom sieci obserwowaæ, jak s± rozg³aszane informacje SAP:

$ slist
NPPWR-31-CD01         23A91330   000000000001
V242X-14-F02          A3062DB0   000000000001
QITG_284ELI05_F4      78A20430   000000000001
QRWMA-04-F16          B2030D6A   000000000001
VWPDE-02-F08          35540430   000000000001
NMCS_33PARK08_F2      248B0530   000000000001
NCCRD-00-CD01         21790430   000000000001
NWGNG-F07             53171D02   000000000001
QCON_7TOMLI04_F7      72760630   000000000001
W639W-F04             D1014D0E   000000000001
QCON_481GYM0G_F1      77690130   000000000001
VITG_SOE-MAIL_F4R     33200C30   000000000001

slist nie przyjmuje ¿adnych argumentów. Wynik pokazuje nazwê serwera plików, adres sieci IPX i adres hosta.
Wysy³anie komunikatów do u¿ytkowników NetWare
NetWare obs³uguje mechanizm wysy³ania komunikatów do zalogowanych u¿ytkowników. Polecenie nsend implementuje tê funkcjê w Linuksie. Aby wys³aæ komunikat, musisz byæ zalogowany do serwera, a wiêc musisz podaæ w wierszu poleceñ nazwê serwera, szczegó³y dotycz±ce swojego konta, docelowego u¿ytkownika oraz komunikat do wys³ania:

# nsend -S vbrew_f1 -U gary -P j0yj0y supervisor "Chod¼my na piwo zanim zrobimy kolejki drukowania!"

U¿ytkownik o nazwie gary wysy³a tu kusz±ce zaproszenie do osoby u¿ywaj±cej konta supervisor na serwerze ALES_F1. Je¿eli nie podamy szczegó³ów, zostanie wykorzystany nasz domy¶lny serwer plików i dane o koncie.
Przegl±danie i operowanie danymi bindery
Ka¿dy serwer plików NetWare posiada bazê informacji o u¿ytkownikach i konfiguracji. Ta baza danych nosi nazwê bindery. Linux posiada zestaw narzêdzi do jej odczytywania, a je¿eli masz prawa u¿ytkownika supervisor na serwerze NetWare, pozwala tak¿e na wstawianie i usuwanie jej elementów. W tabeli 15-3 podajemy listê tych narzêdzi.
Tabela 15-3.  Narzêdzia linuksowe do operacji na bindery
Nazwa polecenia	Opis polecenia
nwfstime	Wy¶wietla lub ustawia czas i datê serwera NetWare.
nwuserlist	Pokazuje u¿ytkowników zalogowanych do serwera NetWare.
nwvolinfo	Wy¶wietla informacje o wolumenach NetWare.
nwbocreate	Tworzy obiekt bindery NetWare.
nwbols	Listuje obiekty bindery NetWare.
nwboprops	Pokazuje w³asno¶ci obiektu bindery NetWare.
nwborm	Usuwa obiekt bindery NetWare.
nwbpcreate	Tworzy w³asno¶æ obiektu bindery NetWare.
nwpbvalues	Drukuje zawarto¶æ w³asno¶ci obiektu bindery NetWare.
nwbpadd	Ustawia warto¶æ w³asno¶ci obiektu bindery NetWare.
nwbprm	Usuwa w³asno¶æ bindery NetWare.
Drukowanie do kolejki NetWare
Pakiet npcfs zawiera ma³e narzêdzie o nazwie nprint, które wysy³a zadania do kolejki drukowania przez po³±czenie NCP NetWare. To polecenie tworzy po³±czenie, o ile takie nie istnieje, i wykorzystuje plik ~/.nwclient, opisany wcze¶niej, by ukryæ nazwê u¿ytkownika i has³o przed w¶cibskimi osobami. Argumenty wiersza poleceñ u¿ywane w procesie logowania s± takie same jak argumenty polecenia ncpmount, a wiêc nie bêdziemy ich tu powtarzaæ. W naszym przyk³adzie omówimy najwa¿niejsze opcje wiersza poleceñ; szczegó³y znajdziesz na stronach podrêcznika elektronicznego nprint(1).
Jedyn± wymagan± opcj± nprint jest nazwa pliku do wydrukowania. Je¿eli nazwa pliku zostanie podana w postaci znaku - lub nie zostanie w ogóle podana, nprint przyjmie zadanie ze standardowego wej¶cia. Najwa¿niejsze opcje nprint to serwer plików i kolejka drukowania, do których chcesz wys³aæ zadanie. Tabela 15-4 zawiera najwa¿niejsze opcje.

Tabela 15-4.  Opcje wiersza poleceñ nprint
Opcja	Opis
-S nazwa_serwera
Nazwa serwera plików NetWare obs³uguj±cego kolejkê drukowania, do której chcesz wys³aæ zadanie. Zwykle wygodnie jest mieæ wpis dotycz±cy serwera w pliku ~/.nwclient. Ta opcja jest obowi±zkowa.
-q nazwa_kolejki
Kolejka drukowania, do której chcesz wys³aæ zadanie. Ta opcja jest obowi±zkowa.
-d opis_zadania
Tekst, który pojawi siê na konsoli drukowania na li¶cie zakolejkowanych zadañ.
-l wiersze
Liczba wierszy do wydrukowania na stronie. Domy¶lnie 66.
-r kolumny
Liczba kolumn do wydrukowania na stronie. Domy¶lnie 80.
-c kopie
Liczba kopii do wydrukowania. Domy¶lnie 1.
Prosty przyk³ad wykorzystuj±cy polecenie nprint wygl±da tak:

$ nprint -S REDS01 -q PSLASER -c 2 /home/matt/ethylene.ps

To polecenie wydrukowa³oby dwie kopie pliku /home/matt/ethylene.ps na drukarce PSLASER pod³±czonej do serwera REDS01 korzystaj±c z konta (nazwy u¿ytkownika i has³a) uzyskanego z pliku ~/.nwclient.
U¿ywanie nprint z demonem drukarki wierszowej
Przypomnij sobie, jak mówili¶my, ¿e opcja -c polecenia ncpmount jest przydatna do drukowania. Teraz wyja¶nimy dlaczego.
Linux zwykle u¿ywa oprogramowania drukarki wierszowej w stylu BSD. Demon drukarki wierszowej (lpd) sprawdza lokalny katalog bufora, szukaj±c w nim skolejkowanych zadañ do wydrukowania. lpd odczytuje nazwê drukarki i inne parametry ze specjalnego pliku bufora i zapisuje dane na drukarkê, opcjonalnie przesy³aj±c je przez filtr w celu zmiany lub wykonania na nich jakich¶ operacji.
Demon lpd wykorzystuje prost± bazê danych /etc/printcap, w której zapisane s± informacje konfiguracyjne, równie¿ o tym, jakie filtry uruchomiæ. lpd zwykle dzia³a z prawami dostêpu specjalnego u¿ytkownika systemowego lp.
nprint mo¿esz skonfigurowaæ jako filtr dla lpd, co pozwoli u¿ytkownikom Linuksa na wysy³anie danych bezpo¶rednio na drukarki zdalne, które s± obs³ugiwane przez serwery plików NetWare. Aby to zrobiæ, u¿ytkownik lp musi mieæ mo¿liwo¶æ wys³ania ¿±dañ NCP do serwera NetWare.
Prostym sposobem na zrobienie tego bez potrzeby tworzenia przez lp w³asnego po³±czenia i logowania siê do serwera jest okre¶lenie lp jako w³a¶ciciela po³±czenia ustalonego przez innego u¿ytkownika. Pe³ny przyk³ad, jak skonfigurowaæ system drukowania Linuksa do obs³ugi zadañ drukowania od klientów Netware, sk³ada siê z trzech etapów:

1. 
Tworzenie skryptu po¶redniego.
Plik /etc/printcap nie pozwala na podawanie filtrom opcji. Dlatego musisz napisaæ prosty skrypt, który wywo³a polecenie wraz z opcjami. Skrypt po¶redni mo¿e wygl±daæ tak:

#!/bin/sh
# p2pslaser - prosty skrypt przekierowuj±cy stdin do kolejki
# PSLASER na serwerze REDS01
#
/usr/bin/nprint -S REDS01 -U stuart -q PSLASER
#

Zapisz skrypt w pliku /usr/local/bin/p2pslaser.
2.
Umieszczenie wpisu w pliku /etc/printcap.
Bêdziemy musieli skonfigurowaæ utworzony skrypt p2pslaser jako filtr wyj¶ciowy w pliku /etc/printcap. Bêdzie to wygl±da³o tak:

pslaser|Postscript Laser Printer hosted by NetWare server:\
:lp=/dev/null:\
:sd=/var/spool/lpd/pslaser:\
:if=/usr/local/bin/p2pslaser:\
:af=/var/log/lp-acct:\
:lf=/var/log/lp-errs:\
:pl#66:\
:pw#80:\
:pc#150:\
:mx#0:\
:sh:
3.
Dodanie opcji -c do polecenia ncpmount.

ncpmount -S REDS01 .... -c lp ....

Lokalny u¿ytkownik stuart musi podaæ u¿ytkownika lp jako w³a¶ciciela po³±czenia, gdy zamontuje zdalny serwer NetWare.
Teraz dowolny u¿ytkownik Linuksa mo¿e podaæ pslaser jako nazwê drukarki przy wywo³aniu lp. Zadanie drukowania zostanie wys³ane do okre¶lonego serwera NetWare i umieszczone w buforze do drukowania.
Zarz±dzanie kolejkami drukowania
Polecenie pqlist pokazuje wszystkie dostêpne dla ciebie kolejki drukowania na danym serwerze. Je¿eli nie podasz serwera w wierszu poleceñ, u¿ywaj±c opcji -S, albo nie podasz nazwy u¿ytkownika czy has³a, zostan± przyjête domy¶lnie wpisy z pliku ~/.nwclient:

# pqlist -S vbrew_f1 -U quest -n
Server: ALES_F1
Print queue name               Queue ID
------------------------------------------------
TEST                          AA02009E
Q2                            EF0200D9
NPI223761_P1                  DA03007C
Q1                            F1060004
I-DATA                        0D0A003B
NPI223761_P3                  D80A0031
Nasz przyk³ad pokazuje listê kolejek drukowania dostêpnych dla u¿ytkownika guest na serwerze ALES_F1*.
Aby obejrzeæ zadania drukowania w kolejce, u¿yj polecenia pqstat. Jako argument przyjmuje ono nazwê kolejki i pokazuje wszystkie znajduj±ce siê w niej zadania. Mo¿esz opcjonalnie podaæ inny argument mówi±cy, ile zadañ z kolejki chcesz zobaczyæ. Poni¿szy przyk³adowy wynik zosta³ nieco zmniejszony, aby zmie¶ci³ siê na stronie w tej ksi±¿ce:

$ pqsstat -S ALES_F1 NPI223761_P1

Server: ALES_F1   Queue: NPI223761_P1      Queue ID: 6A0E000C
  Seq   Name      Description              Status   Form Job ID
--------------------------------------------------------------
    1  TOTRAN   LyX document - proposal.lyx Active   0 02660001

Widzimy, ¿e w kolejce czeka jedno zadanie bêd±ce w³asno¶ci± u¿ytkownika TOTRAN. Pozosta³e opcje zawarte w opisie zadania to jego status i identyfikator.
Polecenie pqrm jest u¿ywane do usuwania zadañ ze wskazanej kolejki drukowania. Aby usun±æ zadanie z kolejki, wydaj polecenie:

$ pqrm -S ALES_F1 NPI223761_P1 02660001

Polecenie jest proste, ale trudno go u¿yæ z marszu. Warto po¶wiêciæ chwilê i przygotowaæ sobie skrypt, który to u³atwi.
Emulacja serwera NetWare
Istniej± dwa bezp³atne emulatory serwerów plików NetWare dla Linuksa. S± to: lwared, opracowany przez Alesa Dryaka, i mars_nwe, opracowany przez Martina Stovera. Oba pakiety daj± podstawow± emulacjê serwera plików NetWare w Linuksie, umo¿liwiaj±c klientom NetWare montowanie katalogów Linuksa wyeksportowanych jako wolumeny NetWare. Choæ serwer lwared jest ³atwiej skonfigurowaæ, mars_nwe oferuje wiêcej funkcji. Instalacja i konfiguracja tych pakietów wykracza poza ramy tego rozdzia³u, ale oba s± opisane w dokumencie IPX-HOWTO.


16
Zarz±dzanie UUCP 
Taylora 

Rozdzia³ 16: Zarz±dzanie UUCP Taylora 


Protokó³ UUCP zosta³ opracowany pod koniec lat siedemdziesi±tych przez Mike'a Leska w AT&T Bell Laboratories. Jego zadaniem jest zapewnienie prostej sieci komutowanej przez publiczne linie telefoniczne. Mimo popularno¶ci po³±czeñ PPP i SLIP do Internetu, wiele osób, które chc± mieæ pocztê elektroniczn± i grupy dyskusyjne Usenetu na swoich domowych komputerach, wci±¿ u¿ywa UUCP. Po prostu jest to tañsze rozwi±zanie, szczególnie w krajach, gdzie u¿ytkownicy Internetu musz± p³aciæ za ka¿d± minutê miejscowej rozmowy telefonicznej lub tam, gdzie nie maj± lokalnego dostawcy Internetu i musz± p³aciæ za rozmowy zamiejscowe. Choæ istnieje wiele implementacji UUCP dzia³aj±cych na wielu ró¿nych platformach sprzêtowych i systemach operacyjnych, s± one ze sob± kompatybilne.
Jednak tak jak z wiêkszo¶ci± oprogramowania, które w jaki¶ sposób sta³o siê przez lata "standardem", nie ma UUCP, które nazywa³oby siê po prostu UUCP. Od zaimplementowania pierwszej wersji w 1976 roku przesz³o ono pewn± ewolucjê. Obecnie istniej± dwie g³ówne odmiany, ró¿ni±ce siê przede wszystkim wsparciem sprzêtowym i sposobem konfiguracji. Maj± one w³asne implementacje, a ka¿da z nich ró¿ni siê od pozosta³ych w bardzo niewielkim stopniu.
Jedna odmiana jest znana jako 2. wersja UUCP i jej historia siêga implementacji Mike'a Leska, Davida A. Novitza i Grega Chessona z roku 1977. Mimo swoich lat wci±¿ jest czêsto u¿ywana. Nowe implementacje tej wersji s± naprawdê bardziej funkcjonalne ni¿ nowsze odmiany UUCP.
Druga odmiana zosta³a opracowana w 1983 roku i jest powszechnie nazywana BNU (Basic Networking Utilities) lub HoneyDanBer UUCP. Ta ostatnia nazwa pochodzi od nazwisk autorów (P. Honeyman, D.A. Novitz i B. E. Redman) i czêsto jest skracana do postaci HDB; tego okre¶lenia bêdziemy u¿ywali w tym rozdziale. HDB mia³a usun±æ pewne braki 2. wersji UUCP. Na przyk³ad zosta³y dodane nowe protoko³y transmisji, a katalog bufora zosta³ podzielony tak, ¿e teraz jest jeden wspólny katalog dla wszystkich o¶rodków dla których obs³ugujesz ruch UUCP.
Implementacja UUCP dystrybuowana obecnie z Linuksem to tak zwane UUCP Taylora wersja 1.06 i o niej traktuje niniejszy rozdzia³*. Pakiet Taylora zosta³ wydany w sierpniu 1995 roku. Poza prac± z tradycyjnymi plikami konfiguracyjnymi mo¿e byæ tak¿e skompilowany tak, by rozumieæ pliki konfiguracyjne nowego typu - znane równie¿ pod nazw± Taylor.
UUCP Taylora jest zwykle kompilowane do wersji kompatybilnej z HDB, schematem konfiguracyjnym Taylora lub obydwoma. Poniewa¿ schemat Taylora jest bardziej elastyczny ni¿ niejasne pliki konfiguracyjne HDB, opiszemy poni¿ej w³a¶nie ten schemat.
Ten rozdzia³ nie jest pomy¶lany jako wyczerpuj±cy opis opcji wiersza poleceñ UUCP, ale jako wprowadzenie do skonfigurowania dzia³aj±cego wêz³a UUCP. Pierwszy podrozdzia³ informuje o tym, jak UUCP implementuje zdalne wykonywanie poleceñ i przesy³anie plików. Je¿eli nie jeste¶ zupe³nym nowicjuszem w bran¿y UUCP, mo¿esz go pomin±æ i przej¶æ do dalszego podrozdzia³u Pliki konfiguracyjne UUCP, który wyja¶nia, jak ró¿ne pliki s± wykorzystane do konfiguracji UUCP.
Zak³adamy jednak, ¿e znasz programy u¿ytkownika pakietu UUCP, czyli uucp i uux. Ewentualnie ich opis znajdziesz na stronach podrêcznika elektronicznego.
Poza publicznie dostêpnymi programami uucp i uux, pakiet UUCP zawiera szereg poleceñ u¿ywanych jedynie do celów administracyjnych. S³u¿± one do monitorowania ruchu UUCP twojego wêz³a, usuwania starych plików log czy kompilowania statystyk. Nie bêdziemy ich tutaj opisywaæ, poniewa¿ wykonuj± zadania dodatkowe. Poza tym s± doskonale udokumentowane i ³atwe w obs³udze. Wiêcej informacji znajdziesz na stronach podrêcznika elektronicznego. Jednak istnieje trzecia kategoria programów: te, które "odwalaj± ca³± czarn± robotê" UUCP. S± to uucico (gdzie cico pochodzi od s³ów copy-in copy-out) i uuxqt, które wykonuje zadania przys³ane przez systemy zdalne. W tym rozdziale skoncentrujemy siê na tych dwóch istotnych programach.
Je¿eli nie jeste¶ zadowolony z naszego wyboru tematów, powiniene¶ przeczytaæ dokumentacjê dostarczan± wraz z pakietem UUCP. Jest to zestaw plików Texinfo, które opisuj± konfiguracjê z wykorzystaniem schematu Taylora. Pliki Texinfo mo¿esz przekszta³ciæ w plik dvi za pomoc± texi2dvi (który mo¿na znale¼æ w pakiecie Texinfo w twojej dystrybucji) i obejrzeæ go, u¿ywaj±c polecenia xdvi.
Kolejnym doskona³ym ¼ród³em informacji na temat UUCP w ¶rodowisku Linuksa jest UUCP-HOWTO autorstwa Guylhema Aznara. Jest ono dostêpne w ramach Projektu Dokumentacji Linuksa i regularnie wysy³ane do grupy comp.os.linux.answers.
Istnieje równie¿ grupa dyskusyjna poruszaj±ca tematy zwi±zane z UUCP: comp.mail.uucp. Je¿eli masz pytania szczegó³owe dotycz±ce UUCP Taylora, lepiej je zadaæ w³a¶nie tu, a nie w grupach z serii comp.os.linux.*.

Przesy³anie i zdalne wykonywanie w UUCP
Dla zrozumienia UUCP istotne jest pojêcie zadañ. Ka¿da transmisja zainicjowana przez u¿ytkownika za pomoc± uucp lub unx nazywa siê zadaniem. Sk³ada siê ono z poleceñ do wykonania na ho¶cie zdalnym, zestawu plików do przes³ania miêdzy o¶rodkami lub obu tych elementów.
Jako przyk³ad we¼my poni¿sze polecenie, które kopiuje przez UUCP plik netguide.ps do zdalnego hosta pablo i wykonuje na nim polecenie lpr drukuj±ce plik:

$ uux -r pablo!lpr !netguide.ps

Generalnie UUCP nie wywo³uje natychmiast zdalnego hosta, by wykonaæ zadanie (co móg³by¶ zrobiæ za pomoc± kermit). Sporz±dza natomiast tymczasowy opis zadania. Nazywa siê to buforowaniem (ang. spooling). Drzewo katalogów, w którym s± umieszczane zadania, nazywa siê katalogiem buforowym i przewa¿nie znajduje siê w katalogu /var/spool/uucp. W naszym przyk³adzie opis zadania bêdzie zawiera³ informacje o zdalnym poleceniu do wykonania (lpr), u¿ytkowniku, który zleci³ jego wykonanie, i kilku innych elementach. Poza opisem zadania, UUCP musi zachowaæ plik wej¶ciowy netguide.ps.
Dok³adna lokalizacja i nazewnictwo plików buforowych mo¿e siê ró¿niæ w zale¿no¶ci od opcji wybranych w czasie kompilacji. UUCP kompatybilne z HDB zwykle zachowuje pliki buforowe w katalogu /var/spool/uucp w podkatalogu o nazwie o¶rodka zdalnego. W przypadku kompilacji z konfiguracj± Taylora, UUCP tworzy w tym katalogu podkatalogi dla ró¿nych typów plików buforowych.
W regularnych odstêpach czasu UUCP dzwoni do zdalnego systemu. Gdy zostanie nawi±zane po³±czenie z systemem, UUCP przesy³a pliki opisuj±ce zadanie oraz wszelkie pliki wej¶ciowe. Przychodz±ce zadanie nie zostanie wykonane natychmiast, ale po zakoñczeniu po³±czenia. Wykonanie jest obs³ugiwane przez uuxqt, który tak¿e obs³uguje przekazywanie wszelkich zadañ przeznaczonych dla drugiego o¶rodka.
Aby rozró¿niæ mniej i bardziej istotne zadania, UUCP ka¿demu z nich nadaje stopieñ (ang. grade). Jest to cyfra z przedzia³u od 0 do 9, litera z przedzia³u od A do Z oraz od a do z w kolejno¶ci malej±cej priorytetów. Poczta jest zwykle buforowana ze stopniem B lub C, natomiast grupy dyskusyjne ze stopniem N. Zadania o wy¿szych stopniach s± przesy³ane w pierwszej kolejno¶ci. Stopnie mog± byæ przypisywane za pomoc± opcji -g w wywo³aniu uucp lub uux.
W pewnych okresach czasu mo¿esz równie¿ zabroniæ przesy³ania zadañ o stopniu mniejszym ni¿ zadany. Aby to zrobiæ, ustaw maksymalny stopieñ buforowania (ang. maximum spool grade), który bêdzie dopuszczalny w czasie konwersacji. Maksymalny stopieñ buforowania domy¶lnie ma warto¶æ z, co oznacza, ¿e zadania o wszystkich stopniach bêd± przesy³ane za ka¿dym razem. Zauwa¿, ¿e sk³adnia jest tu nieco niejasna: plik jest przesy³any jedynie wtedy, gdy ma stopieñ równy lub wiêkszy ni¿ maksymalny próg buforowania.

Wewnêtrzne dzia³anie uucico
Krótki opis tego, jak w rzeczywisto¶ci nastêpuje po³±czenie ze zdalnym systemem, pomo¿e zrozumieæ, dlaczego uucico musi znaæ pewne informacje.
Gdy uruchomisz uucico -s system z wiersza poleceñ, uucico najpierw musi zrealizowaæ po³±czenie fizyczne. Podejmowane dzia³ania zale¿± od rodzaju po³±czenia, jakie ma byæ otwarte. W przypadku linii telefonicznej wymaga to znalezienia modemu i zadzwonienia. W przypadku TCP, uucico musi wywo³aæ gethostbyname, aby zamieniæ nazwê na adres sieci, stwierdziæ, który port otworzyæ, i powi±zaæ adres z odpowiednim gniazdem.
Po poprawnym nawi±zaniu po³±czenia nastêpuje uwierzytelnienie. Ta procedura ogólnie sk³ada siê z zapytania zdalnego systemu o nazwê u¿ytkownika i ewentualnie has³o. Wymiana tych danych jest powszechnie nazywana dialogiem logowania (ang. login chat). Procedura uwierzytelniania jest wykonywana albo przez typowy zestaw getty/login, albo przez sam uucico na gniazdach TCP. Je¿eli uwierzytelnienie powiedzie siê, druga strona uruchamia uucico. Kopia uucico po stronie, która zainicjowa³a po³±czenie, czyli lokalnej, jest nazywana nadrzêdn± (ang. master), a zdalna kopia jest nazywana podleg³± (ang. slave).
Pó¼niej nastêpuje faza uzgadniania (ang. handshake phase): system nadrzêdny wysy³a swoj± nazwê hosta i kilka znaczników. System podleg³y sprawdza tê nazwê hosta pod wzglêdem praw logowania, wysy³ania i odbioru plików itd. Znaczniki opisuj± (miêdzy innymi) maksymalny stopieñ plików buforowych, pozwalaj±cy na ich przes³anie. Je¿eli jest w³±czony licznik konwersacji lub numer kolejny wywo³ania (ang. call sequence number),  to s± teraz sprawdzane. Dziêki tej funkcji obie strony mog± posiadaæ licznik poprawnych po³±czeñ i je porównywaæ. Je¿eli liczniki siê nie zgadzaj±, uzgadnianie siê nie udaje. Jest to przydatne do zabezpieczenia siê przed oszustami.
Na koniec oba uucico próbuj± uzgodniæ wspólny protokó³ transmisji. Protokó³ ten decyduje o sposobie przesy³ania danych, sprawdzaniu ich spójno¶ci i retransmisji w przypadku b³êdów. Potrzebne s± ró¿ne protoko³y, poniewa¿ obs³ugiwane s± ró¿ne typy po³±czeñ. Na przyk³ad linie telefoniczne wymagaj± "bezpiecznego" protoko³u, który jest nieufny i wszêdzie wêszy b³êdy, natomiast transmisja TCP jest z za³o¿enia niezawodna i mo¿e u¿ywaæ efektywniejszego protoko³u, który nie wykonuje dodatkowego sprawdzania b³êdów.
Po zakoñczeniu uzgadniania rozpoczyna siê faza rzeczywistej transmisji. Obie strony w³±czaj± wybrany sterownik protoko³u. W tym miejscu sterowniki wykonuj± sekwencjê inicjacyjn± specyficzn± dla protoko³u.
Nastêpnie system nadrzêdny wysy³a wszystkie skolejkowane pliki do hosta zdalnego, którego stopieñ buforowania jest wystarczaj±co wysoki. Gdy skoñczy, informuje system podrzêdny, ¿e zrobi³ swoje i ¿e ten mo¿e siê roz³±czyæ. W tym momencie system podrzêdny mo¿e zgodziæ siê na roz³±czenie lub przej±æ konwersacjê. Nastêpuje zamiana ról: system zdalny staje siê nadrzêdnym, a lokalny staje siê podleg³ym. Nowy system nadrzêdny wysy³a swoje pliki. Gdy zakoñczy, oba uucico wymieniaj± komunikaty zakoñczenia i zamykaj± po³±czenie.
Je¿eli potrzebujesz dodatkowych informacji na temat UUCP, zajrzyj do kodu ¼ród³owego. Po sieci kr±¿y równie¿ naprawdê zabytkowy artyku³, napisany przez Davida A. Novitza, ze szczegó³owym opisem protoko³u UUCP*. Lista pytañ FAQ Taylor UUCP równie¿ omawia pewne szczegó³y implementacji UUCP. Dokument ten jest regularnie wysy³any do grupy dyskusyjnej comp.mail.uucp.
Opcje wiersza poleceñ uucico
Tutaj podamy najwa¿niejsze opcje wiersza poleceñ uucico:
--system, -s system

Dzwonienie do zadanego systemu, dopóki nie zostanie to zabronione przez ograniczenia czasowe.
-S system

Dzwonienie do systemu bezwarunkowo.
--master, -r1

Uruchomienie uucico w trybie nadrzêdnym. Jest to opcja domy¶lna, je¿eli zostanie podane -s lub -S. Opcja -r1 powoduje, ¿e uucico próbuje dzwoniæ do wszystkich systemów umieszczonych w pliku sys, opisanym w nastêpnym podrozdziale, dopóki nie up³ynie czas przewidziany na rozmowê lub powtórne dzwonienie.
--slave, -r0

Uruchomienie uucico w trybie podleg³ym. Jest to tryb domy¶lny, je¿eli nie zostan± podane opcje -s lub -S. W trybie tym zak³ada siê, ¿e u¿ywane jest standardowe wej¶cie/wyj¶cie pod³±czone do portu szeregowego albo do portu TCP okre¶lonego przez opcjê -p.
--ifwork, -C

Ta opcja uzupe³nia -s lub -S mówi±c programowi uucico, by dzwoni³ do wymienionych systemów tylko wtedy, gdy w buforze s± dla nich zadania.
--debug typ, -x typ, -X typ

W³±czenie debugowania zadanego typu. Mo¿e byæ podane kilka typów w postaci listy oddzielonej przecinkami. Dopuszczalne s± nastêpuj±ce typy: abnormal, chat, handshake, uucp-proto, proto, port, config, spooldir, execute, incoming i outgoing. U¿ycie all w³±cza wszystkie opcje. Dla kompatybilno¶ci z implementacjami UUCP mo¿na podaæ tak¿e liczbê, która w³±cza debugowanie dla n pierwszych elementów z powy¿szej listy.
Komunikaty z debugowania zostan± zapisane do pliku Debug w katalogu /var/spool/uucp.
Pliki konfiguracyjne UUCP
W odró¿nieniu od prostszych programów do przesy³ania plików, UUCP zosta³o zaprojektowane tak, by obs³ugiwa³o automatycznie wszystkie transmisje. Je¶li zostanie poprawnie skonfigurowane, to nie wymaga sta³ej opieki administratora. Informacje potrzebne do automatycznej transmisji s± przechowywane w kilku plikach konfiguracyjnych, znajduj±cych siê w katalogu /usr/lib/uucp. Wiêkszo¶æ z nich jest u¿ywana tylko w czasie dzwonienia.
£agodne wprowadzenie do UUCP Taylora
Powiedzenie, ¿e konfiguracja UUCP jest trudna, bêdzie niedomówieniem. W rzeczywisto¶ci jest bardzo skomplikowana i czasem nawet zwiêz³y format plików konfiguracyjnych nie u³atwia sprawy (choæ format Taylora i tak czyta siê ³atwo w porównaniu ze starszymi formatami HDB lub wersji 2).
Aby pokazaæ, jak wspó³dzia³aj± wszystkie pliki konfiguracyjne, przedstawimy najwa¿niejsze z nich i przyjrzymy siê prostym wpisom w tych plikach. Nie bêdziemy teraz wyja¶niaæ wszystkiego szczegó³owo. Dok³adniejsze informacje s± podane w nastêpnych podrozdzia³ach. Gdyby¶ chcia³ skonfigurowaæ UUCP na swoim komputerze, najlepiej zacz±æ od przyk³adowych plików i po kolei je adaptowaæ do w³asnych potrzeb. Mo¿esz wykorzystaæ tu pokazane pliki lub te za³±czone w twojej ulubionej dystrybucji Linuksa.
Wszystkie pliki opisane w tym podrozdziale znajduj± siê w katalogu /etc/uucp lub jego podkatalogach. Dystrybucje Linuksa zawieraj± binaria UUCP, które obs³uguj± zarówno konfiguracjê HDB, jak i schemat Taylora, ale ka¿dy zestaw plików ma swój w³asny podkatalog. W katalogu /usr/lib/uucp zwykle bêdzie znajdowa³ siê plik README.
Aby UUCP dzia³a³o poprawnie, pliki te musz± nale¿eæ do u¿ytkownika uucp. Niektóre z nich zawieraj± has³a i numery telefonów i dlatego powinny mieæ prawo dostêpu 600. Zauwa¿, ¿e choæ wiêkszo¶æ poleceñ UUCP musi mieæ prawo setuid u¿ytkownika uucp, musisz pamiêtaæ, ¿e nigdy nie mo¿e go mieæ program uuchk. W przeciwnym razie u¿ytkownicy bêd± mogli wy¶wietlaæ has³a systemowe, nawet je¿eli pliki z has³ami bêd± mia³y prawo dostêpu ustawione na 600.
G³ównym plikiem konfiguracyjnym UUCP jest /etc/uucp/config, w którym s± ustawiane parametry ogólne. Najwa¿niejszy z nich (i w tej chwili jedyny) to nazwa twojego hosta UUCP. W wirtualnym browarze gatewayem UUCP jest host vstout.

# /etc/uucp/config - g³ówny plik konfiguracyjny UUCP
nodename      vstout

Plik sys jest kolejnym wa¿nym plikiem konfiguracyjnym. Zawiera wszystkie informacje specyficzne dla systemów, z którymi jeste¶ po³±czony. Nale¿± do nich nazwa o¶rodka i informacje o samym ³±czu, takie jak numer telefonu, je¿eli jest wykorzystywane ³±cze modemowe. Typowy wpis dla o¶rodka pablo pod³±czonego przez modem wygl±da³by tak:

# /usr/lib/uucp/sys - nazwy s±siadów UUCP
# system: pablo
system    pablo
time      Any
phone     555-22112
port      serial1
speed     38400
chat      ogin: vstout ssword: lorca

time okre¶la, o której godzinie system zdalny mo¿e byæ wywo³ywany. chat opisuje skrypty dialogu logowania - kolejne ci±gi, które musz± byæ wymienione, aby uucico mog³o zalogowaæ siê do pablo. Do skryptów dialogu logowania jeszcze wrócimy. S³owo kluczowe port nadaje po prostu nazwê wpisowi w pliku port (patrz rysunek 16-1). Mo¿esz przypisaæ dowoln± nazwê, o ile odwo³uje siê do poprawnego wpisu w pliku port.
Plik port zawiera informacje specyficzne dla samego ³±cza. Dla ³±czy modemowych opisuje specjalny plik urz±dzenia, jaki ma byæ u¿yty, zakres obs³ugiwanych prêdko¶ci i typ urz±dzenia pod³±czonego do portu. Poni¿szy wpis opisuje /dev/ttyS1 (czyli COM2), do którego administrator pod³±czy³ modem NakWell, który mo¿e dzia³aæ z prêdko¶ci± do 38400 bitów na sekundê. Nazwa portu jest dobrana tak, by odpowiada³a tej z pliku sys:

# /etc/uucp/port - porty UUCP
# /dev/ttyS1 (COM2)
port      serial1
type      modem
device    /dev/ttyS1
speed     38400
dialer    nakwell

Informacja na temat modemów jest przechowywana w jeszcze innym pliku o nazwie dial. Dla ka¿dego typu modemu zawiera on ci±g poleceñ, które trzeba wykonaæ, aby po³±czyæ siê z o¶rodkiem zdalnym o zadanym numerze telefonicznym. Znów jest to okre¶lone przez skrypt dialogowy. Na przyk³ad wpis dla NakWell móg³by wygl±daæ tak:

# /etc/uucp/dial - informacje o dzwoni±cych
# modemy NakWell
dialer      nakwell
chat         * * AT&F OK ATDT\T CONNECT

Wiersz rozpoczynaj±cy siê od  chat okre¶la dialog modemu, czyli ci±g poleceñ wysy³anych i odbieranych przez modem w celu jego inicjacji i wykonania po³±czenia z ¿±danym numerem. Sekwencja \T zostanie zast±piona przez uucico numerem telefonu.
Aby¶ z grubsza mia³ pojêcie, jak uucico wykorzystuje te pliki konfiguracyjne, za³ó¿my, ¿e wydajesz nastêpuj±ce polecenie:

$ uucico -s pablo

Pierwsza rzecz, jak± robi uucico, to poszukanie pablo w pliku sys. Na podstawie wpisu pablo w pliku sys wiadomo, ¿e po³±czenie nale¿y zrealizowaæ przez port serial1. Plik port mówi uucico, ¿e jest to port modemu, do którego pod³±czony jest modem NakWell.
Nastêpnie uucico poszukuje w pliku dial wpisu dla modemu NakWell. Po jego znalezieniu otwiera port szeregowy /dev/cua1 i wykonuje dialog dzwonienia. Oznacza to, ¿e wysy³a AT&F, czeka na odpowied¼ OK itd. Gdy napotka ci±g \T, zastêpuje go numerem telefonu (555-22112) uzyskanym z pliku sys.

Gdy modem zwróci ci±g CONNECT, po³±czenie zostaje nawi±zane i dialog modemu zostaje zakoñczony. uucico powraca do pliku sys i wykonuje dialog logowania. W naszym przyk³adzie bêdzie on czeka³ na monit login:, a nastêpnie wy¶le nazwê u¿ytkownika (vstout), poczeka na monit password: i wy¶le has³o (lorca).
Zak³ada siê, ¿e po zakoñczeniu procedury uwierzytelniania zdalny system uruchomi uucico po swojej stronie. Nastêpnie obie strony przejd± do fazy uzgadniania, opisanej w poprzednim podrozdziale.
Rysunek 16-1 pokazuje zale¿no¶ci pomiêdzy plikami konfiguracyjnymi.

Rysunek 16-1. Powi±zania plików konfiguracyjnych UUCP Taylora
http://www.rm.com.pl/upgr/lpas/16-01.tif

Co musi wiedzieæ UUCP
Zanim zaczniesz tworzyæ pliki konfiguracyjne UUCP, musisz wiedzieæ co nieco o jego wymaganiach.
Najpierw musisz stwierdziæ, do jakiego portu szeregowego pod³±czony jest twój modem. Zwykle porty (DOS-a) od COM1: do COM4: odzwierciedlaj± pliki specjalne /dev/ttS0 do /dev/ttyS3. Niektóre dystrybucje, takie jak Slackware, tworz± dowi±zanie /dev/modem do odpowiedniego pliku urz±dzenia ttyS* i konfiguruj± programy komunikacyjne, takie jak kermit, seyon, w ten sposób, by u¿ywa³y tego dowi±zania. W takim przypadku powiniene¶ u¿ywaæ /dev/modem tak¿e w swojej konfiguracji UUCP.
A oto dlaczego siêga siê po dowi±zanie symboliczne. Wszystkie programy dzwoni±ce u¿ywaj± tak zwanych plików blokuj±cych do sygnalizowania, ¿e port szeregowy jest zajêty. Nazwy tych plików blokuj±cych s± po³±czeniem ci±gu LCK.. i nazwy pliku urz±dzenia, na przyk³ad LCK..ttyS1. Je¿eli programy ró¿nie nazywaj± to samo urz±dzenie, nie uda im siê rozpoznaæ innych plików blokuj±cych. W konsekwencji, bêd± zak³óca³y sobie wzajemnie sesje, je¿eli zostan± uruchomione w tym samym czasie. Jest to mo¿liwe, gdy zaszeregujesz wywo³ania UUCP za pomoc± wpisu w crontab. Szczegó³y konfiguracji portu szeregowego znajdziesz w rozdziale 4, Konfigurowanie urz±dzeñ szeregowych.
Nastêpnie musisz stwierdziæ, z jak± prêdko¶ci± Linux komunikuje siê z twoim modemem. Musisz ustawiæ tê prêdko¶æ na najbardziej efektywn± warto¶æ, jak± chcia³by¶ uzyskaæ. Efektywna przepustowo¶æ mo¿e byæ du¿o wy¿sza ni¿ surowa przepustowo¶æ fizyczna zapewniana przez modem. Na przyk³ad wiele modemów wysy³a i odbiera dane z prêdko¶ci± 56 kbps. Przy zastosowaniu protoko³ów kompresji, takich jak V.42bis, rzeczywista przepustowo¶æ mo¿e przekroczyæ 100 kbps.
Oczywi¶cie je¿eli UUCP ma mieæ niewiele do roboty, to wystarczy ci numer telefonu do systemu, do którego chcesz dzwoniæ. Potrzebujesz tak¿e poprawnej nazwy u¿ytkownika i has³a na maszynie zdalnej*.
Musisz tak¿e dok³adnie wiedzieæ, jak zalogowaæ siê do systemu. Czy musisz nacisn±æ klawisz [Enter], zanim pojawi siê monit logowania? Czy ma on postaæ login: czy user:? Jest to wiedza niezbêdna do stworzenia skryptu dialogowego. Je¿eli tego nie wiesz lub je¿eli typowe skrypty nie dzia³aj±, spróbuj zadzwoniæ do systemu za pomoc± programu terminala, na przyk³ad kermit czy minicom, i zanotuj dok³adnie to, co zobaczysz.
Nazewnictwo o¶rodków
Tak jak w sieciach opartych na TCP/IP, twój host musi mieæ nazwê w sieci UUCP. Dopóki chcesz wykorzystywaæ UUCP tylko to przesy³ania plików w sieci lokalnej lub pomiêdzy o¶rodkami, do których dzwonisz bezpo¶rednio, nazwa ta nie musi byæ zgodna z ¿adnymi standardami**.
Je¿eli jednak u¿ywasz UUCP do po³±czenia z poczt± lub grupami dyskusyjnymi, powiniene¶ pomy¶leæ o nazwie zarejestrowanej w projekcie mapowania UUCP***. Projekt mapowania UUCP jest opisany w rozdziale 17, Poczta elektroniczna. Nawet je¿eli znajdujesz siê w domenie, mo¿esz rozwa¿yæ posiadanie oficjalnej nazwy UUCP dla twojego o¶rodka.

Czêsto ludzie wybieraj± sobie nazwy UUCP tak, by pasowa³y do pierwszego elementu ich pe³nej nazwy domenowej. Za³ó¿my, ¿e adres domeny, w której jest twój o¶rodek, to swim.twobirds.com, a wiêc nazwa twojego hosta UUCP bêdzie brzmia³a swim. Traktuj o¶rodki UUCP tak, jakby zna³y siê po imieniu. Oczywi¶cie mo¿esz tak¿e u¿yæ nazwy UUCP zupe³nie nie zwi±zanej z twoj± pe³n± nazw± domenow±.
Jednak sprawd¼, czy w adresach pocztowych przypadkiem nie pos³u¿y³e¶ siê niepe³n± nazw± o¶rodka. Nie masz siê czego obawiaæ, je¶li zarejestrowa³e¶ j± jako swoj± oficjaln± nazwê. W najlepszym wypadku poczta do niezarejestrowanego hosta UUCP zniknie w jakie¶ du¿ej czarnej dziurze. Je¿eli u¿ywasz nazwy wykorzystywanej ju¿ przez jaki¶ inny o¶rodek, poczta bêdzie do niego przekierowana i przyprawi administratora poczty o ból g³owy.
Domy¶lnie pakiet UUCP u¿ywa nazwy definiowanej przez hostname jako nazwy o¶rodka UUCP. Ta nazwa jest przewa¿nie ustawiana w czasie inicjacji systemu w skryptach rc i zwykle znajduje siê w pliku /etc/hostname. Je¿eli twoja nazwa UUCP jest inna ni¿ ta, która znajduje siê w tym pliku, musisz u¿yæ opcji hostname w pliku config, by poinformowaæ uucico, jaka jest twoja nazwa UUCP. Opisujemy to dalej.
Pliki konfiguracyjne Taylora
Powróæmy teraz do plików konfiguracyjnych. UUCP Taylora pobiera swoje informacje z nastêpuj±cych plików:
config

Jest to g³ówny plik konfiguracyjny. Mo¿esz w nim zdefiniowaæ nazwê UUCP swojego o¶rodka.
sys

Ten plik opisuje wszystkie znane o¶rodki. Dla ka¿dego z nich posiada wpis z jego nazw±, godzinami wywo³ania, numerem, pod jaki nale¿y dzwoniæ (o ile istnieje), typem urz±dzenia, którego trzeba u¿ywaæ, i sposobem logowania.
port

Ten plik zawiera wpisy charakteryzuj±ce ka¿dy z dostêpnych portów wraz z obs³ugiwan± prêdko¶ci± i typem modemu.
dial

Ten plik opisuje typy urz±dzeñ u¿ywane do realizacji po³±czenia telefonicznego.
dialcode

Ten plik zawiera rozwiniêcia symbolicznych numerów kierunkowych.
call

Ten plik zawiera nazwê u¿ytkownika i has³o u¿ywane przy dzwonieniu do systemu. Jest rzadko u¿ywany.

passwd

Ten plik zawiera nazwy u¿ytkowników i has³a, którymi systemy mog± pos³ugiwaæ siê przy logowaniu. Jest u¿ywany tylko wtedy, gdy uucico przeprowadza w³asne sprawdzanie hase³.
Pliki konfiguracyjne Taylora ogólnie sk³adaj± siê z wierszy zawieraj±cych pary s³owo_kluczowe-warto¶æ. Znak hasha oznacza wiersz z komentarzem. Aby u¿yæ znaku # we w³asnej roli, zamaskuj go odwrotnym uko¶nikiem, czyli tak: \#.
Istnieje szereg opcji, które mo¿esz dostosowaæ, u¿ywaj±c tych plików konfiguracyjnych. Nie mo¿emy przejrzeæ wszystkich parametrów, ale omówimy tu najwa¿niejsze z nich. Po ich omówieniu powiniene¶ byæ w stanie skonfigurowaæ ³±cze UUCP oparte na modemie. Nastêpne podrozdzia³y opisuj± modyfikacje wymagane do u¿ywania UUCP w sieci TCP/IP lub przez bezpo¶rednie ³±cze szeregowe. Pe³ny opis znajduje siê w dokumencie Texinfo do³±czonym do ¼róde³ UUCP Taylora.
Gdy uznasz, ¿e w pe³ni skonfigurowa³e¶ system UUCP, mo¿esz sprawdziæ swoj± konfiguracjê, u¿ywaj±c narzêdzia uuchk (znajduj±cego siê w katalogu /usr/lib/uucp). uuchk odczytuje twoje pliki konfiguracyjne i drukuje szczegó³owy raport o konfiguracji u¿ywanej dla ka¿dego z systemów.
Ogólne opcje konfiguracyjne u¿ywane w pliku config
W zasadzie tego pliku nie bêdziesz u¿ywa³ do niczego innego poza zdefiniowaniem nazwy hosta UUCP. Domy¶lnie UUCP bêdzie wykorzystywaæ nazwê ustalon± poleceniem hostname, ale dobrze jest jednak ustawiæ nazwê UUCP w sposób jawny. Oto przyk³ad pliku config:

# /usr/lib/uucp/config - g³ówny plik konfiguracyjny UUCP
hostname      vstout

W tym pliku mo¿na ustawiæ tak¿e szereg innych parametrów, takich jak nazwa katalogu buforuj±cego czy prawa dostêpu dla anonimowego UUCP. Omówimy je w dalszej czê¶ci tego rozdzia³u, w podrozdziale Anonimowe UUCP.
Jak za pomoc± pliku sys powiedzieæ UUCP o innych systemach
Plik sys opisuje systemy znane twojemu komputerowi. Dowolny wpis w tym pliku jest poprzedzany s³owem kluczowym system, a kolejne wiersze, a¿ do nastêpnego s³owa system, okre¶laj± szczegó³owe parametry dla danego o¶rodka. Przewa¿nie taki wpis definiuje parametry, takie jak numer telefonu i dialog logowania.
Parametry wystêpuj±ce przed pierwszym wpisem system s± u¿ywane dla wszystkich systemów. Zwykle w sekcji parametrów domy¶lnych ustawiasz parametry protoko³u i tym podobne.
Najczê¶ciej spotykane pola s± omówione szczegó³owo dalej w tym rozdziale.

Nazwa systemu
Polecenie system okre¶la nazwê systemu zdalnego. Musisz podaæ jego poprawn± nazwê, a nie alias, poniewa¿ uucico sprawdza w czasie logowania, jak± nazw± przedstawia siê system zdalny*. 
Nazwa ka¿dego systemu mo¿e pojawiæ siê tylko raz. Gdyby¶ chcia³ u¿yæ kilku zestawów konfiguracji dla tego samego systemu (na przyk³ad ró¿nych numerów telefonu, które uucico powinno po kolei wypróbowywaæ), mo¿esz u¿yæ s³owa alternatives, które opiszemy po podstawowych opcjach konfiguracyjnych.
Numer telefonu
Je¿eli chcemy siê ³±czyæ z systemem zdalnym przez liniê telefoniczn±, pole phone opisuje numer, pod który nale¿y dzwoniæ. Mo¿e zawieraæ kilka leksemów interpretowanych przez procedurê dzwonienia uucico. Znak równo¶ci (=) oznacza czekanie na powtórny ton, a znak minus (-) generuje jednosekundow± przerwê. Niektóre instalacje telefoniczne nie chc± dzia³aæ, je¿eli nie dodasz przerwy pomiêdzy specjalnym kodem dostêpu a numerem telefonu**.
Czêsto wygodnie jest u¿ywaæ nazw zamiast numerów przy opisywaniu numerów kierunkowych. Plik dialcode pozwala powi±zaæ nazwê z kodem, który mo¿na nastêpnie wykorzystaæ przy wpisywaniu numeru telefonu do hostów zdalnych. Za³ó¿my, ¿e masz nastêpuj±cy plik dialcode:

# /usr/lib/uucp/dialcode - t³umaczenie dialcode
Bogoham      024881
Coxton       035119

Maj±c takie t³umaczenie, mo¿esz u¿yæ w pliku sys numeru Bogoham7732, co prawdopodobnie spowoduje, ¿e wszystko bêdzie bardziej czytelne i ³atwiejsze do uaktualniania, gdyby numer kierunkowy do Bogoham kiedykolwiek siê zmieni³.
Port i prêdko¶æ
Opcje port i speed s± wykorzystywane do wskazania urz±dzenia, przez które nawi±zywane jest po³±czenie z systemem zdalnym, i prêdko¶ci, z jak± ma dzia³aæ***. Wpis system mo¿e zawieraæ ka¿d± z tych opcji oddzielnie lub obie razem. Przy poszukiwaniu odpowiedniego urz±dzenia w pliku port, wybierane s± tylko porty o pasuj±cej nazwie i/lub zakresie prêdko¶ci.
Generalnie u¿ycie samej opcji speed powinno wystarczyæ. Gdyby¶ w pliku port mia³ zdefiniowane tylko jedno urz±dzenie szeregowe, uucico zawsze wybiera³oby poprawnie, a wiêc musisz mu podaæ tylko ¿±dan± prêdko¶æ. Gdyby¶ do swojego komputera mia³ pod³±czone kilka modemów, wci±¿ nie warto nadawaæ nazwy ka¿demu portowi, poniewa¿ gdyby uucico stwierdzi³o, ¿e kilka z nich pasuje, próbowa³oby ka¿dego urz±dzenia po kolei, a¿ natrafi³oby na nie u¿ywane.
Dialog logowania
Spotkali¶my siê ju¿ ze skryptem logowania, który mówi uucico, jak zalogowaæ siê do systemu zdalnego. Sk³ada siê on z listy leksemów okre¶laj±cych oczekiwane i wysy³ane przez lokalny proces uucico ci±gi znaków. uucico czeka a¿ zdalny host wy¶le monit logowania, nastêpnie podaje nazwê u¿ytkownika, czeka na wys³anie przez system zdalny zapytania o has³o i wysy³a has³o. Oczekiwane i wysy³ane ci±gi znaków s± umieszczone w skrypcie na zmianê. uucico automatycznie dodaje znak powrotu karetki (\r) do wysy³anego ci±gu. Prosty skrypt móg³by wygl±daæ tak:

ogin: vstout ssword: catch22

Prawdopodobnie zauwa¿y³e¶, ¿e pola oczekiwanego ci±gu nie zawieraj± ca³ych monitów. Dziêki temu logowanie siê powiedzie, nawet je¿eli zdalny host prze¶le Login: zamiast login:. Je¿eli oczekiwany lub wysy³any ci±g zawiera spacje albo inne bia³e znaki, musisz wzi±æ go w cudzys³ów.
uucico pozwala tak¿e na swego rodzaju wykonywanie warunkowe. Powiedzmy, ¿e getty na zdalnej maszynie musi byæ wyzerowany przed wys³aniem monitu. W tym celu mo¿esz do³±czyæ do oczekiwanego ci±gu poddialog, wywo³ywany znakiem -. Poddialog jest wykonywany wtedy, gdy g³ówny oczekiwany ci±g nie zostanie dopasowany, tj. zostanie przekroczony czas oczekiwania. Jednym ze sposobów na u¿ycie tej funkcji jest wys³anie sygna³u BREAK, je¿eli zdalny o¶rodek nie wy¶wietli monitu logowania. Poni¿szy przyk³ad pokazuje skrypt dialogowy ogólnego przeznaczenia, który powinien dzia³aæ tak¿e w przypadku, gdy musisz nacisn±æ [Enter] przed pojawieniem siê monitu. Pusty pierwszy argument ("") mówi UUCP, by na nic nie czeka³o, ale dzia³a³o dalej, wysy³aj±c kolejny ci±g znaków:

"" \n\r\d\r\n\c ogin:-BREAK-ogin: vstout ssword: catch22

W skrypcie dialogowym mo¿e wyst±piæ kilka znaków unikowych (ang. escape) i specjalnych ci±gów. Oto czê¶ciowa lista znaków dopuszczalnych w oczekiwanym ci±gu:
""

Ci±g pusty. Mówi uucico, by nie czeka³o na nic, ale natychmiast wys³a³o nastêpny ci±g.
\t

Znak tabulacji.
\r

Znak powrotu karetki.
\s

Spacja. Potrzebne do umieszczania spacji w ci±gu dialogowym.
\n

Znak nowego wiersza.
\\

Odwrotny uko¶nik.

Poza powy¿szymi znakami w wysy³anych ci±gach znaków dopuszczalne s± poni¿sze znaki unikowe:
EOT

Znak koñca transmisji (^D).
BREAK

Znak przerwania.
\c

Zapobiega wys³aniu znaku powrotu karetki na koñcu ci±gu.
\d

Opó¼nienie wysy³ania o 1 sekundê.
\E

W³±czenie sprawdzania echa. Nakazuje uucico czekaæ na echo wszystkiego co wy¶le, zanim bêdzie prowadziæ dalszy dialog. Przydaje siê w dialogach modemowych (co zobaczymy pó¼niej). Sprawdzanie echa jest domy¶lnie wy³±czone.
\e

Zablokowanie sprawdzania echa.
\K

To samo co BREAK.
\p

Czekanie przez u³amek sekundy.
Alternatywy
Czasem chcesz mieæ kilka wpisów dla jednego systemu, na przyk³ad je¿eli mo¿na do niego dotrzeæ przez ró¿ne linie modemowe. W przypadku UUCP Taylora mo¿esz to zrobiæ, definiuj±c tak zwane alternatywy (ang. alternates).
Wpis alternatywny zachowuje wszystkie ustawienia g³ównego wpisu charakteryzuj±cego system i okre¶la tylko te warto¶ci, które powinny byæ zmienione lub dodane. Wpis alternatywny jest umieszczany za wpisem opisuj±cym system, po wierszu ze s³owem alternate.
Aby u¿ywaæ dwóch numerów telefonu do systemu pablo, powiniene¶ zmodyfikowaæ jego opis w pliku sys do nastêpuj±cej postaci:

system   pablo
phone   123-456
.. wpisy podobne do powy¿szych ...
alternate
phone   123-455

Dzwoni±c do pablo, uucico najpierw u¿ywa numeru 123-456, a je¿eli siê nie dodzwoni, próbuje numeru alternatywnego.
Wyznaczanie czasów dzwonienia
Taylor UUCP posiada szereg sposobów wyznaczenia godzin, o których s± realizowane po³±czenia z systemem zdalnym. Mo¿esz ich potrzebowaæ ze wzglêdu na ograniczenia stawiane przez system zdalny w godzinach roboczych lub po prostu by unikn±æ godzin o wysokich cenach rozmów. Zauwa¿, ¿e zawsze mo¿liwe jest ominiêcie ograniczeñ czasowych przez podanie uucico opcji -S lub -f.
Domy¶lnie Taylor UUCP nie pozwala na po³±czenia o dowolnych godzinach, a wiêc musisz w pliku sys wymieniæ jakie¶ godziny. Je¿eli nie dbasz o ograniczenia czasowe, mo¿esz u¿yæ w swoim pliku sys opcji time z warto¶ci± Any.
Najprostszym sposobem na ograniczenie godzin dzwonienia jest do³±czenie wpisu time, a za nim ci±gu sk³adaj±cego siê z pól opisuj±cych dzieñ i godzinê. Dzieñ mo¿e byæ kombinacj± Mo, Tu, We, Th, Fr, Sa i Su. Mo¿esz tak¿e u¿yæ Any, Never lub Wk dla dni roboczych. Czas sk³ada siê z dwóch warto¶ci w postaci 24-godzinnej, oddzielonych my¶lnikiem. Okre¶laj± one okres, w którym mog± byæ wykonywane po³±czenia. Po³±czenie tych leksemów jest zapisywane bez spacji pomiêdzy nimi. Dowolne okre¶lenia dnia i godziny mog± byæ pogrupowane razem i oddzielone przecinkami w nastêpuj±cy sposób:

time         MoWe0300-0730,Fr1805-2200

Ten przyk³ad pokazuje, ¿e po³±czenia mog± byæ realizowane w poniedzia³ki i ¶rody od 3:00 do 7:30 oraz w pi±tki od 18:05 do 22:00. Gdy pole opisuj±ce czas obejmuje pó³noc, powiedzmy Mo1830-0600, w rzeczywisto¶ci oznacza to poniedzia³ek pomiêdzy pó³noc± a szóst± rano oraz pomiêdzy 18:30 i pó³noc±.
Specjalne ci±gi opisuj±ce czas, Never i Any, oznaczaj± odpowiednio, ¿e po³±czenia nie mog± byæ realizowane lub mog± byæ realizowane o dowolnej godzinie.
UUCP Taylora posiada równie¿ szereg specjalnych leksemów, których mo¿esz u¿ywaæ w opisie czasu, jak NonPeak i Night. Te szczególne leksemy to odpowiednio skróty od Any2300-0800,SaSu0800-1700 i Any1800-0700,SaSu.
Polecenie time przyjmuje opcjonalnie drugi argument opisuj±cy w minutach czas powtarzania. Gdy próba nawi±zania po³±czenia siê nie powiedzie, uucico poczeka z wykonaniem kolejnej próby przez pewien okres czasu. Na przyk³ad gdy ustawisz czas powtarzania na 5 minut, uucico bêdzie odmawiaæ dzwonienia do zdalnego systemu przez 5 minut, poczynaj±c od ostatniej nieudanej próby. Domy¶lnie uucico u¿ywa schematu wyk³adniczego, gdzie okres przed ponown± prób± zwiêksza siê przy ka¿dym kolejnym niepowodzeniu.
Polecenie timegrade pozwala na powi±zanie czasów z maksymalnym stopniem buforowania. Na przyk³ad za³ó¿my, ¿e we wpisie system masz nastêpuj±ce polecenia timegrade:

timegrade      N Wk1900-0700,SaSu
timegrade      C Any

Taki zapis oznacza, ¿e zadania o stopniu buforowania C lub wy¿szym (zwykle poczta jest kolejkowana ze stopniem B lub C) zostan± przes³ane po zestawieniu po³±czenia, natomiast grupy dyskusyjne (zwykle zakolejkowane ze stopniem N) s± przesy³ane tylko w nocy i w weekendy.
Podobnie jak time, tak i timegrade posiada trzeci argument opisuj±cy przerwê (w minutach) przed ponowieniem próby.
Jednak s± tu pewne zastrze¿enia co do stopni buforowania. Przede wszystkim opcja timegrade dotyczy tylko tego, co wysy³a twój system. System zdalny mo¿e wci±¿ przesy³aæ, co chce. Mo¿esz u¿yæ opcji call-timegrade, aby jawnie za¿±daæ wysy³ania jedynie zadañ o stopniu wy¿szym ni¿ zadany, ale nie ma gwarancji, ¿e ¿±danie to zostanie wys³uchane*. 
Podobnie pole timegrade nie jest sprawdzane, gdy dzwoni system zdalny, a wiêc wszelkie zadania zakolejkowane dla niego zostan± wys³ane. Jednak system zdalny mo¿e w jawny sposób za¿±daæ, aby twoje uucico ograniczy³o siê do pewnego stopnia buforowania.
Identyfikowanie dostêpnych urz±dzeñ poprzez plik port
Plik port informuje uucico o dostêpnych portach. S± to zwykle porty modemowe, ale obs³ugiwane s± tak¿e inne typy portów, na przyk³ad bezpo¶rednie ³±cza szeregowe i gniazda TCP.
Podobnie jak plik sys, tak i port sk³ada siê z oddzielnych wpisów rozpoczynaj±cych siê od s³owa kluczowego port, za którym nastêpuje nazwa portu. Nazwa nie musi byæ unikalna. Je¿eli istnieje kilka portów o tej samej nazwie, uucico bêdzie je sprawdzaæ po kolei, a¿ znajdzie ten, który nie jest w³a¶nie u¿ywany.
Zaraz za poleceniem port powinna wystêpowaæ dyrektywa type wskazuj±ca typ opisywanego portu. Dopuszczalne typy to modem, direct dla ³±czy bezpo¶rednich i tcp dla gniazd TCP. Je¿eli brakuje polecenia port, domy¶lnym typem jest modem.
Tutaj omówimy tylko porty modemowe. Porty TCP i ³±cza bezpo¶rednie s± opisane dalej.
W przypadku portów modemowych i bezpo¶rednich, w dyrektywie device musisz podaæ urz±dzenie, przez które chcesz dzwoniæ. Zwykle jest to nazwa specjalnego pliku urz±dzenia w katalogu /dev, na przyk³ad /dev/ttyS1.
W przypadku modemu wpis port okre¶la równie¿, jakiego typu modem jest pod³±czony. Ró¿ne typy modemów musz± byæ odpowiednio skonfigurowane. Nawet modemy, które deklaruj± kompatybilno¶æ ze standardem Hayesa, nie zawsze s± naprawdê kompatybilne ze sob±. Dlatego musisz poinformowaæ uucico, jak zainicjowaæ modem i zadzwoniæ na ¿±dany numer. UUCP Taylora przechowuje opis wszystkich urz±dzeñ w pliku dial. Aby u¿yæ którego¶ z nich, musisz podaæ jego nazwê za pomoc± polecenia dialer.
Czasem bêdziesz chcia³ u¿ywaæ modemu na ró¿ne sposoby, w zale¿no¶ci od tego, do jakiego systemu dzwonisz. Na przyk³ad niektóre starsze modemy trac± orientacjê, gdy szybkie modemy próbuj± siê ³±czyæ z prêdko¶ci± 56 kilobitów na sekundê. Po prostu zrywaj± po³±czenie, zamiast negocjowaæ na przyk³ad prêdko¶æ 9600 bitów na sekundê. Gdy wiesz, ¿e o¶rodek drop u¿ywa takich ma³o inteligentnych modemów, musisz inaczej skonfigurowaæ swój modem, gdy tam dzwonisz. Potrzebujesz dodatkowego wpisu w pliku port, który wskazuje inny typ urz±dzenia dzwoni±cego. W tym przypadku mo¿esz nadaæ nowemu portowi inn± nazwê, jak serial1-slow i u¿yæ dyrektywy port we wpisie dla systemu drop w pliku sys.
Porty najlepiej rozró¿nia siê na podstawie obs³ugiwanych przez nie prêdko¶ci. Na przyk³ad dwa opisy portów dla powy¿szej sytuacji mog³yby wygl±daæ tak:

# NakWell modem; po³±czenie przy du¿ej prêdko¶ci
port      serial1        # nazwa portu
type      modem          # port modemu
device    /dev/ttyS1     # to jest COM2
speed     115200         # obs³ugiwana prêdko¶æ
dialer    nakwell        # normalny typ
# NakWell modem; po³±czenie przy niskiej prêdko¶ci
port      serial1        # nazwa portu
type      modem          # port modemu
device    /dev/ttyS1     # to jest COM2
speed     9600           # obs³ugiwana prêdko¶æ
dialer    nakwell-slow   # nie próbuj szybkiego po³±czenia

W opisie systemu drop jako nazwa portu widnieje teraz serial1, ale bêdzie obs³ugiwane tylko ¿±dania po³±czenia z prêdko¶ci± 9600 bitów na sekundê. uucico automatycznie u¿yje drugiego portu. Wszystkie pozosta³e o¶rodki, które ³±cz± siê z prêdko¶ci± 115200 bitów na sekundê, bêd± u¿ywa³y pierwszego wpisu. Domy¶lnie bêdzie u¿ywany pierwszy wpis, który obs³uguje odpowiedni± prêdko¶æ.
Jak dzwoniæ pod zadany numer u¿ywaj±c pliku dial
Plik dial opisuje, w jaki sposób s± u¿ywane ró¿ne typy urz±dzeñ. Tradycyjnie UUCP rozmawia z urz±dzeniami, a nie z modemami, poniewa¿ dawniej zwykle dostêpne by³o jedno (drogie!) urz±dzenie dzwoni±ce, które obs³ugiwa³o ca³y zestaw modemów. Obecnie wiêkszo¶æ modemów ma wbudowan± obs³ugê dzwonienia, a wiêc to rozró¿nienie przestaje byæ wa¿ne.
Niezale¿nie od tego, czy mamy do czynienia z urz±dzeniami dzwoni±cymi, czy z modemami, ró¿ne ich typy mog± wymagaæ odmiennej konfiguracji. Ka¿dy z nich mo¿esz opisaæ w pliku dial. Wpisy w dial rozpoczynaj± siê od polecenia dialer zawieraj±cego nazwê urz±dzenia.
Najwa¿niejszy wpis po dialer to dialog modemu opisywany przez polecenie chat. Podobnie do dialogu logowania, sk³ada siê z wielu ci±gów znaków, które uucico wysy³a do urz±dzenia dzwoni±cego, oraz z odpowiedzi, których oczekuje. Zwykle jest on u¿ywany do ustawienia modemu w jakim¶ znanym stanie i wykrêcenia numeru. Poni¿szy przyk³adowy wpis dialer pokazuje typowy dialog modemu dla modemów kompatybilnych ze standardem Hayesa:

# NakWell modem; po³±czenie przy du¿ej prêdko¶ci
dialer         nakwell      # nazwa urz±dzenia
chat           "" AT&F OK\r ATH1E0Q0 OK\r ATDT\T CONNECT
chat-fail      BUSY
chat-fail      ERROR
chat-fail      NO\sCARRIER
dtr-toggle     true

Dialog modemu rozpoczyna siê od "", czyli oczekiwanego ci±gu pustego. uucico w tej sytuacji wysy³a natychmiast pierwsze polecenie AT&F. Jest to polecenie Hayesa ustawiaj±ce modem w konfiguracji fabrycznej. uucico nastêpnie czeka, a¿ modem wy¶le OK, i przekazuje nastêpne polecenie, które z kolei wy³±cza lokalne echo i tym podobne. Po odebraniu z modemu kolejnego OK, uucico wysy³a polecenie dialogu ATDT. Sekwencja unikowa \T w ci±gu znaków zostaje zast±piona numerem telefonu odczytanym z wpisu w pliku sys. uucico nastêpnie czeka, a¿ modem zwróci ci±g CONNECT, który sygnalizuje, ¿e po³±czenie z modemem zdalnym zosta³o pomy¶lnie nawi±zane.
Czasem modemom nie udaje siê po³±czyæ z systemem zdalnym. Na przyk³ad je¿eli drugi system akurat z kim¶ siê ³±czy i linia jest zajêta. W takiej sytuacji modem zwraca b³±d wskazuj±cy powód niepowodzenia. Dialogi modemowe nie s± w stanie obs³u¿yæ takich b³êdów. uucico dalej czeka na oczekiwany ci±g znaków, a¿ up³ynie zadany czas. W pliku log UUCP w takiej sytuacji pokazany jest jedynie komunikat "timed out in chat script" (up³yn±³ czas oczekiwania w skrypcie dialogowym), zamiast wskazania konkretnego powodu.
Jednak UUCP Taylora pozwala na poinformowanie uucico o tych komunikatach b³êdów. S³u¿y do tego polecenie chat-fail pokazane powy¿ej. Gdy uucico wykryje ci±g nieudanego dialogu podczas dialogu modemowego, przerywa po³±czenie i loguje komunikat do pliku log UUCP.
Ostatnie polecenie w pokazanym powy¿ej przyk³adzie informuje UUCP, by przed rozpoczêciem dialogu modemowego prze³±czy³o liniê steruj±c± DTR (Data Terminal Ready). Normalnie urz±dzenie szeregowe uaktywnia DTR, gdy proces otworzy urz±dzenie, aby poinformowaæ pod³±czony modem, ¿e kto¶ chce z nim siê po³±czyæ. Funkcja dtr-toggle deaktywuje DTR, czeka chwilê i aktywuje go ponownie. Wiele modemów mo¿na skonfigurowaæ tak, by reagowa³y na deaktywacjê DTR przez roz³±czenie, przej¶cie do trybu wprowadzania poleceñ czy wyzerowanie siê*.
Przesy³anie UUCP przez TCP
U¿ywanie UUCP do przesy³ania danych przez TCP mo¿e brzmieæ absurdalnie, ale nie jest to z³y pomys³, szczególnie gdy przesy³asz du¿e ilo¶ci danych, jak grupy dyskusyjne Usenetu. Na ³±czach opartych o TCP grupy s± przewa¿nie wymieniane przez protokó³ NNTP, w którym ¿±dane artyku³y s± przesy³ane pojedynczo, bez kompresji lub innej optymalizacji. Choæ technika ta sprawdza siê dla du¿ych o¶rodków o kilku równoleg³ych po³±czeniach grup, to nie jest zbyt lubiana przez ma³e o¶rodki, które odbieraj± swoje grupy przez relatywnie wolne po³±czenia, jak ISDN. Te o¶rodki zwykle bêd± chcia³y po³±czyæ jako¶æ TCP z zaletami wysy³ania grup w du¿ych porcjach, które mog± byæ kompresowane i przesy³ane bez nadmiarowych informacji. Zwykle przesy³a siê je za pomoc± UUCP przez TCP.
W pliku sys okre¶lasz system wywo³ywany przez TCP w nastêpuj±cy sposób:

system       gmu
address      news.groucho.edu
time         Any
port         tcp-conn
chat         ogin: vstout word: clouseau

Polecenie address zawiera adres IP hosta lub jego pe³n± nazwê domenow±. Odpowiedni wpis port wygl±da³by tak:

port         tcp-conn
type         tcp
service      540

Wpis ten mówi, ¿e po³±czenie TCP powinno byæ u¿ywane, gdy wpis sys zawiera ci±g tcp-conn i ¿e uucico powinno próbowaæ ³±czyæ siê z portem 540 hosta zdalnego w sieci TCP. Jest to domy¶lny port us³ugi UUCP. Zamiast numeru portu, w poleceniu service mo¿esz podaæ tak¿e jego symboliczn± nazwê. Odpowiadaj±cy jej numer portu bêdzie poszukiwany w pliku /etc/services. Powszechnie u¿ywan± nazw± dla us³ug UUCP jest uucpd.
U¿ywanie po³±czenia bezpo¶redniego
Za³ó¿my, ¿e u¿ywasz bezpo¶redniego ³±cza przy komunikacji systemu vstout z systemem tiny. Podobnie jak w przypadku modemu, musisz stworzyæ w pliku sys odpowiedni wpis opisuj±cy system. Polecenie port identyfikuje port, do którego jest pod³±czony system tiny:

system       tiny
time         Any
port         direct1
speed        38400
chat         ogin: cathcart word: catch22

W pliku port musisz opisaæ port szeregowy dla po³±czenia bezpo¶redniego. Wpis dialer jest zbyteczny, poniewa¿ nie ma potrzeby dzwonienia:

port         directl
type         direct
speed        38400
device       /dev/ttyS1
Kontrola dostêpu do funkcji UUCP
UUCP jest systemem do¶æ elastycznym. Dlatego trzeba kontrolowaæ uwa¿nie dostêp do jego funkcji, aby zapobiec celowym lub przypadkowym nadu¿yciom. Podstawowe funkcje UUCP, którymi powinien siê zaj±æ administrator, to wykonywanie zdalnych poleceñ, przesy³anie plików i przekazywanie. UUCP Taylora pozwala na pewne ograniczenie dzia³ania ka¿dej z funkcji, którym musi siê podporz±dkowaæ zdalny host UUCP. Starannie dobrawszy prawa dostêpu, administrator UUCP mo¿e byæ pewny, ¿e host jest bezpieczny.
Wykonywanie polecenia
Zadaniem UUCP jest przypilnowanie kopiowania plików z jednego systemu do innego i ¿±danie wykonania pewnych poleceñ na hostach zdalnych. Oczywi¶cie ty jako administrtor chcia³by¶ kontrolowaæ prawa przydzielane innym systemom, poniewa¿ pozwalanie im na wykonanie w twoim systemie dowolnego polecenia zdecydowanie nie jest dobrym pomys³em.
Domy¶lnie jedynymi poleceniami, jakie UUCP Taylora pozwala wykonywaæ innym systemom na twoim komputerze, s± rmail i rnews, powszechnie u¿ywane do wymiany poczty i grup dyskusyjnych Usenetu przez UUCP. Aby zmieniæ zestaw poleceñ dla jakiego¶ systemu, mo¿esz u¿yæ s³owa kluczowego commands w pliku sys. Mo¿esz te¿ ograniczyæ ¶cie¿kê poszukiwañ jedynie do katalogów zawieraj±cych dozwolone polecenia, u¿ywaj±c dyrektywy command-path. Na przyk³ad mo¿esz pozwoliæ systemowi pablo na wykonywanie, oprócz poleceñ rmail i rnews, tak¿e polecenia bsmtp*:

system      pablo
...
commands    rmail rnews bsmtp
Przesy³anie plików
UUCP Taylora pozwala równie¿ dostosowaæ przesy³anie plików dok³adnie do twoich potrzeb. Mo¿esz wy³±czyæ przesy³anie plików do i z jakiego¶ systemu. Po prostu ustaw request na warto¶æ no, a system zdalny nie bêdzie w stanie ani odbieraæ, ani wysy³aæ ¿adnych plików z twojego systemu. Podobnie mo¿esz zakazaæ u¿ytkownikom przesy³ania plików do i z systemu, ustawiaj±c opcjê transfer na no. Domy¶lnie u¿ytkownicy obu systemów, lokalnego i zdalnego, nie bêd± mogli przesy³aæ plików w ¿adn± stronê.
Poza tym mo¿esz skonfigurowaæ katalogi, do których i z których mog± byæ kopiowane pliki. Zwykle ograniczasz dostêp zdalnych systemów tylko do jednego drzewa katalogów, ale wci±¿ pozwalasz u¿ytkownikom na wysy³anie plików z ich katalogu macierzystego. Przewa¿nie zdalni u¿ytkownicy maj± prawo pobieraæ pliki jedynie z publicznego katalogu UUCP, /var/spool/uucppublic. Jest to tradycyjne miejsce publicznego udostêpniania plików, podobnie jak serwery FTP w Internecie**. 
UUCP Taylora udostêpnia cztery ró¿ne polecenia do konfigurowania katalogów do wysy³ania i odbierania plików. S± to: local-send - okre¶la listê katalogów, z których u¿ytkownik mo¿e wysy³aæ pliki przez UUCP, local-receive - okre¶la listê katalogów, z których u¿ytkownik mo¿e pobieraæ pliki, remote-send oraz remote-receive, które dzia³aj± analogicznie, ale dla ¿±dañ z systemów zdalnych. Przyjrzyj siê poni¿szemu przyk³adowi:

system            pablo
...
local-send        /home ~
local-receive     /home ~/receive
remote-send      ~ !~/incoming !~/receive
remote-receive   ~/incoming

Polecenie local-send pozwala u¿ytkownikom twojego hosta na wysy³anie dowolnych plików z katalogu poni¿ej /home i z publicznego katalogu UUCP do systemu pablo. Polecenie local-receive pozwala na umieszczanie plików w dostêpnym do publicznego zapisu katalogu receive w uucppublic lub w dostêpnych do publicznego zapisu katalogach poni¿ej /home. Dyrektywa remote-send pozwala systemowi pablo na ¿±danie plików z katalogu /var/spool/uucppublic, poza plikami zawartymi w katalogach incoming i receive. Jest to sygnalizowane uucico przez poprzedzenie nazw katalogów wykrzyknikami. Ostatni wiersz pozwala pablo na umieszczanie plików w katalogu incoming.
G³ównym problemem przy przesy³aniu plików za pomoc± UUCP jest to, ¿e pliki s± odbierane tylko do katalogów, które s± publicznie dostêpne do zapisu. Mo¿e to skusiæ niektórych u¿ytkowników do zastawiania pu³apek na innych. Jednak nie da siê rozwi±zaæ tego problemu inaczej, ni¿ przez ca³kowite zablokowanie przesy³ania plików do UUCP.
Przekazywanie
UUCP oferuje mechanizm pozwalaj±cy na inicjacjê przesy³ania plików w twoim imieniu. Za³ó¿my na przyk³ad, ¿e twój system ma dostêp uucp do systemu seci, ale nie ma dostêpu do systemu uchile. Za po¶rednictwem wspomnianego mechanizmu mo¿esz poprosiæ seci, aby odebra³ dla ciebie pliki z uchile i wys³a³ je do twojego systemu. Mo¿na to zrobiæ poni¿szym poleceniem:

$ uucp -r seci!uchile!~/find-ls.gz ~/uchile.files.gz

Ta technika przekazywania zadañ przez kilka systemów jest nazywana po prostu przekazywaniem (ang. forwarding). W twoim systemie UUCP mo¿esz ograniczyæ us³ugê przekazywania do kilku hostów, o których wiesz, ¿e nie nabij± ci ogromnego rachunku telefonicznego przy ¶ci±ganiu najnowszych plików ¼ród³owych X11R6.
Domy¶lnie UUCP Taylora w ogóle wy³±cza przekazywanie. Aby je w³±czyæ dla jakiego¶ systemu, mo¿esz u¿yæ polecenia forward. Polecenie to wypisuje listê o¶rodków, które mog± ¿±daæ od ciebie przekazania zadañ do nich i od nich. Na przyk³ad administrator UUCP systemu seci móg³by dodaæ nastêpuj±ce wiersze do pliku sys, by pozwoliæ systemowi pablo na ¶ci±ganie plików z uchile:

########################
# pablo
system         pablo
...
forward         uchile
########################
# uchile
system          uchile
...
forward-to      pablo

Wpis forward-to dla uchile jest potrzebny po to, by wszystkie odbierane pliki by³y przekazywane do pablo. W przeciwnym razie UUCP by je odrzuca³o. Wpis ten wykorzystuje odmianê polecenia forward pozwalaj±c± uchile na wysy³anie plików tylko do pablo przez seci, a nie w inny sposób.
Aby zezwoliæ na przekazywanie do dowolnego systemu, u¿yj specjalnego s³owa kluczowego ANY (wymagane du¿e litery).

Konfigurowanie systemu do przyjmowania po³±czeñ komutowanych
Je¶li chcesz skonfigurowaæ swój system tak, aby przyjmowa³ po³±czenia komutowane, musisz zezwoliæ na logowanie do twojego portu szeregowego i dostosowaæ niektóre pliki systemowe do obs³ugi kont UUCP. Omówimy to w tym podrozdziale.
Zapewnienie kont UUCP
Na pocz±tek musisz skonfigurowaæ konta u¿ytkownika, które pozwol± zdalnym o¶rodkom logowaæ siê do twojego systemu i realizowaæ po³±czenie UUCP. Musisz stworzyæ oddzieln± nazwê dla ka¿dego systemu, który bêdzie siê z tob± ³±czy³. Przy konfigurowaniu konta dla systemu pablo mo¿esz wykorzystaæ nazwê u¿ytkownika Upablo. Nie ma tutaj ¿adnych ustalonych zasad tworzenia nazw u¿ytkowników, a wiêc mog± byæ dowolne; wygodniej jest, je¿eli nazwa u¿ytkownika wi±¿e siê w jaki¶ sposób z nazw± hosta zdalnego.
W przypadku systemów, które wdzwaniaj± siê przez port szeregowy, zwykle dodajesz konta w pliku /etc/passwd. Dobrze jest umie¶ciæ wszystkie identyfikatory UUCP w specjalnej grupie, na przyk³ad uuguest. Katalog macierzysty kont powinien byæ ustawiony na publiczny katalog bufora /var/spool/uucppublic. Pow³oka logowania musi byæ ustawiona na uucico.
Aby obs³u¿yæ systemy UUCP ³±cz±ce siê do ciebie przez TCP, musisz skonfigurowaæ inetd tak, aby obs³ugiwa³ po³±czenia przychodz±ce na port uucp. W tym celu dodaje siê poni¿szy wiersz do pliku /etc/inetd.conf*:

uucp   stream   tcp   nowait   root   /usr/sbin/tcpd   /usr/lib/uucp/uucico -l

Opcja -l powoduje, ¿e uucico przeprowadza w³asn± procedurê uwierzytelniania. Pyta o nazwê u¿ytkownika i has³o, tak jak standardowy program login, ale wykorzystuje swoj± prywatn± bazê hase³, zamiast /etc/passwd. Prywatny plik hase³ nazywa siê /etc/uucp/passwd i zawiera po³±czone w pary: nazwy u¿ytkowników i has³a:

Upablo   IslaNegra
Ulorca   co'rdoba

Plik ten musi byæ w³asno¶ci± uucp i mieæ prawa dostêpu 600.
Czy ta baza danych wygl±da na tyle sensownie, by¶ chcia³ jej u¿ywaæ tak¿e do zwyk³ego logowania przez ³±cza szeregowe? Oczywi¶cie, w pewnych sytuacjach mo¿esz. Potrzebujesz jedynie programu getty, który w przypadku u¿ytkowników UUCP ma mo¿liwo¶æ wywo³ania uucico zamiast /bin/login**. Wywo³anie uucico wygl±da tak:

/usr/lib/uucp/uucico -l -u u¿ytkownik

Opcja -u mówi, by uucico u¿ywa³ zadanej nazwy u¿ytkownika, zamiast o ni± pytaæ*.
Aby zabezpieczyæ twoich u¿ytkowników UUCP przed dzwoni±cymi, którzy mogliby podaæ fa³szyw± nazwê systemu i przej±æ ca³± pocztê, powiniene¶ dodaæ polecenia called-login do ka¿dego wpisu systemu w pliku sys. Wyja¶niamy to w nastêpnym podrozdziale.
Zabezpieczanie siê przed kanciarzami
G³ównym problemem UUCP jest to, ¿e dzwoni±cy system mo¿e podaæ fa³szyw± nazwê. Po zalogowaniu siê system podaje nazwê, ale serwer nie ma sposobu na jej sprawdzenie. Dlatego atakuj±cy móg³by zalogowaæ siê na swoje konto UUCP, udawaæ kogo¶ innego i pobraæ pocztê przeznaczon± dla innego o¶rodka. Jest to szczególnie problematyczne, gdy oferujesz logowanie anonimowe, gdzie has³o jest publicznie dostêpne.
Musisz broniæ siê przed oszustami. Ka¿dy system powinien u¿ywaæ jakiej¶ nazwy u¿ytkownika podanej w called-login w pliku sys. Przyk³adowy wpis móg³by wygl±daæ tak:

system      pablo
... typowe opcje...
called-login   Upablo

Rezultat jest taki, ¿e gdy system siê zaloguje i twierdzi, ¿e nazywa siê pablo, uucico sprawdza, czy zalogowa³ siê jako Upablo. Je¿eli nie, system dzwoni±cy jest wy³±czany, a po³±czenie - zrywane. Dopisywanie polecenia called-login do ka¿dego wpisu systemowego w twoim pliku sys powinno wej¶æ ci w krew. Wa¿ne jest, by¶ zrobi³ to dla wszystkich systemów z twojego pliku sys, bez wzglêdu na to, czy kiedykolwiek bêd± dzwoni³y do twojego o¶rodka, czy nie. Dla tych, które nigdy nie dzwoni±, powiniene¶ ustawiæ called-login na jak±¶ ca³kowicie fa³szyw± nazwê u¿ytkownika, jak neverlogsin.
B±d¼ paranoikiem: sprawdzanie licznika po³±czeñ
Innym sposobem ochrony swojego systemu i wykrywania oszustów jest u¿ycie licznika wywo³añ. Pomaga on zabezpieczyæ siê przed intruzami, którzy w jaki¶ sposób zdobyli has³o i mog± siê zalogowaæ do twojego systemu UUCP.
Sprawdzanie licznika po³±czeñ polega na tym, ¿e obie maszyny ¶ledz± liczbê zrealizowanych do tej pory po³±czeñ. Licznik jest zwiêkszany przy ka¿dym po³±czeniu. Po zalogowaniu siê dzwoni±cy wysy³a swój kolejny numer, a odbiorca porównuje go z w³asnym numerem. Je¿eli siê nie zgadzaj±, próba po³±czenia koñczy siê odmow±. Je¿eli pierwsza liczba zostanie wybrana losowo, intruz bêdzie mia³ problem, by poprawnie zgadn±æ kolejny numer po³±czenia.
Jednak sprawdzanie licznika po³±czeñ to co¶ wiêcej. Nawet je¿eli jaki¶ m±drala wykry³by twój numer po³±czenia i twoje has³o, dowiedzia³by¶ siê o tym. Gdy atakuj±cy dzwoni do twojego wêz³a pocztowego UUCP i kradnie pocztê, numer porz±dkowy w wê¼le zwiêksza siê o jeden. Nastêpnie, gdy ty zadzwonisz to twojego wêz³a i spróbujesz siê zalogowaæ, zdalne uucico odmówi ci, poniewa¿ numery nie bêd± siê zgadza³y!
Je¿eli w³±czy³e¶ sprawdzanie licznika po³±czeñ, powiniene¶ przegl±daæ regularnie pliki log, poszukuj±c komunikatów b³êdów, które informuj± o potencjalnych atakach. Je¿eli twój system odrzuca numer po³±czenia odebrany z systemu dzwoni±cego, uucico umieszcza w pliku log komunikat o tre¶ci "Out of sequence call rejected" (odrzucono po³±czenie o z³ym numerze porz±dkowym). Je¿eli twój system zostanie odrzucony przez wêze³ ze wzglêdu na z³y numer, w pliku log pojawi siê komunikat "Handshake failed (RBADSEQ)" (Uzgadnianie siê nie powiod³o).
Aby w³±czyæ sprawdzanie licznika po³±czeñ, dodaj poni¿sze polecenie do opisu systemu:

# w³±czenie sprawdzania licznika po³±czeñ
sequence      true

Ponadto musisz stworzyæ plik zawieraj±cy sam numer po³±czenia. UUCP Taylora przechowuje ten numer w pliku .Sequence w katalogu buforowym hosta zdalnego. Plik musi byæ w³asno¶ci± u¿ytkownika uucp i musi mieæ prawa 600 (to znaczy prawa czytania i zapisu tylko dla u¿ytkownika uucp). Najlepiej jest zainicjowaæ ten plik wcze¶niej uzgodnion± warto¶ci± losow±. Prosty sposób na utworzenie tego pliku jest nastêpuj±cy:

# cd /var/spool/uucp/pablo
# echo 94316 > .Sequence
# chmod 600 .Sequence
# chown uucp.uucp .Sequence

Oczywi¶cie zdalny o¶rodek musi tak¿e w³±czyæ sprawdzanie licznika po³±czeñ i rozpocz±æ od tego samego numeru co ty.
Anonimowe UUCP
Gdyby¶ chcia³ daæ anonimowy dostêp UUCP do swojego systemu, musia³by¶ najpierw stworzyæ specjalne konto zgodnie z tym, co wspomnieli¶my wcze¶niej. Powszechnie tworzy siê konto o nazwie i ha¶le uucp.
Ponadto musisz skonfigurowaæ kilka opcji bezpieczeñstwa dla nieznanych systemów. Na przyk³ad mo¿esz zakazaæ im wykonywania pewnych poleceñ w twoim systemie. Jednak nie mo¿esz ustawiæ tych parametrów w pliku sys, poniewa¿ polecenie system wymaga podania nazwy systemu, a tej nie znasz. UUCP Taylora rozwi±zuje ten problem przez polecenie unknown. Mo¿e byæ ono u¿ywane w pliku config do okre¶lenia dowolnego polecenia, które zwykle pojawia siê w opisie systemu:

unknown      remote-receive ~/incoming
unknown      remote-send ~/pub
unknown      max-remote-debug none
unknown      command-path /usr/lib/uucp/anon-bin
unknown      commands rmail

Utrudnia to nieznanym systemom pobieranie plików z katalogu pub i wrzucanie plików do katalogu incoming w /var/spool/uucppublic. Nastêpny wiersz powoduje, ¿e uucico bêdzie ignorowaæ wszelkie ¿±dania od systemów odnosz±ce siê do lokalnego w³±czenia debugowania. Ostatnie dwa wiersze zezwalaj± nieznanym systemom na wywo³anie rmail. Jednak podana ¶cie¿ka zezwala uucico szukaæ polecenia rmail tylko w katalogu prywatnym anon-bin. To ograniczenie pozwala na udostêpnienie specjalnego polecenia rmail, które na przyk³ad przekazuje ca³± pocztê superu¿ytkownikowi do sprawdzenia. Pozwala to anonimowym u¿ytkownikom na dotarcie do w³a¶ciciela systemu, ale jednocze¶nie zapobiega wysy³aniu poczty do innych o¶rodków.
Aby w³±czyæ anonimowe UUCP, musisz w pliku config podaæ przynajmniej jedn± dyrektywê unknown. W przeciwnym razie uucico odrzuci wszystkie nieznane systemy.
Protoko³y niskiego poziomu w UUCP
Aby wynegocjowaæ z drug± stron± sterowanie sesj± i przesy³anie plików, uucico u¿ywa zestawu standardowych komunikatów. Czêsto nazywa siê to protoko³em wysokiego poziomu. W czasie fazy inicjacyjnej i fazy zawieszania s± one wysy³ane w postaci prostych ci±gów znaków. Jednak w czasie fazy rzeczywistego przesy³ania u¿ywany jest dodatkowo protokó³ niskiego poziomu, przewa¿nie przezroczysty dla wy¿szych poziomów. Protokó³ ten daje pewne dodatkowe mo¿liwo¶ci, jak sprawdzanie b³êdów w wysy³anych danych w przypadku zawodnych ³±czy.
Przegl±d protoko³ów
UUCP jest u¿ywane z ró¿nymi typami po³±czeñ, jak ³±cza szeregowe, TCP lub czasem nawet X.25. Korzystne jest przesy³anie UUCP w protoko³ach stworzonych specjalnie dla ni¿szych protoko³ów sieciowych. Ponadto kilka implementacji UUCP zawiera ró¿ne protoko³y, które robi± z grubsza to samo.
Protoko³y mo¿na podzieliæ na dwie kategorie: strumieniowe i pakietowe. Protoko³y strumieniowe przesy³aj± plik w ca³o¶ci, obliczaj±c ewentualnie jego sumê kontroln±. W takiej sytuacji prawie nie istnieje nadmiarowo¶æ, ale wymagane jest niezawodne po³±czenie, poniewa¿ najmniejszy b³±d powoduje, ¿e ca³y plik musi byæ przes³any ponownie. Te protoko³y s± przewa¿nie u¿ywane w po³±czeniach TCP, ale nie nadaj± siê do u¿ytku w liniach telefonicznych. Choæ nowoczesne modemy doskonale koryguj± b³êdy, nie s± idealne. Nie ma te¿ mo¿liwo¶ci wykrycia b³êdów wystêpuj±cych pomiêdzy twoim komputerem a modemem.
Natomiast protoko³y pakietowe dziel± plik na kilka równych czê¶ci. Ka¿dy pakiet jest wysy³any i odbierany niezale¿nie, obliczana jest suma kontrolna, a do nadawcy zwracane jest potwierdzenie. Aby usprawniæ dzia³anie tych protoko³ów, opracowano protoko³y przesuwnego okna (ang. sliding-window protocols), których zadaniem jest przyjêcie pewnej ograniczonej liczby (okno) zaleg³ych potwierdzeñ w dowolnej chwili. Znacznie skraca to czas przestoju uucico w czasie przesy³ania. Relatywnie du¿a nadmiarowo¶æ w porównaniu z protoko³ami strumieniowymi powoduje, ¿e protoko³y pakietowe s± nieefektywne we wspó³pracy z TCP, natomiast s± idealne dla linii telefonicznych.

Rozszerzenie ¶cie¿ki danych tak¿e nie jest bez znaczenia. Czasem niemo¿liwe jest wysy³anie znaków 8-bitowych przez ³±cze szeregowe. Na przyk³ad po³±czenie mog³oby prowadziæ do uproszczonego terminala serwera, który obcina ostatni bit. Gdy przesy³asz 8-bitowe znaki przez 7-bitowe po³±czenie, musz± byæ one maskowane. W najgorszym przypadku cytowanie dwukrotnie zwiêksza liczbê przesy³anych danych, choæ mo¿na to wyrównaæ kompresj± realizowan± sprzêtowo. Linie, które mog± przesy³aæ dowolne znaki 8-bitowe, s± zwykle nazywane 8-bit clean. Takie w³a¶nie s± wszystkie po³±czenia TCP oraz wiêkszo¶æ po³±czeñ modemowych.
UUCP Taylora w wersji 1.06 obs³uguje szereg protoko³ów UUCP. Najwa¿niejsze z nich to:
g

Jest to najpopularniejszy protokó³ i powinien byæ rozumiany przez praktycznie wszystkie uucico. Gruntownie sprawdza b³êdy i doskonale nadaje siê do szumi±cych linii telefonicznych. g wymaga po³±czenia 8-bitowego. Jest protoko³em pakietowym, wykorzystuj±cym technikê przesuwnego okna.
i

Jest to pakietowy protokó³ dwukierunkowy, który mo¿e wysy³aæ i odbieraæ pliki w tym samym czasie. Wymaga po³±czenia w pe³nym dupleksie i 8-bitowej ¶cie¿ki danych. Aktualnie wspó³pracuje tylko z UUCP Taylora.
t

Ten protokó³ jest przeznaczony do stosowania w po³±czeniach TCP lub innych sieciach naprawdê wolnych od b³êdów. Wykorzystuje 1024-bajtowe pakiety i wymaga po³±czenia 8-bitowego.
e

Ten protokó³ w zasadzie dzia³a tak samo jak t. G³ówna ró¿nica polega na tym, ¿e e jest protoko³em strumieniowym i dlatego nadaje siê jedynie do stosowania w niezawodnych sieciach.
f

Ten protokó³ jest przeznaczony do stosowania w niezawodnych po³±czeniach X.25. Jest to protokó³ strumieniowy i wymaga 7-bitowej ¶cie¿ki danych. Znaki 8-bitowe s± maskowane, co mo¿e powodowaæ, ¿e protokó³ nie bêdzie efektywny.
G

Jest to wersja protoko³u g implementowana przez 4. wydanie systemu V. Jest obs³ugiwany równie¿ przez inne wersje UUCP.
a

Ten protokó³ jest podobny do protoko³u ZMODEM. Wymaga po³±czenia 8-bitowego, ale maskuje pewne znaki steruj±ce, jak XON i XOFF.
Strojenie protoko³u transmisji
Wszystkie protoko³y toleruj± pewne ró¿nice w rozmiarach pakietów, czasach oczekiwania itp. Zwykle domy¶lne warto¶ci dzia³aj± dobrze w standardowych warunkach, ale mog± nie byæ optymalne w twojej sytuacji. Na przyk³ad protokó³ g wykorzystuje rozmiary okien od 1 do 7 i rozmiary pakietów bêd±ce potêg± 2 pocz±wszy od 64 do 4096. Je¿eli twoja linia telefoniczna zwykle jest tak zak³ócona, ¿e gubi wiêcej ni¿ 5 procent wszystkich pakietów, powiniene¶ zmniejszyæ rozmiar pakietu i okna. Z drugiej strony przy bardzo dobrych liniach telefonicznych, potwierdzanie ka¿dego 128-bajtowego pakietu mo¿e byæ marnotrawstwem, a wiêc mo¿e warto wtedy zwiêkszyæ rozmiar pakietu do 512 lub nawet 1024 bajtów. Wiêkszo¶æ plików binarnych zawartych w dystybucjach Linuksa ma domy¶ln± warto¶æ rozmiaru okna 7 i pakietu 128 bajtów.
UUCP Taylora pozwala dostroiæ parametry poleceniem protocol-parameter umieszczanym w pliku sys. Na przyk³ad, aby ustawiæ rozmiar pakietu dla protoko³u g na warto¶æ 512 w czasie po³±czenia z pablo, musisz dodaæ:

system      pablo
...
protocol-parameter g packet-size 512

Parametry, które mo¿na zmieniaæ, i ich nazwy nie s± jednakowe dla wszystkich protoko³ów. Ich pe³n± listê znajdziesz w dokumentacji do³±czonej do kodu ¼ród³owego UUCP Taylora.
Wybór okre¶lonych protoko³ów
Nie ka¿da implementacja uucico rozumie wszystkie protoko³y, a wiêc w fazie wstêpnego uzgadniania oba procesy musz± ustaliæ jeden wspólny protokó³. Nadrzêdny system uucico oferuje podleg³emu listê obs³ugiwanych protoko³ów, wysy³aj±c Pprotlist, z której system podleg³y musi co¶ wybraæ.
W oparciu o typ u¿ywanego portu (modem, TCP lub po³±czenie bezpo¶rednie), uucico tworzy domy¶ln± listê protoko³ów. Dla modemu i po³±czenia bezpo¶redniego lista ta zwykle zawiera protoko³y i, a, g, G i j. Dla po³±czeñ TCP lista zawiera t, e, i, a, g, G, j i f. Tak± domy¶ln± listê wolno zmieniæ za pomoc± polecenia protocols, które mo¿na umie¶ciæ w opisie zarówno systemu, jak i portu. Na przyk³ad móg³by¶ dokonaæ edycji pliku port twojego modemu i zmieniæ go tak:

port         serial1
...
protocols      igG

Tym sposobem wszelkie przychodz±ce i wychodz±ce przez ten port po³±czenia bêd± u¿ywa³y i, g lub G. Je¿eli system zdalny nie obs³uguje ¿adnego z nich, po³±czenie siê nie powiedzie.
Rozwi±zywanie problemów
Ten podrozdzia³ opisuje, co mo¿e siê nie udaæ przy po³±czeniu UUCP, i podpowiada, gdzie szukaæ b³êdu i jak go poprawiæ. Pokazujemy tu najczê¶ciej spotykane problemy, ale wyst±piæ mog± te¿ inne - po prostu nie wszystkie zdo³ali¶my tu pokazaæ.
Je¿eli masz problem, w³±cz debugowanie przez -xall i przyjrzyj siê wynikowi w pliku Debug w katalogu bufora. Plik ten powinien ci pomóc szybko rozpoznaæ problem. Czêsto pomocne jest w³±czenie g³o¶nika modemu, gdy nie nawi±zuje on po³±czenia. W przypadku modemów kompatybilnych ze standardem Hayesa, mo¿esz w³±czyæ g³o¶nik, dodaj±c ATL1M1 OK w dialogu modemu w pliku dial.
Przede wszystkim powiniene¶ sprawdziæ, czy wszystkie prawa dostêpu do plików s± poprawne. uucico powinno mieæ prawo setuid uucp, a wszystkie pliki w katalogach /usr/lib/uucp, /var/spool/uucp i /var/spool/uucppublic powinny byæ w³asno¶ci± uucp. Istnieje tak¿e kilka plików ukrytych w katalogu buforowym. One tak¿e musz± byæ w³asno¶ci± uucp*. 
Gdy jeste¶ ju¿ pewny, ¿e prawa dostêpu do wszystkich plików s± poprawne, a nadal masz problemy, mo¿esz zacz±æ bardziej dos³ownie traktowaæ komunikaty o b³êdach. Przyjrzyjmy siê teraz kilku najczê¶ciej spotykanym b³êdom i problemom.
uucico wci±¿ mówi "Wrong Time to Call"
Oznacza to, ¿e prawdopodobnie w opisie systemu  w pliku sys nie poda³e¶ polecenia time ze szczegó³ami dotycz±cymi dzwonienia lub zapisa³e¶ je w taki sposób, ¿e nie mo¿na ich wykorzystaæ. Je¿eli nie ma rozk³adu dzwonienia, uucico uznaje, ¿e do systemu nie mo¿na dzwoniæ.
uucico zg³asza, ¿e o¶rodek jest ju¿ zablokowany
Oznacza to, ¿e uucico wykrywa w katalogu /var/spool/uucp plik blokuj±cy dla systemu zdalnego. Plik blokuj±cy mo¿e byæ pozosta³o¶ci± po poprzednim po³±czeniu, które uleg³o awarii lub zosta³o przerwane. Inne wyt³umaczenie to inny proces uucico, który próbowa³ zadzwoniæ do systemu zdalnego i zatrzyma³ siê w skrypcie dialogowym lub z innego powodu.
Aby naprawiæ ten b³±d, za pomoc± sygna³u zawieszenia zatrzymaj wszystkie aktywne procesy uucico dla danego o¶rodka i usuñ wszelkie pozosta³e po nich pliki blokuj±ce.
Mo¿esz pod³±czyæ siê do o¶rodka zdalnego, ale skrypt dialogowy nie dzia³a
Przyjrzyj siê komunikatowi otrzymanemu z o¶rodka zdalnego. Je¿eli jest on uszkodzony, mo¿e to oznaczaæ problemy z prêdko¶ci±. W przeciwnym razie potwierd¼, ¿e naprawdê zgadza siê z tym, czego oczekuje twój skrypt dialogowy. Pamiêtaj, ¿e skrypt dialogowy rozpoczyna od ci±gu oczekiwanego. Je¿eli odebra³e¶ monit logowania i wys³a³e¶ swoj± nazwê, ale nigdy nie dosta³e¶ pytania o has³o, wstaw opó¼nienie przed jej wys³aniem lub nawet miêdzy literami. Mo¿e dzia³asz za szybko dla swojego modemu.
Twój modem nie dzwoni
Je¿eli twój modem nie pokazuje, ¿e linia DTR zosta³a uaktywniona, gdy uucico dzwoni³, urz±dzenie uucico mo¿e nie byæ poprawne. Je¿eli twój modem rozpoznaje DTR, sprawd¼ programem termiala, ¿e mo¿esz pisaæ do modemu. Je¿eli to dzia³a, w³±cz echo opcj± \E na pocz±tku dialogu z modemem. Je¿eli modem nie powtórzy twojego polecenia w czasie dialogu, sprawd¼, czy prêdko¶æ linii jest odpowiednia. Je¿eli zobaczysz echo, sprawd¼, czy wy³±czy³e¶ odpowiedzi modemu lub ustawi³e¶ kody. Zweryfikuj poprawno¶æ samego skryptu dialogowego. Pamiêtaj, ¿e aby wys³aæ do modemu odwrotny uko¶nik musisz napisaæ dwa takie no¶niki. 
Twój modem próbuje dzwoniæ, ale nie udaje mu siê wyj¶æ na zewn±trz
Wstaw opó¼nienie w numerze telefonu, szczególnie je¿eli musisz wybieraæ specjaln± sekwencjê, aby wyj¶æ z sieci telefonicznej firmy na zewn±trz. Upewnij siê, ¿e u¿ywasz poprawnego typu urz±dzenia, poniewa¿ niektóre sieci telefoniczne obs³uguj± tylko jeden typ dzwonienia. Sprawd¼ dwa razy numer telefonu, by mieæ pewno¶æ, ¿e jest on poprawny.
Logowanie udaje siê, ale uzgadnianie nie
Mo¿e to oznaczaæ wiele ró¿nych problemów. Wynik pliku log powinien ci co¶ podpowiedzieæ. Zobacz, jakie protoko³y oferuje zdalny o¶rodek (wysy³a on w czasie uzgadniania ci±g znaków P protlist). Aby uzgadnianie siê powiod³o, obie strony musz± obs³ugiwaæ przynajmniej jeden wspólny protokó³, a wiêc sprawd¼, czy to robi±.
Je¿eli system zdalny wysy³a RLCK, oznacza to, ¿e w o¶rodku zdalnym, do którego jeste¶ ju¿ pod³±czony przez inn± liniê, zalega przedawniony plik blokuj±cy. W takiej sytuacji popro¶ administratora systemu zdalnego o usuniêcie pliku.
Je¿eli zdalny system wysy³a RBADSEQ, to ma w³±czone zliczanie po³±czeñ z tob±, ale licznik siê nie zgadza. Je¿eli wysy³a RLOGIN, nie masz prawa zalogowaæ siê z danym ID.
Pliki log i debugowanie
Gdy kompilujesz pakiet UUCP, by wykorzystywa³ Taylorowskie logowanie b³êdów, masz tylko trzy pliki log znajduj±ce siê w katalogu buforowym. G³ówny plik log nosi nazwê Log i zawiera wszelkie informacje o zestawionych po³±czeniach i przes³anych plikach. Typowy fragment wygl±da (po niewielkim przeformatowaniu w celu dopasowania do strony) tak:

uucico pablo - (1994-05-28 17:15:01.66 539) Calling system pablo (port cua3)
uucico pablo - (1994-05-28 17:15:39.25 539) Login successful
uucico pablo - (1994-05-28 17:15:39.90 539) Handshake successful 
         (protocol 'g' packet size 1024 window 7)
uucico pablo postmaster (1994-05-28 17:15:43.65 539) Receiving D.pabloB04aj
uucico pablo postmaster (1994-05-28 17:15:46.51 539) Receiving X.pabloX04ai
uucico pablo postmaster (1994-05-28 17:15:48.91 539) Receiving D.pabloB04at
uucico pablo postmaster (1994-05-28 17:15:51.52 539) Receiving D.pabloX04as
uucico pablo postmaster (1994-05-28 17:15:54.01 539) Receiving D.pabloB04c2
uucico pablo postmaster (1994-05-28 17:15:57.17 539) Receiving D.pabloX04c1
uucico pablo - (1994-05-28 17:15:59.05 539) Protocol 'g' packets: sent 15,
               resent 0, received 32
uucico pablo - (1994-05-28 17:16:02.50 539) Cal complete (26 seconds)
uuxqt pablo postmaster (1994-05-28 17:16:11.41 546) Executing X.pabloX04ai
               (rmail okir)
uuxqt pablo postmaster (1994-05-28 17:16:13.30 546) Executing X.pabloX04as
               (rmail okir)
uuxqt pablo postmaster (1994-05-28 17:16:13.51 546) Executing X.pabloX04c1
               (rmail okir)

Drugi wa¿nym plikiem log jest Stats, który zawiera statystyki dotycz±ce przesy³anych plików. Czê¶æ Stats odpowiedzialna za powy¿sze transfery wygl±da tak (znów wiersze podzielono, aby zmie¶ciæ je na stronie):

postmaster pablo (1994-05-28 17:15:44.78)
   received 1714 bytes in 1.802 seconds (951 bytes/sec)
postmaster pablo (1994-05-28 17:15:46.66)
   received 57 bytes in 0.634 seconds (89 bytes/sec)
postmaster pablo (1994-05-28 17:15:49.91)
   received 1898 bytes in 1.599 seconds (1186 bytes/sec)
postmaster pablo (1994-05-28 17:15:51.67)
   received 65 bytes in 0.555 seconds (117 bytes/sec)
postmaster pablo (1994-05-28 17:15:55.71)
   received 3217 bytes in 2.254 seconds (1427 bytes/sec)
postmaster pablo (1994-05-28 17:15:57.31)
   received 64 bytes in 0.590 seconds (110 bytes/sec)

Trzeci plik to Debug. Zapisywane s± w nim informacje pomocne w debugowaniu. Je¿eli u¿ywasz debugowania, upewnij siê, czy plik ten ma prawa dostêpu 600. W zale¿no¶ci od wybranego trybu debugowania mo¿e zawieraæ nazwê u¿ytkownika i has³o u¿ywane do po³±czenia ze zdalnym systemem.
Je¿eli masz jakie¶ narzêdzia do przegl±dania plików log w tradycyjnym formacie u¿ywanym przez implementacje kompatybilne z HDB, mo¿esz równie¿ skompilowaæ UUCP Taylora tak, by generowa³o logi w stylu HDB. To kwestia w³±czenia opcji w pliku config.h w czasie kompilacji.


17
Poczta elektroniczna


Rozdzia³ 17: Poczta elektroniczna


Przesy³anie poczty elektronicznej pozostaje najbardziej widocznym zastosowaniem sieci, pocz±wszy od jej wynalezienia. U zarania e-mail by³ prost± us³ug±, która polega³a na kopiowaniu pliku z komputera na komputer i dodawaniu go do pliku skrzynki pocztowej odbiorcy. Idea wci±¿ jest ta sama, choæ stale rozwijaj±ca siê sieæ ze z³o¿onymi zasadami rutingu i rosn±c± liczb± wiadomo¶ci wymusi³a  powstanie bardziej skomplikowanych schematów dzia³ania.
Opracowano ró¿ne standardy wymiany poczty. O¶rodki w Internecie przyjê³y standard wy³o¿ony w RFC-822 i rozwijany w dalszych RFC. Jest to niezale¿ny od komputera sposób na przesy³anie przez pocztê elektroniczn± po prostu wszystkiego, w³±cznie z grafik±, plikami d¼wiêkowymi i zestawami znaków specjalnych*. CCITT zdefiniowa³a inny standard, X.400, który jeszcze funkcjonuje w du¿ych firmach i organizacjach rz±dowych, ale stopniowo wychodzi z u¿ycia.
Dla systemów Unix stworzono ca³kiem spor± liczbê programów do przesy³ania poczty. Jeden z najlepiej znanych to sendmail, napisany przez Erica Allmana z Uniwersytetu Kalifornijskiego w Berkeley. Eric Allman obecnie udostêpnia sendmail w ramach komercyjnego przedsiêwziêcia, ale program pozostaje darmowy. sendmail jest dostarczany jako standardowy agent pocztowy w wielu dystrybucjach Linuksa. Konfiguracjê sendmaila opisujemy w rozdziale 18, Sendmail.
Linux wykorzystuje równie¿ Exima, napisanego przez Philipa Hazela z uniwersytetu w Cambridge. Konfiguracjê Exima opisujemy w rozdziale 19, Exim.
W porównaniu z sendmailem, Exim ma raczej skromne mo¿liwo¶ci. Wielu o¶rodkom potrzebuj±cym poczty jednak wystarczaj±.
Zarówno Exim, jak i sendmail obs³uguj± zestaw plików konfiguracyjnych, który musi byæ dostosowany do potrzeb systemu. Poza informacjami, których wymaga podsystem poczty (jak nazwa hosta lokalnego), istnieje wiele parametrów, które mo¿na dostosowywaæ. Przy pierwszym zetkniêciu g³ówny plik konfiguracyjny sendmaila jest bardzo trudny do zrozumienia. Wygl±da jakby twój kot zdrzemn±³ siê na klawiaturze, nacisn±wszy klawisz [Shift]. Pliki konfiguracyjne Exima s± bardziej uporz±dkowane i ³atwiejsze do zrozumienia. Jednak Exim nie obs³uguje bezpo¶rednio UUCP, lecz tylko adresy domenowe. Mo¿e teraz nie jest to ju¿ tak niedogodne, jak niegdy¶. Wiêkszo¶ci o¶rodków ograniczenia Exima nie przeszkadzaj±. Jednak konfiguracja obu programów jest równie czasoch³onna.
W tym rozdziale powiemy, co to jest poczta elektroniczna i z jakimi zagadnieniami styka siê jej administrator. Rozdzia³y 18 i 19 zawieraj± instrukcje dotycz±ce konfiguracji sendmaila i Exima. Powinny one wystarczyæ do uruchomienia mniejszych o¶rodków , ale oczywi¶cie opcji jest du¿o wiêcej i mo¿esz spêdziæ wiele godzin przed swoim komputerem na konfigurowaniu wymy¶lnych funkcji.
W tym rozdziale krótko omówimy ustawienie elma - popularnego agenta pocztowego u¿ytkownika dla systemów uniksowych, tak¿e dla Linuksa.
Wiêcej informacji na temat poczty elektronicznej w Linuksie znajdziesz w Electronic Mail HOWTO, autorstwa Guylhema Aznara*; ten dokument jest regularnie rozsy³any na listê dyskusyjn± comp.os.linux.answers. Pakiety dystrybucyjne elma, Exima i sendmaila tak¿e zawieraj± szczegó³owe dokumentacje, które powinny odpowiedzieæ na wiêkszo¶æ pytañ na temat ich konfigurowania, a my w odpowiednich rozdzia³ach podajemy odniesienia do tej dokumentacji. Je¿eli potrzebujesz ogólnych informacji na temat poczty elektronicznej, przejrzyj ró¿ne RFC.
Co to jest wiadomo¶æ pocztowa
Mówi±c bardzo ogólnie, wiadomo¶æ pocztowa sk³ada siê z tre¶ci i specjalnych danych administracyjnych okre¶laj±cych odbiorcê, sposób przesy³ania, i tym podobne informacje, które równie¿ widzisz, gdy patrzysz na normaln± kopertê listu.
Te dane administracyjne pasuj± do dwóch kategorii. W pierwszej znajduj± siê wszelkie dane, w³a¶ciwe dla sposobu przesy³ania, jak adres nadawcy i odbiorcy. Dlatego nazywa siê je kopert±. Mo¿na je zmieniaæ przez oprogramowanie transportowe w czasie przekazywania wiadomo¶ci.
Druga kategoria to wszelkie dane niezbêdne do obs³u¿enia wiadomo¶ci, nie zwi±zane z ¿adnym szczególnym mechanizmem transportowym, czyli temat wiadomo¶ci, lista wszystkich odbiorców i data wys³ania wiadomo¶ci. W wielu sieciach przyjê³o siê poprzedzanie wiadomo¶ci tymi danymi, a wiêc utworzenie tak zwanego nag³ówka poczty. Jest on oddzielony pustym wierszem od tre¶ci wiadomo¶ci**. 
Wiêkszo¶æ oprogramowania do przesy³ania poczty w ¶wiecie Uniksa u¿ywa formatu nag³ówka zdefiniowanego w RFC-822. Pierwotnym celem tego dokumentu by³o okre¶lenie standardu dla sieci ARPANET, ale poniewa¿ z za³o¿enia by³ to standard niezale¿ny od ¶rodowiska, ³atwo zosta³ zaadaptowany do innych sieci, w³±cznie z wieloma sieciami opartymi na UUCP.
Jednak RFC-822 jest najmniejszym wspólnym mianownikiem. W ostatnich latach wymy¶lono nowe standardy, aby poradziæ sobie z nowymi potrzebami, takimi jak szyfrowanie danych, miêdzynarodowy zestaw znaków i MIME (Multipurpose Internet Mail Extensions), opisany m.in. w RFC-1341.
We wszystkich tych standardach nag³ówek sk³ada siê z kilku wierszy oddzielonych sekwencj± koñca wiersza. Wiersz sk³ada siê z nazwy pola w pierwszej kolumnie i samego pola oddzielonego dwukropkiem i bia³ym znakiem. Format i sk³adnia ka¿dego pola zale¿± od nazwy pola. Pole nag³ówka mo¿na przenosiæ do nastêpnego nowego wiersza, je¿eli rozpoczyna siê on od bia³ego znaku, np. tabulatora. Pola mog± pojawiaæ siê w dowolnej kolejno¶ci.
Typowy nag³ówek poczty mo¿e wygl±daæ tak:

Return-Path: <ph10@cus.cam.ac.uk>
Received: ursa.cus.cam.ac.uk (cusexim@ursa.cus.cam.ac.uk [131.111.8.6])
   by al.animats.net (8.9.3/8.9.3/Debian 8.9.3-6) with ESMTP id WAA04654
   for <terry@animats.net>; Sun, 30 Jan 2000 22:30:01 +1100
Received: from ph10 (helo=localhost) by ursa.cus.cam.ac.uk with local-smtp
   (Exim 3.13 #1) id 12EsYC-0001EeF-00; Sun, 30 Jan 2000 11:29:52 +0000
Date: Sun, 30 Jan 2000 11:29:52 +0000 (GMT)
From: Philip Hazel <ph10@cus.cam.ac.uk>
Reply-To: Philip Hazel <ph10@cus.cam.ac.uk>
To: Terry Dawson <terry@animats.net>, Andy Oram <andyo@oreilly.com>
Subject: Electronic mail chapter
In-Reply-To: <38921283.A58948F2@animats.net>
Message-ID: <Pine.SQL.3.96.1000130111515.5800A-200000@ursa.cus.cam.ac.uk>

Zwykle wszystkie wymagane pola nag³ówka s± generowane przez interfejs programu pocztowego, takiego jak elm, pine, mush czy mailx. Jednak niektóre s± opcjonalne i mog± byæ dodawane przez u¿ytkownika. Na przyk³ad elm pozwala edytowaæ czê¶æ nag³ówka poczty. Pozosta³e s± dodawane przez oprogramowanie przesy³aj±ce pocztê. Je¿eli zajrzysz do pliku lokalnej skrzynki pocztowej, mo¿esz zobaczyæ, ¿e ka¿da wiadomo¶æ jest poprzedzona lini± "From" (uwaga: bez dwukropka). Nie jest to nag³ówek RFC-822. Zosta³ on wstawiony przez twój program pocztowy dla wygody programu czytaj±cego wiadomo¶ci z twojej skrzynki. Aby unikn±æ potencjalnych problemów z wierszami w tre¶ci wiadomo¶ci, które rozpoczynaj± siê równie¿ od s³owa "From", standardow± procedur± jest maskowanie ka¿dego takiego wyst±pienia znakiem >.
Oto zbiór popularnych pól nag³ówków i ich znaczenie:
From:   

Zawiera adres pocztowy nadawcy i czasem tak¿e jego "prawdziwe nazwisko". Formatowane bardzo ró¿nie.
To:   

Jest to lista adresatów wiadomo¶ci. Lista adresów jest oddzielana przecinkami.

Cc:

Jest to lista adresów e-mail, na które zostanie wys³ana kopia "do wiadomo¶ci". Lista adresów jest oddzielana przecinkami.
Bcc:

Jest to lista adresów e-mail, na które zostanie wys³ana kopia "do wiadomo¶ci". Kluczowa ró¿nica pomiêdzy "Cc:" i "Bcc:" jest taka, ¿e adresy wpisane w "Bcc:" nie pojawiaj± siê w nag³ówku dostarczonej wiadomo¶ci u ¿adnego odbiorcy. Jest to sposób na powiadomienie adresatów, ¿e wys³a³e¶ kopie wiadomo¶ci do innych osób, bez mówienia do kogo. Lista adresów jest oddzielana przecinkami.
Subject:

W kilku s³owach opisuje zawarto¶æ poczty.
Date:

Zawiera datê i czas wys³ania wiadomo¶ci.
Reply-To:

Okre¶la adres, na który nadawca chce przekierowaæ odpowied¼ odbiorcy. Mo¿e byæ to przydatne, je¿eli masz kilka kont, ale chcesz otrzymywaæ masow± pocztê na tym, którego u¿ywasz najczê¶ciej. To pole jest opcjonalne.
Organization:

Organizacja bêd±ca w³a¶cicielem komputera, z którego pochodzi wiadomo¶æ. Je¿eli twój komputer jest w³asno¶ci± prywatn±, pozostaw to pole puste lub wstaw s³owo "private" albo co¶ zupe³nie bez sensu. To pole nie jest opisane w RFC i jest ca³kowicie opcjonalne. Niektóre programy pocztowe obs³uguj± je bezpo¶redno, inne tego nie robi±.
Message-ID:

Ci±g znaków wygenerowany przez program do przesy³ania poczty w systemie wyj¶ciowym. Jest to unikalny identyfikator wiadomo¶ci.
Received:

Ka¿dy o¶rodek, który przetwarza twoj± wiadomo¶æ (w³±cznie z maszynami nadawcy i odbiorcy), wstawia takie pole do nag³ówka, podaj±c nazwê o¶rodka, ID wiadomo¶ci, czas i datê odebrania, z jakiego o¶rodka wiadomo¶æ nadesz³a i jakie oprogramowanie transportowe zosta³o u¿yte. Te linie pozwalaj± ci prze¶ledziæ trasê poczty i zg³osiæ reklamacjê do odpowiedzialnej osoby, je¿eli co¶ posz³o nie tak.
X-cokolwiek:

¯aden program zwi±zany z poczt± nie powinien narzekaæ na nag³ówek, który rozpoczyna siê od X-. Jest on u¿ywany do implementacji dodatkowych funkcji, które nie zosta³y jeszcze uwzglêdnione w RFC lub nigdy nie bêd±. Na przyk³ad istnia³ kiedy¶ bardzo du¿y serwer list pocztowych dla Linuksa, który pozwala³ okre¶liæ, z jakim kana³em chcesz siê po³±czyæ, przez wstawienie ci±gu znaków X-Mn-Key: i nazwy kana³u.

Jak jest dostarczana poczta
W zasadzie pocztê bêdziesz pisa³, u¿ywaj±c interfejsu pocztowego, takiego jak mail czy mailx, albo bardziej wyrafinowanych programów, takich jak mutt, tkrat czy pine. Programy te s± nazywane agentami pocztowymi u¿ytkownika (ang. mail user agents), w skrócie: MUA. Gdy wydajesz polecenie wys³ania wiadomo¶ci, program interfejsu w wiêkszo¶ci przypadków przekazuje j± innemu programowi - dorêczycielowi. S± to tak zwane agenty przesy³ania wiadomo¶ci  (ang. mail transport agents), w skrócie: MTA. W wiêkszo¶ci systemów to samo MTA jest u¿ywane do dostarczania zarówno poczty lokalnej, jak i zdalnej. Zwykle jest wywo³ywane jako /usr/sbin/sendmail lub jako /usr/lib/sendmail w systemach niezgodnych z FSSTND. W systemach UUCP nie jest niczym niezwyk³ym fakt, ¿e dostarczanie jest obs³ugiwane przez dwa oddzielne programy: rmail dla poczty zdalnej i lmail dla poczty lokalnej.
Lokalne dostarczanie poczty jest oczywi¶cie czym¶ wiêcej ni¿ do³±czeniem przychodz±cej wiadomo¶ci do skrzynki pocztowej odbiorcy. Zwykle lokalne MTA rozumie aliasy (konfigurowane po to, aby adresy odbiorcy wskazywa³y na inne adresy) i przekazywanie (przekierowywanie poczty u¿ytkownika w inne miejsce). Poza tym wiadomo¶ci, które nie mog± zostaæ dostarczone, zwykle musz± byæ odbite (ang. bounced), to znaczy zwrócone do nadawcy wraz z informacjê o b³êdzie.
W przypadku dostarczania zdalnego, oprogramowanie transportowe zale¿y od typu po³±czenia. Poczta wêdruj±ca przez sieæ TCP/IP zwykle u¿ywa protoko³u SMTP (Simple Mail Transfer Protocol), który jest opisany w RFC-821. SMTP ma dostarczaæ pocztê bezpo¶rednio do komputera odbiorcy, negocjuj±c transfer wiadomo¶ci z demonem SMTP strony zdalnej. Obecnie obs³ugê poczty w firmach organizuje siê w ten sposób, ¿e tworzy siê hosty, które przejmuj± ca³± pocztê dla adresatów z firmy, a nastêpnie kieruj± j± do wskazanego odbiorcy.
W sieciach UUCP poczta zwykle nie jest dostarczana bezpo¶rednio, lecz jest przekazywana do hosta docelowego przez szereg systemów po¶rednich. Aby wys³aæ wiadomo¶æ przez ³±cze UUCP, MTA po stronie nadawcy zwykle wykonuje polecenie rmail na systemie przekazuj±cym, u¿ywaj±c w tym celu uux, i przekazuje wiadomo¶æ na standardowe wej¶cie.
Poniewa¿ uux jest wywo³ywane oddzielnie dla ka¿dej wiadomo¶ci, mo¿e znacznie obci±¿aæ g³ówne huby pocztowe oraz za¶miecaæ kolejki buforowe UUCP setkami ma³ych plików zajmuj±cych nieproporcjonalnie wiele miejsca na dysku*. Dlatego niektóre MTA pozwalaj± ci zbieraæ kilka wiadomo¶ci dla systemu zdalnego w jeden plik wsadowy. Plik wsadowy zawiera te¿ polecenia SMTP, które zwykle wydaje host lokalny, je¿eli by³o u¿yte bezpo¶rednie po³±czenie SMTP. Nazywa siê to wsadowe SMTP lub BSMTP. Dalej plik wsadowy jest przekazywany do programu rsmtp lub bsmtp w systemie zdalnym, który przetwarza dane wej¶ciowe prawie tak samo, jakby to by³o normalne po³±czenie SMTP.
Adresy e-mail
Adresy e-mail sk³adaj± siê przynajmniej z dwóch czê¶ci. Jedna czê¶æ to nazwa domeny pocztowej, która ostatecznie zostanie przet³umaczona na host adresata lub jaki¶ host przyjmuj±cy pocztê w jego imieniu. Druga czê¶æ to unikalna nazwa u¿ytkownika. Mo¿e to byæ jego nazwa logowania, rzeczywiste nazwisko, postaæ "Imiê Nazwisko" albo dowolny alias, który zostanie przet³umaczony na nazwê u¿ytkownika lub listê u¿ytkowników. Inne schematy adresowania, jak X.400, u¿ywaj± bardziej ogólnego zestawu "atrybutów", u¿ywanych do poszukiwania hosta adresata na serwerze us³ug katalogowych X.500.
To, jak adresy e-mail s± interpretowane, zale¿y w du¿ym stopniu od typu sieci. Nas interesuje, jak sieci TCP/IP i UUCP interpretuj± adresy e-mail.
RFC-822
O¶rodki internetowe stosuj± standard RFC-822. Jest to dobrze znany wszystkim zapis: nazwa_u¿ytkownika@host.domena, gdzie host.domena to pe³na nazwa domenowa hosta. Poprawna nazwa znaku oddzielaj±cego te dwie czê¶ci to "commercial at", ale wygodniej czytaæ go jako "at". Taki zapis nie okre¶la trasy prowadz±cej do hosta docelowego. Ruting wiadomo¶ci jest obs³ugiwany przez mechanizmy, które opiszemy wkrótce.
Z RFC-822 bêdziesz siê stale spotyka³, je¿eli masz o¶rodek pod³±czony do Internetu. Jego zastosowanie wychodzi poza pocztê i obejmuje te¿ inne us³ugi, takie jak grupy dyskusyjne. To, jak RFC-822 jest u¿ywane w grupach dyskusyjnych, omawiamy w rozdziale 20, Grupy dyskusyjne.
Dawne formaty pocztowe
W pierwotnym ¶rodowisku UUCP powszechnie stosowana by³a nastêpuj±ca postaæ adresu: ¶cie¿ka!host!u¿ytkownik, gdzie ¶cie¿ka opisywa³a kolejno¶æ hostów, przez które wiadomo¶æ musia³a przej¶æ, aby osi±gn±æ host docelowy. Ta konstrukcja jest nazywana wykazem trasowania (ma te¿ zwyczajow± nazwê angielsk± bang path, od potocznej nazwy wykrzyknika bang). Obecnie wiele sieci opartych na UUCP stosuje siê do RFC-822 i rozumie adresy oparte na domenach.
Inne sieci wci±¿ inaczej rozumiej± adresowanie. Na przyk³ad sieci oparte na DECnet wykorzystuj± dwa dwukropki jako separator w adresie o postaci host::u¿ytkownik*. Standard X.400 wykorzystuje zupe³nie inny schemat, opisuj±c odbiorcê par± atrybut-warto¶æ, jak np. kraj i firma.
W sieci FidoNet ka¿dy u¿ytkownik jest identyfikowany przez kod typu 2:320/204.9 sk³adaj±cy siê z czterech liczb oznaczaj±cych strefê (2 to Europa), sieæ (320 to Pary¿ i okolice), wêze³ (lokalny hub) i punkt (PC indywidualnego u¿ytkownika). Adresy FidoNet mog± byæ odwzorowane na adresy standardu RFC-822. Przyk³ad powy¿szy móg³by zostaæ zapisany jako Thomas.Quinot@p9.f204.n320.z2.fidonet.org. Nie musimy dodawaæ, ¿e nazwy domen by³y ³atwe do zapamiêtania.
£±czenie ró¿nych formatów poczty
Wiadomo, ¿e tam, gdzie spotyka siê kilka ró¿nych standardów i paru m±drych ludzi, bêd± oni szukaæ sposobu na po³±czenie ró¿nych systemów, tak by mog³y ze sob± wspó³pracowaæ. W rezultacie istnieje szereg gatewayów, które ³±cz± ze sob± ze dwa ró¿ne systemy pocztowe, tak ¿e poczta mo¿e byæ przekazywana z jednego do drugiego. Przy ³±czeniu dwóch systemów krytycznym problemem jest adresowanie. Nie bêdziemy szczegó³owo rozwa¿aæ samych gatewayów, ale przyjrzymy siê kilku komplikacjom w adresowaniu, które mog± wyst±piæ przy pewnego typu gatewayach.
Zajmijmy siê po³±czeniem dwóch ró¿nych zapisów adresów: wykazem trasowania UUCP i RFC-822. Te dwa typy adresowania nie wspó³pracuj± zbyt dobrze. Za³ó¿my, ¿e mamy adres domenaA!u¿ytkownik@domenaB. Nie jest jasne, czy znak @ ma wy¿szy priorytet ni¿ ¶cie¿ka, czy odwrotnie: czy mamy wys³aæ wiadomo¶æ do domenyB i u¿ytkownika domenaA!u¿ytkownik, czy mo¿e do domenyA, która przeka¿e wiadomo¶æ do u¿ytkownika  w domenieB.
Adresy ³±cz±ce ró¿ne typy operatorów s± nazywane adresami hybrydowymi. W³a¶nie pokazany, najpowszechniejszy typ adresu jest zwykle rozwi±zywany przez nadanie priorytetu znakowi @, a nie ¶cie¿ce. W przypadku domenaA!u¿ytkownik@domenaB, oznacza to wys³anie wiadomo¶ci najpierw do domenyB.
Jednak istnieje sposób na okre¶lenie tras w RFC-822: <@domenaA,@domenaB:u¿ytkownik@domenaC> oznacza adres u¿ytkownika w domenieC, gdzie domenaC jest osi±galna przez domenêA i domenêB (w tej kolejno¶ci). Ten typ adresu czêsto jest nazywany adresem rutowanym ¼ród³owo (ang. source routed). Nie nale¿y jednak polegaæ na jego dzia³aniu, gdy¿ wersje RFC opisuj±ce ruting poczty zalecaj±, by ruting ¼ród³owy w adresie poczty by³ ignorowany i by by³a podejmowana próba bezpo¶redniego dostarczenia wiadomo¶ci do zdalnego celu.
W przypadku adresu z operatorem %: u¿ytkownik%domenaB@domenaA, poczta najpierw jest wysy³ana do domenyA, a znak % jest zamieniany na @. Adres w tym momencie ma postaæ u¿ytkownik@domenaB i program pocztowy przekazuje twoj± wiadomo¶æ do domenyB, w której jest dostarczana do podanego u¿ytkownika. Ten typ adresu jest czasem nazywany "Ye Olde ARPAnet Kludge". Nie radzimy go u¿ywaæ. 
Czasami istniej± pewne wskazania do u¿ywania ró¿nego sposobu adresowania. Zostan± one opisane w kolejnych podrozdzia³ach. W ¶rodowisku RFC-822 zalecamy adresy bezwzglêdne postaci u¿ytkownik@host.domena; raczej trzeba unikaæ innych formatów.

Jak dzia³a ruting poczty
Proces przekierowuj±cy wiadomo¶æ do hosta adresata jest nazywany rutingiem. Poza znalezieniem ¶cie¿ki od nadawcy do odbiorcy, uwzglêdnia sprawdzanie b³êdów i mo¿e te¿ uwzglêdniaæ prêdko¶æ i optymalizacjê kosztów.
Istnieje du¿a ró¿nica pomiêdzy sposobem, w jaki o¶rodek UUCP obs³uguje ruting, a sposobem, w jaki robi to o¶rodek internetowy. W Internecie g³ówne zadanie kierowania danych do hosta adresata (gdy ju¿ jest znany jego adres IP) jest realizowane przez warstwê sieciow± IP, natomiast w strefie UUCP trasa musi byæ dostarczona przez u¿ytkownika lub wygenerowana przez agenta przesy³aj±cego pocztê.
Ruting poczty w Internecie
W Internecie konfiguracja hosta docelowego okre¶la, czy jest realizowany jaki¶ szczególny ruting poczty. Domy¶lnie wiadomo¶æ jest dostarczana do celu nastêpuj±co: stwierdza siê, do jakiego hosta ma byæ wys³ana i przekazuje mu bezpo¶rednio. Wiêkszo¶æ o¶rodków internetowych chce przekierowywaæ ca³± przychodz±c± pocztê do  serwera pocztowego, który jest stale dostêpny, i jest w stanie obs³u¿yæ ca³y ruch i rozes³aæ pocztê lokalnie. Aby rozg³osiæ tê us³ugê, o¶rodek rozdaje przez bazê DNS tak zwane rekordy MX dla swojej lokalnej domeny. Skrót MX pochodzi od Mail Exchanger (system wymieniaj±cy pocztê); termin ten oznacza, ¿e serwer dzia³a jako system przekazuj±cy pocztê dla wszystkich adresów z danej domeny. Rekordy MX mog± byæ u¿ywane równie¿ do obs³ugi ruchu na rzecz hostów, które same nie s± pod³±czone do Internetu, jak sieci UUCP czy hosty FidoNet, których poczta musi byæ przekazywana przez gateway.
Rekordom MX zawsze jest przypisywany jaki¶ priorytet. Jest to dodatnia liczba ca³kowita. Je¿eli istnieje kilka systemów wymieniaj±cych pocztê dla jednego hosta, agent transportowy bêdzie próbowa³ wys³aæ wiadomo¶æ do hosta wymieniaj±cego pocztê, maj±cego najni¿szy priorytet. Je¿eli mu siê to nie uda, spróbuje u¿yæ hosta z wy¿sz± warto¶ci±. Je¿eli sam host lokalny jest systemem wymieniaj±cym pocztê dla adresu docelowego, mo¿e przekazywaæ wiadomo¶ci tylko do hostów MX o ni¿szym priorytecie ni¿ jego w³asny. Jest to dobry sposób na unikniêcie pêtli. Je¿eli nie istnieje rekord MX dla domeny lub nie pozosta³ ¿aden odpowiedni rekord, agent transportowy ma prawo sprawdziæ, czy domena ma zwi±zany z ni± adres IP, i próbuje dostarczyæ pocztê bezpo¶rednio do tego hosta.
Za³ó¿my, ¿e firma Foobar, Inc. chce, ¿eby jej poczta by³a obs³ugiwana przez ich komputer mailhub. W DNS-ie bêdzie mia³a nastêpuj±ce rekordy MX:

green.foobar.com   IN MX   5 mailhub.foobar.com.

Dziêki temu wiadomo, ¿e mailhub.foobar.com jest systemem wymieniaj±cym pocztê dla hosta green.foobar.com i ma priorytet 5. Host, który chce dostarczyæ pocztê do joe@green.foobar.com, sprawdza DNS i znajduje rekord MX wskazuj±cy na mailhub. Je¿eli nie ma rekordu MX o priorytecie mniejszym ni¿ 5, wiadomo¶æ jest dostarczana do mailhub, który z kolei przekazuje j± do green.
Jest to tylko bardzo prosty przyk³ad dzia³ania rekordów MX. Po wiêcej informacji na temat rutowania poczty zajrzyj do RFC-821, RFC-974 i RFC-1123 w Internecie.
Ruting poczty w ¶wiecie UUCP
Ruting poczty w sieciach UUCP jest du¿o bardziej skomplikowany ni¿ w Internecie, poniewa¿ oprogramowanie transportowe nie realizuje go samodzielnie. Kiedy¶ ca³a poczta by³a adresowana za pomoc± wykazów trasowania. Wykazy trasowania wymienia³y hosty, przez które nale¿a³o przekazywaæ wiadomo¶æ; poszczególne hosty oddzielano wykrzyknikami, a za hostem docelowym podawano nazwê u¿ytkownika. Aby zaadresowaæ list do u¿ytkownika Janet na komputerze moria, u¿y³by¶ ¶cie¿ki eek!swim!moria!janet. Wiadomo¶æ zosta³aby wys³ana z twojego hosta do komputera eek, a stamt±d do swim i ostatecznie do moria.
Oczywist± wad± tej techniki jest to, ¿e wymaga ona od ciebie pamiêtania wielu rzeczy na temat topologii sieci, szybkich ³±czy itp., czego nie wymaga ruting w Internecie. Co gorsza, je¶li przeoczysz jak±¶ zmianê w topologii sieci - jak usuniête ³±cza lub hosty - wiadomo¶æ nie dojdzie. Gdyby¶ za¶ przeniós³ siê w inne miejsce, z ca³± pewno¶ci± musia³by¶ uaktualniæ te wszystkie trasy.
Ruting ¼ród³owy ma swoje uzasadnienie, je¶li istniej± dwuznaczne nazwy hostów. Na przyk³ad za³ó¿my, ¿e s± dwa o¶rodki o nazwie moria, jeden w Stanach Zjednoczonych, a drugi we Francji. Do którego z nich odnosi siê adres moria!janet? Staje siê to jednoznaczne dopiero wtedy, gdy okre¶lisz drogê, któr± mo¿na dotrzeæ do moria.
Pierwszym krokiem do unikalno¶ci nazw hostów by³o rozpoczêcie projektu mapowania UUCP. Jest on prowadzony w Rutgers University. Rejestruje siê wszystkie oficjalne nazwy hostów UUCP wraz z informacj± o ich s±siadach UUCP i ich lokalizacji geograficznej. Informacje zebrane w ramach projektu mapowania UUCP s± publikowane jako Mapy Usenetu, które z kolei s± regularnie rozpowszechniane przez Usenet. Typowy opis systemu w mapie (po usuniêciu komentarzy) wygl±da tak*:

moria
   bert(DAILY/2),
   swim(WEEKLY)

Ten wpis mówi, ¿e moria ma po³±czenie z bertem, z którym ³±czy siê dwa razy dziennie, i ze swimem, z którym ³±czy siê raz w tygodniu. Format pliku map omówimy za chwilê bardziej szczegó³owo.
Korzystaj±c z informacji zawartych w mapach, mo¿esz automatycznie generowaæ pe³ne ¶cie¿ki z twojego hosta do o¶rodka docelowego. Ta informacja zwykle jest zapisywana w pliku paths, zwanym tak¿e baz± danych aliasów ¶cie¿ek. Za³ó¿my, ¿e z map wynika, ¿e mo¿esz dotrzeæ do berta przez ernie. Alias ¶cie¿ki dla hosta moria wygenerowany na podstawie poprzedniej szcz±tkowej mapy mo¿e wygl±daæ jako¶ tak:

moria      ernie!bert!moria!%s

Je¿eli teraz podasz adres docelowy janet@moria.uucp, twój MTA wykorzysta powy¿sz± trasê i wy¶le wiadomo¶æ do ernie z adresem postaci bert!moria!janet.
Tworzenie pliku paths na podstawie pe³nych map Usenetu nie jest jednak dobrym pomys³em. Informacja w nich zawarta zwykle bywa zniekszta³cona, a czasami nieaktualna. Dlatego tylko kilka g³ównych hostów u¿ywa pe³nych ¶wiatowych map UUCP do tworzenia swoich plików paths. Wiêkszo¶æ o¶rodków utrzymuje informacje o rutingu jedynie dla o¶rodków z ich s±siedztwa, a pocztê przeznaczon± dla o¶rodków, których nie mog± znale¼æ w swoich bazach, wysy³aj± do m±drzejszych hostów, które maj± pe³niejsz± informacjê o rutingu. Ten schemat nazywa siê rutingiem do inteligentnych hostów (ang. smart-host routing). Hosty, które maj± tylko jedno ³±cze UUCP (tak zwane o¶rodki brzegowe), same nie realizuj± ¿adnego rutingu. W pe³ni polegaj± na m±drym ho¶cie.
£±czenie UUCP i RFC-822
Jak dot±d najlepszym lekarstwem na problemy rutowania poczty w sieciach UUCP jest przyjêcie systemu nazw domen w sieciach UUCP. Oczywi¶cie, nie mo¿esz przez UUCP zadawaæ zapytañ do serwera nazw. Mimo to wiele o¶rodków UUCP stworzy³o ma³e domeny, które wewnêtrznie koordynuj± ich ruting. Domeny te og³aszaj± w mapach jeden lub dwa hosty jako swoje gatewaye, dlatego nie ka¿dy host musi mieæ wpis w domenie. Gatewaye obs³uguj± ca³± pocztê, która przychodzi do domeny i z niej wychodzi. Schemat rutingu wewn±trz domeny jest zupe³nie niewidoczny dla ¶wiata zewnêtrznego.
Dzia³a to bardzo dobrze w schemacie rutingu z inteligentymi hostami. Globalne informacje o rutingu s± utrzymywane jedynie przez gatewaye. Mniejsze hosty w domenie maj± jedynie ma³e, rêcznie pisane pliki paths, które podaj± informacje o trasach w obrêbie domeny i trasê do huba pocztowego. Nawet gatewaye pocztowe nie potrzebuj± ju¿ informacji o rutingu dla ka¿dego hosta UUCP na ¶wiecie. Poza pe³n± informacj± o obs³ugiwanej domenie, musz± one posiadaæ teraz w swojej bazie jedynie trasy do ca³ych domen. Na przyk³ad te aliasy ¶cie¿ek kieruj± ca³± poczt± dla o¶rodków domeny sub.org do hosta smurf:

.sub.org      swim!smurf!%s

Poczta adresowana do claire@jones.sub.org bêdzie wysy³ana do swim z adresem smurf!jones!claire.
Hierarchiczny porz±dek przestrzeni nazw domen pozwala serwerom pocztowym na ³±czenie dok³adniejszych tras z ogólnymi. Na przyk³ad system we Francji mo¿e mieæ specjalne trasy dla poddomeny fr, ale ca³± pocztê dla hostów w domenie us kierowaæ przez jaki¶ system w Stanach Zjednoczonych. W ten sposób ruting oparty na domenach (bo tak siê ta technika nazywa) znacznie redukuje rozmiar baz danych o rutingu oraz operacje administracyjne.
G³ówn± korzy¶ci± p³yn±c± z u¿ywania nazw domenowych w ¶rodowisku UUCP jest jednak zgodno¶æ z RFC-822, co pozwala ³atwo przekazywaæ pocztê pomiêdzy sieciami UUCP a Internetem. Wiele obecnych domen UUCP ma po³±czenie z gatewayem internetowym, który dzia³a jako ich inteligentny host. Wys³anie wiadomo¶ci przez Internet jest szybsze, a informacje o rutingu s± dok³adniejsze, poniewa¿ hosty w Internecie pos³uguj± siê DNS-em zamiast map Usenet.
Gateway internetowy domeny opartej na UUCP, który chce byæ dostêpny z Internetu, og³asza swój rekord MX (rekordy MX opisali¶my wcze¶niej w tym podrozdziale, w sekcji Ruting poczty w Internecie). Za³ó¿my, ¿e host moria nale¿y do domeny orcnet.org. Natomiast gcc.groucho.edu dzia³a jako jej gateway internetowy. moria u¿ywa wiêc gcc2 jako inteligentnego hosta, a wiêc ca³a poczta dla obcych domen jest wysy³ana przez Internet. Z drugiej strony gcc2 og³asza rekord MX dla domeny *.orcnet.org i dostarcza ca³± przychodz±c± pocztê dla o¶rodków orcnet do hosta moria. Gwiazdka w *.orcnet.org jest znakiem uniwersalnym; oznacza, ¿e pasuj± tu wszystkie hosty z domeny nie posiadaj±ce rekordów MX. Tak zwykle dzieje siê w przypadku czystych domen UUCP.
Pozosta³ nam do rozwi±zania jeszcze jeden problem, a mianowicie: programy transportowe UUCP nie mog± obs³ugiwaæ pe³nych nazw domenowych. Wiêkszo¶æ pakietów UUCP zosta³a tak zaprojektowana, by radziæ sobie z nazwami hostów o d³ugo¶ci do o¶miu znaków (a czasem nawet krótszymi), ale zupe³nie nie s± obs³ugiwane znaki niealfanumeryczne, takie jak kropki.
Dlatego trzeba t³umaczyæ nazwy RFC-822 na nazwy hostów UUCP. To mapowanie jest zupe³nie niezale¿ne od implementacji. Jednym z powszechnie stosowanych sposobów odwzorowania pe³nych nazw domenowych na nazwy UUCP jest zastosowanie pliku aliasów ¶cie¿ek:

moria.orcnet.org   ernie!bert!moria!%s

Dziêki temu, na podstawie pe³nego adresu domenowego, zostanie wygenerowany czysty adres UUCP w postaci wykazu trasowania. Niektóre programy pocztowe robi± to za pomoc± specjalnego programu. Na przyk³ad sendmail wykorzystuje uucpxtable.
Przekszta³cenie odwrotne (potocznie nazywane domenizowaniem) jest czasami wymagane przy wysy³aniu poczty z sieci UUCP do Internetu. Dopóki nadawca poczty u¿ywa w adresie docelowym pe³nej nazwy domenowej, wystarczy pozostawiæ nazwê domeny w adresie na kopercie przy przekazywaniu wiadomo¶ci do inteligentnego hosta. Niektóre o¶rodki UUCP jednak nie nale¿± do domeny. S± one zwykle "domenizowane" przez dodanie pseudodomeny uucp.
Baza aliasów ¶cie¿ek zapewnia g³ówne informacje o rutingu w sieciach UUCP. Typowy wpis wygl±da tak (nazwa o¶rodka i ¶cie¿ka s± oddzielone tabulatorami):

moria.orcnet.org   ernie!bert!moria!%s
moria              ernie!bert!moria!%s

Na podstawie tego wpisu ka¿da wiadomo¶æ przeznaczona dla hosta moria jest dostarczana przez ernie i bert. Je¿eli program nie ma niezale¿nego sposobu na odwzorowanie pomiêdzy przestrzeniami nazw, musi zostaæ podana pe³na nazwa domenowa hosta moria oraz jego nazwa UUCP.
Gdyby¶ chcia³ przekierowaæ do przeka¼nika poczty wszystkie wiadomo¶ci przeznaczone dla hostów znajduj±cych siê wewn±trz tej domeny, móg³by¶ podaæ tak¿e ¶cie¿kê w bazie aliasów ¶cie¿ek, poprzedzaj±c nazwê domeny kropk± oznaczaj±c± cel. Na przyk³ad, gdyby wszystkie hosty z domeny sub.org by³y osi±galne przez swim!smurf, wpis w bazie aliasów ¶cie¿ek móg³by wygl±daæ tak:

.sub.org      swim!smurf!%s

Pisanie plików z aliasami ¶cie¿ek jest dopuszczalne jedynie wtedy, gdy masz o¶rodek, który nie musi zbyt wiele rutowaæ. Je¿eli musisz realizowaæ ruting dla wielu hostów, lepiej jest u¿yæ polecenia pathalias do stworzenia pliku na podstawie plików map. Mapy mog± byæ utrzymywane w du¿o prostszy sposób, poniewa¿ mo¿esz po prostu dodawaæ lub usuwaæ system, edytuj±c wpis i tworz±c od nowa plik map. Choæ mapy publikowane w ramach projektu mapowania Usenetu rzadko s± u¿ywane do rutingu, mniejsze sieci UUCP mog± udostêpniaæ informacje o rutingu w swoich w³asnych zestawach map.
Na plik map sk³ada siê przede wszystkim lista o¶rodków odpytywanych przez ka¿dy system lub tych, przez które jest odpytywany nasz system. Nazwa systemu rozpoczyna siê w pierwszej kolumnie, a za ni± nastêpuje lista po³±czeñ oddzielonych przecinkami. Lista mo¿e ci±gn±æ siê przez kilka wierszy, je¿eli kolejne wiersze zaczynaj± siê od tabulatora. Ka¿de po³±czenie jest opisane przez nazwê o¶rodka oraz koszt podany w nawiasach kwadratowych. Koszt to wyra¿enie arytmetyczne z³o¿one z liczb oraz wyra¿eñ symbolicznych, takich jak DAILY lub WEEKLY. Wiersze rozpoczynaj±ce siê znakiem hasha s± ignorowane.
Jako przyk³ad rozwa¿my system moria, który odpytuje swim.twobirds.com dwa razy dziennie, a bert.sesame.com raz w tygodniu. £±cze do bert wykorzystuje wolny modem (2400 b/s). moria opublikuje nastêpuj±ce wpisy w mapach:

moria.orcnet.org
   bert.sesame.com(DAILY/2),
   swim.twobirds.com(WEEKLY+LOW)
moria.orcnet.org = moria

Dziêki ostatniemu wierszowi, host moria jest tak¿e znany pod nazw± UUCP. Zauwa¿, ¿e koszt musi byæ okre¶lony jako DAILY/2, poniewa¿ po³±czenie dwa razy dziennie w rzeczywisto¶ci zmniejsza koszt o po³owê.
Dziêki informacjom z takich plików map, pathalias jest w stanie obliczyæ optymaln± trasê do dowolnego o¶rodka docelowego umieszczonego w pliku ¶cie¿ek i wygenerowaæ na tej podstawiê bazê aliasów ¶cie¿ek, która z kolei mo¿e byæ wykorzystana do obs³ugi rutingu do tych o¶rodków.
pathalias pe³ni tak¿e kilka innych funkcji, jak ukrywanie o¶rodka (tzn. powodowanie, ¿e dostêp jest mo¿liwy tylko przez gateway). Szczegó³y oraz pe³n± listê kosztów ³±czy znajdziesz na stronie podrêcznika elektronicznego pathalias.
Komentarze w pliku map przewa¿nie zawieraj± dodatkowe informacje o opisywanych o¶rodkach. Ta informacja jest podawana wed³ug ¶ci¶le okre¶lonego schematu, i dziêki temu mo¿na j± uzyskaæ z map. Na przyk³ad program o nazwie uuwho wykorzystuje bazê danych, stworzon± na podstawie plików map, do wy¶wietlania elegancko sformatowanych informacji. Gdy zarejestrujesz swój o¶rodek w organizacji, która dystybuuje pliki map swoim cz³onkom, przewa¿nie musisz wype³niæ wpis do pliku map. Poni¿ej podajemy przyk³adowy wpis z pliku map (w rzeczywisto¶ci jest to wpis o¶rodka Olafa):

#N      monad, monad.swb.de, monad.swb.sub.org
#S      AT 486DX50; Linux 0.99
#O      private
#C      Olaf Kirch
#E      okir@monad.swb.de
#P      Kattreinstr. 38, D-64295 Darmstadt, FRG
#L      49 52 03 N / 08 38 40 E
#U      brewhq
#W      okir@monad.swb.de (Olaf Kirch); Sun Jul 25 16:59:32 MET DST 1993
#
monad   brewhq(DAILY/2)
# Domeny
monad = monad.swb.de
monad = monad.swb.sub.org

Bia³y znak wystêpuj±cy po pierwszych dwóch znakach w wierszu to tabulator. Znaczenie wiêkszo¶ci pól jest oczywiste. Szczegó³owy opis dostaniesz z domeny, w której siê zarejestrujesz. Najzabawniejsze jest pole L:, podaje twoj± pozycjê geograficzn± (szeroko¶æ/d³ugo¶æ) i jest u¿ywane do rysowania map postscriptowych pokazuj±cych wszystkie o¶rodki w ka¿dym kraju oraz na ¶wiecie*. 
Konfigurowanie elma
elm to skrót od s³ów electronic mail (poczta elektroniczna). Jest to jedno z bardziej sensownie nazwanych narzêdzi w Uniksie. Zapewnia pe³noekranowy interfejs z dobrze opracowan± funkcj± pomocy. Nie bêdziemy tutaj dawali instrukcji, jak u¿ywaæ elma, ale zajmiemy siê jego konfiguracj±.
Teoretycznie mo¿esz uruchomiæ elma bez konfiguracji i wszystko bêdzie dobrze dzia³a³o - je¿eli masz szczê¶cie. Jest jednak kilka opcji, które musz± byæ ustawione, choæ przydaj± siê tylko czasem.
Przy uruchamianiu elm odczytuje zestaw zmiennych konfiguracyjnych z pliku elm.rc w katalogu /etc/elm. Nastêpnie próbuje odczytaæ plik .elm/elmrc z twojego katalogu macierzystego. Zwykle sam nie tworzysz tego pliku. Jest on tworzony, gdy wybierzesz w menu opcji elma "Save new options".
Zestaw opcji dla prywatnego pliku elmrc jest dostêpny równie¿ w pliku globalnym elm.rc. Wiêkszo¶æ ustawieñ z twojego pliku prywatnego elmrc mo¿e zast±piæ ustawienia w pliku globalnym.
Opcje globalne elma
W pliku globalnym elm.rc musisz ustawiæ opcje zwi±zane z nazw± twojego hosta. Na przyk³ad w browarze wirtualnym plik hosta vlager jest nastêpuj±cy:

#
# Nazwa hosta
hostname = vlager
#
# Nazwa domeny
hostdomain = .vbrew.com
#
# Pe³na nazwa domenowa
hostfullname = vlager.vbrew.com

Te opcje daj± elmowi pojêcie o ho¶cie lokalnym. Choæ informacje te s± rzadko u¿ywane, powiniene¶ je jednak ustawiæ. Zauwa¿, ¿e te szczególne opcje dzia³aj± tylko w pliku globalnym. Je¿eli znajd± siê w twoim pliku prywatnym elmrc, bêd± ignorowane.
Narodowe zestawy znaków
Opracowano zestaw standardów i RFC, które wzbogaci³y standard RFC-822 o obs³ugê ró¿nych typów wiadomo¶ci, jak czysty tekst, dane binarne, pliki PostScript itp. Te standardy s± powszechnie znane jako MIME, czyli uniwersalne rozszerzenie poczty internetowej (Multipurpose Internet Mail Extensions). MIME pozwala miêdzy innymi, by odbiorca wiedzia³, czy w czasie pisania wiadomo¶ci zosta³ u¿yty inny zestaw znaków, ni¿ standardowe ASCII, czyli na przyk³ad francuskie czy niemieckie znaki diakrytyczne. elm w pewnym stopniu te znaki obs³uguje.
Do reprezentowania znaków u¿ywa siê w Linuksie zwykle zestawu ISO-8859-1. Jest on równie¿ znany pod nazw± Latin-1. Ka¿da wiadomo¶æ wykorzystuj±ca znaki z tego zestawu powinna mieæ w nag³ówku nastêpuj±c± liniê:

Content-Type: text/plain; charset=iso-8859-1

System odbiorczy powinien rozpoznawaæ to pole i wy¶wietlaæ wiadomo¶æ w odpowiedni sposób. Domy¶lna warto¶æ charset dla wiadomo¶ci text/plain to us-ascii.
Aby wy¶wietlaæ wiadomo¶ci zawieraj±ce zestawy znaków inne ni¿ ASCII, elm musi wiedzieæ, jak te znaki pokazaæ. Domy¶lnie, gdy elm odbiera wiadomo¶æ z polem charset o warto¶ci innej ni¿ us-ascii (lub typem tre¶ci innym ni¿ text/plain), próbuje j± wy¶wietliæ za pomoc± polecenia metamail. Wiadomo¶ci wymagaj±ce metamail s± pokazywane z literk± M w jednej z pierwszych kolumn na li¶cie wiadomo¶ci.
Poniewa¿ wbudowanym zestawem znaków Linuksa jest ISO-8859-1, wywo³ywanie metamail nie jest konieczne, by wy¶wietliæ wiadomo¶æ wykorzystuj±c± ten zestaw znaków. Je¿eli elm wie, ¿e urz±dzenie wy¶wietlaj±ce rozumie standard ISO-8859-1, nie bêdzie u¿ywaæ metamail, ale wy¶wietli wiadomo¶æ bezpo¶rednio. Mo¿na to w³±czyæ, ustawiaj±c poni¿sz± opcjê w globalnym pliku elm.rc:

displaycharset = iso-8859-1

Zauwa¿, ¿e powiniene¶ ustawiæ tê opcjê nawet wtedy, gdy nie zamierzasz wysy³aæ ani odbieraæ wiadomo¶ci rzeczywi¶cie zawieraj±cych znaki inne ni¿ ASCII. A to dlatego, ¿e ludzie wysy³aj±cy takie wiadomo¶ci zwykle konfiguruj± swój program pocztowy tak, by poprawnie wype³nia³ w nag³ówku pole Content-Type:, bez wzglêdu na to, czy wysy³aj± wiadomo¶ci zapisane w czystym kodzie ASCII, czy nie.
Jednak ustawienie tej opcji w elmie nie jest obowi±zkowe. Przy wy¶wietlaniu wiadomo¶ci za pomoc± wbudowanego programu stronicuj±cego, elm wywo³uje funkcjê biblioteczn± wykrywaj±c±, czy ka¿dy ze znaków jest drukowalny. Domy¶lnie funkcja ta rozpoznaje jedynie znaki ASCII jako drukowalne i wy¶wietla wszystkie pozosta³e jako ^?. Funkcjê tê mo¿esz wy³±czyæ, ustawiaj±c zmienn± ¶rodowiskow± LC_CTYPE na ISO-8859-1, która powoduje, ¿e biblioteka uznaje znaki Latin-1 jako drukowalne. Obs³uga tej i innych funkcji jest dostêpna w Linuksie od wersji 4.5.8 standardowej biblioteki.
Przy wysy³aniu wiadomo¶ci zawieraj±cej znaki specjalne z zestawu ISO-8859-1, powiniene¶ ustawiæ dwie dodatkowe zmienne w pliku elm.rc:

charset = iso-8859-1
textencoding = 8bit

Powoduje to, ¿e elm w nag³ówku poczty ustawia zestaw znaków ISO-8859-1 i wysy³a wiadomo¶æ jako dane 8-bitowe (domy¶lnie wszystkie znaki s± obcinane do 7 bitów).
Oczywi¶cie wszystkie omówione tu opcje zwi±zane z zestawem znaków mog± byæ tak¿e ustawiane w prywatnym pliku elmrc, tak by indywidualni u¿ytkownicy mogli mieæ w³asne domy¶lne ustawienia, gdyby globalne im nie odpowiada³y.


18
Sendmail


Rozdzia³ 18: Sendmail


Wprowadzenie do sendmaila
Powiedz± ci, ¿e nie jeste¶ prawdziwym administratorem Uniksa, je¿eli nie edytowa³e¶ pliku sendmail.cf. Powiedz± ci równie¿, ¿e jeste¶ szalony, je¶li próbowa³e¶ to zrobiæ dwukrotnie.
sendmail jest niezwykle silnym programem pocztowym. Jest on tak¿e niezwykle trudny. Wiele wysi³ku kosztuje nauczenie siê go i zrozumienie. Ka¿dy program, którego opis (ksi±¿ka Sendmail autorstwa Bryana Costalesa i Erica Allmana wydana przez O'Reilly'ego) zajmuje 1050 stron, jest postrachem dla wiêkszo¶æ ludzi. 
Na szczê¶cie nowe wersje sendmaila s± inne. Nie musisz ju¿ bezpo¶rednio edytowaæ trudnego do rozszyfrowania pliku sendmail.cf. Nowa wersja zawiera program konfiguracyjny, który tworzy za ciebie ten plik w oparciu o du¿o prostsze pliki makr. Nie musisz wiec zg³êbiaæ jego z³o¿onej sk³adni. Pliki makr nie wymagaj± tego od ciebie. Wystarczy, ¿e wypiszesz nazwy funkcji, które chcesz umie¶ciæ w swojej konfiguracji i okre¶lisz pewne parametry. Tradycyjne narzêdzie uniksowe, m4, wykorzystuje twoje dane konfiguracyjne i - w celu stworzenia pliku sendmail.cf - ³±czy je z danymi odczytanymi z plików wzorcowych zawieraj±cych rzeczywist± sk³adniê sendmail.cf.
W tym rozdziale przedstawimy sendmail i opiszemy, jak go zainstalowaæ, skonfigurowaæ i przetestowaæ. Za przyk³ad pos³u¿y nam browar wirtualny. Je¿eli dziêki przedstawionym tu informacjom uda ci siê zmniejszyæ obawy przed konfigurowaniem sendmaila, byæ mo¿e nabierzesz pewno¶ci siebie i podejmiesz samodzielnie bardziej z³o¿one zadania konfiguracyjne.
Instalacja sendmaila
Agent transportowy poczty sendmail jest do³±czany do wiêkszo¶ci dystrybucji Linuksa. W takim przypadku instalacja jest stosunkowo ³atwa. Jednak z pewnych wzglêdów lepiej zainstalowaæ sendmaila w postaci kodu ¼ród³owego, szczególnie je¿eli jeste¶ wyczulony na bezpieczeñstwo. Program sendmail jest bardzo z³o¿ony i przez lata zdoby³ w±tpliw± reputacjê programu zawieraj±cego b³êdy, które u³atwiaj± w³amywanie. Jednym z najlepiej znanych przyk³adów jest robak internetowy RTM, który zrobi³ u¿ytek z przekraczania zakresu bufora (ang. buffer overflow) - problemu spotykanego w starszych wersjach sendmaila. Mówili¶my o tym krótko w rozdziale 9, Firewall TCP/IP. Wiêkszo¶æ dziur w bezpieczeñstwie wykorzystuj±cych przekroczenie zakresu bufora wynika z tego, ¿e wszystkie kopie sendmaila na ró¿nych komputerach s± identyczne, poniewa¿ wykorzystywane dane s± zapisywane w okre¶lonych miejscach. Oczywi¶cie to samo dotyczy sendmaila zainstalowanego z dystrybucji Linuksa. Samodzielne kompilowanie sendmaila mo¿e pomóc zredukowaæ to zagro¿enie. Wspó³czesne wersje sendmaila s± mniej podatne na takie ataki, poniewa¿ s± poddawane niezmiernie dok³adnym testom, odk±d , dziêki spo³eczno¶ci Internetu, doceniono bezpieczeñstwo.
Kod ¼ród³owy sendmaila jest dostêpny przez anonimowe FTP pod adresem ftp.sendmail.org.
Kompilacja sendmaila jest bardzo prosta, poniewa¿ jego pakiet ¼ród³owy bezpo¶rednio uwzglêdnia Linuksa. Kroki wymagane przy kompilacji  s± nastêpuj±ce:

# cd /usr/local/src
# tar xvfs sendmail.8.9.3.tar.gz
# cd src
# ./Build

Aby zakoñczyæ instalacjê uzyskanych plików binarnych, musisz mieæ prawa roota:

# cd obj.Linux.2.0.36.i586
# make install

W tym momencie pliki binarne sendmaila s± zainstalowane w katalogu /usr/sbin. W katalogu /usr/bin powsta³o kilka dowi±zañ symbolicznych do plików binarnych sendmaila. Powiemy o nich przy okazji omawiania typowych zadañ zwi±zanych z eksploatacj± sendmaila.
Przegl±d plików konfiguracyjnych
Tradycyjnie sendmail by³ konfigurowany przez systemowy plik konfiguracyjny (zwykle /etc/mail/sendmail.cf lub w starszych dystrybucjach /etc/sendmail.cf lub nawet /usr/lib/sendmail.cf), który nie przypomina³ ¿adnego znanego ci dot±d jêzyka. Edycja pliku sendmail.cf i dostosowywanie zachowania programu do w³asnych potrzeb mo¿e byæ przykrym do¶wiadczeniem.
Obecnie sendmaila konfiguruje siê za pomoc± makr o prostej sk³adni. Metoda makr pozwala na generowanie konfiguracji wystarczaj±cych dla wiêkszo¶ci instalacji, ale zawsze masz mo¿liwo¶æ poprawienia pliku sendmail.cf rêcznie, je¿eli pracujesz w bardziej skomplikowanym ¶rodowisku.

Pliki sendmail.cf i sendmail.mc
Program makroprocesora, m4, generuje plik sendmail.cf, przetwarzaj±c pliki konfiguracyjne makr stworzone przez lokalnego administratora. Dalej ten plik bêdziemy nazywaæ sendmail.mc.
Proces konfiguracji w zasadzie polega na stworzeniu odpowiedniego pliku sendmail.mc, który zawiera makra opisuj±ce ¿±dan± konfiguracjê. Makra to wyra¿enia rozumiane przez makroprocesor m4 i rozwijane do z³o¿onej sk³adni sendmail.cf. Wyra¿enia makr sk³adaj± siê z nazwy makra (tekst pisany du¿ymi literami), która mo¿e byæ po³±czona z funkcj± w jêzyku programowania, i kilku parametrów (tekst w nawiasach), które s± u¿ywane w trakcie rozwijania makr. Parametry mog± byæ przekazane dos³ownie do pliku sendmail.cf lub wykorzystane do zarz±dzania sposobem przetwarzania makra.
Plik sendmail.mc w minimalnej konfiguracji (UUCP lub SMTP z przekazywaniem poczty nielokalnej przez bezpo¶rednio pod³±czony inteligentny host) mo¿e mieæ d³ugo¶æ zaledwie 10 czy 15 wierszy, nie licz±c komentarzy.
Dwa przyk³adowe pliki sendmail.mc
Je¿eli jeste¶ administratorem wielu ró¿nych hostów pocztowych, mo¿esz mieæ potrzebê nazwania swoich plików konfiguracyjnych inaczej ni¿ sendmail.mc. Zwykle nazywa siê je zgodnie z nazw± hosta, czyli w naszym przypadku vstout.m4. Nazwa tak naprawdê nie ma znaczenia, wa¿ne, ¿eby plik wynikowy nazywa³ siê sendmail.cf. Nadanie unikalnej nazwy plikowi konfiguracyjnemu ka¿dego hosta pozwala ci przechowywaæ wszystkie te pliki w jednym katalogu, co jest po prostu wygodne dla administratora. Przyjrzyjmy siê dwóm przyk³adowym plikom konfiguracyjnym, ¿eby¶my wiedzieli, z czym mamy do czynienia.
Wiêkszo¶æ konfiguracji sendmaila u¿ywa obecnie jedynie SMTP. Taka konfiguracja jest bardzo prosta. Przyk³ad 18-1 oczekuje, ¿e do rozwi±zywania nazw hostów bêdzie dostêpny serwer DNS, a poza tym przyjmuje i dostarcza ca³± pocztê dla hostów, u¿ywaj±c tylko SMTP.
Przyk³ad 18-1. Przyk³adowy plik konfiguracyjny vstout.smtp.m4
divert(-1)
#
# Przyk³adowy plik konfiguracyjny dla vstout - tylko smtp
#
divert(0)
VERSIONID('@(#)sendmail.mc  8.7 (Linux) 3/5/96')
OSTYPE('linux')
#
# Do³±czenie obs³ugi protoko³ów poczty lokalnej i smtp
MAILER('local')
MAILER('smtp')
#
FEATURE(rbl)
FEATURE(access_db)
# koniec
Plik sendmail.mc dla vstout w browarze wirtualnym zosta³ pokazany w przyk³adzie 18-2. vstout u¿ywa SMTP do komunikacji ze wszystkimi hostami w sieci LAN browaru. Zauwa¿ysz elementy wspólne z wy¿ej pokazan± konfiguracj± wykorzystuj±c± tylko SMTP. Ca³± pocztê przeznaczon± dla innych hostów vstout wysy³a przez UUCP do moria- swojego hosta przeka¼nikowego do Internetu.
Przyk³ad 18-2. Przyk³adowy plik konfiguracyjny vstout.uucpsmtp.m4
divert(-1)
#
# Przyk³adowy plik konfiguracyjny dla vstout
#
divert(0)
VERSIONID('@(#)sendmail.mc  8.7 (Linux) 3/5/96')
OSTYPE('linux')
dnl
# moria jest naszym inteligentnym hostem, wykorzystujemy transport 
# "uucp-new".
define('SMART_HOST', 'uucp-new:moria')
dnl
# Obs³uga protoko³ów poczty lokalnej, uucp i smtp.
MAILER('local')
MAILER('smtp')
MAILER('uucp')
LOCAL_NET_CONFIG
# Ta regu³a gwarantuje, ¿e ca³a poczta lokalna bêdzie 
# dostarczana z wykorzystaniem protoko³u SMTP, a wszystko inne 
# bêdzie sz³o przez inteligentny host.
R$* < @ $* .$m. > $* $#smtp $@ $2.$m. $: $1 < @ $2.$m. > $3
dnl
#
FEATURE(rbl)
FEATURE(access_db)
# koniec

Je¶li porównasz te dwie konfiguracje, mo¿esz doj¶æ do tego, co robi ka¿dy z parametrów. Wyja¶nimy to szczegó³owo.
Typowe parametry u¿ywane w sendmail.mc
Pewne elementy pliku sendmail.mc s± obowi±zkowe. Inne mo¿na pomin±æ, je¿eli wystarcz± ci warto¶ci domy¶lne. Kolejno¶æ definicji w pliku sendmail.mc jest nastêpuj±ca:
1.
VERSIONID
2.
OSTYPE
3.
DOMAIN
4.
FEATURE
5.
Lokalne definicje makr
6.
MAILER
7.
Zestawy regu³ LOCAL_* 

W nastêpnych podrozdzia³ach omówimy ka¿d± z nich po kolei, odwo³uj±c siê w razie potrzeby do naszych przyk³adów 18-1 i 18-2.
Komentarze
Wiersze rozpoczynaj±ce siê w pliku sendmail.mc od znaku # nie s± analizowane przez m4 i domy¶lnie s± przepisywane do pliku sendmail.cf. Jest to przydatne, je¿eli chcesz skomentowaæ to, co robi twoja konfiguracja w obu plikach - w wej¶ciowym i wyj¶ciowym.
Aby umie¶ciæ w pliku sendmail.mc komentarze, które nie zostan± przeniesione do pliku sendmail.cf, mo¿esz u¿yæ dyrektyw m4: divert i dnl. Dziêki divert(-1) nic nie bêdzie wyprowadzane na wyj¶cie, a divert(0) umo¿liwia powrót do stanu domy¶lnego. Wszystko, co zostanie wygenerowane pomiêdzy tymi wierszami, zostanie wyrzucone. W naszym przyk³adzie u¿yli¶my tego mechanizmu do stworzenia komentarza, który bêdzie tylko w pliku sendmail.mc. Aby uzyskaæ ten sam efekt dla pojedynczego wiersza, mo¿esz u¿yæ dyrektywy dnl, która dos³ownie oznacza "pocz±wszy od nastêpnego wiersza, usuñ wszystkie znaki, a¿ do nowego wiersza w³±cznie". Jej te¿ u¿yli¶my w naszym przyk³adzie.
S± to standardowe funkcje m4 i wiêcej na ich temat mo¿esz znale¼æ na stronach podrêcznika elektronicznego.
VERSIONID i OSTYPE
VERSIONID('@(#)sendmail.mc 8.9 (Linux) 01/10/98')

Makro VERSIONID jest opcjonalne, ale przydatne do zapisywania wersji konfiguracji sendmaila w pliku sendmail.cf. Czêsto wiêc bêdziesz siê z nim spotyka³. Zalecamy korzystanie z niego. Natomiast musisz pamiêtaæ, by dodaæ:

OSTYPE('linux')

Ta definicja nale¿y do najwa¿niejszych. Makro OSTYPE powoduje, ¿e s± dodawane pliki definicji, które zawieraj± poprawne warto¶ci domy¶lne dla twojego systemu operacyjnego. Wiêkszo¶æ definicji w makro OSTYPE ustawia ¶cie¿ki do ró¿nych plików konfiguracyjnych, ¶cie¿ki i argumenty do programu wysy³aj±cego pocztê oraz lokalizacjê katalogów, w których sendmail przechowuje wiadomo¶ci. Standardowy kod ¼ród³owy sendmaila zawiera takie pliki dla Linuksa i zosta³yby one wci±gniête w poprzednim przyk³adzie. Niektóre dystrybucje Linuksa, szczególnie Debian, zawieraj± w³asne pliki definicji, które s± w pe³ni zgodne ze standardem Linux-FHS. Je¿eli tak jest te¿ w twojej dystybucji, prawdopodobnie powiniene¶ u¿yæ tych definicji, zamiast domy¶lnych definicji dla Linuksa.
Definicja OSTYPE powinna byæ jedn± z pierwszych w twoim pliku sendmail.mc, gdy¿ wiele nastêpnych odwo³uje siê do niej.
DOMAIN
Makro DOMAIN przydaje siê, gdy chcesz skonfigurowaæ wiele komputerów w tej samej sieci w standardowy sposób. Je¿eli konfigurujesz kilka hostów, prawdopodobnie nie warto go anga¿owaæ. Zwykle konfigurujesz takie rzeczy, jak nazwa hostów przekazuj±cych pocztê lub huby, które bêd± wykorzystywa³y wszystkie hosty w twojej sieci.
Standardowa instalacja zawiera katalog wzorców makr m4, u¿ywany do kierowania procesem konfiguracji. Zwykle jest to /usr/share/sendmail.cf lub co¶ podobnego. Znajdziesz w nim podkatalog o nazwie domain zawieraj±cy wzorce specyficzne dla konfiguracji domeny. Aby wykorzystaæ makro DOMAIN, musisz stworzyæ swój w³asny plik makro zawieraj±cy standardowe definicje wymagane dla twojego o¶rodka i zapisaæ go w podkatalogu domain. Zwykle zapisujesz w nim tylko makrodefinicje unikalne dla twojej domeny, jak inteligentny host czy hosty przekazuj±ce, ale nie jeste¶ ograniczony tylko do nich.
Kod ¼ród³owy sendmaila jest dostarczany wraz z przyk³adowymi plikami makr domen, na podstawie których mo¿esz stworzyæ swoje w³asne.
Je¿eli zapisa³e¶ swój plik domenowy jako /usr/share/sendmail.cf/domain/vbrew.m4, w swoim pliku sendmail.mc mo¿esz u¿yæ makra DOMAIN w nastêpuj±cy sposób:

DOMAIN('vbrew')
FEATURE
Makro FEATURE pozwala do³±czyæ do konfiguracji sendmaila predefiniowane funkcje, które u³atwiaj± pos³ugiwanie siê konfiguracjami. Funkcji tych jest du¿o i w tym rozdziale powiemy tylko o kilku najbardziej przydatnych i wa¿nych spo¶ród nich. Szczegó³owy opis dostêpnych funkcji mo¿esz znale¼æ w pliku CF, za³±czonym do pakietu z kodem ¼ród³owym.
Aby wykorzystaæ ¿±dan± funkcjê, powiniene¶ w pliku sendmail.mc wpisaæ nastêpuj±cy wiersz:

FEATURE(nazwa)

gdzie nazwê musisz zast±piæ nazw± funkcji. Niektóre funkcje przyjmuj± jeden opcjonalny parametr. Gdyby¶ chcia³ u¿yæ czego¶ w inny sposób, ni¿ domy¶lny, powiniene¶ okre¶liæ funkcjê w nastêpuj±cy sposób:

FEATURE(nazwa, parametr)

gdzie parametr ma znaczenie oczywiste.
Makrodefinicje lokalne
Standardowe pliki konfiguracyjne makr sendmaila oferuj± wiele zmiennych, dziêki którym mo¿esz dostosowaæ konfiguracjê do swoich potrzeb. S± to tak zwane makrodefinicje lokalne. Wiele z nich wymieniono w pliku CF w pakiecie z kodem ¼ród³owym sendmaila.
Makrodefinicje lokalne s± zwykle wywo³ywane przez podanie nazwy makra oraz argumentu zawieraj±cego warto¶æ, któr± chcesz przypisaæ zmiennej obs³ugiwanej przez makro. Kilka czêsto u¿ywanych makrodefinicji lokalnych omówimy i poka¿emy na przyk³adach w dalszej czê¶ci tego rozdzia³u.

Definiowanie protoko³ów transportowych poczty
Je¶li chcesz, ¿eby sendmail przesy³a³ pocztê w jakikolwiek inny sposób, ni¿ lokalnie, musisz mu wskazaæ, jak ma to robiæ. U³atwia to makro MAILER. Aktualna wersja sendmaila obs³uguje szereg protoko³ów transportowych poczty. Niektóre z nich s± eksperymentalne, inne s± raczej rzadko u¿ywane.
W naszej sieci potrzebne s±: protokó³ SMTP do wysy³ania i odbierania poczty pomiêdzy hostami sieci lokalnej oraz protokó³ UUCP do wysy³ania i odbierania poczty z naszego inteligentnego hosta. Aby to uzyskaæ, po prostu do³±czamy protoko³y transportowe smtp i uucp. Protokó³ local jest do³±czany domy¶lnie, ale mo¿na go dla jasno¶ci zdefiniowaæ, je¿eli masz na to ochotê. Je¿eli w swojej konfiguracji do³±czasz programy pocztowe smtp i uucp, musisz pamiêtaæ, by smtp zawsze umieszczaæ jako pierwsze.
Poni¿sza lista opisuje czê¶ciej u¿ywane protoko³y transportowe dostêpne dla makra MAILER:
local

Ten protokó³ obejmuje agenta lokalnego u¿ywanego do wysy³ania poczty do skrzynek pocztowych u¿ytkowników oraz program wysy³aj±cy prog u¿ywany do wysy³ania wiadomo¶ci do programów lokalnych. Ten protokó³ jest do³±czany domy¶lnie.
smtp

Ten protokó³ implementuje prosty protokó³ przesy³ania poczty elektronicznej (SMTP), który jest najczê¶ciej u¿ywanym protoko³em w Internecie. Gdy go do³±czysz, konfigurowane s± cztery programy wysy³aj±ce pocztê: smtp (podstawowe SMTP), esmtp (rozszerzone SMTP), smtp8 (8-bitowe SMTP) i relay (stworzony specjalnie do przekazywania poczty pomiêdzy hostami).
uucp

Protokó³ uucp daje obs³ugê dwóch programów wysy³aj±cych: uucp-old, czyli tradycyjne UUCP, i uucp-new, pozwalaj±cy na obs³u¿enie za jednym razem kilku odbiorców.
usenet

Ten program wysy³aj±cy pozwala ci na wysy³anie wiadomo¶ci bezpo¶rednio do sieci grup dyskusyjnych Usenetu. Wszelkie wiadomo¶ci lokalne skierowane na adres news.group.usenet zostan± przekierowane do sieci grup dyskusyjnych na listê news.group.
fax

Je¿eli masz zainstalowane oprogramowanie HylaFAX, ten program wysy³aj±cy pozwoli ci przekierowaæ na nie pocztê, tak aby¶ móg³ stworzyæ gateway pomiêdzy poczt± a faksem. W czasie pisania tej ksi±¿ki ta funkcja jest eksperymentalna i wiêcej informacji na jej temat mo¿esz uzyskaæ pod adresem http://www.vix.com/ hylafax/.

Istniej± inne przydatne, ale rzadziej u¿ywane protoko³y, takie jak pop, procmail, mail11, phquery i cyrus. Je¿eli obudzili¶my twoj± ciekawo¶æ, mo¿esz poczytaæ na ich temat w ksi±¿ce o sendmailu lub w dokumentacji dostarczanej w pakiecie kodu ¼ród³owego.
Konfigurowanie rutingu poczty dla hostów lokalnych
Nasz przyk³ad konfiguracji browaru wirtualnego jest zapewne bardziej skomplikowany ni¿ konfiguracja wiêkszo¶ci rzeczywistych o¶rodków. Obecnie najczê¶ciej u¿ywa siê tylko SMTP i ma³o kto interesuje siê UUCP. W naszej konfiguracji uwzglêdnili¶my "inteligentny host", który jest u¿ywany do obs³ugi ca³ej poczty wychodz±cej. Poniewa¿ u¿ywamy transportu SMTP w naszej sieci lokalnej, musimy poinformowaæ sendmaila, ¿eby nie wysy³a³ poczty lokalnej przez inteligentnego hosta. Makro LOCAL_NET_CONFIG pozwala wstawiaæ regu³y bezpo¶rednio do pliku wynikowego sendmail.cf i w ten sposób modyfikowaæ obs³ugê poczty lokalnej. Wkrótce powiemy wiêcej na temat regu³ podstawiania, ale w tej chwili powiniene¶ tylko wiedzieæ, ¿e dodana w naszym przyk³adzie regu³a mówi, ¿e poczta przeznaczona dla hostów w domenie vbrew.com powinna byæ dostarczana bezpo¶rednio do hosta adresata za pomoc± protoko³u SMTP.
Generowanie pliku sendmail.cf
Gdy skoñczysz edycjê pliku konfiguracyjnego m4, musisz go przetworzyæ, by wygenerowaæ plik /etc/mail/sendmail.cf odczytywany przez sendmaila. Jest to proste, jak widaæ na poni¿szym przyk³adzie:

# cd /etc/mail
# m4 /usr/share/sendmail.cf/m4/cf.m4 vstout.uucpsmtp.mc >sendmail.cf

To polecenie wywo³uje makroprocesor m4, któremu dostarcza siê nazwy dwóch makrodefinicji do przetworzenia. m4 przetwarza pliki w podanej kolejno¶ci. Pierwszy plik to standardowe makro wzorców sendmaila dostarczane w pakiecie kodu ¼ród³owego, a drugi to oczywi¶cie plik zawieraj±cy twoje w³asne makrodefinicje. Wynik polecenia jest przekierowywany do pliku /etc/mail/sendmail.cf.
Teraz mo¿esz uruchomiæ sendmail z now± konfiguracj±.
Interpretacja i pisanie regu³ podstawiania
Mo¿na pokusiæ siê o stwierdzenie, ¿e najmocniejsz± stron± sendmaila s± regu³y podstawiania. S³u¿± sendmailowi do okre¶lania, jak przetwarzaæ odebran± wiadomo¶æ. sendmail przekazuje adresy z nag³ówków wiadomo¶ci do zestawu regu³ podstawiania (ang. rulesets). Regu³y podstawiania przetwarzaj± adres wiadomo¶ci z jednej postaci do drugiej i mo¿esz je traktowaæ podobnie jak polecenie twojego edytora, które zastêpuje ca³y tekst pasuj±cy do jakiego¶ wzorca innym tekstem.
Ka¿da regu³a ma lew± i praw± stronê, oddzielone przynajmniej jednym znakiem tabulatora. Gdy sendmail przetwarza pocztê, przegl±da regu³y podstawiania, szukaj±c dopasowania po lewej stronie. Je¿eli adres pasuje do lewej strony regu³y, jest zastêpowany praw± stron± i ponownie przetwarzany.
Polecenia R i S pliku sendmail.cf
W pliku sendmail.cf zestawy regu³ s± definiowane za pomoc± poleceñ zapisywanych jako Sn, gdzie n okre¶la bie¿±cy zestaw regu³.
Same regu³y s± kodowane jako R. Przy odczytywaniu ka¿dego polecenia R, regu³a jest dodawana do aktualnego zestawu.
Je¿eli u¿ywasz tylko pliku sendmail.mc, nie musisz w ogóle zawracaæ sobie g³owy poleceniami S, gdy¿ wiêkszo¶æ makr stworzy je za ciebie. Rêcznie musisz tworzyæ tylko regu³y R.
Zestaw regu³ sendmaila wygl±da tak:

Sn
Rlhs rhs
Rlhs2 rhs2
Kilka przydatnych makrodefinicji
sendmail wykorzystuje wewnêtrznie kilka standardowych makrodefinicji. Najbardziej przydatne z nich przy pisaniu zestawów regu³ s±:
$j

Pe³na nazwa domenowa danego hosta.
$w

Nazwa hosta uzyskana na podstawie FQDN.
$m

Nazwa domeny uzyskana na postawie FQDN.
Te makrodefinicje mo¿emy wykorzystywaæ w naszych regu³ach podstawiania. W konfiguracji browaru wirtualnego u¿ywane jest makro $m.
Lewa strona
Po lewej stronie regu³y podstawiania umieszczasz wzorzec, do którego musi pasowaæ adres, który chcesz przekszta³ciæ. Wiêkszo¶æ znaków jest dopasowywana dos³ownie, ale jest kilka, które maj± szczególne znaczenie. Przedstawiamy je poni¿ej. Regu³y podstawiania dla lewej strony s± nastêpuj±ce:
$@

Pasuje dok³adnie zero leksemów.
$*

Pasuje zero lub mniej leksemów.
$+

Pasuje jeden lub wiêcej leksemów.
$-

Pasuje dok³adnie jeden leksem.
$=x

Pasuje dowolna fraza z klasy x.
$~x

Pasuje dowolne s³owo nie nale¿±ce do klasy x.
Leksem to ci±g znaków ograniczony spacjami. Nie ma ani sposobu na umieszczenie spacji w leksemie, ani takiej potrzeby, gdy¿ wzorce wyra¿enia s± dostatecznie elastyczne. Gdy adres zostanie dopasowany do regu³y, tekst pasuj±cy do ka¿dego ze wzorców wyra¿enia zostanie przypisany specjalnym zmiennym, których bêdziemy u¿ywaæ po prawej stronie. Jedynym wyj±tkiem jest tu $@, do którego nie pasuje ¿aden leksem i dlatego nigdy nie generuje on tekstu, który móg³by byæ wykorzystany po prawej stronie.
Prawa strona
Gdy adres zostanie dopasowany do regu³y podstawiania po lewej stronie, oryginalna tre¶æ jest usuwana i zastêpowana praw± stron± regu³y. Wszystkie leksemy po prawej stronie s± dos³ownie kopiowanie, chyba ¿e zaczynaj± siê od znaku dolara. Tak jak po lewej stronie, po prawej mo¿na tak¿e u¿ywaæ szeregu metasymboli. S± one opisane na poni¿szej li¶cie. Regu³y podstawiania dla prawej strony s± nastêpuj±ce:
$n

Ten metasymbol jest zastêpowany przez n-te wyra¿enie z lewej strony.
$[nazwa$]

Ten metasymbol rozwija nazwê hosta do postaci kanonicznej. Podana nazwa hosta jest zastêpowana przez jej postaæ kanoniczn±.
$(mapa klucz $@argumenty $:domy¶lny $)

To jest bardziej ogólna postaæ wyszukiwania. Wynik jest rezultatem poszukiwania klucza w mapie o nazwie map przy przekazaniu argumentów. Map± mo¿e byæ dowolna mapa obs³ugiwana przez sendmaila, jak virtusertable, któr± opisujemy nieco dalej. Je¿eli wyszukiwanie nie zakoñczy siê sukcesem, zostanie przyjêty wynik domy¶lny. Je¿eli nie zdefiniowali¶my wyniku domy¶lnego i wyszukiwanie siê nie powiedzie, to dane wej¶ciowe pozostan± niezmienione, a jako wynik zostanie podany klucz.
$>n

Ten symbol powoduje, ¿e zostanie przetworzona pozosta³a czê¶æ wiersza, a nastêpnie zostanie on przekazany zestawowi regu³ n do oszacowania. Wynik wywo³anego zestawu regu³ zostanie zapisany jako wynik tej regu³y. Ten mechanizm powala na wywo³ywanie zestawów regu³ z regu³.
$#program_wysy³aj±cy

Ten metasymbol powoduje, ¿e szacowanie zestawów regu³ jest zatrzymywane i okre¶la program wysy³aj±cy, który powinien byæ u¿yty do przes³ania wiadomo¶ci w kolejnym kroku jej dostarczania. Ten metasymbol powinien byæ wywo³ywany tylko z zestawu regu³ 0 lub jednej z jego procedur. Jest to koñcowy etap przetwarzania adresu i powinien byæ realizowany przez dwa nastêpne metasymbole.
$@host

Ten metasymbol okre¶la hosta, do którego zostanie przekazana wiadomo¶æ. Je¿eli docelowy host jest hostem lokalnym, mo¿na go pomin±æ. host mo¿e mieæ postaæ oddzielonej dwukropkami listy hostów docelowych, do których bêd± podejmowane kolejne próby dostarczenia poczty.
$:u¿ytkownik

Ten metasymbol okre¶la docelowego u¿ytkownika, dla którego jest przeznaczona poczta.
Pasuj±ca regu³a podstawiania jest zwykle testowana dopóty, dopóki które¶ dopasowanie siê nie powiedzie, a wtedy przetwarzanie przechodzi do nastêpnej regu³y. Zachowanie to mo¿na zmieniæ, poprzedzaj±c praw± stronê jednym z dwóch metasymboli podanych poni¿ej. Symbole steruj±ce pêtl± regu³y podstawiania dla prawej strony to:
$@

Ten metasymbol powoduje powrót z zestawu regu³ z pozosta³± czê¶ci± prawej strony jako zwracan± warto¶ci±. Nie bêd± szacowane ¿adne z pozosta³ych regu³ w zestawie.
$:

Ten metasymbol powoduje natychmiastowe zakoñczenie regu³y, ale pozosta³a czê¶æ bie¿±cego zestawu jest szacowana.
Prosty przyk³ad regu³y wzorca
Aby lepiej zrozumieæ, jak dzia³a zastêpowanie wzorców, rozwa¿my poni¿sz± lew± stronê regu³y:

$* < $+ >

Do tej regu³y pasuje "zero lub wiêcej leksemów, potem znak <, potem jeden lub wiêcej leksemów i znak >".
Gdyby tê regu³ê zastosowaæ do brewer@vbrew.com lub Head Brewer < >, nie pasowa³aby. Pierwszy ci±g nie pasowa³by, bo nie zawiera znaku <, a drugi, bo do $+ pasuje jeden lub wiêcej leksemów, a pomiêdzy znakami <> leksemów nie ma. W ka¿dym przypadku, gdy nic nie pasuje do regu³y, prawa strona nie jest u¿ywana.
Gdyby regu³ê zastosowaæ do Head Brewer < brewer@vbrew.com >, pasowa³aby, a zmienna $1 po prawej stronie zosta³aby zast±piona przez Head Brewer, za¶ $2 przez brewer@vbrew.com.
Gdyby regu³ê zastosowaæ do < brewer@vbrew.com >, pasowa³aby, poniewa¿ do $* pasuje zero lub wiêcej leksemów, a $1 po prawej stronie zosta³oby zast±pione ci±giem pustym.

Sk³adnia zestawu regu³
Ka¿dy zestaw regu³ sendmaila ma do spe³nienia swoje w³asne zadania w przetwarzaniu poczty. Gdy piszesz regu³y, trzeba wiedzieæ, czego mo¿na siê spodziewaæ po danym zestawie. Przyjrzymy siê zestawom regu³, które mo¿na modyfikowaæ przez skrypty konfiguracyjne m4:
LOCAL_RULE_3

Zestaw regu³ 3 jest odpowiedzialny za konwertowanie adresów w dowolnym formacie na format obs³ugiwany przez sendmaila. Oczekiwany wynikowy format ma znajom± postaæ czê¶æ-lokalna@host.domena.
Zestaw regu³ 3 umieszcza nazwê hosta konwertowanego adresu pomiêdzy znakami < >, by u³atwiæ przetwarzanie przez nastêpne zestawy regu³. Zestaw regu³ 3 jest stosowany, zanim sendmail wykona jakiekolwiek inne przetwarzanie adresu e-mail, a wiêc je¿eli chcesz, by sendmail by³ gatewayem z/do systemu u¿ywaj±cego jakiego¶ niezwyk³ego formatu adresu, za pomoc± LOCAL_RULE_3 powiniene¶ dodaæ regu³ê konwertuj±c± adresy do standardowej postaci.
LOCAL_RULE_0 i LOCAL_NET_CONFIG

Zestaw regu³ 0 jest stosowany przez sendmaila do przetwarzania adresów odbiorcy po zestawie regu³ 3. Makro LOCAL_NET_CONFIG powoduje, ¿e regu³y s± wstawiane do drugiej czê¶ci zestawu regu³ 0.
Zestaw regu³ 0 realizuje dostarczanie wiadomo¶ci do odbiorcy, a wiêc musi dawaæ w wyniku trzy elementy okre¶laj±ce program wysy³aj±cy pocztê, hosta i u¿ytkownika. Regu³y bêd± umieszczone przed definicj± inteligentnego hosta, któr± mo¿esz wstawiæ. A wiêc, je¿eli dodasz regu³y, które odpowiednio rozwi±zuj± adresy, wszelkie pasuj±ce do regu³y adresy nie bêd± obs³ugiwane przez inteligentny host. W ten sposób obs³ugujemy bezpo¶rednio smtp na przyk³ad dla u¿ytkowników sieci lokalnej w naszym przyk³adzie.
LOCAL_RULE_1 i LOCAL_RULE_2

Zestaw regu³ 1 dotyczy wszystkich adresów nadawców, a zestaw regu³ 2 wszystkich adresów odbiorców. Oba zestawy zwykle s± puste.
Interpretacja regu³y w naszym przyk³adzie
W naszym przyk³adzie 18-3 u¿ywamy makra LOCAL_NET_CONFIG do zadeklarowania lokalnej regu³y, która sprawia, ¿e ka¿da poczta w naszej domenie jest dostarczana bezpo¶rednio przy u¿yciu programu wysy³aj±cego smtp. Teraz, gdy wiemy, jak s± zbudowane regu³y podstawiania, bêdziemy mogli zrozumieæ, jak dzia³a ta regu³a. Przyjrzyjmy siê jej ponownie.
Przyk³ad 18-3. Regu³a podstawiania z vstout.uucpsmtp.m4
LOCAL_NET_CONFIG
# Ta regu³a zapewnia, ¿e ca³a poczta lokalna bêdzie 
# dostarczana za pomoc± protoko³u SMTP, a wszystko inne 
# bêdzie sz³o przez inteligentny host.
R$* < @ $* .$m. > $* $#smtp $@ $2.$m. $: $1 < @ $2.$m. > $3

Wiemy, ¿e makro LOCAL_NET_CONFIG powoduje, ¿e regu³a zostanie wstawiona gdzie¶ pod koniec zestawu regu³ 0,  ale przed definicj± inteligentnego hosta. Wiemy tak¿e, ¿e zestaw regu³ 0 jest ostatnim wykonywanym i ¿e powinien dawaæ w wyniku trzy elementy: program wysy³aj±cy, u¿ytkownika i hosta.
Mo¿emy zignorowaæ trzy wiersze komentarza - nie robi± one nic przydatnego. Sama regu³a to wiersz rozpoczynaj±cy siê od litery R. Wiemy, ¿e R jest poleceniem sendmaila, które dodaje regu³ê do aktualnego zestawu regu³, czyli w tym przypadku do zestawu 0. Przyjrzyjmy siê kolejno lewej i prawej stronie.
Lewa strona wygl±da tak: $* < @ $* .$m. > $*.
Zestaw regu³ 0 oczekuje znaków < i >, poniewa¿ dostaje dane z zestawu regu³ 3. Zestaw regu³ 3 konwertuje adresy do standardowej postaci i u³atwia przetwarzanie. Umieszcza tak¿e hosta, do którego jest adresowana poczta, pomiêdzy znakami <>.
Do tej regu³y pasuje ka¿dy adres wygl±daj±cy tak: 'DestUser < @ somehost.ourdomain > Some Text'. To znaczy, ¿e ka¿da wiadomo¶æ pasuje do ka¿dego u¿ytkownika na ho¶cie w naszej domenie.
Pamiêtasz, ¿e tekst dopasowany przez metasymbole po lewej stronie regu³y podstawiania jest przypisywany do makrodefinicji u¿ywanych po prawej stronie. W naszym przyk³adzie, do pierwszego $* pasuje ca³y tekst od pocz±tku adresu do znaku <. Ca³y ten tekst zostanie przypisany do zmiennej $1, któr± mo¿na wykorzystaæ po prawej stronie. Podobnie drugi $* w naszej regule jest przypisywany do zmiennej $2, a ostatni do $3.
To ju¿ wystarcza do zrozumienia lewej strony. Do tej regu³y pasuje ka¿da wiadomo¶æ dla dowolnego u¿ytkownika na dowolnym ho¶cie w naszej domenie. Nazwa u¿ytkownika jest przypisywana do $1, nazwa hosta do $2, a dalszy tekst do $3. Nastêpnie zmienne te s± przetwarzane po prawej stronie.
Przyjrzyjmy siê teraz, jaki wynik chcemy uzyskaæ. Prawa strona naszej przyk³adowej regu³y podstawiania wygl±da tak: $#smtp $@ $2.$m. $: $1 < @ $2.$m. > $3.
Przy przetwarzaniu prawej strony naszej regu³y, ka¿dy z metasymboli jest interpretowany i jest dokonywane odpowiednie podstawienie.
Metasymbol $# powoduje, ¿e regu³a ta daje okre¶lony protokó³, w naszym przypadku smtp.
Znak $@ odpowiada hostowi docelowemu. W naszym przyk³adzie host docelowy jest okre¶lony jako $2.$m., co daje pe³n± nazwê domenow± hosta w naszej domenie.
Pe³na nazwa jest tworzona na podstawie elementu przypisanego do $2 po lewej stronie regu³y i domeny (.$m.).
Metasymbol $: okre¶la docelowego u¿ytkownika, którego znów uzyskali¶my z lewej strony i umie¶cili¶my w zmiennej $1.
Zachowujemy zawarto¶æ czê¶ci ujêtej w znaki <> i dalszy tekst, u¿ywaj±c danych zebranych z lewej strony regu³y.

Poniewa¿ ta regu³a daje nam w rezultacie program wysy³aj±cy, wiadomo¶æ jest przekazywana temu programowi do dostarczenia. W naszym przyk³adzie wiadomo¶æ zostanie przekazana do docelowego hosta przez protokó³ SMTP.
Konfigurowanie opcji sendmaila
sendmail posiada szereg opcji pozwalaj±cych dostosowaæ sposób realizacji ró¿nych zadañ. Jest ich du¿o, a wiêc na poni¿szej li¶cie pokazujemy tylko kilka czê¶ciej u¿ywanych.
Aby skonfigurowaæ jak±¶ z tych opcji, mo¿esz albo zdefiniowaæ j± w pliku konfiguracyjnym m4, co jest sposobem preferowanym, albo wstawiæ j± bezpo¶rednio do pliku sendmail.cf. Na przyk³ad, gdyby¶ chcia³, ¿eby sendmail tworzy³ nowy proces dla ka¿dej wiadomo¶ci, która ma byæ dostarczona, móg³by¶ dodaæ poni¿szy wiersz do pliku konfiguracyjnego m4:

define('confSEPARATE_PROC','true')

W pliku sendmail.cf utworzony zosta³by odpowiedni wpis:

O ForkEachJob=true

Poni¿sza lista opisuje powszechnie stosowane opcje pliku wej¶ciowego dla makrogeneratora m4 (i ich odpowiedniki w pliku wyj¶ciowym sendmail.cf):
confMIN_FREE_BLOCKS (MinFreeBlocks)

Czasami zdarza siê, ¿e jaki¶ problem uniemo¿liwia natychmiastowe dorêczenie wiadomo¶ci, które s± kolejkowane w buforze poczty. Je¿eli twój host pocztowy przetwarza du¿o poczty, bufor mo¿e urosn±æ to takich rozmiarów, ¿e zajmie ca³y system plików dla niego przeznaczony. Aby temu zapobiec, sendmail udostêpnia opcjê confMIN_FREE_BLOCKS, dziêki której mo¿na okre¶liæ minimaln± liczbê wolnych bloków dysku twardego, przy jakiej wiadomo¶æ zostanie przyjêta. Pozwala ci to mieæ pewno¶æ, ¿e sendmail nigdy nie wype³ni ca³ego systemu plików, na którym znajduje siê katalog bufora. (Domy¶lnie: 100).
confME_TOO (MeToo)

Gdy jest rozwijany cel poczty, na przyk³ad alias adresu e-mail, zdarza siê, ¿e na li¶cie odbiorców pojawi siê nadawca. Ta opcja okre¶la, czy autor wiadomo¶ci otrzyma kopiê, je¿eli pojawi siê na rozwiniêtej li¶cie odbiorców. Dopuszczalne warto¶ci to "true" i "false". (Domy¶lnie: false).
confMAX_DAEMON_CHILDREN (MaxDaemonChildren)

Gdy sendmail odbiera po³±czenie SMTP z hosta zdalnego, tworzy now± kopiê programu do obs³ugi przychodz±cej wiadomo¶ci. W ten sposób mo¿liwe jest przetwarzanie przez sendmaila wielu jednocze¶nie przychodz±cych po³±czeñ. Choæ jest to przydatne, ka¿da nowa kopia sendmaila zajmuje pamiêæ komputera. Je¿eli zostanie odebrana niezwykle du¿a liczba po³±czeñ ze wzglêdu na jaki¶ b³±d lub atak z³o¶liwca, mo¿liwe, ¿e sendmail zajmie ca³± pamiêæ systemu. Ta opcja pozwala ci ograniczyæ maksymaln± liczbê demonów potomnych, które mog± zostaæ utworzone. Gdy liczba ta zostanie osi±gniêta, nowe po³±czenia bêd± odrzucane, a¿ który¶ z procesów potomnych zakoñczy pracê. (Domy¶lnie: niezdefiniowana).
confSEPARATE_PROC (ForkEachJob)

W czasie przetwarzania kolejki poczty i wysy³ania wiadomo¶ci, sendmail przetwarza po jednej wiadomo¶ci. Gdy ta opcja jest w³±czona, sendmail bêdzie tworzy³ now± kopiê procesu dla ka¿dej dostarczanej wiadomo¶ci. Jest to szczególnie przydatne, gdy istnieje kilka wiadomo¶ci, które stoj± w kolejce ze wzglêdu na problem z hostem docelowym. (Domy¶lnie: false).
confESMTP_LOGIN_MSG (SmtpGreetingMessage)

Gdy jest realizowane po³±czenie z sendmailem, wysy³ane s± pozdrowienia. Domy¶lnie wiadomo¶æ ta zawiera nazwê hosta, nazwê agenta przesy³aj±cego pocztê, numer wersji sendmaila, lokalny numer wersji i aktualn± datê. RFC-821 okre¶la, ¿e pierwsze s³owo pozdrowieñ powinno byæ pe³n± nazw± domenow±, ale pozosta³a czê¶æ mo¿e byæ skonfigurowana wedle ¿yczenia. Mo¿esz tu okre¶liæ makra sendmaila. Na skutek u¿ycia - zostan± rozwiniête. Jedyn± osob±, która zobaczy tê wiadomo¶æ, jest administrator systemu diagnozuj±cy problemy z dostarczaniem poczty lub ciekawscy zainteresowani wykryciem konfiguracji twojej maszyny. Mo¿esz urozmaiciæ to nudne zadanie, dodaj±c do pozdrowieñ jakie¶ dowcipne powiedzenia. S³owo "ESMTP" bêdzie wstawione przez sendmaila pomiêdzy pierwsze i drugie s³owo, aby zasygnalizowaæ zdalnemu hostowi, ¿e obs³ugujemy protokó³ ESMTP. (Domy¶lnie: $j Sendmail $v/$Z; $b).
U¿yteczne konfiguracje sendmaila
Istnieje wiele mo¿liwych konfiguracji sendmaila. Tutaj poka¿emy jedynie kilka wa¿nych typów konfiguracji, które bêd± u¿yteczne w wielu instalacjach sendmaila.
Ufamy u¿ytkownikom, ¿e ustawi± pole From:
Czasem warto nadpisaæ pole From: w wychodz±cej wiadomo¶ci. Za³ó¿my, ¿e masz program generuj±cy wiadomo¶ci, oparty na WWW. Zwykle wiadomo¶æ wydaje siê pochodziæ od u¿ytkownika, który jest w³a¶cicielem procesu serwera WWW. Mo¿emy okre¶liæ jaki¶ inny adres ¼ród³owy, aby wydawa³o siê, ¿e poczta pochodzi od kogo¶ innego lub spod innego adresu na tej maszynie. sendmail pozwala wskazaæ u¿ytkowników, którym mo¿na powierzyæ robienie czego¶ takiego.
Funkcja use_ct_file pozwala na okre¶lenie i u¿ycie pliku zawieraj±cego nazwy zaufanych u¿ytkowników. Domy¶lnie zaufana jest niewielka liczba u¿ytkowników (na przyk³ad root). Domy¶lna nazwa pliku wykorzystywanego przez tê funkcjê to /etc/mail/trusted-user  w systemach wykorzystuj±cych katalog konfiguracyjny /etc/mail/, a /etc/sendmail.ct - w pozosta³ych. Nazwê i lokalizacjê tego pliku mo¿esz okre¶liæ, nadpisuj±c definicjê confCT_FILE.
Aby w³±czyæ tê funkcjê, dodaj FEATURE(use_ct_file) do swojego pliku sendmail.mc.

Zarz±dzanie aliasami pocztowymi
Aliasy pocztowe s± siln± funkcj±, pozwalaj±c± na przekierowywanie poczty do skrzynek pocztowych o alternatywnych nazwach u¿ytkowników lub procesów na ho¶cie docelowym. Na przyk³ad powszechne jest przekierowywanie komentarzy i uwag na temat serwera WWW na konto "webmaster". Czêsto na docelowej maszynie nie istnieje u¿ytkownik "webmaster", a jest to alias innego u¿ytkownika. Inne popularne zastosowanie aliasów pocztowych spotykamy w programach serwerów list dyskusyjnych, w których aliasy kieruj± pocztê przychodz±c± do programu serwera list w celu obs³u¿enia.
Aliasy s± zapisywane w pliku /etc/alias. Program sendmail przegl±da ten plik, by stwierdziæ, jak obs³u¿yæ przychodz±ce wiadomo¶ci. Je¿eli znajdzie w nim wpis zgodny z adresem w wiadomo¶ci, przekierowuje wiadomo¶æ we wskazane miejsce.
Aliasy pe³ni± trzy funkcje:
· Stanowi± skrót lub dobrze znan± nazwê pozwalaj±ce na adresowanie poczty do jednej lub kilku osób.
· Pozwalaj± na wywo³ywanie programu z wiadomo¶ci± jako jego parametrem wej¶ciowym.
· Pozwalaj± na przes³anie wiadomo¶ci do pliku.
Do zachowania zgodno¶ci z RFC, wszystkie systemy potrzebuj± aliasów dla u¿ytkowników Postmaster i MAILER-DAEMON.
Gdy definiujesz aliasy wywo³uj±ce programy lub pisz±ce do programów, zawsze pilnuj bezpieczeñstwa, poniewa¿ sendmail dzia³a przewa¿nie z prawami roota.
Szczegó³y dotycz±ce aliasów pocztowych mo¿esz znale¼æ na stronie podrêcznika elektronicznego aliases(5). Przyk³adowy plik aliases jest pokazany poni¿ej.
Przyk³ad 18-4. Przyk³adowy plik aliases
#
# Poni¿sze dwa aliasy musz± byæ obecne dla zachowania 
# zgodno¶ci z RFC. Wa¿ne jest, by wskazywa³y na 'osobê', która 
# czyta regularnie pocztê
#
postmaster:     root                            # wpis wymagany
MAILER-DAEMON:  postmaster                      # wpis wymagany
#
#
# demonstracja ró¿nych typów aliasów
#
usenet:        janet                           # alias dla osoby
admin:         joe,janet                        # alias dla kilku osób
newspak-users: :include:/usr/lib/lists/newspak  # odczytywanie odbiorców z 
                                                # pliku
changefeed:    |/usr/local/lib/gup              # alias wywo³uj±cy program
complaints:    /var/log/complaints              # alias zapisuj±cy wiadomo¶æ
                                                # do pliku

Zawsze, gdy aktualizujesz plik /etc/aliases, pamiêtaj, by uruchomiæ polecenie:

# /usr/bin/newaliases
w celu przebudowania bazy danych u¿ywanej wewnêtrznie przez sendmail. Polecenie /usr/bin/newaliases jest dowi±zaniem symbolicznym do wykonywalnego programu sendmail i takie wywo³anie dzia³a analogicznie do nastêpuj±cego:

# /usr/lib/sendmail -bi

Polecenie newaliases jest po prostu wygodniejsze.
U¿ywanie inteligentnego hosta
Czasem host napotyka pocztê, której nie jest w stanie dorêczyæ bezpo¶rednio do ¿±danego hosta. Dlatego jeden host w sieci powinien zarz±dzaæ przesy³aniem wiadomo¶ci do hostów zdalnych, z którymi siê trudno po³±czyæ. Jest to wygodniejsze ni¿ danie ca³kowitej swobody wszystkim hostom, gdy¿ wtedy ka¿dy host niezale¿nie podejmowa³by nieustanne próby nawi±zania takiego po³±czenia. 
Istnieje kilka wa¿nych powodów, które przemawiaj± za posiadaniem hosta zarz±dzaj±cego poczt±. Mo¿esz upro¶ciæ zarz±dzanie, nawet je¶li masz tylko jeden host z poczt± skonfigurowan± w taki sposób, by by³o wiadomo, jak obs³ugiwaæ wszystkie typy protoko³ów pocztowych, jak UUCP, Usenet itp. Wszystkie pozosta³e hosty musz± obs³ugiwaæ wtedy tylko jeden protokó³, przez który bêd± wysy³a³y swoj± pocztê do takiego centralnego hosta. Hosty pe³ni±ce rolê takiego centralnego rutera pocztowego i przeka¼nika poczty s± nazywane hostami inteligentnymi (ang. smart hosts). Je¿eli posiadasz inteligentny host, który przyjmuje od ciebie pocztê, mo¿esz wysy³aæ mu dowoln± pocztê, a on obs³u¿y ruting i przekazanie tej wiadomo¶ci do ¿±danej lokalizacji zdalnej.
Innym dobrym zastosowaniem inteligentnego hosta jest zarz±dzanie przesy³aniem poczty przez prywatny firewall. Firma mo¿e zainstalowaæ sieæ wykorzystuj±c± niezarejestrowane adresy IP. Sieæ prywatna mo¿e byæ pod³±czona do Internetu przez firewall. Wysy³anie poczty do i z hostów w sieci prywatnej do ¶wiata zewnêtrznego za pomoc± SMTP nie by³oby mo¿liwe w typowej konfiguracji, poniewa¿ hosty nie s± w stanie przyj±æ lub nawi±zaæ bezpo¶redniego po³±czenia sieciowego z hostami w Internecie. Firma mo¿e zdecydowaæ siê na zainstalowanie firewalla, który bêdzie pe³ni³ funkcjê inteligentnego hosta pocztowego. Inteligentny host dzia³aj±cy na firewallu jest w stanie zestawiaæ bezpo¶rednie po³±czenia sieciowe miêdzy hostami w sieci prywatnej a hostami w Internecie. Inteligenty host przyjmowa³by wiadomo¶ci zarówno z sieci prywatnej, jak i z Internetu, zachowywa³ je lokalnie, a nastêpnie obs³ugiwa³ wysy³anie bezpo¶rednio do odpowiedniego hosta.
Inteligentne hosty s± zwykle u¿ywane wtedy, gdy zawiod± ju¿ wszelkie inne metody dorêczenia. W przypadku firmy z sieci± prywatn± najpierw warto spróbowaæ dostarczyæ pocztê bezpo¶rednio, a je¿eli to siê nie uda, wys³aæ j± do inteligentnego hosta. Zmniejszy siê ruch do hosta inteligentnego, poniewa¿ pozosta³e hosty mog± wysy³aæ pocztê bezpo¶rednio do innych hostów w sieci prywatnej.
sendmail u¿ywa prostej metody konfigurowania inteligentnego hosta za pomoc± funkcji SMART_HOST. Zastosujemy j± przy implementacji konfiguracji browaru wirtualnego. Istotna czê¶æ naszej konfiguracji definiuj±ca inteligentny host jest nastêpuj±ca:
define('SMART_HOST', 'uucp-new:moria')
LOCAL_NET_CONFIG
# Ta regu³a sprawia, ¿e ca³a poczta lokalna bêdzie 
# dostarczana za pomoc± protoko³u SMTP, a wszystko inne 
# bêdzie sz³o przez inteligentny host.
R$* < @ $* .$m. > $* $#smtp $@ $2.$m. $: $1 < @ $2.$m. > $3

Makro SMART_HOST pozwala ci podaæ host, przez który powinna byæ przesy³ana ca³a poczta wychodz±ca, której nie mo¿na dostarczyæ bezpo¶rednio. Mo¿na w nim równie¿ podaæ u¿ywany przez hosta protokó³ transportowy.
W naszej konfiguracji u¿ywamy protoko³u uucp-new do po³±czenia przez UUCP z hostem moria. Gdyby¶my chcieli skonfigurowaæ sendmail, aby u¿ywa³ inteligentnego hosta opartego na SMTP, zamiast powy¿szego napisaliby¶my:

define('SMART_HOST','mail.isp.net')

Nie musimy podawaæ SMTP jako protoko³u transportowego, gdy¿ jest to protokó³ domy¶lny.
Czy wiesz, co robi makro LOCAL_NET_CONFIG i regu³a podstawiania?
Makro LOCAL_NET_CONFIG pozwala ci rêcznie dodawaæ do twojej konfiguracji regu³y podstawiania sendmaila, definiuj±ce które poczty powinny pozostaæ w lokalnym systemie pocztowym. W naszym przyk³adzie u¿yli¶my regu³y, do której pasuj± wszystkie adresy, w których host nale¿y do naszej domeny (.$m.), i dokonujemy podstawienia, dziêki któremu wiadomo¶ci s± wysy³ane bezpo¶rednio do programu wysy³aj±cego SMTP. W tej sytuacji wszelkie wiadomo¶ci dla hosta z naszej domeny s± kierowane natychmiast do programu wysy³aj±cego SMTP i przekazywane do danego hosta, i nie przechodz± przez inteligentny host, co jest drog± domy¶ln±.
Zarz±dzanie niechcianymi i niepotrzebnymi pocztami (spam)
Je¿eli zapisa³e¶ siê do pocztowej listy dyskusyjnej, umie¶ci³e¶ swój adres e-mail w witrynie WWW lub wys³a³e¶ artyku³ do grupy Usenet, bardzo prawdopodobne, ¿e zaczniesz dostawaæ niechciane poczty reklamowe. Obecnie niema³o ludzi trudni siê wyszukiwaniem ich w sieci adresów pocztowych, dodawaniem ich do list, czy sprzedawaniem firmom reklamuj±cym swoje produkty. Ten rodzaj masowego wysy³ania poczty nazywany jest popularnie spammingiem.
Darmowy elektroniczny s³ownik informatyczny (Free On-Line Dictionary of Computing) podaje nastêpuj±c± definicjê spamu*:
2. (zawê¿enie znaczenia 1, powy¿ej)  Bezkarne wysy³anie du¿ej liczby niepo¿±danych wiadomo¶ci e-mail w celu promocji produktu lub us³ugi. Spam w tym znaczeniu jest odpowiednikiem poczty-¶miecia, wysy³anej do "u¿ytkownika".
Wraz z komercyjnym rozwojem sieci w latach 90., pojawi³y siê osoby oferuj±ce spamming jako "us³ugê" firmom, które chc± siê reklamowaæ w sieci. Robi± to przez wysy³anie wiadomo¶ci pod adresy e-mail ze swojej listy, grupy Usenet czy listy pocztowej. Takie praktyki wywo³a³y oburzenie, a nawet agresywne reakcje wielu u¿ytkowników sieci przeciwko uprawiaj±cym spamming.
Na szczê¶cie sendmail zawiera mechanizmy pomocne w walce z niechcian± poczt±.
Czarna lista
Czarna lista (ang. Real-time Blackhole list - RBL) jest dostêpn± publicznie us³ug±, która ma pomóc w ograniczeniu rozsy³ania niechcianych reklam. Adresy nadawców spamu i hosty, które uda³o siê rozpoznaæ, s± ujawniane w Internecie w postaci bazy danych, do której mo¿na zadawaæ zapytania. Baza powstaje wysi³kiem ludzi, którzy dostali niechcian± pocztê spod jakiego¶ adresu e-mail. Na li¶cie pojawiaj± siê te¿ g³ówne domeny, ze wzglêdu na wpadki w zabezpieczaniu siê przed przyjmowaniem spamu. Choæ niektórzy narzekaj± na sposób selekcji informacji przez osoby utrzymuj±ce listê, jest ona bardzo popularna, a niezgodno¶ci s± zwykle szybko wy³apywane. Szczegó³y na temat dzia³ania us³ugi mo¿na znale¼æ na stronie macierzystej jej twórców - projektu Mail Abuse Protection System (MAPS) pod adresem http://maps.vix.com/rbl/.
Je¿eli w³±czysz tê funkcjê, sendmail bêdzie sprawdza³ adres nadawcy ka¿dej przychodz±cej wiadomo¶ci i porównywa³ go z czarn± list±, by stwierdziæ, czy ma przyj±æ wiadomo¶æ. Je¿eli twój o¶rodek jest du¿y i ma wielu u¿ytkowników, to dziêki tej funkcji mo¿esz zaoszczêdziæ wiele miejsca na dysku. Jako parametr przyjmuje ona nazwê serwera, z którego ma korzystaæ. Domy¶lnie jest to rbl.maps.vix.com.
Aby skonfigurowaæ czarn± listê, dodaj poni¿sze makro do swojego pliku sendmail.mc:

FEATURE(rbl)

Gdyby¶ chcia³ podaæ inny serwer RBL, móg³by¶ zapisaæ deklaracjê w nastêpuj±cy sposób:

FEATURE(rbl,'rbl.host.net')
Baza dostêpu
Alternatywnym systemem, który oferuje wiêksz± elastyczno¶æ i kontrolê kosztem rêcznej konfiguracji, jest funkcja access_db. Baza dostêpu pozwala na skonfigurowanie hostów lub u¿ytkowników, od których przyjmujesz pocztê i na rzecz których pocztê przekazujesz.
Kontrola nad tym, do kogo przekazujesz pocztê, jest wa¿na, gdy¿ jest to inna technika powszechnie u¿ywana przez hosty spammuj±ce do obej¶cia opisanej w³a¶nie czarnej listy. Zamiast wysy³aæ do ciebie pocztê bezpo¶rednio, spammerzy przesy³aj± j± przez jaki¶ inny, niepodejrzany host, który na to pozwala. Przychodz±ce po³±czenie SMTP nie pochodzi od hosta spammuj±cego, a od hosta, przez który jest przekazywane. Aby byæ pewnym, ¿e twój host nie bêdzie u¿ywany w ten sposób, powiniene¶ przekazywaæ pocztê tylko na rzecz znanych hostów. Sendmail w wersji 8.9.0 i nowszych ma domy¶lnie wy³±czone przekazywanie, a wiêc bêdziesz musia³ wykorzystaæ bazê dostêpu, by w³±czyæ przekazywanie dla poszczególnych hostów.

Ogólna zasada jest prosta. Gdy zostanie odebrane nowe przychodz±ce po³±czenie SMTP, sendmail odczytuje informacje z nag³ówka i sprawdza bazê dostêpu, by zobaczyæ, czy powinien przyj±æ wiadomo¶æ.
Baza dostêpu to zbiór regu³ opisuj±cych, co robiæ, gdy wiadomo¶æ zostanie odebrana z okre¶lonego hosta. Domy¶lny plik kontroli dostêpu nosi nazwê /etc/mail/access. Tabela ma prosty format. Ka¿dy wiersz tabeli zawiera regu³ê dostêpu. Lewa strona ka¿dej regu³y to wzorzec u¿ywany do dopasowania adresu nadawcy przychodz±cej poczty. Mo¿e to byæ pe³ny adres e-mail, nazwa hosta lub adres IP. Po prawej stronie wymienione jest dzia³anie, jakie nale¿y podj±æ. Istnieje piêæ typów dzia³añ, które mo¿esz skonfigurowaæ. S± to:
OK

Przyjêcie wiadomo¶ci.
RELAY

Przyjêcie wiadomo¶ci z tego hosta lub od tego u¿ytkownika, nawet je¿eli nie jest przeznaczona dla naszego hosta. To oznacza przyjêcie wiadomo¶ci do przekazania do innych hostów.
REJECT

Odmówienie przyjêcia z ogóln± informacj±.
DISCARD

Odrzucenie wiadomo¶ci za pomoc± programu wysy³aj±cego $#discard.
### dowolny tekst

Zwrócenie b³êdu z wykorzystaniem ### jako kodu b³êdu (który powinien byæ zgodny z RFC-821) i "dowolnego tekstu" jako tre¶ci wiadomo¶ci.
Przyk³adowy plik /etc/mail/access mo¿e wygl±daæ tak:

friends@cybermail.com   REJECT
aol.com                 REJECT
207.46.131.30           REJECT
postmaster@aol.com      OK
linux.org.au            RELAY

Ta przyk³adowa konfiguracja odrzuca wszelkie wiadomo¶ci odebrane z adresu friends@cybermail.com, od hostów z domeny aol.com i od hosta o numerze 207.46.131.30. Nastêpna regu³a przyjmuje pocztê od postmaster@aol.com, pomimo ¿e poczta z ca³ej domeny jest odrzucana. Ostatnia regu³a pozwala na przekazywanie poczty z dowolnego hosta do domeny linux.org.au.
Aby uaktywniæ funkcjê bazy dostêpu, u¿yj w swoim pliku sendmail.mc poni¿szej deklaracji:

FEATURE(access_db)

Domy¶lna definicja tworzy bazê danych, u¿ywaj±c polecenia hash -o /etc/mail/access, które generuje prost± bazê ze zwyk³ego pliku tekstowego. Jest to wystarczaj±ce w wiêkszo¶ci przypadków. Istniej± inne opcje, które mo¿esz rozwa¿yæ, je¿eli zamierzasz stworzyæ du¿± bazê dostêpu. Szczegó³y znajdziesz w ksi±¿ce o sendmailu lub innej dokumentacji tego programu.
Wy³±czanie otrzymywania poczty przez u¿ytkowników
Je¶li masz u¿ytkowników lub automatyczne procesy, którym wolno wysy³aæ pocztê, ale nie otrzymywaæ, czasem warto zablokowaæ przyjmowanie wiadomo¶ci dla nich przeznaczonych. Wtedy na dysku nie by³yby zapisywane nigdy nie czytane poczty. Funkcja blacklist_recipients w po³±czeniu z access_db pozwala ci wy³±czyæ odbieranie poczty przez u¿ytkowników lokalnych.
Aby w³±czyæ tê funkcjê, dodajesz poni¿sze wiersze do swojego pliku sendmail.mc, o ile ich tam jeszcze nie ma:

FEATURE(access_db)
FEATURE(blacklist_recipients)

Aby zablokowaæ otrzymywanie poczty przez lokalnego u¿ytkownika, dodaj dotycz±ce go szczegó³y do bazy dostêpu. Zwykle u¿ywasz wpisu typu ###, który zwraca sensowny komunikat b³êdu do nadawcy, tak by wiedzia³, ¿e poczta nie zosta³a dostarczona. Ta funkcja dotyczy w równym stopniu wszystkich u¿ytkowników wirtualnych domen pocztowych i musisz w specyfikacji bazy danych do³±czyæ wirtualn± domenê pocztow±. Przyk³adowe wpisy w pliku /etc/mail/access mog³yby byæ nastêpuj±ce:

daemon            550 Daemon does not accept or read mail.
flacco            550 Mail for this user has been administratively disabled.
grump@dairy.org   550 Mail disabled for this recipient.
Konfigurowanie obs³ugi wirtualnych domen pocztowych
Obs³uga wirtualnych domen pocztowych pozwala hostowi na przyjmowanie i dostarczanie poczty na rzecz szeregu ró¿nych domen, tak jakby dzia³a³o kilka oddzielnych hostów. Funkcja ta, w po³aczeniu z obs³ug± wirtualnych serwrów WWW, jest wykorzystywana zw³aszcza przez dostawców aplikacji internetowych. Jest jednak tak ³atwa w konfiguracji, ¿e warto siê z tym zapoznaæ, bo nigdy nie wiadomo, czy nie znajdziesz siê w sytuacji, gdy bêdziesz musia³ uruchomiæ wirtualn± listê pocztow± dla swojego ulubionego projektu Linuksa. A wiêc opiszemy tu ten proces.
Przyjmowanie poczty dla innych domen
Gdy sendmail odbierze wiadomo¶æ e-mail, porównuje host adresata zawarty w nag³ówku poczty z nazw± hosta lokalnego. Je¿eli pasuj±, sendmail przyjmuje wiadomo¶æ do dostarczenia lokalnie. Je¿eli s± ró¿ne, sendmail mo¿e przyj±æ wiadomo¶æ i próbowaæ przekazaæ j± do celu (szczegó³y dotycz±ce konfiguracji sendmaila do przyjmowania poczty w celu jej przekazania znajdziesz we wcze¶niejszym podrozdziale Baza dostêpu).
Gdyby¶ chcia³ skonfigurowaæ domeny wirtualne, musisz przede wszystkim przekonaæ sendmail, ¿e powinien przyjmowaæ pocztê dla domen, które obs³ugujemy. Na szczê¶cie dosyæ ³atwo jest to zrobiæ.
Funkcja use_cw_file pozwala nam okre¶liæ nazwê pliku, w którym znajduj± siê nazwy domen, dla których sendmail przyjmuje pocztê. Aby skonfigurowaæ tê funkcjê, do swojego pliku sendmail.mc dodaj nastêpuj±c± deklaracjê:

FEATURE(use_cw_file)

Domy¶lna nazwa pliku to /etc/mail/local-host-names dla dystrybucji u¿ywaj±cych katalogu konfiguracyjnego /etc/mail/ lub /etc/sendmail.cw dla tych, które go nie u¿ywaj±. Alternatywnie mo¿esz okre¶liæ nazwê i lokalizacjê tego pliku, nadpisuj±c makro confCW_FILE:

define('confCW_FILE','/etc/virtualnames')

Za³ó¿my, ¿e u¿ywamy domy¶lnej nazwy pliku. Gdyby¶my chcieli obs³ugiwaæ wirtualn± pocztê dla domen bovine.net, dairy.org i artist.org, musieliby¶my stworzyæ nastêpuj±cy plik /etc/mail/local-host-names:

bovine.net
dairy.org
artist.org

Gdy to zrobimy i utworzymy odpowiednie rekordy DNS, gdzie nazwy domen wskazuj± na nasz host, sendmail bêdzie przyjmowa³ pocztê przeznaczon± dla nich tak, jakby by³a przeznaczona dla naszej rzeczywistej domeny.
Przekazywanie poczty z wirtualnych domen pocztowych pod inne adresy
Funkcja sendmaila virtusertable ustawia obs³ugê tablicy u¿ytkowników wirtualnych, gdzie konfigurujemy wirtualne domeny pocztowe. Tablica u¿ytkowników wirtualnych odwzorowuje przychodz±ce poczty przeznaczone dla u¿ytkownik@host na innyu¿ytkownik@innyhost.  Mo¿esz to traktowaæ jak zaawansowane aliasy pocztowe, przekierowuj±ce nie tylko u¿ytkownika, ale tak¿e domenê.
Aby skonfigurowaæ funkcjê virtusertable, dodaj do swojego pliku sendmail.mc nastêpuj±cy wiersz:

FEATURE(virtusertable)

Domy¶lnie plik zawieraj±cy regu³y translacji nosi nazwê /etc/mail/virusertable. Mo¿esz j± zmieniæ, podaj±c odpowiedni argument w makrodefinicji. Szczegó³y zwi±zane z dostêpnymi opcjami znajdziesz w dokumentacji sendmaila.
Format tablicy u¿ytkowników wirtualnych jest bardzo prosty. Lewa strona ka¿dego wiersza zawiera wzorzec reprezentuj±cy oryginalny adres, a prawa strona zawiera wzorzec, na jaki tamten adres zostanie odwzorowany.
Poni¿szy przyk³ad pokazuje trzy mo¿liwe typy wpisów:

samiam@bovine.net   colin
sunny@bovine.net    darkhorse@mystery.net
@dairy.org          mail@jhm.org
@artist.org         $1@red.firefly.com

W tym przyk³adzie obs³ugujemy domeny wirtualne bovine.net, dairy.org i artist.org.
Pierwszy wpis przekierowuje pocztê przesy³an± do u¿ytkownika domeny wirtualnej bovine.net na u¿ytkownika lokalnego komputera. Drugi wpis przekierowuje pocztê u¿ytkownika tej samej domeny wirtualnej na u¿ytkownika innej domeny. Trzeci przyk³ad przekierowuje ca³± pocztê adresowan± do u¿ytkownika domeny wirtualnej dairy.org na pojedynczy adres zdalny. No i ostatni wpis przekierowuje ca³± pocztê u¿ytkownika z domeny artist.org na tego samego u¿ytkownika w innej domenie. Na przyk³ad julie@artist.org zosta³aby przekierowana na julie@red.firefly. com.
Testowanie konfiguracji
Polecenie m4 przetwarza pliki makrodefinicji wy³±cznie zgodnie z w³asnymi regu³ami sk³adniowymi, nic bowiem nie wie o poprawnej sk³adni sendmaila. Tak wiêc, je¿eli co¶ zrobi³e¶ ¼le w pliku makrodefinicji, i tak nie bêdzie ¿adnych komunikatów b³êdów. Z tego powodu wa¿ne jest dok³adne przetestowanie twojej konfiguracji. Na szczê¶cie w sendmailu robi siê to ³atwo.
sendmail posiada tryb "testowania adresu" pozwalaj±cy na sprawdzenie naszej konfiguracji i zidentyfikowanie wszelkich b³êdów. W tym trybie dzia³ania wywo³ujemy sendmail z wiersza poleceñ, a on prosi nas o podanie regu³y i adresu docelowego. Nastêpnie przetwarza adres, u¿ywaj±c zadanej regu³y podstawienia i wy¶wietla wynik po przej¶ciu ka¿dej regu³y. Aby w³±czyæ ten tryb w sendmailu, wywo³ujemy go z argumentem -bt.

# /usr/sbin/sendmail -bt
ADDRESS TEST MODE (ruleset 3 NOT automatically invoked)
Enter <ruleset> <address>
>

Domy¶lnie jest u¿ywany plik konfiguracyjny /etc/mail/sendmail.cf. Mo¿esz podaæ inny plik konfiguracyjny, u¿ywaj±c argumentu -C. Aby sprawdziæ nasz± konfiguracjê, musimy wybraæ adresy do przetwarzania, które powiedz± nam, ¿e nasze wymagania co do obs³ugi poczty zosta³y spe³nione. Aby to pokazaæ, przetestujemy nasz± bardziej skomplikowan± konfiguracjê UUCP pokazan± w przyk³adzie 18-2.
Najpierw sprawdzimy, czy sendmail jest w stanie dostarczyæ pocztê do u¿ytkowników lokalnych. Spodziewamy siê, ¿e wszystkie adresy bêd± przekszta³cone tak, by korzysta³y z programu wysy³aj±cego local na naszej maszynie:

# /usr/sbin/sendmail -bt
ADDRESS TEST MODE (ruleset 3 NOT automatically invoked)
Enter <ruleset> <address>
> 3,0 isaac
rewrite: ruleset   3    input: isaac
rewrite: ruleset  96    input: isaac
rewrite: ruleset  96  returns: isaac
rewrite: ruleset   3  returns: isaac
rewrite: ruleset   0    input: isaac
rewrite: ruleset 199    input: isaac
rewrite: ruleset 199  returns: isaac
rewrite: ruleset  98    input: isaac
rewrite: ruleset  98  returns: isaac
rewrite: ruleset 198    input: isaac
rewrite: ruleset 198  returns: $# local $: isaac
rewrite: ruleset   0  returns: $# local $: isaac

Ten wynik pokazuje nam, jak sendmail przetwarza pocztê adresowan± do isaac w naszym systemie. Ka¿dy wiersz przedstawia informacje przekazane do zestawu regu³ lub rezultat uzyskany po przej¶ciu przez zestaw regu³. Wskazali¶my sendmailowi, ¿e chcieliby¶my u¿yæ zestawu regu³ 0 i 3 do przekszta³cenia adresu. Zestaw regu³ 0 jest wywo³ywany normalnie, a wywo³anie zestawu 3 wymusili¶my, poniewa¿ domy¶lnie nie jest testowany. Ostatni wiersz pokazuje, ¿e wynik zestawu regu³ 0 w rzeczywisto¶ci przekazuje do programu wysy³aj±cego local, pocztê adresowan± do u¿ytkownika isaac.
Nastêpnie sprawdzimy pocztê adresowan± na adres SMTP: isaac@vstout.vbrew.com. Powinni¶my uzyskaæ ten sam wynik co w poprzednim przyk³adzie:

# /usr/sbin/sendmail -bt
ADDRESS TEST MODE (ruleset 3 NOT automatically invoked)
Enter <ruleset> <address>
> 3,0 isaac@vstout.vbrew.com
rewrite: ruleset   3    input: isaac @ vstout . vbrew . com
rewrite: ruleset  96    input: isaac < @ vstout . vbrew . com >
rewrite: ruleset  96  returns: isaac < @ vstout . vbrew . com . >
rewrite: ruleset   3  returns: isaac < @ vstout . vbrew . com . >
rewrite: ruleset   0    input: isaac < @ vstout . vbrew . com . >
rewrite: ruleset 199    input: isaac < @ vstout . vbrew . com . >
rewrite: ruleset 199  returns: isaac < @ vstout . vbrew . com . >
rewrite: ruleset  98    input: isaac < @ vstout . vbrew . com . >
rewrite: ruleset  98  returns: isaac < @ vstout . vbrew . com . >
rewrite: ruleset 198    input: isaac < @ vstout . vbrew . com . >
rewrite: ruleset 198  returns: $# local $: isaac
rewrite: ruleset   0  returns: $# local $: isaac

Znów test zakoñczy³ siê poprawnie. Dalej sprawdzimy pocztê kierowan± na adres typu UUCP: vstout!isaac.

# /usr/sbin/sendmail -bt
ADDRESS TEST MODE (ruleset 3 NOT automatically invoked)
Enter <ruleset> <address>
> 3,0 vstout!isaac
rewrite: ruleset   3    input: vstout ! isaac
rewrite: ruleset  96    input: isaac < @ vstout . UUCP >
rewrite: ruleset  96  returns: isaac < @ vstout . vbrew . com . >
rewrite: ruleset   3  returns: isaac < @ vstout . vbrew . com . >
rewrite: ruleset   0    input: isaac < @ vstout . vbrew . com . >
rewrite: ruleset 199    input: isaac < @ vstout . vbrew . com . >
rewrite: ruleset 199  returns: isaac < @ vstout . vbrew . com . >
rewrite: ruleset  98    input: isaac < @ vstout . vbrew . com . >
rewrite: ruleset  98  returns: isaac < @ vstout . vbrew . com . >
rewrite: ruleset 198    input: isaac < @ vstout . vbrew . com . >
rewrite: ruleset 198  returns: $# local $: isaac
rewrite: ruleset   0  returns: $# local $: isaac

Ten test równie¿ siê uda³. Testy potwierdzaj±, ¿e ka¿da poczta przyjêta dla u¿ytkowników lokalnych zostanie poprawnie dostarczona bez wzglêdu na format adresu. Gdyby¶ zdefiniowa³ aliasy dla twojego komputera, na przyk³ad hosty wirtualne, powiniene¶ powtórzyæ testy dla ka¿dej z alternatywnych nazw, pod jak± znany jest host, aby sprawdziæ, czy równie¿ dzia³aj± poprawnie.
Nastêpnie sprawdzimy, czy poczta adresowana do innych hostów w domenie vbrew.com jest dostarczana bezpo¶rednio do tego hosta przez program wysy³aj±cy SMTP:

# /usr/sbin/sendmail -bt
ADDRESS TEST MODE (ruleset 3 NOT automatically invoked)
Enter <ruleset> <address>

> 3,0 isaac@vale.vbrew.com
rewrite: ruleset   3    input: isaac @ vale . vbrew . com
rewrite: ruleset  96    input: isaac < @ vale . vbrew . com >
rewrite: ruleset  96  returns: isaac < @ vale . vbrew . com . >
rewrite: ruleset   3  returns: isaac < @ vale . vbrew . com . >
rewrite: ruleset   0    input: isaac < @ vale . vbrew . com . >
rewrite: ruleset 199    input: isaac < @ vale . vbrew . com . >
rewrite: ruleset 199  returns: isaac < @ vale . vbrew . com . >
rewrite: ruleset  98    input: isaac < @ vale . vbrew . com . >
rewrite: ruleset  98  returns: isaac < @ vale . vbrew . com . >
rewrite: ruleset 198    input: isaac < @ vale . vbrew . com . >
rewrite: ruleset 198  returns: $# smtp $@ vale . vbrew . com . / 
    $: isaac < @ vale  . vbrew . com . >
rewrite: ruleset   0  returns: $# smtp $@ vale . vbrew . com . / 
    $: isaac < @ vale  . vbrew . com . >

Widzimy, ¿e ten test przekierowa³ wiadomo¶æ do programu wysy³aj±cego SMTP, który przeka¿e go bezpo¶rednio do hosta vale.vbrew.com i u¿ytkownika isaac. Ten test potwierdza, ¿e nasza definicja LOCAL_NET_CONFIG dzia³a poprawnie. Warunkiem powodzenia tego testu jest rozwi±zanie docelowej nazwy hosta, a wiêc w pliku /etc/hosts lub w lokalnym DNS-ie musi znajdowaæ siê odpowiedni wpis. Aby zobaczyæ, co siê stanie, je¿eli rozwi±zanie nazwy bêdzie niemo¿liwe, podajemy nieznany host:

# /usr/sbin/sendmail -bt
ADDRESS TEST MODE (ruleset 3 NOT automatically invoked)
Enter <ruleset> <address>
> 3,0 isaac@vXXXX.vbrew.com
rewrite: ruleset   3    input: isaac @ vXXXX . vbrew . com
rewrite: ruleset  96    input: isaac < @ vXXXX . vbrew . com >
vXXXX.vbrew.com: Name server timeout
rewrite: ruleset  96  returns: isaac < @ vXXXX . vbrew . com >
rewrite: ruleset   3  returns: isaac < @ vXXXX . vbrew . com >
== Ruleset 3,0 (3) status 75
rewrite: ruleset   0    input: isaac < @ vXXXX . vbrew . com >
rewrite: ruleset 199    input: isaac < @ vXXXX . vbrew . com >
rewrite: ruleset 199  returns: isaac < @ vXXXX . vbrew . com >
rewrite: ruleset  98    input: isaac < @ vXXXX . vbrew . com >
rewrite: ruleset  98  returns: isaac < @ vXXXX . vbrew . com >
rewrite: ruleset 198    input: isaac < @ vXXXX . vbrew . com >
rewrite: ruleset  95    input: < uucp-new : moria > isaac < @ vXXXX . vbrew . com >
rewrite: ruleset  95  returns: $# uucp-new $@ moria $: isaac < @ vXXXX . vbrew . com >
rewrite: ruleset 198  returns: $# uucp-new $@ moria $: isaac < @ vXXXX . vbrew . com >
rewrite: ruleset   0  returns: $# uucp-new $@ moria $: isaac < @ vXXXX . vbrew . com >

Wynik jest zupe³nie inny. Najpierw zestaw regu³ 3 zwraca b³±d wskazuj±cy, ¿e nazwa hosta nie mo¿e zostaæ rozwi±zana. Nastêpnie podejmowana jest próba obs³u¿enia tej sytuacji przez przekazanie do innej funkcji naszej konfiguracji: inteligentnego hosta. Zadaniem inteligentnego hosta jest obs³u¿enie wszelkich poczt, których nie da siê dostarczyæ w inny sposób. Podana w te¶cie nazwa hosta nie daje siê rozwi±zaæ i regu³y pokazuj±, ¿e poczta powinna zostaæ przekazana do inteligentnego hosta moria poprzez program wysy³aj±cy uucp-new. Nasz inteligentny host mo¿e mieæ lepsze po³±czenia i bêdzie wiedzia³, co zrobiæ z tym adresem.

Ostatni z naszych testów pokazuje, ¿e ka¿da poczta adresowana do hosta spoza naszej domeny jest przekazywana do naszego hosta inteligentnego. Powinien on daæ wynik podobny do tego z poprzedniego przyk³adu:

# /usr/sbin/sendmail -bt
ADDRESS TEST MODE (ruleset 3 NOT automatically invoked)
Enter <ruleset> <address>
> 3,0 isaac@linux.org.au
rewrite: ruleset   3    input: isaac @ linux . org . au
rewrite: ruleset  96    input: isaac < @ linux . org . au >
rewrite: ruleset  96  returns: isaac < @ linux . org . au . >
rewrite: ruleset   3  returns: isaac < @ linux . org . au . >
rewrite: ruleset   0    input: isaac < @ linux . org . au . >
rewrite: ruleset 199    input: isaac < @ linux . org . au . >
rewrite: ruleset 199  returns: isaac < @ linux . org . au . >
rewrite: ruleset  98    input: isaac < @ linux . org . au . >
rewrite: ruleset  98  returns: isaac < @ linux . org . au . >
rewrite: ruleset 198    input: isaac < @ linux . org . au . >
rewrite: ruleset  95    input: < uucp-new : moria > isaac < @ linux . org . au . >
rewrite: ruleset  95  returns: $# uucp-new $@ moria $: isaac < @ linux . org . au . >
rewrite: ruleset 198  returns: $# uucp-new $@ moria $: isaac < @ linux . org . au . >
rewrite: ruleset   0  returns: $# uucp-new $@ moria $: isaac < @ linux . org . au . >

Wynik tego testu pokazuje, ¿e nazwa hosta zosta³a rozwi±zana i ¿e zosta³ on przekazany do naszego inteligentnego hosta. Dowodzi to, ¿e nasza definicja LOCAL_NET_CONFIG dzia³a poprawnie i w obu sytuacjach jest obs³ugiwana dobrze. Ten test tak¿e koñczy siê sukcesem, a wiêc mo¿emy szczê¶liwie przyj±æ, ¿e nasza konfiguracja jest poprawna, i zacz±æ jej u¿ywaæ.
Eksploatowanie sendmaila
Demona sendmail mo¿na uruchomiæ na dwa sposoby. Jeden to uruchamianie go z demona inetd. Drugi, czê¶ciej u¿ywany, to uruchomienie sendmaila jako samodzielnego demona. Czêsto zdarza siê, ¿e programy wysy³aj±ce pocztê wywo³uj± sendmail jako polecenie u¿ytkownika przyjmuj±cego do wys³ania lokalnie utworzon± pocztê.
Je¿eli uruchamiasz sendmail jako samodzielnego demona, wstaw polecenie do pliku rc. Wtedy demon sendmaila uruchomi siê w czasie startu komputera. Najczê¶ciej u¿ywana sk³adnia to:

/usr/sbin/sendmail -bd -q10m

Argument -bd mówi sendmailowi, ¿e ma dzia³aæ jako demon. Program rozga³êzi siê i bêdzie dzia³a³ w tle. Argument -q10m mówi, by sendmail sprawdza³ kolejkê co dziesiêæ minut. Mo¿esz podaæ inny czas sprawdzania kolejki.
Aby uruchomiæ sendmail z demona sieciowego inetd, u¿ywa siê nastêpuj±cego wpisu:

smtp stream  tcp nowait nobody  /usr/sbin/sendmail -bs

Argument -bs mówi sendmailowi, by u¿ywa³ protoko³u SMTP na stdin/stdout, co jest wymagane przy u¿ywaniu z inetd.

Polecenie runq zwykle jest dowi±zaniem symbolicznym do pliku binarnego sendmail i jest wygodniejsz± postaci± wywo³ania:

# sendmail -q

Gdy sendmail jest wywo³ywany w ten sposób, przetwarza wszystkie wiadomo¶ci oczekuj±ce w kolejce. Przy wywo³ywaniu sendmaila z inetd, musisz tak¿e stworzyæ zadanie cron, które co jaki¶ czas uruchamia polecenie runq s³u¿±ce do obs³ugi bufora poczty.
Odpowiedni wpis w tablicy cron powinien przypominaæ co¶ takiego:

# Uruchamiaj bufor poczty co piêtna¶cie minut
0,15,30,45   *   *   *   *   /usr/bin/runq

W wiêkszo¶ci instalacji sendmail przetwarza kolejkê co 15 minut, co pokazano w przyk³adowym pliku crontab. Przetwarzanie kolejki polega na próbie wys³ania czekaj±cej w niej wiadomo¶ci.
Sztuczki i kruczki
Istnieje wiele rzeczy, które mo¿esz robiæ, aby efektywne zarz±dzaæ sendmailem. W pakiecie sendmaila znajduje siê szereg narzêdzi do zarz±dzania. Przyjrzyjmy siê najwa¿niejszym z nich.
Zarz±dzanie buforem poczty
Poczta, zanim zostanie wys³ana, jest kolejkowana w katalogu /var/spool/mqueue. Katalog ten jest nazywany buforem poczty. Program sendmail pozwala na wy¶wietlenie listy wszystkich wiadomo¶ci znajduj±cych siê w kolejce i ich stanu.
Polecenie /var/bin/mailq jest dowi±zaniem symbolicznym do programu sendmail i dzia³a tak samo jak wywo³anie:

# sendmail -bp

Wynik pokazuje ID wiadomo¶ci, jej rozmiar, czas umieszczenia w kolejce, nadawcê i komunikat opisuj±cy jej aktualny stan. Poni¿szy przyk³ad przedstawia wiadomo¶æ czekaj±c± w kolejce ze wzglêdu na jaki¶ problem:

$ mailq
         Mail Queue (1 request)
--Q-ID-- --Size-- -----Q-Time----- ------------Sender/Recipient------------
RAA00275      124 Wed Dec  9 17:47 root
                 (host map: lookup (tao.linux.org.au): deferred)
                                   tarry@tao.linux.org.au

Ta wiadomo¶æ znajduje siê wci±¿ w kolejce, poniewa¿ nie mo¿na znale¼æ adresu IP docelowego hosta.
Mo¿emy spowodowaæ, ¿e sendmail bêdzie przetwarza³ wiadomo¶ci znajduj±ce siê w kolejce, wydaj±c polecenie /usr/bin/runq.
Polecenie nie pokazuje ¿adnego wyniku. sendmail rozpocznie w tle przetwarzanie poczty znajduj±cej siê w kolejce.
Wymuszanie przetworzenia kolejki pocztowej na ho¶cie zdalnym
Je¿eli u¿ywasz tymczasowego po³±czenia komutowanego z Internetem, ale masz sta³y adres IP, a host MX zbiera twoj± pocztê w czasie, gdy jeste¶ roz³±czony, przyda ci siê wymuszanie na ho¶cie MX, by przetwarza³ kolejkê pocztow± zaraz po zestawieniu twojego po³±czenia.
W dystrybucji sendmaila do³±czono ma³y program w Perlu, który u³atwia zadanie programom, obs³uguj±cym tê funkcjê. Skrypt etrn pozwala osi±gn±æ mniej wiêcej to samo na ho¶cie zdalnym, co polecenie runq na ho¶cie lokalnym. Je¿eli wywo³amy polecenie pokazane w poni¿szym przyk³adzie:

# etrn vstout.vbrew.com

wymusimy na ho¶cie vstout.vbrew.com przetworzenie ca³ej poczty przeznaczonej dla naszego komputera, a czekaj±cej w kolejce.
Zwykle polecenie to dodaje siê do skryptu ip-up PPP, tak by by³o wykonywane zaraz po zestawieniu po³±czenia sieciowego.
Analizowanie statystyk poczty
sendmail zbiera dane na temat wielko¶ci ruchu pocztowego i informacje na temat hostów, do których dostarczy³ pocztê. Istniej± dwa polecenia pozwalaj±ce na wy¶wietlenie tej informacji: mailstats i hoststat.
mailstats
Polecenie mailstats wy¶wietla statystyki na temat liczby wiadomo¶ci przetworzonych przez sendmail. Na pocz±tku wypisywana jest data rozpoczêcia przyjmowania wiadomo¶ci, a po niej tabela, która zawiera po jednym wierszu dla ka¿dego skonfigurowanego programu wysy³aj±cego pocztê i wiersz pokazuj±cy sumê wszystkich wiadomo¶ci. Ka¿dy wiersz zawiera osiem elementów:
Pole	Znaczenie
M	Numer programu wysy³aj±cego (protoko³u transportowego).
msgsfr	Liczba wiadomo¶ci odebranych przez program.
bytes_from	£±czna liczba kilobajtów wiadomo¶ci odebranych przez program.
msgsto	Liczba wiadomo¶ci wys³anych przez program.
bytes_to	£±czna liczba kilobajtów wys³anych przez program.
msgsrej	Liczba nie przyjêtych wiadomo¶ci.
msgsdis	Liczba odrzuconych wiadomo¶ci. 
Mailer	Nazwa programu wysy³aj±cego.
Przyk³adowy wynik polecenia mailstats pokazano poni¿ej.

Przyk³ad 18-5. Przyk³adowy wynik polecenia mailstats
# /usr/sbin/mailstats
Statistics from Sun Dec 20 22:47:02 1998
M   msgsfr  bytes_from  msgsto  bytes_to  msgsrej  msgsds  Mailer
0        0          0K      19      515K        0       0  prog
3       33        545K       0        0K        0       0  local
5       88        972K     139     1018K        0       0  esmtp
===========================================================
T      121       1517K     158     1533K        0       0

Te dane s± zbierane, je¿eli opcja StatusFile w pliku sendmail.cf jest w³±czona i istnieje plik stanu. Zwykle musisz dodaæ w pliku sendmail.cf co¶ takiego:

# plik stanu
O StatusFile=/var/log/sendmail.st

Aby ponownie uruchomiæ zbieranie statystyk, musisz stworzyæ plik statystyk o zerowej d³ugo¶ci:

> /var/log/sendmail.st

i ponownie uruchomiæ sendmail.
hoststat
Polecenie hoststat wy¶wietla informacje o stanie hostów, do których sendmail próbowa³ dostarczyæ pocztê. Polecenie hoststat jest równowa¿ne z nastêpuj±cym wywo³aniem sendmaila:

sendmail -bh

Wynik pokazuje ka¿dego hosta w oddzielnym wierszu i przy ka¿dym z nich zaznacza, od kiedy (godzina) s± podejmowane próby dostarczenia, oraz uzyskany wtedy komunikat.
Przyk³ad 18-6 to rezultat, jakiego mo¿esz oczekiwaæ od polecenia hoststat. Zauwa¿, ¿e wiêkszo¶æ wyników pokazuje, ¿e dostarczenie siê powiod³o z wyj±tkiem earthlink.net. Komunikat o stanie mo¿e pomóc okre¶liæ powód niepowodzenia. W tym przypadku up³yn±³ czas oczekiwania na po³±czenie dlatego, ¿e host nie dzia³a³, albo nie da³o siê do niego dostaæ w czasie, gdy by³y podejmowane takie próby.
Przyk³ad 18-6. Przyk³adowy wynik polecenia hoststat
# hoststat
----------Hostname-------------How long ago ------------Results---------
mail.telstra.com.au               04:05:41 250 Message accepted for
scooter.eye-net.com.au         81+08:32:42 250 OK id=0zTGai-0008S9-0
yarrina.connect.com.a          53+10:46:03 250 LAA09163 Message acce
happy.optus.com.au             55+03:34:40 250 Mail accepted
mail.zip.com.au                   04:05:33 250 RAA23904 Message acce
kwanon.research.canon.com.au   44+04:39:10 250 ok 911542267 qp 21186
linux.org.au                   83+10:04:11 250 IAA31139 Message acce
albert.aapra.org.au               00:00:12 250 VAA21968 Message acce
field.medicine.adelaide.edu.au 53+10:04:11 250 ok 910742814 qp 721
copper.fuller.net              65+12:38:00 250 OAA14470 Message acce
amsat.org                       5+06:49:21 250 UAA07526 Message acce
mail.acm.org                   53+10:46:17 250 TAA25012 Message acce
extmail.bigpond.com            11+04:06:20 250 ok
earthlink.net                  45+05:41:09 Deferred: Connection time

Polecenie purgestat czy¶ci zebrane dane i jest równowa¿ne z nastêpuj±cym wywo³aniem sendmaila:

# sendmail -bH

Statystyki bêd± zbierane, a¿ ich nie wyczy¶cisz. Mo¿esz co jaki¶ czas uruchamiaæ polecenie purgestat, aby u³atwiæ sobie wyszukiwanie ostatnich wpisów, szczególnie je¿eli twój o¶rodek jest obci±¿ony. Mo¿esz tak¿e umie¶ciæ to polecenie w tablicy crontab, tak aby by³o uruchamiane automatycznie, lub mo¿esz uruchamiaæ je co jaki¶ czas rêcznie.


19
Exim


Rozdzia³ 19: Exim


Ten rozdzia³ zwiê¼le wprowadza w konfigurowanie Exima i omawia jego funkcje. Choæ Exim zachowuje siê podobnie jak sendmail, jego pliki konfiguracyjne s± zupe³nie inne.
G³ówny plik konfiguracyjny w wiêkszo¶ci dystrybucji Linuksa nazywa siê /etc/exim. conf lub /etc/exim/config, a w starszych konfiguracjach /usr/lib/exim/config. Plik ten mo¿esz znale¼æ, uruchamiaj±c poni¿sze polecenie:

$ exim -bP configure_file

Mo¿e zaj¶æ potrzeba edycji pliku konfiguracyjnego, aby dopasowaæ go do warto¶ci specyficznych dla twojego o¶rodka. Przy standardowym konfigurowaniu nie trzeba wiele zmieniaæ, a dzia³aj±ca konfiguracja rzadko musi byæ modyfikowana.
Domy¶lnie Exim natychmiast przetwarza i rozsy³a wszystkie przychodz±ce wiadomo¶ci. Je¿eli masz stosunkowo du¿y ruch, mo¿esz skonfigurowaæ Exima tak, by zbiera³ wiadomo¶ci w tak zwanej kolejce i przetwarza³ je ³±cznie jedynie co jaki¶ czas.
Przy obs³udze poczty w sieci TCP/IP, Exim czêsto dzia³a w trybie demona: w czasie uruchamiania systemu jest wywo³ywany z /etc/init.d/exim* i przechodzi w t³o, gdzie czeka na przychodz±ce po³±czenia TCP na porcie SMTP (zwykle port 25). Jest to korzystne, gdy spodziewasz siê du¿ego ruchu, gdy¿ Exim nie musi uruchamiaæ siê dla ka¿dego przychodz±cego po³±czenia. Alternatywnie, inetd mo¿e zarz±dzaæ portem SMTP i Exima, gdy nadejdzie po³±czenie na ten port. Taka konfiguracja mo¿e siê przydaæ, gdy masz ograniczon± wielko¶æ pamiêci i niewielki ruch.
Exim ma skomplikowany zestaw opcji wiersza poleceñ, a wiele z nich przypomina te z sendmaila. Zamiast samemu trudziæ siê nad dopasowaniem opcji do swoich potrzeb, mo¿esz zaimplementowaæ najpopularniejsze typy operacji, wywo³uj±c klasyczne polecenia, jak rmail czy rsmtp. S± to dowi±zania symboliczne do Exima (a je¶li ich nie ma, mo¿esz je ³atwo utworzyæ). Gdy uruchomisz jedno z tych poleceñ, Exim sprawdzi u¿yt± przez ciebie nazwê i ustawi sam odpowiednie opcje.
Istniej± dwa dowi±zania do Exima, które powiniene¶ mieæ bez wzglêdu na wszystko: /usr/bin/rmail i /usr/sbin/sendmail*. Gdy piszesz wiadomo¶æ i wysy³asz j± za pomoc± agenta, na przyk³ad elm, jest ona przekazywana do sendmaila lub rmaila w celu dostarczenia i dlatego zarówno /usr/sbin/sendmail, jak i /usr/bin/rmail powinny wskazywaæ na Exima. Lista adresatów wiadomo¶ci jest przekazywana do Exima w wierszu poleceñ** To samo dzieje siê z poczt± przychodz±c± przez UUCP. Wpisuj±c poni¿sze wiersze, mo¿esz skonfigurowaæ ¿±dane ¶cie¿ki tak, by wskazywa³y na Exima:

$ ln -s /usr/sbin/exim /usr/bin/rmail
$ ln -s /usr/sbin/exim /usr/sbin/sendmail

Gdyby¶ chcia³ siê zag³êbiæ w dalsze szczegó³y konfiguracji Exima, powiniene¶ przeczytaæ jego pe³n± specyfikacjê. Je¿eli nie ma jej w twojej ulubionej dystrybucji Linuksa, mo¿esz j± znale¼æ w ¼ród³ach Exima lub przeczytaæ w wersji elektronicznej na witrynie Exima pod adresem http://www.exim.org.
Eksploatowanie Exima
Przed uruchomieniem Exima musisz siê zdecydowaæ, czy chcesz, ¿eby obs³ugiwa³ on przychodz±c± pocztê SMTP jako samodzielny demon, czy jako program zarz±dzany przez inetd, który kontroluje port SMTP i wywo³uje Exima tylko wtedy, gdy klient ¿±da po³±czenia SMTP. Zwykle na serwerach pocztowych lepiej sprawdza siê demon, poniewa¿ du¿o mniej obci±¿a maszynê ni¿ Exim uruchamiany oddzielnie dla ka¿dego po³±czenia. Poniewa¿ serwer pocztowy dostarcza wiêkszo¶æ przychodz±cej poczty bezpo¶rednio do adresatów, powiniene¶ na pozosta³ych hostach wybraæ dzia³anie przez inetd.
Bez wzglêdu na to, który tryb pracy wybierzesz, musisz mieæ w swoim pliku /etc/services nastêpuj±cy wpis:

smtp      25/tcp   # Simple Mail Transfer Protocol

Definiuje on numer portu TCP, który jest u¿ywany do po³±czeñ SMTP. Numer portu 25 jest standardowo zdefiniowany przez RFC-1700 (Assigned Numbers).
Gdy uruchomisz Exima w trybie demona, przechodzi on do przetwarzania w tle i czeka na po³±czenie na porcie SMTP. Gdy po³±czenie nadejdzie, rozga³êzia siê i jego proces potomny prowadzi konwersacjê SMTP z procesem hosta po drugiej stronie. Demon Exim zwykle jest uruchamiany przez wywo³anie ze skryptu rc w czasie startu komputera. S³u¿y do tego nastêpuj±ce polecenie:

/usr/sbin/exim -bd -q15m

Opcja -bd w³±cza tryb demona, a -q15m powoduje, ¿e wiadomo¶ci zebrane w kolejce s± obs³ugiwane co 15 minut.
Gdyby¶ chcia³ u¿yæ inetd, twój plik /etc/inetd.conf powinien zawieraæ nastêpuj±cy wiersz:

smtp      stream   tcp nowait root /usr/sbin/exim in.exim -bs

Pamiêtaj, ¿e musisz spowodowaæ ponowne przeczytanie pliku inetd.conf przez proces inetd, wysy³aj±c do niego sygna³ HUP po dokonaniu niezbêdnych zmian*. 
Tryb demona i inetd wykluczaj± siê wzajemnie. Je¿eli uruchomisz Exima jako demona, powiniene¶ zakomentowaæ wiersz us³ugi smtp w pliku inetd.conf. I odwrotnie, gdy uruchamiasz Exima przez inetd, upewnij siê, ¿e nie masz skryptu rc uruchamiaj±cego go w trybie demona.
Wykonuj±c po³±czenie przez telnet na port SMTP swojej maszyny, mo¿esz sprawdziæ, czy Exim jest poprawnie skonfigurowany do odbierania wiadomo¶ci SMTP. Oto jak powinno wygl±daæ poprawne po³±czenie:

$ telnet localhost smtp
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 richard.vbrew.com ESMTP Exim 3.13 #1 Sun, 30 Jan 2000 16:23:55 +0600
quit
221 richard.vbrew.com closing connection
Connection closed by foreign host.

Je¿eli ten test nie spowoduje pokazania banera SMTP (wiersza rozpoczynaj±cego siê kodem 220), sprawd¼, czy proces demona Exim istnieje lub czy inetd jest poprawnie skonfigurowany. Je¿eli to nie rozwi±¿e problemu, a w pliku konfiguracyjnym nie ma b³êdów, zajrzyj do plików log Exima (opisanych dalej).
Je¿eli twoja poczta nie dochodzi
Istnieje szereg funkcji pomagaj±cych rozwi±zywaæ problemy z instalacj±. Pierwszym miejscem, jakie nale¿y sprawdziæ, s± pliki log Exima. W systemach linuksowych normalnie znajduj± siê one w katalogu /var/log/exim/log i nazywaj± siê exim_mainlog, exim_rejectlog i exim_paniclog. W innych systemach operacyjnych czêsto s± umieszczane w katalogu /var/spool/exim/log. Je¶li jeszcze nie wiesz, gdzie siê znajduj± pliki log Exima w twoim systemie, uruchom poni¿sze polecenie:

exim -bP log_file_path

G³ówny plik log opisuje wszystkie transakcje, plik log reject zawiera szczegó³y dotycz±ce wiadomo¶ci, które zosta³y odrzucone ze wzglêdu na przyjêt± politykê, a plik log panic zawiera wiadomo¶ci zwi±zane z b³êdami konfiguracyjnymi i tym podobnymi.
Poni¿ej pokazano typowe wpisy w g³ównym pliku log. Ka¿dy wpis to jeden wiersz tekstu, rozpoczynaj±cy siê od daty i czasu. Tutaj zosta³y one podzielone na kilka wierszy, by zmie¶ci³y siê na stronie:

2000-01-30 15:46:37 12EwYe-0004WO-00 <= jack@vstout.vbrew.com
  H=vstout.vbrew.com [192.168.131.111] U=exim P=esmtp S=32100
  id=38690D72.286F@vstout.vbrew.com
2000-01-30 15:46:37 12EwYe-0004WO-00 => jill@vbrew.com>
  D=localuser T=local_delivery
2000-01-30 15:46:37 12EwYe-0004WO-00 Completed

Te wpisy pokazuj±, ¿e wiadomo¶æ od jack@vstout.vbrew.com do jill@vbrew.com zosta³a poprawnie dostarczona do skrzynki pocztowej na ho¶cie lokalnym. Przyjêcie wiadomo¶ci oznacza siê symbolem <=, a nadania - symbolem =>.
Istniej± dwa rodzaje b³êdów dostarczenia: sta³y i tymczasowy. B³±d sta³y uwidacznia siê w pliku log w pokazany poni¿ej sposób i jest oznaczony dwoma gwiazdkami (**):

2000-01-30 14:48:28 12EvcH-0003rC-00 ** bill@lager.vbrew.com
  R=lookuphost T=smtp: SMTP error from remote mailer after RCPT TO:
  <bill@lager.vbrew.com>: host lager.vbrew.com [192.168.157.2]:
  550 <bill@lager.vbrew.com>... User unknown

Je¶li taki b³±d wyst±pi, Exim wysy³a do nadawcy raport z b³êdnego dostarczenia, czêsto nazywany wiadomo¶ci± odbit± (ang. bounced message).
B³êdy tymczasowe s± oznaczane symbolem ==:

2000-01-30 12:50:50 12E9Un-0004Wq-00 == jim@bitter.vbrew.com
  T=smtp defer (145): Connection timed out

Ten b³±d jest typowy dla sytuacji, w której Exim prawdopodobnie rozpozna³, ¿e wiadomo¶æ powinna zostaæ dostarczona do hosta zdalnego, ale nie jest w stanie po³±czyæ siê z us³ug± SMTP na tym ho¶cie. Na przyk³ad host jest wy³±czony lub przytrafi³ siê jaki¶ problem z sieci±. Gdy wiadomo¶æ zostanie odrzucona (ang. deferred) w ten sposób, pozostaje w kolejce Exima i co jaki¶ czas jest podejmowana próba jej ponownego wys³ania. Jednak je¿eli w okre¶lonym czasie (zwykle kilka dni), ¿adna próba siê nie powiedzie, pojawi siê b³±d sta³y i zostanie wys³ana wiadomo¶æ odbita.
Je¿eli na podstawie komunikatu b³êdu generowanego przez Exima nie jeste¶ w stanie zlokalizowaæ problemu, mo¿esz w³±czyæ komunikaty debuguj±ce. Robi siê to przez opcjê -d, po której opcjonalnie mo¿na podaæ ¿±dany poziom dok³adno¶ci wy¶wietlanych informacji (maksymalnie 9). Exim wy¶wietla raport na ekranie. Byæ mo¿e z niego dowiesz siê, gdzie tkwi b³±d.
Kompilowanie Exima
Exim jest wci±¿ w stadium intensywnego rozwoju. Wersja za³±czona w dystrybucji Linuksa nigdy nie jest t± najnowsz±. Je¿eli potrzebujesz funkcji lub poprawki, która istnieje w nowszej wersji, musisz zdobyæ kod ¼ród³owy i skompilowaæ go samodzielnie. Najnowsz± wersjê mo¿na znale¼æ na stronie WWW Exima pod adresem http://www.exim.org.

Linux jest jednym z wielu systemów operacyjnych, dla którego istnieje konfiguracja w kodzie ¼ród³owym Exima. Aby skompilowaæ go w Linuksie, powiniene¶ dokonaæ edycji pliku src/EDITME i umie¶ciæ wynik w pliku o nazwie Local/Makefile. W pliku src/EDITME znajduj± siê komentarze, które informuj±, do czego s³u¿± poszczególne ustawienia. Na koniec uruchom make. Szczegó³owe informacje na temat kompilacji Exima znajdziesz w jego podrêczniku obs³ugi.
Tryby dostarczania poczty
Jak wspomnieli¶my, Exim mo¿e bezzw³ocznie dostarczaæ wiadomo¶ci lub kolejkowaæ je do pó¼niejszego przetwarzania. Wszystkie przychodz±ce wiadomo¶ci s± zachowywane w podkatalogu input katalogu /var/spool/exim. Gdy kolejkowanie nie dzia³a, proces dostarczania jest uruchamiany po nadej¶ciu ka¿dej wiadomo¶ci. W przeciwnym razie wiadomo¶æ jest pozostawiana w kolejce, a¿ proces queuerunner j± pobierze. Kolejkowanie mo¿e byæ bezwarunkowe, je¿eli ustawimy w pliku konfiguracyjnym queue_only, lub realizowane warunkowo przy ¶rednim obci±¿eniu systemu w czasie jednej minuty, je¿eli ustawimy:

queue_only_load = 4

W tym wypadku wiadomo¶ci s± kolejkowane, je¿eli obci±¿enie systemu przekroczy 4*.
Je¿eli twój host nie jest na sta³e po³±czony z Internetem, mo¿esz zechcieæ w³±czyæ kolejkowanie dla adresów zdalnych, pozwalaj±c Eximowi na natychmiastowe dostarczanie poczty lokalnej. Mo¿esz to zrobiæ, ustawiaj±c w pliku konfiguracyjnym:

queue_remote_domains = *

Je¿eli w³±czysz dowolne kolejkowanie, musisz pamiêtaæ o regularnym sprawdzaniu kolejek, najlepiej co 10 lub 15 minut. Nawet je¿eli opcje kolejkowania nie s± jawnie w³±czone, trzeba sprawdzaæ kolejki pod k±tem wiadomo¶ci odrzuconych ze wzglêdu na tymczasowe b³êdy w dostarczaniu. Je¿eli uruchomisz Exima w trybie demona, musisz dodaæ w wierszu poleceñ opcjê -q15m przetwarzaj±c± kolejkê co 15 minut. Mo¿esz tak¿e wywo³aæ exim -q z crona co zadany okres czasu.
Aktualn± kolejkê mo¿esz obejrzeæ, wywo³uj±c Exima z opcj± -bp. To samo mo¿esz uzyskaæ, tworz±c dowi±zanie mailq do Exima i wywo³uj±c mailq:

$ mailq
2h    52K 12EwGE-0005jD-00 <sam@vbrew.com>
      D bob@vbrew.com
          harry@example.net

Widzimy, ¿e w kolejce czeka jedna wiadomo¶æ od sam@vbrew.com adresowana do dwóch osób. Zosta³a ona poprawnie dostarczona do bob@vbrew.com, ale jeszcze nie dotar³a do harry@example.net, choæ czeka w kolejce od dwóch godzin. Rozmiar wiadomo¶ci to 52 KB, a ID za pomoc± którego Exim j± identyfikuje to 12EwGE-0005jD-00. Zagl±daj±c do indywidualnego pliku log wiadomo¶ci, msglog, który znajduje siê w katalogu buforowym Exima, mo¿esz stwierdziæ, dlaczego wiadomo¶æ nie zosta³a jeszcze dostarczona. £atwo to zrobiæ, u¿ywaj±c opcji -Mvl:

$ exim -Mvl 12EwGE-0005jD-00
2000-01-30 17:28:13 example.net [192.168.8.2]: Connection timed out
2000-01-30 17:28:13 harry@example.net: remote_smtp transport deferred: 
  Connection timed out

Indywidualne pliki log zawieraj± kopiê wpisów log dla ka¿dej wiadomo¶ci, a wiêc mo¿esz je ³atwo przegl±daæ. Tê sam± informacjê mo¿esz uzyskaæ z g³ównego pliku log, u¿ywaj±c narzêdzia exigrep:

$ exigrep 12EwGE-0005jD-00 /var/log/exim/exim_mainlog

Potrwa to nieco d³u¿ej, szczególnie w obci±¿onym systemie, gdzie pliki log s± du¿e. Narzêdzie exigrep przydaje siê przy poszukiwaniu informacji o wiêkszej liczbie wiadomo¶ci. Jego pierwszym argumentem jest wyra¿enie regularne i pokazuje wszystkie wiersze zwi±zane z wiadomo¶ciami, które maj± co najmniej jeden wiersz pasuj±cy do wyra¿enia. Tym sposobem mo¿na go u¿ywaæ do wybrania tych wszystkich wiadomo¶ci, które s± adresowane na jeden zadany adres, lub wszystkich tych, które s± przeznaczone dla zadanego hosta lub stamt±d pochodz±.
Je¶li chcesz zobaczyæ sobie ogólnie, co robi Exim, uruchom polecenie tail z g³ównym plikiem log. Mo¿esz te¿ uruchomiæ narzêdzie eximon dostarczane wraz z Eximem. Jest to aplikacja X11, która daje przesuwaj±cy siê obraz g³ównego logu i pokazuje listê wiadomo¶ci, które czekaj± na dostarczenie, oraz pewne statystyki aktywno¶ci dostarczania.
Ró¿ne opcje konfiguracyjne
Oto kilka innych przydatnych opcji, które mo¿esz ustawiaæ w pliku konfiguracyjnym.
message_size_limit

Ustawienie tej opcji ogranicza rozmiar wiadomo¶ci przyjmowanej przez Exima.
return_size_limit

Ustawienie tej opcji ogranicza liczbê przychodz±cych wiadomo¶ci, które Exim bêdzie zwraca³ w ramach wiadomo¶ci odbitej.
deliver_load_max

Je¿eli obci±¿enie systemu osi±gnie zadan± t± opcj± warto¶æ, dostarczanie wszelkich wiadomo¶ci zostanie zawieszone, choæ wci±¿ bêd± one przyjmowane.
smtp_accept_max

Jest to maksymalna liczba jednocze¶nie przychodz±cych po³±czeñ SMTP, które Exim mo¿e przyj±æ.
log_level

Ta opcja kontroluje liczbê danych zapisywanych do pliku log. Istniej± pewne opcje o nazwach rozpoczynaj±cych siê od log_ , które kontroluj± zapisywanie okre¶lonych informacji.

Ruting i dostarczanie poczty
Exim dzieli dostarczanie poczty na trzy ró¿ne zadania: ruting, zarz±dzanie i przesy³anie. Istnieje kilka modu³ów kodu dla ka¿dego typu i ka¿dy konfiguruje siê oddzielnie. Zwykle w pliku konfiguracyjnym dostosowuje siê kilka ró¿nych ruterów, modu³ów zarz±dzaj±cych i przesy³aj±cych.
Rutery rozwi±zuj± adresy zdalne, aby by³o wiadomo, do którego hosta powinna byæ wys³ana wiadomo¶æ i którego protoko³u transportowego nale¿y u¿yæ. W przypadku hostów pod³±czonych do Internetu, zwykle istnieje jeden ruter, który realizuje rozwi±zywanie przez przeszukiwanie domeny w DNS-ie. Ewentualnie mo¿e byæ jeden ruter, który obs³uguje adresy hostów w sieci lokalnej, i drugi, który wysy³a pozosta³e wiadomo¶ci do inteligentnego hosta, na przyk³ad serwera pocztowego dostawcy Internetu.
Adresy lokalne s± przekazywane do programu zarz±dzaj±cego. Takich programów jest zwykle kilka. Obs³uguj± one aliasy i przekazywanie oraz identyfikuj± skrzynki lokalne. Listy pocztowe mog± byæ obs³ugiwane przez programy zarz±dzaj±ce aliasami i przekazywaniem. Je¿eli adres posiada alias lub zosta³ przekierowany, nowo utworzone adresy s± obs³ugiwane niezale¿nie przez rutery lub programy zarz±dzaj±ce, o ile jest taka potrzeba. Najczêstszym przypadkiem bêdzie dostarczanie do skrzynki pocztowej, ale wiadomo¶ci mog± byæ tak¿e przekazane przez potok do polecenia lub doklejone do pliku innego ni¿ domy¶lna skrzynka pocztowa.
Modu³ transportowy jest odpowiedzialny za implementacjê metod dostarczania, na przyk³ad za wys³anie wiadomo¶ci przez ³±cze SMTP lub umieszczenie jej w okre¶lonej skrzynce pocztowej. Rutery i programy zarz±dzaj±ce decyduj±, którego modu³u transportowego u¿yæ dla danego adresata. Je¿eli modu³ transportowy nie zadzia³a, Exim generuje wiadomo¶æ odbit± lub chwilowo odk³ada adres, aby pó¼niej ponowiæ próbê.
W Eximie masz pe³n± swobodê konfigurowania tych zadañ. Dla ka¿dego z nich dostêpne jest kilka sterowników, z których mo¿esz wybraæ potrzebny. Opisujesz je w ró¿nych sekcjach pliku konfiguracyjnego Exima. Najpierw definiowane s± protoko³y transportowe, po nich modu³y zarz±dzaj±ce, a na koñcu rutery. Nie ma wbudowanych warto¶ci domy¶lnych, choæ Exim jest rozpowszechniany z domy¶lnym plikiem konfiguracyjnym, który uwzglêdnia proste przypadki. Gdyby¶ chcia³ zmieniæ politykê rutowania Exima lub zmodyfikowaæ protokó³ transportowy, ³atwiej jest rozpocz±æ od domy¶lnej konfiguracji i dokonywaæ w niej zmian, ni¿ próbowaæ stworzyæ plik konfiguracyjny od zera.
Ruting wiadomo¶ci
Gdy Exim dostanie adres, na który ma dostarczyæ pocztê, najpierw sprawdza, czy domena jest obs³ugiwana przez host lokalny, porównuj±c j± z list± zawart± w zmiennej konfiguracyjnej local_domains. Je¿eli ta opcja nie jest ustawiona, nazwa hosta lokalnego jest u¿ywana tylko w domenie lokalnej. Je¿eli jeste¶my w domenie lokalnej, adres jest przekazywany do modu³ów zarz±dzaj±cych. W przeciwnym razie jest przekazywany do ruterów, aby stwierdzi³y, gdzie przes³aæ wiadomo¶æ*.
Dostarczanie wiadomo¶ci na adresy lokalne
Adres lokalny to przewa¿nie nazwa u¿ytkownika. Je¶li ma tak± postaæ, wiadomo¶æ jest dostarczana bezpo¶rednio do skrzynki pocztowej u¿ytkownika /var/spool/mail/ nazwa-u¿ytkownika. Do innych przypadków zaliczamy aliasy, nazwy list pocztowych i przekazywanie poczty przez u¿ytkownika. Wtedy adres lokalny jest rozwijany do listy adresów, które mog± byæ lokalne lub zdalne.
Poza takimi "normalnymi" adresami, Exim mo¿e obs³ugiwaæ inne typy celów wiadomo¶ci lokalnych o innym miejscu przeznaczenia, takim jak nazwy plików i potoki poleceñ. Je¶li chodzi o dostarczanie do pliku, Exim dokleja wiadomo¶æ, a je¿eli jest taka potrzeba, tworzy nowy plik. Cele w postaci pliku i potoku nie s± typowymi adresami, a wiêc nie mo¿esz wys³aæ poczty, powiedzmy, pod /etc/passwd@vbrew.com i oczekiwaæ, ¿e plik passwd zostanie nadpisany. Dostarczanie pod adresy specjalne jest mo¿liwe tylko, je¿eli istnieje na nie przekierowanie lub pliki aliasów. Zwróæ jednak uwagê, ¿e /etc/passwd@vbrew.com jest sk³adniowo poprawnym adresem e-mail, ale je¿eli Exim odbierze adresowan± na niego wiadomo¶æ, zwykle bêdzie szuka³ u¿ytkownika o nazwie /etc/passwd, co zakoñczy siê fiaskiem i wiadomo¶æ zostanie odbita.
Na li¶cie aliasów lub w pliku przekierowania nazwapliku zaczyna siê od uko¶nika (/) i ma postaæ, która  nie spe³nia warunków sk³adni pe³nego domenowego adresu e-mail. Na przyk³ad /tmp/junk w pliku przekierowania lub w pliku aliasów jest interpretowane jako nazwa pliku, ale /tmp/junk@vbrew.com jako adres e-mail, choæ prawdopodobnie niezbyt przydatny. Jednak adresy tego typu mo¿na spotkaæ przy wysy³aniu poczty przez gatewaye X.400, poniewa¿ adresy X.400 rozpoczynaj± siê od uko¶nika. 
Podobnie polecenie w potoku mo¿e byæ dowolnym poleceniem Uniksa poprzedzonym znakiem potoku (|), o ile ci±g nie mo¿e byæ uznany za poprawny, domenowy adres e-mail. Je¿eli nie zmienisz konfiguracji, Exim nie u¿ywa pow³oki do uruchamiania polecenia. Za to dzieli ci±g na nazwê polecenia i argumenty i uruchamia je bezpo¶rednio. Wiadomo¶æ jest przekazywana jako standardowe wej¶cie takiego polecenia.
Na przyk³ad, aby przekierowaæ listê pocztow± do lokalnej grupy dyskusyjnej, móg³by¶ u¿yæ skryptu pow³oki gateit i skonfigurowaæ lokalny alias tak, by dostarcza³ wszystkie wiadomo¶ci z tej listy do skryptu za pomoc± |gateit. Je¶li wiersz poleceñ zawiera przecinek, nale¿y go uj±æ w cudzys³ów wraz z symbolem potoku.

U¿ytkownicy lokalni
Adres lokalny zwykle jest jednoznaczny ze skrzynk± pocztow±. Znajduje siê ona przewa¿nie w katalogu /var/spool/mail i nosi nazwê u¿ytkownika, który jest równie¿ w³a¶cicielem pliku. Je¿eli plik nie istnieje, Exim go tworzy.
W pewnych konfiguracjach grupa jest ustawiana na tak±, do której nale¿y u¿ytkownik, a tryb praw dostêpu na 0600. W tych przypadkach procesy dostarczania dzia³aj± z prawami u¿ytkownika i u¿ytkownik mo¿e usun±æ ca³± skrzynkê. W innych konfiguracjach skrzynka pocztowa nale¿y do grupy mail i ma prawo dostêpu 0660. Procesy dostarczaj±ce dzia³aj± z uid systemu i grup± mail, a u¿ytkownicy nie mog± usuwaæ plików swoich skrzynek, choæ mog± je opró¿niaæ.
Zauwa¿, ¿e choæ katalog /var/spool/mail jest obecnie standardowym miejscem umieszczania plików skrzynek pocztowych, niektóre programy s± skompilowane do u¿ywania innych ¶cie¿ek, na przyk³ad /usr/spool/mail. Je¿eli dostarczenie poczty do u¿ytkowników na twoim komputerze regularnie siê nie udaje, powiniene¶ zobaczyæ, czy pomo¿e stworzenie dowi±zania symbolicznego do /var/spool/mail.
Adresy MAILER-DAEMON i postmaster normalnie powinny byæ umieszczone w pliku aliasów i powinny siê rozwijaæ do adresów e-mail administratora systemu. MAILER-DAEMON jest u¿ywany przez Exima jako adres nadawcy w wiadomo¶ciach odbitych. Jest równie¿ zalecane, by root by³ skonfigurowany jako alias dla administratora, szczególnie gdy dostarczanie odbywa siê z prawami odbiorców, aby zapobiec dostarczaniu jako root.
Przekierowywanie poczty
U¿ytkownicy mog± przekierowywaæ swoj± pocztê na inne adresy, tworz±c plik .forward w swoich katalogach macierzystych. Zawiera on listê odbiorców, w której znakiem separatora jest przecinek i/lub znak nowego wiersza. Wszystkie wiersze zawarte w pliku s± odczytywane i interpretowane. Mo¿na w nim u¿yæ adresu dowolnego typu. Praktycznym przyk³adem pliku .forward przygotowanego na czas urlopu mo¿e byæ:

janet, "|vacation"

W innych opisach plików .forward mo¿esz znale¼æ nazwê u¿ytkownika poprzedzon± znakiem odwrotnego uko¶nika. W starszych  MTA taki zapis zapobiega³ szukaniu nowej nazwy w pliku .forward, co mog³o prowadziæ do zapêtlenia. W Eximie odwrotny uko¶nik nie jest potrzebny, gdy¿ program ten automatycznie rozwi±zuje problem zapêtlenia* . Jednak znak odwrotnego uko¶nika jest dopuszczalny i nie jest on bez znaczenia w konfiguracji, obs³uguj±cej kilka domen naraz. Sama nazwa u¿ytkownika, bez znaku odwrotnego uko¶nika, jest uznawana za nazwê z domeny domy¶lnej. W przypadku zastosowania odwrotnego uko¶nika zachowywana jest podana domena.

Pierwszy adres w pliku przekierowania odpowiada za dostarczenie przychodz±cej wiadomo¶ci do skrzynki pocztowej janet, natomiast polecenie vacation zwraca do nadawcy krótk± informacjê*. 
Poza obs³ug± "tradycyjnych" plików przekierowania, Exima mo¿na skonfigurowaæ do pracy z bardziej skomplikowanymi plikami, zwanymi filtrami. Zamiast listy adresów, na które nale¿y przekierowaæ wiadomo¶æ, plik filtru mo¿e zawieraæ testy zawarto¶ci przychodz±cej wiadomo¶ci, tak by na przyk³ad wiadomo¶æ mog³a byæ przekazana tylko wtedy, gdy temat zawiera has³o "pilne". Administrator systemu musi zdecydowaæ, czy wolno pozwoliæ u¿ytkownikom na tak± elastyczno¶æ.
Pliki aliasów
Exim mo¿e obs³ugiwaæ pliki aliasów komatybilne z plikami sendmaila. Wpisy w pliku aliasów mog± mieæ nastêpuj±c± postaæ:

alias: odbiorcy

odbiorcy to lista oddzielonych przecinkami adresów, którymi zostanie zast±piony alias. Lista odbiorców mo¿e ci±gn±æ siê przez kilka wierszy, je¿eli nastêpny wiersz rozpoczyna siê od bia³ego znaku.
Specjalna funkcja pozwala Eximowi obs³ugiwaæ listy pocztowe, które s± umieszczone niezale¿nie od pliku aliasów: je¿eli podasz jako odbiorcê :include:nazwapliku, Exim odczytuje zadany plik i zastêpuje jego zawarto¶æ list± odbiorców. Alternatywa dla takiej obs³ugi list pocztowych jest opisana w nastêpnym podrozdziale, Listy pocztowe.
G³ówny plik aliasów to /etc/aliases. Je¿eli przyzna³e¶ prawa zapisu do tego pliku grupie lub wszystkim, Exim odmówi jego u¿ycia i wstrzyma przyjmowanie poczty lokalnej. Mo¿esz jednak kontrolowaæ test zwi±zany ze sprawdzaniem praw dostêpu, ustawiaj±c modemask w programie zarz±dzaj±cym system_aliases.
Oto przyk³adowy plik aliases:

# plik /etc/aliases dla vbrew.com 
hostmaster: janet
postmaster: janet
usenet: phil
# Lista pocztowa development.
development: joe, sue, mark, biff,
   /var/mail/log/development
owner-development: joe
# Og³oszenia ogólne s± wysy³ane do ca³ego personelu.
announce: :include: /etc/Exim/staff,
   /var/mail/log/announce
owner-announce: root
# przej¶cie z listy pocztowej ppp na lokaln± grupê dyskusyjn±
ppp-list: "|/usr/local/bin/gateit local.lists.ppp"

Gdy w plikach aliasów znajduj± siê nazwy plików i polecenia w potoku, tak jak w powy¿szym przyk³adzie, Exim musi wiedzieæ, pod jakim u¿ytkownikiem maj± dzia³aæ programy dostarczaj±ce. Opcja user w pliku konfiguracyjnym Exima (a tak¿e group) musi byæ ustawiona dla programu zarz±dzaj±cego, który obs³uguje aliasy, albo dla modu³ów transportowych, na które s± przekierowywane wiadomo¶ci.
Je¿eli w czasie dostarczania wiadomo¶ci na adres wygenerowany z pliku aliases wyst±pi b³±d, Exim jak zwykle wy¶le do nadawcy wiadomo¶æ odbit±, o ile za pomoc± opcji errors_to nie okre¶lisz, ¿e odbite wiadomo¶ci maj± byæ wysy³ane do kogo innego, na przyk³ad do postmastera.
Listy pocztowe
Zamiast pliku aliases, program zarz±dzaj±cy forwardfile mo¿e obs³ugiwaæ tak¿e listy pocztowe. S± one zwykle przechowywane w jednym katalogu, jak /etc/exim/lists/, a lista o nazwie nag-bugs jest opisana plikiem lists/nag-bugs. Plik ten powinien zawieraæ adresy cz³onków listy oddzielone przecinkami lub znakami nowego wiersza. Wiersze rozpoczynaj±ce siê od znaku # s± traktowane jako komentarze. Prosty program zarz±dzaj±cy wykorzystuj±cy te dane mo¿e wygl±daæ nastêpuj±co:

lists:
   driver = forwardfile
   file = /etc/exim/lists/${local_part}
   no_check_local_user
   errors_to = ${local_part}-request

Gdy dzia³a program zarz±dzaj±cy, warto¶ci opcji file i errors_to s± rozwijane. Rozwiniêcie powoduje, ¿e te fragmenty ci±gu znaków, które rozpoczynaj± siê od znaku dolara, zostan± za ka¿dym razem zast±pione u¿ywanym ci±giem. Najprostszym rodzajem rozwiniêcia jest wstawienie warto¶ci jednej ze zmiennych Exima i tak w³a¶nie siê tutaj dzieje. Ci±g ${local_part} jest zastêpowany warto¶ci± $local_part, która jest lokaln± czê¶ci± przetwarzanego adresu.
W ka¿dej li¶cie pocztowej powinien znajdowaæ siê u¿ytkownik (lub alias) o nazwie listname-request. Wszelkie b³êdy wystêpuj±ce przy rozwi±zywaniu adresu lub dostarczaniu poczty do cz³onka listy s± zg³aszane na ten adres.
Ochrona przed spamem
Spam, lub inaczej niechciana poczta reklamowa, jest problemem denerwuj±cym wielu u¿ytkowników. Do prac nad rozwi±zaniem tego problemu powo³ano projekt MAPS (Mail Abuse Protection System). Stworzono te¿ mechanizm zmniejszaj±cy skalê problemu, tak zwan± czarn± listê (Real Time Blackhole List - RBL). Informacje o tym, jak dzia³a RBL projektu MAPS, mo¿esz znale¼æ w dokumentacji elektronicznej pod adresem http://maps.vix.com/rbl/. Pomys³ jest prosty. O¶rodki, które zostan± z³apane na generowaniu spamu, s± dodawane do bazy danych, a agenty przesy³aj±ce pocztê, takie jak Exim, s± w stanie zadawaæ do tej bazy zapytania i sprawdzaæ przed przyjêciem poczty, czy host ¼ród³owy nie jest spammerem.

Oprócz RBL, powsta³o ju¿ kilka innych podobnych list. Jedna z najbardziej u¿ytecznych to DUL (Dial-Up List), zawieraj±ca adresy IP hostów pod³±czonych przez linie komutowane. Normalnie powinny one wysy³aæ pocztê wychodz±c± tylko przez serwery pocztowe swoich dostawców. Wiele o¶rodków blokuje przyjmowanie poczty z zewnêtrznych hostów komutowanych, poniewa¿, gdy taki host nie u¿ywa serwera w³asnego dostawcy Internetu, zwykle nie wró¿y to nic dobrego.
Exim obs³uguje ró¿ne czarne listy. Bardzo ³atwo jest je w nim skonfigurowaæ. Aby w³±czyæ sprawdzanie takich list, dodaj poni¿szy wiersz do pliku /etc/exim.conf:

# Vixie / MAPS RBL (http://maps.vix.com/rbl)
rbl_domains = rbl.maps.vix.com : dul.maps.vix.com

Ten przyk³ad sprawdza zarówno RBL, jak i DUL, i odrzuca wszelkie wiadomo¶ci pochodz±ce z hostów, które znajduj± siê na którejkolwiek z list. Opcja rbl_hosts pozwala na podanie grupy hostów, której dotyczy (lub nie dotyczy) sprawdzanie RBL. Domy¶lne ustawienie jest nastêpuj±ce:

rbl_hosts = *

co oznacza, ¿e wszystkie hosty s± sprawdzane przez RBL. Gdyby¶ chcia³ wy³±czyæ sprawdzanie czarnej listy i przyjmowaæ pocztê z danego hosta bez kontroli, móg³by¶ na przyk³ad zrobiæ nastêpuj±cy wpis:

rbl_hosts = ! nocheck.example.com : *

Wykrzyknik przed pierwszym elementem listy powoduje jej zanegowanie. Gdyby hostem nawi±zuj±cym po³±czenie by³ nocheck.example.com, pasowa³by do tego wyra¿enia. Ale ze wzglêdu na negacjê, nie jest wykonywane sprawdzanie RBL. Wszelkie inne hosty pasuj± do drugiego elementu listy.
Konfigurowanie UUCP
Exim nie zawiera ¿adnego szczególnego kodu do wysy³ania poczty przez UUCP ani nie obs³uguje adresów w postaci wykazu trasowania UUCP. Jednak, je¿eli zostanie u¿yte adresowanie domenowe, Exim mo¿e bardzo ³atwo staæ siê interfejsem dla UUCP. Oto, wziêty z rzeczywistej instalacji, fragment konfiguracji pozwalaj±cej na wysy³anie pewnych domen do UUCP:

# Transport
uucp:
   driver = pipe
   user = nobody
   command = "/usr/local/bin/uux -r - \
     ${substr_-5:$host}!rmail ${local_part}"
   return_fail_output = true

# Router
uucphost:
   transport = uucp
   driver = domainlist
   route_file = /usr/exim/uucphosts
   search_type = lsearch

W kompletnym pliku konfiguracyjnym konfiguracja transportu zosta³aby umieszczona w¶ród innych konfiguracji transportu, a ruter zosta³by prawdopodobnie zdefiniowany jako pierwszy ruter. Plik /usr/exim/uucphosts zawiera nastêpuj±ce wpisy:

darksite.example.com:    darksite.UUCP

które s± interpretowane nastêpuj±co: "Wy¶lij pocztê adresowan± do domeny darksite.example.com do hosta UUCP darksite". Ta konfiguracja mog³aby byæ zrealizowana pro¶ciej bez rutera dostawiaj±cego przyrostek. UUCP do darksite, ale ten sposób jest przydatny, poniewa¿ pozwala odró¿niæ domenê darksite.example.com od nazwy hosta UUCP darksite.
Kiedy tylko ruter dotrze do domeny, która jest wpisana w pliku, przekazuje adres do transportu UUCP, który z kolei przekazuje go przez potok do polecenia uux (opisanego w rozdziale 16, Zarz±dzanie UUCP Taylora). Je¿eli napotka problem, uux wygeneruje jaki¶ wynik i zakoñczy dzia³anie z niezerowym kodem b³êdu. Ustawienie zmiennej return_fail_output powoduje, ¿e komunikat b³êdu zostaje zwrócony do nadawcy.
Je¿eli przychodz±ce wiadomo¶ci UUCP s± grupowane w pliki we wsadowym formacie SMTP, mog± byæ przekazane bezpo¶rednio do Exima za pomoc± poni¿szego polecenia:

exim -bS </var/uucp/incoming/001

Jednak jest tu jedna pu³apka. Gdy Exim odbierze wiadomo¶æ lokalnie, nadawca musi byæ zalogowanym u¿ytkownikiem, który go wywo³a³. W przypadku UUCP chcemy jednak, by nadawcy byli brani z przychodz±cych wiadomo¶ci. Exim to zrobi, je¿eli proces go wywo³uj±cy dzia³a jako u¿ytkownik zaufany. Je¿eli przychodz±ca poczta UUCP bêdzie obs³ugiwana na przyk³ad przez u¿ytkownika uucp, musisz w pliku konfiguracyjnym Exima wpisaæ:

trusted_users = uucp

Taki wpis zapewni poprawne obs³u¿enie adresów nadawców.


20
Grupy dyskusyjne


Rozdzia³ 20: Grupy dyskusyjne


Grupy dyskusyjne Usenetu s± jedn± z najwa¿niejszych i wysoko cenionych us³ug w dzisiejszych sieciach komputerowych. Choæ niektórzy uwa¿aj± Usenet za grzêzawisko agresywnej poczty komercyjnej i pornografii, s± tam i doskona³e grupy dyskusyjne, które stanowi³y niezast±pione ¼ród³o informacji, zanim pojawi³o siê WWW. Nawet w czasach biliona stron WWW, grupy dyskusyjne pozostaj± miejscem, gdzie mo¿esz znale¼æ pomoc i podyskutowaæ na wiele tematów.
Historia Usenetu
Pomys³ grup dyskusyjnych zrodzi³ siê w 1979 roku, kiedy dwóch absolwentów, Tom Truscott i Jim Ellis, pomy¶la³o o u¿yciu UUCP do po³±czenia komputerów w celu wymiany informacji pomiêdzy u¿ytkownikami Uniksa. Zbudowali oni w Karolinie Pó³nocnej ma³± sieæ, sk³adaj±c± siê z trzech komputerów.
Na pocz±tku ruch by³ obs³ugiwany przez kilka skryptów (pó¼niej przepisanych w jêzyku C), ale nigdy nie zosta³y one rozpowszechnione publicznie. Szybko zast±piono je przez "A News" - pierwsze publicznie dostêpne oprogramowanie dla grup dyskusyjnych.
A News mog³o obs³u¿yæ najwy¿ej kilka artyku³ów dziennie. Gdy liczba nadsy³anych do grupy artyku³ów zaczê³a rosn±æ, Mark Horton i Matt Glickman przepisali oprogramowanie i nazwali je wydaniem "B" (lub B News). Pierwsze publicznie dostêpne wydanie B News mia³o numer wersji 2.1 i ujrza³o ¶wiat³o dzienne w 1982 roku. Nieustannie by³o udoskonalane i wzbogacane o nowe funkcje. Aktualna wersja B News ma numer 2.11. Oprogramowanie to powoli przechodzi do historii, a ostatnia osoba, która je utrzymywa³a, zajê³a siê rozwojem programu INN.
Geoff Collyer i Henry Spencer przepisali B News i wydali je w 1987 roku jako wersjê C (C News). Od czasu tego wydania pojawi³o siê szereg ³at do C News, z których najbardziej warto¶ciowe by³o wydanie C News Performance Release. W o¶rodkach obs³uguj±cych wiele grup s± dosyæ du¿e obci±¿enia zwi±zane z czêstym wywo³ywaniem relaynews, które odpowiada za rozdzielanie przychodz±cych artyku³ów do innych hostów. Wersja Performance dodaje do relaynews kilka opcji, które pozwalaj± dzia³aæ programowi w trybie demona w tle. Wersja Performance C News jest aktualnie za³±czana do wiêkszo¶ci wydañ Linuksa. C News szczegó³owo opisujemy w rozdziale 21, C News.
Wszystkie wersje, a¿ do C, by³y pisane z my¶l± o sieci UUCP, choæ mog³y byæ równie¿ stosowane w innych ¶rodowiskach. Efektywne przesy³anie wiadomo¶ci przez sieci, takie jak TCP/IP czy DECNet, wymaga³o nowej architektury. Dlatego w 1986 roku zosta³ wymy¶lony protokó³ przesy³ania wiadomo¶ci w sieci komputerowej Usenet (Network News Transfer Protocol - NNTP). Jest on oparty na po³±czeniach sieciowych i zawiera szereg poleceñ do interaktywnego przesy³ania i odbierania artyku³ów.
W sieci mo¿na znale¼æ wiele aplikacji opartych na NNTP. Jedn± z nich jest pakiet nntpd, stworzony przez Briana Barbera i Phila Lapsleya. S³u¿y on do udostêpniania grup dyskusyjnych hostom w sieci lokalnej. W za³o¿eniu nntpd mia³ uzupe³niaæ pakiety oprogramowania obs³uguj±cego grupy dyskusyjne, czyli B News lub C News. Dodaje do nich funkcje NNTP. Je¶li chcesz u¿ywaæ NNTP z serwerem C News, powiniene¶ przeczytaæ rozdzia³ 22, NNTP i demon nntpd, wyja¶niaj±cy, jak skonfigurowaæ demona nntpd i uruchomiæ go z C News.
Alternatywnym pakietem obs³uguj±cym NNTP jest INN lub Internet News. Nie jest to jedynie interfejs, ale system grup dzia³aj±cy na w³asnych prawach. Sk³ada siê z wyrafinowanego demona przekazuj±cego dane, który efektywnie obs³uguje kilka jednoczesnych po³±czeñ NNTP, oraz z serwera grup u¿ywanego w wielu o¶rodkach w Internecie. Szczegó³owo omawiamy go w rozdziale 23, Internet News.
Czym jest Usenet
Jednym z bardziej zdumiewaj±cych faktów zwi±zanych z Usenetem jest to, ¿e nie jest on czê¶ci± organizacji, ani nie ma ¿adnej centralnej w³adzy zarz±dzaj±cej. W zasadzie taki ju¿ jest Usenet, ¿e poza opisem technicznym nie da siê go zdefiniowaæ. Ryzykuj±c, ¿e bêdzie to brzmia³o ¶miesznie, mo¿na zdefiniowaæ Usenet jako wspó³pracê o¶rodków wymieniaj±cych wiadomo¶ci grup dyskusyjnych Usenetu. Aby staæ siê o¶rodkiem Usenetu, wystarczy znale¼æ inny o¶rodek Usenetu i uzgodniæ z jego w³a¶cicielami sposób i prawa wymiany wiadomo¶ci grup dyskusyjnych miêdzy wami. Udostêpnianie wiadomo¶ci grup dyskusyjnych innym o¶rodkom nosi w jêzyku angielskim nazwê feeding (dos³ownie: karmienie). W dalszej czê¶ci tej ksi±¿ki bêdziemy u¿ywali terminu dostarczanie.
Podstawow± jednostk± grup dyskusyjnych Usenetu jest artyku³. Jest to wiadomo¶æ, napisana przez u¿ytkownika i "wys³ana" do sieci. Aby system grup dyskusyjnych móg³ j± obs³u¿yæ, dodawane s± do niej informacje administracyjne (tak zwany nag³ówek artyku³u). Jest on bardzo podobny do nag³ówka poczty zgodnego ze standardem RFC-822. Równie¿ sk³ada siê z kilku wierszy tekstu, z których ka¿dy rozpoczyna siê od nazwy pola zakoñczonej dwukropkiem; po nim wystêpuje warto¶æ pola.* 

Artyku³y s± wysy³ane do jednej lub kilku grup dyskusyjnych. Mo¿na powiedzieæ, ¿e grupa dyskusyjna to forum artyku³ów zwi±zanych z jakim¶ tematem. Wszystkie grupy dyskusyjne s± uporz±dkowane w pewnej hierarchii, a nazwa grupy wskazuje miejsce w tej hierarchii. Czêsto na tej podstawie ³atwo jest stwierdziæ, czego dotyczy dana grupa. Na przyk³ad ka¿dy mo¿e na podstawie nazwy grupy comp.os.linux. announce stwierdziæ, ¿e dotyczy ona og³oszeñ zwi±zanych z komputerowym systemem operacyjnym o nazwie Linux.
Artyku³y te s± nastêpnie wymieniane pomiêdzy wszystkimi o¶rodkami Usenetu, które chc± udostêpniaæ dan± grupê. Gdy dwa o¶rodki ustal±, ¿e bêd± wymieniaæ wiadomo¶ci, mog± przesy³aæ sobie dowolne grupy, a nawet dodawaæ swoje lokalne hierarchie grupy. Na przyk³ad groucho.edu móg³by mieæ po³±czenie z barnyard. edu, czyli g³ównym dostawc± grup, i kilka po³±czeñ z mniejszymi o¶rodkami, do których by te grupy przekazywa³. Barnyard College mo¿e odbieraæ wszystkie grupy Usenetu, natomiast GMU tylko kilka g³ównych hierarchii, jak sci, comp czy rec. Jaki¶ inny o¶rodek, powiedzmy o¶rodek UUCP brewhq, bêdzie udostêpniaæ jeszcze mniej grup, poniewa¿ nie ma wystarczaj±cych zasobów sieciowych i sprzêtowych na obs³ugê wszystkich. Z drugiej strony brewhq mo¿e jednak obs³ugiwaæ grupy z hierarchii fj, których nie ma GMU. Musi wiêc mieæ dodatkowe po³±czenie z gargleblaster.com, który posiada wszystkie grupy fj i dostarcza je do brewhq. Przep³yw grup pokazuje rysunek 20-1.

Rysunek 20-1. Przep³yw grup Usenet na uniwersytecie Groucho Marx
http://www.rm.com.pl/upgr/lpas/20-01.tif

Podpisy przy strza³kach pochodz±cych od brewhq mog± jednak wymagaæ pewnego wyja¶nienia. Domy¶lnie, brewhq chce, aby wszystkie grupy generowane lokalnie by³y wysy³ane do groucho.edu. Jednak poniewa¿ groucho.edu nie obs³uguje grup fj, nie ma sensu wysy³aæ ¿adnych wiadomo¶ci z tych grup. Dlatego dane przesy³ane z brewhq do GMU s± opisane jako: all,!fj, co oznacza, ¿e s± wysy³ane wszystkie grupy poza fj.
Jak Usenet obs³uguje grupy dyskusyjne
W dzisiejszych czasach Usenet rozrós³ siê do nies³ychanych rozmiarów. O¶rodki posiadaj±ce wszystkie grupy zwykle przesy³aj± marne 60 MB dziennie*. Oczywi¶cie nie da siê tego zrobiæ zwyk³ym rozdaniem plików dooko³a. Przyjrzyjmy siê wiêc, w jaki sposób wiêkszo¶æ systemów Unix obs³uguje grupy Usenet.
Wszystko zaczyna siê, gdy u¿ytkownicy pisz± i wysy³aj± artyku³y. Ka¿dy u¿ytkownik pisze artyku³y w specjalnej aplikacji, tak zwanej przegl±darce grup dyskusyjnych (ang. newsreader), która odpowiednio je  formatuje w celu przes³ania do lokalnego serwera grup dyskusyjnych. W ¶rodowiskach uniksowych przegl±darka grup zwykle u¿ywa polecenia inews do przes³ania artyku³ów do serwera za pomoc± protoko³u TCP/IP. Mo¿liwe jest jednak równie¿ zapisanie artyku³u bezpo¶rednio do pliku w specjalnym katalogu nazywanym buforem grup. Gdy tak przygotowana wiadomo¶æ zostanie dostarczona do lokalnego serwera grup dyskusyjnych, bierze on odpowiedzialno¶æ za dostarczenie artyku³u do innych u¿ytkowników grupy.
Grupy s± rozpowszechniane w sieci za pomoc± ró¿nych protoko³ów transportowych. Kiedy¶ najczê¶ciej korzystano z UUCP, ale obecnie g³ówny ruch jest generowany przez o¶rodki internetowe. U¿ywany algorytm rutingu jest nazywany trasowaniem rozp³ywowym (ang. flooding). Ka¿dy o¶rodek utrzymuje kilka po³±czeñ (dostawców grup - ang. news feeds) z innymi o¶rodkami. Ka¿dy artyku³ wygenerowany lub odebrany przez lokalny system grup jest przekazywany o¶rodkom, o ile jeszcze w nich nie by³. O¶rodek mo¿e dowiedzieæ siê, w jakich o¶rodkach artyku³ ju¿ by³, odczytuj±c pole nag³ówka Path:. Nag³ówek ten zawiera listê wszystkich systemów, przez które artyku³ przechodzi³, zapisan± w notacji wykazu trasowania.
Aby rozró¿niæ artyku³y i wykryæ duplikaty, artyku³y Usenet maj± identyfikatory (ID) wiadomo¶ci (okre¶lone w polu nag³ówka Message-ID:), które sk³adaj± siê z nazwy o¶rodka wysy³aj±cego i numeru seryjnego: <numer@o¶rodek>. ID ka¿dego przetworzonego artyku³u jest zapisywane w pliku history, z którym s± porównywane wszystkie nowo przychodz±ce artyku³y.
Przep³yw pomiêdzy dwoma dowolnymi o¶rodkami mo¿e byæ ograniczony przez dwa kryteria. Z jednej strony nadawca przypisuje artyku³owi dystrybucjê (w polu nag³ówka Distribution:). W ten sposób mo¿na zawsze rozpowszechniæ artyku³ do okre¶lonej grupy o¶rodków. Z drugiej strony równie¿ system odbiorczy mo¿e na³o¿yæ swoje ograniczenia. Zestaw grup dyskusyjnych i dystrybucji, które mog± byæ przesy³ane przez o¶rodki, najczê¶ciej jest opisany w pliku sys.

Zwykle potrzebne s± jakie¶ poprawki w tym schemacie. W sieciach UUCP systemy zbieraj± artyku³y przez jaki¶ czas, ³±cz± je w jeden plik, który jest kompresowany i wysy³any do o¶rodka zdalnego. Procedura ta nosi nazwê przetwarzania wsadowego (ang. batching).
Alternatywn± technik± jest protokó³ ihave/sendme, który zapobiega przesy³aniu zduplikowanych artyku³ów, dziêki czemu oszczêdza przepustowo¶æ sieci. Zamiast umieszczaæ wszystkie artyku³y w plikach wsadowych i wysy³aæ je w ca³o¶ci, w gigantycznym pliku "ihave" ³±czone s± tylko ID wiadomo¶ci i wysy³ane do o¶rodka zdalnego. O¶rodek zdalny odczytuje ten plik, porównuje z plikiem historii, po czym w wiadomo¶ci "sendme" zwraca listê artyku³ów, których potrzebuje. Wysy³ane s± tylko ¿±dane artyku³y.
Oczywi¶cie protokó³ ihave/sendme ma sens tylko wtedy, gdy dotyczy dwóch du¿ych o¶rodków, które pobieraj± grupy z niezale¿nych ¼róde³ i sprawdzaj± siê nawzajem na tyle czêsto, ¿eby przep³yw wiadomo¶ci by³ efektywny.
O¶rodki w Internecie zwykle opieraj± siê na oprogramowaniu TCP/IP, które wykorzystuje protokó³ NNTP (Network News Transfer Protocol). NNTP jest opisany w RFC-977. Jest on odpowiedzialny za przesy³anie grup miêdzy serwerami i zapewnia pojedynczym u¿ytkownikom dostêp do zdalnych hostów.
NNTP oferuje trzy ró¿ne sposoby przesy³ania grup. Jeden to wersja ihave/sendme dzia³aj±ca w czasie rzeczywistym, nazywana tak¿e wciskaniem (ang. pushing) grup. Druga technika nosi nazwê ¶ci±gania (ang. pulling) grup i w niej klient prosi o listê artyku³ów w danej grupie lub hierarchii, które dotar³y do serwera po okre¶lonym czasie, i wybiera te, których nie ma w pliku historii. Trzecia technika s³u¿y do interaktywnego czytania grup i pozwala tobie lub twojej przegl±darce grup na pobieranie artyku³ów z zadanych grup oraz wysy³anie artyku³ów z niepe³n± informacj± w nag³ówku.
W ka¿dym o¶rodku grupy dyskusyjne s± przechowywane w hierarchii katalogów poni¿ej /var/spool/news, gdzie ka¿dy artyku³ znajduje siê w oddzielnym pliku, a ka¿da grupa w oddzielnym katalogu. Nazwa katalogu jest budowana na podstawie nazwy grupy, z tym ¿e poszczególne cz³ony s± kolejnymi podkatalogami. I tak, artyku³y z comp.os.linux.misc s± przechowywane w /var/spool/news/comp/os/linux/ misc. Artyku³om w grupie s± przypisywane numery w kolejno¶ci, w jakiej artyku³y nadchodz±. Tymi numerami nazywane s± kolejne pliki. Zakres numerów aktualnie dostêpnych artyku³ów jest przechowywany w pliku active, który s³u¿y jednocze¶nie jako lista artyku³ów znanych danemu o¶rodkowi.
Poniewa¿ miejsca na dysku stopniowo ubywa, musisz po jakim¶ czasie wyrzucaæ artyku³y*. Zwykle artyku³y z pewnych grup i hierarchii wygasaj± po okre¶lonej liczbie dni od ich przybycia. Mo¿e to zmieniæ autor, okre¶laj±c datê wyga¶niêcia w polu Expires: nag³ówka artyku³u.

Wiesz ju¿ wystarczaj±co du¿o, by samemu wybraæ sobie dalsze lektury. U¿ytkownicy UUCP powinni przeczytaæ rozdzia³ 21 dotycz±cy C News. Je¿eli korzystasz z sieci TCP/IP, przeczytaj rozdzia³ 22 omawiaj±cy NNTP. Je¿eli chcesz przesy³aæ umiarkowan± liczbê grup przez TCP/IP, serwer tam opisany mo¿e ci wystarczyæ. Aby zainstalowaæ wydajny serwer grup dyskusyjnych, który jest w stanie obs³ugiwaæ ogromn± liczbê materia³u, przeczytaj rozdzia³ 23, Internet News.


21
C News


Rozdzia³ 21: C News


Jednym z najpopularniejszych pakietów oprogramowania grup dyskusyjnych jest C News. Zosta³ zaprojektowany dla o¶rodków obs³uguj±cych grupy dyskusyjne przez ³±cza UUCP. Ten rozdzia³ omawia ogólne pojêcia C News, podstawow± instalacjê i zadania administracyjne.
C News przechowuje swoj± konfiguracjê w plikach w katalogu /etc/news, a wiêkszo¶æ jego plików binarnych znajduje siê w katalogu /usr/lib/news. Artyku³y s± przechowywane w katalogu /var/spool/news. Powiniene¶ zadbaæ o to, aby praktycznie wszystkie pliki w tych katalogach by³y w³asno¶ci± u¿ytkownika news lub grupy news. Problemy powstaj± g³ównie wtedy, gdy pliki s± niedostêpne dla C News. U¿yj polecenia su, by staæ siê u¿ytkownikiem news, zanim zaczniesz cokolwiek robiæ z tymi katalogami. Jedynym wyj±tkiem jest polecenie setnewsids, u¿ywane do ustawienia rzeczywistego ID u¿ytkownika niektórych programów do obs³ugi grup dyskusyjnych. Musi byæ ono w³asno¶ci± u¿ytkownika root i mieæ ustawiony bit setuid.
W tym rozdziale opiszemy szczegó³owo wszystkie pliki konfiguracyjne C News i poka¿emy, co musisz zrobiæ, by twój o¶rodek dzia³a³.
Dostarczanie grup dyskusyjnych
Artyku³y mog± byæ dostarczane do C News na kilka sposobów. Gdy lokalny u¿ytkownik wysy³a artyku³, przegl±darka grup dyskusyjnych zwykle przekazuje go poleceniem inews, które uzupe³nia informacje w nag³ówku. Grupy z o¶rodków zdalnych, czy to pojedynczy artyku³, czy ca³e pliki wsadowe, s± przekazywane poleceniem rnews, które zapisuje je w katalogu /var/spool/news/in.coming, z którego z kolei s± pó¼niej pobierane przez newsrun. W ka¿dej z obu tych technik artyku³ ostatecznie zostanie przekazany do polecenia relaynews.
Polecenie relaynews najpierw sprawdza, czy artyku³ by³ ju¿ w o¶rodku lokalnym. W tym celu przegl±da ID wiadomo¶ci w pliku history. Zduplikowane artyku³y s± odrzucane. Nastêpnie relaynews zagl±da do pola Newsgroups: nag³ówka, aby dowiedzieæ siê, czy lokalny o¶rodek przyjmuje artyku³y z tych grup. Je¿eli tak, a grupa jest wpisana w pliku active, relaynews próbuje zachowaæ artyku³ w odpowiednim katalogu w obszarze bufora grup. Je¿eli katalog nie istnieje, jest tworzony. ID artyku³u jest nastêpnie zapisywane do pliku history. W przeciwnym razie relaynews odrzuca artyku³.
Czasem poleceniu relaynews nie uda siê zachowaæ przychodz±cego artyku³u, poniewa¿ grupa, do której zosta³ wys³any, nie istnieje w twoim pliku active. W takiej sytuacji, artyku³ jest przenoszony do grupy junk*; relaynews sprawdza tak¿e, czy artyku³ nie jest stary lub ¼le datowany. Je¶li jest - odrzuca go. Przychodz±ce wsady, które maj± jakiekolwiek b³êdy, s± przenoszone do katalogu /var/spool/news/in.coming/bad i zapisywany jest komunikat b³êdu.
Nastêpnie artyku³ jest przekazywany do wszystkich pozosta³ych o¶rodków, które ¿±da³y wiadomo¶ci z tych grup. W tym celu korzysta siê ze ¶rodka transportu o¶rodka zdalnego. Aby artyku³ nie zosta³ wys³any do o¶rodka, w którym ju¿ by³, ka¿dy docelowy o¶rodek jest sprawdzany w polu nag³ówka Path:, które zawiera listê o¶rodków, przez które artyku³ do tej pory przeszed³, zapisanych w postaci wykazu trasowania UUCP (patrz rozdzia³ 17, Poczta elektroniczna). Je¿eli nazwy o¶rodka docelowego nie ma na tej li¶cie, artyku³ jest do niego wysy³any.
System C News jest powszechnie u¿ywany do przekazywania grup dyskusyjnych pomiêdzy o¶rodkami UUCP, choæ mo¿liwe jest tak¿e jego zastosowanie w ¶rodowisku NNTP. Do dostarczenia wiadomo¶ci do zdalnego o¶rodka UUCP, czy to bêd± pojedyncze artyku³y, czy ca³e wsady, s³u¿y polecenie uux. Polecenie to uruchamia rnews w zdalnym o¶rodku i przekazuje artyku³ lub wsad na jego standardowe wej¶cie. Wiêcej informacji na temat UUCP znajdziesz w rozdziale 16, Zarz±dzanie UUCP Taylora.
Przetwarzanie wsadowe (ang. batching) oznacza wysy³anie du¿ych porcji pojedynczych artyku³ów za jednym razem. Gdy przetwarzanie wsadowe jest w³±czone dla danego o¶rodka, C News nie wysy³a przychodz±cych artyku³ów natychmiast, ale dodaje ¶cie¿kê do pliku, zwykle out.going/site/togo. Co jaki¶ czas z crontaba jest wykonywany program, który odczytuje plik i pakuje wszystkie wskazane artyku³y w jeden lub kilka plików, opcjonalnie je kompresuje i wysy³a do rnews w o¶rodku zdalnym**.
Rysunek 21-1 pokazuje przekierowywanie wiadomo¶ci przez relaynews. Artyku³y mog± byæ przekazywane do o¶rodka lokalnego (oznaczonego jako ME), do o¶rodka o nazwie ponderosa przez e-mail i do o¶rodka moria, dla którego w³±czone jest przetwarzanie wsadowe.

Rysunek 21-1. Przep³yw wiadomo¶ci przez relaynews
http://www.rm.com.pl/upgr/lpas/21-01.tif

Instalacja
C News powinien znajdowaæ siê w postaci pakietu we wszystkich obecnie dostêpnych dystrybucjach Linuksa, tak wiêc instalacja jest dosyæ prosta. Je¿eli go nie ma lub je¿eli chcesz instalowaæ oryginalny kod ¼ród³owy, mo¿esz to oczywi¶cie zrobiæ*. Bez wzglêdu na to, jak go zainstalujesz, bêdziesz musia³ dokonaæ edycji plików konfiguracyjnych. Ich formaty s± opisane poni¿ej:
sys

Plik sys kontroluje, które grupy twój o¶rodek otrzymuje i przekazuje dalej. Omawiamy go szczegó³owo w nastêpnym podrozdziale.
active

Zwykle nie jest edytowany przez administratora. Zawiera wskazówki co do obs³ugi artyku³ów z grup dyskusyjnych obs³ugiwanych przez o¶rodek.

organization

Ten plik powinien zawieraæ nazwê twojej organizacji, na przyk³ad "Browar wirtualny Inc.". W swoim komputerze wpisz "o¶rodek prywatny" lub cokolwiek innego. Wiêkszo¶æ osób nie uzna twojego o¶rodka za skonfigurowany poprawnie, je¿eli nie bêdziesz mia³ tego pliku.
newsgroups

Ten plik zawiera listê wszystkich grup dyskusyjnych z jednowierszowym opisem ka¿dej z nich. Te opisy czêsto s± u¿ywane przez przegl±darki grup przy wy¶wietlaniu listy grup, do których jeste¶ zapisany.
mailname

Nazwa pocztowa twojego o¶rodka, na przyk³ad vbrew.com.
whoami

Nazwa twojego o¶rodka u¿ywana do celów zwi±zanych z grupami dyskusyjnymi. Czêsto u¿ywane s± nazwy UUCP o¶rodków, na przyk³ad vbrew.
explist

Powiniene¶ raczej wyedytowaæ ten plik, umieszczaj±c w nim preferowane czasy wyga¶niêcia dla danych grup dyskusyjnych. Miejsce na dysku mo¿e odgrywaæ istotn± rolê w dokonywanych przez ciebie wyborach.
W celu utworzenia wstêpnej hierarchii grup dyskusyjnych, zdob±d¼ pliki active i newsgroups z o¶rodka, z którego pobierasz grupy. Zainstaluj je w katalogu /etc/news, upewniaj±c siê, ¿e s± w³asno¶ci± u¿ytkownika news i ustaw tryb 644 poleceniem chmod. Usuñ z pliku active wszystkie grupy to.* i dodaj to.moj-osrodek, to.osrodek-dostarczajacy, junk i control. Grupy to.* zwykle s± u¿ywane do wymiany wiadomo¶ci ihave/sendme. Powiniene¶ je mieæ bez wzglêdu na to, czy planujesz u¿ywaæ ihave/sendme, czy nie. Nastêpnie zmieñ wszystkie numery artyku³ów w drugim i trzecim polu active za pomoc± poni¿szych poleceñ:

# cp active active.old
# sed 's/ [0-9]* [0-9]* / 0000000000 00001 /' active.old > active
# rm active.old

Drugie polecenie wywo³uje edytor strumieniowy sed. Wywo³anie to zastêpuje dwa ci±gi znaków sk³adaj±ce siê z cyfr, odpowiednio, ci±giem zer i ci±giem 00001.
Na koniec stwórz katalog buforowy grup dyskusyjnych i podkatalogi u¿ywane dla przychodz±cych i wychodz±cych grup:

# cd /var/spool
# mkdir news news/in.coming news/out.going news/out.master
# chown -R news.news news
# chmod -R 755 news

Je¿eli u¿ywasz skompilowanej przegl±darki grup pochodz±cej z innej dystrybucji C News ni¿ serwer, mo¿e siê okazaæ, ¿e oczekuje ona bufora grup w katalogu /usr/spool/news, a nie w /var/spool/news. Je¿eli twoja przegl±darka grup nie widzi ¿adnych artyku³ów, stwórz dowi±zanie symboliczne od /usr/spool/news do /var/spool/news w nastêpuj±cy sposób:

# ln -sf /usr/spool/news /var/spool/news

Teraz jeste¶ gotów na przyjmowanie grup dyskusyjnych. Zauwa¿, ¿e nie musisz tworzyæ katalogów dla poszczególnych grup. C News automatycznie tworzy brakuj±ce katalogi buforowe dla wszystkich grup, których artyku³y przyjmuje 
W szczególno¶ci s± one tworzone dla wszystkich grup, do których artyku³ by³ wysy³any w sposób wieloadresowy (ang. cross-posted). Po chwili stwierdzisz wiêc, ¿e twój katalog buforowy wype³ni³ siê katalogami grup, do których nigdy siê nie zapisywa³e¶, jak alt.lang.teco. Mo¿esz temu zapobiec, usuwaj±c wszystkie niechciane grupy z pliku active lub regularnie uruchamiaj±c skrypt usuwaj±cy wszystkie puste podkatalogi katalogu /var/spool/news (oczywi¶cie za wyj±tkiem out.going i in.coming).
C News potrzebuje u¿ytkownika, do którego mo¿e wysy³aæ komunikaty b³êdów i raporty o stanie. Domy¶lnie jest nim usenet. Je¿eli u¿ywasz ustawieñ domy¶lnych, musisz stworzyæ alias, dziêki któremu poczta bêdzie przekazywana do jednej lub kilku odpowiedzialnych osób. Mo¿esz tak¿e zmieniæ to zachowanie, ustawiaj±c zmienn± ¶rodowiskow± NEWSMASTER na odpowiedni± nazwê. Musisz to zrobiæ w pliku crontab u¿ytkownika news. To postêpowanie trzeba powtarzaæ za ka¿dym razem, gdy uruchamiasz rêcznie narzêdzia administracyjne, a wiêc zapewne ³atwiej bêdzie zainstalowaæ alias. Aliasy pocztowe s± opisane w rozdziale 18, Sendmail, i w rozdziale 19, Exim.
Gdy edytujesz plik /etc/passwd, zadbaj o to, by ka¿dy u¿ytkownik mia³ wpisane swoje prawdziwe nazwisko w polu pw_gecos (czwarte pole). Zgodnie z netykiet± (etykiet± dzia³ania w sieci), nazwisko rzeczywistego nadawcy powinno pojawiæ siê w polu From: artyku³u. Oczywi¶cie i tak bêdziesz chcia³, ¿eby to pole by³o poprawnie wype³nione, je¿eli u¿ywasz poczty.
Plik sys
Plik sys umieszczony w katalogu /etc/news kontroluje, które hierarchie odbierasz i przekazujesz dalej do innych o¶rodków. Choæ istniej± narzêdzia zarz±dzaj±ce o nazwach addfeed i delfeed, wydaje nam siê, ¿e lepiej jest utrzymywaæ ten plik rêcznie.
Plik sys zawiera wpisy dla ka¿dego o¶rodka, któremu przekazujesz grupy, oraz opis grup, które przyjmujesz. Pierwszy wiersz to wpis ME opisuj±cy twój system. Bezpiecznie jest zapisaæ go tak:

ME:all/all::

Musisz tak¿e dodaæ wiersz dla ka¿dego o¶rodka, któremu dostarczasz grupy. Ka¿dy wiersz wygl±da tak:

o¶rodek[/wykluczenia]:listagrup[/listadyst][:znaczniki[:polecenia]]

Wpisy mog± ci±gn±æ siê przez kilka wierszy, je¿eli u¿yjesz znaku odwrotnego uko¶nika (\) na koñcu wiersza, który ma byæ kontynuowany. Znak hasha (#) wskazuje na komentarz.
o¶rodek

Jest to nazwa o¶rodka, którego dotyczy wpis. Zwykle umieszcza siê tutaj nazwê UUCP o¶rodka. W pliku sys musi znajdowaæ siê tak¿e wpis dla twojego o¶rodka; inaczej nie bêdziesz otrzymywa³ artyku³ów.
Specjalna nazwa ME oznacza twój o¶rodek. Wpis ME definiuje wszystkie grupy, które chcesz przechowywaæ lokalnie. Artyku³y nie pasuj±ce do wiersza ME bêd± przenoszone do grupy junk.
Aby nie dopu¶ciæ do powstania pêtli, C News odmawia przyjêcia wszystkich artyku³ów, które przesz³y ju¿ przez dany o¶rodek. W tym celu sprawdza, czy lokalny o¶rodek nie pojawi³ siê w polu Path: artyku³u. Niektóre o¶rodki mog± byæ znane pod ró¿nymi poprawnymi nazwami. Na przyk³ad niektóre o¶rodki u¿ywaj± w tym polu swoich pe³nych nazw domenowych lub aliasu na przyk³ad news.o¶rodek.domena. Aby mieæ pewno¶æ, ¿e mechanizm zapobiegania powstawaniu pêtli zadzia³a, wa¿ne jest dodanie wszystkich aliasów do listy wykluczeñ. Wpisuje siê je, oddzielaj±c przecinkami.
W przypadku wpisu dotycz±cego o¶rodka moria, pole o¶rodek mia³oby na przyk³ad warto¶æ moria/moria.orcnet.org. Je¿eli moria mia³by równie¿ alias news.orcnet.org, to nasze pole o¶rodek mia³oby warto¶æ moria/moria.orcnet.org,news.orcnet.org.
listagrup

Jest to, oddzielana przecinkami, lista grup, do których jeste¶my zapisani, i hierarchii dla danego o¶rodka. Hierarchia mo¿e byæ podana przez okre¶lenie przedrostka (jak comp.os dla wszystkich grup, które siê zaczynaj± od takiego ci±gu s³ów), po którym opcjonalnie wystêpuje s³owo kluczowe all (czyli np. comp.os.all).
Mo¿esz wykluczyæ jak±¶ hierarchiê lub grupê z przekazywania, poprzedzaj±c j± wykrzyknikiem. Je¿eli grupa jest sprawdzana z list±, zawsze jest dopasowywana najd³u¿szym zgodnym ci±giem znaków. Na przyk³ad gdyby listagrup zawiera³a tak± listê:

   !comp,comp.os.linux,comp.folklore.computers

to z hierarchii comp. zosta³yby pobrane tylko comp.folklore.computers i grupy comp.os.linux.
Je¿eli o¶rodek ma przekazywaæ wszystkie grupy, które sam pobiera, wprowad¼ jako listagrup s³owo kluczowe all.
listadyst

Ta warto¶æ jest oddzielona od listygrup uko¶nikiem i zawiera listê dystrybucji do przekazywania. Znów mo¿esz wykluczyæ pewne dystrybucje, poprzedzaj±c je wykrzyknikiem. Wszystkie dystrybucje s± opisywane s³owem all. Pominiêcie listydyst powoduje przyjêcie warto¶ci domy¶lnej all.
Na przyk³ad mo¿esz u¿yæ listy dystrybucji: all,!local aby grupy przeznaczone tylko do u¿ytku lokalnego nie by³y wysy³ane do o¶rodków zdalnych.
Zwykle istniej± co najmniej dwie dystrybucje: world, czêsto stosowana domy¶lnie, gdy u¿ytkownik nie wska¿e inaczej, i local. Mog± istnieæ inne dystrybucje dotycz±ce zadanego rejonu, stanu, kraju itd. Poza tym istniej± dwie dystrybucje u¿ywane tylko przez C News. S± to: sendme i ihave wykorzystywane w protokole sendme/ihave.

Mo¿na siê zastanawiaæ, czy warto u¿ywaæ dystrybucji. Pole dystrybucji w artykule mo¿e byæ tworzone losowo, ale aby dystrybucja dzia³a³a, serwery grup w sieci musz± j± znaæ. Niektóre b³êdnie dzia³aj±ce przegl±darki grup tworz± fa³szywe dystrybucje, poniewa¿ zak³adaj±, ¿e sensown± dystrybucj± jest g³ówny poziom hierarchii artyku³u, na przyk³ad, ¿e dla comp.os.linux.networking by³aby to comp. Dystrybucje dotycz±ce regionów tak¿e s± czêsto w±tpliwe, poniewa¿ wiadomo¶æ mo¿e wyj¶æ poza region, gdy jest wysy³ana przez Internet*. Dystrybucje zwi±zane z firm± s± jednak sensowne. Mo¿na je stosowaæ, aby zapobiec wyciekowi tajnych informacji poza sieæ firmow±. Ten cel jednak lepiej jest osi±gn±æ, tworz±c oddzieln± grupê lub hierarchiê.
znaczniki

Ta opcja opisuje pewne parametry wysy³anej porcji wiadomo¶ci. Mo¿e byæ pusta lub stanowiæ po³±czenie nastêpuj±cych znaczników:
F
Ten znacznik w³±cza przetwarzanie wsadowe.
f
Prawie identyczny z F, ale pozwala C News na dok³adniejsze obliczenie rozmiaru wychodz±cych plików wsadowych i raczej ten znacznik powinien byæ u¿ywany zamiast F.
I
Ten znacznik powoduje, ¿e C News generuje listê artyku³ów odpowiedni± do u¿ycia z ihave/sendme. Aby uruchomiæ protokó³ ihave/sendme, wymagane s± dodatkowe modyfikacje w pliku sys i pliku batchparms.
n
Ten znacznik tworzy pliki wsadowe dla aktywnych klientów NNTP, jak nntpxmit (zobacz rozdzia³ 22, NNTP i demon nntpd). Pliki wsadowe zawieraj± nazwê pliku z artyku³em oraz jego ID.
L
Ten znacznik mówi C News, aby przesy³a³ tylko artyku³y stworzone w twoim o¶rodku. Po tym znaczniku mo¿na wpisaæ liczbê dziesiêtn± n, która powoduje, ¿e C News wysy³a artyku³y tylko w obrêbie n hopów od twojego o¶rodka. C News okre¶la liczbê hopów na podstawie pola Path:.
u
Ten znacznik mówi C News, aby przetwarza³ wsadowo tylko artyku³y z grup niemoderowanych.
m
Ten znacznik mówi C News, by przetwarza³ wsadowo tylko artyku³y z grup moderowanych.
Mo¿esz u¿yæ najwy¿ej jednego ze znaczników F,f, I lub n.
polecenia

To pole zawiera polecenie, które zostanie wykonane dla ka¿dego artyku³u, o ile nie w³±czysz przetwarzania wsadowego. Artyku³ bêdzie przekazany na standardowe wej¶cie polecenia. Ta opcja powinna byæ u¿ywana tylko przy ma³ej liczbie artyku³ów. W przeciwnym razie obci±¿enie obu systemów bêdzie zbyt du¿e.
Domy¶lne polecenie to:

uux - -r -z system-zdalny!rnews

Wywo³uje ono rnews w systemie zdalnym, przekazuj±c artyku³ na jego standardowe wej¶cie.
Domy¶lna ¶cie¿ka poszukiwania zdefiniowana dla poleceñ umieszczanych w tym polu to: /bin:/usr/bin:/usr/lib/news/batch. Ten ostatni katalog zawiera skrypty pow³oki, których nazwy zaczynaj± siê od via. S± one krótko opisane w dalszej czê¶ci tego rozdzia³u.
Je¿eli za pomoc± jednej z opcji F, f, I lub n w³±czone jest przetwarzanie wsadowe, C News spodziewa siê znale¼æ w tym polu nazwê pliku, a nie polecenie. Je¿eli nazwa pliku nie zaczyna siê od znaku uko¶nika (/), zak³ada siê, ¿e jest wzglêdna do /var/spool/news/out.going. Je¿eli pole jest puste, domy¶lnie przyjmowana jest warto¶æ remote-system/togo. Oczekuje siê, ¿e plik ma ten sam format, co plik remote-system/togo i zawiera listê artyku³ów do wys³ania.
Przy konfigurowaniu C News prawdopodobnie bêdziesz musia³ stworzyæ w³asny plik sys. Oto przyk³adowy plik dla vbrew.com. Mo¿esz z niego skopiowaæ to, co ci jest potrzebne:

# Bierzemy co daj±
ME:all/all::
# Wysy³amy wszystko do moria, z wyj±tkiem artyku³ów lokalnych 
# i zwi±zanych z browarem. U¿ywamy przetwarzania wsadowego
moria/moria.orcnet.org:all,!to,to.moria/all,!local,!brewery:f:
# Wysy³amy comp.risks do jack@ponderosa.uucp
ponderosa:comp.risks/all::rmail jack@ponderosa.uucp
# swim otrzymuje mniej grup
swim/swim.twobirds.com:comp.os.linux,rec.humor.oracle/all,!local:f:
# Zapisujemy artyku³y mail.map do dalszego przetwarzania
usenet-maps:comp.mail.maps/all:F:/var/spool/uumaps/work/batch
Plik active
Plik active znajduje siê w katalogu /etc/news i zawiera wszystkie grupy znane twojemu o¶rodkowi oraz aktualnie dostêpne artyku³y. Rzadko bêdziesz musia³ z nim cokolwiek robiæ, ale aby opis by³ pe³ny, krótko go przedstawimy. Wpisy maj± nastêpuj±c± postaæ:

grupa maks min prawa

grupa to nazwa grupy. maks i min to najni¿szy i najwy¿szy numer aktualnie dostêpnych artyku³ów. Je¿eli w danej chwili ¿aden nie jest dostêpny, min ma warto¶æ równ± maks+1. Do tego w³a¶nie s³u¿y pole min. Jednak aby nie os³abiaæ dzia³ania, C News nie uaktualnia tego pola. Nie by³oby to problemem, gdyby nie istnia³y przegl±darki, które siêgaj± do tego pola. Na przyk³ad trn sprawdza to pole, by zobaczyæ, czy mo¿e usun±æ jakie¶ artyku³y ze swojej bazy w±tków. Aby uaktualniaæ pole min, musisz uruchamiaæ regularnie polecenie updatemin (lub w starszych wersjach C News jego odpowiednik: skrypt upact).

Parametr prawa  okre¶la szczegó³owo prawa dostêpu u¿ytkowników do danej grupy. Przyjmuje on jedn± z poni¿szych warto¶ci:
y

U¿ytkownicy maj± prawo wysy³aæ artyku³y do tej grupy.
n

U¿ytkownicy nie maj± prawa wysy³aæ artyku³ów do tej grupy. Jednak wci±¿ mog± czytaæ zawarte w niej artyku³y.
x

Ta grupa zosta³a lokalnie zablokowana. Dzieje siê tak czasem, gdy administratorzy grup (lub ich prze³o¿eni) zez³oszcz± siê na pewne artyku³y wys³ane do jakich¶ grup.
Artyku³y odebrane dla tej grupy nie s± zachowywane lokalnie, choæ s± przekazywane do o¶rodków, które o nie prosz±.
m

Oznacza grupê moderowan±. Gdy u¿ytkownik próbuje wys³aæ artyku³ do tej grupy, inteligentna przegl±darka powiadamia o tym i wysy³a artyku³ do moderatora. Adres moderatora jest pobierany z pliku moderators znajduj±cego siê w katalogu /var/lib/news.
=rzeczywista-grupa

Oznacza, ¿e grupa jest lokalnym aliasem dla innej grupy o nazwie rzeczywista-grupa. Wszystkie artyku³y wys³ane do grupy zostan± przekierowane do grupy rzeczywistej.
W C News zwykle nie bêdziesz mia³ bezpo¶redniego dostêpu do tego pliku. Grupy mog± byæ dodawane lub usuwane lokalnie za pomoc± poleceñ addgroup i delgroup (zobacz podrozdzia³ Narzêdzia i zadania administracyjne koñcz±cy ten rozdzia³). Wiadomo¶æ kontrolna newgroup dodaje grupê w ca³ym Usenecie, a rmgroup j± usuwa. Nigdy sam nie wysy³aj takiej wiadomo¶ci! Instrukcje, jak tworzyæ grupy, znajdziesz w artyku³ach wysy³anych co miesi±c do grupy news.announce.newusers.
Plik active.times jest ¶ci¶le zwi±zany z plikiem active. Gdy grupa zostanie stworzona, C News zapisuje do tego pliku komunikat zawieraj±cy nazwê utworzonej grupy, datê utworzenia, informacje, czy zosta³a utworzona przez komunikat kontrolny newgroup, czy lokalnie, oraz kto j± utworzy³. Dane z tego pliku przydaj± siê przegl±darkom grup, które mog± powiadamiaæ u¿ytkownika o nowo utworzonych grupach. U¿ywane s± tak¿e przez polecenie NEWGROUPS NNTP.
Przetwarzanie wsadowe artyku³ów
Wsady grup dyskusyjnych s± zgodne z pewnym formatem, który jest identyczny dla B News, C News i INN. Ka¿dy artyku³ jest poprzedzany nastêpuj±cym wierszem:

#! rnews liczba

Parametr liczba okre¶la rozmiar artyku³u w bajtach. Gdy u¿ywasz kompresji wsadowej, wynikowy plik jest kompresowany jako ca³o¶æ i poprzedzany innym wierszem, który informuje o tym, ¿e plik nale¿y rozpakowaæ. Standardowym narzêdziem u¿ywanym do kompresji jest compress i mo¿na je rozpoznaæ po nastêpuj±cym wierszu:

#! cunbatch

Je¿eli serwer grup wysy³a wsady poczt±, która ze wszystkich danych usuwa ósmy bit, skompresowany wsad nale¿y zabezpieczyæ, u¿ywaj±c tak zwanego kodowania-c7 (c7-encoding). Takie wsady s± oznaczane jako c7unbatch.
Gdy wsad zostanie przekazany do rnews w o¶rodku zdalnym, te znaczniki s± sprawdzane i plik jest odpowiednio przetwarzany. Niektóre o¶rodki u¿ywaj± innych narzêdzi do kompresji, jak gzip, i wtedy poprzedzaj± skompresowane pliki s³owem zunbatch. C News nie rozpoznaje niestandardowych nag³ówków jak ten. Aby by³y one obs³ugiwane, musisz zmodyfikowaæ kod ¼ród³owy.
Przetwarzanie wsadowe artyku³ów w C News jest realizowane za pomoc± pliku /usr/lib/news/batch/sendbatches, który bierze listê artyku³ów z pliku site/togo i umieszcza je w kilku wsadach. Powinien on byæ uruchamiany co godzinê lub nawet czê¶ciej, w zale¿no¶ci od intensywno¶ci ruchu. Jego dzia³anie jest kontrolowane przez plik batchparms znajduj±cy siê w katalogu /var/lib/news. Plik ten opisuje: maksymalny rozmiar wsadu dopuszczalny dla ka¿dego o¶rodka, programy u¿ywane do przetwarzania wsadowego i opcjonalnej kompresji oraz metodê dostarczania paczki do o¶rodka zdalnego. Parametry przetwarzania wsadowego mo¿esz okre¶liæ oddzielnie dla ka¿dego o¶rodka. Natomiast dla o¶rodków, które nie s± zdefiniowane niezale¿nie, trzeba je okre¶liæ w ramach parametrów domy¶lnych.
Przy instalacji C News, najprawdopodobniej znajdziesz w swojej dystrybucji plik batchparms zawieraj±cy odpowiednie wpisy domy¶lne, a wiêc istnieje du¿a szansa, ¿e nie bêdziesz musia³ nic zmieniaæ w tym pliku. Na wszelki wypadek opiszemy jednak jego format. Ka¿dy wiersz sk³ada siê z sze¶ciu pól oddzielonych spacjami lub tabulatorami:

o¶rodek rozmiar maks prog_prze_wsad kompr transport

o¶rodek

o¶rodek to nazwa o¶rodka, którego dotyczy wpis. Plik togo dla tego o¶rodka musi znajdowaæ siê w out.goint/togo w katalogu bufora grup. Nazwa o¶rodka /default/ oznacza domy¶lny wpis i pasuje do ka¿dego o¶rodka, który nie jest zdefiniowany indywidualnym wpisem.
rozmiar

rozmiar okre¶la maksymalny rozmiar tworzonych wsadów artyku³ów (przed kompresj±). Je¿eli pojedyncze artyku³y s± wiêksze, ni¿ ten rozmiar, C News robi wyj±tek i umieszcza ka¿dy z nich w oddzielnym pliku wsadowym.
maks

maks okre¶la maksymaln± liczbê tworzonych i przygotowanych do wys³ania wsadów dla okre¶lonego o¶rodka. Jest przydatny w sytuacji, gdy zdalny o¶rodek jest przez d³ugi czas nieczynny, gdy¿ zapobiega za¶miecaniu twoich katalogów buforowych UUCP mnóstwem wsadów.

C News okre¶la liczbê zakolejkowanych wsadów za pomoc± skryptu queuelen znajduj±cego siê w katalogu /usr/lib/news/. Gdyby¶ zainstalowa³ C News w postaci pakietu, skryptu nie trzeba by by³o edytowaæ, ale gdyby¶ u¿y³ innego katalogu buforowego, jak na przyk³ad UUCP Taylora , mog³aby zaj¶æ potrzeba edycji. Je¿eli nie przejmujesz siê liczb± buforowanych plików (poniewa¿ jeste¶ jedyn± osob± u¿ywaj±ca komputera i nie tworzysz megabajtów artyku³ów), mo¿esz zast±piæ zawarto¶æ skryptu prost± dyrektyw± exit 0.
prog_prze_wsad

Pole prog_prze_wsad zawiera polecenie u¿ywane do generowania wsadu z listy artyku³ów zawartej w pliku togo. W przypadku regularnego przesy³ania, zwykle jest to batcher. W przypadku innych zastosowañ, mo¿na u¿yæ innych programów przetwarzania wsadowego. Na przyk³ad protokó³ ihave/sendme wymaga, by lista artyku³ów by³a zamieniona na wiadomo¶ci kontrolne ihave lub sendme, które s± wysy³ane do grupy to.site. Jest to realizowane za pomoc± batchib i batchsm.
kompr

Pole kompr okre¶la polecenie realizuj±ce kompresjê. Zwykle jest to compcun, skrypt generuj±cy skompresowany wsad* . Za³ó¿my jednak, ¿e tworzysz skompresowany plik, u¿ywaj±c gzipa, powiedzmy gzipcun (zauwa¿, ¿e musisz napisaæ go samodzielnie). Musisz sprawdziæ, czy uncompress w o¶rodku zdalnym jest w stanie rozpoznawaæ pliki skompresowane programem gzip.
Je¿eli w o¶rodku zdalnym nie ma polecenia uncompress, mo¿esz wpisaæ nocomp i w ogóle nie kompresowaæ plików.
transport

Ostatnie pole, transport, opisuje u¿ywany protokó³ przesy³ania. Dostêpne jest kilka standardowych poleceñ dla ró¿nych protoko³ów transportowych. Ich nazwy rozpoczynaj± siê od via. Plik sendbatches przekazuje je do docelowego o¶rodka w wierszu poleceñ. Je¿eli wpis batchparms ma warto¶æ ró¿n± od /default/, sendbatches pobiera nazwê o¶rodka z pola site, obcinaj±c wszystko po pierwszej kropce lub uko¶niku w³±cznie. Je¿eli wpis batchparms ma warto¶æ /default/, u¿ywane s± nazwy katalogów z pliku out.going.
Aby zrealizowaæ przetwarzanie wsadowe dla zadanego o¶rodka, u¿yj poni¿szego polecenia:

# su news -c "/usr/lib/news/batch/sendbatches site"

sendbatches wywo³ywane bez argumentów obs³uguje wszystkie zakolejkowane wsady. Interpretacja "all" zale¿y od obecno¶ci domy¶lnego wpisu w batchparms. Je¿eli zostanie on znaleziony, sprawdzane s± wszystkie podkatalogi /var/spool/news/out.going. W przeciwnym razie sendbatches wykorzystuje wszystkie kolejne wpisy w batchparms, obs³uguj±c znalezione tam o¶rodki. Zwróæ uwagê, ¿e sendbatches przy przegl±daniu katalogu out.going uwzglêdnia tylko te katalogi, które nie zawieraj± kropek ani znaków @ w nazwach o¶rodków.
Istniej± dwa polecenia u¿ywaj±ce uux do wywo³ania rnews w o¶rodku zdalnym: viauux i viauuxz. To ostatnie ustawia znacznik -z dla uux, by starsze wersje nie zwraca³y informacji o poprawnym dostarczeniu ka¿dego artyku³u. Inne polecenie, viamail, wysy³a wsady artyku³ów poczt± do u¿ytkownika rnews w systemie zdalnym. Oczywi¶cie wymaga to, by system zdalny jako¶ dostarcza³ wszystkie poczty przeznaczone dla rnews do swojego lokalnego systemu grup dyskusyjnych. Pe³n± listê protoko³ów transportowych znajdziesz na stronie podrêcznika elektronicznego newsbatch.
Wszystkie polecenia z ostatnich trzech pól musz± byæ umieszczone w katalogu out.going/site lub /usr/lib/news/batch. Wiêkszo¶æ z nich to skrypty. Mo¿esz ³atwo do³±czaæ nowe, potrzebne ci narzêdzia. S± one wywo³ywane przez potoki. Lista artyku³ów jest dostarczana programowi przetwarzania wsadowego na jego standardowe wej¶cie, natomiast wsad dostajemy na jego standardowym wyj¶ciu. Dalej jest on przekazywany przez potok do programu kompresuj±cego i tak dalej.
Oto przyk³adowy plik:

# plik batchparms dla browaru
# o¶rodek      | rozmiar |maks| prog_prze_wsad | kompr | trans
#--------------+---------+----+----------------+-------+------
/default/        100000    22    batcher        compcun viauux
swim             10000     10    batcher        nocomp  viauux
Wygasanie grup dyskusyjnych
W B News wygaszanie musi byæ realizowane przez program expire, który jako argumenty przyjmuje listê grup wraz z czasem, po którym wygasaj± artyku³y. Aby ró¿ne hierarchie mog³y wygasaæ po ró¿nym czasie, musisz napisaæ skrypt, który bêdzie wywo³ywa³ expire dla ka¿dej z nich niezale¿nie. C News oferuje wygodniejsze rozwi±zanie. W pliku explist mo¿esz okre¶liæ grupy i czasy ich wyga¶niêcia. Polecenie doexpire zwykle jest wywo³ywane raz dziennie z crona i przetwarza wszystkie grupy zgodnie z list±.
Czasem bêdziesz chcia³ d³u¿ej zatrzymaæ artyku³y z pewnych grup, na przyk³ad programy wys³ane do grupy comp.sources.unix. Nazywa siê to archiwizacj±. W explist  mo¿na wskazaæ grupy, które chcesz archiwizowaæ.
Wpis w explist wygl±da tak:

listagrup prawa czas archiwum

listagrup to oddzielana przecinkami lista grup dyskusyjnych, których dotyczy wpis. Hierarchie mog± byæ okre¶lane przez podanie przedrostka nazwy grupy z opcjonalnym s³owom all. Na przyk³ad w przypadku wpisu dotycz±cego wszystkich grup comp.os, wprowad¼ comp.os lub comp.os.all.
Przy wygasaniu artyku³ów w grupie, nazwa jest sprawdzana we wszystkich wpisach w pliku explist w podanej kolejno¶ci. Wykorzystywany jest pierwszy pasuj±cy wpis. Na przyk³ad, aby wyrzuciæ po czterech dniach wiêkszo¶æ artyku³ów z grup comp, z wyj±tkiem grupy comp.os.linux.announce, któr± chcesz przechowaæ przez tydzieñ, po prostu musisz mieæ dla tej ostatniej grupy wpis okre¶laj±cy, ¿e wygasa ona po siedmiu dniach, a dalej wpis dotycz±cy okresu wyga¶niêcia comp po czterech dniach.
Pole prawa zawiera szczegó³y, czy wpis dotyczy grup moderowanych, niemoderowanych, czy wszystkich. Mo¿e przyjmowaæ warto¶ci m, u lub x, które oznaczaj± odpowiednio grupy moderowane, niemoderowane lub dowolne.
Trzecie pole, czas, zwykle zawiera tylko jedn± liczbê, która wskazuje, po ilu dniach artyku³y wygasaj±, o ile w nag³ówku artyku³u nie ma pola Expires: okre¶laj±cego inn± datê. Zauwa¿, ¿e jest to liczba dni liczona od dnia dotarcia artyku³u do twojego o¶rodka, a nie od daty wys³ania artyku³u do grupy.
Pole czas mo¿e jednak byæ bardziej z³o¿one. S± to trzy liczby oddzielone od siebie my¶lnikami. Pierwszy segment okre¶la wtedy liczbê dni, która musi min±æ, zanim artyku³ zostanie uznany za kandydata do wyga¶niêcia, nawet je¿eli pole Expires: ju¿ wygas³o. U¿ywanie tu innej warto¶ci ni¿ zero zwykle nie ma sensu. Drugi segment to poprzednio wspomniana domy¶lna liczba dni, po których wygasa czas przechowywania artyku³u. Trzeci segment to liczba dni, po której czas dla artyku³u wygasa bezwarunkowo, bez wzglêdu na to, czy zawiera pole Expires:, czy te¿ nie. Je¿eli zostanie podany tylko ¶rodkowy segment, pozosta³e dwa przyjmuj± warto¶ci domy¶lne. Mog± one byæ zdefiniowane przez specjalny wpis /bounds/, który opiszemy nieco dalej.
Czwarte pole, archiwum, okre¶la, czy grupa dyskusyjna ma byæ archiwizowana i gdzie. Je¿eli nie zamierzamy jej archiwizowaæ, powinni¶my u¿yæ my¶lnika. W przeciwnym razie u¿yj pe³nej ¶cie¿ki (wskazuj±cej katalog) lub znaku @. Znak @ wskazuje domy¶lny katalog archiwum, który musi byæ nastêpnie podany w wierszu poleceñ doexpire za pomoc± znacznika -a. Katalog archiwum powinien byæ w³asno¶ci± u¿ytkownika news. Gdy doexpire archiwizuje artyku³y, powiedzmy z grupy comp.sources.unix, zachowuje je w podkatalogu comp/sources/unix katalogu archiwum, tworz±c je, je¿eli zajdzie potrzeba. Sam katalog archiwum nie zostanie jednak stworzony.
W pliku explist znajduj± siê dwa specjalne wpisy, na których opiera siê doexpire. Zamiast listy grup dyskusyjnych zawieraj± one s³owa kluczowe /bounds/ i /expired/. Wpis /bounds/ zawiera domy¶lne warto¶ci dla trzech segmentów opisanego poprzednio pola czas.
Pole /expired/ okre¶la, jak d³ugo C News przechowuje wiersze w pliku history. C News nie usuwa wiersza z pliku historii zaraz po wyga¶niêciu odpowiadaj±cego mu artyku³u, ale przechowuje go na wypadek, gdyby przyszed³ jego duplikat. Je¿eli grupy dostajesz tylko z jednego o¶rodka, ta warto¶æ mo¿e byæ niewielka. W przeciwnym razie zaleca siê ustawiæ okres kilku tygodni w sieciach UUCP w zale¿no¶ci od do¶wiadczenia w opó¼nieniach artyku³ów przychodz±cych z ró¿nych o¶rodków.

Oto przyk³adowy plik explist o raczej krótkich okresach wyga¶niêcia:

# przechowywanie historii przez dwa tygodnie. ¯aden artyku³
# nie bêdzie przechowywany d³u¿ej ni¿ trzy miesi±ce
/expired/                   x   14      -
/bounds/                    x   0-1-90  -
# grupy, które chcemy przechowywaæ d³u¿ej ni¿ resztê
comp.os.linux.announce      m   10      -
comp.os.linux               x   5       -
alt.folklore.computers      u   10      -
rec.humor.oracle            m   10      -
soc.feminism                m   10      -
# Archiwum grup *.sources   
comp.sources,alt.sources    x   5       @
# domy¶lne warto¶ci dla grup technicznych
comp,sci                    x   7       -
# wystarczaj±co na d³ugi weekend
misc,talk                   x   4       -
# szybkie usuwanie ¶mieci
junk                        x   1       -
# oraz niezbyt ciekawych wiadomo¶ci kontrolnych 
control                     x   1       -
# i wpis dla pozosta³ych rzeczy
all                         x   2       -

Wygasanie stwarza kilka potencjalnych problemów. Jednym z nich jest to, ¿e twoja przegl±darka grup mo¿e opieraæ siê na trzecim polu pliku active opisanym wcze¶niej, zawieraj±cym najmniejszy numer aktualnie dostêpnego artyku³u. Gdy artyku³y wygasaj±, C News nie uaktualnia tego pola. Je¿eli potrzebujesz (lub chcesz), by pole to odzwierciedla³o rzeczywist± sytuacjê, musisz uruchomiæ program updatemin po ka¿dym uruchomieniu doexpire. (W starszych wersjach C News robi to skrypt upact).
C News nie realizuje wygasania przez przegl±danie katalogów grup, a po prostu sprawdza w pliku history, czy czas przechowywania artyku³u ma wygasn±æ*. Je¿eli plik historii w jaki¶ sposób siê rozsynchronizuje, artyku³y mog± pozostaæ na dysku na zawsze, poniewa¿ C News o nich zapomni**. Mo¿esz to naprawiæ, u¿ywaj±c skryptu addmissing znajduj±cego siê w katalogu /usr/lib/news/maint, który doda brakuj±ce artyku³y do pliku history lub mkhistory, który przebuduje ca³y plik od pocz±tku. Nie zapomnij przed wywo³aniem tych poleceñ wej¶æ na konto u¿ytkownika news, gdy¿ w przeciwnym razie plik history bêdzie nieczytelny dla C News.
Ró¿ne dodatkowe pliki
Istnieje szereg plików, które kontroluj± zachowanie C News, ale nie s± istotne. Wszystkie znajduj± siê w katalogu /etc/news. Krótko je tutaj opiszemy:

newsgroups

Jest to plik towarzysz±cy plikowi active, zawieraj±cy listê wszystkich grup dyskusyjnych wraz z jednowierszowym opisem. Plik ten jest automatycznie uaktualniany, gdy C News odbierze wiadomo¶æ kontroln± checknews.
localgroups

Je¿eli posiadasz wiele grup lokalnych, C News bêdzie informowaæ o nich za ka¿dym razem, gdy dostaniesz wiadomo¶æ checkgroups. Mo¿na temu zapobiec, umieszczaj±c nazwy ich grup i opisy w pliku w formacie takim jak newsgroups.
mailpaths

Ten plik zawiera adres moderatora dla ka¿dej grupy moderowanej. Ka¿dy wiersz zawiera nazwê grupy, a po niej adres e-mail moderatora (oddzielone tabulatorem).
Domy¶lnie dodawane s± dwa specjalne wpisy: backbone i internet. Oba s± zapisane w notacji wykazu trasowania i zawieraj± odpowiednio ¶cie¿kê do najbli¿szego o¶rodka szkieletowego oraz o¶rodka, który rozumie adresy RFC-822 (u¿ytkownik@host). Domy¶lne wpisy s± nastêpuj±ce:

internet      backbone

Nie musisz zmieniaæ wpisu internet, je¿eli masz zainstalowanego Exima lub sendmail. Rozumiej± one adresowanie RFC-822.
Wpis backbone stosuje siê wtedy, gdy u¿ytkownik wysy³a artyku³ do grupy moderowanej, której moderator nie jest wpisany bezpo¶rednio. Je¿eli nazwa grupy to alt.sewer, a backbone zawiera wpis path!%s, C News wy¶le artyku³ poczt± e-mail na adres path!alt-sewer, maj±c nadziejê, ¿e maszyna szkieletowa bêdzie w stanie przekazaæ go dalej. Mo¿esz zapytaæ administratora grup na serwerze, od którego je dostajesz, jakiej ¶cie¿ki masz u¿yæ. W ostateczno¶ci mo¿esz u¿yæ tak¿e uunet.uu.net!%s.
distributions

Ten plik w rzeczywisto¶ci nie jest plikiem C News, ale jest u¿ywany przez niektóre przegl±darki grup i nntpd. Zawiera listê dystrybucji rozpoznawanych przez twój o¶rodek i opis ich (zamierzonego) dzia³ania. Na przyk³ad browar wirtualny posiada nastêpuj±cy plik:

world      Everywhere in the world
local      Only local to this site
nl         Netherlands only
mugnet     MUGNET only
fr         France only
de         Germany only
brewery    Virtual Brewery only

log

Ten plik zawiera zapis wszystkich dzia³añ C News. Jest on regularnie czyszczony przez newsdaily. Kopie starych plików log s± przechowywane w log.o, log.oo itp.

errlog
Jest to zapis wszystkich komunikatów b³êdów wystêpuj±cych w C News. Nie zawieraj± one zapisów na temat artyku³ów przeniesionych do ¶mieci ze wzglêdu na b³êdn± grupê lub inne b³êdy. Ten plik, o ile nie jest pusty, jest automatycznie wysy³any poczt± e-mail do zarz±dcy grup (domy¶lnie do u¿ytkownika usenet) przez program newsdaily.
errlog jest czyszczony przez newsdaily. errlog.o przechowuje kopie starych plików i tym podobne.
batchlog
Ten plik zawiera zapis wszystkich uruchomieñ sendbatches i najczê¶ciej jest ma³o ciekawy. Zwykle jest te¿ obs³ugiwany przez newsdaily.
watchtime
Jest to pusty plik tworzony przy ka¿dym uruchomieniu newsdaily.
Wiadomo¶ci kontrolne
Protokó³ grup usenetowych rozumie specjaln± kategoriê artyku³ów, które wywo³uj± pewne odpowiedzi lub dzia³ania w systemie grup dyskusyjnych. S± to tak zwane wiadomo¶ci kontrolne. Ich cech± charakterystyczn± jest obecno¶æ pola Control: w nag³ówku artyku³u. Zawiera ono nazwê dzia³ania do wykonania. Istnieje kilka typów dzia³añ, a wszystkie s± obs³ugiwane przez skrypty pow³oki umieszczone w katalogu /usr/lib/news/ctl.
Wiêkszo¶æ z tych wiadomo¶ci wykonuje swoje zadania automatycznie w momencie przetwarzania artyku³u przez C News i bez powiadamiania zarz±dcy grup. Domy¶lnie tylko wiadomo¶æ checkgroups bêdzie obs³ugiwana przez zarz±dcê, ale mo¿esz to zmieniæ edytuj±c skrypty.
cancel
Najbardziej znan± wiadomo¶ci± jest cancel, dziêki której u¿ytkownik mo¿e anulowaæ wcze¶niej wys³any artyku³. Usuwa ona skutecznie artyku³ z katalogów bufora, je¿eli tam istnieje. Wiadomo¶æ cancel jest przekazywana do wszystkich o¶rodków, które odebra³y wiadomo¶æ w danej grupie, bez wzglêdu na to, czy artyku³ by³ ju¿ czytany. Istnieje ryzyko, ¿e wiadomo¶æ ta przyjdzie wcze¶niej, ni¿ artyku³ do anulowania . Niektóre systemy grup pozwalaj± u¿ytkownikom anulowaæ wiadomo¶ci innych osób.
newgroup i rmgroup
Dwie wiadomo¶ci s³u¿±ce do tworzenia i usuwania grup to newgroup i rmgroup. Grupy w "zwyk³ych" hierarchiach mog± byæ tworzone jedynie po uzgodnieniu i g³osowaniu przeprowadzonym w¶ród czytelników Usenetu. Regu³y dotycz±ce hierarchii alt pozwalaj± na co¶ zbli¿onego do anarchii. Wiêcej informacji na ten temat znajdziesz w artyku³ach grupy news.announce.newusers i news.announce.newgroups. Nigdy nie wysy³aj samodzielnie wiadomo¶ci newgroup i rmgroup, je¿eli nie jeste¶ pewny, czy masz do tego prawo.
checkgroups
Wiadomo¶ci checkgroups s± wysy³ane przez administratora grup w celu synchronizacji plików active we wszystkich o¶rodkach w sieci Usenet. Na przyk³ad komercyjny dostawca Internetu mo¿e wys³aæ tak± wiadomo¶æ do o¶rodków swoich klientów. Raz w miesi±cu przez moderatora grupy comp.announce.newgroups jest wysy³ana "oficjalna" wiadomo¶æ checkgroups dla g³ównych hierarchii. Jednak jest ona wysy³ana jako zwyk³y artyku³, a nie wiadomo¶æ kontrolna. Aby wykonaæ operacjê checkgroups, zapisz artyku³ do pliku, powiedzmy /tmp/check, usuñ ca³y pocz±tek samej wiadomo¶ci kontrolnej i przeka¿ j± do skryptu checkgroups za pomoc± nastêpuj±cego polecenia:

# su news -c "/usr/lib/news/ctl/checkgroups" < /tmp/check

Twój plik newsgroups zostanie uaktualniony na podstawie nowej listy grup. Dodane zostan± grupy wymienione w pliku localgroups. Stary plik newsgroups zostanie przemianowany na newsgroups.bac. Zauwa¿, ¿e wys³anie wiadomo¶ci lokalnie rzadko dzia³a, poniewa¿ inews, polecenie przyjmuj±ce i wysy³aj±ce artyku³y od u¿ytkowników, odmawia przyjêcia tak du¿ego artyku³u.
Gdyby C News stwierdzi³ ró¿nice pomiêdzy checkgroups a plikiem active, wygenerowa³by listê poleceñ, które uaktualni³yby twój o¶rodek, i wys³a³by j± do administratora grup dyskusyjnych.
Wynik zwykle wygl±da jako¶ tak:

From news Sun Jan 30 16:18:11 1994
Date: Sun, 30 Jan 94 16:18 MET
From: news (News Subsystem)
To: usenet
Subject: Problems with your active file
The following newsgroups are not valid and should be removed.
   alt.ascii-art
   bionet.molbio.gene-org
   comp.windows.x.intriscis
   de.answers
You can do this by executing the commands:
   /usr/lib/news/maint/delgroup alt.ascii.art
   /usr/lib/news/maint/delgroup bionet.molbio.gene-org
   /usr/lib/news/maint/delgroup comp.windows.x.intrisics
   /usr/lib/news/maint/delgroup de.answers
The following newsgroups were missing.
   comp.binaries.cbm
   comp.databases.rdb
   comp.os.geos
   comp.os.gnx
   comp.unix.user-friendly
   misc.legal.moderated
   news.newsites
   soc.culture.scientists
   talk.politics.crypto
   talk.politics.tibet

Gdy odbierzesz tego typu wiadomo¶æ od swojego systemu grup, nie ufaj jej bezkrytycznie. W zale¿no¶ci od tego, kto wys³a³ ci wiadomo¶æ checkgroups, mo¿e brakowaæ kilku grup lub nawet ca³ych hierarchii. Powiniene¶ uwa¿aæ przy usuwaniu jakichkolwiek grup. Je¿eli dostaniesz informacjê, ¿e brakuje jakich¶ grup, które powiniene¶ mieæ u siebie, musisz dodaæ je za pomoc± skryptu addgroup. Zachowaj tê listê brakuj±cych grup w pliku i przeka¿ do poni¿szego skryptu:

#!/bin/sh
#
WHOIAM='whoami'
if [ "$WHOIAM" != "news" ]
then
   echo "You must run $0 as user 'news'" >&2
   exit 1
fi
#
cd /usr/lib/news
while read group; do
   if grep -si "^$group[[:space:]].*moderated" newsgroup; then
      mod=m
   else
      mod=y
   fi
   /usr/lib/news/maint/addgroup $group $mod
done
sendsys, version i senduuname
Istniej± trzy wiadomo¶ci, których mo¿na u¿yæ do poznania topologii sieci. S± to: sendsys, version i senduuname. Powoduj± one, ¿e C News zwraca do nadawcy odpowiednio: plik sys, ci±g znaków zawieraj±cy wersjê oprogramowania oraz wynik polecenia uuname. C News bardzo lakonicznie podchodzi do wiadomo¶ci version, gdy¿ zwraca tylko C.
Nie powiniene¶ u¿ywaæ tych wiadomo¶ci, je¶li nie masz pewno¶ci, ¿e nie wyjd± poza twoj± (regionaln±) sieæ. Odpowiedzi na wiadomo¶æ sendsys mog± ³atwo uszkodziæ sieæ UUCP*. 
C News w ¶rodowisku NFS
Prostym sposobem na rozpowszechnianie wiadomo¶ci w sieci lokalnej jest trzymanie wszystkich grup na centralnym ho¶cie i eksportowanie istotnych katalogów przez NFS, tak by przegl±darki mog³y skanowaæ artyku³y bezpo¶rednio. Nadmiarowo¶æ wymagana do odbierania i podzia³u artyku³ów na w±tki jest znacznie ni¿sza ni¿ przy protokole NNTP. Z drugiej strony NNTP wygrywa w sieciach heterogenicznych, gdzie hosty znacznie ró¿ni± siê sprzêtowo lub gdzie u¿ytkownicy nie maj± identycznych kont na maszynie serwera.
Gdy u¿ywasz NFS-a, artyku³y wys³ane do hosta lokalnego musz± byæ przekazane do komputera centralnego. Inaczej pliki s± nara¿one na niespójno¶æ, poniewa¿ zawsze istnieje ryzyko powstania wy¶cigów. Mo¿esz tak¿e zabezpieczyæ obszar bufora grup dyskusyjnych, eksportuj±c go tylko do odczytu, co tak¿e wymaga przekazywania do komputera centralnego.
C News obs³uguje tak± konfiguracjê z komputerem centralnym w sposób przezroczysty dla u¿ytkownika. Gdy wysy³asz artyku³, twoja przegl±darka grup zwykle wywo³uje inews, by wrzuciæ artyku³ do systemu grup. To polecenie sprawdza artyku³, uzupe³nia nag³ówek i sprawdza plik server w katalogu /etc/news. Je¿eli plik istnieje i zawiera nazwê hosta inn± ni¿ nazwa hosta lokalnego, inews jest wywo³ywany na tym ho¶cie przez rsh. Poniewa¿ skrypt inews u¿ywa kilku poleceñ i obs³uguje pliki C News, musisz mieæ lokalnie zainstalowane C News lub zamontowane oprogramowanie z serwera.
Aby wywo³anie rsh dzia³a³o poprawnie, ka¿dy u¿ytkownik, który wysy³a wiadomo¶ci, musi mieæ takie samo konto na serwerze, to znaczy takie, na które mo¿e siê zalogowaæ bez has³a.
Sprawd¼, czy nazwa hosta wpisana w pliku server jest identyczna z wynikiem polecenia hostname na serwerze. Je¶li nie - C News bêdzie w nieskoñczono¶æ próbowa³ dostarczyæ artyku³. NFS omawiamy szczegó³owo w rozdziale 14, Sieciowy system plików.
Narzêdzia i zadania administracyjne
Pomimo z³o¿ono¶ci C News, ¿ycie administratora grup mo¿e byæ ca³kiem przyjemne. C News posiada bowiem szereg narzêdzi administracyjnych. Niektóre z nich s± pomy¶lane do regularnego uruchamiania z crona, podobnie jak newsdaily. Skrypty te wyrêczaj± ciê w wielu codziennych zadaniach administracyjnych. 
Je¿eli nie powiedziano inaczej, te polecenia administracyjne znajduj± siê w katalogu /usr/lib/news/maint*:
newsdaily

Nazwa mówi sama za siebie: uruchom raz dziennie. Jest to wa¿ny skrypt, który pomaga ci utrzymaæ ma³e rozmiary plików log, pozostawiaj±c kopiê ka¿dego z nich z trzech ostatnich przebiegów. Próbuje tak¿e wykryæ nieprawid³owo¶ci takie, jak stare wsady w katalogach przychodz±cych i wychodz±cych, wysy³anie do nieznanych lub moderowanych grup itp. Zwracane komunikaty b³êdów s± wysy³ane do administratora grup.
newswatch

Ten skrypt powinien byæ uruchamiany regularnie, co godzinê, w celu wyszukiwania nieprawid³owo¶ci w systemie grup. S³u¿y on do wykrywania problemów, które maj± natychmiastowy wp³yw na dzia³anie twojego systemu grup. Sprawdza stare pliki blokuj±ce, które nie zosta³y usuniête, nie obs³u¿one wsady i miejsce na dysku twardym. Je¶li newswatch wykryje problem, wysy³a informacjê do administratora grup.
addgroup

Ten skrypt dodaje lokalnie grupê do twojego o¶rodka. Poprawne wywo³anie to:

addgroup nazwagrupy y|n|m=rzeczywistagrupa

Drugi argument odpowiada znacznikowi w pliku active, czyli ka¿dy mo¿e wysy³aæ do grupy (y), nikt nie mo¿e wysy³aæ (n) i jest to grupa moderowana (m) lub ¿e jest to alias do innej grupy (=rzeczywistagrupa). Mo¿esz tak¿e u¿ywaæ addgroup, gdy pierwszy artyku³ do nowo utworzonej grupy przyjdzie wcze¶niej ni¿ wiadomo¶æ kontrolna newgroup, która ma za zadanie tê grupê utworzyæ.
delgroup

Ten skrypt pozwala na usuniêcie lokalne grupy. Wywo³anie jest nastêpuj±ce:

delgroup nazwagrupy

Nieustannie musisz usuwaæ artyku³y, które pozostaj± w katalogu buforowym grupy. Ewentualnie mo¿esz pozostawiæ je naturalnej kolei rzeczy (to znaczy do wyga¶niêcia czasu ich przechowywania).
addmissing

Ten skrypt dodaje brakuj±ce artyku³y do pliku history. Uruchom go, gdy istniej± artyku³y, które wydaj± siê zalegaæ od zawsze.
newsboot

Ten skrypt powinien byæ uruchamiany w czasie inicjacji systemu. Usuwa wszelkie pliki blokuj±ce pozosta³e przy unicestwianiu procesów i zamyka oraz uruchamia wszelkie pozosta³e wsady z po³±czeñ NNTP, które zosta³y przerwane przez zamkniêcie systemu.
newsrunning

Ten skrypt znajduje siê w katalogu /usr/lib/news/input i mo¿e byæ u¿yty do zablokowania rozpakowywania wsadów przychodz±cych wiadomo¶ci, na przyk³ad w czasie godzin pracy. Mo¿esz wy³±czyæ rozpakowywanie wsadów wywo³uj±c:

/usr/lib/news/input/newsrunning off

W³±cza siê je, u¿ywaj±c on zamiast off.


22
NNTP i demon nntpd


Rozdzia³ 22: NNTP i demon nntpd


Protokó³ przesy³ania wiadomo¶ci w sieci Usenet, NNTP (Network News Transfer Protocol), reprezentuje zupe³nie odmienne podej¶cie do wymiany grup dyskusyjnych, ni¿ C News i inne serwery grup bez wbudowanej obs³ugi NNTP. Do przesy³ania artyku³ów pomiêdzy maszynami nie korzysta z technologii wsadowej charakterystycznej dla UUCP, ale pozwala wymieniaæ artyku³y przez interaktywne po³±czenie sieciowe. NNTP nie jest pakietem oprogramowania, ale standardem internetowym opisanym w RFC-977. Korzysta z po³±czeñ strumieniowych, zwykle dzia³aj±cych w oparciu o TCP pomiêdzy klientem w sieci a serwerem, który przechowuje grupy na swoim dysku lokalnym. Po³±czenie strumieniowe pozwala klientowi i serwerowi na interaktywne negocjowanie przesy³ania artyku³ów prawie bez opó¼nieñ, za czym idzie ma³y stopieñ ich dublowania. Je¶li uwzglêdnimy jeszcze wysok± przepustowo¶æ Internetu, otrzymujemy rozwi±zanie znacznie przewy¿szaj±ce mo¿liwo¶ci dotychczasowego UUCP. Choæ jeszcze kilka lat temu nie by³o niczym niezwyk³ym, ¿e artyku³ szed³ dwa tygodnie lub d³u¿ej, zanim dotar³ na drugi koniec sieci Usenet, to teraz trwa to zwykle krócej ni¿ dwa dni. W samym Internecie s± to nawet minuty.
Ró¿ne polecenia pozwalaj± klientom odbieraæ, wysy³aæ i umieszczaæ w grupie artyku³y. Ró¿nica pomiêdzy wysy³aniem a umieszczaniem w grupie polega na tym, ¿e umieszczanie dotyczy artyku³ów, które mog± mieæ niepe³ne informacje w nag³ówku. Ogólnie oznacza to, ¿e u¿ytkownik po prostu napisa³ artyku³*.  Artyku³y mog± byæ pobierane zarówno przez klientów przesy³aj±cych wiadomo¶ci, jak i przez przegl±darki grup dyskusyjnych. Dlatego NNTP jest idealnym narzêdziem, które daje dostêp do grup wielu klientom w sieci lokalnej, bez gimnastyki cechuj±cej korzystanie z NFS-a.
NNTP zapewnia tak¿e czynny i bierny sposób przesy³ania grup, potocznie zwany "wciskaniem" i "¶ci±ganiem". Wciskanie w zasadzie przypomina protokó³ ihave/ sendme u¿ywany przez C News (opisany w rozdziale 21, C News). Klient oferuje artyku³ serwerowi poprzez polecenie IHAVE msgid, a serwer zwraca w odpowiedzi kod, który mówi, czy ma ju¿ ten artyku³ lub czy te¿ go chce. Je¿eli serwer chce artyku³, klient wysy³a go, koñcz±c tekst wierszem zawieraj±cym jedynie kropkê.
Wciskanie wiadomo¶ci ma jedn± wadê - obci±¿a serwer - poniewa¿ system musi przeszukiwaæ bazê historii dla ka¿dego pojedynczego artyku³u.
Druga technika, ¶ci±ganie wiadomo¶ci, polega na tym, ¿e klient prosi o listê wszystkich (dostêpnych) artyku³ów z grup, które dotar³y w jakim¶ dniu. To zapytanie jest realizowane przez polecenie NEWNEWS. Ze zwróconej listy ID wiadomo¶ci klient wybiera te numery, których mu jeszcze brakuje, wydaj±c dla ka¿dego z nich polecenie ARTICLE.
¦ci±ganie grup wymaga od serwera ¶cis³ego kontrolowania, które grupy i dystrybucje pozwala ¶ci±gaæ klientowi. Na przyk³ad musi zagwarantowaæ, ¿e ¿adne tajne materia³y z grup lokalnych dla danego o¶rodka nie zostan± wys³ane do nieautoryzowanych klientów.
Istnieje te¿ kilka poleceñ wygodnych dla przegl±darek grup. Za ich pomoc± mo¿e odbieraæ oddzielnie nag³ówek i tre¶æ artyku³u lub nawet pojedyncze wiersze nag³ówka z zadanego zakresu artyku³ów. Pozwala to trzymaæ wszystkie grupy na ho¶cie centralnym i mieæ u¿ytkowników w sieci (przypuszczalnie lokalnej), którzy za pomoc± klienta NNTP czytaj± je i wysy³aj±. Jest to rozwi±zanie alternatywne do eksportowania katalogów z grupami przez NFS, co zosta³o opisane w rozdziale 21.
Mankamentem NNTP jest to, ¿e znaj±cej siê na rzeczy osobie protokó³ ten umo¿liwia wstawienie w strumieñ grup artyku³u z fa³szyw± informacj± o nadawcy. Nazywa siê to fa³szowaniem (ang. news faking) lub podszywaniem (ang. spoofing)*. Rozszerzenie NNTP pozwala na uwierzytelnianie u¿ytkowników przy pewnych poleceniach, co jako¶ zabezpiecza przed nadu¿ywaniem twojego serwera grup dyskusyjnych.
Istnieje szereg pakietów NNTP. Jednym z bardziej popularnych jest demon NNTP, znany tak¿e jako implementacja wzorcowa (ang. reference implementation). Zosta³ napisany przez Stana Barbera i Phila Lapsleya jako ilustracja RFC-977. Podobnie jak wiêkszo¶æ dobrego oprogramowania, tak i ten pakiet mo¿esz obecnie znale¼æ w swojej dystrybucji Linuksa. Mo¿esz te¿ pobraæ jego kod ¼ród³owy i skompilowaæ samodzielnie pod warunkiem, ¿e na tyle dobrze znasz swoj± dystrybucjê Linuksa, by poprawnie skonfigurowaæ wszelkie ¶cie¿ki do plików.
Pakiet nntpd zawiera serwer, dwa klienty ¶ci±gaj±ce i wciskaj±ce wiadomo¶ci oraz zamiennik dla inews. Dzia³aj± one w ¶rodowisku B News, ale po niewielkich zmianach bêd± tak¿e dzia³aæ z C News. Jednak, je¿eli planujesz u¿ywaæ NNTP nie tylko do udostêpniania grup dyskusyjnych na twoim serwerze, implementacja wzorcowa nie jest dobrym wyborem. Dlatego omówimy tylko demona NNTP zawartego w pakiecie nntpd, a programy klienckie pozostawimy w spokoju.
Gdyby¶ chcia³ uruchomiæ du¿y o¶rodek grup dyskusyjnych, powiniene¶ zainteresowaæ siê pakietem InterNet News, inaczej INN, napisanym przez Richa Salza. Zapewnia on transport grup zarówno przez NNTP, jak i UUCP, co jest zdecydowanie lepsze ni¿ nntpd. INN omawiamy szczegó³owo w rozdziale 23, Internet News.
Protokó³ NNTP
Wspomnieli¶my o dwóch poleceniach, które decyduj± o tym, jak artyku³y s± wciskane lub ¶ci±gane pomiêdzy serwerami. Teraz przyjrzymy siê im w kontek¶cie rzeczywistej sesji NNTP, a przekonasz siê, jak prosty jest ten protokó³. U¿yjemy prostego klienta telnet, za pomoc± którego pod³±czymy siê do serwera opartego na INN, dzia³aj±cego w browarze wirtualnym pod adresem news.vbrew.com. ¯eby nie wyd³u¿aæ niepotrzebnie przyk³adu, serwer dzia³a w minimalnej konfiguracji. Pe³n± konfiguracjê tego serwera poznamy w rozdziale 23. W naszych testach bêdziemy bardzo ostro¿ni i wygenerujemy artyku³y do grupy junk, ¿eby nie zak³ócaæ innym spokoju.
Pod³±czanie siê do serwera grup
Pod³±czanie siê do serwera polega na otwarciu po³±czenia TCP do jego portu NNTP. Gdy jeste¶ pod³±czony, pojawi siê baner powitalny. Jednym z pierwszych poleceñ, jakie mo¿esz wypróbowaæ jest help. Odpowied¼ na nie przewa¿nie zale¿y od tego, czy serwer widzi ciê jako zdalny serwer NNTP, czy jako przegl±darkê grup. Udostêpnia wtedy ró¿ne zestawy poleceñ. Swój tryb dzia³ania mo¿esz zmieniæ, wydaj±c polecenie mode. Przyjrzymy siê mu za chwilê.

$ telnet news.vbrew.com nntp
Trying 172.16.1.1...
Connected to localhost.
Escape character is '^]'.
200 news.vbrew.com InterNetNews server INN 1.7.2 08-Dec-1997 ready
help
100 Legal commands
   authinfo
      help
      ihave
      check
      takethis
      list
      mode
      xmode
      quit
      head
      stat
      xbatch
      xpath
      xreplic
For more information, contact "usenet" at this machine.
.

Odpowiedzi na polecenia NNTP zawsze koñcz± siê kropk± (.) w oddzielnym wierszu. Liczby, które widzisz w wyniku, to kody odpowiedzi u¿ywane przez serwer do wskazania, czy polecenie zosta³o wykonane poprawnie, czy b³êdnie. Kody odpowiedzi s± opisane w RFC-977. Najwa¿niejsze z nich omówimy dalej.
Wciskanie artyku³u do serwera
Przy omawianiu wciskania artyku³ów do serwera, wspomnieli¶my o poleceniu IHAVE. Przyjrzyjmy siê teraz, jak w rzeczywisto¶ci dzia³a to polecenie:

ihave <123456@gw.vk2ktj.ampr.org>
335
From: terry@gw.vk2ktj.ampr.org
Subject: test message sent with ihave
Newsgroups: junk
Distribution: world
Path: gw.vk2ktj.ampr.org
Date: 26 April 1999
Message-ID: <123456@gw.vk2ktj.ampr.org>
Body:

This is a test message sent using the NNTP IHAVE command.

.
235

We wszystkich poleceniach NNTP nieistotna jest pisownia, a wiêc mo¿esz u¿ywaæ zarówno ma³ych, jak i du¿ych liter. Polecenie IHAVE przyjmuje jeden obowi±zkowy argument - ID wiadomo¶ci, która jest wciskana. Ka¿demu artyku³owi w czasie jego tworzenia jest przypisywany unikatowy numer ID. Polecenie IHAVE stanowi sposób na powiedzenie przez serwer NNTP, które artyku³y posiada i które chce wrzuciæ do innego serwera. Serwer wysy³aj±cy wydaje polecenie IHAVE dla ka¿dego artyku³u, który chce wrzuciæ. Je¿eli kod odpowiedzi na polecenie wygenerowany przez odbieraj±cy serwer NNTP jest z zakresu "3xx", wysy³aj±cy serwer NNTP prze¶le pe³ny artyku³, w³±cznie z jego nag³ówkiem, zakoñczy go kropk± w oddzielnym wierszu. Je¿eli kod odpowiedzi nale¿y do zakresu "4xx", serwer odbieraj±cy nie przyjmie tego artyku³u, prawdopodobnie dlatego, ¿e go ma lub z innego powodu, na przyk³ad mog³o mu zabrakn±æ miejsca na dysku.
Je¶li artyku³ zosta³ przes³any, serwer odbieraj±cy zwraca inny kod odpowiedzi, mówi±cy, czy przes³anie artyku³u zakoñczy³o siê poprawnie.
Przej¶cie do trybu czytania NNRP 
Przegl±darki grup u¿ywaj± do komunikacji z serwerem w³asnego zestawu poleceñ. Aby je uaktywniæ, serwer musi byæ w trybie czytania. Wiêkszo¶æ serwerów grup dyskusyjnych domy¶lnie jest w trybie czytania, chyba ¿e adres IP pod³±czaj±cego siê hosta znajduje siê na li¶cie partnerów do przekazywania grup. W ka¿dym razie NNTP posiada polecenie jawnie prze³±czaj±ce serwer do trybu czytania:

mode reader
200 news.vbrew.com InterNetNews NNRP server INN 1.7.2 08-Dec-1997 ready/(posting ok).
help
100 Legal commands
   authinfo user Name|pass Password|generic <prog> <args>
   article [MessageID|Number]
   body [MessageID|Number]
   date
   group newsgroup
   head [MessageID|Number]
   help
   ihave
   last
   list [active|active.times|newsgroups|distributions|distrib.pats|/
        overview.fmt|subscriptions]
   listgroup newsgroup
   mode reader
   newgroups yymmdd hhmmss ["GMT"] [<distributions>]
   newnews newsgroups yymmddhhmmss ["GMT"] [<distributions>]
   next
   post
   slave
   stat [MessageID|Number]
   xgtitle [group_pattern]
   xhdr header [range|MessageID]
   xover [range]
   xpat header range|MessageID pat [morepat...]
   xpath MessageID
Report problems to <usenet@vlager.vbrew.com>
.

Tryb czytania udostêpnia szereg poleceñ. Wiele z nich ma u³atwiæ ¿ycie przegl±darkom grup dyskusyjnych. Wspomnieli¶my wcze¶niej, ¿e istniej± polecenia mówi±ce serwerowi, by oddzielnie wysy³a³ nag³ówek i tre¶æ artyku³u. Istniej± równie¿ polecenia pokazuj±ce listê dostêpnych grup i artyku³ów oraz takie, które pozwalaj± umieszczaæ artyku³y, czyli wysy³aæ je w alternatywny sposób do serwera.
Listowanie dostêpnych grup
Polecenie list pokazuje szereg informacji ró¿nego typu. Przede wszystkim jednak listê grup obs³ugiwanych przez serwer:

list newsgroups
215 Descriptions in form "group description".
control        News server internal group
junk           News server internal group
local.general  General local stuff
local.test     Local test group
.
Listowanie aktywnych grup
Polecenie list active pokazuje wszystkie obs³ugiwane grupy i podaje informacje na ich temat. Dwie liczby w ka¿dym wierszu wyniku to górny i dolny znacznik, czyli najwy¿szy i najni¿szy numer artyku³u w ka¿dej grupie. Na ich podstawie przegl±darka mo¿e oszacowaæ liczbê artyku³ów w grupie. Nieco wiêcej o tych numerach powiemy za chwilê. Ostatnie pole zawiera znaczniki, które kontroluj±, czy wysy³anie do grupy jest dozwolone, czy grupa jest moderowana i czy wysy³ane artyku³y s± rzeczywi¶cie zapisywane, czy jedynie przekazywane. Znaczniki te s± opisane szczegó³owo w rozdziale 23. Oto przyk³ad:

list active
215 Newsgroups in form "group high low flags".
control 0000000000 0000000001 y
junk 0000000003 0000000001 y
alt.test 0000000000 0000000001 y
.
Wysy³anie artyku³u
Wspomnieli¶my, ¿e istnieje ró¿nica pomiêdzy wysy³aniem artyku³u a jego wciskaniem. Przy wciskaniu po cichu zak³ada siê, ¿e artyku³ ju¿ istnieje, to znaczy, ¿e ma unikatowy identyfikator wiadomo¶ci, który zosta³ mu unikatowo przypisany przez serwer, do którego zosta³ pierwotnie wys³any i ¿e ma pe³ny zestaw nag³ówków. Gdy wysy³asz artyku³, tworzysz go po raz pierwszy i podajesz tylko istotne dla ciebie nag³ówki, jak temat (Subject) i grupy dyskusyjne (Newsgroups), do których wysy³asz artyku³. Serwer grup dyskusyjnych, do którego wysy³asz artyku³, doda wszystkie pozosta³e nag³ówki i stworzy identyfikator wiadomo¶ci, który bêdzie u¿ywany przy umieszczaniu artyku³u (wciskaniu) na innych serwerach.
Wszystko to oznacza, ¿e wysy³anie artyku³u jest prostsze, ni¿ jego wciskanie. Przyk³ad wysy³ania mo¿e wygl±daæ tak:

post
340 Ok
From: terry@richard.geek.org.au
Subject: test message number 1
Newsgroups: junk
Body:

This is a test message, please feel free to ignore it.

.
240 Article posted

Wygenerowali¶my jeszcze dwa takie artyku³y, by naszym przyk³adom nadaæ cechy prawdopodobieñstwa.
Listowanie nowych artyku³ów
Gdy przegl±darka po raz pierwszy ³±czy siê z nowym serwerem i u¿ytkownik wybiera grupy, które chce przegl±daæ, przegl±darka bêdzie chcia³a pobraæ listê nowych artyku³ów - tych, które zosta³y wys³ane lub odebrane od ostatniego po³±czenia u¿ytkownika. Do tego celu jest u¿ywane polecenie newnews. Musisz podaæ trzy obowi±zkowe argumenty: nazwê grupy lub grup, datê pocz±tkow± i godzinê, od której ma byæ pobierana lista. Data i czas s± podawane w postaci liczb sze¶ciocyfrowych, gdzie najbardziej znacz±ca informacja musi byæ podana jako pierwsza, odpowiednio: rrmmdd  i ggmmss.

newnews junk 990101 000000
230 New News follows
<7g2o5r$aa$6@news.vbrew.com>
<7g5bhm$8f$2@news.vbrew.com>
<7g5bk5$8f$3@news.vbrew.com>
.
Wybór grupy, na której maj± byæ wykonywane operacje
Gdy u¿ytkownik wybierze grupê do przegl±dania, przegl±darka mo¿e poinformowaæ serwer, ¿e grupa zosta³a wybrana. Upraszcza to wspó³dzia³anie przegl±darki i serwera, poniewa¿ nie trzeba ju¿ wtedy wysy³aæ nazwy grupy przy ka¿dym poleceniu. Polecenie group po prostu przyjmuje jako argument nazwê wybranej grupy. Wiele dalszych poleceñ u¿ywa wybranej nazwy jako domy¶lnej, dopóki grupa nie zostanie podana jawnie.

group junk
211 3 1 3 junk

Polecenie group zwraca wiadomo¶æ zawieraj±c± odpowiednio: liczbê aktywnych wiadomo¶ci, dolny znacznik, górny znacznik i nazwê grupy. Zapamiêtaj, ¿e choæ w naszym przyk³adzie liczba wiadomo¶ci i górny znacznik maj± tê sam± warto¶æ, to nie zawsze tak jest. W aktywnym serwerze grup artyku³y wygasaj± lub s± usuwane, co zmniejsza liczbê aktywnych wiadomo¶ci, ale górny znacznik pozostaje nietkniêty.
Listowanie artyku³ów w grupie
Aby dostaæ siê do artyku³ów w grupie, przegl±darka musi znaæ numery artyku³ów aktywnych. Polecenie listgroup daje listê numerów aktywnych artyku³ów w bie¿±cej lub jawnie podanej grupie:

listgroup junk
211 Article list follows
1
2
3
.
Pobieranie jedynie nag³ówka artyku³u
U¿ytkownik musi co¶ wiedzieæ o artykule, aby móg³ zdecydowaæ, czy chce go przeczytaæ. Wspomnieli¶my wcze¶niej, ¿e niektóre polecenia pozwalaj± przesy³aæ oddzielnie nag³ówek i tre¶æ artyku³u. Polecenie head jest u¿ywane do przesy³ania do przegl±darki jedynie nag³ówka zadanego artyku³u. Je¿eli u¿ytkownik nie chce czytaæ tego artyku³u, nie marnujemy czasu ani przepustowo¶ci sieci na niepotrzebne przesy³anie jego tre¶ci, która mo¿e byæ du¿a.
Do artyku³ów mo¿na siê odwo³ywaæ przez ich numer (uzyskany poleceniem listgroup) lub przez identyfikator wiadomo¶ci:

head 2
221 2 <7g5bhm$8f$2@news.vbrew.com> head
Path: news.vbrew.com!not-for-mail
From: terry@richard.geek.org.au
Newsgroups: junk
Subject: test message number 2
Date: 27 Apr 1999 21:51:50 GMT
Organization: The Virtual brewery
Lines: 2
Message-ID: <7g5bhm$8f$2@news.vbrew.com>
NNTP-Posting-Host: localhost
X-Server-Date: 27 Apr 1999 21:51:50 GMT
Body:
Xref: news.vbrew.com junk:2
.
Pobieranie jedynie tre¶ci artyku³u
Je¿eli jednak u¿ytkownik zdecyduje siê, ¿e chce przeczytaæ artyku³, przegl±darka potrzebuje sposobu na przes³anie samej jego tre¶ci. Do tego celu jest u¿ywane polecenie body. Dzia³a w ten sam sposób co head, ale zwracana jest tre¶æ artyku³u:

body 2
222 2 <7g5bhm$8f$2@news.vbrew.com> body
This is another test message, please feel free to ignore it too.

.
Czytanie artyku³u z grupy
Choæ zwykle bardziej efektywne jest oddzielne przesy³anie nag³ówków i tre¶ci wybranych artyku³ów, czasem zdarza siê, ¿e lepiej jest przes³aæ pe³ny artyku³. Jednym z przyk³adów takiego zastosowania jest chêæ przes³ania wszystkich artyku³ów bez ¿adnej wstêpnej selekcji, czyli na przyk³ad gdy u¿ywamy programu pamiêci podrêcznej NNTP jak leafnode*.
Oczywi¶cie NNTP pozwala na takie przesy³anie i co nie jest zaskoczeniem, dzia³a ono tak samo dobrze jak polecenie head. Polecenie article tak¿e przyjmuje numer artyku³u lub ID wiadomo¶ci, ale zwraca ca³y artyku³ w³±cznie z nag³ówkiem:

article 1
220 1 <7g2o5r$aa$6@news.vbrew.com> article
Path: news.vbrew.com!not-for-mail
From: terry@richard.geek.org.au
Newsgroups: junk
Subject: test message number 1
Date: 26 Apr 1999 22:08:59 GMT
Organization: The Virtual brewery
Lines: 2
Message-ID: <7g2o5r$aa$6@news.vbrew.co>
NNTP-Posting-Host: localhost
X-Server-Date: 26 Apr 1999 22:08:59 GMT
Body:
Xref: news.vbrew.com junk:1

This is a test message, please feel free to ignore it.

.
Je¿eli spróbujesz pobraæ nieznany artyku³, serwer zwróci ci go wraz z odpowiednim kodem odpowiedzi i byæ mo¿e czytelnym komunikatem tekstowym:

article 4
423 Bad article number

W tym podrozdziale omówili¶my, jak dzia³aj± najwa¿niejsze polecenia NNTP. Je¿eli interesuje ciê tworzenie oprogramowania wykorzystuj±cego ten protokó³, powiniene¶ skorzystaæ z odpowiednich dokumentów RFC. Zawieraj± one wiele szczegó³ów, których nie mo¿emy tutaj opisaæ.
Przyjrzyjmy siê teraz jak NNTP dzia³a w serwerze nntpd.
Instalowanie serwera NNTP
Serwer NNTP (nntpd) mo¿e byæ skompilowany na dwa sposoby, w zale¿no¶ci od oczekiwanego obci±¿enia systemu grup. Nie s± dostêpne wersje skompilowane, poniewa¿ pewne warto¶ci zwi±zane z o¶rodkiem s± na sztywno zaszyte w kodzie wykonywalnym. Ca³a konfiguracja jest realizowana przez makra zdefiniowane w pliku common/conf.h.
nntpd mo¿na konfigurowaæ zarówno jako samodzielny serwer uruchamiany w czasie inicjacji systemu z pliku rc, jak i jako demona zarz±dzanego przez inetd. W tym drugim przypadku musisz mieæ w pliku /etc/inetd.conf nastêpuj±cy wpis:

nntp stream tcp nowait news /usr/etc/in.nntpd nntpd

Sk³adnia inetd.conf jest szczegó³owo opisana w rozdziale 12, Wa¿ne funkcje sieciowe. Je¿eli konfigurujesz nntpd jako samodzielny serwer, pamiêtaj, aby zakomentowaæ odpowiedni wiersz w pliku inetd.conf. W obu przypadkach pamiêtaj, by w /etc/services pojawi³ siê nastêpuj±cy wiersz:

nntp   119/tcp readnews untp # Network News Transfer Protocol

Aby tymczasowo zapisaæ jakie¶ artyku³y przychodz±ce, nntpd potrzebuje katalogu .tmp w twoim katalogu buforowym grup dyskusyjnych. Powiniene¶ go stworzyæ, u¿ywaj±c poni¿szych poleceñ:

# mkdir /var/spool/news/.tmp
# chown news.news /var/spool/news/.tmp
Ograniczanie dostêpu NNTP
Dostêp do zasobów NNTP jest zarz±dzany przez plik nntp_access znajduj±cy siê w katalogu /etc/news. Wiersze tego pliku opisuj± prawa dostêpu udzielane obcym hostom. Ka¿dy wiersz ma nastêpuj±cy format:

o¶rodek   read|xfer|both|no   post|no   [!bezgrup]

Je¿eli klient ³±czy siê z portem NNTP, nntpd próbuje uzyskaæ jego pe³n± nazwê domenow± na podstawie adresu IP. Nazwa hosta klienta i jego adres IP s± sprawdzane z polem o¶rodek ka¿dego wpisu w kolejno¶ci, w jakiej pojawiaj± siê w pliku. Dopasowanie mo¿e byæ pe³ne lub czê¶ciowe. Je¿eli wpis pasuje dok³adnie, jest realizowany. Je¿eli dopasowanie jest czê¶ciowe, zadzia³a tylko wtedy, gdy nie ma innych, lepszych (lub przynajmniej równie dobrych) dopasowañ. o¶rodek mo¿e byæ podany w jednej z nastêpuj±cych postaci:
Nazwa hosta

Jest to pe³na nazwa domenowa hosta. Je¿eli jest w pe³ni zgodna z nazw± kanoniczn± hosta klienta, wpis jest stosowany, a wszystkie nastêpne s± zignorowane.
Adres IP

Jest to adres IP zapisany w postaci liczbowej. Je¿eli adres klienta jest z nim zgodny, wpis jest stosowany, a wszystkie nastêpne s± zignorowane.
Nazwa domeny

Jest to nazwa domeny podana w postaci *.domena. Je¿eli jest zgodna z nazw± domeny klienta, wpis jest stosowany.
Nazwa sieci

Jest to nazwa sieci zgodna z opisem w pliku /etc/networks. Je¿eli numer IP klienta pasuje do numeru sieci zwi±zanego z nazw± sieci, wpis jest stosowany.
Warto¶æ domy¶lna

Do ci±gu default pasuje dowolny klient.
Wpisy z bardziej ogóln± specyfikacj± o¶rodka powinny byæ podane wcze¶niej, poniewa¿ wszelkie dopasowania zostan± zast±pione dok³adniejszymi dopasowaniami wystêpuj±cymi dalej.
Drugie i trzecie pole opisuj± prawa dostêpu udzielone klientowi. Drugie pole opisuje szczegó³owe prawa niezbêdne do pobrania artyku³u przez ¶ci±gniêcie (read) i jego wrzucenie przez wci¶niêcie (xfer). Warto¶æ both zawiera oba poprzednie, a no oznacza ca³kowity zakaz dostêpu. Trzecie pole daje klientowi prawo do wysy³ania artyku³ów, czyli do ich umieszczania bez pe³nej informacji w nag³ówku, która jest uzupe³niana przez oprogramowanie do obs³ugi grup. Je¿eli drugie pole zawiera no, trzecie pole jest ignorowane.
Czwarte pole jest opcjonalne i zawiera oddzielan± przecinkami listê grup, do których klient nie ma dostêpu.
Oto przyk³adowy plik nntp_access:

#
# domy¶lnie ka¿dy mo¿e przesy³aæ artyku³y, ale nie ka¿dy mo¿e 
# je czytaæ lub pisaæ nowe
default            xfer      no
#
# public.vbrew.com oferuje dostêp przez modem. Pozwalamy na 
# czytanie i wysy³anie artyku³ów do wszystkich grup poza 
# local.*
public.vbrew.com   read      post      !local
#
# wszystkie pozosta³e hosty w browarze mog± czytaæ i wysy³aæ
*.vbrew.com        read      post
Autoryzacja NNTP
Demon nntpd oferuje prosty schemat autoryzacji. Je¿eli jakie¶ leksemy opisuj±ce dostêp w pliku nntp_access napiszesz du¿ymi literami, nntpd za¿±da autoryzacji klienta dla danej operacji. Na przyk³ad, gdyby¶ zapisa³ prawa dostêpu jako Xfer XFER (zamiast xfer), nntpd nie pozwoli³by klientowi przes³aæ artyku³ów bez autoryzacji.
Procedura autoryzacji jest zaimplementowana przez nowe polecenie NNTP: AUTHINFO. W tym poleceniu klient przesy³a nazwê u¿ytkownika i has³o do serwera NNTP. Demon nntpd sprawdza je z plikiem /etc/passwd, aby dowiedzieæ siê, czy u¿ytkownik nale¿y do grupy nntp.
Aktualna implementacja autoryzacji NNTP ma charakter eksperymentalny i dlatego nie zosta³a zaimplementowana jako przeno¶na. Dzia³a wiêc tylko z baz± czystych hase³ - has³a shadow nie s± rozpoznawane. Je¿eli kompilujesz ¼ród³a i masz zainstalowany pakiet PAM, bardzo ³atwo zmieniæ procedurê sprawdzania hase³.
Wspó³praca nntpd z C News
Gdy nntpd odbierze artyku³, musi go dostarczyæ do podsystemu grup. W zale¿no¶ci od tego, czy zosta³ on odebrany poleceniem IHAVE czy POST, jest przekazywany odpowiednio do rnews lub inews. Zamiast wywo³ywaæ rnews, mo¿esz tak¿e skonfigurowaæ (w czasie kompilacji) wywo³ywanie przetwarzania wsadowego przychodz±cych artyku³ów i przenosiæ uzyskane wsady do katalogu /var/spool/news/in.coming, gdzie oczekuj± na pobranie przez relaynews przy nastêpnym przebiegu kolejki.
nntpd musi mieæ dostêp do pliku history, by móc poprawnie obs³ugiwaæ protokó³ ihave/sendme. W czasie kompilacji musisz podaæ dok³adn± ¶cie¿kê do tego pliku. Je¿eli u¿ywasz C News, sprawd¼, czy C News i nntpd s± zgodne co do formatu pliku historii. C News przy dostêpie u¿ywa funkcji mieszaj±cej dbm. Jednak istnieje szereg ró¿nych, niezbyt kompatybilnych implementacji biblioteki dbm. Je¿eli C News zosta³ skonsolidowany z jak±¶ inn± wersj± biblioteki dbm, która nie jest zgodna z wersj± znajduj±ca siê w twojej standardowej bibliotece libc, musisz skonsolidowaæ nntpd z t± sam± bibliotek±.
Niezgodno¶ci pomiêdzy nntpd i C News s± czasem powodem generowania komunikatów o b³êdach w logu systemowym, mówi±cych o tym, ¿e nntpd nie mo¿e go poprawnie otworzyæ. Mo¿e siê te¿ zdarzyæ, ¿e zobaczysz podwójne artyku³y odebrane przez NNTP. Dobrym testem na b³êdne funkcjonowanie przesy³ania grup jest pobranie artyku³u z obszaru buforowego, wykonanie telnet na port nntp i zaoferowanie go nntpd zgodnie z tym, co pokazano w przyk³adzie poni¿ej. Oczywi¶cie musisz zast±piæ msg@id ID wiadomo¶ci, któr± chcesz przekazaæ do nntpd:

$ telnet localhost nntp
Trying 127.0.0.1...
Connected to localhost
Escape characeters is '^]'.
201 vstout NNTP[auth] server version 1.5.11t (16 November 1991) ready at Sun Feb 6 16:02:32 1194 (no posting)
IHAVE msg@id
435 Got it.
QUIT

Ta konwersacja pokazuje poprawn± reakcjê nntpd. Komunikat Got It mówi, ¿e artyku³ ju¿ istnieje. Gdyby¶ zamiast niego dosta³ komunikat 335 Ok, oznacza³oby to, ¿e przeszukiwanie pliku historii z jakiego¶ powodu siê nie powiod³o. Zakoñcz konwersacjê wpisuj±c [Ctrl+D]. W logu systemowym mo¿esz sprawdziæ, co posz³o ¼le. nntpd zapisuje do logu wszelkie komunikaty, u¿ywaj±c funkcji syslog: daemon. Niekompatybilna biblioteka dbm zwykle sama zg³asza komunikat mówi±cy, ¿e wywo³anie dbminit siê nie powiod³o.


23
Internet News


Rozdzia³ 23: Internet News


Demon Internet News (INN) jest prawdopodobnie najpopularniejszym z obecnie u¿ywanych serwerów grup dyskusyjnych. Jest bardzo elastyczny i odpowiedni dla wszystkich o¶rodków udostêpniaj±cych grupy, mo¿e poza najmniejszymi*. INN doskonale siê skaluje i jest przystosowany do du¿ych o¶rodków grup dyskusyjnych.
Serwer INN sk³ada siê z szeregu elementów, z których ka¿dy ma w³asne pliki konfiguracyjne. Omówimy je wszystkie kolejno. Konfiguracja INN-a mo¿e byæ nieco absorbuj±ca, ale w tym rozdziale opiszemy wszystkie etapy i podamy wystarczaj±co du¿o informacji, by¶ móg³ zrozumieæ strony podrêcznika INN i jego dokumentacjê oraz stworzyæ konfiguracje dla dowolnych zastosowañ.
Pewne tajniki wewnêtrzne INN-a
Rdzeniem INN-a jest demon innd. Jego zadaniem jest obs³uga wszystkich przychodz±cych artyku³ów, zachowywanie ich lokalnie i dalsze przekazywanie, o ile jest taka potrzeba. Jest uruchamiany w czasie inicjacji systemu i dzia³a jako proces w tle. Dzia³anie w trybie demona jest wydajniejsze, poniewa¿ pliki stanu s± czytane tylko raz, przy uruchomieniu. W zale¿no¶ci od wielko¶ci obs³ugiwanych przez ciebie grup, pewne pliki, takie jak history (zawieraj±cy listê ostatnio przetworzonych artyku³ów), mog± zajmowaæ od kilku do kilkudziesiêciu megabajtów.
Inn± wa¿n± funkcj± INN-a jest to, ¿e zawsze dzia³a tylko jedno jego wcielenie. Ma to tak¿e du¿y wp³yw na wydajno¶æ, poniewa¿ demon mo¿e przetwarzaæ wszystkie artyku³y bez martwienia siê o synchronizacjê stanów wewnêtrznych z innymi kopiami innd dostaj±cymi siê do bufora grup w tym samym czasie. Jednak taka konstrukcja ma wp³yw na ca³o¶ciow± architekturê systemu grup, poniewa¿ chodzi o to, aby przychodz±ce wiadomo¶ci by³y przetwarzane tak szybko, jak to mo¿liwe, i jest nie do przyjêcia, by serwer zajmowa³ siê tak przyziemnymi zadaniami, jak obs³uga wiadomo¶ci przychodz±cych przez UUCP. Dlatego te zadania zosta³y oddzielone od g³ównego serwera i zaimplementowane w oddzielnych programach pomocniczych. Rysunek 23-1 próbuje pokazaæ powi±zania pomiêdzy innd a innymi lokalnymi zadaniami, zdalnymi serwerami i przegl±darkami grup dyskusyjnych.
Obecnie do przesy³ania artyku³ów najczê¶ciej s³u¿y NNTP, a innd bezpo¶rednio obs³uguje tylko ten protokó³. Oznacza to, ¿e innd oczekuje na gnie¼dzie TCP (port 119) na po³±czenia i przyjmuje artyku³y, u¿ywaj±c protoko³u ihave.
Artyku³y przybywaj±ce inn± drog±, ni¿ przez NNTP, s± obs³ugiwane po¶rednio przez inny proces przyjmuj±cy artyku³y i przekazuj±cy je do innd przez NNTP. Wsady przychodz±ce na przyk³ad przez ³±cze UUCP s± tradycyjnie obs³ugiwane przez program rnews. Wersja tego programu zawarta w pakiecie INN w razie potrzeby dekompresuje wsady i dzieli je na pojedyncze artyku³y. Nastêpnie po kolei przesy³a je do innd.
Przegl±darki grup mog± dostarczaæ wiadomo¶ci, gdy u¿ytkownik wy¶le artyku³. Poniewa¿ obs³uga przegl±darek zas³uguje na specjaln± uwagê, wrócimy do niej za chwilê.

Rysunek 23-1. Uproszczony schemat architektury INN-a
http://www.rm.com.pl/upgr/lpas/23-01.tif

Przyjmuj±c artyku³, innd najpierw sprawdza jego ID w pliku history. Zduplikowane artyku³y s± odrzucane, a ich pojawienie siê jest (opcjonalnie) odnotowywane. To samo dotyczy artyku³ów, które s± zbyt stare lub brakuje im wymaganych pól nag³ówka, takich jak Subject:*. Je¿eli innd stwierdzi, ¿e artyku³ jest do przyjêcia, sprawdza wiersz nag³ówka Newsgroups:, by stwierdziæ, do której grupy zosta³ wys³any artyku³. Je¿eli w pliku active znajdzie jedn± lub wiêcej grup, artyku³ jest zapisywany w postaci pliku na dysku. W przeciwnym razie jest przesy³any do specjalnej grupy junk.
Pojedyncze artyku³y s± przechowywane w katalogu /var/spool/news, zwanym tak¿e buforem grup. Ka¿da grupa ma oddzielny katalog, w którym artyku³ jest zapisywany jako oddzielny plik. Nazwy plików maj± postaæ kolejnych numerów, a wiêc na przyk³ad artyku³ z grupy comp.risks mo¿e byæ zapisany jako comp/risks/217. Gdy innd stwierdzi, ¿e nie istnieje katalog, w którym trzeba zapisaæ artyku³, automatycznie go tworzy.
Zapewne zechcesz te¿ przekazywaæ artyku³y dalej, jako dane wychodz±ce, a nie tylko zapisywaæ je lokalnie. Zarz±dza tym plik newsfeeds, który opisuje wszelkie o¶rodki, do których powinny byæ wysy³ane artyku³y z danej grupy.
Podobnie jak po stronie odbiorczej innd, tak i po stronie wychodz±cej, przetwarzanie jest obs³ugiwane tak¿e przez jeden interfejs. Zamiast samodzielnie obs³ugiwaæ wszelkie specyficzne sposoby transportu, innd opiera siê na ró¿nych ukrytych systemach zarz±dzaj±cych przesy³aniem artyku³ów do innych serwerów grup. Grupy wychodz±ce s± obs³ugiwane przez kana³y. W zale¿no¶ci od przeznaczenia kana³ mo¿e mieæ ró¿ne atrybuty, okre¶laj±ce dok³adnie, jakie informacje przekazuje do niego innd.
W przypadku danych wychodz±cych przez NNTP, innd móg³by przy uruchamianiu wywo³aæ program innxmit i przekazywaæ mu na standardowe wej¶cie ID, rozmiar i nazwê pliku ka¿dego artyku³u, który powinien byæ wys³any dalej. Natomiast w przypadku danych wychodz±cych przez UUCP, móg³by zapisywaæ rozmiar artyku³u i jego nazwê pliku do specjalnego pliku log, który by³by sprawdzany w regularnych odstêpach czasu przez inny proces, który tworzy³by wsady i kolejkowa³ je w podsystemie UUCP.
Poza tymi dwoma przyk³adami, istniej± inne typy kana³ów, które niekoniecznie dotycz± danych wychodz±cych. S± one u¿ywane na przyk³ad przy archiwizowaniu pewnych grup lub przy generowaniu informacji przegl±dowych. Informacje takie maj± pomagaæ przegl±darkom efektywniej dzieliæ artyku³y na w±tki. Przegl±darki starego typu musz± przegl±daæ kolejno wszystkie artyku³y, by uzyskaæ z nag³ówka informacje wymagane do podzia³u na w±tki. Obci±¿a to powa¿nie serwer, szczególnie je¿eli u¿ywasz NNTP. Co wiêcej jest to bardzo wolne**. Mechanizm informacji pogl±dowych ³agodzi ten problem, poniewa¿ zapisuje wstêpnie wszystkie istotne nag³ówki ka¿dej grupy w oddzielnym pliku (.overview). Pó¼niej przegl±darka mo¿e pobraæ te informacjê albo bezpo¶rednio j± odczytuj±c z katalogu bufora, albo wykonuj±c polecenie XOVER przy po³±czeniu przez NNTP. Demon innd przekazuje wszystkie artyku³y poleceniu overchan, które jest po³±czone z demonem przez kana³. Dalej, przy okazji omawiania konfiguracji dostarczania grup, zobaczymy, jak to jest realizowane.
Przegl±darki grup dyskusyjnych i INN
Przegl±darki grup, dzia³aj±ce na tej samej maszynie co serwer (lub maj±ce zamontowany bufor grup serwera przez NFS) mog± czytaæ artyku³y bezpo¶rednio z katalogów bufora. W celu wys³ania artyku³u stworzonego przez u¿ytkownika, wywo³uj± program inews, który dodaje brakuj±ce pola nag³ówka i przekazuje go do demona przez NNTP.
Ewentualnie przegl±darki mog± dostawaæ siê do serwera zdalnie przez NNTP. Aby unikn±æ obci±¿enia demona, ten typ po³±czenia jest obs³ugiwany inaczej ni¿ dostarczanie grup oparte na NNTP. Gdy przegl±darka pod³±czy siê do serwera NNTP, innd tworzy oddzielny program nnrpd obs³uguj±cy sesjê, natomiast innd wraca do robienia wa¿niejszych rzeczy (na przyk³ad odbierania przychodz±cych wiadomo¶ci)* . Zastanawiasz siê pewnie, jak proces innd rozró¿nia przychodz±ce wiadomo¶ci od pod³±czaj±cej siê przegl±darki grup. Odpowied¼ jest prosta: protokó³ NNTP wymaga, by przegl±darka oparta na NNTP wys³a³a polecenie mode reader po po³±czeniu siê z serwerem. Gdy polecenie to zostanie odebrane, serwer uruchamia nnrpd, przekazuje mu po³±czenie i powraca do nas³uchiwania po³±czeñ z innych serwerów grup. Znana jest przynajmniej jedna przegl±darka DOS-owa, która nie jest skonfigurowana w ten sposób i nie udaje siê jej po³±czyæ z INN, poniewa¿ sam innd nie rozpoznaje ¿adnych poleceñ u¿ywanych do czytania grup, je¶li nie wie, ¿e po³±czenie pochodzi od przegl±darki.
Nieco wiêcej o dostêpie przegl±darki do INN-a powiemy w dalszej czê¶ci tego rozdzia³u: Kontrolowanie dostêpu przegl±darki.
Instalowanie INN-a
Zanim zag³êbimy siê w konfiguracjê INN-a, powiemy trochê o jego instalacji. Przeczytaj ten podrozdzia³, nawet je¿eli zainstalowa³e¶ ju¿ INN-a z jak±¶ dystrybucj± Linuksa. Znajdziesz tu pewne wskazówki dotycz±ce bezpieczeñstwa i kompatybilno¶ci.
Dystrybucje Linuksa od pewnego czasu zawieraj± Version INN-1.4sec. Niestety ta wersja wnosi dwa problemy zwi±zane z bezpieczeñstwem. Nowsze wersje nie stwarzaj± ju¿ tych problemów, a wiêkszo¶æ dystrybucji Linuksa zawiera skompilowane pliki binarne wersji 2. INN-a (lub nowszych).
Je¿eli chcesz, mo¿esz samodzielnie skompilowaæ INN-a. Kod ¼ród³owy mo¿na zdobyæ z ftp.isc.org z katalogu /isc/inn/. Kompilacja INN-a wymaga edycji pliku konfiguracyjnego, który przekazuje INN-owi pewne szczegó³y na temat systemu operacyjnego i pewnych funkcji, które mog± wymagaæ niewielkich modyfikacji.
Kompilacja samego pakietu jest prosta. Zawiera on bowiem skrypt BUILD, który przeprowadzi ciê przez ca³y proces. Kod ¼ród³owy zawiera tak¿e szczegó³ow± dokumentacjê, mówi±c±, jak zainstalowaæ i skonfigurowaæ INN-a.
Po zainstalowaniu wszystkich plików binarnych, mog± byæ potrzebne pewne rêczne poprawki zapewniaj±ce kompatybilno¶æ INN-a z ró¿nymi innymi aplikacjami, które mog± wymagaæ dostêpu do programów rnews lub inews. Na przyk³ad UUCP spodziewa siê programu rnews w katalogu /usr/bin lub /bin, natomiast INN instaluje go domy¶lnie w /usr/lib/bin. Sprawd¼, czy /usr/lib/bin/ jest w domy¶lnej ¶cie¿ce przeszukiwañ lub czy istnieje dowi±zanie symboliczne wskazuj±ce na rzeczywist± lokalizacjê poleceñ rnews i inews.
Podstawowe konfigurowanie INN-a
Jedn± z najwiêkszych trudno¶ci, na jak± mo¿e natrafiæ pocz±tkuj±cy, jest to, ¿e INN do poprawnego funkcjonowania wymaga dzia³aj±cej konfiguracji sieciowej, nawet gdy operuje na samodzielnym ho¶cie. Dlatego trzeba dopilnowaæ dwóch spraw. Po pierwsze, j±dro twojego Linuksa musi obs³ugiwaæ sieæ TCP/IP, gdy chcesz uruchamiaæ INN-a. Po drugie, musisz mieæ skonfigurowany interfejs pêtli zwrotnej, opisany w rozdziale 5, Konfigurowanie sieci TCP/IP.
Nastêpnie trzeba sprawdziæ, czy innd jest uruchamiany w czasie inicjacji komputera. Domy¶lna instalacja INN-a zawiera skrypt o nazwie boot w katalogu /etc/news/. Je¿eli twoja dystrybucja u¿ywa pakietu init typu System V, wystarczy, ¿e stworzysz dowi±zanie symboliczne do pliku /etc/init.d/inn tak, by wskazywa³o na /etc/news/boot. W innych wersjach init musisz sprawdziæ, czy /etc/news/boot jest uruchamiany z jednego z twoich skryptów rc. Poniewa¿ INN wymaga sieci, skrypt startowy powinien byæ uruchamiany po skonfigurowaniu interfejsów sieciowych.
Pliki konfiguracyjne INN-a
Je¿eli wykona³e¶ te podstawowe zadania, mo¿esz teraz przej¶æ do naprawdê ciekawej czê¶ci INN-a: jego plików konfiguracyjnych. Wszystkie te pliki znajduj± siê w katalogu /etc/news. W plikach konfiguracyjnych wersji 2. zosta³y wprowadzone pewne zmiany, a tu opisujemy w³a¶nie tê wersjê. Je¿eli pracujesz ze starsz± wersj±, ten rozdzia³ powinien ci pomóc w uaktualnieniu konfiguracji. W kilku kolejnych podrozdzia³ach omówimy kolejno pliki, tworz±c przyk³adow± konfiguracjê dla browaru wirtualnego.
Gdyby¶ chcia³ dowiedzieæ siê wiêcej na temat funkcji poszczególnych plików konfiguracyjnych, mo¿esz tak¿e poczytaæ po¶wiêcone im strony podrêcznika elektronicznego, zawarte w dystrybucji INN-a.
Parametry globalne
Istnieje szereg parametrów, które maj± znaczenie globalne. Dotycz± one wszystkich grup.

Plik inn.conf
G³ównym plikiem konfiguracyjnym INN-a jest inn.conf. Miêdzy innymi okre¶la on nazwê, pod jak± twoja maszyna jest znana w sieci Usenet. Wersja 2. INN-a pozwala skonfigurowaæ w tym pliku zdumiewaj±co wiele parametrów. Na szczê¶cie wiêkszo¶æ ma warto¶ci domy¶lne, które s± sensowne dla prawie wszystkich o¶rodków. Plik inn.conf(5) opisuje szczegó³owo wszystkie parametry i powiniene¶ go dok³adnie przeczytaæ, je¿eli napotkasz jakiekolwiek problemy.
Prosty przyk³adowy plik inn.conf móg³by wygl±daæ tak:

# Przyk³adowy inn.conf dla browaru wirtualnego
server:           vlager.vbrew.com
domain:           vbrew.com
fromhost:         vbrew.com
pathhost:         news.vbrew.com
organization:     The Virtual Brewery
mta:              /usr/sbin/sendmail -oi %s
moderatormailer:  %s@uunet.uu.net
#
# ¦cie¿ki do komponentów i plików INN-a
#
pathnews:         /usr/lib/news
pathbin:          /usr/lib/news/bin
pathfilter:       /usr/lib/news/bin/filter
pathcontrol:      /usr/lib/news/bin/control
pathdb:           /var/lib/news
pathetc:          /etc/news
pathrun:          /var/run/news
pathlog:          /var/log/news
pathhttp:         /var/log/news
pathtmp:          /var/tmp
pathspool:        /var/spool/news
patharticles:     /var/spool/news/articles
pathoverview:     /var/spool/news/overview
pathoutgoing:     /var/spool/news/outgoing
pathincoming:     /var/spool/news/incoming
patharchive:      /var/spool/news/archive
pathuniover:      /var/spool/news/uniover
overviewname:     .overview

Pierwszy wiersz mówi programom rnews i inews, z którymi hostami maj± siê kontaktowaæ, aby dostarczaæ artyku³y. Ten wpis jest bezwzglêdnie konieczny. Aby przekazaæ artyku³y do innd, musi zostaæ nawi±zane po³±czenie NNTP z serwerem. 
S³owo kluczowe domain powinno okre¶laæ domenê pe³nej nazwy domenowej hosta. Kilka programów potrzebuje tej domeny. Je¿eli twoja biblioteka resolvera zwraca jedynie nazwê hosta, jest do niego doklejana w³a¶nie ta domena. Lepiej wiêc zdefiniowaæ domain, tym bardziej, ¿e nie jest to trudne.
Nastêpny wiersz definiuje nazwê hosta, z której korzysta inews, kiedy dodaje pola From: do artyku³ów wys³anych przez u¿ytkowników lokalnych. Wiêkszo¶æ przegl±darek grup u¿ywa pola From: do tworzenia odpowiedzi do autora artyku³u. Je¿eli pominiesz to pole, jego domy¶lna warto¶æ zostanie ustalona na podstawie pe³nej nazwy domenowej twojego hosta. Nie zawsze jest to najlepsze rozwi±zanie. Mo¿e siê zdarzyæ na przyk³ad, ¿e wiadomo¶ci i poczta s± obs³ugiwane przez ró¿ne hosty. W takiej sytuacji mo¿esz podaæ pe³n± nazwê domenow± hosta pocztowego po dyrektywie fromhost.
Wiersz pathhost definiuje nazwê hosta INN, która jest dodawana do pola Path: przy odbieraniu artyku³u. Zwykle bêdziesz chcia³ u¿ywaæ pe³nej nazwy domenowej twojego serwera grup. W takiej sytuacji mo¿esz pomin±æ to pole, poniewa¿ takie jest ustawienie domy¶lne. Je¿eli obs³ugujesz du¿± domenê, zechcesz czasem u¿yæ nazwy ogólnej, jak news.vbrew.com. U³atwi ci to przeniesienie systemu grup dyskusyjnych na innego hosta, je¿eli kiedy¶ zajdzie taka potrzeba.
Nastêpny wiersz zawiera s³owo kluczowe organization. Ta dyrektywa pozwala na konfigurowanie napisu, jaki inews umie¶ci w wierszu Organization: w artyku³ach wysy³anych przez u¿ytkowników lokalnych. Powiniene¶ tam umie¶ciæ opis twojej firmy lub jej pe³n± nazwê. Mo¿esz jednak nie byæ tak oficjalny i przedstawiæ siê bardziej dowcipnie, co jest teraz modne.
Wpis moderatormailer definiuje domy¶lny adres u¿ywany, gdy u¿ytkownik próbuje wys³aæ artyku³ do grupy moderowanej. Lista adresów moderatorów dla ka¿dej grupy zwykle znajduje siê w oddzielnym pliku, ale jej aktualizowanie wymaga niema³o pracy (i czasu). Dlatego wpis moderatormail jest u¿ywany w ostateczno¶ci. Je¿eli jest zdefiniowany, inews zast±pi ci±g %s (nieco go zmieniaj±c) nazw± grupy i wy¶le ca³y artyku³ na ten adres. Na przyk³ad przy wysy³aniu do grupy soc.feminism, artyku³ jest, zgodnie z powy¿sz± konfiguracj±, wysy³any pod adres soc-feminism@ uunet.uu.net. W UUNET powinien byæ zainstalowany alias pocztowy dla ka¿dego adresu, przekazuj±cy automatycznie wszystkie wiadomo¶ci do odpowiedniego moderatora.
Ka¿dy z pozosta³ych wpisów okre¶la lokalizacjê niektórych plików zwi±zanych z komponentami lub plików wykonywalnych nale¿±cych do INN. Je¿eli zainstalowa³e¶ INN-a z pakietu, ¶cie¿ki te powinny  byæ ju¿ skonfigurowane. Je¿eli instalujesz go ze ¼róde³, bêdziesz musia³ skonfigurowaæ je zgodnie z tym, jak zainstalowa³e¶ INN-a.
Konfigurowanie grup dyskusyjnych
Administrator grup dyskusyjnych mo¿e kontrolowaæ dostêp u¿ytkowników do grup. INN zawiera dwa pliki konfiguracyjne pozwalaj±ce administratorowi pokazaæ, które grupy maj± byæ obs³ugiwane i dodaæ dla nich opis.
Pliki active i newsgroups
Pliki active i newsgroups s± u¿ywane do przechowywania i opisywania grup dyskusyjnych obs³ugiwanych przez dany serwer. Zawieraj± spis grup, które chcemy otrzymywaæ i do których chcemy wysy³aæ artyku³y, oraz dotycz±cych ich informacji administracyjnych. Pliki te znajduj± siê w katalogu /var/lib/news/.
Plik active okre¶la, które grupy obs³uguje serwer. Jego sk³adnia jest prosta. Ka¿dy wiersz pliku active sk³ada siê z czterech pól oddzielonych bia³ymi znakami:

nazwa zngór zndol znaczniki

Pole nazwa to nazwa grupy. Pole zngór zawiera najwy¿szy numer artyku³u w grupie. Pole zndol zawiera najni¿szy numer aktywnego artyku³u w grupie. Aby pokazaæ, jak to dzia³a, rozwa¿ nastêpuj±cy scenariusz. Wyobra¼ sobie, ¿e mamy nowo utworzon± grupê dyskusyjn±: i zngór, i zndol maj± warto¶æ 0, poniewa¿ w grupie nie ma artyku³ów. Je¶li wy¶lemy 5 artyku³ów, zostan± one ponumerowane od 1 do 5. zngór bêdzie teraz mia³ warto¶æ 5, czyli najwy¿szy numer artyku³u, a zndol bêdzie równy 1 - numerowi pierwszego artyku³u. Je¿eli artyku³ 5. zostanie anulowany, nie nast±pi zmiana. zngór bêdzie dalej mia³ warto¶æ 5, gdy¿ numery artyku³ów nie mog± byæ relokowane, a zndol bêdzie mia³ dalej warto¶æ 1. Je¿eli teraz anulujemy artyku³ 1, zngór pozostanie bez zmian, a zndol bêdzie mia³ warto¶æ 2, poniewa¿ 1 nie jest ju¿ artyku³em aktywnym. Je¿eli teraz wy¶lemy nowy artyku³, zostanie mu przypisany numer 6, a wiêc zngór bêdzie teraz mia³ warto¶æ 6. Artyku³ 5 by³ wykorzystywany, a wiêc nie zmieniamy jego numeru. Warto¶æ zndol pozostaje na poziomie 2. Mechanizm ten pozwala nam prosto alokowaæ unikalne numery dla nowych artyku³ów i szacowaæ liczbê aktywnych artyku³ów w grupie: zngór-zndol.
Ostatnie pole mo¿e zawieraæ jedn± z nastêpuj±cych warto¶ci:
y

Dopuszczalne jest wysy³anie bezpo¶rednio do serwera.
n

Wysy³anie bezpo¶rednio do serwera nie jest dopuszczalne. Zapobiega to wysy³aniu wiadomo¶ci przez przegl±darki bezpo¶rednio do serwera grup. Nowe artyku³y mog± byæ odbierane tylko z innych serwerów grup.
m

Grupa jest moderowana. Wszelkie artyku³y wys³ane do tej grupy s± przekazywane do jej moderatora w celu zatwierdzenia, zanim pojawi± siê w grupie. Wiêkszo¶æ grup nie jest moderowana.
j

Artyku³y z tej grupy nie s± przechowywane, ale jedynie przekazywane dalej. Powoduje to, ¿e serwer grup przyjmuje artyku³, ale wszystko co z nim robi, to przekazanie dalszym serwerom grup. Artyku³y nie s± dostêpne dla przegl±darek pod³±czaj±cych siê do tego serwera w celu czytania grup.
x

Artyku³y nie mog± byæ wysy³ane do tej grupy. Jedynym sposobem na dostarczenie artyku³ów do tego serwera jest ich przes³anie z innego serwera grup. Przegl±darki nie mog± bezpo¶rednio zapisywaæ artyku³ów na serwerze.
=foo.bar

Artyku³y s± zapisywane lokalnie w grupie "foo.bar".
W naszej prostej konfiguracji serwera obs³ugujemy niewiele grup, a wiêc plik /var/lib/news/active wygl±da tak:

control 0000000000 0000000001 y
junk 0000000000 0000000001 y
rec.crafts.brewing 0000000000 0000000001 y
rec.crafts.brewing.ales 0000000000 0000000001 y
rec.crafts.brewing.badtaste 0000000000 0000000001 y
rec.crafts.brewing.brandy 0000000000 0000000001 y
rec.crafts.brewing.champagne 0000000000 0000000001 y
rec.crafts.brewing.private 0000000000 0000000001 y

Numery zngór i zndol w tym przyk³adzie maj± warto¶ci pierwotne, takie jak przy tworzeniu nowych grup. Bêd± one wygl±da³y nieco inaczej, gdy grupa bêdzie aktywna przez pewien czas.
Plik newsgroups jest jeszcze prostszy. Zawiera jednowierszowy opis ka¿dej grupy. Niektóre przegl±darki mog± odczytywaæ i przedstawiaæ zawarte w nim informacje u¿ytkownikowi, pomagaj±c mu w ten sposób zdecydowaæ, do której grupy siê zapisaæ.
Format pliku newsgroups jest prosty:

nazwa opis

Pole nazwa to nazwa grupy, a <opis to wiersz z informacj± o tre¶ci grupy.
Chcemy zapisaæ siê do poni¿szych grup, obs³ugiwanych przez nasz serwer, a wiêc tworzymy nastêpuj±cy plik newsgroups:

rec.crafts.brewing.ales       Home brewing Ales and Lagers
rec.crafts.brewing.badtaste   Home brewing foul tasting brews
rec.crafts.brewing.brandy     Home brewing your own Brandy
rec.crafts.brewing.champagne  Home brew your own Champagne
rec.crafts.brewing.private    The Virtual Brewery home brewers group
Konfigurowanie dostarczania grup do innych serwerów
INN zapewnia administratorowi grup mo¿liwo¶æ kontroli nad tym, które grupy i w jaki sposób s± przekazywane do innych serwerów. Najpopularniejsze metody wykorzystuj± opisany wcze¶niej protokó³ NNTP, ale INN dopuszcza tak¿e inne protoko³y, na przyk³ad UUCP.
Plik newsfeeds
Plik newsfeeds okre¶la, gdzie bêd± kierowane nowe artyku³y. Zwykle znajduje siê on w katalogu /etc/news/.
Format pliku newsfeeds pocz±tkowo wydaje siê nieco skomplikowany. Opiszemy tu jego ogólny wygl±d, a szczegó³y znajdziesz na stronie podrêcznika elektronicznego newsfeeds(5).
Format jest nastêpuj±cy:

# format pliku newsfeeds
o¶rodek:wzorzec:znaczniki:parametry
o¶rodek2:wzorzec2\
:znaczniki2:parametry2

Ka¿de po³±czenie zwi±zane z przesy³aniem grup do o¶rodka jest opisane w jednym wierszu lub w kilku (wtedy na koñcu kontynuowanego wiersza trzeba umie¶ciæ znak kontynuacji \). Znak: rozdziela pola. Znak # na pocz±tku wiersza oznacza komentarz.
Pole o¶rodek zawiera nazwê o¶rodka, dla którego jest przeznaczona dana porcja grup. Nazwy mog± byæ zapisywane w dowolny sposób i nie musi byæ to nazwa domenowa. Nazwa ta zostanie u¿yta pó¼niej do wskazania wpisu w tablicy z  nazw± hosta, która jest potrzebna programowi innxmit wysy³aj±cemu artyku³y przez NNTP do serwera zdalnego. Mo¿esz mieæ po kilka wpisów dla ka¿dego o¶rodka. Ka¿dy wpis bêdzie rozpatrywany indywidualnie.
Pole wzorzec okre¶la, które grupy maj± byæ wysy³ane do danego o¶rodka. Domy¶lnie wysy³ane s± wszystkie grupy, a wiêc je¿eli tego w³a¶nie chcesz, po prostu pozostaw pole puste. Zwykle pole to zawiera oddzielan± przecinkami listê wyra¿eñ-wzorców. Do znaku * pasuje zero lub wiêcej dowolnych znaków, znak (.) nie ma szczególnego znaczenia, znak ! (je¿eli zosta³ u¿yty na pocz±tku wyra¿enia) realizuje logiczn± operacjê NOT, a znak @ na pocz±tku nazwy grupy oznacza "Nie przekazuj ¿adnych artyku³ów, które zosta³y wys³ane do tej grupy". Lista jest odczytywana i analizowana od lewej do prawej strony, a wiêc powiniene¶ na pocz±tku umieszczaæ dok³adniejsze regu³y. Wzorzec:

rec.crafts.brewing*,!rec.crafts.brewing.poison,@rec.crafts.brewing.private

spowoduje wys³anie wszystkich grup z hierarchii rec.crafts.brewing z wyj±tkiem grupy rec.crafts.brewing.poison. Nie zostan± przekazane ¿adne artyku³y wys³ane do grupy rec.crafts.brewing.private. Zostan± zatrzymane i bêd± dostêpne tylko dla ludzi z tego serwera. Gdyby¶ zamieni³ miejscami dwa pierwsze wzorce, pierwszy zosta³by nadpisany przez drugi i skoñczy³oby siê to przekazaniem wszystkich artyku³ów z grupy rec.crafts.brewing.poison. To samo dotyczy pierwszego i ostatniego wzorca. Zawsze musisz umieszczaæ dok³adniejsze wzorce przed mniej dok³adnymi, je¿eli maj± dzia³aæ tak, jak chcesz.
Pole znaczniki kontroluje przekazywanie artyku³ów do danego o¶rodka i nak³ada ograniczenia. Pole to jest oddzielan± przecinkami list± zawieraj±c± ni¿ej wymienione elementy:

<rozmiar

Artyku³ musi mieæ mniej bajtów ni¿ zadany rozmiar.
Aelementy

Sprawdzanie artyku³ów. Elementy mog± byæ mieæ warto¶æ jednego lub kilku d (musi mieæ nag³ówek Distribution) lub p (nie sprawdzaj nag³ówka Path dla tego o¶rodka).
Bwys/nis

Rozmiar bufora wewnêtrznego przed zapisaniem na wyj¶cie.
H/liczba/

Artyku³ musi mieæ mniej ni¿ liczba hopów - domy¶lnie 1.
Irozmiar

Rozmiar bufora wewnêtrznego (do przesy³ania plików).
Mwzorzec

Do tego wzorca pasuj± tylko grupy moderowane.
Nwzorzec

Do tego wzorca pasuj± tylko grupy niemoderowane.

Srozmiar

Rozpoczêcie buforowania, je¿eli zostanie zakolejkowane wiêcej bajtów ni¿ zadany rozmiar.
Ttyp

Typy przekazywania: f (plik), m (strumieñ; pole parametry musi zawieraæ nazwy wpisów, do których artyku³y bêd± przekazywane), p (przekazywanie przez potok do programu), c (wysy³anie do kana³u stdin podprocesu pola parametry) i x (jak c, ale obs³uguje polecenia na stdin).
Welementy

Co zapisaæ: b (rozmiar artyku³u w bajtach), f (pe³na ¶cie¿ka), g (pierwsza grupa dyskusyjna), m (ID wiadomo¶ci), n (¶cie¿ka wzglêdna), s (o¶rodek, z którego przyszed³ artyku³), t (czas odebrania), * (nazwy strumieni wej¶ciowych lub wszystkich o¶rodków, które maj± artyku³), N (nag³ówek grupy dyskusyjnej), D (nag³ówek dystrybucji), H (wszystkie nag³ówki), o (dane pogl±dowe) i R (dane replikacyjne).
Pole parametry jest specjalnie kodowane w zale¿no¶ci od sposobu dostarczania grup innym serwerom. W wiêkszo¶ci popularnych konfiguracji podajesz nazwê pliku wynikowego, do którego bêdziesz zapisywa³ wychodz±ce artyku³y. W innych mo¿esz go nie podawaæ. W jeszcze innych konfiguracjach ma ono ró¿ne znaczenia. Je¿eli chcesz zrobiæ co¶ niezwyk³ego, podrêcznik newsfeeds(5) wyja¶ni ci szczegó³owo zastosowanie pola parametry.
Istnieje szczególna nazwa o¶rodka, kodowana jako ME, któr± powinien zawieraæ pierwszy wpis w pliku. Wpis ten jest u¿ywany do kontrolowania domy¶lnych ustawieñ dostarczania grup. Je¿eli wpis ME posiada zwi±zan± z dostarczaniem listê dystrybucji, bêdzie ona doklejana do ka¿dego wpisu zawieraj±cego o¶rodek przed wys³aniem do niego grup. Pozwala to na przyk³ad na automatyczne przekazywanie pewnych grup lub automatyczne blokowanie przekazania innych bez potrzeby powtarzania wzorca w ka¿dym opisie o¶rodka.
Wspomnieli¶my wcze¶niej, ¿e mo¿liwe jest u¿ycie pewnych po³±czeñ specjalnych do wygenerowania w±tku danych, który u³atwia pracê przegl±darki. W±tek danych jest generowany za pomoc± polecenia overchan bêd±cego czê¶ci± dystrybucji INN. Wcze¶niej jednak trzeba stworzyæ specjaln± lokaln± porcjê o nazwie overview, przekazuj±c± artyku³y do polecenia overchan w celu przetworzenia na dane pogl±dowe.
Nasz serwer bêdzie udostêpnia³ grupy tylko jednemu serwerowi zewnêtrznemu, który znajduje siê na uniwersytecie Groucho Marx i pobiera artyku³y ze wszystkich grup, poza control, junk grup± lokaln± rec.crafts.brewing.private i rec.crafts.brewing.poison, z której nie chcemy udostêpniaæ artyku³ów wys³anych przez osoby z naszego browaru.
Do przesy³ania grup przez NNTP do serwera news.groucho.edu, u¿yjemy polecenia nntpsend. Wymaga ono u¿ycia metody dostarczania "file" i zapisywania ¶cie¿ki i ID artyku³u. Zauwa¿, ¿e ustawili¶my pole parametry na nazwê pliku wynikowego. Nieco wiêcej o poleceniu nntpsend powiemy za chwilê. Nasza docelowa konfiguracja wygl±da tak:

# Plik /etc/news/newsfeeds dla browaru wirtualnego
#
# Domy¶lnie wysy³amy wszystkie grupy poza control i junk
ME:!control,!junk::
#
# Generujemy dane pogl±dowe dla przegl±darek grup.
overview::Tc,WO:/usr/lib/news/bin/overchan
#
# Dostarczamy uniwersytetowi Groucho Marx wszystko poza nasz± 
# prywatn± grup± i artyku³ami wys³anymi na rec.crafts.brewing.
# poison,@rec.crafts.brewing.private:\
   Tf,Wnm:news.groucho.edu
#
Plik nntpsend.ctl
Program nntpsend zarz±dza przesy³aniem artyku³ów przez NNTP, wywo³uj±c polecenie innxmit. Widzieli¶my wcze¶niej proste zastosowanie polecenia nntpsend, ale ma ono te¿ plik konfiguracyjny daj±cy pewn± elastyczno¶æ w konfigurowaniu dostarczania przez nas grup.
Polecenie nntpsend spodziewa siê plików wsadowych dla o¶rodków, do których ma wysy³aæ grupy. Oczekuje, ¿e bêd± one mia³y nazwy postaci: /var/spool/news/out.going/nazwao¶rodka. innd tworzy te pliki wsadowe na podstawie wpisu w pliku newsfeeds, który widzieli¶my w poprzednim podrozdziale. W polu parametry okre¶lili¶my nazwê o¶rodka jako nazwê pliku i tym samym spe³nili¶my wymagania co do danych wej¶ciowych dla polecenia nntpsend.
Polecenie nntpsend ma plik konfiguracyjny o nazwie nntpsend.ctl, który zwykle znajduje siê w katalogu /etc/news/.
Plik nntpsend.ctl pozwala nam zwi±zaæ pe³n± nazwê domenow±, ograniczenia rozmiaru przesy³anej porcji artyku³ów i ograniczenia parametrów transmisji z nazw± o¶rodka. Nazwa ta ma unikalnie identyfikowaæ logiczn±, wysy³an± porcjê artyku³ów. Ogólny format pliku jest nastêpuj±cy:

nazwao¶rodka:fqdn:max_rozmiar:[argumenty]

Poni¿sza lista opisuje poszczególne elementy tego wiersza:
nazwao¶rodka

Nazwa o¶rodka zgodnie z podan± w pliku newsfeeds.
fqdn

Pe³na nazwa domenowa serwera grup, do którego przesy³amy artyku³y.
max_rozmiar

Maksymalna wielko¶æ porcji artyku³ów wysy³anych za jednym razem.
argumenty

Dodatkowe argumenty przekazywane do polecenia innxmit.
Naszej przyk³adowej konfiguracji wystarczy bardzo prosty plik nntpsend.ctl. Mamy tylko jedno miejsce, do którego przekazujemy grupy. Ograniczymy jedn± porcjê do 2 MB i przeka¿emy poleceniu innxmit argument ustawiaj±cy czas oczekiwania na 3 minuty (180 sekund). Gdyby¶my byli wiêkszym o¶rodkiem i mieli wiêcej porcji grup, stworzyliby¶my podobne wpisy dla ka¿dego o¶rodka, do którego przekazywaliby¶my grupy.

# /etc/news/nntpsend.ctl
#
gmarxu:news.groucho.edu:2m:-t 180
#
Kontrolowanie dostêpu przegl±darki
Jeszcze nie tak dawno temu ró¿ne organizacje bardzo chêtnie udostêpnia³y wszystkim serwery grup dyskusyjnych. Obecnie trudno jest znale¼æ serwery publiczne. Wiêkszo¶æ organizacji skrupulatnie nadzoruje dostêp do swoich serwerów, zw³aszcza ogranicza dostêp u¿ytkownikom swojej sieci. INN posiada pliki konfiguracyjne pozwalaj±ce na kontrolê dostêpu.
Plik incoming.conf
We wprowadzeniu do INN-a wspomnieli¶my, ¿e dzia³a ono efektywnie i jest niewielkie dziêki rozdzieleniu mechanizmu przekazywania wiadomo¶ci innym serwerom od mechanizmu ich przegl±dania. W pliku /etc/news/incoming.conf umieszczasz hosty, które bêd± ci dostarcza³y grupy przez protokó³ NNTP, oraz pewne parametry steruj±ce sposobem, w jaki twój host pobiera z nich artyku³y. Wszelkie hosty nie wpisane w tym pliku, a ³±cz±ce siê z gniazdem news nie bêd± obs³ugiwane przez demona innd, ale przez nnrpd.
Sk³adnia pliku /etc/news/incoming.conf jest bardzo prosta, ale jej zrozumienie mo¿e zaj±æ chwilê. Dopuszczalne s± trzy typy wpisów: para klucz/warto¶æ, która okre¶la sposób podawania atrybutów i ich warto¶ci parametry równorzêdne, które okre¶laj± sposób podawania nazw hosta, który mo¿e wysy³aæ do nas artyku³y przez NNTP oraz grupy, których dotycz± poprzednie warto¶ci. Pary klucz/warto¶æ mog± mieæ trzy ró¿ne zakresy. Pary globalne dotycz± ka¿dego elementu zdefiniowanego w pliku, grupy par dotycz± wszystkich elementów zdefiniowanych w danej grupie, a pary równowa¿ne dotycz± tylko danego konkretnego przypadku. Definicje bardziej szczegó³owe uniewa¿niaj± te mniej szczegó³owe i dlatego definicje równowa¿ne uniewa¿niaj± definicje grup, które z kolei uniewa¿niaj± pary globalne.
Nawiasy klamrowe ({}) s± u¿ywane do oznaczenia pocz±tku i koñca definicji group i peer. Znak # oznacza, ¿e dalszy ci±g wiersza to komentarz. Pary klucz/warto¶æ s± oddzielane dwukropkiem i s± wpisywane w wierszu pojedynczo.
Mo¿na podaæ szereg ró¿nych kluczy. Najczê¶ciej u¿ywane i najbardziej przydatne z nich to:
hostname

Ten klucz okre¶la, oddzielan± przecinkami, listê pe³nych nazw domenowych lub adresów IP hostów równorzêdnych, które mog± wysy³aæ nam artyku³y. Je¿eli ten klucz nie zostanie podany, przyjmowana jest domy¶lna nazwa hosta partnerskiego.

streaming

Ten klucz okre¶la, czy dla danego hosta s± dopuszczalne polecenia strumieniowe. Jest to warto¶æ boole'owska, domy¶lnie - true.
max-connections

Ten klucz okre¶la maksymaln± liczbê po³±czeñ dopuszczalnych z danej grupy lub z hostów równowa¿nych. Warto¶æ zero oznacza nieograniczon± ich liczbê (mo¿na tak¿e podaæ none).
password

Ten klucz pozwala ci okre¶liæ has³o, które musi byæ u¿ywane przez partnera, je¿eli ma on prawo przesy³aæ wiadomo¶ci. Domy¶lnie has³o nie jest wymagane.
patterns

Ten klucz okre¶la grupy, które przyjmujemy od partnera. Pole to jest kodowane zgodnie z tymi samymi regu³ami, których u¿ywali¶my w pliku newsfeeds.
W naszym przyk³adzie mamy tylko jeden host, który mo¿e nam dostarczaæ grupy: nasz dostawca z uniwersytetu Groucho Marx. Nie potrzebujemy has³a, ale nie bêdziemy przyjmowaæ z zewn±trz ¿adnych artyku³ów do naszych prywatnych grup. Nasz hosts.nntp wygl±da tak:

# Plik incoming.conf browaru wirtualnego

# Ustawienia globalne
streaming:      true
max-connections:   5

# Pozwalamy na wysy³anie NNTP z naszego hosta lokalnego
peer ME {
   hostname: "localhost, 127.0.0.1"
}

# Pozwalamy groucho na wysy³anie nam wszystkich grup poza lokalnymi.
peer groucho {
   hostname: news.groucho.edu
   patterns: !rec.crafts.brewing.private
}
Plik nnrp.access
Wspomnieli¶my ju¿, ¿e przegl±darki grup, a w rzeczywisto¶ci wszelkie hosty nie uwzglêdnione w pliku hosts.nntp, które ³±cz± siê z serwerem grup INN, s± obs³ugiwane przez program nnrpd. Program ten u¿ywa pliku /etc/news/nnrp.access do okre¶lenia, kto ma prawo korzystaæ z serwera grup i jakie powinien mieæ prawa dostêpu.
Plik nnrp.access ma budowê podobn± do innych plików konfiguracyjnych, które omawiali¶my do tej pory. Sk³ada siê z zestawu wzorców u¿ywanych do dopasowywania nazw lub adresów IP ³±cz±cych siê hostów i pól, które okre¶laj±, jakie prawa dostêpu powinny byæ im dane. Ka¿dy wpis powinien znajdowaæ siê w oddzielnym wierszu, a pola powinny byæ oddzielone dwukropkami. Jak zwykle u¿ywany bêdzie ostatni wpis w pliku pasuj±cy do pod³±czaj±cego siê hosta, a wiêc powiniene¶ umieszczaæ wzorce ogólne na pocz±tku, a nastêpnie wzorce szczegó³owe. Piêæ pól w ka¿dym wpisie ma nastêpuj±ce znaczenie:
Nazwa hosta lub adres IP

To pole jest zgodne z regu³ami dopasowania wzorca wildmat(3). Jest to wzorzec opisuj±cy nazwê hosta lub adres IP pod³±czaj±cego siê hosta.
Prawa dostêpu

To pole okre¶la, jakie prawa dostêpu powinny byæ nadane pasuj±cemu hostowi. Istniej± dwa rodzaje praw, które mo¿esz skonfigurowaæ: R daje prawo czytania, a P daje prawo wysy³ania.
Nazwa u¿ytkownika

To pole jest opcjonalne i pozwala okre¶liæ nazwê u¿ytkownika, na którego musi siê zalogowaæ klient NNTP, zanim bêdzie móg³ wysy³aæ artyku³y. Pole to mo¿na pozostawiæ puste. Do czytania artyku³ów nie jest potrzebna ¿adna autoryzacja.
Has³o

To pole jest opcjonalne i zawiera has³o towarzysz±ce polu nazwa u¿ytkownika. Pozostawienie tego pola pustego oznacza, ¿e do wysy³ania artyku³ów nie jest wymagane has³o.
Grupy

To pole jest wzorcem okre¶laj±cym, do których grup klient ma dostêp. Wzorzec podlega tym samym regu³om, jakie by³y u¿ywane w pliku newsfeeds. Domy¶ln± warto¶ci± tego pola jest brak grup, a wiêc zwykle podajesz tu jaki¶ wzorzec.
W przyk³adzie browaru wirtualnego pozwalamy ka¿demu klientowi NNTP z domeny borwaru na czytanie wszystkich grup i wysy³anie do nich. Wszystkim innym klientom NNTP dajemy prawo do czytania wszystkich grup poza naszymi wewnêtrznymi grupami prywatnymi. Nasz plik nnrp.access bêdzie wygl±da³ nastêpuj±co:

# Virtual Brewery - nnrp.access
# Pozwalamy publicznie czytaæ wszystkie grupy poza prywatnymi.
*:R:::*,!rec.crafts.brewing.private

# Ka¿dy host z domeny browaru mo¿e czytaæ i wysy³aæ artyku³y 
# do wszystkich grup
*.vbrew.com:RP::*
Wygasanie artyku³ów w grupach
Artyku³y odbierane przez serwer grup s± zapisywane na dysk. Aby to mia³o sens, artyku³y musz± byæ dostêpne dla u¿ytkowników przez jaki¶ okres czasu, a wiêc du¿y serwer grup mo¿e zajmowaæ wiele miejsca na dysku. Aby miejsce to by³o wykorzystywane efektywnie, mo¿esz walczyæ o automatyczne usuwanie artyku³ów po zadanym okresie czasu. Nazywa siê to wyga¶niêciem artyku³u. Oczywi¶cie INN obs³uguje automatyczne wygasanie artyku³ów.

Plik expire.ctl
Do usuwania starych artyku³ów serwer INN u¿ywa programu expire. Program ten z kolei wykorzystuje plik /etc/news/expire.ctl, w którym s± skonfigurowane regu³y zarz±dzaj±ce wygasaniem artyku³ów.
Sk³adnia pliku /etc/news/expire.ctl jest do¶æ prosta. Podobnie jak w wiêkszo¶ci plików konfiguracyjnych, puste wiersze lub wiersze rozpoczynaj±ce siê znakiem # s± ignorowane. Ogólna zasada jest taka, ¿e ka¿d± regu³ê piszesz w oddzielnym wierszu. Ka¿da regu³a definiuje, jak jest realizowane wygasanie artyku³u w grupach zgodnych z zadanym wzorcem. Sk³adnia regu³y wygl±da tak:

wzorzec:znmod:trzymanie:domy¶lnie:czyszczenie

Poni¿sza lista opisuje poszczególne pola regu³y:
wzorzec

To pole jest oddzielan± przecinkami list± wzorców dopasowuj±cych nazwy grup. Do ich sprawdzania jest u¿ywana procedura wildmat(3). Stosowana jest ostatnia z pasuj±cych regu³, a wiêc gdyby¶ chcia³ umieszczaæ regu³y zestawieñ uniwersalnych (*), powinny byæ w pliku jako pierwsze.
znmod

Ten znacznik opisuje, jak regu³a jest stosowana do grup moderowanych. Mo¿e on byæ zapisany jako M, co oznacza, ¿e regu³a dotyczy tylko grup moderowanych, albo jako U, co oznacza, ¿e regu³a dotyczy tylko grup niemoderowanych. Mo¿na te¿ u¿yæ A, aby wskazaæ, ¿e regu³a ignoruje status moderowania i dotyczy wszystkich grup.
trzymanie

To pole pozwala okre¶liæ minimalny czas, przez jaki bêdzie przechowywany artyku³ z ustawionym polem Expires w nag³ówku, zanim wyga¶nie. Warto¶æ jest okre¶lana w dniach, ale dopuszczalne s± liczby zmiennoprzecinkowe, a wiêc mo¿esz podaæ warto¶æ 7.5, która oznacza siedem i pó³ dnia. Mo¿esz tak¿e podaæ never, je¿eli chcesz, by artyku³ pozosta³ w grupie na zawsze.
domy¶lnie

To pole jest najwa¿niejsze. Pozwala okre¶liæ czas, przez jaki bêdzie przechowywany artyku³ bez pola nag³ówka Expires. Wiêkszo¶æ artyku³ów nie bêdzie mia³a takiego pola w nag³ówku. Pole domy¶lnie jest kodowane dok³adnie w ten sam sposób jak pole trzymanie. never oznacza, ¿e artyku³ bez nag³ówka Expires nigdy nie wyga¶nie.
czyszczenie

To pole pozwala zadaæ maksymalny czas, przez jaki bêdzie przechowywany artyku³ z polem Expires, zanim wyga¶nie. Kodowanie tego pola przebiega tak samo jak pola trzymanie.
Nasze wymagania s± proste. Bêdziemy przechowywaæ wszystkie artyku³y we wszystkich grupach domy¶lnie przez 14 dni, natomiast artyku³y z nag³ówkiem Expires, od 7 do 21 dni. Grupa rec.crafts.brewing.private jest nasz± grup± wewnêtrzn±, a wiêc nie chcemy, by jakiekolwiek artyku³y w niej zawarte wygasa³y:

# plik expire.ctl dla browaru wirtualnego

# Domy¶lne wygasanie wszystkich artyku³ów po 14 dniach. Od 7 
# do 21 dni dla tych, które maj± nag³ówek Expires:
*:A:7:14:21

# To jest specjalna grupa wewnêtrzna, która nie wygasa.
rec.crafts.brewing.private:A:never:never:never

Powiemy jeszcze o jednym specjalnym rodzaju wpisu, który mo¿e siê znale¼æ w twoim pliku /etc/news/expire.ctl. Mo¿esz mieæ dok³adnie jeden wiersz wygl±daj±cy tak:

/remember/:dni

Pozwala on zadaæ minimaln± liczbê dni, przez jak± artyku³ bêdzie pamiêtany w pliku historii, bez wzglêdu na to, czy sam artyku³ wygas³, czy nie. Mo¿e to byæ przydatne, je¿eli jeden z o¶rodków dostarczaj±cych nam artyku³y nie robi tego czêsto i ma tendencjê do przysy³ania starych artyku³ów. Ustawienie pola /remember/ pomaga zapobiec ponownemu przysy³aniu artyku³u, który u nas ju¿ wygas³. Je¿eli twój serwer pamiêta, ¿e ju¿ otrzyma³ kiedy¶ taki artyku³, odrzuci próbê ponownego jego przys³ania. Trzeba pamiêtaæ, ¿e to ustawienie nie ma ¿adnego wp³ywu na wygasanie artyku³u. Dotyczy jedynie czasu przechowywania informacji o artykule w pliku historii.
Obs³ugiwanie wiadomo¶ci kontrolnych
Tak jak C News, tak i INN mo¿e automatycznie przetwarzaæ wiadomo¶ci kontrolne. INN ma doskona³y mechanizm konfiguracyjny nadzoruj±cy dzia³ania, jakie s± podejmowane dla ka¿dej z wiadomo¶ci kontrolnych, oraz mechanizm kontroli dostêpu, który czuwa nad tym, kto zainicjowa³ dzia³anie i wobec jakich grup.
Plik control.ctl
Budowa pliku control.ctl jest dosyæ prosta. Regu³y sk³adniowe s± w zasadzie takie same jak w przypadku innych plików konfiguracyjnych INN-a. Wiersze rozpoczynaj±ce siê od znaku # s± ignorowane; wiersze mo¿na kontynuowaæ u¿ywaj±c znaku /, a pola s± oddzielane dwukropkami.
Gdy zostanie odebrana wiadomo¶æ kontrolna, jest sprawdzana po kolei z ka¿d± regu³±. Stosowana jest jak zwykle ostatnia pasuj±ca regu³a w pliku, a wiêc powiniene¶ umieszczaæ ogólne regu³y na pocz±tku pliku, a dok³adniejsze pod jego koniec. Ogólna sk³adnia pliku jest nastêpuj±ca:

wiadomo¶æ:sk±d:grupa:dzia³anie

Znaczenie poszczególnych pól jest nastêpuj±ce:
wiadomo¶æ

Jest to nazwa wiadomo¶ci kontrolnej. Typowe wiadomo¶ci kontrolne opisujemy dalej.

sk±d

Jest to wzorzec opisuj±cy adres e-mail osoby wysy³aj±cej wiadomo¶æ. Przed porównaniem adres jest konwertowany do ma³ych liter.
grupa

Je¿eli wiadomo¶æ kontrolna to newgroup lub rmgroup, to pole ma postaæ wzorca pasuj±cego do tworzonej lub usuwanej grupy.
dzia³anie

To pole okre¶la, jakie dzia³anie podj±æ, gdy wiadomo¶æ pasuje do regu³y. Mo¿liwe s± ró¿ne dzia³ania, opisane na nastêpnej li¶cie.
Pole wiadomo¶æ w ka¿dym wierszu mo¿e przyjmowaæ nastêpuj±ce warto¶æ:
checkgroups

Ta wiadomo¶æ stanowi ¿±danie wobec administratora grup, by zsynchronizowa³ swoj± bazê aktywnych grup z list± grup dostarczon± w wiadomo¶ci kontrolnej.
newgroup

Ta wiadomo¶æ stanowi ¿±danie utworzenia nowej grupy. Tre¶æ wiadomo¶ci powinna zawieraæ krótki opis przeznaczenia tworzonej grupy.
rmgroup

Ta wiadomo¶æ stanowi ¿±danie usuniêcia grupy.
sendsys

Ta wiadomo¶æ stanowi ¿±danie przes³ania poczt± pliku sys z serwera grup do nadawcy wiadomo¶ci. RFC-1036 mówi, ¿e warunkiem cz³onkostwa w Usenecie jest publiczne udostêpnianie tej wiadomo¶ci, poniewa¿ jest ona wykorzystywana przy uaktualnianiu map usenetowych.
version

Ta wiadomo¶æ stanowi ¿±danie zwrotu do nadawcy tej wiadomo¶ci nazwy hosta i wersji oprogramowania serwera grup.
all

Jest to specjalny zapis, do którego pasuj± wszystkie wiadomo¶ci kontrolne.
Pole wiadomo¶æ mo¿e zawieraæ nastêpuj±ce dzia³ania:
doit

¯±dane polecenie jest wykonywane. W wielu przypadkach do administratora jest wysy³ana wiadomo¶æ e-mail z informacj±, ¿e dane dzia³anie mia³o miejsce.
doit=plik

Jest to dzia³anie identyczne z doit, ale do pliku log plik zostanie zapisany komunikat. Je¿eli podanym plikiem jest mail, wpis log jest wysy³any poczt±. Je¿eli podanym plikiem jest ci±g pusty, wiadomo¶æ log jest zapisywana do /dev/null i jest to równowa¿ne z u¿yciem czystego polecenia doit. Je¿eli nazwa plik rozpoczyna siê od znaku /, jest uznawana za bezwzglêdn± ¶cie¿kê do pliku log. W przeciwnym razie zadana nazwa jest zamieniana do postaci /var/log/news/ file.log.

doifarg

¯±dane polecenie jest wykonywane, je¿eli ma argument. Je¿eli nie ma argumentu, wiadomo¶æ kontrolna jest ignorowana.
drop

¯±dane polecenie jest ignorowane.
log

Wiadomo¶æ log jest wysy³ana na standardowe wyj¶cie b³êdów stderr procesu innd. Normalnie jest przekierowywana do pliku /var/log/news/errlog.
log=plik

To samo co log, ale plik log jest zadawany na tych samych zasadach co w przypadku dzia³ania doit=plik.
mail

Do administratora jest wysy³ana wiadomo¶æ e-mail zawieraj±ca ¿±dane szczegó³y. ¯adne inne dzia³anie nie jest podejmowane.
verify-*

Je¿eli dzia³anie rozpoczyna siê od ci±gu "verify-", wiadomo¶æ kontrolna jest uwierzytelniana przez PGP (lub GPG)*. 
Aby¶ móg³ zobaczyæ, jak plik control.ctl wygl±da w rzeczywisto¶ci, pokazujemy prosty przyk³ad:

## Przyk³adowy plik /etc/news/control.ctl
##
## Uwaga: nie powiniene¶ u¿ywaæ tego pliku - s³u¿y on tylko do 
## demonstracji

##   Obs³uga wiadomo¶ci kontrolnych
all:*:*:mail
checkgroups:*:*:mail
ihave:*:*:drop
sendme:*:*:drop
sendsys:*:*:log=sendsys
senduuname:*:*:log=senduuname
version:*:*:log=version
newgroup:*:*:mail
rmgroup:*:*:mail

## Obs³uga wiadomo¶ci kontrolnych dla o¶miu najwa¿niejszych 
## hierarchii grup
## COMP, HUMANITIES, MISC, NEWS, REC, SCI, SOC, TALK
checkgroups:*:comp:*|humanities.*|misc.*|news.*|rec.*|sci.*|talk.*:drop
newgroup:*:comp:*|humanities.*|misc.*|news.*|rec.*|sci.*|talk.*:drop
rmgroup:*:comp:*|humanities.*|misc.*|news.*|rec.*|sci.*|talk.*:drop
checkgroups:group-admin@isc.org:*:verify-news.announce.newgroups
newgroup:group-admin@isc.org:comp.*|misc.*|news.*:verify-news.announce.newgroups
newgroup:group-admin@isc.org:rec.*|sci.*|soc.*:verify-news.announce.newgroups
newgroup:group-admin@isc.org:talk.*|humanities.*:verify-news.announce.newgroups
rmgroup:group-admin@isc.org:comp.*|misc.*|news.*:verify-news.announce.newgroups
rmgroup:group-admin@isc.org:rec.*|sci.*|soc.*:verify-news.announce.newgroups
rmgroup:group-admin@isc.org:talk.*|humanities.*:verify-news.announce.newgroups

## GNU ( Free Software Foundation )
newgroup:gnu@prep.ai.mit.edu:gnu.*:doit
newgroup:news@*ai.mit.edu:gnu.*:doit
rmgroup:gnu@prep.ai.mit.edu:gnu.*:doit
rmgroup:news@*ai.mit.edu:gnu.*:doit

## LINUX (Newsfeed from news.lameter.com)
checkgroups:chrisoph@lameter.com:linux.*:doit
newgroup:chrisoph@lameter.com:linux.*:doit
rmgroup:christoph@lameter.com:linux.*:doit
Eksploatowanie INN-a
Pakiet ¼ród³owy INN zawiera skrypt uruchamiaj±cy inn w czasie inicjacji systemu. Skrypt zwykle nosi nazwê /usr/lib/news/bin/rc.news. Czyta on argumenty z innego skryptu o nazwie /usr/lib/news/innshellvars, który zawiera nazwy plików i ¶cie¿ki u¿ywane przez inn do lokalizacji potrzebnych mu elementów. Dobrze jest uruchamiaæ inn z prawami dostêpu u¿ytkownika innego ni¿ root, na przyk³ad news.
Aby inn na pewno uruchomi³ siê w czasie w czasie startu systemu, powiniene¶ sprawdziæ, czy plik /usr/lib/news/innshellvars jest skonfigurowany poprawnie, a nastêpnie wywo³aæ skrypt /usr/lib/news/bin/rc.news ze skryptu uruchamianego w czasie startu.
Ponadto, co jaki¶ czas nale¿y wykonywaæ pewne zadania administracyjne. Zwykle konfiguruje siê je tak, aby by³y uruchamiane poleceniem cron. Najlepszym sposobem na zrobienie tego jest dodanie odpowiednich poleceñ do pliku /etc/crontab lub stworzenie pliku odpowiedniego dla katalogu /etc/cron.d, je¿eli twoja dystrybucja to obs³uguje. Taki przyk³adowy plik mo¿e wygl±daæ nastêpuj±co:

# Przyk³adowy plik /etc/cron.d/inn u¿ywany w dystrybucji Debian
#
SHELL=/bin/sh
PATH=/usr/lib/news/bin:/sbin:/bin:/usr/sbin:/usr/bin

# Wyga¶niêcie starych artyku³ów i wygenerowanie raportów 
# ka¿dej nocy

15 0 * * * news news.daily expireover lowmark delayrm

# Co godzinê uruchomienie rnews -U. Nie jest to tylko dla 
# o¶rodków UUCP, ale tak¿e przetwarza artyku³y skolejkowane 
# przez in.nnrpd w sytuacji, gdy innd nie przyjmowa³ ¿adnych 
# artyku³ów.

10 * * * * news rnews -U

Codziennie te polecenia automatycznie usuwaj± stare artyku³y oraz co godzinê przetwarzaj± artyku³y z kolejki. Zauwa¿, ¿e s± uruchamiane z prawami u¿ytkownika news.

Zarz±dzanie INN-em: polecenie ctlinnd
Serwer grup INN zawiera polecenie do zarz±dzania jego codziennym dzia³aniem. Polecenie ctlinnd mo¿e byæ u¿ywane do operowania na grupach i porcjach grup wysy³anych do innych serwerów, uzyskiwania stanu serwera oraz do prze³adowywania, zatrzymywania i uruchamiania serwera.
Podsumowanie dzia³ania polecenia ctlinnd mo¿esz uzyskaæ, u¿ywaj±c polecenia nastêpuj±co:

# ctlinnd -h

Omówimy tu kilka z wa¿niejszych zastosowañ ctlinnd. Wiêcej szczegó³ów znajdziesz na stronie podrêcznika po¶wiêconej temu poleceniu.
Dodawanie nowej grupy
Aby dodaæ now± grupê, u¿yj polecenia nastêpuj±co:

ctlinnd newgroup grupa znacz twórca

Argumenty maj± nastêpuj±ce znaczenie:
grupa

Nazwa tworzonej grupy.
znacz

Ten argument powinien byæ zapisywany w ten sam sposób jak pole znaczniki pliku active. Domy¶lnie jest przyjmowana warto¶æ y, je¿eli nic innego nie zostanie podane.
twórca

Nazwa osoby tworz±cej grupê. Umie¶æ j± w cudzys³owie, je¿eli chcesz wpisaæ jakie¶ spacje.
Zmiana grupy
Aby zmieniæ grupê, u¿yj polecenia nastêpuj±co:

ctlinnd changegroup grupa znacz

Argumenty maj± nastêpuj±ce znaczenie:
grupa

Nazwa zmienianej grupy.
znacz

Ten argument powinien byæ zapisywany w ten sam sposób co pole znaczniki pliku active.
To polecenie przydaje siê przy zmianie statusu moderowania grupy.

Usuwanie grupy
Aby usun±æ grupê, u¿yj polecenia nastêpuj±co:

ctlinnd rmgroup grupa

Argument ma nastêpuj±ce znaczenie:
grupa

Nazwa usuwanej grupy.
To polecenie usuwa zadan± grupê z pliku active. Nie ma wp³ywu na katalog bufora. Wszystkie zawarte w nim artyku³y wygasn± w zwyk³y sposób, a nowe nie bêd± przyjmowane.
Przenumerowanie grupy
Aby przenumerowaæ grupê, u¿yj polecenia nastêpuj±co:

ctlinnd renumber grupa

Argument ma nastêpuj±ce znaczenie:
grupa

Nazwa przenumerowanej grupy. Je¿eli grupa jest pustym ci±giem znaków, przenumerowywane s± wszystkie grupy.
To polecenie uaktualnia dolny znacznik w zadanej grupie.
U¿ywanie serwera przez przegladarki grup - pozwalanie i zabranianie
U¿yj poni¿szego polecenia, aby pozwoliæ lub zabroniæ przegl±darkom korzystaæ z serwera:

ctlinnd readers znacz tekst

Argumenty maj± nastêpuj±ce znaczenie:
znacz

Je¶li jest ustawiony na n, zabrania pod³±czaæ siê przegl±darkom grup. Podanie y pozwala na przyjmowanie po³±czeñ od przegl±darek.
tekst

Podany tekst jest przekazywany do przegl±darki, która próbuje siê pod³±czyæ i zwykle opisuje powód zabronienia dostêpu. Przy ponownym w³±czaniu dostêpu przegl±darkom, pole to musi byæ pustym ci±giem lub kopi± tekstu podanego przy zakazie dostêpu.
To polecenie nie wp³ywa na przychodz±ce z innych serwerów porcje grup. Kontroluje jedynie dostêp przegl±darek.

Odmowa po³±czenia z innego serwera
Aby odmówiæ po³±czenia innemu serwerowi, u¿yj polecenia nastêpuj±co:

ctlinnd reject powód

Argument ma nastêpuj±ce znaczenie:
powód

Podany tekst powinien wyja¶niaæ, dlaczego przychodz±ce do innd po³±czenia s± odrzucane.
To polecenie nie ma wp³ywu na po³±czenia obs³ugiwane przez nnrpd (tzn. przegl±darki grup). Dotyczy jedynie po³±czeñ, które s± obs³ugiwane bezpo¶rednio przez innd, czyli po³±czeñ z innych serwerów.
Pozwolenie na po³±czenia z innego serwera
Aby pozwoliæ na po³±czenia innemu serwerowi, u¿yj polecenia nastêpuj±co:

ctlinnd allow powód

Argument ma nastêpuj±ce znaczenie:
powód

Podany tekst musi byæ identyczny z podanym w poleceniu reject lub musi byæ to ci±g pusty.
To polecenie odwraca dzia³anie polecenia reject.
Zamkniêcie serwera grup
Aby zamkn±æ serwer grup, u¿yj polecenia nastêpuj±co:

ctlinnd throttle powód

Argument ma nastêpuj±ce znaczenie:
powód

Powód zamkniêcia serwera.
To polecenie jest równowa¿ne z jednoczesnym wydaniem polecenia newsreaders no i reject. Jest przydatne przy pracach awaryjnych wykonywanych na bazie serwera grup. Daje pewno¶æ, ¿e nikt nie bêdzie próbowa³ go uaktualniæ, gdy przy nim pracujesz.
Restart serwera grup
Aby zrestartowaæ serwer grup, u¿yj polecenia nastêpuj±co:

ctlinnd go powód

Argument ma nastêpuj±ce znaczenie:
powód

Powód zatrzymania serwera. Je¿eli pole to jest pustym ci±giem znaków, serwer zostanie bezwarunkowo ponownie w³±czony. Je¿eli powód zosta³ podany, to tylko funkcje, które s± wy³±czone z powodu zgodnego z podanym tekstem, zostan± ponownie uruchomione.
To polecenie jest u¿ywane do ponownego uruchamiania serwera po wykonaniu poleceñ throttle, pause lub reject.
Wy¶wietlanie statusu pobierania plików z innego serwera
Aby wy¶wietliæ status pobierania plików z innego serwera, u¿yj polecenia nastêpuj±co:

ctlinnd feedinfo o¶rodek

Argument ma nastêpuj±ce znaczenie:
o¶rodek

Nazwa o¶rodka (wziêta z pliku newsfeeds), dla którego chcesz wy¶wietliæ status.
Od³±czenie dostarczania plików z innego serwera
Aby wy³±czyæ dostarczanie plików z innego serwera, u¿yj polecenia nastêpuj±co:

ctlinnd drop o¶rodek

Argument ma nastêpuj±ce znaczenie:
o¶rodek

Nazwa o¶rodka (wziêta z pliku newsfeeds), dla którego dostarczanie plików jest wy³±czane. Je¿eli pole jest pustym ci±giem, wszystkie aktywne transmisje zostan± przerwane.
Wy³±czenie dostarczania plików zatrzymuje wszelkie aktywne transmisje do danego o¶rodka. Nie jest to zmiana sta³a. Polecenie jest przydatne, je¿eli modyfikujesz szczegó³y zwi±zane z przesy³aniem plików z danego o¶rodka, a transmisja jest akurat aktywna.
Rozpoczynanie dostarczania plików z innego serwera
Aby rozpocz±æ dostarczanie plików z innego serwera, u¿yj polecenia nastêpuj±co:

ctlinnd begin o¶rodek

Argument ma nastêpuj±ce znaczenie:
o¶rodek

Nazwa o¶rodka wziêta z pliku newsfeeds, z którego rozpoczêto przesy³anie plików. Je¿eli przesy³anie z tego o¶rodka jest ju¿ aktywne, automatycznie jest wykonywane polecenie drop.
To polecenie powoduje, ¿e serwer czyta ponownie plik newsfeeds, znajduje pasuj±cy wpis i rozpoczyna przesy³anie plików do/z danego o¶rodka zgodnie ze znalezionymi szczegó³ami. Mo¿esz u¿yæ tego polecenia do przetestowania nowych wpisów po ich dodaniu lub modyfikacji w pliku newsfeeds.

Anulowanie artyku³u
Aby anulowaæ artyku³, u¿yj polecenia nastêpuj±co:

ctlinnd cancel ID-artyku³u

Argument ma nastêpuj±ce znaczenie:
ID-artyku³u

ID anulowanego artyku³u.
To polecenie powoduje, ¿e zadany artyku³ zostanie usuniêty z serwera. Nie generuje wiadomo¶ci cancel.


24
Konfigurowanie przegl±darki grup
dyskusyjnych
Rozdzia³ 24: Konfigurowanie przegl±darki grup dyskusyjnych


Przegl±darka grup to program, który u¿ytkownik uruchamia do ogl±dania, zachowywania i tworzenia artyku³ów w grupach dyskusyjnych. Do Linuksa przeniesiono kilka przegl±darek grup. Opiszemy podstawow± konfiguracjê trzech najpopularniejszych: tin, trn i nn.
Jedn± z najbardziej efektywnych przegl±darek jest nastêpuj±ce polecenie:

$ find /var/spool/news -name '[0-9]*' -exec cat {} \; | more

W ten sposób artyku³y z grup czytaj± uniksowi twardziele.
Wiêkszo¶æ przegl±darek jest jednak bardziej wyrafinowana. Zwykle maj± pe³noekranowy interfejs z oddzielnymi poziomami do wy¶wietlania wszystkich grup, do których u¿ytkownik siê zapisa³, do przegladania listy artyku³ów w ka¿dej grupie i pojedynczych artyku³ów. Wiele przegl±darek WWW dzia³a równie¿ jako przegl±darki grup, ale je¿eli chcesz u¿ywaæ niezale¿nej przegl±darki - grup, ten rozdzia³ wyja¶nia, jak skonfigurowaæ dwie podstawowe: trn i nn.
Na poziomie grup wiêkszo¶æ przegl±darek wy¶wietla listê artyku³ów, pokazuj±c wiersz z tytu³em i autorem. W du¿ych grupach trudno jest ¶ledziæ artyku³y ze sob± zwi±zane, choæ mo¿liwe jest identyfikowanie odpowiedzi na wcze¶niejsze artyku³y.
Odpowiedzi zwykle nosz± tytu³ oryginalnego artyku³u z przedrostkiem Re:. Ponadto wiersz nag³ówka Reference: powinien zawieraæ ID wiadomo¶ci, na któr± artyku³ stanowi odpowied¼. Sortowanie artyku³ów wed³ug tych dwóch kryteriów daje niewielkie zestawy artyku³ów (w rzeczywisto¶ci drzewa), które s± nazywane w±tkami. Jednym z zadañ przy tworzeniu przegl±darki grup jest wynalezienie efektywnego sposobu obs³ugi w±tków, poniewa¿ czas do tego potrzebny jest proporcjonalny do kwadratu liczby artyku³ów.
Nie bêdziemy wnikaæ w to, jak s± zbudowane interfejsy u¿ytkownika. Wszystkie obecnie dostêpne dla Linuksa przegl±darki maj± doskona³± funkcjê pomocy, a wiêc skorzystaj z niej, je¿eli chcesz poznaæ wiêcej szczegó³ów.

W kolejnych podrozdzia³ach zajmiemy siê jedynie zadaniami administracyjnymi. Wiêkszo¶æ z nich ma zwi±zek z tworzeniem baz w±tków i liczeniem.
Konfigurowanie tina
Najbardziej wszechstronn± przegl±dark± obs³uguj±c± w±tki jest tin. Zosta³a ona napisana przez Iaina Lea i nawi±zuje do starszej przegl±darki tass (napisanej przez Richa Skrenta). Podzia³ na w±tki odbywa siê w momencie wej¶cia przez u¿ytkownika do grupy i jest naprawdê szybki, pod warunkiem, ¿e nie korzystasz z NNTP.
Na komputerze 486DX50 podzielenie tysi±ca artyku³ów na w±tki zajmuje 30 sekund, je¶li s± odczytywane bezpo¶rednio z dysku. Natomiast przy pod³±czeniu siê do obci±¿onego serwera NNTP trwa to ponad 5 minut*. Mo¿esz skróciæ ten czas, regularnie uaktualniaj±c plik indeksu przez wywo³anie tina z opcj± -u, tak ¿e gdy nastêpnym razem uruchomisz tina, w±tki ju¿ bêd± istnia³y. Mo¿esz tak¿e wywo³aæ tina z opcj± -U przy czytaniu grup. Przy takim wywo³aniu tin tworzy dzia³aj±cy w tle proces, który tworzy pliki indeksów, kiedy ty czytasz grupy.
Zwykle tin zapisuje bazy w±tków w katalogu macierzystym u¿ytkownika w podkatalogu .tin/index. Mo¿e to poch³aniaæ du¿o zasobów, a wiêc chyba lepiej mieæ jedn± bazê w centralnym miejscu. W tym celu nale¿y ustawiæ dla tina na przyk³ad prawo setuid news. tin bêdzie w takiej sytuacji przechowywa³ bazy w±tków w katalogu /var/spool/ news/.index. W przypadku dostêpu do plików lub w wywo³aniu pow³oki bêdzie zmienia³ efektywny uid na rzeczywisty uid wywo³uj±cego go u¿ytkownika**.
Wersja tina do³±czona do pewnych dystrybucji Linuksa jest skompilowana bez obs³ugi NNTP, ale wiêkszo¶æ j± ma. Gdy wywo³asz tina jako rtin lub z opcj± -r, próbuje on po³±czyæ siê z serwerem NNTP podanym w pliku /etc/nntpserver lub w zmiennej ¶rodowiskowej NNTPSERVER. Plik nntpserver po prostu zawiera nazwê serwera umieszczon± w oddzielnym wierszu.
Konfigurowanie trn
trn równie¿ jest nastêpc± starszej przegl±darki grup, rn (skrót od ang.  read news). "t" w nazwie pochodzi od s³owa threaded (obs³uguj±ca w±tki). Zosta³a ona napisana przez Wayne'a Davidsona.
W odró¿nieniu od tina, trn nie ma mo¿liwo¶ci generowania bazy w±tków w czasie pracy. Wykorzystuje za to w±tki przygotowane przez program mthreads, który musi byæ regularnie wywo³ywany z crona w celu aktualizacji plików indeksu.
Mo¿esz czytaæ nowe artyku³y bez uruchomionego mthreads, ale wtedy stale bêdziesz napotykaæ porozrzucane tytu³y, takie jak "PRAWDZIWA OKAZJA!", które mthreads umie¶ci³by w jednym w±tku, który ³atwo pomin±æ.
Aby w³±czyæ w±tki dla konkretnych grup, wywo³aj mthreads z list± grup podan± w wierszu poleceñ. Format listy jest taki sam jak w pliku sys w C News:

$ mthreads 'comp,rec,|rec.games.go'

To polecenie w³±cza w±tki dla wszystkich grup comp i rec, za wyj±tkiem comp.games.go (ludzie, którzy graj± w go, nie potrzebuj± luksusowych w±tków). Nastêpnie mo¿esz normalnie wywo³aæ mthreads bez ¿adnych opcji, aby podzieliæ na w±tki wszystkie nowo przychodz±ce artyku³y. Podzia³ na w±tki wszystkich grup znajduj±cych siê w twoim pliku active mo¿e byæ w³±czony przez wywo³anie mthreads z list± grup all.
Je¿eli otrzymujesz artyku³y z grup w nocy, zwykle bêdziesz uruchamia³ mthreads rano, ale mo¿esz tak¿e robiæ to czê¶ciej, je¿eli jest taka potrzeba. Du¿e, obci±¿one o¶rodki zechc± uruchamiaæ mthreads w trybie demona. Gdy zostanie on uruchomiony w czasie inicjacji systemu z opcj± -d, pracuje w tle i budzi siê co dziesiêæ minut, by sprawdziæ, czy nie nadesz³y nowe artyku³y, które trzeba podzieliæ na w±tki. Aby uruchomiæ mthreads w trybie demona, umie¶æ poni¿szy wiersz w swoim skrypcie rc.news:

/usr/local/bin/rn/mthreads -deav

Opcja -a powoduje, ¿e mthreads automatycznie w³±cza dzielenie na w±tki nowych grup, zaraz po ich utworzeniu, a -v w³±cza komunikaty umieszczane przez mthreads w pliku mt.log w katalogu, w którym jest zainstalowany trn.
Stare artyku³y, które nie s± ju¿ dostêpne, musz± byæ regularnie usuwane z plików indeksowych. Domy¶lnie tylko artyku³y o numerze ni¿szym od dolnego znacznika bêd± usuwane*. Artyku³y o numerach wiêkszych, które wygas³y (poniewa¿ najstarszemu artyku³owi zosta³ przypisany d³u¿szy czas wyga¶niêcia przez pole nag³ówka Expires:), mog± mimo wszystko zostaæ usuniête przez podanie opcji -e wymuszaj±cej wygasanie "rozszerzone". Gdy mthreads dzia³a w trybie demona, opcja -e powoduje, ¿e mthreads wykonuje takie "rozszerzone" wygasanie raz dziennie, zaraz po pó³nocy.
Konfigurowanie nn
nn, napisana przez Kima F. Storma, zdaje siê byæ przegl±dark±, której g³ównym celem nie jest czytanie grup. Jej nazwa pochodzi od s³ów No News (brak wiadomo¶ci), a jej mottem s± s³owa "No news is good news, nn is better" (brak wiadomo¶ci to dobra wiadomo¶æ, nn jest lepsza).
Aby osi±gn±æ ten ambitny cel, nn posiada szereg narzêdzi pomocniczych, które nie tylko pozwalaj± generowaæ w±tki, ale tak¿e intensywnie sprawdzaæ spójno¶æ bazy danych, liczyæ i zbieraæ statystyki u¿ytkowania oraz ograniczaæ dostêp. Istnieje te¿ program administracyjny nnadmin, który pozwala na interaktywne wykonywanie tych zadañ. Jest on bardzo intuicyjny, a wiêc nie bêdziemy siê na nim skupiaæ. Omówimy jedynie generowanie plików indeksów.
Mened¿er bazy w±tków nn nosi nazwê nnmaster. Zwykle jest uruchamiany jako demon w pliku rc w czasie startu komputera. Jest wywo³ywany tak:

/usr/local/lib/nn/nnmaster -l -r -C

To polecenie w³±cza podzia³ na w±tki dla wszystkich grup obecnych w pliku active.
Podobnie mo¿esz wywo³ywaæ nnmaster okresowo z crona, podaj±c listê grup, na których ma dzia³aæ. Jest to bardzo podobne do listy subskrypcyjnej w pliku sys, z t± ró¿nic±, ¿e u¿ywa siê spacji zamiast przecinków. Zamiast sztucznej grupy all, do oznaczenia wszystkich grup nale¿y u¿yæ argumentu pustego "". Przyk³adowe wywo³anie wygl±da tak:

# /usr/local/lib/nn/nnmaster !rec.games.go rec comp

Zauwa¿, ¿e kolejno¶æ jest istotna. Zawsze wygrywa ta pasuj±ca grupa, która znajduje siê najbardziej po lewej stronie. Dlatego, gdyby¶my umie¶cili !rec.games.go po rec, wszystkie artyku³y z tej grupy by³yby podzielone na w±tki bez wzglêdu na wszystko.
nn oferuje kilka sposobów usuwania wyga¶niêtych artyku³ów z baz danych. Pierwszym jest uaktualnianie bazy przez przegl±danie katalogów grup i odrzucanie wpisów odnosz±cych siê do artyku³ów, którym up³yn±³ czas przechowywania. Jest to domy¶lne dzia³anie uzyskiwane przez wywo³anie nnmaster z opcj± -E. Polecenie to dzia³a szybko, pod warunkiem, ¿e u¿ywasz NNTP.
Druga metoda dzia³a dok³adnie tak jak domy¶lne wygasanie obs³ugiwane przez mthreads. Usuwa tylko te wpisy, które odnosz± siê do artyku³ów o numerach ni¿szych ni¿ dolny znacznik w pliku active. Mo¿na j± w³±czyæ opcj± -e.
Trzecia strategia usuwa ca³± bazê i zbiera ponownie wszystkie artyku³y. Mo¿na j± w³±czyæ, u¿ywaj±c opcji -E3.
Lista grup do wyga¶niêcia jest podawana przez opcjê -F w ten sam sposób jak powy¿ej. Jednak je¿eli nnmaster dzia³a jako demon, musisz go unicestwiæ (u¿ywaj±c opcji -k), zanim nast±pi czas wyga¶niêcia i zaraz potem uruchomiæ oryginalne opcje. Dlatego poprawne polecenie uruchamiane w celu usuniêcia nieaktualnych artyku³ów ze wszystkich grup za pomoc± pierwszej metody wygl±da nastêpuj±co:

# nnmaster -kF ""
# nnmaster -lrC

Istnieje wiele innych znaczników, które reguluj± zachowanie nn. Je¿eli martwisz siê o usuwanie z³ych artyku³ów lub ich gromadzenie, przeczytaj stronê podrêcznika nnmaster.
nnmaster opiera siê na znajduj±cym siê w katalogu /var/lib/nn pliku GROUPS. Je¿eli go nie ma, gdy nnmaster jest uruchamiany po raz pierwszy, tworzy siê go. Plik ten zawiera dla ka¿dej grupy wiersz rozpoczynaj±cy siê od jej nazwy, po której opcjonalnie wystêpuje znacznik czasowy i znaczniki. Mo¿esz je edytowaæ, by w³±czyæ jakie¶ cechy danej grupy, ale nie mo¿esz zmieniaæ kolejno¶ci pojawiania siê grup. (Ich kolejno¶æ musi siê zgadzaæ z wpisami w pliku (binarnym) MASTER). Dopuszczalne znaczniki i ich dzia³anie s± równie¿ szczegó³owo opisane na stronach podrêcznika nnmaster.


A
Przyk³adowa sieæ:
browar wirtualny
Dodatek A: Przyk³adowa sieæ: browar wirtualny


W tej ksi±¿ce pos³ugiwali¶my siê poni¿szym przyk³adem, który jest nieco mniej skomplikowany od przyk³adu z uniwersytetem Groucho Marx i mo¿e byæ bardziej zbli¿ony do zadañ, które rzeczywi¶cie bêdziesz wykonywa³. 
Browar wirtualny to niewielka firma, która jak sama nazwa wskazuje, zajmuje siê warzeniem wirtualnego piwa. Aby efektywniej zarz±dzaæ swoim biznesem, w³a¶ciciele browaru chcieli po³±czyæ swoje komputery w sieæ. Dobrze siê z³o¿y³o, ¿e s± to PC, na których dzia³a wspania³y Linux. Rysunek A-1 pokazuje konfiguracjê sieci.
Na tym samym piêtrze znajduje siê tak¿e winiarnia wirtualna, która ¶ci¶le wspó³pracuje z browarem. Ma w³asn± sieæ Ethernet. Zupe³nie naturalne jest, ¿e obie firmy chc± po³±czyæ swoje sieci. Pierwszym krokiem jest skonfigurowanie gatewaya, który przekazuje datagramy pomiêdzy dwoma podsieciami. Dalej chc± mieæ ³±cze UUCP ze ¶wiatem zewnêtrznym, przez które mog± wymieniaæ pocztê i grupy dyskusyjne. Na d³u¿sz± metê bêd± tak¿e chcia³y zestawiaæ po³±czenia PPP w celu ³±czenia siê z lokalizacjami odleg³ymi i z Internetem.
Browar wirtualny i wirtualna winiarnia maj± podsieci klasy C wydzielone z sieci B browaru, a gatewayem do ka¿dej z nich jest host vlager, który obs³uguje tak¿e po³±czenie UUCP. Konfiguracjê pokazano na rysunku A-2.

Rysunek A-1. Podsieci browaru i winiarni wirtualnej
http://www.rm.com.pl/upgr/lpas/a-01.tif


Rysunek A-2. Sieæ browaru wirtualnego
http://www.rm.com.pl/upgr/lpas/a-02.tif

Pod³±czanie sieci wirtualnej filii
Wirtualny browar rozrasta siê i otwiera filiê w innym mie¶cie. W filii dzia³a oddzielna sieæ Ethernet posiadaj±ca w³asny numer IP sieci 172.16.3.0, który jest 3. podsieci± sieci klasy B browaru. Host vlager dzia³a jako gateway dla sieci browaru i obs³uguje ³±cze PPP. Jego partner w nowej ga³êzi to vbourbon posiadaj±cy adres IP 172.16.3.1. Tê sieæ pokazuje rysunek A-2.


B
Przydatne
konfiguracje kabli
Dodatek B: Przydatne konfiguracje kabli


Je¶li chcesz po³±czyæ ze sob± dwa komputery, a nie masz sieci Ethernet, potrzebujesz kabla szeregowego null modem lub kabla równoleg³ego PLIP.
Kable te mo¿na kupiæ w sklepie, ale bêdzie du¿o taniej i pro¶ciej, je¶li zrobisz je sam.
Kabel równoleg³y PLIP
Aby zrobiæ kabel równoleg³y u¿ywany do po³±czenia PLIP, bêdziesz potrzebowa³ dwóch z³±czy 25-pinowych (zwanych DB-25) i kabla o przynajmniej jedenastu ¿y³ach. Kabel nie mo¿e byæ d³u¿szy ni¿ 15 metrów (50 stóp). Kabel mo¿e, ale nie musi byæ ekranowany, choæ gdy robisz d³ugi kabel, lepiej jest zastosowaæ ekran.
Je¶li patrzysz na z³±cze, powiniene¶ zauwa¿yæ niewielkie numerki przy ka¿dym pinie - od 1 dla pinu po lewej stronie u góry (je¿eli trzymasz szersz± stron± do góry) do 25 przy pinie po prawej stronie na dole. W przypadku kabla null printer musisz po³±czyæ ze sob± odpowiednie piny obu z³±czy tak jak  pokazano na rysunku B-1.
Wszystkie pozosta³e piny nale¿y pozostawiæ nie pod³±czone. Je¿eli kabel jest ekranowany, ekran powinien byæ pod³±czony do metalowej obudowy DB-25 tylko po jednej stronie.
Kabel szeregowy NULL modem
Kabel szeregowy null modem bêdzie dzia³a³ zarówno dla po³±czenia SLIP, jak i dla PPP. Znów potrzebujesz dwóch z³±czy DB-25. Tym razem kabel musi byæ o¶mio¿y³owy.
Byæ mo¿e spotka³e¶ siê z inn± budow± kabli null modem, ale ta pozwala ci na zastosowanie sprzêtowej kontroli przep³ywu - co jest du¿o lepsze od kontroli XON/XOFF - lub ¿adnej. Po³±czenia pokazano na rysunku B-2.
Znów, je¿eli masz kabel ekranowany, powiniene¶ pod³±czyæ pierwszy pin tylko po jednej stronie.


Rysunek B-1. Kabel równoleg³y PLIP
http://www.rm.com.pl/upgr/lpas/b-01.tif

Rysunek B-2. Kabel szeregowy NULL modem
http://www.rm.com.pl/upgr/lpas/b-02.tif

C
Linux - podrêcznik administratora sieci.
Wydanie drugie*.
Informacje o prawach autorskich
Dodatek C: Linux - podrêcznik administratora sieci. Wydanie... 


Copyright © 1993 Olaf Kirch
Copyright © 2000 Terry Dawson
Copyright wersji drukowanej O'Reilly © 2000 O'Reilly & Associates

Wersja elektroniczna tej ksi±¿ki, która w czasie drukowania tej pozycji zawiera dok³adnie tê sam± tre¶æ co wersja drukowana O'Reilly'ego, jest dostêpna na warunkach licencji GNU FDL. Prawa do przedruku dokumentu na Licencji FDL obejmuj± prawo do drukowania i rozpowszechniania drukowanych kopii wersji elektronicznej. Prawa do kopiowania drukowanej wersji O'Reilly s± zastrze¿one. Elektroniczn± wersjê licencji mo¿na znale¼æ pod adresem http://www.oreilly.com/catalog/linag/licenseinfo.html. Ksi±¿ka jest dostêpna pod adresem http://www.linuxdoc.org/LDP/nag/nag. html oraz http://www.oreilly.com/catalog/linag/ i mo¿e byæ zamieszczana w innych miejscach.
Zezwala siê na kopiowanie, drukowanie, rozpowszechnianie i modyfikowanie dokumentu elektronicznego na warunkach licencji GNU Free Documentation License w wersji 1.1 lub jakiejkolwiek nowszej wersji opublikowanej przez Free Software Foundation. W przypadku Sekcji niezmiennych, takich jak podziêkowania (we Wstêpie i dodatku C pt. Linux -  podrêcznik administratora sieci. Wydanie drugie. Informacje o prawach autorskich), dalsze podziêkowania mo¿na dodawaæ tylko poza tymi sekcjami. Na pocz±tku musi znale¼æ siê nastêpuj±ca informacja:

Linux - podrêcznik administratora sieci
Olaf Kirch i Terry Dawson
Copyright © 1993 Olaf Kirch
Copyright © 2000 Terry Dawson
Copyright wersji drukowanej O'Reilly'ego©  2000 O'Reilly & Associates

Poni¿ej zamieszczono kopiê Licencji GNU Free Documentation License, któr± mo¿na znale¼æ tak¿e (w wersji oryginalnej) pod adresem http://www.gnu.org/copyleft/fdl. html.
Wersja 1.1, marzec 2000
Copyright © 2000 Free Software Foundation, Inc.
59 Temple Place, Suite 330, Boston, MA 02111-1307 USA
Zezwala siê na kopiowanie i rozpowszechnianie wiernych kopii niniejszego dokumentu licencyjnego, jednak bez prawa wprowadzania zmian. 
0. Preambu³a
Celem niniejszej licencji jest zagwarantowanie wolnego dostêpu do podrêcznika, tre¶ci ksi±¿ki i wszelkiej dokumentacji w formie pisanej oraz zapewnienie ka¿demu u¿ytkownikowi swobody kopiowania i rozpowszechniania wy¿ej wymienionych, z dokonywaniem modyfikacji lub bez, zarówno w celach komercyjnych, jak i niekomercyjnych. Ponadto Licencja ta pozwala przyznaæ zas³ugi autorowi i wydawcy przy jednoczesnym ich zwolenieniu z odpowiedzialno¶ci za modyfikacje dokonywane przez innych. 
Niniejsza Licencja zastrzega te¿, ¿e wszelkie prace powsta³e na podstawie tego dokumentu musz± nosiæ cechê wolnego dostêpu w tym samym sensie co produkt oryginalny. Licencja stanowi uzupe³nienie Powszechnej Licencji Publicznej GNU (GNU General Public License), która jest licencj± dotycz±c± wolnodostêpnego oprogramowania.
Niniejsza Licencja zosta³a opracowana z zamiarem zastosowania jej do podrêczników do wolnodostêpnego oprogramowania, poniewa¿ wolnodostêpne oprogramowanie wymaga wolnodostêpnej dokumentacji: wolnodostêpny program powinien byæ rozpowszechniany z podrêcznikami, których dotycz± te same prawa, które wi±¿± siê z oprogramowaniem. Licencja ta nie ogranicza siê jednak do podrêczników oprogramowania. Mo¿na j± stosowaæ do ró¿nych dokumentów tekstowych, bez wzglêdu na ich przedmiot oraz niezale¿nie od tego, czy zosta³y opublikowane w postaci ksi±¿ki drukowanej. Stosowanie tej Licencji zalecane jest g³ównie w przypadku prac, których celem jest instrukta¿ lub pomoc podrêczna.
1. Zastosowanie i definicje
Niniejsza Licencja stosuje siê do podrêczników i innych prac, na których umieszczona jest pochodz±ca od w³a¶ciciela praw autorskich informacja, ¿e dana praca mo¿e byæ rozpowszechniana wy³±cznie na warunkach niniejszej Licencji. U¿ywane poni¿ej s³owo "Dokument" odnosiæ siê bêdzie do wszelkich tego typu publikacji. Ich odbiorcy nazywani bêd± licencjobiorcami. 
"Zmodyfikowana wersja" Dokumentu oznacza wszelkie prace zawieraj±ce Dokument lub jego czê¶æ w postaci dos³ownej b±d¼ zmodyfikowanej i/lub prze³o¿onej na inny jêzyk. 
"Sekcj± drugorzêdn±" nazywa siê dodatek opatrzony odrêbnym tytu³em lub sekcjê pocz±tkow± Dokumentu, która dotyczy wy³±cznie zwi±zku wydawców lub autorów Dokumentu z ogóln± tematyk± Dokumentu (lub zagadnieniami z ni± zwi±zanymi) i nie zawiera ¿adnych tre¶ci bezpo¶rednio zwi±zanych z ogóln± tematyk± (na przyk³ad, je¿eli Dokument stanowi w czê¶ci podrêcznik matematyki, Sekcja drugorzêdna nie mo¿e wyja¶niaæ zagadnieñ matematycznych). Wy¿ej wyja¶niany zwi±zek mo¿e siê natomiast wyra¿aæ w aspektach historycznym, prawnym, komercyjnym, filozoficznym, etycznym lub politycznym.
"Sekcje niezmienne" to takie Sekcje drugorzêdne, których tytu³y s± ustalone jako tytu³y Sekcji niezmiennych w nocie informuj±cej, ¿e Dokument zosta³ opublikowany na warunkach Licencji.
"Tre¶æ ok³adki" to pewne krótkie fragmenty tekstu, które w nocie informuj±cej, ¿e Dokument zosta³ opublikowany na warunkach Licencji, s± opisywane jako "do umieszczenia na przedniej ok³adce" lub "do umieszczenia na tylnej ok³adce".
"Jawna" kopia Dokumentu oznacza kopiê czyteln± dla komputera, zapisan± w formacie, którego specyfikacja jest publicznie dostêpna. Zawarto¶æ tej kopii mo¿e byæ ogl±dana i edytowana bezpo¶rednio za pomoc± typowego edytora tekstu lub (w przypadku obrazów z³o¿onych z pikseli) za pomoc± typowego programu graficznego lub (w przypadku rysunków) za pomoc± ogólnie dostêpnego edytora rysunków. Ponadto kopia ta stanowi odpowiednie dane wej¶ciowe dla programów formatuj±cych tekst lub dla programów konwertuj±cych do ró¿nych formatów odpowiednich dla programów formatuj±cych tekst. Kopia spe³niaj±ca powy¿sze warunki, w której jednak zosta³y wstawione znaczniki maj±ce na celu utrudnienie dalszych modyfikacji przez czytelników, nie jest Jawna. Kopiê, która nie jest "Jawna", nazywa siê "Niejawn±".
Przyk³adowe formaty kopii Jawnych to: czysty tekst ASCII bez znaczników, format wej¶ciowy Texinfo, format wej¶ciowy LaTeX, SGML lub XML wykorzystuj±ce publicznie dostêpne DTD, standardowy prosty HTML przeznaczony do rêcznej modyfikacji. Formaty niejawne to na przyk³ad PostScript, PDF, formaty w³asne, które mog± byæ odczytywane i edytowane jedynie przez w³asne edytory tekstu, SGML lub XML, dla których DTD i/lub narzêdzia przetwarzaj±ce nie s± ogólnie dostêpne, oraz HTML wygenerowany maszynowo przez niektóre procesory tekstu jedynie w celu uzyskania danych wynikowych.
"Strona tytu³owa" oznacza, w przypadku ksi±¿ki drukowanej, sam± stronê tytu³ow± oraz kolejne strony zawieraj±ce informacje, które zgodnie z t± Licencj± musz± pojawiæ siê na stronie tytu³owej. W przypadku prac w formatach nie posiadaj±cych strony tytu³owej "Strona tytu³owa" oznacza tekst pojawiaj±cy siê najbli¿ej tytu³u pracy, poprzedzaj±cy pocz±tek tekstu g³ównego.
2. Kopiowanie dos³owne
Licencjobiorca mo¿e kopiowaæ i rozprowadzaæ Dokument komercyjnie lub niekomercyjnie, w dowolnej postaci, pod warunkiem zamieszczenia na ka¿dej kopii Dokumentu tre¶ci Licencji, informacji o prawie autorskim oraz noty mówi±cej, ¿e do Dokumentu ma zastosowanie niniejsza Licencja, a tak¿e pod warunkiem nieumieszczania ¿adnych dodatkowych ograniczeñ, które nie wynikaj± z Licencji. Licencjobiorca nie ma prawa u¿ywaæ ¿adnych technicznych metod pomiarowych utrudniaj±cych lub kontroluj±cych czytanie lub dalsze kopiowanie utworzonych i rozpowszechnianych przez siebie kopii. Mo¿e jednak pobieraæ op³aty za udostêpnianie kopii. W przypadku dystrybucji du¿ej liczby kopii Licencjobiorca jest zobowi±zany przestrzegaæ warunków wymienionych w punkcie 3.
Licencjobiorca mo¿e tak¿e wypo¿yczaæ kopie na warunkach opisanych powy¿ej, a tak¿e wystawiaæ je publicznie.
3. Kopiowanie ilo¶ciowe
Je¿eli Licencjobiorca publikuje drukowane kopie Dokumentu w liczbie wiêkszej ni¿ 100, a licencja Dokumentu wymaga umieszczenia Tre¶ci ok³adki, nale¿y do³±czyæ kopie ok³adek, które zawieraj± ca³± wyra¼n± i czyteln± Tre¶æ ok³adki: tre¶æ przedniej ok³adki, na przedniej ok³adce, a tre¶æ tylnej ok³adki, na tylnej ok³adce. Obie ok³adki musz± te¿ jasno i czytelnie informowaæ o Licencjobiorcy jako wydawcy tych kopii. Ok³adka przednia musi przedstawiaæ pe³ny tytu³; wszystkie s³owa musz± byæ równie dobrze widoczne i czytelne. Licencjobiorca mo¿e na ok³adkach umieszczaæ tak¿e inne informacje dodatkowe. Kopiowanie ze zmianami ograniczonymi do ok³adek, dopóki nie narusza tytu³u Dokumentu i spe³nia opisane warunki, mo¿e byæ traktowane pod innymi wzglêdami jako kopiowanie dos³owne.
Je¿eli napisy wymagane na której¶ z ok³adek s± zbyt obszerne, by mog³y pozostaæ czytelne po ich umieszczeniu, Licencjobiorca powinien umie¶ciæ ich pocz±tek (tak± ilo¶æ, jaka wydaje siê rozs±dna) na rzeczywistej ok³adce, a pozosta³± czê¶æ na s±siednich stronach.
W przypadku publikowania lub rozpowszechniania Niejawnych kopii Dokumentu w liczbie wiêkszej ni¿ 100, Licencjobiorca zobowi±zany jest albo do³±czyæ do ka¿dej z nich Jawn± kopiê czyteln± dla komputera, albo wymieniæ w lub przy ka¿dej kopii Niejawnej publicznie dostêpn± w sieci komputerowej lokalizacjê pe³nej kopii Jawnej Dokumentu, bez ¿adnych informacji dodanych - lokalizacjê, do której ka¿dy u¿ytkownik sieci mia³by bezp³atny anonimowy dostêp za pomoc± standardowych publicznych protoko³ów sieciowych. W przypadku drugim Licencjobiorca musisz podj±æ odpowiednie ¶rodki ostro¿no¶ci, by wymieniona kopia Jawna pozosta³a dostêpna we wskazanej lokalizacji przynajmniej przez rok od momentu rozpowszechnienia ostatniej kopii Niejawnej (bezpo¶redniego lub przez agentów albo sprzedawców) danego wydania.
Zaleca siê, choæ nie wymaga, aby przed rozpoczêciem rozpowszechniania du¿ej liczby kopii Dokumentu, Licencjobiorca skontaktowa³ siê z jego autorami celem uzyskania uaktualnionej wersji Dokumentu.

4. Modyfikacje
Licencjobiorca mo¿e kopiowaæ i rozpowszechniaæ Zmodyfikowan± wersjê Dokumentu na zasadach wymienionych powy¿ej w punkcie 2 i 3 pod warunkiem ¶cis³ego przestrzegania niniejszej Licencji. Zmodyfikowana wersja pe³ni wtedy rolê Dokumentu, a wiêc Licencja dotycz±ca modyfikacji i rozpowszechniania Zmodyfikowanej wersji przenoszona jest na ka¿dego, kto posiada jej kopiê. Ponadto Licencjobiorca musi w stosunku do Zmodyfikowanej wersji spe³niæ nastêpuj±ce wymogi:
A.
U¿yæ na Stronie tytu³owej (i na ok³adkach, o ile istniej±) tytu³u innego ni¿ tytu³ Dokumentu i innego ni¿ tytu³y poprzednich wersji (które, o ile istnia³y, powinny zostaæ wymienione w Dokumencie, w sekcji Historia). Tytu³u jednej z ostatnich wersji Licencjobiorca mo¿e u¿yæ, je¿eli jej wydawca wyrazi na to zgodê.
B. 
Wymieniæ na Stronie tytu³owej, jako autorów, jedn± lub kilka osób albo jednostek odpowiedzialnych za autorstwo modyfikacji Zmodyfikowanej wersji, a tak¿e przynajmniej piêciu spo¶ród pierwotnych autorów Dokumentu (wszystkich, je¶li by³o ich mniej ni¿ piêciu).
C. 
Umie¶ciæ na Stronie tytu³owej nazwê wydawcy Zmodyfikowanej wersji.
D. 
Zachowaæ wszelkie noty o prawach autorskich zawarte w Dokumencie.
E. 
Dodaæ odpowiedni± notê o prawach autorskich dotycz±cych modyfikacji obok innych not o prawach autorskich.
F. 
Bezpo¶rednio po notach o prawach autorskich, zamie¶ciæ notê licencyjn± zezwalaj±c± na publiczne u¿ytkowanie Zmodyfikowanej wersji na zasadach niniejszej Licencji w postaci podanej w Za³±czniku poni¿ej.
G. 
Zachowaæ w nocie licencyjnej pe³n± listê Sekcji niezmiennych i wymaganych Tre¶ci ok³adki podanych w nocie licencyjnej Dokumentu.
H. 
Do³±czyæ nie zmienion± kopiê niniejszej Licencji.
I. 
Zachowaæ sekcjê zatytu³owan± "Historia" oraz jej tytu³ i dodaæ do niej informacjê dotycz±c± przynajmniej tytu³u, roku publikacji, nowych autorów i wydawcy Zmodyfikowanej wersji zgodnie z danymi zamieszczonymi na Stronie tytu³owej. Je¿eli w Dokumencie nie istnieje sekcja pod tytu³em "Historia", nale¿y j± utworzyæ, podaj±c tytu³, rok, autorów i wydawcê Dokumentu zgodnie z danymi zamieszczonymi na stronie tytu³owej, a nastêpnie dodaj±c informacjê dotycz±c± Zmodyfikowanej wersji, jak opisano w poprzednim zdaniu.
J. 
Zachowaæ wymienion± w Dokumencie (je¶li taka istnia³a) informacjê o lokalizacji sieciowej, publicznie dostêpnej Jawnej kopii Dokumentu, a tak¿e o podanych w Dokumencie lokalizacjach sieciowych poprzednich wersji, na których zosta³ on oparty. Informacje te mog± siê znajdowaæ w sekcji "Historia". Zezwala siê na pominiêcie lokalizacji sieciowej prac, które zosta³y wydane przynajmniej cztery lata przed samym Dokumentem, a tak¿e tych, których pierwotny wydawca wyra¿a na to zgodê.
K. 
W ka¿dej sekcji zatytu³owanej "Podziêkowania" lub "Dedykacje" zachowaæ tytu³ i tre¶æ, oddaj±c równie¿ ton ka¿dego z podziêkowañ i dedykacji.
L. 
Zachowaæ wszelkie Sekcje niezmienne Dokumentu w niezmienionej postaci (dotyczy zarówno tre¶ci, jak i tytu³u). Numery sekcji i równowa¿ne im oznaczenia nie s± traktowane jako nale¿±ce do tytu³ów sekcji.
M. 
Usun±æ wszelkie sekcje zatytu³owane "Adnotacje". Nie musz± one byæ za³±czane w Zmodyfikowanej wersji.
N. 
Nie nadawaæ ¿adnej z istniej±cych sekcji tytu³u "Adnotacje" ani tytu³u pokrywaj±cego siê z jak±kolwiek Sekcj± niezmienn±.

Je¿eli Zmodyfikowana wersja zawiera nowe sekcje pocz±tkowe lub dodatki stanowi±ce Sekcje drugorzêdne i nie zawieraj±ce materia³u skopiowanego z Dokumentu, Licencjobiorca mo¿e je lub ich czê¶æ oznaczyæ jako sekcje niezmienne. W tym celu musi on dodaæ ich tytu³y do listy Sekcji niezmiennych zawartej w nocie licencyjnej Zmodyfikowanej wersji. Tytu³y te musz± byæ ró¿ne od tytu³ów pozosta³ych sekcji.
Licencjobiorca mo¿e dodaæ sekcjê "Adnotacje", pod warunkiem, ¿e nie zawiera ona ¿adnych tre¶ci innych ni¿ adnotacje dotycz±ce Zmodyfikowanej wersji - mog± to byæ na przyk³ad stwierdzenia o recenzji kole¿eñskiej albo o akceptacji tekstu przez organizacjê jako autorytatywnej definicji standardu.
Na koñcu listy Tre¶ci ok³adki w Zmodyfikowanej wersji, Licencjobiorca mo¿e dodaæ fragment "do umieszczenia na przedniej ok³adce" o d³ugo¶ci nie przekraczaj±cej piêciu s³ów, a tak¿e fragment o d³ugo¶ci do 25 s³ów "do umieszczenia na tylnej ok³adce". Przez ka¿d± jednostkê (lub na mocy ustaleñ przez ni± poczynionych) mo¿e zostaæ dodany tylko jeden fragment z przeznaczeniem na przedni± ok³adkê i jeden z przeznaczeniem na tyln±. Je¿eli Dokument zawiera ju¿ tre¶æ ok³adki dla danej ok³adki, dodan± uprzednio przez Licencjobiorcê lub w ramach ustaleñ z jednostk±, w imieniu której dzia³a Licencjobiorca, nowa tre¶æ ok³adki nie mo¿e zostaæ dodana. Dopuszcza siê jednak zast±pienie poprzedniej tre¶ci ok³adki now± pod warunkiem wyra¼nej zgody poprzedniego wydawcy, od którego stara tre¶æ pochodzi. 
Niniejsza Licencja nie oznacza, i¿ autor (autorzy) i wydawca (wydawcy) wyra¿aj± zgodê na publiczne u¿ywanie ich nazwisk w celu zapewnienia autorytetu jakiejkolwiek Zmodyfikowanej wersji.
5. £±czenie dokumentów
Licencjobiorca mo¿e ³±czyæ Dokument z innymi dokumentami wydanymi na warunkach niniejszej Licencji, na warunkach podanych dla wersji zmodyfikowanych w czê¶ci 4 powy¿ej, jednak tylko wtedy, gdy w po³±czeniu zostan± zawarte wszystkie Sekcje niezmienne wszystkich oryginalnych dokumentów w postaci niezmodyfikowanej i gdy bêd± one wymienione jako Sekcje niezmienne po³±czenia w jego nocie licencyjnej.
Po³±czenie wymaga tylko jednej kopii niniejszej Licencji, a kilka identycznych Sekcji niezmiennych mo¿e zostaæ zast±pionych jedn±. Je¿eli istnieje kilka Sekcji niezmiennych o tym samym tytule, ale ró¿nej zawarto¶ci, Licencjobiorca jest zobowi±zany uczyniæ tytu³ ka¿dej z nich unikalnym poprzez dodanie na jego koñcu, w nawiasach, nazwy oryginalnego autora lub wydawcy danej sekcji, o ile jest znany, lub unikalnego numeru. Podobne poprawki wymagane s± w tytu³ach sekcji na li¶cie Sekcji niezmiennych w nocie licencyjnej po³±czenia.
W po³±czeniu Licencjobiorca musi zawrzeæ wszystkie sekcje zatytu³owane "Historia" z dokumentów oryginalnych, tworz±c jedn± sekcjê "Historia". Podobnie ma post±piæ z sekcjami "Podziêkowania" i "Dedykacje". Wszystkie sekcje zatytu³owane "Adnotacje" nale¿y usun±æ.
6. Zbiory dokumentów
Licencjobiorca mo¿e utworzyæ zbiór sk³adaj±cy siê z Dokumentu i innych dokumentów wydanych zgodnie z niniejsz± Licencj± i zast±piæ poszczególne kopie Licencji pochodz±ce z tych dokumentów jedn± kopi± do³±czon± do zbioru, pod warunkiem zachowania zasad Licencji dotycz±cych kopii dos³ownych we wszelkich innych aspektach ka¿dego z dokumentów.
Z takiego zbioru Licencjobiorca mo¿e wyodrêbiæ pojedynczy dokument i rozpowszechniaæ go niezale¿nie na zasadach niniejszej Licencji, pod warunkiem zamieszczenia w wyodrêbnionym dokumencie kopii niniejszej Licencji oraz zachowania zasad Licencji we wszystkich aspektach dotycz±cych dos³ownej kopii tego dokumentu.
7. Zestawienia z pracami niezale¿nymi
Kompilacja Dokumentu lub jego pochodnych z innymi oddzielnymi i niezale¿nymi dokumentami lub pracami nie jest uznawana za Zmodyfikowan± wersjê Dokumentu, chyba ¿e odnosz± siê do niej jako do ca³o¶ci prawa autorskie. Taka kompilacja jest nazywana zestawieniem, a niniejsza Licencja nie dotyczy samodzielnych prac skompilowanych z Dokumentem, je¶li nie s± to pochodne Dokumentu.
Je¿eli do kopii Dokumentu odnosz± siê wymagania dotycz±ce Tre¶ci ok³adki wymienione w czê¶ci 3 i je¿eli Dokument stanowi mniej ni¿ jedn± czwart± ca³o¶ci zestawienia, Tre¶æ ok³adki Dokumentu mo¿e byæ umieszczona na ok³adkach zamykaj±cych Dokument w obrêbie zestawienia. W przeciwnym razie Tre¶æ ok³adki musi siê pojawiæ na ok³adkach ca³ego zestawienia.
8. T³umaczenie
T³umaczenie jest uznawane za rodzaj modyfikacji, a wiêc Licencjobiorca mo¿e rozpowszechniaæ t³umaczenia Dokumentu na zasadach wymienionych w punkcie 4. Zast±pienie Sekcji niezmiennych ich t³umaczeniem wymaga specjalnej zgody w³a¶cicieli prawa autorskiego. Dopuszcza siê jednak zamieszczanie t³umaczeñ wybranych lub wszystkich Sekcji niezmiennych obok ich wersji oryginalnych. Podanie t³umaczenia niniejszej Licencji mo¿liwe jest pod warunkiem zamieszczenia tak¿e jej oryginalnej wersji angielskiej. W przypadku niezgodno¶ci pomiêdzy zamieszczonym t³umaczeniem a oryginaln± wersj± angielsk± niniejszej Licencji moc prawn± ma oryginalna wersja angielska.
9. Wyga¶niêcie
Poza przypadkami jednoznacznie dopuszczonymi na warunkach niniejszej Licencji nie zezwala siê Licencjobiorcy na kopiowanie, modyfikowanie, czy rozpowszechnianie Dokumentu ani te¿ na cedowanie praw licencyjnych. We wszystkich pozosta³ych wypadkach ka¿da próba kopiowania, modyfikowania lub rozpowszechniania Dokumentu albo cedowania praw licencyjnych jest niewa¿na i powoduje automatyczne wyga¶niêcie praw, które licencjobiorca naby³ z tytu³u Licencji. Niemniej jednak w odniesieniu do stron, które ju¿ otrzyma³y od Licencjobiorcy kopie albo prawa w ramach niniejszej Licencji, licencje nie zostan± anulowane, dopóki strony te w pe³ni siê do nich stosuj±. 
10. Przysz³e wersje Licencji
W miarê potrzeby Free Software Foundation mo¿e publikowaæ nowe poprawione wersje GNU Free Documenation License. Wersje te musz± pozostawaæ w duchu podobnym do wersji obecnej, choæ mog± siê ró¿niæ w szczegó³ach dotycz±cych nowych problemów czy zagadnieñ. Patrz http://www.gnu.org/copyleft/.
Ka¿dej wersji niniejszej Licencji nadaje siê wyró¿niaj±cy j± numer. Je¿eli w Dokumencie podaje siê numer wersji Licencji, oznaczaj±cy, i¿ odnosi siê do niego podana "lub jakakolwiek pó¼niejsza" wersja licencji, Licencjobiorca ma do wyboru stosowaæ siê do postanowieñ i warunków albo tej wersji, albo którejkolwiek wersji pó¼niejszej opublikowanej oficjalnie (nie jako propozycja) przez Free Software Foundation. Je¶li Dokument nie podaje numeru wersji niniejszej Licencji, Licencjobiorca mo¿e wybraæ dowoln± wersjê kiedykolwiek opublikowan± (nie jako propozycja) przez Free Software Foundation.

D
SAGE: cech
administratorów systemu
Dodatek D: SAGE: cech administratorów systemu


Je¿eli pisz±c artyku³y do grupy comp.os.linux.*  i czytaj±c dokumentacjê, nie uzyskujesz wszystkich potrzebnych informacji, byæ mo¿e czas do³±czyæ do grupy SAGE - cechu administratorów systemu sponsorowanego przez USENIX. Sage zabiega o to, aby administrowanie systemem zyska³o rangê zawodu. SAGE zrzesza administratorów systemów i administratorów sieci i pomaga im rozwijaæ umiejêtno¶ci zawodowe, zapewnia forum dzielenia siê problemami i ich rozwi±zywania oraz pozwala dyskutowaæ u¿ytkownikom, zarz±dom i producentom na tematy zwi±zane z administrowaniem systemem.
Do aktualnych inicjatyw SAGE nale¿±:

· Wspólne sponsorowanie wraz z USENIX-em dorocznej konferencji dla administratorów systemów (LISA).
· Publikowanie Job Descriptions for System Administrators, redagowanej przez Tinê Darmohray, pierwszej serii praktycznych broszurek i przewodników po zasobach obejmuj±cych zagadnienia i techniki zwi±zane z administrowaniem systemem.
· Tworzenie o¶rodków archiwum, ftp.sage.usenix.org, gdzie s± gromadzone referaty z konferencji administratorów systemu i dokumentacja zwi±zana z administrowaniem systemem.
· Tworzenie grup roboczych w obszarach istotnych dla administratorów systemów, jak zadania, publikacje, polityki, elektroniczne rozpowszechnianie informacji, edukacja, producenci i standardy.
Aby dowiedzieæ siê wiêcej na temat stowarzyszenia USENIX i jego specjalnej sekcji technicznej SAGE, skontaktuj siê z biurem stowarzyszenia pod numerem telefonu (510) 528-8649 w Stanach Zjednoczonych lub za po¶rednictwem poczty elektronicznej: office@usenix.org. Aby otrzymaæ elektroniczne informacje, napisz na adres: info@usenix.org. Roczna sk³adka dla cz³onków SAGE to 25 USD (musisz byæ tak¿e cz³onkiem USENIX). Cz³onkowie s± uprawnieni do bezp³atnego otrzymywania kwartalników technicznych "login:" i "Computing Systems" oraz maj± rabaty przy rejestracji na konferencjach i sympozjach, a tak¿e przy zakupie publikacji i innych us³ug SAGE.


!
8250 UART, uk³ad scalony, 52
16450 UART, uk³ad scalony, 52
16550 UART, uk³ad scalony, 52
A
A, rekord DNS, 95-96, 104
A News, 361
accept(), funkcja, 12
access_db (sendmail), 336
adres
e-mail, 306
Ethernet, 5
grupowy, 77
Hesiod, 95
IP, 9, 20-21
przypisywanie, 63-64
pamiêci, 31
pêtli zwrotnej, 21
podstawowy urz±dzenia, 31
rozg³oszeniowy, 21
wej¶cia/wyj¶cia, 31
agent
pocztowy u¿ytkownika, zob. MUA
przesy³ania wiadomo¶ci, zob. MTA
alias IP, zob. IP
aliasy pocztowe, zob. sendmail
Allman Eric, 301
ArcNet, 6, 46
arp, polecenie, 80-82
ARP (Address Resolution Protocol), protokó³, 22
sprawdzanie tablic, 80-82
w³±czanie/wy³±czanie, 77
ARPANET, 2, 302
artyku³ Usenet, 362
auto-IRQ, 42
automatyczne dzwonienie przez chat, zob. chat
autorytatywne serwery nazw, zob. DNS
autowykrywanie, 32
ATM (Asynchronous Transfer Mode), 7, 12
AX25 HOWTO, 7, 39
AX.25, protokó³, 7, 39
Aznar Guylhem, 272, 302
B
B News, 361, 378, 388
Barber Stan, 388
BBS (Bulletin Board System), 47
Becker Donald, 41
BGP, protokó³, 28
BIND (Berkeley Internet Name Domain), us³uga, 83, 100
bind(), funkcja, 12
bindery, narzêdzia do obs³ugi bazy, 267
binhex, 36
Biro Ross, 13
bit typu us³ugi, zob. TOS
blacklist_recipients (sendmail), 337
Blundell Philip, 45
BNC, wtyczka, 4
BNU (Basic Networking Utilities), 271
/boot, katalog, 16
BOOTP, 23
browar wirtualny, 429
bryd¿, 5
bsmtp, polecenie, 290, 305
Burkett B. Scott, XIII
C
C News, 361, 367, 388, 427
active, plik, 374, 386
active.times, plik, 374-375
addgroup, skrypt, 386
addmissing, skrypt, 386
batchlog, plik, 382
batchparams, plik, 376
cancel, wiadomo¶æ kontrolna, 382
checkgroups, wiadomo¶æ kontrolna, 383-384
delgroup, skrypt, 386
dostarczanie grup dyskusyjnych, 367-369
errlog, plik, 382
explist, plik, 378-381
instalacja, 369-371
localgroups, plik, 381
log, plik, 382
mailpaths, plik, 381
narzêdzia, 385-386
newgroup, wiadomo¶æ kontrolna, 383
newsboot, skrypt, 386
newsdaily, skrypt, 385-386
newsgroups, plik, 381
newsrunning, skrypt, 386
newswatch, skrypt, 386
przetwarzanie wsadowe artyku³ów, 376-378
rmgroup, wiadomo¶æ kontrolna, 383
sendbatches, plik, 377-378
sendsys, wiadomo¶æ kontrolna, 384
senduuname, wiadomo¶æ kontrolna, 384
sys, plik, 371-374
version, wiadomo¶æ kontrolna, 384
watchtime, plik, 382
wiadomo¶ci kontrolne, 382-384
wspó³praca z nntpd, 397-398
wygasanie grup dyskusyjnych, 378-381
zadania administracyjne, 385-386
Caldera, dystrybucja Linuksa, XIX, 255
CCITT, 301
CHAP (Challenge Handshake Authentication Protocol), protokó³, 126, 137-140
plik sekretów, 139-140
chargen, us³uga, 213
chat, polecenie, 126
automatyczne dzwonienie, 129-132
ci±g oczekiwany, 130
ci±g wysy³any, 130
cienki Ethernet, zob. Ethernet
CNAME, rekord DNS, 95, 105
Collyre Geoff, 361
com, domena, 91
COM, port, 51
comp.mail.uucp, grupa dyskusyjna, 272
comp.os.linux.admin, grupa dyskusyjna, XV
comp.os.linux.announce, grupa dyskusyjna, XV
comp.os.linux.answers, grupa dyskusyjna, 41, 272
comp.os.linux.development, grupa dyskusyjna, XVI
comp.os.linux.help, grupa dyskusyjna, XV
comp.os.linux.misc, grupa dyskusyjna, XVI
comp.os.linux.networking, grupa dyskusyjna, XVI
comp.protocols.ppp, grupa dyskusyjna, 127
comp.protocols.tcp-ip.domains, grupa dyskusyjna, 83
compress, polecenie, 376-377
connect(), funkcja, 12
Corel, dystrybucja Linuksa, XIX
Cox Alan, 13, 254
cron, 15
CSLIP (Compressed Serial Line IP), protokó³, 9, 114
czêsto zadawane pytania, zob. FAQ
D
DARPA, 2
datagram, 2, 8
Davies David C., 40
daytime, us³uga, 213
DBM, biblioteka, 230, 397-398
dbmload, program, 234
DDI (Device Driver Interface), 14
Debian, dystrybucja Linuksa, XIX
DECNet, 6
demony rutingu, 25
Dent Arthur, 122
/dev, katalog, 32
/dev/cua*, 49-51
/dev/modem, 51
/dev/tty*, 32
/dev/ttyS*, 49-51
dialin, urz±dzenie, 49
dialout, urz±dzenie, 49
dig, polecenie, 111
dip, polecenie, 117-122
diphosts, plik, 122
diplogin, polecenie, 117, 123-124
DISPLAY, zmienna ¶rodowiskowa, 3
domainname, polecenie, 63, 232
domena, 91
globalna najwy¿szego rzêdu, 91
g³ówna, 89, 91
NIS, zob. NIS
domenizowanie, 311
domy¶lny ruting, 21
DNS (Domain Name System), 30, 83, 90-93
autorytatywne serwery nazw, 94
baza danych, 94-96
domena pocz±tkowa, 102
g³ówne serwery nazw, 94
lokalna pamiêæ podrêczna, 94
odwzorowanie odwrotne, 96
pliki bazy danych, 102-106
podstawowy serwer nazw, 94
poszukiwanie nazw, 93-94
rekord zasobu, 95, 102
serwer pamiêci podrêcznej, 94-95, 106
serwer podleg³y, 100
typy serwerów nazw, 94
wyszukiwanie odwrotne, 96-98
zapasowy serwer nazw, 94
dnswalk, polecenie, 111
DOMAIN, makro sendmail, 321
Dryak Ales, 254-255
DUL (Dial-Up List), 358
dzielenie na podsieci, 24
dzwonienie na ¿±danie, zob. PPP
E
echo, us³uga, 219
edu, domena, 91
EGP, protokó³, 28
Ekwall Bjorn, 40
Electronic Mail HOWTO, 302
elm, 313
konfigurowanie, 313
narodowe zestawy znaków, 314
opcje globalne, 313
emulacja serwera NetWare, zob. NetWare
Eriksson Peter, 65, 230
ESMTP, protokó³, 331
/etc/alias, plik, 332
/etc/aliases, plik, 356
/etc/diphosts, plik, 122-124
/etc/dip.pid, plik, 118
/etc/elm/elm.rc, plik, 313
/etc/exim.conf, plik, 347, 358
/etc/exports, plik, 248-250
/etc/fstab, plik, 62, 245
/etc/group, plik, 231, 240-241
/etc/host, plik, 90
/etc/host.conf, plik, 65, 84-88
/etc/hostname, plik, 280
/etc/hosts, plik, 29, 63, 65, 87, 231
/etc/hosts.allow, plik, 216-217, 235
/etc/hosts.deny, plik, 216-217, 235
/etc/inetd.conf, plik, 214-215, 292, 349, 395
/etc/inittab, plik, 58
/etc/lilo.conf, plik, 42-43
/etc/mail/access, plik, 336
/etc/mail/sendmail.cf, plik, 318
/etc/mail/trusted-user, plik, 331
/etc/mgetty/mgetty.config, plik, 58-59
/etc/named.boot, plik, zob. named.boot
/etc/named.conf, plik, zob. named.conf
/etc/networks, plik, 65-66, 86-88, 231, 396
/etc/nis.conf, plik, 239
/etc/nntpserver, plik, 426
/etc/nsswitch.conf, 84, 86-88, 238-241
/etc/passwd, plik, 122-123, 142, 215, 231, 240-241, 292, 354, 371, 397
/etc/ppp/ip-down, plik, 135
/etc/ppp/ip-up, plik, 135
/etc/ppp/options, plik, 128, 137
/etc/ppp/chat-secrets, plik, 138
/etc/ppp/pap-secrets, plik, 138
/etc/printcap, plik, 268-269
/etc/protocols, plik, 178, 217-219, 231
/etc/rc*, skrypty, 61
/etc/resolv.conf, plik, 86-90, 113, 127
/etc/rpc, plik, 219-220, 231
/etc/sendmail.cf, plik, 318
/etc/sendmail.ct, plik, 331
/etc/services, plik, 11, 156, 217-219, 231, 289, 395
/etc/shadow, plik, 142, 242
/etc/ssh/ssh_config, plik, 223
/etc/ssh/ssh_host_key, plik, 222
/etc/ssh/ssh_host_key.pub, plik, 222
/etc/uucp/config, plik, 276
/etc/uucp/dial, plik, 277
/etc/uucp/port, plik, 277
/etc/yp.conf, plik, 236-237
/etc/ypserv.securenets, plik, 235
Ethernet, 4
automatyczne wykrywanie kart, 41-42
cienki/gruby, 4
instalacja, 41-43
interfejs, 69-71
kolizje, 5
skrêtkowy, 4
etrn, skrypt, 344
exim, 347
aliasy, 356-357
dostarczanie poczty, 354
kompilowanie, 350-351
konfiguracja UUCP, 358-359
listy pocztowe, 357
ochrona przed spamem, 357-358
opcje konfiguracyjne, 352-353
przekierowywanie poczty, 355-356
ruting poczty, 353-354
tryb dostarczania poczty, 351-352
u¿ytkownicy lokalni, 355
expect, program, 129-130
expire.ctl, plik, zob. innd
exports, plik, 248-250
F
FAQ, XIV
Ethernet, 5
FDDI (Fiber Distribution Data Interface), 6, 46
FEATURE, makro sendmaila, 322
FHS (File Hierarchy Standard), XVIII
FidoNet, 48
FIFO, bufor, 52
filtrowanie IP, zob. IP
finger, program, 215
firewall, 149-150
konfigurowanie Linuksa, 152
konfigurowanie w j±drach, 37, 152
przyk³adowa konfiguracja, 186-193
testowanie konfiguracji, 184-186
.forward, plik, 355
FQDN (Fully Qualified Domain Name), 63, 91, 325
FRAD (Frame Relay Access Device), 7
fragmentacja IP, 38, 200
Frame Relay, 7
Frampton Steve, XIII
FSSTND (File System Standard), XX, 50, 305
FTP (File Transfer Protocol)
tryb bierny, 158
tryb czynny, 158
G
gated, program, 28
gateway, 8, 24-26
konfigurowanie, 71-72
getdomainname, funkcja, 89
gethostbyaddr(), funkcja, 29, 84, 248
gethostbyname(), funkcja, 29, 84, 274
gethostname(), funkcja, 140
getpwnam(), funkcja, 233
getpwuid(), funkcja, 233
getservbyname(), funkcja, 238
getty, polecenie, 57
glibc, biblioteka, 84
g³ówne serwery nazw, zob. DNS
GNU, XII
FDL (Free Documentation License), 433
lib C, 236-237
Goldt Sven, XIII
gov, domena, 91
GPG (GNU Privacy Guard), 417
Groucho Marx, uniwersytet (GMU), 3, 429
gruby Ethernet, zob. Ethernet
grupy dyskusyjne, 361
fa³szowanie, 388
podszywanie, 388
¶ci±ganie, 365, 387
wciskanie, 365, 387
wygasanie, 365
grupy u¿ytkowników Linuksa, XVII
gzip, polecenie, 376-377
H
Hankins Greg, 47
Harper John D., XIII
Hazel Philip, XIX, 301
HDB UUCP, 271
HDLC (High-Level Data Link Control), protokó³, 125, 142
Hesiod, zob. adres Hesiod
HINFO, rekord DNS, 105-106
history, plik, 364, 367, 380, 386
HoneyDanber UUCP, zob. HDB UUCP
hopy, 28
Horton Mark, 361
host wymieniaj±cy pocztê, 105
host.conf, plik, 65, 84-88
hostcvt, polecenie, 111
hostname, polecenie, 63, 280
hoststat, polecenie, 344-345
hosts.byaddr, plik, 231
hosts.byname, plik, 231
hosty, 2
wirtualne, 38
HOWTO, XIII
AX25, 7, 39
Electronic Mail, 302
Ethernet, 41
Firewall, 151
Hardware Compatibility, XIV
Installation, XIV
IPCHAINS, 163, 167
IPTABLES, 211
IPX, 270
Networking, 7, 37
NIS, 230
PACKET-FILTERING-HOWTO, 176
PPP, 127
Serial, 47
UUCP, 272
hub aktywny, 4
I
IANA, organizacja, 64
ICMP (Internet Control Message Protocol), 28-29
komunikat Port Unreachable, 28
komunikat Redirect, 28
zliczanie datagramów, 200-202
typy datagramów, 162
ID procesu, zob. pid
IDP (Internet Datagram Protocol), protokó³, 253-254
IETF (Internet Engineering Task Force), 11
ifconfig, polecenie, 49, 66, 75-77
in-addr.arpa, domena, 96-97
inetd, 213-215, 348-349
inetd.conf, plik, 214-215, 292, 349, 395
inews, polecenie, 364, 385, 397
init, proces, 60
INN (Internet News), 361, 399
inn.conf, plik, zob. innd
innd, 399
active, plik, 401, 405-407
anulowanie artyku³u, 423
architektura, 399-400
bufor grup, 401
control.ctl, plik, 415-418
ctlinnd, polecenie, 419
dodawanie nowej grupy, 419
expire.ctl, plik, 414-415
hosts.nntp, plik, 412
incoming.conf, plik, 411-412
inn.conf, plik, 404-405
innxmit, program, 401, 408, 410-411
instalacja, 402-403
kana³y, 401
konfigurowanie, 403
dostarczania grup do innych serwerów, 407-411
grup dyskusyjnych, 405
kontrolowanie dostêpu przegl±darki, 411-413
newsfeeds, plik, 401, 407-409, 412
newsgroups, plik, 405-407
nnrp.access, plik, 412-413
nntpsend.ctl, plik, 410-411
od³±czenie dostarczania plików z innego serwera, 422
odmowa po³±czenia z innego serwera, 421
parametry globalne, 404-405
pliki konfiguracyjne, 403-418
pozwolenie na po³±czenie z innego serwera, 421
przenumerowanie grupy, 420
restart serwera, 421-422
rozpoczynanie dostarczania plików z innego serwera, 422
status pobierania plików, 422
usuwanie grupy, 420
wiadomo¶ci kontrolne, 415-418
wygasanie artyku³ów w grupach, 413-415
zamkniêcie serwera, 421
zarz±dzanie, 419-423
zmiana grupy, 419
innxmit, polecenie, zob. innd
insmod, polecenie, 208
instalowanie plików binarnych, 62-63
instancja urz±dzenia, 32
inteligentny host, 324, 333-334, 353
interfejs
aktywny, 66
Ethernet, zob. Ethernet
fikcyjny, 73-74
pêtli zwrotnej, 21, 67-68
PLIP, 72-73
PPP, 73
sieciowy , 19
SLIP, 73
statystyki, zob. statystyki interfejsu
Internet News, zob. INN
Internetowy protokó³ komunikatów kontrolnych, zob. ICMP
IP (Internet Protocol), 8
alias, 74
IPv4, 9
IPv6, 9, 20
filtrowanie IP, 151, 154-155
fragmentacja, zob. fragmentacja IP
konfiguracja interfejsu, 66-67
liczenie ruchu, 38, 195
bierne, 204
konfigurowanie, 195-198
usuwanie zestawów regu³, 204
wed³ug adresu, 196-197
wed³ug portu us³ugi, 198-200
wed³ug protoko³u, 201-202
wykorzystywanie wyników, 202-203
zerowanie liczników, 203-204
zliczanie datagramów ICMP, 200-201
³±cza równoleg³ego, zob. PLIP
³±cza szeregowego, zob. SLIP
maskowanie, 64, 205
konfigurowanie j±dra, 207-209
konfigurowanie us³ugi, 209-211
parametry czasowe, 210-211
opcje konfiguracyjne PPP, 132-135
przekazywanie, 72
¼ród³owy wybór trasy, 39
ipchains, polecenie, 152-153, 162-173
argumenty, 164-167
definiowanie ³añcuchów, 168-173
konfigurowanie liczenia ruchu IP, zob. IP
listowanie regu³, 168
przyk³ad, 167
przyk³adowa konfiguracja firewalla, 188-190
sk³adnia, 163-164
skrypty pomocnicze, 173
ustawianie TOS, 182-183
u¿ywanie, 163
ipchains-restore, skrypt, 173
ipchains-save, skrypt, 173
IPCHAINS-HOWTO, 163, 167
IPCP (Internet Protocol Control Protocol), 126, 132
ipfwadm, polecenie, 152-162
argumenty, 159-162
konfigurowanie liczenia ruchu IP, zob. IP
przyk³ad, 155, 158
przyk³adowa konfiguracja firewalla, 186-188
ustawianie TOS, 182-183
ipfwadm-wrapper, polecenie, 163, 173
iptables, polecenie, 152-153, 177-181
argumenty, 177-181
konfigurowanie liczenia ruchu IP, zob. IP
przyk³ad, 181
przyk³adowa konfiguracja firewalla, 190-193
ustawianie TOS, 183-184
IPTABLES-HOWTO, 211
IPv4, 8
IPv6, 14
IPX (Internet Packet eXchange), protokó³, 254-262
interfejs podstawowy, 257
konfigurowanie interfejsów, 256-257
konfigurowanie j±dra, 256
konfigurowanie rutera, 259-260
listowanie serwerów w sieci, 266
narzêdzia konfiguracyjne, 257-259
ruting statyczny, 260
sieci wewnêtrzne, 260-262
IPX-HOWTO, 270
ipx_configure, polecenie, 257-258
ipx_interface, polecenie, 258-259
ipx_internal_net, polecenie, 262
ipx_route, polecenie, 260
ipxd, demon, 259
IRQ (Interrupt Request), 32
ISO-8859-1, standard, 314-315
J
j±dro
niestabilne, 34
2.0
opcje, 35-40
produkcyjne, 34
rozwojowe, 34
stabilne, 34
K
kabel
równoleg³y PLIP, 431-432
szeregowy NULL modem, 431-432
kanoniczna nazwa hosta, 95
karta sieciowa, 5
Kempen, Fred van, 13
kermit, polecenie, 47
kerneld, polecenie, 208
Kirch Olaf, XIX, 251
klasy sieci, 20-21
kodowanie c7, 376
kolizje, 5
komunikat przekierowania ICMP, 29
konfigurowanie
gatewaya, zob. gateway
interfejsu dla IP, zob. IP
j±dra, 34
poszukiwania przez serwer nazw, 88-90
kropkowa notacja
czwórkowa, 9
dziesiêtna, 9
Kukuk Thorsten, 230
L
LAN, 1
Lapsley Phil, 362
Latin-1, zestaw znaków, 316
LCP (Link Control Protocol), protokó³, 125, 135
LDP (Linux Documentation Project), XIII, XIV, XXI, 41
leafnode, program, 394, 399
Lendecke Volker, 254
lib C, biblioteka, 12, 29
Libes Don, 129
licencja GNU, zob. GNU
liczenie ruchu IP, zob. IP
lilo, polecenie, 42-43
linuksowe grupy dyskusyjne Usenetu, XV-XVI
linux-kernel, pocztowa lista dyskusyjna, XVI
linux-net, pocztowa lista dyskusyjna, XVI
linux-ppp, pocztowa lista dyskusyjna, XVI
Linux Journal, XV
Linux Magazine, XV
lista przeszukiwania resolvera, 89
listen(), funkcja, 12
LOCAL_NET_CONFIG, makro, 328, 334, 341-342
LOCAL_RULE_0, zestaw regu³ sendmail, 328
LOCAL_RULE_1, zestaw regu³ sendmail, 328
LOCAL_RULE_2, zestaw regu³ sendmail, 328
LOCAL_RULE_3, zestaw regu³ sendmail, 328
LOCKDIR, zmienna ¶rodowiskowa, 51
login, polecenie, 57
lpd, demon, 268
LSB (Linux Standard Base), XIX
Lu H.J., 250
LUG (Linux User Group), XVII
lwared, program, 270
£
³añcuchy IP, 152, 162-173
M
m4, makroprocesor, 319
MAILER, makro sendmaila, 322
mailq, polecenie, 343, 351
mailstats, polecenie, 344
make menuconfig, polecenie, 35
makedbm, program, 234
maksymalna jednostka odbioru, zob. MRU
maksymalny rozmiar
datagramów, zob. MTU
MAPS (Mail Abuse Protection System), projekt, 357
mapy NIS, zob. NIS
mars_nwe, program, 270
maska
podsieci, 24
sieci, 24
maskowanie adresów, zob. IP
Meer, Sven van der, XIII
metamail, polecenie, 314
metody ataku, 148-149
metryka, 28, 76
mgetty, polecenie, 58-60
Middelink Pauline, 155
mil, domena, 91
MIME (Multipurpose Internet Mail Extensions), 303
minicom, polecenie, 47
modem
polecenia, 120
modulacja pasma podstawowego, 4
Morris G. Allan, 250
mount, polecenie, 244
mountd, demon, 248
MRU (Maximum Receive Unit), 125
MTA (Mail Transport Agent), 305
mthreads, program, 426-428
MTU (Maximum Transfer Unit), 20, 38
MUA (Mail User Agent), 305
MX, rekord DNS, 105, 308
Myklebust Trond, 251
N
named, polecenie, 98
named.ca, plik, 106-107
named.boot, plik, 98-101
named.conf, plik, 98-101
named.hosts, plik, 96, 107-108
named.local, plik, 108
named.rev, plik, 97, 108
named-bootconf.pl, polecenie, 100
nas³uchiwanie na porcie, 11
NAT (Network Address Translation), zob. translacja adresów sieciowych
NCP (Network Control Protocol), 14, 126
NCP (NetWare Core Protocol), 254
NCPFS (NetWare Core Protocol Filesystem), 255-256
ncpmount, polecenie, 263-266
NCSA telnet, polecenie, 44
NDS (NetWare Directory Service), 255
net, domena, 91
Net-1, wersja sieci, 13
Net-2, wersja sieci, 13, 230
Net-2d, wersja sieci, 13
Net-2Debugged, wersja sieci, 13-14
Net-2e, wersja sieci, 14
Net-3, wersja sieci, 13
Net-4, wersja sieci, 13-14
NET-FAQ, XIX
netfilter, polecenie, 152, 173-181
wsteczna zgodno¶æ, 176
NetRom, 39
netstat, polecenie, 70, 77-80
NetWare, 253
drukowanie do kolejki, 267-269
emulacja serwera, 270
montowanie wolumenu, 263
wysy³anie komunikatów do u¿ytkowników w sieci, 266-267
zarz±dzanie kolejkami drukowania, 269-270
Networking HOWTO, 7, 37
Neuling Michael, 163
newaliases, polecenie, 333
NEWSMASTER, zmienna ¶rodowiskowa, 371
newsrun, polecenie, 367
NFS (Network File System), XX, 3
demony, 247-248
d³ugi czas oczekiwania, 246
i C News, 385
krótki czas oczekiwania, 246
montowanie wolumenu, 245-247
przygotowanie do pracy, 244-245
wolumen, 245
zamontowany na sta³e, 246
zamontowany nietrwale, 246
NFSv2, 250
NFSv3, 251
NIC (Network Information Center), 20, 30
NIC (Network Interface Card), zob. karta sieciowa
nieautoryzowany dostêp, 148
NIS (Network Information System), XX, 30, 229
bezpieczeñstwo serwera, 235-236
domena, 232
eksploatacja serwera, 234-235
klient, 233
konfigurowanie z GNU libc, 236-237
mapy, 231
group, 240-241
passwd, 240-241
serwer g³ówny, 232
serwer podrzêdny, 232
wybór map, 238-239
z has³ami shadow, 242
NIS-HOWTO, 230
NIS+, 230, 233
tabele, 233
nn, program, 425
konfiguracja, 427-428
nnadmin, program, 427
nnmaster, program, 428
nnrp.access, plik, zob. innd
nnrpd, program, 402, 411-412
NNTP (Network News  Transfer Protocol), protokó³, 362, 387, 389
czytanie artyku³u z grupy, 394-395
implementacja wzorcowa, 388
listowanie
aktywnych grup, 391-392
artyku³ów w grupie, 393
dostêpnych grup, 391
nowych artyku³ów, 392
pobieranie
nag³ówka artyku³u, 393
tre¶ci artyku³u, 394
pod³±czanie siê do serwera grup, 389-390
przej¶cie do trybu czytania, 390-391
wciskanie artyku³u do serwera, 390
wybór grupy, 393
wysy³anie artyku³u, 392
nntp_access, plik, zob. nntpd
nntpd, program, 362, 381
autoryzacja, 397
distributions, plik, 381-382
instalacja, 396
nntp_access, plik, 395-396
ograniczenie dostêpu, 395-396
wspó³praca z C News, 397-398
nntpsend.ctl, plik, 409-410
NNTPSERVER, zmienna ¶rodowiskowa, 426
Noord Ray, 255
Novell, firma, 39, 253
nprint, polecenie, 267-268
NS, rekord DNS, 100, 104-105
nsend, polecenie, 266
nslint, polecenie, 111
nslookup, polecenie, 106, 109
numer
hosta, 20
sieci, 20
wersji j±dra, 34
zg³oszenia przerwania, zob. IRQ
.nwclient, plik, 265
NYS, 65, 230
O
odcisk palca, 225
odmowa obs³ugi, 148
odwrotny protokó³ rozwi±zywania adresów, zob. RARP
Oja Joanna, XIII
opcje sterowania ³±czem, zob. PPP
OpenLinux, 255
OpenSSH, 221
org, domena, 91
OSPF (Open Shortest Path First), protokó³, 39
OSTYPE, makro sendmaila, 321
OSWG (Open Source Writers Guild), XIV
o¶rodki, 2
P
PACKET-FILTERING-HOWTO, 176
PAD (Packet Assembler Disassembler), 6
Page Greg, 254
pakiet, 2
PAP (Password Authentication Protocol), protokó³, 126, 138-141
plik sekretów, 140-141
pathalias, polecenie, 312
pe³na nazwa domenowa, zob. FQDN
PGP (Pretty Good Privacy), 417
pid, 50
ping, polecenie, 68
pliki blokuj±ce, 50
PLIP (Parallel Line IP)
kabel, zob. kabel równoleg³y PLIP
sterownik, 44-46
interfejs, zob. interfejs PLIP
plipconfig, polecenie, 73
poczta elektroniczna, 301
analizowanie statystyk, 344-346
dawne formaty, 306-307
koperta, 302
³±czenie ró¿nych formatów, 307
³±czenie UUCP i RFC-822, 310-313
nag³ówek poczty, 302
sposób dostarczania, 305
tre¶æ wiadomo¶ci, 302
poddomeny, 91
podsieci, 23-24
pods³uchiwanie, 149
podstawowy serwer nazw, zob. DNS
podszywanie siê, 149
polecenia modemu, 120
Pomerantz Ori, XIII
portmapper, 68, 220
porty, 11
poszukiwanie nazw, zob. DNS
pow³oka, 3
poziomy uruchomienia, 59-60
.ppprc, plik, 129
PPP (Point-to-Point Protocol)
debugowanie konfiguracji, 141-142
dzwonienie na ¿±danie, 144-145
interfejs, 73
opcje sterowania ³±czem, 135-136
pliki opcji, 128-129
protokó³, 9, 126-127
ruting przez ³±cze, 133-134
serwer, 142-144
sta³e po³±czenie telefoniczne, 145
uwierzytelnianie, 137-138
wybór adresów IP, 132-133
zaawansowana konfiguracja, 142-145
PPP-HOWTO, 127
pppd, demon, 126-128
.pprc, plik, 129
pqlist, polecenie, 269
pqrm, polecenie, 270
pqstat, polecenie, 270
/proc, 62
/proc/filesystems, plik, 244
/proc/kmsg, plik, 142
/proc/net, katalog, 68
/proc/net/ip_acct, plik, 195
/proc/net/ip_alias, plik, 74
/proc/net/ip_masquerade, plik, 210
/proc/net/ipx_route, plik, 260
/proc/net/snmp, plik, 72
projekt dokumentacji Linuksa, zob. LDP
protoko³y rutingu
wewnêtrzne, 28
zewnêtrzne, 28
protokó³
BOOTP, zob. BOOTP	
datagramów u¿ytkownika, zob. UDP
ihave/sendme, 365
internetowy, zob. IP
internetowy ³±cza szeregowego, zob. SLIP
IP ³±cza równoleg³ego, zob. PLIP
kontroli transmisji, zob. TCP
NCP, zob. NCP
NNTP, zob. NNTP
obs³ugi ³±cza, 49
pakietowy, 295
przesuwnego okna, 296
przesy³ania wiadomo¶ci w sieci komputerowej Usenet, zob. NNTP
punkt-punkt, zob. PPP
rozwi±zywania adresów, zob. ARP
sterowania ³±czem, zob. LCP
sterowania protoko³em internetowym, zob. IPCP
sterowania sieci±, zob. NCP
strumieniowy, 295
uwierzytelniania has³em, zob. PAP
uwierzytelniania przez uzgodnienie, zob. CHAP
wysokopoziomowego sterowania ³±czem danych, zob. HDLC
proxy ARP, protokó³, 73, 133
przegl±darka grup dyskusyjnych, 364, 402, 425
w±tki, 425
przekazywanie IP, zob. IP
prze³±czanie pakietów, 2
przetwarzanie wsadowe, 368, 375
przypisywanie adresu IP, zob. adres IP
PTR, rekord DNS, 97, 105
purgestats, polecenie, 346
Q
QoS (Quality of Service), 7
R
radio
amatorskie, 39
pakietowe, 7
ramka Ethernet, 5
RARP (Reverse Address Resolution Protocol), 23, 38
RBL (Real-time Blackhole List), 335, 357-358
rc.inet1, skrypt, 61
rc.inet2, skrypt, 61
rc.serial, plik, 54
rcp, polecenie, 221
RedHat, dystrybucja Linuksa, XIX
rekord zasobu DNS, zob. DNS
rekordy klej±ce, 96, 105
relaynews, polecenie, 361-362, 367-368, 397
repeater, 5
RESOLV_ADD_TRIM_DOMAINS, zmienna ¶rodowiskowa, 86
RESOLV_HOST_CONF, zmienna ¶rodowiskowa, 85
RESOLV_MULTI, zmienna ¶rodowiskowa, 86
RESOLV_OVERRIDE_TRIM_DOMAINS, zmienna ¶rodowiskowa, 86
RESOLV_SERV_ORDER, zmienna ¶rodowiskowa, 85
RESOLV_SPOOF_CHECK, zmienna ¶rodowiskowa, 85
resolver
biblioteka resolverlibrary, 29
zmienne ¶rodowiskowe, 85
resolv.conf, plik, 86-90, 113, 127
RFC-821, 305, 309
RFC-822, 301-303, 306, 362
RFC-974, 309
RFC-977, 365, 387
RFC-1033, 83
RFC-1034, 83
RFC-1035, 83
RFC-1036, 362, 416
RFC-1123, 309
RFC-1144, 114
RFC-1341, 303
RFC-1437, 301
RFC-1597, 64
RFC-1700, 11, 105, 162, 348
RIP (Routing Information Protocol), protokó³, 28, 76, 254, 259
rlogin, polecenie, 10
rmail, polecenie, 290, 347
rnews, polecenie, 290, 367, 378, 397
Rose, protokó³, 39
route, polecenie, 68-71
rozg³aszanie, 22
rozwi±zywanie
adresów, 9, 22-23
nazwy hosta, 9, 29-30
RPC (Remote Procedure Call), interfejs, 213, 219-220, 233
rpcinfo, polecenie, 237
rpc.mountd, demon, 245-248
rpc.nfsd, demon, 247-248
rpc.portmap, demon, 247
rpc.ugidd, demon, 247-248
RR, zob. rekord zasobu DNS
RS-232, 52
rsh, polecenie, 385
rsmtp, polecenie, 305, 347
RTS/CTS (Ready to Send/Clear to Send), sygna³y, 52
runq, polecenie, 343
Rusling David A., XIII
Russell Paul, 163
ruter, 5
ruting
IP, 23, 71
poczty, 308
UUCP, 309-310
w Internecie, 308-309
rutowanie, 8
S
SAGE (System Administrator's Guild), 441
Salz Rich, 389
SAP (Service Advrtisement Protocol), protokó³, 254, 259
scp, polecenie, 221, 224, 227
sed, polecenie, 370
sendmail, program pocztowy, 317
aliasy pocztowe, 332
baza dostêpu, 335-336
czarna lista, 335
definiowanie protoko³ów transportowych poczty, 323-324
domeny wirtualne, 337-339
instalacja, 317-318
generowanie pliku sendmail.cf, 324
konfigurowanie domen wirtualnych, 337-339
konfigurowanie opcji, 330-331
konfigurowanie rutingu dla hostów lokalnych, 324
makrodefinicje lokalne, 322
pliki konfiguracyjne, 318
przyjmowanie poczty dla innych domen, 337-338
regu³y podstawiania
interpretacja, 324-329
pisanie, 324-329
testowanie konfiguracji, 339-342
u¿yteczne konfiguracje, 331
wy³±czanie otrzymywania poczty przez u¿ytkowników, 337
zarz±dzanie
buforem poczty, 343
niechcianymi pocztami, 334-335
sendmail.cf, plik, 317, 324-325, 339, 345
sendmail.ct, plik, 331
sendmail.cw, plik, 338
sendmail.mc, plik, 319-322, 331, 336
serwer
nazw, zob. DNS
NFS, zob. NFS
pamiêci podrêcznej nazw, zob. DNS
podleg³y, zob. DNS
PPP, zob. PPP
proxy, 116
SLIP, zob. SLIP
setnewsids, polecenie, 367
setserial, polecenie, 53-55
seyon, polecenie, 48
showmount, polecenie, 247
sieci
IP, 23
lokalne, zob. LAN
prywatne, 116-117
rozg³oszeniowe, 64, 72
rozleg³e, zob. WAN
UUCP, zob. UUCP
sieciowy system plików, zob. NFS
sieæ wydzielona, 149-150
Skahan Vince, XIX
skrypt dipa, 118
skrzynka pocztowa, 301
Slackware, dystrybucja Linuksa, XVII
slattach, polecenie, 114-115
SLIP (Serial Line IP)
dzia³anie, 114-116
interfejs, 73 
protokó³, 9
serwer, 122-124
z kompresj±, zob. CSLIP
SLIPDISC, 114
sliplogin, polecenie, 123
slist, polecenie, 266
slogin, polecenie, 225
SMART_HOST, makro sendmaila, 334
SMTP (Simple Mail Transfer Protocol), protokó³, 305, 347-350
SOA, rekord DNS, 96, 103-104
socket, biblioteka, 12
spam, 334
Spencer Henry, 361
SPP (Sequenced Packet Protocol), protokó³, 253-254
SPX (Sequenced Packet eXchange), protokó³, 254
.ssh/authorized_keys, plik, 224, 227
.ssh/identity, plik, 224-225
.ssh/identity.pub, plik, 224-225
.ssh/known_hosts, plik, 224-225
ssh, polecenie, 77
demon, 222-223
instalowanie i konfigurowanie, 221-225
klient, 223-225
korzystanie, 225-227
ssh-keygen, polecenie, 222
sta³e po³±czenie telefoniczne PPP, zob. PPP
standardowa podstawa Linuksa, XVIII-XIX
standardy systemów plików, XVIII
statystyki
interfejsu, 79
poczty, 344-346
sterownik
fikcyjny, 39
PLIP, zob. PLIP
PPP, 46
SLIP, 46
urz±dzenia, 31
Storm Kim F., 427
Stover Martin, 254-255
strefy przestrzeni nazw, 93
stty, polecenie, 55-57
sudo, polecenie, 117
superserwer inetd, 213-215
SuSE, dystrybucja Linuksa, XVII
syslog, 141, 216, 250
system
informacji sieciowej, zob. NIS
nazw domen, zob. DNS
plików /proc, zob. /proc
T
tabele IP, zob. iptables
tablica rutingu, 26-28
wy¶wietlanie, 77-79
tass, program, 426
Taylor Ian, 272
Taylor UUCP, zob. UUCP
TCP (Transmission Control Protocol), 9-10
TCP/IP (Transmission Control Protocol/Internet Protocol), 2
tcpd, 216-217
tcpdump, polecenie, 77
teletype, 48
telnet, polecenie, 389
terminal uproszczony, 52
TFTP (Trivial File Transfer Protocol), 16, 215
Thummler Swen, 230
tin, program, 425
konfiguracja, 426
TNC (Terminal Node Controller), 7
Token Ring, 6
TOS (Type of Service), 182-184
ustawianie za pomoc± ipfwadm i ipchains, 182-183
translacja adresów sieciowych, 177, 205, 211
transmisja grupowa IP, 21
trasowanie rozp³ywowe, 364
Tridgell Andrew, 13
tripwire, polecenie, 17
trn, program, 425
konfiguracja, 426-427
Truscott Tom, 361
tryb przechwytywania pakietów, 77, 204
T'so Theodore, 53
tworzenie podsieci, 64-65
U
UART, zob. 8250, 16450 i 16550
UDP (User Datagram Protocol), 10-11
uproszczony protokó³ przesy³ania plików, zob. TFTP
uptime, polecenie, 351
Urlichs Matthias, 14
uruchamianie bezdyskowe, 38
urz±dzenia
blokowe, 32
sieciowe, 40-41
szeregowe, 52
znakowe, 32
Usenet, 361-362
sposób obs³ugi grup dyskusyjnych, 364-366
USENIX, 441
/usr/lib/aliases, plik, 231
/usr/lib/uucp, katalog, 276, 281
/usr/lib/uucp/config, plik, 281
/usr/lib/uucp/dialcode, plik, 282
/usr/lib/uucp/dial, plik, 287-288
/usr/lib/uucp/sys, plik, 277, 282
uucico, polecenie, 272, 274-275, 282-284
dialog logowania, 274, 283-284
faza uzgadniania, 274
kopia nadrzêdna, 274
kopia podleg³a, 274
numer kolejny wywo³ania, 274
opcje wiersza poleceñ, 275
uuchk, polecenie, 276, 281
uucp, polecenie, 272-273
UUCP (Unix-to-Unix Copy), 12-13, 48, 271
alternatywy, 284
anonimowe, 294-295
buforowanie, 273
debugowanie, 299
identyfikowanie dostêpnych urz±dzeñ, 286-287
katalog buforowy, 273
konfigurowanie do przyjmowania po³±czeñ komutowanych, 292
konfigurowanie w eximie, 358-359
kontrola dostêpu do funkcji, 289-290
licznik wywo³añ, 299
maksymalny stopieñ buforowania, 273
nazewnictwo o¶rodków, 279-280
pliki konfiguracyjne, 275-278, 280-281
pliki log, 299
port, 282
projekt mapowania, 280
protoko³y niskiego poziomu, 295-297
przekazywanie, 291-292
przesy³anie, 273
przesy³anie plików, 290-291
przesy³anie przez TCP, 288-289
rozwi±zywanie problemów, 297-299
skrypt dialogowy, 279
stopieñ, 273
strojenie protoko³u, 296
u¿ywanie po³±czenia bezpo¶redniego, 289
w C News, 368
wybór protoko³ów, 297-298
wykonywanie polecenia, 290
wyznaczanie czasów dzwonienia, 284-286
zadanie, 273
zdalne wykonywanie, 273
UUCP-HOWTO, 272
uucpxtable, 313
uukodowanie, 36
uuname, polecenie, 384
uux, polecenie, 272-273, 368
uuxqt, polecenie, 272-273
uwierzytelnianie w PPP, zob. PPP
uuwho, polecenie, 312
uzgadnianie
sprzêtowe RTS/CTS, 52
XON/XOFF, 52
V
Van Jacobson, 114, 126
/var/lock, katalog, 50
/var/run/named.pid, plik, 98
/var/spool/news, katalog, 365, 371, 401
/var/spool/uucp, katalog, 273
/var/spool/uucppublic, katalog, 290, 295
Venema Wietse, 216
VERSIONID, makro sendmaila, 321
virusertable (sendmail), 339
Vos Jos, 155
W
WAN, 1
Welsh Matt, XIII, 34
wiadomo¶æ pocztowa, 302
WinModem, 52
wirtualne
domeny pocztowe, 337-339
hosty, 38
Wirzenius Lars, XIII
wolumen
NetWare, 263
NFS, zob. NFS
wsadowe SMTP, zob. bsmtp
wspó³dzia³anie miêdzysieciowe, 9
wykaz trasowania, 306
wykorzystanie znanych dziur w programach, 148
wyszukiwanie odwrotne nazw, zob. DNS
wy¶wietlanie
po³±czeñ, 80
statystyk interfejsu, 79
tablicy rutingu, 78-79
wzmacniak, zob. repeater
X
X Windows, 3
X.25, protokó³, 6
X.400, protokó³, 301, 306, 354
X.500, protokó³, 306
XDR (External Data Representation), 219
Xerox, firma, 253
XON/XOFF, 135, 431
XNS (Xerox Networking System), 253-254
Y
Yellow Pages, zob. NIS
YP (Yellow Pages), zob. NIS
ypbind, polecenie, 230, 232-233
ypcat, polecenie, 231
yppasswd, polecenie, 241
yps, polecenie, 234
ypserv, polecenie, 230, 234
Yutaka Niibe, 44
Z
zaczep wampirowy, 4
zapasowy serwer nazw, zob. DNS
zdalne wywo³anie procedur, zob. RPC
Zen, 362
zewnêtrzna reprezentacja danych, zob. XDR
ZMODEM, protokó³, 297
¯
¿etony, 6


O autorach
Olaf Kirch ma stopieñ naukowy w dziedzinie matematyki, ale zrezygnowa³ z zajmowania siê teori± kategorii i ma³ych sieci ci±g³ych (category theory and compact continuous lattices) po uruchomieniu pierwszej wersji j±dra Linuksa w 1992 roku. ¯ywo wspomina, z jak± rado¶ci± uczy³ siê Uniksa poprzez czytanie kodu ¼ród³owego j±dra Linuksa.
Od tego czasu Olaf uczestniczy³ w ró¿nych projektach zwi±zanych z Linuksem, w³±czaj±c w to pisanie du¿ych czê¶ci jego implementacji NFS i uruchomienie, wraz z Jeffem Uphoffem, pierwszej pocztowej listy dyskusyjnej o bezpieczeñstwie Linuksa w 1995 roku.
Aktualnie pracuje w firmie Caldera Systems, gdzie jest odpowiedzialny za rzeczy zwi±zane z sieciami oraz zagadnienia bezpieczeñstwa, a czasami zastanawia siê, czy to wszystko mu siê ¶ni, czy jest prawd±.
Wolne chwile lubi spêdzaæ z Maren i córk± Jule. A je¿eli czyta³e¶ jego biografiê w pierwszym wydaniu Podrêcznika administratora sieci, to zmieni³o siê tyle, ¿e Olaf obecnie ma prawo jazdy.
Terry Dawson jest operatorem radia amatorskiego i od d³u¿szego czasu entuzjast± Linuksa. Jest autorem wielu dokumentów HOWTO zwi±zanych z sieci±, stworzonych w ramach projektu dokumentacji Linuksa. Aktywnie uczestniczy w szeregu innych projektów zwi±zanych z Linuksem.
Terry ma 15-letnie do¶wiadczenie zawodowe w telekomunikacji. Obecnie zajmuje siê badaniami nad zarz±dzaniem sieci± w Telstra Research Laboratories. Mieszka w Sydney z ¿on± Maggie i synem Jackiem.