WiBSD Handbook
Předmluva
Dostali jste se na WiBSD Handbook, tedy příručku pro instalaci,
konfiguraci a používání WiBSD.
Tento Handbook je psán pro aktualní vývojovou verzi WiBSD-2, proto
je možné že některé zde uvedené postupy nebudou moci být aplikovány na
WiBSD-1 nebo na velmi starou verzi WiBSD-2. Pokud by však půjde o důležitá
nastavení systému, která jsou vzájemně nekompatabilni mezi oběma verzema,
uvedeme zde způsob nastavení pro obě.
Pokud najdete v dokumentu chybu, nějaký pojem nejasně vysvětlený,
rádi byste něco upřesnili nebo doplnili, nebo se chcete pouze na něco
zeptat, neváhejte nás kontaktovat na našem veřejném mailing listu http://www.wibsd.cz/support/index.html
nebo si projděte domovskou stránku projektu WiBSD http://www.wibsd.cz
Začínáme s WiBSD
V této sekci zjistíte
co je to WiBSD
jak získat WiBSD
jakým způsobem ho nainstalovat
jak se přihlásit
jak ho konfigurovat
jak upgradovat
Co je to WiBSD
WiBSD je otevřený systém odvozený z FreeBSD (www.freebsd.cz)
Nejdůležitější vlastnosti WiBSD
WiBSD je dost podstatným způsobem upraveno tak, aby ho bylo
možné provozovat na zařízeních s malým výkonem a s malým množstvím
paměti (například routery, bezdrátové access pointy, vpn
koncentrátory, a podobně).
V současné době se celá distribuce bez problému vejde na jednu
32MB flash kartu.
Používá pouze jeden konfigurační soubor, ze kterého se
automaticky generují konfigurační soubory pro všechny používané
programy. Tak je možné jednoduše prenést celou konfiguraci do jiného
boxu pouhým zkopírováním jednoho suboru.
Stále je však možné pro jednotlivé programy tuto možnost
vypnout a používat vlastní předpřipravené konfigurační soubory.
Vetšinou pro to ale není důvod.
Možnost jednoduchého vzdáleného upgradu celého systému.
Zadáte pouze adresu upgrade image na http nebo ftp serveru a
WiBSD se o všechno další postará.
WiBSD obsahuje kontrolní skripty, které před restartem
zkontrolují nastavení konfiguačního souboru a pokud zjistí chyby,
které by znemožnily přístup na zařízení nebo jeho nastartování,
oznámí je administrátorovi a restart pozastaví.
Instalace WiBSD
Protože je WiBSD otevřený systém, je možné jej získat z
oficiálních stránek www.wibsd.cz.
V současné době jsou podporovány dvě verze:
stable - verze založená na FreeBSD 5 a aktivně vyvíjená
legacy - verze založená na FreeBSD 4
Získání image
Nejprve je potřeba získat image, to jsou soubory z http://download.wibsd.cz/stable
a http://download.wibsd.cz/legacy,
jejichž název má strukturu "wibsd-verze-datum.bin.gz". Verze je ve
formátu [hlavní číslo verze].[vedlejší číslo verze].[číslo zmeny],
například 2.0.0. Datum je datum, kdy byl tento image vygenerován,
například 20050827 znamená, že tato verze byla vytvořena
27.8.2005.
Vložení image na médium
Image může být vložen na jakékoliv médium, ze kterého je váš
počítač schopen bootovat: například Compat Flash Card, USB, Pevný
disk. Jedinou podmínkou je, že dostupná velikost média musí být
minimálně stejná jako je velikost image. Postup je předveden pro
Compat Flash Card a pro ostatní média je velice podobný.
Předpokládáme ze máme image soubor wibsd-2.0.0-20050616.bin.gz
uložený z http://download.wibsd.cz/stable/wibsd-2.0.0-20050616.bin.gz
a systém vidí naši CF kartu jako /dev/ad4
# gzip -d wibsd-2.0.0-20050616.bin.gz
# dd if=./wibsd-2.0.0-20050616.bin
of=/dev/ad4
#
První přihlášení
Po nové instalaci se do systému mohou přihlásit pouze
následující uživatelé
root - s heslem "root"
shell /usr/local/bin/bash
uživatel má plná práva k systému
toor - s heslem "toor"
shell /bin/sh
uživatel má stejná práva jako root
wibsd - s heslem "wibsd"
neprivilegovaný uživatel
admin - s heslem "admin"
tento uživatel nemá přístup ke standardnímu shellu, po jeho
přihlášení je mu interaktivní formou umožněno základní nastavení
sítě WAN
Způsob konfigurace
Všechny vlastnosti WiBSD jsou konfigurovány z jednoho souboru a
tím je
/etc/rc.conf
Tento soubor pouze přepisuje standardní nastavení ze souborů v
adresáři /etc/defaults. Hodnoty jsou čteny v
následujícím pořadí
/etc/defaults/rc.conf
/etc/defaults/wibsd.cz
/etc/rc.conf
Díky tomu jsou hodnoty z /etc/rc.conf vždy
použity přednostně. Pokud však nejsou v
/etc/rc.conf předefinovány, použijí se standardní
hodnoty z předchozích souborů.
Změna konfiguračního souboru
Aby se prodloužila životnost CF karet a zrychlila odezva
systému, je celý filesystém je nahrán v operační paměti. V jakékoliv
jeho části je možné provádět jakékoliv změny, které se mohou ihned
aplikovat.
Kvůli tomu že systém pracuje pouze v operační paměti, budou
změny po restartu nebo výpadku napájení nenávratně ztraceny!
Soubory a nastavení, které je potřeba uložit na fyzické médium
je potřeba uložit do /mnt/flashcard, kde je celé
fyzické médium připojené. Standardně je do tohoto adresáře a jeho
podadresářů přístup pouze pro čtení.
WiBSD obsahuje příkaz rwremount, který voláme
předtím než chceme změnit /etc/rc.conf nebo
jakékoliv jiné souboru uložené na fyzickém médiu, a příkaz
roremount, který voláme potom, co jsme skončili s
modifikací souborů.
root@:~# mount | grep /mnt/flashcard
/dev/ufs/flashcard on /mnt/flashcard (ufs, local
read-only)
vidíme, že flash card je jen pro čtení
root@:~# rwremount
using default mntpoint /mnt/flashcard...
remouting /mnt/flashcard READ-WRITE... OK
/dev/ufs/flashcard on /mnt/flashcard (ufs, local,
noatime)
nyní jsme povolili čtení i zápis na flash card
.. nyní můžeme provádět editaci konfiguračních souborů ..
až skončíme s editaci, změníme mód zase pouze pro čtení
root@:~# roremount
using default mntpoint
/mnt/flashcard...
remouting /mnt/flashcard READ-ONLY... OK
/dev/ufs/flashcard on /mnt/flashcard (ufs, local
read-only)
Vzdálený upgrade
WiBSD neustále rozšiřujeme, podle požadavků přidáváme různé
vlastnosti a případně opravujeme chyby. Pokaždé zveřejníme upgradovací
balíčky na stejném místě jako instalační image, pouze s tím rozdílem že
mají příponu .upgrade.tar
Nesmíte si splést upgradovací balíčky (.upgrade.tar) s
binárními instalačními soubory (.bin.gz). Oba mají uplně jinou
strukturu a jejich záměna není možná a nebude fungovat.
Pokud používáte verzi WiBSD-1, měli byste používat upgradovací
balíčky určené pouze pro tuto verzi. Stejne tak pokud používáte
verzi WiBSD-2.
Vzdálený upgrade z verze WiBSD-1 upgradovacím balíčkem
WiBSD-2, a obráceně, je sice možný, ale je zde velká
pravděpodobnost, že systém nenastartuje nebo nebude fungovat
správně.
Upgradování systému
Nejprve zjistěte přesnou ftp nebo http adresu balíčku, kterým
chcete systém upgradovat. Například si mužeme vybrat http://download.wibsd.cz/stable/wibsd-2.0.0-20060307.upgrade.tar,
který je aktuální v době psaní této dokumentace.
Pro provedení upgradu slouží příkaz upgrade,
který musí být spuštěn uživatelem s právy uživatele root. Jako
parametr musí mít zadánu http nebo ftp adresu upgradovacího balíčku.
Mezi příkazem upgrade a adresou je možno zadat několik parametrů,
které se vypíší po zadání příkazu upgrade bez
parametrů.
Nejzajímavější z nich jsou parametry:
-f potlačí otázky typu "Jste si jist, že chcete přepsat
soubory?" a podobné.
-y po úspěšném provedení upgradu automaticky restartuje
počítač, bez tohoto přepínače pouze informuje administrátora, ze
by mel provést restart manuálně.
Použítí upgrade
root@:~# upgrade
http://download.wibsd.cz/stable/wibsd-2.0.0-20060307.upgrade.tar
--> run me with '-h' option for help
--> flashcard set read-only for filesystem check
--> filesystem '/dev/ufs/flashcard' is clean
--> enough space for upgrade process, proceeding
--> flashcard set read-write for upgrading process
wibsd-2.0.0-20060307.upgrade.tar 100% of 10 MB 378 kBps
00m00s
--> new system image fetched
--> checking MD5 signatures
x boot/md5.txt
x boot/kernel/kernel.gz
x boot/defaults/loader.conf
x boot/loader.help
x boot/loader.rc
x boot/support.4th
x boot/beastie.4th
x boot/device.hints
x boot/frames.4th
x boot/screen.4th
x boot/mbr
x boot/loader.conf
x boot/loader
x boot/loader.4th
x boot/mfsroot.gz
--> removing immutable flag for 'boot/kernel/kernel.gz
boot/mfsroot.gz'
--> now we are going to remove old system image
--> WARNING: NO WAY BACK AFTER YOU GO OVER THIS
STEP
--> if anything goes bad from now on, you better know
what to do...
--> do you want to continue? (yes/no)
yes
--> removing old system image
--> extracting new image
x boot
x boot/kernel
x boot/modules
x boot/defaults
x boot/loader.help
x boot/loader.rc
x boot/support.4th
x boot/beastie.4th
x boot/device.hints
x boot/frames.4th
x boot/screen.4th
x boot/mbr
x boot/loader.conf
x boot/loader
x boot/loader.4th
x boot/md5.txt
x boot/mfsroot.gz
x boot/defaults/loader.conf
x boot/kernel/kernel.gz
--> setting immutable flag for 'boot/kernel/kernel.gz
boot/mfsroot.gz'
--> removing temporary image
--> flashcard set read-only
--> SYSTEM UPGRADE COMPLETED
--> you should reboot now
Základní konfigurace
Několik obecných poznámek:
Veškerá konfigurace se ve WiBSD nastavuje pouze v souboru
/etc/rc.conf. Pokud nevíte jaké je možné použít
konfigurační proměnné, můžete se podívat do jednoho ze dvou souborů,
kde by měly být stručné vypsány všechny proměnné, které lze
použít.
Prvním souborem /etc/defaults/rc.conf,
který obsahuje proměnné a jejich standardní hodnoty pro obecné
nastavení systému, převzaté z FreeBSD.
Veškeré možné rozšířené nastavení, jako třeba nastavení
uživatelských účtu byste měli najít v souboru
/etc/defaults/wibsd.cz.
Pokud není v textu uvedeno jinak, tak se více hodnot v jedné
proměnné odděluje mezerou nebo tabulátorem.
Většině skriptů, které generují konfigurační soubory, je možné
proměnnou s postfixem
_generate_config_file="NO" říci, že
mají používat už předpřipravený konfigurační soubor, který najdou na
cestě zapsané v proměnné s postfixem
_config_file.
Nastavení uživatelských účtů
WiBSD při startu samo vytváří uživatelské účty podle záznamů z
/etc/rc.conf. Automatické vytváření uživatelů se
zapne proměnnou make_accounts_enable.
Uživatelé
V proměnné make_accounts_users musí být
definovány všichni aktivní uživatelé a pro každého z nich musí být v
proměnné
make_accounts_user_jmenouživatele_password_hash
uložen hash jeho hesla.
Pokud bude existovat hash hesla, ale uživatel nebude v
make_accounts_users, tak se nastavení tohoto účtu
neprovede a uživatel se nebude moci přihlásit do systému.
Hashe musí být umístěny v jednoduchých uvozovkách, ne ve
dvojitých, protože obsahují znaky, které by shell chtěl
interpretovat jinak.
Hash se dá zjistit pomocí funkce crypt(3) nebo přímo ze souboru
master.passwd, kde je takto uloženo heslo pro
každého uživatele v systému. Hash můžete zkopírovat i z jiného
počítače.
Pro každého uživatele se také musí nastavit tyto proměnné (pokud
se některá z těchto proměnných nenastaví, použije se defaultní
hodnota):
make_accounts_user_uzivatel_uid pro nastavení
hodnoty user id, default 65534 (nobody)
make_accounts_user_uzivatel_gid pro nastaveni
group id, default 65534 (nobody)
make_accounts_user_uzivatel_comment pro
nastavení hodnoty gecos (general information about user)
make_accounts_user_uzivatel_shell pro
nastavení shellu, default "/bin/sh"
make_accounts_user_uzivatel_home pro
nastavení domovského adresáře, default "/tmp"
make_accounts_user_uzivatel_wheel="YES",
pokud se má uživatel přiřadit do skupiny wheel (a může použít
su root), jinak "NO", default "NO"
make_accounts_user_uzivatel_hushlogin="YES",
vytvori soubor .hushlogin v uzivatelovo $HOME,
takze se pri jeho prihlaseni nezobrazi motd
Vytvoření uživatelů
make_accounts_users="wibsd root toor holecek"
make_accounts_user_wibsd_password_hash='$1$onw74atP$xqaOmtLIjAxN4SYG4Ntkh1'
make_accounts_user_root_password_hash='$1$j/kvXYrq$J7huLPiw6/tM/BZPLDvH90'
make_accounts_user_toor_password_hash='$1$j/kvXYrq$J7huLPiw6/tM/BZPLDvH90'
make_accounts_user_toor_shell="/usr/local/bin/bash"
make_accounts_user_holecek_password_hash='$1$haSHfw$GGFDGER\56hfHF5Ghf50'
make_accounts_user_holecek_uid="1067"
make_accounts_user_holecek_gid="20"
make_accounts_user_holecek_wheel="YES"
make_accounts_user_holecek_home="/home/holecek"
make_accounts_user_holecek_shell="/usr/local/bin/bash"
Skupiny
Pokud chcete použít skupinu, která není standardně v systému, je
vhodné ji vložit do /etc/group, a to pomocí následujících
proměnných
Vytvoření skupin
make_accounts_groups="jedna dva"
make_accounts_group_jedna_uid="1001"
make_accounts_group_dva_uid="1002"
Základní nastavení sítě
Nastavení sítě je stejné jako ve FreeBSD.
Je potřeba nastavit proměnnou hostname,
ifconfig_rozhanni, default_router.
Pokud budeme předpokládat, že vaše rozhranní které chcete konfigurovat
se jmenuje sis0, tak tato část /etc/rc.conf by
mohla vypadat asi takhle:
Základní nastavení sítě
hostname="superrouter.wibsd.cz"
ifconfig_sis0="inet 192.168.1.6/24"
defaultrouter="192.168.1.1"
Pokud používate jiný název rozhranní, upravte
ifconfig_sis0 na správný název. Ten zjistíte
například po výpisu ifconfig.
hostname určuje FQDN (plně kvalifikované
doménové jméno)
obsah ifconfig_sis0 se přidá za volání
ifconfig sis0, předchozí příklad se proto ve
skutečnosti volá takto: ifconfig sis0 inet
192.168.1.6/24
Nameservery
Nameservery se nastaví proměnnými
resolv_conf_nameservers - nastaví adresy dns
serverů, a resolv_conf_search - nastaví standardní
postfix, nechcete například ve vlastní sítí používat celá (FQDN) jména
jako host1.mojesit.cz ale jen host1, tak nastavíte
resolv_conf_search na "mojesit.cz".
Generování /etc/resolv.conf
resolv_conf_nameservers="192.168.1.1 172.16.2.2"
resolv_conf_search="wibsd.cz"
/etc/hosts
Pokud máte malou síť, nebo jenom nechcete nastavovat centrální
DNS server, je možné používat pro předklad adres počítačů vnitří sítě
soubor /etc/hosts. Zde se zadavá jméno počítače a
jeho adresa.
WiBSD tento soubor umí také generovat z
/etc/rc.conf, k tomu se použijí proměnné
etc_hosts_lines, kam se zadají libovolné
identifikátory řádku. A proměnné
etc_hosts_line_identifikator, kde je právě jeden
řádek, který chcete vložit do /etc/hosts.
Generování /etc/hosts
etc_hosts_lines="localhost watchdog"
etc_hosts_line_localhost="127.0.0.1 localhost
localhost.mynet.cz"
etc_hosts_line_watchdog="217.11.249.72
watchdog.mynet.cz"
Nastavení routeru s NATem
Ve WiBSD (podle FreeBSD) je NAT řešen spuštěním obyčejného
programu natd, který naslouchá na určitém místě, a firewallem, který
určité packety posílá právě programu natd, ten je upraví a pošle zpátky
firewallu, který je opět vloží do systému.
Proto je pro nastavení NATu ve WiBSD potřeba mít zároveň alespoň
minimální nastavení firewallu.
Spuštění NATu
natd_enable="YES"
natd_interface="sis0"
natd_flags="-m -s -redirect_port tcp 192.168.1.3:8080
80"
natd_interface je rozhraní, které vede do
Internetu. natd_flags může obsahovat různé přepínače,
které funkci natd upravují. Předchozí příklad zařídí, že pokud se nekdo
z venku bude chtít připojit na naš NAT router na port 80, tak bude
transparentně přesměrován na počítač ve vnitřní síti, port 8080.
Dále musí být někde ve firewallu použito pravidlo podobné
následujícímu: divert 8668 ip from any to any via sis0. To
se zařídí proměnnou fw_wan_interface, které se přiřadí stejné rozhranní
jako natd (tj. to, které vede do Internetu), a povolením firewallu
ipfw.
NAT a Firewall
firewall_enable="YES"
fw_wan_interface="sis0"
Nastavení PPP pro CDMA modem
Je potřeba nastavit připojení CDMA modemu do Internetu. To zařídí
následující řádky. Toto nastavení platí pouze pro první, dříve uvedený,
CDMA modem GTRAN. Pro nový, modrý, modem ANYDATA ADU-E100H je potřeba
provést úpravý zmíněné na konci sekce.
Po připojení modemu do routeru se zobrazí jako zařízení /dev/ucom0
(za předpokladu, že tam nebude ještě jiné zařízení, kvůli kterému by se
číslování posunulo). Pro komunikaci s modemy se používá PPP
(point-to-point protokol) a pro eurotel CDMA vypadá jeho konfigurace
takto.
Konfigurace PPP
ppp_conf_enable="YES"
ppp_conf_include_default_section="YES"
ppp_conf_sections="cdma"
ppp_conf_section_cdma_sets="log speed device phone authname
authkey timeout"
ppp_conf_section_cdma_set_log=""
ppp_conf_section_cdma_set_speed="921600"
ppp_conf_section_cdma_set_device="/dev/ucom0"
ppp_conf_section_cdma_set_phone="\"#777\""
ppp_conf_section_cdma_set_authname="YOUR_PASSWORD"
ppp_conf_section_cdma_set_authkey="YOUR_USERNAME"
ppp_conf_section_cdma_set_timeout="0"
ppp_conf_section_cdma_disables="ipv6 dns"
ppp_conf_section_cdma_routes="default"
ppp_conf_section_cdma_route_default="default HISADDR"
ppp_wdog_enable="YES"
Nejprve se pomocí ppp_conf_enable zapne
generování /etc/ppp.conf.
Na začátku se definují sekce, které bude soubor
/etc/ppp.conf obsahovat a potom se pro každou
sekci určí jména direktiv (ppp_conf_section_cdma_sets,
ppp_conf_section_cdma_enables, ppp_conf_section_cdma_disables,
ppp_conf_section_cdma_accepts,
ppp_conf_section_cdma_routes), které které chceme
nastavovat, a následně se každému identifikátoru
(ppp_conf_section_cdma_set_*,
ppp_conf_section_cdma_enable_*,
ppp_conf_section_cdma_disable_*,
ppp_conf_section_cdma_route_*) přiřadí jeho
hodnota.
Podobně jako pro set generování funguje pro
enable, disable, accept a
route. Pro accept, enable a disable neni potřeba
doplňovat jednotlivé hodnoty
(ppp_conf_section_cdma_disable_ipv6="YES"),
ale stačí je pouze uvést v
ppp_conf_section_cdma_disables.
pokud je
ppp_conf_include_default_section="YES",
přidá se do /etc/ppp.conf sekce
default, která vypadá takto:
default sekce v /etc/ppp.conf
default:
set log Phase Chat LCP IPCP CCP tun command
ident user-ppp VERSION (built COMPILATIONDATE)
set device /dev/cuaa1
set speed 115200
set dial \"ABORT BUSY ABORT NO\\sCARRIER TIMEOUT 5
\\
\\\"\\\" AT OK-AT-OK ATE1Q0 OK \\\\dATDT\\\\T TIMEOUT 40
CONNECT\"
set timeout 180
enable dns
Pro modem ANYDATA ADU-E100H je potřeba změnit následující
řádky
Změněné řádky pro modem AnyDATA
ppp_conf_section_cdma_sets="log speed device phone authname
authkey timeout dial"
ppp_conf_section_cdma_set_dial="\"ABORT BUSY ABORT
NO\\\\sCARRIER TIMEOUT 10 \\\"\\\" ATDT#777\""
Nastavení DHCP serveru
Nastavení DHCP serveru se liší mezi WiBSD-1 a WiBSD-2. WiBSD-1 a
staré verze WiBSD-2 nemají podporu pro sdílené sítě, proto v nich nelze
nabízet adresy více sítí na jednom rozhranní.
Pokud však používáte nižší verzi a provedete upgrade na novou, tak
DHCP server nepřestane fungovat, protože všechny později provedené změny
jsou zpětně kompatabilní.
V obou verzích se DHCP server aktivuje proměnnou
dhcpd_enable="YES".
Také je potřeba nastavit tyto proměnné:
dhcpd_domain_name - DNS koncovka místní sítě
(stane ze domain v /etc/resolv.conf nebo
ekvivalentním u jiných systému, a pokud nebude uživatel používat plně
kvalifikovaná jména počítačů, tak se k nim bude automaticky připojovat
tato koncovka).
dhcpd_domain_name_servers - IP adresy DNS
serverů pro klienty místní sítě.
dhcpd_default_lease_time - Doba na kterou se
bude IP adresa klientům stanadardně půjčovat.
Nastavení stejné pro všechny verze
V obou verzích se DHCP server aktivuje proměnnou
dhcpd_enable="YES".
Společné nastavení
Také je potřeba nastavit tyto proměnné:
dhcpd_domain_name - DNS koncovka místní
sítě (stane ze domain v /etc/resolv.conf nebo
ekvivalentním u jiných systému, a pokud nebude užvatel používat plně
kvalifikovaná jména počítačů, tak se k nim bude automaticky
připojovat tato koncovka).
dhcpd_domain_name_servers - IP adresy DNS
serverů pro klienty místní sítě.
dhcpd_default_lease_time - Doba na kterou
se bude IP adresa klientům stanadardně půjčovat.
Statické mapování klientů
Stejně se v obou verzích nastavuje také statické přidělení IP
adresy podle MAC adresy. Pro každé přiřazení si vybereme nějaký
identifikátor, který nemusíme nikde vkládat, jenom použít. Například
můžeme použít identifikátory pc1 a pc2, potom statické přiřazení
provedeme následovně:
Statické přířazení IP adres v DHCP
dhcpd_host_pc1_hostname="hostname1"
dhcpd_host_pc1_hw="00:01:02:03:04:05"
dhcpd_host_pc1_ip="192.168.1.122"
dhcpd_host_pc2_hostname="hostname2"
dhcpd_host_pc2_hw="11:22:33:44:55:66"
dhcpd_host_pc2_ip="192.168.1.145"
Přiřazení statické MAC adresy do ARP tabulky
Ve WiBSD-2 a WiBSD-3 je je možné nastavit statický
(permanentní) záznam do ARP tabulky, podle statického přiřazeni IP
adresy na MAC adresu v dhcp.
Tato vlastnost není používána automaticky a pro její aktivaci
musíte vložit dhcpd_static_arp="YES" do
/etc/rc.conf.
WiBSD-1
WiBSD-1 nepodporuje sdílené sítě, proto se každé nastavení
specifikuje podle jména rozhranní, na které bylo navázáno.
Nejprve se v proměnné dhcpd_ifaces určí, na
která rozhranní chceme navázat DHCP server a obsluhovat tak klienty na
této části sítě. Bude předpokládat že máme v
dhcpd_ifaces="sis0 sis1".
Následně se používá prefix dhcpd_subnet_sis0_
pro klienty za rozhranním sis0 a
dhcpd_subnet_sis1_ pro klienty za rozhranním
sis1. Každému z nich je potřeba nastavit adresu sítě
(address) a její masku
(netmask), defaultní bránu
(gateway), začátek (range_start)
a konec (range_end) rozsahu, ze kterého jsou
přidělovány adresy klientům.
Náleduje příklad konfigurace:
Příklad konfigurace DHCP serveru
dhcpd_enable="YES"
dhcpd_ifaces="vlan100"
dhcpd_domain_name="idc.cz"
dhcpd_domain_name_servers="192.168.1.1"
dhcpd_subnet_vlan100_address="192.168.1.0"
dhcpd_subnet_vlan100_netmask="255.255.255.0"
dhcpd_subnet_vlan100_gateway="192.168.1.1"
dhcpd_subnet_vlan100_range_start="192.168.1.100"
dhcpd_subnet_vlan100_range_end="192.168.1.200"
dhcpd_host_1_hostname="notebook"
dhcpd_host_1_hw="00:02:3f:48:5d:15"
dhcpd_host_1_ip="192.168.1.35"
WiBSD-2 s podporou sdílených sítí
Ve WiBSD-2 s podporou sdílených sítí funguje nastavení velice
podobně jako ve WiBSD-1. Pouze s tím rozdílem ze se
dhcpd_ifaces nechává prázdné a používá se místo
toho dhcpd_subnets. (Toto má pouze estetický
význam, ve skutečnosti se může používat jedno nebo druhé
ekvivalentně).
Do dhcpd_subnets se nevkládají názvy
rozhranní ale jakékoliv identifikátory, kterými se potom odkazujeme
stejně jako v předchozích verzích WiBSD-1.
Navíc se u každého jednoho nastavení sítě musí proměnnou
dhcpd_subnet_sit1_iface určit na jaké rozhranní se
má navázat. Část konfigurace může vypadat třeba takto:
Konfigurace sdílené sitě v DHCP serveru
dhcpd_subnets="sit1"
dhcpd_subnet_sit1_address="192.168.1.0"
dhcpd_subnet_sit1_netmask="255.255.255.0"
dhcpd_subnet_sit1_gateway="192.168.1.1"
dhcpd_subnet_sit1_range_start="192.168.1.100"
dhcpd_subnet_sit1_range_end="192.168.1.200"
dhcpd_subnet_sit1_iface="wi0"
Výhodou je, že nyní může být více sítím přiřazeno jedno
rozhranní.
Nastavení SNMP serveru
SNMP je zkratka pro Simple Network Management Protokol, protokol
pro jednoduchou správu sítě a síťových zařízení. Umožnuje vzdáleně,
pomocí vhodného klienta, získávat informace o stavu serveru a jeho
prostředků, jako je aktuální vytížení, zaplnění disku, paměti a
podobně.
Některé hodnoty lze také nastavovat a tím chování vzdáleného
systému ovlivňovat.
Pro detailnější popis programů a protokolů navštivte stránky
http://net-snmp.sourceforge.net.
Pro spuštění SMNP serveru po startu systému je potřeba nastavit
proměnnou net_smtpd_enable="YES".
Předpřipravená konfigurace
Konfigurace smnp je jedna z mnoha, která dovoluje si místo
generování konfiguračního souboru po startu, vytvořit vlastní, ten
uložit na flash kartu.
K tomu je potřeba správně nastavit
net_smtpd_config_file na úplnou cestu k souboru.
Pokud se jmenuje smtpd.conf a je uložen přímo na
flash kartě v adresáři wibsd, tak cesta bude
/mnt/flashcard/wibsd/smptd.conf.
Proměnná
net_smtpd_generate_config_file="NO"
zajistí, že se tento soubor po startu nepřepíše, ale bude se používat
tak, jako kdyby byl právě vygenerován.
Díky tomu je možné používat nastavení, která nejsou generujícím
algoritmem WiBSD zatím podporována. Pokud nějaké takové speciální
nastavení používáte, dejte nám vědět skrze náš mailling list.
Standardní konfigurace SNMP
Informace o systému
Pokud chcete, můžete nastavit proměnné informující smnp
klienta o serveru. Jsou to net_snmpd_syscontact,
net_snmpd_syslocation a
net_snmpd_sysservices. Jejich názvy jsou
samovysvětlující. Pokud je nevyplníte, nebudou použity.
Zabezpečení
Protokol SNMPv2 nepodoruje šifrování, ale oproti verzi 1
podporuje alespoň základní autentizaci a povolení přístupu pouze po
některé adresy.
Jsou zde dva způsoby přístupu k SNMP serveru, jeden je pouze
pro čtení a může mít vlastní heslo a adresy ze kterých je povolen
přístup, a druhy je pro čtení i zápis, kde můžeme přiřadit jiné
heslo i adresy.
Heslo pro přístup pouze pro čtení se nastavuje proměnnou
net_snmpd_rocommunity a adresy, odkud lze
přistupovat se oddělují mezerou v proměnné
net_snmpd_rocommunity_permit_from. Podobně pro
přístup pro čtení i zápis se nastavuje heslo v
net_snmpd_rwcommunity a adresy v
net_snmpd_rwcommunity_permit_from.
Vytížení systému
Pokud chcete sledovat vytížení systému, nadefinujte proměnnou
net_snmpd_load, její hodnota je jedno, dvě nebo
tři čísla, specifikující maximální možné vytížení za každou poslední
jednu minutu, pět minut a patnáct minut. Pokud vytížení překročí
tyto hodnoty, bude nastavená proměnná SNMP
laErrorFlag na 1.
Pokud nechcete, tak nemusíte vkládat limity pro pět a patnáct
minut. Jednominutový limit je však nezbytný. Pokud se nenastaví
límit pro patnáctiminutový průměr, použite se limit pro pěti
minutový průměr. Pokud ani ten není nastavený, použije se limit pro
jednominutový průměr.
Pokud nechcete tuto možnost využívat, nastavte proměnnou
net_snmpd_load na prázdný řetězec nebo ji
nenastavujte vůbec.
Vyžití diskové kapacity
Pro sledování zaplnění disků, musíte do proměnné
net_snmpd_disks vložit libovolné vlastní
identifikátory disků, které chcete sledovat. Pro každý takovýto
identifikátor potom vložte jeho konfiguraci do proměnné
net_snmpd_disk_identifikator.
Konfigurace se skládá z jednoho povinného a jednoho
volitelného parametru. První, povinný, je cesta k adresáři, kde je
připojen kořenový oddíl disku, to je adresář který používáte jako
parametr pro příkaz mount a který se po zadání
příkazu mount bez parametrů také vypíše.
Druhý parametr je minimální velikost volného místa na disku
buď v Kb nebo v procentech velikosti disku. Pokud volné místo klesne
pod tuto hodnotu, bude nastavena proměnná SNMP
dskErrorFlag na 1.
Nastavení PPTP serveru
WiBSD může být serverem PPTP (point-to-point tunneling protokol od
Microsoftu).
Jeho používání se aktivuje nastavením proměnné
pptpd_enable="YES"
Konfigurace může být buď generována při startu nebo může být
použit předpřipravený konfigurační soubor.
Generování konfigurace
Protože má PPTP server mnoho různých možností konfigurace a
většinou je použita syntaxe "příkaz hodnota", tak se od toho odvíjí i
způsob konfigurace.
Všechny příkazy, které chcete používat vložte oddělené mezerami
do proměnné pptpd_conf_commands. Dále pro každý
příkaz použijte proměnnou
pptpd_conf_command_příkaz, která bude obsahovat
jeho hodnotu.
Pokud příkaz neočekává žádnou hodnotu, nemusíte proměnnou s
hodnotou vůbec použít. Do pptpd.conf bude vložen
příkaz bez hodnoty automaticky.
Například následující konfigurace v
/etc/rc.conf:
Konfigurace PPTPd
pptpd_enable="YES"
pptpd_conf_commands="option localip remoteip pidfile
noipparam"
pptpd_conf_command_remoteip="10.44.44.65-126"
pptpd_conf_command_option="/etc/ppp/ppp.conf"
pptpd_conf_command_localip="9.9.9.1"
pptpd_conf_command_pidfile="/var/run/pptpd.pid"
vygeneruje následující
/usr/local/etc/pptpd.conf
Vygenerovaný pptpd.conf
option /etc/ppp/ppp.conf
localip 9.9.9.1
remoteip 10.44.44.65-126
pidfile /var/run/pptpd.pid
noipparam
Předpřipravený konfigurační soubor
Použití předpřipraveného konfiguračního souboru se aktivuje
nadefinováním proměnné
pptpd_generate_config_file="NO" a
nastavením cesty ke konfiguračnímu souboru do proměnné
pptp_config_file.
Nastavení DNS serveru
WiBSD používá BIND (Berkeley Internet Name Domain, http://www.isc.org/index.pl?/sw/bind/),
který implementuje DNS protokoly.
Ve WiBSD je BIND možné používat buďto v caching-only nebo primary
módu.
Jeho používaní se aktivuje proměnnou
bind9_enable="YES"
Předpřipravená konfigurace
Opět je možno, místo generování konfigurace skripty WiBSD po
startu, použít předpřipravený konfigurační soubor. Tuto možnost
aktivujete definováním proměnné
bind9_generate_config_file="NO" a
vložením úplné cesty ke konfiguračnímu souboru do
bind9_config.
Cachovací mód
Cachovací mód nebo-li caching only nameserver je určen pro sítě,
které nechtějí mít jmenný server přímo přístupný zvenčí a nepotřebují
na něm provozovat primární nebo sekundární DNS server.
Je určen pro sítě, které potřebují mít DNS server pro své
klienty, který je umístěn před WAN spojením k poskytovateli Internetu
a funguje podobně jako proxy server pro HTTP.
Klient se tohoto serveru zeptá na IP adresu pro doménu
www.example.com a server, pokud ji nezná, tak se zeptá
předdefinovaného nadřazeného DNS serveru, vrátí klientovi odpověd,
kterou si ale také u sebe uloží. Pokud se následně zeptá jiný klient
na stejnou adresu, tak už server neposílá dotaz dále nadřazenému
serveru, ale protože ji už má v paměti, tak dotaz zodpoví sám a tím
šetří WAN linku.
Nastavení cachovacího serveru se provádí proměnnou
bind9_forward_only="YES" a nastavením
nadřazených DNS serverů do proměnné
bind9_forwarders.
V proměnné bind9_forwarders může být více
nadřazených serverů, které ale musí být odděleny středníkem, nikoliv
mezerou, jak je obvyklé.
Primární nameserver
DNS servery, které udržují hlavní záznamy o svých doménách se
nazývají primární nebo autoritativní pro dannou doménu. Pokud se někdo
jiný v ostatních sítích (a celém Internetu, pokud je tam server
připojen) zeptá na předklad nějakého doménového jména domény, pro
kterou je autoritativní, tak posledním krokem bude dotaz na váš
autoritativní server (pokud se někde na cestě nepoužívá cachovací
nameserver nebo něco podobného, viz. výše).
Pro použití primární nameserveru je potřeba nastavit
bind9_forward_only="NO" a pro každou
doménu, kterou chcete obsluhovat je potřeba vygenerovat takzvanou
zónu.
Pokud nechcete aby nameserver naslouchal na všech rozhranních,
vložte adresy, kde má naslouchat do proměnné
bind9_listen_on. Pokud jich je více, nezapomeňte je
oddělit středníkem.
Vytváření zón
Nejprve se v bind9_zones nadefinují
identifikátory všech zón, které chcete používat, oddělené mezerou.
Pro každou zónu se používá prefix
bind9_zone_identifikátor_*.
Jméno domény se nastavuje do proměnné
domain, tj. pro identifikator wibsd se proměnná
jmenuje
bind9_zone_wibsd_domain="wibsd.cz".
SOA záznamy
Ze SOA (Start Of Authority) záznamu je nezbytné vyplnit
pouze bind9_zone_identifikátor_serial, pokud
neplníte ostatní, dosadí se standardní hodnoty. Jména proměnných
pro SOA záznamy jsou následující (na pomlčkou je defaultní
hodnota):
bind9_zone_identifikátor_refresh -
3600
bind9_zone_identifikátor_retry -
900
bind9_zone_identifikátor_expire -
3600000
bind9_zone_identifikátor_minimum -
3600
bind9_zone_identifikátor_nameserver -
ns.{domain}
bind9_zone_identifikátor_email -
root@{domain}
Ostatní záznamy
Pro všechny ostatní záznamy se nejprve musí vložit jejich
identifikátory do proměnné
bind9_zone_identifikátorZóny_records. Pro každý
takový identifikátor záznamu se musí vložit hodnota do tří dalších
proměnných, a to name, type,
address. Jsou to ekvivaleny jednoho řádku ze
zónového souboru.
bind9_zone_identifikátorZóny_record_identifikátorZáznamu_name
je jméno počítače v doméně
bind9_zone_identifikátorZóny_record_identifikátorZáznamu_type
je typ záznamu (standardní záznamy jako A, NS, ..., u MX záznamu
je součástí této proměnné mezera a číslo udávající priority
mailserveru)
bind9_zone_identifikátorZóny_record_identifikátorZáznamu_address
je ip adresa počítače
Pokud chcete používat reverzní záznamy (PTR), je nutné si
význam proměnných otočit.
Konfigurace primárního nameserveru
bind9_enable="YES"
bind9_listen_on=""
bind9_forward_only="NO"
bind9_zones="wibsd"
bind9_zone_wibsd_domain="wibsd.cz"
bind9_zone_wibsd_serial="2006012001"
bind9_zone_wibsd_refresh="3600"
bind9_zone_wibsd_retry="900"
bind9_zone_wibsd_expire="3600000"
bind9_zone_wibsd_minimum="3600"
bind9_zone_wibsd_nameserver="server.wibsd.cz"
bind9_zone_wibsd_email="root@wibsd.cz"
bind9_zone_wibsd_records="nameserver server mail"
bind9_zone_wibsd_record_nameserver_name=""
bind9_zone_wibsd_record_nameserver_type="NS"
bind9_zone_wibsd_record_nameserver_address="server.wibsd.cz."
bind9_zone_wibsd_record_server_name="server"
bind9_zone_wibsd_record_server_type="A"
bind9_zone_wibsd_record_server_address="192.168.1.1"
bind9_zone_wibsd_record_mail_name="@"
bind9_zone_wibsd_record_mail_type="MX 10"
bind9_zone_wibsd_record_mail_address="server"
Nastavení zálohování konfiguračních souborů
Ve WiBSD je možné v /etc/rc.conf určit
soubory, které budou pravidelně (např. každou půlnoc) zálohovány na
vzdálený TFTP (trivial file transfer protocol) server.
Spolu s tím, že WiBSD používá větsinou pouze jeden konfigurační
soubor, představuje vzdálené zálohování jednoduchý způsob
znovuzprovoznění boxu, v případě havárie.
V /etc/rc.conf musíte nadefinovat ip adresu
serveru - backup_tftp_server_ip, adreář na TFTP
serveru, kam má soubory ukládat -
backup_tftp_server_directory, a soubory, které chcete
zálohovat - backup_tftp_files - oddělené
mezerou.
Je vhodné mít vzdálený TFTP server nakonfigurovaný tak, aby v
něm nikdo nemohl soubory číst ani mazat, povolte pouze přepisování
existujích souborů, což je defaultní konfigurace vetšiny TFTP
serverů.
Pokud změníte nějaký soubor, který máte nastavený k zálohování,
spusťte skript /usr/sbin/save_config, který provede
zálohování okamžitě. Pokud se o to nechcete starat, vložte si do
/etc/rc.conf následující řádky, které spustí
/usr/sbin/save_config každou půlnoc
automaticky.
Automatické zálohování konfigurace každou půlnoc
crontab_lines="$crontab_lines saveconfig"
crontab_line_saveconfig_comment="save our config files every
night"
crontab_line_saveconfig="0 0 * * * root
/usr/sbin/save_config"
Pokročilá konfigurace
Nastavení firewallu
WiBSD zatím používá jako firewall ipfw, ale do budoucna se plánuje
možnost používat i pf (portovaný z OpenBSD) s tim, že současný způsob
konfigurace zůstane zachován.
Pro aktivování firewallu je potřeba nastavit proměnnou
fw_enable="YES" a
fw_type="ipfw".
Do proměnné fw_wan_interface se vloží název
rozhranní, kterým je router připojen k Internetu.
Pokud chcete provádět překlad neveřejných adres, musíte nastavit
natd_enable="YES" a do
natd_interface vložit rozhranní nad kterých chcete
provádět překlad (tj. to rozhranní, vedoucí do Internetu, větsinou to
stejné jako fw_wan_interface).
Firewall bez pravidel
Pokud neuvedete žádná další pravidla, ale ponecháte pouze
základní nastavení (fw_enable a
fw_type), vygenerují se následují pravidla. Pro
názornost vynecháváme pravidla "count" která pouze počítají, kolik dat
danou větví proteklo.
Firewall bez pravidel
00100 allow ip from any to any via lo0
00120 deny ip from any to 127.0.0.0/8
00140 deny ip from 127.0.0.0/8 to any
#
02000 skipto 55000 tcp from any to me setup
02020 skipto 55000 udp from any to me dst-port 0-1023
#
50000 allow icmp from me to any
50020 allow icmp from any to me
#
65500 deny ip from any to any
65535 allow ip from any to any
První část provádí takzvaný antispoofing, tj. povolí všechen
provoz na vnitřním rozhranní lo0 (zpětná
smyčka), ale zakáže adresy které patří na toto vnitřní rozhranní ale
přišly z jiného rozhranní.
Druhá čast provádí pouze odskoky do jiné části firewallu, pokud
přicházi data pro samotný router. Protože je těchto dat minumum,
nebudeme těmito pravidly zatěžovat každý paket.
Do "mezery" mezi druhou a třetí částí se budou vkládat pravidla
pro klienty na vnitřní síti, viz. další sekce.
Třetí část povoluje veškerý icmp provoz z a na router. Protože
je ho minumum, jsou tyto pravidla až na samém konci firewallu.
Poslední částí zakazujeme všechen ostatní provoz, který jsme
dříve nepovolili. Firewall neobsahuje jako poslední pravidlo
"65535 deny ip from any to any", protože pokud firewall
nezapneme, nebo v jeho konfiguraci uděláme nejakou zásadní chybu, tak
bysme se na box potom nedostali. Tímto si zajistíme, že "65500
deny ip from any to any" bude přidán až na konci
inicializačního skriptu a pouze tehdy, pokud vše proběhlo v
pořádku.
Většinou je vhodné definovat ještě proměnnou
fw_wan_interface. Pokud ji nastavíme na
"sis0", způsobí to, že se přidá pravidlo
"09000 allow ip from any to any via sis0", čímž povolíme
routeru komunikovat s vnějším světem, ale nepovolujeme tím žádné nové
spojení na router zvenčí.
Překlad adres
Pokud máte pouze jednu veřejnou adresu na routeru a zbytek
vnitřní sítě má adresy z privátního rozsahu, budete potřebovat zapnout
překlad adres, NAT.
Nastavte proměnnou
natd_enable="YES" a do
natd_interface vložte rozhranní, které vás
připojuje k síti WAN (větsinou k Internetu).
Tímto se do firewallu automaticky vygeneruje pravidlo
"08000 divert natd ip from any to any via sis0", pokud je
natd_interface="sis0" a spustí se
program natd, který překlad provádí.
Po úpravě proměnných podle této a předchozí sekce, vypadají
pravidla firewallu následovně:
Firewall s předkladem adres a WAN interface
00100 allow ip from any to any via lo0
00120 deny ip from any to 127.0.0.0/8
00140 deny ip from 127.0.0.0/8 to any
#
02000 skipto 55000 tcp from any to me setup
02020 skipto 55000 udp from any to me dst-port 0-1023
#
08000 divert 8668 ip from any to any via sis0
09000 allow ip from any to any via sis0
#
50000 allow icmp from me to any
50020 allow icmp from any to me
#
65500 deny ip from any to any
65535 allow ip from any to any
Tím máme velice základní ale plně funkční konfiguraci firewallu,
která dovoluje routeru inicializovat komunikaci s okolím, překládá
adresy vnitřní sítě na veřejnou adresu, routuje je dále a posílá zpět
odpovědi.
Povolení spojení na router
Dosavadní konfigurace je sice funkční v tom smyslu, že všechny
počítače z vnitřní sítě mají neomezený přístup do Internetu, ale pokud
bychom se chtěli vzdáleně na router přihlásit a upravovat konfiguraci,
nebo bychom chtěli některé porty routeru zpřístupnit z ostatních
počítačů, tak to firewall nepovolí.
Proto pro povolení spojení na router, vložte do proměnné
fw_allowed_access identifikátory služeb které
chcete povolit, a pro každou takovou služby vložte do proměnné
fw_allowed_sluzna_access blok ve formátu
"zdrojova_adresa_1
zdrojova_adresa_2:protokol:cislo_portu:dalsi_vlastnosti:povolit_jen_pres_wan:"
Zdrojových adres může být libovolný počet a jsou odděleny
mezerou. Pokud chcete zadat celou síť, zadejte ji ve formátu
síť/maska.
Protokol může být pouze tcp, udp, gre.
Další vlastnosti jsou například keep-state, setup a
všechny ty, které se mohou na tomto místě ve firewallu
používat.
Libovolná hodnota v dalším poli způsobí, že toto pravidlo bude
aplikováno pouze na rozhranní WAN (tj. nepůjde se připojit z vnitřních
sítí).
Následuje příklad povolení ssh pouze z důvěryhodných adres
1.2.3.4 a 11.12.13.14, a webu odevšad.
Povolení spojení na ssh a web
fw_allowed_access="ssh http"
fw_allowed_ssh_access="1.2.3.4
11.12.13.14:tcp:22:keep-state::"
fw_allowed_http_access="any:tcp:80:keep-state::"
Omezovaní klientů
Někdy je potřeba omezit na jaké adresy a/nebo porty mají mít
klienti ze svých počítačů přístup, a pokud mají veřejnou IP adresu,
tak i ze kterých počítačů je přístup na klienty. Tato sekce se však
nezabývá omezovaním rychlosti, to je popsáno v další sekci.
Klienti se dělí na ty, kteří mají veřejnou IP adresu a jsou
přístupní z Internetu a na ty, kteří mají adresu z privátního rozsahu
a přístup na Internet je pro ně řešen překladem adres na routeru, a z
Internetu se na ně není možné připojit.
Pro jejich omezování se používají proměnné
fw_private_client_blocks a
fw_public_client_blocks, jediný rozdíl mezi nimi je
v tom, že adresy z fw_public_client_blocks
"přeskočí" pravidlo "divert natd", tj. jejich adresy se
nepřeloží na vnější adresu routeru.
Pokud s veřejnými adresami opravdu chcete zacházet jako s
veřejnými, je potřeba je minimálně vložit přímo do
fw_public_client_blocks oddělené mezerou (můžete i
vložit celou síť ve formátu síť/maska). Tím povolíte veškerou
komunikaci na veřejných adresách.
Pokud chcete explicitně povolit komunikaci z privátních adres do
Internetu, vložte je stejně jako veřejné adresy, ale tentokrát do
proměnné fw_private_client_blocks.
Někdy je však potřeba zakázat (popř. povolit) spojení jen na
určité služby. Syntaxe je stejná pro
fw_public_client_blocks i pro
fw_private_client_blocks. Pouze u
fw_private_client_blocks nemá valný smysl vytvářet
"in" omezení pro spojení přicházející z Internetu, protože takováto
spojení díky překladu adres skončí na routeru a dál se nedostanou.
Taková pravidla potom budou platit jen pro počítače z přímo
připojených vnitřních sítí.
Pro takovéto případy jsou vytvořeny takzvané "feature bloky", to
jsou pojmenované bloky, jejichž jména se do
fw_public_client_blocks a
fw_private_client_blocks vkládají místo IP adres
(nebo sítí) a samotné bloky jsou definovány dalšími proměnnými.
Pokud chcete vytvořit feature blok, vytvořte proměnnou
fw_block_jmenoBloku. Jméno bloku nesmí začínat
číslem ani obsahovat podtržítka. Jako obsah vložte adresu počítače
nebo sítě (Případně více adres oddělených čárkou). Dále je potřeba
vytvořit proměnnou jejíž jméno začíná
fw_block_jmenoBloku a pokračuje podle toho, k čemu
chcete omezit přístup a její obsah je adresa nebo síť, které chcete
přístup omezit.
Například pro zakázání přístupu protokolem tcp z adresy 10.0.0.1
na adresu 1.2.3.4, požijte následujíci feature blok.
Zakázání přístupu klienta na určitou adresu
fw_private_client_blocks="klient1"
fw_block_klient1="1.2.3.4"
fw_block_klient1_deny_tcp_in_access_limited_to="10.0.0.1"
Pokud si přejete zakázat pouze některé porty, nadefinujte
je v proměnné fw_block_klient1_ports="80,
8080". Toto vygeneruje následující pravidlo pro firewall
"10020 deny tcp from 10.0.0.1 to 1.2.3.4 dst-port 80,
8080".
Jestli chcete zaměnit allow za deny,
proveďte to i v názvu proměnné, stejně tak i pro záměnu
tcp za jiný protokol. Pokud zaměníte _in_ za
_out_, obrátí se i směr pravidla ve firewallu, pro
předchozí proměnnou dostanete záměnou in za
out toto pravidlo "10020 deny tcp from 1.2.3.4 80,
8080 to 10.0.0.1".
Analogicky můžete postupovat pro
fw_public_client_blocks.
Omezení rychlosti
Pro každou vnitřní adresu můžeme omezit maximalní rychlost,
které je schopna dosáhnout.
Toto se řeší pomocí "pipes" (roury na data), které se musí
nejprve nadefinovat, jak je jasně vidět na následujícím
příkladu.
Vytváření pojmenovaných rour
fw_pipes="data telefony"
fw_pipe_data="512/128"
fw_pipe_telefony="256/128"
#
fw_block_lan1="192.168.0.0/24"
fw_block_lan1_pipe="data"
fw_block_lan1_pipe_access_limited_to="any"
Tím jsme vytvořili čtyři roury, dvě pro data a dvě pro telefony,
pro každý směr spojení jednu. Data mají povolenou rychlost downloadu
512 Kbit/s a uploadu 128 Kbit/s, telefony 256 Kbit/s a 128
Kbit/s.
Nyní je potřeba vybrat packety, které chceme protahovat námi
vytvořenými rourami. Proto se použijí uplně stejné "feature" bloky
jako v předchozí sekci, pouze nepoužíváme
fw_block_klient1_deny_tcp_in_access_limited_to ani
fw_block_klient1_deny_tcp_in_access_limited_to, ale
používáme
fw_block_klient1_pipe_tcp_in_access_limited_to. A k
dannému feature bloku navíc připojíme jméno roury, do které má
směrovat, přes proměnnou
fw_block_klient1_pipe.
Mějte na paměti, že se takto směrují data pouze do jedné
roury, podle toho, zda používáme v proměnné
_in_ nebo _out_. Pokud
chceme (a to většinou ano) omezit i druhý směr spojení, musíme
vytvořit stejnou proměnnou s nahrazeným in za
rout a obráceně.
Následuje příklad pro omezení rychlosti všech packetů z adres
10.0.0.1, 10.0.0.2, 10.0.0.3, 10.0.0.4 skrz rouru data do Internetu na
maximální souhrnou rychlost 128 Kbit/s. Předpokládáme natavení rour
podle předchozího příkladu.
Směrovnání packetů do rour
fw_private_client_blocks="klient1"
fw_block_klient1="10.0.0.1,10.0.0.2,10.0.0.3,10.0.0.4"
fw_block_klient1_pipe_ip_out_access_limited_to="any"
fw_block_klient1_pipe="data"
Vlastní pravidla
Pro ipfw lze do rc.conf zapsat vlastní
statická pravidla, která nebudou skripty nijak ovlivňována. Tato
pravidla však nebudou kompatabilní s tím, pokud budete chtít použít
jiný firewall (až bude implementován). V takovém případě je budete
muset přepsat v syntaxi nového firewallu.
Dále je potřeba dávat pozor, kam dané pravidlo mezi ostatní
zařadíte, aby mělo žádaný účinek. Nejlepší je napsat celý firewall
pomocí proměnných WiBSD a pouze problematické části nakonec napsat
přímo.
K tomu použijte proměnnou
ipfw_fw_static_rules. Následující příklad zakáže
veškerý provoz na rozhranní vr0.
Vlastní statická pravidla ipfw
ipfw_fw_static_rules="nosis1"
ipfw_fw_static_rule_nosis1="add 1 deny all from from any
to any via vr0"
Další volby
Nastavení firewallu lze jemně ladit dalšími proměnnými, viz.
/etc/defaults/wibsd.conf, proměnné začínající
fw_.
Správa WiFi sítí
Vetšina programů pro pokročilou správu WiFi sítí je až ve
WiBSD-3
Prohlížení okolí
Pro prohlížení okolních access pointů je možné použít příkaz
stumbler s parameterem jména WiFi rozhraní. Pokud
nezadáte žádný parametr, použije se wi0, pokud
takové zařízení v systému existuje. Pokud zadané rozhraní není v
systému, program Vás o tom bude informovat.
Během scannování není možné pokračovat v standardní
komunikaci na použitém rozhranní. Pokud zařízení pracuje v režimu
AP, nebudou klienti moci komunikovat s okolím.
Pokud jste na zařízení připojen přes rozhraní, které chcete
použít ke scannování, bude Vaše spojení přerušeno a budete se
muset na zařízení připojit jinou cestou nebo přes terminál,
případně provést jeho resetování.
Automatické překánálování
Program rechannel provádí automatickou změnu
kanálu na nejvhodnější kanál, po prozkoumání okolních access
pointů.
Tato funkcionalita se hodí pouze pro režim hostap.
Dokud nezadáte programu rechannel parametr
-c, nebude provádět změnu na nový kanál
automaticky, ale pouze vypíše jaký kanál je nejlepší pro
použití
Pokud chcete vidět i seznam okolních AP s jejich ssid a čísly
kanálů, použijte parametr -v, který ovšem vypisuje
i další, ne tak důležité, informace. Bez tohoto přepínače vypíše
rechannel pouze číslo aktuálního používaného
kanálu, čísla obsazených kanálu a navrhne nejlepší kanál, na který při
použití -c automaticky přepne (pokud již není
aktuální).
Parametr, který je vždy potřeba zadat je -t
pocet_sekund, kterým zadáte, jak dlouho má program sbírat
informace o okolních access pointech. Defaultní hodnota je -t
5, tj. 5 sekund, což je naprosto nedostatečné a slouží pouze
pro testovací účely. Rozumná hodnota se pohybuje od 30 sekund
výše.
Po tuto dobu nebude pro Váš access point možné obsluhovat
klienty. Pokud jste připojen přes překanálovávané rozhraní, bude
po tuto dobu vaše spojení přerušeno. S velkou pravděpodobností
bude možné po uplnynutí intervalu scannování pokračovat v
rozdělané práci.
Parametr -h vypíše podobný návod.
Pokud chcete provádět překanálování automaticky, můžete spouštet
rechannel z crontabu. Není ale dobré to provádět
moc často, protože v této době neplní access point svoji
funkci.
The cutting edge
Příprava WiBSD image
Pro přípravu WiBSD image je potřeba balík skriptů a ostatních
souborů, které nejsou veřejné.
Plugin systém
Balík obsahuje adresář plugins ve kterém jsou další adresáře,
které postupně projdeme:
_DISTROS: zde jsou pluginy pro celou
distribuci, které kopirují pouze nezbytné soubory ze základní
distribuce FreeBSD to distribuce WiBSD.
_IMAGES: pluginy, které mohou například
vytvářet filesystém pro flash kartu nebo pro cd
_LIBS: kopirují knihovny z FreeBSD do
WiBSD
_PORTS: kompilují porty a kopírují nezbytné
soubory do WiBSD
ostatní adresáře: obecné pluginy, které
upravují různé soubory distribuce WiBSD a přidávají tím další
funkcionalitu.
V každém pluginu může být několik adresářů, které určují další
práci s pluginem. Protože se může funkcionalita lišit pro různé verze
WiBSD, je možnost vytvořit podadresáře, jejichž jména určují, pro
kterou verzi se jejich obsah použije.
all: pro všechny verze
RELENG_4: pro verze FreeBSD 4.x
RELENG_4_8: pro verzi 4.8
pokud používáte verzi 4.8, aplikují se adresáře
all, RELENG_4,
RELENG_4_8 v tomto pořadí.
Každý plugin může provádět různé akce, podle toho jestli má
nějaký obsah v následujících podadresářích.
Adresáře kontrolované před kompilací systému
prespecial: skripty, které se spustí
před tím, než začné kompilace
patch: předkompilací "opatchuje"
zdrojové soubory FreeBSD
Adresáře kontrolované po zkompilování systému
distro: zkopíruje soubory z FreeBSD do
WiBSD
add: přidá soubrory z podaresářů do
stejných adresářů ve WiBSD, přepíše existující
conadd: jako add ale zachová
exitující
append: přidá obsah souborů v
podadresářích na konec stejných souboru ve WiBSD
postpatch: umožňuje provádět patchování
výsledných souborů
postspecial: skripty, které se provedou
po kompilaci
Příprava na kompilaci
V kořenu systému balíků jsou dva důležité soubory
Makefile: obsahuje cíle, jako jsou
buildjail: provádí
buildworld,
buildkernel
installjail:
installworld,
installkernel,
distribution (vytvoří soubory v
/etc), copyports
(zkopíruje porty to chrootu)
jail: buildjail,
installjail
fresh-jail: cvsup
(z cvs vybere zdrojové soubory systému),
cvsup-ports (z cvs vybere soubory portů),
preprocess (provede předkompilační akce z
pluginů), jail
wibsd: sestavuje distribuci wibsd
podle pluginu
image: vytvoří image na flash kartu
nebo CD
upgrade: vytvoří soubor pro vzdálený
upgrade
fresh-image: vytvoří všecho
Makefile.conf: konfigurační soubor pro
výše uvedený Makefile, definují se v něm
sekce, kde každá může používat jiné pluginy a nastavení
kompilačních adresářů.
Názvy pluginů, které chcete použít, se vloží do
proměnných
DISTROPLUGINS: jména pluginů z
_DISTRO adresáře
PORTPLUGINS: jména pluginů z
_PORTS
LIBPLUGINS: z
_LIB
IMAGEPLUGINS: z
_IMAGE
PLUGINS: obecné pluginy
CLEANUPPLUGINS: obecné pluginy,
které provádějí závěrečné čistění souborů v distribuci (jako
strip na binárky apod.)b
Kompilace
Samotná kompilace se provádí v základním adresáři, kde jsou
soubory Makefile a
Makefile.conf a to zadáním příkazu make
-DJMÉNO_SEKCE cíl, například následovně
root@vergilius# make -DSMART-ROUTER wibsd
upgrade
Nad dříve zkompilovaným systémem provede sestavení WiBSD a
vytvoření souboru pro upgrade.
Detailnější dokumentace
Pro detailnější popis systému portů a celého průběhu kompilace
je vhodné nahlédnout do souboru doc/wibsd-doc.txt
a hlavně si prohlédnout jednotlivé adresáře balíku, hlavně
pluginů.