Рейтинг@Mail.ru

Наши друзья и партнеры

UnixForum






Книги по Linux (с отзывами читателей)

Библиотека сайта rus-linux.net

diald-examples - примеры конфигурации diald


diald-examples.ru(5)  Документация по diald  diald-examples.ru(5)


НАЗВАНИЕ
       diald-examples - примеры конфигурации diald

КРАТКИЙ ОБЗОР
       /etc/diald.conf


ОПИСАНИЕ
       Эта  страница  руководства  описывает  несколько  примеров
       конфигурации diald.  Diald конфигурируется с помощью файла
       конфигурации.   Diald  всегда  читает файл /etc/diald.conf
       при старте, кроме того,  в  командной  строке  могут  быть
       указаны  дополнительные  файлы конфигурации. В приведенных
       примерах считается, что  вся  конфигурация  осуществляется
       только с помощью файла /etc/diald.conf.

       Конфигурирование diald состоит из трех основных задач:

       1)     Создание "скрипта соединения", маленькой программы,
              звонящей по телефону и запускающей PPP или SLIP  на
              другом конце соединения,

       2)     основной конфигурации diald, указывающей устройства
              и режимы работы, а также

       3)     настройки правил,  использующихся  для  определения
              необходимости установки соединения.


       Это  руководство  делится  на  три  части, соответствующих
       каждой из этих  трех  задач.  Сначала  кратко  обсуждается
       написание  скрипта  соединения. Затем приводятся несколько
       примеров конфигурации с использованием стандартных  правил
       фильтрации. Наконец, обсуждается построение альтернативных
       правил фильтрации.


СКРИПТЫ СОЕДИНЕНИЯ
       Когда diald решает, что необходимо установить  соединение,
       он  должен  дозвониться  по  телефону  и войти в удаленную
       систему.  Diald требует,  чтобы  пользователь  предоставил
       для  этой  цели программу, называемую скриптом соединения.
       Очевидно, что написание скрипта  соединения  --  критичная
       задача, и может быть устрашающей для не-программиста.

       Если  у вас уже есть работающая связь с помощью pppd, то у
       вас  уже  есть  скрипт  соединения,  который  также  может
       использоваться  с  diald.   Например,  предположим, что вы
       запускаете pppd с помощью команды типа:


       pppd /dev/ttyS1 connect "chat -f /etc/ppp/chatscript"


       Тогда вы просто используете

       connect "/usr/sbin/chat -f /etc/ppp/chatscript"


       В качестве опции connect  для  diald.   Заметьте,  что  вы
       должны указать полный путь к программе chat, так как diald
       будет работать с пустой переменной среды PATH.

       Если же у вас нет работающего скрипта  соединения,  то  вы
       должны  сделать его. Пример, названный connect , находится
       в   директории   /usr/lib/diald.    Этот   скрипт    можно
       приспособить    к    вашим   нуждам,   изменяя   параметры
       конфигурации   в    начале    скрипта.    Этим    скриптом
       обрабатывается  большинство  вариантов  дозвона  и методов
       регистрации. Комментарии в примере объясняют, зачем  нужны
       те или иные настройки.

       Если   скрипт   соединения  из  директории  /usr/lib/diald
       невозможно   сконфигурировать   для   ваших   нужд,    вам
       потребуется  написать  свой  собственный  скрипт. Если вам
       понадобится сделать это,  прочтите  руководство  по  chat.
       Можно  также попробовать использовать expect, чтобы писать
       скрипты со сложным поведением. Вам следует также  знать  о
       состоянии  среды,  в которой работает скрипт соединения. В
       частности, стандартные вход, выход и  stderr  соединены  с
       последовательным    устройством    (модемом).    Вдобавок,
       переменная среды MODEM содержит имя этого  устройства,  и,
       если  diald использует командный FIFO, то переменная среды
       FIFO  содержит  его  имя.  Эти  переменные   среды   могут
       использоваться  для  довольно сложных взаимодействий между
       diald и скриптом соединения.



ПРОСТЫЕ КОНФИГУРАЦИИ
       Конфигурация diald контролируется файлом  /etc/diald.conf.
       В   этой   главе  рассказывается  о  нескольких  различных
       вариантах  конфигурации,  начиная  с   очень   простых   и
       заканчивая  более  сложными. В этой главе подразумевается,
       что скрипт соединения находится в  /usr/lib/diald/connect.
       Каждый пример содержит файл /etc/diald.conf, который может
       использоваться в качестве образца для вашего  собственного
       /etc/diald.conf.   Вам,  вероятно, следует изучить примеры
       перед созданием  своего  собственного  /etc/diald.conf.  В
       частности,  большинство  примеров  укорочено до минимально
       необходимого  количества  опций,  требуемых  для   запуска
       diald.
        Несколько  дополнительных  опций  обсуждается в последнем
       примере -- вы наверняка захотите использовать их.


   Узел со статическим IP адресом, использующий PPP.
       Самый простой случай --  использование  фиксированного  IP
       адреса,  присвоенного  вашей  локальной машине, причем эта
       машина не подсоединена к локальной сети. Обычно правильная
       настройка  PPP проще, чем настройка SLIP. Предположим, что
       ваша  машина  будет  работать  с  PPP,  что  ей   присвоен
       фиксированный  адрес 137.130.1.14, и что машина, с которой
       вы будете соединяться,  имеет  адрес  137.130.2.44.  Также
       предположим,  что  ваш модем находится на последовательном
       устройстве /dev/ttyS1, и что вы хотите установить скорость
       вашего  модема  в  115200, потому что у вас быстрый модем.
       Нижеследующий   /etc/diald.conf    содержит    минимальную
       конфигурацию для этого случая:


              mode ppp
              connect /etc/diald/connect
              device /dev/ttyS1
              speed 115200
              modem
              lock
              crtscts
              local 137.130.1.14
              remote 137.130.2.44
              defaultroute
              include /usr/lib/diald/standard.filter


       Опция  mode  указывает  diald  использовать  протокол PPP.
       Опция  connect  указывает   diald,   где   искать   скрипт
       соединения.    Опция   device  говорит  diald,  что  модем
       находится  на  устройстве  /dev/ttyS1,   а   опция   speed
       указывает,  что  diald  должен  соединяться  с  модемом на
       скорости 115200 bps.  Опция modem говорит  diald,  что  на
       последовательном  устройстве  находится  модем.  Без  этой
       опции diald будет считать, что  он  соединен  с  удаленной
       системой напрямую с помощью последовательного кабеля. Если
       это не так, то вам  требуется  опция  modem.   Опция  lock
       сообщает   diald,   что  он  должен  блокировать  серийное
       устройство во время  работы  с  ним,  чтобы  предотвратить
       доступ  к  нему со стороны других программ.  Опция crtscts
       указывает diald, что  необходимо  использовать  "железный"
       контроль  пересылки  по  серийному устройству. Это, скорее
       всего,  обязательно  при  использовании   высокоскоростных
       последовательных соединений.

       Опция local Указывает IP адрес вашей машины. Точно так же,
       опция remote указывает IP адрес  машины  с  другого  конца
       соединения.  Опция defaultroute указывает diald установить
       маршрут по  умолчанию  на  соединение,  которым  управляет
       diald.  Если  это  через  это соединение и происходит ваше
       подключение к Internet, вам потребуется эта опция.

       Наконец, последняя строка указывает diald прочитать  опции
       из   файла   /usr/lib/diald/standard.filter.    Эти  опции
       устанавливают   набор   правил,   которые   diald    будет
       использовать  для  определения,  когда  следует установить
       соединение и когда разорвать его.  Изменение  этих  правил
       обсуждается в третьей части этого руководства.



   Узел со статическим IP адресом, использующий SLIP
       Предположим,  вам  надо  совершать  соединения,  используя
       протокол SLIP, а не PPP. В этом случае строка  "mode  ppp"
       необходимо  заменить  на  "mode slip" (если вы используете
       компрессированный SLIP, напишите "mode cslip").

       Предполагая, что ваш скрипт соединения правильно запускает
       протокол  SLIP  на  удаленной  машине,  этого  может  быть
       достаточно.  Однако, обычно требуется установить  значение
       Максимальной  Единицы  Передачи (MTU) для SLIP-соединения,
       так как это значение должно быть идентично на обоих концах
       SLIP-соединения, а значение по умолчанию (1500) может быть
       неправильным. Предполагая, что значение  MTU  должно  быть
       576, может использоваться такой файл /etc/diald.conf:


              mode slip
              connect /etc/diald/connect
              device /dev/ttyS1
              speed 115200
              modem
              lock
              crtscts
              local 137.130.1.14
              remote 137.130.2.44
              mtu 576
              defaultroute
              include /usr/lib/diald/standard.filter


   Узел с динамическим адресом удаленной машины, использующий PPP
       Теперь  предположим,  что,  когда  вы  дозваниваетесь   до
       удаленной   машины,  вы  можете  соединиться  с  одним  из
       терминальных серверов,  каждый  из  которых  имеет  разный
       адрес.  Что  выбрать  в качестве адреса удаленной машины в
       конфигурации  diald?   Ответ   любопытен:   это   неважно.
       Удаленный    адрес,    присвоенный    интерфейсу    --   в
       действительности лишь локальная метка,  которую  программа
       route  использует для нахождения нужного интерфейса. Когда
       маршрутизация   установлена,   этот   адрес    более    не
       используется.  Таким  образом, в вышеуказанной ситуации вы
       можете выбрать адрес одного из  терминальных  серверов,  с
       которыми вы соединяетесь, в качестве удаленного адреса.


   Узел с динамическим локальным адресом, использующий PPP
       Давайте еще немного усложним ситуацию. Предположим, что вы
       не только не знаете адреса системы, с которой соединитесь,
       но  и  что она может выдавать вам разные адреса при каждом
       соединении.

       В этой ситуации  вы  должны  использовать  опцию  dynamic.
       Заметьте,   что  вы  все  равно  должны  задать  начальный
       локальный адрес, в противном случае diald
        не сможет сэмулировать еще не  установленное  соединение.
       Этот  локальный  адрес  должен  быть  взять  из  одной  из
       подсетей, оставленных специально для приватных IP адресов.
       Обычно   в  этом  случае  можно  также  "подделать"  адрес
       удаленной системы.  Если  у  вас  нет  локальной  IP-сети,
       использующей    приватные   адреса,   вы   можете   просто
       использовать адреса 192.168.0.1 и  192.168.0.2.   Если  вы
       уже  используете  эти адреса в вашей сети, просто выберите
       свободные, еще не назначенные вашим машинам  адреса.   Так
       может  выглядеть  минимальный  /etc/diald.conf  для  этого
       случая:

              mode ppp
              connect /etc/diald/connect
              device /dev/ttyS1
              speed 115200
              modem
              lock
              crtscts
              local 192.168.0.1
              remote 192.168.0.2
              dynamic
              defaultroute
              include /usr/lib/diald/standard.filter


   Узел с динамическим локальным адресом, использующий SLIP
       Ситуация с использованием SLIP с динамическими IP адресами
       несколько  более  сложна, из-за того, что протокол SLIP не
       обеспечивает  двум  машинам  возможности  договориться  об
       адресах  для обеих точек соединения. Стандартный способ --
       когда удаленный SLIP-сервер выдает  сообщение,  сообщающее
       адреса,  перед  тем,  как  войти в режим SLIP. Ваша машина
       может прочитать это сообщение перед тем,  как  перейдет  в
       режим SLIP.

       Diald  способен  читать  и интерпретировать эти строки, но
       ему требуется небольшая  помощь.  В  частности,  diald  не
       знает  заранее,  в  каком  порядке  сообщаются локальный и
       удаленный адреса, или даже появятся ли они оба или  только
       один.

       Команда  dslip-mode  позволяет указать, какие адреса будут
       сообщены и в каком порядке они появятся.   Например,  если
       удаленная  машина  печатает свой адрес, за которым следует
       ваш локальный адрес,  вероятно,  с  каким-то  еще  текстом
       между  ними), вы можете использовать следующий минимальный
       файл /etc/diald.conf:


              mode slip
              connect /etc/diald/connect
              device /dev/ttyS1
              speed 115200
              modem
              lock
              crtscts
              local 192.168.0.1
              remote 192.168.0.2
              dynamic
              dslip-mode remote-local
              mtu 576
              defaultroute
              include /usr/lib/diald/standard.filter


   Более сложный пример
       Рассмотрим теперь  более  сложный  пример,  иллюстрирующий
       несколько  более  продвинутых опций, о которых вам следует
       знать.

       Предположим, у  вас  есть  небольшая  сеть,  которой  были
       присвоены   IP-адреса  в  сети  137.130.1.0/255.255.255.0,
       которую необходимо подключить к главному офису  с  помощью
       PPP   сервера,   имеющего   адрес   137.130.2.44.    Также
       предположим,  что  ваша  основная  работа   с   Интернетом
       осуществляется  через  другое  соединение, и что вы хотите
       маршрутизировать адреса в  сети  137.130.2.0/255.255.255.0
       через соединение, которым управляет diald.

       Также  допустим,  что сервер в главном офисе предоставляет
       вам выбор адреса локальной машины, потому  что  вам  может
       потребоваться  изменить  его,  а в главном офисе не желают
       заниматься переконфигурацией сервера,  каждый  раз,  когда
       это  произойдет.  В  этом  случае  следует  передать  pppd
       параметр "137.130.1.14:".

       Наконец, предположим, что у вас имеется несколько  модемов
       на  устройствах  начиная с /dev/ttyS1 по /dev/ttyS5, и что
       выходящие звонки должны использовать эти модемы, если  они
       уже не используются.

       Нижеследующий  /etc/diald.conf может использоваться в этом
       случае. Опции,  которые  не  использовались  в  предыдущих
       примерах, обсуждаются ниже.


              # Общие опции
              mode ppp
              accounting-log /var/log/diald.log
              fifo /etc/diald/diald.ctl
              pppd-options 137.130.1.14:

              # Конфигурация устройств
              connect /etc/diald/connect
              device /dev/ttyS1
              device /dev/ttyS2
              device /dev/ttyS3
              device /dev/ttyS4
              device /dev/ttyS5
              rotate-devices
              speed 115200
              modem
              lock
              crtscts

              # Сетевая конфигурация
              local 137.130.1.14
              remote 137.130.2.44
              netmask 255.255.255.0
              mtu 576
              mru 576
              window 2048
              addroute /etc/diald/addroute
              ip-up /etc/diald/shipmail

              # Таймауты
              redial-backoff-start 4
              redial-backoff-limit 300
              dial-fail-limit 15

              # Стандартная фильтрация пакетов
              include /usr/lib/diald/standard.filter


       Опция  accounting-log  задает  файл, в который diald будет
       писать журнал телефонных звонков,  которые  он  совершает.
       Если  вам  не нужен такой журнал, просто не указывайте эту
       опцию.

       Опция  fifo  указывает  diald  создать  управляющий  FIFO,
       называющийся     /etc/diald/diald.ctl,    который    может
       использоваться для управления  выполняемой  копией  diald.
       Программы  dcntl  и  diald-top  используют  этот  FIFO,  и
       вообще, несложно  написать  программу,  использующую  его.
       Заметьте,  что  необязательно, чтобы этот FIFO существовал
       при старте diald, хотя директория, в которой он создается,
       (в данном примере -- /etc/diald) обязана существовать.


       Опция  pppd-options  задает список из одной и более опции,
       которую diald будет передавать pppd при  запуске.  В  этом
       случае  передается  опция "137.130.1.14:", чтобы pppd знал
       правильный локальный адрес при установлении соединения.

       Заметьте, что указано более одной  опции  device.   Каждая
       задает   одно  из  возможных  модемных  устройств.   Опция
       rotate-devices   указывает   diald   использовать    новое
       устройство   каждый   раз,  когда  он  пытается  совершить
       соединение. Это предохраняет от случаев, когда при поломке
       одного  из  модемов  diald  будет  заблокирован, постоянно
       пытаясь использовать один и тот же сломанный модем.

       Опция netmask  устанавливает  сетевую  маску  с  локальной
       стороны  PPP-интерфейса.  Здесь  случае  мы  устанавливаем
       маску в  255.255.255.0.  Часто  diald  сам  может  угадать
       правильную  сетевую  маску,  зная IP-адрес, но если это не
       так -- вам надо использовать эту опцию.

       В отличие от предыдущего примера с  режимом  PPP,  в  этом
       примере  мы  явно  указываем  значение  MTU.  Значение  по
       умолчанию для MTU в режиме PPP равно 1500. Чтобы  получить
       лучшую  работу  в  интерактивном  режиме, вы можете задать
       меньшее значение. В этом примере мы хотим  установить  MTU
       на  обоих  концах  соединения  в  значение 576.  Опция mtu
       задает  MTU  с  этой  стороны   соединения.    Опция   mru
       заставляет  diald  просить сервер, чтобы тот установил MTU
       со своей стороны также в значение 576.

       Опция  window  также  используется  для  тонкой  настройки
       производительности. В частности, протокол TCP обычно может
       слать  довольно  большой  размер  данных  (30-40k)   одним
       пакетом.  Такое  количество  данных  может занять ощутимое
       время при пересылке по модему. Эта опция  указывает  diald
       задать   размер   окна   в   своих   строчках   в  таблице
       маршрутизации. Это ограничивает размер пакета данных TCP и
       может сильно улучшить производительность при интерактивной
       работе. Смотри также страницу руководства по diald,  чтобы
       прочитать обсуждение правильной установки размера окна.

       Опция    addroute    просит    diald    выполнить   скрипт
       /etc/diald/addroute,
        когда он готов добавить строки в  таблицу  маршрутизации.
       Мы   делаем   здесь   это   для   того,   чтобы  настроить
       маршрутизацию  для  сети  137.130.2.0/255.255.255.0,   что
       требуется  нашими  условиями,  заданными  в  начале  этого
       примера.   Соответствующий   скрипт    /etc/diald/addroute
       выглядит так:


              #!/bin/sh
              /sbin/route add -net 137.130.2.0 \
                netmask 255.255.255.0 gw $4 \
                window 2048 metric $5 dev $1


       Опция    ip-up    указывает    diald    выполнить   скрипт
       /etc/diald/shipmail   каждый   раз,    когда    появляется
       IP-соединение.  В  этом  случае мы можем предположить, что
       этот скрипт  посылает  почту,  направленную  на  адреса  в
       главном  офисе.  Вы можете заставить этот скрипт совершать
       при установлении соединения любые  действия,  которые  вам
       понадобятся.


       Опции  redial-backoff-start, redial-backoff-limit, и dial-
       fail-limit   помогут   ограничить    количество    попыток
       соединения,   которые   diald  попытается  сделать.  Опция
       redial-backoff-start  указывает  diald   начать   удвоение
       времени  между  звонками  после  четырех неудачных попыток
       подряд.  Опция redial-backoff-limit указывает diald, чтобы
       время  между неудачными звонками было не более 300 секунд.
       Наконец, опция dial-fail-limit указывает  diald  совершать
       не  более 15 неудачных звонков подряд. Если diald совершит
       15  неудачных  звонков  подряд,   он   прекратит   попытки
       дозвониться,  сообщит  об  этом в системный журнал и будет
       ждать, пока администратор не даст ему команду  возобновить
       работу.  Страница руководства по diald описывает эти опции
       более подробно.



Правила фильтрации
       Diald  постоянно  поддерживает  виртуальное  соединение  с
       удаленной  машиной.  Это  соединение  находится в одном из
       двух режимов: соответствующее физическое соединение должно
       быть  установлено или же оно должно быть разорвано.  Когда
       физическое соединение должно быть установлено, diald будет
       поддерживать физическое соединение, звоня и перезванивая в
       случае необходимости. Также он будет  отслеживать  пакеты,
       проходящие  по  виртуальному соединению, чтобы определить,
       когда следует разорвать физическое соединение.

       Когда физическое соединение должно быть  разорвано,  diald
       будет   отслеживать  пакеты,  проходящие  по  виртуальному
       соединению, чтобы определить,  что  физическое  соединение
       должно  быть установлено. Общий подход, используемый diald
       для  определения   необходимости   переключения   режимов,
       заключается  в  создании  группы "предметов соединения", с
       каждым из которых связан соответствующий  таймаут.   Когда
       таймаут  заканчивается,  соответствующий предмет удаляется
       из  группы.   Когда  группа  пуста,  diald  считает,   что
       физическое  соединение  должно быть разорвано, в противном
       случае  --   что   физическое   соединение   должно   быть
       установлено.    В  этой  секции  обсуждаются  правила,  по
       которым diald создает группу соединения.



   Основы правил фильтрации
       Правила "accept", "bringup", "keepup" и "ignore" управляют
       добавлением  новых  предметов  соединения в группу. Каждое
       правило "accept",  "bringup"  и  "keepup"  содержит  набор
       условий,  которым  должен  соответствовать  пакет,  метод,
       которым  пакет  преобразуется  в  предмет  соединения,   и
       таймаут.  Правила "ignore" содержать только набор условий,
       которым  должен  соответствовать  пакет.  Когда  прибывает
       пакет,  соответствующий какому-нибудь правилу "accept", из
       него создается предмет соединения,  предположим,  <id>,  и
       этот  предмет соединения добавляется в группу с таймаутом,
       указанным в правиле. Если <id> уже находится в группе,  то
       новый таймаут замещает старый таймаут. Заметьте, что новый
       таймаут может быть меньше, чем старый таймаут.


       Каждый оператор "accept", "bringup", "keepup" или "ignore"
       должен  указывать имя протокольного правила.  Протокольные
       правила   указывают,    как    создавать    идентификаторы
       соединений.     Содержащийся     в    дистрибутиве    файл
       /usr/lib/diald/diald.defs   содержит   следующие    четыре
       определения:


       prule tcp tcp 9:12:13:14:15:16:17:18:19:+0:+1:+2:+3:9:9:9
       prule udp udp 9:12:13:14:15:16:17:18:19:+0:+1:+2:+3:9:9:9
       prule icmp icmp 9:12:13:14:15:16:17:18:19:9:9:9:9:9:9:9
       prule any any 9:12:13:14:15:16:17:18:19:9:9:9:9:9:9:9

       Правила  "tcp" и "udp" соответствуют TCP- и UPD-пакетам, и
       создают идентификаторы соединений, состоящие из  протокола
       пакета, адресов отправителя и получателя, и номеров портов
       отправителя и получателя.

       Правила "icmp" и "any" создают  идентификаторы,  состоящие
       только  из  протокола  пакета  и  IP-адресов отправителя и
       получателя.  Важно  заметить,   что   diald   не   создает
       идентификаторы  соединений  прямо  из  совпавшего  пакета.
       Перед  созданием  идентификатора  diald   может   поменять
       местами  адреса  отправителя  и  получателя, чтобы меньший
       адрес всегда находился в  поле  "адрес  отправителя".  Это
       делается   для  того,  чтобы  создавался  один  и  тот  же
       идентификатор  соединения,  несмотря  на  направление,   в
       котором пакет проходит по интерфейсу.

       Каждое  правило  "accept",  "bringup", "keepup" и "ignore"
       также  должно  указывать  набор  условий,  относящийся   к
       содержимому   пакета.   Определения  переменных  позволяют
       получать доступ к содержимому пакета в операторах "accept"
       и "reject".

       Находящийся  в дистрибутиве файл /usr/lib/diald/diald.defs
       определяет переменные для всех полей заголовка  IP-пакета,
       а   также   для   всех   полей  заголовков  TCP-,  UPD-  и
       ICMP-пакетов.    Имена   совпадают   с    теми,    которые
       используются     в    #include-файлах,    находящихся    в
       /usr/include/linux.


       Переменные для заголовка IP-пакета таковы:
           ip.ihl               длина заголовка
           ip.version           версия формата
           ip.tos               типа сервиса (type of service)
           ip.tot_len           длина IP-пакета в словах
           ip.id                id пакета
           ip.frag_off          смещение фрагмента
           ip.ttl               время жизни (TTL)
           ip.protocol          ip протокол
           ip.check             контрольная сумма заголовка ip
           ip.saddr             IP-адрес    отправителя    source
       address
           ip.daddr             IP-адрес получателя

       Переменные для заголовка TCP-пакета:
           tcp.source           TCP-порт отправителя
           tcp.dest             TCP-порт получателя
           tcp.seq              номер последовательности TCP
           tcp.ack_seq          подтвержденный              номер
       последовательности TCP
           tcp.doff             tcp смещение данных в словах
           tcp.fin              флаг tcp finish
           tcp.syn              флаг tcp synchronize
           tcp.rst              флаг tcp reset
           tcp.psh              флаг tcp push
           tcp.ack              флаг tcp acknowledge
           tcp.urg              флаг tcp urgent
           tcp.live             состояние соединения TCP

       Последняя переменная (tcp.live) -- это  псевдо-переменная,
       которую создает diald. Она имеет значение "истина" тогда и
       только тогда, когда TCP-соединение еще не было  завершено.

       Переменные заголовка UDP-пакета таковы:
           udp.source           UDP-порт отправителя
           udp.dest             UDP-порт получателя
           udp.len              длина заголовка UDP
           udp.check            контрольная сумма UDP-пакета

       Переменные заголовка ICMP-пакета таковы:
           icmp.type            типа пакета ICMP
           icmp.code            код пакета ICMP
           icmp.checksum        контрольная сумма ICMP-пакета
           icmp.echo.id         ICMP echo id
           icmp.echo.sequence   ICMP echo sequence
           icmp.gateway         ICMP gateway


   Простые примеры
       Полезно было бы рассмотреть несколько примеров.  Правило

              accept tcp 10 any

       указывает "взять любой TCP-пакет и присвоить получившемуся
       предмету  соединения   таймаут   в   10   секунд.   Метод,
       используемый для создания предметов соединения, специфичен
       для TCP-пакетов.

       Правилу

              accept tcp 10 any

       соответствует  любой  TCP-пакет,  а  таймаут,  присвоенный
       соответствующему  предмету  соединения, равен 10 секундам.
       Метод, используемый для  генерации  предметов  соединения,
       специфичен  для TCP-пакетов -- из пакета берется протокол,
       IP-адрес  отправителя  и  получателя,   и   номер   портов
       отправителя и получателя.

       Точно так же, правилу

              accept any 10 any

       соответствует   любой   пакет,   а   таймаут,  присвоенный
       соответствующему предмету соединения, равен 10 секундам.

       Более сложному правилу

              accept                    tcp                    60
              tcp.dest=tcp.www,ip.daddr&255.255.0.0=149.100.0.0

       соответствует любой TCP-пакет с номером порта отправления,
       совпадающим с номером TCP-порта для www, который указан  в
       файле  /etc/services,  а  IP-адрес  получателя находится в
       подсети 149.100.0.0.



   Стандартные правила фильтрации
       Теперь мы опишем строение большинства правил,  находящихся
       в   файле  /usr/lib/diald/standard.filter.   Вместо  того,
       чтобы приводить полное содержимое этого файла, мы  обсудим
       небольшие  группы  правил  в порядке их появления. Учтите,
       что для полного  понимания  некоторых  примеров  требуется
       определенное  понимание  работы протоколов Интернет. Также
       учтите, что что  это  описание  направлено  на  то,  чтобы
       помочь   вам   понять,   как  писать  правила  фильтрации.
       Некоторые правила, находившиеся в реальном файле на момент
       написания  этого  руководства,  не были в нем упомянуты, и
       файл мог несколько измениться с  тех  пор.  Это  никак  не
       должно повлиять на полезность обсуждения.

       Заметьте,   что   порядок,   в   котором  указаны  правила
       фильтрации, критичен. При сравнении  пакетов  diald  будет
       применять первое подходящее правило.


       Правила  в  файле  стандартных  фильтров  разделены на три
       секции: правила TCP, правила UDP и общий набор правил.


       Правила TCP


       Перед  дальнейшим   описанием   правил   полезно   сделать
       несколько общих замечаний, касающихся принципов, лежащих в
       основе этих правил.

       Вообще, мы  хотели  бы  считать  важными  с  точки  зрения
       таймаутов  только  данные,  проходящие по TCP соединениям.
       Поэтому мы стараемся игнорировать пакеты без  данных.  Так
       как  самый короткий набор заголовков в пакете TCP/IP имеет
       длину в 40 байт, то любой пакет, имеющий такую  длину,  не
       содержит данных. Мы можем упустить некоторые пустые пакеты
       (в   IP   заголовке   может   содержаться   дополнительная
       информация   о   маршрутизации   и  прочие  дополнительные
       сведения),  но  большую  их  часть  мы  все  же   получим.
       Заметьте,  что мы не отфильтровываем пакеты с пустым полем
       tcp.live,  так  как  далее  используем  их  для  ускорения
       разрыва некоторых TCP соединений.

       Также  нам надо убедиться, что WWW пакеты живут даже когда
       TCP  сокет  закрыт.  Это  делается  потому,  что  WWW   не
       удерживает  соединение  открытым  после передачи данных, а
       постоянно разрывать и устанавливать заново соединение  при
       работе с WWW было бы очень неудобно.

       Кроме  WWW  TCP  чаще  всего  используется  для длительных
       соединений, разрыв которых означает,  что  нам  больше  не
       требуется  доступ к сети. Необязательно десять минут ждать
       разрыва соединения, когда нет ни одной сессии  telnet  или
       rlogin,  поэтому мы хотим ускорит таймаут для закрытых TCP
       соединений. Это делается с  помощью  пакетов  с  очищенным
       флагом "live."

       Первое правило сделано, чтобы добавить к продолжительности
       соединения 15  секунд  при  установлении  TCP  соединения.
       Идея  в том, что существует возможность недоступности сети
       с другой стороны соединения.  В  этом  случае  не  следует
       предоставлять   соединению   целых  10  минут.  С  помощью
       нижеуказанного  правила  мы  сначала  даем  соединению  15
       секунд.  Если сеть доступна, в течение 15 секунд мы обычно
       получаем  ответ,  содержащий  данные.  Если  это  вызывает
       проблемы  из-за  того,  что  у вас большое время доступа к
       машине, с которой вам  часто  приходится  связываться,  вы
       можете увеличить таймаут или удалить это правило.


              accept tcp 15 tcp.syn

       Когда  у  вас  работает  named, он периодически пересылает
       определенные данные, чтобы  синхронизироваться  с  другими
       серверами  доменных  имен.  Так  как это может случиться в
       любой момент,  то  нежелательно  устанавливать  для  этого
       соединение.  Поэтому мы можем игнорировать любой трафик от
       доменных серверов или к доменным серверам.

              ignore tcp tcp.dest=tcp.domain
              ignore tcp tcp.source=tcp.domain


       Обычно пакет, устанавливающий соединение, длиннее 40 байт,
       потому  что  он  содержит  TCP  опции  для  установки MSS.
       Однако, некоторые реализации TCP не используют этих опций.
       Поэтому   мы  должны  быть  аккуратны  и  не  игнорировать
       SYN-пакеты длиной всего лишь в 40 байт..IP  accept  tcp  5
       ip.tot_len=40,tcp.syn


       Мы  все же хотим игнорировать TCP пакеты длиной в 40 байт,
       потому что они не содержат данных. Однако,  мы  не  желаем
       игнорировать    40-байтные    пакеты,   отмечающие   конец
       соединения, потому что мы  используем  их  для  сокращения
       таймаутов  для  завершившихся соединений. Таким образом мы
       должны проверять флаг tcp.live. Если он не установлен,  то
       мы хотим обработать этот пакет в дальнейшем..IP ignore tcp
       ip.tot_len=40,tcp.live


       Убедимся, что  пересылки по http удерживают  соединение  в
       течение  двух  минут  даже  после  своего  завершения. Это
       избавляет от постоянного дергания  соединения.  Вам  может
       показаться, что две минуты -- это слишком мало.

              accept tcp 120 tcp.dest=tcp.www
              accept tcp 120 tcp.source=tcp.www


       После  того,  как  TCP-соединение  прекращено, мы пытаемся
       быстро завершить телефонное соединение. Заметьте, что если
       трубка  уже  положена,  то  закрытие соединения (создающее
       некоторый трафик), не приведет к его повторному звонку.

              keepup tcp 5 !tcp.live
              ignore tcp !tcp.live


       Пересылка  данных   по   FTP   обычно   создает   довольно
       интенсивный  трафик,  поэтому  можно использовать короткий
       таймаут.

              accept tcp 120 tcp.dest=tcp.ftp
              accept tcp 120 tcp.source=tcp.ftp

       Наконец,  если  TCP  пакет  не  соответствует  ни   одному
       вышеуказанному  правилу,  то  мы  увеличиваем  время жизни
       соединения  на  10  минут.  Этому  правилу   соответствует
       большинство TCP пакетов.

              accept tcp 600 any


       Правила UDP


       Немногие программы общаются посредством UPD пакетов, а те,
       которые все же делают это, принадлежат к  числу  программ,
       ради  которых  необязательно  держать соединение поднятым,
       потому что  они  рассылают  UDP  пакеты  каждые  несколько
       минут.   Однако,  обычно,  когда  соединение  отсутствует,
       пользователь  запускает   программу,   которой   требуется
       обратиться   к   серверу  доменных  имен  перед  тем,  как
       совершить TCP-соединение.  Таким  образом,  когда  в  сети
       появляется  пакет, обращенный к DNS, необходимо установить
       модемное соединение. Все прочие виды UDP пакетов  мы  явно
       игнорируем.


       Не устанавливать соединение для rwho.

              ignore udp udp.dest=udp.who
              ignore udp udp.source=udp.who


       Не устанавливать соединение для пакетов маршрутизации.

              ignore udp udp.dest=udp.route
              ignore udp udp.source=udp.route


       Не устанавливать соединение для NTP или timed.

              ignore udp udp.dest=udp.ntp
              ignore udp udp.source=udp.ntp
              ignore udp udp.dest=udp.timed
              ignore udp udp.source=udp.timed


       Не  устанавливать  соединение  для обменов запросами между
       двумя named'ами.

              ignore                                          udp
              udp.dest=udp.domain,udp.source=udp.domain


       Установить  соединение  при  появлении  запроса  доменного
       имени откуда-нибудь кроме  named.   Запросы  к  DNS  имеют
       небольшой   таймаут.  Мы  хотим,  чтобы  они  только  лишь
       поднимали соединение, а не держали его, потому что  обычно
       соединение   устанавливается   по  запросу  от  библиотеки
       резолвера, но когда оно установлено, мы получаем  ответ  и
       устанавливаем   TCP   соединение.   Если   соединение   не
       установлено, мы  не  хотим,  чтобы  соединение  оставалось
       поднятым  из-за  предварительного запроса об имени домена.
       Заметьте,  что  не  следует  делать  таймаут  короче,  чем
       ожидаемое время ответа от сервера DNS.

              accept udp 30 udp.dest=udp.domain
              accept udp 30 udp.source=udp.domain


       Мы  обращаемся с широковещательным запросам netbios-ns так
       же, как и с запросами к DNS.

              ignore         udp          udp.source=udp.netbios-
              ns,udp.dest=udp.netbios-ns
              accept udp 30 udp.dest=udp.netbios-ns
              accept udp 30 udp.source=udp.netbios-ns


       Все прочие UDP пакеты удерживают соединение в течение двух
       минут. Если вы наблюдаете проблемы, связанные с  тем,  что
       какая-либо   программа,   использующая   UDP,   удерживает
       соединение без надобности, вы можете изменить это  правило
       так,  чтобы  UDP пакеты игнорировались. Конечно, это может
       привести к проблемам в другом месте.

              accept udp 120 any


       Catch All Rules

       Поймать все пакеты, которые не отфильтровались выше и дать
       им  таймаут  в  30  секунд. Чаще всего сюда будут попадать
       ICMP пакеты с пингами.

              accept any 30 any


Ограничения времени и импульсы
   Простые ограничения времени
       Часто случается, что вам хотелось бы  использовать  разные
       наборы  правил  в  разное время. Это может быть достигнуто
       использованием операторов restrict и or-restrict.

       Например,  предположим,  что  вы   хотите,   чтобы   diald
       постоянно  удерживал соединение в промежутке между 08:00 и
       18:00 с понедельника по пятницу, и с  08:00  по  14:00  по
       субботам,  а  во  все  остальное  время  линия должна быть
       свободна. Это достигается таким набором правил фильтрации:

              restrict 08:00:00 18:00:00 1-5 * *
              or-restrict 08:00:00 14:00:00 6 * *
              up
              restrict * * * * *
              down

       Заметьте,  что оператор "restrict * * * * *" означает, что
       правило "down" применимо все время. Причиной,  по  которой
       этот   набор  правил  работает,  является  то,  что  diald
       использует  первое  же  правило,  которому   соответствует
       пакет.  В  то время, когда применимо правило "up", правило
       "down" никогда не будет использоваться. В остальное  время
       правило "down" будет единственным использующимся правилом.

       В качестве более  сложного  примера  предположим,  что  мы
       хотели,  чтобы  вместо  того, чтобы в нерабочее время быть
       постоянно разорванным, соединение устанавливалось  бы  "по
       запросу."  Вдобавок  предположим, что нам также необходимо
       держать  линию  свободной  в  течение  15  минут  в  конце
       рабочего  дня,  чтобы  нам  могли дозвониться из филиала и
       обновить базу данных продаж.  Это  может  быть  достигнуто
       следующими правилами фильтрации:


              restrict 08:00:00 18:00:00 1-5 * *
              or-restrict 08:00:00 14:00:00 6 * *
              up
              restrict 18:15:00 18:30:00 1-5 * *
              restrict 14:15:00 14:30:00 6 * *
              down
              restrict * * * * *
              include /usr/lib/diald/standard.filter


   Импульсы
       Во   многих   странах  телефонные  звонки  оплачиваются  с
       использованием фиксированных квантов  времени,  называемых
       "импульсами". Когда импульс начался, с вас берут деньги за
       весь импульс.  Это  означает,  что  если  положить  трубку
       немедленно  после  начала импульса, то никакой экономии не
       будет. Diald имеет возможность указать,  что  используется
       механизм  импульсов,  и сделать так, чтобы трубка вешалась
       только в конце импульса.

       В качестве примера  предположим,  что  с  понедельника  по
       пятницу  с  08:00  до 15:00 телефонные звонки оплачиваются
       импульсами в 3 минуты, в остальное время -- импульсами в 9
       минут.  Вдобавок,  предположим,  что первый импульс любого
       телефонного звонка всегда 3 минуты.

       Нижеследующие   правила,   помещенные   перед    правилами
       фильтрации  в  /etc/diald.conf,  расскажут  diald  об этой
       системе импульсов.

              restrict 08:00:00 15:00:00 1-5 * *
              impulse 150,510,30
              restrict * * * * *
              impulse 150,30

              Следует    проконсультироваться    со     страницей
              руководства по diald, чтобы узнать точную семантику
              команды impulse.


   Ограничения не всемогущи
       Существует  несколько  проблем,  которые   вы,   вероятно,
       захотите   решить,   используя  временные  ограничения,  и
       которые гораздо лучше решаются другими способами.

       Например, предположим,  что  вы  хотите  совершать  звонок
       каждые  30  минут,  чтобы  забрать  свою  почту. Вы можете
       поместить вызов  почтовой  программы  в  скрипт  ip-up,  и
       написать длинную последовательность правил типа


              restrict 00:00:00 00:05:00 * * *
              or-restrict 00:30:00 00:35:00 * * *
               .
               .
               .
              up


       Это   будет  работать,  но  потребует  написания  довольно
       длинной  последовательности  правил.   Более   того,   эта
       проблема  может  быть гораздо лучше решена, используя cron
       для запуска задания, которое пошлет diald команду  "up"  в
       его  управляющий  fifo, или пошлет ему сигнал SIGUSR1, что
       равнозначно, Это заставит diald сделать единичную  попытку
       дозвониться, и, если дозвон пройдет успешно, будет запущен
       скрипт ip-up, в котором и произойдет получение почты.


СМОТРИ ТАКЖЕ
       diald(8), dctrl(1), diald-monitor(5), diald-control(5)


АВТОР
       Eric Schenk (Eric.Schenk@dna.lth.se)


ПЕРЕВОД
       Copyright (C) Alexey Mahotkin 1998-1999

       alexm@hsys.msk.ru, http://alexm.here.ru

Поделиться: