IPSEC_AUTO(8) | System Manager's Manual | IPSEC_AUTO(8) |
NAZWA¶
ipsec auto - sterowanie automatycznie kluczowanymi połączeniami IPSEC
SKŁADNIA¶
OPIS¶
Auto manipuluje automatycznie kluczowanymi połączeniami FreeS/WAN IPSEC, podnosi je i wyłącza, zależnie od informacji w pliku konfiguracyjnym IPSEC. W przypadku zwykłego użycia, połączenie jest nazwą połączenia wyspecyfikowanego w pliku konfiguracyjnym; operacja zaś może być ustawiona na --add, --delete, --replace, --up, --down, --route lub --unroute. Operacje --ready, --rereadsecrets i --status nie pobierają nazwy połączenia. Auto generuje stosowne komendy i zapodaje je do powłoki w celu wykonania.
Operacja --add dodaje specyfikację połączenia do wewnętrznej bazy pluto; nie powiedzie się to jeśli pluto już ma określone połączenie pod tą nazwą. Operacja --delete kasuje specyfikację połączenia z wewnętrznej bazy pluto (porzucając przy okazji wszystkie połączenia na niej bazujące); zawiedzie to jeśli podana specyfikacja nie istnieje. Operacja --replace jest tożsama z --delete (jeśli jest już tam oczywiście specyfikacja o podanej nazwie) lecz poprzedzona --add i --rereadsecrets, jest wygodnym sposobem na odświeżenie wewnętrznej specyfikacji pluto by pasowała do tej podanej z zewnątrz. Żadne z pozostałych operacji nie zmieniają wewnętrznej bazy.
Operacja --up prosi pluto o ustanowienie połączenia bazującego na wpisie w wewnętrznej bazie. Operacja --down mówi pluto by porzucić takie połączenie.
Zazwyczaj, pluto ustanawia trasę do punktu docelowego określonego dla naszego połączenia jako część operacji --up Jednakże trasa i tylko trasa może być ustawiona za pomocą operacji --route Dopóki nasze aktualne połączenie nie jest ustanowione, to wszystkie wysyłane tam pakiety będą odrzucane, co może być preferowanym sposobem na przesyłanie ich gdzie indziej, bazując na przykład na jakiejś ogólnej trasie (np. trasie domyślnej).
Zazwyczaj trasa pluto do punktu docelowego pozostaje na miejscu, gdy używana jest operacja --down służąca do kasowania połączenia (lub jeśli zawiodą podstawowe ustawienia czy późniejsze automatyczne kluczowania). Pozwala to na ustanowienie nowego połączenia (prawdopodobnie używając innej specyfikacji; trasa jest zmieniana jeśli to konieczne) bez potrzeby ``okna'', w którym pakiety mogą wędrować dokądkolwiek bazując na bardziej ogólnej trasie. Taka trasa może być usunięta przy użyciu operacji --unroute (i jest także usuwalna przez --delete).
Operacja --ready mówi pluto by nasłuchiwał żądań typu ustawianie-połączenia (negocjowanie parametrów połączenia - przyp. tł.) od innych hostów. Wykonywanie operacji --up przed wykonaniem --ready po obu końcach jest daremne i nie zadziała, chociaż teraz jest to zautomatyzowaną częścią procesu startowego IPSEC i zazwyczaj nie powinno wynikać.
Operacja --status pyta pluto o obecny status połączenia. Format wyjściowy stworzono ad-hoc i prawdopodobnie będzie zmieniony.
Operacja --rereadsecrets mówi pluto by jeszcze raz przeczytać plik /etc/ipsec.secrets zwany też plikiem współdzielonych-sekretów, który normalnie jest czytany tylko podczas startu. (Jest to obecnie synonimem dla --ready, lecz może się zmienić.)
Opcja --show włącza opcję -x powłoki używanej do wykonywania poleceń, więc każda wykonywana komenda jest pokazywana.
Opcja --showonly sprawia, że auto pokazuje standardowe wyjścia komend, które uruchomiłoby, lecz nie uruchamia ich.
Opcja --asynchronous dodawalna tylko do operacji up mówi pluto by przystąpić do ustanawiania połączenia, ale bez oczekiwania na raport o rezultatach. Jest to szczególnie pomocne przy startowaniu wielokrotnych połączeń równocześnie, gdy połączenia sieciowe są wolne.
Opcja --verbose instruuje auto by przepuścić całe wyjście z ipsec_whack(8), włączając w to wyjście logów, które jest normalnie odfiltrowywane jako nieinteresujące.
Opcja --config określa niestandardową lokalizację pliku konfiguracyjnego IPSEC (domyślnie /etc/ipsec.conf).
Zobacz też ipsec.conf(5), gdzie znajdziesz szczegóły dotyczące pliku konfiguracyjnego. Abstrahując od parametrów podstawowych, które określają punkty końcowe i trasowanie połączenia (left i right, plus możliwe leftsubnet, leftnexthop, leftfirewall, ich odpowiedniki right i być może type), połączenie auto niemalże zawsze potrzebuje parametru keyingtries (odkąd domyślne keyingtries są dobierane w sposób ubogi).
PLIKI¶
/etc/ipsec.conf domyślny plik konfiguracyjny IPSEC
/var/run/ipsec.info informacja %defaultroute
ZOBACZ TAKŻE¶
ipsec.conf(5), ipsec(8), ipsec_pluto(8), ipsec_whack(8), ipsec_manual(8)
HISTORIA¶
Napisano dla Linuksowego projektu FreeS/WAN <http://www.xs4all.nl/~freeswan/> przez Henry'ego Spencera.
USTERKI¶
Chociaż operacja --up wykonuje ustawianie parametrów połączenia po obu końcach to --down porzuca tylko jeden koniec połączenia (ale w końcu i tak osamotniona końcówka wykryje bezczynność).
Nie ma wsparcia dla połączeń typu passthrough
12 grudnia 1999 |