Date: Sun, 20 Jul 2008 08:24:04 GMT From: Gabor Pali <pgj@FreeBSD.org> To: Perforce Change Reviews <perforce@FreeBSD.org> Subject: PERFORCE change 145492 for review Message-ID: <200807200824.m6K8O4d8050077@repoman.freebsd.org>
next in thread | raw e-mail | index | archive | help
http://perforce.freebsd.org/chv.cgi?CH=145492 Change 145492 by pgj@disznohal on 2008/07/20 08:23:47 MFen: 1.227 -> 1.228 hu_HU.ISO8859-2/books/handbook/cutting-edge/chapter.sgml 1.185 -> 1.186 hu_HU.ISO8859-2/books/handbook/eresources/chapter.sgml 1.83 -> 1.84 hu_HU.ISO8859-2/books/handbook/firewalls/chapter.sgml 1.444 -> 1.447 hu_HU.ISO8859-2/books/handbook/mirrors/chapter.sgml 1.104 -> 1.105 hu_HU.ISO8859-2/books/handbook/network-servers/chapter.sgml 1.114 -> 1.116 hu_HU.ISO8859-2/books/handbook/printing/chapter.sgml 1.321 -> 1.324 hu_HU.ISO8859-2/books/handbook/security/chapter.sgml 1.128 -> 1.129 hu_HU.ISO8859-2/books/handbook/serialcomms/chapter.sgml 1.59 -> 1.60 hu_HU.ISO8859-2/share/sgml/mailing-lists.ent Affected files ... .. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/cutting-edge/chapter.sgml#4 edit .. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/eresources/chapter.sgml#9 edit .. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/firewalls/chapter.sgml#10 edit .. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/mirrors/chapter.sgml#6 edit .. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/network-servers/chapter.sgml#4 edit .. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/printing/chapter.sgml#4 edit .. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/security/chapter.sgml#5 edit .. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/serialcomms/chapter.sgml#6 edit .. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/share/sgml/mailing-lists.ent#8 edit Differences ... ==== //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/cutting-edge/chapter.sgml#4 (text+ko) ==== @@ -7,7 +7,7 @@ <!-- The FreeBSD Hungarian Documentation Project Translated by: PALI, Gabor <pgj@FreeBSD.org> %SOURCE% en_US.ISO8859-1/books/handbook/cutting-edge/chapter.sgml - %SRCID% 1.227 + %SRCID% 1.228 --> <chapter id="cutting-edge" lang="hu"> @@ -2512,8 +2512,9 @@ keresztül.</para> <para>Végül gyõzödjünk meg róla, - hogy az <filename>/etc/make.conf</filename> tartalma a - fordítási csoport mindegyik + hogy az <filename>/etc/make.conf</filename> és a + <filename>/etc/src.conf</filename> állományok + tartalma a fordítási csoport mindegyik gépénél megegyezik a fordító gépével. Ez azt jelenti, hogy a fordító gépnek az alaprendszer ugyanazon ==== //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/eresources/chapter.sgml#9 (text+ko) ==== @@ -7,7 +7,7 @@ <!-- The FreeBSD Hungarian Documentation Project Translated by: PALI, Gabor <pgj@FreeBSD.org> %SOURCE% en_US.ISO8859-1/books/handbook/eresources/chapter.sgml - %SRCID% 1.185 + %SRCID% 1.186 --> <appendix id="eresources" lang="hu"> @@ -716,6 +716,12 @@ </row> <row> + <entry>&a.wip-status.name;</entry> + <entry>A &os;-vel kapcsolatos folyamatban levõ + fejlesztések helyzetjelentései</entry> + </row> + + <row> <entry>&a.www.name;</entry> <entry>A <ulink url="&url.base;/index.html">www.FreeBSD.org</ulink> @@ -2011,6 +2017,48 @@ </listitem> </varlistentry> + <varlistentry> + <term>&a.wip-status.name;</term> + + <listitem> + <para><emphasis>A &os;-vel kapcsolatos folyamatban levõ + fejlesztések + helyzetjelentése</emphasis></para> + + <para>Ezen a levelezési listán kerülnek + bejelentésre a &os; + továbbfejlesztéséhez + fûzõdõ különbözõ + munkák és azok haladásának + menete. Az ide befutó üzeneteket + moderálják. Javasoljuk, hogy + elsõdlegesen az adott témához + tartozó tematikus &os; listára + küldjük a bejelentésünket és + csak egy másolatot erre a listára. Ennek + köszönhetõen a munkánk az adott + témaspecifikus listán rögtön meg + is vitatható, mivel ezen a listán semmi + ilyen nem engedélyezett.</para> + + <para>A lista archívumába tekintve + tájékozódhatunk arról, hogy pontosan + milyen formai követelmények illene megfelelnie a + beküldenõ üzenetünknek.</para> + + <para>A listára beérkezõ üzenetekbõl + egy szerkesztett válogatás jelenik meg + néhány havonta a &os; honlapján a Projekt + helyzetjelentésének részeként + <footnote> + <para><ulink + url="http://www.freebsd.org/news/status/"></ulink></para>; + </footnote>. A korábban beküldött + jelentések mellett itt még találhatunk + további példákat.</para> + </listitem> + </varlistentry> + </variablelist> </sect2> ==== //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/firewalls/chapter.sgml#10 (text+ko) ==== @@ -7,7 +7,7 @@ <!-- The FreeBSD Hungarian Documentation Project Translated by: PALI, Gabor <pgj@FreeBSD.org> %SOURCE% en_US.ISO8859-1/books/handbook/firewalls/chapter.sgml - %SRCID% 1.83 + %SRCID% 1.84 --> <chapter id="firewalls" lang="hu"> ==== //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/mirrors/chapter.sgml#6 (text+ko) ==== @@ -7,7 +7,7 @@ The FreeBSD Hungarian Documentation Project Translated by: PALI, Gabor <pgj@FreeBSD.org> %SOURCE% en_US.ISO8859-1/books/handbook/mirrors/chapter.sgml - %SRCID% 1.444 + %SRCID% 1.447 --> <appendix id="mirrors" lang="hu"> @@ -389,23 +389,12 @@ <itemizedlist> <listitem> - <para><emphasis>Ausztria</emphasis>: - :pserver:anoncvs@anoncvs.at.FreeBSD.org:/home/ncvs (a - <command>cvs login</command> használatával - tetszõleges jelszó megadható)</para> - </listitem> - <listitem> <para><emphasis>Franciaország</emphasis>: :pserver:anoncvs@anoncvs.fr.FreeBSD.org:/home/ncvs (pserver (a jelszó <quote>anoncvs</quote>), ssh (nincs jelszó))</para> </listitem> <listitem> - <para><emphasis>Németország</emphasis>: - :pserver:anoncvs@anoncvs.de.FreeBSD.org:/home/ncvs (rsh, - pserver, ssh, ssh/2022)</para> - </listitem> - <listitem> <para><emphasis>Japán</emphasis>: :pserver:anoncvs@anoncvs.jp.FreeBSD.org:/home/ncvs (a <command>cvs login</command> @@ -4026,6 +4015,22 @@ </varlistentry> <varlistentry> + <term>Oroszország</term> + + <listitem> + <para>rsync://cvsup4.ru.FreeBSD.org</para> + + <para>Elérhetõ gyûjtemények:</para> + + <itemizedlist> + <listitem><para>FreeBSD-gnats: A GNATS + hibanyilvántartó + adatbázis.</para></listitem> + </itemizedlist> + </listitem> + </varlistentry> + + <varlistentry> <term>Tajvan</term> <listitem> ==== //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/network-servers/chapter.sgml#4 (text+ko) ==== @@ -7,7 +7,7 @@ <!-- The FreeBSD Hungarian Documentation Project Translated by: PALI, Gabor <pgj@FreeBSD.org> %SOURCE% en_US.ISO8859-1/books/handbook/network-servers/chapter.sgml - %SRCID% 1.104 + %SRCID% 1.105 --> <chapter id="network-servers" lang="hu"> @@ -1132,7 +1132,8 @@ <para>A következõ módon indíthatjuk el:</para> - <screen>&prompt.root; <userinput>/etc/rc.d/nfslocking start</userinput></screen> + <screen>&prompt.root; <userinput>/etc/rc.d/lockd start</userinput> +&prompt.root; <userinput>/etc/rc.d/statd start</userinput></screen> <para>Ha nincs szükségünk valódi zárolásra az <acronym>NFS</acronym> kliensek ==== //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/printing/chapter.sgml#4 (text+ko) ==== @@ -7,7 +7,7 @@ <!-- The FreeBSD Hungarian Documentation Project Translated by: PALI, Gabor <pgj@FreeBSD.org> %SOURCE% en_US.ISO8859-1/books/handbook/printing/chapter.sgml - %SRCID% 1.114 + %SRCID% 1.116 --> <chapter id="printing" lang="hu"> @@ -1615,18 +1615,20 @@ <title>A nyomtatóeszköz azonosítása</title> - <para>A portok beállításával - foglalkozó szakaszban már + <para>A <link + linkend="printing-hardware">Hardveres beállítás</link> + címû szakaszban már beazonosítottuk, hogy a &os; a <filename>/dev</filename> könyvtárban melyik eszközleírón keresztül fogja megszólítani a nyomtatót. Most ideje - ugyanezt tudatni az <application>LPD</application>-vel is. - Így amikor a nyomtatási rendszer ki szeretne - nyomtatni egy munkát, a szûrõprogram - nevében ezt az eszközt nyitja meg (ahol a - szûrõn keresztül továbbítjuk az - adatokat a nyomtató felé).</para> + ugyanezt tudatni az <application>LPD</application> + démonnal is. Így amikor a nyomtatási + rendszer ki szeretne nyomtatni egy munkát, a + szûrõprogram nevében ezt az eszközt + nyitja meg (ahol a szûrõn keresztül + továbbítjuk az adatokat a nyomtató + felé).</para> <para>Az <literal>lp</literal> tulajdonság segítségével a @@ -2726,11 +2728,11 @@ <programlisting>:if=/usr/local/libexec/ifhp:</programlisting> <para>Készen is vagyunk! Most már nyugodtan - beírhatjuk, hogy <command>lpr - <replaceable>sima.szöveg</replaceable></command> vagy - <command>lpr - <replaceable>akármi.ps</replaceable></command>, mind a - kettõnek ki kell tudnia nyomtatódnia.</para> + beírhatjuk, hogy + <command>lpr <replaceable>sima.szöveg</replaceable></command> vagy + <command>lpr <filename><replaceable>akármi.ps</replaceable></filename></command>, + mind a kettõnek ki kell tudnia + nyomtatódnia.</para> </sect3> ==== //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/security/chapter.sgml#5 (text+ko) ==== @@ -7,7 +7,7 @@ <!-- The FreeBSD Hungarian Documentation Project Translated by: PALI, Gabor <pgj@FreeBSD.org> %SOURCE% en_US.ISO8859-1/books/handbook/security/chapter.sgml - %SRCID% 1.321 + %SRCID% 1.324 --> <chapter id="security" lang="hu"> @@ -1996,21 +1996,21 @@ egyetlen tûzfal nem képes például szövegesen válaszolni a kapcsolatok kezdeményezõinek. Ellenben bármelyik - <acronym>TCP</acronym> szoftver képes erre, sõt - még többre is. A következõ + <acronym>TCP</acronym>-wrapper szoftver képes erre, + sõt még többre is. A következõ néhány szakaszban szemügyre vesszük a - <acronym>TCP</acronym> burkolók számos + <acronym>TCP</acronym> wrapperek számos lehetõségét, és ahol lehetséges, ott konfigurációs állományokkal is illusztráljuk ezek használatát.</para> <para>A <acronym>TCP</acronym> burkoló szoftverek - kiterjesztik az <command>inetd</command> képességeit - minden alatta dolgozó szerverdémon - támogatására. Ezzel a módszerrel meg - lehet oldani a naplózást, üzenetek - küldését a kapcsolatokhoz, a démonok - elérhetõségének + kiterjesztik az <application>inetd</application> + képességeit minden alatta dolgozó + szerverdémon támogatására. Ezzel a + módszerrel meg lehet oldani a naplózást, + üzenetek küldését a kapcsolatokhoz, a + démonok elérhetõségének korlátozását stb. Noha ezen lehetõségek közül néhány tûzfallal is megvalósítható, ezzel nem @@ -2029,13 +2029,13 @@ rendszerünk biztonságában egy újabb remek védelmi vonalat képvisel.</para> - <para>Mivel lényegében ez az <command>inetd</command> + <para>Mivel lényegében ez az + <application>inetd</application> beállításának kibõvítése, ezért a szakasz elolvasásához feltételezzük az <link - linkend="network-inetd">inetd - beállításával</link> kapcsolatos - tudnivalók ismeretét.</para> + linkend="network-inetd">inetd beállításával</link> + kapcsolatos tudnivalók ismeretét.</para> <note> <para>Bár az &man.inetd.8; által indított @@ -2051,10 +2051,10 @@ <para>&os; alatt a <acronym>TCP</acronym> burkolók használatának egyetlen feltétele - csupán annyi, hogy az <command>inetd</command> parancsot - a <option>-Ww</option> paraméterrel indítsuk az - <filename>rc.conf</filename> állományból. - Az egyébként az + csupán annyi, hogy az <application>inetd</application> + parancsot a <option>-Ww</option> paraméterrel + indítsuk az <filename>rc.conf</filename> + állományból. Az egyébként az alapbeállítás. Természetesen nem árt, ha helyesen állítjuk be az <filename>/etc/hosts.allow</filename> állományt @@ -2080,8 +2080,8 @@ <filename>/etc/hosts.allow</filename> állományban szereplõ beállításokkal. A &os; alapértelmezett beállításai szerint - minden <command>inetd</command> által indított - démonhoz lehet kapcsolódni. Ennek + minden <application>inetd</application> által + indított démonhoz lehet kapcsolódni. Ennek megváltoztatásával az alapkonfiguráció áttekintése után foglalkozunk.</para> @@ -2095,10 +2095,10 @@ IP-cím vagy szögletes zárójelek ([ ]) között megadott IPv6 formátumú cím. A cselekvést - tartalmazó mezõ lehet <quote>allow</quote> vagy - <quote>deny</quote> annak megfelelõen, hogy - engedélyezzük vagy tiltjuk a megadott - címrõl a csatlakozást. Nem szabad + tartalmazó mezõ (<literal>action</literal>) lehet + <literal>allow</literal> vagy <literal>deny</literal> annak + megfelelõen, hogy engedélyezzük vagy tiltjuk a + megadott címrõl a csatlakozást. Nem szabad elfelejtenünk, hogy az így megadott beállítások közül mindig az elsõként illeszkedõ @@ -2126,7 +2126,7 @@ qpopper : ALL : allow</programlisting> <para>Miután hozzáadtuk ezt a sort, az - <command>inetd</command> szervert újra kell + <application>inetd</application> szervert újra kell indítanunk. Ezt vagy a &man.kill.1; paranccsal, vagy pedig az <filename>/etc/rc.d/inetd</filename> szkript <parameter>restart</parameter> paraméterével @@ -2240,9 +2240,10 @@ <para>A korábban már kifejtett helyettesítõ karakterek túl, mint - például az %a, még léteznek - továbbiak is. Róluk a &man.hosts.access.5; man - oldalon találhatjuk meg a teljes listát.</para> + például az <literal>%a</literal>, még + léteznek továbbiak is. Róluk a + &man.hosts.access.5; man oldalon találhatjuk meg a + teljes listát.</para> </sect3> @@ -4413,54 +4414,6 @@ egyaránt támogatja az IPv4 és IPv6 protokollcsaládokat.</para> - <note> - <para>A &os;-ben <quote>Fast IPsec</quote> néven - találunk egy <quote>hardvergyorsítással - támogatott</quote> IPsec protokollkészletet is, - amelyet még az OpenBSD-bõl vettek át. Ez - (amikor lehetséges) a &man.crypto.4; alrendszeren - keresztül egy kriptográfiai célhardver - bevonásával igyekszik növelni az IPsec - teljesítményét. Ez az alrendszer - még új, és még nem is ismeri az - IPsec KAME változata által - felkínált összes lehetõséget. - A hardvergyorsítással kisegített IPsec - engedélyezéséhez a következõ - opciót kell hozzátennünk a rendszermag - beállításait tartalmazó - állományhoz:</para> - - <indexterm> - <primary>a rendszermag - beállításai</primary> - <secondary>FAST_IPSEC</secondary> - </indexterm> - - <screen> -options FAST_IPSEC # az új IPsec (nem megy az IPSEC-kel együtt) -</screen> - - <para>Vegyük észre, hogy jelen pillanatban a - <quote>Fast IPsec</quote> alrendszer nem - használható az IPsec KAME változata - helyett. Ennek részleteirõl a &man.fast.ipsec.4; - man oldalon tájékozódhatunk.</para> - </note> - - <note> - <para>A rendszermag beállításai - között az <option>IPSEC_FILTERGIF</option> - opcióra is szükségünk lesz ahhoz, hogy - a tûzfalak megfelelõ módon követni - tudják a &man.gif.4; tunnelek - állapotát.</para> - - <screen> -options IPSEC_FILTERGIF # a tunnelekbõl érkezõ IPsec csomagok szûrése - </screen> - </note> - <indexterm> <primary>IPsec</primary> <secondary>ESP</secondary> @@ -4592,9 +4545,12 @@ </sect2> <sect2> - <title>A forgatókönyv: két, interneten - keresztül összekötött hálózat, - melyeket egyként akarunk használni</title> + <title>A forgatókönyv: adott egy otthoni és egy + vállalati hálózat, amelyek + külön-külön csatlakoznak az internetre, + és <acronym>VPN</acronym> használatával + ezeket egyetlen hálózatként + szeretnénk használni</title> <indexterm> <primary>VPN</primary> @@ -4626,1084 +4582,359 @@ <listitem> <para>a hálózatok belsõ címei lehetnek publikus vagy privát IP-címek, nem - számít. Az átjárón - igény szerint végezhetünk - címfordítást (NAT) is;</para> - </listitem> - <listitem> - <para>a két hálózat belsõ - IP-címei <emphasis>nem fedik át - egymást</emphasis>. Habár elméletben - lehetséges a VPN és NAT - technológiák elegyítése, ezt a - típusú felállást itt most nem - preferáljuk.</para> + számít. Fontos viszont, hogy ezek ne + ütközzenek, vagyis ne használja egyszerre + mind a kettõ a <hostid + role="ipaddr">192.168.1.x</hostid> + címtartományt.</para> </listitem> </itemizedlist> + </sect2> - <para>Ha belül mind a két hálózat - ugyanolyan tartományú IP-címeket - használ (például <hostid - role="ipaddr">192.168.1.x</hostid>), akkor az egyiküket - át kell számozni.</para> + <sect2> + <sect2info> + <authorgroup> + <author> + <firstname>Tom</firstname> + <surname>Rhodes</surname> + <affiliation> + <address><email>trhodes@FreeBSD.org</email></address> + </affiliation> + <contrib>Írta: </contrib> + </author> + </authorgroup> + </sect2info> - <para>A hálózat felépítése - tehát valahogy így nézhet ki:</para> + <title>Az IPsec beállítása &os; alatt</title> - <mediaobject> - <imageobject> - <imagedata fileref="security/ipsec-network" align="center"> - </imageobject> + <para>Kezdésképpen a + Portgyûjteménybõl telepítenünk kell a + <filename role="package">security/ipsec-tools</filename> portot. + Ez a programcsomag rengeteg olyan alkalmazást tartalmaz, + amely segítségünkre lehet a + beállítások elvégzése + során.</para> - <textobject> - <literallayout class="monospaced">1. hálózat [ Belsõ gépek ] Privát hálózat: 192.168.1.2-254 - [ Win9x/NT/2K ] - [ UNIX ] - | - | - .---[fxp1]---. Privát IP: 192.168.1.1 - | FreeBSD | - `---[fxp0]---' Publikus IP: A.B.C.D - | - | - -=-=- Internet -=-=- - | - | - .---[fxp0]---. Publikus IP: W.X.Y.Z - | FreeBSD | - `---[fxp1]---' Privát IP: 192.168.2.1 - | - | -2. hálózat [ Belsõ gépek ] - [ Win9x/NT/2K ] Privát hálózat: 192.168.2.2-254 - [ UNIX ]</literallayout> - </textobject> - </mediaobject> + <para>A következõ lépésben létre + kell hoznunk két &man.gif.4; típusú + pszeudoeszközt, melyeken keresztül a két + hálózat között egy tunnel + segítségével ki tudjuk + építeni a szükséges kapcsolatot. + Ehhez <username>root</username> + felhasználóként futtassuk a + következõ parancsokat (a + <replaceable>belsõ</replaceable> és + <replaceable>külsõ</replaceable> + megnevezésû paramétereket + cseréljük ki a valós belsõ és + külsõ átjárók + címeire):</para> - <para>Figyeljük meg a két publikus IP-címet. A - leírás további részében - betûkkel hivatkozunk rájuk, tehát ahol ezek - szerepelnek, oda kell behelyettesíteni a saját - publikus címeinket. A két - átjáró címében .1 az - utolsó szám, és hogy két - hálózat privát IP-címei - eltérnek (<hostid role="ipaddr">192.168.1.x</hostid> - és <hostid role="ipaddr">192.168.2.x</hostid>). A - privát hálózatokon belül minden - számítógépet úgy - állítottunk be, hogy alapértelmezés - szerint a <hostid role="ipaddr">.1</hostid> számú - gépet használják - átjárónak.</para> + <screen>&prompt.root; <userinput>ifconfig gif0 create</userinput></screen> + <screen>&prompt.root; <userinput>ifconfig gif0 <replaceable>belsõ1 belsõ2</replaceable></userinput></screen> + <screen>&prompt.root; <userinput>ifconfig gif0 tunnel <replaceable>külsõ1 külsõ2</replaceable></userinput></screen> - <para>Hálózati szemszögbõl ez azért - fontos, mert így az egyes hálózatok - úgy látják egymás gépeit, - mintha közvetlenül ugyanahhoz az - útválasztóhoz csatlakoznának — - jóllehet ez egy kicsit lassúcska - útválasztó, ami idõnként - hajlamos eldobni a csomagokat.</para> + <para>Tekintsük például, hogy a + vállalati <acronym>LAN</acronym> publikus + <acronym>IP</acronym>-címe <hostid + role="ipaddr">172.16.5.4</hostid>, valamint a privát + <acronym>IP</acronym>-címe <hostid + role="ipaddr">10.246.38.1</hostid>. Az otthoni + <acronym>LAN</acronym> publikus + <acronym>IP</acronym>-címe legyen most <hostid + role="ipaddr">192.168.1.12</hostid>, valamint a belsõ + privát <acronym>IP</acronym>-címe pedig <hostid + role="ipaddr">10.0.0.5</hostid>.</para> - <para>Ez tehát azt jelenti (például), hogy a - <hostid role="ipaddr">192.168.1.20</hostid> címû - számítógépnek gond - nélküli megy a</para> + <para>Elsõre ez talán még nem teljesen + érthetõ, ezért az &man.ifconfig.8; parancs + használatával is nézzük meg a + példában szereplõ hálózatok + konfigurációját:</para> - <programlisting>ping 192.168.2.34</programlisting> + <programlisting>Az elsõ átjáró: - <para>parancs. Ugyanígy a &windows;-os gépek is - képesek látni a másik - hálózaton levõ - számítógépeket, belépni - egymás megosztásaiba és így - tovább, pontosan úgy, mint a helyi - hálózaton levõ gépek - esetében.</para> +gif0: flags=8051 mtu 1280 +tunnel inet 172.16.5.4 --> 192.168.1.12 +inet6 fe80::2e0::81ff:fe02:5881%gif0 prefixlen 64 scopeid 0x6 +inet 10.246.38.1 --> 10.0.0.5 netmask 0xffffff00 - <para>Ne feledjük, hogy mindennek egyszerre - biztonságosnak is kell lennie. Vagyis a két - hálózat közti forgalmat titkosítanunk - kell.</para> +A második átjáró: - <para>A VPN létrehozása a két - hálózat között egy - többlépcsõs folyamat. Ezek a - lépcsõk az alábbiak:</para> +gif0: flags=8051 mtu 1280 +tunnel inet 192.168.1.12 --> 172.16.5.4 +inet 10.0.0.5 --> 10.246.38.1 netmask 0xffffff00 +inet6 fe80::250:bfff:fe3a:c1f%gif0 prefixlen 64 scopeid 0x4</programlisting> - <orderedlist> - <listitem> - <para>Az interneten keresztül hozzunk létre egy - <quote>virtuális</quote> hálózati - összeköttetést a két - hálózat között. A &man.ping.8; - és hasonló segédprogramok - segítségével gyõzõdjünk - meg a - mûködõképességérõl.</para> - </listitem> + <para>Miután elvégeztük az iménti + beállításokat, a &man.ping.8; paranccsal + már mind a két privát + <acronym>IP</acronym>-tartománynak + elérhetõnek kell lennie, ahogy azt az alábbi + példa is érzékeltetni + kívánja:</para> - <listitem> - <para>A hálózatok között zajló - forgalom akadálymentes - titkosításához szükség - esetén alkalmazzuk valamilyen biztonsági - házirendet. A &man.tcpdump.1; és - hasonló segédprogramok - használatával ellenõrizzük a - hálózati forgalom - titkosítását.</para> - </listitem> + <programlisting>otthoni-halo# ping 10.0.0.5 +PING 10.0.0.5 (10.0.0.5): 56 data bytes +64 bytes from 10.0.0.5: icmp_seq=0 ttl=64 time=42.786 ms +64 bytes from 10.0.0.5: icmp_seq=1 ttl=64 time=19.255 ms +64 bytes from 10.0.0.5: icmp_seq=2 ttl=64 time=20.440 ms +64 bytes from 10.0.0.5: icmp_seq=3 ttl=64 time=21.036 ms +--- 10.0.0.5 ping statistics --- +4 packets transmitted, 4 packets received, 0% packet loss +round-trip min/avg/max/stddev = 19.255/25.879/42.786/9.782 ms - <listitem> - <para>A &os; átjárókon - állítsunk be olyan szoftvereket, amelyekkel a - &windows;-os számítógépek is - képesek látni egymást a - virtuális magánhálózaton - keresztül.</para> - </listitem> - </orderedlist> +vallalati-halo# ping 10.246.38.1 +PING 10.246.38.1 (10.246.38.1): 56 data bytes +64 bytes from 10.246.38.1: icmp_seq=0 ttl=64 time=28.106 ms +64 bytes from 10.246.38.1: icmp_seq=1 ttl=64 time=42.917 ms +64 bytes from 10.246.38.1: icmp_seq=2 ttl=64 time=127.525 ms +64 bytes from 10.246.38.1: icmp_seq=3 ttl=64 time=119.896 ms +64 bytes from 10.246.38.1: icmp_seq=4 ttl=64 time=154.524 ms +--- 10.246.38.1 ping statistics --- +5 packets transmitted, 5 packets received, 0% packet loss +round-trip min/avg/max/stddev = 28.106/94.594/154.524/49.814 ms</programlisting> - <sect3> - <title>Az elsõ lépés: a - <quote>virtuális</quote> hálózati - összeköttetés kialakítása - és kipróbálása</title> + <para>Az elvárásainknak megfelelõen + tehát a privát címeken mind a két + oldalnak képesnek kell lennie <acronym>ICMP</acronym> + csomagokat küldenie és fogadnia. A + következõ lépésben meg kell mondanunk az + átjáróknak hogyan + irányítsák a csomagokat a két + hálózat közti forgalom megfelelõ + áramlásához. Ezt az alábbi + paranccsal elérhetjük el:</para> - <para>Tegyük fel, hogy a bejelentkeztünk az elsõ - hálózat átjárójára - (amelynek a publikus IP-címe <hostid - role="ipaddr">A.B.C.D</hostid>, a privát IP-címe - <hostid role="ipaddr">192.168.1.1</hostid>), és - kiadtunk a <hostid role="ipaddr">W.X.Y.Z</hostid> - címû gép privát - IP-címére egy <command>ping - 192.168.2.1</command> parancsot. Hogyan is - valósítható meg ez?</para> + <screen>&prompt.root; <userinput>vallalati-halo# route add <replaceable>10.0.0.0 10.0.0.5 255.255.255.0</replaceable></userinput></screen> + <screen>&prompt.root; <userinput>vallalati-halo# route add net <replaceable>10.0.0.0: gateway 10.0.0.5</replaceable></userinput></screen> - <orderedlist> - <listitem> - <para>Az átjárónak el kell tudnia - érnie valahogy a <hostid - role="ipaddr">192.168.2.1</hostid> címet. Vagy - úgy is mondhatjuk, hogy a <hostid - role="ipaddr">192.168.2.1</hostid> felé ismeri az - utat.</para> - </listitem> - <listitem> - <para>A privát IP-címek tartományainak, - amilyen például a <hostid - role="ipaddr">192.168.x</hostid>, nem szabadna - megjelenniük az interneten. Ehelyett minden olyan - csomagot, amelyet a <hostid - role="ipaddr">192.168.2.1</hostid> címre - küldünk, be kell csomagolnunk egy másik - csomagba. Ezt a csomagot úgy kell - beállítani, mintha az <hostid - role="ipaddr">A.B.C.D</hostid> címrõl - küldtük volna a <hostid - role="ipaddr">W.X.Y.Z</hostid> címre. Ennek - folyamatát hívják - <firstterm>becsomagolásnak - (encapsulation)</firstterm>.</para> - </listitem> - <listitem> - <para>Amikor ez a csomag megérkezik a <hostid - role="ipaddr">W.X.Y.Z</hostid> címre, <quote>ki - kell bontani</quote> és kézbesíteni a - <hostid role="ipaddr">192.168.2.1</hostid> - címre.</para> - </listitem> - </orderedlist> + <screen>&prompt.root; <userinput>otthoni-halo# route add <replaceable>10.246.38.0 10.246.38.1 255.255.255.0</replaceable></userinput></screen> + <screen>&prompt.root; <userinput>otthoni-halo# route add host <replaceable>10.246.38.0: gateway 10.246.38.1</replaceable></userinput></screen> - <para>Erre úgy is gondolhatunk, mint egy - <quote>járatra</quote> a két - hálózat között. A járat - két <quote>szája</quote> lesz az <hostid - role="ipaddr">A.B.C.D</hostid> és <hostid - role="ipaddr">W.X.Y.Z</hostid> cím, és a - járatnak ismernie kell azokat a privát - IP-címeket, amiket átereszthet. Ezen a - járaton keresztül fog mozogni a privát - IP-címek között az adat az interneten.</para> + <para>Itt már a belsõ gépeket az + átjárókról és az + átjárók mögül egyaránt + el tudjuk érni. A következõ példa + alapján errõl könnyedén meg is + tudunk gyõzõdni:</para> - <para>Ezt a járatot egy általános - felület (generic interface, avagy a - <devicename>gif</devicename> eszközök) - használatával hozzuk létre a &os;-k - között. Ahogy számíthattunk is - rá, az egyes átjárókon levõ - <devicename>gif</devicename> felületekhez négy - IP-címet kell beállítani: kettõt a - publikus címeknek, kettõt pedig a privát - címeknek.</para> + <programlisting>vallalati-halo# ping 10.0.0.8 +PING 10.0.0.8 (10.0.0.8): 56 data bytes +64 bytes from 10.0.0.8: icmp_seq=0 ttl=63 time=92.391 ms +64 bytes from 10.0.0.8: icmp_seq=1 ttl=63 time=21.870 ms +64 bytes from 10.0.0.8: icmp_seq=2 ttl=63 time=198.022 ms +64 bytes from 10.0.0.8: icmp_seq=3 ttl=63 time=22.241 ms +64 bytes from 10.0.0.8: icmp_seq=4 ttl=63 time=174.705 ms +--- 10.0.0.8 ping statistics --- +5 packets transmitted, 5 packets received, 0% packet loss +round-trip min/avg/max/stddev = 21.870/101.846/198.022/74.001 ms - <para>A gif eszköz támogatását be kell - építeni mind a két &os; gép - rendszermagjába. Ehhez mind a két gépen - a következõ sort kell hozzáadnunk a - rendszermag beállításait - tartalmazó állományhoz:</para> +otthoni-halo# ping 10.246.38.107 +PING 10.246.38.1 (10.246.38.107): 56 data bytes +64 bytes from 10.246.38.107: icmp_seq=0 ttl=64 time=53.491 ms +64 bytes from 10.246.38.107: icmp_seq=1 ttl=64 time=23.395 ms +64 bytes from 10.246.38.107: icmp_seq=2 ttl=64 time=23.865 ms +64 bytes from 10.246.38.107: icmp_seq=3 ttl=64 time=21.145 ms +64 bytes from 10.246.38.107: icmp_seq=4 ttl=64 time=36.708 ms +--- 10.246.38.107 ping statistics --- +5 packets transmitted, 5 packets received, 0% packet loss +round-trip min/avg/max/stddev = 21.145/31.721/53.491/12.179 ms</programlisting> - <programlisting>device gif</programlisting> + <para>A tunnelek beállítása volt + igazából a könnyebb rész, egy + biztonságos összeköttetés + kialakítása azonban már valamivel komolyabb + folyamatot rejt magában. A most következõ + konfigurációban erre <quote>elõre + ismert</quote> (vagyis pre-shared, <acronym>PSK</acronym>) + <acronym>RSA</acronym>-kulcsokat fogunk használni. A + konkrét <acronym>IP</acronym>-címektõl + eltekintve az átjárókon a + <filename>/usr/local/etc/racoon/racoon.conf</filename> + állományok hasonlóan fognak kinézni, + nagyjából valahogy így:</para> - <para>Ezután a megszokott menetben fordítani, - telepíteni és újraindítani a - rendszereiket.</para> + <programlisting>path pre_shared_key "/usr/local/etc/racoon/psk.txt"; # az ismert kulcsot tartalmazó állomány helye +log debug; # a naplózás részletességének beállítása: ha végeztünk a teszteléssel és a hibakereséssel, akkor állítsuk át a 'notify' értékre - <para>A járat beállítása két - lépésbõl áll. Elõször is - az &man.ifconfig.8; használatával a tunnelnek - meg kell mondanunk, hogy mik a külsõ (avagy - publikus) IP-címek. Ezután adjuk meg - ugyanígy a privát IP-címeket.</para> +padding # ezeket ne nagyon változtassuk meg +{ + maximum_length 20; + randomize off; + strict_check off; + exclusive_tail off; +} - <para>Az elsõ hálózat - átjáróján az alábbi - parancsokat kell kiadni a tunnel - beállításához.</para> +timer # idõzítési beállítások, állítsuk be igény szerint +{ + counter 5; + interval 20 sec; + persend 1; +# natt_keepalive 15 sec; + phase1 30 sec; + phase2 15 sec; +} - <screen>&prompt.root; <userinput>ifconfig <replaceable>gif0</replaceable> create</userinput> -&prompt.root; <userinput>ifconfig <replaceable>gif0</replaceable> tunnel <replaceable>A.B.C.D</replaceable> <replaceable>W.X.Y.Z</replaceable></userinput> -&prompt.root; <userinput>ifconfig <replaceable>gif0</replaceable> inet <replaceable>192.168.1.1</replaceable> <replaceable>192.168.2.1</replaceable> netmask <replaceable>0xffffffff</replaceable></userinput> -</screen> +listen # cím [port], ahol a racoon majd válaszolni fog +{ + isakmp 172.16.5.4 [500]; + isakmp_natt 172.16.5.4 [4500]; +} - <para>A másik átjárón is futtassuk - le ugyanezeket a parancsokat, de az IP-címek - sorrendjét ezúttal cseréljük - fel.</para> +remote 192.168.1.12 [500] +{ + exchange_mode main,aggressive; + doi ipsec_doi; + situation identity_only; + my_identifier address 172.16.5.4; + peers_identifier address 192.168.1.12; + lifetime time 8 hour; + passive off; + proposal_check obey; +# nat_traversal off; + generate_policy off; - <screen>&prompt.root; <userinput>ifconfig <replaceable>gif0</replaceable> create</userinput> -&prompt.root; <userinput>ifconfig <replaceable>gif0</replaceable> tunnel <replaceable>W.X.Y.Z</replaceable> <replaceable>A.B.C.D</replaceable></userinput> -&prompt.root; <userinput>ifconfig <replaceable>gif0</replaceable> inet <replaceable>192.168.2.1</replaceable> <replaceable>192.168.1.1</replaceable> netmask <replaceable>0xffffffff</replaceable></userinput> - </screen> + proposal { + encryption_algorithm blowfish; + hash_algorithm md5; + authentication_method pre_shared_key; + lifetime time 30 sec; + dh_group 1; + } +} - <para>Ezután már jöhet ez a parancs:</para> +sainfo (address 10.246.38.0/24 any address 10.0.0.0/24 any) # address $hálózat/$hálózati_maszk $típus address $hálózat/$hálózati_maszk $típus + # (a $típus lehet "any" vagy "esp") +{ # a $hálózat a két összekapcsolni kívánt belsõ hálózat legyen + pfs_group 1; + lifetime time 36000 sec; + encryption_algorithm blowfish,3des,des; + authentication_algorithm hmac_md5,hmac_sha1; + compression_algorithm deflate; +}</programlisting> - <programlisting>ifconfig gif0</programlisting> + <para>A példában szereplõ összes + opció részletes kifejtése jóval + meghaladná ezen leírás kereteit, + ezért a bõvebb információkkal + kapcsolatban inkább a <application>racoon</application> + beállításaihoz tartozó man oldal + elolvasását javasoljuk.</para> - <para>Ezzel elénk tárulnak az iménti - beállításaink. Például az - elsõ hálózat - átjáróján nagyjából - ezt fogjuk látni:</para> + <para>A gépek közti hálózati forgalom + titkosításához be kell még + állítanunk egy <acronym>SPD</acronym> + házirendet is, így a &os; és a + <application>racoon</application> képes kódolni + és dekódolni a csomagokat.</para> - <screen>&prompt.root; <userinput>ifconfig gif0</userinput> -gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280 - tunnel inet A.B.C.D --> W.X.Y.Z - inet 192.168.1.1 --> 192.168.2.1 netmask 0xffffffff -</screen> + <para>Ezt a most következő, a vállalati átjárón találhatóhoz + hasonló egyszerű shell szkripttel tudjuk elvégezni. Ezt az + állományt a rendszer indításakor fogjuk felhasználni, melyet + <filename>/usr/local/etc/racoon/setkey.conf</filename> néven + mentsünk el:</para> - <para>Remekül látszik, hogy létrejött - egy tunnel az <hostid role="ipaddr">A.B.C.D</hostid> és - <hostid role="ipaddr">W.X.Y.Z</hostid> fizikai címek - között, illetve hogy ezen a járaton - keresztül a <hostid role="ipaddr">192.168.1.1</hostid> - és <hostid role="ipaddr">192.168.2.1</hostid> - címek között engedélyezett a - kommunikáció.</para> + <programlisting>#!/bin/sh +/usr/local/sbin/setkey -FP +/usr/local/sbin/setkey -F +# Az otthoni hálózati felé +/usr/local/sbin/setkey -c spdadd 10.246.38.0/24 10.0.0.0/24 any -P out ipsec esp/tunnel/172.16.5.4-192.168.1.12/use; +/usr/local/sbin/setkey -c spdadd 10.0.0.0/24 10.246.38.0/24 any -P in ipsec esp/tunnel/192.168.1.12-172.16.5.4/use;</programlisting> - <para>Ezzel együtt ki kell egészítenünk - mind a két gép útválasztási - táblázatát, amit a <command>netstat - -rn</command> paranccsal meg is tudunk vizsgálni. Most - az elsõ hálózat - átjáróján vagyunk.</para> + <para>Ahogy ezzel megvagyunk, a <application>racoon</application> + az egyes átjárókon a következõ + paranccsal indítható el:</para> - <screen>&prompt.root; <userinput>netstat -rn</userinput> -Routing tables + <screen>&prompt.root; <userinput>/usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log</userinput></screen> -Internet: -Destination Gateway Flags Refs Use Netif Expire -... -192.168.2.1 192.168.1.1 UH 0 0 gif0 -... -</screen> >>> TRUNCATED FOR MAIL (1000 lines) <<<
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?200807200824.m6K8O4d8050077>