Administracja
From NndWiki
Spis treści |
SQUID
<już w krótce - pełen opis >
Niceshaper
Opis
Od początku:
- Niceshaper służy do podziału łącza - czyli przydzielamy każdemu z użytkowników ograniczony transfer, aby jego chciwość i zachłanność nie zapchała łącza z internetem - nieważne czy downloadu czy uploadu. Inaczej mówiąc QOS - Quality of Service.
Nicehaper jest programem umożliwiającym efektywniejsze dzielenie pasma niż z wykorzystaniem statycznie skonfigurowanego HTB. Dynamicznie w zależności od zmieniającego się obciążenia dostosowuje przepustowość klas do poziomu umożliwiającego możliwie najpełniejsze wykorzystanie łącza, jednocześnie nie dopuszczając do powstania przeciążeń by zagwarantować także wygodę użytkowania usług interaktywnych.
Instalacja
- Po primo, instalacja jako root
pacman -S niceshaper
- potem edytujemy pliki users i config w katalogu /etc/niceshaper/
- poniżej podaję przykład dla łącza 1MB neostrada z modemem przez RJ45
- Plik config - konfiguracja globalna niceshapera:
<global> iface inet ppp0 auto ->w moim przypadku ppp0 bo mam neo iface local eth1 192.168.1.1/24 do not shape local ppp0 auto with 192.168.1.0/24 -> nie obcinaj wewnętrzych połączeń do not shape local 192.168.1.1 with 192.168.1.0/24 ->to samo #iface local eth1 192.168.2.1/24 ->odhashować jeżeli 2 podsieci na 2 sieciówkach #do not shape local ppp0 auto with 192.168.2.0/24 ->konfig dla drugiej podsieci jeżeli ktoś posiada podział za pomocą 2 sieciówek #do not shape local 192.168.2.1 with 192.168.1.0/24 ->j/w shape router true low 11kbps ceil 20kbps prio 2 stats unit kbps # dump 5c file /var/www/stats/nsstats.txt resolve hostname true ->podczas wyświetlania zasobów wyświetla nazwy userów z pliku /etc/hosts method imq #mark -> metoda obcinania imq lub markowanie reload 3s ->czas odświeżania(im szybszy komputer to można ustawiać mniej) </global>
- Sekcja download - określa ogólne parametry łącza, w moim przypadku mam 1024kb/s:8 = 128KB/s. Więc dałem jakieś 100KB, żeby mieć zawsze jakiś zapas.
<download> link speed 100kbps shape 85kbps user low 10kbps ceil 50kbps strict 50% prio 5 #interactive rate 0kbps ceil 0kbps #interactive srcport 27960,22 dstport 27960,22 #interactive srcip 208.231.90.235 #interactive u32 match ip protocol 1 0xff #interactive u32 match ip tos 0x10 0xff policy dynamic </download>
- Sekcja upload - podobna konfiguracja co w download. Mam 32KB/s więc dałem jakieś 28KB/s, żeby nie zapychać do końca łącza.
<upload> link speed 28kbps shape 25kbps user low 5kbps ceil 16kbps strict 50% prio 5 #interactive rate 0kbps ceil 0kbps #interactive srcport 22,27960 dstport 22,27960 #interactive dstip 208.231.90.235 policy dynamic </upload>
- Teraz plik users - mój przypadek:
192.168.1.2 eth1 dl_low 3kbps dl_ceil 30kbps ul_low 1kbps ul_ceil 4kbps 192.168.1.3 eth1 dl_low 3kbps dl_ceil 19kbps ul_low 1kbps ul_ceil 4kbps 192.168.1.4 eth1 dl_low 3kbps dl_ceil 19kbps ul_low 1kbps ul_ceil 4kbps 192.168.1.5 eth1 dl_low 3kbps dl_ceil 18kbps ul_low 1kbps ul_ceil 4kbps 192.168.1.6 eth1 dl_low 3kbps dl_ceil 19kbps ul_low 1kbps ul_ceil 4kbps 192.168.1.7 eth1 dl_low 3kbps dl_ceil 19kbps ul_low 1kbps ul_ceil 4kbps 192.168.1.8 eth1 dl_low 3kbps dl_ceil 19kbps ul_low 1kbps ul_ceil 4kbps 192.168.1.9 eth1 dl_low 3kbps dl_ceil 19kbps ul_low 1kbps ul_ceil 4kbps 192.168.1.10 eth1 dl_low 3kbps dl_ceil 19kbps ul_low 1kbps ul_ceil 4kbps 192.168.1.11 eth1 dl_low 3kbps dl_ceil 19kbps ul_low 1kbps ul_ceil 4kbps 192.168.1.12 eth1 dl_low 3kbps dl_ceil 19kbps ul_low 1kbps ul_ceil 4kbps 192.168.1.13 eth1 dl_low 3kbps dl_ceil 19kbps ul_low 1kbps ul_ceil 4kbps
Dodatkowe parametry pozwalają traktować poszczególne hosty niezależnie od ustawień globalnych.
Pozwalają zapewnić żądane minimalne pasmo, lub utrudnić życie niereformowalnemu właścicielowi ftp.
- dl_low, ul_low - minimalny przydział
- dl_ceil, ul_ceil - maksymalny przydział
- dl_rate, ul_rate - stały przydział
- dl_prio, ul_prio - priorytet klasy w HTB, przyjmuje wartości między 0 a 7, czym niższa wartość tym wyższy priorytet.
- Na koniec - niceshaper jest wywoływany w sekcji DAEMONS w pliku /etc/rc.conf
Komendy
Lista komend, właścwie jak w większości uslug (demonów):
niceshaper stop | start | restart | stats
Komendy wpisujemy w konsoli:
niceshaper stats
akurat ta pokazuje bieżące obciążenie ruchu w sieci:
HOST DOWNLOAD ( UTILIZE ) UPLOAD ( UTILIZE ) localhost 16.0kbps - ( 0.0kbps ) Heniu 19.0kbps - ( 2.9kbps ) 4.0kbps - ( 2.1kbps ) Maciek_B 19.0kbps - ( 0.0kbps ) 4.0kbps - ( 0.0kbps ) Piotrek 19.0kbps - ( 0.3kbps ) 4.0kbps - ( 0.0kbps ) Iwona 19.0kbps - ( 0.0kbps ) 4.0kbps - ( 0.0kbps )
Więcej o nice http://www.niceshaper.mikule.net --przemek_nnd 21:47, 1 maj 2005 (CEST)
Kosmetyczne zabiegi wykonał(m.in.kwestia 2 sieciówek i malutkich modyfikacji w configach) --Damiano 14:57, 6 gru 2005 (CET)
Przeredagowanie --KaszpiR 23:31, 25 lis 2006 (CET)
Niceshaper a squid
Po zainstalowaniu squida i przekierowaniu całego ruchu przez niego:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080
- nice przestaje działać - to normalne, ponieważ nie obcina on ruchu wewnątrz sieci a taki teraz jest podstawą całej sieci - wsio idzie przez squida.
Trzeba dokonać następującej przeróbki w pliku config:
<global> iface inet ppp0 auto iface local eth1 192.168.1.1/24 do not shape local ppp0 auto with 192.168.1.0/24 #do not shape local 192.168.1.1 with 192.168.1.0/24 #shape router true low 11kbps ceil 20kbps prio 2 stats unit kbps # dump 5c file /var/www/stats/nsstats.txt resolve hostname true method imq #mark reload 3s </global>
Wówczas ograniczenia na połączenie internetm z pliku users znów będą działać poprawnie.
Ograniczanie TTL
TTL - czas zycia pakietu. Potrzebny do dzialania patch-0-matic z http://www.netfilter.org wkompliowany w jądro.
Gdy pakietom wychodzącym od nas w sieć lokalna ustawimy TTL=1 to naszym klientom będzie trudniej ustawić masquerade. Zas gdy otrzymamy pakiet z LAN z TTL=127 to mozemy mieć sporo pewnosci ze ktoś dzieli net za naszymi plecami...
Jeśli chesz dzielić łącze i Twoj ISP daje Ci TTL=1 to znaczy ze ma jakiś powód...
Ta regółka wyrzuca wszystkie pakiety z LAN które są podejrzane o bycie z
masq
$IPTABLES -A FORWARD -s $INTNET -m ttl --ttl-eq 127 -j DROP
Ta z kolei ustawia wszystkie wychodzące na LAN ttl=1
$IPTABLES -t mangle -A PREROUTING -i $EXTDEV -j TTL --ttl-set 1
Pytanie: Wiem ze zmiana wartości TTL dla 1 użytkownika to taki wpis :
iptables -t mangle -A POSTROUTING -d adres_ip -j TTL --ttl-set 1
- Jak zastosować trick dla wszystkich użytkowników na raz?
Odpowiedź: Należy zastosować następujący wpis:
iptables -t mangle -A POSTROUTING -o eth1 -j TTL --ttl-set 1
Forum: http://forum.freesco.pl/viewtopic.php?t=5791 oraz http://forum.freesco.pl/viewtopic.php?t=14937&highlight=ttlset
Uwaga: Ten i inne wpisy można zastosować wpisując je w linii poleceń, a następnie wpisać komendę /etc/rc.d/iptables save - po reboocie wpis taki będzie automatycznie dodany do reguł iptables. Zanim jednak ktoś zastosuje powyższe rady, powinien sprawdzić jaką ma wersję NND, czy przypadkiem nie zastosował już jakiegoś konfiguratora firewalla.
W przypadku jeśli ktoś sobie na wewnętrznym NAT ustawi też -j TTL -ttl-set 2 to nic nie da, tak samo jak można w kodzie jajka wykomentowac linijke zmniejszajaca wartosc ttl'a.
- Zabezpieczenie na windows nat
$IPTABLES -I FORWARD -s $INTNET -m ttl --ttl-eq 126 -j DROP
- Zabezpieczenie na linux nat
$IPTABLES -t mangle -A PREROUTING -i $EXTDEV -j TTL --ttl-set 2
ttl=1 to życze powodzenia :)
- Teraz złamanie zabezpieczenia:
#$IPTABLES -t mangle -A PREROUTING -s $INTNET -j TTL --ttl-inc 1
Na podstawie forum i linuksfan--przemek_nnd 10:11, 8 maj 2005 (CEST) Literówki i takie tam --KaszpiR 23:37, 25 lis 2006 (CET)
Niceshaper+IMQ
Oczywiście musisz mieć już zainstalowany Niceshaper i skonfigurowane pliki: users i config w /etc/niceshaper (opis na WIKI.
Niceshaper z metodą IMQ - tworzy wirtualne interfejsy - IMQ0, IMQ1, IMQ2, IMQ3, IMQ4, IMQ5. Na jeden z nich przekierowywany jest cały ruch P2P - gdzie transfer jest drastycznie obcinany (zależnie od pory dnia/nocy). A teraz po kolei
- W pliku config niceshapera zmieniasz method mark na method imq
- pobierasz skrypcik
wget http://www.tuptinet.com.pl/imq_inter
UWAGA: Gdyby linki nie działały zajrzyj tutaj
- nadajesz mu prawa wykonalności
chmod +x imq_inter
- kopiujesz go do /etc/rc.d .
- Po tym sciągasz skrypcik do wrzucania pasma p2p do IMQ
- Wersja dla neo (1 karta sieciowa i modem na usb)
wget http://rapsik.dyn.pl/nnd/imq_p2p_neo
- Wersja dla dsl itp (2 karty sieciowe)
wget http://www.tuptinet.com.pl/imq_p2p_eth
- Nadajesz prawa wykonalności dla imq_p2p_wersja
chmod +x imq_p2p_neo
lub
chmod +x imq_p2p_eth
- kopiujesz go do /etc/rc.d
- dopisujesz taką linijke do /etc/rc.d/rc.local
/etc/rc.d/imq_inter start sleep 10 /etc/rc.d/imq_p2p_neo start
lub
/etc/rc.d/imq_inter start sleep 10 /etc/rc.d/imq_p2p_eth start
- Możesz jeszcze edytować pliki imq_p2p_wersja i zmienić wartości przycinań.
I to wszystko ;)
UWAGA!!!
Sprawdzicie czy w sekcji DEAMONS jest wpisany niceshaper i imq w pliku /etc/rc.conf bo inaczej nici z poprawnego działania.
Przykładowo:
DAEMONS=(syslogd klogd crond sshd lan internet iptables !xinetd dhcpd thttpd imq niceshper portsentry)
wg [1] nie powinno być imq w DAEMONS.
W związku z błędami pojawiającymi sie ze zmianą prędkości o określonych godzinach należy dodać do crona następującą linie
02 1,7,16,22 * * * /etc/rc.d/imq_p2p_eth restart 1>/dev/null
02 1,7,16,22 * * * /etc/rc.d/imq_p2p_neo restart 1>/dev/null (dla neo)
Nowsza wersja ipp2p - 0.8.1
Oczywiście musisz mieć już zastosowaną powyższą wskazówkę: Niceshaper + IMQ
Przygotowane są dwa zestawy poleceń:
kernel 2.4.31-1nnd i iptables 1.3.1 - standard
===========================
cd /home
wget http://83.18.138.90/nnd/ipp2p-0.8.1_rc1/ipt_ipp2p.o
wget http://83.18.138.90/nnd/ipp2p-0.8.1_rc1/libipt_ipp2p.so
mv /home/ipt_ipp2p.o /lib/modules/2.4.31-1nnd/kernel/net/ipv4/netfilter/
depmod -a
mv /home/libipt_ipp2p.so /usr/lib/iptables
chmod +x /usr/lib/iptables/libipt_ipp2p.so
===========================
WAŻNE!!!
Przy IPP2P od numeru 0.8.0 należy zaremować (czyli umieścić # na początku lini) następujące linie w konfigach @rapsik'a
$i -t mangle -A PREROUTING -m ipp2p --ipp2p-data -j MARK --set-mark 0x999
$TC qdisc add dev imq2 parent 4:101 sfq perturb 16 quantum 1500
$TC qdisc add dev imq3 parent 5:101 sfq perturb 16 quantum 1500
iptables -t mangle -D PREROUTING -m ipp2p --ipp2p-data -j MARK --set-mark 0x999
oraz dopisać
$i -t mangle -A PREROUTING -p udp -m ipp2p --ipp2p -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p udp -m ipp2p --ipp2p -j MARK --set-mark 1
W najnowszym NND będzie już IPP2P w najnowszej wersji. Aktualizacja nie będzie potrzebna.
I to wszystko! Już powinno działać na nowym ipp2p.
Aby to sprawdzić wydajcie komendę: iptables -m ipp2p --help | grep IPP2P
Paczki przygotował mih2, za co wielkie mu dzięki. Oryginalny wątek:
http://forum.freesco.pl/viewtopic.php?t=8722
Powyższy opis jest jego autorstwa, ja wrzuciłem go tylko na Wikipedię.
--przemek_nnd 15:03, 1 maj 2005 (CEST)
poprawił rapsik rapsik@poczta.onet.pl 22:33 14.09.2005
Uzupełnił --Damiano 00:10, 8 gru 2005 (CET)--Damiano 01:15, 6 gru 2005 (CET)
Uzupełnił --MarasK 8:51, 11 sty 2006; 13:25, 21 sty 2006 (CET)
Uzupełnił --muray 11:33, 24 cze 2006 (CET)
Poprawił linki imq_inter oraz imq_p2p_eth --Tuptus 07:55, 09 mar 2007 (CET)
Hdparm - dopałka dla twojego HDD
Zapewne zauważyłeś, że mimo, że Twój komputer jest nowy i teoretycznie bardzo szybki, to i tak chodzi bardzo wolno. Problem jest w sposobie obsługi dysku twardego, aby wycisnąć z niego jak najwięcej wpisz:
na początek możemy sprawdzić w jakim trybie pracuje nasz dysk, czy pracuje w trybie 32, czy 16-bitowym:
hdparm /dev/hda - wyświetli Ci info o Twoim dysku i trybie jego pracy
mamy następujące wiersze dla nas najbardziej istotne: /dev/hda: I/O support, jeżeli jest tam wpis 16 to pracuje w trybie 16 bit. Teraz sprawdźmy czy włączony jest tryb DMA:
hdparm -d /dev/hda
Wyświetlony zostanie taki komunikay: usign_dma = 0 (off)
hdparm -d 1 /dev/hda
Wyświetlony zostanie taki komunikay: usign_dma = 1 (on) Dodatkowo jeżeli posiadamy dysk nowy obsługujący standard ATA 100 dodatkowo wykonajmy polecenie:
hdparm -i /dev/hda
wyszukujemy miejsca gdzie jest obok trybu pracy gwiazdka np. *mdma2, W celu sprawdzenia prędkości dysku przy obecnej konfiguracji wywołajmy polecenie:
hdparm -t /dev/hda - sprawdzi szybkość Twojego dysku
Po chwili pojawi nam się komunikat pokazujący prędkość naszego dysku... zapiszmy sobie tą wartość w celu porównania późniejszego wyniku. Zabieramy się zatem za przyspieszenie naszego dysku. Wpisujemy komendę włączającą 32-bitowy dostęp do dysku i DMA. Wydajemy następującą komendę:
hdparm -c1 -d1 -X68 -k1 /dev/hda
Uwaga polecenie X jest poleceniem niebezpiecznym. Przed zmianami polecam przeczytanie manualu dla hdparm.
Pozostałe opcje:
hdparm -c1 -d1 -k1 - włącza obsługę ATA100, tryb DMA i zapamiętuje ustawienia hdparm -t /dev/hda - ponownie sprawdzi szybkość Twojego dysku, gwarantuję, że wartość ta będzie znacznie większa od poprzedniej
Na sam koniec pozostaje dodanie wpisu do /ect/rc.d/rc.local z informacją, żeby system uruchamiał te ustawienia co start systemu. Linijka ta ma wyglądać następująco:
hdparm -c1 -d1 -k1 /dev/hda.
Teoretycznie można również włączyć te opcje dla CDROM'u i CDRW.
I jeszcze tylko wykaz urządzonek i ich odpowiedniki:
/dev/hda - primary master /dev/hdb - primary slave /dev/hdc - secondary master /dev/hdd - secondary slave
Jeśli korzystasz z kernela w wersji 2.4.XX to standardowo powinieneś mieć ustawioną obsługę dysku w 32 botowym trybie i DMA. Zawsze to możesz sprawdzić przez
hdparm -t /dev/hdX
Na podstawie info z netu--przemek_nnd 11:08, 2 maj 2005 (CEST)
Zdalna administracja (tunelowanie ssh)
Często będąc administratorami sieci osiedlowych czy firmowych będziemy musieli skorzystać z tzw. zdalnej administracji. Okoliczności tego może być wiele, wyjechaliśmy na wczasy, zarządzamy serwerami znajdującymi się w różnych miejscowościach itd. Administratorzy do tego celu wykorzystują szereg narzędzi dostępnych w Sieciowych Systemach Operacyjnych. W środowiskach nixowych (także linux) popularnym takim narzędziem (protokołem) jest SSH – Secure Shell. Jest to następca protokołu telnet, umożliwiający administrację serwera za pomocą szyfrowanego połączenia w przeciwieństwie do swojego poprzednika. Szyfrowanie i zdalne zarządzanie serwerem to jednak nie jedyna cecha protokołu SSH. Daje on nam więcej możliwości niż tylko zarządzanie w powłoce linuxa. W tym artykule zaprezentuję jak można wykorzystać programowy router z zainstalowanym linuxem i demonem SSH do zarządzania innymi urządzeniami podłączonymi w naszej sieci. Na rysunku 1 zaprezentowany jest przykład w którym administrator poprzez sieć niebezpieczną (internet) może zarządzać routerem linuxowym jak również serwerem Windows 2003 i Access Pointem zarządzanym przy pomocy protokołu HTTP.
Oczywiście nie jest problemem odpowiednio na routerze przekierować sobie porty z zewnętrznego interfejsu do tych urządzeń. Jednak jest kilka zastrzeżeń w stosunku do bezpieczeństwa. Po pierwsze, według jednej z zasad budowy firewalla, powinniśmy otwierać “na świat” tylko te usługi, które faktycznie powinny być wystawione (serwery www, poczty, dns itd). Otwierając porty do zarządzania urządzeniami wewnątrz sieci, narażamy je na ryzyko ataku przez intruza lub dowcipnisia, który co nieco poczyta o hackowaniu i będzie próbował nam dokuczyć. Drugim problemem jest to, że wiele urządzeń sieciowych jest zarządzanych przy pomocy protokołu HTTP. Logowanie się do takiego urządzenia od strony internetu jest o tyle niebezpieczne, iż protokół ten przesyła hasła jawnym tekstem bez jakiegokolwiek szyfrowania. Protokół SSH daje nam w tym przypadku wiele dobrego: 1. żeby zarządzać urządzeniami wewnątrz sieci, wystarczy otworzyć na zewnątrz port dla samego SSH uruchomionego na routerze linuxowym, 2. zarządzając urządzeniem sieciowym przez przeglądarkę internetową, protokół HTTP jest kapsułkowany w protokole SSH dzięki czemu informacje takie jak hasła do urządzeń sieciowych jest szyfrowane.
Co nam będzie potrzebne ?
1. Komputer administratora podłączony do internetu (może być za NAT-em) z zainstalowanym systemem operacyjnym Linux lub Windows (jeśli windows to dodatkowo klient ssh lub program PuTTy – można pobrać ze strony http://www.openssh.org).
2.Router programowy z systemem Linux na którym uruchomiony jest daemon SSH. W pliku konfiguracyjnym /etc/ssh/sshd_config musi być włączona opcja "X11Forwarding yes".
Standardowe połączenie między komputerem administratora, a routerem wykonujemy poleceniem:
$ ssh użytkownik@IP_lub_nazwadomeny.pl - w konsoli linuxa na komputerze administratora lub kliencie ssh w systemie Windows, a przy wykorzystaniu PuTTy uzupełniamy odpowiednie pola w kategorii Session. Nie będę się rozwodził nad konfiguracją szczegółową demona ssh na routerze linux jak również obsługą PuTTy. Więcej informacji można poszukać w dokumentacji tego oprogramowania. Połączenie, które nawiązaliśmy z routerem do niczego nam nie posłuży jak tylko i wyłącznie do zarządzania zdalnego samym routerem. Teraz spróbujemy się połączyć poprzez tunel z zdalnym pulpitem serwera Windows 2003 wewnątrz sieci. Administrator na swoim komputerze w konsoli wpisuje polecenie:
$ ssh -L 10000:192.168.0.2:3389 użytkownik@IP_lub_domena.pl
Jeśli korzystamy z PuTTy to standardowo w sekcji Session uzupełniamy: HostName – ip lub nazwa domeny, Port – nie ma co wyjaśniać, jest to port na którym nasłuchuje ssh routera linux, w sekcji: Connection > Data możemy wpisać nazwę użytkownika powłoki routera linux w polu: Auto-login username. Do tworzenia tuneli w PuTTy służy kategoria: SSH > Tunnels. Tam uzupełniamy odpowiednio pola: Source port – 10000; Destination – 192.168.0.2:3389 i ustawiamy pola wyboru na: Local, IPv4. Naciskamy “add” a następnie zapisujemy ustawienia i naciskamy przycisk Open. Pojawi się czarne okno konsoli w którym podajemy hasło użytkownika. Po udanym zalogowaniu do routera już możemy korzystać ze zdefiniowanego tunelu ssh. Administrator uruchamia na swoim komputerze program Krdc (w KDE Linuxa). W polu “Zdalny pulpit” wpisuje: rdp://localhost:10000. Jeśli ma zainstalowany windows i klienta zdalnego pulpitu to w polu “komputer” wpisuje localhost:10000. Po naciśnięciu przycisku “połącz” powinna rozpocząć się sesja ze zdalnym pulpitem serwera windows 2003 znajdującym się wewnątrz sieci w dodatku w połączeniu szyfrowanym ssh. Poniżej krótkie wyjaśnienie polecenia otwierającego tunel ssh:
$ ssh – nie trzeba chyba komentować. -L 10000:192.168.0.2:3389 – opcja przekierowania lokalnego portu, 10000 jest dowolnym portem, najlepiej powyżej 1024, na którym będzie nasłuchiwał na lokalnym komputerze administratora klient ssh tworzący tunel, 192.168.0.2:3389 IP hosta i port usługi którą będziemy tunelować przez ssh, znajdujący w sieci wewnętrznej.
Ktoś mógłby zarzucić, że to nie rozwiązuje problemu bo i tak jeden port musi być otwarty na routerze, a taki administrator chciałby naraz połączyć się z kilkoma maszynami wewnątrz sieci. SSH umożliwia zestawienie wielu tuneli naraz:
$ ssh -L 10000:192.168.0.2:3389 -L 10001:192.168.0.3:80 użytkownik@IP_lub_domena.pl
Analogicznie w PuTTy dodajemy kolejny tunel w kategorii: SSH > Tunnels. Teraz po nawiązaniu połączenia i zalogowaniu użytkownika powłoki routera linux możemy jednocześnie podłączyć zdalny pulpit i zalogować się do strony zarządzania Access Pointem w przeglądarce internetowej. W tym celu w pasku adresu przeglądarki wpisujemy adres: http://localhost:10001 . Jeśli nie wierzysz, że połączenie jest szyfrowane, proponuję przed zalogowaniem do AP uruchomić jakiś sniffer i sprawdzić. To są proste przykłady zastosowania tuneli ssh. Należy jeszcze zaznaczyć, że każdy tunel musi mieć inny port nasłuchiwania tzn. każdemu urządzeniu którym będziemy zarządzać w odległej sieci lokalnej trzeba przypisać inną wartość portu, stąd w parametrze -L podane porty to 10000 i 10001. W przyszłości postaram się rozwinąć ten artykuł do bardziej skomplikowanych rozwiązań.
Uwagi końcowe:
1.Użytkownik powłoki routera linux powinien mieć jak najmniejsze uprawnienia i trudne hasło.
2.Dobrze jest zmienić port na którym nasłuchuje ssh (standardowo 22) na inny. Wówczas polecenie w konsoli administratora będzie miało postać:
$ ssh -p 2300 -L 10000:192.168.0.2:3389 użytkownik@IP_lub_domena.pl gdzie 2300 jest portem na którym nasłuchuje ssh routera.
3.Jeśli serwer ssh na routerze obsługuje kompresję możemy ją wykorzystać w tunelach:
$ ssh -C -p 2300 -L 10000:192.168.0.2:3389 użytkownik@IP_lub_domena.pl
--Paweł Makowski 14:18, 27 lut 2007 (CET)Pablo2k5
