PERFORCE change 145492 for review
Gabor Pali
pgj at FreeBSD.org
Sun Jul 20 08:24:05 UTC 2008
http://perforce.freebsd.org/chv.cgi?CH=145492
Change 145492 by pgj at disznohal on 2008/07/20 08:23:47
MFen:
1.227 -> 1.228 hu_HU.ISO8859-2/books/handbook/cutting-edge/chapter.sgml
1.185 -> 1.186 hu_HU.ISO8859-2/books/handbook/eresources/chapter.sgml
1.83 -> 1.84 hu_HU.ISO8859-2/books/handbook/firewalls/chapter.sgml
1.444 -> 1.447 hu_HU.ISO8859-2/books/handbook/mirrors/chapter.sgml
1.104 -> 1.105 hu_HU.ISO8859-2/books/handbook/network-servers/chapter.sgml
1.114 -> 1.116 hu_HU.ISO8859-2/books/handbook/printing/chapter.sgml
1.321 -> 1.324 hu_HU.ISO8859-2/books/handbook/security/chapter.sgml
1.128 -> 1.129 hu_HU.ISO8859-2/books/handbook/serialcomms/chapter.sgml
1.59 -> 1.60 hu_HU.ISO8859-2/share/sgml/mailing-lists.ent
Affected files ...
.. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/cutting-edge/chapter.sgml#4 edit
.. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/eresources/chapter.sgml#9 edit
.. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/firewalls/chapter.sgml#10 edit
.. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/mirrors/chapter.sgml#6 edit
.. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/network-servers/chapter.sgml#4 edit
.. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/printing/chapter.sgml#4 edit
.. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/security/chapter.sgml#5 edit
.. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/serialcomms/chapter.sgml#6 edit
.. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/share/sgml/mailing-lists.ent#8 edit
Differences ...
==== //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/cutting-edge/chapter.sgml#4 (text+ko) ====
@@ -7,7 +7,7 @@
<!-- The FreeBSD Hungarian Documentation Project
Translated by: PALI, Gabor <pgj at FreeBSD.org>
%SOURCE% en_US.ISO8859-1/books/handbook/cutting-edge/chapter.sgml
- %SRCID% 1.227
+ %SRCID% 1.228
-->
<chapter id="cutting-edge" lang="hu">
@@ -2512,8 +2512,9 @@
keresztül.</para>
<para>Végül gyõzödjünk meg róla,
- hogy az <filename>/etc/make.conf</filename> tartalma a
- fordítási csoport mindegyik
+ hogy az <filename>/etc/make.conf</filename> és a
+ <filename>/etc/src.conf</filename> állományok
+ tartalma a fordítási csoport mindegyik
gépénél megegyezik a fordító
gépével. Ez azt jelenti, hogy a
fordító gépnek az alaprendszer ugyanazon
==== //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/eresources/chapter.sgml#9 (text+ko) ====
@@ -7,7 +7,7 @@
<!-- The FreeBSD Hungarian Documentation Project
Translated by: PALI, Gabor <pgj at FreeBSD.org>
%SOURCE% en_US.ISO8859-1/books/handbook/eresources/chapter.sgml
- %SRCID% 1.185
+ %SRCID% 1.186
-->
<appendix id="eresources" lang="hu">
@@ -716,6 +716,12 @@
</row>
<row>
+ <entry>&a.wip-status.name;</entry>
+ <entry>A &os;-vel kapcsolatos folyamatban levõ
+ fejlesztések helyzetjelentései</entry>
+ </row>
+
+ <row>
<entry>&a.www.name;</entry>
<entry>A <ulink
url="&url.base;/index.html">www.FreeBSD.org</ulink>
@@ -2011,6 +2017,48 @@
</listitem>
</varlistentry>
+ <varlistentry>
+ <term>&a.wip-status.name;</term>
+
+ <listitem>
+ <para><emphasis>A &os;-vel kapcsolatos folyamatban levõ
+ fejlesztések
+ helyzetjelentése</emphasis></para>
+
+ <para>Ezen a levelezési listán kerülnek
+ bejelentésre a &os;
+ továbbfejlesztéséhez
+ fûzõdõ különbözõ
+ munkák és azok haladásának
+ menete. Az ide befutó üzeneteket
+ moderálják. Javasoljuk, hogy
+ elsõdlegesen az adott témához
+ tartozó tematikus &os; listára
+ küldjük a bejelentésünket és
+ csak egy másolatot erre a listára. Ennek
+ köszönhetõen a munkánk az adott
+ témaspecifikus listán rögtön meg
+ is vitatható, mivel ezen a listán semmi
+ ilyen nem engedélyezett.</para>
+
+ <para>A lista archívumába tekintve
+ tájékozódhatunk arról, hogy pontosan
+ milyen formai követelmények illene megfelelnie a
+ beküldenõ üzenetünknek.</para>
+
+ <para>A listára beérkezõ üzenetekbõl
+ egy szerkesztett válogatás jelenik meg
+ néhány havonta a &os; honlapján a Projekt
+ helyzetjelentésének részeként
+ <footnote>
+ <para><ulink
+ url="http://www.freebsd.org/news/status/"></ulink></para>
+ </footnote>. A korábban beküldött
+ jelentések mellett itt még találhatunk
+ további példákat.</para>
+ </listitem>
+ </varlistentry>
+
</variablelist>
</sect2>
==== //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/firewalls/chapter.sgml#10 (text+ko) ====
@@ -7,7 +7,7 @@
<!-- The FreeBSD Hungarian Documentation Project
Translated by: PALI, Gabor <pgj at FreeBSD.org>
%SOURCE% en_US.ISO8859-1/books/handbook/firewalls/chapter.sgml
- %SRCID% 1.83
+ %SRCID% 1.84
-->
<chapter id="firewalls" lang="hu">
==== //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/mirrors/chapter.sgml#6 (text+ko) ====
@@ -7,7 +7,7 @@
The FreeBSD Hungarian Documentation Project
Translated by: PALI, Gabor <pgj at FreeBSD.org>
%SOURCE% en_US.ISO8859-1/books/handbook/mirrors/chapter.sgml
- %SRCID% 1.444
+ %SRCID% 1.447
-->
<appendix id="mirrors" lang="hu">
@@ -389,23 +389,12 @@
<itemizedlist>
<listitem>
- <para><emphasis>Ausztria</emphasis>:
- :pserver:anoncvs at anoncvs.at.FreeBSD.org:/home/ncvs (a
- <command>cvs login</command> használatával
- tetszõleges jelszó megadható)</para>
- </listitem>
- <listitem>
<para><emphasis>Franciaország</emphasis>:
:pserver:anoncvs at anoncvs.fr.FreeBSD.org:/home/ncvs
(pserver (a jelszó <quote>anoncvs</quote>), ssh
(nincs jelszó))</para>
</listitem>
<listitem>
- <para><emphasis>Németország</emphasis>:
- :pserver:anoncvs at anoncvs.de.FreeBSD.org:/home/ncvs (rsh,
- pserver, ssh, ssh/2022)</para>
- </listitem>
- <listitem>
<para><emphasis>Japán</emphasis>:
:pserver:anoncvs at anoncvs.jp.FreeBSD.org:/home/ncvs (a
<command>cvs login</command>
@@ -4026,6 +4015,22 @@
</varlistentry>
<varlistentry>
+ <term>Oroszország</term>
+
+ <listitem>
+ <para>rsync://cvsup4.ru.FreeBSD.org</para>
+
+ <para>Elérhetõ gyûjtemények:</para>
+
+ <itemizedlist>
+ <listitem><para>FreeBSD-gnats: A GNATS
+ hibanyilvántartó
+ adatbázis.</para></listitem>
+ </itemizedlist>
+ </listitem>
+ </varlistentry>
+
+ <varlistentry>
<term>Tajvan</term>
<listitem>
==== //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/network-servers/chapter.sgml#4 (text+ko) ====
@@ -7,7 +7,7 @@
<!-- The FreeBSD Hungarian Documentation Project
Translated by: PALI, Gabor <pgj at FreeBSD.org>
%SOURCE% en_US.ISO8859-1/books/handbook/network-servers/chapter.sgml
- %SRCID% 1.104
+ %SRCID% 1.105
-->
<chapter id="network-servers" lang="hu">
@@ -1132,7 +1132,8 @@
<para>A következõ módon indíthatjuk
el:</para>
- <screen>&prompt.root; <userinput>/etc/rc.d/nfslocking start</userinput></screen>
+ <screen>&prompt.root; <userinput>/etc/rc.d/lockd start</userinput>
+&prompt.root; <userinput>/etc/rc.d/statd start</userinput></screen>
<para>Ha nincs szükségünk valódi
zárolásra az <acronym>NFS</acronym> kliensek
==== //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/printing/chapter.sgml#4 (text+ko) ====
@@ -7,7 +7,7 @@
<!-- The FreeBSD Hungarian Documentation Project
Translated by: PALI, Gabor <pgj at FreeBSD.org>
%SOURCE% en_US.ISO8859-1/books/handbook/printing/chapter.sgml
- %SRCID% 1.114
+ %SRCID% 1.116
-->
<chapter id="printing" lang="hu">
@@ -1615,18 +1615,20 @@
<title>A nyomtatóeszköz
azonosítása</title>
- <para>A portok beállításával
- foglalkozó szakaszban már
+ <para>A <link
+ linkend="printing-hardware">Hardveres beállítás</link>
+ címû szakaszban már
beazonosítottuk, hogy a &os; a
<filename>/dev</filename> könyvtárban melyik
eszközleírón keresztül fogja
megszólítani a nyomtatót. Most ideje
- ugyanezt tudatni az <application>LPD</application>-vel is.
- Így amikor a nyomtatási rendszer ki szeretne
- nyomtatni egy munkát, a szûrõprogram
- nevében ezt az eszközt nyitja meg (ahol a
- szûrõn keresztül továbbítjuk az
- adatokat a nyomtató felé).</para>
+ ugyanezt tudatni az <application>LPD</application>
+ démonnal is. Így amikor a nyomtatási
+ rendszer ki szeretne nyomtatni egy munkát, a
+ szûrõprogram nevében ezt az eszközt
+ nyitja meg (ahol a szûrõn keresztül
+ továbbítjuk az adatokat a nyomtató
+ felé).</para>
<para>Az <literal>lp</literal> tulajdonság
segítségével a
@@ -2726,11 +2728,11 @@
<programlisting>:if=/usr/local/libexec/ifhp:</programlisting>
<para>Készen is vagyunk! Most már nyugodtan
- beírhatjuk, hogy <command>lpr
- <replaceable>sima.szöveg</replaceable></command> vagy
- <command>lpr
- <replaceable>akármi.ps</replaceable></command>, mind a
- kettõnek ki kell tudnia nyomtatódnia.</para>
+ beírhatjuk, hogy
+ <command>lpr <replaceable>sima.szöveg</replaceable></command> vagy
+ <command>lpr <filename><replaceable>akármi.ps</replaceable></filename></command>,
+ mind a kettõnek ki kell tudnia
+ nyomtatódnia.</para>
</sect3>
==== //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/security/chapter.sgml#5 (text+ko) ====
@@ -7,7 +7,7 @@
<!-- The FreeBSD Hungarian Documentation Project
Translated by: PALI, Gabor <pgj at FreeBSD.org>
%SOURCE% en_US.ISO8859-1/books/handbook/security/chapter.sgml
- %SRCID% 1.321
+ %SRCID% 1.324
-->
<chapter id="security" lang="hu">
@@ -1996,21 +1996,21 @@
egyetlen tûzfal nem képes például
szövegesen válaszolni a kapcsolatok
kezdeményezõinek. Ellenben bármelyik
- <acronym>TCP</acronym> szoftver képes erre, sõt
- még többre is. A következõ
+ <acronym>TCP</acronym>-wrapper szoftver képes erre,
+ sõt még többre is. A következõ
néhány szakaszban szemügyre vesszük a
- <acronym>TCP</acronym> burkolók számos
+ <acronym>TCP</acronym> wrapperek számos
lehetõségét, és ahol lehetséges,
ott konfigurációs állományokkal is
illusztráljuk ezek használatát.</para>
<para>A <acronym>TCP</acronym> burkoló szoftverek
- kiterjesztik az <command>inetd</command> képességeit
- minden alatta dolgozó szerverdémon
- támogatására. Ezzel a módszerrel meg
- lehet oldani a naplózást, üzenetek
- küldését a kapcsolatokhoz, a démonok
- elérhetõségének
+ kiterjesztik az <application>inetd</application>
+ képességeit minden alatta dolgozó
+ szerverdémon támogatására. Ezzel a
+ módszerrel meg lehet oldani a naplózást,
+ üzenetek küldését a kapcsolatokhoz, a
+ démonok elérhetõségének
korlátozását stb. Noha ezen
lehetõségek közül néhány
tûzfallal is megvalósítható, ezzel nem
@@ -2029,13 +2029,13 @@
rendszerünk biztonságában egy újabb
remek védelmi vonalat képvisel.</para>
- <para>Mivel lényegében ez az <command>inetd</command>
+ <para>Mivel lényegében ez az
+ <application>inetd</application>
beállításának
kibõvítése, ezért a szakasz
elolvasásához feltételezzük az <link
- linkend="network-inetd">inetd
- beállításával</link> kapcsolatos
- tudnivalók ismeretét.</para>
+ linkend="network-inetd">inetd beállításával</link>
+ kapcsolatos tudnivalók ismeretét.</para>
<note>
<para>Bár az &man.inetd.8; által indított
@@ -2051,10 +2051,10 @@
<para>&os; alatt a <acronym>TCP</acronym> burkolók
használatának egyetlen feltétele
- csupán annyi, hogy az <command>inetd</command> parancsot
- a <option>-Ww</option> paraméterrel indítsuk az
- <filename>rc.conf</filename> állományból.
- Az egyébként az
+ csupán annyi, hogy az <application>inetd</application>
+ parancsot a <option>-Ww</option> paraméterrel
+ indítsuk az <filename>rc.conf</filename>
+ állományból. Az egyébként az
alapbeállítás. Természetesen nem
árt, ha helyesen állítjuk be az
<filename>/etc/hosts.allow</filename> állományt
@@ -2080,8 +2080,8 @@
<filename>/etc/hosts.allow</filename> állományban
szereplõ beállításokkal. A &os;
alapértelmezett beállításai szerint
- minden <command>inetd</command> által indított
- démonhoz lehet kapcsolódni. Ennek
+ minden <application>inetd</application> által
+ indított démonhoz lehet kapcsolódni. Ennek
megváltoztatásával az
alapkonfiguráció áttekintése
után foglalkozunk.</para>
@@ -2095,10 +2095,10 @@
IP-cím vagy szögletes zárójelek
([ ]) között megadott IPv6
formátumú cím. A cselekvést
- tartalmazó mezõ lehet <quote>allow</quote> vagy
- <quote>deny</quote> annak megfelelõen, hogy
- engedélyezzük vagy tiltjuk a megadott
- címrõl a csatlakozást. Nem szabad
+ tartalmazó mezõ (<literal>action</literal>) lehet
+ <literal>allow</literal> vagy <literal>deny</literal> annak
+ megfelelõen, hogy engedélyezzük vagy tiltjuk a
+ megadott címrõl a csatlakozást. Nem szabad
elfelejtenünk, hogy az így megadott
beállítások közül mindig az
elsõként illeszkedõ
@@ -2126,7 +2126,7 @@
qpopper : ALL : allow</programlisting>
<para>Miután hozzáadtuk ezt a sort, az
- <command>inetd</command> szervert újra kell
+ <application>inetd</application> szervert újra kell
indítanunk. Ezt vagy a &man.kill.1; paranccsal, vagy
pedig az <filename>/etc/rc.d/inetd</filename> szkript
<parameter>restart</parameter> paraméterével
@@ -2240,9 +2240,10 @@
<para>A korábban már kifejtett
helyettesítõ karakterek túl, mint
- például az %a, még léteznek
- továbbiak is. Róluk a &man.hosts.access.5; man
- oldalon találhatjuk meg a teljes listát.</para>
+ például az <literal>%a</literal>, még
+ léteznek továbbiak is. Róluk a
+ &man.hosts.access.5; man oldalon találhatjuk meg a
+ teljes listát.</para>
</sect3>
@@ -4413,54 +4414,6 @@
egyaránt támogatja az IPv4 és IPv6
protokollcsaládokat.</para>
- <note>
- <para>A &os;-ben <quote>Fast IPsec</quote> néven
- találunk egy <quote>hardvergyorsítással
- támogatott</quote> IPsec protokollkészletet is,
- amelyet még az OpenBSD-bõl vettek át. Ez
- (amikor lehetséges) a &man.crypto.4; alrendszeren
- keresztül egy kriptográfiai célhardver
- bevonásával igyekszik növelni az IPsec
- teljesítményét. Ez az alrendszer
- még új, és még nem is ismeri az
- IPsec KAME változata által
- felkínált összes lehetõséget.
- A hardvergyorsítással kisegített IPsec
- engedélyezéséhez a következõ
- opciót kell hozzátennünk a rendszermag
- beállításait tartalmazó
- állományhoz:</para>
-
- <indexterm>
- <primary>a rendszermag
- beállításai</primary>
- <secondary>FAST_IPSEC</secondary>
- </indexterm>
-
- <screen>
-options FAST_IPSEC # az új IPsec (nem megy az IPSEC-kel együtt)
-</screen>
-
- <para>Vegyük észre, hogy jelen pillanatban a
- <quote>Fast IPsec</quote> alrendszer nem
- használható az IPsec KAME változata
- helyett. Ennek részleteirõl a &man.fast.ipsec.4;
- man oldalon tájékozódhatunk.</para>
- </note>
-
- <note>
- <para>A rendszermag beállításai
- között az <option>IPSEC_FILTERGIF</option>
- opcióra is szükségünk lesz ahhoz, hogy
- a tûzfalak megfelelõ módon követni
- tudják a &man.gif.4; tunnelek
- állapotát.</para>
-
- <screen>
-options IPSEC_FILTERGIF # a tunnelekbõl érkezõ IPsec csomagok szûrése
- </screen>
- </note>
-
<indexterm>
<primary>IPsec</primary>
<secondary>ESP</secondary>
@@ -4592,9 +4545,12 @@
</sect2>
<sect2>
- <title>A forgatókönyv: két, interneten
- keresztül összekötött hálózat,
- melyeket egyként akarunk használni</title>
+ <title>A forgatókönyv: adott egy otthoni és egy
+ vállalati hálózat, amelyek
+ külön-külön csatlakoznak az internetre,
+ és <acronym>VPN</acronym> használatával
+ ezeket egyetlen hálózatként
+ szeretnénk használni</title>
<indexterm>
<primary>VPN</primary>
@@ -4626,1084 +4582,359 @@
<listitem>
<para>a hálózatok belsõ címei
lehetnek publikus vagy privát IP-címek, nem
- számít. Az átjárón
- igény szerint végezhetünk
- címfordítást (NAT) is;</para>
- </listitem>
- <listitem>
- <para>a két hálózat belsõ
- IP-címei <emphasis>nem fedik át
- egymást</emphasis>. Habár elméletben
- lehetséges a VPN és NAT
- technológiák elegyítése, ezt a
- típusú felállást itt most nem
- preferáljuk.</para>
+ számít. Fontos viszont, hogy ezek ne
+ ütközzenek, vagyis ne használja egyszerre
+ mind a kettõ a <hostid
+ role="ipaddr">192.168.1.x</hostid>
+ címtartományt.</para>
</listitem>
</itemizedlist>
+ </sect2>
- <para>Ha belül mind a két hálózat
- ugyanolyan tartományú IP-címeket
- használ (például <hostid
- role="ipaddr">192.168.1.x</hostid>), akkor az egyiküket
- át kell számozni.</para>
+ <sect2>
+ <sect2info>
+ <authorgroup>
+ <author>
+ <firstname>Tom</firstname>
+ <surname>Rhodes</surname>
+ <affiliation>
+ <address><email>trhodes at FreeBSD.org</email></address>
+ </affiliation>
+ <contrib>Írta: </contrib>
+ </author>
+ </authorgroup>
+ </sect2info>
- <para>A hálózat felépítése
- tehát valahogy így nézhet ki:</para>
+ <title>Az IPsec beállítása &os; alatt</title>
- <mediaobject>
- <imageobject>
- <imagedata fileref="security/ipsec-network" align="center">
- </imageobject>
+ <para>Kezdésképpen a
+ Portgyûjteménybõl telepítenünk kell a
+ <filename role="package">security/ipsec-tools</filename> portot.
+ Ez a programcsomag rengeteg olyan alkalmazást tartalmaz,
+ amely segítségünkre lehet a
+ beállítások elvégzése
+ során.</para>
- <textobject>
- <literallayout class="monospaced">1. hálózat [ Belsõ gépek ] Privát hálózat: 192.168.1.2-254
- [ Win9x/NT/2K ]
- [ UNIX ]
- |
- |
- .---[fxp1]---. Privát IP: 192.168.1.1
- | FreeBSD |
- `---[fxp0]---' Publikus IP: A.B.C.D
- |
- |
- -=-=- Internet -=-=-
- |
- |
- .---[fxp0]---. Publikus IP: W.X.Y.Z
- | FreeBSD |
- `---[fxp1]---' Privát IP: 192.168.2.1
- |
- |
-2. hálózat [ Belsõ gépek ]
- [ Win9x/NT/2K ] Privát hálózat: 192.168.2.2-254
- [ UNIX ]</literallayout>
- </textobject>
- </mediaobject>
+ <para>A következõ lépésben létre
+ kell hoznunk két &man.gif.4; típusú
+ pszeudoeszközt, melyeken keresztül a két
+ hálózat között egy tunnel
+ segítségével ki tudjuk
+ építeni a szükséges kapcsolatot.
+ Ehhez <username>root</username>
+ felhasználóként futtassuk a
+ következõ parancsokat (a
+ <replaceable>belsõ</replaceable> és
+ <replaceable>külsõ</replaceable>
+ megnevezésû paramétereket
+ cseréljük ki a valós belsõ és
+ külsõ átjárók
+ címeire):</para>
- <para>Figyeljük meg a két publikus IP-címet. A
- leírás további részében
- betûkkel hivatkozunk rájuk, tehát ahol ezek
- szerepelnek, oda kell behelyettesíteni a saját
- publikus címeinket. A két
- átjáró címében .1 az
- utolsó szám, és hogy két
- hálózat privát IP-címei
- eltérnek (<hostid role="ipaddr">192.168.1.x</hostid>
- és <hostid role="ipaddr">192.168.2.x</hostid>). A
- privát hálózatokon belül minden
- számítógépet úgy
- állítottunk be, hogy alapértelmezés
- szerint a <hostid role="ipaddr">.1</hostid> számú
- gépet használják
- átjárónak.</para>
+ <screen>&prompt.root; <userinput>ifconfig gif0 create</userinput></screen>
+ <screen>&prompt.root; <userinput>ifconfig gif0 <replaceable>belsõ1 belsõ2</replaceable></userinput></screen>
+ <screen>&prompt.root; <userinput>ifconfig gif0 tunnel <replaceable>külsõ1 külsõ2</replaceable></userinput></screen>
- <para>Hálózati szemszögbõl ez azért
- fontos, mert így az egyes hálózatok
- úgy látják egymás gépeit,
- mintha közvetlenül ugyanahhoz az
- útválasztóhoz csatlakoznának —
- jóllehet ez egy kicsit lassúcska
- útválasztó, ami idõnként
- hajlamos eldobni a csomagokat.</para>
+ <para>Tekintsük például, hogy a
+ vállalati <acronym>LAN</acronym> publikus
+ <acronym>IP</acronym>-címe <hostid
+ role="ipaddr">172.16.5.4</hostid>, valamint a privát
+ <acronym>IP</acronym>-címe <hostid
+ role="ipaddr">10.246.38.1</hostid>. Az otthoni
+ <acronym>LAN</acronym> publikus
+ <acronym>IP</acronym>-címe legyen most <hostid
+ role="ipaddr">192.168.1.12</hostid>, valamint a belsõ
+ privát <acronym>IP</acronym>-címe pedig <hostid
+ role="ipaddr">10.0.0.5</hostid>.</para>
- <para>Ez tehát azt jelenti (például), hogy a
- <hostid role="ipaddr">192.168.1.20</hostid> címû
- számítógépnek gond
- nélküli megy a</para>
+ <para>Elsõre ez talán még nem teljesen
+ érthetõ, ezért az &man.ifconfig.8; parancs
+ használatával is nézzük meg a
+ példában szereplõ hálózatok
+ konfigurációját:</para>
- <programlisting>ping 192.168.2.34</programlisting>
+ <programlisting>Az elsõ átjáró:
- <para>parancs. Ugyanígy a &windows;-os gépek is
- képesek látni a másik
- hálózaton levõ
- számítógépeket, belépni
- egymás megosztásaiba és így
- tovább, pontosan úgy, mint a helyi
- hálózaton levõ gépek
- esetében.</para>
+gif0: flags=8051 mtu 1280
+tunnel inet 172.16.5.4 --> 192.168.1.12
+inet6 fe80::2e0::81ff:fe02:5881%gif0 prefixlen 64 scopeid 0x6
+inet 10.246.38.1 --> 10.0.0.5 netmask 0xffffff00
- <para>Ne feledjük, hogy mindennek egyszerre
- biztonságosnak is kell lennie. Vagyis a két
- hálózat közti forgalmat titkosítanunk
- kell.</para>
+A második átjáró:
- <para>A VPN létrehozása a két
- hálózat között egy
- többlépcsõs folyamat. Ezek a
- lépcsõk az alábbiak:</para>
+gif0: flags=8051 mtu 1280
+tunnel inet 192.168.1.12 --> 172.16.5.4
+inet 10.0.0.5 --> 10.246.38.1 netmask 0xffffff00
+inet6 fe80::250:bfff:fe3a:c1f%gif0 prefixlen 64 scopeid 0x4</programlisting>
- <orderedlist>
- <listitem>
- <para>Az interneten keresztül hozzunk létre egy
- <quote>virtuális</quote> hálózati
- összeköttetést a két
- hálózat között. A &man.ping.8;
- és hasonló segédprogramok
- segítségével gyõzõdjünk
- meg a
- mûködõképességérõl.</para>
- </listitem>
+ <para>Miután elvégeztük az iménti
+ beállításokat, a &man.ping.8; paranccsal
+ már mind a két privát
+ <acronym>IP</acronym>-tartománynak
+ elérhetõnek kell lennie, ahogy azt az alábbi
+ példa is érzékeltetni
+ kívánja:</para>
- <listitem>
- <para>A hálózatok között zajló
- forgalom akadálymentes
- titkosításához szükség
- esetén alkalmazzuk valamilyen biztonsági
- házirendet. A &man.tcpdump.1; és
- hasonló segédprogramok
- használatával ellenõrizzük a
- hálózati forgalom
- titkosítását.</para>
- </listitem>
+ <programlisting>otthoni-halo# ping 10.0.0.5
+PING 10.0.0.5 (10.0.0.5): 56 data bytes
+64 bytes from 10.0.0.5: icmp_seq=0 ttl=64 time=42.786 ms
+64 bytes from 10.0.0.5: icmp_seq=1 ttl=64 time=19.255 ms
+64 bytes from 10.0.0.5: icmp_seq=2 ttl=64 time=20.440 ms
+64 bytes from 10.0.0.5: icmp_seq=3 ttl=64 time=21.036 ms
+--- 10.0.0.5 ping statistics ---
+4 packets transmitted, 4 packets received, 0% packet loss
+round-trip min/avg/max/stddev = 19.255/25.879/42.786/9.782 ms
- <listitem>
- <para>A &os; átjárókon
- állítsunk be olyan szoftvereket, amelyekkel a
- &windows;-os számítógépek is
- képesek látni egymást a
- virtuális magánhálózaton
- keresztül.</para>
- </listitem>
- </orderedlist>
+vallalati-halo# ping 10.246.38.1
+PING 10.246.38.1 (10.246.38.1): 56 data bytes
+64 bytes from 10.246.38.1: icmp_seq=0 ttl=64 time=28.106 ms
+64 bytes from 10.246.38.1: icmp_seq=1 ttl=64 time=42.917 ms
+64 bytes from 10.246.38.1: icmp_seq=2 ttl=64 time=127.525 ms
+64 bytes from 10.246.38.1: icmp_seq=3 ttl=64 time=119.896 ms
+64 bytes from 10.246.38.1: icmp_seq=4 ttl=64 time=154.524 ms
+--- 10.246.38.1 ping statistics ---
+5 packets transmitted, 5 packets received, 0% packet loss
+round-trip min/avg/max/stddev = 28.106/94.594/154.524/49.814 ms</programlisting>
- <sect3>
- <title>Az elsõ lépés: a
- <quote>virtuális</quote> hálózati
- összeköttetés kialakítása
- és kipróbálása</title>
+ <para>Az elvárásainknak megfelelõen
+ tehát a privát címeken mind a két
+ oldalnak képesnek kell lennie <acronym>ICMP</acronym>
+ csomagokat küldenie és fogadnia. A
+ következõ lépésben meg kell mondanunk az
+ átjáróknak hogyan
+ irányítsák a csomagokat a két
+ hálózat közti forgalom megfelelõ
+ áramlásához. Ezt az alábbi
+ paranccsal elérhetjük el:</para>
- <para>Tegyük fel, hogy a bejelentkeztünk az elsõ
- hálózat átjárójára
- (amelynek a publikus IP-címe <hostid
- role="ipaddr">A.B.C.D</hostid>, a privát IP-címe
- <hostid role="ipaddr">192.168.1.1</hostid>), és
- kiadtunk a <hostid role="ipaddr">W.X.Y.Z</hostid>
- címû gép privát
- IP-címére egy <command>ping
- 192.168.2.1</command> parancsot. Hogyan is
- valósítható meg ez?</para>
+ <screen>&prompt.root; <userinput>vallalati-halo# route add <replaceable>10.0.0.0 10.0.0.5 255.255.255.0</replaceable></userinput></screen>
+ <screen>&prompt.root; <userinput>vallalati-halo# route add net <replaceable>10.0.0.0: gateway 10.0.0.5</replaceable></userinput></screen>
- <orderedlist>
- <listitem>
- <para>Az átjárónak el kell tudnia
- érnie valahogy a <hostid
- role="ipaddr">192.168.2.1</hostid> címet. Vagy
- úgy is mondhatjuk, hogy a <hostid
- role="ipaddr">192.168.2.1</hostid> felé ismeri az
- utat.</para>
- </listitem>
- <listitem>
- <para>A privát IP-címek tartományainak,
- amilyen például a <hostid
- role="ipaddr">192.168.x</hostid>, nem szabadna
- megjelenniük az interneten. Ehelyett minden olyan
- csomagot, amelyet a <hostid
- role="ipaddr">192.168.2.1</hostid> címre
- küldünk, be kell csomagolnunk egy másik
- csomagba. Ezt a csomagot úgy kell
- beállítani, mintha az <hostid
- role="ipaddr">A.B.C.D</hostid> címrõl
- küldtük volna a <hostid
- role="ipaddr">W.X.Y.Z</hostid> címre. Ennek
- folyamatát hívják
- <firstterm>becsomagolásnak
- (encapsulation)</firstterm>.</para>
- </listitem>
- <listitem>
- <para>Amikor ez a csomag megérkezik a <hostid
- role="ipaddr">W.X.Y.Z</hostid> címre, <quote>ki
- kell bontani</quote> és kézbesíteni a
- <hostid role="ipaddr">192.168.2.1</hostid>
- címre.</para>
- </listitem>
- </orderedlist>
+ <screen>&prompt.root; <userinput>otthoni-halo# route add <replaceable>10.246.38.0 10.246.38.1 255.255.255.0</replaceable></userinput></screen>
+ <screen>&prompt.root; <userinput>otthoni-halo# route add host <replaceable>10.246.38.0: gateway 10.246.38.1</replaceable></userinput></screen>
- <para>Erre úgy is gondolhatunk, mint egy
- <quote>járatra</quote> a két
- hálózat között. A járat
- két <quote>szája</quote> lesz az <hostid
- role="ipaddr">A.B.C.D</hostid> és <hostid
- role="ipaddr">W.X.Y.Z</hostid> cím, és a
- járatnak ismernie kell azokat a privát
- IP-címeket, amiket átereszthet. Ezen a
- járaton keresztül fog mozogni a privát
- IP-címek között az adat az interneten.</para>
+ <para>Itt már a belsõ gépeket az
+ átjárókról és az
+ átjárók mögül egyaránt
+ el tudjuk érni. A következõ példa
+ alapján errõl könnyedén meg is
+ tudunk gyõzõdni:</para>
- <para>Ezt a járatot egy általános
- felület (generic interface, avagy a
- <devicename>gif</devicename> eszközök)
- használatával hozzuk létre a &os;-k
- között. Ahogy számíthattunk is
- rá, az egyes átjárókon levõ
- <devicename>gif</devicename> felületekhez négy
- IP-címet kell beállítani: kettõt a
- publikus címeknek, kettõt pedig a privát
- címeknek.</para>
+ <programlisting>vallalati-halo# ping 10.0.0.8
+PING 10.0.0.8 (10.0.0.8): 56 data bytes
+64 bytes from 10.0.0.8: icmp_seq=0 ttl=63 time=92.391 ms
+64 bytes from 10.0.0.8: icmp_seq=1 ttl=63 time=21.870 ms
+64 bytes from 10.0.0.8: icmp_seq=2 ttl=63 time=198.022 ms
+64 bytes from 10.0.0.8: icmp_seq=3 ttl=63 time=22.241 ms
+64 bytes from 10.0.0.8: icmp_seq=4 ttl=63 time=174.705 ms
+--- 10.0.0.8 ping statistics ---
+5 packets transmitted, 5 packets received, 0% packet loss
+round-trip min/avg/max/stddev = 21.870/101.846/198.022/74.001 ms
- <para>A gif eszköz támogatását be kell
- építeni mind a két &os; gép
- rendszermagjába. Ehhez mind a két gépen
- a következõ sort kell hozzáadnunk a
- rendszermag beállításait
- tartalmazó állományhoz:</para>
+otthoni-halo# ping 10.246.38.107
+PING 10.246.38.1 (10.246.38.107): 56 data bytes
+64 bytes from 10.246.38.107: icmp_seq=0 ttl=64 time=53.491 ms
+64 bytes from 10.246.38.107: icmp_seq=1 ttl=64 time=23.395 ms
+64 bytes from 10.246.38.107: icmp_seq=2 ttl=64 time=23.865 ms
+64 bytes from 10.246.38.107: icmp_seq=3 ttl=64 time=21.145 ms
+64 bytes from 10.246.38.107: icmp_seq=4 ttl=64 time=36.708 ms
+--- 10.246.38.107 ping statistics ---
+5 packets transmitted, 5 packets received, 0% packet loss
+round-trip min/avg/max/stddev = 21.145/31.721/53.491/12.179 ms</programlisting>
- <programlisting>device gif</programlisting>
+ <para>A tunnelek beállítása volt
+ igazából a könnyebb rész, egy
+ biztonságos összeköttetés
+ kialakítása azonban már valamivel komolyabb
+ folyamatot rejt magában. A most következõ
+ konfigurációban erre <quote>elõre
+ ismert</quote> (vagyis pre-shared, <acronym>PSK</acronym>)
+ <acronym>RSA</acronym>-kulcsokat fogunk használni. A
+ konkrét <acronym>IP</acronym>-címektõl
+ eltekintve az átjárókon a
+ <filename>/usr/local/etc/racoon/racoon.conf</filename>
+ állományok hasonlóan fognak kinézni,
+ nagyjából valahogy így:</para>
- <para>Ezután a megszokott menetben fordítani,
- telepíteni és újraindítani a
- rendszereiket.</para>
+ <programlisting>path pre_shared_key "/usr/local/etc/racoon/psk.txt"; # az ismert kulcsot tartalmazó állomány helye
+log debug; # a naplózás részletességének beállítása: ha végeztünk a teszteléssel és a hibakereséssel, akkor állítsuk át a 'notify' értékre
- <para>A járat beállítása két
- lépésbõl áll. Elõször is
- az &man.ifconfig.8; használatával a tunnelnek
- meg kell mondanunk, hogy mik a külsõ (avagy
- publikus) IP-címek. Ezután adjuk meg
- ugyanígy a privát IP-címeket.</para>
+padding # ezeket ne nagyon változtassuk meg
+{
+ maximum_length 20;
+ randomize off;
+ strict_check off;
+ exclusive_tail off;
+}
- <para>Az elsõ hálózat
- átjáróján az alábbi
- parancsokat kell kiadni a tunnel
- beállításához.</para>
+timer # idõzítési beállítások, állítsuk be igény szerint
+{
+ counter 5;
+ interval 20 sec;
+ persend 1;
+# natt_keepalive 15 sec;
+ phase1 30 sec;
+ phase2 15 sec;
+}
- <screen>&prompt.root; <userinput>ifconfig <replaceable>gif0</replaceable> create</userinput>
-&prompt.root; <userinput>ifconfig <replaceable>gif0</replaceable> tunnel <replaceable>A.B.C.D</replaceable> <replaceable>W.X.Y.Z</replaceable></userinput>
-&prompt.root; <userinput>ifconfig <replaceable>gif0</replaceable> inet <replaceable>192.168.1.1</replaceable> <replaceable>192.168.2.1</replaceable> netmask <replaceable>0xffffffff</replaceable></userinput>
-</screen>
+listen # cím [port], ahol a racoon majd válaszolni fog
+{
+ isakmp 172.16.5.4 [500];
+ isakmp_natt 172.16.5.4 [4500];
+}
- <para>A másik átjárón is futtassuk
- le ugyanezeket a parancsokat, de az IP-címek
- sorrendjét ezúttal cseréljük
- fel.</para>
+remote 192.168.1.12 [500]
+{
+ exchange_mode main,aggressive;
+ doi ipsec_doi;
+ situation identity_only;
+ my_identifier address 172.16.5.4;
+ peers_identifier address 192.168.1.12;
+ lifetime time 8 hour;
+ passive off;
+ proposal_check obey;
+# nat_traversal off;
+ generate_policy off;
- <screen>&prompt.root; <userinput>ifconfig <replaceable>gif0</replaceable> create</userinput>
-&prompt.root; <userinput>ifconfig <replaceable>gif0</replaceable> tunnel <replaceable>W.X.Y.Z</replaceable> <replaceable>A.B.C.D</replaceable></userinput>
-&prompt.root; <userinput>ifconfig <replaceable>gif0</replaceable> inet <replaceable>192.168.2.1</replaceable> <replaceable>192.168.1.1</replaceable> netmask <replaceable>0xffffffff</replaceable></userinput>
- </screen>
+ proposal {
+ encryption_algorithm blowfish;
+ hash_algorithm md5;
+ authentication_method pre_shared_key;
+ lifetime time 30 sec;
+ dh_group 1;
+ }
+}
- <para>Ezután már jöhet ez a parancs:</para>
+sainfo (address 10.246.38.0/24 any address 10.0.0.0/24 any) # address $hálózat/$hálózati_maszk $típus address $hálózat/$hálózati_maszk $típus
+ # (a $típus lehet "any" vagy "esp")
+{ # a $hálózat a két összekapcsolni kívánt belsõ hálózat legyen
+ pfs_group 1;
+ lifetime time 36000 sec;
+ encryption_algorithm blowfish,3des,des;
+ authentication_algorithm hmac_md5,hmac_sha1;
+ compression_algorithm deflate;
+}</programlisting>
- <programlisting>ifconfig gif0</programlisting>
+ <para>A példában szereplõ összes
+ opció részletes kifejtése jóval
+ meghaladná ezen leírás kereteit,
+ ezért a bõvebb információkkal
+ kapcsolatban inkább a <application>racoon</application>
+ beállításaihoz tartozó man oldal
+ elolvasását javasoljuk.</para>
- <para>Ezzel elénk tárulnak az iménti
- beállításaink. Például az
- elsõ hálózat
- átjáróján nagyjából
- ezt fogjuk látni:</para>
+ <para>A gépek közti hálózati forgalom
+ titkosításához be kell még
+ állítanunk egy <acronym>SPD</acronym>
+ házirendet is, így a &os; és a
+ <application>racoon</application> képes kódolni
+ és dekódolni a csomagokat.</para>
- <screen>&prompt.root; <userinput>ifconfig gif0</userinput>
-gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
- tunnel inet A.B.C.D --> W.X.Y.Z
- inet 192.168.1.1 --> 192.168.2.1 netmask 0xffffffff
-</screen>
+ <para>Ezt a most következõ, a vállalati átjárón találhatóhoz
+ hasonló egyszerû shell szkripttel tudjuk elvégezni. Ezt az
+ állományt a rendszer indításakor fogjuk felhasználni, melyet
+ <filename>/usr/local/etc/racoon/setkey.conf</filename> néven
+ mentsünk el:</para>
- <para>Remekül látszik, hogy létrejött
- egy tunnel az <hostid role="ipaddr">A.B.C.D</hostid> és
- <hostid role="ipaddr">W.X.Y.Z</hostid> fizikai címek
- között, illetve hogy ezen a járaton
- keresztül a <hostid role="ipaddr">192.168.1.1</hostid>
- és <hostid role="ipaddr">192.168.2.1</hostid>
- címek között engedélyezett a
- kommunikáció.</para>
+ <programlisting>#!/bin/sh
+/usr/local/sbin/setkey -FP
+/usr/local/sbin/setkey -F
+# Az otthoni hálózati felé
+/usr/local/sbin/setkey -c spdadd 10.246.38.0/24 10.0.0.0/24 any -P out ipsec esp/tunnel/172.16.5.4-192.168.1.12/use;
+/usr/local/sbin/setkey -c spdadd 10.0.0.0/24 10.246.38.0/24 any -P in ipsec esp/tunnel/192.168.1.12-172.16.5.4/use;</programlisting>
- <para>Ezzel együtt ki kell egészítenünk
- mind a két gép útválasztási
- táblázatát, amit a <command>netstat
- -rn</command> paranccsal meg is tudunk vizsgálni. Most
- az elsõ hálózat
- átjáróján vagyunk.</para>
+ <para>Ahogy ezzel megvagyunk, a <application>racoon</application>
+ az egyes átjárókon a következõ
+ paranccsal indítható el:</para>
- <screen>&prompt.root; <userinput>netstat -rn</userinput>
-Routing tables
+ <screen>&prompt.root; <userinput>/usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log</userinput></screen>
-Internet:
-Destination Gateway Flags Refs Use Netif Expire
-...
-192.168.2.1 192.168.1.1 UH 0 0 gif0
-...
-</screen>
>>> TRUNCATED FOR MAIL (1000 lines) <<<
More information about the p4-projects
mailing list