GNU/Linux >> Tutoriels Linux >  >> Panels >> Webmin

Serveur PPP Dialin

Cette page couvre le processus de configuration d'un système Linux avec un modem connecté en tant que serveur d'appel entrant à l'aide du protocole point à point (PPP), afin que d'autres ordinateurs puissent s'y connecter et accéder aux réseaux connectés.

Contenu

Introduction à PPP sous Linux

Tout système Linux avec un modem connecté peut être configuré pour que d'autres ordinateurs puissent se connecter et démarrer une session PPP, leur donnant un accès TCP/IP au système et à tous les réseaux auxquels il est connecté. Cela lui permet d'agir comme un FAI miniature, et en fait, certains petits FAI ont été exécutés en utilisant des systèmes Linux avec plusieurs cartes de port série comme serveurs d'accès.

Deux programmes distincts sont responsables de différentes parties du service d'appel entrant. Le premier est mgetty , qui communique sur un port série avec un modem connecté et lui demande de répondre au téléphone. Une fois les modems serveur et client connectés, mgetty affiche une invite de connexion textuelle et attend soit un nom d'utilisateur, soit le début d'une session PPP. Un client peut se connecter en mode texte et obtenir une invite du shell Unix sans avoir besoin de démarrer une session PPP, mais cela se fait rarement de nos jours. Une fois que le client se déconnecte ou se déconnecte, mgetty raccroche le modem et attend une nouvelle connexion.

Pour installer mgetty vous pouvez utiliser le module Progiciels.

Étant donné que la plupart des clients démarrent une session PPP dès qu'ils se connectent, mgetty est généralement configuré pour exécuter le pppd séparé programme s'il détecte une connexion PPP. Cela crée une interface réseau ppp sur le serveur, authentifie le client, attribue une adresse IP et commence à envoyer et recevoir des données en utilisant le protocole PPP. L'adresse IP attribuée et les autres options de configuration sont définies sur une base par port série, de sorte que vous pouvez avoir plusieurs modems et prendre en charge plusieurs clients simultanés avec des adresses différentes.

Le module PPP Dialin Server vous permet de configurer à la fois mgetty et pppd afin que les clients puissent se connecter et démarrer des sessions PPP. Lorsque vous y accédez à partir de la catégorie Réseaux, la page principale affiche simplement quatre icônes, sous lesquelles se trouvent les options configurables réelles.

Actuellement, le module PPP Dialin Server ne peut être utilisé que sur les systèmes Linux et Solaris, même si mgetty est disponible sur certaines autres versions d'Unix. Si aucun des programmes qu'il configure n'est installé, la page principale affichera un message d'erreur - cependant, toutes les distributions Linux incluent des packages pour pppd et mgetty sur leurs CD ou sites Web. Si seul mgetty est installé, vous pouvez utiliser la Configuration du port série et Accès à l'identification de l'appelant fonctionnalités. Inversement, si seul pppd est installé, vous ne pouvez accéder qu'aux Options PPP et Comptes PPP pages.

Lorsque vous utilisez le module pour configurer mgetty pour répondre aux appels sur un port série, une entrée est ajoutée à /etc/inittab fichier afin que init exécute le processus mgetty au démarrage et le réexécute si nécessaire. Vous pourrez voir cette entrée dans le module SysV Init Configuration mais ne devriez pas la modifier à moins que vous ne sachiez ce que vous faites.

Même si ce chapitre a été écrit en pensant à Linux, le module se comporte presque de la même manière sous Solaris. La seule différence réside dans les noms des fichiers de périphérique du port série - alors que /dev/ttyS0 est le premier port série sous Linux, Solaris utiliserait /dev/term/a à la place.

Configuration d'un serveur PPP

Écran principal du serveur PPP Dialin

Avant de pouvoir configurer un système pour permettre aux clients de se connecter avec PPP, il doit soit avoir un modem connecté à un port série, soit être connecté via un câble null-modem à une autre machine. Les modems internes qui émulent un port série peuvent également être utilisés, bien qu'ils ne soient pas recommandés car ils n'ont pas de LED facilement visibles pour indiquer si le modem est connecté, en train de transmettre, etc. Les modems USB devraient fonctionner, tant qu'ils sont reconnus par le noyau - cependant, ils utiliseront probablement un fichier de périphérique spécial. Les modems qui nécessitent des pilotes spéciaux pour fonctionner (communément appelés Winmodems) ne peuvent pas du tout être utilisés, à moins qu'un pilote pour le modem ne soit disponible sous Linux.

Naturellement, tout modem doit être connecté à une ligne téléphonique. Étant donné que votre système sera configuré pour répondre au téléphone après quelques sonneries, la ligne téléphonique ne doit pas être utilisée pour autre chose - sinon, les appelants vocaux verront leurs appels pris par le modem, ce qui n'est pas très convivial.

Configuration du port série

Une fois que tout le matériel est prêt, les étapes pour configurer votre système en tant que serveur PPP sont :

  1. Sur la page principale du module, cliquez sur Serial Port Configuration icône. Cela vous amènera à une page répertoriant tous les ports existants qui ont été configurés pour PPP ou la messagerie vocale.
  2. Cliquez sur Ajouter un nouveau port série lien, qui fera apparaître le formulaire de configuration de port illustré dans la première capture d'écran ci-dessous.
  3. Définir le périphérique série au port sur lequel votre modem ou votre câble null-modem est connecté. Port série 1 correspond au fichier de périphérique /dev/ttyS0, et ainsi de suite. Pour les modems sur les périphériques série ne commençant pas par /dev/ttyS (tels que les modems USB), sélectionnez Autre périphérique option et entrez le chemin d'accès complet au fichier de périphérique dans le champ de texte à côté du menu.
  4. Définir le Type possibilité de Connexion directe (pour un système connecté via un câble null-modem), ou Modem (pour un véritable modem commuté).
  5. Le port Le champ de vitesse doit être défini sur le débit en bauds utilisé par le modem ou la connexion null-modem. Il doit s'agir de l'une des vitesses standard, telles que 57 600 ou 33 600.
  6. Dans la réponse après le champ, entrez le nombre de sonneries que vous voulez que mgetty attende avant de répondre au téléphone. Si la ligne téléphonique sur laquelle se trouve votre modem sera également utilisée pour recevoir des appels vocaux, vous pouvez le régler sur quelque chose de grand comme 20 pour vous donner suffisamment de temps pour répondre au téléphone avant que le modem ne le fasse. Naturellement, cette option n'a aucune signification pour les connexions null-modem.
  7. Cliquez sur Créer bouton. Une nouvelle entrée sera ajoutée au fichier /etc/inittab et vous serez renvoyé à la liste des ports série.
  8. Cliquez sur Appliquer la configuration pour activer mgetty sur le nouveau port. Les appels téléphoniques vers la ligne sur laquelle se trouve votre modem devraient maintenant recevoir une réponse après le nombre de sonneries configuré. Si vous ne vous souciez que des clients textuels, rien de plus n'a besoin d'être fait - ils pourront se connecter, s'authentifier à l'invite de connexion et exécuter des commandes shell.
Options PPP
  1. Pour configurer PPP, cliquez sur Options PPP icône de retour sur la page principale. Cela vous mènera au formulaire affiché dans la deuxième image ci-dessous, où vous pouvez définir des options qui s'appliqueront à toutes les connexions PPP.
  2. À moins que vous ne souhaitiez que les clients se connectent en mode texte et lancent la commande pppd manuellement, il est préférable de définir l'option *Détecter automatiquement les connexions PPP sur les ports série ?* sur Oui . Lorsque cette option est activée, mgetty détectera que le client souhaite démarrer une session PPP lorsque le serveur attend une invite de connexion et exécutera pppd automatiquement.
  3. Dans l'adresse IP PPP champs, saisissez l'adresse IP que vous souhaitez que l'extrémité serveur de la connexion utilise (l'*IP locale*) et l'adresse de l'extrémité client de la connexion (l'IP distant ). Normalement, ces adresses ne seront pas sur votre LAN local, mais sur un sous-réseau différent. Les autres systèmes du réseau doivent être configurés pour acheminer le trafic de l'adresse du client vers votre système, afin qu'ils puissent communiquer. Si aucune adresse n'est spécifiée, le serveur PPP utilisera toutes les adresses fournies par le client. Cela peut avoir du sens lors de la connexion de deux machines via un null-modem, mais ne fonctionnera pas avec la plupart des clients commutés. Il est possible d'attribuer au client une adresse IP qui se trouve dans la plage du LAN local, en activant l'option Créer une entrée ARP proxy ? option. Si cette option est activée, entrez une adresse IP LAN inutilisée dans IP distant champ et l'adresse IP Ethernet actuelle de votre système dans l'adresse IP locale domaine.
  4. Définir le mode de lignes de contrôle champ à Local pour une connexion null-modem, ou Modem s'il y a un vrai modem connecté au port série.
  5. Sauf si vous configurez une connexion null-modem, les clients doivent être obligés de s'authentifier pour empêcher les attaquants potentiels de se connecter. Pour activer l'authentification, définissez le champ * Authentification requise ?* sur Oui . Pour le désactiver totalement pour une utilisation null-modem, définissez le champ sur Non . Pour définir des noms d'utilisateur et des mots de passe pour que les clients s'authentifient, consultez la section *Gestion des comptes PPP* ci-dessous.
  6. Pour déconnecter les clients qui ont été inactifs pendant une longue période, entrez un nombre de secondes dans le Temps d'inactivité avant la déconnexion domaine.
  7. Saisissez les adresses IP de tous les serveurs DNS de votre réseau dans les serveurs DNS pour les clients domaine. Les systèmes d'exploitation clients comme Windows les utiliseront automatiquement, ce qui simplifie leur configuration.
  8. Enfin, cliquez sur Enregistrer bouton. Les clients devraient maintenant pouvoir se connecter, établir une session PPP et accéder à votre système et à votre réseau !
Accès à l'identification de l'appelant

Si votre système doit avoir plusieurs clients PPP simultanés connectés, vous devrez définir différentes options pour chaque port série. En particulier, chaque client doit avoir une adresse IP distante différente, même si l'adresse locale peut être réutilisée.

Pour configurer différentes options PPP pour chaque port série, les étapes à suivre sont :

  1. Sur la page principale du module, cliquez sur les Options PPP icône. Modifier les adresses IP PPP champ retour à Du client , et redéfinissez également toutes les autres options que vous souhaitez définir par port sur leurs valeurs par défaut.
  2. Retournez à la page principale, cliquez sur Configuration du port série puis sur Modifier lien sous Configuration du port PPP pour le port série dont vous souhaitez définir les options. Cela vous mènera à la page d'options par port, qui est très similaire au formulaire d'options PPP global illustré à la Figure 18-2.
  3. Entrez les adresses IP distantes et locales auxquelles vous souhaitez attribuer les clients PPP se connectant sur ce port, et modifiez toutes les autres options qui n'ont pas été définies sur la page des options PPP globales.
  4. Lorsque vous avez terminé, cliquez sur Enregistrer bouton. Les clients se connectant sur le port configuré utiliseront désormais les nouvelles options.

Le moyen le plus simple d'empêcher votre système d'agir en tant que serveur PPP consiste simplement à supprimer l'entrée de configuration du port série de votre modem. Si vous avez plusieurs modems connectés, les étapes ci-dessous peuvent être utilisées pour en désactiver un sans aucun effet sur les autres :

  1. Sur la page principale, cliquez sur Configuration du port série puis sur le nom de périphérique du port avec le modem connecté.
  2. Sur la page des options de port, cliquez sur Supprimer bouton dans le coin inférieur droit. L'entrée appropriée sera supprimée du fichier /etc/inittab et vous serez renvoyé à la liste des ports activés.
  3. Cliquez sur Appliquer la configuration bouton pour rendre le changement actif. À partir de maintenant, votre système ne répondra plus aux appels téléphoniques entrants et ne communiquera plus avec un autre ordinateur relié par un câble null-modem.

Gestion des comptes PPP

Si vous activez l'accès à distance à votre système, vous devez forcer tous les clients à s'authentifier en activant l'option « Requérir une authentification ? option sur les Options PPP page. Même si vous pensez que votre serveur n'a pas besoin d'authentifier les clients parce que vous seul connaissez le numéro de téléphone de la ligne sur laquelle se trouve votre modem, c'est toujours une bonne idée de l'activer au cas où quelqu'un tomberait sur le numéro par accident - ou dans cas où un "numéroteur de guerre" essayant des centaines de numéros de téléphone à la recherche de serveurs non sécurisés le trouve. Une fois l'authentification activée, vous pouvez ajouter un nouveau compte autorisé à se connecter en suivant ces étapes :

  1. Sur la page principale du module, cliquez sur Comptes PPP icône. Cela vous amènera à une page répertoriant tous les comptes existants, y compris ceux qui ont été créés pour se connecter à d'autres serveurs.
  2. Suivez la procédure Créer un nouveau compte PPP lien, qui vous amènera au formulaire de création de compte ci-dessous.
  3. Entrez un nom de connexion dans le Nom d'utilisateur champ, et assurez-vous qu'il est Tous l'option n'est pas sélectionnée.
  4. Assurez-vous que le serveur le champ est défini sur Tous . Si vous le définissez sur autre chose, le nom d'utilisateur ne sera accepté que lorsque le nom d'hôte du client correspond à ce que vous entrez.
  5. Sélectionnez le Définir sur dans le champ Mot de passe * , *et entrez un mot de passe pour le compte dans le champ de texte à côté. Il est également possible de faire lire le mot de passe par le serveur PPP à partir d'un fichier séparé, en sélectionnant Depuis le fichier option et en saisissant un nom de fichier dans son champ de texte. Ou vous pouvez supprimer la nécessité de fournir un mot de passe en sélectionnant Aucun - cependant, ce n'est pas une très bonne idée du point de vue de la sécurité.
  6. En supposant que tous les clients reçoivent une adresse IP, définissez les adresses valides champ pour Autoriser tout . Cependant, si aucune adresse n'est spécifiée dans la page Options PPP, vous pouvez sélectionner Autoriser la liste et saisir des adresses acceptables dans la zone de texte située en dessous.
  7. Enfin, cliquez sur Enregistrer bouton et le nouveau compte PPP sera créé. Il peut être utilisé immédiatement en connectant des clients.
Création d'un nouveau compte PPP

Pour modifier un compte PPP existant, cliquez simplement sur son nom d'utilisateur dans la liste des comptes. Cela vous amènera au formulaire d'édition de compte, qui est presque identique au formulaire de création présenté dans l'image ci-dessus. Modifiez le nom d'utilisateur, le mot de passe ou toute autre option, puis cliquez sur Enregistrer pour enregistrer vos modifications et les rendre immédiatement actives. Ou cliquez sur Supprimer sur le formulaire d'édition pour supprimer le compte à la place.

Par défaut, Webmin ajoutera de nouveaux utilisateurs au fichier /etc/ppp/pap-secrets. Ceci n'est lu que par le serveur PPP lors de l'authentification PAP, qui est utilisée par défaut. Si vous avez configuré manuellement votre système pour authentifier les clients à l'aide du protocole CHAP plus sécurisé, vous devrez configurer Webmin pour modifier le fichier chap-secrets à la place. Cela peut être fait en cliquant sur Module Config lien dans le coin supérieur gauche de la page principale et modification du fichier des secrets PAP champ vers /etc/ppp/chap-secrets.

Restreindre l'accès par identification de l'appelant

Si votre ligne téléphonique a activé l'identification de l'appelant et que votre modem le prend en charge, mgetty peut être configuré pour bloquer certains appelants en fonction de leurs numéros de téléphone. Par défaut, tout appelant sera autorisé à se connecter - mais vous pouvez modifier cela afin que seuls quelques numéros soient autorisés en suivant ces étapes :

  1. Sur la page principale du module, cliquez sur Accès à l'identification de l'appelant icône. Cela vous mènera à un formulaire répertoriant les numéros restreints, qui seront probablement vides si vous n'en avez pas encore ajouté.
  2. Cliquez sur Ajouter un nouveau numéro d'identification de l'appelant lien, qui vous redirigera vers un formulaire de saisie du nouveau numéro.
  3. Définissez le numéro de téléphone option pour Numéros commençant par , et entrez un numéro de téléphone partiel ou complet que vous souhaitez autoriser dans le champ à côté. Si vous entrez quelque chose comme juste 555 , tout appelant dont le numéro de téléphone commence par 555 (comme 555-1234 ) sera autorisé.
  4. Définir l'action champ à Autoriser .
  5. Cliquez sur Créer , qui enregistrera le numéro et vous ramènera à la liste de ceux qui sont autorisés et refusés.
  6. Pour ajouter un autre numéro autorisé, répétez les étapes 2 à 5.
  7. Enfin, cliquez sur Ajouter un nouveau numéro d'identification de l'appelant à nouveau et sur le formulaire de création, indiquez Numéro de téléphone à Tous les numéros et l'Action pour Refuser .
  8. Cliquez sur Créer pour que cette dernière entrée de refus soit ajoutée à la liste. Désormais, seuls les numéros de téléphone que vous avez explicitement autorisés pourront se connecter.

Étant donné que le système vérifie chaque entrée de la liste dans l'ordre et s'arrête lorsqu'il en trouve une qui correspond, toute entrée qui refuse (ou autorise) tous les appelants doit apparaître au bas de la liste - sinon, ceux qui suivent ne seront jamais traités. Si vous souhaitez autoriser un nouveau numéro de téléphone à l'avenir, après l'avoir ajouté, les flèches dans le Déplacer colonne doit être utilisée pour la déplacer au-dessus de l'entrée finale qui refuse tout le monde.

Étant donné que certains clients peuvent ne pas fournir d'informations sur l'identification de l'appelant, les Numéros inconnus L'option pour le champ P*numéro de téléphone* peut être utilisée pour faire correspondre leurs appels. Cependant, autoriser tous les appelants inconnus n'est pas un bon moyen de bloquer les attaquants connus, car ils peuvent simplement désactiver l'envoi d'informations d'identification de l'appelant sur leur ligne téléphonique.

Les restrictions d'identification de l'appelant ne doivent jamais être la seule forme de sécurité sur votre serveur d'appel entrant, car les numéros d'appelant sont fournis par la compagnie de téléphone et ne sont donc pas totalement sous votre contrôle. L'authentification PPP doit également être activée, afin que tous les clients soient obligés de se connecter.

Contrôle d'accès aux modules

Comme d'autres, ce module dispose de plusieurs options que vous pouvez définir dans le module Webmin Users pour contrôler les fonctionnalités qu'un utilisateur peut utiliser. Ils sont très utiles pour désactiver des parties du module qui ne sont pas utiles sur un système particulier - par exemple, vous pouvez vouloir que la page des comptes PPP ne soit visible que pour un certain utilisateur.

Pour modifier les options de contrôle d'accès dans ce module pour un utilisateur ou un groupe, les étapes à suivre sont :

  1. Dans le module Webmin Users, cliquez sur PPP Dialin Server à côté du nom d'un utilisateur qui a obtenu l'accès au module.
  2. Pour les pages disponibles , désélectionnez les icônes de la page principale du module auxquelles vous ne voulez pas que l'utilisateur puisse accéder. Si Options PPP est désélectionné, il ne pourra pas non plus modifier les options qui s'appliquent à un seul port série.
  3. Si l'utilisateur n'a accès qu'à une seule page, définissez l'option Aller directement à une page ? champ sur Oui entraînera le navigateur à sauter directement à cette page lorsque le module est entré. Ceci est utile pour ignorer la page principale du module lorsqu'il ne contiendra qu'une seule icône.
  4. Cliquez sur Enregistrer pour activer les paramètres de contrôle d'accès.

Webmin

  1. Serveur de messagerie instantanée Jabber

  2. Serveur de base de données PostgreSQL

  3. Serveur ProFTPD

  4. Serveur proxy Squid

  5. Serveur VPN PPTP

Serveur LDAP

Serveur de base de données MySQL

Serveur OpenSLP

Serveur de messagerie Postfix

Serveur SSH

Client PPP commuté