当前位置: 首页 > 图文教程 > 服务器 > Linux服务器 > Linux下的CIPE服务器配置

Linux服务器
Linux Samba Server的配置详解
Linux系统下配置功能完善的Web服务器
Linux终端代理的设置方法介绍
Fodera Core 7系统下构建CVS服务器的方法
Linux进入系统时自动设置环境变量的方法
介绍GPG命令加密文件的方法
如何清理Linux系统中不需要的文件
Linux系统中两种替代“花生壳”的办法
Linux下配置 Tomcat+JDK+MySQL应用平台
Linux操作系统下RPM软件包的使用技巧
linux知识:htaccess
linux:.htaccess文件使用教程
Apache [forbidden 403]错误的解决办法
FreeBSD6.1快速安装配置Bugzilla2.22
访问网站403错误 Forbidden解决方法
httpd.conf文件配置详解
Apache中禁止IP段,在httpd.conf中的写法
apache禁止使用IP访问的实现方法
Apache中禁止以目录方式访问的设置
.htaccess学习笔记

Linux服务器 中的 Linux下的CIPE服务器配置


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-18   浏览: 32 ::
收藏到网摘: n/a


把位于/usr/share/doc/cipe-version/samples/的配置文件范例复制到/etc/cipe/中(这里的version是安装在你的系统上的CIPE版本)。复制完毕后,你将需要编辑/etc/cipe/options.cipcbx(x是从0开始的递增数字,为那些想要在CIPE服务器上不止有一个CIPE连接的客户提供)文件来包括你的LAN子网地址和可公共选路的防火墙IP地址。以下是包括在红帽企业LinuxCIPERPM中的options文件范例。在这个例子中,它被重命名为options.cipbcb0:

#Surprise,thisfileallowscomments(butonlyonalinebythemselves)
#Thisisprobablytheminimalsetofoptionsthathastobeset
#Withouta"device"line,thedeviceispickeddynamically

#thepeer'sIPaddress
ptpaddr6.5.4.3

#ourCIPEdevice'sIPaddress
ipaddr6.7.8.9

#myUDPaddress.Note:ifyousetport0here,thesystemwillpick
#oneandtellittoyouviatheip-upscript.SameholdsforIP0.0.0.0.
mebigred.inka.de:6789

#...andtheUDPaddressweconnectto.Ofcoursenowildcardshere.
peerblackforest.inka.de:6543

#Thestatickey.Keepthisfilesecret!
#Thekeyis128bitsinhexadecimalnotation.
keyxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

ptpaddr是远程LAN的CIPE地址。ipaddr是工作站的CIPEIP地址。me地址是客户的可公共选路的IP地址,它通过互联网发送UDP分组。peer是CIPE服务器的可公共选路的IP地址。注意,客户工作站的IP地址是0.0.0.0,因为它使用动态连接。CIPE客户将会处理到CIPE服务器的连接。key字段(用x代表;你的钥匙应该是密钥)是共享静态钥匙。这个钥匙在两个对端上必须是相同的,否则连接就不能成立。关于如何为你的CIPE机器生成共享静态钥匙,请参阅第6.8节。

这是客户工作站将会使用的被编辑过的/etc/cipe/options.cipcb0:

ptpaddr10.0.1.2
ipaddr10.0.1.1
me0.0.0.0
peerLAN.EXAMPLE.COM:6969
key123456ourlittlesecret7890shhhh

这是CIPE服务器的/etc/cipe/options.cipcb0文件:

ptpaddr10.0.1.1
ipaddr10.0.1.2
meLAN.EXAMPLE.COM:6969
peer0.0.0.0
key123456ourlittlesecret7890shhhh
配置客户的CIPE

成功地配置了CIPE服务器并测试了它的功能后,你现在就可以在客户机器上使用这种连接了。

CIPE客户应该能够自动地连接和断开CIPE连接。因此,CIPE包含内建的机制来为个别使用自定设置。例如,远程职员可以通过键入以下命令来连接到LAN上的CIPE设备:

/sbin/ifupcipcb0

设备应该自动出现;防火墙规则和选路信息也应该和连接一起配置。远程职员应该能够使用以下命令来终止连接:

/sbin/ifdowncipcb0

配置客户需要创建在设备被载入后需运行的脚本。服务配置本身可以通过用户创建的文件/etc/sysconfig/network-scripts/ifcfg-cipcb0来本地配置。这个文件中包含一些参数,如判定CIPE连接是否在引导时发生的参数;代表CIPE设备名称的参数等。以下是一个连接到CIPE服务器的远程客户的ifcfg-cipcb0文件:

DEVICE=cipcb0
ONBOOT=yes
BOOTPROTO=none
USERCTL=no

#ThisisthedeviceforwhichweaddahostroutetoourCIPEpeerthrough.
#Youmayhardcodethis,butifleftblank,wewilltrytoguessfrom
#theroutingtableinthe/etc/cipe/ip-up.localfile.
PEERROUTEDEV=

#WeneedtouseinternalDNSwhenconnectedviacipe.
DNS=192.168.1.254

CIPE设备的名称是cipcb0。CIPE设备将会在引导时间被载入(通过ONBOOT字段配置),而且将不会使用一种引导协议(如DHCP)来接收该设备的IP地址。PEERROUTEDEV字段决定连接到客户的CIPE服务器设备名称。如果这个字段中没有指定任何设备,在设备被载入后就会为它决定一个。

如果你的内部网络是在防火墙背后,你需要设置规则来允许客户机器上的CIPE接口发送和接收UDP分组。关于为红帽企业Linux配置防火墙的信息请参阅第7章。我们这个配置例子中使用了iptables规则。

注记


客户应该这样配置,因此所有被本地化的参数都被放在一个用户创建的叫做/etc/cipe/ip-up.local的文件中。CIPE会话被关闭后,应该使用/etc/cipe/ip-down.local来还原本地参数。

客户机器上的防火墙应该被配置接受CIPEUDP封装分组。规则的差距可能会很大,但是对UDP分组的基本接受对于CIPE连接来说却是必需的。以下的iptables规则允许连接到LAN上的远程客户机器进行UDPCIPE传输;最后一条规则添加了IP伪装来允许远程客户与LAN和互联网通信。

/sbin/modprobeiptables
/sbin/serviceiptablesstop
/sbin/iptables-PINPUTDROP
/sbin/iptables-FINPUT
/sbin/iptables-AINPUT-jACCEPT-pudp-s10.0.1.1
/sbin/iptables-AINPUT-jACCEPT-icipcb0
/sbin/iptables-AINPUT-jACCEPT-ilo
/sbin/iptables-tnat-APOSTROUTING-s192.168.1.0/24-oeth0-jMASQUERADE

你必须还在客户机器上添加用来像访问本地网络一样访问CIPE连接背后的节点的选路规则。这可以通过运行route命令来完成。在我们的例子中,客户工作站需要添加以下网络路线:

routeadd-net192.168.1.0netmask255.255.255.0gw10.0.1.2

以下显示了用于客户工作站的最终/etc/cipe/ip-up.local脚本:

#!/bin/bash-v
if[-f/etc/sysconfig/network-scripts/ifcfg-$1];then
./etc/sysconfig/network-scripts/ifcfg-$1
else
cateth0:lan.example.com|eth1:192.168.1.1|cipcb0:10.0.1.1----->eth0:remote.example.net|cipcd0:10.0.1.2'