Provided by: manpages-pl_20060617-1_all bug

NAZWA

       ipsec  manual - podnoszenie i opuszczanie ręcznie kluczowanych połączeń
       IPSEC

SKŁADNIA

       ipsec manual [--show] [--showonly] [--other]
             [--iam adres@interfejs] [--config plik_konf]
             operacja poczenie

       ipsec manual [opcje] --union operacja cz...

OPIS

       Manual manipuluje ręcznie kluczowanymi  połączeniami  FreeS/WAN  IPSEC,
       powodując  ich pojawianie się i znikanie, bazując na informacji z pliku
       konfiguracyjnego IPSEC.  W przypadku normalnego użycia, poczenie jest
       nazwą połączenia wyspecyfikowanego w pliku konfiguracyjnym; operacja to
       --up,  --down,  --route,  lub  --unroute.   Manual  tworzy   ustawienia
       (--route  lub  --up)  lub  też porzuca (--down lub --unroute) za pomocą
       odpowiednich komend przekazywanych do wykonania powłoce.

       Operacja  --up  ustanawia  połączenie,  włączając   w   to   ustawienie
       odpowiedniej trasy jeśli jest to konieczne.

       Operacja  --route  tylko  ustawia  pewną trasę dla połączenia.  Dopóty,
       dopóki operacja --up nie jest zakończona  pakiety  kierowane  tą  trasą
       będą gubione.

       Operacja   --down   porzuca   wyszczególnione   połączenie,  wyczajc
       informacje o trasie (pozostawia trasę na miejscu).  Dopóty, dopóki  nie
       jest  zakończona  operacja  --unroute  pakiety  kierowane  tą  trasą są
       gubione.  Pozwala  to  wytwarzać  kolejne  połączenie  do  tego  samego
       miejsca  przeznaczenia  bez  żadnego ``okna'', przez które pakiety mogą
       przechodzić bez szyfrowania.

       Operacja --unroute (i tylko operacja --unroute ) kasuje wszelkie  trasy
       ustawione dla połączenia.

       W  użyciu  --union,  każda  cz  jest  nazwą  cząstkowej specyfikacji
       połączenia w pliku konfiguracyjnym, i właśnie unia  tychże  cząstkowych
       specyfikacji  jest  używana  jako pełna specyfikacja połączenia.  Efekt
       jest  uzyskany  z  połączenia  w  całość  poszczególnych,   częściowych
       specyfikacji;  ograniczenia  wynikające  z powielających się łańcuchów,
       itd., mają oczywiście wpływ na rezultat.  (Ten sam efekt może teraz być
       osiągnięty w bardziej wyrafinowany sposób, przy użyciu parametru also w
       opisach  połączeń;  obejrzyj  ipsec.conf(5),  gdzie  znajdziesz  więcej
       szczegółów.)

       Opcja  --show  włącza opcję -x powłoki używanej do wykonywania poleceń,
       więc każda wykonywana komenda jest pokazywana.

       Opcja --showonly sprawia, że manual pokazuje  na  standardowym  wyjściu
       komendy, które by uruchomił, ale nie czyni tego.

       Opcja  --other  sprawia,  że manual udaje drugi koniec połączenia.  Nie
       jest to zapewne użyteczne, chyba że w kombinacji z --showonly.

       Opcja --iam sprawia, że manual wierzy w  to,  że  jest  uruchomiony  na
       hoście   z  podanym  adresem  IP,  a  ponadto  powinien  użyć  podanego
       interfejsu (zwykle wszystko to  rozpoznaje  automatycznie,  bazując  na
       informacjach o podniesionych interfejsach IPSEC i ich konfiguracji).

       Opcja     --config    określa    niestandardową    lokalizację    pliku
       konfiguracyjnego FreeS/WAN IPSEC (domyślnie /etc/ipsec.conf).

       W ipsec.conf(5) znajdziesz szczegóły dotyczące pliku  konfiguracyjnego.

       Abstrahując  od parametrów podstawowych, które określają punkty końcowe
       i  trasowanie  połączenia  (left  i  right,  plus  możliwe  leftsubnet,
       leftnexthop,  leftfirewall,  ich  odpowiedniki  right i być może type),
       połączenie typu non-passthrough polecenia manual  potrzebuje  parametru
       spi   lub   spibase  i  innych  parametrów  określających  szyfrowanie,
       autentykację,  albo  obydwie  te  rzeczy  na  raz,   najprościej   esp,
       espenckey,  i  espauthkey.   Umiarkowanie  bezpieczne  klucze  mogą być
       pozyskane przy  użyciu  ipsec_ranbits(8).   Przy  wytwarzaniu  połączeń
       ręcznie  kluczowanych  jest  bardzo  zalecane by klucze były trzymane w
       oddzielnym pliku (z prawami rw-------) używając mechanizmów  include  i
       also w pliku konfiguracyjnym (obejrzyj ipsec.conf(5)).

       Jeśli  podano parametr spi to manual używa tej wartości jako numeru SPI
       dla wszystkich  SAs  (które  są  i  tak  w  oddzielnych  przestrzeniach
       numeracji).   Jeśli  zamiast  tego  podano  parametr  spibase to manual
       przypisuje wartości SPI zamieniając górną cyfrę tej wartości; SAs idący
       od  lewej  do  prawej  przyjmuje  równe cyfry zaczynające się od 0, SAs
       idący od prawej do lewej przyjmuje cyfry nieparzyste zaczynające się od
       1.

PLIKI

       /etc/ipsec.conf           domyślny plik konfiguracyjny IPSEC
       /var/run/ipsec.info       informacja %defaultroute

ZOBACZ TAKŻE

       ipsec.conf(5), ipsec(8), ipsec_spi(8), ipsec_eroute(8), route(8)

HISTORIA

       Napisano dla projektu FreeS/WAN <http://www.xs4all.nl/~freeswan/> przez
       Henry'ego Spencera.

USTERKI

       Wykrywanie i raportowanie błędów wciąż nie jest takie jak być  powinno.

       Nie  jest zbyt dobrze i do końca opracowana składnia podsieci, adresów,
       itd.  w zwykłych interfejsach użytkownika  FreeS/WAN.   Dla  wszystkich
       adresów musi być używana czteroskładnikowa notacja dziesiętno-kropkowa.
       Jednak jest  wystarczająco  sprawny  by  przekształcać  maski  sieci  w
       postaci licznika bitów do formy dziesiętno-kropkowej.

       Jeśli  specyfikacja  połączenia  zmienia się między --up i następującym
       później --down, to może wystąpić zamęt.

       Operacja --up nie jest wystarczająco mądra, by sprawdzać czy połączenie
       nie jest czasami już ustanowione.

       Manual   nie   jest  wystarczająco  mądry,  by  odrzucać  niebezpieczne
       kombinacje algorytmów, np. szyfrowanie bez żadnej autentykacji.

       Każda trasa nie-IPSEC do drugiego końca, która  jest  zastępowana  przy
       użyciu  operacji --up lub --route nie będzie ponownie ustanowiona przez
       --unroute.  Czy to jest udogodnienie czy usterka zależy już od  twojego
       punktu widzenia.

       Opcjonalne  parametry,  które  przesłaniają  automatyczne,  bazujące na
       spibase przypisanie SPI, są całkiem rozpierniczonym  kawałkiem  kodu  i
       możliwe są błędy.

       Obsługa   ``Road   warrior''   i   innych   specjalnych  form  ustawień
       wymagających negocjacji pomiędzy dwiema bramami bezpieczeństwa niestety
       nie może być dokonana przez manual.

                                12 grudnia 1999                IPSEC_MANUAL(8)