Provided by:
manpages-pl_20060617-1_all 
NAZWA
ipsec manual - podnoszenie i opuszczanie ręcznie kluczowanych połączeń
IPSEC
SKŁADNIA
ipsec manual [--show] [--showonly] [--other]
[--iam adres@interfejs] [--config plik_konf]
operacja poczenie
ipsec manual [opcje] --union operacja cz...
OPIS
Manual manipuluje ręcznie kluczowanymi połączeniami FreeS/WAN IPSEC,
powodując ich pojawianie się i znikanie, bazując na informacji z pliku
konfiguracyjnego IPSEC. W przypadku normalnego użycia, poczenie jest
nazwą połączenia wyspecyfikowanego w pliku konfiguracyjnym; operacja to
--up, --down, --route, lub --unroute. Manual tworzy ustawienia
(--route lub --up) lub też porzuca (--down lub --unroute) za pomocą
odpowiednich komend przekazywanych do wykonania powłoce.
Operacja --up ustanawia połączenie, włączając w to ustawienie
odpowiedniej trasy jeśli jest to konieczne.
Operacja --route tylko ustawia pewną trasę dla połączenia. Dopóty,
dopóki operacja --up nie jest zakończona pakiety kierowane tą trasą
będą gubione.
Operacja --down porzuca wyszczególnione połączenie, wyczajc
informacje o trasie (pozostawia trasę na miejscu). Dopóty, dopóki nie
jest zakończona operacja --unroute pakiety kierowane tą trasą są
gubione. Pozwala to wytwarzać kolejne połączenie do tego samego
miejsca przeznaczenia bez żadnego ``okna'', przez które pakiety mogą
przechodzić bez szyfrowania.
Operacja --unroute (i tylko operacja --unroute ) kasuje wszelkie trasy
ustawione dla połączenia.
W użyciu --union, każda cz jest nazwą cząstkowej specyfikacji
połączenia w pliku konfiguracyjnym, i właśnie unia tychże cząstkowych
specyfikacji jest używana jako pełna specyfikacja połączenia. Efekt
jest uzyskany z połączenia w całość poszczególnych, częściowych
specyfikacji; ograniczenia wynikające z powielających się łańcuchów,
itd., mają oczywiście wpływ na rezultat. (Ten sam efekt może teraz być
osiągnięty w bardziej wyrafinowany sposób, przy użyciu parametru also w
opisach połączeń; obejrzyj ipsec.conf(5), gdzie znajdziesz więcej
szczegółów.)
Opcja --show włącza opcję -x powłoki używanej do wykonywania poleceń,
więc każda wykonywana komenda jest pokazywana.
Opcja --showonly sprawia, że manual pokazuje na standardowym wyjściu
komendy, które by uruchomił, ale nie czyni tego.
Opcja --other sprawia, że manual udaje drugi koniec połączenia. Nie
jest to zapewne użyteczne, chyba że w kombinacji z --showonly.
Opcja --iam sprawia, że manual wierzy w to, że jest uruchomiony na
hoście z podanym adresem IP, a ponadto powinien użyć podanego
interfejsu (zwykle wszystko to rozpoznaje automatycznie, bazując na
informacjach o podniesionych interfejsach IPSEC i ich konfiguracji).
Opcja --config określa niestandardową lokalizację pliku
konfiguracyjnego FreeS/WAN IPSEC (domyślnie /etc/ipsec.conf).
W ipsec.conf(5) znajdziesz szczegóły dotyczące pliku konfiguracyjnego.
Abstrahując od parametrów podstawowych, które określają punkty końcowe
i trasowanie połączenia (left i right, plus możliwe leftsubnet,
leftnexthop, leftfirewall, ich odpowiedniki right i być może type),
połączenie typu non-passthrough polecenia manual potrzebuje parametru
spi lub spibase i innych parametrów określających szyfrowanie,
autentykację, albo obydwie te rzeczy na raz, najprościej esp,
espenckey, i espauthkey. Umiarkowanie bezpieczne klucze mogą być
pozyskane przy użyciu ipsec_ranbits(8). Przy wytwarzaniu połączeń
ręcznie kluczowanych jest bardzo zalecane by klucze były trzymane w
oddzielnym pliku (z prawami rw-------) używając mechanizmów include i
also w pliku konfiguracyjnym (obejrzyj ipsec.conf(5)).
Jeśli podano parametr spi to manual używa tej wartości jako numeru SPI
dla wszystkich SAs (które są i tak w oddzielnych przestrzeniach
numeracji). Jeśli zamiast tego podano parametr spibase to manual
przypisuje wartości SPI zamieniając górną cyfrę tej wartości; SAs idący
od lewej do prawej przyjmuje równe cyfry zaczynające się od 0, SAs
idący od prawej do lewej przyjmuje cyfry nieparzyste zaczynające się od
1.
PLIKI
/etc/ipsec.conf domyślny plik konfiguracyjny IPSEC
/var/run/ipsec.info informacja %defaultroute
ZOBACZ TAKŻE
ipsec.conf(5), ipsec(8), ipsec_spi(8), ipsec_eroute(8), route(8)
HISTORIA
Napisano dla projektu FreeS/WAN <http://www.xs4all.nl/~freeswan/> przez
Henry'ego Spencera.
USTERKI
Wykrywanie i raportowanie błędów wciąż nie jest takie jak być powinno.
Nie jest zbyt dobrze i do końca opracowana składnia podsieci, adresów,
itd. w zwykłych interfejsach użytkownika FreeS/WAN. Dla wszystkich
adresów musi być używana czteroskładnikowa notacja dziesiętno-kropkowa.
Jednak jest wystarczająco sprawny by przekształcać maski sieci w
postaci licznika bitów do formy dziesiętno-kropkowej.
Jeśli specyfikacja połączenia zmienia się między --up i następującym
później --down, to może wystąpić zamęt.
Operacja --up nie jest wystarczająco mądra, by sprawdzać czy połączenie
nie jest czasami już ustanowione.
Manual nie jest wystarczająco mądry, by odrzucać niebezpieczne
kombinacje algorytmów, np. szyfrowanie bez żadnej autentykacji.
Każda trasa nie-IPSEC do drugiego końca, która jest zastępowana przy
użyciu operacji --up lub --route nie będzie ponownie ustanowiona przez
--unroute. Czy to jest udogodnienie czy usterka zależy już od twojego
punktu widzenia.
Opcjonalne parametry, które przesłaniają automatyczne, bazujące na
spibase przypisanie SPI, są całkiem rozpierniczonym kawałkiem kodu i
możliwe są błędy.
Obsługa ``Road warrior'' i innych specjalnych form ustawień
wymagających negocjacji pomiędzy dwiema bramami bezpieczeństwa niestety
nie może być dokonana przez manual.
12 grudnia 1999 IPSEC_MANUAL(8)