Provided by:
manpages-pl_20060617-4_all 
NAZWA
pppd - Demon protokolu PPP
SK/LADNIA
pppd [ nazwa_tty ] [ szybko ] [ opcje ]
OPIS
Protokol Point-to-Point (PPP) daje metody transmisji datagramow poprzez
szeregowe polczenia punkt-do-punktu. PPP sklada si z trzech czci:
sposobu enkapsulowania datagramow w polczeniach szeregowych,
rozwinitego protokolu kontroli polczenia (LCP--Link Control Protocol)
oraz rodziny protokolow kontroli sieciowej (NCP--Network Control
Protocols) slucych do zestawiania i konfigurowania ronych protokolow
warstwy sieciowej.
Schemat enkapsulowania jest dawany przez kod sterownika w jdrze. Pppd
daje podstawowe LCP, wsparcie uwierzytelniania i NCP do zestawiania i
konfigurowania IP (nazywa si on IPCP-IP Control Protocol).
CZSTO UYWANE OPCJE
<nazwa_tty>
Komunikuj si poprzez wskazane urzdzenie. Jeli potrzeba,
doklejany jest tu lacuch "/dev/". Jeli nie zostanie podana nazwa
urzdzenia, lub jeli podana jest nazwa terminala podlczonego do
standardowego wejcia, pppd uyje tego terminala i nie fork(2)nie
by wstawi si w tlo. Warto tej opcji ustawiona w uprzywilejowanym
rodle nie moe by przeciona przez nieuprzywilejowanego
uytkownika.
<szybko>
Ustaw szybko przesylu na <szybko> (liczba dziesitna). Na
systemach takich, jak 4.4BSD czy NETBSD mona poda dowoln szybko.
Inne systemy (np. SunOS) dopuszczaj tylko ograniczony zbior
szybkoci.
asyncmap <mapa>
Ustaw map znakow async na <mapa>. Mapa ta opisuje, ktore znaki
sterujace nie mog by pomylnie przesylane poprzez lini szeregow.
Pppd bdzie prosil peera o przesylanie tych znakow jako
dwubajtowe sekwencje specjalne. Argument jest 32 bitow liczb
szesnastkow, gdzie kady bit okrela znak, ktory naley cytowa. Bit
0 (00000001) okrela znak 0x00; bit 31 (80000000) okrela znak
0x1f lub ^_. Jeli podanych jest wiele opcji asyncmap, to wartoci
s sklejane logicznym OR. Jeli nie podane s adne opcje asyncmap,
znaki te w ogole nie bd negocjowane w kierunku odbiorczym. Peer
powinien wtedy cytowa wszystkie znaki sterujce. Aby cytowa
przesylane znaki, uyj opcji escape.
auth daj od peera uwierzytelnienia przed zezwoleniem na przesylanie
pakietow sieciowych. Opcja ta jest domylna, jeli system ma tras
domyln. jeli nie podano ani tej opcji, ani noauth, pppd pozwoli
jedynie uywa peerowi adresow do ktorych system nie ma jeszcze
trasy.
call nazwa
Odczytaj opcje z pliku /etc/ppp/peers/nazwa. Plik ten moe
zawiera uprzywilejowane opcje, takie jak noauth, nawet jeli pppd
nie jest uruchamiane przez roota. Lacuch nazwa nie moe
rozpoczyna si od /, ani zawiera znakow .. jako cz cieki. Format
pliku z opcjami jest opisany niej.
connect skrypt
Uyj programu wykonywalnego, podanego przez skrypt do
skonfigurowania linii szeregowej. Skrypt ten zwykle wykorzystuje
program chat(8) do wykrcenia numeru telefonu i rozpoczcia
zdalnej sesji ppp. Warto tej opcji ze rodla uprzywilejowanego
nie moe by przeslonita przez nieuprzywilejowanego uytkownika.
crtscts
Uywaj sprztowego sterowania przeplywem (tj. RTS/CTS) do
sterowania przeplywem danych na porcie szeregowym. Jeli nie
zostanie podana ani opcja crtscts, ani nocrtscts czy cdtrcts lub
nocdtrcts, ustawienie sprztowego sterowania przeplywem portu
pozostaje niezmienione. Niektore porty szeregowe (np. Maca) nie
posiadaj prawdziwego wyjcia RTS. Porty takie uywaj tego trybu
do implementacji jednokierunkowego sterowania przeplywem. Port
szeregowy zawiesi transmisj jeli zada tego modem (przez CTS),
lecz nie bdzie w stanie zada od modemu zaprzestania nadawania
danych do komputera. Tryb ten zachowuje moliwo uywania DTR jako
linii kontroli modemu.
defaultroute
Dodaj domyln tras do systemowych tablic trasowania, uywajc peera
jako bramk po pomylnym zakoczeniu negocjacji IPCP. Wpis ten [w
tablicach routingu] jest usuwany po zerwaniu polczenia. Opcja ta
jest uprzywilejowana w przypadku podania opcji nodefaultroute.
disconnect skrypt
Wykonaj program skrypt po zakoczeniu polczenia ppp. Skrypt ten
moe na przyklad wysla komendy, powodujce odwieszenie modemu gdy
niedostpne s sprztowe sygnaly sterowania modemem. Skrypt
rozlczenia nie jest uruchamiany jeli modem ju jest odwieszony.
Warto tej opcji pochodzca z uprzywilejowanego rodla nie moe by
przeslonita przez nieuprzywilejowanego uytkownika.
escape xx,yy,...
Okrela, e niektore znaki powinny by podczas transmisji cytowane
(niezalenie czy peer chcial by tak bylo w swojej mapie async).
Cytowane znaki s podawane jako lista liczb szesnastkowych,
rozdzielonych przecinkami. Zauwa, e prawie kady znak mona poda w
tej opcji. Jest to odwrotnie ni w opcji asyncmap, gdzie mona
bylo poda jedynie znaki sterujce. Znaki, ktorych nie mona cytowa
to znaki o wartociach szesnastkowych 0x20 - 0x3f lub 0x5e.
file nazwa
Odczytaj opcje z pliku nazwa (format jest opisany niej). Plik
ten musi by dostpny dla odczytu dla uytkownka, ktory uruchomil
pppd.
init skrypt
Uruchom program wykonywalny skrypt do zainicjalizowania linii
szeregowej. Skrypt ten zazwyczaj uywa programu chat(8) do
skonfigurowania modemu celem wlczenia autoodpowiadania. Warto
tej opcji, pochodzca z uprzywilejowanego rodla nie moe by
przeslonita przez nieuprzywilejowanego uytkownika.
lock Podaje, e pppd powinien stworzy plik blokujcy w stylu UUCP, aby
zapewni ekskluzywno dostpu do urzdzenia szeregowego.
mru n Ustaw MRU [Maximum Receive Unit] na n. Pppd poprosi peera o
przesylanie pakietow nie wikszych ni n bajtow. Minimaln wartoci
MRU jest 128. Domyln jest 1500. Zalecana dla wolnych linii jest
warto 296 (40 bajtow na naglowek TCP/IP + 256 bajtow danych).
(Zauwa, e w IPv6 MRU musi by min. 1280).
mtu n Ustaw MTU [Maximum Transmit Unit] na n. O ile peer nie zada
mniejszej wartoci poprzez MRU, pppd zada by kod sieciowy jdra
wysylal pakiety nie wiksze ni n bajtow. (Zauwa, e w IPv6 MTU
musi by min. 1280).
passive
Wlcza opcj pasywnoci LCP. Przy podaniu tej opcji, pppd sprobuje
zapocztkowa polczenie; jeli nie uzyska odpowiedzi od peera, to
bdzie czeka pasywnie na prawidlowy pakiet LCP, zamiast koczy
dzialanie, jak to ma miejsce w normalnej sytuacji.
OPCJE
<lokalny_adres_IP>:<zdalny_adres_IP>
Ustaw lokalny i/lub zdalny adres IP interfejsu. Dowolny z nich
mona pomin. Adres IP moe by podawany jako nazwa hosta, lub w
dziesitnej notacji kropkowej (np. 150.234.56.78). Domylnym
adresem lokalnym jest (pierwszy) adres IP systemu (o ile nie
podano opcji noipdefault). Zdalny adres (w wypadku niepodania)
jest pobierany od peera. W ten sposob, w prostych przypadkach
opcja ta nie jest wymagana. Jeli lokalny i/lub zdalny adres IP
zostal jednak w tej opcji podany, pppd nie przyjmie innej
wartoci od peera w negocjacji IPCP, chyba e podano opcje ipcp-
accept-local i/lub ipcp-accept-remote.
ipv6
<identyfikator_lokalnego_interfejsu>,<identyfikator_zdalnego_interfejsu>
Ustaw 64-bitowy identyfikator lokalnego i lub zdalnego
interfejsu. Dowolny z nich mona pomin. Identyfikator musi by
podany w standardowej noracji ascii adresow IPv6 (np:
::dead:beef). Jeli podana jest opcja ipv6cp-use-ipaddr, lokalnym
identyfikatorem jest lokalny adres IPv4 (patrz wyej). Na
systemach, obslugujcych unikalne stale ID, mona w zamianie do
opisywanej opcji uy opcji ipv6cp-use-persistent. W przeciwnym
wypadku, identyfikator jest losowany.
active-filter wyraenie-filtru
Okrela filtr pakietowy, stosowany do pakietow z danymi w celu
okrelenia, ktore pakietu uzna za aktywno linii, a zatem kiedy
kasowa licznik bezczynnoci lub prowadzi polczenie w stan
wymagajcy telefonowania. Opcja ta jest przydatna w polczeniu z
opcj idle jeli przez polczenie przesylane s regularnie jakie
pakiety (np. pakiety informacji o trasach), ktore normalnie
uniemoliwiaj wejcie w stan bezczynnoci. Skladnia wyraenia-
filtru jest taka, jak dla tcpdump(1), lecz kwalifikatory nie
majce sensu w polczeniu PPP, takie jak ether czy arp nie s
dozwolone. Ogolnie, wyraenie filtru powinno by ujte w pojedyncze
cytaty, aby uchroni je przed interpretacj spacji przez powlok.
Opcja ta jest obecnie dostpna tylko pod NetBSD i to tylko wtedy,
gdy jdro i pppd byly skompilowane ze zdefiniowanym PPP_FILTER.
allow-ip adres(y)
Zezwol peerom na uywanie podanych adresow IP lub podsieci bez
uwierzytelniania. Parametr jest przetwarzany jak kady element
listy dozwolonych adresow IP z plikow sekretow (zobacz sekcj
UWIERZYTELNIANIE poniej).
bsdcomp nr,nt
Zadaj by peer kompresowal wysylane pakiety przy uyciu mechanizmu
BSD-Compress z maksymalnym rozmiarem kodu nr bitow i zgod si na
kompresowania pakietow wysylanych do peera z maksymalnym
rozmiarem kodu nt bitow. Jeli nt nie jest podane, to domylnie
odpowiada wartoci nr. Wartoci w zakresie 9 do 15 s typowymi
wartociami tych parametrow; wiksze daj lepsz kompresj, lecz
wymagaj wicej pamici jdra da slowniki kompresji. Alternatywnie,
podanie wartoci 0 jako nr lub nt wylcza kompresj w danym
kierunku. Aby wylczy kompresj calkowicie, uyj nobsdcomp lub
bsdcomp 0.
cdtrcts
Uyj niestandardowego sprztowego sterowania przeplywem (np.
DTR/CTS) do sterowania przeplywem danych przez port szeregowy.
Jeli nie podany jest ani crtscts, ani nocrtscts, ani cdtrcts lub
nocdtrcts, ustawienie sprztowego sterowania przeplywem na danej
linii pozostaje niezmienione. Niektore porty (np. Maca) nie
posiadaj prawdziwego wyjcia RTS. Porty takieuywaj tego trybu do
implementowania prawdziwego, dwukierunkowego sterowania
przeplywem. Powiceniem jest to, e tryb sterowania przeplywem nie
zezwala na uywanie DTR jako lnii kontroli modemu.
chap-interval n
Jeli podana jest ta opcja, pppd bdzie wyzywal peera co n sekund.
chap-max-challenge n
Ustaw maksymaln liczb transmisji wyzwa CHAP na n (domylnie 10).
chap-restart n
Ustaw czas oponienia wyzwa na n sekund (domylnie 3).
connect-delay n
Czekaj do n milisekund po zakoczeniu skryptu connect na
prawidlowe pakiety ppp od peera. Pod koniec tego czasu lub gdy
od peera nadejdzie prawidlowy pakiet PPP, pppd rozpocznie
negocjacj przez przesylanie pierwszego pakietu LCP. Domyln
wartoci jest 1000 (1 sekunda). Ten czas oczekiwania ma znaczenie
tylko jeli uywana jest opcja connect lub pty.
debug Wlcza zabudow debuggowania polczenia. Po podaniu tej opcji,
pppd raportuje zawarto wszystkich pakietow kontrolnych w
czytelnej postaci. Pakiety s raportowane poprzez sysloga w
zabudowie daemon i poziomie debug. Informacja ta moe by
przekierowana do pliku przez poprawne skonfigurowanie
/etc/syslog.conf (zobacz syslog.conf(5)).
default-asyncmap
Wylcz negocjacj asyncmap i wymu cytowanie wszystkich znakow
sterujcych w obu kierunkach.
default-mru
Wylcz negocjacj MRU. Po wlczeniu tej opcji, pppd uyje domylnej
wartoci 1500 bajtow.
deflate nr,nt
da by peer kompresowal wysylane pakiety w mechanizmie deflate z
maksymalnym rozmiarem okna 2**nr bajtow i zgodzil si na
kompresowanie pakietow wysylanych do peera z maksymalnym
rozmiarem okna 2**nt bajtow. Jeli nie podano nt to przyjmowana
jest warto rowna nr. Jako parametry uywane s wartoci w zakresie
8 do 15; wiksze daj lepsz kompesj, lecz zabieraj wicej pamici na
slowniki kompresji. Warto 0 wylcza kompresj w danym kierunku.
Kompresj mona wylczy, stosujc nodeflate lub deflate 0. (Uwaga:
pppd preferuje kompresj deflate nad BSD-compress jeli peer moe i
tamto.)
demand Inicjalizuj polczenie tylko na danie, tj. gdy istnieje natlok
danych. Przy tej opcji, zdalny adres IP musi by podawany przez
uytkownika w linii polece lub w pliku z opcjami. Pppd pocztkowo
konfiguruje interfejs i otwiera je na dane IP bez lczenia si z
peerem. Gdy pojawi si dane, pppd lczy si z peerem, dokonuje
negocjacji, uwierzytelniania, etc. Gdy jest to zakoczone, pppd
rozpoczyna przekazywanie pakietow danych (tj. pakietow IP)
poprzez lcze.
Opcja Idemand implikuje opcj persist. Jeli zachowanie to nie
jest podane, uyj opcji nopersist po opcji demand. W polczeniu z
opcj demand przydatne s te idle i holdoff.
domain d
W celach uwierzytelniania, doklej nazw domeny d do nazwy hosta
lokalnego. Na przyklad, jeli gethostname() zwraca nazw porsch,
lecz w pelni kwalifikowan nazw domeny jest porsche.quotron.com,
to powiniene poda domain quotron.com. Pppd uyje wtedy nazwy
porsche.quotron.com do podgldania sekretow w pliku z sekretami i
jako domylnej nazwy do wysylania do peera podczas
uwierzytelniania. Opcja ta jest uprzywilejowana.
hide-password
Podczas raportowania zawartoci pakietow PAP, opcja ta powoduje,
e pppd nie zalcza do raportu lacucha z haslem. Jest to
zachowanie domylne.
holdoff n
Podaje ile sekund czeka przed ponownym rozpoczciem polczenia po
jego zakoczeniu. Opcja ta ma efekt tylko w polczeniu z opcjami
persist lub demand. Okres holdoff nie jest uywany gdy polczenie
zostalo zerwane z powodu bezczynnoci.
idle n Okrela, e pppd powinien rozlczy si jeli lcze bylo bezczynne
przez n sekund. Lcze jest bezczynne jeli nie przesylane s przez
nie adne pakiety. Uwaga: nie zaleca si uywania tej opcji z opcji
persist bez opcji demand. Jeli podana jest opcja active-filter,
odrzucane przez filtr aktywnoci pakiety licz si rownie jako
bezczynne lcze.
ipcp-accept-local
Przy podaniu tej opcji, pppd przyjmuje wyobraenie peera o naszym
lokalnym adresie IP, nawet jeli adres lokalny podano jako opcj.
ipcp-accept-remote
Przy podaniu tej opcji, pppd przyjmuje wyobraenie peera o jego
(zdalnym) adresie IP, nawet jeli adres ten podany zostal jako
opcja.
ipcp-max-configure n
Ustaw maksymaln liczb transmisji dania konfiguracji IPCP na n
(domylnie 10).
ipcp-max-failure n
Ustaw maksymaln liczb NAK-ow konfiguracji IPCP zwroconych przed
rozpoczciem wysylania Odrzuce konfiguracji na n (domylnie 10).
ipcp-max-terminate n
Ustaw maksymaln liczb transmisji da zakoczenia IPCP na n
(domylnie 3).
ipcp-restart n
Ustaw interwal restartu IPCP (czas oponienia retransmisji) na n
sekund (domylnie 3).
ipparam /lacuch
Daje dodatkowy parametr dla skryptow ip-up i ip-down. Jeli
podana jest ta opcja, to /lacuch jest przekazywany jako 6
parametr tych skryptow.
ipv6cp-max-configure n
Ustaw maksymaln liczb transmisji da konfiguracji IPv6CP na n
(domylnie 10).
ipv6cp-max-failure n
Ustaw maksymaln liczb NAK-ow konfiguracji IPv6CP, zwracanych
przed rozpoczciem wysylania Odrzuce konfiguracji na n (domylnie
10).
ipv6cp-max-terminate n
Ustaw maksymaln liczb transmisji da zakoczenia IPv6CP na n
(domylnie 3).
ipv6cp-restart n
Ustaw interwal restartu IPv6CP (czas oponienia retransmisji) na
n sekund (domylnie 3).
ipx Wlcz protokoly IPXCP i IPX. Opcja ta jest obecnie obslugiwana
jedynie pod Linuksem i tylko jeli jdro ma wsparcie IPX.
ipx-network n
Ustaw numer sieci IPX w ramce dania konfiguracji IPXCP na n,
liczb szesnastkow (bez 0x na pocztku). Nie ma sensownej wartoci
domylnej. Jeli opcja ta nie jest podana, numer sieci jest
pobierany od peera. Jeli peer nie ma numeru sieci, protokol IPX
nie zostanie uruchomiony.
ipx-node n:m
Ustaw numery wzla IPX. Dwa numery wzla s rozdzielane od
pozostalych znakiem dwukropka. Pierwszy numer n jest numerem
wzla lokalnego. Drugi jest numerem wzla peera. Kady numer wzla
musi by liczb szesnastkow o dlugoci najwyej 10 cyfr. Numery
wzlow sieci ipx musz by unikalne. Nie ma sensownej wartoci
domylnej. Jeli opcja ta nie jest podana, numery wzlow s
pobierane od peera.
ipx-router-name </lacuch>
Ustaw nazw routera. Lacuch ten jest przesylany do peera jako
dane informacyjne.
ipx-routing n
Ustaw t opcj odbierany protokol trasowania. Mona poda wicej ni
jedn instancj tej opcji. Opcja none (0) moe by podana jako
jedyna instncja tej opcji. Wartociami mog by 0 (NONE), 2
(RIP/SAP), 4 (NLSP).
ipxcp-accept-local
Przyjmij NAK peera dla numeru wzla podanego w opcji ipx-node.
Jeli podano niezerowy numer wzla, to domylnie naciska si na
uywanie tej wartoci. Jeli zalczasz t opcj, to zezwalasz peerowi
na przecianie wpisu numeru wzla.
ipxcp-accept-network
Przyjmij NAK peera dla numeru sieci podanego w opcji ipx-
network. Jeli podano niezerowy numer sieci, to domylnie naciska
si na uywanie tej wartoci. Jeli zalczasz t opcj, to zezwalasz
peerowi na przecienie wpisu numeru wzla.
ipxcp-accept-remote
Uyj peerowego numeru sieci, podanego w ramce dania konfiguracji.
Jeli dla peera podano numer wzla, a tej opcji nie podano, peer
bdzie zmuszony do uywania wartoci, ktor podale.
ipxcp-max-configure n
Ustaw maksymaln liczb ramek da konfiguracji IPXCP wysylanych
przez system na n. Domylnie 10.
ipxcp-max-failure n
Ustaw maksymaln liczb ramek NAK IPXCP, ktor system wyle przed
odrzucaniem opcji. Domylnie 3.
ipxcp-max-terminate n
Ustaw maksymaln liczb ramek da zakoczenia zanim system lokalny
uzna, e peer go nie slucha. Domylnie 3.
kdebug n
Wlcz kod debuggowania na poziomie jdra sterownika PPP. Argument
n jest liczb, ktora jest sum nastpujcych wartoci: 1 wlcza ogolne
informacje debuggowe, 2 da by drukowana byla zawarto odbieranych
pakietow, 4 da by drukowana byla zawarto przesylanych pakietow.
Na wikszoci systemow, komunikaty drukowane przez jdro s
raportowane przez syslog(1) do pliku wskazanego w pliku
konfiguracyjnym /etc/syslog.conf.
ktune Powoduje, e pppd poprawia odpowiednio ustawienia jdra. Pod
linuksem pppd w przypadku uywania opcji proxyarp wlcza
forwardowanie IP (tj. ustawia /proc/sys/net/ipv4/ip_forward na
1) oraz w trybie demand wlcza (o ile adres lokalny si zmienia)
opcj dynamicznego adresu IP (tj. ustawia na 1
/proc/sys/net/ipv4/ip_dynaddr).
lcp-echo-failure n
Jeli podana jest ta opcja, pppd przyjmuje, e peer nie yje w
momencie gdy n da echa LCP zostanie wyslanych bez odpowiedzi
LCP. Jeli zajdzie ta sytuacja, pppd przerwie polczenie. Uywanie
tej opcji wymaga niezerowej wartoci parametru lcp-echo-interval.
Opcja ta moe by uywana do umoliwiania pppd koczenia dzialania po
zerwaniu fizycznego polczenia (np. po odwieszeniu sluchawki) w
sytuacjach, gdzie nie s dostpne sprztowe lini sterowania
modemem.
lcp-echo-interval n
Jeli podana jest ta opcja, pppd do peera bdzie wysyla ramk dania
echa LCP co n sekund. Normalnie peer powinien odpowiedzie
wysylajc odpowied na echo. Opcja ta moe by uywana w polczeniu z
lcp-echo-failure do wykrywania czy peer jest wci podlczony.
lcp-max-configure n
Ustaw maksymaln liczb transmisji da konfiguracji LCP na n.
Domylnie 10.
lcp-max-failure n
Ustaw maksymaln liczb NAK-ow konfiguracji LCP, zwracanych przed
rozpoczciem wysylania Odrzuce konfiguracji. Domylnie 10.
lcp-max-terminate n
Ustaw maksymaln liczb transmisji da zakoczenia LCP na n
(domylnie 3).
lcp-restart n
Ustaw interwal restartu LCP (czas oponienia retransmisji) na n
sekund (domylnie 3).
linkname nazwa
Ustawia logiczn nazw lacza na nazwa. Pppd utworzy plik o nazwie
ppp-nazwa.pid w /var/run (lub na niektorych systemach w
/etc/ppp), zawierajcy jego PID. Jest to przydatne do okrelania,
ktora instancja pppd jest odpowiedzialna za lcze z danym peerem.
Jest to opcja uprzywilejowana.
local Nie uywaj linii sterowania modemem. Przy uyciu tej opcji, pppd
bdzie ignorowa stan CD (Carrier Detect) i nie bdzie zmienia
stanu DTR (Data Terminal Ready).
logfd n
Wysylaj informacje raportowe do deskryptora pliku n. Pppd bdzie
wysyla te informacje do najwyej jednego pliku lub deskryptora
(oraz wysylaj komunikaty do sysloga), wic opcja ta i logfile s
rozlczne. Domyln wartoci dla pppd jest wysylanie wiadomoci
raportowych na stdout (deskryptor 1), chyba e port szeregowy
jest ju na ten deskryptor otwarty.
logfile nazwapliku
Doklejaj komunikaty raportowe do pliku nazwapliku (oraz wysylaj
komunikaty do sysloga). Plik otwierany jest z prawami
uytkownika, ktory uruchomil pppd. Otwierany jest w trybie
dopisywania.
login Uyj systemowej bazy hasel do uwierzytelnienia peera z pomoc PAP
i nagraj uytkownika do systemowego pliku wtmp. Zauwa, e peer
musi mie swoj wpis w /etc/ppp/pap-secrets oraz w systemowej
bazie hasel.
maxconnect n
Zakocz polczenie po jego dostpnoci dla sieci przez n sekund (tj.
n sekund po pierwszym przejciu protokolu kontroli sieci).
maxfail n
Zakocz po n kolejno nieudanych probach polczenia. Warto 0
oznacza brak limitow. Domyln wartoci jest 10.
modem Uywaj linii sterowania modemem. Opcja ta jest domylna. Z jej
uyciem, pppd bdzie czeka na sygnal CD (Carrier Detect) od modemu
jako zapewnienie otwarcia urzdzenia szeregowego (chyba e podany
jest skrypt connect) i opuci DTR (Data Terminal Ready) gdy
polczenie bdzie zakoczone i przed wywolaniem skryptu connect. Na
ultriksie, opcja ta implikuje sprztowe sterowanie przeplywem,
jak w opcji crtscts.
ms-dns <adr>
Jeli pppd dziala jako serwer klientow MS Windows, opcja ta
umoliwia przekazywanie klientom jednego lub dwoch adresow DNS.
Pierwsze pojawienie si tej opcji okrela adres podstawowego DNS;
druga podaje adres drugorzdny. (Opcja ta byla obecna w
starszych wersjach pppd pod nazw dns-addr.)
ms-wins <adr>
Jeli pppd dziala jako serwer dla MS Windows lub dla klientow
"Samby", to opcja ta umoliwia pppd przekazywanie jednego lub
dwoch adresow serwerow WINS (Windows Internet Name Services) dla
klientow. Pierwsze pojawienie tej opcji okrela podstawowy adres
WINS; drugie--drugorzdny.
name nazwa
Ustaw nazw systemu lokalnego na nazwa. Jest to wykorzystywane w
celach uwierzytelniania. Jest to opcja uprzywilejowana. Po jej
wlczeniu, pppd uzywa w plikach sekretow linii, ktore maj nazw
jako drugie pole linii. Tylko tych linii uywa do
uwierzytelniania peera. Dodatkowo, jeli nie zostanie to
przeslonite opcj user, nazwa bdzie uywana jako nazwa wysylana do
peera podczas uwierzytelniania lokalnego systemu u peera.
(Zauwa, e pppd nie dokleja do nazwy nazwy domeny.)
netmask n
Ustaw mask sieciow interfejsu na n, tj. 32 bitow mask w
kropkowej notacji dziesitnej (np. 255.255.255.0). Jeli podana
jest ta opcja, to warto jej zostanie polczona logicznym OR z
domyln mask sieciow. Domylna maska sieciowa jest wybierana
wedlug wynegocjowanego zdalnego adresu IP; jest mask odpowiedni
dla klasy zdalnego adresu IP, polczon logicznym OR z maskami
sieciowymi wszelkich interfejsow sieciowych point-to-point
systemu, znajdujcych si w tej samej sieci. (Uwaga: na niektorych
platformach pppd zawsze jako maski sieciowej uywa
255.255.255.255 jeli jest to jedyna warto odpowiednia dla
intefejsu point-to-point.)
noaccomp
Wylcz kompresj Address/Control w obydwu kierunkach (nadawania i
odbioru).
noauth Nie wymagaj od peera uwierzytelniania. Opcja ta jest
uprzywilejowana.
nobsdcomp
Wylcza kompresj BSD-Compress; pppd nie bdzie da lub zgadza si na
kompresowanie pakietow wg. tego schematu.
noccp Wylcz negocjacj CCP (Compression Control Protocol). Opcja ta
powinna by uywana jedynie jeli peer jest zapchlony i nie potrafi
obsluy da pppd o negocjacj CCP.
nocrtscts
Wylcz sprztowe sterowanie przeplywem (RTS/CTS) portu
szeregowego. Jeli nie jest podane crtscts, nocrtscts, cdtrcts,
ani nodtrcts, sprztowe sterowanie przeplywem nie jest zmieniane.
nodtrcts
Opcja ta jest synonimem nocrtscts. Dowolna z tych opcji wylcza
obydwie postaci sterowania przeplywem.
nodefaultroute
Wylcz opcj defaultroute. Jeli administrator chce zabroni
uytkownikom tworzenia przez pppd domylnych tras, to moe umieci t
opcj w pliku /etc/ppp/options.
nodeflate
Wylcza kompresj Deflate; pppd nie zada i nie zgodzi si na
kompresj pakietow wg tego schematu.
nodetach
Nie odlczaj si od terminala sterujcego. Bez tej opcji, w
przypadku podania urzdzenia szeregowego innego ni terminal
standardowego wejcia, pppd fork(2)nie by przej w tlo.
noip Wylcz negocjacj IPCP i komunikacj IP. Opcja ta powinna by uywana
tylko jeli peer ma bldy i nie potrafi obsluy da negocjacji IPCP.
noipv6 Wylcz negocjacj IPv6CP i komunikacj IPv6. Opcja ta powinna by
uywana tylko jeli peer ma bldy i nie potrafi obsluy da
negocjacji IPv6CP.
noipdefault
Wylcza domylne zachowania gdy nie jest podany lokalny adres IP,
ktorym jest okrelenie (jeli si da) lokalnego adresu IP z nazwy
hosta. Po uyciu tej opcji, peer bdzie musial przekaza lokalny
adres IP podczas negocjacji IPCP (chyba e podano go jawnie w
linii polece lub w pliku z opcjami).
noipx Wylcz protokoly IPXCP i IPX. Opcja ta powinna by uywana tylko
jeli peer ma bldy i nie potrafi obsluy da negocjacji IPXCP.
noktune
Przeciwiestwo opcji ktune; nie zezwala pppd na zmian ustawie
systemowych.
nolog Nie wysylaj komunikatow raportowych do pliku lub deskryptora.
Opcja ta uniewania opcje logfd i logfile. nomagic Wylcz
negocjacj magicznych numerkow. Po wlczeniu tej opcji, pppd nie
potrafi wykry linii zaptlonej (looped-back). Opcja ta powinna by
uywana tylko jeli peer ma bldy.
nopcomp
Wylcz negocjacj kompresji pol protokolu w obydwu kierunkach
transmisji.
nopersist
Zakocz po dokonaniu i przerwaniu polczenia. Jest to warto
domylna, chyba e uyto opcji persist lub demand.
nopredictor1
Nie przyjmuj kompresji Predictor-1.
noproxyarp
Wylcz opcj proxyarp. Administrator moe w ten sposob zabroni
uytkownikom tworzenia wpisow proxy ARP. Wystarczy umieci t opcj
w pliku /etc/ppp/options.
notty Normalnie pppd wymaga urzdzenia terminalowego. Po uyciu tej
opcji, pppd alokuje sobie par master-slave pseudo-tty i uywa
niewolnika jako urzdzenie terminalowe. Pppd utworzy proces
potomny, zachowujcy si jako `przetaczacz znakow', przesylajcy
znaki midzy masterem pseudo-tty i jego standardowym wejciem i
wyjciem. W efekcie, pppd bdzie przesyla znaki na swoje
standardowe wyjcie i odbiera je ze swojego standardowego wejcia
nawet, jeli nie s one urzdzeniami terminalowymi. Opcja ta
zwiksza oczywicie zajto CPU. Przy uyciu tej opcji nie mona
podawa jawnej nazwy urzdzenia.
novj Wylcz kompresj naglowkow TCP/IP w stylu Van Jacobsona. Tyczy si
obu kierunkow transmisji.
novjccomp
Wylcz opcj kompresji ID-polczenia w kompresji naglowka TCP/IP w
stylu Van Jacobsona. Opcja ta powoduje, e pppd ani peer nie bd
omija bajtu ID-polczenia w skompresowanych Van Jacobsonowo
naglowkach TCP/IP.
papcrypt
Wskazuje, e wszystkie sekrety z pliku /etc/ppp/pap-secrets,
uywane do sprawdzania tosamoci peera s zakodowane i w zwizku z
tym pppd nie powinien przyjmowa hasel, ktore przed zakodowaniem
s rownowane sekretom z pliku /etc/ppp/pap-secrets.
pap-max-authreq n
Ustaw maksymaln luczb transmisji da uwierzytelnienia PAP na n.
Domylnie 10.
pap-restart n
Ustaw interwal restartu PAP (czas oponienia retransmisji) na n
sekund. Domylnie 3.
pap-timeout n
Ustaw maksymalny czas, przez ktory pppd ma oczekiwa na
uwierzytelnienie od peera z pomoc PAP. Czas w sekundach, 0
oznacza brak limitu.
pass-filter wyraenie-filtru
Okrela filtr pakietowy, zalczany do przesylanych pakietow danych
w celu okrelenia, ktore pakiety mog przeplyn. Pakiety odrzucane
przez filtr s po cichu niszczone. Opcja ta moe by uywana w celu
uchronienia pewnych demonow sieciowych (jak routed) od uywania
pasma uplinka lub do zestawienia podstawowych elementow zapory
ogniowej. Skladnia wyraenia-filtru jest taka jak dla
tcpdump(1), lecz kwalifikatory nieodpowiednie dla polczenia PPP,
takie jak ether czy arp nie s dozwolone. Ogolnie, wyraenie
filtru powinno by ujte w pojedyncze cudzyslowy celem zapobieenia
interpretacji przez powlok. Zauwa, e moliwe jest zalczenie
ronych przymusow na wchodzce i wychodzce pakiety z uyciem
kwalifikatorow inbound i outbound. Opcja ta jest obecnie
dostpna jedynie pod NetBSD, a i to tylko w wypadku, gdy jdro i
pppd zostaly skompilowane ze zdefiniowanym PPP_FILTER.
persist
Nie kocz dzialania po zakoczeniu polczenia. Zamiast tego sprobuj
wznowi polczenie.
plugin nazwapliku
Zaladuj plik obiektowy nazwapliku biblioteki dzielonej jako
plugin. Jest to opcja uprzywilejowana.
predictor1
Zadaj by peer uywal kompresjii Predictor-1 i zgod si na
wysylanie ramek podobnie skompresowanych o ile takie bdzie
yczenie. Opcja ta nie daje adnego efektu jeli jdro nie obsluguje
kompresji Predictor-1.
privgroup nazwagrupy
Zezwol czlonkom grupy nazwagrupy na uywanie uprzywilejowanych
opcji. Jest to opcja uprzywilejowana. Uywanie jej wymaga uwagi,
gdy nie mona zapewni, e czlonkowie danej grupy nie sprobuj uy
pppd w celu uzyskania praw roota. Uznaj to za rownowane
wstawieniu czlonkow danej grupy do grupy kmem lub disk.
proxyarp
Dodaj wpis do tablicy ARP [Address Resolution Protocol] tego
systemu. Ma on zawiera adres IP peera i adres ethernetowy tego
systemu. Bdzie to mialo efekt taki, e peer dla innych systemow
bdzie wygldal jak na lokalnym ethernecie.
pty skrypt
Okrela polecenie skrypt, jako orodek komunikacji zamiast
konkretnego urzdzenia terminalowego. Pppd zaalokuje sobie par
master-slave pseudo-tty i uyje niewolnika jako swojego urzdzenia
terinalowego. skrypt zostanie uruchomiony w procesie potomnym z
masterem pseudo-tty jako swoim standardowym wejciem i wyjciem.
Przy uywaniu tej opcji nie mona podawa jawnej nazwy urzdzenia.
(Uwaga: jeli w polczeniu z t, uyta jest opcja record, proces
potomny bdzie mial lcza na swoim stadardowym wejciu i wyjciu.)
receive-all
Po uyciu tej opcji, pppd bdzie przyjmowal wszystkie znaki
sterujcych od peera, lcznie z tymi zaznaczonymi w asyncmapie
odbiorczej. Bez tej opcji, pppd bdzie niszczyl te znaki, zgodnie
z RFC1662. Opcja ta powinna by uywana tylko jeli peer jest
zapchlony.
record nazwapliku
Podaje, e pppd powinien nagrywa wszystkie wysylane i odbierane
znaki do pliku o nazwie nazwapliku. Plik ten jest otwierany w
trybie dopisywania, z uyciem ID uytkownika i jego uprawnieniami.
Opcja ta jest zaimplementowana z uyciem pseudo-tty i procesu do
przesylania znakow midzy pseud-tty a prawdziwym urzdzeniem
szeregowym. Powoduje ona wic wzrost obcienia CPU. Znaki s
wybierane w formacie oznaczonym piecztkami czasowymi, ktore mog
by wywietlane w czytelnej postaci z uyciem programu pppdump(8).
remotename nazwa
Ustaw zakladan nazw zdalnego systemu w celu uwierzytelniania na
nazw.
refuse-chap
Po podaniu tej opcji, pppd nie zgodzi si na uwierzytelnianie si
u peera z pomoc CHAP.
refuse-pap
Po podaniu tej opcji, pppd nie zgodzi si na uwierzytelnianie si
u peera z pomoc PAP.
require-chap
Wymagaj od peera uwierzytelnienia si z pomoc CHAP [Challenge
Handshake Authentication Protocol].
require-pap
Wymagaj od peera uwierzytelnienia si z pomoc PAP [Password
Authentication Protocol].
show-password
Podczas logowania zawartoci pakietow PAP opcja ta powoduje, e
pppd pokazuje w lacuchach raportowych hasla.
silent Po podaniu tej opcji, pppd nie bdzie przesyla pakietow LCP do
rozpoczcia polczenia przed odebraniem od peera prawidlowego
pakietu LCP (jak dla opcji `passive' w staroytnych opcjach
pppd).
sync Uyj synchronicznego kodowania szeregowego HDLC zamiast
asynchronicznego. Urzdzenie uywane przez pppd musi mie obslug
synchroniczn. Obecnie pod linuksem i FreeBSD 2.2.8 i poniejszych
wspierane s adaptery Microgate SyncLink.
updetach
Po podaniu tej opcji, pppd odlczy si od terminala sterujcego po
zestawieniu polczenia ppp (do momentu kiedy pojawi si pierwszy
kontrolny protokol sieciowy, zwykle protokol IP).
usehostname
Wymu uycie nazwy hosta (z dodana ewentualnie nazw domeny) jako
nazwy systemu lokalnego w celach uwierzytelniania (przeslania
opcj name). Opcja ta nie jest zwykle potrzebna, gdy opcja name
jest uprzywilejowana.
usepeerdns
Zapytaj peera o dwa serwery DNS. Adresy przekazane przez peera s
przekazywane od peera do pliku /etc/ppp/ip-up przez zmienne
rodowiskowe DNS1 i DNS2. Dodatkowo, pppd utworzy plik
/etc/ppp/resolv.conf, zawierajcy jedn lub dwie linie z adresami,
przekazanymi przez peera.
user nazwa
Ustaw nazw uywan do uwierzytelniania systemu lokalnego u peera
na nazw.
vj-max-slots n
Ustawia liczb slotow polcze, uywanych w kodzie kompresji
naglowka TCP/IP Van Jacobsona. Liczba musi zawiera si midzy 2 a
16 (wlcznie).
welcome skrypt
Uruchom program skrypt przed rozpoczciem negocjacji PPP, ale po
skrypcie connect. Warto tej opcji nadana z uprzywilejowanego
rodla nie moe byc przeciona przez nieuprzywilejowanego
uytkownika.
xonxoff
Wlcz programowe sterowanie przeplywem (XON/XOFF).
PLIKI Z OPCJAMI
Opcje mog by pobierane z linii polece lub z plikow. Pppd odczytuje je z
plikow /etc/ppp/options, ~/.ppprc i z /etc/ppp/options.nazwatty (w tej
kolejnoci) przed przetworzeniem opcji z linii polece. (W rzeczywistoci,
opcje linii polece s skanowane w celu znalezienia nazwy terminala przed
odczytem options.nazwatty.) Przy formowaniu nazwy pliku
options.nazwatty, usuwany jest przedrostek /dev/,a wszelkie dodatkowe
znaki / s zamieniane na kropki.
Plik z opcjami jest analizowany jako seria slow, rozdzielonych bialymi
spacjami. Biale spacje mog by zalczane do slowa przez ujcie caloci w
podwojne cudzyslowy ("). Lewy ukonik moe cytowa nastpujcy po nim znak.
Znak krzyyka (#) rozpoczyna komentarz, trwajcy a do koca linii. Nie ma
ogranicze w uywaniu opcji file lub call w pliku z opcjami.
BEZPIECZESTWO
pppd udostpnia administratorom wydajn kontrol dostpu dla okrelonych
uytkownikow, bez strachu o powicanie bezpieczestwa serwera lub sieci, w
ktrej si znajduje. Kontrola ta polega na ograniczaniu adresow IP, jakie
moe mie peer, zalenie od identyfikacji i ogranicze co do opcji, ktorych
moe uywa nieuprzywilejowany uytkownik. Rone opcje pppd s
uprzywilejowane--s to glownie opcje, ktore mog wprowadza zagroenia w
konfiguracji; opcje te mog by przyjmowane jedynie z plikow znajdujacych
si pod kontrol administratora systemu lub gdy pppd jest uruchamiane z
poziomu roota.
Domylnym zachowaniem pppd jest zezwalanie nieuwierzytelnionemu peerowi
na uywanie danego adresu IP tylko jeli system nie ma jeszcze trasy do
tego adresu. Na przyklad, system o stalym polczeniu do szerszego
internetu normalnie ma tras domyln, wic wszystkie peery musz si
uwierzytelni aby zestawi polczenie. Na takim systemi opcja auth jest
domylna. Z drugiej strony, system gdzie lcze ppp jest jedynym
polczeniem do internetu normalnie nie ma trasy domylnej, wic peer bdzie
w stanie uywa prawie dowolnego adresu IP bez uwierzytelniania.
Jak wykazano wyej, niektore opcje bezpieczestwa s uprzywilejowane, co
znaczy, e nie mog by uywane przez zwyklego uytkownika uruchamiajcego
suid-root pppd--czy to z linii polece czy z pliku ~/.ppprc czy z opcji
file. Opcje uprzywilejowane mog by uywane w pliku /etc/ppp/options lub
w dowolnym pliku z opcjami, odczytywanym opcj call. Jeli pppd jest
uywane przez roota, opcje uprzywilejowane mog by uywane bez ogranicze.
Przy otwieraniu urzdzenia pppd uywa ID woljcego uytkownika lub UID
roota (tj. 0), zalenie czy nazwa urzdzenia zostala podana przez
uytkownika czy administratora. Jeli nazwa pochodzi ze rodla
uprzywilejowanego, tj. z /etc/ppp/options lub z pliku z opcjami,
odczytanego przy uyciu opcji call, pppd uywa pelnych praw roota do
dostpu do urzdzenia. Tak wic tworzenie odpowiedniego pliku w
/etc/ppp/peers umoliwia administratorowi zezwolenie uytkownikom na
zestawianie polcze ppp poprzez urzdzenie, do ktorego normalnie nie
mieliby prawa dostpu. W przeciwnym wypadku, pppd uywa przy otwieraniu
urzdzenia rzeczywistego UID uytkownika.
UWIERZYTELNIANIE
Uwierzytelnianie jest procesem przekonywania przez peera drugiej strony
o swojej tosamoci. Wymaga to wyslania najpierw przez peera swojej nazwy
wraz z informacj sekretn, ktora moe pochodzi tylko od autoryzowanego
uytkownika o tej nazwie. W takiej wymianie pierwszego peera nazywa si
"klientem", a drugiego "serwerem". Klient ma nazw ktora okrela go dla
serwera, a serwer ma rownie nazw, ktora okrela go dla klienta.
Ogolnie, klient dzieli pewien sekret (lub haslo) z serwerem i
uwierzytelnia si poprzez udowodnienie, e zna sekret. Czsto nazwy uywane
w uwierzytelnianiu odpowiadaj internetowym nazwom hostow peerow, lecz
nie jest to konieczne.
Obecnie pppd obsluguje dwa protokoly uwierzytelniania: PAP i CHAP. PAP
powoduje, e klient wysyla swoj nazw oraz haslo do serwera. CHAP
natomiast powoduje, e serwer wysyla klientowi wezwanie (pakiet wezwania
zawiera nazw serwera). Klient musi odpowiedzie slowami, zawierajcymi
nazw plus warto hash, wycignit z dzielonego sekretu i wezwania,
udowadniajc w ten sposob, e zna sekret.
Protokol PPP, bdc symetrycznym, umoliwia obydwu peerom wymaganie
uwierzytelnienia siebie nawzajem. W tym wypadku nastpuj dwie oddzielne
i niezalene wymiany pakietow uwierzytelniajcych. Obydwie wymiany mog
uywa ronych protokolow uwierzytelniania i, w ogolnoci, mona w nich uywa
ronych nazw.
Domylnym zachowaniem pppd jest zgoda na uwierzytelnienie po zadaniu i
nie wymaganie uwierzytelnienia od peera. Jednak pppd nie zgodzi si na
uwierzytelnienie si w konkretnym protokole jeli nie ma sekretow,
ktorych moglby w tym celu uy.
Pppd przechowuje swoje sekrety w plikach sekretow (/etc/ppp/pap-secrets
dla PAP i /etc/ppp/chap-secrets dla CHAP). Obydwa pliki sekretow maj
ten sam format. Pliki te mog zawiera sekrety dla pppd, uywane przy
uwierzytelnianiu si dla innych systemow oraz sekrety dla pppd, uywane
przy uwierzytelnianiu innych systemow dla nas.
Kada linia pliku sekretow zawiera jeden sekret. Dany sekret jest
specyficzny dla danej konfiguracji klienta/serwera - moe by uywana
tylko przez tego klienta do uwierzytelnienia si przed tym serwerem. Z
tego powodu kada linia ma trzy pola: nazw klienta, serwera oraz sekret.
Za polami tymi moe nastpi lista adresow IP, ktorych dany klient moe uy
po polczeniu z danym serwerem.
Plik z sekretami jest analizowany jako slowa, jak plik z opcjami, wic
nazwa klienta, serwera i sekretow musz by pojedynczymi slowami, gdzie
osadzone spacje lub znaki specjalne mona cytowa lub ujmowa w
cudzyslowy. Zauwa, e rozmiar liter jest w przypadku nazw klienta i
serwera oraz sekretu istotny.
Jeli sekret rozpoczyna si od `@', to reszta jest rozumiana jako nazwa
pliku, z ktorego odczyta sekret. "*" jako klient lub serwer odpowiada
dowolnej nazwie. Podczas wybierania sekretu pppd wybiera najlepsze
dopasowanie, tj. dopasowanie wykorzystujce najmniej jokerow.
Wszelkie nastpujce slowa tej samej linii s uwaane za list adresow IP
dopuszczalnych dla klienta. Jeli dane s tylko 3 slowa, lub jeli
pierwszym slowem jest "-", to zabronione s wszystkie adresy IP. Aby
udostpni dowolny adres, uyj "*". Slowo rozpoczynajce si od "!"
wskazuje, e podany adres nie jest dopuszczalny. Adres moe mie na kocu
"/" i liczb n, okrelajc cal podsie, tj. wszystkie adresy, majce tak sam
warto w najbardziej znaczcych n bitach. W tej postaci adres moe mie na
kocu znak plus ("+"), okrelajcy, e jeden z adresow podsieci jest
autoryzowany w oparciu o numer uywanej jednostki sieciowego interfejsu
ppp. W tym przypadku cz hosta adresu bdzie ustawiana na numer
jednostki plus jeden.(???)
W ten sposob plik z sekretami zawiera sekrety uywane do
uwierzytelniania siebie u innych i innych u siebie. Gdy pppd
uwierzytelnia peera (sprawdzajc jego tosamo), wybiera sekrety,
zawierajce nazw peera w pierwszym polu i nazw systemu lokalnego w
drugim. Nazwa systemu lokalnego odpowiada nazwie hosta z doklejon nazwy
domeny przy uyciu opcji domain. To domylne zachowanie mona przeciy opcj
name, poza przypadkiem uycia opcji usehostname.
Gdy pppd wybiera sekret uywany do uwierzytelnienia si u peera, najpierw
okrela, jakiej nazwy uy do przedstawienia si peerowi. Nazwa ta moe by
podana przez uytkownika opcj user. Jeli opcja ta nie jest uyta, nazwa
odpowiada nazwie systemu lokalnego, okrelanej jak opisano w poprzednim
paragrafie. Nastpnie pppd szuka sekretow o tej nazwie w pierwszym polu
i o nazwie peera w drugim. Pppd pozna nazw peera w mechanizmie CHAP gdy
ten wyle j w pakiecie wyzwania. Jednak jeli uywany jest PAP, pppd bdzie
musial okreli nazw peera z opcji podanych przez uytkowika. Uytkownik
moe okreli nazw peera bezporednio opcj remotename. W przeciwnym
wypadku, jeli adres IP zdalnego hosta podano nazw (a nie numerycznie),
to zostanie uyta ta nazwa peera. Gdy to si nie powiedzie, pppd uyje
lacucha zerowego jako nazwy peera.
Podczas uwierzytelniania peera przez PAP, przekazane haslo jest
najpierw porownywane z sekretem z pliku sekretow. Jeli haslo nie pasuje
do sekretu, to jest ono kodowane z uyciem crypt() i porownywane raz
jeszcze. W ten sposob, sekrety uwierzytelniajce mog by przechowywane w
postaci zaszyfrowanej. Jeli podana jest opcja papcrypt, pierwsze
sprawdzenie (bez szyfrowania) jest pomijane.
Co wicej, jeli podana byla opcja login, nazwa uytkowika i haslo s
sprawdzane rownie wedlug systemowej bazy hasel. W rezultacie,
administrator systemu moe skonfigurowa plik sekretow pap na zezwolenie
dostpu do PPP jedynie dla okrelonych uytkownikow i ograniczy zestaw
adresow IP, ktore kady z uytkownikow moe wykorzysta. Zazwyczaj przy
uyciu opcji login, sekret w /etc/ppp/pap-secrets wynosi "", co pasuje
do dowolnego hasla, przekazanego przez peera. Zapobiega to potrzebie
posiadania tego samego sekretu w dwoch miejscach.
Uwierzytelnianie musi by zakoczone przed IPCP (lub dowolnym innym NCP).
Jeli peer musi si uwierzytelni, a nie uda si mu to, pppd zakoczy
polczenie (zamykajc LCP). Jeli IPCP wynegocjuje niedopuszczalny adres
IP dla hosta zdalnego, IPCP zostanie zamknite. Pakiety IP mog by
przesylane tylko jeli IPCP jest otwarte.
W niektorych przypadkach oczekiwane jest umoliwienie niektorym hostom,
ktore nie mog si uwierzytelni polczenie i uywanie ograniczonego zbioru
adresow IP, nawet jeli lokalny host ogolnie wymaga uwierzytelnienia.
Jeli peer odmowi uwierzytelnienia po takim daniu, pppd bierze to za
rownowano uwierzytelnienia przy uyciu pustego lacucha nazwy uytkownika
i hasla. W ten sposob, dodajc lini sekretow z pustym klientem i haslem,
mona umoliwi ograniczony dostp dla hostow, ktore nie chc si
uwierzytelni.
ROUTING
Po pomylnym zakoczeniu negocjacji IPCP pppd poinformuje jdro o lokalnym
i zdalny adresie IP interfejsu ppp. Jest to wystarczajcy zabieg do
utworzenia trasy do zdalnego koca polczenia, co umoliwia peerom wymian
pakietow IP. Komunikacja z innymi maszynami wymaga w ogolnoci dalszych
modyfikacji tablic routingu i/lub tablic ARP. W wikszoci wypadkow
wystarczajce s opcje defaultroute i/lub proxyarp, lecz w niektorych
wypadkach wymagana jest dalsza interwencja. Mona do tego wykorzysta
skrypt /etc/ppp/ip-up.
Czasami wymagane jest dodanie domylnej trasy poprzez zdalny host, jak w
wypadku maszyny, ktorej jedynym polczeniem z internetem jest interfejs
ppp. Opcja defaultroute powoduje, e pppd tworzy tak domyln tras po
pojawieniu IPCP i kasuje j po zakoczeniu polczenia.
W niektorych przypadkach wymagane jest uycie proxy ARP, np. na maszynie
serwerowej podlczonej do LAN, aby reszta hostow mogla komunikowa si ze
zdalnym hostem. Opcja proxyarp powoduje, e pppd szuka interfejsu
sieciowego o tej samej podsieci co zdalny host (interfejs obslugujcy
broadcast i ARP, ktory jest wlczony i nie jest interfejsem ppp lub
loopback). Po znalezieniu, pppd tworzy perrmanentny publikowany wpis
ARP z adresem IP zdalnego hosta i adresem sprztowym znalezionego
interfejsu sieciowego.
Gdy uywana jest opcja demand, adresy IP s ju ustawione przy pojawieniu
IPCP. Jeli pppd nie bylo w stanie wynegocjowa tego samego adresu,
ktorego uywalo do konfiguracji interfejsu (np. gdy peer jest ISP,
uywajcym dynamicznych IP), pppd musi zmieni adresy interfejsu IP na
wynegocjowane. Moe to zniszczy istniejce polczenia i uywanie tego typu
wydzwaniania z dynamicznymi peerami nie jest zalecane.
PRZYK/LADY
Nastpujce przyklady zakladaj, e plik /etc/ppp/options zawiera opcj auth
(jak w domylnym pliku /etc/ppp/options w dystrybucji ppp).
Prawdopodbnie najpopularniejszym zastosowaniem pppd jest wykrcanie
numeru ISP. Moe to by dokonywane poleceniem takim, jak
pppd call isp
gdzie plik /etc/ppp/peers/isp jest skonfigurowany przez administratora
systemu na zawieranie czego w rodzaju:
ttyS0 19200 crtscts
connect '/usr/sbin/chat -v -f /etc/ppp/chat-isp'
noauth
W tym przykladzie uywamy chat(8) do wykrcenia numeru ISP i przechodzimy
przez wymagan sekwencj logowania. Plik /etc/ppp/chat-isp zawiera skrypt
uywany przez chat; moe na przyklad zawiera co w rodzaju
ABORT "NO CARRIER"
ABORT "NO DIALTONE"
ABORT "ERROR"
ABORT "NO ANSWER"
ABORT "BUSY"
ABORT "Username/Password Incorrect"
"" "at"
OK "at&d0&c1"
OK "atdt2468135"
"name:" "^Umyuserid"
"word:" "\qmypassword"
"ispts" "\q^Uppp"
"~-^Uppp-~"
Dla dalszych szczegolow obejrzyj stron podrcznika do chat(8).
Pppd moe rownie by uywane do udostpniania uslugi dial-in dla
uytkownikow. Jeli uytkownicy maj ju konta, to najprostszym sposobem
skonfigurowania uslugi ppp jest zezwalanie uytkownikom na logowanie si
na ich konta i uruchamianie pppd z pomoc komendy takiej, jak
pppd proxyarp
Aby umoliwi uytkownikowi uywanie zabudowy PPP, musisz zaalokowa adres
IP dla maszyny uytkowika i utworzy wpis w /etc/ppp/pap-secrets lub
/etc/ppp/chap-secrets (zalenie od metody uwierzytelniania, preferowanej
przez uytkownika), aby uytkownik mogl si uwierzytelni. Na przyklad,
jeli Joe ma maszyn o nazwie "joespc", ktora moe wdzwania si na maszyn o
nazwie "server" i uywa adresu IP joespc.my.net, to w pliku z sekretami
naley umieci nastpujcy wpis:
joespc server "joe's secret" joespc.my.net
Alternatywnie moesz utworzy uytkownika o nazwie (np.) "ppp", ktorego
powlok zgloszeniow jest pppd i ktorego katalogiem domowym jest
/etc/ppp. Opcje uywane przez pppd w takim trybie mog by wstawione do
/etc/ppp/.ppprc.
Jeli twoje polczenie szeregowe jest troch bardziej zloone ni kawalek
kabla, to moesz by zmuszonym zaaranowa jakie znaki sterujce do
cytowania. Na przyklad czsto przydatne jest cytowanie XON (^Q) i XOFF
(^S) przy uyciu asyncmap a0000. Jeli cieka zawiera telneta, to
prawdopodobnie powiniene rownie cytowa ^] (asyncmap 200a0000). Jeli
cieka zawiera rlogin, to na kocowce rloginowej powiniene uywa opcji
escape ff, gdy wiele implementacji rlogin nie jest przezroczystych;
usuwaj one sekwencje [0xff, 0xff, 0x73, 0x73, plus dowolnych osiem
bajtow] ze strumienia.
DIAGNOSTYKA
Komunikaty s przesylane do demona sysloga przy uyciu zabudowy
LOG_DAEMON. (Moe to by przeslonite przez rekompilowanie pppd z makrem
LOG_PPP przedefiniowanym na podan zabudow.) Aby zobaczy komunikaty o
bldach i debuggowe, musisz wyedytowa plik /etc/syslog.conf tak, aby
przekierowywal komunikaty na okrelone urzdzenie wyjciowe lub plik.
Opcja debug powoduje, e zawarto wszystkich przesylanych pakietow
kontrolnych jest raportowana. Tzn. wszystkie pakiety LCP, PAP, CHAP lub
IPCP. Moe to by przydatne jeli negocjacja ppp si nie powodzi lub jeli
zawodzi uwierzytelnianie. Jeli debuggowanie jest wlczone podczas
kompilacji, opcja debug powoduje rownie raportowanie innych komunikatow
debuggowych.
Debuggowanie moe by te wlczone lub wylczone przez wyslanie do procesu
pppd sygnalu SIGUSR1. Sygnal ten dziala jak przelcznik.
KOD WYJCIA
Kod wyjcia pppd jest ustawiany do wskazania czy zaszedl bld lub
pokazania powodu zakoczenia polczenia. Dopuszczalne wartoci to:
0 Pppd odlczylo si od terminala, lub te polczenie zostalo pomylnie
zestawione i zakoczone na danie peera.
1 Zaistniajl jaki bld krytyczny, taki jak niepowodzenie
podstawowego wywolania systmowego czy brak pamici.
2 W przetwarzaniu podanych opcji wykryto bld, np. uyto dwoch
wykluczajcych si opcji.
3 Pppd nie jest suid-root, a wolajcy uytkownik nie jest rootem.
4 Jdro nie daje wsparcia ppp, tj. sterownik ppp jdra nie jest
zalczony lub nie moe zosta zaladowany.
5 Pppd zakoczylo dzialanie przez SIGINT, SIGTERM lub SIGHUP.
6 Port szeregowy nie mogl zosta zablokowany.
7 Port szeregowy nie mogl zosta otwarty.
8 Skrypt connect si nie powiodl (zwrocil niezerowy kod wyjcia).
9 Polecenie podane jako argument opcji pty nie moglo zosta
uruchomione.
10 Negocjacja PPP si nie powiodla, tj. nie osignla punktu w ktorym
dzialalby cho jeden protokol sieciowy (np. IP).
11 System peera nie przeszedl procedury uwierzytelniania.
12 Polczenie zostalo pomylnie zestawione i zakoczone z powodu
bezczynnoci.
13 Polczenie zostlo pomylnie zestawione i zakoczone z powodu limitu
czasu polczenia.
14 Wynegocjowano callback i wkrotce pojawi si nadchodzcy telefon.
15 Polczenie zostalo zakoczone gdy peer nie odpowiadal na dania
echa.
16 Polczenie zostalo zakoczone przez modem, ktory odwiesil
sluchawk.
17 Negocjacja PPP nie powiodla si przez wykrycie szeregowego
zaptlenia (loopback).
18 Skrypt init si nie powiodl (zwrocil niezerowy kod wyjcia).
19 Nie uwierzytelnilimy si u peera.
SKRYPTY
Pppd na ronych etapach dzialania wywoluje rone skrypty, uywane do
dokonywania specyficznego dla stacji przetwarzania. Skrypty te s zwykle
skryptami powloki, lecz mog rownie dobrze by programami binarnymi. Pppd
nie czeka a skrypty skocz dzialanie. Skrypty s wywolywane z
uprawnieniami roota (z rzeczywistym i efektywnym UID 0), wic mog robi
takie rzeczy jak odwieanie tablic routingu czy uruchamianie
uprzywilejowanych demonow. Uwaaj, by skrypty te nie oslabily
bezpieczestwa systemu. Pppd uruchamia skrypty ze standardowym wejciem,
wyjciem i wyjciem bldu przekierowanym na /dev/null i ze rodowiskiem,
ktore jest puste, poza pewnymi zmiennymi rodowiskowymi, ktore daj
informacje o lczu. Zmienne te s nastpujce:
DEVICE Nazwa uywanego urzdzenia szeregowego tty.
IFNAME Nazwa uywanego interfejsu sieciowego.
IPLOCAL
Adres IP lokalnego koca polczenia. Jest to ustawione tylko po
przejciu IPCP.
IPREMOTE
Adres IP zdalnego koca polczenia. Jest to ustawione tylko po
przejciu IPCP.
PEERNAME
Uwierzytelniona nazwa peera. Jest to ustawiane tylko jeli peer
si uwierzytelnil.
SPEED Szybko urzdzenia tty.
ORIG_UID
ID uytkownika, ktory wywolal pppd.
PPPLOGNAME
Nazwa uytkownika, ktory wywolal pppd. Jest to zawsze ustawione.
Dla skryptow ip-down i auth-down, pppd ustawia ponadto nastpujce
zmienne, dajce statystyki polczenia:
CONNECT_TIME
Liczba sekund od kiedy rozpoczla si negocjacja PPP, a do
zakoczenia polczenia.
BYTES_SENT
Liczba wyslanych bajtow (na poziomie portu szeregowego) podczas
polczenia.
BYTES_RCVD
Liczba odebranych podczas polczenia bajtow (na poziomie portu
szeregowego).
LINKNAME
Logiczna nazwa lcza, ustawiana opcj linkname.
Pppd wywoluje nastpujce skrypty, o ile one istniej. Nie jest bldem,
jeli ich nie ma:
/etc/ppp/auth-up
Program lub skrypt wykonywany po uwierzytelnieniu przez zdalny
system. Jest wywolywany z parametrami
nazwa-interfejsu nazwa-peera nazwa-uytkownika urzdzenie-tty
szybko
Zauwa, e skrypt ten nie jest wykonywany jeli peer si nie
uwierzytelni, np. po uyciu opcji noauth.
/etc/ppp/auth-down
Program lub skrypt, ktory jest uruchamiany przy wylczaniu
polczenia, jeli uruchamiano wczeniej /etc/ppp/auth-up. Jest
wykoywany w ten sam sposob co do parametrow, jak auth-up.
/etc/ppp/ip-up
Program lub skrypt, ktory jest wykonywany gdy lcze jest w stanie
przesyla lub odbiera pakiety IP (tj. po przejciu IPCP). Jest
wykonywany z parametrami
nazwa-interfejsu urzdzenie-tty szybko adres-lokalnego-IP adres-
zdalnego-IP ipparam
/etc/ppp/ip-down
Program lub skrypt, ktory jest wykonywany gdy lcze nie jest ju w
stanie przesyla pakiety IP. Skrypt ten moe by wykonywany do
odtwarzania zmiany wywolanych przez /etc/ppp/ip-up. Jest
wywolywany z tymi samymi parametrami co skrypt up-up.
/etc/ppp/ipv6-up
Podobne do /etc/ppp/ip-up, lecz jest wykonywane gdy lcze jest w
stanie przesyla pakiety IPv6. Jest wykonywane z parametrami
nazwa-interfejsu urzdzenie-tty szybko adres-lokalnego-/lcza
adres-zdalnego-/lcza ipparam
/etc/ppp/ipv6-down
Podobne do /etc/ppp/ip-down, lecz jest wykonywane gdy lcze nie
jest w stanie ju transmitowa pakietow IPv6. Jest wykonywane z
tymi samymi parametrami co skrypt ipv6-up.
/etc/ppp/ipx-up
Program lub skrypt, ktory jest wykonywany gdy lcze jest w stanie
przesyla lub odbiera pakiety IPX (tj. po przejciu IPXCP). Jest
wykonywany z parametrami
nazwa-interfejsu urzdzenie-tty szybko numer-sieci lokalny-adres-
wz/la-IPX zdalny-adres-wz/la-IPX lokalny-protok'o/l-trasujcy-IPX
zdalny-protok'o/l-trasujcy-IPX lokalna-nazwa-routera-IPX zdalna-
nazwa-routera-IPX ipparam pid-pppd
Pola lokalnego/zdalnego-protokolu-trasujcego-IPX mog by jednymi
z nastpujcych:
NONE okrela brak protokolu trasujcego
RIP okrela ch uywania RIP/SAP
NLSP okrela ch uywania Novell NLSP
RIP NLSP okrela ch uywania RIP/SAP i NLSP
/etc/ppp/ipx-down
Program lub skrypt, ktory jest wykonywany gdy lcze nie moe ju
przesyla pakietow IPX. Skrypt ten moe by uywany do anulowania
efektow dzialania skryptu ipx-up. Jest wywolywany z tymi samymi
parametrami co ipx-up.
PLIKI
/var/run/pppn.pid (BSD lub Linux), /etc/ppp/pppn.pid (inne)
PID procesu pppd na jednostce interfejsu ppp numer n.
/var/run/ppp-nazwa.pid (BSD lub Linux), /etc/ppp/ppp-nazwa.pid (inne)
PID procesu pppd na logicznym lczu nazwa (zobacz opcj linkname).
/etc/ppp/pap-secrets
Uytkownicy, hasla i adresy IP do uwierzytelniania PAP. Plik ten
powinien nalee do roota i nie nadawa si do odczytu/zapisu dla
innych uytkownikow. W innym wypadku pppd zglosi ostrzeenie.
/etc/ppp/chap-secrets
Nazwy, sekrety i adresy IP dla uwierzytelniania CHAP. Podobnie
jak dla powyszego, plik ten rownie powinien by wlasnoci roota i
niczyj inn. W przeciwnym wypadku pppd zglosi ostrzeenie.
/etc/ppp/options
Domylne opcje pppd systemu, odczytywane przed opcjami uytkownika
lub linii polece.
~/.ppprc
Opcje uytkownika, odczytywane przed /etc/ppp/options.nazwatty.
/etc/ppp/options.nazwatty
Domylne opcje systemowe dla uywanego portu szeregowego,
odczytywane po ~/.ppprc. W czci nazwatty tej nazwy pliku usunite
jest poprzedzeajce /dev/, a wszelkie ukoniki s zamienione na
kropki.
/etc/ppp/peers
Katalog, zawierajcy pliki z opcjami, ktore mog zawiera
uprzywilejowane opcje nawet jeli pppd zostal wywolany przez
uytkownika innego ni root. Administrator systemu moe tworzy w
tym katalogu pliki z opcjami, zezwalajcymi nieuprzywilejowanym
uytkownikom wydzwanianie bez wymagania uwierzytelnienia od
peera, lecz tylko do zaufanych peerow.
ZOBACZ TAKE
RFC1144
Jacobson, V. Kompresowanie nag/l'owk'ow TCP/IP dla wolnych /lczy
szeregowych. Luty 1990.
RFC1321
Rivest, R. Algorytm Message-Digest MD5. Kwiecie 1992.
RFC1332
McGregor, G. PPP Internet Protocol Control Protocol (IPCP).
Maj 1992.
RFC1334
Lloyd, B.; Simpson, W.A. Protoko/ly uwierzytelniania PPP.
Padziernik 1992.
RFC1661
Simpson, W.A. Protok'o/l Point-to-Point (PPP). Lipiec 1994.
RFC1662
Simpson, W.A. PPP w ramkach typu HDLC. Lipiec 1994.
RFC2472
Haskin, D. IP wersja 6 w PPP Grudzie 1998.
UWAGI
Nastpujce sygnaly maj podane dzialanie po wyslaniu do pppd:
SIGINT, SIGTERM
Sygnaly te powoduj, e pppd koczy polczenie (zamykajc LCP),
odtwarza ustawienia urzdzenia szeregowego i koczy dzialanie.
SIGHUP Sygnal ten powoduje, e pppd koczy polczenie, odtwarza ustawienia
portu szeregowego i zamyka urzdzenie szeregowe. Jeli podana jest
opcja persist lub demand, pppd sprobuje otworzy urzdzenie
szeregowe i rozpocz nowe polczenie (po okresie
przetrzymania--holdoff). W przeciwnym wypadku, pppd zakoczy
dzialanie. Jeli sygnal ten jest odebrany podczas okresu
przetrzymania, powoduje on, e pppd koczy ten okres natychmiast.
SIGUSR1
Sygnal ten przelcza stan opcji debug.
SIGUSR2
Sygnal ten powoduje, e pppd renegocjuje kompresj. Moe to by
przydatne do ponownego wlczania kompresji po jej wylczeniu w
wyniku krytycznego bldu dekompresji. (Bldy takie w ogolnoci
wskazuj na bld w ktorej implementacji.)
AUTORZY
Paul Mackerras (Paul.Mackerras@cs.anu.edu.au), w oparciu o wczeniejsze
prace Drewa Perkinsa, Brada Clementsa, Karla Foxa, Grega Christy'ego, i
Brada Parkera.
INFORMACJE O T/LUMACZENIU
Powysze tlumaczenie pochodzi z nieistniejcego ju Projektu Tlumaczenia
Manuali i moe nie by aktualne. W razie zauwaenia ronic midzy powyszym
opisem a rzeczywistym zachowaniem opisywanego programu lub funkcji,
prosimy o zapoznanie si z oryginaln (angielsk) wersj strony podrcznika.
PPPD(8)