Linux中CIPE服务器的配置

experienced

UID: 7351
帖子: 6
积分: 13
在线时间: 10 分钟

1^# experienced 发表于 2006-11-27 09:23

Linux中CIPE服务器的配置

　　把位于 /usr/share/doc/cipe-version/samples/ 的配置文件范例复制到 /etc/cipe/ 中（这里的 version 是安装在你的系统上的 CIPE 版本）。复制完毕后，你将需要编辑 /etc/cipe/options.cipcbx（x 是从0开始的递增数字，为那些想要在 CIPE 服务器上不止有一个 CIPE 连接的客户提供）文件来包括你的 LAN 子网地址和可公共选路的防火墙 IP 地址。以下是包括在红帽企业 Linux CIPE RPM 中的 options 文件范例。在这个例子中，它被重命名为 options.cipbcb0：
　　

引用:

　　# Surprise, this file allows comments (but only on a line by themselves)
　　# This is probably the minimal set of options that has to be set
　　# Without a "device" line, the device is picked dynamically
　　
　　# the peer's IP address
　　ptpaddr 6.5.4.3
　　
　　# our CIPE device's IP address
　　ipaddr 6.7.8.9
　　
　　# my UDP address. Note: if you set port 0 here, the system will pick
　　# one and tell it to you via the ip-up script. Same holds for IP 0.0.0.0.
　　me bigred.inka.de:6789
　　
　　# ...and the UDP address we connect to. Of course no wildcards here.
　　peer blackforest.inka.de:6543
　　
　　# The static key. Keep this file secret!
　　# The key is 128 bits in hexadecimal notation.
　　key xxxxxxxxxxxxxxxxxxxxxxxxxxxxx

experienced

UID: 7351
帖子: 6
积分: 13
在线时间: 10 分钟

2^# experienced 发表于 2006-11-27 09:24

　　配置客户的 CIPE

　　成功地配置了 CIPE 服务器并测试了它的功能后，你现在就可以在客户机器上使用这种连接了。CIPE 客户应该能够自动地连接和断开 CIPE 连接。因此，CIPE 包含内建的机制来为个别使用自定设置。例如，远程职员可以通过键入以下命令来连接到 LAN 上的 CIPE 设备：
　

引用:

　　/sbin/ifup cipcb0

experienced

UID: 7351
帖子: 6
积分: 13
在线时间: 10 分钟

3^# experienced 发表于 2006-11-27 09:25

　　注记

　　客户应该这样配置，因此所有被本地化的参数都被放在一个用户创建的叫做/etc/cipe/ip-up.local 的文件中。CIPE 会话被关闭后，应该使用 /etc/cipe/ip-down.local 来还原本地参数。

　　客户机器上的防火墙应该被配置接受 CIPE UDP 封装分组。规则的差距可能会很大，但是对 UDP 分组的基本接受对于 CIPE 连接来说却是必需的。以下的 iptables 规则允许连接到 LAN 上的远程客户机器进行 UDP CIPE 传输；最后一条规则添加了 IP 伪装来允许远程客户与 LAN 和互联网通信。
　

引用:

　　/sbin/modprobe iptables
　　/sbin/service iptables stop
　　/sbin/iptables -P INPUT DROP
　　/sbin/iptables -F INPUT
　　/sbin/iptables -A INPUT -j ACCEPT -p udp -s 10.0.1.1
　　/sbin/iptables -A INPUT -j ACCEPT -i cipcb0
　　/sbin/iptables -A INPUT -j ACCEPT -i lo
　　/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE