GNU/Linux >> Tutoriales Linux >  >> Panels >> Webmin

Servidor de marcación PPP

Esta página cubre el proceso de configuración de un sistema Linux con un módem conectado como servidor de acceso telefónico mediante el protocolo punto a punto (PPP), para que otras computadoras puedan marcarlo y acceder a las redes conectadas.

Contenido

Introducción a PPP en Linux

Cualquier sistema Linux con un módem conectado se puede configurar para que otras computadoras puedan marcarlo e iniciar una sesión PPP, brindándoles acceso TCP/IP al sistema y a cualquier red a la que esté conectado. Esto le permite actuar como un ISP en miniatura y, de hecho, algunos ISP pequeños se han ejecutado utilizando sistemas Linux con múltiples tarjetas de puerto serie como servidores de acceso.

Dos programas separados son responsables de diferentes partes del servicio de acceso telefónico. El primero es mgetty , que se comunica en un puerto serie con un módem conectado y le indica que conteste el teléfono. Una vez que los módems del servidor y del cliente estén conectados, mgetty muestra un aviso de inicio de sesión de texto y espera un nombre de usuario o el inicio de una sesión de PPP. Un cliente puede iniciar sesión en modo de texto y obtener un indicador de shell de Unix sin necesidad de iniciar una sesión de PPP, pero esto rara vez se hace en estos días. Una vez que el cliente se desconecta o cierra la sesión, mgetty cuelga el módem y espera una nueva conexión.

Para instalar mgetty puede utilizar el módulo Paquetes de software.

Debido a que la mayoría de los clientes inician una sesión de PPP tan pronto como se conectan, mgetty generalmente está configurado para ejecutar el pppd separado programa si detecta una conexión PPP. Esto crea una interfaz de red ppp en el servidor, autentica al cliente, asigna una dirección IP y comienza a enviar y recibir datos utilizando el protocolo PPP. La dirección IP asignada y otras opciones de configuración se establecen por puerto serie, de modo que puede tener varios módems y admitir varios clientes simultáneos con diferentes direcciones.

El módulo PPP Dialin Server le permite configurar mgetty y pppd para que los clientes puedan marcar e iniciar sesiones PPP. Cuando ingresa desde la categoría Redes, la página principal simplemente muestra cuatro íconos, debajo de los cuales se encuentran las opciones configurables reales.

Actualmente, el módulo PPP Dialin Server solo se puede usar en sistemas Linux y Solaris, aunque mgetty está disponible en algunas otras versiones de Unix. Si ninguno de los programas que configura están instalados, la página principal mostrará un mensaje de error; sin embargo, todas las distribuciones de Linux incluyen paquetes para pppd y mgetty en sus CD o sitios web. Si solo está instalado mgetty, puede usar la Configuración del puerto serie y Acceso al identificador de llamadas características. Por el contrario, si solo está instalado pppd, solo puede acceder a las Opciones de PPP y Cuentas PPP paginas

Cuando usa el módulo para configurar mgetty para responder llamadas en un puerto serie, se agrega una entrada a /etc/inittab para que init ejecute el proceso mgetty en el momento del arranque y vuelva a ejecutarlo según sea necesario. Podrá ver esta entrada en el módulo Configuración de inicio de SysV, pero no debe editarla allí a menos que sepa lo que está haciendo.

Aunque este capítulo se escribió pensando en Linux, el módulo se comporta casi de manera idéntica en Solaris. La única diferencia son los nombres de los archivos del dispositivo del puerto serie, mientras que /dev/ttyS0 es el primer puerto serie en Linux, Solaris usaría /dev/term/a en su lugar.

Configurar un servidor PPP

Pantalla principal del servidor de acceso telefónico PPP

Antes de que pueda configurar un sistema para permitir que los clientes se conecten con PPP, debe tener un módem conectado a un puerto serie o estar conectado mediante un cable de módem nulo a otra máquina. También se pueden usar módems internos que emulan un puerto serie, aunque no se recomiendan ya que no tienen LED fácilmente visibles para indicar si el módem está conectado, transmitiendo, etc. Los módems USB deberían funcionar, siempre que sean reconocidos por el kernel; sin embargo, probablemente usarán un archivo de dispositivo especial. Los módems que requieren controladores especiales para funcionar (comúnmente conocidos como Winmodems) no se pueden usar en absoluto, a menos que haya un controlador para el módem disponible en Linux.

Naturalmente, cualquier módem debe estar conectado a una línea telefónica. Debido a que su sistema estará configurado para contestar el teléfono después de unos cuantos timbres, la línea telefónica no debe usarse para nada más; de lo contrario, el módem contestará las llamadas de las personas que llaman, lo cual no es muy amigable.

Configuración del puerto serie

Una vez que todo el hardware esté listo, los pasos para configurar su sistema como un servidor PPP son:

  1. En la página principal del módulo, haga clic en Configuración del puerto serie icono. Esto lo llevará a una página que enumera los puertos existentes que se han configurado para PPP o correo de voz.
  2. Haga clic en Agregar un nuevo puerto serie enlace, que abrirá el formulario de configuración del puerto que se muestra en la primera captura de pantalla a continuación.
  3. Configure el dispositivo serie al puerto en el que está conectado su módem o cable de módem nulo. Puerto serie 1 corresponde al archivo de dispositivo /dev/ttyS0, y así sucesivamente. Para módems en dispositivos seriales que no comienzan con /dev/ttyS (como módems USB), seleccione Otro dispositivo e ingrese la ruta completa del archivo del dispositivo en el campo de texto al lado del menú.
  4. Establecer el Tipo opción para Conexión directa (para un sistema conectado a través de un cable de módem nulo) o Módem (para un módem de acceso telefónico real).
  5. El Puerto El campo de velocidad debe establecerse en la velocidad en baudios que utilizará el módem o la conexión de módem nulo. Esta debe ser una de las velocidades estándar, como 57600 o 33600.
  6. En la Respuesta después del campo, ingrese la cantidad de timbres que desea que mgetty espere antes de contestar el teléfono. Si la línea telefónica en la que se encuentra su módem también se usará para recibir llamadas de voz, puede configurar esto en algo grande como 20 para tener suficiente tiempo para contestar el teléfono antes de que lo haga el módem. Naturalmente, esta opción no tiene sentido para las conexiones de módem nulo.
  7. Haga clic en Crear botón. Se agregará una nueva entrada al archivo /etc/inittab y volverá a la lista de puertos serie.
  8. Haga clic en Aplicar configuración para activar mgetty en el nuevo puerto. Las llamadas telefónicas a la línea en la que se encuentra su módem ahora deben responderse después de la cantidad configurada de timbres. Si solo le interesan los clientes de solo texto, entonces no es necesario hacer nada más:podrán marcar, autenticarse en el indicador de inicio de sesión y ejecutar comandos de shell.
Opciones de PPP
  1. Para configurar PPP, haga clic en Opciones de PPP icono de nuevo en la página principal. Esto lo llevará al formulario que se muestra en la segunda imagen a continuación, donde puede configurar las opciones que se aplicarán a todas las conexiones PPP.
  2. A menos que desee que los clientes inicien sesión en modo de texto e inicien el comando pppd manualmente, es mejor configurar la opción *¿Detectar automáticamente las conexiones PPP en los puertos serie?* en . Con esto habilitado, mgetty detectará que el cliente desea iniciar una sesión PPP cuando el servidor está esperando un aviso de inicio de sesión y ejecutará pppd automáticamente.
  3. En la Dirección IP PPP campos, ingrese la dirección IP que desea que use el extremo de la conexión del servidor (la *IP local*) y la dirección para el extremo de la conexión del cliente (la IP remota ). Normalmente, estas direcciones no estarán en su LAN local, sino en una subred diferente. Otros sistemas en la red deben configurarse para enrutar el tráfico de la dirección del cliente a su sistema, para que puedan comunicarse. Si no se especifica ninguna dirección, el servidor PPP utilizará las direcciones proporcionadas por el cliente. Esto podría tener sentido al conectar dos máquinas a través de un módem nulo, pero no funcionará con la mayoría de los clientes de acceso telefónico. Es posible asignar al cliente una dirección IP que esté dentro del rango de la LAN local, activando ¿Crear entrada ARP proxy? opción. Si está habilitado, ingrese una dirección IP de LAN no utilizada en la IP remota campo y la IP de Ethernet actual de su sistema en la IP local campo.
  4. Configure el modo de líneas de control campo a Local para una conexión de módem nulo, o Módem si hay un módem real conectado al puerto serie.
  5. A menos que esté configurando una conexión de módem nulo, se debe obligar a los clientes a autenticarse para evitar que se conecten posibles atacantes. Para activar la autenticación, establezca el campo *¿Requerir autenticación?* en . Para desactivarlo totalmente para el uso de módem nulo, establezca el campo en No . Para establecer nombres de usuario y contraseñas para que los clientes se autentiquen, consulte la sección *Administración de cuentas PPP* a continuación.
  6. Para desconectar clientes que han estado inactivos durante un período prolongado, ingrese una cantidad de segundos en el Tiempo de inactividad antes de desconectarse campo.
  7. Ingrese las direcciones IP de cualquier servidor DNS en su red en los servidores DNS para clientes campo. Los sistemas operativos cliente como Windows los utilizarán automáticamente, lo que simplifica su configuración.
  8. Finalmente, haga clic en Guardar botón. ¡Los clientes ahora deberían poder marcar, establecer una sesión PPP y acceder a su sistema y red!
Acceso al identificador de llamadas

Si su sistema va a tener varios clientes PPP simultáneos conectados, deberá configurar diferentes opciones para cada puerto serie. En particular, cada cliente debe tener una dirección IP remota diferente, aunque se puede reutilizar la dirección local.

Para configurar diferentes opciones de PPP para cada puerto serie, los pasos a seguir son:

  1. En la página principal del módulo, haga clic en Opciones PPP icono. Cambiar las Direcciones IP PPP campo de nuevo a Desde el cliente , y configure cualquier otra opción que desee establecer por puerto a sus valores predeterminados también.
  2. Vuelva a la página principal, haga clic en Configuración del puerto serie y luego en Editar enlace bajo Port PPP Config para el puerto serie para el que desea configurar las opciones. Esto lo llevará a la página de opciones por puerto, que es muy similar al formulario de opciones globales de PPP que se muestra en la Figura 18-2.
  3. Ingrese las direcciones IP remotas y locales que desea que se asignen a los clientes PPP que se conectan en este puerto, y cambie cualquier otra opción que no se haya configurado en la página de opciones globales de PPP.
  4. Cuando haya terminado, haga clic en Guardar botón. Los clientes que se conecten en el puerto configurado utilizarán las nuevas opciones a partir de ahora.

La forma más fácil de evitar que su sistema actúe como un servidor PPP es simplemente eliminar la entrada de configuración del puerto serie de su módem. Si tiene varios módems conectados, puede seguir los pasos a continuación para deshabilitar uno sin que afecte a los demás:

  1. En la página principal, haga clic en Configuración del puerto serie y luego en el nombre del dispositivo del puerto con el módem conectado.
  2. En la página de opciones de puerto, haga clic en Eliminar botón en la esquina inferior derecha. La entrada adecuada se eliminará del archivo /etc/inittab y volverá a la lista de puertos habilitados.
  3. Haga clic en Aplicar configuración botón para activar el cambio. A partir de ahora, su sistema ya no responderá llamadas telefónicas entrantes ni se comunicará con otra computadora conectada mediante un cable de módem nulo.

Administración de cuentas PPP

Si habilita el acceso telefónico a su sistema, debe obligar a todos los clientes a autenticarse activando la opción '¿Requerir autenticación?' opción en las Opciones PPP página. Incluso si cree que su servidor no necesita autenticar a los clientes porque solo usted conoce el número de teléfono de la línea en la que se encuentra su módem, sigue siendo una buena idea habilitarlo en caso de que alguien encuentre el número por accidente, o en caso de que un 'marcador de guerra' probando cientos de números de teléfono en busca de servidores inseguros lo encuentre. Una vez que la autenticación esté habilitada, puede agregar una nueva cuenta que pueda iniciar sesión siguiendo estos pasos:

  1. En la página principal del módulo, haga clic en Cuentas PPP icono. Esto lo llevará a una página que enumera todas las cuentas existentes, incluidas aquellas que se han creado para llamar a otros servidores.
  2. Siga la Crear una nueva cuenta PPP enlace, que lo llevará al formulario de creación de cuenta que se muestra a continuación.
  3. Ingrese un nombre de inicio de sesión en el Nombre de usuario y asegúrese de que sea Cualquiera la opción no está seleccionada.
  4. Asegúrese de que el Servidor el campo está establecido en Cualquiera . Si lo configura en otra cosa, el nombre de usuario solo se aceptará cuando el nombre de host del cliente coincida con lo que ingrese.
  5. Seleccione Establecer en opción en el campo Contraseña * , *e ingrese una contraseña para la cuenta en el campo de texto al lado. También es posible hacer que el servidor PPP lea la contraseña de un archivo separado, seleccionando Desde archivo e ingresando un nombre de archivo en su campo de texto. O puede eliminar la necesidad de proporcionar una contraseña seleccionando Ninguna - sin embargo, esta no es una muy buena idea desde el punto de vista de la seguridad.
  6. Suponiendo que a todos los clientes se les asigna una dirección IP, configure las Direcciones válidas campo para Permitir cualquier . Sin embargo, si no se especifican direcciones en la página Opciones de PPP, puede seleccionar Permitir en la lista e ingresar direcciones aceptables en el cuadro de texto debajo.
  7. Finalmente, haga clic en Guardar y se creará la nueva cuenta PPP. Se puede utilizar inmediatamente conectando clientes.
Creación de una nueva cuenta PPP

Para editar una cuenta PPP existente, simplemente haga clic en su nombre de usuario de la lista de cuentas. Esto le llevará al formulario de edición de la cuenta, que es casi idéntico al formulario de creación que se muestra en la imagen de arriba. Cambie el nombre de usuario, la contraseña o cualquier otra opción y haga clic en Guardar para guardar los cambios y activarlos inmediatamente. O haga clic en Eliminar en el formulario de edición para eliminar la cuenta.

De manera predeterminada, Webmin agregará nuevos usuarios al archivo /etc/ppp/pap-secrets. Esto solo lo lee el servidor PPP cuando se realiza la autenticación PAP, que se usa de forma predeterminada. Si configuró manualmente su sistema para autenticar clientes utilizando el protocolo CHAP más seguro, deberá configurar Webmin para editar el archivo chap-secrets. Esto se puede hacer haciendo clic en Configuración del módulo enlace en la esquina superior izquierda de la página principal y cambiando el archivo de secretos PAP campo a /etc/ppp/chap-secrets.

Restringir el acceso por identificador de llamadas

Si su línea telefónica tiene habilitado el identificador de llamadas y su módem lo admite, mgetty se puede configurar para bloquear a ciertas personas en función de sus números de teléfono. De forma predeterminada, cualquier persona que llame podrá conectarse, pero puede cambiar esto para que solo se permitan unos pocos números siguiendo estos pasos:

  1. En la página principal del módulo, haga clic en Acceso al identificador de llamadas icono. Esto lo llevará a un formulario que enumera los números restringidos, que probablemente estará vacío si aún no ha agregado ninguno.
  2. Haga clic en Agregar un nuevo número de identificación de llamadas enlace, que lo llevará a un formulario para ingresar el nuevo número.
  3. Establecer el Número de teléfono opción a Números que comienzan con e ingrese un número de teléfono parcial o completo que desee permitir en el campo junto a él. Si ingresa algo como solo 555 , cualquier persona cuyo número de teléfono comience con 555 (como 555-1234 ) será permitido.
  4. Establecer la Acción campo para Permitir .
  5. Haga clic en Crear botón, que guardará el número y lo regresará a la lista de permitidos y denegados.
  6. Para agregar otro número permitido, repita los pasos 2 a 5.
  7. Finalmente, haga clic en Agregar un nuevo número de identificación de llamadas de nuevo y en el formulario de creación establezca Número de teléfono a Todos los números y la Acción Denegar .
  8. Haga clic en Crear para que esta última entrada denegada se agregue a la lista. De ahora en adelante, solo los números de teléfono que autorizó explícitamente podrán conectarse.

Debido a que el sistema verifica cada entrada en la lista en orden y se detiene cuando encuentra una que coincide, cualquier entrada que deniegue (o permita) todas las llamadas debe aparecer al final de la lista; de lo contrario, las posteriores nunca se procesarán. Si desea permitir un nuevo número de teléfono en el futuro, después de agregarlo, las flechas en Mover se debe usar la columna para moverla sobre la entrada final que niega a todos.

Debido a que algunos clientes pueden no proporcionar información de identificación de llamadas, los Números desconocidos La opción para el campo P*número de teléfono* se puede utilizar para hacer coincidir sus llamadas. Sin embargo, permitir que todas las personas desconocidas llamen no es una buena manera de bloquear a los atacantes conocidos, ya que pueden desactivar el envío de información de identificación de llamadas en su línea telefónica.

Las restricciones de identificación de llamadas nunca deben ser la única forma de seguridad en su servidor de acceso telefónico, ya que los números de las personas que llaman son proporcionados por la compañía telefónica y, por lo tanto, no están totalmente bajo su control. La autenticación PPP también debe estar habilitada, de modo que todos los clientes se vean obligados a iniciar sesión.

Control de acceso a módulos

Al igual que otros, este módulo tiene varias opciones que puede configurar en el módulo Usuarios de Webmin para controlar cuáles de sus funciones puede usar un usuario. Son más útiles para deshabilitar partes del módulo que no son útiles en un sistema en particular; por ejemplo, es posible que desee que la página Cuentas PPP solo esté visible para un usuario determinado.

Para editar las opciones de control de acceso en este módulo para un usuario o grupo, los pasos a seguir son:

  1. En el módulo Usuarios de Webmin, haga clic en PPP Dialin Server junto al nombre de un usuario al que se le haya otorgado acceso al módulo.
  2. Para las Páginas disponibles campo, anule la selección de aquellos iconos en la página principal del módulo a los que no desea que el usuario pueda acceder. Si se anula la selección de Opciones PPP, tampoco podrá editar las opciones que se aplican a un único puerto serie.
  3. Si al usuario se le otorga acceso a una sola página, configurar ¿Ir directo a una página? campo a hará que el navegador salte directamente a esa página cuando se ingrese el módulo. Esto es útil para omitir la página principal del módulo cuando solo va a contener un ícono.
  4. Haga clic en Guardar para activar la configuración de control de acceso.

Webmin

  1. Servidor de mensajería instantánea Jabber

  2. Servidor de base de datos PostgreSQL

  3. Servidor ProFTPD

  4. Servidor proxy de calamar

  5. Servidor WU-FTPD

Servidor LDAP

Servidor de base de datos MySQL

Servidor OpenSLP

Servidor de correo Postfix

Servidor SSH

Cliente de acceso telefónico PPP