Levanto User Guide. ver. 1.5

Transcript

1 Levanto User Guide ver. 1.5

2 Pubblicazione a cura di: Tiesse S.p.A. Via Asti, IVREA (TO) Italy Copyright , by Tiesse S.p.A. Tutti i diritti riservati. Diritti di proprietà intellettuale Marchi registrati, marchi, diritti d'autore e ogni altra sigla contenuta in questo documento sono proprietà dei loro rispettivi possessori. Tiesse S.p.A. rispetta la proprietà intellettuale di altri, e chiede pertanto ai propri CLIenti e Utenti un comportamento analogo. Ultimo aggiornamento: 30 aprile 2015

3

4 AVVERTENZE PER LA SICUREZZA DELL UTENTE Utilizzare l'alimentatore o il cavo di alimentazione fornito in dotazione. Non collocare il sistema in un punto in cui il cavo di alimentazione possa essere calpestato. Non appoggiare oggetti sul cavo di alimentazione. Se occorre scollegare l'alimentazione per eseguire interventi di manutenzione, ricordarsi di scollegare il cavo o l'alimentatore dalla parte della presa di corrente. Le antenne GSM e/o RF, laddove il modello di router ne preveda l'utilizzo, devono essere posizionate ad almeno 20 cm dalle persone. INSERIMENTO / ESTRAZIONE SIM (solo per i modelli che lo prevedono): Si raccomanda di fare riferimento al manuale per l installazione della SIM, disponibile sul sito Tiesse ATTENZIONE: prima di rimuovere il coperchio: spegnere l apparato staccare il cavo LAN staccare il cavo di alimentazione dalla presa di corrente staccare le antenne GSM e/o RF se presenti Dopo aver operato all interno del router, richiudere l apparato e fissare il coperchio con le apposite viti collegare il cavo di alimentazione alla presa di corrente collegare le antenne GSM e/o RF se presenti accendere l apparato IN CASO DI GUASTO DELL'APPARATO non intervenire in alcun modo sull apparato contattare Tiesse all indirizzo support@tiesse.com per avviare la procedura di riparazione o sostituzione prevista dalla garanzia

5 CONFORMITÀ EMC E R&TTE Tiesse S.p.A garantisce che i prodotti Levanto sono conformi ai requisiti essenziali delle Direttive europee; 2004/108/CE Compatibilità elettromagnetica 2006/95/CE Bassa Tensione 99/5/CE Apparati Radio e Terminali di Telecomunicazione (R&TTE)e alle pertinenti norme tecniche armonizzate. I dispositivi sono stati progettati in modo da soddisfare i requisiti per l esposizione alle onde radio, definiti secondo linee guida scientifiche e tenendo conto dei margini di sicurezza necessari per garantire la salvaguardia delle persone, indipendentemente dallo stato di salute e dall età. Le linee guida per l esposizione alle onde radio utilizzano un unità di misura conosciuta come Tasso di Assorbimento Specifico o SAR. Le dichiarazioni di conformità e la "User Guide" sono disponibili sul sito Tiesse ( CONFORMITÀ ROHS RAEE INFORMAZIONE AGLI UTENTI Ai sensi dell'art. 26 del Decreto Legislativo 14 marzo 2014, n. 49: "Attuazione della direttiva 2012/19/UE sui rifiuti di apparecchiature elettriche ed elettroniche (RAEE)". Il simbolo del cassonetto barrato riportato sull apparecchiatura o sulla sua confezione indica che il prodotto alla fine della propria vita utile deve essere raccolto separatamente dagli altri rifiuti. La raccolta differenziata della presente apparecchiatura giunta a fine vita è organizzata e gestita da Tiesse S.p.A.. L utente che vorrà disfarsi della presente apparecchiatura dovrà quindi contattare Tiesse S.p.A. all indirizzo support@tiesse.com e seguire il sistema che essa ha adottato per consentire la raccolta separata dell apparecchiatura giunta a fine vita. L adeguata raccolta differenziata per l avvio successivo dell apparecchiatura dismessa al riciclaggio, al trattamento e allo smaltimento ambientalmente compatibile contribuisce ad evitare possibili effetti negativi sull ambiente e sulla salute e favorisce il reimpiego e/o riciclo dei materiali di cui è composta l apparecchiatura. Lo smaltimento abusivo del prodotto da parte del detentore comporta l applicazione delle sanzioni amministrative previste dalla normativa vigente. Tiesse S.p.A. garantisce inoltre che le apparecchiature da essa prodotte soddisfano le direttive RoHS (Restriction of Hazardous Substances) che limitano l uso di materiali pericolosi nella produzione di dispositivi elettrici ed elettronici. CONDIZIONI DI UTILIZZO Il modulo Levanto e tutti i suoi componenti devono essere utilizzati solamente e unicamente per lo scopo per i quali sono preposti. Tiesse declina ogni responsabilità derivata dall'uso improprio o maldestro del modulo o di una o più parti di cui è composto. Pertanto assicurarsi di effettuare una corretta manutenzione dell'intero sistema.

6 Levanto User Guide SOMMARIO AVVERTENZE PER LA SICUREZZA DELL UTENTE... 4 INSERIMENTO / ESTRAZIONE SIM... 4 IN CASO DI GUASTO DELL'APPARATO... 4 CONFORMITÀ EMC E R&TTE... 5 CONFORMITÀ ROHS RAEE... 5 CONDIZIONI DI UTILIZZO... 5 SOMMARIO... 6 INTRODUZIONE... 9 ACCESSO AL MODULO USERNAME E PASSWORD CONCEDERE E REVOCARE PRIVILEGI PROCEDURA DI PASSWORD RECOVERY REBOOT DEL MODULO CONFIGURAZIONE DI LEVANTO LA PROCEDURA DI CONFIGURAZIONE GUIDA AI COMANDI CLI INTERFACCIA ETHERNET CONFIGURAZIONE VISUALIZZAZIONE STATO INTERFACCIA TRIGGER ETHERNET TRIGGER DHCP CLIENT GESTIONE PORTE ETHERNET: MII-TOOL INTERFACCIA GPRS CONFIGURAZIONE VISUALIZZAZIONE TRIGGER GPRS CONTROLLO SESSIONE GPRS RACCOLTA DATI DI TRAFFICO GESTIONE SMS NOTIFICA CONNESSIONE MOBILE: COMANDO HELLO INTERROGAZIONE DIRETTA DEL MODEM: COMANDO GPRSAT SERVIZIO FLEX IP Esempio di Configurazione Esempio di Visualizzazione INTERFACCIA RS APPLICAZIONI SULLA PORTA SERIALE CONFIGURAZIONE TERMINAL SERVER CONFIGURAZIONE POS CONFIGURAZIONE MODBUS CONFIGURAZIONE FLATMODEM VISUALIZZAZIONE ROTTE STATICHE CONFIGURAZIONE ROTTE STATICHE BLOCCO DEL TRAFFICO MEDIANTE ROTTE STATICHE VISUALIZZAZIONE ROTTE STATICHE... 53

7 Levanto User Guide INDIRIZZO DI LOOPBACK, GESTIONE INTERFACCE DI RETE INDIRIZZO LOOPBACK COMANDO IFCONFIG INDIRIZZI SECONDARI (ALIAS) IL COMANDO IP GENERALITÀ VISUALIZZARE LO STATO DELLE INTERFACCE, LE TABELLE DI ARP E DI ROUTING MEDIANTE COMANDO IP IL COMANDO IPTABLES GENERALITÀ TABELLE, CATENE, REGOLE E TARGET FIREWALL CON LA TABELLA FILTER NETWORK ADDRESS TRANSLATION CON LA TABELLA NAT PORT FORWARDING ALTERAZIONE APPLICAZIONE DELLE REGOLE SUI PACCHETTI CRITERI STANDARD DI MATCH TARGET CRITERI AVANZATI DI MATCH LOAD BALANCING LOGGING DEI PACCHETTI ACCOUNTING DEI PACCHETTI TUNNEL GRE CONFIGURAZIONE DI UN TUNNEL GRE CONFIGURAZIONE DI PIÙ TUNNEL GRE TRIGGER GRE CONFIGURAZIONE GRE MEDIANTE COMANDO CREATE-TUNNEL PROTOCOLLO RADIUS CONFIGURAZIONE PROTOCOLLO RADIUS PROTOCOLLO SNMP CONFIGURAZIONE PROTOCOLLO SNMP VISUALIZZAZIONE SNMP SYSLOG CONFIGURAZIONE DELLA FUNZIONALITÀ DI LOGGING NTP CONFIGURAZIONE DEL PROTOCOLLO NTP TRIGGER NTP OPENVPN CONFIGURAZIONE TRIGGER OPENVPN ESEMPI DI USO GENERAZIONE DEI CERTIFICATI DISTRIBUZIONE DEI CERTIFICATI ESECUZIONE PIANIFICATA DI COMANDI COMANDI DI CONFIGURAZIONE: COMANDI DI VISUALIZZAZIONE PROTOCOLLO DHCP... 95

8 Levanto User Guide CONFIGURAZIONE DEL SERVIZIO DHCP-SERVER SERVIZIO DHCP RELAY AGENT VISUALIZZAZIONE DEL SERVIZIO DHCP TIMEZONE CONFIGURAZIONE DEL TIMEZONE O FUSO ORARIO MECCANISMI DI ATTIVAZIONE BACKUP COMANDO SET BACKUP COMANDO SET TRIGGER BACKUP COMANDO SET EXTBACKUP GESTIONE E AGGIORNAMENTO CONFIGURAZIONI GESTIONE DELLE CONFIGURAZIONI INTERMEDIE DOWNLOAD E UPLOAD DELLE CONFIGURAZIONI CAVEAT ESECUZIONE COMANDI CLI AL REBOOT DEL MODULO

9 Introduzione INTRODUZIONE Il modulo Levanto è un sistema di comunicazione destinato ad operare sulle reti GSM e GPRS dei principali operatori mobili per supportare tutte le applicazioni relative a sistemi di telecontrollo, telegestione e telelettura da remoto di applicazioni e dispositivi elettronici. Sono disponibili due modelli: Levanto-100 caratterizzato da una porta seriale RS232 e modem GPRS: Levanto-110 caratterizzato da una porta seriale RS232, una porta Ethernet e modem GPRS Levanto-310 caratterizzato da una porta seriale RS232, una porta Ethernet e modem UMTS Consultare la e la Guida Inserimento SIM, disponibili sul sito per tutte le operazioni di installazione, caratteristiche tecniche, significato dei led,... 9

10 Accesso al Modulo ACCESSO AL MODULO L'accesso al dispositivo Levanto può avvenire via seriale o utilizzando l'interfaccia mobile. L accesso può essere effettuato mediante la porta seriale RS232 configurata in modalità console (configurazione di default), tramite il cavo seriale in dotazione, utilizzando un qualsiasi emulatore di terminale. I parametri di default da impostare sul terminale per il collegamento verso la porta seriale sono i seguenti: Bits per second: 9600 Data Bits: 8 Parity: None Stop bits: 1 Per l'accesso via interfaccia Ethernet: Collegare un cavo ethernet cross all'interfaccia del Levanto Collegare l'altra estremità del cavo alla scheda Ethernet del pc Aprire una applicazione di terminale Telnet sul pc e collegarsi al modulo attenendosi ai seguenti parametri di rete: IP address: Netmask: Broadcast: Network address: Welcome to the Tiesse LEVANTO router LEVANTO login: root No Radius configured. Using Local authentication Password: local: Authentication OK Service Type is: Administrative-User Idle timeout is set to 3600 seconds Connected Users: root You are logged on ttys2 root@levanto> Dopo l'accensione del modulo l'attivazione delle funzionalità di comunicazione potrebbe richiedere alcuni secondi, a causa della necessità di alimentare ed inizializzare le varie interfacce. E' possibile effettuare l'accesso al modulo anche utilizzando l'interfaccia mobile via Telnet da remoto. I protocolli supportati sono GSM e GPRS. 10

11 Accesso al Modulo USERNAME E PASSWORD Per accedere a Levanto è necessario specificare login e password: La configurazione di fabbrica di Levanto riconosce la seguente login e relativa password: Login: Password: root tiesseadm é possibile cambiare la password dell utente root mediante il comando CLI: change_password root che in modalità interattiva chiede di introdurre la nuova password. E' possibile aggiungere ulteriori utenti mediante il comando: add_user <user_name> il quale richiede di specificare anche la password associata. Sono previsti due tipi di utenti: Administrative-User e Login-User. Gli utenti Administrative possono eseguire qualsiasi comando previsto dalla CLI, mentre gli utenti Login possono eseguire un sottoinsieme ridotto di comandi, ad esempio non possono eseguire quei comandi che permettono di modificare la configurazione. Gli utenti aggiunti tramite il comando add_user sono di tipo Login. Il comando su permette di passare dalla modalità Login a quella Administrative. Ad esempio: Welcome to the Tiesse LEVANTO router No Radius configured. Using Local authentication login: mario Password: local: Authentication OK Service Type is: Login-User Idle timeout is set to 3600 seconds Connected Users: ttyp0 mario You are logged on ttyp0 mario@levanto# set hostname MyRouter Command "set hostname MyRouter..." not allowed for this user mario@levanto# su root Password: root@levanto> set hostname MyRouter Setting hostname to MyRouter root@levanto> quit mario@levanto# mario@levanto# set eth0 ipaddr Command "set eth0 ipaddr " not allowed for this user mario@levanto# Si accede al modulo usando l utente mario e si tenta di eseguire il comando 11

12 Accesso al Modulo set hostname per cambiare il nome del modulo, ma il comando fallisce a causa dei mancati privilegi. Si esegue allora il comando su, specificando correttamente la password si entra nella modalità Administrative, e si cambia l hostname. Con il comando quit si ritorna all utente precedente. Da notare l ultimo carattere del prompt: il carattere # in caso di Login-User ed il carattere > in caso di Administrative-User. É possibile configurare la modalità di autenticazione tramite protocollo Radius come descritto nel capitolo relativo. In tale caso è il server Radius che determina quale utente ha pieni diritti e quali utenti hanno diritti limitati. CONCEDERE E REVOCARE PRIVILEGI Un utente di tipo Administrative-User può concedere ad utente di tipo Login la possibilità di eseguire particolari comandi che altrimenti sarebbero negati e allo stesso modo può revocare ad un utente di tipo Administrative la possibilità di eseguire alcuni comandi che normalmente sarebbero concessi. Il comando: grant-to <username> <command prefix> eseguito da un utente di tipo Administrative concede all utente <username> (di tipo Login) la possibilità di eseguire tutti i comandi che iniziano con il prefisso specificato. Il comando: revoke-to <username> <command prefix> eseguito da un utente di tipo Administrative revoca all utente <username> (di tipo Administrative) la possibilità di eseguire i comandi che iniziano con il prefisso specificato. Ad esempio, supponiamo che siano stati definiti gli utenti operatore e tecnico, rispettivamente di tipo Login-User e Administrative-User. Normalmente l utente operatore può solo controllare la configurazione, ma non può intervenire su di essa, mentre l utente tecnico può modificarla senza alcun vincolo. I comandi: grant-to operatore set eth0 revoke-to tecnico set hostname consentono all utente operatore la possibilità di configurare la porta ethernet e revocano all utente tecnico la possibilità di configurare l hostname. Per eliminare un privilegio concesso e togliere una revoca si usano rispettivamente i comandi: no-grant-to <username> <command prefix> no-revoke-to <username> <command prefix> La stringa <command prefix> è la parte iniziale di un qualsiasi comando di configurazione. Attenzione al caso in cui sia presente un solo utente Admnistrative, ad esempio root. I comandi: revoke-to root set revoke-to root no-revoke 12

13 Accesso al Modulo tolgono definitivamente la possibilità all utente root di eseguire un qualsiasi comando di configurazione. PROCEDURA DI PASSWORD RECOVERY Se si utilizza il collegamento seriale è possibile utilizzare una login particolare che consente l accesso al modulo senza chiedere la password in modo da poter effettuare il ripristino della configurazione di fabbrica. Il valore della login può essere quello di default, oppure è possibile concordare con il CLIente un valore riservato solo ad esso. Utilizzando tale login si accede direttamente all ambiente di configurazione, senza passare attraverso la shell di Linux. REBOOT DEL MODULO Per effettuare il riavvio del modulo è disponibile il comando: reboot Al riavvio, tutte le modifiche non salvate, tramite il comando save, verranno perse. E possibile programmare un reboot a tempo, specificando dopo quanti secondi questo deve essere eseguito: schedule-reboot wait N Il controllo viene restituito all utente, in modo che possono essere eseguiti eventuali altri comandi. Per annullare l operazione di reboot programmata è disponibile il comando: no-schedule-reboot Si raccomanda di non effettuare salvataggi della configurazione quando è programmata l operazione di reboot. 13

14 Configurazione di Levanto CONFIGURAZIONE DI LEVANTO Per effettuare la configurazione di Levanto l'operatore ha a disposizione una interfaccia a caratteri denominata Command Line Interface (CLI). Mediante la CLI è possibile configurare, attivare e verificare interfacce e servizi disponibili su Levanto. LA PROCEDURA DI CONFIGURAZIONE I comandi per configurare Levanto sono suddivisi in 4 categorie: comandi di configurazione comandi di verifica comandi di attivazione dei parametri comandi di salvataggio Per svolgere le fasi di configurazione e di attivazione si ha a disposizione il comando: set Per la fase di verifica si hanno a disposizione lo stato dei led e il comando: show Per salvare la configurazione completa e verificata si ha a disposizione il comando: save Si impiega inoltre il comando: restore al fine di ripristinare particolari configurazioni. Distinguiamo tre tipi differenti di configurazione: current saved started La configurazione current è quella contenente tutti i valori impostati nella fase di configurazione. La configurazione saved è quella salvata sulla flash di Levanto con il comando save ed è quella con la quale l'apparato si attiverà al prossimo boot. La configurazione started è quella con la quale l'apparato si è attivato al boot. Al termine del boot e prima che cominci la fase di configurazione, le tre configurazioni sono uguali. Durante la fase di configurazione e verifica, le configurazioni saved e started sono uguali. Dopo aver eseguito il comando save, la configurazione current diventa anche saved e sarà quella con cui si attiverà l'apparato al prossimo boot. È possibile visualizzare il contenuto dei tre diversi profili di configurazione mediante il comando: show config current saved started 14

15 Configurazione di Levanto Occorre completare sempre la fase di configurazione e di verifica con il comando save, così da rendere permanenti i valori assegnati ai vari parametri. Inoltre è possibile gestire fasi intermedie di configurazione. Il comando CLI set checkpoint permette di creare un salvataggio intermedio, denominato checkpoint, utile per salvare un profilo di configurazione relativo ad un certo istante. Tramite il comando restore checkpoint è possibile ripristinare la particolare configurazione salvata. Ad esempio: set checkpoint-1 crea un salvataggio intermedio che in qualsiasi momento può essere richiamato mediante il comando: restore checkpoint-1 Possono essere presenti 2 configurazioni intermedie: checkpoint-1 e checkpoint-2. Un altro esempio di utilizzo di ripristino di configurazione è il seguente comando: restore factory che permette di ripristinare la configurazione di fabbrica del modulo. Dopo aver effettuato il comando di restore, è necessario eseguire il comando save ed effettuare il reboot del modulo. Il comando: sync-config permette invece di allineare lo stato del modulo (configurazione interfacce, indirizzi IP etc.) ad una specifica configurazione. Distinguiamo cinque tipi differenti di configurazione a cui è possibile sincronizzare lo stato del modulo: dove: checkpoint-1 checkpoint-2 current saved started la configurazione checkpoint-1 è quella salvata con il comando: set checkpoint-1 la configurazione checkpoint-2 è quella salvata con il comando: set checkpoint-2 la configurazione current è quella contenente tutti i valori impostati nella fase di configurazione la configurazione saved è quella salvata sulla flash di Imola con il comando save ed è quella con la quale l'apparato si attiverà al prossimo boot. la configurazione started è quella con la quale l'apparato si è attivato al boot. 15

16 Configurazione di Levanto GUIDA AI COMANDI CLI La CLI di Levanto è fornita di un help in linea, che consente di guidare l'utente verso la corretta formulazione sintattica e semantica di tutti i comandi disponibili. Premendo due volte il pulsante <TAB> verranno mostrati tutti i comandi disponibili. Inoltre è possibile il completamento intelligente dei comandi o la visualizzazione delle alternative disponibili mediante l ausilio del tasto <TAB>. Infine, nel caso in cui il comando invocato fosse incompleto, verrà chiamata automaticamente una funzionalità di help che fornirà tutti i ragguagli necessari al corretto completamento dell'istruzione CLI. No Radius configured. Using Local authentication login: root Password: ********* local: Authentication OK Service Type is: Administrative-User Idle timeout is set to 600 seconds Connected Users: ttyp0 recovery_user root@levanto> # download record show add_user exit restore su append help router traceroute no-record run upload change_password ping save version clear_counter quit set who del_user reboot shell root@levanto> root@levanto> set access-list no-access-list no-radius no-redirect alias no-alias no-rip autocmd no-autocmd no-route backup no-backup no-snmp banner no-banner no-source-nat bgp no-bgp no-trigger checkpoint-1 no-default-gateway no-vrrp checkpoint-2 no-dns ntp comment no-eth0 ospf default-gateway pos dns no-gprs ppp eth0 no-gre proxy no-host qos gprs no-ipsec radius gre no-iptables redirect 16

17 Configurazione di Levanto host no-isdn rip hostname no-log route ipsec no-loopback snmp iptables no-ntp source-nat isdn no-ospf timezone log no-ppp trigger loopback no-qos vrrp Figura 1: autocompletamento del comando ed elencazione parametri accettati alla pressione del tasto <TAB> set eth0 Usage: set eth0 keyword <value> set eth0 ipaddr <value> [netmask <value>] [broadcast <value>] [mtu <value>] set eth0 broadcast <value> set eth0 dhcp-client set eth0 dhcp-server... set eth0 netmask <value> set eth0 no-dhcp-client set eth0 no-dhcp-server set eth0 description set eth0 no-description set eth0 speed <value> set eth0 on set eth0 off Figura 2: help in linea automatico per comandi inseriti in modo non corretto Riassumendo, le regole base per il setup di una interfaccia o di un servizio sono sostanzialmente di configurazione e di successiva attivazione dei parametri configurati. 17

18 Interfaccia Ethernet INTERFACCIA ETHERNET CONFIGURAZIONE L'interfaccia Ethernet di Levanto è presente solo nel modello 110 ed è denominata eth0. Per impostare l'indirizzo IP dell'interfaccia ethernet si utilizza il seguente comando CLI: set eth0 ipaddr <ip_address> [netmask <netmask> broadcast <broadcast>] Ad esempio, per configurare l'interfaccia eth0 con indirizzo IP /16, specificandone il broadcast, si procede come nel seguente modo: set eth0 ipaddr netmask broadcast Per attualizzare i parametri impostati è necessario eseguire il comando: set eth0 on Per disattivare l'interfaccia ethernet si usa il comando: set eth0 off Per disattivare e disabilitare l'interfaccia ethernet si usa il comando: set no-eth0 Per configurare il default gateway il comando è: set default-gateway <gw_ip_address> mentre per rimuoverlo: set no-default-gateway Ad esempio, per impostare l'indirizzo come gateway di default può essere impiegata la seguente linea di comando: set default-gateway mentre per rimuovere lo stesso default gateway: set no-default-gateway È possibile impostare o rimuovere il servizio DHCP CLIent mediante i comandi: set eth0 dhcp-client set eth0 no-dhcp-client Per aggiungere una voce alla lista degli host si utilizza il seguente comando CLI: set host <ip_address> mentre per effettuarne la rimozione: set no-host <ip_address> Ad esempio, per aggiungere l'host con hostname BarryWhite: set host BarryWhite 18

19 Interfaccia Ethernet e per cancellarlo dalla lista: set no-host Inoltre è possibile attivare uno o più indirizzi secondari, denominati alias. Per impostare o rimuovere una alias interface si utilizza il seguente comando CLI: set alias no-alias eth0 ipaddr <alias_ip_addr> netmask <netmask> Ad esempio, per impostare e rimuovere l'alias per l'interfaccia eth0 con indirizzo IP /24 si procede come nel seguente esempio: set alias eth0 ipaddr netmask set no-alias eth0 ipaddr netmask È possibile disattivare la funzione di IP Redirect mediante il comando: set eth0 no-ip-rediect oppure abilitarla mediante set eth0 ip-redirect. È possibile attivare (o disattivare) una descrizione dell'interfaccia ethernet, restituita dall'agent SNMP (se configurato ed attivato) ad interrogazioni della variabile della Mib_II ifdescr, con i seguenti comandi: set eth0 description no-description <value> È possibile impostare il tipo di connessione ethernet, evitando la procedura di autonegoziazione: set eth0 speed <value> set eth0 on dove <value> può assumere uno dei seguenti valori: 100BaseT4 100BaseTx-FD 10BaseT 10BaseT-HD 100BaseTx 100BaseTx-HD 10BaseT-FD VISUALIZZAZIONE STATO INTERFACCIA Per visualizzare la configurazione dell'interfaccia ethernet viene impiegato il seguente comando CLI: show interface ethernet eth0 config statistics status In particolare con l'argomento config vengono visualizzati i seguenti dati dell'interfaccia in oggetto: Indirizzo IP Netmask Broadcast MAC_Address DHCP-CLIent 19

20 Interfaccia Ethernet Specificando l'argomento statistics vengono visualizzate le statistiche relative all'interfaccia in oggetto. Infine, mediante l'argomento status viene visualizzato lo stato dell'interfaccia ethernet specificata. Per visualizzare la tabella di routing è possibile impiegare il comando CLI: show route Infine è possibile visualizzare gli alias impostati su un modulo Levanto mediante il comando CLI show alias Seguono alcuni esempi significativi degli output a video dei comandi descritti nel presente paragrafo. root@levanto> show interface ethernet eth0 config IP Address: Netmask: Broadcast: MAC Address: 00:0D:5A:04:6F:F6 DHCP-CLIent: no Figura 3: Esempio di output comando: show interface ethernet eth0 config root@levanto> show interface ethernet eth0 statistics 6: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100 link/ether 00:0D:5A:04:6F:F6 brd ff:ff:ff:ff:ff:ff RX: bytes packets errors dropped overrun mcast TX: bytes packets errors dropped carrier collsns inet /16 brd scope global eth0 Figura 4: Esempio di output comando: show interface ethernet eth0 statistics root@levanto> show interface ethernet eth0 status eth0: negotiated 100baseT4 flow-control, link ok Figura 5: Esempio di output comando: show interface ethernet eth0 status root@levanto> show route Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface U eth0 Figura 6: Esempio di output comando: show route root@levanto> show alias 20

21 Interfaccia Ethernet ALIAS= eth0 ipaddr netmask ALIAS= eth0 ipaddr netmask Figura 7: Esempio di output comando: show alias TRIGGER ETHERNET E possibile definire delle azioni da eseguire al variare dello stato dell interfaccia operativa della porta ethernet mediante i comandi: set trigger eth0 up <action> set trigger eth0 down <action> dove <action> può essere un qualsiasi comando CLI oppure un qualsiasi comando Linux supportato da Levanto. Una sequenza di azioni viene configurata mediante una sequenza di comandi: set trigger eth0 up <action1> set trigger eth0 up <action2> set trigger eth0 up <actionn> L esecuzione delle azioni avviene secondo l ordine con cui sono state impostate. Ad esempio mediante i comandi: set trigger eth0 up logger Ethernet0 is up set trigger eth0 down logger Ethernet0 is down viene effettuato il log di un messaggio che indica la variazione dell interfaccia operativa della porta Ethernet eth0. Per cancellare un trigger si utilizzano i comandi: set no-trigger eth0 up <action> set no-trigger eth0 down <action> TRIGGER DHCP CLIENT Nel caso sia configurato il DHCP CLIent, è possibile definire delle azioni da eseguire quando viene ottenuto un indirizzo IP e delle azioni da eseguire quando questo viene rilasciato mediante i comandi: set trigger dhcp up <action> set trigger dhcp down <action> dove <action> può essere un qualsiasi comando CLI oppure un qualsiasi comando Linux supportato da Levanto. L esecuzione delle azioni avviene secondo l ordine con cui sono state impostate. 21

22 Interfaccia Ethernet Ad esempio mediante i comandi: set trigger dhcp up logger We got an address set trigger dhcp up ip route add via set trigger dhcp down logger Ethernet is not ready si effettua il logging di un messaggio che indica che è stato ottenuto un indirizzo IP e si aggiunge una rotta statica verso un host. Quando l indirizzo viene rilasciato si logga un messaggio. Per cancellare un trigger si utilizzano i comandi: set no-trigger dhcp up <action> set no-trigger dhcp down <action> GESTIONE PORTE ETHERNET: MII-TOOL Il comando mii-tool verifica o imposta lo stato dell interfaccia Fast Ethernet eth0. Attivato con le apposite opzioni, le funzionalità offerte dal comando sono sostanzialmente le seguenti: effettuare il reset della porta, forzando la velocità di negoziazione a 10Mbps forzare il restart della autonegoziazione fissare la velocità della porta ad uno specifico valore effettuare il restart della negoziazione, specificando però le velocità accettate dalla porta modificare la funzionalità di crossover delle porte switch effettuare il monitor dello stato delle porte La modalità operativa del comando è la seguente: mii-tool [<opzione>] [<parametro>] <interfaccia> Nel seguito sono descritte le opzioni ed i parametri accettati: Opzione Parametri Uso -r - Restart autonegoziazione -R - -F -A 100baseTx-FD, 100baseTx-HD, 10baseT-FD, 10baseT-HD 100baseTx-FD, 100baseTx-HD, 10baseT-FD, 10baseT-HD Resetta l interfaccia alla configurazione di default e fissa la velocità di negoziazione a 10Mbps Disabilita l'autonegoziazione e forza la velocità della porta al valore indicato Abilita e fa ripartire la procedura di autonegoziazione, specificando però le sole velocità accettate -v -- Visualizza lo stato e la configurazione della porta specificata Nell esempio di seguito si verifica lo stato della porta eth0: 22

23 Interfaccia Ethernet mii-tool -v -v eth0 Using the new SIOCGMIIPHY value on PHY 3 (BMCR 0x0000). Basic mode control register 0x2100: Auto-negotiation disabled, with Speed fixed at 100 mbps, full-duplex. You have link beat, and everything is working OK. This transceiver is capable of 100baseTx-FD 100baseTx 10baseT-FD 10baseT. Able to perform Auto-negotiation, negotiation not complete. Link partner information is not exchanged when in fixed speed mode. End of basic transceiver information. MII PHY #3 transceiver registers: d 0015 f450 01e ffff ffff ffff ffff ffff ffff ffff 00d8 c c d a6f 7fff 0eb3 Figura 8: Esempi o di output comando: mii-tool 23

24 Interfaccia GPRS INTERFACCIA GPRS CONFIGURAZIONE La configurazione viene effettuata con i comandi della sessione GPRS della CLI. Per attivare l'interfaccia mobile di Levanto è disponibile il comando CLI: set gprs on Mentre per disattivare l'interfaccia GPRS può essere impiegato il comando: set gprs off Se invece si vuole disattivare l'interfaccia GPRS e disabilitarne la configurazione è disponibile il comando CLI: set no-gprs Prima di attivare l'interfaccia GPRS è necessario eseguire alcune operazioni di configurazione, secondo le indicazioni e i valori forniti dal Provider con cui si è stipulato il contratto, utilizzando i comandi CLI indicati di seguito. Configurazione dell APN: set gprs apn <value> Configurazione login e password per l'autenticazione PPP: set gprs login <value> password <value> Per attivare o disattivare una rotta di default sulla connessione GPRS: set gprs default-route set gprs no-default-route Per abilitare o disabilitare il Port Address Translation (PAT) sulla connessione GPRS: set gprs masquerade set gprs no-masquerade Nella configurazione di default la connessione GPRS rimane sempre attiva. È possibile però configurare l'interfaccia in modo da terminare la connessione dopo un certo numero di secondi di inattività, ristabilendola alla prima richiesta di trasmissione: set gprs on-demand yes no set gprs idle <value> Il parametro idle permette di definire un intervallo di tempo di inattività della sessione GPRS: se all interno di tale intervallo non viene ricevuto o trasmesso alcun pacchetto la sessione GPRS viene abbattuta e nel caso in cui non sia stata configurata in modalità on-demand, essa viene automaticamente riattivata. E possibile conteggiare l inattività della sessione solamente in base ai caratteri ricevuti, ignorando quelli trasmessi, utilizzando i comandi: set gprs idle 0 24

25 Interfaccia GPRS set gprs rx-idle <value> Occorre tenere presente che il comando set gprs idle 0 annulla il controllo di inattività sia in trasmissione che in ricezione. Per configurare la velocità del modem viene impiegato il comando CLI: set gprs speed <value> Il comando: set gprs mtu 1500 imposta il Max Transfer Unit (MTU) relativo all'interfaccia GPRS. A volte alcune configurazioni di APN limitano a 1476 la dimensione dei pacchetti trasmessi, per cui in questi casi conviene utilizzare il comando: set gprs mtu 1476 Mediante i seguenti comandi: set gprs lcp-echo-interval set gprs lcp-echo-failure possiamo impostare rispettivamente la frequenza con cui vengono inviati i pacchetti lcp echo request ed il numero di tentativi da effettuare prima di abbattere l'interfaccia GPRS. L'interfaccia verrà ripristinata automaticamente, subito dopo l'abbattimento della stessa. È possibile invece negoziare i parametri DNS direttamente dal peer con il comando: set gprs usepeerdns Per impostare la modalità di autenticazione su linee GPRS (il default è l autenticazione CHAP), viene impiegato il comando: set gprs sgauth <auth_type_code> Le varie modalità di autenticazione possono essere specificate impiegando i seguenti codici: 0: nessun tipo di autenticazione 1: autenticazione PAP 2: autenticazione CHAP 3: autenticazione PAP e CHAP Sono disponbili dei comandi che permettono di selezione il tipo di rete mobile (3G o 2G) cui collegarsi: set gprs auto-network La scelta viene affidata al modulo radio, il quale seleziona la rete migliore disponibile in quel momento, al variare della disponibilità il modem passa in maniera automatica da una rete all altra, effettuando l operazione di roaming. set gprs umts Il modem tenta di registrarsi alla rete 3G, se non riesce passa alla rete 2G. Rispetto al comando precedente, una volta selezionato un tipo di rete, il modem resta collegato ad essa fino alla disconnessione. 25

26 Interfaccia GPRS set gprs no-umts Configura il modem per lavorare solamente sulla rete 2G. set gprs umts-only Configura il modem per lavorare solamente sulla rete 3G. È possibile attivare (o disattivare) una descrizione dell'interfaccia GPRS, che sarà restituita dall'agent SNMP (se configurato ed attivato) ad interrogazioni della variabile della MibII ifdescr, con i seguenti comandi: set gprs description set gprs no-description <value> Una sequenza significativa di comandi di configurazione dell'interfaccia GPRS può essere la seguente: set gprs apn ibox.tim.it set gprs default-route set gprs masquerade set gprs on È possibile attivare sull'interfaccia una connessione GSM V110, anziché GPRS, con i seguenti comandi: set gprs v110 set gprs apn <value> in questo caso l argomento <value> rappresenta il numero di telefono da chiamare. Se si configura la connessione di tipo on demand, si può stabilire quali sono i pacchetti che contribuiscono a mantenere attiva la connessione ppp (gprs o v110) mediante il comando: set access-list dial-ppp prot <prot> port <value> from <src> to <src> (vedere capitolo relativo alle access list dell'imola User Guide). L interfaccia di rete per la sessione GPRS è di tipo PPP ed il nome ad essa assegnato è pppx, dove X è un indice che di solito assume il valore 0 (ppp0). VISUALIZZAZIONE È possibile visualizzare informazioni riguardanti la configurazione, le statistiche e lo stato dell'interfaccia GPRS. Il comando CLI è il seguente: show interface gprs config statistics status Ad esempio, il comando show interface gprs config produce un output a video simile a quanto riportato nella Figura 10: root@levanto> show interface gprs config Start GPRS: yes 26

27 Interfaccia GPRS APN: ibox.tim.it PPP Login: mylogin PPP Passwd: mypasswd MTU: 576 Idle Timeout: 3600 Masquerade: yes Deflt-Route: yes Figura 9: Esempio di output comando: show interface gprs config Il comando show interface gprs statistics produce un output a video simile al seguente (Figura 11): root@levanto> show interface gprs statistics Number of GPRS Connection: 1 Total Bytes Transmitted: 40 Total Bytes Received: 1517 Total Duration: 3 Figura 10: Esempio di output comando: show interface gprs statistics Il comando show interface gprs status produce un output a video simile a quanto mostrato dalla Figura 12: root@levanto> show interface gprs status Signal Quality: +CSQ: 17,99 Network: GPRS There is an active GPRS Connection: 31: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP> mtu 1500 qdisc pfifo_fast qlen 3 link/ppp RX: bytes packets errors dropped overrun mcast TX: bytes packets errors dropped carrier collsns inet peer /32 scope global ppp0 Figura 11: Esempio di output comando: show interface gprs status Il livello di campo o dbm segnalato dal modem GPRS (le classiche tacche visualizzate dal telefono GSM) è visualizzato tra le informazioni riportate dal comando ed è identificabile, nell esempio sopra, dal Signa Quality: +CSQ: 17,99. Il valore del livello di campo è anche ottenibile partendo dal valore CSQ. Riferendosi all esempio precedente, il livello di campo (dbm) si ottiene mediante una semplice operazione aritmetica: CSQ*2-113 = dbm 17 * = -79 Il valore ottenuto ci servirà per capire il livello di segnale disponibile (le classiche tacche visibili sul display del cellulare): 27

28 Interfaccia GPRS dbm # tacche -105 to to to to > Il valore CSQ 99,99 indica un livello di segnale non disponibile (il modem non è connesso alla rete). Mediante l attivazione del meccanismo di log di sistema è possibile verificare eventuali problemi di attivazione del link. Per attivare i log di sistema utilizzare i comandi descritti nell apposito capitolo. Di seguito sono riportate 2 sezioni di messaggi di log relativi ad una sessione attivata in modo corretto e ad una sessione non attivata (APN errato): root@levanto> set gprs on root@levanto> show log Jan 1 04:47:25 localhost GPRS[13375]: Trying Speed Jan 1 04:47:25 localhost GPRS[13375]: Modem OK Jan 1 04:47:31 localhost pppd[13380]: pppd started by root, uid 0 Jan 1 04:47:38 localhost pppd[13380]: Serial connection established. Jan 1 04:47:38 localhost pppd[13380]: Using interface ppp0 Jan 1 04:47:38 localhost pppd[13380]: Connect: ppp0 <--> /dev/ttys1 Jan 1 04:47:38 localhost pppd[13380]: Remote message: TTP Com PPP - Password Verified OK Jan 1 04:47:39 localhost pppd[13380]: local IP address Jan 1 04:47:39 localhost pppd[13380]: remote IP address Figura 12: Sessione GPRS attivata con successo root@levanto> set gprs on root@levanto> show log Jan 1 04:47:25 localhost GPRS[13375]: Trying Speed Jan 1 04:47:25 localhost GPRS[13375]: Modem OK Jan 1 04:47:31 localhost pppd[13380]: pppd started by root, uid 0 Jan 1 04:47:38 localhost pppd[13380]: Serial connection established.jan 1 05:03:07 localhost pppd[14236]: Using interface ppp0 Jan 1 05:03:07 localhost pppd[14236]: Connect: ppp0 <--> /dev/ttys1 Jan 1 05:03:08 localhost pppd[14236]: Remote message: TTP Com PPP - Password Verified OK Jan 1 05:03:17 localhost pppd[14236]: Terminating on signal 15. Jan 1 05:03:17 localhost pppd[14236]: Connection terminated. Jan 1 05:03:18 localhost pppd[14236]: Exit. Figura 13: Sessione GPRS non attivata per APN errato E possibile tracciare tutta la sequenza di attivazione del protocollo PPP specificando l opzione: 28

29 Interfaccia GPRS set gprs debug In questo caso la sequenza di messaggi di log contiene maggiori dettagli relativamente alla fase di negoziazione dei parametri: set gprs on show log Dec 2 07:17:11 MR-Coach287-8 root: GPRS - Power On Modem.. Dec 2 07:17:21 MR-Coach287-8 GPRS[22884]: Trying Port /dev/ttys1 Dec 2 07:17:22 MR-Coach287-8 GPRS[22884]: Modem OK Dec 2 07:17:31 MR-Coach287-8 root: GPRS - Trying Auto Network Dec 2 07:17:31 MR-Coach287-8 root: GPRS - Verify Network Registration Dec 2 07:17:32 MR-Coach287-8 root: AT+CREG? Dec 2 07:17:32 MR-Coach287-8 root: +CREG: 0,1 Dec 2 07:17:32 MR-Coach287-8 root: OK Dec 2 07:17:32 MR-Coach287-8 root: AT+CSQ Dec 2 07:17:32 MR-Coach287-8 root: +CSQ: 6,0 Dec 2 07:17:32 MR-Coach287-8 root: OK Dec 2 07:17:32 MR-Coach287-8 root: GPRS - Network Registered Dec 2 07:17:33 MR-Coach287-8 pppd[23130]: pppd started by Tiesse Dec 2 07:17:34 MR-Coach287-8 chat[23132]: send (AT+CGDCONT=1,"IP","ibox.tim.it Dec 2 07:17:34 MR-Coach287-8 chat[23132]: AT+CGDCONT=1,"IP","ibox.tim.it Dec 2 07:17:34 MR-Coach287-8 chat[23132]: send (AT+CGATT=1^M) Dec 2 07:17:34 MR-Coach287-8 chat[23132]: send (ATD*99***1#^M) Dec 2 07:17:34 MR-Coach287-8 chat[23132]: CONNECT sent [LCP ConfReq id=0x1 <mru 1476> <asyncmap 0x0> <magic 0xe2270bc4>.. rcvd [LCP ConfReq id=0x0 <asyncmap 0x0> <auth chap MD5> <magic 0x6d503910>.. sent [LCP ConfAck id=0x0 <asyncmap 0x0> <auth chap MD5> <magic 0x6d503910>.. rcvd [LCP ConfAck id=0x1 <mru 1476> <asyncmap 0x0> <magic 0xe2270bc4> <pcomp>.. sent [LCP EchoReq id=0x0 magic=0xe2270bc4] rcvd [LCP DiscReq id=0x1 magic=0x6d503910] rcvd [CHAP Challenge id=0x1 <e4c6aed f211d325443a3f44>, name =.. sent [CHAP Response id=0x1 <9fabe2d692114fc609f6d c16>, name = ".. rcvd [LCP EchoRep id=0x0 magic=0x6d f2 11 d3] rcvd [CHAP Success id=0x1 ""] CHAP authentication succeeded sent [IPCP ConfReq id=0x4 <compress VJ 0f 01> <addr >] rcvd [IPCP ConfReq id=0x0] sent [IPCP ConfNak id=0x0 <addr >] rcvd [IPCP ConfRej id=0x4 <compress VJ 0f 01>] sent [IPCP ConfReq id=0x5 <addr >] rcvd [IPCP ConfReq id=0x1] sent [IPCP ConfAck id=0x1] rcvd [IPCP ConfNak id=0x5 <addr >] sent [IPCP ConfReq id=0x6 <addr >] rcvd [IPCP ConfAck id=0x6 <addr >] Could not determine remote IP address: defaulting to local IP address

30 Interfaccia GPRS remote IP address Figura 15: Sessione GPRS non attivata per APN errato 30

31 Interfaccia GPRS TRIGGER GPRS E possibile definire delle azioni da eseguire quando viene attivata e disattivata l interfaccia GPRS, rispettivamente mediante i comandi: set trigger gprs up <action> set trigger gprs down <action> dove <action> può essere un qualsiasi comando CLI oppure un qualsiasi comando Linux supportato da Levanto. Una sequenza di azioni viene configurata mediante una sequenza di comandi: set trigger gprs up <action1> set trigger gprs up <action2> set trigger gprs up <actionn> L esecuzione delle azioni avviene secondo l ordine con cui sono state impostate. Ad esempio mediante la sequenza di comandi: set trigger gprs up ip route add dev ppp0 set trigger gprs up logger r GPRS is up set trigger gprs up hello set trigger gprs down ip route del dev ppp0 set trigger gprs down logger r GPRS is down si imposta una rotta statica verso l host e si invia il messaggio di log GPRS is up. Inoltre viene eseguito il comando hello con argomenti un indirizzo IP ed una porta. Il comando hello manda verso l indirizzo e la porta specificati un messaggio contenente l indirizzo IP dell interfaccia gprs, l hostname ed il mac-address. Si elimina la rotta e si invia il messaggio di log GPRS is down quando la sessione GPRS viene terminata. Per cancellare un trigger si utilizzano i comandi: set no-trigger gprs up <action> set no-trigger gprs down <action> CONTROLLO SESSIONE GPRS E possibile applicare una serie di comandi su Levanto per effettuare il controllo della sessione GPRS. 1. Comando bfdping, utile qualora non si ha a disposizione alcun indirizzo IP cui mandare i pacchetti di tipo icmp. set gprs idle 0 set gprs rx-idle 120 set trigger timer-tick bfdping i ppp0 31

32 Interfaccia GPRS set trigger gprs up set timer-tick 15 set trigger gprs down set no-timer-tick Ogni qualvolta si attiva la sessione GPRS, viene attivato un timer periodico, di 15 sec, allo scadere del quale si esegue il comando bfdping. Questo comando forza la trasmissione sulla rete GPRS di un pacchetto UDP avente come indirizzo destinatario l indirizzo associato all interfaccia GPRS, quindi il primo modulo della rete (il primo hop) è obbligato a rimandarlo indietro. La mancata ricezione di tale pacchetto causa il timeout della sessione GPRS (rx-idle 120), e la conseguente riattivazione. 2. Comando gprs-keep-alive, consente di effettuare dei ping verso l'indirizzo associato all'interfaccia gprs ad intervalli regolari e configurabili, per controllare il collegamento. set gprs idle 0 set gprs rx-idle 120 set trigger gprs up gprs-keep-alive [-k <Freq_sec>] Attenzione: il parametro -k <Freq_sec> è opzionale; se omesso, il valore di default è 60 secondi. Ogni qualvolta si attiva la sessione GPRS questo comando forza la trasmissione di un pacchetto UDP avente come destinazione l indirizzo associato all interfaccia GPRS. La mancata risposta causa il timeout della sessione GPRS e la conseguente riattivazione. RACCOLTA DATI DI TRAFFICO E possibile conteggiare i dati di traffico della sessione GPRS ed inviarli periodicamente verso un server remoto affinchè questi vengano memorizzati. Il comando da utilizzare è: dove: shell gather_stats i <ifname> -h <rem-host> -p <rem-port> -n <interval> -i specifica l interfaccia della sessioen GPRS. Il valore di default è ppp0. -h specifica l indirizzo IP del server cui mandare i messaggi. -p specifica il valore della porta sull host remot -n specifica l intervallo in secondi di invio dei contatori di traffico. Il valore di default è 900. Se vengono omessi sia l host remoto che il valore della porta allora i dati vengono inviati come un messaggio di syslog, quindi possono essere letti o localmente sul modulo stesso oppure sul server remoto di syslog, in base alla configurazione del servizio di log sul modulo. Il messaggio inviato ha il seguente formato: TS800,00:0d:5a:07:01:13,LEVANTO@ ,449598,63720,449598,63720 Dove sono contenuti i seguenti campi separati dal carattere virgola: testata fissa del messaggio (TS800) MAC Address del modulo 32

33 Interfaccia GPRS IP Numeo di caratteri ricevuti nell ultimo intervallo Numero di caratteri trasmessi nell ultimo intervallo Numero di caratteri ricevuti da quando il modulo è stato acceso Numero di caratteri trasmessi da quando il modulo è stato acceso. E possibile consultare gli ultimi dati raccolti mediante il comando: show gathered-stats Ad esempio: root@levanto> show gathered-stats Traffic in the last interval (900 sec): bytes tx=38469, bytes rx=37800 Traffic since startup (77400 sec ago): bytes tx= , bytes rx= La prima riga contiene i dati trasmessi e ricevuti nell ultimo intervallo di rilevazione e la seconda contiene i dati trasmessi e ricevuti dall accensione del modulo. GESTIONE SMS Levanto è in grado di inviare e ricevere dei messaggi SMS. Per inviare un messaggio si usa il comando: send-sms d <dest-number> <message text> dove <dest-number> è il numero cui il messaggio deve essere inviato. Ad esempio: send-sms d How are you? Per abilitare Levanto alla ricezione dei messaggi SMS è necessario impostare il comando: set gprs sms-handle mentre per disabilitarne la gestione: set gprs no-sms-handle I messaggi ricevuti vengono interpretati come dei comandi, che Levanto esegue ed invia il risultato al mittente. Ogni messaggio deve iniziare sempre con la parola chiave specificata mediante il comando: set gprs sms-password <key> altrimenti questo viene cancellato ed ignorato. Nel caso in cui non sia stata specificata, si assume che la parola chiave sia Tiesse. La parola chiave è case-sensitive. Il testo del messaggio può essere un qualsiasi comando supportato da Levanto. Una volta ricevuto, Levanto invia un messaggio di conferma ed eventualmente un ulteriore messaggio contenente il risultato dell esecuzione del comando. Ad esempio, supponendo che abbia ricevuto il messaggio contenente il testo: Tiesse ip route 33

34 Interfaccia GPRS Levanto risponde prima con il messaggio: Levanto 00:0d:5a:xx:xx:xx command ip route scheduled for execution e successivamente con il messaggio: Tiesse ip route -> Levanto 00:0D:5A:xx:xx:xx /16 dev eth0 proto kernel scope link src /16 dev eth0 proto kernel scope link src Oppure, al messaggio: Tiesse set gprs rx-idle 360 Levanto risponde solamente con il messaggio: Levanto 00:0d:5a:xx:xx:xx command set gprs rx-idle 360 scheduled for execution La risposta di Levanto viene sempre troncata a 160 caratteri. Particolarmente utili sono i comandi gprs-signal e gprs-dialin. Il primo viene usato per leggere la qualità del segnale GPRS, il secondo invece pone Levanto in uno stato in cui sono possibili connessioni GSM verso di esso. Ad esempio, al messaggio: Tiesse gprs-signal Levanto risponde con il messaggio: Levanto 00:0D:5A:xx:xx:xx Signal Power: CSQ=13 => -87dBm Inviando il messaggio: Tiesse gprs-dialin Levanto risponde con: Levanto 00:0d:5a:xx:xx:xx command gprs-dialin scheduled for execution Esce dalla modalità dialin o dopo aver effettuato e successivamente terminato una connessione GSM oppure dopo 10 minuti. Il modulo può essere configurato in modo da inoltrare ad un numero esterno i messaggi SMS che non contengono la parala chiava concordata, invece di ignorarli. 34

35 Interfaccia GPRS Il comando da utilizzare è: set gprs sms-helper-number <numero telefonico> mentre con il comando: set gprs no-sms-helper-number la funzionalità viene disabilitata. NOTIFICA CONNESSIONE MOBILE: COMANDO HELLO E possibile inviare un messaggio contentente alcune informazioni utili relative alla sessione mobile verso un server remoto affinchè questi vengano memorizzati. Il comando da utilizzare è: dove: hello <rem-host> <rem-port> <rem-host> specifica l indirizzo IP del server cui mandare i messaggi. <rem-port> specifica il valore della porta sull host remoto Il messaggio inviato ha il seguente formato: 00:0d:5a:07:01:13, , ,6 CSQ (-101 dbm), I TIM, LEVANTO@ Dove sono contenuti i seguenti campi separati dal carattere virgola: MAC Address del modulo IMSI della SIM Card usata dal modulo IMEI del modulo Valore CSQ (6) e traduzione in dbm (-101) Operatore cui il modulo è collegato (TIM) Hostname@Indirizzo IP del modulo E possibile inviare periodicamente tale messaggio specificando la sequenza di comandi: set timer-tick 600 set trigger timer-tick hello Il messaggio viene inviato mediante un pacchetto UDP. Se come porta di destinazione si specifa il valore 514 (syslog) e sul sistema specificato è attivo il servizio di syslog server, allora i dati inviati saranno raccolti direttamente da questo. INTERROGAZIONE DIRETTA DEL MODEM: 35

36 Interfaccia GPRS COMANDO GPRSAT E possibile utilizzare un comando che interroga direttamente il modem mobile e restituisce informazioni di stato utili alla diagnosi. Il comando da utilizzare è: gprsat <comando AT>, il quale invia al modem delle direttive secondo il formalismo AT e ne mostra il relativo risultato. Il comando gprsat deve essere eseguito con la sessione mobile non attiva (set gprs off). La lista dei comandi disponibili è contenuta in un manuale separato. Normalmente tutti i comandi visualizzano la stringa OK se il modem funziona correttamente ed ERROR in caso di guasto. Quelli più comuni sono: Verifica che il modem sia operativo: root@levanto> gprsat AT AT OK Qualora non si ottenga la stringa OK come risposta, provare ad effettuare un reset del modem utilizzando i comandi 1 : gprs --poweroff gprs --poweron e quindi riprovare il comando gprsat at. Informazioni sul modem: root@levanto> gprsat ATI ATI Enfora, Inc. OK Visualizza il segnale disponibile: root@levanto> gprsat AT+CSQ AT+CSQ +CSQ: 6,0 OK Il valore in dbm del segnale si ottiene ricorrendo alla formula 2 * CSQ 113. Ricerca operatori disponibili: root@levanto> gprsat AT+COPS? 2 1 Il comando gprs --poweroff deve essere eseguito con la sessione mobile non attiva (set gprs off) 36

37 Interfaccia GPRS AT+COPS? +COPS: 0,0,"I TIM",2 OK Verifica se il modem è registrato sulla rete mobile: gprsat AT+CREG? AT+CREG? +CREG: 0,1 OK Il valore +CREG:0,1 indica che il modem è correttamente registrato sulla rete. Verifica che il modem sia collegato alla APN mobile: gprsat AT+CGATT? AT+CGATT? +CGATT: 1 OK Il valore +CGATT: 1 indica che il modem è collegato alla APN. Lettura dell IMSI: root@levanto> gprsat AT+CIMI AT+CIMI OK Lettura delle Informazioni sulla Location: root@levanto> gprsat AT%EM=2,1 AT%EM=2,1 %EM: 27,20,20,24,16,909,23,0,1,0,0,0,0,0,0,27264,0,0,2,255 OK 2 Su alcune release di software per utilizzare il carattere? (punto interrogativo) bisogna digitare prima la sequenza CTRL+V 37

38 Interfaccia GPRS SERVIZIO FLEX IP Sui modelli Levanto 110 e Levanto 310 è disponibile il servizio di Flex IP, basato sul protocollo Dynamic DNS, che permette di associare un nome di dominio all'indirizzo IP ottenuto dinamicamente al momento della connessione mobile. Per attivarlo è necessario inserire il seguente comando: set trigger gprs up start-ddns Il nome di dominio associato è: <Mac Address>.flex-ip-001.net Ad esempio se il MAC address di Levanto è 000d5a e il servizio di Flex IP è stato attivato, ogni volta che Levanto è collegato alla rete mobile, potrà essere acceduto mediante il nome logico 000d5a flex-ip-001.net. Esempio di Configurazione root@levanto> set gprs apn ibox.tim.it root@levanto> set gprs login mylogin password mypassword root@levanto> set gprs mtu 1500 root@levanto> set gprs default-route root@levanto> set gprs masquerade root@levanto> set gprs on Esempio di Visualizzazione root@levanto> show interface gprs status Signal Power: CSQ = 22 => -69 dbm Network: I TIM IMSI: IMEI: There is an active GPRS Connection: inet peer /32 scope global ppp0 38

39 Interfaccia RS232 INTERFACCIA RS232 APPLICAZIONI SULLA PORTA SERIALE Nella sua configurazione di fabbrica Levanto presenta la porta RS232 in funzione di Console per consentire l'accesso autorizzato e la configurazione del sistema (vedi Cap. Accesso al modulo). È possibile attivare, in modalità mutuamente esclusiva, diverse applicazioni sulla porta seriale: getty è l'applicazione che attiva la funzione di Console. term-server è l'applicazione Terminal Server (altrimenti detta Reverse Telnet) che consente l'accesso remoto via TCP/IP alla porta seriale. Può lavorare come server TCP/IP : l'applicazione si mette in ascolto di richieste di connessione su una porta TCP/IP configurabile. I dati ricevuti sulla porta RS232 vengono inviati sulla connessione stabilita sulla porta TCP/IP, e viceversa, in modalità del tutto trasparente. Può lavorare anche come CLIent TCP/IP : quando dalla porta seriale vengono ricevuti dei dati, questi sono inviati stabilendo una connessione TCP/IP ad un indirizzo e porta remoti configurabili. flatmodem è l'applicazione flatmodem che ha il compito di rendere accessibile il modem GPRS del Levanto attraverso la porta RS232, ovvero trasporta i segnali del modem sulla porta seriale RS232, e trasferisce i dati trasmessi sulla porta RS232 (tipicamente comandi AT) al modem e viceversa, in maniera del tutto trasparente. pos è l'applicazione per la gestione di terminali POS, collegati via porta seriale, sia in modalità diretta che tramite protocollo X.28, attraverso la rete TCP/IP. Vengono riconosciuti sia i protocolli HGEPOS per i POS in banda magnetica sia il protocollo ISO 8583 per i POS a micro circuito. modbus è l'applicazione Modbus-RTU Gateway per consentire la gestione di dispositivi PLC, collegati sia via porta seriale sia via ethernet, con protocollo modbus-rtu, attraverso la rete TCP/IP. È disponibile solo sui modelli Levanto 110 e Levanto 310. Per attivare una di queste applicazioni sono disponibili i comandi CLI descritti di seguito. La prima volta che un'applicazione viene attivata l'accesso alla CLI può avvenire attraverso la Console ancora attiva sulla porta seriale, attraverso la connessione mobile e nei modelli Levanto 110 e Levanto 310 attraverso la porta Ethernet. La sequenza della prima attivazione prevede la configurazione e la verifica dei parametri, il salvataggio e il reboot del Levanto. Il primo comando da eseguire per configurare e attivare una di queste applicazioni è il comando di selezione: 39

40 Interfaccia RS232 set serial-appl <opzione> che ha le seguenti opzioni : flatmodem getty modbus pos term-server Devono poi essere eseguiti i comandi di configurazione specifici dell applicazione selezionata, come descritto nei paragrafi successivi. Al termine della configurazione, questa può essere verificata con il comando show config current occorre quindi salvarla con il comando save Infine occorre riavviare il Levanto con il comando reboot Al riavvio il modulo attiva sull interfaccia RS232 l applicazione selezionata, e non è più disponibile l accesso via Console, tranne che per casi particolari descritti di seguito. È possibile effettuare controlli e riconfigurazioni accedendo alla CLI tramite la connessione mobile o tramite porta Ethernet nel modello dove è presente. CONFIGURAZIONE TERMINAL SERVER Per configurare l'applicazione Terminal Server è necessario conoscere i parametri da impostare sulla porta seriale, ad esempio la velocità e il controllo di flusso, la porta locale di servizio per la modalità server e l'indirizzo IP e porta dell'host cui connettersi per la modalità CLIent. È possibile configurare una lista di indirizzi IP, primario, secondario e di backup. La lista viene utilizzata nel seguente modo dal terminal server : la connessione con Host su cui inviare i dati ricevuti dalla seriale viene stabilita in modalità round-robin tra l'indirizzo primario e secondario. Se nessuno di questi due indirizzi accetta la connessione entro un tempo configurabile prova con il backup. Sia in modalità server che in modalità CLIent, una volta stabilita, la connessione viene chiusa dal terminal server se: l'host ha chiuso il terminale ha chiuso il tempo di inattività configurato è spirato. Vengono supportati anche terminali che usano il protocollo X.28, in questo caso si configura una lista di NUA con associato indirizzo e porta IP. Di seguito vengono elencati i comandi CLI per la configurazione del Terminal Server : set serial-appl term-server Per selezionare l'applicazione. set tserv tty-speed <value> Imposta la velocità di connessione sulla porta seriale. Valori validi sono 2400, 4800, 9600, 19200, 38400, 57600,

41 Interfaccia RS232 set tserv tty-flowcontrol set tserv no-tty-flowcontrol Abilita (disabilita) il controllo di flusso hardware sulla porta seriale. set tserv tty-check-dsr Abilita il controllo del segnale DSR: quando diventa attivo Levanto effettua una connessione TCP verso l indirizzo IP configurato e su di essa invierà i dati ricevuti da seriale. Quando invece il segnale si disattiva, Levanto abbatte la connessione TCP. set tserv no-tty-check-dsr Il segnale DSR viene ignorato da Levanto. set tserv tty-check-dcd Abilita il controllo del segnale DCD: quando diventa attivo Levanto effettua una connessione TCP verso l indirizzo IP configurato e su di essa invierà i dati ricevuti da seriale. Quando invece il segnale si disattiva, Levanto abbatte la connessione TCP. set tserv no-tty-check-dcd Il segnale DCD viene ignorato da Levanto. set tserv tty-check-cts Abilita il controllo del segnale CTS: quando diventa attivo Levanto effettua una connessione TCP verso l indirizzo IP configurato e su di essa invierà i dati ricevuti da seriale. Quando invece il segnale si disattiva, Levanto abbatte la connessione TCP. set tserv no-tty-check-cts Il segnale CTS viene ignorato da Levanto. set tserv max-buffer-size Configura la dimensione dei buffer per la ricezione e la trasmissione dei dati. Default 1500 bytes. set tserv use-x28 Abilita il protocollo X.28 sulla porta seriale. In questa modalità la lista di Host primario, secondario e di backup non viene utilizzata, è necessario configurare il NUA e l indirizzo IP e porta ad esso associati con il comando seguente. set tserv nua <value> <ipaddr> <port> Configura l associazione NUA-Indirizzo IP, Porta socket. I dati ricevuti per quel NUA sono inviati da Levanto all indirizzo IP e porta associati. Questo comando può essere ripetuto per ogni NUA con cui può presentarsi il terminale. set tserv no-nua <value> Elimina l associazione con il NUA specificato. set tserv no-use-x28 Disabilita il protocollo X.28 sulla porta seriale passando alla modalità diretta. I parametri relativi al NUA sono ignorati. set tserv tty-server-port <port> 41

42 Interfaccia RS232 Configura la porta locale di servizio TCP/IP su cui accettare la connessione dall'host remoto e ricevere i dati da inviare sulla porta seriale. set tserv primary-host <ipaddr> set tserv primary-port <port> Configura l indirizzo IP e la porta cui tentare l invio dei dati ricevuti dalla porta seriale quando ancora nessuna applicazione ha effettuato la connessione alla porta locale di servizio TCP/IP. set tserv no-primary-host Elimina l Host primario dalla configurazione. set tserv secondary-host <ipaddr> set tserv secondary-port <port> configura l indirizzo IP e la porta dell'host secondario a cui mandare i dati ricevuti dalla porta seriale quando ancora nessuna applicazione ha effettuato la connessione alla porta server TCP/IP associata e l host primario non è disponibile. set tserv no-secondary-host Elimina l Host secondario dalla configurazione. set tserv backup-host <ipaddr> set tserv backup-port <port> Configura l indirizzo IP e la porta dell'host di backup a cui mandare i dati ricevuti dalla porta seriale quando nessuna applicazione ha effettuato la connessione alla porta server TCP/IP corrispondente e nè l host primario e nè quello secondario sono disponibili. set tserv no-backup-host Elimina l Host di backup dalla configurazione. set tserv host-timeout <msec> Configura timeout di attesa di millisecondi. connessione ad uno degli host configurati; espresso in set tserv idle-timer <msec> Configura il tempo di inattività scaduto il quale la connessione con Host viene chiusa; espresso in millisecondi. set tserv on Quando l applicazione è già attiva, questo comando ne provoca la ripartenza, necessaria ad esempio quando vengono modificati alcuni parametri di configurazione. show config current term-server Permette di visualizzare la configurazione corrente, ad esempio l'output di tale comando per la configurazione di default è il seguente: set serial-appl term-server set tserv primary-host set tserv primary-port 8899 set tserv no-secondary-host 42

43 Interfaccia RS232 set tserv no-secondary-port set tserv no-backup-host set tserv no-backup-port set tserv tty-server-port 8080 set tserv tty-speed 9600 set tserv no-tty-flowcontrol set tserv use-x28 set tserv idle-timer set tserv no-tty-check-dcd set tserv no-tty-check-dsr set tserv no-tty-check-cts A partire dalla configurazione di default, un esempio di sequenza di comandi in cui il terminal server accetta connessioni da Host sulla porta di default 8080 oppure, in mancanza di esse, apre le connessioni con Host ciclicamente sulla porta e sulla porta e non esiste un Host di backup, è il seguente: set tserv primary-host set tserv primary-port set tserv secondary-host set tserv secondary-port set tserv no-use-x28 set tserv idle-timer Un altro esempio, sempre a partire dai default, per un terminale che usa il protocollo X.28 e si presenta con due nua diversi è il seguente: set tserv nua set tserv nua Quando è attiva l'applicazione Terminal Server la funzione di console sulla porta seriale viene automaticamente disabilitata. Nel caso in cui si rendono necessarie operazioni di controllo e configurazione che normalmente vengono svolte tramite console, è possibile accedere alla CLI del Levanto inviando sulla seriale la sequenza di caratteri (maiuscoli o minuscoli) at*cli. Al termine della sessione di manutenzione, con il comando quit viene terminata la CLI e ripristinato il Terminal Server. CONFIGURAZIONE POS L'applicazione di gestione di Terminali POS può essere configurata per terminali POS collegati alla porta seriale e che lavorano sia in modalità X.28 con NUA esplicito che in modalità diretta. Nella modalità diretta, la variazione dei criteri di stato della porta seriale determina l inizio e la fine di una transazione POS. Per questo tipo di configurazione è necessario quindi conoscere i parametri da impostare sulla porta seriale, ad esempio la velocità e il controllo di flusso. 43

44 Interfaccia RS232 Con i modelli Levanto 110 e Levanto 310 è possibile gestire anche POS collegati alla porta Ethernet. Il POS deve aver configurato come gateway di default l'indirizzo ip del Levanto e sul Levanto deve essere configurata la porta cui il POS manda le richieste. Per la connessione all'host di autorizzazione delle transazioni, è possibile configurare una lista di indirizzi IP, primario, secondario e di backup. La lista viene utilizzata nel seguente modo : la connessione all'host avviene all indirizzo IP primario; se questo non risponde entro un tempo prestabilito e configurabile, si passa al secondario ed infine al backup. Nel caso in cui l'indirizzo primario non risponda e la transazione avvenga con successo verso l'indirizzo secondario, le successive transazioni saranno inviate direttamente a quello secondario. Periodicamente, con frequenza configurabile, si controlla la raggiungibilità del primario, e solo quando questo risponde si riprende ad inviare le transazioni ad esso. Una volta stabilita, la connessione viene chiusa dal Levanto se : l'host ha chiuso l'host non ha inviato l'enquire entro il timeout configurato il terminale ha chiuso il tempo di inattività configurato è spirato. Di seguito vengono elencati i comandi CLI per la configurazione dei Terminali POS : set serial-appl pos Per selezionare l'applicazione. set hgepos tty-speed <value> Imposta la velocità di connessione sulla porta seriale. Valori validi sono 2400, 4800, 9600, 19200, 38400, 57600, set hgepos tty-flowcontrol set hgepos no-tty-flowcontrol Abilita (disabilita) il controllo di flusso hardware sulla porta seriale. set hgepos tty-check-dsr Il riconoscimento dell inizio transazione avviene quando il segnale DSR diventa attivo: ovvero quando Levanto rileva il segnale DSR effettua una chiamata TCP verso l Host. Quando invece il segnale si disattiva, Levanto abbatte la connessione TCP. set hgepos no-tty-check-dsr Il segnale DSR viene ignorato da Levanto. set hgepos tty-check-dcd Il riconoscimento dell inizio transazione avviene quando il segnale DCD diventa attivo: ovvero quando Levanto rileva il segnale DCD effettua una chiamata TCP verso l Host. Quando invece il segnale si disattiva, Levanto abbatte la connessione TCP. set hgepos no-tty-check-dcd Il segnale DCD viene ignorato da Levanto. set hgepos tty-check-cts 44

45 Interfaccia RS232 Il riconoscimento dell inzio transazione avviene quando il segnale CTS diventa attivo: ovvero quando Levanto rileva il segnale CTS effettua una chiamata TCP verso l Host. Quando invece il segnale si disattiva, Levanto abbatte la connessione TCP. set hgepos max-buffer-size Configura la dimensione dei buffer per la ricezione e la trasmissione dei dati. Default 1500 bytes. set hgepos use-x28 Abilita il protocollo X.28 sulla porta seriale. In questa modalità la lista di Host primario, secondario e di backup non viene utilizzata, è necessario configurare il NUA e l indirizzo IP e porta ad esso associati con il comando seguente. set hgepos nua <value> <ipaddr> <port> Configura l associazione NUA-Indirizzo IP, Porta socket. I dati ricevuti per quel NUA sono inviati da Levanto all indirizzo IP e porta associati. Questo comando può essere ripetuto per ogni NUA con cui può presentarsi il terminale. set hgepos no-nua <value> Elimina l associazione con il NUA specificato. set hgepos no-use-x28 Disabilita il protocollo X.28 sulla porta seriale passando alla modalità diretta. I parametri relativi al NUA sono ignorati. set hgepos pos-server-port <port> Configura la porta di servizio TCP/IP su cui il POS in collegamento Ethernet manda le richieste. set hgepos primary-host <ipaddr> set hgepos primary-port <port> Configura l indirizzo IP e la porta dell'host primario. set hgepos primary-host-timeout <msec> Configura il timeout d attesa per connessione ad host primario; espresso in millisecondi. set hgepos secondary-host <ipaddr> set hgepos secondary-port <port> Configura l indirizzo IP e la porta dell'host secondario. set hgepos secondary-host-timeout <msec> Configura il timeout d attesa connessione con l'host secondario, espresso in millisecondi. set hgepos no-secondary-host Elimina l host secondario dalla configurazione. set hgepos backup-host <ipaddr> set hgepos backup-port <port> Configura l indirizzo IP e la porta dell'host di backup. set hgepos no-backup-host 45

46 Interfaccia RS232 Elimina l host di backup dalla configurazione. set hgepos backup-timeout <msec> Configura il timer attivato nel caso in cui l host primario non soddisfi le richieste prodotte dai POS. Le richieste successive, ricevute entro tale timer, verranno re-indirizzate direttamente all'host secondario. Allo scadere del timer di backup sarà verificata di nuovo la disponibilità del collegamento principale. set hgepos idle-timer <msec> Configura il tempo di inattività scaduto il quale la connessione con Host viene chiusa; espresso in millisecondi. set hgepos enq-timeout <msec> Configura il tempo d attesa del carattere di ENQ inviato dall host primario. Se l ENQ non arriva entro tale periodo, le richieste prodotte dai POS vengono inoltrate all'host secondario. set hgepos pos-helper A fronte della richiesta di connessione dal POS, il modulo invia il pacchetto di ENQuire al POS, attiva la connessione verso l host e scarta l'eventuale ENQuire ricevuto da quest ultimo. Eventuali pacchetti ricevuti dal POS sono accodati dal modulo in attesa della ricezione dell'enquire da Host. set hgepos no-pos-helper Disabilita il meccanismo precedente. A fronte della richiesta di connessione dal POS, il modulo prova ad attivare una sessione verso host. Il carattere di ENQuire ricevuto da Host, viene inoltrato al POS. set hgepos on Quando l applicazione è già attiva, questo comando ne provoca la ripartenza, necessaria ad esempio quando vengono modificati alcuni parametri di configurazione. show config current pos Permette di visualizzare la configurazione corrente, ad esempio l'output di tale comando per la configurazione di default è il seguente: set serial-appl pos set hgepos primary-host set hgepos primary-port 8899 set hgepos no-secondary-host set hgepos no-secondary-port set hgepos no-backup-host set hgepos no-backup-port set hgepos pos-server-port 7070 set hgepos tty-speed 9600 set hgepos no-tty-flowcontrol set hgepos use-x28 set hgepos idle-timer

47 Interfaccia RS232 set hgepos no-tty-check-dcd set hgepos no-tty-check-dsr set hgepos no-tty-check-cts set hgepos backup-timeout set hgepos enq-timeout 3000 set hgepos no-pos-helper a partire dalla quale con il seguente comando si ottiene la configurazione per un POS X.28 che si presenta con il NUA e invia le sue richieste alla porta dell'host set hgepos nua Il seguente invece è un esempio di template completo di configurazione in modalità diretta: set serial-appl pos set hgepos primary-host set hgepos primary-port set hgepos secondary-host set hgepos secondary-port set hgepos no-backup-host set hgepos no-backup-port set hgepos pos-server-port 7070 set hgepos tty-speed 9600 set hgepos no-tty-flowcontrol set hgepos no-use-x28 set hgepos idle-timer set hgepos no-tty-check-dcd set hgepos no-tty-check-dsr set hgepos no-tty-check-cts set hgepos backup-timeout set hgepos enq-timeout 0 set hgepos no-pos-helper Quando è attiva l'applicazione Terminali POS la funzione di Console sulla porta seriale viene automaticamente disabilitata. Nel caso in cui si rendono necessarie operazioni di controllo e configurazione che normalmente vengono svolte tramite console, è possibile accedere alla CLI del Levanto inviando sulla seriale la sequenza di caratteri (maiuscoli o minuscoli) at*cli. Al termine della sessione di manutenzione, con il comando quit viene terminata la CLI e ripristinato il servizio Terminali POS. 47

48 Interfaccia RS232 CONFIGURAZIONE MODBUS Il gateway modbus-rtu è disponibile solo sui modelli Levanto 110 e Levanto 310 ed è un server TCP/IP che riceve le richieste da Host su una porta configurabile, e le invia alla RTU che può essere collegata al Levanto tramite porta seriale o tramite porta Ethernet. Per configurare l'applicazione occorre quindi conoscere la porta TCP/IP su cui si connette l'host e i valori da impostare sulla porta seriale, ad esempio la velocità e il tipo di controllo di flusso oppure nel caso RTU Ethernet, occorre conoscere su quale indirizzo e porta TCP/IP il modbus deve connettersi per inviare le richieste e ricevere le risposte. Di seguito vengono elencati i comandi CLI per la configurazione dei modbus-rtu : set serial-appl modbus Per selezionare l'applicazione. set modbus server-port <port> Configura la porta TCP/IP su cui si connette l'host per inviare le richieste al Levanto. La porta di default è la porta 502, lo standard assegnato al modbus. set modbus mode [rtu tcp] Configura la modalità di collegamento della RTU : rtu se è collegata alla porta seriale, tcp se è collegata alla porta Ethernet. Il valore di default è rtu. set modbus speed <value> Imposta la velocità di connessione sulla porta seriale. Valori validi sono 2400, 4800, 9600, 19200, 38400, 57600, set modbus flowcontrol set modbus no-flowcontrol Abilita (disabilita) il controllo di flusso hardware sulla porta seriale. set modbus rtu-host <ipaddr> set modbus rtu-port <port> Configura l'indirizzo IP e la porta della RTU Ethernet su cui si connette il Levanto per inviare le richieste. set modbus no-rtu-host set modbus no-rtu-port Elimina l'indirizzo IP e la porta della RTU Ethernet. set modbus rtu-vtim Configura il tempo di attesa per il riconoscimento del completamento del messaggio, in millisecondi. Default 100 millisecondi. Significativo solo per RTU Ethernet. set modbus rtu-vmin Configura il numero minimo di caratteri per il riconoscimento del completamento del messaggio. Default 255 caratteri. Significativo solo per RTU Ethernet. set modbus rtu-parsing 48

49 Interfaccia RS232 Abilita il parsing della risposta dalla RTU al fine di ottimizzare i tempi di ricezione. set modbus no-rtu-parsing Abilita la modalità trasparente di trattamento della risposta dalla RTU. È il valore di default. set modbus on Quando l applicazione è già attiva, questo comando ne provoca la ripartenza, necessaria ad esempio quando vengono modificati alcuni parametri di configurazione. show config current modbus Permette di visualizzare la configurazione corrente. La configurazione di default è la seguente: set serial-appl modbus set modbus server-port 502 set modbus mode rtu set modbus rtu-host set modbus rtu-port 8812 set modbus rtu-vtim 100 set modbus rtu-vmin 255 set modbus no-rtu-parsing set modbus speed set modbus no-flowcontrol Il seguente invece è un esempio di template per una RTU Ethernet : set serial-appl modbus set modbus server-port 501 set modbus mode tcp set modbus rtu-host set modbus rtu-port set modbus rtu-vtim 3000 set modbus rtu-vmin 255 set modbus no-rtu-parsing set modbus speed set modbus no-flowcontrol CONFIGURAZIONE FLATMODEM Quando è attiva questa applicazione sulla porta seriale è possibile inviare al modem i comandi AT. Un eventuale configurazione del modem attraverso i comandi set gprs in questo caso non ha alcun effetto e il controllo del modem si ottiene esclusivamente attraverso l applicazione flatmodem. 49

50 Interfaccia RS232 Per l'applicazione flatmodem sono disponibili i seguenti comandi di configurazione: set flatmodem port-speed <value> Imposta la velocità di connessione sulla porta seriale. Valori validi sono 2400, 4800, 9600, 19200, 38400, 57600, set flatmodem modem-speed <value> Configura la velocità di partenza per la connessione al modem. Valori validi sono 2400, 4800, 9600, 19200, 38400, 57600, Se con questa velocità il modem non risponde, Levanto tenta di aprire la connessione col modem utilizzando uno per uno gli altri valori validi, cioè con ricerca automatica della velocità. Da questo momento in poi si sconsiglia di utilizzare il comando AT+IPR per cambiare la velocità del modem. set flatmodem on Quando l applicazione è già attiva, questo comando ne provoca la ripartenza, necessaria ad esempio quando vengono modificati alcuni parametri di configurazione. show config current flatmodem Permette di visualizzare la configurazione corrente. Quando è attiva l'applicazione flatmodem la funzione di Console sulla porta seriale viene automaticamente disabilitata. Nel caso in cui si rendono necessarie operazioni di controllo e configurazione che normalmente vengono svolte tramite console, è possibile accedere alla CLI del Levanto inviando sulla seriale la sequenza di caratteri (maiuscoli o minuscoli) at*cli. Al termine della sessione di manutenzione, con il comando quit viene terminata la CLI e ripristinato il servizio flatmodem. VISUALIZZAZIONE La porta seriale del Levanto corrisponde al device fisico ttys2 del sistema. È possibile visualizzare informazioni riguardanti lo stato di tutte le interfacce seriali di Levanto mediante il comando: show interface rs232 La porta seriale corrisponde al device 2, cioè all'ultima riga dell'output del comando : root@levanto-ta-tse> show interface rs232 serinfo:1.0 driver revision: 0: uart:atmel_serial mmio:0xfefff200 irq:1 tx:793 rx:0 RTS CTS DTR DSR CD RI 1: uart:atmel_serial mmio:0xfffb0000 irq:6 tx:10509 rx:15319 RTS CTS DSR 2: uart:atmel_serial mmio:0xfffb4000 irq:7 tx:1014 rx:110 RTS CTS DTR DSR CD RI Figura 16: Esempio di output comando: show interface rs232 50

51 Rotte Statiche ROTTE STATICHE CONFIGURAZIONE ROTTE STATICHE Le tabelle di routing statico possono essere configurate mediante il comando: set route net <dest> netmask <netmask> gw <gw_ipaddr> [metric N] set route net <dest> netmask <netmask> dev <interface> [metric N] set route host <dest> gw <gw_ip_addr> [metric N] set route host <dest> dev <interface> [metric N] mentre per rimuovere una rotta il comando è: set no-route net <dest> netmask <netmask> gw <gw_ip_addr> set no-route net <dest> netmask <netmask> dev <interface> set no-route host <dest> gw <gw_ip_addr> set no-route host <dest> dev <interface> Ad esempio, per impostare una rotta verso la rete /24, tramite il gateway : set route net netmask gw mentre per rimuovere la rotta: set no-route net netmask gw Nel caso in cui sia attivo un qualsiasi protocollo di routing dinamico, l opzione metric viene interpretata come valore della distanza amministrativa della rotta. In questo caso può anche essere usata la forma: set route net <dest> netmask <netmask> gw <gw_ipaddr> [distance N] set route net <dest> netmask <netmask> dev <interface> [distance N] E possibile specificare un tag da applicare alle rotte utile nel caso in cui si vogliono attivare meccanismi di redistribuzione di rotte medinate protocolli di routing dinamico. In questo caso la sintassi del comando è: set route net <dest> netmask <netmask> gw <gw_ipaddr> tag N set route net <dest> netmask <netmask> dev <interface> tag N E possibile impostare le rotte utilizzando il comando ip3 in una delle seguenti forme: ip route add <dst> dev <ifname> proto kernel [metric N] 3 Le rotte impostate mediante il comando ip vengono attualizzate sul router ma non vengono salvate nella configurazione. Affinché queste vengano salvate nella configurazione ed attivate anche al prossimo reboot del router e' necessario che venga eseguito il comando: set autocmd ip route add... 51

52 Rotte Statiche ip route add <dst> via <nexthop> proto kernel [metric N] ip route add <dst> via <nexthop> dev <ifname> proto kernel [metric N] In questo caso tuttavia non è possibile specificare la distanza amministrativa. Nel caso in cui siano presenti rotte alternative verso la stessa destinazione, viene selezionata quella con metrica minore. Il comando: ip route get <dst> visualizza quale rotta sarà selezionata per raggiungere la destinazione <dst>. Per eliminare le rotte statiche qualora lo stato dell'interfaccia di rete non sia operativo, si usa il comando: detect-dead-routes <ifname1... ifnamen> il quale verifica lo stato delle interfacce specificate e rimuove le rotte associate a quelle interfacce di rete non operative. Le rotte eliminate vengono automaticamente riattivate quando lo stato dell'interfaccia diventa nuovamente operativo. Ad esempio i comandi: set autocmd ip route add /24 dev tun0 proto kernel metric 5 set autocmd ip route add dev tun1 proto kernel metric 3 attivano due rotte: verso la rete /24 attraverso l interfaccia tun0 (tunnel gre) e verso l host mediante l interfaccia tun1. Il comando: detect-dead-routes tun0 tun1 fa in modo che quando lo stato delle due interfacce tun0 o tun1 non è operativo le corrispondenti rotte non sono disponibili, e viceversa: se lo stato delle interfacce è operativo anche le rotte sono attive. Per interrompere la verifica dello stato operativo delle interfacce e la conseguente rimozione della rotta, si usa il comando: no-detect-dead-routes <ifname1... ifnamen> E disponibile inoltre il comando mpath-route che consente di aggiungere la rotta di default verso una lista di gateway in modo da effettuare load-balancing del traffico: mpath-route gw1... gwn Qualora uno dei gateway della lista non sia raggiungibile, esso viene automaticamente escluso dalla lista e reinserita quando è nuovamente disponibile. BLOCCO DEL TRAFFICO MEDIANTE ROTTE STATICHE Mediante il comando set route è possibile bloccare il traffico verso determinate destinazioni configurando il device null0 come interfaccia di uscita dei pacchetti: Ad esempio: 52

53 Rotte Statiche set route net netmask dev null0 blocca il traffico verso la sottorete /29. Analogamente set route host dev null0 blocca tutto il traffico verso l host Un'altra possibilità e' l'utilizzo del comando nativo ip, che permette di specificare delle rotte di tipo: blackhole, prohibit e unreachable. Ad esempio: ip route add blackhole ip route add prohibit ip route add unreachable Nel caso blackhole l'effetto e' lo stesso della rotta su null0, cioe' i pacchetti vengono semplicemente scartati. Nel caso prohibit, i pacchetti vengono scartati ma verso il sorgente. viene generato un ICMP di tipo Proihitb Nel caso unreachable i pacchetti vengono scartati ma generato un ICMP di tipo Unreachable verso il sorgente. VISUALIZZAZIONE ROTTE STATICHE Le rotte statiche possono essere visualizzate mediante il comando: show route Ad esempio: root@levanto > show route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface UGH eth UH ppp !H * UH * !H * UH eth UG eth U eth UG eth0 root@levanto> dove il flag U (UP) indica che la rotta è attiva, il flag H indica che la destinazione è un Host, il flag G indica che la destinazione è raggiungibile attraverso un Gateway. 53

54 Indirizzo di Loopback, Gestione Interfacce di Rete INDIRIZZO DI LOOPBACK, GESTIONE INTERFACCE DI RETE INDIRIZZO LOOPBACK Levanto prevede la possibilità di definire e configurare un indirizzo loopback, cioè un indirizzo che identifica intrinsecamente il modulo e non è associato ad alcuna interfaccia fisica. Tale indirizzo deve essere sempre attivo e disponibile a prescindere dallo stato delle interfacce fisiche. Per configurare l indirizzo loopback i comandi sono: set loopback ipaddr <value> set loopback on Per visualizzarne lo stato si usa il comando: show interface loopback Ad esempio: root@levanto > show interface loopback 3: dummy0: <BROADCAST,NOARP,UP> mtu 1500 qdisc noqueue link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff inet /32 scope global dummy0 Il nome associato all interfaccia loopback è dummy0. Per eliminare l indirizzo di loopback si usa il comando: set no-loopback COMANDO IFCONFIG Il comando ifconfig permette di visualizzare informazioni sullo stato e sul funzionamento delle varie interfacce di rete presenti su Levanto. ifconfig <ifname> dove if è il nome (ifname) dell interfaccia desiderata. Ad esempio: root@levanto > ifconfig eth0 eth0 Link encap:ethernet HWaddr 00:0D:5A:04:6B:3E inet addr: Bcast: Mask: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:4059 errors:0 dropped:0 overruns:0 frame:0 TX packets:3064 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes: (261.6 KiB) TX bytes: (588.5 KiB) 54

55 Indirizzo di Loopback, Gestione Interfacce di Rete Interrupt:15 In questo esempio il comando visualizza informazioni relative all interfaccia di rete corrispondente alla porta eth0. Tra le altre: il valore del MAC Address assegnato (HWaddr) l indirizzo IP (inet addr) la netmask (Mask) l indirizzo di broadcast (Bcast) il valore di Maximum Transfer Unit (MTU) Visualizza inoltre alcuni flags di stato dell interfaccia: UP indica che l interfaccia è amministrativamente attiva (ifadminstatus) RUNNING indica che è operativamente attiva (ifoperstatus) MULTICAST e BROADCAST indicano che sono supportate trasmissione e ricezione di pacchetti multicast e broadcast. Infine visualizza i contatori statistici, tra cui il numero di pacchetti trasmessi e ricevuti ed eventuali errori. Applicando il comando all interfaccia di loopback, dummy0, si ottiene il seguente output: root@levanto > ifconfig dummy0 dummy0 Link encap:ethernet HWaddr 00:00:00:00:00:00 inet addr: Bcast: Mask: UP BROADCAST RUNNING NOARP MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) Invece eseguendo lo stesso comando in caso di loopback non definita, si ottiene: root@levanto > ifconfig dummy0 dummy0 Link encap:ethernet HWaddr 00:00:00:00:00:00 BROADCAST NOARP MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) dove si può notare sia l assenza del flag UP che del flag RUNNING. INDIRIZZI SECONDARI (ALIAS) Levanto prevede la possibilità di definire e configurare degli indirizzi secondari associati ad un determinata interfaccia. Tali indirizzi sono chiamati alias e possono essere impostati mediante il comando: 55

56 Indirizzo di Loopback, Gestione Interfacce di Rete set alias <ifname> ipaddr <ip_secondary> netmask <value> Ad esempio per impostare sull interfaccia eth0 l indirizzo secondario : set alias eth0 ipaddr netmask Per visualizzare gli indirizzi secondari configurati si può usare il comando: root@levanto > show alias Aliases: eth0 ipaddr netmask e per verificare se effettivamente sono attivi: root@levanto > ip addr list dev eth0 2: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100 link/ether 00:0d:5a:04:6b:3e brd ff:ff:ff:ff:ff:ff inet /16 brd scope global eth0 inet /16 brd scope global secondary eth0:0 e analogamente mediante il comando ifconfig: root@levanto > ifconfig eth0:0 eth0:0 Link encap:ethernet HWaddr 00:0D:5A:04:6B:3E inet addr: Bcast: Mask: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Interrupt:15 56

57 Il Comando IP IL COMANDO IP GENERALITÀ Il comando ip consente di gestire, in modalità estremamente avanzata, l attivazione e la verifica delle interfacce IP e il relativo routing di Levanto. Esso risulta essere uno strumento molto flessibile e completo che consente, per esempio, di definire più tabelle di routing da consultare a seconda della provenienza del pacchetto, della destinazione o semplicemente dell'utente che richiede l'utilizzazione della risorsa. Le opzioni più comuni del comando sono le seguenti: ip link ip route ip rule ip addr Consente di visualizzare e modificare le caratteristiche dei dispositivi di uscita Aggiunge o cancella una riga della routing table in cui sono contenute le informazioni sui percorsi per raggiungere gli altri nodi di rete Definisce delle regole di instradamento non dipendenti solo dalla destinazione del pacchetto ma anche da altri campi dell'header. A tale scopo vengono definite più tabelle di routing, a seconda del particolare tipo di pacchetto da gestire Associa indirizzi IP ai dispositivi di rete Il comando ip non ha effetti sulla configurazione di Levanto, ovvero le modifiche alla tabella di routing effettuate tramite di esso verranno perse al prossimo reboot del modulo. Tipicamente esso si utilizza congiuntamente ai comandi di trigger per esprimere delle condizioni temporanee. Ad esempio per attivare una rotta allo start-up del modulo: set autocmd ip route add via oppure quando si attiva la connessione GPRS: set trigger gprs up ip route add /24 dev ppp0 oppure per modificare una rotta quando si entra nello stato di backup: set trigger backup up ip route del via set trigger backup up ip route add via VISUALIZZARE LO STATO DELLE INTERFACCE, LE TABELLE DI ARP E DI ROUTING MEDIANTE COMANDO IP Il comando ip consente la visualizzazione di link e rotte di instradamento presenti ed attivi sul modulo Levanto. Per esempio, il comando ip link list (17): 57

58 Il Comando IP ip link list 1: lo: <LOOPBACK,UP,LOWER_UP> mtu qdisc noqueue link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000 link/ether 00:0d:5a:02:01:04 brd ff:ff:ff:ff:ff:ff 3: gre0: <NOARP> mtu 1476 qdisc noop link/gre brd : gprs: <BROADCAST,NOARP> mtu 1500 qdisc noqueue link/ether 00:0d:54:00:00:00 brd ff:ff:ff:ff:ff:ff Figura 17: Esempio di output comando: ip link show Mentre il comando ip address show consente di visualizzare le interfacce con relativi IP address associati (Figura 18): ip address show 1: lo: <LOOPBACK,UP,LOWER_UP> mtu qdisc noqueue link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet /8 scope host lo 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000 link/ether 00:0d:5a:02:01:04 brd ff:ff:ff:ff:ff:ff inet /16 brd scope global eth0 3: gre0: <NOARP> mtu 1476 qdisc noop link/gre brd : gprs: <BROADCAST,NOARP> mtu 1500 qdisc noqueue link/ether 00:0d:54:00:00:00 brd ff:ff:ff:ff:ff:ff Figura 18: Esempio di output comando: ip address show Il comando ip route show consente di visualizzare le tabelle di routing (Figura ): ip route show /16 dev eth0 src Figura 19: Esempio di output comando: ip route show 58

59 Il Comando IPTABLES IL COMANDO IPTABLES GENERALITÀ Su Levanto è presente il comando iptables che è un tool avanzato per il filtraggio dei pacchetti della rete, ovvero controlla i pacchetti che cercano di accedere, transitare e uscire dal modulo stesso. Esso consente di realizzare: Funzionalità di firewall sia stateless che stateful Operazioni di Network Address Translation (nat), sia statico che dinamico Alterazione e marcatura dei pacchetti (mangle) Accounting e logging dei pacchetti Port forwarding Load balancing TABELLE, CATENE, REGOLE E TARGET Iptables raggruppa le regole di elaborazione dei pacchetti in tabelle. Sono definite tre tabelle di default: filter nat mangle Regola le funzioni di firewall: quali pacchetti accettare, quali bloccare Regola le attività di natting (source-nat, destination-nat, pat) Regola i meccanismi per alteare i pacchetti Ogni tabella è costituita da un gruppo di catene predefinite (INPUT, OUTPUT, FORWARD, PREROUTING, POSTROUTING) cui possono eventualmente essere aggiunte catene personalizzate. Ogni catena è composta da un insieme di regole che, in base ad un criterio di match, identificano i pacchetti di rete: protocollo, indirizzo ip, servizio, etc. (ad esempio: -p tcp -- dport 80 -d ). Ogni regola termina con un indicazione (target) su cosa fare dei pacchetti identificati dalla regola stessa (ad esempio, -j ACCEPT, -j DROP, -j LOG,...). Le catene indicano dei punti prestabiliti (detti anche hook points) nel corso dell elaborazione del pacchetto di rete nei quali il pacchetto viene esaminato per applicare la regola stabilita ed eseguire il target nel caso in cui il match associato alla regola sia stato soddisfatto. In base alla tabella (filter, nat o mangle) vengono usate le catene associate. In particolare, per le funzioni di filter si utilizzano le catene di INPUT, FORWARD ed OUTPUT, per le funzioni di nat quelle di PREROUTING e POSTROUTING, mentre le funzioni di mangle possono avvenire all interno di una qualsiasi catena. Il significato di ogni catena è spiegato nei paragrafi seguenti. La sintassi generica del comando iptables è la seguente: iptables t table -[AD] chain rule-specification [options] iptables t table -[I] chain [rulenum] rule-specification [options] iptables t table -D chain rulenum [options] iptables t table -[L] [chain] [options] 59

60 Il Comando IPTABLES dove si specificano: la tabella di riferimento (-t nat table), se aggiungere o togliere la regola all interno della catena (-A chain, -D chain, -I chain), la regola per il match dei pacchetti e l azione (target) da eseguire. Il comando: iptables -t table L v mostra informazioni e contatori statistici relativamente al regole che sono state soddisfatte (vedi paragrafo sull accounting). Successivamente saranno mostrati degli esempi esplicativi. FIREWALL CON LA TABELLA FILTER La tabella filter (-t filter) riguarda le attività di filtraggio del traffico. E la tabella di default: viene usata qualora non venga specificata alcuna tabella dal comando iptables. Ha 3 catene di default: INPUT OUTPUT FORWARD si applica ai pacchetti ricevuti dal router e diretti ad esso si applica ai pacchetti inviati dal router, cioè generati localmente si applica ai pacchetti in transito dal router Per permettere l accesso al servizio di telnet del modulo: iptables t filter -I INPUT p tcp --dport 23 j ACCEPT analoga a: iptables I INPUT p tcp --dport 23 j ACCEPT Per permettere che l host con IP possa accedere al server con IP : iptables I FORWARD s d j ACCEPT mentre per negare l accesso alla porta 80 all host con IP : iptables I FORWARD -p tcp --dport 80 s d j DROP Le regole vengono analizzate in base all ordine con cui sono state aggiunte. Una regola può essere inserita in testa alla lista mediante l opzione I oppure in fondo (e quindi valutata per ultima) mediante l opzione A. E possibile inserire una regola in una determinata posizione mediante l opzione: -I chain num. Ad esempio: iptables A FORWARD -p udp --dport 37 s d j DROP iptables I FORWARD 2 -p tcp s d j DROP Per visulizzare le regole presenti nella tabella di filter: mentre iptables t filter L v iptables L v --line-numbers mostra anche il numero d ordine della regola. Ad ogni catena è definita una azione di default da applicare qualora un pacchetto non abbia verificato il criterio di nessuna delle regole presenti. L azione di default è quella di accettare il 60

61 Il Comando IPTABLES pacchetto e passare alla tabella successiva. Mediante l opzione P è possibile modificare l azione di default. Ad esempio: iptables -P FORWARD DROP iptables P OUTPUT ACCEPT NETWORK ADDRESS TRANSLATION CON LA TABELLA NAT La tabella nat (-t nat) si usa per modificare indirizzi e porte sorgenti e destinazione dei pacchetti di rete. Ha 3 catene di default: PREROUTING OUTPUT POSTROUTING Usata per alterare i pacchetti ricevuti attraverso un'interfaccia di rete, al momento del loro arrivo. Viene usata per effettuare Destination NAT. Il target è j DNAT Usata per alterare i pacchetti in uscita dal router stesso, cioè quelli generati localmente. Si usa per Source NAT. Il target è j SNAT. catena altera i pacchetti prima che vengano instradati attraverso un'interfaccia di rete. Si usa per Source NAT. Il target è j SNAT oppure j MASQUERADE per interfacce con IP dinamici. Ad esempio: I pacchetti provenienti dalla sottorete /16 e diretti alla sottorete /24 vengono trasmessi con l IP sorgente : iptables t nat A POSTROUTING s /16 d /24 j SNAT --to-source Il parametro --to-source può essere espresso solamente come --to. I pacchetti in uscita sull interfaccia ppp0 vengono trasmessi con l IP associato a tale interfaccia: iptables -t nat A POSTROUTING o ppp0 -j MASQUERADE I pacchetti diretti alla sottorete /24 si presentano con l IP , mentre quelli diretti alla sottorete /24 si presentano con l IP : iptables t nat A POSTROUTING d /24 j SNAT --to iptables t nat A POSTROUTING d /24 j SNAT --to I pacchetti ricevuti e indirizzati all indirizzo pubblico sono rediretti all indirizzo privato : iptables t nat A PREROUTING d j DNAT --to-destination Il parametro --to-destination può essere espresso solamente come -to. PORT FORWARDING Il target j DNAT della tabella NAT viene spesso utilizzato per effettuare funzioni di Port Forwarding e Load balancing, ad esempio, i pacchetti TCP diretti alla porta 80 dell indirizzo pubblico sono rediretti alla porta 8080 dell indirizzo privato : iptables t nat A PREROUTING p tcp d dport 80 j DNAT --to :

62 Il Comando IPTABLES e per distribuire le connessioni HTTP verso un gruppo di server interni: iptables t nat A PREROUTING p tcp d dport 80 j DNAT --to Con tale comando le connessioni vengo reindirizzate in modalità round robin verso i server , , e E da notare che nel caso in cui uno dei server non sia disponibile, il tentativo di connessione fallisce. ALTERAZIONE DEI PACCHETTI CON LA TABELLA MANGLE Le tabella mangle (-t mangle) permette la modifica di vari header IP o TCP di un pacchetto. Viene tipicamente usata per alterare il valore del campo TOS dell header IP oppure il valore del camp MSS di TCP. Prevede le seguenti catene: INPUT OUTPUT FORWARD PREROUTING POSTROUTING altera i pacchetti di rete in ingresso altera i pacchetti di rete prima che vengano inviati all'esterno altera i pacchetti di rete in transito dal router altera i pacchetti ricevuti attraverso un'interfaccia di rete prima che vengano instradati altera i pacchetti prima che vengano inviati attraverso un'interfaccia di rete Impostazione del massimo throughput per il protocollo SSH: iptables -t mangle -A FORWARD -p tcp --dport 22 -j TOS --set-tos Maximize- Throughput Modifica del TOS per ridurre la latenza dei pacchetti DNS: iptables -t mangle -A FORWARD -p udp --dport 53 -j TOS --set-tos Minimize-Delay Impostazione di MSS al valore di 1400: iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1400 oppure per adattare il valore del MSS a quello della MTU: iptables -A FORWARD -p TCP --TCP-flags SYN,RST SYN -j TCPMSS --clamp-mss-topmtu Impostazione del valore del DSCP a 32 per i pacchetti che attraversano un tunnel GRE: iptables t mangle -A POSTROUTING p 47 -j DSCP --set-dscp 32 APPLICAZIONE DELLE REGOLE SUI PACCHETTI Il percorso tipico di un pacchetto IP è rappresentato dal seguente diagramma: 62

63 Il Comando IPTABLES Il pacchetto entra dall interfaccia di rete (eth0 nell esempio) e prima del processo di routing viene sottoposto all applicazione delle regole presenti nella catena di PREROUTING. In questo passaggio vengono applicate le regole di Destination NAT (DNAT) se i match presenti nella catena trovano corrispondenza nel pacchetto in arrivo. Se il pacchetto, in base alla tabella di routing, è destinato all interfaccia di rete in uscita (eth1 nel diagramma) vengono applicate le regole descritte nella catena di FORWARD. Se il pacchetto è destinato al router stesso vengono applicate le regole descritte nella catena di INPUT. Se il pacchetto è stato generato da un processo locale al router vengono applicate le regole contenute nella catena di OUTPUT. Sia nel caso di FORWARD che di OUTPUT, prima di uscire dalla scheda di rete eth1, il pacchetto subisce l applicazione delle regole descritte nella catena di POSTROUTING. In tale fase vengono applicate le regole per il Source-nat (SNAT) o Masquerade. In ogni catena vengono applicate le regole di alterazione dei pacchetti. CRITERI STANDARD DI MATCH Le possibilità di matching di pacchetti sono diversi e possono essere combinate all interno della stessa regola: -p proto Protocollo IP (TCP, UDP, ICMP, GRE, AH,...) -s address[/mask] Indirizzo IP sorgente (o network sorgente con maschera) -d address[/mask] Indirizzo IP destinazione (o network con maschera) -i interface Interfaccia di ingresso -o interface Interfaccia di uscita I criteri possono essere negati usando il carattere!. Ad esempio tutti i protocolli tranne ICMP: -p! icmp. Nel caso di protocollo TCP (-p tcp) valgono le seguenti estensioni: --sport port[:port] --dport port[:port] --tcp-flags flag --syn La porta o un range di porte sorgente. Ad esempio 1:1024 = > tutte le porte tra 1 e 1024 La porta o un range di porte di destinazione. Ad esempio 1:1024 = > tutte le porte tra 1 e Per specificare la presenza di flag nel pacchetto TCP (SYN,ACK,FIN,RST,URG). Viene indicata la lista dei bit da trattare ed il valore che devono assumere. I pacchetti con solo SYN attivo (nuove connessioni) Esempio per scartare tutte le richieste di connessioni TCP in ingresso verso porte privilegiate: 63