Yaptığım araştırma ve incelemeler sonrasında sanal makinayı DSL (Damn Small Linux) ile kendi sitesi üzerinden web browser içinden applet olarak test ettim. Performansı oldukça başarısızdı. Ancak yine de Java dili ile x86 makina yapılabilmiş olması ve Linux işletim sistemini grafiksel kullanıcı arabirimi ile kullandırabiliyor olması Java dilinin gücünü göstermektedir.

GPL2 lisanslı JPC’ye ulaşmak için http://www-jpc.physics.ox.ac.uk/ adresine tıklayabilirsiniz. Yapmış olduğum denemenin ekran görüntüleri aşağıdadır.

Ubuntu ve Debian’lar için aşağıdaki adresten indirip ilk beta sürümünü deneyebilirsiniz.

http://www.google.com/chrome/intl/en/eula_dev.html?dl=unstable_i386_deb

Bu yazıyı da Google Chrome’un Linux sürümü ile hazırlayıp gönderiyorum. Henüz yapılacak çok işi var ama şu ana kadarki sonuç da oldukça etkileyici. Performansı, sade göreselliği ve takılmadan akıcı hareket eden animasyonları mükemmel olmuş. Yine de eklentiler, gelişmiş ağ ayarları, vb. konularda bayağı yol alması lazım.

Nokia E71 Üzerinde Ad-Hoc Erişim Noktası Tanımlama

Telefonunuzda bekleme konumundayken Menu -> Tools -> Settings -> Connection menüsünü açınız. Burada Access points’e giriniz.

Sol alttaki “Options”a tıklayarak çıkan menüden “New access point”e tıklayınız.

Connection name: Oluşturmakta olduğunuz ad-hoc bağlantı profiline bir isim veriniz.

Data bearer: Wireless LAN olarak seçiniz.

WLAN network name: Bu örneği “test” ismiyle yaptığımız için test deyiniz. Bu ad-hoc bağlantınızın ESSID’si olacak, Linux’ünüzde de aynı ismi kullanmanız gerekecek.

Network status: Hidden olarak seçiniz.

WLAN network mode: Ad-hoc olarak seçiniz.

WLAN security mode: WEP olarak seçiniz.

WLAN security settings’e tıklayarak güvenlik ayarlarına giriniz.

WEP key in use: #1 olarak kalsın.

Authentication type: Open olarak seçiniz.

WEP key settings’e tıklayarak WEP anahtarınızı tanımlama ayarlarına giriniz.

WEP encryption: 64 bits olarak seçiniz. Arzu ederseniz daha yüksek güvenlik için 128 bit olarak da seçebilirsiniz. Ancak örneğimiz 64 bitlik bir anahtar ile yapılmış durumda.

WEP key format: Hexadecimal olarak seçiniz.

WEP key: 10 haneli hexadecimal rakamlardan oluşan bir sayı giriniz.

Sağ alt köşedeki Back’e tıklayarak kaydetmek isteyip istemediğinizi soran sorulara Yes olarak yanıt veriniz. Bu çalışma ile ad-hoc WiFi bağlantı profiliniz hazır. Sırada bu profil ile uyuşan Linux üzerindeki ayarlarda.

Dizüstü Bilgisayarınızdaki Hazırlıklar

Dizüstü bilgisayar üzerinde bir DHCP sunucu çalıştırma zorunluluğu bulunmakta. Aksi taktirde kablosuz ağ arayüzünden DHCP isteminde bulunacak olan Nokia E71′e DHCP ile IP yapılandırması veren bir cihaz olmayacak. Bu amaca yönelik olarak çok basit bir şekilde dnsmasq paketi kurularak çalıştırılabilir (apt-get install dnsmasq).

Dizüstü bilgisayarımda eth0 kablolu, eth1 kablosuz ağ bağlatı arayüzleridir, örneklerim buna bağlı olarak devam edecek. Dnsmasq’in yapılandırma dosyası /etc/dnsmasq.conf içerisine aşağıdaki iki satırı ekleyiniz.

interface=eth1
dhcp-range=192.168.0.50,192.168.37.150,12h

Linux dağıtımlarından birisini koşturan dizüstü bilgisayarınızda aşağıdaki komutları çalıştırınız.

# iwconfig eth1 mode ad-hoc essid test key 1234567890
# ifconfig eth1 192.168.0.1 up
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# sysctl -w net.ipv4.ip_forward=1
# /etc/init.d/dnsmasq restart

Yukarıdaki komutları bir shell script içerisine yazarak daha pratik bir şekilde topluca çalıştırabilirsiniz. Bu aşamadan sonra Nokia E71 üzerinde internet erişimi yapacak olan herhangi bir uygulama başlattığınızda internet erişimi için bağlantı profili seçimi sorulduğunda yeni tanımlamış olduğunuz kablosuz ağ bağlantısını seçip kullanabilirsiniz.

Yıllardır BIOS ayarlarında Ağ Üzerinden Uyan (ing. Wake on Lan) ayarını görmekteydim ama hiç kullanmak nasip olmamıştı. İlk çıktığı zamanlar da bu teknolojiden yararlanmamızı sağlayacak araçlar da pek yoktu. Bu teknolojiden yararlanmanın artık vakti gelmiştir diye düşündüm ve konuyu araştırıp uygulamaya koydum.

WoL özelliğinin çalışma mantığı şu şekilde. Öncelikle BIOS’tan WoL etkinleştirme ayarı yapılıyor. Bu ayar bilgisayar kapalıyken ethernet kartının elektrikle beslenip kablo üzerindeki sinyalleri işleyebilir olmasını sağlıyor. Ancak maalesef bu yeterli değil. Öncelikle bir işletim sistemi tarafından kapatılmış olması gerekiyor. Çünkü kablo üzerindeki sinyaller ethernet driverının ethernet belleğinde bırakmış olduğu bir miktar kod ile sistemi uyarabiliyor. Elektrik kesintisi sonrasında ethernet kartında bu kod yer almadığı için WoL özelliği BIOS’ta açık ve etkin olsa bile açılmayacaktır. Bilgisayarı bir MS-Windows işletim sistemi kapattıysa WoL %99 ihtimalle çalışacaktır. Bir Linux kapattıysa WoL %1 ihtimalle çalışacaktır. Bu duruma üzülmenize gerek yok. Linux’te ethernet üzerinde bu kodu bırakması için bir ayar yapmak gerekiyor. Tek sıkıntı bu. Bu ayardan sonra %99 ihtimalle Linux üzerinde de WoL çalışacaktır. Hatta Linux’te bu ayarla birlikte o kadar güzel seçenekler var ki Windows’un otomatik sağladığı WoL özelliği halt etmiş diyebilirim (donanımın da bu özellikleri destekliyor olması gerekiyor).

Linux’te WoL Ayarı:

root@sistem# ethtool -s eth0 wol g

Yukarıdaki komutun işletiminden sonra Linux kapanırken ethernet kartı üzerinde WoL kodunu bırakacaktır. Bu Windows’un bıraktığı kod ile uyumlu olandır. Diğer güvenlik ve güvensizlik seçenekleri için ethtool aracının kılavuz sayfalarını (ing. manual page) okumanızı öneririm. Yukarıdaki komut bu ayarı kalıcı yapmamaktadır. Kalıcı olması isin sistem açılış veya kapanış sürecinde işletilen betiklere dahil edilmesi gerekmektedir. Hem Linux hem Windows için geçerli olan birşey var ki bilgisayarınız bu şekilde kapalıyken elektrikler kesilir ve gelirse ethernet kartındaki WoL kodu yok olmuş olacak ve ne kadar uğraşırsanız uğraşın açılmayacaktır. Dolayısı ile bilgisayarınız kapalı da olsa KGK (ing. UPS) ile beslenmeye devam etmesi önerilir. Son bir hatırlatma olarak da ethernet kartınız PCI genişleme yuvasına takılı ise ayrıca bir WoL kablosunun bulunması ve anakarttaki ilgili pinlere bağlatısının yapılmış olması gerekmektedir. Ethernet kartı anakarta bütünleşik ise WoL kablolaması için özel birşey yapmanız gerekmeyecek.

Bu teknoloji nasıl çalışyor? Öncelikle sihirli paket (ing. magic packet) hazırlamalı ve bu sihirli paketi ağ üzerindeki kapalı olan ancak WoL şartlarını sağlayan bilgisayarınıza ulaştırmalısınız. Sihirli paket aslında 6 byte’lik 0xFFFFFFFFFFFF değerinden sonra ilgili ethernet kartının MAC adresini 16 kez peş peşe içeren özel bir UDP paketidir. Ancak uyandırılacak olan sistem kapalı olduğu için UDP paketinin hedefine ulaşması amacıyla hedef MAC adresi değerinde (ing. destination mac address) tüm ağa yayılması için FF:FF:FF:FF:FF:FF yayın adresini (ing. broadcast address) kullanılabilir. Tüm bunların normal ağ veya tcp/ip programları ile yapılması mümkün değil (switch’in arp çağrılarına kapalı olduğu için cevap vermeyecektir, dolayısı ile nerede olduğunu asla bilemezsiniz, bu nedenle normal socket programlama ile WoL uygulaması yapılamaz). Dolayısı ile sadece bu amaca yönelik packet injection kütüphaneleri kullanılarak geliştirilmiş uygulamalar kullanılır. WoL şartlarını sağlayan kapalı bilgisayarların ethernet kartına bu sihirli paket ulaştığında, kendi MAC adresini peş peşe 16 kez görünce anakarta sanki düğmeye basılmış gibi açılma sinyali gönderilmekte ve bilgisayar açılmaktadır.

Linux ortamında etherwake veya wakeonlan araçları kullanılabilir. Packet injection işlemi yapılacağı için root kullanıcısı hakları ile kullanılmasını öneririm.

root@sistem# etherwake 00:13:23:DB:BD:FA

Yukarıdaki komutu çalıştırdığımızda ağımızda yer alan ve WoL şartlarını sağlayan 00:13:23:DB:BD:FA MAC adresli bilgisayar açılacaktır.

Buraya kadar herşey güzel. Peki ya ofisten evdeki bilgisayarı internet üzerinden nasıl açarız? Eğer evinizde ulaşabileceğiniz 7/24 açık bir sunucunuz varsa onun üzerinden yapabilirsiniz. Ya o da yoksa? Bu durumda şansınızın yaver gitmesi için duğa etmelisiniz. Çünkü geri kalan tamamen ADSL (veya diğer türlerdeki) router/firewall’unuzun yeteneğidir. Bazı ADSL router’larının PAT (ing. Port Address Translation) ayarlarında dış UDP port 9, hedef iç UDP port 9, hedef iç IP 192.168.0.255 gibi yayın adresi (ing. broadcast) olan iç adres belirtilebiliyor. Bu durumda dış IP’nizin 9 numaralı UDP portune gelecek olan her paket içteki tüm ağınıza yayılmış olacak. Sade ve sadece sihirli paketin içeriği kendi mac adresi ile eşleşen bilgisayar açılacaktır.

Peki ya ADSL router’ınız yayın adresini yazmanıza izin vermiyorsa? Benim durumum da aynı bu şekilde. Yerli Airties firmamızın arayüzünde Türkçe çeviri yaparak fason olarak piyasamıza soktuğu, Çinli Arcadyan’ın üretiği ve dünya piyasasında Philips, SNA, Ozenda gibi değişik markalarda da görebildiğimiz Airties rt210′un ilk sürümünü kullanmaktayım. Çok güzel, sağlam, ısıya dayanıklı, mükemmel bir ürün, öyle olmasa Philips ve SNA tercih etmezlerdi. Bu alet NAT ayarlarındaki Virtual Server bölümünde iç hedef IP adresi olarak yayın adresi girilmesine kesinlikle izin vermiyor. Sizin durumunuz da bu şekildeyse WoL’ı internet üzerinden çalıştırmak için küçük bir şansınız daha olabilir. Ben o küçük şansa sahip olanlardan birisiyim ve Airties rt210′da bu iş oluyor. Hemen ayrıntılara girelim.

Bir komut isteminden Airties’a telnet ile bağlantı kuruyorsunuz. Windows kullanıcıları Komut İstemini kullanabilirler, ben Linux üzerinden örnekleyeceğim.

=================================

kullanici@sistem$ telnet 192.168.2.1
User Name : root
User Password : **********

Telnet Manager Version 0.44

Type ? for Command-Sensitive Help, TAB match command

ROOT :> dhcp fixed add 00:13:23:DB:BD:FA 192.168.2.100
ROOT :> show dhcp

(1) DHCP Server Parameters
    Service(TAB)       : Enable
    Interface(TAB)     : LAN 1
    Default Gateway    : 192.168.2.1
    Subnet Mask        : 255.255.255.0
    DHCP Start IP      : 192.168.2.10
    DHCP IP Count      : 155
    Leased Time (sec.) : 1209600
    Name Server IP     : 192.168.2.1

(2) List Fixed Host Entries
  No   Ethernet  Address     IP  Address
 ---- ------------------- -----------------
   1  00:13:23:DB:BD:FA    192.168.2.100

(3) DHCP Client Parameters
    Client Functionality      : Disable
    Activate interface number : ATM 1

ROOT :> write

Do you want to write the configuration(y/n) ? : y
Write configuration successful !!!

Do you want to restart the system to activate new configuration(y/n) ? : n

Cancel by user !!!
ROOT :> exit

CONF :> exit

USER :> exit

Do you want to disconnect(y/n) ?  : y

 Disconnect by user.....Connection closed by foreign host.
kullanici@sistem$

=================================

Yukarıdaki telnet oturumunda açıkça görülmektedir ki DHCP ayarlarında bir MAC adresi için static IP rezervasyonu yaptım. Web arayüzünde olmayan bunun gibi ilave özelliklere de telnet komut isteminden ulaşabilirsiniz. Hatta Philips ya da SNA’in firmware’larını yazarsanız QoS / VLAN gibi ayarlarınız da olacak. Airties ile uğraşmayı bırakıp konumuza geri dönelim.

Bu ayardan sonra Airties’ın web tabanlı arayüzünün NAT -> Virtual Server ayarlarında dışa geken UDP 9 portu paketlerini içteki 192.168.2.100′ün UDP 9′una yönlendir ayarı yapıp kaydetmek gerekiyor. Bu aşamadan sonra ofisinizden evinizin dış IP’sini aşağıdaki gibi hedef göstererek evinizdeki WoL şartlarını sağlayan kapalı bilgisayarınızı uyandırabilirsiniz.

kullanici@sistem$ wakeonlan -i 81.214.22.200 -p 9 00:13:23:DB:BD:FA
Sending magic packet to 81.214.22.200:9 with 00:13:23:DB:BD:FA
kullanici@sistem$

Bu yöntemle aylarca yaşadım. Ta ki evimde bir Linux sunucum oluncaya kadar. İhtiyacı olanların denemesini öneririm. Son bir hatırlatma, şansınız yaver gitmezse ve ADSL router’ınız Airties gibi davranmıyorsa tüm bu çabalarınız boşa olabilir.

DOS / Windows ile Disk Bölümleme Hakkında Öğrendiklerim

Bir adet birincil birim (ing. primary paritition) olan C: sürücüsü, peşinden bir adet genişletilmiş bölüm (ing. extended partition), onun da içinde istediğimiz kadar mantıksal birim (ing. logical parititon). DOS ve Windows’ların açılış yapabilmesi için açılış kodunun birincil bölümde yer alması gerekmektedir (DOS’ta msdos.sys ve io.sys, Windows’ta ntldr). Ayrıca bootable flag denen bir bayrağın da açılış kodunun yer aldığı birincil bölümde kurulu olması gerekmektedir. İşletim sisteminin açılabilmesi için bu iki şartın aynı anda sağlanması bir zorunluluktur. DOS/Windows zamanlarında disk bölümleme sonucu ortaya çıkan disk haritası şu şekildeydi.

Linux ile Disk Bölümleme Hakkında Öğrendiklerim

Linux ile haşır neşir olduktan sonra PC ortamında DOS’ta ve Windows’ta öğrenmiş olduğum bir adet birincil bölümün, bir adet genişletilmiş bölümün, birçok da mantıksal bölümün aynen geçerli olduğunu gözlemledim. Ancak Linux’te öğrendiğim bir başka kavram daha vardı. PC ortamında aslında bir diskte azami 4 birincil bölümün adreslenebileceğini, daha fazla disk bölümüne ihtiyacımız olursa da bu 4 birincil bölümden sadece 1 tanesinin genişletilmiş bölüm olarak oluşturulabileceğini, tüm mantıksal disklerin de bu genişletilmiş bölüm içinde yer aldığını öğrendim. Her 4 birincil bölümün bir sıra numarası olduğu ve bu numaraların (SCSI altsistemi disklerinde sda1, sda2, sda3, sda4) sabit ve önceden ayrılmış olduğunu öğrendim. Tüm mantıksal bölümlerin de kaç birincil bölümün kullanıldığından bağımsız olarak 5′ten başladığını ve sıra numarası ile arttığını öğrendim (sda5, sda6, sda7, …). Birincil bölümlere ayrılmış olan bu 4 isimden (sıra numarasından) bir tanesi de genişletilmiş bölüm için kullanılmaktadır. Linux’teki olası disk bölümleme haritaları aşağıdaki gibi olabilmektedir.

Yukarıdaki biçimlerden benim özel tercihim herşeyi sırayla hiç boşluk bırakmadan doldurmaktır. O da sonuncu seçenektekidir.

OpenBSD ile Disk Bölümleme Hakkında Öğrendiklerim

OpenBSD ile tanıştıktan sonra DOS ve Linux zamanlarında öğrenmiş olduğum disk bölümleme kavramlarının hepsinin de aslında doğru olmadığını, bu gösterim biçimlerinin, numaralandırmaların hepsinin de sadece arka tarafta olup biteni soyutlamak için uydurma hikayeler olduğunu öğrendim. Bir yere kadar doğruluk payları var. Ancak tüm tablo ele alındığında aslında ayrıntıların daha farklı olduğunu öğrendim. OpenBSD bölüm değil de disk label kullanıyor olmasına rağmen PC ortamında aynı disk üstünde farklı işletim sistemleri ile bir arada yaşabilmesi için PC disk bölümlerinden de anlamaktadır. PC ortamında DOS ve Windows işletim sistemleri ile oluşturulan birincil bölüm, genişletilmiş bölüm ve mantıksal bölüm aslında aşağıdaki gibi özyinelemeli (ing. recursive) bir yapıda tutulmaktadır.

part0 (primary, sda1, C: )
part1 (primary, sda2, D: )
part2 (primary, sda3, E: )
part3 (extended, sda4)
  \--> part0 (logical, sda5, F:)
       part1 (extended)
         \--> part0 (logical, sda6, G:)
              part1 (extended)
                \--> part0 (logical, sda7, H:)

Extended içinde aynı diskin başındaki gibi bir MBR ve partition table yapısı var. Ancak içinde sadece iki bölüm var. Birincisi aynı disk başındaki birincil bölüm gibi, diğeri de başka bir genişletilmiş bölüm. O genişletilmiş bölümün içi de aynı yapıda iç içe devam etmektedir.

Genişletilmiş bölüm içindeki birincil ve diğer genişletilmiş bölüm haricinde aslında 2 (iki) bölümlük daha yer olmasına rağmen ne DOS/Windows ne de Linux bunları adresleyip kullanamamaktadır. Ancak OpenBSD ile aşağıdaki gibi bir yapı oluşturulabilmektedir, adreslenebilmektedir, kullanılabilmektedir.

part0 (primary, sda1, C: )
part1 (primary, sda2, D: )
part2 (primary, sda3, E: )
part3 (extended, sda4)
  \--> part0 (logical, sda5, F:)
       part1 (logical)
       part2 (logical)
       part3 (extended)
         \--> part0 (logical)

Özet olarak disk yapısı aslında özyineli tutulan bir yapıya sahiptir. Diskin üstünde 4 tane birincil bölüm desteklenmektedir. Bu birincil bölümlerden en fazla 1 tanesi genişletilmiş bölüm olabilmektedir. Genişletilmiş bölüm içerisi de aynı disk yapısına sahiptir. Yani içinde 4 tane birincil bölüm oluşturulabilir. Ancak DOS/Windows ve Linux sadece iki tanesini adresleyip kullanabilmektedir. Bunlardan birincisine mantıksal denilmektedir. Bu yapı böyle iç içe devam etmektedir.

DOS/Windows işletim sistemleri açılış yapabilmek için birincil bölüme ihtiyaç duyarlar. Linux sistem ön yükleyicileri (ing. boot loader) sayesinde mantıksal disk birimlerinden de açılışını yapabilmektedir. OpenBSD ise PC donanımında diskin üstünde bir birincil bölüm üstünde yer almalıdır ve tüm disklabel’ları aynı bölüm içerisinde olmalıdır.

Tüm bu olumsuzluklara rağmen SSH ile VPN bağlantısı kurmak mümkündür ve sağlam bir bağlantı üstünde yeterince sağlıklı çalışmaktadır (SSH ile VPN bağlantısı üstünden SIP ile VOIP görüşmesi yapmışlığım var, herhangi bir sorununu görmedim). Diğer olumlu yanları da sunucu’nun sabit IP’si olacak diye bir şart yoktur. DynDNS.org’dan alacağınız bir isimle VPN kurmak istediğiniz SSH sunucunuza DynDNS.org adıyla rahatlıkla ulaşabilirsiniz. Kurulumu diğer VPN çözümlerine göre nispeten daha kolaydır.

SSH VPN bağlantısını pppd yardımı ile gerçekleştirmektedir. VPN’nin kurulabilmesi için SSH istemci ve sunucu taraflarının her ikisinde de pppd’nin kurulu olması bir zorunluluktur. SSH istemcisi ile sunucu arasındaki şifreli bağlantının her iki ucunda yer alan pppd’ler noktadan noktaya iletişik protokolü ile şifreli tünel üzerinden yeni bir ağ kurmaktadırlar. Bu da SSH ile VPN’i meydana getirmektedir.

Tüm bu ön bilgilerden sonra gelelim SSH ile VPN kurulumuna. Hazırlık aşaması biraz uzun ve zahmetli (hangi vpn kolay ki ), ancak hazırlığı bir kere yaptıktan sonra bağlantının kurulması oldukça kolay.

SSH ile VPN bağlantısı kuracak olan istemci ve sunucu Linux’lerin her iki tarafta da firewall/gateway olarak kullanılıyor olması avantajınıza olacaktır. Her iki taraftaki tüm istemciler ön tanımlı ağ geçidi (ing. default gateway) olarak bu Linux’leri kullandıklarından dolayı ilave yönlendirme ayarına gerek kalmayacak ve VPN kurulduğunda birbirlerinin ağlarını görebilir duruma gelecekler. Ancak VPN erişimi yapmak istediğiniz ağdaki Linux sunucusu ilgili ağın yönlendiricisi değilse bir miktar daha çalışma yapmak gerekecek. Bunlara yazının sonlarında değineceğim.

OpenSSH Sunucusu Üzerindeki Hazırlıklar

1. VPN kullanıcısının oluşturulması
Sunucu Linux’te vpn bağlantısının kurulması için ssh ile erişmek üzere kullanacağımız bir kullanıcı hesabı tanımlamalıyız.

root@sunucu# useradd -m -d /home/vpnuser vpnuser
root@sunucu#

2. VPN kullanıcısı için “sudo /usr/sbin/pppd” ayarının yapılması
Tanımlamış olduğumuz vpnuser kullanıcısının pppd’yi çalıştırabilmesi için geçici yetki yükseltmesine ihtiyacımız var. Bunun için sudo altyapısı kullanılacağız. “visudo” komutu ile /etc/sudoers dosyasını düzenlemeliyiz ve aşağıdaki satırı eklemeliyiz.

root@sunucu# visudo

vpnuser ALL=NOPASSWD: /usr/sbin/pppd

Bu düzenlemeyi test edelim:

root@sunucu# su - vpnuser
vpnuser@sunucu$ sudo /usr/sbin/pppd noauth
~�}#�!}!}!} }4}"}&} } } } }%}&�U�}2}'}"}

Yukarıdakine benzer şekilde pppd’nin garip karakterlerini görüyorsak pppd’nin vpnuser tarafından root yetkileri ile çalıştırılması altyapısı hazırdır.

3. SSH açık anahtarının vpn kullanıcısı hesabına yerleştirilmesi
OpenSSH istemci sistemde ilerleyen bölümde hazırlanmış olan ssh açık anahtarını sunucu sistemdeki vpnuser hesabının .ssh/authorized_users dosyasına yazmalıyız. Böylece istemci sistem SSH bağlantısını anahtar altyapısı ile kurabilecektir.

vpnuser@sunucu$ mkdir .ssh
vpnuser@sunucu$ cat id_rsa_vpn.pub >> /home/vpnuser/.ssh/authorized_keys

Genel olarak sunucu sistemdeki hazırlıklar bu kadar. Sıra istemci sistemdeki hazırlıklarda.

OpenSSH İstemcisindeki Hazırlıklar

1. root kullanıcısında VPN için gizli ve açık anahtar oluşturulması

OpenSSH gizli ve açık anahtar oluşturulması için ilave bilgi ihtiyacınız olursa SSH Anahtar Kullanımı başlıklı yazıma başvurabilirsiniz. VPN bağlantısının sistem açılışında otomatik olarak başlatılabilmesi için gizli anahtar şifresinin sadece Enter’a basılarak boş geçilmesi gerekmektedir.

root@istemci# ssh-keygen -t rsa -f /root/.ssh/id_rsa_vpn
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa_vpn.
Your public key has been saved in /root/.ssh/id_rsa_vpn.pub.
The key fingerprint is:
74:9a:43:3a:9a:14:03:20:ce:8d:aa:ba:43:18:09:b8 root@istemci
root@istemci#

Burada oluşturmuş olduğumuz gizli ve açık anahtar ikilisinden açık olanı SSH sunucusundaki vpnuser kullanıcısının .ssh/authorized_users dosyasına eklenmesi gerekmektedir. OpenSSH Sunucusu Üzerindeki hazırlıklar başlığına geri dönerek nasıl yapılacağına tekrar göz atabilirsiniz. Açık anahtarın adı üstünde açık anahtar olduğu için şifreli veya şifresiz bir bağlantı ile istemci sistemden sunucu sisteme aktarabilirsiniz. Ya da offline bir şekilde bir medya aracılığı ile de taşıyabilirsiniz. Ancak hedefe yerleştirmeden önce gözle son bir kontrol faydalı olur, başkasının yerimize VPN yapmasını istemeyiz.

2. VPN bağlantı betiğinin hazırlanması.

VPN bağlantısının kurulması için uzun bir komut yazılması gerekmektedir. Daha pratik olması ve sistem açılışında da kullanılabilmesi için aşağıdaki gibi bir betik hazırlamak daha uygun olacaktır.

===================================

#!/bin/bash

SUNUCU_ADI=sunucu.dyndns.org
SUNUCU_VPNKULLANICI=vpnuser
SUNUCU_VPNIP=172.16.1.2
ISTEMCI_VPNIP=172.16.1.1
GIZLI_ANAHTAR=/root/.ssh/id_rsa_vpn

PATH=/sbin:/bin:/usr/sbin:/usr/bin

case "$1" in
  start)
    pppd updetach noauth passive pty "ssh -P -o StrictHostKeyChecking=no \
         ${SUNUCU_ADI} -i${GIZLI_ANAHTAR} -l${SUNUCU_VPNKULLANICI} \
         -o Batchmode=yes sudo /usr/sbin/pppd nodetach notty noauth" \
         ipparam vpn ${ISTEMCI_VPNIP}:${SUNUCU_VPNIP}
    echo "VPN BASLATILDI!"
    ;;

  stop)
    pkill -f "pppd +updetach +noauth +passive +pty.+ssh.+pppd.+vpn.+\
${ISTEMCI_VPNIP}:${SUNUCU_VPNIP}"
    echo "VPN DURDURULDU!"
    ;;

  *)
    echo "Kullanim: sshvpn {start|stop}"
    exit 1
    ;;
esac

exit 0

===================================

Sıra geldi VPN bağlantımızın test edilmesine.

root@istemci# ./sshvpn.sh
Using interface ppp0
Connect: ppp0 <--> /dev/pts/4
Deflate (15) compression enabled
Cannot determine ethernet address for proxy ARP
local  IP address 172.16.1.1
remote IP address 172.16.1.2
VPN BASLATILDI
root@istemci# ifconfig ppp
ppp0      Link encap:Point-to-Point Protocol 
          inet addr:172.16.1.1  P-t-P:172.16.1.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:7 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:246 (246.0 B)  TX bytes:240 (240.0 B)

root@istemci# ping 172.16.1.1
PING 172.16.1.1 (172.16.1.1) 56(84) bytes of data.
64 bytes from 172.16.1.1: icmp_seq=1 ttl=64 time=0.075 ms
64 bytes from 172.16.1.1: icmp_seq=2 ttl=64 time=0.072 ms

--- 172.16.1.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.072/0.073/0.075/0.008 ms
root@istemci# ping 172.16.1.2
PING 172.16.1.2 (172.16.1.2) 56(84) bytes of data.
64 bytes from 172.16.1.2: icmp_seq=1 ttl=64 time=28.9 ms
64 bytes from 172.16.1.2: icmp_seq=2 ttl=64 time=17.8 ms

--- 172.16.1.2 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 17.888/23.433/28.979/5.547 ms
root@istemci#

Görüldüğü üzere istemci Linux’ten sunucu Linux’ü kurmuş olduğumuz VPN’den pingleyebildik. İstemci Linux ve sunucu Linux her birisi kendi ağında ağ geçidi (ing. router) / güvenlik duvarı (ing. firewall) görevi görüyorsa bir taraftaki istemci diğer taraftaki istemciyi ssh vpn tuneli üzerinden geçerek görebilecektir. Aynı şekilde tersi de mümkün olacaktır. Diğer bir deyişle iki ağ geçidi linux arasında kurulan SSH VPN site-to-site VPN’dir.

İstemci Linux ağ geçidi değilse, sunucu Linux ağ geçidiyse; olsa olsa client-to-site VPN kurmuş oluruz. Yani istemci Linux’ün üzerinden karşıdaki istemcilere / sistemlere ulaşabiliriz. Ancak bizim ağımızdaki diğer istemcilerin ulaşabilmesi için yönlendirme tablolarına istemci linux’ümüzün IP adresini karşı ağa gidiş noktası olarak tanımlamalıdırlar.

Ayarlama aşaması biraz zahmetli. Ancak bugüne kadar zahmetsiz bir VPN kurulumu görmedim ben. Tüm VPN teknolojilerinin kurulma aşaması zor ve uğraştırıcı oluyor. Bir kere kurulduktan sonra da rahat bir şekilde kullanılabilir.

İleri Düzey SSH serisi yazılarımı bu son yazı ile burada noktalıyorum ve OpenSSH’ın diğer özelliklerini keşfetmeyi de sizlere bırakıyorum.

Bazı ortamlarda yasakçı zihniyet (sadece izin verilene erişim), bazı ortamlarda da serbestçi zihniyet (sadece gündelik hayatı olumsuz etkileyenleri engelleme) uygulamasına gideriz. Hangisini zihniyeti uygularsak uygulayalım yukarıda adı geçen uygulama türleri ile ilgili sürekli problemler yaşarız.

Bu tür uygulamaların güvenlik duvarı arkasından sağlıklı çalışmasının çözümü UPnP (Universal Plug and Play) ile standarda bağlanarak açık ve net bir şekilde tariflenmiş. Ticari olan hemen hemen tüm güvenlik duvarları bu standardı destekliyor. 30-40 dolara satın alacağınız bir DSL router’da bile bu teknoloji var.

Açık kaynak kod dünyasında herşey var olmasına rağmen, genelde bulmacanın parçalarını birleştirmek sistem yöneticilerine kalıyor. Linux veya BSD türü güvenlik duvarınızın UPnP desteklemesi ve arkasında kalan Windows Live Messenger’ın, e-mule’un, oyunların, aktif ftp’nin, … sorunsuz çalışması için miniupnpd projesini kullanabilirsiniz.

OpenBSD ile yaptığım denemelerde MSN Live Messenger video konferansı ve e-Mule çalıştı. Bu küçük daemon gayet başarılı bir şekilde çalışmakta. İhtiyacı olanların denemesini şiddetle öneririm.

Bu tür sorularınıza yanıt alabileceğiniz veya yanıt almak için ihtiyacınız olan donanımsal bilgileri sunan birçok araç Linux içerisinde mevcut. Kısaca ne iş yaptıklarından bahsedelim:

• dmidecode
  dmidecode komutu sistem DMI (Desktop Management Interface) tablosunu uçbirime insancıl bir biçimde basmaktadır. Bazıları DMI terimi yerine SMBIOS (System Management BIOS) terimini de kullanmaktadırlar. Bu tablo, sistem açılışı sırasında sistem BIOS’u tarafından algılanan donanım özelliklerinin tutulduğu tablodur. dmidecode aracı herhangi bir test, yoklama (ing. probe) yapmaksızın sadece tablo içeriğini okuyup insanların anlayabileceği bir formatta uçbirime görüntülemektedir. Yani kullanımı güvenlidir ve sistem çalışmasını olumsuz etkilemez. Sunduğu bilgilerden bahsedecek olursak; ana kart üzerindeki RAM yuvası (ing. slot) sayısı, her birisine takılı RAM modülleri ve kapasiteleri, ram yuvalarına takılabilecek azami RAM kapasitesi, ana karta takılı işlemci türü, işlemcinin şu andaki hızı, ana kartın desteklediği azami işlemci saat hızı, BIOS sürümü, ana kart seri numarası, şase seri numarası, donanım bileşenlerinin üretici adları, markaları, modelleri, …
• lspci
  lspci adı üstünde. PCI veri yolunu listeler. PCI veri yoluna takılı bulunan tüm donanımları listeler. Özellikle 1002:437B formatında görüntülenmekte olan bileşenlerin üretici ve model numaralarını öğrenebiliyor olmak, internette en güncel sürücü yazılımı aramanızı ve bu donanıma özel sorunları ve çözümleri bulmanızı sağlar. “lspci -vnn” kullanım biçimi en çok işinize yarayacak kullanım biçimidir. Hem marka model isimlerini hem de üretici ve donanım id’lerini görüntüleyecektir.
• lsusb
  lsusb aynı lspci gibi görev yapmaktadır. USB veri yoluna bağlı olan tüm aygıtları, kaç mA akım çektiklerini ayrıntılı bir şekilde dökmektedir. Olduğu gibi sade ve herhangi bir parametresiz kullanımı yeterince iyidir. Daha fazla bilgiye ihtiyacınız olduğunda “lsusb -v” biçiminde de kullanabilirsiniz.
• cat /proc/cpuinfo
  Sistemde takılı bulunan merkezi işlem birimleri (ing. central processor unit, CPU) hakkında detaylı bilgi sunmaktadır. Her bir işlemci için ayrı bir döküm sunulmaktadır.

Linux’te sistem donanımı hakkında bilgi alabileceğimiz araç ve yöntemler sadece bununla sınırlı değil. Örneğin /proc/acpi klasörü altında yer alan tüm klasör ve dosyaları dolaşmanızı öneririm. Fanların faal olup olmadıkları ve hangi hızda döndüklerine ilişkin bilgiler, bataryaların şarj mı deşarj mı oldukları, hangi kapasite için tasarlandıkları, son olarak azami doluluk oranının ne olduğu, ısı algılayıcıların gösterdikleri sıcaklık değerleri, notebook ekranlarının açık mı kapalı mı olduğuna dair bilgiler, …

Sabit diskler hakkında ayrıntılı bilgi almak için de hdparm aracı kullanılabilir. “hdparm -i /dev/sda” biçiminde kullanıldığında diskin marka, model, cache miktarı ve bazı çalışma parametreleri öğrenilebilir.

Ethernet kartlarınızın auto-negotiation modunda anahtarlayıcınızla hangi hızda ve modda anlaşmaya vardıklarını merak ettiğinizde ise mii-tool aracını kullanabilirsiniz. Tüm ağ arayüzlerinizi ve MAC adreslerini öğrenmek istediğinizde “ifconfig -a” komutunu verebilirsiniz.

Aklıma gelenler bunlar. Tüm /proc ve /sys klasörülerinin altını dolaşmanızı öneririm. Tüm bu araç ve yöntemleri root kullanıcısı olarak uygulamakta fayda var. Oldukça ayrıntılı bilgilere ulaşacaksınız. Linux’ü sevme nedenlerimden birisi de bu. Bildiklerini sizden gizlemiyor.

İşletim sistemi olarak Ubuntu 8.04.1 Server sürümünü tercih ettim. Sunuculuk görevi olduğu için racon ve tecrübelerim gereği /boot, /, /usr, /home, /var, /tmp ve swap olarak 7 disk bölümü oluşturdum. Kurulum bittikten sonra BIOS’tan güç seçeneklerinden elektrik kesintisi sonrası son durumunu (ing. last state) korumasını, hatta kapalıysa her gece 04:00′da açılmasını, hiçbir hata durumunda açılışını durdurumamasını (ing. halt on no errors) belirtip kaydettim.

Ev şartlarında 7/24 çalışabilmesi için ısı yapabilecek her türlü fuzuli bileşeni çıkardım. Ses kartı, TV kartı, disket sürücüsü, CD-ROM sürücüsü, Ekran kartı da dahil. Sadece anakart, işlemci, ram, disk ve ethernet kartı kaldı. Artık pöfür pöfür serin bir şekilde çalışır.

Ekran kartını çıkartmadan önce sistem konsoluna seri port üzerinden ulaşabilmem için önce /boot/grub/menu.lst dosyasına aşağıdaki satırları ekledim.

serial --unit=0 --speed=38400
terminal --timeout=10 serial console

İlk satırla seri portlarımızdan 0. (sıfırıncı, COM1 veya ttyS0) olanını 38400bps hızında yapılandırmasını belirtiyoruz. İkinci satırla da GRUB’a terminal olarak öncelikle seri portu, ikinci olarak da sistem konsolunu kullanmasını ve 10 saniye süre ile kullanıcının seçim yapmasını beklemesini belirtiyoruz. 10 saniye içinde kullanıcıdan bir tepki gelmezse öncelikli olarak seri portu kullanmasını belirtmiş oluyoruz (serial ifadesi console ifadesinden önce yer alıyor). Ayrıca çekirdek parametreleri arasına da aşağıdakileri ekledim.

console=tty0 console=ttyS0,38400n8

GRUB görevi Linux çekirdeğine devrettiğinde çekirdek hem sistem konsoluna hem de seri porta açılış mesajlarını basıyor olacak. GRUB’da olduğu gibi seri portu ttyS0 ve 38400bps hızında 8 bit non-parity modunda çalışacak biçimde yapılandırmış oluyoruz. /boot/grub/menu.lst dosyası ile işimiz bitti.

Sırada seri portta getty çalıştırma var. Namı diğer login ekranı. Gözüm hemen /etc/inittab’ı aradı. Ancak yerinde yeller esiyor. Ufak bir Google araştırması ile /etc/event.d klasörüne bakmam gerektiğini öğrendim. Klasörü incelediğimde inittab dosyası ile ayarlanabilen her türlü özelliğin dosyalara parçalanmış olduğunu fark ettim. tty6 isimli dosyadan bir tane ttyS0 bir tane de ttyS1 adında olmak üzere iki kopya çıkarttım. Sırasıyla son satırlarını aşağıdaki gibi yapılandırıp kaydettim:

exec /sbin/getty 38400 ttyS0

exec /sbin/getty 38400 ttyS1

Yani getty’a aygıt olarak ttyS0 kullanmasını ve 38400bps’de kullanmasını belirtmiş oldum. ttyS1 dosyasında da ttyS1 halini belirtmiş oldum. İlk seri porta bir null modem seri kablosu takarak laptop’ımın seri portuna bağladım ve laptop’umda minicom çalıştırıp 38400bps 8bit non-parity modunu ayarladım. Tüm bu seri konsol ayarlamalarından sonra ilk yeniden başlatmayı gerçekleştirdim. Herşey mükemmel bir şekilde çalıştı. Sistem tamamen açıldıktan sonra ikinci seri portta da bir terminalin hazırda beklediğini gözlemledim.

Ekran kartını da sökerek son bir deneme daha yaptım. Uzun bir bip ve iki kısa bipten sonra (ekran kartı ya da görüntü aygıtı hazır değil manasına geliyor) GRUB’ı ilk seri portta gördüm. Çekirdek çok güzel bir şekilde tüm açılış sürecini burada görüntüledi. Son olarak da login ekranı geldi. Başarıyla oturum açtım. Evdeki masaüstü bilgisayarımın yakınlarında yer alan bir dolabın içerisine hava alabilecek şekilde konumlandırdıktan sonra da kullanıma aldım.

Şimdilik sadece DNS, dosya ve SSH sunuculuk hizmetleri verecek şekilde ayarladım. Gerisini de vakit buldukça, ihtiyaç doğdukça ayarlıyor olacağım. Öncelikle bu sıcak havalarda 1 haftalık 7/24 çalışma testinden başarıyla çıkması gerekmekte. Ancak hava şartlarının aşırı sıcak oluşu beni endişelendiriyor.

Ağ Kurgusu: Evinizde bir adet Linux sistemi var ve üzerinde çalışmaktasınız. ADSL modeminizin Internet’e bakan yüzünde sadece 22 numaralı SSH portu içteki bu Linux bilgisayarınızın 22 numaralı portuna yönlendirilmiş durumda. Yani herhangi bir yerden evinizdeki Linux’ünüze SSH ile erişilebilmektedir. Diğer yandan iş yerinize doğrudan erişiminiz yok. Bu sırada izinli olduğunuz için evinizdesiniz. İş yerindeki mesai arkadaşınız sizi aradı ve sizin yetkili olduğunuz 192.168.17.13 IP adresli sunucu sisteminde acil bir çalışma yapmanız gerektiğini iletti. Elde avuçta sadece bir bağlantı yöntemi var, o da iş yerinizden evinizdeki OpenSSH sunucusuna 22 numaralı porttan erişim imkanı.

Senaryo: Başında çalışmakta olduğunuz evinizdeki Linux’ün üstünde, mesai arkadaşınızın SSH oturumu açabileceği bir kullanıcı hesabı tanımlamalısınız. Daha sonra da mesai arkadaşınızdan kendi bilgisayarından aşağıdaki komutla sizin Linux’ünüze SSH oturumu açmasını istemelisiniz…

$ ssh -R 2222:192.168.17.13:22 kullanici@ev.homeip.net
Password:
Evine Hosgeldin Sahip!
evlinux$

Bu aşamadan itibaren kendi evinizde başında oturmakta olduğunuz Linux sistemi üzerinde 2222 numaralı TCP portu mesai arkadaşınıza hizmet veren sshd tarafından dinlenmeye başlamakta. Artık kendi Linux’ünüzden aşağıdaki komutla iş yerinizdeki 192.168.17.13 IP adresli sunucu sisteme SSH bağlantısı kurabilir ve üzerinde çalışabilirsiniz, yeter ki mesai arkadaşınız ilgili SSH oturumunu sonlandırmasın.

evlinux$ ssh -p 2222 root@localhost
Password:
Sirketin 192.168.17.13 Sunucusuna Hosgeldiniz!
sunucu#

Yukarıdaki örnekte de görüldüğü gibi artık çalışma yapmanız gereken sunucudasınız.

Biraz daha açıklamak gerekirse ssh istemcisinin uzak port yönlendirme seçeneği var (-R). Bu seçeneğin kullanılması zorunlu olan bir parametresi var. Bu parametre de aslında birbirinden “:” ile ayrılmış zorunlu 3 parçalı veya seçimlik olarak 4 parçalı dinlenecek ip ve port, bağlanılacak ip ve port bilgilerinden oluşmaktadır. Aşağıda “[]” arasına alınmış olan parça seçimliktir. Belirtilmezse 127.0.0.1 olduğu farz edilmektedir.

-R [uzakdinlemeip:]uzakdinlemeport:yerelbaglantıip:yerelbağlantıport

Yukarıda kullanım biçimi tarif edilen uzak port yönlendirme seçeneğinde kırmızı ile işaretlenmiş kısım SSH oturumu açılan sshd sunucusunun dinleyeceği IP:PORT bilgisini, mavi ile işaretlenmiş kısım da bağlantıyı kuran SSH istemcisinin bizim için bağlanacağı IP:PORT bilgisini ifade etmektedir. Kırmızı ile işaretli alanda SSH oturumu açılan sshd’nin çalıştığı bilgisayarda var olan IP adreslerinden birisini ve boşta olan portlardan birisini yazmalıyız. Mavi ile işaretli alanda ise SSH erişimini gerçekleştirdiğmiz SSH istemci sistemin bağlanabileceği bir IP adresi ve portunu yazmalıyız. SSH oturumu açıldığında uzaktaki sshd sunucusu kırmızı işaretli alanda tanımlı IP adresi ve portundan dinlemeye başlayacaktır (”netstat -nltp” ile dinlenen TCP portları ve dinleyen süreçler listelenebilir, kırmızı ile belirtilmiş olan portu sshd sürecinin dinliyor olması beklenir). Bu IP adresi ve portuna bir bağlantı geldiğinde mevcut SSH oturumu bağlantısı üstünden karşı taraftaki SSH istemcisine kadar gidecek ve oradan da mavi ile işaretli alandaki IP adresine ve portuna bağlanacaktır.

“-R” seçeneklerinden istediğiniz kadar kullanmakta özgürsünüz. Yani tek bir SSH bağlantısı ile birden fazla port yönlendirme gerçekleştirebilirsiniz.

SSH bağlantısını kuracak olan kişi Windows kullanıyorsa putty ile benzer şekilde uzak port yönlendirmesi yapabilir. Böylece mesai arkadaşınızın bilgisayarı Windows da olsa SSH uzak port yönlendirme Putty ile aynı şekilde çalışmaktadır.

İleri düzey SSH kullanımı ile ilgili sıradaki yazım SSH Dinamik Port Yönlendirme‘de görüşmek üzere.