Linux IP Masquerade mini HOWTO
Ambrose Au, ambrose@writeme.com; David Ranch, dranch@trin
net.net
Arnold, arn_mat@club-internet.fr
v1.50, 7 Février 1999
Ce document décrit la procédure pour mettre en place l'option IP mas
querade sur un ordinateur Linux, permettant de connecter sur Internet
des ordinateurs n'ayant pas d'adresses IP réservées, à travers votre
ordinateur Linux.
______________________________________________________________________
Table des matières
1. Introduction
1.1 Introduction
1.2 Mise en garde, Feedback et Crédits
1.3 Copyright & Dénégation
2. Connaissances de base
2.1 Qu'est-ce que l'IP Masquerade?
2.2 Où cela en est ?
2.3 A qui peut être utile IP Masquerade?
2.4 Qui n'a pas besoin d'IP Masquerade?
2.5 Comment fonctionne IP Masquerade ?
2.6 Ce qui est requis pour utiliser IP Masquerade sur un Linux 2.2.x
2.7 Ce qui est requis pour utiliser IP Masquerade sur un Linux 2.0.x
3. Mise en place d'IP Masquerade
3.1 Compiler le noyau pour le support d'IP Masquerade
3.1.1 Noyaus Linux 2.2.x
3.1.2 Noyaux Linux 2.0.x
3.2 Assignation d'adresse IP pour le réseau local
3.3 Configurer les AUTRES machines
3.3.1 Configurer Windows 95
3.3.2 Configurer Windows pour Workgroup 3.11
3.3.3 Configurer Windows NT
3.3.4 Configurer les systèmes UNIX
3.3.5 Configuration sous DOS avec le package NCSA
3.3.6 Configuration des systèmes MacOS utilisant MacTCP
3.3.7 Configuration des systèmes MacOS utilisant Open Transport
3.3.8 Configurer un réseau Novell utilisant le DNS
3.3.9 Configurer OS/2 Warp
3.3.10 Configurer les autres systèmes
3.4 Configurer les règles d'IP Forwarding
3.4.1 Noyaux Linux 2.2.x
3.4.2 Noyaux Linux 2.0.x
3.5 Tester IP Masquerade
4. Autres sujets relatifs à IP Masquerade et au support logiciel
4.1 Problèmes avec IP Masquerade
4.2 Services entrants
4.3 Programmes clients supportés et autres remarques pour la configuration
4.3.1 Les clients qui fonctionnent
4.3.2 Clients qui ne fonctionnent pas
4.3.3 Plateformes/Systèmes d'exploitations testés sur des machines clientes
4.4 Administration du firewall IP (ipfwadm)
4.5 Chaines IP Firewalling (ipchains)
4.6 L'IP Masquerade et la numérotation à la demande.
4.7 Faire suivre les paquets avec IPautofw
4.8 CU-SeeMe et le mini-HOWTO Linux IP-Masquerade
4.8.1 Introduction
4.8.2 Le faire marcher...
4.8.3 Restrictions/Mise en garde
4.8.3.1 Reflecteurs protégé par mot de passe
4.8.3.2 Lancer un Réflecteur
4.8.3.3 Plusieurs utilisateurs de CU-SeeMe
4.8.3.4 Besoin d'aide pour CU-SeeMe ?
4.9 Autres outils en relation
5. Foire Aux Questions
5.1 Est-ce que IP Masquerade marche avec une IP dynamique ?
5.2 Puis-je utiliser des modems cable, DSL, liaison satellite, etc pour me connecter à Internet en utilisant IP masquerading ?
5.3 Quels sont les programmes qui fonctionnent avec l'IP Masquerade ?
5.4 Comment puis-je faire marcher l'IP Masquerading sur une RedHat, une Debian, une Slackware, etc ?
5.5 Je viens de passer au noyau 2.2.x et ça ne marche plus !
5.6 Je viens de mettre à jour mon noyau avec un 2.0.30 ou plus récent et ça ne marche plus !
5.7 Je n'arrive pas à faire marcher l'IP Masquerade ! Quelles sont les possibilités pour le faire avec Windows ?
5.8 J'ai tout vérifié, et ça ne marche toujours pas. Que dois-je faire ?
5.9 Comment je m'inscris à la liste IP Masquerade ?
5.10 Je veux aider au développement de l'IP Masquerading. Comment faire ?
5.11 Où puis-je trouver plus d'informations sur l'IP Masquerading ?
5.12 Je veux traduire ce HOWTO dans une autre langue. Comment faire ?
5.13 Ce HOWTO semble à l'abandon, vous vous en occupez toujours ? Pouvez vous inclure plus d'informations sur ... ? Comptez vous l'améliorer ?
5.14 J'ai reussi à faire marcher l'IP Masquerade, c'est génial ! Qu'est ce que je pourrais faire pour vous remercier ?
6. Divers
6.1 Ressources utiles
6.2 Ressources sur l'IP Masquerade
6.3 Remerciements
6.4 Réference
______________________________________________________________________
1�1.�. I�In�nt�tr�ro�od�du�uc�ct�ti�io�on�n
1�1.�.1�1.�. I�In�nt�tr�ro�od�du�uc�ct�ti�io�on�n
Ce document décrit comment mettre en place l'option IP masquerade sous
Linux, afin de permettre à des ordinateurs n'ayant pas d'adresse IP
réservée de se connecter à Internet à travers votre ordinateur. Il est
possible de connecter votre machine à l'hôte Linux grâce à de
l'Ethernet, aussi bien que d'autres types de connexions comme un lien
PPP. Ce document va se restreindre à une connexion Ethernet, puisque
c'est l'hypothèse la plus probable.
C�Ce�e d�do�oc�cu�um�me�en�nt�t s�su�up�pp�po�os�se�e q�qu�ue�e v�vo�ou�us�s u�ut�ti�il�li�is�se�ez�z l�le�es�s n�no�oy�ya�au�ux�x s�st�ta�ab�bl�le�es�s
2�2.�.2�2.�.x�x o�ou�u 2�2.�.0�0.�.x�x.�. L�Le�es�s a�an�nc�ci�ie�en�nn�ne�es�s v�ve�er�rs�si�io�on�ns�s t�te�el�ll�le�es�s 1�1.�.2�2.�.x�x n�ne�e s�so�on�nt�t
P�PA�AS�S c�co�ou�uv�ve�er�rt�te�es�s p�pa�ar�r c�ce�e d�do�oc�cu�um�me�en�nt�t.�.
1�1.�.2�2.�. M�Mi�is�se�e e�en�n g�ga�ar�rd�de�e,�, F�Fe�ee�ed�db�ba�ac�ck�k e�et�t C�Cr�ré�éd�di�it�ts�s
Je trouve que, en tant que débutant, il est très déroutant de mettre
en place l'IP masquerade sur un noyau récent, comme sur un de la série
des 2.x. Bien qu'il y ait une FAQ et une mailing list, il n'y a pas de
documents spécifiques pour cela, et il y a des demandes sur la mailing
list pour des documents tels qu'un HOWTO. J'ai donc décidé d'écrire ce
document comme un point de départ pour un nouvel utilisateur, et
peut-être comme un point de départ pour qu'un utilisateur expérimenté
écrive une véritable documentation. Si vous pensez que ce document
n'est pas parfait, n'hésitez pas à m'en faire part afin que je puisse
l'améliorer.
Ce document est largement inspiré de la FAQ de Ken Eves, ainsi que de
nombreux messages très utiles de la mailing list d'IP Masquerading.
Je tiens à adresser des remerciements tout particuliers à M. Matthew
Driver qui, par ses messages sur la mailing list, m'a donné envie de
mettre en place l'IP Masquerading et d'écrire ce document.
N'hésitez pas à nous envoyer tout commentaire à ambrose@writeme.com et
dranch@trinnet.net pour toute erreur ou tout oubli dans ce document.
L'avenir de cet HOWTO sera fortement influencé par les réactions que
j'aurais de votre part.
C�Ce�e H�HO�OW�WT�TO�O a�a é�ét�té�é c�co�on�nç�çu�u p�po�ou�ur�r ê�êt�tr�re�e u�un�n g�gu�ui�id�de�e p�po�ou�ur�r q�qu�ue�e l�l'�'I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�di�in�ng�g
f�fo�on�nc�ct�ti�io�on�nn�ne�e c�ch�he�ez�z v�vo�ou�us�s r�ra�ap�pi�id�de�em�me�en�nt�t.�. C�Co�om�mm�me�e j�je�e n�ne�e s�su�ui�is�s p�pa�as�s u�un�n t�te�ec�ch�hn�ni�ic�ci�ie�en�n,�,
i�il�l s�se�e p�pe�eu�ut�t q�qu�ue�e v�vo�ou�us�s t�tr�ro�ou�uv�vi�ie�ez�z l�le�es�s i�in�nf�fo�or�rm�ma�at�ti�io�on�ns�s d�de�e c�ce�e d�do�oc�cu�um�me�en�nt�t m�mo�oi�in�ns�s
g�gé�én�né�ér�ra�al�le�es�s e�et�t m�mo�oi�in�ns�s o�ob�bj�je�ec�ct�ti�iv�ve�es�s.�. L�Le�es�s d�de�er�rn�ni�iè�èr�re�es�s n�no�ou�uv�ve�el�ll�le�es�s e�et�t i�in�nf�fo�or�rm�ma�at�ti�io�on�ns�s
p�po�ou�ur�rr�ro�on�nt�t ê�êt�tr�re�e t�tr�ro�ou�uv�vé�ée�es�s s�su�ur�r l�le�e s�si�it�te�e w�we�eb�b d�de�e l�l'�'I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�di�in�ng�g R�Re�es�ss�so�ou�ur�rc�ce�e,�,
d�do�on�nt�t n�no�ou�us�s n�no�ou�us�s o�oc�cc�cu�up�po�on�ns�s.�. S�Si�i v�vo�ou�us�s d�dé�és�si�ir�re�ez�z p�po�os�se�er�r d�de�es�s q�qu�ue�es�st�ti�io�on�ns�s
t�te�ec�ch�hn�ni�iq�qu�ue�es�s à�à p�pr�ro�op�po�os�s d�d'�'I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e,�, v�ve�eu�ui�il�ll�le�ez�z s�so�ou�us�sc�cr�ri�ir�re�e à�à l�la�a m�ma�ai�il�li�in�ng�g
l�li�is�st�t I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e a�au�u l�li�ie�eu�u d�de�e m�m'�'e�en�nv�vo�oy�ye�er�r d�de�es�s m�ma�ai�il�ls�s.�. J�J'�'a�ai�i p�pe�eu�u d�de�e t�te�em�mp�ps�s
p�po�ou�ur�r v�vo�ou�us�s r�ré�ép�po�on�nd�dr�re�e,�, e�et�t l�le�es�s d�dé�év�ve�el�lo�op�pp�pe�eu�ur�rs�s d�d'�'I�IP�P_�_M�Ma�as�sq�q s�so�on�nt�t p�pl�lu�us�s à�à m�mê�êm�me�e d�de�e
r�ré�ép�po�on�nd�dr�re�e à�à v�vo�os�s q�qu�ue�es�st�ti�io�on�ns�s.�.
La dernière version de ce document peut être obtenue à l'IP Masquerade
Ressource, qui distribue également des versions HTML et PostScript de
ce document :
· http://ipmasq.cjb.net/
· http://ipmasq2.cjb.net/
· Veuillez consulter la liste des Sites Mirrors de l'IP Masquerade
Ressource pour contacter un site plus proche de chez vous.
1�1.�.3�3.�. C�Co�op�py�yr�ri�ig�gh�ht�t &�& D�Dé�én�né�ég�ga�at�ti�io�on�n
Ce document est copyright © 1999 Ambrose Au, et est un document
gratuit. Vous pouvez le redistribuer sous la licence GPL de GNU
(General Public License).
Toutes les informations contenues dans ce document sont l'état de mes
connaissances. Cependant, l'IP Masquerading est _�e_�x_�p_�é_�r_�i_�m_�e_�n_�t_�a_�l, et il y
a des chances que j'aie fait des erreurs ; c'est à vous de décider si
vous voulez suivre les informations contenues dans ce document.
Personne n'est responsable pour un quelconque dommage sur vos
ordinateurs ainsi qu'une quelconque autre perte due à l'utilisation
des informations contenues dans ce document. C'est à dire :
L�L'�'A�AU�UT�TE�EU�UR�R E�ET�T L�LE�ES�S M�MA�AI�IN�NT�TE�EN�NE�EU�UR�RS�S N�NE�E S�SO�ON�NT�T E�EN�N A�AU�UC�CU�UN�N C�CA�AS�S R�RE�ES�SP�PO�ON�NS�S�
A�AB�BL�LE�ES�S D�DE�ES�S D�DO�OM�MM�MA�AG�GE�ES�S O�OC�CC�CA�AS�SI�IO�ON�NN�NE�ES�S P�PA�AR�R L�L'�'U�US�SA�AG�GE�E D�DE�ES�S I�IN�NF�FO�OR�RM�MA�AT�TI�IO�ON�NS�S
C�CO�ON�NT�TE�EN�NU�UE�ES�S D�DA�AN�NS�S C�CE�E D�DO�OC�CU�UM�ME�EN�NT�T,�, Q�QU�UE�EL�LS�S Q�QU�U'�'I�IL�LS�S S�SO�OI�IE�EN�NT�T.�.
2�2.�. C�Co�on�nn�na�ai�is�ss�sa�an�nc�ce�es�s d�de�e b�ba�as�se�e
2�2.�.1�1.�. Q�Qu�u'�'e�es�st�t-�-c�ce�e q�qu�ue�e l�l'�'I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e?�?
L'IP Masquerade est une fonctionnalité réseau de Linux. Si un hôte
Linux est connecté à Internet avec l'option IP Masquerade en place,
alors les ordinateurs se connectant à celui-ci (que cela soit sur le
réseau local ou par modem) peuvent atteindre Internet aussi, même _�s_�'_�i_�l
_�n_�'_�o_�n_�t _�p_�a_�s _�d_�'_�a_�d_�r_�e_�s_�s_�e _�I_�P _�o_�f_�f_�i_�c_�i_�e_�l_�l_�e.
Cela permet à un ensemble de machines d'accéder de manière _�i_�n_�v_�i_�s_�i_�b_�l_�e à
Internet, caché derrière une passerelle, qui apparaît comme étant le
seul système utilisant la connexion Internet. Il devrait être
énormément plus difficile de contourner un système basé sur le
masquerade, s'il est bien configuré, que de passer outre un bon
firewall effectuant du filtrage de paquets (en supposant qu'il n'y a
de bogues chez aucun des deux).
2�2.�.2�2.�. O�Où�ù c�ce�el�la�a e�en�n e�es�st�t ?�?
L'IP Masquerade est utilisé depuis quelques années et murit alors que
Linux arrive dans les 2.2.x. Les noyaux, depuis la série 1.3.x,
supportent en standard cette fonctionnalité. De nombreuses personnes,
et même des entreprises l'utilisent, avec des résultats satisfaisants.
L'utilisation d'IP Masquerade pour parcourir le web, ou pour le telnet
est tout à fait satisfaisante. FTP, IRC, et l'écoute de Real Audio
fonctionnent en utilisant certains modules. D'autres technologies de
flux audio par réseau, telles que True Speech et Internet Wave
fonctionnent également. Certaines personnes, abonnées à la mailing
list ont même essayé des logiciels de vidéo-conférence. Ping
fonctionne à présent, avec le nouveau patch pour ICMP.
Veuillez consulter la section 4.3 pour une liste complète des
logiciels supportés.
L'IP masquerade fonctionne convenablement avec des 'machines clientes'
utilisant divers systèmes d'exploitation et différentes plate-formes.
On a enregistré des succès pour des systèmes utilisant Unix, Windows
95, Windows NT, Windows pour Workgroups (avec l'extension TCP/IP),
OS/2, MacOS avec Mac TCP, Mac Open Transport, DOS avec le package NCSA
Telnet, VAX, Alpha sous Linux, et même Amiga avec AmiTCP ou la pile
AS225. La liste continue à n'en plus finir, en réalité, si votre
systeme d'exploitation parle TCP/IP, cela marcher avec l'IP
Masquerade.
2�2.�.3�3.�. A�A q�qu�ui�i p�pe�eu�ut�t ê�êt�tr�re�e u�ut�ti�il�le�e I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e?�?
· Si vous avez un hôte Linux connecté à Internet, et
· si vous avez un ou plusieurs ordinateurs utilisant TCP/IP, connecté
à cet hôte Linux sur un réseau local, et/ou
· si votre hôte Linux a un ou plusieurs modems et joue le rôle de
serveur PPP ou SLIP, et que
· ces A�AU�UT�TR�RE�ES�S machines ne possèdent pas d'adresse IP officielle (ces
machines seront désormais référencées sous le nom de A�AU�UT�TR�RE�ES�S).
· et bien sûr, si vous désirez que ces A�AU�UT�TR�RE�ES�S machines soient
également connectées sur Internet sans débourser un centime de
plus :-)
2�2.�.4�4.�. Q�Qu�ui�i n�n'�'a�a p�pa�as�s b�be�es�so�oi�in�n d�d'�'I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e?�?
· Si votre machine est un hôte isolé, connecté sur Internet, alors
c'est inutile de mettre en place l'IP Masquerading, ou
· si vous avez déjà obtenu des adresses officielles pour vos A�AU�UT�TR�RE�ES�S
machines, alors vous n'avez pas besoin d'IP Masquerade pour faire
un firewall,
· et bien sûr, si vous n'aimez pas l'idée de connecter toutes les
A�AU�UT�TR�RE�ES�S machines gratuitement, de cette manière.
2�2.�.5�5.�. C�Co�om�mm�me�en�nt�t f�fo�on�nc�ct�ti�io�on�nn�ne�e I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e ?�?
D'après la FAQ IP Masquerade, de Ken Eves :
Voici un schéma du plus simple cas possible~:
SLIP/PPP +------------+ +-------------+
vers le provider | Linux | SLIP/PPP | Peu_importe |
<---------- modem1| |modem2 ----------- modem | |
111.222.333.444 | | 192.168.1.100 | |
+------------+ +-------------+
Dans le schéma ci-dessus, un ordinateur sous Linux, utilisant
ip_masquerading est connecté à Internet par un lien SLIP ou PPP, utilisant
modem1. Il possède l'adresse IP (officielle) 111.222.333.444. Il est
configuré de telle façon que modem2 permet aux appelants de se connecter
et d'initier une connexion PPP ou SLIP.
Le second système (qui n'utilise par forcément Linux comme système
d'exploitation) se connecte par modem sur l'hôte Linux et entame une
liaison SLIP ou PPP. Il NE possède PAS d'adresse IP officielle donc il
utilise 192.168.1.100 (voir ci-dessous).
Avec l'option ip_masquerade et un routage configuré correctement, la
machine Peu_importe peut interagir avec Internet comme si elle était
réellement connectée (à quelques exceptions près).
Pour citer Pauline Middlelink~: N'oublie pas de rappeler que la machine
Peu_importe doit déclarer l'hôte Linux comme passerelle (que cela soit la
route par défaut ou juste un sous réseau importe peu). Si Peu_importe ne peut
pas le faire, l'hôte Linux devra faire du proxy arp pour toutes les adresses
routées, mais la mise en place du proxy arp est hors du domaine de ce
document.
Ce qui suit est l'extrait d'un article de comp.os.linux.networking qui a été
modifié pour utiliser les noms des machines de l'exemple ci-dessus~:
o J'indique à la machine Peu_importe que le serveur Linux est sa
passerelle.
o Quand un paquet en provenance de Peu_importe arrive sur la machine Linux,
elle va lui assigner un nouveau numéro de port, et indiquer sa propre
adresse IP dans l'entête du paquet, tout en sauvegardant l'entête
originale. Elle va alors envoyer le paquet modifié à travers son
interface SLIP ou PPP, vers Internet.
o Lorsqu'un paquet en provenance d'Internet arrive sur la machine Linux, si
le numéro de port est un de ceux assignés à l'étape précédente, elle va
modifier à nouveau l'entête pour y remettre les numéros de port et
adresses IP originaux, et alors envoyer le paquet à la machine
Peu_importe.
o L'hôte qui a envoyé le paquet ne verra jamais la différence.
U�Un�n e�ex�xa�am�mp�pl�le�e d�d'�'I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�di�in�ng�g
Voici ci-dessous le schéma d'un exemple classique :
+----------+
| | Ethernet
| Ordi A |::::::
| |2 ~:192.168.1.x
+----------+ ~:
~: +----------+ lien
+----------+ ~: 1| Linux | PPP
| | ~::::| masq-gate|:::::::::// Internet
| Ordi B |:::::: | |
| |3 ~: +----------+
+----------+ ~:
~:
+----------+ ~:
| | ~:
| Ordi C |::::::
| |4
+----------+
<-Réseau interne->
Il y a dans cet exemple 4 ordinateurs qui nous intéressent (il y a
sûrement sur la droite quelque chose sur laquelle aboutit notre con
nexion, et encore plus à droite une autre machine avec laquelle nous
échangeons des données). L'ordinateur sous Linux masq-gate est la
passerelle qui effectue le masquerading pour le réseau interne des
ordinateurs A, B, et C, afin de les relier à Internet. Le réseau
interne utilise une des adresses assignées des réseaux privés, à
savoir dans ce cas le réseau de classe C 192.168.1.0, l'ordinateur
Linux ayant l'adresse 192.168.1.1 et les autres ordinateurs ayant
d'autres adresses sur ce réseau.
Les trois machines A, B et C (qui peuvent utiliser n'importe quel
système d'exploitation, du moment qu'elles utilisent IP - comme par
exemple W�Wi�in�nd�do�ow�ws�s 9�95�5, M�Ma�ac�ci�in�nt�to�os�sh�h M�Ma�ac�cT�TC�CP�P ou même un autre Linux) peuvent
se connecter à n'importe qu'elle machine sur Internet, mais masq-gate
convertit toutes leurs connexions de façon à ce qu'elles semblent
provenir de masq-gate, et s'arrange pour que toutes les données
revenant d'Internet retournent au système qui en est à l'origine.
Ainsi, les ordinateurs du réseau interne voient une route directe vers
Internet et ne sont pas au courant du fait que leurs données ont été
"masqueradées".
2�2.�.6�6.�. C�Ce�e q�qu�ui�i e�es�st�t r�re�eq�qu�ui�is�s p�po�ou�ur�r u�ut�ti�il�li�is�se�er�r I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e s�su�ur�r u�un�n L�Li�in�nu�ux�x 2�2.�.2�2.�.x�x
*�**�* R�Ré�éf�fé�ér�re�ez�z v�vo�ou�us�s à�à I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e R�Re�es�so�ou�ur�rc�ce�e
<� pour les dernieres informations (en
anglais). **
· Les sources du noyau 2.2.x sont disponibles depuis
ftp://ftp.lip6.fr/pub/linux/kernel/sources/v2.2/
distributions de linux récentes telle la RedHat 5.2 - livrée avec
un noyau 2.0.36 - ont le un noyau modulaire avec toutes les options
nécessaires a l'IP Masquerading compilées. Dans ce genre de cas, il
n'y a pas besoin de recompiler le noyau. Si vous mettez a jour
votre noyau, alors vous devriez savoir ce dont vous avez besoin,
nous y reviendrons un peu plus loin).
· Modules chargeables dynamiquement, de préférence avec un 2.1.121 ou
plus récent.
· Ainsi qu'un réseau TCP/IP en bon état de marche
Linux NET-3 HOWTO
et dans
le Guide de l'administrateur réseau
Trinity OS Doc
, une
documentation tres simple sur Linux et le reseau.
· Connectivity to Internet for your Linux host
· IP Chains 1.3.8 ou plus récent, disponible sur
http://www.rustcorp.com/linux/ipchains/
les différentes versions, visitez Linux IP Firewalling Chains page
· Pour d'autres options, référez vous à Linux IP Masquerade Resource
2�2.�.7�7.�. C�Ce�e q�qu�ui�i e�es�st�t r�re�eq�qu�ui�is�s p�po�ou�ur�r u�ut�ti�il�li�is�se�er�r I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e s�su�ur�r u�un�n L�Li�in�nu�ux�x 2�2.�.0�0.�.x�x
*�**�* V�Ve�eu�ui�il�ll�le�ez�z s�s'�'i�il�l v�vo�ou�us�s p�pl�la�aî�ît�t c�co�on�ns�su�ul�lt�te�er�r l�l'�'I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e
R�Re�es�so�ou�ur�rc�ce�e p�po�ou�ur�r l�le�es�s d�de�er�rn�ni�iè�èr�re�es�s i�in�nf�fo�or�rm�ma�at�ti�io�on�ns�s.�.*�**�*
· Les sources d'un noyau de la série 2.x, disponibles sur
ftp://ftp.ibp.fr/pub/linux/kernel/sources/v2.0/
distributions de linux récentes telle la RedHat 5.2 ont le un noyau
modulaire avec toutes les options nécessaires a l'IP Masquerading
compilées. Dans ce genre de cas, il n'y a pas besoin de recompiler
le noyau. Si vous mettez à jour votre noyau, alors, vous devriez
savoir ce dont vous avez besoin, nous y reviendrons un peu plus
loin).
· Les modules chargeables à la demande, de préférence la version
2.0.0 (ou ultérieure), disponible sur
ftp://ftp.ibp.fr/pub/linux/kernel/sources/v2.0/modules-2.0.0.tar.gz
(modules-1.3.57 étant le minimum)
· Un réseau TCP/IP fonctionnant convenablement
Trinity OS Doc
, une
documentation très simple sur Linux et le réseau.
· Un accès Internet pour votre hôte Linux
· Ipfwadm 2.3, téléchargeable sur
ftp://ftp.xos.nl/pub/linux/ipfwadm/ipfwadm-2.3.tar.gz
d'informations sur Linux IPFWADM page
· Vous pouvez, si vous le souhaitez, appliquer certains patches pour
mettre en place certaines fonctionnalités. Vous trouverez plus
d'informations sur la page des IP Masquerade Resources (ces patches
s'appliquent à tout noyau de la série 2.0.x).
3�3.�. M�Mi�is�se�e e�en�n p�pl�la�ac�ce�e d�d'�'I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e
S�Si�i v�vo�ot�tr�re�e r�ré�és�se�ea�au�u p�pr�ri�iv�vé�é c�co�on�nt�ti�ie�en�nt�t d�de�es�s i�in�nf�fo�or�rm�ma�at�ti�io�on�ns�s v�vi�it�ta�al�le�es�s,�,
r�re�ep�pe�en�ns�se�ez�z y�y à�à d�de�eu�ux�x f�fo�oi�is�s a�av�va�an�nt�t d�d'�'u�ut�ti�il�li�is�se�er�r I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e.�. C�Ce�el�la�a
c�co�on�ns�st�ti�it�tu�ue�e u�un�ne�e p�pa�as�ss�se�er�re�el�ll�le�e p�po�ou�ur�r v�vo�ou�us�s,�, p�po�ou�ur�r a�at�tt�te�ei�in�nd�dr�re�e I�In�nt�te�er�rn�ne�et�t,�,
m�ma�ai�is�s l�la�a r�ré�éc�ci�ip�pr�ro�oq�qu�ue�e e�es�st�t v�vr�ra�ai�ie�e e�et�t q�qu�ue�el�lq�qu�u'�'u�un�n s�su�ur�r I�In�nt�te�er�rn�ne�et�t p�po�ou�ur�r�
r�ra�ai�it�t p�pé�én�né�ét�tr�re�er�r s�su�ur�r v�vo�ot�tr�re�e r�ré�és�se�ea�au�u p�pr�ri�iv�vé�é.�.
3�3.�.1�1.�. C�Co�om�mp�pi�il�le�er�r l�le�e n�no�oy�ya�au�u p�po�ou�ur�r l�le�e s�su�up�pp�po�or�rt�t d�d'�'I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e
S�Si�i v�vo�ot�tr�re�e d�di�is�st�tr�ri�ib�bu�ut�ti�io�on�n d�de�e L�Li�in�nu�ux�x a�a d�dé�éj�jà�à l�le�es�s f�fo�on�nc�ct�ti�io�on�nn�na�al�li�it�té�és�s
n�ne�ec�ce�es�ss�sa�ai�ir�re�es�s e�et�t l�le�es�s m�mo�od�du�ul�le�es�s d�de�e c�co�om�mp�pi�il�lé�és�s (�(l�la�a m�ma�aj�jo�or�ri�it�té�é d�de�es�s n�no�oy�y�
a�au�ux�x m�mo�od�du�ul�la�ai�ir�re�es�s a�au�ur�ro�on�nt�t c�ce�e d�do�on�nt�t v�vo�ou�us�s a�av�ve�ez�z b�be�es�so�oi�in�n)�) m�me�en�nt�ti�io�on�nn�né�és�s
c�ci�i-�-d�de�es�ss�so�ou�us�s,�, a�al�lo�or�rs�s v�vo�ou�us�s n�n'�'a�av�ve�ez�z p�pa�as�s à�à r�re�ec�co�om�mp�pi�il�le�er�r l�le�e n�no�oy�ya�au�u.�. L�La�a
l�le�ec�ct�tu�ur�re�e d�de�e c�ce�et�tt�te�e s�se�ec�ct�ti�io�on�n e�es�st�t q�qu�ua�an�nd�d m�me�em�me�e l�la�ar�rg�ge�em�me�en�nt�t r�re�ec�co�om�m�
m�ma�an�nd�dé�ée�e c�ca�ar�r e�el�ll�le�e c�co�on�nt�ti�ie�en�nt�t a�au�us�ss�si�i d�d'�'a�au�ut�tr�re�es�s i�in�nf�fo�or�rm�ma�at�ti�io�on�ns�s t�tr�rè�ès�s
u�ut�ti�il�le�es�s.�.
3�3.�.1�1.�.1�1.�. N�No�oy�ya�au�us�s L�Li�in�nu�ux�x 2�2.�.2�2.�.x�x
· Tout d'abord, Vous avez besoin des sources du noyau 2.2.x
· Si c'est la premiere fois que vous compilez un noyau, ne vous
inquietez pas, en fait, c'est assez facile et tout est expliqué
dans Linux Kernel HOWTO
.
· Décompressez les sources du noyau dans /usr/src/ avec la commande :
tar xvzf linux-2.2.x.tar.gz -C /usr/src, ou x est la version du
noyau.
appelé linux )
· Appliquez les patchs appropriés. Comme de nouveaux patch sortent
régulierement, les détails ne sont pas décrits ici. Référez vous à
IP Masquerade Resources pour des
informations au jour le jour.
· Référez vous au Kernel HOWTO et au fichier README des sources du
noyau pour plus d'informations sur la compilation d'un noyau.
· Voici les options que vous devez compiler :
Dites _�Y_�E_�S aux options suivantes :
* Prompt for development and/or incomplete code/drivers
CONFIG_EXPERIMENTAL
- Ceci vous permettra de selectionner le code experimental IP Masquerade.
* Enable loadable module support
CONFIG_MODULES
- Vous permet de charger les modules ipmasq tel ip_masq_ftp.o
* Networking support
CONFIG_NET
* Network firewalls
CONFIG_FIREWALL
* TCP/IP networking
CONFIG_INET
* IP: forwarding/gatewaying
CONFIG_IP_FORWARD
* IP: firewalling
CONFIG_IP_FIREWALL
* IP: masquerading
CONFIG_IP_MASQUERADE
* IP: ipportfw masq support
CONFIG_IP_MASQUERADE_IPPORTFW
- Recommandé
* IP: ipautofw masquerade support
CONFIG_IP_MASQUERADE_IPAUTOFW
- Optionnel
* IP: ICMP masquerading
CONFIG_IP_MASQUERADE_ICMP
- Support pour masquerader les paquets ICMP, recommandé
* IP: always defragment
CONFIG_IP_ALWAYS_DEFRAG
- Chaudement recommandé
* Dummy net driver support
CONFIG_DUMMY
- Recommandé
* IP: ip fwmark masq-forwarding support
CONFIG_IP_MASQUERADE_MFW
- Optionnel
NOTE : Voici juste les composants qu'il faut pour que l'IP Masquerade
marche, selectionnez les options spécifiques dont vous avez besoin
pour votre systeme.
· Après avoir compilé le noyau, vous devriez compiler et installer
les modules :
make modules; make modules_install
· Enfin, vous devriez ajouter quelques lignes dans votre
/etc/rc.d/rc.local (ou le fichier que vous trouvez plus approprié)
pour charger les modules résidants dans /lib/modules/2.2.x/ipv4/
automatiquement à chaque redémarrage.
.
.
.
/sbin/depmod -a
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_raudio
/sbin/modprobe ip_masq_irc
(Et d'autres modules tels ip_masq_cuseeme, ip_masq_vdolive
Si vous avez appliqués les patchs)
.
.
.
I�IM�MP�PO�OR�RT�TA�AN�NT�T:�: I�IP�P f�fo�or�rw�wa�ar�rd�di�in�ng�g e�es�st�t d�dé�és�sa�ac�ct�ti�iv�vé�é p�pa�ar�r d�dé�éf�fa�au�ut�t p�po�ou�ur�r l�le�es�s n�no�oy�ya�au�ux�x
2�2.�.2�2.�.x�x,�, a�al�lo�or�rs�s,�, a�as�ss�su�ur�re�ez�z v�vo�ou�us�s d�de�e b�bi�ie�en�n l�l'�'a�av�vo�oi�ir�r a�ac�ct�ti�iv�vé�é e�en�n f�fa�ai�is�sa�an�nt�t :�:
/proc/sys/net/ipv4/ip_forwarding
Pour les utilisateurs de RedHat, vous pouvez essayer de changer FOR
WARD_IPV4=false en FORWARD_IPV4=true dans /etc/sysconfig/network
· Finalement, redémarrez votre machine.
3�3.�.1�1.�.2�2.�. N�No�oy�ya�au�ux�x L�Li�in�nu�ux�x 2�2.�.0�0.�.x�x
· Vous devez tout d'abord disposer des sources du noyau (de
préférence la derniere version 2.0.36 ou plus récente).
· Si c'est la première fois que vous compilez votre noyau, ne soyez
pas effrayé. En fait, c'est plûtot simple, et tout est expliqué
dans le Kernel HOWTO
· Décompressez les sources du noyau dans /usr/src/ avec la commande
tar xvzf linux-2.0.x.tar.gz -C /usr/src, où x est le numéro de
révision du noyau.
symbolique nommé linux)
· Appliquez les patches appropriés. Comme de nouveaux patches sortent
souvent, aucun détail ne sera inclus ici. Référez vous à l'IP
Masquerade Resources pour une information récente.
· Veuillez consulter le Kernel HOWTO et le fichier README dans le
répertoire des sources du noyau pour plus d'informations sur la
compilation d'un noyau.
· Voici les options que vous devrez utiliser :
Répondre _�Y_�E_�S à :
* Prompt for development and/or incomplete code/drivers
CONFIG_EXPERIMENTAL
- Cela vous permettra de pouvoir sélectionner IP Masquerade,
qui est expérimental.
* Enable loadable module support
CONFIG_MODULES
- Permet le chargement des modules.
* Networking support
CONFIG_NET
* Network firewalls
CONFIG_FIREWALL
* TCP/IP networking
CONFIG_INET
* IP: forwarding/gatewaying
CONFIG_IP_FORWARD
* IP: firewalling
CONFIG_IP_FIREWALL
* IP: masquerading (EXPERIMENTAL)
CONFIG_IP_MASQUERADE
- bien que cela soit expérimental, il *FAUT* l'intégrer
* IP: ipautofw masquerade support (EXPERIMENTAL)
CONFIG_IP_MASQUERADE_IPAUTOFW
-recommended
* IP: ICMP masquerading
CONFIG_IP_MASQUERADE_ICMP
- support for masquerading ICMP packets, optionnel.
* IP: always defragment
CONFIG_IP_ALWAYS_DEFRAG
- très recommendé
* Dummy net driver support
CONFIG_DUMMY
- recommendé
NB : Ce sont juste les composants dont vous avez besoin pour l'IP
Masquerade. Ajoutez toute autre option nécessaire pour votre
configuration personnelle.
· Une fois le noyau compilé, compilez et installez les modules :
make modules; make modules_install
· Ajoutez alors quelques lignes dans votre fichier /etc/rc.d/rc.local
(ou dans le fichier approprié), pour charger automatiquement les
modules nécessaires dans /lib/modules/2.0.x/ipv4/, après chaque
reboot :
.
.
.
/sbin/depmod -a
/sbin/modprobe ip_masq_ftp.o
/sbin/modprobe ip_masq_raudio.o
/sbin/modprobe ip_masq_irc.o
(et tout autre module, comme ip_masq_cuseeme, ip_masq_vdolive si vous avez appliqué les patches)
.
.
.
I�IM�MP�PO�OR�RT�TA�AN�NT�T:�: I�IP�P f�fo�or�rw�wa�ar�rd�di�in�ng�g e�es�st�t d�dé�és�sa�ac�ct�ti�iv�vé�é p�pa�ar�r d�dé�éf�fa�au�ut�t d�de�ep�pu�ui�is�s l�le�e n�no�oy�ya�au�u
2�2.�.0�0.�.3�34�4 a�al�lo�or�rs�s,�, a�as�ss�su�ur�re�ez�z v�vo�ou�us�s d�de�e b�bi�ie�en�n l�l'�'a�av�vo�oi�ir�r a�ac�ct�ti�iv�vé�é e�en�n f�fa�ai�is�sa�an�nt�t :�:
/proc/sys/net/ipv4/ip_forwarding
Pour les utilisateurs de RedHat, vous pouvez essayer de changer FOR
WARD_IPV4=false en FORWARD_IPV4=true dans /etc/sysconfig/network
· Finalement, redémarrez votre machine.
3�3.�.2�2.�. A�As�ss�si�ig�gn�na�at�ti�io�on�n d�d'�'a�ad�dr�re�es�ss�se�e I�IP�P p�po�ou�ur�r l�le�e r�ré�és�se�ea�au�u l�lo�oc�ca�al�l
Puisque toutes les A�AU�UT�TR�RE�ES�S machines n'ont pas d'adresse IP officielle,
il faut leur en allouer de manière intelligente.
Selon la FAQ d'IP Masquerade :
Il existe un RFC (#1597, qui doit etre obsolete maintenant) qui
indique quelles adresses IP assigner à un réseau non connecté. Il
existe 3 plages réservées spécialement à cet effet. Une de celles que
j'utilise est un sous réseau de classe C, faisant partie de la plage
allant de 192.168.1.n à 192.168.255.n.
Selon le RFC 1597~:
Section 3~: Adressage de réseaux privés
L' "Internet Assigned Numbers Authority" (IANA) a réservé les 3 plages
suivantes pour leur utilisation par des réseaux privés~:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
Nous ferons référence à la première en tant que la "plage de 24 bits", la
deuxième comme "plage de 20 bits" et la troisième comme "plage de 16 bits".
Notez que la première plage n'est rien d'autre qu'un réseau de classe A, la
deuxième un ensemble de 16 réseaux de classe B contigus, et la troisième un
ensemble de 255 réseaux de classe C contigus.
Ainsi, si vous utilisez un réseau de classe C, vous devrez utiliser
les adresses IP 192.168.1.1, 1.92.168.1.2, 1.92.168.1.3, ...,
192.168.1.x
192.168.1.1 est habituellement la machine passerelle, qui est ici
votre machine Linux se connectant à Internet. Remarquez que
192.168.1.0 et 192.168.1.255 sont respectivement les adresses de
réseau et de broadcast, qui sont réservées. Evitez d'utiliser ces
adresses sur vos machines.
3�3.�.3�3.�. C�Co�on�nf�fi�ig�gu�ur�re�er�r l�le�es�s A�AU�UT�TR�RE�ES�S m�ma�ac�ch�hi�in�ne�es�s
En plus d'affecter les adresses IP pour chaque machine, vous devrez
indiquer la bonne passerelle. En général, c'est plutôt simple. Vous
entrez juste l'adresse de votre machine Linux (généralement
192.168.1.1) en tant qu'adresse de passerelle.
Pour le DNS, vous pouvez utiliser n'importe quel DNS utilisable. Le
plus simple est d'utiliser celui qu'utilise votre machine Linux. Vous
pouvez aussi, si vous le désirez, ajouter des suffixes d'ordre de
recherche DNS.
Une fois configurées ces adresses IP, n'oubliez pas de relancer les
programmes concernés, ou de rebooter vos machines.
Les instructions de configuration qui suivent supposent que vous
utilisez un réseau de classe C, et que votre machine Linux a pour
adresse 192.168.1.1. Notez que 192.168.1.0 et 192.168.1.255 sont
réservées.
3�3.�.3�3.�.1�1.�. C�Co�on�nf�fi�ig�gu�ur�re�er�r W�Wi�in�nd�do�ow�ws�s 9�95�5
1. Si vous n'avez pas installé votre carte réseau et son driver,
faites le maintenant.
2. Allez dans _�P_�a_�n_�n_�e_�a_�u _�d_�e _�c_�o_�n_�f_�i_�g_�u_�r_�a_�t_�i_�o_�n _�/ _�R_�é_�s_�e_�a_�u .
3. Ajoutez le _�p_�r_�o_�t_�o_�c_�o_�l_�e _�T_�C_�P_�/_�T_�P si ce n'est pas déjà fait.
4. Dans les _�p_�r_�o_�p_�r_�i_�é_�t_�é_�s _�d_�e _�T_�C_�P_�/_�I_�P, allez dans _�A_�d_�r_�e_�s_�s_�e _�I_�P et entrez
votre adresse IP, 192.168.1.x (1 < x < 255). Fixez le _�M_�a_�s_�q_�u_�e _�d_�e
_�s_�o_�u_�s _�r_�é_�s_�e_�a_�u à 255.255.255.0
5. Ajoutez 192.168.1.1 dans _�P_�a_�s_�s_�e_�r_�e_�l_�l_�e.
6. Dans _�C_�o_�n_�f_�i_�g_�u_�r_�a_�t_�i_�o_�n _�/ _�O_�r_�d_�r_�e _�d_�e _�r_�e_�c_�h_�e_�r_�c_�h_�e _�D_�N_�S, ajoutez le DNS
qu'utilise votre machine Linux (que l'on peut trouver dans
/etc/resolv.conf). Vous pouvez éventuellement ajouter les suffixes
de domaine adéquats.
7. Laissez les autres paramètres tels quels, à moins que vous sachiez
ce que vous faites.
8. Cliquez sur _�O_�K dans toutes les boîtes de dialogue et relancez le
système.
9. Pinguez la machine Linux pour tester la connexion réseau : _�D_�é_�m_�a_�r_�r_�e_�r
_�/ _�E_�x_�e_�c_�u_�t_�e_�r, tapez: ping 192.168.1.1
de connexion locale, vous ne pouvez pas encore pinguer
l'extérieur).
10.
Vous pouvez éventuellement créér un fichier HOSTS dans le
répertoire de Windows, pour que vous puissiez utiliser les noms
d'hôtes des autres machines de votre réseau local. Il y a un
exemple nommé HOSTS.SAM dans le répertoire Windows.
3�3.�.3�3.�.2�2.�. C�Co�on�nf�fi�ig�gu�ur�re�er�r W�Wi�in�nd�do�ow�ws�s p�po�ou�ur�r W�Wo�or�rk�kg�gr�ro�ou�up�p 3�3.�.1�11�1
1. Si vous n'avez pas encore installé votre carte réseau et son
driver, faites le maintenant.
2. Installez le package TCP/IP 32b si ce n'est pas déjà fait.
3. Dans _�G_�r_�o_�u_�p_�e _�P_�r_�i_�n_�c_�i_�p_�a_�l _�/ _�I_�n_�s_�t_�a_�l_�l_�a_�t_�i_�o_�n _�/ _�C_�o_�n_�f_�i_�g_�u_�r_�a_�t_�i_�o_�n _�r_�é_�s_�e_�a_�u,
cliquez sur _�D_�r_�i_�v_�e_�r_�s.
4. Séléctionnez _�M_�i_�c_�r_�o_�s_�o_�f_�t _�T_�C_�P_�/_�I_�P_�-_�3_�2 _�3_�._�1_�1_�b dans la section _�D_�r_�i_�v_�e_�r_�s
_�R_�é_�s_�e_�a_�u_�x. Choisissez _�C_�o_�n_�f_�i_�g_�u_�r_�a_�t_�i_�o_�n.
5. Saisissez l'adresse IP 192.168.1.x (1 < x < 255), et positionnez le
masque de sous réseau à 255.255.255.0 et la passerelle par défaut à
192.168.1.1.
6. Ne sélectionnez pas _�C_�o_�n_�f_�i_�g_�u_�r_�a_�t_�i_�o_�n _�a_�u_�t_�o_�m_�a_�t_�i_�q_�u_�e _�D_�H_�C_�P et mettez
n'importe quoi dans la case _�S_�e_�r_�v_�e_�r _�W_�I_�N_�S, à moins que vous ne
fassiez partie d'un domaine Windows NT et que vous sachiez ce que
vous faites.
7. Cliquez sur _�D_�N_�S, et remplissez les informations appropriés,
mentionnées à l'étape 6 de la section 3.3.1. Cliquez sur _�O_�K une
fois que c'est fini.
8. Cliquez sur _�C_�o_�n_�f_�i_�g_�u_�r_�a_�t_�i_�o_�n _�a_�v_�a_�n_�c_�é_�e, cochez _�U_�t_�i_�l_�i_�s_�e_�r _�l_�e _�D_�N_�S _�p_�o_�u_�r _�l_�a
_�r_�é_�s_�o_�l_�u_�t_�i_�o_�n _�d_�e _�n_�o_�m_�s, et _�U_�t_�i_�l_�i_�s_�e_�r _�L_�M_�H_�O_�S_�T_�S si vous utilisez un fichier
de résolution, comme celui mentionné à l'étape 10 de la section
3.3.1.
9. Cliquez alors sur _�O_�K sur toutes les boites de dialogue, et
redémarrez le système.
10.
Pingez la machine Linux pour tester la connexion réseau : _�F_�i_�c_�h_�i_�e_�r _�/
_�E_�x_�é_�c_�u_�t_�e_�r, taper : ping 192.168.1.1
connexion locale, vous ne pouvez pas encore pinger le monde
extérieur.
3�3.�.3�3.�.3�3.�. C�Co�on�nf�fi�ig�gu�ur�re�er�r W�Wi�in�nd�do�ow�ws�s N�NT�T
1. Si vous n'avez pas encore installé votre carte réseau et son
driver, faites le maintenant.
2. Allez dans _�G_�r_�o_�u_�p_�e _�P_�r_�i_�n_�c_�i_�p_�a_�l _�/ _�P_�a_�n_�n_�e_�a_�u _�d_�e _�c_�o_�n_�f_�i_�g_�u_�r_�a_�t_�i_�o_�n _�/ _�R_�é_�s_�e_�a_�u.
3. Ajoutez le protocole TCP/IP et les composants qui s'y rattachent
depuis le menu _�A_�j_�o_�u_�t _�d_�e _�l_�o_�g_�i_�c_�i_�e_�l_�s si vous n'avez pas encore
installé le service TCP/IP.
4. Dans la section _�L_�o_�g_�i_�c_�i_�e_�l _�e_�t _�c_�a_�r_�t_�e _�r_�é_�s_�e_�a_�u, sélectionnez _�P_�r_�o_�t_�o_�c_�o_�l_�e
_�T_�C_�P_�/_�I_�P dans la boite de choix _�L_�o_�g_�i_�c_�i_�e_�l_�s _�r_�é_�s_�e_�a_�u_�x _�i_�n_�s_�t_�a_�l_�l_�é_�s.
5. Dans _�C_�o_�n_�f_�i_�g_�u_�r_�a_�t_�i_�o_�n _�T_�C_�P_�/_�I_�P, sélectionnez l'adaptateur réseau
appropriées, par exemple [1]Novell NE2000 Adapter. Entrez l'adresse
IP 192.168.1.x (1 < x < 255), positionnez le masque de sous réseau
sur 255.255.255.0 et la passerelle par défaut à 192.168.1.1.
6. Ne sélectionnez pas _�C_�o_�n_�f_�i_�g_�u_�r_�a_�t_�i_�o_�n _�a_�u_�t_�o_�m_�a_�t_�i_�q_�u_�e _�D_�H_�C_�P et mettez
n'importe quoi dans la case _�S_�e_�r_�v_�e_�r _�W_�I_�N_�S, à moins que vous ne
fassiez partie d'un domaine Windows NT et que vous sachiez ce que
vous faites.
7. Cliquez sur _�D_�N_�S, et remplissez les informations appropriés,
mentionnées à l'étape 6 de la section 3.3.1. Cliquez sur _�O_�K une
fois que c'est fini.
8. Cliquez sur _�C_�o_�n_�f_�i_�g_�u_�r_�a_�t_�i_�o_�n _�a_�v_�a_�n_�c_�é_�e, cochez _�U_�t_�i_�l_�i_�s_�e_�r _�l_�e _�D_�N_�S _�p_�o_�u_�r _�l_�a
_�r_�é_�s_�o_�l_�u_�t_�i_�o_�n _�d_�e _�n_�o_�m_�s, et _�U_�t_�i_�l_�i_�s_�e_�r _�L_�M_�H_�O_�S_�T_�S si vous utilisez un fichier
de résolution, comme celui mentionné à l'étape 10 de la section
3.3.1.
9. Cliquez alors sur _�O_�K sur toutes les boites de dialogue, et
redémarrez le système.
10.
Pingez la machine Linux pour tester la connexion réseau : _�F_�i_�c_�h_�i_�e_�r _�/
_�E_�x_�é_�c_�u_�t_�e_�r, taper : ping 192.168.1.1
connexion locale, vous ne pouvez pas encore pinger le monde
extérieur).
3�3.�.3�3.�.4�4.�. C�Co�on�nf�fi�ig�gu�ur�re�er�r l�le�es�s s�sy�ys�st�tè�èm�me�es�s U�UN�NI�IX�X
1. Si vous n'avez pas encore installé votre carte réseau et recompilé
votre noyau avec le driver adéquat, faites le maintenant.
2. Installez des outils TCP/IP, comme par exemple le package nettools,
si ce n'est déjà fait.
3. Affectez _�I_�P_�A_�D_�D_�R à 192.168.1.x (1 < x < 255), puis _�N_�E_�T_�M_�A_�S_�K à
255.255.255.0, _�G_�A_�T_�E_�W_�A_�Y à 192.168.1.1 et _�B_�R_�O_�A_�D_�C_�A_�S_�T à 192.168.1.255.
Par exemple, sur les systèmes Red Hat Linux, vous pouvez éditer le
fichier /etc/sysconfig/network-scripts/ifcfg-eth0, ou simplement le
faire par l'intermédiaire du _�C_�o_�n_�t_�r_�o_�l _�P_�a_�n_�e_�l.
sur SunOS, BSDi, Slackware Linux, etc...)
4. Ajoutez l'adresse IP de votre DNS et votre ordre de recherche DNS
dans /etc/resolv.conf.
5. Il sera éventuellement nécessaire de mettre à jout le fichier
/etc/networks, selon votre configuration.
6. Redémarrez les services adéquats, ou, plus simplement, redémarrez
votre système.
7. Testez votre connexion avec la passerelle en utilisant la commande
ping : ping 192.168.1.1.
local, vous ne pouvez pas encore pinger l'extérieur.
3�3.�.3�3.�.5�5.�. C�Co�on�nf�fi�ig�gu�ur�ra�at�ti�io�on�n s�so�ou�us�s D�DO�OS�S a�av�ve�ec�c l�le�e p�pa�ac�ck�ka�ag�ge�e N�NC�CS�SA�A
1. Si vous n'avez pas encore installé votre carte réseau, faites le
maintenant.
2. Chargez le driver adéquat. Pour une carte NE2000, tapez nwpd 0x60
10 0x300, si votre carte utilise l'IRQ 10 et l'adresse
d'entrée/sortie 0x300.
3. Créez un nouveau répertoire, et décompressez-y l'archive NCSA
Telnet : pkunzip tel2308b.zip
4. Utilisez un éditeur de texte pour ouvrir le fichier config.tel.
5. Affectez myip=192.168.1.x (1 < x < 255), et netmask=255.255.255.0.
6. Dans cet exemple, vous auriez à régler hardware=packet,
interrupt=10, ioaddr=60.
7. Vous devriez avoir au moins une seule machine déclarée comme
passerelle, à savoir la machine sous Linux :
name=default
host=le_nom_de_votre_hote_linux hostip=192.168.1.1 gateway=1
8. Pour mettre en place le DNS :
name=dns.domain.com~; hostip=123.123.123.123; nameserver=1
NB: remplacez les champs par les informations qu'utilise votre machine
Linux.
9. Sauvegardez votre nouveau fichier config.tel.
10.
Lancez un telnet vers la machine Linux pour tester la connexion
réseau : telnet 192.168.1.1.
3�3.�.3�3.�.6�6.�. C�Co�on�nf�fi�ig�gu�ur�ra�at�ti�io�on�n d�de�es�s s�sy�ys�st�tè�èm�me�es�s M�Ma�ac�cO�OS�S u�ut�ti�il�li�is�sa�an�nt�t M�Ma�ac�cT�TC�CP�P
1. Si vous n'avez pas encore installé le driver pour votre carte
Ethernet, ça serait une excellente idée de le faire maintenant.
2. Ouvrez le _�T_�a_�b_�l_�e_�a_�u _�d_�e _�b_�o_�r_�d _�M_�a_�c_�T_�C_�P. Selectionnez le driver réseau
adapté (Ethernet, PAS EtherTalk) et cliquez sur le bouton.
3. Dans la section _�O_�b_�t_�e_�n_�i_�r _�l_�'_�a_�d_�r_�e_�s_�s_�e, sélectionnez _�M_�a_�n_�u_�e_�l_�l_�e_�m_�e_�n_�t.
4. Dans _�A_�d_�r_�e_�s_�s_�e _�I_�P, choisissez _�c_�l_�a_�s_�s _�C dans le menu déroulant. Vous
pouvez ignorer le reste de cette boite de dialogue.
5. Remplissez la section _�I_�n_�f_�o_�r_�m_�a_�t_�i_�o_�n _�D_�N_�S avec les informations qui
conviennent.
6. Dans _�A_�d_�r_�e_�s_�s_�e _�d_�e _�l_�a _�p_�a_�s_�s_�e_�r_�e_�l_�l_�e, entrez 192.168.1.1.
7. Cliquez sur _�O_�K pour sauvegarder les changements. Dans la fenêtre
principale du _�T_�a_�b_�l_�e_�a_�u _�d_�e _�b_�o_�r_�d _�M_�a_�c_�T_�C_�P, entrez l'adresse IP de votre
Mac (192.168.1.x, 1 < x < 255) dans la zone _�A_�d_�r_�e_�s_�s_�e _�I_�P.
8. Refermez le _�T_�a_�b_�l_�e_�a_�u _�d_�e _�b_�o_�r_�d _�M_�a_�c_�T_�C_�P. Si une boite de dialogue vous
demande de redémarrer le système, faites le.
9. Vous pouvez si vous le désirez pinger l'hôte Linux pour tester la
connexion réseau. Si vous avez le programme freeware _�M_�a_�c_�T_�C_�P
_�W_�a_�t_�c_�h_�e_�r, cliquez sur le bouton _�P_�i_�n_�g et entrez l'adresse de votre
hôte Linux (192.168.1.1) dans la boîte de dialogue qui apparait.
(C'est uniquement une connexion locale, vous ne pouvez pas encore
pinger l'extérieur).
10.
Vous pouvez, si vous le désirez, créer un fichier Hosts dans votre
dossier système, pour pouvoir utiliser les noms d'hôte des machines
de votre réseau local. Le fichier devrait déjà exister dans votre
dossier système, et contenir quelques exemples commentés, que vous
n'avez qu'à modifier pour correspondre à vos besoins.
3�3.�.3�3.�.7�7.�. C�Co�on�nf�fi�ig�gu�ur�ra�at�ti�io�on�n d�de�es�s s�sy�ys�st�tè�èm�me�es�s M�Ma�ac�cO�OS�S u�ut�ti�il�li�is�sa�an�nt�t O�Op�pe�en�n T�Tr�ra�an�ns�sp�po�or�rt�t
1. Si vous n'avez pas encore installé le driver pour votre carte
Ethernet, ça serait une excellente idée de le faire maintenant.
2. Ouvrez le _�T_�a_�b_�l_�e_�a_�u _�d_�e _�b_�o_�r_�d _�T_�C_�P_�/_�I_�P et choisissez _�M_�o_�d_�e _�u_�t_�i_�l_�i_�s_�a_�t_�e_�u_�r_�._�._�.
dans le menu _�E_�d_�i_�t_�i_�o_�n. Assurez nous que le mode utilisateur est mis
au niveau _�A_�v_�a_�n_�c_�é et cliquez sur le bouton _�O_�K.
3. Choisissez _�C_�o_�n_�f_�i_�g_�u_�r_�a_�t_�i_�o_�n_�s_�._�._�. depuis le menu _�F_�i_�c_�h_�i_�e_�r. Sélectionnez
la configuration _�P_�a_�r _�d_�é_�f_�a_�u_�t et cliquez sur le bouton _�R_�e_�c_�o_�p_�i_�e_�r.
Entrez
Masq'
s'agit d'une configuration spéciale) dans la boite de dialogue _�C_�o_�n_�
_�f_�i_�g_�u_�r_�a_�t_�i_�o_�n _�d_�e _�c_�o_�p_�i_�e. Cliquez sur le bouton _�O_�K puis sur _�R_�e_�n_�d_�r_�e
_�a_�c_�t_�i_�v_�e.
4. Sélectionnez _�E_�t_�h_�e_�r_�n_�e_�t depuis le menu _�S_�e _�c_�o_�n_�n_�e_�c_�t_�e_�r _�v_�i_�a_�._�._�..
5. Sélectionnez l'option qui convient dans le menu _�C_�o_�n_�f_�i_�g_�u_�r_�a_�t_�i_�o_�n. Si
vous ne savez pas quelle option choisir, vous devriez sans doute
resélectionner la configuration par défaut et quitter. Je choisis
_�M_�a_�n_�u_�e_�l_�l_�e_�m_�e_�n_�t.
6. Saisissez l'adresse IP de votre Mac (192.168.1.x, 1 < x < 255) dans
la zone _�A_�d_�r_�e_�s_�s_�e _�I_�P.
7. Mettez le _�M_�a_�s_�q_�u_�e _�d_�e _�s_�o_�u_�s _�r_�é_�s_�e_�a_�u à 255.255.255.0.
8. L'_�A_�d_�r_�e_�s_�s_�e _�d_�e _�r_�o_�u_�t_�e_�u_�r est 192.168.1.1.
9. Remplissez la case _�A_�d_�r_�e_�s_�s_�e _�d_�u _�D_�N_�S en y mettant votre adresse IP.
10.
Entrez le nom de votre domaine Internet (par exemple
'microsoft.com') dans la boite de dialogue _�O_�r_�d_�r_�e _�d_�e _�r_�e_�c_�h_�e_�r_�c_�h_�e _�D_�N_�S.
11.
La procédure suivante est optionnelle. L'utilisation de valeurs
incorrectes peut entrainer des comportements inattendus. Si vous ne
savez pas ce que vous faites, il vaut mieux ne pas y toucher, et si
nécessaire vider les cases et zones de sélection. Pour ce que j'en
sais, il n'est pas possible, par l'intermédiaire des boites de
dialogue, de demander au système de ne pas utiliser un fichier
"Hosts" sélectionné précédemment. Si vous saviez comment faire, je
serais très intéressé.
votre réseau nécessite des paquets de type 802.3.
12.
Cliquez sur le bouton _�O_�p_�t_�i_�o_�n_�s_�._�._�. pour vous assurer que le TCP/IP
est activé. J'utilise l'option _�C_�h_�a_�r_�g_�e_�r _�u_�n_�i_�q_�u_�e_�m_�e_�n_�t _�s_�i _�b_�e_�s_�o_�i_�n. Si
vous lancez et quittez des applications utilisant TCP/IP assez
souvent, sans relancer votre machine, vous pourrez sans doute
désélectionner _�C_�h_�a_�r_�g_�e_�r _�u_�n_�i_�q_�u_�e_�m_�e_�n_�t _�s_�i _�b_�e_�s_�o_�i_�n pour diminuer les
effets sur le gestionnaire mémoire de votre machine. Lorsque
l'option est désélectionnée, les piles du protocole TCP/IP sont
toujours en mémoire et prêtes à l'emploi. Si l'option est cochée,
la pile TCP/IP est automatiquement chargée lorsqu'elle est
nécessaire, et déchargée sinon. Le processus de la charger et la
décharger en mémoire peut fragmenter la mémoire de votre
ordinateur.
13.
Pingez la machine Linux pour tester la connexion réseau. Si vous
avez le programme freeware _�M_�a_�c_�T_�C_�P _�W_�a_�t_�c_�h_�e_�r, cliquez sur le bouton
_�P_�i_�n_�g, et entrez l'adresse de votre machine Linux (192.168.1.1) dnas
la boite de dialogue qui apparait. (C'est une connexion locale,
vous ne pouvez pas encore pinger l'extérieur).
14.
Vous pouvez créer un fichier Hosts dans votre dossier Système, pour
pouvoir utiliser les noms d'hotes de votre réseau local. Le fichier
peut exister ou non dans votre dossier Système. Si c'est le cas, il
devrait contenir des exemples (en commentaires) que vous pouvez
modifier selon vos souhaits. Sinon, vous pouvez obtenir une copie
d'un système utilisant MacTCP, ou juste créer le votre (cela
ressemble fortement au fichier /etc/hosts sur un système Unix, qui
est décrit dans la RFC 952). Une fois le fichier créé, ouvrez le
_�T_�a_�b_�l_�e_�a_�u _�d_�e _�b_�o_�r_�d _�T_�C_�P_�/_�I_�P, cliquez sur le bouton _�S_�é_�l_�e_�c_�t_�i_�o_�n_�n_�e_�r _�l_�e
_�f_�i_�c_�h_�i_�e_�r _�H_�o_�s_�t_�s_�._�._�., et ouvrez le fichier Hosts.
15.
Cliquez sur _�F_�e_�r_�m_�e_�r ou choisissez _�F_�e_�r_�m_�e_�r ou _�Q_�u_�i_�t_�t_�e_�r depuis le menu
_�F_�i_�c_�h_�i_�e_�r, et cliquez alors sur le bouton _�E_�n_�r_�e_�g_�i_�s_�t_�r_�e_�r pour
enregistrer vos changements.
16.
Les changements prennent effet immédiatement, mais cela ne fera pas
de mal de rebouter le système.
3�3.�.3�3.�.8�8.�. C�Co�on�nf�fi�ig�gu�ur�re�er�r u�un�n r�ré�és�se�ea�au�u N�No�ov�ve�el�ll�l u�ut�ti�il�li�is�sa�an�nt�t l�le�e D�DN�NS�S
1. Si vous n'avez pas encore installé le gestionnaire de périphérique
de votre adaptateur Ethernet, faites le dès maintenant.
2. Téléchargez tcpip16.exe depuis (NdT ???)
3. Editez c:\nwclient\startnet.bat (voici une copie du mien) :
SET NWLANGUAGE=ENGLISH
LH LSL.COM
LH KTC2000.COM
LH IPXODI.COM
LH tcpip
LH VLM.EXE
F:
4. Editez c:\nwclient\net.cfg (changez le Link drivers, NE2000 dans
mon cas) :
Link Driver KTC2000
Protocol IPX 0 ETHERNET_802.3
Frame ETHERNET_802.3
Frame Ethernet_II
FRAME Ethernet_802.2
NetWare DOS Requester
FIRST NETWORK DRIVE = F
USE DEFAULTS = OFF
VLM = CONN.VLM
VLM = IPXNCP.VLM
VLM = TRAN.VLM
VLM = SECURITY.VLM
VLM = NDS.VLM
VLM = BIND.VLM
VLM = NWP.VLM
VLM = FIO.VLM
VLM = GENERAL.VLM
VLM = REDIR.VLM
VLM = PRINT.VLM
VLM = NETX.VLM
Link Support
Buffers 8 1500
MemPool 4096
Protocol TCPIP
PATH SCRIPT C:\NET\SCRIPT
PATH PROFILE C:\NET\PROFILE
PATH LWP_CFG C:\NET\HSTACC
PATH TCP_CFG C:\NET\TCP
ip_address xxx.xxx.xxx.xxx
ip_router xxx.xxx.xxx.xxx
5. et finalement, créez c:\bin\resolv.cfg :
SEARCH DNS HOSTS SEQUENTIAL
NAMESERVER 207.103.0.2
NAMESERVER 207.103.11.9
6. J'espère que cela vous aura aidé à configurer vos réseaux Novell,
mais cela ne fonctionne que pour Netware 3.1x ou 4.x.
3�3.�.3�3.�.9�9.�. C�Co�on�nf�fi�ig�gu�ur�re�er�r O�OS�S/�/2�2 W�Wa�ar�rp�p
1. Si vous n'avez toujours pas configuré votre adaptateur réseau
Ethernet, c'est le moment de le faire.
2. Installez le protocole TCP/IP s'il n'est pas déjà présent.
3. Allez dans les paramètres _�P_�r_�o_�g_�r_�a_�m_�s_�/_�T_�C_�P_�/_�I_�P_�(_�L_�A_�N_�)_�/_�T_�C_�P_�/_�I_�P
4. Dans _�'_�N_�e_�t_�w_�o_�r_�k_�', ajoutez votre adresse TCP/IP et configurez votre
masque de sous réseau (255.255.255.0)
5. Dans _�"_�R_�o_�u_�t_�i_�n_�g_�" cliquez sur _�"_�A_�j_�o_�u_�t_�e_�r_�". Sélectionnez _�"_�d_�e_�f_�a_�u_�l_�t_�" pour
le _�T_�y_�p_�e and entrez l'adresse de votre machine Linux dans le champs
_�"_�R_�o_�u_�t_�e_�r _�A_�d_�d_�r_�e_�s_�s_�" (192.168.1.1).
6. Utilisez la même adresse DNS (Serveur de noms) que celle de votre
machine Linux.
7. Fermez le panneau de contrôle de TCP/IP. Répondez oui au (à la)
question(s) suivante(s).
8. Reboutez votre système.
9. Vous devriez être en mesure de pinger votre hôte Linux pour tester
la configuration réseau. Taper 'ping 192.168.1.1" dans une boîte de
commande OS/2. Si vous recevez les paquets IP, tout fonctionne
correctement.
3�3.�.3�3.�.1�10�0.�. C�Co�on�nf�fi�ig�gu�ur�re�er�r l�le�es�s a�au�ut�tr�re�es�s s�sy�ys�st�tè�èm�me�es�s
Ces systèmes devraient suivre la meme logique d'installation. Lisez
les sections précédentes. Si vous êtes intéressés par l'écriture de la
documentation sur n'importe quel système, comme OS/2, ou une variété
quelconque de système Unix, envoyez s'il vous plait des instructions
détaillées à ambrose@writeme.com (Note du traducteur : en anglais bien
sûr).
3�3.�.4�4.�. C�Co�on�nf�fi�ig�gu�ur�re�er�r l�le�es�s r�rè�èg�gl�le�es�s d�d'�'I�IP�P F�Fo�or�rw�wa�ar�rd�di�in�ng�g
A ce point du document, vous devriez avoir votre noyau et les autres
packages installés, ainsi que les modules nécessaires chargés. De
plus, les adresses IP, la passerelle, et le DNS devraient être
installés sur les A�AU�UT�TR�RE�ES�S ordinateurs.
Maintenant, la seule chose à faire est d'utiliser l'outil de
firewalling IP (ipfwadm) pour faire suivre les paquets appropriés à la
machine qui convient :
** Ceci peut être fait de diverses façons. Les suggestions
et exemples suivants fonctionnent pour moi, mais il se peut
que vous ayez d'autres idées. Je vous renvoie à la section
4.4 et aux pages de manuel de ipchains(2.2.x) /
ipfwadm(2.0.x) pour plus de détails. **
*�**�* C�Ce�et�tt�te�e s�se�ec�ct�ti�io�on�n f�fo�ou�ur�rn�ni�is�s U�UN�NI�IQ�QU�UE�EM�ME�EN�NT�T l�le�e m�mi�in�ni�im�mu�um�m d�de�e r�rè�èg�gl�le�es�s
p�po�ou�ur�r a�av�vo�oi�ir�r u�un�n l�l'�'I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e o�op�pé�ér�ra�at�ti�io�on�nn�ne�el�l,�, l�le�es�s p�pr�ro�ob�bl�le�em�me�es�s d�de�e
s�sé�éc�cu�ur�ri�it�té�és�s n�ne�e s�so�on�nt�t p�pa�as�s c�co�on�ns�si�id�dé�ér�ré�és�s.�. I�Il�l e�es�st�t f�fo�or�rt�te�em�me�en�nt�t r�re�ec�co�om�m�
m�ma�an�nd�dé�é q�qu�ue�e v�vo�ou�us�s p�pa�as�ss�si�ie�ez�z q�qu�ue�el�lq�qu�ue�e t�te�em�mp�ps�s p�po�ou�ur�r a�ap�pp�pl�li�iq�qu�ue�er�r q�qu�ue�el�lq�qu�ue�es�s
r�rè�èg�gl�le�es�s d�de�e f�fi�ir�re�ew�wa�al�ll�li�in�ng�g a�ap�pp�pr�ro�op�pr�ri�ié�ée�es�s p�po�ou�ur�r a�au�ug�gm�me�en�nt�te�er�r l�la�a
s�sé�éc�cu�ur�ri�it�té�é.�. *�**�*
3�3.�.4�4.�.1�1.�. N�No�oy�ya�au�ux�x L�Li�in�nu�ux�x 2�2.�.2�2.�.x�x
i�ip�pf�fw�wa�ad�dm�m n�n'�'e�es�st�t p�pl�lu�us�s l�l'�'o�ou�ut�ti�il�l à�à u�ut�ti�il�li�is�se�er�r p�po�ou�ur�r m�ma�an�ni�ip�pu�ul�le�er�r l�le�es�s r�rè�èg�gl�le�es�s i�ip�pm�ma�as�sq�q
p�po�ou�ur�r l�le�es�s n�no�oy�ya�au�ux�x 2�2.�.2�2.�.x�x,�, u�ut�ti�il�li�is�se�ez�z i�ip�pc�ch�ha�ai�in�ns�s.�.
ipchains -P forward DENY
ipchains -A forward -s yyy.yyy.yyy.yyy/x -j MASQ
Où x est le nombre correspondant a la classe de votre sous réseau, et
yyy.yyy.yyy.yyy est l'adresse de votre réseau.
netmask | x | Subnet
~~~~~~~~~~~~~~~~|~~~~|~~~~~~~~~~~~~~~
255.0.0.0 | 8 | Class A
255.255.0.0 | 16 | Class B
255.255.255.0 | 24 | Class C
255.255.255.255 | 32 | Point-to-point
Vous pouvez aussi utiliser le format yyy.yyy.yyy.yyy/xxx.xxx.xxx.xxx,
où xxx.xxx.xxx.xxx spécifie votre masque de sous réseau tel
255.255.255.0
Par exemple dans mon réseau de classe C, j'entrais ;
ipchains -P forward DENY
ipchains -A forward -s 192.168.1.0/24 -j MASQ
ou
ipchains -P forward DENY
ipchains -A forward -s 192.168.1.0/255.255.255.0 -j MASQ
Vous pouvez aussi le faire machine par machine. Par exemple, si je
veux que 192.168.1.2 et 192.168.1.8 aient accès à Internet, mais pas
les autres machines, j'aurais mis :
ipchains -P forward DENY
ipchains -A forward -s 192.168.1.2/32 -j MASQ
ipchains -A forward -s 192.168.1.8/32 -j MASQ
Il ne faut j�ja�am�ma�ai�is�s que votre règle par défaut soit le masquerading,
sinon n'importe qui pouvant manipuler ses tables de routage pourra
utiliser votre machine Linux pour masquer son identité !
De même, vous pouvez ajouter ces lignes a votre /etc/rc.local, ou au
fichier rc que vous préférez, ou le faire manuellement à chaque fois
que vous en avez besoin.
Pour plus de détails sur ipchain, référez vous au Linux IPCHAINS HOWTO
3�3.�.4�4.�.2�2.�. N�No�oy�ya�au�ux�x L�Li�in�nu�ux�x 2�2.�.0�0.�.x�x
ipfwadm -F -p deny
ipfwadm -F -a m -S yyy.yyy.yyy.yyy/x -D 0.0.0.0/0
ou
ipfwadm -F -p deny
ipfwadm -F -a masquerade -S yyy.yyy.yyy.yyy/x -D 0.0.0.0/0
Où x est le nombre correspondant à la classe de votre sous reseau, et
yyy.yyy.yyy.yyy est l'adresse de votre réseau.
Masque de sous réseau | x | Sous réseau
~~~~~~~~~~~~~~~~~~~~~~|~~~~|~~~~~~~~~~~~~~~
255.0.0.0 | 8 | Classe A
255.255.0.0 | 16 | Classe B
255.255.255.0 | 24 | Classe C
255.255.255.255 | 32 | Point-to-point (PPP)
Vous pouvez aussi utiliser le format yyy.yyy.yyy.yyy/xxx.xxx.xxx.xxx,
où xxx.xxx.xxx.xxx spécifie votre masque de sous réseau tel
255.255.255.0
Par exemple dans mon réseau de classe C, j'entrais ;
ipfwadm -F -p deny
ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0
Puisque les paquets de demande de bootp arrivent sans adresse IP
valide alors que le client ne connait rien de lui, les personnes
utilisant un serveur bootp comme machine de masquerading/firewall
devront utiliser la commande suivante avant la commande deny :
ipfwadm -I -a accept -S 0/0 68 -D 0/0 67 -W bootp_clients_net_if_name -P udp
Vous pouvez également faire cela machine par machine. Par exemple, si
je veux que 192.168.1.2 et 192.168.1.8 aient accès à Internet, mais
pas les autres machines, j'utiliserai :
ipfwadm -F -p deny
ipfwadm -F -a m -S 192.168.1.2/32 -D 0.0.0.0/0
ipfwadm -F -a m -S 192.168.1.8/32 -D 0.0.0.0/0
Une erreur fréquente est d'utiliser comme première règle la commande :
ipfwadm -F -p masquerade
Il ne faut j�ja�am�ma�ai�is�s que votre règle par défaut soit le masquerading,
sinon n'importe qui pouvant manipuler ses tables de routage pourra
utiliser votre machine Linux pour masquer son identité !
Une fois encore, vous pouvez ajouter ces lignes à vos fichiers
/etc/rc.local, ou le faire manuellement à chaque fois que vous avez
besoin de l'IP Masquerading.
Veuillez lire la section 4.4 pour des instructions détaillées sur
Ipfwadm.
3�3.�.5�5.�. T�Te�es�st�te�er�r I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e
Il est maintenant temps de tester notre travail. Assurez vous que la
connexion de votre hôte Linux à Internet est correcte.
Vous pouvez par exemple essayer de parcourir quelques sites Web (sur
_�I_�n_�t_�e_�r_�n_�e_�t !!!) depuis vos A�AU�UT�TR�RE�ES�S machines, et voir ce que vous obtenez.
Je recommande d'utiliser une adresse IP plutôt qu'un nom DNS lors de
votre premier essai, puisque votre réglage pour le DNS peut être
incorrect.
Par exemple, vous pouvez accéder au site Web du Linux Documentation
Project à http://metalab.unc.edu/mdw/linux.html en entrant
http://152.19.254.81/mdw/linux.html
Si vous voyez la page du LDP, félicitations ! Ca marche ! Vous pouvez
alors essayer avec un autre hôte, puis ping, telnet, ssh, ftp, Real
Audio, True Speech, etc...
Pour l'instant je n'ai eu aucun problème avec ces réglages, et c'est
totalement grâce aux personnes qui ont passé du temps à faire
fonctionner cette superbe fonctionnalité de Linux.
4�4.�. A�Au�ut�tr�re�es�s s�su�uj�je�et�ts�s r�re�el�la�at�ti�if�fs�s à�à I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e e�et�t a�au�u s�su�up�pp�po�or�rt�t l�lo�og�gi�ic�ci�ie�el�l
4�4.�.1�1.�. P�Pr�ro�ob�bl�lè�èm�me�es�s a�av�ve�ec�c I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e
Certains protocoles ne marcheront pas avec l'IP masquerading, parce
que soit ils supposent des choses sur les numéros de port ou soit
qu'ils encodent les données sur le port et les adresses dans leurs
paquets. Ces protocoles ont besoin de _�p_�r_�o_�x_�y intégrés dans le code du
masquerading pour fonctionner.
4�4.�.2�2.�. S�Se�er�rv�vi�ic�ce�es�s e�en�nt�tr�ra�an�nt�ts�s
Le masquerading ne peut pas du tout prendre en charge les services
entrants. Il y a plusieurs façons de les autoriser, mais ces méthodes
sont complètement en dehors du thème du masquerading et se rapprochent
plutôt de la technique des firewalls.
Si vous n'avez pas besoin d'une grande sécurité, vous pouvez
simplement rediriger les ports. Il y a de nombreuses façons de faire
cela - personnellement j'utilise une version modifiée du programme
redir (qui, je l'espère, sera disponible sur sunsite et ses mirrors
prochainement). Si vous désirez avoir des niveaux d'autorisation sur
les connexions entrantes, vous pouvez alors utiliser les TCP Wrappers
ou Xinetd par dessus redir (version 0.7 ou supérieure) pour autoriser
seulement des adresses IP données, ou utiliser d'autre outils. La
boîte à outils pour firewall TIS (TIS Firewall Toolkit) est un bon
produit pour ceux qui cherchent des outils et des informations.
Une section en disant plus long sur le forwarding sera bientot
ajoutée.
4�4.�.3�3.�. P�Pr�ro�og�gr�ra�am�mm�me�es�s c�cl�li�ie�en�nt�ts�s s�su�up�pp�po�or�rt�té�és�s e�et�t a�au�ut�tr�re�es�s r�re�em�ma�ar�rq�qu�ue�es�s p�po�ou�ur�r l�la�a c�co�on�nf�fi�ig�g�
u�ur�ra�at�ti�io�on�n
*�**�* L�La�a l�li�is�st�te�e s�su�ui�iv�va�an�nt�te�e n�n'�'e�es�st�t p�pl�lu�us�s m�ma�ai�in�nt�te�en�nu�ue�e.�. V�Vo�oy�ye�ez�z c�ce�et�tt�te�e p�pa�ag�ge�e
s�su�ur�r l�le�es�s a�ap�pp�pl�li�ic�ca�at�ti�io�on�ns�s f�fo�on�nc�ct�ti�io�on�nn�na�an�nt�t a�au�u t�tr�ra�av�ve�er�rs�s d�d'�'I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�d�
i�in�ng�g e�et�t l�la�a p�pa�ag�ge�e I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e R�Re�es�so�ou�ur�rc�ce�e p�po�ou�ur�r p�pl�lu�us�s d�de�e d�dé�ét�ta�ai�il�ls�s.�.
*�**�*
En général, les applications qui utilisent TCP et/ou UDP devraient
fonctionner. Si vous avez une quelconque suggestion ou question à
propos des applications compatibles avec IP masquerade, visitez la
page sur les applications fonctionnant avec IP Masquerading par Lee
Nevo.
4�4.�.3�3.�.1�1.�. L�Le�es�s c�cl�li�ie�en�nt�ts�s q�qu�ui�i f�fo�on�nc�ct�ti�io�on�nn�ne�en�nt�t
Clients génériques
H�HT�TT�TP�P
toutes les plateformes, naviguer sur le web ;
P�PO�OP�P &�& S�SM�MT�TP�P
toutes les plateformes, clients de courrier électronique ;
T�Te�el�ln�ne�et�t
toutes les plateformes, sessions distantes ;
F�FT�TP�P
toutes les plateformes, avec le module ip_masq_ftp.o (tous les
sites ne fonctionnent pas avec certains clients ; par exemple,
certains sites ne peuvent pas être atteints en utilisant
ws_ftp32 mais fonctionnent avec Netscape) ;
A�Ar�rc�ch�hi�ie�e
toutes les plateformes, client de recherche de fichiers (tous
les clients ne fonctionnent pas) ;
N�NN�NT�TP�P (�(U�US�SE�EN�NE�ET�T)�)
toutes les plateformes, client news USENET ;
V�VR�RM�ML�L
Windows (peut être toutes les plateformes), réalité virtuelle ;
t�tr�ra�ac�ce�er�ro�ou�ut�te�e
surtout les plateformes UNIX, certaines variantes ne devraient
pas fonctionner ;
p�pi�in�ng�g
toutes plateformes, avec le patch ICMP
q�qu�uo�oi�iq�qu�ue�e c�ce�e s�so�oi�it�t,�, b�ba�as�sé�é s�su�ur�r I�IR�RC�C
toutes les plateformes, avec le module ip_masq_irc.o ;
C�Cl�li�ie�en�nt�t G�Go�op�ph�he�er�r
toutes les plateformes ;
C�Cl�li�ie�en�nt�t W�WA�AI�IS�S
toutes les plateformes.
Clients Multimédia
R�Re�ea�al�l A�Au�ud�di�io�o P�Pl�la�ay�ye�er�r 2�2.�.0�0
Windows, flux audio par réseau, avec le module ip_masq_raudio
T�Tr�ru�ue�e S�Sp�pe�ee�ec�ch�h P�Pl�la�ay�ye�er�r 1�1.�.1�1b�b
Windows, flux audio par réseau
I�In�nt�te�er�rn�ne�et�t W�Wa�av�ve�e P�Pl�la�ay�ye�er�r
Windows, flux audio par réseau
W�Wo�or�rl�ld�ds�s C�Ch�ha�at�t 0�0.�.9�9a�a
Windows, programme client-serveur de discussion 3D
A�Al�lp�ph�ha�a W�Wo�or�rl�ld�ds�s
Windows, programme client-serveur de discussion 3D
I�In�nt�te�er�rn�ne�et�t P�Ph�ho�on�ne�e 3�3.�.2�2
Windows, communications audio. Vous ne pouvez être contacté que
si vous initiez la connexion, mais on ne peut pas vous appeler.
P�Po�ow�ww�wo�ow�w
Windows, communication audio. Vous ne pouvez être contacté que
si vous initiez la connexion, mais on ne peut pas vous appeler.
C�CU�U-�-S�Se�ee�eM�Me�e
toutes les plateformes, avec le module cuseeme, voir sur IP
Masquerade Resource pour les détails.
V�VD�DO�OL�Li�iv�ve�e
Windows, avec le patch vdolive
NB : Certains clients tels IPhone et Powwow peuvent fonctionner même
si vous n'êtes pas la personne qui initie la connexion, en utilisant
le _�p_�a_�c_�k_�a_�g_�e _�i_�p_�a_�u_�t_�o_�f_�w (voir la section 4.6).
Autres clients
N�NC�CS�SA�A T�Te�el�ln�ne�et�t 2�2.�.3�3.�.0�08�8
DOS, une suite de logiciels contenant telnet, ftp, ping, etc...
P�PC�C-�-a�an�ny�yw�wh�he�er�re�e p�po�ou�ur�r W�Wi�in�nd�do�ow�ws�s 2�2.�.0�0
MS-Windows, controle d'un PC à distance avec TCP/IP, fonctionne
uniquement si la machine est un client et non un hôte.
S�So�oc�ck�ke�et�t W�Wa�at�tc�ch�h
utilise ntp - network time protocol
L�Li�in�nu�ux�x n�ne�et�t-�-a�ac�cc�ct�t p�pa�ac�ck�ka�ag�ge�e
Linux, package d'administration par réseau
4�4.�.3�3.�.2�2.�. C�Cl�li�ie�en�nt�ts�s q�qu�ui�i n�ne�e f�fo�on�nc�ct�ti�io�on�nn�ne�en�nt�t p�pa�as�s
I�In�nt�te�el�l I�In�nt�te�er�rn�ne�et�t P�Ph�ho�on�ne�e B�Be�et�ta�a 2�2
Connexion ok, mais la voix ne peut que sortir de votre réseau.
I�In�nt�te�el�l S�St�tr�re�ea�am�mi�in�ng�g M�Me�ed�di�ia�a V�Vi�ie�ew�we�er�r B�Be�et�ta�a 1�1
Connexion impossible au serveur.
N�Ne�et�ts�sc�ca�ap�pe�e C�Co�oo�ol�lT�Ta�al�lk�k
Connexion à l'hôte distant impossible.
t�ta�al�lk�k,�,n�nt�ta�al�lk�k
ne fonctionnera pas - nécessite l'écriture d'un proxy noyau.
W�We�eb�bP�Ph�ho�on�ne�e
Ne peut pas fonctionner (il fait des suppositions
invalides sur les adresses).
X�X Non testé, mais je pense que cela ne peut pas fonctionner à
moins que quelqu'un écrive un proxy X, qui est sans doute un
programme externe au code de masquerading. Une façon de le faire
fonctionner est d'utiliser s�ss�sh�h comme lien, et X comme proxy.
4�4.�.3�3.�.3�3.�. P�Pl�la�at�te�ef�fo�or�rm�me�es�s/�/S�Sy�ys�st�tè�èm�me�es�s d�d'�'e�ex�xp�pl�lo�oi�it�ta�at�ti�io�on�ns�s t�te�es�st�té�és�s s�su�ur�r d�de�es�s m�ma�ac�ch�hi�in�ne�es�s
c�cl�li�ie�en�nt�te�es�s
· Linux
· Solaris
· Windows 95
· Windows NT (workstation et serveur)
· Windows pour Workgroup 3.11 (avec le package TCP/IP)
· Windows 3.1 (avec le package Chameleon)
· Novel 4.01 Serveur
· OS/2 (y compris Warp v3)
· Macintosh OS (avec MacTCP ou Open Transport)
· DOS (avec le package NCSA Telnet, DOS Trumpet fonctionne
partiellement)
· Amiga (avec AmiTCP ou AS225-stack)
· Stations VAX 3520 et 3100 avec UCX (pile TCP/IP pour VMS)
· Alpha/AXP avec Linux/Redhat
· SCO Openserver (v3.2.4.2 et 5)
· IBM RS/6000 sous AIX
Normalement, tous les OS disposant d'une couche TCP/IP et permettant
de specifier un firewall/gateway devraient marcher avec l'IP
masquerading
4�4.�.4�4.�. A�Ad�dm�mi�in�ni�is�st�tr�ra�at�ti�io�on�n d�du�u f�fi�ir�re�ew�wa�al�ll�l I�IP�P (�(i�ip�pf�fw�wa�ad�dm�m)�)
Cette section constitue un guide plus précis sur l'utilisation
d'ipfwadm.
Voici un script d'initialisation pour un système qui fait office de
firewall et de masquerading. L'interface à laquelle on fait confiance
est 192.168.255.1 (celle du réseau local) et l'interface PPP a été
changée pour des raisons de sécurité. Toutes les interfaces sont
listées individuellement pour intercepter l'IP spoofing et les
routages inexacts. Tout ce qui n'est pas explicitement autorisé est
interdit !
#!/bin/sh
#
# /etc/rc.d/rc.firewall, définit la configuration du firewall.
# appelé depuis rc.local.
#
PATH=/sbin:/bin:/usr/sbin:/usr/bin
# pour les tests, attend un moment puis efface toutes les règles du
# firewall. Décommentez les lignes suivantes si vous voulez que le firewall
# soit désactivé automatiquement après 10 minutes.
# (sleep 600; \
# ipfwadm -I -f; \
# ipfwadm -I -p accept; \
# ipfwadm -O -f; \
# ipfwadm -O -p accept; \
# ipfwadm -F -f; \
# ipfwadm -F -p accept; \
# ) &
# Connexions entrantes, efface tout et positionne le comportement par défaut à
# deny (refus). En fait, le comportement par défaut est inadéquat puisqu'il y
# a une règle pour tout intercepter, avec refus et logging.
ipfwadm -I -f
ipfwadm -I -p deny
# interface locale, machines locales. Aller n'importe où est autorisé.
ipfwadm -I -a accept -V 192.168.255.1 -S 192.168.0.0/16 -D 0.0.0.0/0
# interface distante, prétendant être une machine locale. C'est de l'IP
# spoofing, on refuse.
ipfwadm -I -a deny -V votre.adresse.PPP.statique -S 192.168.0.0/16 -D 0.0.0.0/0 -o
# interface distante, n'importe qu'elle source, l'accès à notre adresse PPP
# est valide
ipfwadm -I -a accept -V votre.adresse.PPP.statique -S 0.0.0.0/0 -D votre.adresse.PPP.statique/32
# l'interface loopback est valide.
ipfwadm -I -a accept -V 127.0.0.1 -S 0.0.0.0/0 -D 0.0.0.0/0
# une fois toutes les règles faites, toutes les autres connexions entrantes
# sont refusées et logguées.
ipfwadm -I -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o
# Connexions sortantes,efface tout et positionne le comportement par défaut à
# deny (refus).En fait, le comportement par défaut est inadéquat puisqu'il y a
# une règle pour tout intercepter, avec refus et logging.
ipfwadm -O -f
ipfwadm -O -p deny
# interface locale, machines locales. N'importe quelle source allant vers le
# réseau local est valide.
ipfwadm -O -a accept -V 192.168.255.1 -S 0.0.0.0/0 -D 192.168.0.0/16
# destination vers le réseau local à partir de l'interface sortante. C'est du
# routage piraté, tout refuser.
ipfwadm -O -a deny -V votre.adresse.PPP.statique -S 0.0.0.0/0 -D 192.168.0.0/16 -o
# sortante depuis le réseau local sur l'interface sortante. C'est du
# masquerading pirate, tout refuser.
ipfwadm -O -a deny -V votre.adresse.PPP.statique -S 192.168.0.0/16 -D 0.0.0.0/0 -o
# sortante depuis le réseau local sur l'interface sortante. C'est du
# masquerading pirate, tout refuser.
ipfwadm -O -a deny -V votre.adresse.PPP.statique -S 0.0.0.0/0 -D 192.168.0.0/16 -o
# l'interface loopback est valide.
ipfwadm -O -a accept -V 127.0.0.1 -S 0.0.0.0/0 -D 0.0.0.0/0
# une fois toutes les règles faites, toutes les autres connexions sortantes
# sont refusées et logguées.
ipfwadm -O -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o
# Connexions à faire suivre (forwarding), efface tout et positionne le
# comportement par défaut à deny (refus). En fait, le comportement par défaut
# est inadéquat puisqu'il y a une règle pour tout intercepter, avec refus et
# logging.
ipfwadm -F -f
ipfwadm -F -p deny
# Masquerade depuis le réseau local sur l'interface locale vers n'importe où
ipfwadm -F -a masquerade -W ppp0 -S 192.168.0.0/16 -D 0.0.0.0/0
# une fois toutes les règles faites, toutes les autres connexions à faire
# suivre sont refusées et logguées.
ipfwadm -F -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o
Vous pouvez bloquer le trafic vers ou depuis un site particulier en
utilisant -I, -O ou -F. Souvenez vous que les règles sont analysées de
haut en bas, et -a signifie ajoute (_�a_�p_�p_�e_�n_�d) à l'ensemble des règles
existantes. Par exemple (non testé) :
En utilisant les règles -I. Probablement le plus rapide mais stoppe
uniquement les machines locales, le firewall peut encore accéder au
site "interdit". C'est peut être d'ailleurs le comportement que vous
désirez.
... début des règles -I ...
# rejette et loggue l'interface locale et la machine locale allant sur
# 204.50.10.13
ipfwadm -I -a reject -V 192.168.255.1 -S 192.168.0.0/16 -D 204.50.10.13/32 -o
# interface locale, machines locales. Aller n'importe où est autorisé.
ipfwadm -I -a accept -V 192.168.255.1 -S 192.168.0.0/16 -D 0.0.0.0/0
... fin des règles -I ...
En utilisant les règles -O. C'est le plus lent puisque les paquets
passent d'abord à travers le masquerading, mais cette règle empèche
même au firewall d'accéder au site interdit.
... début des règles -O ...
# rejette et loggue les connexions sortantes vers 204.50.10.13
ipfwadm -O -a reject -V votre.adresse.PPP.statique -S votre.adresse.PPP.statique/32 -D 204.50.10.13/32 -o
# tout le reste, sortant vers l'interface distante est valide
ipfwadm -O -a accept -V votre.adresse.PPP.statique -S votre.adresse.PPP.statique/32 -D 0.0.0.0/0
... fin des règles -O ...
En utilisant les règles -F. Probablement plus lent qu'en utilisant les
règles -I, et cela stoppe uniquement les machines pour lesquelles on
effetue du masquerading (c'est à dire les machines internes). Le
firewall peut encore accéder au site interdit.
... début des règles -F ...
# Rejette et loggue les connexions depuis le réseau local sur l'interface PPP
# vers 204.50.10.13.
ipfwadm -F -a reject -W ppp0 -S 192.168.0.0/16 -D 204.50.10.13/32 -o
# Masquerade depuis le réseau local sur l'interface locale vers n'importe où
ipfwadm -F -a masquerade -W ppp0 -S 192.168.0.0/16 -D 0.0.0.0/0
... fin des règles -F ...
Il n'y a pas besoin d'une règle spéciale pour autoriser 192.168.0.0/16
à se connecter sur 204.50.11.0, ce comportement est inclus dans les
règles globales.
Il y a plus d'une façon d'écrire les règles précédentes. Par exemple,
au lieu de -V 192.168.255.1, vous pouvez utiliser -W eth0, au lieu de
-V votre.adresse.PPP.statique, vous pouvez utiliser -W ppp0. C'est une
question de goût personnel.
4�4.�.5�5.�. C�Ch�ha�ai�in�ne�es�s I�IP�P F�Fi�ir�re�ew�wa�al�ll�li�in�ng�g (�(i�ip�pc�ch�ha�ai�in�ns�s)�)
Voici l'outil de manipulation de règles de firewalling créé pour les
noyaux 2.2.x (il y a un patch qui permettra de l'utiliser avec le
2.0.x).
Nous mettrons à jour cette section pour donner plein d'exemples sur
l'utilisation d'ipchains très bientôt.
Référez vous à Linux IP Firewalling Chains page
et Linux IPCHAINS HOWTO
pour
plus de détails.
4�4.�.6�6.�. L�L'�'I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e e�et�t l�la�a n�nu�um�mé�ér�ro�ot�ta�at�ti�io�on�n à�à l�la�a d�de�em�ma�an�nd�de�e.�.
1. Si vous voulez que votre réseau se connecte automatiquement à
Internet, le package _�d_�i_�a_�l_�d de numérotation à la demande sera une
grande aide.
2. Pour mettre en place _�d_�i_�a_�l_�d, veuillez vous référer à la page (en
anglais) Setting Up Diald for Linux Page
3. Une fois que diald et IP masq auront été installés, vous pouvez
aller sur n'importe laquelle des machines clients et initier une
connexion web, telnet ou ftp.
4. _�d_�i_�a_�l_�d va détecter une demande, appeler votre provider Internet et
établir la connexion.
5. Un _�t_�i_�m_�e_�o_�u_�t (délai d'attente dépassé) sera inévitable sur la
première connexion, mais c'est le lot des modems analogiques. Le
temps mis à établir la connexion va provoquer un timeout de votre
programme client. Ceci peut être évité si vous utilisez une
connexion ISDN. Tout ce que vous devez faire est relancer le client
qui a fait le timeout.
4�4.�.7�7.�. F�Fa�ai�ir�re�e s�su�ui�iv�vr�re�e l�le�es�s p�pa�aq�qu�ue�et�ts�s a�av�ve�ec�c I�IP�Pa�au�ut�to�of�fw�w
IPautofw est un module générique pour faire suivre les paquets TCP et
UDP pour le Masquerading de Linux. Généralement, pour utiliser un
client utilisant UDP, un module spécifique doit être chargé. Ipautofw
agit de manière plus générique, puisqu'il fait suivre tout type de
trafic, y compris ceux pour lesquels les modules spécifiques ne feront
rien suivre. Cela peut créer un trou de sécurité, si ce n'est pas
administré correctement.
4�4.�.8�8.�. C�CU�U-�-S�Se�ee�eM�Me�e e�et�t l�le�e m�mi�in�ni�i-�-H�HO�OW�WT�TO�O L�Li�in�nu�ux�x I�IP�P-�-M�Ma�as�sq�qu�ue�er�ra�ad�de�e
Fournis par Michael Owings .
4�4.�.8�8.�.1�1.�. I�In�nt�tr�ro�od�du�uc�ct�ti�io�on�n
Cette section explique les étapes nécessaires pour faire en
sorte que Cu-SeeMe (Les deux versions : Cornell ou White
Pine) marche bien avec l'IP-Masquerade de Linux.
Cu-SeeMe est un paquetage de vidéoconférence disponible pour Windows
et Macintosh. Une version gratuite est disponible à Cornell University
. Une version commerciale largement
améliorée peut etre obtenue à White Pine Software
.
L'IP masquerade permet à une ou plusieurs machines d'un LAN de se
cacher derriere une seule machine Linux connectée à Internet. Les
stations du LAN accedent à Internet d'une maniere presque transparente
meme sans adresse IP valide. La machine Linux réécrit les paquets
sortant du LAN pour aller vers Internet de telle sort qu'ils semblent
venir de cette meme machine. Les paquets revenants sont réécrits et
reroutés vers la bonne machine sur le LAN. Cet arrangement permet à la
majorité des applications Internet de marcher de façon transparente
depuis les stations du LAN. Pour quelques applications (comme CU-
SeeME), néanmoins, le code de routage masquerading de Linux a besoin
d'un peu d'aide pour router les paquets proprement. Cette aide vient
de modules spéciaux du noyau. Pour plus d'informations sur l'IP
Masquerading, référez vous à The Linux IP Masquerading Website
.
4�4.�.8�8.�.2�2.�. L�Le�e f�fa�ai�ir�re�e m�ma�ar�rc�ch�he�er�r.�..�..�.
Tout d'avord, vous avec besoin d'un noyau proprement configuré. Vous
devriez avoir un support complet de compilé pour IP-Masquerading et
IP-AutoForwarding. IP AutoForwarding est disponible depuis la version
2.0.30 du noyau - vous aurez a patcher des noyaux plus anciens.
Référez vous à Linux IP Masquerade Resource
pour des liens vers l'IP-AutoForwarding.
Ensuite, vous aurez besoin de la derniere version de
ip_masq_cuseeme.c. La derniere version est disponible via FTP depuis
ftp://ftp.swampgas.com/pub/cuseeme/ip_masq_cuseeme.c. Ce nouveau
module sera inclut dans la version 2.0.31 du noyau. Vous devriez
remplacer le votre par celui là. ip_masq_cuseeme.c réside normalement
dans le repertoire net/ipv4 des sources de linux. Vous devriez
compiler et installer ce module.
Maintenant, vous devriez mettre en place de l'ip autoforwarding pour
les ports udp 7648 et 7649 comme il suit :
ipautofw -A -r udp 7648 7649 -c udp 7648 -u
Ou
ipautofw -A -r udp 7648 7649 -h www.xxx.yyy.zzz
La premiere forme autorisera les appels de/vers la derniere station à
avoir utilisé le port 7648 (le port Cu-SeeMe principal). Je préfere la
premiere invocation car elle est plus flexible car il n'y a pas besoin
de specifier une IP fixe. Bien sur, cela implique que la station aura
eu à faire un appel sortant pour pouvoir recevoir un appel...
Notez que que les deux lignes laissent les ports 7648 et 7649 des
machines clients ouvertes au monde exterieur - et bien que cela ne
pose pas un trop gros trou de sécurité, vous devriez etre
précautionneux.
Finalement, chargez le nouveau modules ip_masq_cuseeme comme ça :
modprobe ip_masq_cuseeme
Vous devriez maintenant être capable de lancer CU-SeeMe depuis une
machine cachée sur votre LAN et de vous connecter à un réflecteur
distant, ou à un autre utilisateur de CU-SeeMe. Vous devriez aussi
etre capable de recevoir des appels. Notez que les appelant de
l'exterieur devront appeler l'IP de votre gateway, PAS la station
cachée.
4�4.�.8�8.�.3�3.�. R�Re�es�st�tr�ri�ic�ct�ti�io�on�ns�s/�/M�Mi�is�se�e e�en�n g�ga�ar�rd�de�e
4�4.�.8�8.�.3�3.�.1�1.�. R�Re�ef�fl�le�ec�ct�te�eu�ur�rs�s p�pr�ro�ot�té�ég�gé�é p�pa�ar�r m�mo�ot�t d�de�e p�pa�as�ss�se�e
Ce n'est même pas la peine d'y songer. White Pine utilise l'IP source
(comme cela est fait par le client) pour encrypter le mot de passe
avant la transmission. Comme nous avons à réécrire l'adresse le
réflecteur utilise une mauvaise IP pour pour le decrypter, ce qui
donne un mot de passe invalide... Cela ne sera réparé que si White
Pine change sa facon d'encryter (comme je leur ait suggéré), ou si ils
decident de rendre leurs routines d'encryption publique de telle sorte
que l'on puisse réparrer ip_masq_cuseeme. Alors que les chances de
voir la deuxieme solution s'envolent, j'encourage tous ceux qui lisent
ça à contacter White Pine et leur suggérer la premiere approche. Comme
le trafic sur cette page est relativement gros, je suppose que nous
pouvons générer suffisament d'email pour faire avancer ce probleme
dans la liste de priorités de White Pine.
Merci à Thomas Griwenka d'avoir porté cela à mon attention.
4�4.�.8�8.�.3�3.�.2�2.�. L�La�an�nc�ce�er�r u�un�n R�Ré�éf�fl�le�ec�ct�te�eu�ur�r
Vous ne devez pas essayer de lancer un réflecteur sur la même machine
où vous avez un ip_masq_cuseeme et un ipautoforwarding sur le port
7648 de chargé. Cela ne marcherais pas, car les deux requièrent le
port 7648. Donc, lancez le réflecteur soit sur une machine accessible
depuis l'Internet, ou déchargez le support pour le client Cu-SeeMe
avant de lancer le réflecteur.
4�4.�.8�8.�.3�3.�.3�3.�. P�Pl�lu�us�si�ie�eu�ur�rs�s u�ut�ti�il�li�is�sa�at�te�eu�ur�rs�s d�de�e C�CU�U-�-S�Se�ee�eM�Me�e
Vous ne pouvez pas avoir plusieurs utilisateurs simultanés de CU-SeeMe
sur le LAN au même instant. Ceci est du au fait que CU-SeeMe se borne
à toujours utiliser le port 7648, qui ne peut être redirigé
(facilement) qu'à une seule station en même temps.
En utilisant du -c (port controleur) en lancant ipautofw ci-dessus,
vous pouvez eviter de spécifier une adresse de station fixe autorisée
a utiliser CU-SeeMe. La première station qui envoie quelque chose sur
le port 7648 sera désignée pour recevoir le trafic sur les ports 7648
et 7649. A peu pres 5 minutes après que cette station soit devenue
inactive sur le port 7648, une autre station pourra utiliser CU-SeeMe.
4�4.�.8�8.�.3�3.�.4�4.�. B�Be�es�so�oi�in�n d�d'�'a�ai�id�de�e p�po�ou�ur�r C�CU�U-�-S�Se�ee�eM�Me�e ?�?
N'hésitez pas à envoyer un email avec vos commentaires ou vos
questions à mikey@swampgas.com. Ou si vous préférez, vous pouvez
m'appeler via CU-SeeMe .
4�4.�.9�9.�. A�Au�ut�tr�re�es�s o�ou�ut�ti�il�ls�s e�en�n r�re�el�la�at�ti�io�on�n
Nous mettrons à jour cette section très prochainement pour traiter
d'autres outils en relation avec ipmasq tels ipportfw ou masqadmin.
5�5.�. F�Fo�oi�ir�re�e A�Au�ux�x Q�Qu�ue�es�st�ti�io�on�ns�s
Si vous trouvez une FAQ intéressante, envoyez la à ambrose@writeme.com
et dranch@trinnet.net (NdT: en anglais :-)). S'il vous plait, poser
clairement la question et la réponse appropriée. Merci !
5�5.�.1�1.�. E�Es�st�t-�-c�ce�e q�qu�ue�e I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e m�ma�ar�rc�ch�he�e a�av�ve�ec�c u�un�ne�e I�IP�P d�dy�yn�na�am�mi�iq�qu�ue�e ?�?
Oui, bien sur que cela marche avec une adresse IP dynamique assignée
par votre FAI, d'habitude, via un serveur DHCP. Aussi longtemps que
vous avez une adresse Internet valide, cela devrait marcher. Bien
entendu, les IP statiques conviennent aussi.
5�5.�.2�2.�. c�co�on�nn�ne�ec�ct�te�er�r à�à I�In�nt�te�er�rn�ne�et�t e�en�n u�ut�ti�il�li�is�sa�an�nt�t I�IP�P m�ma�as�sq�qu�ue�er�ra�ad�di�in�ng�g ?�? P�Pu�ui�is�s-�-j�je�e
u�ut�ti�il�li�is�se�er�r d�de�es�s m�mo�od�de�em�ms�s c�ca�ab�bl�le�e,�, D�DS�SL�L,�, l�li�ia�ai�is�so�on�n s�sa�at�te�el�ll�li�it�te�e,�, e�et�tc�c p�po�ou�ur�r m�me�e
Bien sûr, tant que Linux supporte l'interface réseau, cela marchera.
5�5.�.3�3.�. Q�Qu�ue�el�ls�s s�so�on�nt�t l�le�es�s p�pr�ro�og�gr�ra�am�mm�me�es�s q�qu�ui�i f�fo�on�nc�ct�ti�io�on�nn�ne�en�nt�t a�av�ve�ec�c l�l'�'I�IP�P
M�Ma�as�sq�qu�ue�er�ra�ad�de�e ?�?
Il est très difficile d'avoir une liste exhaustive des "programmes qui
marchent". Toutefois, la majorité des applications internet sont
supportées, telles que surfer sur Internet (Netscape, MSIE, etc.), ftp
(comme WS_FTP), Real Audio, telnet, SSH, POP3 (courrier entrant -
pine, Outlook), SMTP (courrier sortant), etc.
Les programmes qui impliquent des protocoles plus compliqués ou des
méthodes de connexion spéciales necessitent des outils d'aide
spéciaux.
Pour plus de détails, référez vous à cette page : programmes qui
marchent avec le Linux IP masquerading
par Lee Nevo.
5�5.�.4�4.�. D�De�eb�bi�ia�an�n,�, u�un�ne�e S�Sl�la�ac�ck�kw�wa�ar�re�e,�, e�et�tc�c ?�? C�Co�om�mm�me�en�nt�t p�pu�ui�is�s-�-j�je�e f�fa�ai�ir�re�e m�ma�ar�rc�ch�he�er�r l�l'�'I�IP�P
M�Ma�as�sq�qu�ue�er�ra�ad�di�in�ng�g s�su�ur�r u�un�ne�e R�Re�ed�dH�Ha�at�t,�, u�un�ne�e
La distribution de Linux que vous avez, les procédures pour mettre en
place l'IP masquerading mentionnées dans ce HOWTO devraient suffire.
Certaines distributions auront peut être des programmes graphiques ou
des fichiers de configuration spéciaux pour rendre les réglages plus
simples. Nous faisons en sorte de rendre ce HowTo aussi simple que
possible.
5�5.�.5�5.�. J�Je�e v�vi�ie�en�ns�s d�de�e p�pa�as�ss�se�er�r a�au�u n�no�oy�ya�au�u 2�2.�.2�2.�.x�x e�et�t ç�ça�a n�ne�e m�ma�ar�rc�ch�he�e p�pl�lu�us�s !�!
Il y a plusieurs raisons qui peuvent faire que cela ne marche plus, en
supposant que vous avez une bonne connection à Internet et à votre
LAN :
· Assurez vous que vous avez les fonctionnalités et les modules
nécessaires compilés et chargés. Référez vous aux sections
précedentes pour cela.
· Vérifiez /usr/src/linux/Documentation/Changes et assurez vous que
vous avez les bonnes versions des outils réseau installés.
· Assurez vous d'avoir bien activé l'IP forwarding. Essayez de lancer
echo "1" > /proc/sys/net/ipv4/ip_forwarding.
· Vous devez utiliser ipchains
pour manipuler les regles
ipmasq et firewal.
· Refaites toute la préparation et la configuration encore ! La
plupart du temps, c'est juste une erreur de typo ou une erreur
stupide que vous verrez facilement.
5�5.�.6�6.�. ç�ça�a n�ne�e m�ma�ar�rc�ch�he�e p�pl�lu�us�s !�! J�Je�e v�vi�ie�en�ns�s d�de�e m�me�et�tt�tr�re�e à�à j�jo�ou�ur�r m�mo�on�n n�no�oy�ya�au�u a�av�ve�ec�c u�un�n
2�2.�.0�0.�.3�30�0 o�ou�u p�pl�lu�us�s r�ré�éc�ce�en�nt�t e�et�t
Il y a plusieurs chose que vous devriez vérifier, en supposant que
vous avez une bonne connection à Internet et à votre LAN :
· Assurez vous que vous avez bien toutes les fonctionnalités et
modules de compilés et chargés. Référez vous aux sections
précédentes pour plus de détails.
· Verifiez dans /usr/src/linux/Documentation/Changes que vous avez
bien mis a jour le minimum pour survivre.
· Assurez vous de bien avoir activé l'IP forwardinf. Essayez echo "1"
> /proc/sys/net/ipv4/ip_forward.
· Vous devriez utiliser ipfwadm pour manipuler
les regles ipmasq et firewall. Vous aurez a patcher les noyaux
2.0.x pour utiliser ipchains.
· Refaites toute la préparation et la configuration encore ! La
plupart du temps, c'est juste une erreur de typo ou une erreur
stupide que vous verrez facilement.
5�5.�.7�7.�. p�po�os�ss�si�ib�bi�il�li�it�té�és�s p�po�ou�ur�r l�le�e f�fa�ai�ir�re�e a�av�ve�ec�c W�Wi�in�nd�do�ow�ws�s ?�? J�Je�e n�n'�'a�ar�rr�ri�iv�ve�e p�pa�as�s à�à
f�fa�ai�ir�re�e m�ma�ar�rc�ch�he�er�r l�l'�'I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e !�! Q�Qu�ue�el�ll�le�es�s s�so�on�nt�t l�le�es�s
Laisser tomber une solution gratuite, fiable, performante qui
fonctionne sur un matériel minimal pour payer une fortune pour quelque
chose qui nécessite plus de matériel, est moins performant et moins
fiable ? (IMHO : Et oui, j'ai une expérience de ces choses ;-)
Ok, c'est vous qui voyez, faites une recherche sur le web sur MS Proxy
Server, Wingate, ou aller sur www.winfiles.com. Mais ne dites pas que
c'est moi qui vous y envoie !
5�5.�.8�8.�. J�J'�'a�ai�i t�to�ou�ut�t v�vé�ér�ri�if�fi�ié�é,�, e�et�t ç�ça�a n�ne�e m�ma�ar�rc�ch�he�e t�to�ou�uj�jo�ou�ur�rs�s p�pa�as�s.�. Q�Qu�ue�e d�do�oi�is�s-�-j�je�e
f�fa�ai�ir�re�e ?�?
· Restez calme. Allez vous faire un thé, et prenez une pose. Ensuite,
essayez les suggestions ci-dessous.
· Faites une recherche dans l'Archive de la mailing list
, votre réponse vous y attend
très certainement.
· Posez la question dans la mailing list IP Masquerade, voyez ci-
dessous pour plus de détails. S'il vous plait, n'essayez cela que
si vous ne trouvez pas la réponse dans les archives de la liste.
· Posez votre question dans les newsgroups parlant de réseau et de
Linux.
· Envoyez un email à ambrose@writeme.com et dranch@trinnet.net. Vous
avez plus de chance de recevoir une réponse si vous nous l'envoyez
à nous deux. David est plutôt rapide a répondre, et je ne
commenterais pas ma vitesse de réponse.
· Revérifiez votre configuration :-)
5�5.�.9�9.�. C�Co�om�mm�me�en�nt�t j�je�e m�m'�'i�in�ns�sc�cr�ri�is�s à�à l�la�a l�li�is�st�te�e I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e ?�?
Pour s'inscrire à la liste IP Masquerading envoyez un mail à masq-
subscribe@indyramp.com.
Le sujet et le corps de ce message sont i�ig�gn�no�or�ré�és�s. Ceci vous permet de
recevoir tous les messages de la liste alors qu'ils arrivent. Vous
avez la possibilité de recevoir les messages sous cette forme, mais si
vous pouviez plutot vous abonner au condensé (digest), choisissez le
plutôt. Le digest charge moins les machines qui servent les listes.
Notez aussi qu'il n'est possible de poster qu'à partir de l'adresse où
vous êtes enregistrés.
Pour plus de commandes, envoyez un email à masq-
help@tori.indyramp.com.
5�5.�.1�10�0.�. J�Je�e v�ve�eu�ux�x a�ai�id�de�er�r a�au�u d�dé�év�ve�el�lo�op�pp�pe�em�me�en�nt�t d�de�e l�l'�'I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�di�in�ng�g.�. C�Co�om�mm�me�en�nt�t
f�fa�ai�ir�re�e ?�?
Abonnez vous à la liste de développement de l'IP Masquerading, et
contactez les grands développeurs là-bas, en envoyant un email à masq-
dev-subscribe@tori.indyramp.com (ou pour le digest masq-dev-digest-
subscribe@tori.indyramp.com).
NE posez pas de questions n'ayant pas de rapport avec le développement
sur cette liste !!
5�5.�.1�11�1.�. O�Où�ù p�pu�ui�is�s-�-j�je�e t�tr�ro�ou�uv�ve�er�r p�pl�lu�us�s d�d'�'i�in�nf�fo�or�rm�ma�at�ti�io�on�ns�s s�su�ur�r l�l'�'I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�di�in�ng�g ?�?
Vous pouvez trouver plus d'informations sur l'IP Masquerading à Linux
IP Masquerade Resource que David et moi
maintenons. référez vous a la section 6.2 pour la disponibilité.
Vous pouvez aussi trouver plus d'informations à The Semi-Original
Linux IP Masquerading Web Site
maintenu par Indyramp Consulting, qui fournissent aussi les listes
ipmasq.
5�5.�.1�12�2.�. J�Je�e v�ve�eu�ux�x t�tr�ra�ad�du�ui�ir�re�e c�ce�e H�HO�OW�WT�TO�O d�da�an�ns�s u�un�ne�e a�au�ut�tr�re�e l�la�an�ng�gu�ue�e.�. C�Co�om�mm�me�en�nt�t
f�fa�ai�ir�re�e ?�?
Assurez vous que le langage dans lequel vous voulez traduire n'est pas
déjà couvert par quelqu'un d'autre; une liste des traductions faites
est disponible sur Linux IP Masquerade Resource
.
Envoyez un email à ambrose@writeme.com et je vous enverrais la
derniere version du SGML de ce HOWTO.
5�5.�.1�13�3.�. C�Ce�e H�HO�OW�WT�TO�O s�se�em�mb�bl�le�e à�à l�l'�'a�ab�ba�an�nd�do�on�n,�, v�vo�ou�us�s v�vo�ou�us�s e�en�n o�oc�cc�cu�up�pe�ez�z t�to�ou�uj�jo�ou�ur�rs�s ?�?
P�Po�ou�uv�ve�ez�z v�vo�ou�us�s i�in�nc�cl�lu�ur�re�e p�pl�lu�us�s d�d'�'i�in�nf�fo�or�rm�ma�at�ti�io�on�ns�s s�su�ur�r .�..�..�. ?�? C�Co�om�mp�pt�te�ez�z v�vo�ou�us�s
l�l'�'a�am�mé�él�li�io�or�re�er�r ?�?
Oui, ce HOWTO est toujours maintenu. Je suis coupable d'être trop
occupé à travailler sur deux boulots et je n'ai pas beaucoup de temps
pour travailler dessus, toutes mes excuses. Toutefois, avec l'arrivée
de David Ranch et tant que mainteneur, les choses devraient bouger un
peu.
Si vous pensez à un sujet qui devrais être inclus dans ce HOWTO,
envoyez nous un email. Cela serais encore mieux si vous pouviez nous
fournir cette information. David et moi inclurons cette information
dans le HOWTO si elle nous semble appropriée. Et merci pour votre
contribution.
Nous avons beaucoup de nouvelles idées et de plans pour mettre à jour
ce HOWTO, comme des études de cas, qui couvreraient differentes
configurations réseau mettant en jeu l'IP Masquerading, plus de choses
sur la sécurité, l'utilisation d'ipchains, des exemples sur
ipfwadm/ipchains, plus de FAQ, plus de choses sur les utilitaires de
forwarding de port et de protocoles tels masqasmin, etc. Si vous
pensez que vous pouvez aider, faites le. Merci.
5�5.�.1�14�4.�. J�J'�'a�ai�i r�re�eu�us�ss�si�i à�à f�fa�ai�ir�re�e m�ma�ar�rc�ch�he�er�r l�l'�'I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e,�, c�c'�'e�es�st�t g�gé�én�ni�ia�al�l !�!
Q�Qu�u'�'e�es�st�t c�ce�e q�qu�ue�e j�je�e p�po�ou�ur�rr�ra�ai�is�s f�fa�ai�ir�re�e p�po�ou�ur�r v�vo�ou�us�s r�re�em�me�er�rc�ci�ie�er�r ?�?
Remerciez les developpeurs, et appréciez le temps et les efforts
qu'ils ont passés dessus. Envoyez nous un email pour nous faire savoir
que vous êtes contents. Faites connaitre Linux autour de vous, et
aidez les gens qui ont des problèmes.
6�6.�. D�Di�iv�ve�er�rs�s
6�6.�.1�1.�. R�Re�es�ss�so�ou�ur�rc�ce�es�s u�ut�ti�il�le�es�s
Note du Traducteur : Tous les documents cités dans cette section sont
en anglais, à moins d'une mention spéciale de ma part.
· IP Masquerade Resource page devrait
contenir assez d'information pour l'installation d'IP Masquerade
· L'archive de la mailing list IP Masquerade
contient certains des messages
envoyés récement sur la liste.
· Ce document, en anglais : Linux IP Masquerade mini HOWTO
pour les noyaux 2.2.x et
2.0.x.
· Le IP Masquerade HOWTO pour les noyaux 1.2.x
si vous utilisez un
vieux noyau
· La FAQ IP Masquerade
contient des
informations générales
· Linux IPCHAINS HOWTO et http://www.rustcorp.com/linux/ipchains/
contiennent plein d'informations sur l'utilisation d'ipchains,
ainsi que les sources et les binaires pour ipchains.
· La page X/OS Ipfwadm page
contient les sources, binaires, de la documentation et d'autres
informations sur le package ipfwadm.
· Une page sur les applications qui marchent avec l'IP Masquerading
de Linux par Lee Nevo fournis
des trucs et astuces pour faire marcher tout ça avec l'IP
Masquerading.
· Le LDP Network Administrator's Guide
est incontournable
pour les débutants essayant d'installer un réseau.
· Trinity OS Doc
, Une
documentation très complete sur l'utilisation de Linux en réseau.
· Le Linux NET-3 HOWTO
(e�en�n
f�fr�ra�an�nç�ça�ai�is�s) contient aussi beaucoup d'informations utiles sur
l'utilisation du réseau sous Linux.
· Le Linux ISP Hookup HOWTO
(e�en�n
f�fr�ra�an�nç�ça�ai�is�s) et le PPP HOWTO
(e�en�n
f�fr�ra�an�nç�ça�ai�is�s) vous donnent des informations pour connecter votre hôte
Linux sur Internet.
· Le Linux Ethernet-Howto
(e�en�n
f�fr�ra�an�nç�ça�ai�is�s) est une bonne source d'informations sur la mise un place
d'un réseau local utilisant Ethernet.
· Vous pouvez également être intéressé par le Linux Firewalling and
Proxy Server HOWTO
(e�en�n
f�fr�ra�an�nç�ça�ai�is�s)
· Le Linux Kernel HOWTO
(e�en�n
f�fr�ra�an�nç�ça�ai�is�s) vous guidera pour pour la recompilation de votre noyau.
· D'autres HOWTOs, en français
, ou en anglais
.
· Poster dans les newsgroups USENET : comp.os.linux.networking, ou,
en français, fr.comp.os.linux.configuration ou
fr.comp.os.linux.moderated
6�6.�.2�2.�. R�Re�es�ss�so�ou�ur�rc�ce�es�s s�su�ur�r l�l'�'I�IP�P M�Ma�as�sq�qu�ue�er�ra�ad�de�e
Le site Linux IP Masquerade Resource est
dédié à l'IP Masquerading, aussi maintenu par David Ranch et moi. Les
dernieres informations y sont toujours disponibles, et il peut y avoir
des choses non disponibles dans ce HOWTO.
Vous trouverez les ressources sur l'IP Masquerading aux endroits
suivants :
· http://ipmasq.cjb.net/, site primaire, redirigé sur
http://www.tor.shaw.wave.ca/~ambrose/
· http://ipmasq2.cjb.net/, site secondaire, redirigé sur
http://www.geocities.com/SiliconValley/Heights/2288/
6�6.�.3�3.�. R�Re�em�me�er�rc�ci�ie�em�me�en�nt�ts�s
· David Ranch, dranch@trinnet.net
page de l'IP Masquerading, ..., trop de choses pour tout mettre ici
:)
· Michael Owings, mikey@swampgas.com
CU-SeeMe et le Linux IP-Masquerade mini How-To
· Gabriel Beitler, gbeitler@aciscorp.com
· Ed Doolittle, dolittle@math.toronto.edu
dans la commande ipfwadm pour une sécurité améliorée
· Matthew Driver, mdriver@cfmeu.asn.au
écriture de la section section 3.3.1 (configuration de Windows 95)
· Ken Eves, ken@eves.com
· Ed. Lott, edlott@neosoft.com
systèmes testés
· Nigel Metheringham, Nigel.Metheringham@theplanet.net
au IP Packet Filtering et IP Masquerading HOWTO, ce qui fait de ce
HOWTO un meilleur document plus technique
· Keith Owens, kaos@ocs.com.au
section 4.2
un trou de sécurité et a clarifié le statut de ping sous IP
Masquerade
· Rob Pelkey, rpelkey@abacus.bates.edu
(configuration de MacTCP et Open Transport)
· Harish Pillay, h.pillay@ieee.org
demande avec diald)
· Mark Purcell, purcell@rmcs.cranfield.ac.uk
IPautofw
· Ueli Rutishauser, rutish@ibm.net
· John B. (Brent) Williams, forerunner@mercury.net
(configuration d'Open Transport)
· Enrique Pessoa Xavier, enrique@labma.ufrj.br
configuration de bootp
· Les développeurs d'IP Masquerade pour cet excellent produit
· Delian Delchev, delian@wfpa.acad.bg
· Nigel Metheringham, Nigel.Metheringham@theplanet.net
· Keith Owens, kaos@ocs.com.au
· Jeanette Pauline Middelink, middelin@polyware.iaf.nl
· David A. Ranch, trinity@value.net
· Miquel van Smoorenburg, miquels@q.cistron.nl
· Jos Vos, jos@xos.nl
· Paul Russell, Paul.Russell@rustcorp.com.au
· Et tous ceux que j'ai pu oublier (faites-le moi savoir !)
· tous les utilisateurs envoyant des suggestions et des critiques à
la mailing list, et plus particulièrement ceux qui m'ont fait part
d'erreurs dans ce document et les clients supportés ou non.
· Je vous demande pardon si je n'ai pas inclus les informations que
certains utilisateurs m'ont envoyées. De nombreuses idées et
suggestions me sont envoyées, mais je n'ai pas le temps de les
vérifier, ou je les égare. J'essaie de faire de mon mieux pour
incorporer toutes les informations qu'on m'envoye pour rédiger ce
HOWTO. Je vous remercie pour votre effort, et j'espère que vous
comprenez ma situation.
6�6.�.4�4.�. R�Ré�éf�fe�er�re�en�nc�ce�e
· IP masquerade FAQ de Ken Eves
· Archive de la mailing list IP Masquerade de Indyramp Consulting
· La page sur Ipfwadm par X/OS
· Divers HOWTOs liés au réseau sous Linux
.