/usr/share/doc/HOWTO/fr-html/Diald-HOWTO.html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<html>
<head>
<meta name="generator" content=
"HTML Tidy for Linux (vers 25 March 2009), see www.w3.org">
<meta name="GENERATOR" content="LinuxDoc-Tools 0.9.71">
<title>Diald Howto</title>
</head>
<body>
<h1>Diald Howto</h1>
<h2>Andr&eacute;s Seco <code><a href=
"mailto:AndresSH@ctv.es">AndresSH@ctv.es</a></code><br>
version fran&ccedil;aise par Xavier Serpaggi</h2>
v1.03, 17 avril 2000
<hr>
<em>Ce document pr&eacute;sente quelques sc&eacute;narios typiques
permettant de commencer sans douleur &agrave; utiliser
<em>Diald</em>. Ces sc&eacute;narios comprennent une connexion
&agrave; un FAI depuis un ordinateur isol&eacute; en employant PPP
au travers d'un modem sans utiliser <code>pon/poff</code> ou
<code>ppp-on/ppp-off</code>, vers un serveur de proxy/firewall,
avec diff&eacute;rentes connexions &agrave; l'Internet utilisant
diff&eacute;rents FAIs.</em>
<hr>
<h2><a name="s1">1. Introduction</a></h2>
<h2><a name="ss1.1">1.1 Objectifs</a></h2>
<p>Ce document pr&eacute;sente quelques sc&eacute;narios typiques
permettant de commencer sans douleur &agrave; utiliser
<em>Diald</em>. Ces sc&eacute;narios comprennent une connexion
&agrave; un FAI depuis un ordinateur isol&eacute; en employant PPP
au travers d'un modem sans utiliser <code>pon/poff</code> ou
<code>ppp-on/ppp-off</code>, vers un serveur de proxy/firewall,
avec diff&eacute;rentes connexions &agrave; l'Internet utilisant
diff&eacute;rents FAIs.</p>
<p>Les sc&eacute;narios suivants seront trait&eacute;s dans ce
document&nbsp;:</p>
<ul>
<li>connecter un ordinateur isol&eacute; &agrave; un FAI en
utilisant un modem et PPP,</li>
<li>connecter un ordinateur &agrave; divers FAI en utilisant un
modem et PPP,</li>
<li>connecter un proxy/firewall &agrave; un FAI en utilisant un
modem et PPP.</li>
</ul>
<p>Dans les versions ult&eacute;rieures de ce document, d'autres
sc&eacute;narios seront ajout&eacute;s, comme la possibilit&eacute;
d'avoir plusieurs instances de <em>Diald</em>, l'utilisation des
lignes ISDN (RNIS en France) ainsi que des lignes utilis&eacute;es
pour &eacute;mettre et recevoir des appels.</p>
<p>Avant ce HOWTO, il existait un Diald-mini-Howto, &eacute;crit
par Harish Pillay <code><a href=
"mailto:h.pillay@ieee.org">h.pillay@ieee.org</a></code> et qui
pr&eacute;sentait un exemple de connexion &agrave; un FAI en
utilisant un sch&eacute;ma d'authentification bas&eacute; sur chat
(login et et mot&nbsp;de&nbsp;passe avant le lancement de pppd,
sans avoir recours &agrave; PAP ou &agrave; CHAP).</p>
<p>Des exemples de fichiers de configuration seront inclus dans ce
document pour &ecirc;tre utilis&eacute;s comme point de
d&eacute;part &agrave; la mise en route de <em>Diald</em>. Pour
obtenir des performances optimales et conna&icirc;tre tous les
attributs des programmes il est n&eacute;cessaire que vous lisiez
toute la documentation de ceux-ci et que vous reconfiguriez les
fichiers d'exemples donn&eacute;s ici.</p>
<p>Enfin, selon la distribution de Linux que vous utilisez, les
fichiers de configuration peuvent se trouver dans diff&eacute;rents
r&eacute;pertoires. Si vous trouvez un des fichiers
pr&eacute;sent&eacute;s ici dans un autre r&eacute;pertoire que
celui sp&eacute;cifi&eacute;, je vous demande de me le faire
savoir.</p>
<h2><a name="ss1.2">1.2 Nouvelles versions</a></h2>
<p>La version la plus r&eacute;cente de ce document peut &ecirc;tre
trouv&eacute;e sur ma page web <code><a href=
"http://www.ctv.es/USERS/andressh/linux">http://www.ctv.es/USERS/andressh/linux</a></code>
aux formats SGML et HTML. D'autres versions et d'autres formats
sont &eacute;galement disponibles en espagnol sur le site internet
d'Insflug <code><a href=
"http://www.insflug.org/documentos/Diald-Como/">http://www.insflug.org/documentos/Diald-Como/</a></code>.
Enfin, ce document peut &eacute;galement &ecirc;tre trouv&eacute;
dans d'autres langues au LDP --&nbsp;Linux Documentation Project,
<code><a href=
"http://www.linuxdoc.org">http://www.linuxdoc.org</a></code>.</p>
<h2><a name="ss1.3">1.3 Remerciements</a></h2>
<p>Je veux remercier les personnes qui m'ont aid&eacute; &agrave;
mettre en place et &agrave; faire tourner mon premier
<em>Diald</em> gr&acirc;ce &agrave; leurs fichiers d'exemple (une
personne dont j'ai oubli&eacute; le nom, Mr Cornish Rex, Hoo Kok
Mun et John Dalbec), les personnes qui m'ont envoy&eacute; des
corrections et des suggestions relatives &agrave; ce document (Tim
Coleman, Jacob Joseph, Paul Schmidt et Jordi Mallach), les futurs
traducteurs et bien s&ucirc;r, toutes les personnes qui ont
d&eacute;velopp&eacute; et d&eacute;veloppent <em>Diald</em> pour
nous.</p>
<h2><a name="s2">2. Conditions de distribution et mise en
garde</a></h2>
<p>Ce document est <code>Copyright &copy; 2000 Andres Seco</code>
et est libre. Vous pouvez le distribuer sous les termes de la
<b>Licence Publique G&eacute;n&eacute;rale GNU</b> que vous pouvez
consulter &agrave; l'adresse <a href=
"http://www.gnu.org/copyleft/gpl.html">http://www.gnu.org/copyleft/gpl.html</a>.
Vous pouvez trouver des versions traduites non officielles quelque
part sur l'Internet (En fran&ccedil;ais elles peuvent se trouver
&agrave; l'adresse <a href=
"http://www.linux-france.org/article/these/gpl.html">http://www.linux-france.org/article/these/gpl.html</a>).</p>
<p>Nous avons mis dans les informations et autres contenus de ce
document le meilleur de notre savoir. Cependant nous pouvons avoir
fait des erreurs. C'est donc &agrave; vous de d&eacute;terminer si
vous voulez suivre les instructions donn&eacute;es dans ce
document.</p>
<p>Personne ne pourra &ecirc;tre tenu pour responsable des
&eacute;ventuels dommages survenus &agrave; votre ordinateur ou
d'autres pertes, suites &agrave; l'utilisation des informations
contenues dans ce document.</p>
<p>L'AUTEUR ET LES PERSONNES QUI TIENNENT CE DOCUMENT &Agrave; JOUR
NE SONT RESPONSABLES D'AUCUN DOMMAGE SURVENU SUITE AUX ACTIONS
EFFECTU&Eacute;ES EN SE BASANT SUR LES INFORMATIONS CONTENUES DANS
CE DOCUMENT.</p>
<p>Bien s&ucirc;r, je suis ouvert &agrave; tout type de suggestions
et &agrave; toutes corrections concernant le contenu de ce
document.</p>
<h2><a name="s3">3. Description rapide du fonctionnement de
Diald</a></h2>
<p>En quelques mots, <em>Diald</em> cr&eacute;e une nouvelle
interface r&eacute;seau et la d&eacute;finit comme &eacute;tant la
passerelle par d&eacute;faut. Cette interface n'est pas
r&eacute;elle (dans la documentation originale elle est
appel&eacute;e <code>proxy interface</code>). <em>Diald</em>
surveille cette interface et quand un paquet arrive, cr&eacute;e
une connexion <code>ppp</code>, attend qu'elle soit &eacute;tablie
et d&eacute;finit cette nouvelle interface <code>ppp</code> (en
g&eacute;n&eacute;ral <code>ppp0</code>) comme &eacute;tant la
passerelle par d&eacute;fault.</p>
<p><em>Diald</em> surveille l'interface pour savoir quels paquets
ont-&eacute;t&eacute; re&ccedil;us par l'interface ainsi que leur
type. Cela lui permettra de d&eacute;cider s'ils seront
destin&eacute;s &agrave; &eacute;tablir la connexion
<code>ppp</code>, &agrave; maintenir le lien, &agrave; le fermer ou
&agrave; ne rien faire, et cela lui permettra &eacute;galement de
savoir combien de temps le lien devra &ecirc;tre maintenu
apr&egrave;s la transmission du paquet.</p>
<p>En d&eacute;finitive, s'il n'y a plus de trafic et que la
dur&eacute;e de vie du dernier paquet est &eacute;coul&eacute;e,
<em>Diald</em> fermera le lien.</p>
<p>Vous pouvez contr&ocirc;ler les jours et les heures auxquelles
le lien peut ou ne peut pas &ecirc;tre &eacute;tabli, et de ce fait
vous pouvez n'&eacute;tablir le lien qu'aux moments o&ugrave; les
prix sont bas ou le trafic faible.</p>
<p>Ce qui pr&eacute;c&egrave;de n'est valide que pour les versions
de <em>Diald</em> sup&eacute;rieures &agrave; la 0.16.5 (la
derni&egrave;re version, au moment o&ugrave; ce document est
&eacute;crit, est la 0.99.3), mais les derni&egrave;res versions
incluent des attributs suppl&eacute;mentaires comme une liste
d'utilisateurs autoris&eacute;s, un d&eacute;compte du temps
avanc&eacute;, un meilleur support des lignes ISDN, de meilleures
performances gr&acirc;ce &agrave; l'utilisation (&agrave; la place
de <code>slip</code>) du device <code>ethertap</code> comme proxy
(cela se comporte comme une interface r&eacute;seau qui
lit/&eacute;crit au travers d'une <i>socket</i> en lieu et place
d'un vrai p&eacute;riph&eacute;rique r&eacute;seau), la sauvegarde
des connexions et d'autres fonctions.</p>
<h2><a name="s4">4. Note sur l'authentification</a></h2>
<p>Quand vous vous connectez &agrave; un Fournisseur d'Acc&egrave;s
Internet, vous devez en g&eacute;n&eacute;ral donner votre nom
d'utilisateur et votre mot de passe. Cela peut &ecirc;tre fait en
utilisant plusieurs m&eacute;thodes&nbsp;; la m&eacute;thode que
vous utilisez en pratique est d&eacute;termin&eacute;e par votre
fournisseur.</p>
<p>En plus des trois possibilit&eacute;s expos&eacute;es, vous
pouvez utiliser un lien sans authentification (en
g&eacute;n&eacute;ral quand vous contr&ocirc;lez &eacute;galement
l'autre bout de la ligne).</p>
<h2><a name="ss4.1">4.1 Nom d'utilisateur et mot de passe
--&nbsp;invites Login et password</a></h2>
<p>En v&eacute;rit&eacute; il n'y a pas de m&eacute;thode canonique
pour l'authentification aupr&egrave;s d'un FAI lors de
l'acc&egrave;s &agrave; l'Internet.</p>
<p>L'identification est faite avant le lancement de
<code>pppd</code>, et c'est le logiciel qui num&eacute;rote, en
g&eacute;n&eacute;ral <code>chat</code>, qui envoie le nom
d'utilisateur et le mot de passe. Ces donn&eacute;es sont
envoy&eacute;es sous forme de texte brut, donc cette m&eacute;thode
ne doit pas &ecirc;tre consid&eacute;r&eacute;e comme
s&ucirc;re.</p>
<p>Un script d'exemple pour <code>chat</code>, dans lequel vous
pouvez voir comment faire passer un nom d'utilisateur et un mot de
passe avant de lancer <code>pppd</code>, ressemblera &agrave;
quelque chose comme ceci&nbsp;:</p>
<blockquote>
<pre>
<code>ABORT BUSY
ABORT "NO CARRIER"
ABORT VOICE
ABORT "NO DIALTONE" 
ABORT "NO ANSWER"
"" ATZ
OK ATDT_Num&eacute;ro_De_T&eacute;l&eacute;phone_
CONNECT \d\c
ogin _Nom_d_Utilisateur_
assword _Mot_De_Passe_
</code>
</pre></blockquote>
<p>Les deux derni&egrave;res lignes d&eacute;finissent le nom
d'utilisateur et le mot de passe et quand les envoyer (apr&egrave;s
avoir re&ccedil;u respectivement &laquo;&nbsp;ogin&nbsp;&raquo; et
&laquo;&nbsp;assword&nbsp;&raquo;). Le script chat n'a besoin de
voir qu'une partie des mots &laquo;&nbsp;login&nbsp;&raquo; et
&laquo;&nbsp;password&nbsp;&raquo; ce qui permet de ne pas tester
la premi&egrave;re lettre de chaque mot, et donc de s'affranchir
des probl&egrave;mes de majuscule/minuscule.</p>
<p>Supposons que ce script se nomme <code>provider</code>, et qu'il
soit enregistr&eacute; dans le r&eacute;pertoire
<code>/etc/chatscript/</code>. Alors, vous pouvez le lancer
avec&nbsp;:</p>
<blockquote>
<pre>
<code>/usr/sbin/chat -v -f /etc/chatscripts/provider
</code>
</pre></blockquote>
<h2><a name="ss4.2">4.2 PAP --&nbsp;Password Authentification
Protocol&nbsp;: Protocole d'Authentification du mot de
Passe</a></h2>
<p>Si le fournisseur dont vous utilisez les services demande le
protocole d'authentification PAP, pendant la n&eacute;gociation LCP
de PPP, ce dernier devra l'utiliser. Quand, apr&egrave;s
l'utilisation de <code>chat</code>, la connexion est
&eacute;tablie, <code>pppd</code> est lanc&eacute;. Dans ce
sc&eacute;nario, pppd va envoyer le nom d'utilisateur et le mot de
passe qu'il cherchera dans le fichier
<code>/etc/ppp/pap-secrets</code>. Ce fichier doit avoir les droits
de lecture et d'&eacute;criture pour <code>root</code> uniquement.
De ce fait, personne ne peut lire les mots de passe qu'il
contient.</p>
<p>PAP n'est pas tr&egrave;s s&ucirc;r vu que le mot de passe est
envoy&eacute; sous forme de simple texte et donc peut &ecirc;tre lu
par quelqu'un qui surveille votre ligne de transmission.</p>
<p>Voici un exemple simple de fichier
<code>/etc/ppp/pap-secrets</code>&nbsp;:</p>
<blockquote>
<pre>
<code>_Nom_d_Utilisateur * _Mot_De_Passe_
</code>
</pre></blockquote>
<h2><a name="ss4.3">4.3 CHAP --&nbsp;Challenge Authentication
Protocol&nbsp;: Protocole d'Authentification Cod&eacute;</a></h2>
<p>Si le fournisseur dont vous utilisez les services demande le
protocole d'authentification CHAP, pendant la n&eacute;gociation
LCP de PPP, ce dernier devra l'utiliser. Quand, apr&egrave;s
l'utilisation de <code>chat</code>, la connexion est
&eacute;tablie, <code>pppd</code> est lanc&eacute;. Dans ce
sc&eacute;nario, pppd va envoyer le nom d'utilisateur et le mot de
passe qu'il cherchera dans le fichier
<code>/etc/ppp/pap-secrets</code>. Ce fichier doit avoir les droits
de lecture et d'&eacute;criture pour <code>root</code> uniquement.
De ce fait, personne ne peut lire les mots de passe qu'il
contient.</p>
<p>CHAP est plus s&ucirc;r que PAP puisque le mot de passe n'est
jamais envoy&eacute; en clair sur la ligne. Le serveur
d'authentification envoie un identifiant au hasard (le
<i>challenge</i>) que le client va crypter avec son mot de passe
avant de le renvoyer &agrave; ce premier.</p>
<p>Voici un exemple simple de fichier
<code>/etc/ppp/chap-secrets</code>&nbsp;:</p>
<blockquote>
<pre>
<code>_Nom_d_Utilisateur * _Mot_De_Passe_
</code>
</pre></blockquote>
<p>Parfois un m&ecirc;me FAI varie l'utilisation de ces protocoles,
il n'est donc pas rare de d&eacute;finir le nom d'utilisateur et le
mot de passe dans les deux fichiers.</p>
<h2><a name="s5">5. Notes concernant la r&eacute;solution de
noms</a></h2>
<p>Chaque fois que vous vous connectez &agrave; un FAI il est
n&eacute;cessaire qu'un DNS (service de noms) soit
configur&eacute;, comme cela votre ordinateur peut trouver les
adresses IP associ&eacute;es &agrave; un nom de machine.</p>
<p>Les adresses IP de votre serveur DNS sont plac&eacute;es dans le
fichier <code>/etc/resolv.conf</code>.</p>
<p>Dans le cas d'un ordinateur isol&eacute; se connectant &agrave;
l'internet, ce fichier contient g&eacute;n&eacute;ralement les
adresses IP du serveur DNS de votre FAI.</p>
<blockquote>
<pre>
<code>#fichier /etc/resolv.conf pour les noms du FAI
nameserver 111.222.333.444
nameserver 222.333.444.555
</code>
</pre></blockquote>
<p>Dans le cas d'un ordinateur qui est un proxy/firewall, ce
fichier contient g&eacute;n&eacute;ralement la propre adresse IP de
cette machine (ou l'adresse loopback --&nbsp;<i>de
bouclage</i>&nbsp;: 127.0.0.1). Cet ordinateur doit faire tourner
un serveur DNS qui transforme les noms de domaine en adresses IP en
questionnant un DNS externe.</p>
<blockquote>
<pre>
<code>#fichier /etc/resolv.conf pour une r&eacute;solution locale des noms
nameserver 127.0.0.1
</code>
</pre></blockquote>
<p>L'installation d'un serveur DNS n'est pas le sujet de ce
document, mais une approche rapide et pertinente peut &ecirc;tre
trouv&eacute;e dans le DNS-Howto&nbsp;:<code><a href=
"http://www.freenix.org/unix/linux/HOWTO/DNS-HOWTO.html">http://www.freenix.org/unix/linux/HOWTO/DNS-HOWTO.html</a></code>.</p>
<h2><a name="s6">6. Connecter un ordinateur isol&eacute; &agrave;
un FAI en utilisant un modem et PPP</a></h2>
<p>Au moment de configurer <em>Diald</em> pour connecter votre
ordinateur &agrave; votre FAI, il est n&eacute;cessaire de faire ce
qui suit&nbsp;:</p>
<ul>
<li>Installer le paquetage <em>Diald</em>. Le plus rapide
&eacute;tant d'installer le paquetage qui est contenu dans votre
distribution de Linux.</li>
<li>Configurer le DNS (&agrave; l'aide du fichier
<code>/etc/resolv.conf</code>).</li>
<li>V&eacute;rifier que vous pouvez appeler un FAI. Si votre
distribution Linux a d&eacute;j&agrave; un utilitaire pour
configurer une connexion, le plus simple est de l'utiliser
(pppconfig est l'utilitaire de Debian, kppp celui de
KDE,&nbsp;etc.). Si vous avez des probl&egrave;mes pour vous
connecter &agrave; un FAI, les &laquo;&nbsp;Howto&nbsp;&raquo;
suivants peuvent vous aider&nbsp;:
<ul>
<li>le PPP-Howto&nbsp;: <code><a href=
"http://www.freenix.org/unix/linux/HOWTO/PPP-HOWTO.html">http://www.freenix.org/unix/linux/HOWTO/PPP-HOWTO.html</a></code>,</li>
<li>le Modems-Howto&nbsp;: <code><a href=
"http://www.freenix.org/unix/linux/HOWTO/Modems-HOWTO.html">http://www.freenix.org/unix/linux/HOWTO/Modems-HOWTO.html</a></code>
et</li>
<li>le Serial-Howto&nbsp;: <code><a href=
"http://www.freenix.org/unix/linux/HOWTO/Serial-HOWTO.html">http://www.freenix.org/unix/linux/HOWTO/Serial-HOWTO.html</a></code>.</li>
</ul>
</li>
<li>Configurer les fichiers <code>/etc/ppp/pap-secrets</code> et
<code>/etc/ppp/chap-secrets</code> en y mettant votre nom
d'utilisateur et votre mot de passe comme d&eacute;crit plus
haut.</li>
</ul>
<p>Et enfin, pour <em>Diald</em> il faut&nbsp;:</p>
<ul>
<li>Pr&eacute;parer le fichier de configuration de <em>Diald</em>
(<code>/etc/diald/diald.options</code> pour la version 0.16.5, et
<code>/etc/diald/diald.conf</code> pour les versions plus
r&eacute;centes).</li>
<li>Pr&eacute;parer le fichier de filtres
<code>/etc/diald/standard.filter</code>, ou mieux, laisser ce
fichier tel quel, et en modifier une copie que vous pouvez appeler
<code>/etc/diald/personal.filter</code>.</li>
<li>Pr&eacute;parer le script qui va se charger de l'appel
(<code>/etc/diald/diald.connect</code> qui doit avoir les droits
d'ex&eacute;cution de root) et le fichier d'instruction de
<code>chat</code> (<code>/etc/chatscripts/provider</code>) qui sera
utilis&eacute; par le pr&eacute;c&eacute;dent.</li>
<li>Pr&eacute;parer les scripts qui vont &ecirc;tre lanc&eacute;s
aux moments o&ugrave; le lien sera &eacute;tabli et supprim&eacute;
(<code>/etc/diald/ip-up</code> et <code>/etc/diald/ip-down</code>)
si vous voulez utiliser cette possibilit&eacute;. Les deux scripts
doivent avoir les droits d'ex&eacute;cution de root.</li>
<li>Pr&eacute;parer, si vous le d&eacute;sirez, les scripts pour
&eacute;tablir et supprimer les routes
(<code>/etc/diald/addroute</code> et
<code>/etc/diald/delroute</code>). Tous les deux doivent avoir les
droits d'ex&eacute;cution de root. Cette &eacute;tape n'est pas
n&eacute;cessaire si vous n'utilisez qu'une seule instance de
<em>Diald</em>.</li>
<li>Finalement, lancer le d&eacute;mon <code>diald</code>
(&laquo;&nbsp;<code>/etc/init.d/diald&nbsp;start</code>&nbsp;&raquo;
pour une Debian et
&laquo;&nbsp;<code>/etc/rc.d/init.d/diald&nbsp;start</code>&nbsp;&raquo;
pour une RedHat). Normalement, les scripts pour lancer
<em>Diald</em> au moment du d&eacute;marrage de l'ordinateur sont
mis en place au moment de l'installation du paquetage dans les
r&eacute;pertoires <code>/etc/rcX.d</code>.</li>
</ul>
<p>Si vous faites quelque changement que ce soit aux fichiers de
configuration de <em>Diald</em> pendant que ce dernier est en train
de tourner, vous devez le red&eacute;marrer
(&laquo;&nbsp;<code>/etc/init.d/diald&nbsp;restart</code>&nbsp;&raquo;
pour une Debian et
&laquo;&nbsp;<code>/etc/rc.d/init.d/diald&nbsp;restart</code>&nbsp;&raquo;
pour une RedHat).</p>
<h2><a name="ss6.1">6.1 Fichiers /etc/diald/diald.options ou
diald.conf</a></h2>
<p>Dans ce fichier d'exemple vous devez v&eacute;rifier&nbsp;:</p>
<ul>
<li>le port de communication sur lequel votre modem est
connect&eacute;. Option <code>device</code>&nbsp;;</li>
<li>la vitesse &agrave; laquelle votre port va communiquer avec
votre modem. Option <code>speed</code>&nbsp;;</li>
<li>le nom d'utilisateur pour ppp. Option
<code>pppd-options</code>&nbsp;;</li>
<li>le nombre d'essais de reconnexion apr&egrave;s &eacute;chec et
le temps entre ces essais&nbsp;;</li>
<li>les heures de connexion autoris&eacute;es&nbsp;: option
<code>restrict</code>&nbsp;;</li>
<li>si vous d&eacute;sirez utiliser les scripts <code>ip-up</code>
et <code>ip-down</code>. Options <code>ip-up</code> et
<code>ip-down</code>&nbsp;;</li>
<li>si vous d&eacute;sirez utiliser les scripts
<code>addroute</code> et <code>delroute</code>&nbsp;: options
<code>addroute</code> et <code>delroute</code>. En
g&eacute;n&eacute;ral il n'est pas n&eacute;cessaire de modifier
ces scripts mais si vous utilisez plus d'une instance de
<em>Diald</em> ou si vous avez une configuration complexe, vous
devrez le faire&nbsp;;</li>
<li>si vous utilisez le fichier de filtre standard ou
personnalis&eacute;&nbsp;: option <code>include</code>.</li>
</ul>
<blockquote>
<pre>
<code>##########################
# /etc/diald/diald.options

# Device auquel votre modem est connect&eacute;
device /dev/ttyS0

# Fichier de log
accounting-log /var/log/diald.log

# Surveillance de la queue
#fifo /var/run/diald/diald.fifo

# Activation du deboguage
# Activer le deboguage r&eacute;duit les performances
#debug 31

# Nous utilisons PPP comme encapsulateur
mode ppp

# L'adresse IP locale (cette adresse sera automatiquement remplac&eacute;e par celle
# que vous donne votre FAI au moment o&ugrave; vous vous connectez si vous utilisez
# l'option dynamic).
local 127.0.0.5

# L'adresse IP distante (au moment de la connexion cette adresse est remplac&eacute;e
# automatiquement par l'adresse IP du serveur distant qui re&ccedil;oit notre appel).
remote 127.0.0.4

# Masque de sous-r&eacute;seau pour le lien vers le WAN
# (Wide Area Network -- r&eacute;seau non local).
netmask 255.255.255.0

# L'adresse IP sera allou&eacute;e dynamiquement au d&eacute;but de la connexion.
dynamic 

# Si le lien est bris&eacute; par une action distante, ne le relancer que s'il reste
# des paquets &agrave; envoyer.
two-way

# Si le lien existe, router directement vers la vraie interface ppp et non pas
# vers le proxy. Si vous ne faites pas cela, vous aurez une perte de performances
# d'&agrave; peu pr&eacute;s 20%. Certains noyaux anciens ne suportent pas reroute.
# Reportez-vous au manuel de diald pour plus d'informations.
reroute

# Diald s'occupera d'&eacute;tablir la route par d&eacute;faut.
defaultroute

# Scripts pour &eacute;tablir les routes personnalis&eacute;es.
#addroute "/etc/diald/addroute"
#delroute "/etc/diald/delroute"

# Scripts &agrave; ex&eacute;cuter une fois que le lien est &eacute;tabli et pr&ecirc;t, ou une fois que le
# lien est d&eacute;truit et ferm&eacute;. Dans les versions 0.9x de Diald, il existe l'option
# ip-goingdown qui peut &ecirc;tre utilis&eacute;e au moment o&ugrave; le lien va &ecirc;tre d&eacute;truit mais
# qu'il est encore actif.
ip-up /etc/diald/ip-up
#ip-down /etc/diald/ip-down

# Scripts utilis&eacute;s pour connecter ou d&eacute;connecter l'interface.
connect "/etc/diald/diald.connect"
#disconnect "/etc/diald/diald.disconnect"

# Utiliser un verrou UUCP pour signaler que le p&eacute;riph&eacute;rique est en cours
# d'utilisation.
#lock

# Nous nous connectons &agrave; l'aide d'un modem. ATTENTION : ne mettez pas cette
# option dans le fichier d'options de ppp sinon il y aura conflit avec les
# options de diald. Pour conna&icirc;tre les options ppp que vous ne pouvez pas
# utiliser dans le fichier pppd-options, reportez-vous &agrave; la page de manuel de
# diald et recherchez pppd-options.
modem
crtscts
speed 115200

# Quelques options sur les compteurs et le nombre d'essais.
# Reportez-vous &agrave; la page de manuel de Diald pour plus d'informations.
connect-timeout 120
redial-timeout 60
start-pppd-timeout 120
died-retry-count 0
redial-backoff-start 4
redial-backoff-limit 300
dial-fail-limit 10

# Options qui seront pass&eacute;es &agrave; pppd.
# Ces options peuvent &ecirc;tre incluses dans le fichier /etc/ppp/options. Elles
# seront consid&eacute;r&eacute;es comme options par d&eacute;faut de pppd, mais si vous avez
# d'autres besoins de configurations pour Diald, dans le cas o&ugrave; vous avez
# plusieurs instances, vous devez p&eacute;ciser ici
# noauth - ne pas demander d'authentification au serveur distant.
#          "Infov&iacute;a Plus" (en Espagne) n'identifie pas votre machine.
# user   - votre nom d'utilisateur et de fai. Demandez &agrave; votre FAI la syntaxe
#          exacte vu que certains n'ont pas besoin du @fai.
pppd-options noauth user utilisateur@fai

# Restrictions horaires.
# Cette section doit appara&icirc;tre avant les filtres.
# La commande restrict est exp&eacute;rimentale et peut changer dans les versions
# futures de diald. Repotez-vous &agrave; la page de manuel. (Cet exemple a &eacute;t&eacute; test&eacute;
# pour la version 0.16 mais je pense qu'il fonctionne sur les versions plus
# r&eacute;centes.)
# Exemple : utilisation uniquement la nuit entre lundi et vendredi et toute la
# journ&eacute;e les samedi et dimanche.
restrict 8:00:00 18:00:00 1-5 * *
down
restrict * * * * *

# Pas de consid&eacute;rations sp&eacute;ciales sur la tarification (le nombre de secondes
# au d&eacute;part comprises dans le co&ucirc;t, l'unit&eacute; de tarification en secondes, temps
# en secondes pour tester s'il faut d&eacute;truire le lien)
impulse 160,0,0
# Si c'est tarif&eacute; &agrave; la minute et que les 10 premi&egrave;res seront toujours compt&eacute;es :
#impulse 600,60,10

# Filtres standards
#include /etc/diald/standard.filter
# Ou filtres personnels
include /etc/diald/personal.filter
</code>
</pre></blockquote>
<h2><a name="ss6.2">6.2 Fichier de filtres personnels</a></h2>
<p>Vous devez modifier ce fichier avec beaucoup de
pr&eacute;cautions. Il est utilis&eacute; pour d&eacute;cider quand
et pourquoi il faut &eacute;tablir la connexion, la maintenir, la
d&eacute;truire ou ignorer les paquets en fonction du type de
trafic.</p>
<p>En g&eacute;n&eacute;ral le fichier de filtres standard de
<em>Diald</em> convient pour la plupart des cas mais il peut
s'av&eacute;rer trop ou au contraire pas assez restrictif dans
certaines situations. Le fichier <code>personal.filter</code> que
nous pr&eacute;sentons a subi quelques corrections par rapport
&agrave; l'original de la version 0.16.</p>
<p>Dans les versions futures de ce document, d'autres exemples
comment&eacute;s plus restrictifs seront inclus.</p>
<blockquote>
<pre>
<code># /etc/diald/personal.filter
# Les r&eacute;gles de filtrage pr&eacute;sent&eacute;es ici sont les m&ecirc;mes que dans le fichier
# standard.filter avec les changements suivants :
#
# Changement de 10 &agrave; 4 minutes dans le cas de "n'importe quelle autre connexion
# tcp".
# Ajout de "ignore tcp tcp.fin" pour ignorer les paquets FIN ACK.
# Ignorer les paquets icmp (ping et traceroute n'activent pas l'interface).
#


# Voici un ensemble de r&egrave;gles de filtrages assez compliqu&eacute;es
# (Ce sont celles que j'utilise.)
#
# J'ai d&eacute;compos&eacute; les r&egrave;gles en quatre sections :
# Les trames TCP, les trames UDP, les trames ICMP et enfin une r&egrave;gle
# g&eacute;n&eacute;rale pour tout le reste.

ignore icmp any

#------------------------------------------------------------------------------
# R&egrave;gles pour les trames TCP.
#------------------------------------------------------------------------------
# Commentaires g&eacute;n&eacute;raux sur cet ensemble de r&egrave;gles :
#
# En g&eacute;n&eacute;ral nous souhaitons ne traiter que les donn&eacute;es d'une liaison TCP 
# ayant un sens pour le temps de d&eacute;connexion. Cependant, nous essayons
# d'ignorer les trames sans donn&eacute;es.
# Puisque la taille minimale d'un en-t&ecirc;te dans une trame TCP est de 40 octets,
# toutes les trames d'une longueur de 40 ne devraient pas contenir de donn&eacute;es.
# De cette mani&egrave;re il est possible de manquer des trames vides (des informations
# optionnelles de routage et d'autres choses suppl&eacute;mentaires peuvent &ecirc;tre
# pr&eacute;sentes dans un en-t&ecirc;te IP), mais nous devrions en capter la majorit&eacute;.
# Remarquez que nous ne voulons pas rejeter les trames avec un champ tcp.live 
# vide puisque nous les utiliserons plus tard pour acc&eacute;l&eacute;rer la d&eacute;connexion de
# certaines liaisons TCP.
#
# Nous voulons &eacute;galement nous assurer que les trames WWW restent en vie m&ecirc;me
# si la socket TCP est arr&ecirc;t&eacute;e. Nous faisons cela parce que WWW ne garde pas la
# connexion une fois que les donn&eacute;es ont &eacute;t&eacute; transf&eacute;r&eacute;es, et il serait
# g&ecirc;nant d'avoir une liaison qui se cr&eacute;e et se coupe &agrave; chaque document.
#
# En dehors de WWW, l'utilisation la plus courante de TCP concerne les
# connexions de longue dur&eacute;e dont la coupure signifie que vous n'allez plus
# avoir besoin du r&eacute;seau.
# Nous ne voulons pas n&eacute;cessairement avoir &agrave; attendre 10 minutes que la
# connexion se termine alors que nous n'avons ni telnet ni rlogin en cours, donc
# nous voulons acc&eacute;l&eacute;rer le d&eacute;lai de d&eacute;connexion sur les liaisons TCP qui sont
# termin&eacute;es. Cela est r&eacute;alis&eacute; en mettant dans un cache les trames qui n'ont pas l'indicateur
# live positionn&eacute;.

# --- d&eacute;but proprement dit de l'ensemble de r&egrave;gles ---

# Quand on d&eacute;bute une connexion on ne donne tout d'abord au lien que 15 
# secondes. L'id&eacute;e ici est de pouvoir &eacute;ventuellement se rendre compte que le 
# r&eacute;seau de l'autre c&ocirc;t&eacute; de la connexion n'est pas accessible. Dans ce cas
# il n'est pas n&eacute;cessaire de donner un temps de vie de 10 minutes au lien.
# Avec la r&egrave;gle ci-dessous nous ne lui donnons initialement que 15 secondes.
# Si le r&eacute;seau est accessible, nous devrions normalement recevoir une
# r&eacute;ponse contenant des donn&eacute;es dans les 15 secondes. Si cela pose un probl&egrave;me
# parce que vous avez des r&eacute;ponses lentes de certains sites que vous
# visitez r&eacute;guli&egrave;rement, vous pouvez augmenter le temps avant d&eacute;connexion ou
# bien supprimer cette r&egrave;gle.
accept tcp 15 tcp.syn

# Emp&ecirc;cher named de garder la connexion active.
ignore tcp tcp.dest=tcp.domain
ignore tcp tcp.source=tcp.domain

# (Argh ! Le telnet de SCO commence par envoyer des SNY vides et n'initie la 
# connexion que s'il obtient une r&eacute;ponse. Pfuuutt...
accept tcp 5 ip.tot_len=40,tcp.syn

# Emp&ecirc;cher les trames vides (autres que les trames
# vides SNY) de maintenir le lien actif.
ignore tcp ip.tot_len=40,tcp.live

# Modifications d'Andres Seco pour ignorer les paquets FIN ACK.
ignore tcp tcp.fin

# On s'assure que le transfert http maintient la ligne active pendant 2
# minutes, m&ecirc;me apr&egrave;s que c'est termin&eacute;.
# REMARQUE : votre fichier /etc/services ne devrait pas d&eacute;finir le service tcp
# www, auquel cas vous devez commenter les deux lignes suivantes et vous 
# procurer un fichier /etc/services plus r&eacute;cent. Lisez la FAQ pour savoir
# comment obtenir un nouveau fichier /etc/services.
accept tcp 120 tcp.dest=tcp.www
accept tcp 120 tcp.source=tcp.www
# Idem pour https
accept tcp 120 tcp.dest=tcp.443
accept tcp 120 tcp.source=tcp.443

# Une fois que le lien n'est plus actif, nous tentons de stopper la connexion
# rapidement. Remarquez que si le lien est d&eacute;j&agrave; arr&ecirc;t&eacute;, un changement d'&eacute;tat
# ne le ram&egrave;nera pas &agrave; l'&eacute;tat actif.
keepup tcp 5 !tcp.live
ignore tcp !tcp.live

# une donn&eacute;e ftp ou une connexion ftp peut &ecirc;tre attendue pour rendre compte
# du trafic relativement fr&eacute;quent.
accept tcp 120 tcp.dest=tcp.ftp
accept tcp 120 tcp.source=tcp.ftp

# REMARQUE : les donn&eacute;es ftp ne sont pas d&eacute;finies dans le fichier /etc/services
# distribu&eacute; dans les derni&egrave;res versions de NETKIT, donc j'ai comment&eacute; ce
# passage.
# Si vous d&eacute;sirez le d&eacute;finir, ajoutez la ligne suivante &agrave; votre fichier
# /etc/services : 
# ftp-data        20/tcp
# et d&eacute;commentez les deux r&egrave;gles suivantes :
#accept tcp 120 tcp.dest=tcp.ftp-data
#accept tcp 120 tcp.source=tcp.ftp-data

# Si nous n'avons pas r&eacute;ussi &agrave; l'avoir avec les r&egrave;gles ci-dessus, donnons au 
# lien 10 minutes de plus.
#accept tcp 600 any
# Modification d'Andres Seco. Ne lui donnons que 4 minutes de plus.
accept tcp 240 any

# R&egrave;gles pour les trames UDP.
#
# Nous donnons d&egrave;s &agrave; pr&eacute;sent un temps limite aux requ&ecirc;tes de domaine puisque
# nous voulons seulement qu'elles &eacute;tablissent le lien, pas qu'elles le maintiennent
# pour un long moment.
# Cela parce que le r&eacute;seau sera g&eacute;n&eacute;ralement &eacute;tabli par un appel de la
# biblioth&egrave;que de r&eacute;solution de nom (&agrave; moins que vous n'ayez mis toutes les
# adresses que vous utilisez fr&eacute;quemment dans /etc/hosts, auquel cas vous
# d&eacute;couvrirez d'autres probl&egrave;mes.)
# Remarquez que vous ne devez pas donner une valeur de temps limite de
# d&eacute;connexion plus courte que le temps suppos&eacute; que va mettre votre DNS pour
# r&eacute;pondre. Sinon, quand le lien original s'&eacute;tablit, il risque d'y avoir
# une attente sup&eacute;rieure &agrave; celle qu'il y a entre les s&eacute;ries de trames initiales
# avant qu'une trame destin&eacute;e &agrave; maintenir le lien passe par ce dernier.

# Ne pas activer le lien pour rwho.
ignore udp udp.dest=udp.who
ignore udp udp.source=udp.who
# Ne pas activer le lien pour RIP.
ignore udp udp.dest=udp.route
ignore udp udp.source=udp.route
# Ne pas activer le lien pour NTP ou pour timed.
ignore udp udp.dest=udp.ntp
ignore udp udp.source=udp.ntp
ignore udp udp.dest=udp.timed
ignore udp udp.source=udp.timed
# Ne pas activer les requ&ecirc;tes de nom de domaine entre deux ex&eacute;cutions de named.
ignore udp udp.dest=udp.domain,udp.source=udp.domain
# Activer le r&eacute;seau pour les requ&ecirc;tes de domaine qui ne viennent pas de
# named.
accept udp 30 udp.dest=udp.domain
accept udp 30 udp.source=udp.domain
# Faire la m&ecirc;me chose pour les diffusions de netbios-ns.
# REMARQUE : votre fichier /etc/services peut ne pas d&eacute;finir le service 
# netbios-ns, auquel cas vous devez commenter les trois lignes suivantes.
ignore udp udp.source=udp.netbios-ns,udp.dest=udp.netbios-ns
accept udp 30 udp.dest=udp.netbios-ns
accept udp 30 udp.source=udp.netbios-ns
# emp&eacute;cher les transferts de routed et gated de maintenir le lien actif
ignore udp tcp.dest=udp.route
ignore udp tcp.source=udp.route
# Le reste a droit &agrave; 2 minutes.
accept udp 120 any

# R&eacute;cup&eacute;rer toutes les trames que nous n'avons pas trait&eacute;es auparavant et donner 30
# secondes de dur&eacute;e de vie &agrave; la connexion.
accept any 30 any
</code>
</pre></blockquote>
<h2><a name="ss6.3">6.3 T&eacute;l&eacute;phoner</a></h2>
<p>Le fichier <code>/etc/diald/diald.connect</code> (il doit avoir
les droits d'ex&eacute;cution)&nbsp;:</p>
<blockquote>
<pre>
<code>/usr/sbin/chat -f /etc/chatscripts/provider
</code>
</pre></blockquote>
<p>Le fichier <code>/etc/chatscripts/provider</code>. Dans ce
fichier d'exemple vous devez modifier le num&eacute;ro de
t&eacute;l&eacute;phone &agrave; appeler (le
<code>0123456789</code>)&nbsp;:</p>
<blockquote>
<pre>
<code>ABORT BUSY
ABORT "NO CARRIER"
ABORT VOICE
ABORT "NO DIALTONE" 
ABORT "NO ANSWER"
"" ATZ
OK ATDT0123456789
CONNECT \d\c
</code>
</pre></blockquote>
<h2><a name="ss6.4">6.4 Script de lancement de la
connexion</a></h2>
<p>Il doit avoir les droits d'ex&eacute;cution.</p>
<p>Ce script peut &ecirc;tre utilis&eacute; pour de nombreuses
t&acirc;ches (synchronisation, envoi des messages en attente,
r&eacute;cup&eacute;ration des messages chez le
FAI,&nbsp;etc.).</p>
<blockquote>
<pre>
<code>#!/bin/sh

iface=$1
netmask=$2
localip=$3
remoteip=$4
metric=$5

# mise &agrave; jour de l'heure et de la date
# netdate ntp.server.somecountry

# s'occupe des mails dans la file d'attente
# runq

echo `date` $1 $2 $3 $4 $5 | mail -s "diald - connexion" root@localhost
</code>
</pre></blockquote>
<h2><a name="s7">7. Connexion d'un ordinateur &agrave;
diff&eacute;rents FAI &agrave; l'aide d'un modem et de PPP</a></h2>
<p>Il n'est pas rare qu'un ordinateur isol&eacute; ne se connecte
pas qu'&agrave; un unique r&eacute;seau. Il est courant de se
connecter &agrave; diff&eacute;rents r&eacute;seaux ou &agrave;
l'Internet par le biais de diff&eacute;rents FAI. Dans ce cas il
peut &ecirc;tre aga&ccedil;ant de changer vos fichiers de
configuration &agrave; chaque fois que vous voulez vous connecter
&agrave; un aute site.</p>
<p>La solution que je propose ici consiste &agrave; utiliser un jeu
de plusieurs fichiers de configuration&nbsp;; un pour chaque
connexion. Vous pouvez trouver ici quelques scripts qui permettent
d'automatiser le changement de l'un &agrave; l'autre.</p>
<h2><a name="ss7.1">7.1 Remarque sur l'envoi de courrier &agrave;
l'aide d'un h&ocirc;te relais</a></h2>
<p>Si le progamme avec lequel vous lisez votre courrier utilise un
Agent de Transfert de Messages (MTA en anglais) avec un h&ocirc;te
relais <code>smtp</code> &agrave; qui envoyer tous les messages, ou
s'il envoie les messages directement au serveur <code>smtp</code>
de votre FAI, changer de connexion signifie avoir &agrave;
reconfigurer cette option pour le serveur relais <code>smtp</code>.
Cela &agrave; cause du fait que les FAI v&eacute;rifient en
g&eacute;n&eacute;ral si la bo&icirc;te de r&eacute;ception est
locale ou bien sur tout domaine qui leur est directement
rattach&eacute; ou si l'adresse IP de l'envoyeur appartient bien
&agrave; l'intervalle d'adresses IP assign&eacute; par ce FAI et
ce, dans le but d'&eacute;viter d'avoir un serveur relais ouvert
qui puisse &ecirc;tre utilis&eacute; pour envoyer des
<em>spams</em>, des messages anonymes,&nbsp;etc.</p>
<p>Dans les exemples suivant vous apprendrez comment changer ce
param&egrave;tre dans les fichiers de configuration de
<code>Smail</code> en un fichier simple gr&acirc;ce auquel tous les
messages externes seront envoy&eacute;s &agrave; un serveur
<code>smtp</code> relais. Si vous utilisez un autre MTA sur votre
syst&egrave;me, vous pouvez m'envoyer les changements
n&eacute;cessaires pour que je les inclue ici. Si vous utilisez un
programme pour lire votre courrier qui s'adresse directement au
serveur <code>smtp</code> externe (Kmail, Netscape,&nbsp;etc.),
envoyez-moi &eacute;galement vos modifications.</p>
<h2><a name="ss7.2">7.2 Scripts pour automatiser les connexions
multiples et les changements de l'une &agrave; l'autre</a></h2>
<h3>D&eacute;marrage</h3>
<p>En tout premier lieu vous devez cr&eacute;er un
sous-r&eacute;pertoire &agrave; <code>/etc/diald</code>
appel&eacute; <code>providers</code> (<em>traduction anglaise de
fournisseurs&nbsp;!</em>) o&ugrave; vous stockerez 1)&nbsp;vos
scripts pour passer automatiquement d'un FAI &agrave; l'autre, et
2)&nbsp;les sous-r&eacute;pertoires contenant le jeu de fichiers
n&eacute;cessaire &agrave; la configuration de la connexion chez
chaque FAI.</p>
<p>Le script suivant cr&eacute;e ce r&eacute;pertoire et y met les
fichiers de configuration actuels de <em>Diald</em>, <em>chat</em>,
<em>pppd</em> et <em>Smail</em>. Ces derniers seront
utilis&eacute;s comme mod&egrave;les pour les futures
configurations.</p>
<blockquote>
<pre>
<code>#!/bin/sh
#File /etc/diald/providers/setupdialdmultiprovider
mkdir /etc/diald/providers
mkdir /etc/diald/providers/setup
cp /etc/ppp/pap-secrets /etc/diald/providers/setup
cp /etc/ppp/chap-secrets /etc/diald/providers/setup
cp /etc/resolv.conf /etc/diald/providers/setup
cp /etc/diald/diald.options /etc/diald/providers/setup
cp /etc/diald/standard.filter /etc/diald/providers/setup
cp /etc/diald/personal.filter /etc/diald/providers/setup
cp /etc/diald/diald.connect /etc/diald/providers/setup
cp /etc/chatscripts/provider /etc/diald/providers/setup
cp /etc/diald/ip-up /etc/diald/providers/setup
cp /etc/diald/ip-down /etc/diald/providers/setup
cp /etc/smail/routers /etc/diald/providers/setup
</code>
</pre></blockquote>
<h3>Un nouveau FAI</h3>
<p>Le script suivant vous aidera &agrave; copier la configuration
qui sert de mod&egrave;le vers un nouveau r&eacute;pertoire, pour
la modifier dans l'optique d'une nouvelle connexion &agrave; un FAI
ou &agrave; un r&eacute;seau. Ce script
(<code>/etc/diald/providers/newdialdprovider/</code>) prendra comme
param&egrave;tre le nom du FAI ou du r&eacute;seau.</p>
<blockquote>
<pre>
<code>#!/bin/sh
#Fichier /etc/diald/providers/newdialdprovider
mkdir /etc/diald/providers/$1
cp /etc/diald/providers/setup/* /etc/diald/providers/$1
</code>
</pre></blockquote>
<p>&Agrave; pr&eacute;sent vous pouvez modifier, en fonction de vos
besoins, les fichiers nouvellement cr&eacute;&eacute;s dans
<code>/etc/diald/providers/providername</code>, tout en gardant
&agrave; l'esprit que <code>providername</code> est le
param&egrave;tre pass&eacute; au script
<code>newdialdprovider</code>.</p>
<h3>Passer de l'un &agrave; l'autre</h3>
<p>Pour terminer, ce script vous permettra de changer les fichiers
de configuration de <em>Diald</em> pour pouvoir vous connecter
&agrave; un autre FAI ou &agrave; un autre r&eacute;seau. J'utilise
des liens symboliques pour &eacute;viter d'avoir &agrave; dupliquer
les fichiers. L'utilisation de tels liens permet que toute
modification d'un fichier original comme par exemple
<code>/etc/resolv.conf</code> soit report&eacute;e dans le fichier
li&eacute;, ici
<code>/etc/diald/providers/providername/resolv.conf</code>.</p>
<blockquote>
<pre>
<code>#!/bin/sh
#Fichier /etc/diald/providers/setdialdprovider
/etc/init.d/diald stop
#On attend que Diald s'arr&ecirc;te
sleep 4
ln -sf /etc/diald/providers/$1/pap-secrets /etc/ppp
ln -sf /etc/diald/providers/$1/chap-secrets /etc/ppp
ln -sf /etc/diald/providers/$1/resolv.conf /etc
ln -sf /etc/diald/providers/$1/diald.options /etc/diald
ln -sf /etc/diald/providers/$1/standard.filter /etc/diald
ln -sf /etc/diald/providers/$1/personal.filter /etc/diald
ln -sf /etc/diald/providers/$1/diald.connect /etc/diald
ln -sf /etc/diald/providers/$1/provider /etc/chatscripts
ln -sf /etc/diald/providers/$1/ip-up /etc/diald
ln -sf /etc/diald/providers/$1/ip-down /etc/diald
ln -sf /etc/diald/providers/$1/routers /etc/smail
/etc/init.d/diald start
</code>
</pre></blockquote>
<h2><a name="s8">8. Connexion d'un proxy/firewall &agrave; un FAI
&agrave; l'aide d'un modem et de PPP</a></h2>
<p>Connecter un r&eacute;seau priv&eacute; &agrave; l'Internet avec
un serveur d&eacute;di&eacute; qui g&egrave;re le routage des
paquets &agrave; partir du r&eacute;seau local vers l'Internet tout
en proposant des services de proxy/cache et la
s&eacute;curit&eacute; d'un firewall est un th&egrave;me complexe
qui va au-del&agrave; du but de ce document. Il existe d'autres
&laquo;&nbsp;Howto&nbsp;&raquo; qui expliquent ces sujets de
mani&egrave;re beaucoup plus compr&eacute;hensible. Vous trouverez,
<a href="#masinfo">&agrave; la fin de ce document</a>, une liste de
liens et de r&eacute;f&eacute;rences vers ces documents.</p>
<p>Ici, nous nous contentons de configurer <em>Diald</em> en
supposant que l'ordinateur fait d&eacute;ja du masquage d'adresses
IP (<i>IP-Masquerading</i>), dispose d'un proxy tel que
<em>Squid</em>, d'une connexion &agrave; un FAI correctement
configur&eacute;e et que la s&eacute;curit&eacute; des acc&egrave;s
aux ports TCP/UDP a &eacute;t&eacute; revue (fichiers
<code>/etc/inetd.conf</code> et autres tels que
<code>securetty</code>, <code>host.allow</code>,&nbsp;etc.).</p>
<p>Pour faire simple, il suffit uniquement de reconfigurer les
r&egrave;gles pour le masquage/le&nbsp;filtrage/l'acc&egrave;s,
&agrave; chaque fois que le jeu d'interfaces change, donc quand
l'interface ppp0 est &eacute;tablie et qu'elle est d&eacute;truite.
De bons endroits pour faire cela sont les scripts
<code>ip-up</code> et <code>ip-down</code> de <em>pppd</em>.</p>
<h2><a name="ss8.1">8.1 Exemple pour Debian 2.1</a></h2>
<p>Avec Debian il vous suffit d'installer le paquetage
<em>ipmasq</em> et de dire, au moment de la configuration, que vous
voulez changer les r&egrave;gles de mani&egrave;re synchrone
&agrave; <em>pppd</em>. Des scripts seront cr&eacute;&eacute;s dans
les r&eacute;pertoires <code>/etc/ppp/ip-up.d</code> et
<code>/etc/ppp/ip-down.d</code> pour prendre en charge le lancement
de <code>/sbin/ipmasq</code>, un script qui analyse les interfaces
existantes et cr&eacute;e une configuration simple qui est valable
dans la plupart des cas&nbsp;; vous pouvez le personnaliser
&agrave; l'aide des fichiers de r&egrave;gles de
<code>/etc/ipmasq/rules</code>.</p>
<p>La seule correction &agrave; faire apr&egrave;s avoir
install&eacute; ce paquetage est de modifier le moment du lancement
du script <em>ipmasq</em> en effa&ccedil;ant le lien symbolique
contenu dans le r&eacute;pertoire <code>/etc/rcS.d</code> et en en
cr&eacute;ant un nouveau dans <code>/etc/rc2.d</code>
<i>apr&egrave;s</i> <code>S20diald</code>. &Agrave; pr&eacute;sent,
quand <code>ipmasq</code> est ex&eacute;cut&eacute; pour analyser
les interfaces, <code>s10</code> existe d&eacute;j&agrave;.
<code>S90ipmasq</code> est un bon nom pour ce lien symbolique qui
pointe vers <code>/etc/init.d/ipmasq</code>.</p>
<p>Le fait d'utiliser Debian vous permet de ne pas avoir &agrave;
vous soucier de la version de votre noyau puisque le script
<code>/sbin/ipmasq</code> utilise <code>ipfwadm</code> ou
<code>ipchains</code> selon le cas.</p>
<h2><a name="ss8.2">8.2 Exemple pour Suse 6.1</a></h2>
<p>Cet exemple nous vient de M. Cornish Rex, <code><a href=
"mailto:troll@tnet.com.au">troll@tnet.com.au</a></code>.</p>
<p>Les commandes d'ip-masq et du contr&ocirc;le de routage mises en
oeuvre ici sont &agrave; employer avec les noyaux version 2.2 qui
utilisent ipchains et ne sont pas valides pour les versions
2.0.</p>
<p>Nous allons supposer que l'interface ethernet a l'adresse ip
192.168.1.1 avec un masque r&eacute;seau de 16&nbsp;bits, soit
255.255.0.0.</p>
<p>Voici le fichier <code>/etc/ppp/ip-up</code>&nbsp;:</p>
<blockquote>
<pre>
<code>#!/bin/sh
# $1 = Interface
# $2 = Tty device
# $3 = speed
# $4 = local ip
# $5 = remote ip
# $6 = ipparam
/sbin/ipchains -F input
/sbin/ipchains -P input DENY
/sbin/ipchains -A input -j ACCEPT -i eth0 -s 192.168.0.0/16 -d 0.0.0.0/0
/sbin/ipchains -A input -j DENY -p udp -i $1 -s 0.0.0.0/0 -d $4/32 0:52 -l
/sbin/ipchains -A input -j DENY -p udp -i $1 -s 0.0.0.0/0 -d $4/32 54:1023 -l
/sbin/ipchains -A input -j DENY -p tcp -i $1 -s 0.0.0.0/0 -d $4/32 0:112 -l
/sbin/ipchains -A input -j DENY -p tcp -i $1 -s 0.0.0.0/0 -d $4/32 114:1023 -l
/sbin/ipchains -A input -j DENY -p tcp -i $1 -s 0.0.0.0/0 -d $4/32 6000:6010 -l
/sbin/ipchains -A input -j DENY -p icmp --icmp-type echo-request \
-i $1 -s 0.0.0.0/0 -l
/sbin/ipchains -A input -j DENY -p icmp -f -i $1 -s 0.0.0.0/0 -l
/sbin/ipchains -A input -j DENY -p udp -i $1 -s 0.0.0.0/0 -d $4/32 5555 -l
/sbin/ipchains -A input -j DENY -p udp -i $1 -s 0.0.0.0/0 -d $4/32 8000 -l
/sbin/ipchains -A input -j DENY -p tcp -i $1 -s 0.0.0.0/0 -d $4/32 8000 -l
/sbin/ipchains -A input -j DENY -p udp -i $1 -s 0.0.0.0/0 -d $4/32 6667 -l
/sbin/ipchains -A input -j DENY -p tcp -i $1 -s 0.0.0.0/0 -d $4/32 6667 -l
/sbin/ipchains -A input -j DENY -p tcp -i $1 -s 0.0.0.0/0 -d $4/32 4557 -l
/sbin/ipchains -A input -j DENY -p tcp -i $1 -s 0.0.0.0/0 -d $4/32 4559 -l
/sbin/ipchains -A input -j DENY -p tcp -i $1 -s 0.0.0.0/0 -d $4/32 4001 -l
/sbin/ipchains -A input -j DENY -p tcp -i $1 -s 0.0.0.0/0 -d $4/32 2005 -l
/sbin/ipchains -A input -j DENY -p tcp -i $1 -s 0.0.0.0/0 -d $4/32 6711 -l
/sbin/ipchains -A input -j DENY -i $1 -s 192.168.0.0/16 -d 0.0.0.0/0 -l
/sbin/ipchains -A input -j ACCEPT -i $1 -s 0.0.0.0/0 -d $4/32
/sbin/ipchains -A input -j ACCEPT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0
/sbin/ipchains -A input -j DENY -s 0.0.0.0/0 -d 0.0.0.0/0 -l

/sbin/ipchains -F output
/sbin/ipchains -P output DENY
/sbin/ipchains -A output -j ACCEPT -i eth0 -s 0.0.0.0/0 -d 192.168.0.0/16
/sbin/ipchains -A output -j DENY -i $1 -s 192.168.0.0/16 -d 0.0.0.0/0 -l
/sbin/ipchains -A output -j ACCEPT -i $1 -s $4/32 -d 0.0.0.0/0
/sbin/ipchains -A output -j ACCEPT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0
/sbin/ipchains -A output -j DENY -s 0.0.0.0/0 -d 0.0.0.0/0

/sbin/ipchains -F forward
/sbin/ipchains -P forward DENY
/sbin/ipchains -M -S 120 120 120
/sbin/ipchains -A forward -j MASQ -s 192.168.1.0/24 
/sbin/ipchains -A forward -j DENY -s 0.0.0.0/0 -d 0.0.0.0/0

exit 0
</code>
</pre></blockquote>
<p>Voici le fichier <code>/etc/ppp/ip-down</code>&nbsp;:</p>
<blockquote>
<pre>
<code>#!/bin/sh
# $1 = Interface
# $2 = Tty device
# $3 = Speed
# $4 = Local ip
# $5 = Remote ip
/sbin/ipchains -F input
/sbin/ipchains -F output
/sbin/ipchains -F forward
/sbin/ipchains-restore &lt; /etc/ppp/orig.chains
</code>
</pre></blockquote>
<p>Voici le dernier fichier du dernier script,
<code>origin.chain</code> (statut original d'ipchains)&nbsp;:</p>
<blockquote>
<pre>
<code># orig.chains
# cr&eacute;e avec : ipchains-save &gt; orig.chains
:input ACCEPT
:forward ACCEPT
:output ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 192.168.1.1/255.255.255.255
-A output -s 192.168.1.1/255.255.255.255 -d 0.0.0.0/0.0.0.0
</code>
</pre></blockquote>
<h2><a name="ss8.3">8.3 Exemple pour Slackware 3.6</a></h2>
<p>Cet exemple nous a &eacute;t&eacute; donn&eacute; par Hoo Kok
Mun, <code><a href=
"mailto:hkmun@pacific.net.sg">hkmun@pacific.net.sg</a></code>.</p>
<p>C'est l'exemple le plus simple qu'il m'ait &eacute;t&eacute;
donn&eacute; de voir mais il est compl&egrave;tement fonctionnel.
Cet exemple nous montre comment configurer le masquage avant
l'existence de l'interface <code>s10</code> et il ne change pas
quand l'interface ppp0 appara&icirc;t. Si vos exigences en
mati&egrave;re de s&eacute;curit&eacute; sont assez
&eacute;lev&eacute;es, il peut s'av&eacute;rer limit&eacute;.</p>
<blockquote>
<pre>
<code>#/etc/rc.d/rc.local
/sbin/ipfwadm -F -p deny
/sbin/ipfwadm  -F -a m -S 192.168.0.0/24 -D 0.0.0.0/0
</code>
</pre></blockquote>
<p>Comme vous pouvez le voir, il est destin&eacute; aux noyaux
version 2.0.</p>
<h2><a name="s9">9. Programmes et versions
utilis&eacute;es</a></h2>
<p>Pour &eacute;crire ce document j'ai utilis&eacute; les versions
suivantes de diald&nbsp;:</p>
<ul>
<li>Diald&nbsp;0.16.5 --&nbsp;derni&egrave;re version maintenue par
l'auteur original de diald.</li>
<li>Diald&nbsp;0.99.3 --&nbsp;derni&egrave;re version avant la
premi&egrave;re &eacute;dition de ce document.</li>
</ul>
<p>Et les versions suivantes de pppd&nbsp;:</p>
<ul>
<li>pppd&nbsp;2.3.5</li>
</ul>
<p>La version 0.16.5 de diald est peut-&ecirc;tre la plus
&eacute;tendue et celle qui est incluse dans le plus de
distributions Linux. Elle est suffisante pour la plupart des sites
et elle est tr&egrave;s stable, mais bien s&ucirc;r, les versions
plus r&eacute;centes ont de nombreuses fonctions
int&eacute;ressantes.</p>
<h2><a name="masinfo"></a> <a name="s10">10. Pour en savoir
plus</a></h2>
<p>Les informations originales, sources de ce document, peuvent
&ecirc;tre trouv&eacute;es dans les pages de manuel de
<code>diald</code>, <code>diald-examples</code>,
<code>diald-control</code>, <code>diald-monitor</code>,
<code>dctrl</code>, <code>pppd</code>, <code>chat</code>, ainsi que
dans les informations contenues dans les r&eacute;pertoires de
<code>/usr/doc</code> et sur les pages web de ces
paquetages&nbsp;:</p>
<ul>
<li>Nouvelle page officielle de Diald&nbsp;: <code><a href=
"http://diald.sourceforge.net/">http://diald.sourceforge.net/</a></code></li>
<li>T&eacute;l&eacute;chargement des nouvelles versions&nbsp;:
<code><a href=
"ftp://diald.sourceforge.net/pub/diald/">ftp://diald.sourceforge.net/pub/diald/</a></code></li>
<li>Ancienne page de Diald&nbsp;: <code><a href=
"http://diald.unix.ch">http://diald.unix.ch</a></code></li>
<li>Ancienne page de Diald avant la version 0.16.5&nbsp;:
<code><a href=
"http://www.loonie.net/%C2%A0erics/diald.html">http://www.loonie.net/&nbsp;erics/diald.html</a></code></li>
<li>Site FTP de pppd&nbsp;: <code><a href=
"ftp://cs.anu.edu.au/pub/software/ppp/">ftp://cs.anu.edu.au/pub/software/ppp/</a></code></li>
<li>Autres sites&nbsp;: <code><a href=
"http://www.p2sel.com/diald">http://www.p2sel.com/diald</a></code></li>
<li>Et un de plus&nbsp;: <code><a href=
"http://rufus.w3.org/linux/RPM/">http://rufus.w3.org/linux/RPM/</a></code></li>
</ul>
<p>Il existe une liste de diffusion, pour ce qui concerne les
discussions qui tournent autour de diald, sur le serveur de liste
de David S. Miller &agrave; vger.rutgers.edu. Pour s'abonner il
suffit d'envoyer un message &agrave; <code><a href=
"mailto:Majordomo@vger.rutgers.edu">Majordomo@vger.rutgers.edu</a></code>
avec le texte &laquo;&nbsp;subscribe linux-diald&nbsp;&raquo;
<b>dans le corps du message</b>.</p>
<p>Une archive de cette liste peut &ecirc;tre trouv&eacute;e
&agrave; <code><a href=
"http://www.geocrawler.com">http://www.geocrawler.com</a></code>.</p>
<p>Il existe &eacute;galement de nombreux documents RFC
(<em>Request For Comments --&nbsp;demande de commentaires</em>) qui
d&eacute;finissent la mani&egrave;re dont les lignes
encapsul&eacute;es de PPP et les protocoles associ&eacute;s (LCP,
IPCP, PAP, CHAP, ...) doivent fonctionner. Vous pouvez trouver ces
documents dans le r&eacute;pertoire <code>/usr/doc/doc-rfc</code>
et sur certains sites de la grande toile mondiale comme par exemple
<code><a href=
"http://metalab.unc.edu">http://metalab.unc.edu</a></code> et
<code><a href="http://nic.mil/RFC">http://nic.mil/RFC</a></code>.
Vous pouvez demander des informations concernant les RFC en
envoyant un courrier &eacute;lectronique &agrave; <code><a href=
"mailto:RFC-INFO@ISI.EDU">RFC-INFO@ISI.EDU</a></code>.</p>
<p>Les &laquo;&nbsp;Howto&nbsp;&raquo; suivants peuvent vous
&ecirc;tre utiles&nbsp;:</p>
<ul>
<li>DNS-HOWTO -- <code><a href=
"http://www.freenix.org/unix/linux/HOWTO/DNS-HOWTO.html">http://www.freenix.org/unix/linux/HOWTO/DNS-HOWTO.html</a></code></li>
<li>Firewall-HOWTO -- <code><a href=
"http://www.freenix.org/unix/linux/HOWTO/Firewall-HOWTO.html">http://www.freenix.org/unix/linux/HOWTO/Firewall-HOWTO.html</a></code></li>
<li>IP-Masquerade-HOWTO -- <code><a href=
"http://www.linuxdoc.org/HOWTO/IP-Masquerade-HOWTO.html">http://www.linuxdoc.org/HOWTO/IP-Masquerade-HOWTO.html</a></code></li>
<li>IPCHAINS-HOWTO -- <code><a href=
"http://www.freenix.org/unix/linux/HOWTO/IPCHAINS-HOWTO.html">http://www.freenix.org/unix/linux/HOWTO/IPCHAINS-HOWTO.html</a></code></li>
<li>Modems-HOWTO -- <code><a href=
"http://www.freenix.org/unix/linux/HOWTO/Modems-HOWTO.html">http://www.freenix.org/unix/linux/HOWTO/Modems-HOWTO.html</a></code></li>
<li>NET4-HOWTO -- <code><a href=
"http://www.freenix.org/unix/linux/HOWTO/NET4-HOWTO.html">http://www.freenix.org/unix/linux/HOWTO/NET4-HOWTO.html</a></code></li>
<li>PPP-HOWTO -- <code><a href=
"http://www.freenix.org/unix/linux/HOWTO/PPP-HOWTO.html">http://www.freenix.org/unix/linux/HOWTO/PPP-HOWTO.html</a></code></li>
<li>Serial-HOWTO -- <code><a href=
"http://www.freenix.org/unix/linux/HOWTO/Serial-HOWTO.html">http://www.freenix.org/unix/linux/HOWTO/Serial-HOWTO.html</a></code></li>
</ul>
</body>
</html>
doc-linux-fr-html 2013.01-3 / usr / share / doc / HOWTO / fr-html / Diald-HOWTO.html
