doc-linux-fr-html 2013.01-3 / usr / share / doc / HOWTO / fr-html / Masquerading-Simple-HOWTO.html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta name="generator" content=
"HTML Tidy for Linux (vers 25 March 2009), see www.w3.org">
<title>Guide pratique de l'IP masquerade simplifi&eacute;</title>
<meta name="GENERATOR" content=
"Modular DocBook HTML Stylesheet Version 1.79">
</head>
<body class="ARTICLE" bgcolor="#FFFFFF" text="#000000" link=
"#0000FF" vlink="#840084" alink="#0000FF">
<div class="ARTICLE">
<div class="TITLEPAGE">
<h1 class="TITLE"><a name="AEN2" id="AEN2">Guide pratique de l'IP
masquerade simplifi&eacute;</a></h1>
<h1 class="TITLE"><a name="AEN2" id="AEN2">Nouvelles versions de ce
document</a></h1>
<h2 class="SUBTITLE">Version fran&ccedil;aise du <i class=
"FOREIGNPHRASE">Masquerading made simple HOWTO</i></h2>
<h3 class="AUTHOR"><a name="AEN13" id="AEN13">John Tapsell</a></h3>
<div class="AFFILIATION">
<div class="ADDRESS">
<p class="ADDRESS">&nbsp;&nbsp;&nbsp;<code class=
"EMAIL">&lt;<a href=
"mailto:tapselj0@cs.man.ac.uk">tapselj0@cs.man.ac.uk</a>&gt;</code><br>
</p>
</div>
</div>
<h3 class="AUTHOR"><a name="AEN19" id="AEN19">Thomas
Spellman</a></h3>
<div class="AFFILIATION">
<div class="ADDRESS">
<p class="ADDRESS">&nbsp;&nbsp;&nbsp;<code class=
"EMAIL">&lt;<a href=
"mailto:thomasNO@SPAMresonancePLEASE.org">thomasNO@SPAMresonancePLEASE.org</a>&gt;</code><br>
</p>
</div>
</div>
<h3 class="AUTHOR"><a name="AEN25" id="AEN25">Matthias
Grimm</a></h3>
<div class="AFFILIATION">
<div class="ADDRESS">
<p class="ADDRESS">&nbsp;&nbsp;&nbsp;<code class=
"EMAIL">&lt;<a href=
"mailto:DeadBull@gmx.net">DeadBull@gmx.net</a>&gt;</code><br></p>
</div>
</div>
<span class="RELEASEINFO">Version&nbsp;: 0.09.fr.1.0<br></span>
<p class="PUBDATE">10 octobre 2007<br></p>
<div class="REVHISTORY">
<table width="100%" border="0">
<tr>
<th align="left" valign="top" colspan="3"><b>Revision
History</b></th>
</tr>
<tr>
<td align="left">Revision 0.09.fr.1.0</td>
<td align="left">2007-10-07</td>
<td align="left">Revised by: EM</td>
</tr>
<tr>
<td align="left" colspan="3">Premi&egrave;re traduction
fran&ccedil;aise</td>
</tr>
<tr>
<td align="left">Revision 0.09</td>
<td align="left">2004-07-21</td>
<td align="left">Revised by: TS</td>
</tr>
<tr>
<td align="left" colspan="3"></td>
</tr>
<tr>
<td align="left">Revision 0.08</td>
<td align="left">2002-07-11</td>
<td align="left">Revised by: JPT</td>
</tr>
<tr>
<td align="left" colspan="3"></td>
</tr>
<tr>
<td align="left">Revision 0.07</td>
<td align="left">2002-02-27</td>
<td align="left">Revised by: JPT</td>
</tr>
<tr>
<td align="left" colspan="3"></td>
</tr>
<tr>
<td align="left">Revision 0.06</td>
<td align="left">2001-09-08</td>
<td align="left">Revised by: JPT</td>
</tr>
<tr>
<td align="left" colspan="3"></td>
</tr>
<tr>
<td align="left">Revision 0.05</td>
<td align="left">2001-09-07</td>
<td align="left">Revised by: JPT</td>
</tr>
<tr>
<td align="left" colspan="3"></td>
</tr>
<tr>
<td align="left">Revision 0.04</td>
<td align="left">2001-09-01</td>
<td align="left">Revised by: JPT</td>
</tr>
<tr>
<td align="left" colspan="3"></td>
</tr>
<tr>
<td align="left">Revision 0.03</td>
<td align="left">2001-07-06</td>
<td align="left">Revised by: JPT</td>
</tr>
<tr>
<td align="left" colspan="3"></td>
</tr>
</table>
</div>
<div>
<div class="ABSTRACT"><a name="AEN77" id="AEN77"></a>
<p>Ce guide pratique NE REMPLACE PAS le 'guide pratique de l'IP
masquerade', mais le compl&egrave;te. Ces deux documents devraient
&ecirc;tre lus en parall&egrave;le. Je n'y ai inclu aucun
&eacute;l&eacute;ment d&eacute;j&agrave; d&eacute;taill&eacute;
dans cet autre guide pratique, ni aucune explication sur leur
fonctionnement et leur signification. Veuillez vous reporter
&agrave; l'adresse <a href="http://ipmasq.webhop.net/" target=
"_top">http://ipmasq.webhop.net/</a> et lisez le 'guide pratique du
masquerade standard', pour une bien meilleure aide.</p>
R&eacute;sum&eacute;
<p>Ce document d&eacute;crit l'activation du dispositif dIP
Masquerading sur une machine h&ocirc;te Linux. Le masquage
d'adresse IP est une forme de traduction d'adresse r&eacute;seau (
Network Address Translation ou NAT en anglais ),permettant aux
ordinateurs d'un r&eacute;seau priv&eacute; n'ayant aucune adresse
IP d'acc&eacute;der &agrave; Internet via l'adresser IP unique
d'une machine Linux.</p>
<p>Tous les auteurs sont joignables sur le canal #debian sur
irc.opensource.net</p>
<p>John Tapsell (JohnFlux) est le responsable officiel.</p>
<p>Contactez-moi (John Tapsell) pour toutes demandes,
r&eacute;actions, r&eacute;clamations, rendez-vous, etc.
!!!!!!!!!</p>
<p>Impudemment tir&eacute; du travail de David Ranch - <code class=
"EMAIL">&lt;<a href=
"mailto:dranch@trinnet.net">dranch@trinnet.net</a>&gt;</code></p>
<p>Ce document est plac&eacute; sous la GNU Free Documentation
License, consultable sur</p>
<p><a href="http://www.gnu.org/copyleft/fdl.html" target=
"_top">http://www.gnu.org/copyleft/fdl.html</a> pour la version
originale. La version fran&ccedil;aise est consultable sur <a href=
"" target="_top">//="http://www.rodage.org/gpl-3.0.fr.html"&gt;
http://www.rodage.org/gpl-3.0.fr.html</a>. Attention! La version
fran&ccedil;aise de la Gnu Free Documentation License est une
version non officielle, traduite afin d'am&eacute;liorer la
compr&eacute;hension de cette licence. Elle ne fait pas foi
au-niveau juridique!</p>
</div>
</div>
<hr></div>
<div class="SECT1">
<h2 class="SECT1"><a name="INTRO" id="INTRO">Introduction</a></h2>
<p>Cette introduction est volontairement courte et
cibl&eacute;e.</p>
<p>Admettons que vous aviez un r&eacute;seau que vous voulez
raccorder &agrave; l'ext&eacute;rieur:</p>
<div class="MEDIAOBJECT">
<p><img src="network.png"></p>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="SUMMARY" id="SUMMARY">Sommaire (J'aime
bien d&eacute;buter par un sommaire!)</a></h2>
<p>Consid&eacute;rons que l'interface r&eacute;seau externe est
eth0, l'adresse IP 123.12.23.43 et l'interface r&eacute;seau
interne est eth1 :</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">modprobe ipt_MASQUERADE</b> # Si cela &eacute;choue, essayez tout-de-m&ecirc;me de continuer
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -F; iptables -t nat -F; iptables -t mangle -F</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 123.12.23.43</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">echo 1 &gt; /proc/sys/net/ipv4/ip_forward</b>
</pre>
<p>Ou pour une connexion par modem:</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">modprobe ipt_MASQUERADE</b> # Si cela &eacute;choue, essayez tout-de-m&ecirc;me de continuer
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -F; iptables -t nat -F; iptables -t mangle -F</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">echo 1 &gt; /proc/sys/net/ipv4/ip_forward</b>
</pre>
<p>Pour s&eacute;curiser cela:</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -P INPUT DROP</b>   #seulement si les deux commandes pr&eacute;c&eacute;dentes ont abouties
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A FORWARD -i eth0 -o eth0 -j REJECT</b>
</pre>
<p>Ou pour une connexion par modem (avec eth0 comme interface
r&eacute;seau interne):</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A INPUT -m state --state NEW -i ! ppp0 -j ACCEPT</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -P INPUT DROP</b>   #seulement si les deux commandes pr&eacute;c&eacute;dentes ont abouties
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A FORWARD -i ppp0 -o ppp0 -j REJECT</b>
</pre>
<p>Et voil&agrave;! Pour visualiser les r&egrave;gles tapez
"<b class="COMMAND">iptables -t nat -L</b>"</p>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="INDEPTH" id="INDEPTH">Version un peu
plus d&eacute;taill&eacute;e</a></h2>
<p>Compilation du noyau: (Utilisez un noyau 2.4.x ou
sup&eacute;rieur)</p>
<p>Le noyau doit inclure les supports suivants:</p>
<ul>
<li>
<p>Dans la section Networking Options</p>
<ul>
<li>
<p>Network packet filtering (CONFIG_NETFILTER)</p>
</li>
</ul>
</li>
<li>
<p>Section Networking Options-&gt;Netfilter Configuration</p>
<ul>
<li>
<p>Connection tracking (CONFIG_IP_NF_CONNTRACK)</p>
</li>
<li>
<p>FTP Protocol support (CONFIG_IP_NF_FTP)</p>
</li>
<li>
<p>IP tables support (CONFIG_IP_NF_IPTABLES)</p>
</li>
<li>
<p>Connection state match support (CONFIG_IP_NF_MATCH_STATE)</p>
</li>
<li>
<p>Packet filtering (CONFIG_IP_NF_FILTER)</p>
<ul>
<li>
<p>REJECT target support (CONFIG_IP_NF_TARGET_REJECT)</p>
</li>
</ul>
</li>
<li>
<p>Full NAT (CONFIG_IP_NF_NAT)</p>
<ul>
<li>
<p>MASQUERADE target support (CONFIG_IP_NF_TARGET_MASQUERADE)</p>
</li>
<li>
<p>REDIRECT target support (CONFIG_IP_NF_TARGET_REDIRECT)</p>
</li>
</ul>
</li>
<li>
<p>Packet mangling (CONFIG_IP_NF_MANGLE)</p>
</li>
<li>
<p>LOG target support (CONFIG_IP_NF_TARGET_LOG)</p>
</li>
</ul>
</li>
</ul>
<p>Tout d'abord, si les modules iptables et masq ne sont pas
compil&eacute;s dans le noyau ni install&eacute;s, mais
pr&eacute;sents en tant que modules, il faut les installer. Si vous
chargez le module ipt_MASQUERADE,les modules ip_tables,
ip_conntrack et iptable_nat seront aussi charg&eacute;s.</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">modprobe ipt_MASQUERADE</b>
</pre>
<p>Que votre r&eacute;seau interne soit vaste, ou bien que vous
vouliez connecter deux ou trois machines sur Internet, cela ne fera
aucune diff&eacute;rence dans tous les cas.</p>
<p>Ok, je vais suppposer que vous n'avez aucune autre r&egrave;gle
&agrave; rajouter, donc vous tapez:</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -F; iptables -t nat -F; iptables -t mangle -F</b>
</pre>
<p>Si vous obtenez un message d'erreur indiquant "can't find
iptables", t&eacute;l&eacute;chargez-le et installez-le. Si le
message d'erreur indique "no such table 'nat'", recompilez le noyau
avec le support nat. Si le message d'erreur indique "no such table
as 'mangle'", ne vous inqui&eacute;tez pas, cette table n'est pas
n&eacute;cessaire pour le Masquerading. Si le message d'erreur
indique "iptables is incompatible with your kernel",
t&eacute;l&eacute;chargez une version de noyau sup&eacute;rieure
&agrave; 2.4 et compilez-le avec le support iptables.</p>
<p>Ensuite si vous avez une adresse IP statique(Par exemple une
interface r&eacute;seau n'utilisant pas le DHCP):</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 123.12.23.43</b>
</pre>
<p>ou pour une adresse dynamique (Par exemple un modem rtc - vous
devez appelez un num&eacute;ro tout d'abord):</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE</b>
</pre>
<p>Enfin, afin d'indiquer au noyau que vous voulez activer le
routage de packets : ( A faire apr&egrave;s chaque
red&eacute;marrage de la session - pas trop contraignant)</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">echo 1 &gt; /proc/sys/net/ipv4/ip_forward</b>
</pre>
<p>Une fois v&eacute;rifi&eacute; que tout fonctionne (voir section
Post-install) vous n'allez autoriser l'IP masquerade que pour le
r&eacute;seau interne - vous ne souhaitez pas autoriser des
personnes sur Internet &agrave; l'utiliser apr&egrave;s tout :)</p>
<p>En premier lieu, autorisez toutes les connections existantes, ou
les connections en d&eacute;pendant ( par exemple un serveur ftp
vous renvoyant une r&eacute;ponse)</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT</b>
</pre>
<p>Si vous obtenez une erreur, vous n'avez probablement pas
activ&eacute; le marquage d'&eacute;tat sur les paquets dans le
noyau - vous devrez le recompiler avec cette option. Nous allons
ensuite n'autoriser que les nouvelles connections venant de notre
r&eacute;seau interne (r&eacute;seau interne ou local). Remplacez
ppp0 par eth0, ou par le nom de votre interface r&eacute;seau
<span class="emphasis"><i class="EMPHASIS">externe</i></span> (Le
caract&egrave;re ! signifie "tout sauf")</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A INPUT -m state --state NEW -i ! ppp0 -j ACCEPT</b>
</pre>
<p>Et bloquez maintenant tout le reste:</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -P INPUT DROP</b>   #seulement si les deux commandes pr&eacute;c&eacute;dentes ont abouties
</pre>
<p>Si l'une des deux premi&egrave;res commandes &eacute;choue,
cette r&egrave;gle emp&ecirc;chera le masquerading de fonctionner
Pour annuler cette r&egrave;gle : "<b class="COMMAND">iptables -P
INPUT ACCEPT</b>".</p>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="POST-INSTALL" id=
"POST-INSTALL">Instructions post-installation</a></h2>
<p>Cela devrait fonctionner maintenant. N'oubliez pas de :</p>
<ul>
<li>
<p>Configurer toutes les machines du r&eacute;seau interne afin
d'indiquer comme passerelle l'adresse r&eacute;seau unique de la
machine Linux. (Sous Windows, clic droit sur le voisinage
r&eacute;seau -&gt;propri&eacute;t&eacute;s-&gt;connexion au
r&eacute;seau local -&gt; propri&eacute;t&eacute;s -&gt; Protocol
Internet (TCP/IP) -&gt; passerelle, et remplacez-la par l'adresse
IP interne de la machine Linux.)</p>
</li>
<li>
<p>Configurer tous vos clients afin d'utiliser le serveur proxy
http de votre fournisseur d'acc&egrave;s si vos clients en ont un,
et utiliser un proxy en mode transparent (ATTENTION - Certains
rapports font &eacute;tat de proxy en mode transparent engendrant
un ralentissement tr&egrave;s important sur les tr&egrave;s grands
r&eacute;seaux ), ou activez le squid sur votre passerelle Linux
(ceci est facultatif mais pr&eacute;f&eacute;rable pour les grands
r&eacute;seaux)</p>
</li>
<li>
<p>Sp&eacute;cifier un serveur de DNS sur les machines clientes.
Sinon vous obtiendrez un message d'erreur indiquant 'cannot resolve
address' etc. Si la r&eacute;solution d'adresse DNS fonctionnait
(adresse URL fonctionnelle) avant d'avoir configur&eacute; le
MASQUERADING, cela signifie que le serveur DHCP de votre
fournisseur d'acc&egrave;s n'arrive plus &agrave; vous indiquer
quelle est l'adresse DNS.</p>
<p>[Apart&eacute;] Je me demande si vous ne pourriez pas simplement
envoyer un broadcast DHCP qui sera achemin&eacute; vers le serveur
dns ( et vers le proxy http pendant qu'on y est) sans avoir
&agrave; configurer un serveur DHCP (ou m&ecirc;me si vous le
faites). Quelqu'un pourrait-il me renseigner &agrave; ce sujet?
:)</p>
<p>Merci &agrave; Richard Atcheson pour me l'avoir fait
remarquer</p>
</li>
<li>
<p>A pr&eacute;sent, vous devriez commencer &agrave;
s&eacute;curiser un peu tout cela! Premi&egrave;rement,
d&eacute;sactivez le routage : "<b class="COMMAND">iptables -P
FORWARD DROP</b>", puis apprenez &agrave; utiliser les
r&egrave;gles de filtrage iptables, <tt class=
"FILENAME">/etc/hosts.allow</tt> et <tt class=
"FILENAME">/etc/hosts.deny</tt> afin de s&eacute;curiser votre
syst&egrave;me. ATTENTION - N'essayez pas d'appliquer ces
r&egrave;gles iptables avant d'avoir un masquerading
op&eacute;rationnel. Vous devez explicitement autoriser chaque
transfert de paquet si vous param&eacute;trez la derni&egrave;re
r&egrave;gle avec l'option DENY. (Annulez avec "<b class=
"COMMAND">iptables -P FORWARD ACCEPT</b>")</p>
</li>
<li>
<p>Autorisez les acc&egrave;s provenant d'Internet pour chaque
service.</p>
<p>Par exemple, pour autoriser l'acc&egrave;s au serveur web, vous
faites:</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A INPUT --protocol tcp --dport 80 -j ACCEPT</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A INPUT --protocol tcp --dport 443 -j ACCEPT</b>
</pre>
<p>Pour autoriser l'authentification ( Se connecter sur les
channels IRC etc...), faites</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A INPUT --protocol tcp --dport 113 -j ACCEPT</b>
</pre></li>
</ul>
<p>Pour le tester:</p>
<ul>
<li>
<p>Essayez de vous connecter sur Internet depuis une machine
cliente en utilisant une adresse IP. L'adresse IP de Google est
64.233.183.103 (enfin, l'une d'entre elles) et vous devriez obtenir
une r&eacute;ponse en retour Par exemple "<b class="COMMAND">ping
64.233.183.103</b>" "<b class="COMMAND">lynx
64.233.183.103</b>".</p>
</li>
<li>
<p>Essazyez une connexion par nom, par exemple "<b class=
"COMMAND">ping google.fr</b>" "<b class="COMMAND">lynx
google.fr</b>" ou depuis Internet Explorer / netscape.</p>
</li>
</ul>
<p>O&ugrave; eth0 est l'interface r&eacute;seau externe, et
123.12.23.43 est l'adresse ip de ce client.</p>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="FAQ" id="FAQ">FAQ - Foire aux
r&eacute;clama**** Questions</a></h2>
<ul>
<li>
<p>Comment lister les r&egrave;gles appliqu&eacute;es?</p>
<p>- Essayez</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -L</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -t nat -L</b>
</pre></li>
<li>
<p>Je ne peux r&eacute;soudre les adresses IP! Je tape
'www.microsoft.com' et cela m'indique qu'il ne le trouve pas!</p>
<p>- Assurez-vous d'avoir ajout&eacute; l'adresse IP du serveur dns
sur les machines clientes</p>
</li>
<li>
<p>Cela ne fonctionne pas! Il ne supporte pas iptables / NAT / SNAT
/ MASQ</p>
<p>- T&eacute;l&eacute;chargez le dernier noyau et compilez-le avec
le support iptables et full NAT.</p>
</li>
<li>
<p>Cela ne marche pas! Le masquerading ne fonctionne pas du tout!
Meurs pourriture!</p>
<p>- Essayez <b class="COMMAND">echo 1 &gt;
/proc/sys/net/ipv4/ip_forward</b></p>
</li>
<li>
<p>Cela ne fonctionne pas! Je ne peux plus utiliser le
r&eacute;seau et je vous hais!</p>
<p>- Essayez</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -F</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -t nat -F</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -t mangle -F</b>
</pre>
<p>(Toutes les r&egrave;gles sont effac&eacute;es) puis
red&eacute;marrez les autres r&egrave;gles iptables.</p>
<p>- Essayez<b class="COMMAND">iptables -P FORWARD ACCEPT</b></p>
</li>
<li>
<p>Cela ne marche toujours pas!</p>
<p>- Hmm, la commande "<b class="COMMAND">dmesg | tail</b>" vous
renvoie-t'elle des erreurs? ou bien "<b class="COMMAND">cat
/var/log/messages | tail</b>" ? Comme je le crains...</p>
</li>
<li>
<p>Cela ne renvoit rien. Et cela ne fonctionne toujours pas!</p>
<p>- Je ne sais pas... mais vous devriez est capable de :</p>
<pre class="SCREEN">
       1) pinguer l'ext&eacute;rieur depuis la passerelle
        2) pinguer les machines locales depuis la passerelle
        3) pinguer la passerelle depuis les machines locales
</pre>
<p>Et cela <span class="emphasis"><i class=
"EMPHASIS">avant</i></span> que vous n'appliquiez le
masquerading</p>
</li>
<li>
<p>O&ugrave; dois-placer ces trucs?</p>
<p>- Dans le fichier <tt class=
"FILENAME">/etc/network/interfaces</tt>, ou firewall.rc. Si vous le
placez dans le fichier interfaces, mettez le avant l'activation de
l'interface r&eacute;seau externe, et placez "<b class=
"COMMAND">iptables -t nat -F</b>" apr&egrave;s la
d&eacute;sactivation de celle-ci.</p>
</li>
<li>
<p>How do I get it to only bring the ppp up on demand?</p>
<p>- Consid&eacute;rant que l'adresse IP de votre passerelle FAI
est 23.43.12.43 pour le bien-fond&eacute; de l'argument, then
rajoutez une ligne comme celle-ci:</p>
<p><b class="COMMAND">:23.43.12.43</b></p>
<p>&agrave; la fin du fichier<tt class=
"FILENAME">/etc/ppp/peers/provider</tt>. (Pour une adresse IP
dynamique). Pour une adresse IP statique : <b class=
"COMMAND">external.ip.number:23.43.12.43</b> )</p>
<p>A la fin de ce fichier, rajoutez une nouvelle ligne:</p>
<p><b class="COMMAND">demand</b></p>
<p>Le d&eacute;mon pppd restera en arri&egrave;re-plan pour
relancer la connection si elle est d&eacute;sactiv&eacute;e,
jusqu'&agrave; ce que vous faites un "<b class="COMMAND">ifdown
ppp0</b>" ou un "<b class="COMMAND">poff</b>", &agrave; moins que
vous n'ajoutiez une option "<b class="COMMAND">nopersist</b>" ,
dans chaque cas pppd s'arr&ecirc;tera une fois la connection
activ&eacute;e. Vous pouvez &eacute;galement ajouter une ligne
"<b class="COMMAND">idle 600</b>" pour d&eacute;connecter
apr&egrave;s 10 minutes d'inactivit&eacute;.</p>
</li>
<li>
<p>La connection reste inactive!</p>
<p>- Tout d'abord, avez-vous effectu&eacute; la proc&eacute;dure de
connection? Est-ce que cela fonctionne comme cela est
suppos&eacute;? V&eacute;rifiez le fichier<tt class=
"FILENAME">/etc/ppp/peers/provider</tt>, et assurez-vous que votre
connection marche bien avant d'essayer le masquerading.</p>
<p>- Deuxi&egrave;mement, si cela ne marche pas ( cela m'est
arriv&eacute; ), cela devient peut-&ecirc;tre &eacute;trange, et
vous devrez revenir &agrave; un noyau 2.4.3 et voir si cela marche
&agrave; la place.. je ne sais pas pourquoi.</p>
</li>
<li>
<p>Je n'aime pas faire cela moi-m&ecirc;me! Je voudrais un script
tout fait, une interface graphique.</p>
<p>- Bien s&ucirc;r: <a href="http://shorewall.sourceforge.net/"
target="_top">http://shorewall.sourceforge.net/</a></p>
<p>A d&eacute;guster sans restrictions!</p>
</li>
<li>
<p>Dois-je consid&eacute;rer les modems comme ayant une adresse IP
statique ou dynamique?</p>
<p>- Bonne question.. Vous devriez la placer en dynamique.</p>
</li>
<li>
<p>Dois-je consid&eacute;rer les cartes r&eacute;seaux DHCP comme
ayant des adresses IP statiques ou dynamiques?</p>
<p>- Elles sont dynamiques.</p>
</li>
<li>
<p>Comment traiter les services entrants?</p>
<p>- Essayez de laisser passer ou de rediriger les requ&ecirc;tes
en provenance de ces ports IP - encore une fois, assurez-vous de
les bloquer si n&eacute;cessaire.</p>
</li>
<li>
<p>Depuis les machines clientes, je peux pinguer l'adresse IP
externe de la passerelle Linux, mais je ne peux acc&eacute;der
&agrave; internet.</p>
<p>- Okay, essayez un "<b class="COMMAND">rmmod iptable_filter</b>"
- Plus d'info lorsque je les recevrai.</p>
<p>- Assurez-vous de ne pas avoir activ&eacute; le <span class=
"emphasis"><i class="EMPHASIS">routage</i></span> ou la
<span class="emphasis"><i class="EMPHASIS">passerelle</i></span> -
pour v&eacute;rifier l'activation : "<b class="COMMAND">ps aux |
grep -e routed -e gated</b>".</p>
<p>- Reportez-vous au site <a href="http://ipmasq.webhop.net/"
target="_top">http://ipmasq.webhop.net/</a></p>
</li>
<li>
<p>Comment visualiser les connections &eacute;tablies? Avec
netstat...</p>
<p>- Essayez la commande cat /proc/net/ip_conntrack</p>
</li>
<li>
<p>Je d&eacute;sire plus d'information sur le filtrage, le routage
et autres trucs!</p>
<p>- Lisez le Guide Pratique du routage avanc&eacute;
http://ftp.traduc.org/doc-vf/HOWTO/telechargement/html-1page/Adv-Routing-HOWTO.html</p>
</li>
<li>
<p>Ce guide pratique est une foutaise! Comment puis-je engueler le
gars qui l'a &eacute;crit?</p>
<p>- Allez sur le canal #debian sur irc.opensource.net, et
d&eacute;nichez JohnFlux. - Envoyez-moi un email (JohnFlux)
&agrave; tapselj0@cs.man.ac.uk</p>
</li>
<li>
<p>Cet How-To est nul! Comment puis-je obtenir de meilleurs
versions?</p>
<p>- Essayez <a href="http://ipmasq.cjb.net" target=
"_top">http://ipmasq.cjb.net</a></p>
<p>- Consultez la LDP Masq-HOWTO.</p>
</li>
<li>
<p>Sur quoi d'autres travaillez-vous?</p>
<p>Actuellement j'&eacute;cris un guide simplifi&eacute; pour Linux
sur des missiles anti-missile. Il n'existe pas de bons guides pour
d&eacute;butants concernant la protection de votre syst&egrave;me
en cas d'attaque nucl&eacute;aire Les gens semblent penser que
c'est une science arm&eacute;e ou autre..</p>
</li>
</ul>
</div>
</div>
</body>
</html>