Linux IP Masquerade mini HOWTO

Linux IP Masquerade mini HOWTO
Ambrose Au, [email protected]; David Ranch, dranch@trin�
net.net
Arnold, [email protected]
v1.50, 7 F�vrier 1999

Ce document d�crit la proc�dure pour mettre en place l'option IP mas�
querade sur un ordinateur Linux, permettant de connecter sur Internet
des ordinateurs n'ayant pas d'adresses IP r�serv�es, � travers votre
ordinateur Linux.
______________________________________________________________________

Table des mati�res

1. Introduction

1.1 Introduction
1.2 Mise en garde, Feedback et Cr�dits
1.3 Copyright & D�n�gation

2. Connaissances de base

2.1 Qu'est-ce que l'IP Masquerade?
2.2 O� cela en est ?
2.3 A qui peut �tre utile IP Masquerade?
2.4 Qui n'a pas besoin d'IP Masquerade?
2.5 Comment fonctionne IP Masquerade ?
2.6 Ce qui est requis pour utiliser IP Masquerade sur un Linux 2.2.x
2.7 Ce qui est requis pour utiliser IP Masquerade sur un Linux 2.0.x

3. Mise en place d'IP Masquerade

3.1 Compiler le noyau pour le support d'IP Masquerade
3.1.1 Noyaus Linux 2.2.x
3.1.2 Noyaux Linux 2.0.x
3.2 Assignation d'adresse IP pour le r�seau local
3.3 Configurer les AUTRES machines
3.3.1 Configurer Windows 95
3.3.2 Configurer Windows pour Workgroup 3.11
3.3.3 Configurer Windows NT
3.3.4 Configurer les syst�mes UNIX
3.3.5 Configuration sous DOS avec le package NCSA
3.3.6 Configuration des syst�mes MacOS utilisant MacTCP
3.3.7 Configuration des syst�mes MacOS utilisant Open Transport
3.3.8 Configurer un r�seau Novell utilisant le DNS
3.3.9 Configurer OS/2 Warp
3.3.10 Configurer les autres syst�mes
3.4 Configurer les r�gles d'IP Forwarding
3.4.1 Noyaux Linux 2.2.x
3.4.2 Noyaux Linux 2.0.x
3.5 Tester IP Masquerade

4. Autres sujets relatifs � IP Masquerade et au support logiciel

4.1 Probl�mes avec IP Masquerade
4.2 Services entrants
4.3 Programmes clients support�s et autres remarques pour la configuration
4.3.1 Les clients qui fonctionnent
4.3.2 Clients qui ne fonctionnent pas
4.3.3 Plateformes/Syst�mes d'exploitations test�s sur des machines clientes
4.4 Administration du firewall IP (ipfwadm)
4.5 Chaines IP Firewalling (ipchains)
4.6 L'IP Masquerade et la num�rotation � la demande.
4.7 Faire suivre les paquets avec IPautofw
4.8 CU-SeeMe et le mini-HOWTO Linux IP-Masquerade
4.8.1 Introduction
4.8.2 Le faire marcher...
4.8.3 Restrictions/Mise en garde
4.8.3.1 Reflecteurs prot�g� par mot de passe
4.8.3.2 Lancer un R�flecteur
4.8.3.3 Plusieurs utilisateurs de CU-SeeMe
4.8.3.4 Besoin d'aide pour CU-SeeMe ?
4.9 Autres outils en relation

5. Foire Aux Questions

5.1 Est-ce que IP Masquerade marche avec une IP dynamique ?
5.2 Puis-je utiliser des modems cable, DSL, liaison satellite, etc pour me connecter � Internet en utilisant IP masquerading ?
5.3 Quels sont les programmes qui fonctionnent avec l'IP Masquerade ?
5.4 Comment puis-je faire marcher l'IP Masquerading sur une RedHat, une Debian, une Slackware, etc ?
5.5 Je viens de passer au noyau 2.2.x et �a ne marche plus !
5.6 Je viens de mettre � jour mon noyau avec un 2.0.30 ou plus r�cent et �a ne marche plus !
5.7 Je n'arrive pas � faire marcher l'IP Masquerade ! Quelles sont les possibilit�s pour le faire avec Windows ?
5.8 J'ai tout v�rifi�, et �a ne marche toujours pas. Que dois-je faire ?
5.9 Comment je m'inscris � la liste IP Masquerade ?
5.10 Je veux aider au d�veloppement de l'IP Masquerading. Comment faire ?
5.11 O� puis-je trouver plus d'informations sur l'IP Masquerading ?
5.12 Je veux traduire ce HOWTO dans une autre langue. Comment faire ?
5.13 Ce HOWTO semble � l'abandon, vous vous en occupez toujours ? Pouvez vous inclure plus d'informations sur ... ? Comptez vous l'am�liorer ?
5.14 J'ai reussi � faire marcher l'IP Masquerade, c'est g�nial ! Qu'est ce que je pourrais faire pour vous remercier ?

6. Divers

6.1 Ressources utiles
6.2 Ressources sur l'IP Masquerade
6.3 Remerciements
6.4 R�ference

______________________________________________________________________

11.. IInnttrroodduuccttiioonn

11..11.. IInnttrroodduuccttiioonn

Ce document d�crit comment mettre en place l'option IP masquerade sous
Linux, afin de permettre � des ordinateurs n'ayant pas d'adresse IP
r�serv�e de se connecter � Internet � travers votre ordinateur. Il est
possible de connecter votre machine � l'h�te Linux gr�ce � de
l'Ethernet, aussi bien que d'autres types de connexions comme un lien
PPP. Ce document va se restreindre � une connexion Ethernet, puisque
c'est l'hypoth�se la plus probable.

CCee ddooccuummeenntt ssuuppppoossee qquuee vvoouuss uuttiilliisseezz lleess nnooyyaauuxx ssttaabblleess
22..22..xx oouu 22..00..xx.. LLeess aanncciieennnneess vveerrssiioonnss tteelllleess 11..22..xx nnee ssoonntt
PPAASS ccoouuvveerrtteess ppaarr ccee ddooccuummeenntt..

11..22.. MMiissee eenn ggaarrddee,, FFeeeeddbbaacckk eett CCrr��ddiittss

Je trouve que, en tant que d�butant, il est tr�s d�routant de mettre
en place l'IP masquerade sur un noyau r�cent, comme sur un de la s�rie
des 2.x. Bien qu'il y ait une FAQ et une mailing list, il n'y a pas de
documents sp�cifiques pour cela, et il y a des demandes sur la mailing
list pour des documents tels qu'un HOWTO. J'ai donc d�cid� d'�crire ce
document comme un point de d�part pour un nouvel utilisateur, et
peut-�tre comme un point de d�part pour qu'un utilisateur exp�riment�
�crive une v�ritable documentation. Si vous pensez que ce document
n'est pas parfait, n'h�sitez pas � m'en faire part afin que je puisse
l'am�liorer.

Ce document est largement inspir� de la FAQ de Ken Eves, ainsi que de
nombreux messages tr�s utiles de la mailing list d'IP Masquerading.
Je tiens � adresser des remerciements tout particuliers � M. Matthew
Driver qui, par ses messages sur la mailing list, m'a donn� envie de
mettre en place l'IP Masquerading et d'�crire ce document.

N'h�sitez pas � nous envoyer tout commentaire � [email protected] et
[email protected] pour toute erreur ou tout oubli dans ce document.
L'avenir de cet HOWTO sera fortement influenc� par les r�actions que
j'aurais de votre part.

CCee HHOOWWTTOO aa ��tt�� ccoonn��uu ppoouurr ��ttrree uunn gguuiiddee ppoouurr qquuee ll''IIPP MMaassqquueerraaddiinngg
ffoonnccttiioonnnnee cchheezz vvoouuss rraappiiddeemmeenntt.. CCoommmmee jjee nnee ssuuiiss ppaass uunn tteecchhnniicciieenn,,
iill ssee ppeeuutt qquuee vvoouuss ttrroouuvviieezz lleess iinnffoorrmmaattiioonnss ddee ccee ddooccuummeenntt mmooiinnss
gg��nn��rraalleess eett mmooiinnss oobbjjeeccttiivveess.. LLeess ddeerrnnii��rreess nnoouuvveelllleess eett iinnffoorrmmaattiioonnss
ppoouurrrroonntt ��ttrree ttrroouuvv��eess ssuurr llee ssiittee wweebb ddee ll''IIPP MMaassqquueerraaddiinngg RReessssoouurrccee,,
ddoonntt nnoouuss nnoouuss ooccccuuppoonnss.. SSii vvoouuss dd��ssiirreezz ppoosseerr ddeess qquueessttiioonnss
tteecchhnniiqquueess �� pprrooppooss dd''IIPP MMaassqquueerraaddee,, vveeuuiilllleezz ssoouussccrriirree �� llaa mmaaiilliinngg
lliisstt IIPP MMaassqquueerraaddee aauu lliieeuu ddee mm''eennvvooyyeerr ddeess mmaaiillss.. JJ''aaii ppeeuu ddee tteemmppss
ppoouurr vvoouuss rr��ppoonnddrree,, eett lleess dd��vveellooppppeeuurrss dd''IIPP__MMaassqq ssoonntt pplluuss �� mm��mmee ddee
rr��ppoonnddrree �� vvooss qquueessttiioonnss..

La derni�re version de ce document peut �tre obtenue � l'IP Masquerade
Ressource, qui distribue �galement des versions HTML et PostScript de
ce document :

� http://ipmasq.cjb.net/

� http://ipmasq2.cjb.net/

� Veuillez consulter la liste des Sites Mirrors de l'IP Masquerade
Ressource pour contacter un site plus proche de chez vous.

11..33.. CCooppyyrriigghhtt && DD��nn��ggaattiioonn

Ce document est copyright � 1999 Ambrose Au, et est un document
gratuit. Vous pouvez le redistribuer sous la licence GPL de GNU
(General Public License).

Toutes les informations contenues dans ce document sont l'�tat de mes
connaissances. Cependant, l'IP Masquerading est _e_x_p_�_r_i_m_e_n_t_a_l, et il y
a des chances que j'aie fait des erreurs ; c'est � vous de d�cider si
vous voulez suivre les informations contenues dans ce document.

Personne n'est responsable pour un quelconque dommage sur vos
ordinateurs ainsi qu'une quelconque autre perte due � l'utilisation
des informations contenues dans ce document. C'est � dire :

LL''AAUUTTEEUURR EETT LLEESS MMAAIINNTTEENNEEUURRSS NNEE SSOONNTT EENN AAUUCCUUNN CCAASS RREESSPPOONNSS��
AABBLLEESS DDEESS DDOOMMMMAAGGEESS OOCCCCAASSIIOONNNNEESS PPAARR LL''UUSSAAGGEE DDEESS IINNFFOORRMMAATTIIOONNSS
CCOONNTTEENNUUEESS DDAANNSS CCEE DDOOCCUUMMEENNTT,, QQUUEELLSS QQUU''IILLSS SSOOIIEENNTT..

22.. CCoonnnnaaiissssaanncceess ddee bbaassee

22..11.. QQuu''eesstt--ccee qquuee ll''IIPP MMaassqquueerraaddee??

L'IP Masquerade est une fonctionnalit� r�seau de Linux. Si un h�te
Linux est connect� � Internet avec l'option IP Masquerade en place,
alors les ordinateurs se connectant � celui-ci (que cela soit sur le
r�seau local ou par modem) peuvent atteindre Internet aussi, m�me _s_'_i_l
_n_'_o_n_t _p_a_s _d_'_a_d_r_e_s_s_e _I_P _o_f_f_i_c_i_e_l_l_e.

Cela permet � un ensemble de machines d'acc�der de mani�re _i_n_v_i_s_i_b_l_e �
Internet, cach� derri�re une passerelle, qui appara�t comme �tant le
seul syst�me utilisant la connexion Internet. Il devrait �tre
�norm�ment plus difficile de contourner un syst�me bas� sur le
masquerade, s'il est bien configur�, que de passer outre un bon
firewall effectuant du filtrage de paquets (en supposant qu'il n'y a
de bogues chez aucun des deux).

22..22.. OO�� cceellaa eenn eesstt ??

L'IP Masquerade est utilis� depuis quelques ann�es et murit alors que
Linux arrive dans les 2.2.x. Les noyaux, depuis la s�rie 1.3.x,
supportent en standard cette fonctionnalit�. De nombreuses personnes,
et m�me des entreprises l'utilisent, avec des r�sultats satisfaisants.

L'utilisation d'IP Masquerade pour parcourir le web, ou pour le telnet
est tout � fait satisfaisante. FTP, IRC, et l'�coute de Real Audio
fonctionnent en utilisant certains modules. D'autres technologies de
flux audio par r�seau, telles que True Speech et Internet Wave
fonctionnent �galement. Certaines personnes, abonn�es � la mailing
list ont m�me essay� des logiciels de vid�o-conf�rence. Ping
fonctionne � pr�sent, avec le nouveau patch pour ICMP.

Veuillez consulter la section 4.3 pour une liste compl�te des
logiciels support�s.

L'IP masquerade fonctionne convenablement avec des 'machines clientes'
utilisant divers syst�mes d'exploitation et diff�rentes plate-formes.
On a enregistr� des succ�s pour des syst�mes utilisant Unix, Windows
95, Windows NT, Windows pour Workgroups (avec l'extension TCP/IP),
OS/2, MacOS avec Mac TCP, Mac Open Transport, DOS avec le package NCSA
Telnet, VAX, Alpha sous Linux, et m�me Amiga avec AmiTCP ou la pile
AS225. La liste continue � n'en plus finir, en r�alit�, si votre
systeme d'exploitation parle TCP/IP, cela marcher avec l'IP
Masquerade.

22..33.. AA qquuii ppeeuutt ��ttrree uuttiillee IIPP MMaassqquueerraaddee??

� Si vous avez un h�te Linux connect� � Internet, et

� si vous avez un ou plusieurs ordinateurs utilisant TCP/IP, connect�
� cet h�te Linux sur un r�seau local, et/ou

� si votre h�te Linux a un ou plusieurs modems et joue le r�le de
serveur PPP ou SLIP, et que

� ces AAUUTTRREESS machines ne poss�dent pas d'adresse IP officielle (ces
machines seront d�sormais r�f�renc�es sous le nom de AAUUTTRREESS).

� et bien s�r, si vous d�sirez que ces AAUUTTRREESS machines soient
�galement connect�es sur Internet sans d�bourser un centime de
plus :-)

22..44.. QQuuii nn''aa ppaass bbeessooiinn dd''IIPP MMaassqquueerraaddee??

� Si votre machine est un h�te isol�, connect� sur Internet, alors
c'est inutile de mettre en place l'IP Masquerading, ou

� si vous avez d�j� obtenu des adresses officielles pour vos AAUUTTRREESS
machines, alors vous n'avez pas besoin d'IP Masquerade pour faire
un firewall,

� et bien s�r, si vous n'aimez pas l'id�e de connecter toutes les
AAUUTTRREESS machines gratuitement, de cette mani�re.

22..55.. CCoommmmeenntt ffoonnccttiioonnnnee IIPP MMaassqquueerraaddee ??

D'apr�s la FAQ IP Masquerade, de Ken Eves :

Voici un sch�ma du plus simple cas possible~:

SLIP/PPP +------------+ +-------------+
vers le provider | Linux | SLIP/PPP | Peu_importe |
<---------- modem1| |modem2 ----------- modem | |
111.222.333.444 | | 192.168.1.100 | |
+------------+ +-------------+

Dans le sch�ma ci-dessus, un ordinateur sous Linux, utilisant
ip_masquerading est connect� � Internet par un lien SLIP ou PPP, utilisant
modem1. Il poss�de l'adresse IP (officielle) 111.222.333.444. Il est
configur� de telle fa�on que modem2 permet aux appelants de se connecter
et d'initier une connexion PPP ou SLIP.

Le second syst�me (qui n'utilise par forc�ment Linux comme syst�me
d'exploitation) se connecte par modem sur l'h�te Linux et entame une
liaison SLIP ou PPP. Il NE poss�de PAS d'adresse IP officielle donc il
utilise 192.168.1.100 (voir ci-dessous).

Avec l'option ip_masquerade et un routage configur� correctement, la
machine Peu_importe peut interagir avec Internet comme si elle �tait
r�ellement connect�e (� quelques exceptions pr�s).

Pour citer Pauline Middlelink~: N'oublie pas de rappeler que la machine
Peu_importe doit d�clarer l'h�te Linux comme passerelle (que cela soit la
route par d�faut ou juste un sous r�seau importe peu). Si Peu_importe ne peut
pas le faire, l'h�te Linux devra faire du proxy arp pour toutes les adresses
rout�es, mais la mise en place du proxy arp est hors du domaine de ce
document.

Ce qui suit est l'extrait d'un article de comp.os.linux.networking qui a �t�
modifi� pour utiliser les noms des machines de l'exemple ci-dessus~:
o J'indique � la machine Peu_importe que le serveur Linux est sa
passerelle.
o Quand un paquet en provenance de Peu_importe arrive sur la machine Linux,
elle va lui assigner un nouveau num�ro de port, et indiquer sa propre
adresse IP dans l'ent�te du paquet, tout en sauvegardant l'ent�te
originale. Elle va alors envoyer le paquet modifi� � travers son
interface SLIP ou PPP, vers Internet.
o Lorsqu'un paquet en provenance d'Internet arrive sur la machine Linux, si
le num�ro de port est un de ceux assign�s � l'�tape pr�c�dente, elle va
modifier � nouveau l'ent�te pour y remettre les num�ros de port et
adresses IP originaux, et alors envoyer le paquet � la machine
Peu_importe.
o L'h�te qui a envoy� le paquet ne verra jamais la diff�rence.

UUnn eexxaammppllee dd''IIPP MMaassqquueerraaddiinngg

Voici ci-dessous le sch�ma d'un exemple classique :

+----------+
| | Ethernet
| Ordi A |::::::
| |2 ~:192.168.1.x
+----------+ ~:
~: +----------+ lien
+----------+ ~: 1| Linux | PPP
| | ~::::| masq-gate|:::::::::// Internet
| Ordi B |:::::: | |
| |3 ~: +----------+
+----------+ ~:
~:
+----------+ ~:
| | ~:
| Ordi C |::::::
| |4
+----------+

<-R�seau interne->

Il y a dans cet exemple 4 ordinateurs qui nous int�ressent (il y a
s�rement sur la droite quelque chose sur laquelle aboutit notre con�
nexion, et encore plus � droite une autre machine avec laquelle nous
�changeons des donn�es). L'ordinateur sous Linux masq-gate est la
passerelle qui effectue le masquerading pour le r�seau interne des
ordinateurs A, B, et C, afin de les relier � Internet. Le r�seau
interne utilise une des adresses assign�es des r�seaux priv�s, �
savoir dans ce cas le r�seau de classe C 192.168.1.0, l'ordinateur
Linux ayant l'adresse 192.168.1.1 et les autres ordinateurs ayant
d'autres adresses sur ce r�seau.

Les trois machines A, B et C (qui peuvent utiliser n'importe quel
syst�me d'exploitation, du moment qu'elles utilisent IP - comme par
exemple WWiinnddoowwss 9955, MMaacciinnttoosshh MMaaccTTCCPP ou m�me un autre Linux) peuvent
se connecter � n'importe qu'elle machine sur Internet, mais masq-gate
convertit toutes leurs connexions de fa�on � ce qu'elles semblent
provenir de masq-gate, et s'arrange pour que toutes les donn�es
revenant d'Internet retournent au syst�me qui en est � l'origine.
Ainsi, les ordinateurs du r�seau interne voient une route directe vers
Internet et ne sont pas au courant du fait que leurs donn�es ont �t�
"masquerad�es".

22..66.. CCee qquuii eesstt rreeqquuiiss ppoouurr uuttiilliisseerr IIPP MMaassqquueerraaddee ssuurr uunn LLiinnuuxx 22..22..xx

**** RR��ff��rreezz vvoouuss �� IIPP MMaassqquueerraaddee RReessoouurrccee
<<http://ipmasq.cjb.net/> pour les dernieres informations (en
anglais). **

� Les sources du noyau 2.2.x sont disponibles depuis
ftp://ftp.lip6.fr/pub/linux/kernel/sources/v2.2/
distributions de linux r�centes telle la RedHat 5.2 - livr�e avec
un noyau 2.0.36 - ont le un noyau modulaire avec toutes les options
n�cessaires a l'IP Masquerading compil�es. Dans ce genre de cas, il
n'y a pas besoin de recompiler le noyau. Si vous mettez a jour
votre noyau, alors vous devriez savoir ce dont vous avez besoin,
nous y reviendrons un peu plus loin).

� Modules chargeables dynamiquement, de pr�f�rence avec un 2.1.121 ou
plus r�cent.

� Ainsi qu'un r�seau TCP/IP en bon �tat de marche
Linux NET-3 HOWTO
<http://www.freenix.org/unix/linux/HOWTO/NET-3-HOWTO.html> et dans
le Guide de l'administrateur r�seau
<ftp://ftp.ibp.fr/pub/linux/french/books/nag.french.eoit-1.0.tar.gz>
Trinity OS Doc
<http://www.ecst.csuchico.edu/~dranch/LINUX/TrinityOS.wri>, une
documentation tres simple sur Linux et le reseau.

� Connectivity to Internet for your Linux host

� IP Chains 1.3.8 ou plus r�cent, disponible sur
http://www.rustcorp.com/linux/ipchains/
les diff�rentes versions, visitez Linux IP Firewalling Chains page
<http://www.rustcorp.com/linux/ipchains/>

� Pour d'autres options, r�f�rez vous � Linux IP Masquerade Resource
<http://ipmasq.cjb.net/>

22..77.. CCee qquuii eesstt rreeqquuiiss ppoouurr uuttiilliisseerr IIPP MMaassqquueerraaddee ssuurr uunn LLiinnuuxx 22..00..xx

**** VVeeuuiilllleezz ss''iill vvoouuss ppllaa��tt ccoonnssuulltteerr ll''IIPP MMaassqquueerraaddee
RReessoouurrccee ppoouurr lleess ddeerrnnii��rreess iinnffoorrmmaattiioonnss..****

� Les sources d'un noyau de la s�rie 2.x, disponibles sur
ftp://ftp.ibp.fr/pub/linux/kernel/sources/v2.0/
distributions de linux r�centes telle la RedHat 5.2 ont le un noyau
modulaire avec toutes les options n�cessaires a l'IP Masquerading
compil�es. Dans ce genre de cas, il n'y a pas besoin de recompiler
le noyau. Si vous mettez � jour votre noyau, alors, vous devriez
savoir ce dont vous avez besoin, nous y reviendrons un peu plus
loin).

� Les modules chargeables � la demande, de pr�f�rence la version
2.0.0 (ou ult�rieure), disponible sur
ftp://ftp.ibp.fr/pub/linux/kernel/sources/v2.0/modules-2.0.0.tar.gz
(modules-1.3.57 �tant le minimum)

� Un r�seau TCP/IP fonctionnant convenablement
Trinity OS Doc
<http://www.ecst.csuchico.edu/~dranch/LINUX/TrinityOS.wri>, une
documentation tr�s simple sur Linux et le r�seau.

� Un acc�s Internet pour votre h�te Linux

� Ipfwadm 2.3, t�l�chargeable sur
ftp://ftp.xos.nl/pub/linux/ipfwadm/ipfwadm-2.3.tar.gz
d'informations sur Linux IPFWADM page
<http://www.xos.nl/linux/ipfwadm/>

� Vous pouvez, si vous le souhaitez, appliquer certains patches pour
mettre en place certaines fonctionnalit�s. Vous trouverez plus
d'informations sur la page des IP Masquerade Resources (ces patches
s'appliquent � tout noyau de la s�rie 2.0.x).

33.. MMiissee eenn ppllaaccee dd''IIPP MMaassqquueerraaddee

SSii vvoottrree rr��sseeaauu pprriivv�� ccoonnttiieenntt ddeess iinnffoorrmmaattiioonnss vviittaalleess,,
rreeppeennsseezz yy �� ddeeuuxx ffooiiss aavvaanntt dd''uuttiilliisseerr IIPP MMaassqquueerraaddee.. CCeellaa
ccoonnssttiittuuee uunnee ppaasssseerreellllee ppoouurr vvoouuss,, ppoouurr aatttteeiinnddrree IInntteerrnneett,,
mmaaiiss llaa rr��cciipprrooqquuee eesstt vvrraaiiee eett qquueellqquu''uunn ssuurr IInntteerrnneett ppoouurr��
rraaiitt pp��nn��ttrreerr ssuurr vvoottrree rr��sseeaauu pprriivv��..

33..11.. CCoommppiilleerr llee nnooyyaauu ppoouurr llee ssuuppppoorrtt dd''IIPP MMaassqquueerraaddee

SSii vvoottrree ddiissttrriibbuuttiioonn ddee LLiinnuuxx aa dd��jj�� lleess ffoonnccttiioonnnnaalliitt��ss
nneecceessssaaiirreess eett lleess mmoodduulleess ddee ccoommppiill��ss ((llaa mmaajjoorriitt�� ddeess nnooyy��
aauuxx mmoodduullaaiirreess aauurroonntt ccee ddoonntt vvoouuss aavveezz bbeessooiinn)) mmeennttiioonnnn��ss
ccii--ddeessssoouuss,, aalloorrss vvoouuss nn''aavveezz ppaass �� rreeccoommppiilleerr llee nnooyyaauu.. LLaa
lleeccttuurree ddee cceettttee sseeccttiioonn eesstt qquuaanndd mmeemmee llaarrggeemmeenntt rreeccoomm��
mmaanndd��ee ccaarr eellllee ccoonnttiieenntt aauussssii dd''aauuttrreess iinnffoorrmmaattiioonnss ttrr��ss
uuttiilleess..

33..11..11.. NNooyyaauuss LLiinnuuxx 22..22..xx

� Tout d'abord, Vous avez besoin des sources du noyau 2.2.x

� Si c'est la premiere fois que vous compilez un noyau, ne vous
inquietez pas, en fait, c'est assez facile et tout est expliqu�
dans Linux Kernel HOWTO
<http://www.freenix.org/unix/linux/HOWTO/Kernel-HOWTO.html>.

� D�compressez les sources du noyau dans /usr/src/ avec la commande :
tar xvzf linux-2.2.x.tar.gz -C /usr/src, ou x est la version du
noyau.
appel� linux )

� Appliquez les patchs appropri�s. Comme de nouveaux patch sortent
r�gulierement, les d�tails ne sont pas d�crits ici. R�f�rez vous �
IP Masquerade Resources <http://ipmasq.cjb.net/> pour des
informations au jour le jour.

� R�f�rez vous au Kernel HOWTO et au fichier README des sources du
noyau pour plus d'informations sur la compilation d'un noyau.

� Voici les options que vous devez compiler :

Dites _Y_E_S aux options suivantes :

* Prompt for development and/or incomplete code/drivers
CONFIG_EXPERIMENTAL
- Ceci vous permettra de selectionner le code experimental IP Masquerade.

* Enable loadable module support
CONFIG_MODULES
- Vous permet de charger les modules ipmasq tel ip_masq_ftp.o

* Networking support
CONFIG_NET

* Network firewalls
CONFIG_FIREWALL

* TCP/IP networking
CONFIG_INET

* IP: forwarding/gatewaying
CONFIG_IP_FORWARD

* IP: firewalling
CONFIG_IP_FIREWALL

* IP: masquerading
CONFIG_IP_MASQUERADE

* IP: ipportfw masq support
CONFIG_IP_MASQUERADE_IPPORTFW
- Recommand�

* IP: ipautofw masquerade support
CONFIG_IP_MASQUERADE_IPAUTOFW
- Optionnel

* IP: ICMP masquerading
CONFIG_IP_MASQUERADE_ICMP
- Support pour masquerader les paquets ICMP, recommand�

* IP: always defragment
CONFIG_IP_ALWAYS_DEFRAG
- Chaudement recommand�

* Dummy net driver support
CONFIG_DUMMY
- Recommand�

* IP: ip fwmark masq-forwarding support
CONFIG_IP_MASQUERADE_MFW
- Optionnel

NOTE : Voici juste les composants qu'il faut pour que l'IP Masquerade
marche, selectionnez les options sp�cifiques dont vous avez besoin
pour votre systeme.

� Apr�s avoir compil� le noyau, vous devriez compiler et installer
les modules :

make modules; make modules_install

� Enfin, vous devriez ajouter quelques lignes dans votre
/etc/rc.d/rc.local (ou le fichier que vous trouvez plus appropri�)
pour charger les modules r�sidants dans /lib/modules/2.2.x/ipv4/
automatiquement � chaque red�marrage.

.
.
.
/sbin/depmod -a
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_raudio
/sbin/modprobe ip_masq_irc
(Et d'autres modules tels ip_masq_cuseeme, ip_masq_vdolive
Si vous avez appliqu�s les patchs)
.
.
.

IIMMPPOORRTTAANNTT:: IIPP ffoorrwwaarrddiinngg eesstt dd��ssaaccttiivv�� ppaarr dd��ffaauutt ppoouurr lleess nnooyyaauuxx
22..22..xx,, aalloorrss,, aassssuurreezz vvoouuss ddee bbiieenn ll''aavvooiirr aaccttiivv�� eenn ffaaiissaanntt ::
/proc/sys/net/ipv4/ip_forwarding

Pour les utilisateurs de RedHat, vous pouvez essayer de changer FOR�
WARD_IPV4=false en FORWARD_IPV4=true dans /etc/sysconfig/network

� Finalement, red�marrez votre machine.

33..11..22.. NNooyyaauuxx LLiinnuuxx 22..00..xx

� Vous devez tout d'abord disposer des sources du noyau (de
pr�f�rence la derniere version 2.0.36 ou plus r�cente).

� Si c'est la premi�re fois que vous compilez votre noyau, ne soyez
pas effray�. En fait, c'est pl�tot simple, et tout est expliqu�
dans le Kernel HOWTO
<http://www.freenix.org/unix/linux/HOWTO/Kernel-HOWTO.html>

� D�compressez les sources du noyau dans /usr/src/ avec la commande
tar xvzf linux-2.0.x.tar.gz -C /usr/src, o� x est le num�ro de
r�vision du noyau.
symbolique nomm� linux)

� Appliquez les patches appropri�s. Comme de nouveaux patches sortent
souvent, aucun d�tail ne sera inclus ici. R�f�rez vous � l'IP
Masquerade Resources pour une information r�cente.

� Veuillez consulter le Kernel HOWTO et le fichier README dans le
r�pertoire des sources du noyau pour plus d'informations sur la
compilation d'un noyau.

� Voici les options que vous devrez utiliser :

R�pondre _Y_E_S � :

* Prompt for development and/or incomplete code/drivers
CONFIG_EXPERIMENTAL
- Cela vous permettra de pouvoir s�lectionner IP Masquerade,
qui est exp�rimental.

* Enable loadable module support
CONFIG_MODULES
- Permet le chargement des modules.

* Networking support
CONFIG_NET

* Network firewalls
CONFIG_FIREWALL

* TCP/IP networking
CONFIG_INET

* IP: forwarding/gatewaying
CONFIG_IP_FORWARD

* IP: firewalling
CONFIG_IP_FIREWALL

* IP: masquerading (EXPERIMENTAL)
CONFIG_IP_MASQUERADE
- bien que cela soit exp�rimental, il *FAUT* l'int�grer

* IP: ipautofw masquerade support (EXPERIMENTAL)
CONFIG_IP_MASQUERADE_IPAUTOFW
-recommended

* IP: ICMP masquerading
CONFIG_IP_MASQUERADE_ICMP
- support for masquerading ICMP packets, optionnel.

* IP: always defragment
CONFIG_IP_ALWAYS_DEFRAG
- tr�s recommend�

* Dummy net driver support
CONFIG_DUMMY
- recommend�

NB : Ce sont juste les composants dont vous avez besoin pour l'IP
Masquerade. Ajoutez toute autre option n�cessaire pour votre
configuration personnelle.

� Une fois le noyau compil�, compilez et installez les modules :

make modules; make modules_install

� Ajoutez alors quelques lignes dans votre fichier /etc/rc.d/rc.local
(ou dans le fichier appropri�), pour charger automatiquement les
modules n�cessaires dans /lib/modules/2.0.x/ipv4/, apr�s chaque
reboot :

.
.
.
/sbin/depmod -a
/sbin/modprobe ip_masq_ftp.o
/sbin/modprobe ip_masq_raudio.o
/sbin/modprobe ip_masq_irc.o
(et tout autre module, comme ip_masq_cuseeme, ip_masq_vdolive si vous avez appliqu� les patches)
.
.
.

IIMMPPOORRTTAANNTT:: IIPP ffoorrwwaarrddiinngg eesstt dd��ssaaccttiivv�� ppaarr dd��ffaauutt ddeeppuuiiss llee nnooyyaauu
22..00..3344 aalloorrss,, aassssuurreezz vvoouuss ddee bbiieenn ll''aavvooiirr aaccttiivv�� eenn ffaaiissaanntt ::
/proc/sys/net/ipv4/ip_forwarding

Pour les utilisateurs de RedHat, vous pouvez essayer de changer FOR�
WARD_IPV4=false en FORWARD_IPV4=true dans /etc/sysconfig/network

� Finalement, red�marrez votre machine.

33..22.. AAssssiiggnnaattiioonn dd''aaddrreessssee IIPP ppoouurr llee rr��sseeaauu llooccaall

Puisque toutes les AAUUTTRREESS machines n'ont pas d'adresse IP officielle,
il faut leur en allouer de mani�re intelligente.

Selon la FAQ d'IP Masquerade :

Il existe un RFC (#1597, qui doit etre obsolete maintenant) qui
indique quelles adresses IP assigner � un r�seau non connect�. Il
existe 3 plages r�serv�es sp�cialement � cet effet. Une de celles que
j'utilise est un sous r�seau de classe C, faisant partie de la plage
allant de 192.168.1.n � 192.168.255.n.

Selon le RFC 1597~:

Section 3~: Adressage de r�seaux priv�s

L' "Internet Assigned Numbers Authority" (IANA) a r�serv� les 3 plages
suivantes pour leur utilisation par des r�seaux priv�s~:

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

Nous ferons r�f�rence � la premi�re en tant que la "plage de 24 bits", la
deuxi�me comme "plage de 20 bits" et la troisi�me comme "plage de 16 bits".
Notez que la premi�re plage n'est rien d'autre qu'un r�seau de classe A, la
deuxi�me un ensemble de 16 r�seaux de classe B contigus, et la troisi�me un
ensemble de 255 r�seaux de classe C contigus.

Ainsi, si vous utilisez un r�seau de classe C, vous devrez utiliser
les adresses IP 192.168.1.1, 1.92.168.1.2, 1.92.168.1.3, ...,
192.168.1.x

192.168.1.1 est habituellement la machine passerelle, qui est ici
votre machine Linux se connectant � Internet. Remarquez que
192.168.1.0 et 192.168.1.255 sont respectivement les adresses de
r�seau et de broadcast, qui sont r�serv�es. Evitez d'utiliser ces
adresses sur vos machines.

33..33.. CCoonnffiigguurreerr lleess AAUUTTRREESS mmaacchhiinneess

En plus d'affecter les adresses IP pour chaque machine, vous devrez
indiquer la bonne passerelle. En g�n�ral, c'est plut�t simple. Vous
entrez juste l'adresse de votre machine Linux (g�n�ralement
192.168.1.1) en tant qu'adresse de passerelle.

Pour le DNS, vous pouvez utiliser n'importe quel DNS utilisable. Le
plus simple est d'utiliser celui qu'utilise votre machine Linux. Vous
pouvez aussi, si vous le d�sirez, ajouter des suffixes d'ordre de
recherche DNS.

Une fois configur�es ces adresses IP, n'oubliez pas de relancer les
programmes concern�s, ou de rebooter vos machines.

Les instructions de configuration qui suivent supposent que vous
utilisez un r�seau de classe C, et que votre machine Linux a pour
adresse 192.168.1.1. Notez que 192.168.1.0 et 192.168.1.255 sont
r�serv�es.

33..33..11.. CCoonnffiigguurreerr WWiinnddoowwss 9955

1. Si vous n'avez pas install� votre carte r�seau et son driver,
faites le maintenant.

2. Allez dans _P_a_n_n_e_a_u _d_e _c_o_n_f_i_g_u_r_a_t_i_o_n _/ _R_�_s_e_a_u .

3. Ajoutez le _p_r_o_t_o_c_o_l_e _T_C_P_/_T_P si ce n'est pas d�j� fait.

4. Dans les _p_r_o_p_r_i_�_t_�_s _d_e _T_C_P_/_I_P, allez dans _A_d_r_e_s_s_e _I_P et entrez
votre adresse IP, 192.168.1.x (1 < x < 255). Fixez le _M_a_s_q_u_e _d_e
_s_o_u_s _r_�_s_e_a_u � 255.255.255.0

5. Ajoutez 192.168.1.1 dans _P_a_s_s_e_r_e_l_l_e.

6. Dans _C_o_n_f_i_g_u_r_a_t_i_o_n _/ _O_r_d_r_e _d_e _r_e_c_h_e_r_c_h_e _D_N_S, ajoutez le DNS
qu'utilise votre machine Linux (que l'on peut trouver dans
/etc/resolv.conf). Vous pouvez �ventuellement ajouter les suffixes
de domaine ad�quats.

7. Laissez les autres param�tres tels quels, � moins que vous sachiez
ce que vous faites.

8. Cliquez sur _O_K dans toutes les bo�tes de dialogue et relancez le
syst�me.

9. Pinguez la machine Linux pour tester la connexion r�seau : _D_�_m_a_r_r_e_r
_/ _E_x_e_c_u_t_e_r, tapez: ping 192.168.1.1
de connexion locale, vous ne pouvez pas encore pinguer
l'ext�rieur).

10.
Vous pouvez �ventuellement cr��r un fichier HOSTS dans le
r�pertoire de Windows, pour que vous puissiez utiliser les noms
d'h�tes des autres machines de votre r�seau local. Il y a un
exemple nomm� HOSTS.SAM dans le r�pertoire Windows.
33..33..22.. CCoonnffiigguurreerr WWiinnddoowwss ppoouurr WWoorrkkggrroouupp 33..1111

1. Si vous n'avez pas encore install� votre carte r�seau et son
driver, faites le maintenant.

2. Installez le package TCP/IP 32b si ce n'est pas d�j� fait.

3. Dans _G_r_o_u_p_e _P_r_i_n_c_i_p_a_l _/ _I_n_s_t_a_l_l_a_t_i_o_n _/ _C_o_n_f_i_g_u_r_a_t_i_o_n _r_�_s_e_a_u,
cliquez sur _D_r_i_v_e_r_s.

4. S�l�ctionnez _M_i_c_r_o_s_o_f_t _T_C_P_/_I_P_-_3_2 _3_._1_1_b dans la section _D_r_i_v_e_r_s
_R_�_s_e_a_u_x. Choisissez _C_o_n_f_i_g_u_r_a_t_i_o_n.

5. Saisissez l'adresse IP 192.168.1.x (1 < x < 255), et positionnez le
masque de sous r�seau � 255.255.255.0 et la passerelle par d�faut �
192.168.1.1.

6. Ne s�lectionnez pas _C_o_n_f_i_g_u_r_a_t_i_o_n _a_u_t_o_m_a_t_i_q_u_e _D_H_C_P et mettez
n'importe quoi dans la case _S_e_r_v_e_r _W_I_N_S, � moins que vous ne
fassiez partie d'un domaine Windows NT et que vous sachiez ce que
vous faites.

7. Cliquez sur _D_N_S, et remplissez les informations appropri�s,
mentionn�es � l'�tape 6 de la section 3.3.1. Cliquez sur _O_K une
fois que c'est fini.

8. Cliquez sur _C_o_n_f_i_g_u_r_a_t_i_o_n _a_v_a_n_c_�_e, cochez _U_t_i_l_i_s_e_r _l_e _D_N_S _p_o_u_r _l_a
_r_�_s_o_l_u_t_i_o_n _d_e _n_o_m_s, et _U_t_i_l_i_s_e_r _L_M_H_O_S_T_S si vous utilisez un fichier
de r�solution, comme celui mentionn� � l'�tape 10 de la section
3.3.1.

9. Cliquez alors sur _O_K sur toutes les boites de dialogue, et
red�marrez le syst�me.

10.
Pingez la machine Linux pour tester la connexion r�seau : _F_i_c_h_i_e_r _/
_E_x_�_c_u_t_e_r, taper : ping 192.168.1.1
connexion locale, vous ne pouvez pas encore pinger le monde
ext�rieur.

33..33..33.. CCoonnffiigguurreerr WWiinnddoowwss NNTT

1. Si vous n'avez pas encore install� votre carte r�seau et son
driver, faites le maintenant.

2. Allez dans _G_r_o_u_p_e _P_r_i_n_c_i_p_a_l _/ _P_a_n_n_e_a_u _d_e _c_o_n_f_i_g_u_r_a_t_i_o_n _/ _R_�_s_e_a_u.

3. Ajoutez le protocole TCP/IP et les composants qui s'y rattachent
depuis le menu _A_j_o_u_t _d_e _l_o_g_i_c_i_e_l_s si vous n'avez pas encore
install� le service TCP/IP.

4. Dans la section _L_o_g_i_c_i_e_l _e_t _c_a_r_t_e _r_�_s_e_a_u, s�lectionnez _P_r_o_t_o_c_o_l_e
_T_C_P_/_I_P dans la boite de choix _L_o_g_i_c_i_e_l_s _r_�_s_e_a_u_x _i_n_s_t_a_l_l_�_s.

5. Dans _C_o_n_f_i_g_u_r_a_t_i_o_n _T_C_P_/_I_P, s�lectionnez l'adaptateur r�seau
appropri�es, par exemple [1]Novell NE2000 Adapter. Entrez l'adresse
IP 192.168.1.x (1 < x < 255), positionnez le masque de sous r�seau
sur 255.255.255.0 et la passerelle par d�faut � 192.168.1.1.

6. Ne s�lectionnez pas _C_o_n_f_i_g_u_r_a_t_i_o_n _a_u_t_o_m_a_t_i_q_u_e _D_H_C_P et mettez
n'importe quoi dans la case _S_e_r_v_e_r _W_I_N_S, � moins que vous ne
fassiez partie d'un domaine Windows NT et que vous sachiez ce que
vous faites.
7. Cliquez sur _D_N_S, et remplissez les informations appropri�s,
mentionn�es � l'�tape 6 de la section 3.3.1. Cliquez sur _O_K une
fois que c'est fini.

8. Cliquez sur _C_o_n_f_i_g_u_r_a_t_i_o_n _a_v_a_n_c_�_e, cochez _U_t_i_l_i_s_e_r _l_e _D_N_S _p_o_u_r _l_a
_r_�_s_o_l_u_t_i_o_n _d_e _n_o_m_s, et _U_t_i_l_i_s_e_r _L_M_H_O_S_T_S si vous utilisez un fichier
de r�solution, comme celui mentionn� � l'�tape 10 de la section
3.3.1.

9. Cliquez alors sur _O_K sur toutes les boites de dialogue, et
red�marrez le syst�me.

10.
Pingez la machine Linux pour tester la connexion r�seau : _F_i_c_h_i_e_r _/
_E_x_�_c_u_t_e_r, taper : ping 192.168.1.1
connexion locale, vous ne pouvez pas encore pinger le monde
ext�rieur).

33..33..44.. CCoonnffiigguurreerr lleess ssyysstt��mmeess UUNNIIXX

1. Si vous n'avez pas encore install� votre carte r�seau et recompil�
votre noyau avec le driver ad�quat, faites le maintenant.

2. Installez des outils TCP/IP, comme par exemple le package nettools,
si ce n'est d�j� fait.

3. Affectez _I_P_A_D_D_R � 192.168.1.x (1 < x < 255), puis _N_E_T_M_A_S_K �
255.255.255.0, _G_A_T_E_W_A_Y � 192.168.1.1 et _B_R_O_A_D_C_A_S_T � 192.168.1.255.
Par exemple, sur les syst�mes Red Hat Linux, vous pouvez �diter le
fichier /etc/sysconfig/network-scripts/ifcfg-eth0, ou simplement le
faire par l'interm�diaire du _C_o_n_t_r_o_l _P_a_n_e_l.
sur SunOS, BSDi, Slackware Linux, etc...)

4. Ajoutez l'adresse IP de votre DNS et votre ordre de recherche DNS
dans /etc/resolv.conf.

5. Il sera �ventuellement n�cessaire de mettre � jout le fichier
/etc/networks, selon votre configuration.

6. Red�marrez les services ad�quats, ou, plus simplement, red�marrez
votre syst�me.

7. Testez votre connexion avec la passerelle en utilisant la commande
ping : ping 192.168.1.1.
local, vous ne pouvez pas encore pinger l'ext�rieur.

33..33..55.. CCoonnffiigguurraattiioonn ssoouuss DDOOSS aavveecc llee ppaacckkaaggee NNCCSSAA

1. Si vous n'avez pas encore install� votre carte r�seau, faites le
maintenant.

2. Chargez le driver ad�quat. Pour une carte NE2000, tapez nwpd 0x60
10 0x300, si votre carte utilise l'IRQ 10 et l'adresse
d'entr�e/sortie 0x300.

3. Cr�ez un nouveau r�pertoire, et d�compressez-y l'archive NCSA
Telnet : pkunzip tel2308b.zip

4. Utilisez un �diteur de texte pour ouvrir le fichier config.tel.

5. Affectez myip=192.168.1.x (1 < x < 255), et netmask=255.255.255.0.

6. Dans cet exemple, vous auriez � r�gler hardware=packet,
interrupt=10, ioaddr=60.

7. Vous devriez avoir au moins une seule machine d�clar�e comme
passerelle, � savoir la machine sous Linux :

name=default
host=le_nom_de_votre_hote_linux hostip=192.168.1.1 gateway=1

8. Pour mettre en place le DNS :

name=dns.domain.com~; hostip=123.123.123.123; nameserver=1

NB: remplacez les champs par les informations qu'utilise votre machine
Linux.

9. Sauvegardez votre nouveau fichier config.tel.

10.
Lancez un telnet vers la machine Linux pour tester la connexion
r�seau : telnet 192.168.1.1.

33..33..66.. CCoonnffiigguurraattiioonn ddeess ssyysstt��mmeess MMaaccOOSS uuttiilliissaanntt MMaaccTTCCPP

1. Si vous n'avez pas encore install� le driver pour votre carte
Ethernet, �a serait une excellente id�e de le faire maintenant.

2. Ouvrez le _T_a_b_l_e_a_u _d_e _b_o_r_d _M_a_c_T_C_P. Selectionnez le driver r�seau
adapt� (Ethernet, PAS EtherTalk) et cliquez sur le bouton.

3. Dans la section _O_b_t_e_n_i_r _l_'_a_d_r_e_s_s_e, s�lectionnez _M_a_n_u_e_l_l_e_m_e_n_t.

4. Dans _A_d_r_e_s_s_e _I_P, choisissez _c_l_a_s_s _C dans le menu d�roulant. Vous
pouvez ignorer le reste de cette boite de dialogue.

5. Remplissez la section _I_n_f_o_r_m_a_t_i_o_n _D_N_S avec les informations qui
conviennent.

6. Dans _A_d_r_e_s_s_e _d_e _l_a _p_a_s_s_e_r_e_l_l_e, entrez 192.168.1.1.

7. Cliquez sur _O_K pour sauvegarder les changements. Dans la fen�tre
principale du _T_a_b_l_e_a_u _d_e _b_o_r_d _M_a_c_T_C_P, entrez l'adresse IP de votre
Mac (192.168.1.x, 1 < x < 255) dans la zone _A_d_r_e_s_s_e _I_P.

8. Refermez le _T_a_b_l_e_a_u _d_e _b_o_r_d _M_a_c_T_C_P. Si une boite de dialogue vous
demande de red�marrer le syst�me, faites le.

9. Vous pouvez si vous le d�sirez pinger l'h�te Linux pour tester la
connexion r�seau. Si vous avez le programme freeware _M_a_c_T_C_P
_W_a_t_c_h_e_r, cliquez sur le bouton _P_i_n_g et entrez l'adresse de votre
h�te Linux (192.168.1.1) dans la bo�te de dialogue qui apparait.
(C'est uniquement une connexion locale, vous ne pouvez pas encore
pinger l'ext�rieur).

10.
Vous pouvez, si vous le d�sirez, cr�er un fichier Hosts dans votre
dossier syst�me, pour pouvoir utiliser les noms d'h�te des machines
de votre r�seau local. Le fichier devrait d�j� exister dans votre
dossier syst�me, et contenir quelques exemples comment�s, que vous
n'avez qu'� modifier pour correspondre � vos besoins.

33..33..77.. CCoonnffiigguurraattiioonn ddeess ssyysstt��mmeess MMaaccOOSS uuttiilliissaanntt OOppeenn TTrraannssppoorrtt

1. Si vous n'avez pas encore install� le driver pour votre carte
Ethernet, �a serait une excellente id�e de le faire maintenant.

2. Ouvrez le _T_a_b_l_e_a_u _d_e _b_o_r_d _T_C_P_/_I_P et choisissez _M_o_d_e _u_t_i_l_i_s_a_t_e_u_r_._._.
dans le menu _E_d_i_t_i_o_n. Assurez nous que le mode utilisateur est mis
au niveau _A_v_a_n_c_� et cliquez sur le bouton _O_K.

3. Choisissez _C_o_n_f_i_g_u_r_a_t_i_o_n_s_._._. depuis le menu _F_i_c_h_i_e_r. S�lectionnez
la configuration _P_a_r _d_�_f_a_u_t et cliquez sur le bouton _R_e_c_o_p_i_e_r.
Entrez

Masq'
s'agit d'une configuration sp�ciale) dans la boite de dialogue _C_o_n_�
_f_i_g_u_r_a_t_i_o_n _d_e _c_o_p_i_e. Cliquez sur le bouton _O_K puis sur _R_e_n_d_r_e
_a_c_t_i_v_e.

4. S�lectionnez _E_t_h_e_r_n_e_t depuis le menu _S_e _c_o_n_n_e_c_t_e_r _v_i_a_._._..

5. S�lectionnez l'option qui convient dans le menu _C_o_n_f_i_g_u_r_a_t_i_o_n. Si
vous ne savez pas quelle option choisir, vous devriez sans doute
res�lectionner la configuration par d�faut et quitter. Je choisis
_M_a_n_u_e_l_l_e_m_e_n_t.

6. Saisissez l'adresse IP de votre Mac (192.168.1.x, 1 < x < 255) dans
la zone _A_d_r_e_s_s_e _I_P.

7. Mettez le _M_a_s_q_u_e _d_e _s_o_u_s _r_�_s_e_a_u � 255.255.255.0.

8. L'_A_d_r_e_s_s_e _d_e _r_o_u_t_e_u_r est 192.168.1.1.

9. Remplissez la case _A_d_r_e_s_s_e _d_u _D_N_S en y mettant votre adresse IP.

10.
Entrez le nom de votre domaine Internet (par exemple
'microsoft.com') dans la boite de dialogue _O_r_d_r_e _d_e _r_e_c_h_e_r_c_h_e _D_N_S.

11.
La proc�dure suivante est optionnelle. L'utilisation de valeurs
incorrectes peut entrainer des comportements inattendus. Si vous ne
savez pas ce que vous faites, il vaut mieux ne pas y toucher, et si
n�cessaire vider les cases et zones de s�lection. Pour ce que j'en
sais, il n'est pas possible, par l'interm�diaire des boites de
dialogue, de demander au syst�me de ne pas utiliser un fichier
"Hosts" s�lectionn� pr�c�demment. Si vous saviez comment faire, je
serais tr�s int�ress�.
votre r�seau n�cessite des paquets de type 802.3.

12.
Cliquez sur le bouton _O_p_t_i_o_n_s_._._. pour vous assurer que le TCP/IP
est activ�. J'utilise l'option _C_h_a_r_g_e_r _u_n_i_q_u_e_m_e_n_t _s_i _b_e_s_o_i_n. Si
vous lancez et quittez des applications utilisant TCP/IP assez
souvent, sans relancer votre machine, vous pourrez sans doute
d�s�lectionner _C_h_a_r_g_e_r _u_n_i_q_u_e_m_e_n_t _s_i _b_e_s_o_i_n pour diminuer les
effets sur le gestionnaire m�moire de votre machine. Lorsque
l'option est d�s�lectionn�e, les piles du protocole TCP/IP sont
toujours en m�moire et pr�tes � l'emploi. Si l'option est coch�e,
la pile TCP/IP est automatiquement charg�e lorsqu'elle est
n�cessaire, et d�charg�e sinon. Le processus de la charger et la
d�charger en m�moire peut fragmenter la m�moire de votre
ordinateur.

13.
Pingez la machine Linux pour tester la connexion r�seau. Si vous
avez le programme freeware _M_a_c_T_C_P _W_a_t_c_h_e_r, cliquez sur le bouton
_P_i_n_g, et entrez l'adresse de votre machine Linux (192.168.1.1) dnas
la boite de dialogue qui apparait. (C'est une connexion locale,
vous ne pouvez pas encore pinger l'ext�rieur).

14.
Vous pouvez cr�er un fichier Hosts dans votre dossier Syst�me, pour
pouvoir utiliser les noms d'hotes de votre r�seau local. Le fichier
peut exister ou non dans votre dossier Syst�me. Si c'est le cas, il
devrait contenir des exemples (en commentaires) que vous pouvez
modifier selon vos souhaits. Sinon, vous pouvez obtenir une copie
d'un syst�me utilisant MacTCP, ou juste cr�er le votre (cela
ressemble fortement au fichier /etc/hosts sur un syst�me Unix, qui
est d�crit dans la RFC 952). Une fois le fichier cr��, ouvrez le
_T_a_b_l_e_a_u _d_e _b_o_r_d _T_C_P_/_I_P, cliquez sur le bouton _S_�_l_e_c_t_i_o_n_n_e_r _l_e
_f_i_c_h_i_e_r _H_o_s_t_s_._._., et ouvrez le fichier Hosts.

15.
Cliquez sur _F_e_r_m_e_r ou choisissez _F_e_r_m_e_r ou _Q_u_i_t_t_e_r depuis le menu
_F_i_c_h_i_e_r, et cliquez alors sur le bouton _E_n_r_e_g_i_s_t_r_e_r pour
enregistrer vos changements.

16.
Les changements prennent effet imm�diatement, mais cela ne fera pas
de mal de rebouter le syst�me.

33..33..88.. CCoonnffiigguurreerr uunn rr��sseeaauu NNoovveellll uuttiilliissaanntt llee DDNNSS

1. Si vous n'avez pas encore install� le gestionnaire de p�riph�rique
de votre adaptateur Ethernet, faites le d�s maintenant.

2. T�l�chargez tcpip16.exe depuis (NdT ???)

3. Editez c:\nwclient\startnet.bat (voici une copie du mien) :

SET NWLANGUAGE=ENGLISH
LH LSL.COM
LH KTC2000.COM
LH IPXODI.COM
LH tcpip
LH VLM.EXE
F:

4. Editez c:\nwclient\net.cfg (changez le Link drivers, NE2000 dans
mon cas) :

Link Driver KTC2000
Protocol IPX 0 ETHERNET_802.3
Frame ETHERNET_802.3
Frame Ethernet_II
FRAME Ethernet_802.2

NetWare DOS Requester
FIRST NETWORK DRIVE = F
USE DEFAULTS = OFF
VLM = CONN.VLM
VLM = IPXNCP.VLM
VLM = TRAN.VLM
VLM = SECURITY.VLM
VLM = NDS.VLM
VLM = BIND.VLM
VLM = NWP.VLM
VLM = FIO.VLM
VLM = GENERAL.VLM
VLM = REDIR.VLM
VLM = PRINT.VLM
VLM = NETX.VLM

Link Support
Buffers 8 1500
MemPool 4096

Protocol TCPIP
PATH SCRIPT C:\NET\SCRIPT
PATH PROFILE C:\NET\PROFILE
PATH LWP_CFG C:\NET\HSTACC
PATH TCP_CFG C:\NET\TCP
ip_address xxx.xxx.xxx.xxx
ip_router xxx.xxx.xxx.xxx

5. et finalement, cr�ez c:\bin\resolv.cfg :

SEARCH DNS HOSTS SEQUENTIAL
NAMESERVER 207.103.0.2
NAMESERVER 207.103.11.9

6. J'esp�re que cela vous aura aid� � configurer vos r�seaux Novell,
mais cela ne fonctionne que pour Netware 3.1x ou 4.x.

33..33..99.. CCoonnffiigguurreerr OOSS//22 WWaarrpp

1. Si vous n'avez toujours pas configur� votre adaptateur r�seau
Ethernet, c'est le moment de le faire.

2. Installez le protocole TCP/IP s'il n'est pas d�j� pr�sent.

3. Allez dans les param�tres _P_r_o_g_r_a_m_s_/_T_C_P_/_I_P_(_L_A_N_)_/_T_C_P_/_I_P

4. Dans _'_N_e_t_w_o_r_k_', ajoutez votre adresse TCP/IP et configurez votre
masque de sous r�seau (255.255.255.0)

5. Dans _"_R_o_u_t_i_n_g_" cliquez sur _"_A_j_o_u_t_e_r_". S�lectionnez _"_d_e_f_a_u_l_t_" pour
le _T_y_p_e and entrez l'adresse de votre machine Linux dans le champs
_"_R_o_u_t_e_r _A_d_d_r_e_s_s_" (192.168.1.1).

6. Utilisez la m�me adresse DNS (Serveur de noms) que celle de votre
machine Linux.

7. Fermez le panneau de contr�le de TCP/IP. R�pondez oui au (� la)
question(s) suivante(s).

8. Reboutez votre syst�me.

9. Vous devriez �tre en mesure de pinger votre h�te Linux pour tester
la configuration r�seau. Taper 'ping 192.168.1.1" dans une bo�te de
commande OS/2. Si vous recevez les paquets IP, tout fonctionne
correctement.

33..33..1100.. CCoonnffiigguurreerr lleess aauuttrreess ssyysstt��mmeess

Ces syst�mes devraient suivre la meme logique d'installation. Lisez
les sections pr�c�dentes. Si vous �tes int�ress�s par l'�criture de la
documentation sur n'importe quel syst�me, comme OS/2, ou une vari�t�
quelconque de syst�me Unix, envoyez s'il vous plait des instructions
d�taill�es � [email protected] (Note du traducteur : en anglais bien
s�r).

33..44.. CCoonnffiigguurreerr lleess rr��gglleess dd''IIPP FFoorrwwaarrddiinngg

A ce point du document, vous devriez avoir votre noyau et les autres
packages install�s, ainsi que les modules n�cessaires charg�s. De
plus, les adresses IP, la passerelle, et le DNS devraient �tre
install�s sur les AAUUTTRREESS ordinateurs.

Maintenant, la seule chose � faire est d'utiliser l'outil de
firewalling IP (ipfwadm) pour faire suivre les paquets appropri�s � la
machine qui convient :

** Ceci peut �tre fait de diverses fa�ons. Les suggestions
et exemples suivants fonctionnent pour moi, mais il se peut
que vous ayez d'autres id�es. Je vous renvoie � la section
4.4 et aux pages de manuel de ipchains(2.2.x) /
ipfwadm(2.0.x) pour plus de d�tails. **

**** CCeettttee sseeccttiioonn ffoouurrnniiss UUNNIIQQUUEEMMEENNTT llee mmiinniimmuumm ddee rr��gglleess
ppoouurr aavvooiirr uunn ll''IIPP MMaassqquueerraaddee oopp��rraattiioonnnneell,, lleess pprroobblleemmeess ddee
ss��ccuurriitt��ss nnee ssoonntt ppaass ccoonnssiidd��rr��ss.. IIll eesstt ffoorrtteemmeenntt rreeccoomm��
mmaanndd�� qquuee vvoouuss ppaassssiieezz qquueellqquuee tteemmppss ppoouurr aapppplliiqquueerr qquueellqquueess
rr��gglleess ddee ffiirreewwaalllliinngg aapppprroopprrii��eess ppoouurr aauuggmmeenntteerr llaa
ss��ccuurriitt��.. ****

33..44..11.. NNooyyaauuxx LLiinnuuxx 22..22..xx

iippffwwaaddmm nn''eesstt pplluuss ll''oouuttiill �� uuttiilliisseerr ppoouurr mmaanniippuulleerr lleess rr��gglleess iippmmaassqq
ppoouurr lleess nnooyyaauuxx 22..22..xx,, uuttiilliisseezz iippcchhaaiinnss..

ipchains -P forward DENY
ipchains -A forward -s yyy.yyy.yyy.yyy/x -j MASQ

O� x est le nombre correspondant a la classe de votre sous r�seau, et
yyy.yyy.yyy.yyy est l'adresse de votre r�seau.

netmask | x | Subnet
~~~~~~~~~~~~~~~~|~~~~|~~~~~~~~~~~~~~~
255.0.0.0 | 8 | Class A
255.255.0.0 | 16 | Class B
255.255.255.0 | 24 | Class C
255.255.255.255 | 32 | Point-to-point

Vous pouvez aussi utiliser le format yyy.yyy.yyy.yyy/xxx.xxx.xxx.xxx,
o� xxx.xxx.xxx.xxx sp�cifie votre masque de sous r�seau tel
255.255.255.0

Par exemple dans mon r�seau de classe C, j'entrais ;

ipchains -P forward DENY
ipchains -A forward -s 192.168.1.0/24 -j MASQ

ou

ipchains -P forward DENY
ipchains -A forward -s 192.168.1.0/255.255.255.0 -j MASQ

Vous pouvez aussi le faire machine par machine. Par exemple, si je
veux que 192.168.1.2 et 192.168.1.8 aient acc�s � Internet, mais pas
les autres machines, j'aurais mis :

ipchains -P forward DENY
ipchains -A forward -s 192.168.1.2/32 -j MASQ
ipchains -A forward -s 192.168.1.8/32 -j MASQ

Il ne faut jjaammaaiiss que votre r�gle par d�faut soit le masquerading,
sinon n'importe qui pouvant manipuler ses tables de routage pourra
utiliser votre machine Linux pour masquer son identit� !

De m�me, vous pouvez ajouter ces lignes a votre /etc/rc.local, ou au
fichier rc que vous pr�f�rez, ou le faire manuellement � chaque fois
que vous en avez besoin.

Pour plus de d�tails sur ipchain, r�f�rez vous au Linux IPCHAINS HOWTO
<http://www.freenix.org/unix/linux/HOWTO-vo/IPCHAINS-HOWTO.html>

33..44..22.. NNooyyaauuxx LLiinnuuxx 22..00..xx

ipfwadm -F -p deny
ipfwadm -F -a m -S yyy.yyy.yyy.yyy/x -D 0.0.0.0/0

ou

ipfwadm -F -p deny
ipfwadm -F -a masquerade -S yyy.yyy.yyy.yyy/x -D 0.0.0.0/0

O� x est le nombre correspondant � la classe de votre sous reseau, et
yyy.yyy.yyy.yyy est l'adresse de votre r�seau.

Masque de sous r�seau | x | Sous r�seau
~~~~~~~~~~~~~~~~~~~~~~|~~~~|~~~~~~~~~~~~~~~
255.0.0.0 | 8 | Classe A
255.255.0.0 | 16 | Classe B
255.255.255.0 | 24 | Classe C
255.255.255.255 | 32 | Point-to-point (PPP)

Vous pouvez aussi utiliser le format yyy.yyy.yyy.yyy/xxx.xxx.xxx.xxx,
o� xxx.xxx.xxx.xxx sp�cifie votre masque de sous r�seau tel
255.255.255.0

Par exemple dans mon r�seau de classe C, j'entrais ;

ipfwadm -F -p deny
ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0

Puisque les paquets de demande de bootp arrivent sans adresse IP
valide alors que le client ne connait rien de lui, les personnes
utilisant un serveur bootp comme machine de masquerading/firewall
devront utiliser la commande suivante avant la commande deny :

ipfwadm -I -a accept -S 0/0 68 -D 0/0 67 -W bootp_clients_net_if_name -P udp

Vous pouvez �galement faire cela machine par machine. Par exemple, si
je veux que 192.168.1.2 et 192.168.1.8 aient acc�s � Internet, mais
pas les autres machines, j'utiliserai :

ipfwadm -F -p deny
ipfwadm -F -a m -S 192.168.1.2/32 -D 0.0.0.0/0
ipfwadm -F -a m -S 192.168.1.8/32 -D 0.0.0.0/0

Une erreur fr�quente est d'utiliser comme premi�re r�gle la commande :

ipfwadm -F -p masquerade

Il ne faut jjaammaaiiss que votre r�gle par d�faut soit le masquerading,
sinon n'importe qui pouvant manipuler ses tables de routage pourra
utiliser votre machine Linux pour masquer son identit� !

Une fois encore, vous pouvez ajouter ces lignes � vos fichiers
/etc/rc.local, ou le faire manuellement � chaque fois que vous avez
besoin de l'IP Masquerading.

Veuillez lire la section 4.4 pour des instructions d�taill�es sur
Ipfwadm.

33..55.. TTeesstteerr IIPP MMaassqquueerraaddee

Il est maintenant temps de tester notre travail. Assurez vous que la
connexion de votre h�te Linux � Internet est correcte.

Vous pouvez par exemple essayer de parcourir quelques sites Web (sur
_I_n_t_e_r_n_e_t !!!) depuis vos AAUUTTRREESS machines, et voir ce que vous obtenez.
Je recommande d'utiliser une adresse IP plut�t qu'un nom DNS lors de
votre premier essai, puisque votre r�glage pour le DNS peut �tre
incorrect.

Par exemple, vous pouvez acc�der au site Web du Linux Documentation
Project � http://metalab.unc.edu/mdw/linux.html en entrant
http://152.19.254.81/mdw/linux.html

Si vous voyez la page du LDP, f�licitations ! Ca marche ! Vous pouvez
alors essayer avec un autre h�te, puis ping, telnet, ssh, ftp, Real
Audio, True Speech, etc...

Pour l'instant je n'ai eu aucun probl�me avec ces r�glages, et c'est
totalement gr�ce aux personnes qui ont pass� du temps � faire
fonctionner cette superbe fonctionnalit� de Linux.

44.. AAuuttrreess ssuujjeettss rreellaattiiffss �� IIPP MMaassqquueerraaddee eett aauu ssuuppppoorrtt llooggiicciieell

44..11.. PPrroobbll��mmeess aavveecc IIPP MMaassqquueerraaddee

Certains protocoles ne marcheront pas avec l'IP masquerading, parce
que soit ils supposent des choses sur les num�ros de port ou soit
qu'ils encodent les donn�es sur le port et les adresses dans leurs
paquets. Ces protocoles ont besoin de _p_r_o_x_y int�gr�s dans le code du
masquerading pour fonctionner.

44..22.. SSeerrvviicceess eennttrraannttss

Le masquerading ne peut pas du tout prendre en charge les services
entrants. Il y a plusieurs fa�ons de les autoriser, mais ces m�thodes
sont compl�tement en dehors du th�me du masquerading et se rapprochent
plut�t de la technique des firewalls.

Si vous n'avez pas besoin d'une grande s�curit�, vous pouvez
simplement rediriger les ports. Il y a de nombreuses fa�ons de faire
cela - personnellement j'utilise une version modifi�e du programme
redir (qui, je l'esp�re, sera disponible sur sunsite et ses mirrors
prochainement). Si vous d�sirez avoir des niveaux d'autorisation sur
les connexions entrantes, vous pouvez alors utiliser les TCP Wrappers
ou Xinetd par dessus redir (version 0.7 ou sup�rieure) pour autoriser
seulement des adresses IP donn�es, ou utiliser d'autre outils. La
bo�te � outils pour firewall TIS (TIS Firewall Toolkit) est un bon
produit pour ceux qui cherchent des outils et des informations.

Une section en disant plus long sur le forwarding sera bientot
ajout�e.

44..33.. PPrrooggrraammmmeess cclliieennttss ssuuppppoorrtt��ss eett aauuttrreess rreemmaarrqquueess ppoouurr llaa ccoonnffiigg��
uurraattiioonn

**** LLaa lliissttee ssuuiivvaannttee nn''eesstt pplluuss mmaaiinntteennuuee.. VVooyyeezz cceettttee ppaaggee
ssuurr lleess aapppplliiccaattiioonnss ffoonnccttiioonnnnaanntt aauu ttrraavveerrss dd''IIPP MMaassqquueerraadd��
iinngg eett llaa ppaaggee IIPP MMaassqquueerraaddee RReessoouurrccee ppoouurr pplluuss ddee dd��ttaaiillss..
****

En g�n�ral, les applications qui utilisent TCP et/ou UDP devraient
fonctionner. Si vous avez une quelconque suggestion ou question �
propos des applications compatibles avec IP masquerade, visitez la
page sur les applications fonctionnant avec IP Masquerading par Lee
Nevo.

44..33..11.. LLeess cclliieennttss qquuii ffoonnccttiioonnnneenntt

Clients g�n�riques

HHTTTTPP
toutes les plateformes, naviguer sur le web ;

PPOOPP && SSMMTTPP
toutes les plateformes, clients de courrier �lectronique ;

TTeellnneett
toutes les plateformes, sessions distantes ;

FFTTPP
toutes les plateformes, avec le module ip_masq_ftp.o (tous les
sites ne fonctionnent pas avec certains clients ; par exemple,
certains sites ne peuvent pas �tre atteints en utilisant
ws_ftp32 mais fonctionnent avec Netscape) ;

AArrcchhiiee
toutes les plateformes, client de recherche de fichiers (tous
les clients ne fonctionnent pas) ;

NNNNTTPP ((UUSSEENNEETT))
toutes les plateformes, client news USENET ;

VVRRMMLL
Windows (peut �tre toutes les plateformes), r�alit� virtuelle ;

ttrraacceerroouuttee
surtout les plateformes UNIX, certaines variantes ne devraient
pas fonctionner ;

ppiinngg
toutes plateformes, avec le patch ICMP

qquuooiiqquuee ccee ssooiitt,, bbaass�� ssuurr IIRRCC
toutes les plateformes, avec le module ip_masq_irc.o ;

CClliieenntt GGoopphheerr
toutes les plateformes ;

CClliieenntt WWAAIISS
toutes les plateformes.

Clients Multim�dia

RReeaall AAuuddiioo PPllaayyeerr 22..00
Windows, flux audio par r�seau, avec le module ip_masq_raudio

TTrruuee SSppeeeecchh PPllaayyeerr 11..11bb
Windows, flux audio par r�seau

IInntteerrnneett WWaavvee PPllaayyeerr
Windows, flux audio par r�seau

WWoorrllddss CChhaatt 00..99aa
Windows, programme client-serveur de discussion 3D

AAllpphhaa WWoorrllddss
Windows, programme client-serveur de discussion 3D

IInntteerrnneett PPhhoonnee 33..22
Windows, communications audio. Vous ne pouvez �tre contact� que
si vous initiez la connexion, mais on ne peut pas vous appeler.

PPoowwwwooww
Windows, communication audio. Vous ne pouvez �tre contact� que
si vous initiez la connexion, mais on ne peut pas vous appeler.

CCUU--SSeeeeMMee
toutes les plateformes, avec le module cuseeme, voir sur IP
Masquerade Resource <http://ipmasq.cjb.net> pour les d�tails.

VVDDOOLLiivvee
Windows, avec le patch vdolive

NB : Certains clients tels IPhone et Powwow peuvent fonctionner m�me
si vous n'�tes pas la personne qui initie la connexion, en utilisant
le _p_a_c_k_a_g_e _i_p_a_u_t_o_f_w (voir la section 4.6).

Autres clients

NNCCSSAA TTeellnneett 22..33..0088
DOS, une suite de logiciels contenant telnet, ftp, ping, etc...

PPCC--aannyywwhheerree ppoouurr WWiinnddoowwss 22..00
MS-Windows, controle d'un PC � distance avec TCP/IP, fonctionne
uniquement si la machine est un client et non un h�te.

SSoocckkeett WWaattcchh
utilise ntp - network time protocol

LLiinnuuxx nneett--aacccctt ppaacckkaaggee
Linux, package d'administration par r�seau

44..33..22.. CClliieennttss qquuii nnee ffoonnccttiioonnnneenntt ppaass

IInntteell IInntteerrnneett PPhhoonnee BBeettaa 22
Connexion ok, mais la voix ne peut que sortir de votre r�seau.

IInntteell SSttrreeaammiinngg MMeeddiiaa VViieewweerr BBeettaa 11
Connexion impossible au serveur.

NNeettssccaappee CCoooollTTaallkk
Connexion � l'h�te distant impossible.

ttaallkk,,nnttaallkk
ne fonctionnera pas - n�cessite l'�criture d'un proxy noyau.

WWeebbPPhhoonnee
Ne peut pas fonctionner (il fait des suppositions

invalides sur les adresses).

XX Non test�, mais je pense que cela ne peut pas fonctionner �
moins que quelqu'un �crive un proxy X, qui est sans doute un
programme externe au code de masquerading. Une fa�on de le faire
fonctionner est d'utiliser sssshh comme lien, et X comme proxy.

44..33..33.. PPllaatteeffoorrmmeess//SSyysstt��mmeess dd''eexxppllooiittaattiioonnss tteesstt��ss ssuurr ddeess mmaacchhiinneess
cclliieenntteess

� Linux

� Solaris

� Windows 95

� Windows NT (workstation et serveur)

� Windows pour Workgroup 3.11 (avec le package TCP/IP)

� Windows 3.1 (avec le package Chameleon)

� Novel 4.01 Serveur

� OS/2 (y compris Warp v3)

� Macintosh OS (avec MacTCP ou Open Transport)

� DOS (avec le package NCSA Telnet, DOS Trumpet fonctionne
partiellement)

� Amiga (avec AmiTCP ou AS225-stack)

� Stations VAX 3520 et 3100 avec UCX (pile TCP/IP pour VMS)

� Alpha/AXP avec Linux/Redhat

� SCO Openserver (v3.2.4.2 et 5)

� IBM RS/6000 sous AIX

Normalement, tous les OS disposant d'une couche TCP/IP et permettant
de specifier un firewall/gateway devraient marcher avec l'IP
masquerading

44..44.. AAddmmiinniissttrraattiioonn dduu ffiirreewwaallll IIPP ((iippffwwaaddmm))

Cette section constitue un guide plus pr�cis sur l'utilisation
d'ipfwadm.

Voici un script d'initialisation pour un syst�me qui fait office de
firewall et de masquerading. L'interface � laquelle on fait confiance
est 192.168.255.1 (celle du r�seau local) et l'interface PPP a �t�
chang�e pour des raisons de s�curit�. Toutes les interfaces sont
list�es individuellement pour intercepter l'IP spoofing et les
routages inexacts. Tout ce qui n'est pas explicitement autoris� est
interdit !

#!/bin/sh
#
# /etc/rc.d/rc.firewall, d�finit la configuration du firewall.
# appel� depuis rc.local.
#

PATH=/sbin:/bin:/usr/sbin:/usr/bin

# pour les tests, attend un moment puis efface toutes les r�gles du
# firewall. D�commentez les lignes suivantes si vous voulez que le firewall
# soit d�sactiv� automatiquement apr�s 10 minutes.
# (sleep 600; \
# ipfwadm -I -f; \
# ipfwadm -I -p accept; \
# ipfwadm -O -f; \
# ipfwadm -O -p accept; \
# ipfwadm -F -f; \
# ipfwadm -F -p accept; \
# ) &

# Connexions entrantes, efface tout et positionne le comportement par d�faut �
# deny (refus). En fait, le comportement par d�faut est inad�quat puisqu'il y
# a une r�gle pour tout intercepter, avec refus et logging.
ipfwadm -I -f
ipfwadm -I -p deny
# interface locale, machines locales. Aller n'importe o� est autoris�.
ipfwadm -I -a accept -V 192.168.255.1 -S 192.168.0.0/16 -D 0.0.0.0/0
# interface distante, pr�tendant �tre une machine locale. C'est de l'IP
# spoofing, on refuse.
ipfwadm -I -a deny -V votre.adresse.PPP.statique -S 192.168.0.0/16 -D 0.0.0.0/0 -o
# interface distante, n'importe qu'elle source, l'acc�s � notre adresse PPP
# est valide
ipfwadm -I -a accept -V votre.adresse.PPP.statique -S 0.0.0.0/0 -D votre.adresse.PPP.statique/32
# l'interface loopback est valide.
ipfwadm -I -a accept -V 127.0.0.1 -S 0.0.0.0/0 -D 0.0.0.0/0
# une fois toutes les r�gles faites, toutes les autres connexions entrantes
# sont refus�es et loggu�es.
ipfwadm -I -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o

# Connexions sortantes,efface tout et positionne le comportement par d�faut �
# deny (refus).En fait, le comportement par d�faut est inad�quat puisqu'il y a
# une r�gle pour tout intercepter, avec refus et logging.
ipfwadm -O -f
ipfwadm -O -p deny
# interface locale, machines locales. N'importe quelle source allant vers le
# r�seau local est valide.
ipfwadm -O -a accept -V 192.168.255.1 -S 0.0.0.0/0 -D 192.168.0.0/16
# destination vers le r�seau local � partir de l'interface sortante. C'est du
# routage pirat�, tout refuser.
ipfwadm -O -a deny -V votre.adresse.PPP.statique -S 0.0.0.0/0 -D 192.168.0.0/16 -o
# sortante depuis le r�seau local sur l'interface sortante. C'est du
# masquerading pirate, tout refuser.
ipfwadm -O -a deny -V votre.adresse.PPP.statique -S 192.168.0.0/16 -D 0.0.0.0/0 -o
# sortante depuis le r�seau local sur l'interface sortante. C'est du
# masquerading pirate, tout refuser.
ipfwadm -O -a deny -V votre.adresse.PPP.statique -S 0.0.0.0/0 -D 192.168.0.0/16 -o
# l'interface loopback est valide.
ipfwadm -O -a accept -V 127.0.0.1 -S 0.0.0.0/0 -D 0.0.0.0/0
# une fois toutes les r�gles faites, toutes les autres connexions sortantes
# sont refus�es et loggu�es.
ipfwadm -O -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o

# Connexions � faire suivre (forwarding), efface tout et positionne le
# comportement par d�faut � deny (refus). En fait, le comportement par d�faut
# est inad�quat puisqu'il y a une r�gle pour tout intercepter, avec refus et
# logging.
ipfwadm -F -f
ipfwadm -F -p deny
# Masquerade depuis le r�seau local sur l'interface locale vers n'importe o�
ipfwadm -F -a masquerade -W ppp0 -S 192.168.0.0/16 -D 0.0.0.0/0
# une fois toutes les r�gles faites, toutes les autres connexions � faire
# suivre sont refus�es et loggu�es.
ipfwadm -F -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o

Vous pouvez bloquer le trafic vers ou depuis un site particulier en
utilisant -I, -O ou -F. Souvenez vous que les r�gles sont analys�es de
haut en bas, et -a signifie ajoute (_a_p_p_e_n_d) � l'ensemble des r�gles
existantes. Par exemple (non test�) :

En utilisant les r�gles -I. Probablement le plus rapide mais stoppe
uniquement les machines locales, le firewall peut encore acc�der au
site "interdit". C'est peut �tre d'ailleurs le comportement que vous
d�sirez.

... d�but des r�gles -I ...
# rejette et loggue l'interface locale et la machine locale allant sur
# 204.50.10.13
ipfwadm -I -a reject -V 192.168.255.1 -S 192.168.0.0/16 -D 204.50.10.13/32 -o
# interface locale, machines locales. Aller n'importe o� est autoris�.
ipfwadm -I -a accept -V 192.168.255.1 -S 192.168.0.0/16 -D 0.0.0.0/0
... fin des r�gles -I ...

En utilisant les r�gles -O. C'est le plus lent puisque les paquets
passent d'abord � travers le masquerading, mais cette r�gle emp�che
m�me au firewall d'acc�der au site interdit.

... d�but des r�gles -O ...
# rejette et loggue les connexions sortantes vers 204.50.10.13
ipfwadm -O -a reject -V votre.adresse.PPP.statique -S votre.adresse.PPP.statique/32 -D 204.50.10.13/32 -o
# tout le reste, sortant vers l'interface distante est valide
ipfwadm -O -a accept -V votre.adresse.PPP.statique -S votre.adresse.PPP.statique/32 -D 0.0.0.0/0
... fin des r�gles -O ...

En utilisant les r�gles -F. Probablement plus lent qu'en utilisant les
r�gles -I, et cela stoppe uniquement les machines pour lesquelles on
effetue du masquerading (c'est � dire les machines internes). Le
firewall peut encore acc�der au site interdit.

... d�but des r�gles -F ...
# Rejette et loggue les connexions depuis le r�seau local sur l'interface PPP
# vers 204.50.10.13.
ipfwadm -F -a reject -W ppp0 -S 192.168.0.0/16 -D 204.50.10.13/32 -o
# Masquerade depuis le r�seau local sur l'interface locale vers n'importe o�
ipfwadm -F -a masquerade -W ppp0 -S 192.168.0.0/16 -D 0.0.0.0/0
... fin des r�gles -F ...

Il n'y a pas besoin d'une r�gle sp�ciale pour autoriser 192.168.0.0/16
� se connecter sur 204.50.11.0, ce comportement est inclus dans les
r�gles globales.

Il y a plus d'une fa�on d'�crire les r�gles pr�c�dentes. Par exemple,
au lieu de -V 192.168.255.1, vous pouvez utiliser -W eth0, au lieu de
-V votre.adresse.PPP.statique, vous pouvez utiliser -W ppp0. C'est une
question de go�t personnel.

44..55.. CChhaaiinneess IIPP FFiirreewwaalllliinngg ((iippcchhaaiinnss))

Voici l'outil de manipulation de r�gles de firewalling cr�� pour les
noyaux 2.2.x (il y a un patch qui permettra de l'utiliser avec le
2.0.x).

Nous mettrons � jour cette section pour donner plein d'exemples sur
l'utilisation d'ipchains tr�s bient�t.

R�f�rez vous � Linux IP Firewalling Chains page
<http://www.rustcorp.com/linux/ipchains/> et Linux IPCHAINS HOWTO
<http://www.freenix.org/unix/linux/HOWTO-vo/IPCHAINS-HOWTO.html> pour
plus de d�tails.

44..66.. LL''IIPP MMaassqquueerraaddee eett llaa nnuumm��rroottaattiioonn �� llaa ddeemmaannddee..

1. Si vous voulez que votre r�seau se connecte automatiquement �
Internet, le package _d_i_a_l_d de num�rotation � la demande sera une
grande aide.

2. Pour mettre en place _d_i_a_l_d, veuillez vous r�f�rer � la page (en
anglais) Setting Up Diald for Linux Page
<http://home.pacific.net.sg/~harish/diald.config.html>

3. Une fois que diald et IP masq auront �t� install�s, vous pouvez
aller sur n'importe laquelle des machines clients et initier une
connexion web, telnet ou ftp.

4. _d_i_a_l_d va d�tecter une demande, appeler votre provider Internet et
�tablir la connexion.

5. Un _t_i_m_e_o_u_t (d�lai d'attente d�pass�) sera in�vitable sur la
premi�re connexion, mais c'est le lot des modems analogiques. Le
temps mis � �tablir la connexion va provoquer un timeout de votre
programme client. Ceci peut �tre �vit� si vous utilisez une
connexion ISDN. Tout ce que vous devez faire est relancer le client
qui a fait le timeout.

44..77.. FFaaiirree ssuuiivvrree lleess ppaaqquueettss aavveecc IIPPaauuttooffww

IPautofw est un module g�n�rique pour faire suivre les paquets TCP et
UDP pour le Masquerading de Linux. G�n�ralement, pour utiliser un
client utilisant UDP, un module sp�cifique doit �tre charg�. Ipautofw
agit de mani�re plus g�n�rique, puisqu'il fait suivre tout type de
trafic, y compris ceux pour lesquels les modules sp�cifiques ne feront
rien suivre. Cela peut cr�er un trou de s�curit�, si ce n'est pas
administr� correctement.

44..88.. CCUU--SSeeeeMMee eett llee mmiinnii--HHOOWWTTOO LLiinnuuxx IIPP--MMaassqquueerraaddee

Fournis par Michael Owings <mailto:[email protected]>.

44..88..11.. IInnttrroodduuccttiioonn

Cette section explique les �tapes n�cessaires pour faire en
sorte que Cu-SeeMe (Les deux versions : Cornell ou White
Pine) marche bien avec l'IP-Masquerade de Linux.

Cu-SeeMe est un paquetage de vid�oconf�rence disponible pour Windows
et Macintosh. Une version gratuite est disponible � Cornell University
<http://cu-seeme.cornell.edu>. Une version commerciale largement
am�lior�e peut etre obtenue � White Pine Software
<http://www.wpine.com>.

L'IP masquerade permet � une ou plusieurs machines d'un LAN de se
cacher derriere une seule machine Linux connect�e � Internet. Les
stations du LAN accedent � Internet d'une maniere presque transparente
meme sans adresse IP valide. La machine Linux r��crit les paquets
sortant du LAN pour aller vers Internet de telle sort qu'ils semblent
venir de cette meme machine. Les paquets revenants sont r��crits et
rerout�s vers la bonne machine sur le LAN. Cet arrangement permet � la
majorit� des applications Internet de marcher de fa�on transparente
depuis les stations du LAN. Pour quelques applications (comme CU-
SeeME), n�anmoins, le code de routage masquerading de Linux a besoin
d'un peu d'aide pour router les paquets proprement. Cette aide vient
de modules sp�ciaux du noyau. Pour plus d'informations sur l'IP
Masquerading, r�f�rez vous � The Linux IP Masquerading Website
<http://www.indyramp.com/masq/>.

44..88..22.. LLee ffaaiirree mmaarrcchheerr......

Tout d'avord, vous avec besoin d'un noyau proprement configur�. Vous
devriez avoir un support complet de compil� pour IP-Masquerading et
IP-AutoForwarding. IP AutoForwarding est disponible depuis la version
2.0.30 du noyau - vous aurez a patcher des noyaux plus anciens.
R�f�rez vous � Linux IP Masquerade Resource <http://ipmasq.cjb.net>
pour des liens vers l'IP-AutoForwarding.

Ensuite, vous aurez besoin de la derniere version de
ip_masq_cuseeme.c. La derniere version est disponible via FTP depuis
ftp://ftp.swampgas.com/pub/cuseeme/ip_masq_cuseeme.c. Ce nouveau
module sera inclut dans la version 2.0.31 du noyau. Vous devriez
remplacer le votre par celui l�. ip_masq_cuseeme.c r�side normalement
dans le repertoire net/ipv4 des sources de linux. Vous devriez
compiler et installer ce module.

Maintenant, vous devriez mettre en place de l'ip autoforwarding pour
les ports udp 7648 et 7649 comme il suit :

ipautofw -A -r udp 7648 7649 -c udp 7648 -u

Ou

ipautofw -A -r udp 7648 7649 -h www.xxx.yyy.zzz

La premiere forme autorisera les appels de/vers la derniere station �
avoir utilis� le port 7648 (le port Cu-SeeMe principal). Je pr�fere la
premiere invocation car elle est plus flexible car il n'y a pas besoin
de specifier une IP fixe. Bien sur, cela implique que la station aura
eu � faire un appel sortant pour pouvoir recevoir un appel...

Notez que que les deux lignes laissent les ports 7648 et 7649 des
machines clients ouvertes au monde exterieur - et bien que cela ne
pose pas un trop gros trou de s�curit�, vous devriez etre
pr�cautionneux.

Finalement, chargez le nouveau modules ip_masq_cuseeme comme �a :

modprobe ip_masq_cuseeme

Vous devriez maintenant �tre capable de lancer CU-SeeMe depuis une
machine cach�e sur votre LAN et de vous connecter � un r�flecteur
distant, ou � un autre utilisateur de CU-SeeMe. Vous devriez aussi
etre capable de recevoir des appels. Notez que les appelant de
l'exterieur devront appeler l'IP de votre gateway, PAS la station
cach�e.

44..88..33.. RReessttrriiccttiioonnss//MMiissee eenn ggaarrddee

44..88..33..11.. RReefflleecctteeuurrss pprroott��gg�� ppaarr mmoott ddee ppaassssee

Ce n'est m�me pas la peine d'y songer. White Pine utilise l'IP source
(comme cela est fait par le client) pour encrypter le mot de passe
avant la transmission. Comme nous avons � r��crire l'adresse le
r�flecteur utilise une mauvaise IP pour pour le decrypter, ce qui
donne un mot de passe invalide... Cela ne sera r�par� que si White
Pine change sa facon d'encryter (comme je leur ait sugg�r�), ou si ils
decident de rendre leurs routines d'encryption publique de telle sorte
que l'on puisse r�parrer ip_masq_cuseeme. Alors que les chances de
voir la deuxieme solution s'envolent, j'encourage tous ceux qui lisent
�a � contacter White Pine et leur sugg�rer la premiere approche. Comme
le trafic sur cette page est relativement gros, je suppose que nous
pouvons g�n�rer suffisament d'email pour faire avancer ce probleme
dans la liste de priorit�s de White Pine.

Merci � Thomas Griwenka d'avoir port� cela � mon attention.

44..88..33..22.. LLaanncceerr uunn RR��fflleecctteeuurr

Vous ne devez pas essayer de lancer un r�flecteur sur la m�me machine
o� vous avez un ip_masq_cuseeme et un ipautoforwarding sur le port
7648 de charg�. Cela ne marcherais pas, car les deux requi�rent le
port 7648. Donc, lancez le r�flecteur soit sur une machine accessible
depuis l'Internet, ou d�chargez le support pour le client Cu-SeeMe
avant de lancer le r�flecteur.

44..88..33..33.. PPlluussiieeuurrss uuttiilliissaatteeuurrss ddee CCUU--SSeeeeMMee

Vous ne pouvez pas avoir plusieurs utilisateurs simultan�s de CU-SeeMe
sur le LAN au m�me instant. Ceci est du au fait que CU-SeeMe se borne
� toujours utiliser le port 7648, qui ne peut �tre redirig�
(facilement) qu'� une seule station en m�me temps.

En utilisant du -c (port controleur) en lancant ipautofw ci-dessus,
vous pouvez eviter de sp�cifier une adresse de station fixe autoris�e
a utiliser CU-SeeMe. La premi�re station qui envoie quelque chose sur
le port 7648 sera d�sign�e pour recevoir le trafic sur les ports 7648
et 7649. A peu pres 5 minutes apr�s que cette station soit devenue
inactive sur le port 7648, une autre station pourra utiliser CU-SeeMe.

44..88..33..44.. BBeessooiinn dd''aaiiddee ppoouurr CCUU--SSeeeeMMee ??

N'h�sitez pas � envoyer un email avec vos commentaires ou vos
questions � [email protected]. Ou si vous pr�f�rez, vous pouvez
m'appeler via CU-SeeMe <http://www.swampgas.com/vc/vc.htm>.

44..99.. AAuuttrreess oouuttiillss eenn rreellaattiioonn

Nous mettrons � jour cette section tr�s prochainement pour traiter
d'autres outils en relation avec ipmasq tels ipportfw ou masqadmin.

55.. FFooiirree AAuuxx QQuueessttiioonnss

Si vous trouvez une FAQ int�ressante, envoyez la � [email protected]
et [email protected] (NdT: en anglais :-)). S'il vous plait, poser
clairement la question et la r�ponse appropri�e. Merci !

55..11.. EEsstt--ccee qquuee IIPP MMaassqquueerraaddee mmaarrcchhee aavveecc uunnee IIPP ddyynnaammiiqquuee ??

Oui, bien sur que cela marche avec une adresse IP dynamique assign�e
par votre FAI, d'habitude, via un serveur DHCP. Aussi longtemps que
vous avez une adresse Internet valide, cela devrait marcher. Bien
entendu, les IP statiques conviennent aussi.

55..22.. ccoonnnneecctteerr �� IInntteerrnneett eenn uuttiilliissaanntt IIPP mmaassqquueerraaddiinngg ?? PPuuiiss--jjee
uuttiilliisseerr ddeess mmooddeemmss ccaabbllee,, DDSSLL,, lliiaaiissoonn ssaatteelllliittee,, eettcc ppoouurr mmee

Bien s�r, tant que Linux supporte l'interface r�seau, cela marchera.

55..33.. QQuueellss ssoonntt lleess pprrooggrraammmmeess qquuii ffoonnccttiioonnnneenntt aavveecc ll''IIPP
MMaassqquueerraaddee ??

Il est tr�s difficile d'avoir une liste exhaustive des "programmes qui
marchent". Toutefois, la majorit� des applications internet sont
support�es, telles que surfer sur Internet (Netscape, MSIE, etc.), ftp
(comme WS_FTP), Real Audio, telnet, SSH, POP3 (courrier entrant -
pine, Outlook), SMTP (courrier sortant), etc.

Les programmes qui impliquent des protocoles plus compliqu�s ou des
m�thodes de connexion sp�ciales necessitent des outils d'aide
sp�ciaux.

Pour plus de d�tails, r�f�rez vous � cette page : programmes qui
marchent avec le Linux IP masquerading
<http://dijon.nais.com/~nevo/masq/> par Lee Nevo.

55..44.. DDeebbiiaann,, uunnee SSllaacckkwwaarree,, eettcc ?? CCoommmmeenntt ppuuiiss--jjee ffaaiirree mmaarrcchheerr ll''IIPP
MMaassqquueerraaddiinngg ssuurr uunnee RReeddHHaatt,, uunnee

La distribution de Linux que vous avez, les proc�dures pour mettre en
place l'IP masquerading mentionn�es dans ce HOWTO devraient suffire.
Certaines distributions auront peut �tre des programmes graphiques ou
des fichiers de configuration sp�ciaux pour rendre les r�glages plus
simples. Nous faisons en sorte de rendre ce HowTo aussi simple que
possible.

55..55.. JJee vviieennss ddee ppaasssseerr aauu nnooyyaauu 22..22..xx eett ��aa nnee mmaarrcchhee pplluuss !!

Il y a plusieurs raisons qui peuvent faire que cela ne marche plus, en
supposant que vous avez une bonne connection � Internet et � votre
LAN :

� Assurez vous que vous avez les fonctionnalit�s et les modules
n�cessaires compil�s et charg�s. R�f�rez vous aux sections
pr�cedentes pour cela.

� V�rifiez /usr/src/linux/Documentation/Changes et assurez vous que
vous avez les bonnes versions des outils r�seau install�s.

� Assurez vous d'avoir bien activ� l'IP forwarding. Essayez de lancer
echo "1" > /proc/sys/net/ipv4/ip_forwarding.

� Vous devez utiliser ipchains
<http://www.rustcorp.com/linux/ipchains/> pour manipuler les regles
ipmasq et firewal.

� Refaites toute la pr�paration et la configuration encore ! La
plupart du temps, c'est juste une erreur de typo ou une erreur
stupide que vous verrez facilement.

55..66.. ��aa nnee mmaarrcchhee pplluuss !! JJee vviieennss ddee mmeettttrree �� jjoouurr mmoonn nnooyyaauu aavveecc uunn
22..00..3300 oouu pplluuss rr��cceenntt eett

Il y a plusieurs chose que vous devriez v�rifier, en supposant que
vous avez une bonne connection � Internet et � votre LAN :

� Assurez vous que vous avez bien toutes les fonctionnalit�s et
modules de compil�s et charg�s. R�f�rez vous aux sections
pr�c�dentes pour plus de d�tails.

� Verifiez dans /usr/src/linux/Documentation/Changes que vous avez
bien mis a jour le minimum pour survivre.

� Assurez vous de bien avoir activ� l'IP forwardinf. Essayez echo "1"
> /proc/sys/net/ipv4/ip_forward.

� Vous devriez utiliser ipfwadm <http://www.xos.nl/> pour manipuler
les regles ipmasq et firewall. Vous aurez a patcher les noyaux
2.0.x pour utiliser ipchains.

� Refaites toute la pr�paration et la configuration encore ! La
plupart du temps, c'est juste une erreur de typo ou une erreur
stupide que vous verrez facilement.

55..77.. ppoossssiibbiilliitt��ss ppoouurr llee ffaaiirree aavveecc WWiinnddoowwss ?? JJee nn''aarrrriivvee ppaass ��
ffaaiirree mmaarrcchheerr ll''IIPP MMaassqquueerraaddee !! QQuueelllleess ssoonntt lleess

Laisser tomber une solution gratuite, fiable, performante qui
fonctionne sur un mat�riel minimal pour payer une fortune pour quelque
chose qui n�cessite plus de mat�riel, est moins performant et moins
fiable ? (IMHO : Et oui, j'ai une exp�rience de ces choses ;-)

Ok, c'est vous qui voyez, faites une recherche sur le web sur MS Proxy
Server, Wingate, ou aller sur www.winfiles.com. Mais ne dites pas que
c'est moi qui vous y envoie !

55..88.. JJ''aaii ttoouutt vv��rriiffii��,, eett ��aa nnee mmaarrcchhee ttoouujjoouurrss ppaass.. QQuuee ddooiiss--jjee
ffaaiirree ??

� Restez calme. Allez vous faire un th�, et prenez une pose. Ensuite,
essayez les suggestions ci-dessous.

� Faites une recherche dans l'Archive de la mailing list
<http://home.indyramp.com/lists/masq/>, votre r�ponse vous y attend
tr�s certainement.

� Posez la question dans la mailing list IP Masquerade, voyez ci-
dessous pour plus de d�tails. S'il vous plait, n'essayez cela que
si vous ne trouvez pas la r�ponse dans les archives de la liste.

� Posez votre question dans les newsgroups parlant de r�seau et de
Linux.

� Envoyez un email � [email protected] et [email protected]. Vous
avez plus de chance de recevoir une r�ponse si vous nous l'envoyez
� nous deux. David est plut�t rapide a r�pondre, et je ne
commenterais pas ma vitesse de r�ponse.

� Rev�rifiez votre configuration :-)

55..99.. CCoommmmeenntt jjee mm''iinnssccrriiss �� llaa lliissttee IIPP MMaassqquueerraaddee ??

Pour s'inscrire � la liste IP Masquerading envoyez un mail � masq-
[email protected].

Le sujet et le corps de ce message sont iiggnnoorr��ss. Ceci vous permet de
recevoir tous les messages de la liste alors qu'ils arrivent. Vous
avez la possibilit� de recevoir les messages sous cette forme, mais si
vous pouviez plutot vous abonner au condens� (digest), choisissez le
plut�t. Le digest charge moins les machines qui servent les listes.
Notez aussi qu'il n'est possible de poster qu'� partir de l'adresse o�
vous �tes enregistr�s.

Pour plus de commandes, envoyez un email � masq-
[email protected].

55..1100.. JJee vveeuuxx aaiiddeerr aauu dd��vveellooppppeemmeenntt ddee ll''IIPP MMaassqquueerraaddiinngg.. CCoommmmeenntt
ffaaiirree ??

Abonnez vous � la liste de d�veloppement de l'IP Masquerading, et
contactez les grands d�veloppeurs l�-bas, en envoyant un email � masq-
[email protected] (ou pour le digest masq-dev-digest-
[email protected]).

NE posez pas de questions n'ayant pas de rapport avec le d�veloppement
sur cette liste !!

55..1111.. OO�� ppuuiiss--jjee ttrroouuvveerr pplluuss dd''iinnffoorrmmaattiioonnss ssuurr ll''IIPP MMaassqquueerraaddiinngg ??

Vous pouvez trouver plus d'informations sur l'IP Masquerading � Linux
IP Masquerade Resource <http://ipmasq.cjb.net/> que David et moi
maintenons. r�f�rez vous a la section 6.2 pour la disponibilit�.

Vous pouvez aussi trouver plus d'informations � The Semi-Original
Linux IP Masquerading Web Site <http://www.indyramp.com/masq/>
maintenu par Indyramp Consulting, qui fournissent aussi les listes
ipmasq.

55..1122.. JJee vveeuuxx ttrraadduuiirree ccee HHOOWWTTOO ddaannss uunnee aauuttrree llaanngguuee.. CCoommmmeenntt
ffaaiirree ??

Assurez vous que le langage dans lequel vous voulez traduire n'est pas
d�j� couvert par quelqu'un d'autre; une liste des traductions faites
est disponible sur Linux IP Masquerade Resource
<http://ipmasq.cjb.net/>.

Envoyez un email � [email protected] et je vous enverrais la
derniere version du SGML de ce HOWTO.

55..1133.. CCee HHOOWWTTOO sseemmbbllee �� ll''aabbaannddoonn,, vvoouuss vvoouuss eenn ooccccuuppeezz ttoouujjoouurrss ??
PPoouuvveezz vvoouuss iinncclluurree pplluuss dd''iinnffoorrmmaattiioonnss ssuurr ...... ?? CCoommpptteezz vvoouuss
ll''aamm��lliioorreerr ??

Oui, ce HOWTO est toujours maintenu. Je suis coupable d'�tre trop
occup� � travailler sur deux boulots et je n'ai pas beaucoup de temps
pour travailler dessus, toutes mes excuses. Toutefois, avec l'arriv�e
de David Ranch et tant que mainteneur, les choses devraient bouger un
peu.

Si vous pensez � un sujet qui devrais �tre inclus dans ce HOWTO,
envoyez nous un email. Cela serais encore mieux si vous pouviez nous
fournir cette information. David et moi inclurons cette information
dans le HOWTO si elle nous semble appropri�e. Et merci pour votre
contribution.

Nous avons beaucoup de nouvelles id�es et de plans pour mettre � jour
ce HOWTO, comme des �tudes de cas, qui couvreraient differentes
configurations r�seau mettant en jeu l'IP Masquerading, plus de choses
sur la s�curit�, l'utilisation d'ipchains, des exemples sur
ipfwadm/ipchains, plus de FAQ, plus de choses sur les utilitaires de
forwarding de port et de protocoles tels masqasmin, etc. Si vous
pensez que vous pouvez aider, faites le. Merci.

55..1144.. JJ''aaii rreeuussssii �� ffaaiirree mmaarrcchheerr ll''IIPP MMaassqquueerraaddee,, cc''eesstt gg��nniiaall !!
QQuu''eesstt ccee qquuee jjee ppoouurrrraaiiss ffaaiirree ppoouurr vvoouuss rreemmeerrcciieerr ??

Remerciez les developpeurs, et appr�ciez le temps et les efforts
qu'ils ont pass�s dessus. Envoyez nous un email pour nous faire savoir
que vous �tes contents. Faites connaitre Linux autour de vous, et
aidez les gens qui ont des probl�mes.

66.. DDiivveerrss

66..11.. RReessssoouurrcceess uuttiilleess

Note du Traducteur : Tous les documents cit�s dans cette section sont
en anglais, � moins d'une mention sp�ciale de ma part.

� IP Masquerade Resource page <http://ipmasq.cjb.net/> devrait
contenir assez d'information pour l'installation d'IP Masquerade

� L'archive de la mailing list IP Masquerade
<http://www.indyramp.com/masq/list/> contient certains des messages
envoy�s r�cement sur la liste.

� Ce document, en anglais : Linux IP Masquerade mini HOWTO
<http://ipmasq.cjb.net/ipmasq-HOWTO.html> pour les noyaux 2.2.x et
2.0.x.

� Le IP Masquerade HOWTO pour les noyaux 1.2.x
<http://ipmasq.cjb.net/ipmasq-HOWTO-1.2.x.txt> si vous utilisez un
vieux noyau

� La FAQ IP Masquerade
<http://www.indyramp.com/masq/ip_masquerade.txt> contient des
informations g�n�rales

� Linux IPCHAINS HOWTO <http://www.freenix.org/unix/linux/HOWTO-
vo/IPCHAINS-HOWTO.html> et http://www.rustcorp.com/linux/ipchains/
contiennent plein d'informations sur l'utilisation d'ipchains,
ainsi que les sources et les binaires pour ipchains.

� La page X/OS Ipfwadm page <http://www.xos.nl/linux/ipfwadm/>
contient les sources, binaires, de la documentation et d'autres
informations sur le package ipfwadm.

� Une page sur les applications qui marchent avec l'IP Masquerading
de Linux <http://dijon.nais.com/~nevo/masq/> par Lee Nevo fournis
des trucs et astuces pour faire marcher tout �a avec l'IP
Masquerading.

� Le LDP Network Administrator's Guide
<http://metalab.unc.edu/mdw/LDP/nag/nag.html> est incontournable
pour les d�butants essayant d'installer un r�seau.

� Trinity OS Doc
<http://www.ecst.csuchico.edu/~dranch/LINUX/TrinityOS.wri>, Une
documentation tr�s complete sur l'utilisation de Linux en r�seau.

� Le Linux NET-3 HOWTO
<http://www.freenix.org/unix/linux/HOWTO/NET-3-HOWTO.html> (eenn
ffrraann��aaiiss) contient aussi beaucoup d'informations utiles sur
l'utilisation du r�seau sous Linux.

� Le Linux ISP Hookup HOWTO
<http://www.freenix.org/unix/linux/HOWTO/ISP-Hookup-HOWTO.html> (eenn
ffrraann��aaiiss) et le PPP HOWTO
<http://www.freenix.org/unix/linux/HOWTO/PPP-HOWTO.html> (eenn
ffrraann��aaiiss) vous donnent des informations pour connecter votre h�te
Linux sur Internet.

� Le Linux Ethernet-Howto
<http://www.freenix.org/unix/linux/HOWTO/Ethernet-HOWTO.html> (eenn
ffrraann��aaiiss) est une bonne source d'informations sur la mise un place
d'un r�seau local utilisant Ethernet.

� Vous pouvez �galement �tre int�ress� par le Linux Firewalling and
Proxy Server HOWTO
<http://www.freenix.org/unix/linux/HOWTO/Firewall-HOWTO.html> (eenn
ffrraann��aaiiss)

� Le Linux Kernel HOWTO
<http://www.freenix.org/unix/linux/HOWTO/Kernel-HOWTO.html> (eenn
ffrraann��aaiiss) vous guidera pour pour la recompilation de votre noyau.

� D'autres HOWTOs, en fran�ais
<http://www.freenix.org/unix/linux/HOWTO/>, ou en anglais
<http://www.caldera.com/LDP/HOWTO/HOWTO-INDEX-3.html>.

� Poster dans les newsgroups USENET : comp.os.linux.networking, ou,
en fran�ais, fr.comp.os.linux.configuration ou
fr.comp.os.linux.moderated

66..22.. RReessssoouurrcceess ssuurr ll''IIPP MMaassqquueerraaddee

Le site Linux IP Masquerade Resource <http://ipmasq.cjb.net/> est
d�di� � l'IP Masquerading, aussi maintenu par David Ranch et moi. Les
dernieres informations y sont toujours disponibles, et il peut y avoir
des choses non disponibles dans ce HOWTO.

Vous trouverez les ressources sur l'IP Masquerading aux endroits
suivants :

� http://ipmasq.cjb.net/, site primaire, redirig� sur
http://www.tor.shaw.wave.ca/~ambrose/

� http://ipmasq2.cjb.net/, site secondaire, redirig� sur
http://www.geocities.com/SiliconValley/Heights/2288/

66..33.. RReemmeerrcciieemmeennttss

� David Ranch, [email protected]
page de l'IP Masquerading, ..., trop de choses pour tout mettre ici
:)

� Michael Owings, [email protected]
CU-SeeMe et le Linux IP-Masquerade mini How-To

� Gabriel Beitler, [email protected]

� Ed Doolittle, [email protected]
dans la commande ipfwadm pour une s�curit� am�lior�e

� Matthew Driver, [email protected]
�criture de la section section 3.3.1 (configuration de Windows 95)

� Ken Eves, [email protected]

� Ed. Lott, [email protected]
syst�mes test�s

� Nigel Metheringham, [email protected]
au IP Packet Filtering et IP Masquerading HOWTO, ce qui fait de ce
HOWTO un meilleur document plus technique

� Keith Owens, [email protected]
section 4.2
un trou de s�curit� et a clarifi� le statut de ping sous IP
Masquerade

� Rob Pelkey, [email protected]
(configuration de MacTCP et Open Transport)

� Harish Pillay, [email protected]
demande avec diald)

� Mark Purcell, [email protected]
IPautofw

� Ueli Rutishauser, [email protected]

� John B. (Brent) Williams, [email protected]
(configuration d'Open Transport)

� Enrique Pessoa Xavier, [email protected]
configuration de bootp

� Les d�veloppeurs d'IP Masquerade pour cet excellent produit

� Delian Delchev, [email protected]

� Nigel Metheringham, [email protected]

� Keith Owens, [email protected]

� Jeanette Pauline Middelink, [email protected]

� David A. Ranch, [email protected]

� Miquel van Smoorenburg, [email protected]

� Jos Vos, [email protected]

� Paul Russell, [email protected]

� Et tous ceux que j'ai pu oublier (faites-le moi savoir !)

� tous les utilisateurs envoyant des suggestions et des critiques �
la mailing list, et plus particuli�rement ceux qui m'ont fait part
d'erreurs dans ce document et les clients support�s ou non.

� Je vous demande pardon si je n'ai pas inclus les informations que
certains utilisateurs m'ont envoy�es. De nombreuses id�es et
suggestions me sont envoy�es, mais je n'ai pas le temps de les
v�rifier, ou je les �gare. J'essaie de faire de mon mieux pour
incorporer toutes les informations qu'on m'envoye pour r�diger ce
HOWTO. Je vous remercie pour votre effort, et j'esp�re que vous
comprenez ma situation.

66..44.. RR��ffeerreennccee

� IP masquerade FAQ de Ken Eves

� Archive de la mailing list IP Masquerade de Indyramp Consulting

� La page sur Ipfwadm par X/OS

� Divers HOWTOs li�s au r�seau sous Linux