Ok génial pour toutes ces informations, je vais mettre en place tout ça. Je vous avertirai si tout ce passe comme il faut. Aujourd'hui je part en vacances pour 15 jours donc je vais dire au revoir à mes deux serveurs snif... Bon tout cas chapeau pour ces supers renseignements, cela m'aurait valut sinon un certain pour trouver ces infos.
-----Message d'origine----- De : Marc Seignette [mailto:[EMAIL PROTECTED] Envoyé : jeudi 23 août 2001 16:47 À : [email protected] Objet : Re: [TECH] Paratage d'un modem -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Pour la configuration IP de ta carte ethernet il y a une petite chose a respecter: l'adresse DOIT apartenir a un des reseaux prives suivants: 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 Tu trouveras l'explication dans la RFC 1918 (http://www.rfc-editor.org) si j'ai bonne memoire... NAT (Network Address Translation) te permettra de cacher les stations de ton reseau ethernet derriere l'adresse IP publique fournie par ton ISP. Cette forme de NAT particuliere (M to 1 NAT) a ete baptisee IP Masquerading sous Linux. La facon de la mettre en oeuvre depend de la version de kernel que tu utilise dans ta distrib: le kernel 2.2.x s'appuie sur ipchains -> la reponse de Jerome t'eclairera sur la config a mettre en place. > echo "1" > /proc/sys/net/ipv4/ip_forward Cette commande permet au kernel de faire transiter les packets entre les interface (modem/ethernet) > echo "1" > /proc/sys/net/ipv4/ip_always_defrag Un packet IP peut etre fragmenter en plusieurs segments si la taille de ce packet est superieure a la taille maxi supportee par une interface. Le probleme, c'est que seul le premier fragment contient toutes les informations du header. Sans rentrer dans les details, cette commande ordonne au stack IP de reconstruire ue packet a partir de ses fragments sur l'interface d'entree avant de le passer a l'interface de sortie (qui eventuellement aura a le fragmenter suivant les imperatifs de MTU si necessaire) > /sbin/ipchains -P forward DENY Cette commande force le comportement par defaut du firewall. La logique en est la suivante: ce qui n'est pas specifiquement autorise a traverser la gateway est simplement drope. C'est la bonne approche pour un firewall car on devrait toujours avoir la maitrise de ce qui est susceptible de traverser sa gateway, dans un sens comme dans l'autre... > /sbin/ipchains -A forward -i eth0 -s 192.168.x.x/24 -j MASQ Cette commande autorise les packets venant du reseau de ta 2eme station a aller sur le Net. Ta Gateway en profite pour changer l'adresse IP source des packets que tu envoies sur le Net. L'exemple qui t'as ete donne est une version minimaliste fonctionnelle. Avec ces 2 entrees, n'importe qui peut s'attacher sur ta machine sur le kernel 2.4.x s'appuie sur iptables. Pour info, le stack IP de la 2.4 a ete reecrit de scratch et offre des performances reseaux tres... interessantes au regard de ce que faisait les 2.2.x. Le 2.4 est vraiment une beaute pour l'ingenieur reseau que je suis alors que le 2.2 fait plutot patchwork ;-) Pour les netfilters de la 2.4, voici l'equivalent de ce que Jerome a ecrit: ##################### # Kernel parameters # ##################### echo "1" > /proc/sys/net/ipv4/ip_forward ################### # Modules loading # ################### /sbin/insmod iptable_filter /sbin/insmod iptable_nat /sbin/insmod ipt_MASQUERADE /sbin/insmod ip_nat_ftp ############ # Rulez!!! # ############ # Si tu as une adresse IP fixe sur ton lien PPP /usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o ppp0 -j SNAT - --to-source $TON_IP_FIXE # Si tu as une adresse IP dynamique /usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o ppp0 -j MASQUERADE > Pour samba, je sais pas, je n'ai jamais utilise J'ai la joie (si,si ;-) d'utiliser Samba au bureau. La solution la plus simple pour configurer le server (quand tu veux mettre un dir local en share) c'est d'utiliser l'interface web de config fournie avec Samba server. C'est joli, facile et ca genere un fichier de conf propre et facile a comprendre. De memoire, ca s'appelle 'swat'. En client j'utilise xsmbrowser: simple, joli et efficace (et GPL...). > P.S : - un conseil, protege bien la becane qui possede le modem (et le ss > reseau) Oh que oui !!! J'ai un reseau derriere une router Linux (Linux From Scratch...) up 24x7 sur ADSL et j'ai des traces/logs interessants... - -- Marc Seignette Professional Services Engineer RealScale Technologies (formerly ACR) - http://www.realscale.com Les Cardoulines B2 / 1360 route des Dolines - tel: +33 (0)4 9395 6877 06560 VALBONNE / FRANCE - mob: +33 (0)6 1610 2308 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.4 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE7hRdr+BZI9V4oklIRAnBIAKC20A8hzTk+YVNZbMeTZfoIqFGftwCgtXR6 Gb4kUvPex0ECzNkaEFpS2fg= =5eE9 -----END PGP SIGNATURE----- Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 **** Pas de message au format HTML, SVP **** ______________________________________________________________________________ ifrance.com, l'email gratuit le plus complet de l'Internet ! vos emails depuis un navigateur, en POP3, sur Minitel, sur le WAP... http://www.ifrance.com/_reloc/email.emailif Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 **** Pas de message au format HTML, SVP ****
