3. Configuration du r�seau
Pr�c�dentSuivant

3. Configuration du r�seau

Bien, � partir de l�, vous avez install� une passerelle sous GNU/Linux. Vous avez peut-�tre m�me configur� une de vos cartes r�seaux, et mis en place la connexion vers Internet. De toutes les mani�res, nous allons tout reprendre depuis le d�part et faire comme si rien n'�tait configur�.

Connectez-vous sous root. Toutes les instructions donn�es dans ce document supposent que vous soyez connect� sous root.

Le noyau Linux se r�f�re � vos deux cartes Ethernet � travers eth0 et eth1, nous allons donc de m�me utiliser ces r�f�rences. Le probl�me est de savoir laquelle est laquelle. Voici un moyen �simple� de savoir, garanti � 50% : poser l'ordinateur sur le bureau avec la carte m�re horizontale et le panneau arri�re face � vous (comme si vous alliez l'ouvrir pour travailler dessus). La carte la plus � gauche est eth0. Maintenant, notez sur un papier le fabricant et le mod�le de eth0 et d'eth1.

Bien, voyons si eth0 et eth1 sont correctement et automatiquement reconnues par le noyau. Tapez ifconfig eth0 puis ifconfig eth1. Dans les deux cas, si le noyau reconna�t bien vos cartes, vous devriez voir quelque chose ressemblant � ceci (en gardant bien � l'esprit que les nombres seront diff�rents) : 

eth0   Link encap: Ethernet   HWaddr 00:60:67:4A:02:0A
 inet adr:0.0.0.0  Bcast:0.0.0.0  Masque:255.255.255.255
 UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
 RX packets:466 errors:0 dropped:0 overruns:0 frame:0
 TX packets:448 errors:0 dropped:0 overruns:0 carrier:0
 collisions:85 lg file transmission:100
 RX bytes:800 (0.8 Kb)  TX bytes:736 (0.7 Kb)
 Interruption:10 Adresse de base:0xe400

Si le noyau ne reconna�t pas votre carte r�seau, vous devriez alors voir quelque chose comme : 

eth0: erreur lors de la recherche d'infos sur l'interface: P�riph�rique non trouv�

Si les deux cartes ont �t� reconnues, passez directement � la prochaine section. Sinon lisez ce qui suit.

Bien, il se peut maintenant qu'une ou que vos deux cartes ne soient pas reconnues par le noyau. Ce n'est pas r�ellement un probl�me. Nous avons juste � sp�cifier explicitement au noyau comment trouver les cartes. Il existe beaucoup de d�tours et nous allons tous les couvrir. N'oubliez pas qu'en cas de grosses difficult�s, vous trouverez tout dans le Ethernet HOWTO. Voici le r�sum� de quelques conseils :

  • vous avez une carte r�seau PCI. Vous �tes probablement en bonne position, en supposant qu'elle ne soit pas trop r�cente et excentrique pour qu'il existe un pilote. Vous trouverez des informations sur votre carte r�seau (et d'autres) en parcourant /proc/pci notamment le fabricant et le mod�le (n.d.t. : vous pouvez utiliser la commande suivante lspci) ;

  • vous avez une carte r�seau ISA. Il est possible que vous ayez � conna�tre l'adresse de base E/S et l'interruption (IRQ) assign�s � la carte. Vous avez les manuels, n'est-ce pas ? N'est-ce pas ? Sinon, il est grand temps d'aller surfer du cot� du site web du fabricant et de voir s'il a les r�f�rences de votre carte. Ou si vous avez une vieille disquette de configuration DOS, d�marrez sous DOS et regardez s'il existe un programme qui pourrait lire et positionner l'adresse et l'interruption ;

  • Vous avez une carte ISA Plug'n'Play. Premi�rement vous aurez � apprendre comment la configurer -- lisez le Plug'n'Play HOWTO. Heureusement, une fois que vous aurez configur� votre carte vous conna�trez exactement son adresse de base E/S et son interruption.

Maintenant que vous connaissez le fabricant de eth0 et de eth1, vous pouvez aller sur la page de compatibilit� du Ethernet HOWTO et trouver votre carte. Notez le pilote recommand�, et toute information � propos d'options sp�cifiques � votre carte. Notez-les quelque part !

Il est temps d'�diter le fichier de configuration ! Le fichier que vous devez �diter est le suivant /etc/modules.conf (n.d.t. : anciennement /etc/conf.modules). Ouvrez ce fichier avec l'�diteur de votre choix. Sachant qu'il y a beaucoup de possibilit�s et de combinaisons qui peuvent remplir ce fichier, je vais donner ma propre passerelle comme exemple. Je poss�de une carte PCI 10/100Mb bas� sur la puce VIA Rhine, et une clone de NE2000 ISA 10Mb de base. J'utilise la carte 100Mb pour le r�seau interne et la carte de 10Mb pour la connexion externe. Mon fichier /etc/modules.conf ressemble � cela : 

alias parport_lowlevel parport_pc
alias eth0 ne
options ne io=0x300 irq=10
alias eth1 via-rhine

Mon fichier modules.conf se d�compose de la mani�re suivante :

  • La premi�re ligne est ici pour configurer le port parall�le pour l'impression. Vous avez probablement une ligne similaire. Laissez-la.

  • La deuxi�me ligne (alias eth0 ne) informe le noyau pour qu'il utilise le pilote NE pour le p�riph�rique eth0.

  • La troisi�me ligne (options ne io=0x300 irq=10) passe au pilote les param�tres d'adresse E/S de base et l'interruption correspondants � l'emplacement de la carte ISA. Si vous poss�dez une carte ISA, vous aurez tr�s certainement � utiliser ce genre de directives. Remplacez juste les options de pilote, d'adresse et d'interruption par celles de votre carte.

  • La derni�re ligne (alias eth1 via-rhine) informe le noyau pour qu'il utilise le pilote VIA-Rhine pour eth1. Comme ma carte eth1 est une carte PCI, elle ne n�cessite pas de param�tres suppl�mentaires (E/S, interruption) : le sous-syst�me PCI configure le p�riph�rique automatiquement.

Vous v�rifierez bien que vous avez des entr�es d'alias dans modules.conf pour vos deux cartes, et les lignes d'options ad�quates pour toutes vos cartes ISA. Vous avez d'ailleurs peut-�tre d�j� des lignes pour une carte Ethernet configur�e lors de l'installation.

D�s que vous aurez fini de modifier votre modules.conf, essayez la commande ifconfig eth0 puis ifconfig eth1. Vous devrez peut-�tre proc�der par t�tonnements si vous perdez du temps avec les interruptions et les adresses E/S sans manuel du fabricant.

Voil�, vous avez voulu �tre malin, et vous avez achet� deux cartes r�seaux identiques pour votre passerelle GNU/Linux, et maintenant vous n'arrivez pas � les faire fonctionner ensemble ? Ne vous inqui�tez pas, pour les faire coexister il suffit d'employer la bonne syntaxe dans votre modules.conf. Pour cet exemple, les adresses E/S et les num�ros d'interruptions sont fix�s, et je supposerai que vous avez achet� une paire de cartes compatibles NE2000 (un choix habituel). Alors votre fichier modules.conf devrait ressembler � cela : 

alias eth0 ne
alias eth1 ne
options ne io=0x330,0x360 irq=7,9

Les options d'adressage sont toutes donn�es sur la m�me ligne, et le premier nombre pour chaque adressage est pour la carte eth0, le second nombre pour eth1.

Le r�seau interne est le r�seau dans lequel toutes vos machines personnelles communiquent entre elles. Le r�seau externe d�signe le grand et effrayant Internet de l'autre c�t� du GNU/Linux. G�n�ralement parlant, le r�seau interne sera compl�tement isol� du r�seau externe gr�ce au GNU/Linux, qui op�rera alors comme pare-feu de force moyenne.

Maintenant que les pilotes fonctionnent et que vous voyez vos deux cartes eth0 et eth1 dans ifconfig il est temps de mettre en place le r�seau interne. Je choisis arbitrairement de configurer le r�seau interne sur la carte eth1 et l'externe sur eth0.

Votre r�seau interne va �tre un r�seau priv� et par cons�quent doit utiliser une plage d'adresse r�seau sp�cifique pour les r�seaux internes : 192.168.1.0. Ceci est un r�seau priv� de classe C, au cas o� vous voudriez impressionner vos amis (n.d.t. cela impose entre autres l'utilisation d'au maximum 254 adresses IP diff�rentes sur le r�seau interne) ;

Premi�rement nous devons nous assurer que le r�seau est activ�. �ditez le fichier /etc/sysconfig/network et v�rifiez que les lignes suivantes sont pr�sentes : 

NETWORKING=yes
FORWARD_IPV4=yes

La premi�re ligne indique au syst�me que nous voulons que les p�riph�riques r�seaux d�marrent au d�marrage du syst�me. La seconde ligne demande au syst�me d'autoriser le transfert IP. Ceci est un pr�-requis pour d�marrer la configuration du masquage d'IP � la section 4.

[Note]Redhat 6.2

Pour pouvoir supporter le masquage d'IP et le transfert IP, la Red Hat 6.2 requiert des modifications dans le fichier /etc/sysctl.conf. V�rifiez que les lignes suivantes existent et que les valeurs sont correctes : 

net.ipv4.ip_forward = 1
net.ipv4.ip_always_defrag = 1

Tous les param�tres concernant les interfaces r�seaux sont dans les fichiers contenus dans le r�pertoire /etc/sysconfig/network-scripts. Entrez dans ce r�pertoire, et cr�ez un nouveau fichier ifcfg-eth1. Puis rentrez ce qui suit dans le fichier ifcfg-eth1 : 

DEVICE=eth1
IPADDR=192.168.1.1
ONBOOT=yes

Ces lignes permettent aux scripts g�rant le r�seau de configurer eth1 au d�marrage du syst�me et de lui assigner une adresse IP particuli�re. Activez votre r�seau avec les nouveaux param�tres avec la commande suivante : /etc/rc.d/init.d/network restart.

Un serveur DHCP (Protocole de Configuration Dynamique d'H�te) configurera automatiquement les p�riph�riques de votre r�seau interne avec des adresses IP. Ceci est tr�s utile pour les personnes munis d'ordinateur portable : ils n'ont qu'� brancher leurs machines et tout se configure imm�diatement proprement. Si vous ne voulez pas de serveur DHCP sur votre r�seau interne, passez � la section suivante.

Premi�rement vous devez vous assurer que le serveur DHCP est install�. Montez votre c�d�rom GNU/Linux et installez le paquetage RPM dhcp. Ceci fait, �ditez le fichier /etc/dhcpd.conf et mettez les lignes suivantes (et seulement celles-ci) dedans : 

subnet 192.168.1.0 netmask 255.255.255.0 {
 range 192.168.1.2 192.168.1.60;
 default-lease-time 86400;
 max-lease-time 86400;
 option routers 192.168.1.1;
 option ip-forwarding off;
 option broadcast-address 192.168.1.255;
 option subnet-mask 255.255.255.0;
}

Si vous allez configurer votre GNU/Linux en tant que cache DNS (serveur de nom de domaine), ins�rez alors l'option suivante : 

option domain-name-servers 192.168.1.1;

Si vous savez que ni vous ni vos adresses DNS externes n'allez utiliser votre GNU/Linux comme DNS, ins�rez l'option suivante, o� x.x.x.x et y.y.y.y repr�sentent les adresses IP des serveurs DNS : 

option domain-name-servers x.x.x.x, y.y.y.y;

Si vous voulez utiliser le partage de fichier Samba sur votre GNU/Linux pour vos ordinateurs MS-Windows, ajoutez les options suivantes pour utiliser le GNU/Linux par d�faut comme serveur WINS (Windows Name Server) : 

option netbios-name-servers 192.168.1.1;
option netbios-dd-server 192.168.1.1;
option netbios-node-type 8;
option netbios-scope "";

Configurer Samba et WINS est bien au-del� de la port�e de ce document. Si vous avez besoin d'aide, commencez par lire le SMB HOWTO et continuez � partir de l�.

Il y a encore quelques petites choses � rajouter. �ditez le fichier /etc/rc.d/init.d/dhcpd et cherchez la ligne suivante : 

/sbin/route add -host 255.255.255.255 dev eth1

Les clients DHCP MS-Windows requi�rent une adresse de diffusion particuli�re (Broadcast Adress) dans les r�ponses DHCP, et cette commande force la pile TCP/IP du GNU/Linux � la reproduire. Si vous ne trouvez pas cette ligne dans ce fichier, ajoutez-la. Si vous en trouvez une ressemblante, v�rifiez que la carte r�f�renc�e soit bien eth1.

L'�tape suivante est de modifier le fichier /etc/sysconfig/dhcpd afin d'utiliser eth1 comme carte par d�faut. Remplacez la ligne : 

DHCPDARGS=

Par : 

DHCPDARGS=eth1

Bien, nous sommes maintenant pr�ts � d�marrer le DHCP. Tout d'abord d�marrez le serveur DHCP avec la commande : /etc/rc.d/init.d/dhcpd start.

Puis dans un deuxi�me temps, nous devons nous assurer que le serveur DHCP d�marrera au prochain r�armor�age du syst�me. Certains paquetages RPM pour le serveur DHCP n'incluent pas les directives pour assurer le d�marrage du service � chaque fois, donc nous devons le faire en invoquant la commande chkconfig dhcpd on.

Cette commande force la RedHat � ajouter le script de d�marrage du dhcp aux diff�rents r�pertoires de niveaux de d�marrage dans /etc/rc.d. Dans les niveaux 3 et 5 (console multi-utilisateur et X multi-utilisateur) le serveur DHCP est d�marr�. Dans les niveaux 0, 1 et 6 (arr�t, unique utilisateur et red�marrage) le serveur DHCP est arr�t�.

Si vous avez mis en route le DHCP, configurer les ordinateurs clients est tr�s simple : choisissez juste la configuration par DHCP. Pour les ordinateurs sous Windows, cela implique d'ouvrir le �Panneau de configuration� puis l'option �R�seaux�. Trouvez le protocole TCP/IP et cliquez sur �Configurer�. Cochez la case �Obtenir automatiquement une adresse IP�, appliquez les changements, puis red�marrez.

Avant de red�marrer votre Windows, vous pourriez avoir besoin de taper cette commande : tail -f /var/log/messages. Ceci vous permettra de regarder en continue le syst�me de log du GNU/Linux. Si tout va bien, quand vous red�marrez votre Windows, vous le verrez demander une adresse IP et le serveur DHCP lui r�pondre. Il suffit d'un Ctrl+C pour sortir de la commande tail -f.

Si vous n'avez pas mis en route le DHCP, la configuration est tout de m�me tr�s simple. De m�me, dans la rubrique �R�seau� du �Panneau de configuration�, s�lectionnez le protocole TCP/IP puis cliquez sur �Param�tres�. Vous pouvez alors lui sp�cifier une adresse IP comprise dans le r�seau 192.168.1.0 sauf 192.168.1.0 (l'adresse de r�seau) 192.168.1.255 (l'adresse de diffusion du r�seau) ou 192.168.1.1 (l'adresse du serveur GNU/Linux). Ne donnez jamais � deux ordinateurs clients la m�me adresse IP. Ajoutez la passerelle � l'adresse 192.168.1.1, ce qui permettra au trafic sortant d'�tre rout� � travers votre passerelle GNU/Linux.

Le HOWTO IP Masquerade d�taille tr�s pr�cis�ment la configuration du client dans le Section Configuration.

En g�n�ral, pour configurer un ordinateur client, soit par DHCP, soit par assignation d'une IP fixe dans le r�seau 192.168.1.0 avec une passerelle en 192.168.1.1, positionnez l'adresse du serveur DNS � 192.168.1.1 si vous avez un serveur de cache DNS (voir ci-dessous) ou fixez les DNS aux adresses fournies par votre fournisseur d'acc�s � Internet.

La mise en place d'un serveur de cache DNS am�liorera l�g�rement la vitesse de navigation sur le net, car les adresses DNS les plus demand�es seront mis en cache dans le r�seau et n'auront pas � �tre r�cup�r�es � l'ext�rieur.

Si vous �tes int�ress�s par la mise en place d'un DNS complet et efficace, il y a �norm�ment de d�tails complexes � apprendre. Il existe un DNS HOWTO disponible, et le livre DNS et Bind est une bonne (et tr�s d�taill�e) r�f�rence papier.

Afin que vos machines clientes profitent du serveur de cache, elles doivent �tre configur�es pour utiliser la passerelle GNU/Linux comme serveur DNS primaire. Les directives DHCP donn�es � la section 3.2.2 sont une mani�re pour accomplir cela. Si vous configurez vos ordinateurs clients � la main, vous pouvez changer les configurations DNS dans les m�mes onglets de configuration que ceux utilis�s pour affecter l'adresse IP de la machine.

Pour installer le serveur DNS, installez simplement le paquetage RPM bind. � pr�sent, vous �tes presque pr�t.

Avec cette installation, le serveur de cache fonctionnera correctement, mais si vous connaissez les adresses IP des serveurs DNS de votre fournisseur d'acc�s � Internet vous pouvez l�g�rement am�liorer les performances en �ditant le fichier /etc/named.conf et en ajoutant la ligne suivante apr�s la ligne directory (o� x.x.x.x et y.y.y.y d�signent les serveurs DNS primaire et secondaire) : 

forwarders { x.x.x.x; y.y.y.y; };

Cette modification imposera � votre serveur DNS de d'abord questionner les serveurs DNS de votre FAI avant de traverser Internet � la recherche d'une adresse donn�e. Les serveurs de votre FAI poss�dent souvent un cache riche d'information DNS et peuvent alors fournir la r�ponse plus vite que votre serveur.

Le d�mon named a r�guli�rement des probl�mes de s�curit�, il est donc important d'installer la derni�re version, et de modifier certains param�tres par d�faut afin d'am�liorer la s�curit�.

  1. V�rifiez votre version de bind afin qu'elle soit au moins �gale � 8.2.2. Puis allez sur le site de mise � jour Red Hat afin de trouver la derni�re version.

  2. Restreignez l'acc�s � votre serveur de noms � votre r�seau local en ajoutant la ligne allow-query { 192.168.1/24; 127.0.0.1/32; } ; � votre fichier /etc/named.conf apr�s la ligne forwarders.

  3. �vitez d'ex�cuter le serveur de noms sous root. Si votre serveur s'ex�cute sous root, une faille dans le serveur donnera � celui qui l'exploite les privil�ges de l'administrateur. Si, par contre vous l'ex�cutez sous un utilisateur moins privil�gi�, comme l'utilisateur nobody, vous pouvez minimiser le risque de faille dans le serveur de nom. Pour ex�cuter votre serveur de nom sous nobody, �ditez le fichier /etc/rc.d/init.d/named et changez la ligne daemon named par daemon named -u nobody.

    [Note]Redhat 7.x

    Dans les versions r�centes de Red Hat, le d�mon de serveur de noms s'ex�cute d�j� sous un utilisateur non privil�gi�.

V�rifiez que votre serveur DNS d�marrera au d�marrage de GNU/Linux � l'aide de la commande suivante : chkconfig named on. Une fois encore, ceci nous assure que le serveur d�marrera dans les niveaux de chargements habituels (3 et 5) au d�marrage de GNU/Linux.

Bien, maintenant vous pouvez d�marrer votre serveur DNS : /etc/rc.d/init.d/named start.

Tant que nous n'aurons pas configurer le r�seau externe, le service de DNS ne fonctionnera pas (car il doit pouvoir communiquer avec les autres serveurs DNS sur Internet), cependant nous pouvons tester la connectabilit� interne basique avec le programme ping.

Sur l'un de vos ordinateurs clients, ouvrez une fen�tre de commandes MSDOS, et tapez ping 192.168.1.1. Ceci �mettra des paquets vers votre machine GNU/Linux � des intervalles r�guliers, et votre machine GNU/Linux r�pondra aux paquets. Si les choses se passent bien, vous devriez voir les temps de retour des paquets.

Maintenant nous sommes pr�ts � configurer le r�seau externe. Parfois cela sera difficile, cela d�pend la fa�on dont votre FAI supporte GNU/Linux. Si vous rencontrez des difficult�s, il existe un mini-HOWTO DSL qui couvre en d�tails les probl�mes d'ADSL. Il existe aussi un mini-HOWTO Modem C�ble pour l'Internet par le c�ble.

Le principal probl�me avec la plupart des connexions externes est l'obtention d'une adresse IP. Certains FAI distribuent des adresses IP statiques � leurs abonn�s c�ble ou ADSL, et dans ce cas la configuration est facilit�e. Cependant, la plupart des FAI ont maintenant choisi des configurations dynamiques via (vous l'avez devin�) DHCP (n.d.t. : la tendance actuelle est plut�t de se tourner vers le protocole PPPoE, aussi bien pour le c�ble que pour l'ADSL). Ceci signifie que votre machine GNU/Linux sera vraisemblablement serveur DHCP pour l'interface eth1, et clientDHCP pour l'interface eth0.

De plus, beaucoup de FAI se sont mis � fournir leurs services � travers des protocoles non standards sp�cialis�s ce qui oblige leurs abonn�s � rester sous MS-Windows. Certains de ces cas de figures seront discut�s � la fin de la section 3.3.2.

Si votre FAI vous a assign� une adresse IP statique, vous �tes en bonne voie. Premi�rement, cr�ez un fichier pour une nouvelle interface, /etc/sysconfig/network-scripts/ifcfg-eth0 et ins�rez y les lignes suivantes : 

DEVICE=eth0
IPADDR=x.x.x.x
NETMASK=y.y.y.y
ONBOOT=yes

Remplacez juste les x.x.x.x et y.y.y.y par les valeurs donn�es par votre FAI. Puis �ditez le fichier /etc/resolv.conf et entrez les informations suivantes : 

search domaine_du_FAI
nameserver n.n.n.n
nameserver m.m.m.m

Le domaine_du_FAI devrait vous �tre fourni par votre FAI. De m�me, entrez les adresses des serveurs DNS primaire et secondaire aux lignes n.n.n.n et m.m.m.m. Si vous avez mis en place votre machine GNU/Linux en tant que serveur DNS, vous pouvez ajouter une ligne avant les autres entr�es nameserver 127.0.0.1. Ceci forcera votre serveur GNU/Linux � utiliser en priorit� le serveur de cache DNS avant de demander l'information aux serveurs DNS ext�rieurs.

Si votre FAI utilise une configuration bas�e sur un DHCP, vous devez alors cr�er un fichier de configuration pour une nouvelle interface /etc/sysconfig/network-scripts/ifcfg-eth0 avec les lignes suivantes : 

DEVICE=eth0
BOOTPROTO=dhcp
ONBOOT=yes

Maintenant v�rifiez que le d�mon client dhcpcd est install� sur votre syst�me. Prenez votre c�d�rom d'installation de GNU/Linux et installez le paquetage RPM dhcpcd.

C'est le moment de tester notre nouvelle configuration r�seau. Utilisez juste la commande /etc/rc.d/init.d/network restart. Maintenant testez votre connexion vers le r�seau externe avec le programme ping. Pingez un ordinateur sur Internet, comme par exemple www.yahoo.com et observez le retour.

Votre situation peut diff�rer d'une des situations simplistes d�crites ci-dessus. Voici quelques courtes remarques sur les diverses difficult�s et des liens vers des ressources de r�f�rence auxquelles les adresser. Merci � John Mellor pour avoir fourni les liens et l'impulsion n�cessaire � l'ajout de cette section.

Plusieurs FAI ADSL (France T�l�com, par exemple) obligent leurs abonn�s � se connecter au service via le protocole "Point � Point � travers Ethernet" (PPPoE). � cette fin, ils fournissent un programme client MS-Windows : ce qui n'est pas tr�s utile pour les utilisateurs GNU/Linux. Heureusement, PPPoE est un protocole simple et qui a fait l'objet de d�veloppements sous GNU/Linux.

Un des tours favoris auxquels les FAI jouent est de restreindre votre service � un nom de machine unique, ou m�me � une unique carte d'interface r�seau. Ceci en g�n�ral afin de vous emp�cher de brancher de multiples ordinateurs sur le port Internet d'un concentrateur (bien s�r, avec GNU/Linux et le masquage d'IP vous obtiendrez le m�me effet avec une s�curit� accrue et sans que votre FAI puisse le deviner!).

Si votre FAI vous a donn� un nom de machine et insiste pour que vous configuriez votre Windows avec ce nom afin d'utiliser leur service, alors vous devez vous assurer que votre machine GNU/Linux renvoie ce nom de machine quand il requiert une adresse au serveur DHCP.

Le client DHCP de Red Hat est lanc� quand vous positionnez la variable BOOTPROTO � dhcp dans le fichier de configuration d'interface, mais il est lanc� sans r�f�rence � un nom de machine particulier. Pour le lancer avec un nom de machine donn�, sous Red Hat 6.x ou 7.x, �ditez le fichier /etc/sysconfig/network, en changeant la ligne :

HOSTNAME=

Par ceci :

HOSTNAME=votre_nom_de_machine_assign�e_par_votre_FAI

Cette op�ration peut ne pas fonctionner sur certaines d�riv�es de Red Hat. Si tel est le cas, ouvrez le script /sbin/ifup pour voir si l'appel � dhcpcd et pump inclue le param�tre -h $HOSTNAME. S'il ne l'inclue pas, ajoutez-le, de fa�on � ce que l'appel ressemble � /sbin/dhcpcd -i $DEVICE -h $HOSTNAME et /sbin/pump -i $DEVICE -h $HOSTNAME.

Maintenant vous pouvez admirer le travail. Tapez ifconfig pour voir tous les p�riph�riques r�seaux configur�s. Sur ma machine passerelle, cela ressemble � ceci : 

eth0  Lien encap:Ethernet  HWaddr 00:60:67:4A:02:0A
 inet adr:24.65.182.43  Bcast:24.65.182.255  Masque:255.255.255.0
 UP BROADCAST RUNNING MULTICAST  MTU:1500 Metric:1
 RX packets:2054256 errors:0 dropped:0 overruns:1 frame:0
 TX packets:1316599 errors:0 dropped:0 overruns:0 carrier:0
 collisions:89 lg file transmission:100
 RX bytes:1478576846 (1410.0 Mb)  TX bytes:203407515 (193.9 Mb)
 Interruption:10 Adresse de base:0xe400
eth1  Lien encap:Ethernet  HWaddr 00:80:C8:D3:30:2C
 inet adr:192.168.1.1  Bcast:192.168.1.255  Masque:255.255.255.0
 UP BROADCAST RUNNING MULTICAST  MTU:1500 Metric:1
 RX packets:81652 errors:0 dropped:0 overruns:0 frame:0
 TX packets:116131 errors:0 dropped:0 overruns:0 carrier:0
 collisions:37938 lg file transmission:100
 RX bytes:26228293 (25.0 Mb)  TX bytes:109197036 (104.1 Mb)
 Interruption:5 Adresse de base:0xe800
lo    Lien encap:Boucle locale
 inet adr:127.0.0.1  Masque:255.0.0.0
 UP LOOPBACK RUNNING  MTU:3924  Metric:1
 RX packets:359890 errors:0 dropped:0 overruns:0 frame:0
 TX packets:359890 errors:0 dropped:0 overruns:0 carrier:0
 collisions:0 lg file transmission:0
 RX bytes:145538898 (138.7 Mb)  TX bytes:145538898 (138.7 Mb)

Notez que l'interface eth0 a une adresse IP fantaisiste, alors que l'adresse d'eth1 est une adresse de r�seau priv� interne.

Vous pouvez regarder les routes de r�seaux en tapant la commande route. Sur ma passerelle, cela ressemble � ceci : 

 Table de routage IP du noyau
 Destination     Passerelle   Genmask         Indic Metric Ref Use Iface
 255.255.255.255 *            255.255.255.255 UH    0      0     0 eth1
 192.168.1.0     *            255.255.255.0   U     0      0     0 eth1
 24.65.182.0     *            255.255.255.0   U     0      0     0 eth0
 127.0.0.0       *            255.0.0.0       U     0      0     0 lo
 default         24.65.182.1  0.0.0.0         UG    0      0     0 eth0

Ici nous pouvons voir que le r�seau externe est configur�, que le r�seau interne aussi, ainsi que la boucle locale, l'adresse sp�ciale de diffusion 255.255.255.255 est configur�e, et la route par d�faut pointe vers la passerelle du FAI. Parfait !

� ce point vous avez l'ext�rieur, et l'int�rieur. Il ne reste qu'� ouvrir les portes entre les deux. Avant toute chose, nous devons nous assurer qu'aucun monstre ne puisse rentrer de l'ext�rieur.

Un des inconv�nients d'avoir une connexion permanente vers Internet via l'ADSL ou le c�ble est que votre ordinateur est expos� aux menaces de trous de s�curit� potentiels 24 heures sur 24, 7 jours sur 7. Utiliser GNU/Linux comme passerelle r�duit les risques, car il cache les autres ordinateurs : ainsi en ce qui concerne le reste d'Internet, seul votre machine GNU/Linux est disponible pour des connexions. Ceci signifie que votre r�seau interne est au mieux aussi s�curis� que votre machine GNU/Linux, c'est pourquoi je vais vous donner quelques astuces basiques pour am�liorer cette s�curit�.

Premi�rement, il est n�cessaire de bloquer les personnes malintentionn�es. Pour cela, �ditez le fichier /etc/hosts.deny et v�rifiez qu'il ressemble exactement � cela : 

#
# hosts.deny  This file describes the names of the hosts which are
#             *not* allowed to use the local INET services, as decided
#             by the '/usr/sbin/tcpd' server.
#
#            The portmap line is redundant, but it is left to remind you that
#        the new secure portmap uses hosts.deny and hosts.allow. In particular
#             you should know that NFS uses portmap!
ALL: ALL

Ceci demande au "TCP wrappers" -- qui contr�le 95% des connexions entrantes -- de refuser toutes les connexions de tous les h�tes. C'est plut�t une bonne r�gle ! Malheureusement, elle vous emp�chera aussi de vous connecter � votre GNU/Linux � partir de votre r�seau interne, ce qui est g�nant, donc nous allons rajouter une exception. �ditez le fichier /etc/hosts.allow et v�rifiez qu'il ressemble exactement � cela : 

#
# hosts.allow  This file describes the names of the hosts which are
#              allowed to use the local INET services, as decided
#              by the '/usr/sbin/tcpd' server.
#
ALL: 127.0.0.1
ALL: 192.168.1.

Ceci indique au "TCP wrappers" qu'il doit autoriser les connexions � tous les services � partir de la machine locale (127.0.0.1) et � partir du r�seau interne (192.168.1.).

Bien, vous avez maintenant bloqu�s les m�chants � l'ext�rieur, avec un bon cadenas. Si vous voulez utiliser des syst�mes de blocage et d'alarmes, vous allez devoir �tre beaucoup plus sophistiqu�s. Le Security HOWTO est une bonne lecture pour commencer si vous voulez en apprendre plus pour s�curiser votre machine GNU/Linux.

Pr�c�dentNiveau sup�rieurSuivant
2. Branchons tout ce qu'il faut�Sommaire�4. Configurer le Masquage d'IP

Hosting by: Hurra Communications GmbH
Generated: 2007-01-26 18:01:35