La couche r�seau de Linux est pleine de fonctionnalit�s. Un ordinateur sous Linux peut �tre configur� pour agir en tant que routeur, passerelle, etc... Quelques unes des options disponibles sont d�crites ci-dessous.
Le noyau de Linux supporte les fonctions de routage. Un ordinateur sous Linux peut aussi bien fonctionner en tant que routeur IP ou IPX pour un co�t bien moins �lev� qu'un routeur commercial. Les noyaux r�cents incluent des options sp�ciales pour les machines jouant le r�le de routeurs :
Il y a quelques projets qui ont pour but de faire marcher un routeur Linux avec juste une disquette : Projet de routeur Linux
Le noyau de Linux sait agir en tant que pont Ethernet, ce qui signifie que les diff�rents segments Ethernets auxquels il est connect� appara�tront comme un seul Ethernet aux participants. Plusieurs ponts peuvent collaborer, pour cr�er d'encore plus larges r�seaux Ethernet en utilisant l'algorithme d'arbre (spanning tree) IEEE802.1. Comme c'est un standard, les ponts Linux pourront fonctionner avec des ponts d'autres sortes. D'autres paquetages permettent le filtrage bas� sur les adresses IP, IPX ou MAC.
HowTo en relation :
IP Masquerade est une fonction de d�veloppement de r�seau pour Linux. Si une machine Linux est connect�e � Internet avec IP Masquerade activ�, les ordinateurs s'y connectant (soit sur le m�me r�seau, soit se connectant par modems) peuvent acc�der � Internet sans probl�mes, m�me s'ils n'ont pas de r�elle IP d'assign�e. Ceci permet de r�duire les co�ts, puisque pas mal de personnes pourront acc�der � Internet en utilisant une simple connection par modem. Cela permet aussi de r�duire les risques de s�curit� car d'une certaine fa�on, la machine agit en tant que firewall, puisque les adresses non officielles ne peuvent pas �tre acc�d�es depuis l'ext�rieur de ce r�seau.
Pages et documents se rapportant � l'IP Masquerade :
Cette option permet au noyau de Linux de garder une trace de tout le trafic IP, d'enregistrer les paquets IP, et de produire quelques statistiques. Une s�rie de r�gles peuvent �tre d�finies pour que, lorsque certains paquets ont certaines caract�ristiques, un compteur soit incr�ment�, que le paquet soit accept� ou rejet�, etc...
Cette fonctionnalit� du noyau de Linux fournit la possibilit� d'assigner plusieurs adresses r�seau � la m�me interface (ex : deux adresses IP sur une carte Ethernet). Typiquement, pour �tre utilis� pour des services qui se comportent diff�remment selon l'adresse par laquelle ils sont appel�s (ex : "multihosting" ou "domaines virtuel" ou "service d'h�bergement virtuel").
HowTo en relation :
Le traffic shaper est une interface virtuelle qui permet de limiter le trafic montant vers une autre interface r�seau. C'est particuli�rement utile quand on veut limiter/contr�ler la bande passante utilis�e par un client. Une autre alternative (pour le web seulement) serait d'utiliser un module d'Apache qui restreint le nombre de connections par client, ou la bande passante utilis�e.
Un firewall est une interface qui prot�ge un r�seau prive du reste d'Internet. Il est con�u pour contr�ler le flux de paquets en se basant sur la source, la destination, le port et le type de paquet contenu dans chaque paquet.
Il existe diff�rents outils de firewalls pour Linux, ainsi qu'un support int�gr� dans le noyau. D'autres firewalls sont TIX et SOCKS. Ces kits de firewall sont tr�s complets, et combin�s avec d'autres outils, permettent de bloquer/rediriger tous types de trafic et protocoles. Diff�rentes r�gles peuvent �tre impl�ment�es par le biais de fichiers de configuration ou gr�ce � des programmes graphiques.
Un nombre croissant de sites WWW deviennent interactifs en ayant des cgi-bins ou des applets Java qui acc�dent � des bases de donn�es ou � d'autres services. Puisque ces acc�s peuvent poser des probl�mes de s�curit�, la machine contenant la base de donn�e ne devrait pas �tre connect�e directement � Internet.
Le reroutage de ports peut fournir une solution presque id�ale � ce probl�me d'acc�s. Avec un firewall, les paquets IP qui arrivent sur un port sp�cifique peuvent �tre r��crit et envoy�s au serveur interne fournissant le service. Le paquet qui est re�u du serveur interne est r��crit pour le faire appara�tre comme arrivant du firewall.
Des informations sur le reroutage de ports peuvent �tre trouv�es ici
Lorsqu'un serveur Web, qui utilise une base de donn�e, est tr�s charg�, il serait utile d'avoir plusieurs serveurs identiques et de rediriger les requ�tes vers le serveur le moins charg�. Ceci peut �tre fait avec les techniques de translation d'adresses r�seau (NAT : Network Address Translation) dont IP-Masquerading est un sous-ensemble. Les administrateurs r�seaux peuvent remplacer un serveur simple fournissant des services Web - ou n'importe quoi d'autre - par un groupe de serveurs partageant la m�me adresse IP. Les connections arrivantes sont redirig�es vers l'un des serveurs en utilisant un algorithme de r�partition de charge. Le serveur virtuel r��crit les paquets entrants et sortants pour que les clients aient un acc�s transparent au serveur, comme s'il �tait unique.
Des informations sur Linux IP-NAT peuvent �tre trouv�es l�
EQL est int�gr� au noyau de Linux. Si deux connections s�ries existent vers un autre ordinateur (cela demande deux modems et deux lignes de t�l�phone) et si SLIP ou PPP (un protocole pour envoyer un trafic internet � travers une ligne de t�l�phone) sont utilis�s dessus, il est possible de les faire se comporter comme une seule connection ayant une vitesse double en utilisant ce driver. Naturellement, EQL doit �tre support� de l'autre c�t� aussi.
Le terme proxy signifie "faire quelque chose pour quelqu'un d'autre". En termes de r�seau, un serveur proxy est un ordinateur qui agit pour plusieurs clients. Un proxy HTTP est une machine qui re�oit des requ�tes � des pages Web d'autres machines (machine A). Le proxy r�cup�re la page en question et retourne le r�sultat � la machine A. Le proxy peut avoir un cache contenant les pages d�j� demand�es, de fa�on � ce que , si une autre machine demande la m�me page, la copie du cache soit retourn�e � la place. Ceci permet de r�duire la bande passante utilis�e, et d'avoir un temps de r�ponse plus court. Comme effet de bord, les machines clientes n'acc�dent pas directement au monde ext�rieur et cela peut rendre un r�seau plus s�r. Un proxy bien configur� peut �tre aussi efficace qu'un firewall.
Plusieurs serveurs proxy existent pour Linux. La solution la plus populaire est le module proxy d'Apache. Il y a aussi SQUID qui est une impl�mentation plus compl�te et plus robuste de proxy HTTP.
Le but des connections � la demande est de faire croire aux utilisateurs qu'ils ont une connection permanente d'un point � un autre. D'habitude, il y a un daemon qui surveille le trafic de paquets, qui �tablit la connection quand elle est n�cessaire, puis apr�s une p�riode d'inactivit�, clot la connection.
Le noyau de Linux permet le tunnelling (encapsulation) de protocoles. Il peut faire du tunnelling IPX via IP, permettant la connection de deux r�seaux IPX via une simple liaison IP. Il peut aussi faire du tunnelling IP-IP, qui est majoritairement utilis� pour le support des IP mobiles, le support du multicast, et la radio amateur. (voir http://sunsite.unc.edu/mdw/HOWTO/NET-3-HOWTO-6.html#ss6.13)
Les IP mobiles sont une am�lioration qui permet un routage transparent de datagrammes IP vers des noeuds IP sur Internet. Chaque noeud est toujours identifi� par son adresse d'origine, quelque soit son point de rattachement � Internet. Quand il est �loign� de son point d'origine, un noeud mobile est aussi associ� avec une adresse d'h�bergement, ce qui fournit des informations sur son point de rattachement actuel sur Internet. Le protocole permet d'enregistrer l'adresse de l'h�bergeur avec un programme sp�cifique. Ce programme envoie les datagrammes destin�s au noeud mobile via le tunnel de l'adresse de l'h�bergeur. Apr�s �tre arriv�, chaque datagramme est alors d�livr� au noeud mobile.
Le Point-to-Point Tunneling Protocol (PPTP) est une technologie r�seau qui permet d'utiliser Internet en tant que r�seau priv� virtuel (VPN : virtual private network). PPTP est int�gr� dans le serveur de services d'acc�s � distance (RAS : Remote Access Services) de Windows NT server. Avec PPTP, les utilisateurs peuvent se connecter � leur FAI local, ou se connecter directement � Internet, et utiliser leur r�seau comme s'ils �taient devant leur bureau. PPTP est un protocole bien d�fini, et sa s�curit� a r�cemment �t� compromise. Il est fortement conseill� d'utiliser l'une des alternatives propos�es par Linux, car elles s'appuient sur des standards qui ont �t� examin�s et test�s tr�s minutieusement.
Hosting by: Hurra Communications GmbH
Generated: 2007-01-26 18:01:37