Ça y est ! Les préliminaires sont terminés, c'est ici que la magie commence. Le masquage d'IP est un des services vraiment magique que GNU/Linux propose. Il existe des produits commerciaux pour MS-Windows qui font la même chose, mais ils sont loin d'approcher la même efficacité : un vieux 386 peut joyeusement fournir des services de masquage d'IP à un bureau entier de taille moyenne, alors qu'il ne pourrait même pas lancer MS-Windows 95", sans parler du support ajouté du masquage d'IP." (Il est aujourd'hui possible d'utiliser le "partage de connexion" de MS-Windows pour faire du masquage d'IP mais il toujours impossible de faire tourner MS-Windows 2000 sur un 386.)
GNU/Linux a des capacités de pare-feu extrêmement variées, et nous allons les utiliser dans leur manière la plus simple et la plus rudimentaire. Si vous voulez apprendre comment maîtriser les pare-feux, vous devriez lire à la fois le HOWTO du pare-feu et des serveurs mandataires pour une compréhension de la théorie et le HOWTO IPCHAINS pour les instructions à propos de l'outil de pare-feux ipchains fourni avec le noyau Linux 2.2.X (et par extension avec la Red Hat 6.X). (n.d.t. : un nouvel outil iptables est fourni avec le noyau Linux 2.4.x, sa documentation peut être trouvé ici) Il y a aussi un très bon HOWTO IP Masquerade disponible qui donne beaucoup de détails pour ajuster le masquage d'IP.
n.d.t. : Attention à votre version de noyau/distribution | |
---|---|
Afin d'utiliser au mieux les ressources disponibles, une lecture attentive du HOWTO IP Masquerade est nécessaire. En effet, les différentes versions de noyaux Linux impliquent l'utilisation d'outils adaptés. De plus en plus de distributions récentes fournissent des outils graphiques de configuration pour le pare-feu. |
Configurer un simple masquage d'IP est très très facile une fois que les réseaux interne et externe sont opérationnels. Éditez le fichier /etc/rc.d/rc.local et ajoutez les lignes suivantes à la fin :
# 1) Remettre les règles des tables à zéro
/sbin/ipchains -F input
/sbin/ipchains -F forward
/sbin/ipchains -F output
# 2) Configurer les temporisations du MASQ et autoriser les paquets entrants
# pour la du DHCP.
/sbin/ipchains -M -S 7200 10 60
/sbin/ipchains -A input -j ACCEPT -i eth0 -s 0/0 68 -d 0/0 67 -p udp
# 3) Refuser tous les paquets transférés à part ceux provenant du réseau local.
# Camoufler ces derniers.
/sbin/ipchains -P forward DENY
/sbin/ipchains -A forward -s 192.168.1.0/24 -j MASQ
# 4) Charger les modules pour des services spécifiques.
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_raudio
|
Les deux dernières lignes insèrent des modules noyaux qui autorisent le FTP et le RealAudio pour les ordinateurs dans le réseau interne. Il existe d'autres modules pour des services spéciaux que vous pouvez ajouter ensuite si vous en avez besoin :
CUSeeMe (/sbin/modprobe ip_masq_cuseeme)
Internet Relay Chat (/sbin/modprobe ip_masq_irc)
Quake (/sbin/modprobe ip_masq_quake)
VDOLive (/sbin/modprobe ip_masq_vdolive)
Maintenant vous êtes prêts à essayer le masquage d'IP ! Lancez le script rc.local avec la commande /etc/rc.d/rc.local et ça devrait aller. Asseyez-vous devant un autre ordinateur et essayez le surfer sur la toile. Avec un peu de chance, tout devrait aller comme sur des roulettes.