Ce document a pour but de vous faire comprendre (ainsi qu'à moi) le processus de construction d'un pare-feu ou d'une passerelle Linux, capable de modifier ses règles à la demande lorsque les utilisateurs se connectent ou se déconnectent de leurs postes de travail Windows.
Je devrais écrire une application, mais ça ne m'intéresse pas trop. On peut espérer que, une fois l'idée exprimée, des gens construiront quelques paquets intelligents et intégrés. En attendant…
Dans ce document, j'essaierai de montrer comment construire une passerelle pour faire du NAT ou du MASQUERADE avec des stations Windows. Utilisez votre imagination pour le modifier et avoir tout type de gestion des réseau. Vous pouvez l'utiliser pour autoriser ou refuser l'accès depuis votre réseaux à des services, des serveurs ou à des sous-réseaux complets.
Imaginez que vous devez construire une passerelle pour laisser les stations Windows accéder à Internet et que vous avez besoin d'authentifier chaque utilisateur avant de le laisser accéder aux réseaux externes. La première solution à laquelle vous pensez est Squid. C'est en fait une bonne solution quand les accès http et ftp sont suffisants à vos utilisateurs. Mais lorsqu'arrive le moment où vous devez les laisser accéder à d'autres services comme pop, smtp, ssh, un serveur de base de données ou tout autre chose, vous penserez immédiatement à NAT ou MASQUERADE. Mais qu'en est-il de l'authentification de l'utilisateur ?
Donc, ceci est ma solution. Elle vous permet l'authentification de l'utilisateur et un contrôle beaucoup plus fin de son accès aux réseaux externes.
Nous savons que samba peut agir en tant que contrôleur de domaine, et donc qu'il peut authentifier les utilisateurs de machines Windows. En tant que PDC, samba peut envoyer des scripts netlogon aux stations de travail Windows. Nous pouvons utiliser ce script netlogon pour forcer les stations Windows à monter un partage donné à partir de notre PDC Linux. Ce partage « forcé » doit comporter les scripts preexec et postexec qui seront exécutés respectivement à la connexion et à la déconnexion de l'utilisateur. Un programme nommé smbstatus indique les partages en cours d'utilisation, ainsi que le nom de l'utilisateur et l'adresse IP de sa station. Nous avons juste besoin de récupérer cette information à partir de la sortie de smbstatus pour mettre à jour nos règles de pare-feu.
Le texte ci-dessous est la version française de la mise en garde de ce document. Seule la version originale de cette mise en garde, présentée dans la section suivante, fait foi.
Aucune responsabilité sur le contenu de ce document ne sera acceptée. Utilisez les concepts, exemples et autres contenus à vos risques et périls. Comme ceci est une nouvelle édition de ce document, il peut exister des erreurs et des inexactitudes qui peuvent bien sûr endommagées votre système. Faites attention et, bien que ceci est fort improbable, l'auteur n'en prend aucune responsabilité.
Tous les droits appartiennent à leur propriétaire respectif, sauf cas spécifiquement indiqués. L'utilisation d'un terme dans ce document ne doit pas être vu comme affectant la validité d'une marque ou du service d'une marque.
Le fait de citer une marque ou un produit particulier ne doit pas être perçu comme une approbation.
Le texte ci-dessous est la mise en garde de ce document. Ce texte fait foi.
No liability for the contents of this document can be accepted. Use the concepts, examples and other content at your own risk. As this is a new edition of this document, there may be errors and inaccuracies, that may of course be damaging to your system. Proceed with caution, and although this is highly unlikely, the author(s) do not take any responsibility for that.
All copyrights are held by their respective owners, unless specifically noted otherwise. Use of a term in this document should not be regarded as affecting the validity of any trademark or service mark.
Naming of particular products or brands should not be seen as endorsements.
La dernière version originale de ce document est disponible sur http://http://ram.eti.br et sur http://www.tldp.org.
Il est possible de trouver les guide pratiques relatifs à ce document sur la page du projet de documentation Linux (LDP) sur http://tldp.org/.
La dernière version française de ce document est disponible sur www.traduc.org.
Une version portuguaise est disponible.
Une traduction française réalisée par Guillaume Lelarge est disponible sur www.traduc.org (NdT : Si vous voulez participer aux traductions, n'hésitez pas. Votre aide sera la bienvenue !)
J'ai écrit la version originale de ce document en anglais dans l'intérêt de la communauté Linux. Cependant, l'anglais n'est pas ma langue maternelle. Si vous parlez portugais, adressez-vous à moi dans cette langue.
Vos contributions et critiques sont les bienvenues.
Si vous trouvez un bogue dans les scripts inclus, merci de me le dire.
Vous pouvez me joindre en portugais ou en anglais à l'adresse <ricardo CHEZ ram POINT eti POINT br> ainsi qu'à l'adresse <ricardo POINT mattar CHEZ bol POINT com POINT br>.
Les commentaires relatifs à la version française de ce document sont les bienvenus. N'hésitez pas à nous signaler les erreurs, coquilles ou à nous faire part de vos impressions sur ce document. Vous pouvez nous contacter à l'adresse commentaires CHEZ traduc.org.
Le texte ci-dessous est la version française de la licence de ce document. Seule la version originale de cette licence, présentée dans la section suivante, fait foi.
Copyright © 2002-2003 Ricardo Alexandre Mattar
Vous est autorisé de copier, distribuer ou modifier la version originale de ce document selon les termes de la licence de documentation libre GNU (GFDL), version 1.2 ou ultérieure, telle que publiée par la Free Software Foundation ; sans section inaltérable, ni texte de première de couverture, ni texte de quatrième de couverture. Une copie de cette licence est incluse dans la section intitulée « GNU Free Documentation License ».
Copyright © 2003 Guillaume Lelarge, François-Xavier Detournière et Jean-Philippe Guérard pour la version française
La version française de document a été réalisée par Guillaume Lelarge, François-Xavier Detournière et Jean-Philippe Guérard . La version française de ce guide pratique est publiée en accord avec les termes de la licence de documentation libre GNU (GFDL) sans section invariante, sans texte de première de couverture ni texte de quatrième de couverture. Une copie de la licence est disponible sur http://www.gnu.org/copyleft/fdl.html.
Le texte ci-dessous est la licence de ce document. Ce texte fait foi. Il est composé de la licence en anglais du document orignal, suivi de la licence en français de sa traduction.
Copyright © 2002-2003 Ricardo Alexandre Mattar
Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License".
Copyright © 2003 Guillaume Lelarge, François-Xavier Detournière et Jean-Philippe Guérard pour la version française
La version française de document a été réalisée par Guillaume Lelarge, François-Xavier Detournière et Jean-Philippe Guérard . La version française de ce guide pratique est publiée en accord avec les termes de la licence de documentation libre GNU (GFDL) sans section invariante, sans texte de première de couverture ni texte de quatrième de couverture. Une copie de la licence est disponible sur http://www.gnu.org/copyleft/fdl.html.
Merci à Carlos Alberto Reis Ribeiro pour m'avoir présenté Linux.
Merci à Cesar Bremer Pinheiro pour m'avoir motivé lors de l'écriture de ce document.
Merci à Guillaume Lelarge pour son aide (continue) sur les différentes versions.
Merci à Erik Esplund pour d'autres corrections d'anglais.
Merci à Albert Teixidó pour les améliorations sur le code.