slitaz-doc-wiki-data view pages/fr/handbook/networkconf.txt @ rev 4
Add pages/fr folder.
| author | Christopher Rogers <slaxemulator@gmail.com> |
|---|---|
| date | Sat Feb 26 12:13:35 2011 +0000 (2011-02-26) |
| parents | |
| children | 7f77649ceb97 |
line source
1 ====== Configuration du réseau ======
3 ===== A propos du réseau sur SliTaz =====
5 Par défaut SliTaz lance le client DHCP (udhcpc) sur eth0 lors du boot. Si votre carte réseau a bien été reconnue comme une interface eth0, et que vous utilisez un routeur, votre connexion devrait déjà fonctionner. C'est une configuration dynamique, à chaque démarrage du système le client DHCP obtient une nouvelle adresse IP depuis le serveur DHCP, qui est intégré au routeur, ou situé sur une autre machine. Pour changer la configuration par défaut vous devez passer par le fichier /etc/network.conf décrit ci-dessous. Pour les personnes utilisant PPPOE, vous pouvez utiliser les outils fournis par rp-pppoe et installés par défaut sur SliTaz. Si vous possédez une carte WiFi, SliTaz tente de charge tous les modules nécéssaire à sont utilisation lors du démarrage. L'installation de paquets supplémentaires et le choix d'un réseau auquel se connecter peuvent néanmoins être requis.
7 Vous pouvez lister les interfaces disponibles avec la commande :
9 <code> $ ifconfig -a </code>
11 Pour afficher la //Kernel's IP routing table//, vous pouvez entrer :
13 <code> $ route </code>
15 SliTaz propose trois outils graphiques pour configurer le réseau : Netbox, Wifibox et Serverbox.
17 ===== Netbox - Configuration graphique du réseau =====
19 Netbox est un petite interface graphique permettant de facilement configurer une interface réseau Ethernet en utilisant le protocole DHCP ou en demandant une adresse IP fixe. Les onglets //DHCP// et //Static IP// permettent de démarrer ou stopper la connexion et change automatiquement les valeurs dans les fichiers système. Les connexions Ethernet sont des connections câblées (RJ45) et ne nécessite pas d'authentification. Netbox fournit aussi un onglet //System wide// depuis lequel vous pouvez directement éditer les fichiers de configuration système. Les connections PPPoE ou PPP demandant un nom d'utilisateur et un mot de passe on leur propre onglet. Il est aussi possible de créer un réseau privé virtuel ou VPN avec les outils inclus de base dans la distribution.
21 {{:en:handbook:image:netbox.png}}
23 Vous pouvez lancer Netbox depuis le menu "Outils système" (//System tools//) → "Netbox Configurer le réseau" ou depuis un terminal graphique. C'est un outil qui permet de modifier des configuration système, il faut donc être administrateur (//root//) pour l'utiliser :
25 <code> $ subox netbox </code>
27 ===== Wifibox - Configuration graphique du réseau sans fil =====
29 Wifibox est une petite interface permettant de configurer une connexion à un réseau sans fil (Wifi, Wireless ou Wlan). L'onglet 'Netwoks' affiche la liste des réseaux disponibles, il suffit de double cliquer sur un nom de réseau pour établir la connexion, si le réseau est sécurisé, la clé vous sera alors demandée.
31 {{:en:handbook:image:wifibox.png}}
33 L'onglet 'Favorites' permet de préconfigurer ses réseaux préférés, une fois un réseau ajouté il suffit de double cliquer sur le nom du réseau pour établir la connexion. L'onglet 'Configuration' permet de configurer une connexion manuellement avec les paramètres avancés tels que le mode ou le canal. L'onglet 'Drivers' permet de configurer une carte réseau, il y a 3 cas de figure:
35 - La carte est directement supportée par le noyau via un module.
36 - La carte a besoin d'un module et d'un //firmware// (bout de code non-libre) pouvant être installé automatiquement via l'outil de détection du matériel.
37 - La carte n'est pas supportée par Linux et le pilote Windows doit être installé via le gestionnaire de pilotes Windows (tazndis).
40 ===== /etc/hostname - Le nom de machine =====
42 Le fichier ///etc/hostname// configure le nom de la machine. Le nom de machine est chargé au démarrage du système avec la commande ''hostname''. Sans argument cette commande retournera le nom de machine actuel :
44 <code> $ hostame </code>
46 Pour changer le nom de machine vous pouvez utiliser la commande ''echo'' ou utiliser un des éditeurs de texte disponible sur SliTaz (il faut être //root//). Exemple avec ''echo'' et le nom de machine ''kayam'' :
48 <code> # echo "kayam" > /etc/hostname </code>
50 ===== /etc/network.conf =====
52 Le fichier ///etc/network.conf// est le fichier de configuration du réseau sur votre système SliTaz. Sa syntaxe est simple, vous pouvez modifier son contenu avec un éditeur de texte tel que Nano. Le fichier ///etc/network.conf// est utilisé par le script ///etc/init.d/network.sh// pour configurer les interfaces réseau au démarrage du système.
54 Le fichier de configuration du réseau (network.conf) vous permet de lancer ou non le client DHCP au boot. Vous pouvez aussi spécifier une adresse IP fixe avec son masque de sous réseau, la passerelle par défaut, le serveur DNS à utiliser et la configuration ou non d'une interface WiFi au démarrage.
56 ===== IP dynamique - Client DHCP udhcpc =====
58 Le client DHCP udhcpc fourni avec Busybox utilise le script /usr/share/udhcpc/default.script pour obtenir une adresse IP dynamiquement au boot. Il supporte diverses options que vous pouvez connaître avec l'option ''%%--help%%'' :
60 <code> # udhcpc --help </code>
62 Pour ne pas lancer udhcpc sur eth0, ou modifier l'interface (ex: eth1) vous devez passer par le fichier ///etc/network.conf//, et spécifier "no" à la variable DHCP= :
64 <code>
65 # Dynamic IP address.
66 # Enable/disable DHCP client at boot time.
67 DHCP="no"
68 </code>
70 ===== IP fixe - Utilisation d'un adresse spécifique =====
72 Vous pouvez spécifier une adresse IP fixe à configurer au démarrage du système, en mettant la valeur "yes" à la variable STATIC= :
74 <code>
75 # Static IP address.
76 # Enable/disable static IP at boot time.
77 STATIC="yes"
78 </code>
80 Pour que la configuration fonctionne, vous devez spécifier une adresse IP, son masque de sous réseau, la passerelle par défaut (//gateway//), et le serveur DNS à utiliser. Exemple :
83 <code>
84 # Set IP address, and netmask for a static IP.
85 IP="192.168.0.6"
86 NETMASK="255.255.255.0"
88 # Set route gateway for a static IP.
89 GATEWAY="192.168.0.1"
91 # Set DNS server. for a static IP.
92 DNS_SERVER="192.168.0.1"
94 </code>
96 ===== Connexion internet ADSL en pppoe kernel-mode =====
98 Pré-requis: le support ppp et pppoe doit être activé dans le noyau (dur ou modules) et l'interface ethernet configurée. Vous devez indiquer à ppp d'utiliser le //plugin// rp-pppoe du noyau dans ///etc/ppp/options// :
100 <code>
101 plugin rp-pppoe.so
102 name <your provider connection ID>
103 noipdefault
104 defaultroute
105 mtu 1492
106 mru 1492
107 lock
108 </code>
110 Si vous avez compilé le support de votre carte réseau en module dans le noyau, vous devrez activer ce dernier dans /etc/rcS.conf:
112 <code>LOAD_MODULES="<votre module>"</code>
114 Modifiez le fichier ///etc/ppp/pap-secrets// ou ///etc/ppp/chap-secrets// :
117 <code>
118 # client server secret IP addresses
119 "your_login" * "your_password"
120 </code>
122 Les fichiers ///etc/host.conf// et ///etc/resolv.conf// devraient être automatiquement renseignés. C'est tout ! Pour vous connecter à internet, il suffit simplement de taper :
124 <code>pppd eth0
125 </code>
127 Si SliTaz est installée en dur vous pouvez automatiser le démarrage de pppd en utilisant le script de démarrage : ///etc/init.d/local.sh//
129 ===== Connexion pppoe avec rp-pppoe =====
131 Pour configurer sa connexion internet ADSL via le protocole PPPOE, SliTaz fournit la suite d'utilitaires du paquet //rp-pppoe//. L'utilisation de ''pppoe-setup'' est un jeu d'enfant et vous permet de configurer rapidement le réseau. Si vous utilisez DHCP c'est encore plus facile, puisque c'est le serveur de votre FAI (Fournisseur d'Accès Internet) qui va s'occuper de tout. Si vous n'avez pas le DHCP vous devez commencer par désactiver son utilisation via la variable ''DHCP="no"'' du fichier de configuration ///etc/network.conf//. A noter que pour modifier des fichiers de configuration système et se connecter, vous devez devenir administrateur via la commande ''su''. Pour changer la variable DHCP avec Nano (Ctrl + x pour sauver et quitter) :
134 <code>
135 $ su
136 # nano /etc/network.conf
137 </code>
139 === Configurer avec pppoe-setup ===
141 Pour commencer à configurer votre connexion PPPOE, vous devez ouvrir un terminal X ou utiliser la console Linux pour lancer ''pppoe-setup'' et répondre aux questions :
144 <code> # pppoe-setup
145 </code>
147 - Tapez votre nom d'utilisateur. A noter qu'il s'agit du nom d'utilisateur avec lequel vous communiquez avec votre FAI, il est différent de ceux du système, bien sûr.
148 - Interface internet, il s'agit par défaut de eth0 sauf si vous en avez plusieurs, auquel cas vous aurez eth1, eth2, etc.. généralement la touche <Entrée> suffit.
149 - Si vous avez un lien ADSL permanent répondez ici par oui, sinon par non (valeur par défaut).
150 - Spécifiez les DNS primaire et secondaire de votre FAI, il vous les communiquera, n'hésitez pas à les lui demander.
151 - Tapez le mot de passe avec lequel vous communiquez avec votre FAI, à noter que vous devrez le tapez deux fois.
152 - Choisir le firewall ou pare-feu en fonction de votre matériel, si vous avez un routeur vous pouvez entrer 2 sinon 1. En cas de doute tapez 1.
155 === Démarrer et arrêter la connexion ===
157 Toujours en ligne de commandes, il suffit de lancer ''pppoe-start'' pour démarrer la connexion. Quelques secondes puis le système vous dit qu'il est connecté. S'il vous donne un message du genre TIMED OUT c'est que vous avez mal configuré ou que les branchements sont défectueux. Revérifiez votre câblage et reprenez l'installation au début. Pour démarrer sa connexion :
159 <code> # pppoe-start
160 </code>
162 Pour arrêter la connexion vous pouvez utiliser l'utilitaire ''pppoe-stop'', toujours en ligne de commande.
164 ===== Installer un pilote de carte réseau =====
166 Dans le cas où vous avez besoin d'un pilote pour votre carte mais que vous ne connaissez pas son nom, vous pouvez utiliser la commande ''lspci'' pour trouver votre carte puis ''modprobe'' pour charger un module. Lors d'une session Live, vous pouvez utiliser l'option de démarrage ''modprobe=modules'' pour charger un module du noyau. Pour obtenir une liste de tous les pilotes disponibles, afficher les cartes ethernet PCI et charger un module :
168 <code>
169 # modprobe -l | grep drivers/net
170 # lspci | grep [Ee]th
171 # modprobe -v module_name
172 </code>
174 Sur un système installé vous avez juste besoin d'ajouter le nom_du_module à la variable LOAD_MODULES dans ///etc/rcS.conf// pour charge le module automatiquement à chaque démarrage.
176 ===== Gestion du pare-feu (firewall) =====
178 SliTaz fourni un pare-feu très basique, les régles de sécurité du noyau sont lancées et les règles d'iptables sont désactivées par défaut. Vous pouvez activer/désactiver son exécution au démarrage, et créer de nouvelles règles via le fichier de configuration : ///etc/firewall.conf//.
180 Le script du //firewall// fournit par défaut sur SliTaz commence par configurer les options propre au noyau : les redirections ICMP, les sources de routage, log des adresses impossibles et les filtres contre le //spoofing//. Le script lance ensuite les règles d'Iptables définies dans la fonction ''iptables_rules()'' du fichier de configuration : ///etc/firewall.conf//. Iptables n'est pas installé par défaut dans Slitaz, vous pouvez l'ajouter avec la commande :
182 <code> # tazpkg get-install iptables </code>
184 Le //firewall// utilise l'application Iptables, il se compose de deux fichiers : Le fichier de configuration ///etc/firewall.conf// et le script ///etc/init.d/firewall//, que vous ne devriez pas avoir besoin de modifier. A noter qu'il y de nombreuses options avec Iptables, pour de plus amples informations, référez-vous à la documentation officielle de Netfilter/iptables disponible en ligne sur : http://www.netfilter.org/documentation/
186 === Démarrer, arrêter, redémarrer le pare-feu ===
188 Le script ///etc/init.d/firewall// vous permet de démarrer (''start''), redémarrer (''restart''), d'arrêter (''stop'') et d'afficher le statut (''status'') du pare-feu. L'option redémarrer est souvent utilisée pour tester de nouvelles règles, après modification du fichier de configuration. Exemple :
191 <code>
192 # /etc/init.d/firewall restart
193 </code>
195 === Activer/désactiver le firewall au boot ===
197 Pour activer/désactiver les options de sécurité propre au noyau, mettez "yes" ou "no" à la variable KERNEL_SECURITY= :
199 <code>
200 # Enable/disable kernel security at boot time.
201 KERNEL_SECURITY="yes"
202 </code>
204 Et pour activer/désactiver les règles d'iptables, il faut modifier la variable IPTABLES_RULES= :
206 <code>
207 # Enable/disable iptables rules.
208 IPTABLES_RULES="yes"
209 </code>
211 === Ajouter, supprimer, ou modifier les règles d'iptables ===
213 En bas du fichier de configuration: ///etc/firewall.conf// vous trouverez une fonction : ''iptables_rules()'' contenant toutes les commandes d'iptables à lancer lors du démarrage du pare-feu. Pour supprimer une règle, nous vous conseillons de commenter les lignes correspondantes avec : ''#''. A noter qu'il ne faut pas laisser cette fonction vide, si vous voulez désactiver les règles d'iptables, il est préférable de mettre "no" à la variable IPTABLES_RULES= du fichier de configuration.
215 Exemple de règles iptables. On refuse toutes les connections entrantes, et sortantes, puis on accepte les connexions sur l'hôte local, le réseau local, les ports 80 et 22 utilisés respectivement par le serveur web HTTP et le serveur sécurisé SSH, et le port 21 pour le FTP. C'est donc très restrictif comme règles, ceci sert par exemple pour un serveur qui n'utilise que quelques ports :
217 <code>
218 # Netfilter/iptables rules.
219 # This shell function is included in /etc/init.d/firewall.sh
220 # to start iptables rules.
221 #
222 iptables_rules()
223 {
225 # Drop all connections.
226 iptables -P INPUT DROP
227 iptables -P OUTPUT DROP
229 # Accept all on localhost (127.0.0.1).
230 iptables -A INPUT -i lo -j ACCEPT
231 iptables -A OUTPUT -o lo -j ACCEPT
233 # Accept all on the local network (192.168.0.0/24).
234 iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
235 iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
237 # Accept port 80 for the HTTP server.
238 iptables -A INPUT -i $INTERFACE -p tcp --sport 80 -j ACCEPT
239 iptables -A OUTPUT -o $INTERFACE -p tcp --dport 80 -j ACCEPT
241 # Accept port 22 for SSH.
242 iptables -A INPUT -i $INTERFACE -p tcp --dport 22 -j ACCEPT
243 iptables -A OUTPUT -o $INTERFACE -tcp --sport 22 -j ACCEPT
245 # Accept port 21 for active FTP connections.
246 iptables -A INPUT -i $INTERFACE -p tcp --dport 21 -j ACCEPT
247 iptables -A OUTPUT -i $INTERFACE -p tcp --sport 21 -j ACCEPT
249 }
250 </code>
252 Voici un autre exemple qui conviendra mieux à un utilisateur qui n'a pas de serveur sur sa machine. Ici aussi, toutes les connections avec l'hôte et le réseau local sont acceptés. Les connections sortantes vers internet sont également toutes acceptées, et les connections entrant ne le sont que si elles répondent à une demande de l'utilisateur. En conséquence, une machine que vous n'avez pas contactée ne pourra pas communiquer avec vous.
254 <code>
255 # Netfilter/iptables rules.
256 # This shell function is included in /etc/init.d/firewall.sh
257 # to start iptables rules.
258 #
259 iptables_rules()
260 {
262 # Drop all input connections.
263 iptables -P INPUT DROP
265 # Drop all output connections.
266 iptables -P OUTPUT DROP
268 # Drop all forward connections.
269 iptables -P FORWARD DROP
271 # Accept input on localhost (127.0.0.1).
272 iptables -A INPUT -i lo -j ACCEPT
274 # Accept input on the local network (192.168.0.0/24).
275 iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
277 # Accept near all output trafic.
278 iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
280 # Accept input trafic only for connections initialized by user.
281 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
283 }
284 </code>
286 Notez que la configuration par défaut du pare-feu de Slitaz est un mélange de ces deux exemples, elle est donc plutôt permissive afin que vous ne soyez pas gêné quelque soit votre utilisation du système. Il est conseillé de modifier les règles par défaut pour obtenir un système mieux sécurisé.