rev |
line source |
pankso@371
|
1 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
|
pankso@371
|
2 "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
|
pankso@371
|
3 <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr" lang="fr">
|
pankso@371
|
4 <head>
|
pankso@371
|
5 <title>SliTaz Handbook - Network config</title>
|
pankso@371
|
6 <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1" />
|
pankso@371
|
7 <meta name="description" content="DHCP ifconfig réseau sur SliTaz udhcpc masque passerelle 127.0.0.1 hostname IP fixe PPPOE" />
|
pankso@371
|
8 <meta name="expires" content="never" />
|
pankso@371
|
9 <meta name="modified" content="2007-12-04 12:30:00" />
|
pankso@371
|
10 <meta name="publisher" content="www.slitaz.org" />
|
pankso@371
|
11 <meta name="author" content="Christophe Lincoln"/>
|
pankso@371
|
12 <link rel="shortcut icon" href="favicon.ico" />
|
pankso@371
|
13 <link rel="stylesheet" type="text/css" href="book.css" />
|
pankso@371
|
14 </head>
|
pankso@371
|
15 <body bgcolor="#ffffff">
|
pankso@371
|
16
|
pankso@371
|
17 <!-- Header and quick navigation -->
|
pankso@371
|
18 <div id="header">
|
pankso@371
|
19 <div align="right" id="quicknav">
|
pankso@371
|
20 <a name="top"></a>
|
pankso@371
|
21 <a href="web-server.html">Serveur web</a> |
|
pankso@371
|
22 <a href="index.html">Table des matières</a>
|
pankso@371
|
23 </div>
|
pankso@371
|
24 <h1><font color="#3E1220">SliTaz Handbook</font></h1>
|
pankso@371
|
25 </div>
|
pankso@371
|
26
|
pankso@371
|
27 <!-- Content. -->
|
pankso@371
|
28 <div id="content">
|
pankso@371
|
29 <div class="content-right"></div>
|
pankso@371
|
30
|
pankso@371
|
31 <h2><font color="#DF8F06">Configuration du réseau</font></h2>
|
pankso@371
|
32
|
pankso@371
|
33 <ul>
|
pankso@371
|
34 <li><a href="#about">A propos du réseau sur SliTaz.</a></li>
|
pankso@371
|
35 <li><a href="#netbox">Netbox</a> - Configuration graphique du réseau.</li>
|
pankso@371
|
36 <li><a href="#wifibox">Wifibox</a> - Configuration graphique du réseau sans fil.</li>
|
pankso@371
|
37 <li><a href="#hostname">/etc/hostname</a> - Le nom de machine.</li>
|
pankso@371
|
38 <li><a href="#network.conf">/etc/network.conf</a> - Fichier de
|
pankso@371
|
39 configuration du réseau.</li>
|
pankso@371
|
40 <li><a href="#dynamicIP">IP dynamique</a> - Client DHCP udhcpc.</li>
|
pankso@371
|
41 <li><a href="#staticIP">IP static</a> - Utilisation d'un adresse fixe.</li>
|
pankso@371
|
42 <li><a href="#pppoe">Connexion ADSL en pppoe kernel-mode.</a></li>
|
pankso@371
|
43 <li><a href="#rp-pppoe">Connexion ADSL avec rp-pppoe.</a></li>
|
pankso@371
|
44 <li><a href="#list">Liste des interfaces et des routes.</a></li>
|
pankso@371
|
45 <li><a href="#firewall">Gestion du pare-feu</a> - (<em>firewall</em>).</li>
|
pankso@371
|
46 <li><a href="web-server.html">Configuration du serveur web.</a></li>
|
pankso@371
|
47 <li><a href="secure-shell.html">Gestion du serveur SSH.</a></li>
|
pankso@371
|
48 </ul>
|
pankso@371
|
49
|
pankso@371
|
50 <a name="about"></a>
|
pankso@371
|
51 <h3><font color="#6c0023">A propos du réseau sur SliTaz</font></h3>
|
pankso@371
|
52 <p>
|
pankso@371
|
53 Par défaut SliTaz lance le client DHCP (udhcpc) sur eth0 lors du boot. Si
|
pankso@371
|
54 votre carte réseau a bien été reconnue comme une interface eth0, et que vous
|
pankso@371
|
55 utilisez un routeur, votre connexion devrait déjà fonctionner. C'est une
|
pankso@371
|
56 configuration dynamique, à chaque démarrage du système le client DHCP obtient
|
pankso@371
|
57 une nouvelle adresse IP depuis le serveur DHCP, qui est intégré au
|
pankso@371
|
58 router, ou situé sur une autre machine. Pour changer la configuration par
|
pankso@371
|
59 défaut vous devez passer par le fichier /etc/network.conf décrit ci-dessous.
|
pankso@371
|
60 Pour les personnes utilisant <a href="#pppoe">PPPOE</a>, vous pouvez utiliser
|
pankso@371
|
61 les outils fournis par <code>rp-pppoe</code> et installés par défaut sur SliTaz.
|
pankso@371
|
62 </p>
|
pankso@371
|
63
|
pankso@371
|
64 <a name="netbox"></a>
|
pankso@371
|
65 <h3><font color="#6c0023">Netbox - Configuration graphique du réseau</font></h3>
|
pankso@371
|
66 <p>
|
pankso@371
|
67 Netbox est un petite interface graphique permettant de facilement configurer
|
pankso@371
|
68 une interface réseau Ethernet en utilisant le protocole DHCP ou en demandant
|
pankso@371
|
69 une adresse IP fixe. Les onglets <em>DHCP</em> et <em>Staic IP</em> permettent
|
pankso@371
|
70 de démarrer ou stopper la connexion et change automatiquement les valeurs
|
pankso@371
|
71 dans les fichiers système. Les connexions Ethernet sont des connection
|
pankso@371
|
72 cablées (RJ45) et ne nécessite pas d'authentification. Netbox fournit
|
pankso@371
|
73 aussi un onglet <em>System wide</em> depuis lequel vous pouvez directement
|
pankso@371
|
74 éditer les fichiers de configuration système. Les connections PPPoE ou
|
pankso@371
|
75 PPP demandant un nom d'utilisateur et un mot de passe on leur propre onglet.
|
pankso@371
|
76 L'outils permet encore de configurer différents serveurs: SSH, Inetd,
|
pankso@371
|
77 ZeroConf, DHCP, PXE, DSN, Rsync, HTTP. Il aussi possible de créer un
|
pankso@371
|
78 réseau privé virtuel ou VPN avec les outils inclus de base dans la
|
pankso@371
|
79 distribution.
|
pankso@371
|
80 </p>
|
pankso@371
|
81
|
pankso@371
|
82 <img
|
pankso@371
|
83 src="images/screenshots/netbox.png"
|
pankso@371
|
84 style="width: 536px; height: 357px;" />
|
pankso@371
|
85
|
pankso@371
|
86 <p>
|
pankso@371
|
87 Vous pouvez lancer Netbox depuis le menu "Outils système" (<em>System tools</em>)
|
pankso@371
|
88 → "Netbox Configurer le réseau" ou depuis un terminal graphique. C'est un
|
pankso@371
|
89 outil qui permet de modifier des configuration système, il faut donc être
|
pankso@371
|
90 administrateur (<em>root</em>) pour l'utiliser :
|
pankso@371
|
91 </p>
|
pankso@371
|
92 <pre>
|
pankso@371
|
93 $ subox netbox
|
pankso@371
|
94 </pre>
|
pankso@371
|
95
|
pankso@371
|
96 <a name="wifibox"></a>
|
pankso@371
|
97 <h3><font color="#6c0023">Wifibox - Configuration graphique du réseau sans fil</font></h3>
|
pankso@371
|
98 <p>
|
pankso@371
|
99 Wifibox est une petite interface permettant de configurer une connexion
|
pankso@371
|
100 à un réseau sans file (Wifi, Wireless ou Wlan). L'onglet 'Netwoks' affiche
|
pankso@371
|
101 la liste des réseaux disponibles, il suffit de double cliquer sur un nom
|
pankso@371
|
102 de réseau pour établir la connexion, si le réseau est sécurisé, la clé
|
pankso@371
|
103 vous sera alors demandée.
|
pankso@371
|
104 </p>
|
pankso@371
|
105
|
pankso@371
|
106 <img
|
pankso@371
|
107 src="images/screenshots/wifibox.png"
|
pankso@371
|
108 style="width: 533px; height: 330px;" />
|
pankso@371
|
109
|
pankso@371
|
110 <p>
|
pankso@371
|
111 L'onglet 'Favorites' permet de préconfigurer ses réseaux préférés, une
|
pankso@371
|
112 fois un réseau ajouté il suffit de double cliquer sur le nom du réseau
|
pankso@371
|
113 pour établir la connexion. L'onglet 'Configuration' permet de configurer
|
pankso@371
|
114 une connexion manuellement avec les paramètres avançés tels que le mode
|
pankso@371
|
115 ou le canal. L'onglet 'Drivers' permet de configurer une carte réseau,
|
pankso@371
|
116 il y a 3 cas de figure: ,
|
pankso@371
|
117 </p>
|
pankso@371
|
118 <ol>
|
pankso@371
|
119 <li>La carte est directement supportée par le noyau via un module.</li>
|
pankso@371
|
120 <li>La cartre à besoin d'un module et d'un firmware non-libre pouvant
|
pankso@371
|
121 être installé automatiquement via l'outil de détection du matériel.</li>
|
pankso@371
|
122 <li>La carte n'est pas supportée par Linux et le driver Windows doit
|
pankso@371
|
123 être installé via le gestionnaire de pilotes Windows (tazndis).</li>
|
pankso@371
|
124 </ol>
|
pankso@371
|
125
|
pankso@371
|
126 <a name="hostname"></a>
|
pankso@371
|
127 <h3><font color="#6c0023">/etc/hostname - Le nom de machine</font></h3>
|
pankso@371
|
128 <p>
|
pankso@371
|
129 Le fichier /etc/hostname configure le nom de la machine. Le nom de machine est
|
pankso@371
|
130 chargé au démarrage du système avec la commande 'hostname'. Sans argument
|
pankso@371
|
131 cette commande retournera le nom de machine actuel :
|
pankso@371
|
132 </p>
|
pankso@371
|
133 <pre>
|
pankso@371
|
134 $ hostame
|
pankso@371
|
135 </pre>
|
pankso@371
|
136 <p>
|
pankso@371
|
137 Pour changer le nom de machine vous pouvez utiliser la commande
|
pankso@371
|
138 <code>echo</code> ou utiliser un des éditeurs de texte disponible sur SliTaz
|
pankso@371
|
139 (il faut être <em>root</em>). Exemple avec <code>echo</code> et le nom
|
pankso@371
|
140 de machine <code>kayam</code> :
|
pankso@371
|
141 </p>
|
pankso@371
|
142 <pre>
|
pankso@371
|
143 # echo "kayam" > /etc/hostname
|
pankso@371
|
144 </pre>
|
pankso@371
|
145
|
pankso@371
|
146 <a name="network.conf"></a>
|
pankso@371
|
147 <h3><font color="#6c0023">/etc/network.conf</font></h3>
|
pankso@371
|
148 <p>
|
pankso@371
|
149 Le fichier /etc/network.conf est le fichier de configuration du réseau sur
|
pankso@371
|
150 votre système SliTaz. Sa syntaxe est simple, vous pouvez modifier son contenu
|
pankso@371
|
151 avec un éditeur de texte tel que Nano. Le fichier /etc/network.conf est
|
pankso@371
|
152 utilisé par le script /etc/init.d/network.sh pour configurer les interfaces
|
pankso@371
|
153 réseau au démarrage du système.
|
pankso@371
|
154 </p>
|
pankso@371
|
155 <p>
|
pankso@371
|
156 Le fichier de configuration du réseau (network.conf) vous permet de lancer ou
|
pankso@371
|
157 non le client DHCP au boot. Vous pouvez aussi spécifier une adresse IP fixe
|
pankso@371
|
158 avec son masque de sous réseau, la passerelle par défaut, et le serveur DNS à
|
pankso@371
|
159 utiliser.
|
pankso@371
|
160 </p>
|
pankso@371
|
161
|
pankso@371
|
162 <a name="dynamicIP"></a>
|
pankso@371
|
163 <h3><font color="#6c0023">IP dynamique - Client DHCP udhcpc</font></h3>
|
pankso@371
|
164 <p>
|
pankso@371
|
165 Le client DHCP udhcpc fourni avec Busybox utilise le script
|
pankso@371
|
166 /usr/share/udhcpc/default.script pour obtenir une adresse IP dynamiquement
|
pankso@371
|
167 au boot. Il supporte diverses options que vous pouvez connaître avec l'option
|
pankso@371
|
168 <code>--help</code> :
|
pankso@371
|
169 </p>
|
pankso@371
|
170 <pre>
|
pankso@371
|
171 # udhcpc --help
|
pankso@371
|
172 </pre>
|
pankso@371
|
173 <p>
|
pankso@371
|
174 Pour ne pas lancer udhcpc sur eth0, ou modifier l'interface (ex: eth1) vous
|
pankso@371
|
175 devez passer par le fichier /etc/network.conf, et spécifier "no" à
|
pankso@371
|
176 la variable DHCP= :
|
pankso@371
|
177 </p>
|
pankso@371
|
178 <pre class="script">
|
pankso@371
|
179
|
pankso@371
|
180 # Dynamic IP address.
|
pankso@371
|
181 # Enable/disable DHCP client at boot time.
|
pankso@371
|
182 DHCP="no"
|
pankso@371
|
183
|
pankso@371
|
184 </pre>
|
pankso@371
|
185
|
pankso@371
|
186 <a name="staticIP"></a>
|
pankso@371
|
187 <h3><font color="#6c0023">IP fixe - Utilisation d'un adresse spécifique</font></h3>
|
pankso@371
|
188 <p>
|
pankso@371
|
189 Vous pouvez spécifier une adresse IP fixe à configurer au démarrage du système,
|
pankso@371
|
190 en mettant la valeur "yes" à la variable STATIC= :
|
pankso@371
|
191 </p>
|
pankso@371
|
192 <pre class="script">
|
pankso@371
|
193
|
pankso@371
|
194 # Static IP address.
|
pankso@371
|
195 # Enable/disable static IP at boot time.
|
pankso@371
|
196 STATIC="yes"
|
pankso@371
|
197
|
pankso@371
|
198 </pre>
|
pankso@371
|
199 <p>
|
pankso@371
|
200 Pour que la configuration fonctionne, vous devez spécifier une adresse IP,
|
pankso@371
|
201 son masque de sous réseau, la passerelle par défaut (gateway), et le serveur
|
pankso@371
|
202 DNS à utiliser. Exemple :
|
pankso@371
|
203 </p>
|
pankso@371
|
204 <pre class="script">
|
pankso@371
|
205
|
pankso@371
|
206 # Set IP address, and netmask for a static IP.
|
pankso@371
|
207 IP="192.168.0.6"
|
pankso@371
|
208 NETMASK="255.255.255.0"
|
pankso@371
|
209
|
pankso@371
|
210 # Set route gateway for a static IP.
|
pankso@371
|
211 GATEWAY="192.168.0.1"
|
pankso@371
|
212
|
pankso@371
|
213 # Set DNS server. for a static IP.
|
pankso@371
|
214 DNS_SERVER="192.168.0.1"
|
pankso@371
|
215
|
pankso@371
|
216 </pre>
|
pankso@371
|
217
|
pankso@371
|
218 <a name="pppoe"></a>
|
pankso@371
|
219 <h3><font color="#6c0023">Connexion internet ADSL en pppoe kernel-mode</font></h3>
|
pankso@371
|
220 <p>
|
pankso@371
|
221 Pré-requis: le support ppp et pppoe doit être activé dans le noyau (dur ou
|
pankso@371
|
222 modules) et l'interface ethernet configurée. Vous devez indiquer à ppp
|
pankso@371
|
223 d'utiliser le plugin rp-pppoe du noyau dans <code>/etc/ppp/options</code> :
|
pankso@371
|
224 </p>
|
pankso@371
|
225 <pre class="script">
|
pankso@371
|
226 plugin rp-pppoe.so
|
pankso@371
|
227 name <votre identifiant de connexion FAI>
|
pankso@371
|
228 noipdefault
|
pankso@371
|
229 defaultroute
|
pankso@371
|
230 mtu 1492
|
pankso@371
|
231 mru 1492
|
pankso@371
|
232 lock
|
pankso@371
|
233 </pre>
|
pankso@371
|
234 <p>
|
pankso@371
|
235 Si vous avez compilé le support de votre carte réseau en module dans le noyau,
|
pankso@371
|
236 vous devrez activer ce dernier dans /etc/rcS.conf:
|
pankso@371
|
237 </p>
|
pankso@371
|
238 <pre class="script">
|
pankso@371
|
239 LOAD_MODULES="<votre module>"
|
pankso@371
|
240 </pre>
|
pankso@371
|
241 <p>
|
pankso@371
|
242 Modifier le fichier /etc/ppp/pap-secrets ou /etc/ppp/chap-secrets :
|
pankso@371
|
243 </p>
|
pankso@371
|
244 <pre class="script">
|
pankso@371
|
245 # client server secret IP addresses
|
pankso@371
|
246 "votre_login_fai" * "mot_de_passe"
|
pankso@371
|
247 </pre>
|
pankso@371
|
248 <p>
|
pankso@371
|
249 Les fichiers /etc/host.conf et /etc/resolv.conf devraient être automatiquement renseignés.
|
pankso@371
|
250 C'est tout ! Pour vous connecter à internet, il suffit simplement de taper :
|
pankso@371
|
251 </p>
|
pankso@371
|
252 <pre>
|
pankso@371
|
253 pppd eth0
|
pankso@371
|
254 </pre>
|
pankso@371
|
255
|
pankso@371
|
256 <a name="rp-pppoe"></a>
|
pankso@371
|
257 <h3><font color="#6c0023">Connexion pppoe avec rp-pppoe</font></h3>
|
pankso@371
|
258 <p>
|
pankso@371
|
259 Pour configurer sa connexion internet ADSL via le protocole PPPOE, SliTaz
|
pankso@371
|
260 fournit la suite d'utilitaires du paquet <code>rp-pppoe</code>. L'utilisation
|
pankso@371
|
261 de <code>pppoe-setup</code> est un jeu d'enfant et vous permet de configurer
|
pankso@371
|
262 rapidement le réseau. Si vous utilisez DHCP c'est encore plus facile, puisque
|
pankso@371
|
263 c'est le serveur de votre FAI (Fournisseur d'accès internet) qui va s'occuper
|
pankso@371
|
264 de tout. Si vous n'avez pas le DHCP vous devez commencer par désactiver son
|
pankso@371
|
265 utilisation via la variable <code>DHCP="no"</code> du fichier de configuration
|
pankso@371
|
266 <code>/etc/network.conf</code>. A noter que pour modifier des fichiers de
|
pankso@371
|
267 configuration système et se connecter, vous devez devenir administrateur via
|
pankso@371
|
268 la commande <code>su</code>. Pour installer rp-pppoe et changer la variable
|
pankso@371
|
269 DHCP avec Nano (Ctrl + x pour sauver et quitter) :
|
pankso@371
|
270 </p>
|
pankso@371
|
271 <pre>
|
pankso@371
|
272 $ su
|
pankso@371
|
273 # tazpkg get-install rp-pppoe
|
pankso@371
|
274 # nano /etc/network.conf
|
pankso@371
|
275 </pre>
|
pankso@371
|
276 <h4>Configurer avec pppoe-setup</h4>
|
pankso@371
|
277 <p>
|
pankso@371
|
278 Pour commencer à configurer votre connexion PPPOE, vous devez ouvrir un
|
pankso@371
|
279 terminal X ou utiliser la console Linux pour lancer <code>pppoe-setup</code>
|
pankso@371
|
280 et répondre aux questions :
|
pankso@371
|
281 </p>
|
pankso@371
|
282 <pre>
|
pankso@371
|
283 # pppoe-setup
|
pankso@371
|
284 </pre>
|
pankso@371
|
285 <ol>
|
pankso@371
|
286 <li>Tapez votre nom d'utilisateur. A noter qu'il s'agit du nom
|
pankso@371
|
287 d'utilisateur avec lequel vous communiquez avec votre FAI, ils est
|
pankso@371
|
288 différent de ceux du système, bien sûr.</li>
|
pankso@371
|
289 <li>Interface internet, il s'agit par défaut de eth0 sauf si vous en avez
|
pankso@371
|
290 plusieurs, auquel cas vous aurez eth1, eth2, etc.. généralement la touche
|
pankso@371
|
291 <strong>entree</strong> suffit.</li>
|
pankso@371
|
292 <li>Si vous avez un lien ADSL permanent répondez ici par
|
pankso@371
|
293 <strong>oui</strong>, sinon par <strong>non</strong> (valeur par
|
pankso@371
|
294 défaut).</li>
|
pankso@371
|
295 <li>Spécifiez les DNS primaire et secondaire de votre FAI, il vous
|
pankso@371
|
296 les communiquera, n'hésitez pas à les lui demander.</li>
|
pankso@371
|
297 <li>Tapez le mot de passe avec lequel vous communiquez avec votre FAI,
|
pankso@371
|
298 à noter que vous devrez le tapez deux fois.</li>
|
pankso@371
|
299 <li>Choisir le firewall ou pare-feu en fonction de votre matériel,
|
pankso@371
|
300 si vous avez un routeur vous pouvez entrer 2 sinon 1. En cas de doute
|
pankso@371
|
301 tapez 1.</li>
|
pankso@371
|
302 </ol>
|
pankso@371
|
303 <h4>Démarrer et arrêter la connexion</h4>
|
pankso@371
|
304 <p>
|
pankso@371
|
305 Toujours en ligne de commande, il suffit de lancer <code>pppoe-start</code>
|
pankso@371
|
306 pour démarrer la connexion. Quelques secondes puis le système vous dit qu'il
|
pankso@371
|
307 est connecté. S'il vous donne un message du genre TIMED OUT c'est que vous
|
pankso@371
|
308 avez mal configuré ou que les branchements sont défectueux. Revérifiez votre
|
pankso@371
|
309 cablage et reprenez l'installation au début. Pour démarrer sa connexion :
|
pankso@371
|
310 </p>
|
pankso@371
|
311 <pre>
|
pankso@371
|
312 # pppoe-start
|
pankso@371
|
313 </pre>
|
pankso@371
|
314 <p>
|
pankso@371
|
315 Pour arrêter la connexion vous pouvez utiliser l'utilitaire
|
pankso@371
|
316 <code>pppoe-stop</code>, toujours en ligne de commande.
|
pankso@371
|
317 </p>
|
pankso@371
|
318
|
pankso@371
|
319 <a name="list"></a>
|
pankso@371
|
320 <h3><font color="#6c0023">Liste des interfaces et des routes</font></h3>
|
pankso@371
|
321 <p>
|
pankso@371
|
322 Vous pouvez lister les interfaces réseau disponibles avec la commande
|
pankso@371
|
323 <code>ifconfig</code> suivie de l'option <code>-a</code>, ou afficher
|
pankso@371
|
324 l'aide avec l'option <code>--help</code> :
|
pankso@371
|
325 </p>
|
pankso@371
|
326 <pre>
|
pankso@371
|
327 # ifconfig -a
|
pankso@371
|
328 # ifconfig --help
|
pankso@371
|
329 </pre>
|
pankso@371
|
330 <p>
|
pankso@371
|
331 Pour afficher la table de routage IP du noyau vous pouvez utiliser la commande
|
pankso@371
|
332 <code>route</code> sans arguments :
|
pankso@371
|
333 </p>
|
pankso@371
|
334 <pre>
|
pankso@371
|
335 $ route
|
pankso@371
|
336 </pre>
|
pankso@371
|
337
|
pankso@371
|
338 <a name="firewall"></a>
|
pankso@371
|
339 <h3><font color="#6c0023">Gestion du pare-feu (<em>firewall</em>)</font></h3>
|
pankso@371
|
340 <p>
|
pankso@371
|
341 SliTaz fourni un pare-feu très basic, les régles de sécurité du noyau sont
|
pankso@371
|
342 lancées et les règles d'iptables sont désactivées par défaut. Vous pouvez
|
pankso@371
|
343 activer/désactiver son éxécution au démarrage, et créer de nouvelles régles
|
pankso@371
|
344 via le fichier de configuration : /etc/firewall.conf
|
pankso@371
|
345 </p>
|
pankso@371
|
346 <p>
|
pankso@371
|
347 Le script du <em>firewall</em> fournit par défaut sur SliTaz, commence par
|
pankso@371
|
348 configurer les options propre au noyau: les redirections ICMP, les sources de
|
pankso@371
|
349 routage, log des adresses impossibles et les filtres contre le spoofing. Le
|
pankso@371
|
350 script lance ensuite les règles d'Iptables définies dans la fonction
|
pankso@371
|
351 <code>iptables_rules()</code> du fichier de configuration : /etc/firewall.conf
|
pankso@371
|
352 </p>
|
pankso@371
|
353 <p>
|
pankso@371
|
354 Le <em>firewall</em> utilise l'application Iptables, il se compose de deux
|
pankso@371
|
355 fichiers : Le fichier de configuration /etc/firewall.conf et le script
|
pankso@371
|
356 /etc/init.d/firewall, que vous ne devriez pas avoir besoin de modifier. A
|
pankso@371
|
357 noter qu'il y de nombreuses options avec Iptables, pour de plus amples
|
pankso@371
|
358 informations, référez-vous à la documentation officielle de Netfilter/iptables
|
pankso@371
|
359 disponible en ligne sur :
|
pankso@371
|
360 <a href="http://www.netfilter.org/documentation/">www.netfilter.org/documentation/</a>
|
pankso@371
|
361 </p>
|
pankso@371
|
362 <h4>Démarrer, arrêter, redémarrer le firewall</h4>
|
pankso@371
|
363 <p>
|
pankso@371
|
364 Le script /etc/init.d/firewall vous permet de démarrer/redémarrer, d'arrêter
|
pankso@371
|
365 et d'afficher le status du firewall. L'option redémarrer est souvent utilisée
|
pankso@371
|
366 pour tester de nouvelles règles, après modification du fichier de
|
pankso@371
|
367 configuration. Exemple :
|
pankso@371
|
368 </p>
|
pankso@371
|
369 <pre>
|
pankso@371
|
370 # /etc/init.d/firewall restart
|
pankso@371
|
371 </pre>
|
pankso@371
|
372 <h4>Activer/désactiver le firewall au boot</h4>
|
pankso@371
|
373 <p>
|
pankso@371
|
374 Pour activer/désactiver les options de sécurité propre au noyau, mettez "yes"
|
pankso@371
|
375 ou "no" à la variable KERNEL_SECURITY= :
|
pankso@371
|
376 </p>
|
pankso@371
|
377 <pre class="script">
|
pankso@371
|
378
|
pankso@371
|
379 # Enable/disable kernel security at boot time.
|
pankso@371
|
380 KERNEL_SECURITY="yes"
|
pankso@371
|
381
|
pankso@371
|
382 </pre>
|
pankso@371
|
383 <p>
|
pankso@371
|
384 Et pour activer/désactiver les règles d'iptables, il faut modifier la variable
|
pankso@371
|
385 IPTABLES_RULES= :
|
pankso@371
|
386 </p>
|
pankso@371
|
387 <pre class="script">
|
pankso@371
|
388
|
pankso@371
|
389 # Enable/disable iptables rules.
|
pankso@371
|
390 IPTABLES_RULES="yes"
|
pankso@371
|
391
|
pankso@371
|
392 </pre>
|
pankso@371
|
393 <h4>Ajouter, supprimer, ou modifier les règles d'iptables</h4>
|
pankso@371
|
394 <p>
|
pankso@371
|
395 fichier de configuration: /etc/firewall.conf. En bas du fichier vous trouverez
|
pankso@371
|
396 fichier de configuration: /etc/firewall.conf. En bas du fichier vous touverez
|
pankso@371
|
397 une fonction : <code>iptables_rules()</code> contenant toutes les commandes
|
pankso@371
|
398 d'iptables à lancer lors du démarrage du firewall. Pour supprimer une règle,
|
pankso@371
|
399 nous vous conseillons de commenter les lignes correspondantes avec :
|
pankso@371
|
400 <code>#</code>. A noter qu'il ne faut pas laisser cette fonction vide, si
|
pankso@371
|
401 vous voulez désactiver les règles d'iptables, il est préférable de mettre
|
pankso@371
|
402 "no" à la variable IPTABLES_RULES= du fichier de configuration.
|
pankso@371
|
403 </p>
|
pankso@371
|
404 <p>
|
pankso@371
|
405 Exemple de règles iptables. On refuse toutes les connexions entrantes, et
|
pankso@371
|
406 sortantes, puis on accepte les connexions sur l'hôte local, le réseau local,
|
pankso@371
|
407 les ports 80 et 22 utilisés respectivement par le serveur web HTTP et le
|
pankso@371
|
408 serveur sécurisé SSH, et le port 21 pour le FTP. C'est donc très restrictif
|
pankso@371
|
409 comme règles:
|
pankso@371
|
410 </p>
|
pankso@371
|
411 <pre class="script">
|
pankso@371
|
412
|
pankso@371
|
413 # Netfilter/iptables rules.
|
pankso@371
|
414 # This shell function is include by /etc/init.d/firewall.sh
|
pankso@371
|
415 # to start iptables rules.
|
pankso@371
|
416 #
|
pankso@371
|
417 iptables_rules()
|
pankso@371
|
418 {
|
pankso@371
|
419
|
pankso@371
|
420 # Drop all connexions.
|
pankso@371
|
421 iptables -P INPUT DROP
|
pankso@371
|
422 iptables -P OUTPUT DROP
|
pankso@371
|
423
|
pankso@371
|
424 # Accept all on localhost (127.0.0.1).
|
pankso@371
|
425 iptables -A INPUT -i lo -j ACCEPT
|
pankso@371
|
426 iptables -A OUTPUT -o lo -j ACCEPT
|
pankso@371
|
427
|
pankso@371
|
428 # Accept all on the local network (192.168.0.0/24).
|
pankso@371
|
429 iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
|
pankso@371
|
430 iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
|
pankso@371
|
431
|
pankso@371
|
432 # Accept port 80 for the HTTP server.
|
pankso@371
|
433 iptables -A INPUT -i $INTERFACE -p tcp --sport 80 -j ACCEPT
|
pankso@371
|
434 iptables -A OUTPUT -o $INTERFACE -p tcp --dport 80 -j ACCEPT
|
pankso@371
|
435
|
pankso@371
|
436 # Accept port 22 for SSH.
|
pankso@371
|
437 iptables -A INPUT -i $INTERFACE -p tcp --dport 22 -j ACCEPT
|
pankso@371
|
438 iptables -A OUTPUT -o $INTERFACE -tcp --sport 22 -j ACCEPT
|
pankso@371
|
439
|
pankso@371
|
440 # Accept port 21 for active FTP connections.
|
pankso@371
|
441 iptables -A INPUT -i $INTERFACE -p tcp --dport 21 -j ACCEPT
|
pankso@371
|
442 iptables -A OUTPUT -i $INTERFACE -p tcp --sport 21 -j ACCEPT
|
pankso@371
|
443
|
pankso@371
|
444 }
|
pankso@371
|
445
|
pankso@371
|
446 </pre>
|
pankso@371
|
447
|
pankso@371
|
448 <!-- End of content -->
|
pankso@371
|
449 </div>
|
pankso@371
|
450
|
pankso@371
|
451 <!-- Footer. -->
|
pankso@371
|
452 <div id="footer">
|
pankso@371
|
453 <div class="footer-right"></div>
|
pankso@371
|
454 <a href="#top">Haut de la page</a> |
|
pankso@371
|
455 <a href="index.html">Table des matières</a>
|
pankso@371
|
456 </div>
|
pankso@371
|
457
|
pankso@371
|
458 <div id="copy">
|
pankso@371
|
459 Copyright © 2009 <a href="http://www.slitaz.org/">SliTaz</a> -
|
pankso@371
|
460 <a href="http://www.gnu.org/licenses/gpl.html">GNU General Public License</a>;<br />
|
pankso@371
|
461 Documentation publiées sous
|
pankso@371
|
462 <a href="http://www.gnu.org/copyleft/fdl.html">GNU Free Documentation License</a>
|
pankso@371
|
463 et codée en <a href="http://validator.w3.org/">xHTML 1.0 valide</a>.
|
pankso@371
|
464 </div>
|
pankso@371
|
465
|
pankso@371
|
466 </body>
|
pankso@371
|
467 </html>
|