rev |
line source |
pankso@4
|
1 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
|
pankso@4
|
2 "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
|
pankso@4
|
3 <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr" lang="fr">
|
pankso@4
|
4 <head>
|
pankso@4
|
5 <title>SliTaz Handbook - Network config</title>
|
pankso@4
|
6 <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1" />
|
pankso@4
|
7 <meta name="description" content="DHCP ifconfig réseau sur SliTaz udhcpc masque passerelle 127.0.0.1 hostname IP fixe PPPOE" />
|
pankso@4
|
8 <meta name="expires" content="never" />
|
pankso@4
|
9 <meta name="modified" content="2007-12-04 12:30:00" />
|
pankso@4
|
10 <meta name="publisher" content="www.slitaz.org" />
|
pankso@4
|
11 <meta name="author" content="Christophe Lincoln"/>
|
pankso@4
|
12 <link rel="shortcut icon" href="favicon.ico" />
|
pankso@4
|
13 <link rel="stylesheet" type="text/css" href="book.css" />
|
pankso@4
|
14 </head>
|
pankso@4
|
15 <body bgcolor="#ffffff">
|
pankso@4
|
16
|
pankso@4
|
17 <!-- Header and quick navigation -->
|
pankso@4
|
18 <div id="header">
|
pankso@4
|
19 <div align="right" id="quicknav">
|
pankso@4
|
20 <a name="top"></a>
|
pankso@4
|
21 <a href="web-server.html">Serveur web</a> |
|
pankso@4
|
22 <a href="index.html">Table des matières</a>
|
pankso@4
|
23 </div>
|
pankso@4
|
24 <h1><font color="#3E1220">SliTaz Handbook</font></h1>
|
pankso@4
|
25 </div>
|
pankso@4
|
26
|
pankso@4
|
27 <!-- Content. -->
|
pankso@4
|
28 <div id="content">
|
pankso@4
|
29 <div class="content-right"></div>
|
pankso@4
|
30
|
pankso@4
|
31 <h2><font color="#DF8F06">Configuration du réseau</font></h2>
|
pankso@4
|
32
|
pankso@4
|
33 <ul>
|
pankso@4
|
34 <li><a href="#about">A propos du réseau sur SliTaz.</a></li>
|
pankso@4
|
35 <li><a href="#netbox">Netbox</a> - Configuration graphique du réseau.</li>
|
pankso@4
|
36 <li><a href="#hostname">/etc/hostname</a> - Le nom de machine.</li>
|
pankso@4
|
37 <li><a href="#network.conf">/etc/network.conf</a> - Fichier de
|
pankso@4
|
38 configuration du réseau.</li>
|
pankso@4
|
39 <li><a href="#dynamicIP">IP dynamique</a> - Client DHCP udhcpc.</li>
|
pankso@4
|
40 <li><a href="#staticIP">IP static</a> - Utilisation d'un adresse fixe.</li>
|
pankso@4
|
41 <li><a href="#pppoe">Connexion ADSL en pppoe kernel-mode.</a></li>
|
pankso@4
|
42 <li><a href="#rp-pppoe">Connexion ADSL avec rp-pppoe.</a></li>
|
pankso@4
|
43 <li><a href="#list">Liste des interfaces et des routes.</a></li>
|
pankso@4
|
44 <li><a href="#firewall">Gestion du pare-feu</a> - (<em>firewall</em>).</li>
|
pankso@4
|
45 <li><a href="web-server.html">Configuration du serveur web.</a></li>
|
pankso@4
|
46 <li><a href="secure-shell.html">Gestion du serveur SSH.</a></li>
|
pankso@4
|
47 </ul>
|
pankso@4
|
48
|
pankso@4
|
49 <a name="about"></a>
|
pankso@4
|
50 <h3><font color="#6c0023">A propos du réseau sur SliTaz</font></h3>
|
pankso@4
|
51 <p>
|
pankso@4
|
52 Par défaut SliTaz lance le client DHCP (udhcpc) sur eth0 lors du boot. Si
|
pankso@4
|
53 votre carte réseau a bien été reconnue comme une interface eth0, et que vous
|
pankso@4
|
54 utilisez un routeur, votre connexion devrait déjà fonctionner. C'est une
|
pankso@4
|
55 configuration dynamique, à chaque démarrage du système le client DHCP obtient
|
pankso@4
|
56 une nouvelle adresse IP depuis le serveur DHCP, qui est intégré au
|
pankso@4
|
57 router, ou situé sur une autre machine. Pour changer la configuration par
|
pankso@4
|
58 défaut vous devez passer par le fichier /etc/network.conf décrit ci-dessous.
|
pankso@4
|
59 Pour les personnes utilisant <a href="#pppoe">PPPOE</a>, vous pouvez utiliser
|
pankso@4
|
60 les outils fournis par <code>rp-pppoe</code> et installés par défaut sur SliTaz.
|
pankso@4
|
61 </p>
|
pankso@4
|
62
|
pankso@4
|
63 <a name="netbox"></a>
|
pankso@4
|
64 <h3><font color="#6c0023">Netbox - Configuration graphique du réseau</font></h3>
|
pankso@293
|
65 <img
|
pankso@293
|
66 src="images/screenshots/netbox.png"
|
pankso@293
|
67 style="width: 240px; height: 160px; float: left;
|
pankso@293
|
68 padding: 0px 20px 10px 0px;" />
|
pankso@4
|
69 <p>
|
pankso@293
|
70 Netbox est un petite interface graphique permettant de facilement configurer
|
pankso@293
|
71 une interface réseau Ethernet en utilisant le protocole DHCP ou en demandant
|
pankso@293
|
72 une adresse IP fixe. Les onglets <em>DHCP</em> et <em>Staic IP</em> permettent
|
pankso@293
|
73 de démarrer ou stopper la connexion et change automatiquement les valeurs
|
pankso@293
|
74 dans les fichiers système. Les connexions Ethernet sont des connection
|
pankso@293
|
75 cablées (RJ45) et ne nécessite pas d'authentification. Netbox fournit
|
pankso@293
|
76 aussi un onglet <em>System wide</em> depuis lequel vous pouvez directement
|
pankso@293
|
77 éditer les fichiers de configuration système. Les connections PPPoE ou
|
pankso@293
|
78 PPP demandant un nom d'utilisateur et un mot de passe on leur propre onglet.
|
pankso@293
|
79 L'outils permet encore de configurer différents serveurs: SSH, Inetd,
|
pankso@293
|
80 ZeroConf, DHCP, PXE, DSN, Rsync, HTTP. Il aussi possible de créer un
|
pankso@293
|
81 réseau privé virtuel ou VPN avec les outils inclus de base dans la
|
pankso@293
|
82 distribution.
|
pankso@293
|
83 </p>
|
pankso@293
|
84 <p>
|
pankso@293
|
85 Vous pouvez lancer Netbox depuis le menu "Outils système" (<em>System tools</em>)
|
pankso@293
|
86 → "Netbox Configurer le réseau" ou depuis un terminal graphique. C'est un
|
pankso@293
|
87 outil qui permet de modifier des configuration système, il faut donc être
|
pankso@293
|
88 administrateur (<em>root</em>) pour l'utiliser :
|
pankso@4
|
89 </p>
|
pankso@4
|
90 <pre>
|
pankso@4
|
91 $ subox netbox
|
pankso@4
|
92 </pre>
|
pankso@4
|
93
|
pankso@4
|
94 <a name="hostname"></a>
|
pankso@4
|
95 <h3><font color="#6c0023">/etc/hostname - Le nom de machine</font></h3>
|
pankso@4
|
96 <p>
|
pankso@4
|
97 Le fichier /etc/hostname configure le nom de la machine. Le nom de machine est
|
pankso@4
|
98 chargé au démarrage du système avec la commande 'hostname'. Sans argument
|
pankso@4
|
99 cette commande retournera le nom de machine actuel :
|
pankso@4
|
100 </p>
|
pankso@4
|
101 <pre>
|
pankso@4
|
102 $ hostame
|
pankso@4
|
103 </pre>
|
pankso@4
|
104 <p>
|
pankso@4
|
105 Pour changer le nom de machine vous pouvez utiliser la commande
|
pankso@4
|
106 <code>echo</code> ou utiliser un des éditeurs de texte disponible sur SliTaz
|
pankso@4
|
107 (il faut être <em>root</em>). Exemple avec <code>echo</code> et le nom
|
pankso@4
|
108 de machine <code>kayam</code> :
|
pankso@4
|
109 </p>
|
pankso@4
|
110 <pre>
|
pankso@4
|
111 # echo "kayam" > /etc/hostname
|
pankso@4
|
112 </pre>
|
pankso@4
|
113
|
pankso@4
|
114 <a name="network.conf"></a>
|
pankso@4
|
115 <h3><font color="#6c0023">/etc/network.conf</font></h3>
|
pankso@4
|
116 <p>
|
pankso@4
|
117 Le fichier /etc/network.conf est le fichier de configuration du réseau sur
|
pankso@4
|
118 votre système SliTaz. Sa syntaxe est simple, vous pouvez modifier son contenu
|
pankso@4
|
119 avec un éditeur de texte tel que Nano. Le fichier /etc/network.conf est
|
pankso@4
|
120 utilisé par le script /etc/init.d/network.sh pour configurer les interfaces
|
pankso@4
|
121 réseau au démarrage du système.
|
pankso@4
|
122 </p>
|
pankso@4
|
123 <p>
|
pankso@4
|
124 Le fichier de configuration du réseau (network.conf) vous permet de lancer ou
|
pankso@4
|
125 non le client DHCP au boot. Vous pouvez aussi spécifier une adresse IP fixe
|
pankso@4
|
126 avec son masque de sous réseau, la passerelle par défaut, et le serveur DNS à
|
pankso@4
|
127 utiliser.
|
pankso@4
|
128 </p>
|
pankso@4
|
129
|
pankso@4
|
130 <a name="dynamicIP"></a>
|
pankso@4
|
131 <h3><font color="#6c0023">IP dynamique - Client DHCP udhcpc</font></h3>
|
pankso@4
|
132 <p>
|
pankso@4
|
133 Le client DHCP udhcpc fourni avec Busybox utilise le script
|
pankso@4
|
134 /usr/share/udhcpc/default.script pour obtenir une adresse IP dynamiquement
|
pankso@4
|
135 au boot. Il supporte diverses options que vous pouvez connaître avec l'option
|
pankso@4
|
136 <code>--help</code> :
|
pankso@4
|
137 </p>
|
pankso@4
|
138 <pre>
|
pankso@4
|
139 # udhcpc --help
|
pankso@4
|
140 </pre>
|
pankso@4
|
141 <p>
|
pankso@4
|
142 Pour ne pas lancer udhcpc sur eth0, ou modifier l'interface (ex: eth1) vous
|
pankso@4
|
143 devez passer par le fichier /etc/network.conf, et spécifier "no" à
|
pankso@4
|
144 la variable DHCP= :
|
pankso@4
|
145 </p>
|
pankso@4
|
146 <pre class="script">
|
pankso@4
|
147
|
pankso@4
|
148 # Dynamic IP address.
|
pankso@4
|
149 # Enable/disable DHCP client at boot time.
|
pankso@4
|
150 DHCP="no"
|
pankso@4
|
151
|
pankso@4
|
152 </pre>
|
pankso@4
|
153
|
pankso@4
|
154 <a name="staticIP"></a>
|
pankso@4
|
155 <h3><font color="#6c0023">IP fixe - Utilisation d'un adresse spécifique</font></h3>
|
pankso@4
|
156 <p>
|
pankso@4
|
157 Vous pouvez spécifier une adresse IP fixe à configurer au démarrage du système,
|
pankso@4
|
158 en mettant la valeur "yes" à la variable STATIC= :
|
pankso@4
|
159 </p>
|
pankso@4
|
160 <pre class="script">
|
pankso@4
|
161
|
pankso@4
|
162 # Static IP address.
|
pankso@4
|
163 # Enable/disable static IP at boot time.
|
pankso@4
|
164 STATIC="yes"
|
pankso@4
|
165
|
pankso@4
|
166 </pre>
|
pankso@4
|
167 <p>
|
pankso@4
|
168 Pour que la configuration fonctionne, vous devez spécifier une adresse IP,
|
pankso@4
|
169 son masque de sous réseau, la passerelle par défaut (gateway), et le serveur
|
pankso@4
|
170 DNS à utiliser. Exemple :
|
pankso@4
|
171 </p>
|
pankso@4
|
172 <pre class="script">
|
pankso@4
|
173
|
pankso@4
|
174 # Set IP address, and netmask for a static IP.
|
pankso@4
|
175 IP="192.168.0.6"
|
pankso@4
|
176 NETMASK="255.255.255.0"
|
pankso@4
|
177
|
pankso@4
|
178 # Set route gateway for a static IP.
|
pankso@4
|
179 GATEWAY="192.168.0.1"
|
pankso@4
|
180
|
pankso@4
|
181 # Set DNS server. for a static IP.
|
pankso@4
|
182 DNS_SERVER="192.168.0.1"
|
pankso@4
|
183
|
pankso@4
|
184 </pre>
|
pankso@4
|
185
|
pankso@4
|
186 <a name="pppoe"></a>
|
pankso@4
|
187 <h3><font color="#6c0023">Connexion internet ADSL en pppoe kernel-mode</font></h3>
|
pankso@4
|
188 <p>
|
pankso@4
|
189 Pré-requis: le support ppp et pppoe doit être activé dans le noyau (dur ou
|
pankso@4
|
190 modules) et l'interface ethernet configurée. Vous devez indiquer à ppp
|
pankso@4
|
191 d'utiliser le plugin rp-pppoe du noyau dans <code>/etc/ppp/options</code> :
|
pankso@4
|
192 </p>
|
pankso@4
|
193 <pre class="script">
|
pankso@4
|
194 plugin rp-pppoe.so
|
pankso@4
|
195 name <votre identifiant de connexion FAI>
|
pankso@4
|
196 noipdefault
|
pankso@4
|
197 defaultroute
|
pankso@4
|
198 mtu 1492
|
pankso@4
|
199 mru 1492
|
pankso@4
|
200 lock
|
pankso@4
|
201 </pre>
|
pankso@4
|
202 <p>
|
pankso@4
|
203 Si vous avez compilé le support de votre carte réseau en module dans le noyau,
|
pankso@4
|
204 vous devrez activer ce dernier dans /etc/rcS.conf:
|
pankso@4
|
205 </p>
|
pankso@4
|
206 <pre class="script">
|
pankso@4
|
207 LOAD_MODULES="<votre module>"
|
pankso@4
|
208 </pre>
|
pankso@4
|
209 <p>
|
pankso@4
|
210 Modifier le fichier /etc/ppp/pap-secrets ou /etc/ppp/chap-secrets :
|
pankso@4
|
211 </p>
|
pankso@4
|
212 <pre class="script">
|
pankso@4
|
213 # client server secret IP addresses
|
pankso@4
|
214 "votre_login_fai" * "mot_de_passe"
|
pankso@4
|
215 </pre>
|
pankso@4
|
216 <p>
|
pankso@4
|
217 Les fichiers /etc/host.conf et /etc/resolv.conf devraient être automatiquement renseignés.
|
pankso@4
|
218 C'est tout ! Pour vous connecter à internet, il suffit simplement de taper :
|
pankso@4
|
219 </p>
|
pankso@4
|
220 <pre>
|
pankso@4
|
221 pppd eth0
|
pankso@4
|
222 </pre>
|
pankso@4
|
223
|
pankso@4
|
224 <a name="rp-pppoe"></a>
|
pankso@4
|
225 <h3><font color="#6c0023">Connexion pppoe avec rp-pppoe</font></h3>
|
pankso@4
|
226 <p>
|
pankso@4
|
227 Pour configurer sa connexion internet ADSL via le protocole PPPOE, SliTaz
|
pankso@4
|
228 fournit la suite d'utilitaires du paquet <code>rp-pppoe</code>. L'utilisation
|
pankso@4
|
229 de <code>pppoe-setup</code> est un jeu d'enfant et vous permet de configurer
|
pankso@4
|
230 rapidement le réseau. Si vous utilisez DHCP c'est encore plus facile, puisque
|
pankso@4
|
231 c'est le serveur de votre FAI (Fournisseur d'accès internet) qui va s'occuper
|
pankso@4
|
232 de tout. Si vous n'avez pas le DHCP vous devez commencer par désactiver son
|
pankso@4
|
233 utilisation via la variable <code>DHCP="no"</code> du fichier de configuration
|
pankso@4
|
234 <code>/etc/network.conf</code>. A noter que pour modifier des fichiers de
|
pankso@4
|
235 configuration système et se connecter, vous devez devenir administrateur via
|
pankso@4
|
236 la commande <code>su</code>. Pour installer rp-pppoe et changer la variable
|
pankso@4
|
237 DHCP avec Nano (Ctrl + x pour sauver et quitter) :
|
pankso@4
|
238 </p>
|
pankso@4
|
239 <pre>
|
pankso@4
|
240 $ su
|
pankso@4
|
241 # tazpkg get-install rp-pppoe
|
pankso@4
|
242 # nano /etc/network.conf
|
pankso@4
|
243 </pre>
|
pankso@4
|
244 <h4>Configurer avec pppoe-setup</h4>
|
pankso@4
|
245 <p>
|
pankso@4
|
246 Pour commencer à configurer votre connexion PPPOE, vous devez ouvrir un
|
pankso@4
|
247 terminal X ou utiliser la console Linux pour lancer <code>pppoe-setup</code>
|
pankso@4
|
248 et répondre aux questions :
|
pankso@4
|
249 </p>
|
pankso@4
|
250 <pre>
|
pankso@4
|
251 # pppoe-setup
|
pankso@4
|
252 </pre>
|
pankso@4
|
253 <ol>
|
pankso@4
|
254 <li>Tapez votre nom d'utilisateur. A noter qu'il s'agit du nom
|
pankso@4
|
255 d'utilisateur avec lequel vous communiquez avec votre FAI, ils est
|
pankso@4
|
256 différent de ceux du système, bien sûr.</li>
|
pankso@4
|
257 <li>Interface internet, il s'agit par défaut de eth0 sauf si vous en avez
|
pankso@4
|
258 plusieurs, auquel cas vous aurez eth1, eth2, etc.. généralement la touche
|
pankso@4
|
259 <strong>entree</strong> suffit.</li>
|
pankso@4
|
260 <li>Si vous avez un lien ADSL permanent répondez ici par
|
pankso@4
|
261 <strong>oui</strong>, sinon par <strong>non</strong> (valeur par
|
pankso@4
|
262 défaut).</li>
|
pankso@4
|
263 <li>Spécifiez les DNS primaire et secondaire de votre FAI, il vous
|
pankso@4
|
264 les communiquera, n'hésitez pas à les lui demander.</li>
|
pankso@4
|
265 <li>Tapez le mot de passe avec lequel vous communiquez avec votre FAI,
|
pankso@4
|
266 à noter que vous devrez le tapez deux fois.</li>
|
pankso@4
|
267 <li>Choisir le firewall ou pare-feu en fonction de votre matériel,
|
pankso@4
|
268 si vous avez un routeur vous pouvez entrer 2 sinon 1. En cas de doute
|
pankso@4
|
269 tapez 1.</li>
|
pankso@4
|
270 </ol>
|
pankso@4
|
271 <h4>Démarrer et arrêter la connexion</h4>
|
pankso@4
|
272 <p>
|
pankso@4
|
273 Toujours en ligne de commande, il suffit de lancer <code>pppoe-start</code>
|
pankso@4
|
274 pour démarrer la connexion. Quelques secondes puis le système vous dit qu'il
|
pankso@4
|
275 est connecté. S'il vous donne un message du genre TIMED OUT c'est que vous
|
pankso@4
|
276 avez mal configuré ou que les branchements sont défectueux. Revérifiez votre
|
pankso@4
|
277 cablage et reprenez l'installation au début. Pour démarrer sa connexion :
|
pankso@4
|
278 </p>
|
pankso@4
|
279 <pre>
|
pankso@4
|
280 # pppoe-start
|
pankso@4
|
281 </pre>
|
pankso@4
|
282 <p>
|
pankso@4
|
283 Pour arrêter la connexion vous pouvez utiliser l'utilitaire
|
pankso@4
|
284 <code>pppoe-stop</code>, toujours en ligne de commande.
|
pankso@4
|
285 </p>
|
pankso@4
|
286
|
pankso@4
|
287 <a name="list"></a>
|
pankso@4
|
288 <h3><font color="#6c0023">Liste des interfaces et des routes</font></h3>
|
pankso@4
|
289 <p>
|
pankso@4
|
290 Vous pouvez lister les interfaces réseau disponibles avec la commande
|
pankso@4
|
291 <code>ifconfig</code> suivie de l'option <code>-a</code>, ou afficher
|
pankso@4
|
292 l'aide avec l'option <code>--help</code> :
|
pankso@4
|
293 </p>
|
pankso@4
|
294 <pre>
|
pankso@4
|
295 # ifconfig -a
|
pankso@4
|
296 # ifconfig --help
|
pankso@4
|
297 </pre>
|
pankso@4
|
298 <p>
|
pankso@4
|
299 Pour afficher la table de routage IP du noyau vous pouvez utiliser la commande
|
pankso@4
|
300 <code>route</code> sans arguments :
|
pankso@4
|
301 </p>
|
pankso@4
|
302 <pre>
|
pankso@4
|
303 $ route
|
pankso@4
|
304 </pre>
|
pankso@4
|
305
|
pankso@4
|
306 <a name="firewall"></a>
|
pankso@4
|
307 <h3><font color="#6c0023">Gestion du pare-feu (<em>firewall</em>)</font></h3>
|
pankso@4
|
308 <p>
|
pankso@4
|
309 SliTaz fourni un pare-feu très basic, les régles de sécurité du noyau sont
|
pankso@4
|
310 lancées et les règles d'iptables sont désactivées par défaut. Vous pouvez
|
pankso@4
|
311 activer/désactiver son éxécution au démarrage, et créer de nouvelles régles
|
pankso@4
|
312 via le fichier de configuration : /etc/firewall.conf
|
pankso@4
|
313 </p>
|
pankso@4
|
314 <p>
|
pankso@4
|
315 Le script du <em>firewall</em> fournit par défaut sur SliTaz, commence par
|
pankso@4
|
316 configurer les options propre au noyau: les redirections ICMP, les sources de
|
pankso@4
|
317 routage, log des adresses impossibles et les filtres contre le spoofing. Le
|
pankso@4
|
318 script lance ensuite les règles d'Iptables définies dans la fonction
|
pankso@4
|
319 <code>iptables_rules()</code> du fichier de configuration : /etc/firewall.conf
|
pankso@4
|
320 </p>
|
pankso@4
|
321 <p>
|
pankso@4
|
322 Le <em>firewall</em> utilise l'application Iptables, il se compose de deux
|
pankso@4
|
323 fichiers : Le fichier de configuration /etc/firewall.conf et le script
|
pankso@4
|
324 /etc/init.d/firewall, que vous ne devriez pas avoir besoin de modifier. A
|
pankso@4
|
325 noter qu'il y de nombreuses options avec Iptables, pour de plus amples
|
pankso@4
|
326 informations, référez-vous à la documentation officielle de Netfilter/iptables
|
pankso@4
|
327 disponible en ligne sur :
|
pankso@4
|
328 <a href="http://www.netfilter.org/documentation/">www.netfilter.org/documentation/</a>
|
pankso@4
|
329 </p>
|
pankso@4
|
330 <h4>Démarrer, arrêter, redémarrer le firewall</h4>
|
pankso@4
|
331 <p>
|
pankso@4
|
332 Le script /etc/init.d/firewall vous permet de démarrer/redémarrer, d'arrêter
|
pankso@4
|
333 et d'afficher le status du firewall. L'option redémarrer est souvent utilisée
|
pankso@4
|
334 pour tester de nouvelles règles, après modification du fichier de
|
pankso@4
|
335 configuration. Exemple :
|
pankso@4
|
336 </p>
|
pankso@4
|
337 <pre>
|
pankso@4
|
338 # /etc/init.d/firewall restart
|
pankso@4
|
339 </pre>
|
pankso@4
|
340 <h4>Activer/désactiver le firewall au boot</h4>
|
pankso@4
|
341 <p>
|
pankso@4
|
342 Pour activer/désactiver les options de sécurité propre au noyau, mettez "yes"
|
pankso@4
|
343 ou "no" à la variable KERNEL_SECURITY= :
|
pankso@4
|
344 </p>
|
pankso@4
|
345 <pre class="script">
|
pankso@4
|
346
|
pankso@4
|
347 # Enable/disable kernel security at boot time.
|
pankso@4
|
348 KERNEL_SECURITY="yes"
|
pankso@4
|
349
|
pankso@4
|
350 </pre>
|
pankso@4
|
351 <p>
|
pankso@4
|
352 Et pour activer/désactiver les règles d'iptables, il faut modifier la variable
|
pankso@4
|
353 IPTABLES_RULES= :
|
pankso@4
|
354 </p>
|
pankso@4
|
355 <pre class="script">
|
pankso@4
|
356
|
pankso@4
|
357 # Enable/disable iptables rules.
|
pankso@4
|
358 IPTABLES_RULES="yes"
|
pankso@4
|
359
|
pankso@4
|
360 </pre>
|
pankso@4
|
361 <h4>Ajouter, supprimer, ou modifier les règles d'iptables</h4>
|
pankso@4
|
362 <p>
|
pankso@4
|
363 fichier de configuration: /etc/firewall.conf. En bas du fichier vous trouverez
|
pankso@4
|
364 fichier de configuration: /etc/firewall.conf. En bas du fichier vous touverez
|
pankso@4
|
365 une fonction : <code>iptables_rules()</code> contenant toutes les commandes
|
pankso@4
|
366 d'iptables à lancer lors du démarrage du firewall. Pour supprimer une règle,
|
pankso@4
|
367 nous vous conseillons de commenter les lignes correspondantes avec :
|
pankso@4
|
368 <code>#</code>. A noter qu'il ne faut pas laisser cette fonction vide, si
|
pankso@4
|
369 vous voulez désactiver les règles d'iptables, il est préférable de mettre
|
pankso@4
|
370 "no" à la variable IPTABLES_RULES= du fichier de configuration.
|
pankso@4
|
371 </p>
|
pankso@4
|
372 <p>
|
pankso@4
|
373 Exemple de règles iptables. On refuse toutes les connexions entrantes, et
|
pankso@4
|
374 sortantes, puis on accepte les connexions sur l'hôte local, le réseau local,
|
pankso@4
|
375 les ports 80 et 22 utilisés respectivement par le serveur web HTTP et le
|
pankso@4
|
376 serveur sécurisé SSH, et le port 21 pour le FTP. C'est donc très restrictif
|
pankso@4
|
377 comme règles:
|
pankso@4
|
378 </p>
|
pankso@4
|
379 <pre class="script">
|
pankso@4
|
380
|
pankso@4
|
381 # Netfilter/iptables rules.
|
pankso@4
|
382 # This shell function is include by /etc/init.d/firewall.sh
|
pankso@4
|
383 # to start iptables rules.
|
pankso@4
|
384 #
|
pankso@4
|
385 iptables_rules()
|
pankso@4
|
386 {
|
pankso@4
|
387
|
pankso@4
|
388 # Drop all connexions.
|
pankso@4
|
389 iptables -P INPUT DROP
|
pankso@4
|
390 iptables -P OUTPUT DROP
|
pankso@4
|
391
|
pankso@4
|
392 # Accept all on localhost (127.0.0.1).
|
pankso@4
|
393 iptables -A INPUT -i lo -j ACCEPT
|
pankso@4
|
394 iptables -A OUTPUT -o lo -j ACCEPT
|
pankso@4
|
395
|
pankso@4
|
396 # Accept all on the local network (192.168.0.0/24).
|
pankso@4
|
397 iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
|
pankso@4
|
398 iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
|
pankso@4
|
399
|
pankso@4
|
400 # Accept port 80 for the HTTP server.
|
pankso@4
|
401 iptables -A INPUT -i $INTERFACE -p tcp --sport 80 -j ACCEPT
|
pankso@4
|
402 iptables -A OUTPUT -o $INTERFACE -p tcp --dport 80 -j ACCEPT
|
pankso@4
|
403
|
pankso@4
|
404 # Accept port 22 for SSH.
|
pankso@4
|
405 iptables -A INPUT -i $INTERFACE -p tcp --dport 22 -j ACCEPT
|
pankso@4
|
406 iptables -A OUTPUT -o $INTERFACE -tcp --sport 22 -j ACCEPT
|
pankso@4
|
407
|
pankso@4
|
408 # Accept port 21 for active FTP connections.
|
pankso@4
|
409 iptables -A INPUT -i $INTERFACE -p tcp --dport 21 -j ACCEPT
|
pankso@4
|
410 iptables -A OUTPUT -i $INTERFACE -p tcp --sport 21 -j ACCEPT
|
pankso@4
|
411
|
pankso@4
|
412 }
|
pankso@4
|
413
|
pankso@4
|
414 </pre>
|
pankso@4
|
415
|
pankso@4
|
416 <!-- End of content -->
|
pankso@4
|
417 </div>
|
pankso@4
|
418
|
pankso@4
|
419 <!-- Footer. -->
|
pankso@4
|
420 <div id="footer">
|
pankso@4
|
421 <div class="footer-right"></div>
|
pankso@4
|
422 <a href="#top">Haut de la page</a> |
|
pankso@4
|
423 <a href="index.html">Table des matières</a>
|
pankso@4
|
424 </div>
|
pankso@4
|
425
|
pankso@4
|
426 <div id="copy">
|
pankso@4
|
427 Copyright © 2007 <a href="http://www.slitaz.org/">SliTaz</a> -
|
pankso@4
|
428 <a href="http://www.gnu.org/licenses/gpl.html">GNU General Public License</a>;<br />
|
pankso@4
|
429 Documentation publiées sous
|
pankso@4
|
430 <a href="http://www.gnu.org/copyleft/fdl.html">GNU Free Documentation License</a>
|
pankso@4
|
431 et codée en <a href="http://validator.w3.org/">xHTML 1.0 valide</a>.
|
pankso@4
|
432 </div>
|
pankso@4
|
433
|
pankso@4
|
434 </body>
|
pankso@4
|
435 </html>
|