rev |
line source |
pankso@280
|
1 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
|
pankso@280
|
2 "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
|
pankso@280
|
3 <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr" lang="fr">
|
pankso@280
|
4 <head>
|
pankso@280
|
5 <title>SliTaz Handbook - Network config</title>
|
pankso@280
|
6 <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1" />
|
pankso@280
|
7 <meta name="description" content="DHCP ifconfig réseau sur SliTaz udhcpc masque passerelle 127.0.0.1 hostname IP fixe PPPOE" />
|
pankso@280
|
8 <meta name="expires" content="never" />
|
pankso@280
|
9 <meta name="modified" content="2007-12-04 12:30:00" />
|
pankso@280
|
10 <meta name="publisher" content="www.slitaz.org" />
|
pankso@280
|
11 <meta name="author" content="Christophe Lincoln"/>
|
pankso@280
|
12 <link rel="shortcut icon" href="favicon.ico" />
|
pankso@280
|
13 <link rel="stylesheet" type="text/css" href="book.css" />
|
pankso@280
|
14 </head>
|
pankso@280
|
15 <body bgcolor="#ffffff">
|
pankso@280
|
16
|
pankso@280
|
17 <!-- Header and quick navigation -->
|
pankso@280
|
18 <div id="header">
|
pankso@280
|
19 <div align="right" id="quicknav">
|
pankso@280
|
20 <a name="top"></a>
|
pankso@280
|
21 <a href="web-server.html">Serveur web</a> |
|
pankso@280
|
22 <a href="index.html">Table des matières</a>
|
pankso@280
|
23 </div>
|
pankso@280
|
24 <h1><font color="#3E1220">SliTaz Handbook</font></h1>
|
pankso@280
|
25 </div>
|
pankso@280
|
26
|
pankso@280
|
27 <!-- Content. -->
|
pankso@280
|
28 <div id="content">
|
pankso@280
|
29 <div class="content-right"></div>
|
pankso@280
|
30
|
pankso@280
|
31 <h2><font color="#DF8F06">Configuration du réseau</font></h2>
|
pankso@280
|
32
|
pankso@280
|
33 <ul>
|
pankso@280
|
34 <li><a href="#about">A propos du réseau sur SliTaz.</a></li>
|
pankso@280
|
35 <li><a href="#netbox">Netbox</a> - Configuration graphique du réseau.</li>
|
pankso@280
|
36 <li><a href="#hostname">/etc/hostname</a> - Le nom de machine.</li>
|
pankso@280
|
37 <li><a href="#network.conf">/etc/network.conf</a> - Fichier de
|
pankso@280
|
38 configuration du réseau.</li>
|
pankso@280
|
39 <li><a href="#dynamicIP">IP dynamique</a> - Client DHCP udhcpc.</li>
|
pankso@280
|
40 <li><a href="#staticIP">IP static</a> - Utilisation d'un adresse fixe.</li>
|
pankso@280
|
41 <li><a href="#pppoe">Connexion ADSL en pppoe kernel-mode.</a></li>
|
pankso@280
|
42 <li><a href="#rp-pppoe">Connexion ADSL avec rp-pppoe.</a></li>
|
pankso@280
|
43 <li><a href="#list">Liste des interfaces et des routes.</a></li>
|
pankso@280
|
44 <li><a href="#firewall">Gestion du pare-feu</a> - (<em>firewall</em>).</li>
|
pankso@280
|
45 <li><a href="web-server.html">Configuration du serveur web.</a></li>
|
pankso@280
|
46 <li><a href="secure-shell.html">Gestion du serveur SSH.</a></li>
|
pankso@280
|
47 </ul>
|
pankso@280
|
48
|
pankso@280
|
49 <a name="about"></a>
|
pankso@280
|
50 <h3><font color="#6c0023">A propos du réseau sur SliTaz</font></h3>
|
pankso@280
|
51 <p>
|
pankso@280
|
52 Par défaut SliTaz lance le client DHCP (udhcpc) sur eth0 lors du boot. Si
|
pankso@280
|
53 votre carte réseau a bien été reconnue comme une interface eth0, et que vous
|
pankso@280
|
54 utilisez un routeur, votre connexion devrait déjà fonctionner. C'est une
|
pankso@280
|
55 configuration dynamique, à chaque démarrage du système le client DHCP obtient
|
pankso@280
|
56 une nouvelle adresse IP depuis le serveur DHCP, qui est intégré au
|
pankso@280
|
57 router, ou situé sur une autre machine. Pour changer la configuration par
|
pankso@280
|
58 défaut vous devez passer par le fichier /etc/network.conf décrit ci-dessous.
|
pankso@280
|
59 Pour les personnes utilisant <a href="#pppoe">PPPOE</a>, vous pouvez utiliser
|
pankso@280
|
60 les outils fournis par <code>rp-pppoe</code> et installés par défaut sur SliTaz.
|
pankso@280
|
61 </p>
|
pankso@280
|
62
|
pankso@280
|
63 <a name="netbox"></a>
|
pankso@280
|
64 <h3><font color="#6c0023">Netbox - Configuration graphique du réseau</font></h3>
|
pankso@280
|
65 <p>
|
pankso@280
|
66 Netbox est un petite interface graphique permettant de facilemnt configurer
|
pankso@280
|
67 une interface réseau en utilisant le protocole DHCP ou en demandant une adresse
|
pankso@280
|
68 IP fixe. Les onglets <em>DHCP</em> et <em>Staic IP</em> permettent de démarrer
|
pankso@280
|
69 ou stopper la connexion et change automatiquement les valeurs dans les fichiers
|
pankso@280
|
70 système. Netbox fournit aussi un onglet <em>System wide</em> depuis lequel
|
pankso@280
|
71 vous pouvez directement éditer les fichiers de configuration système. Vous
|
pankso@280
|
72 pouvez lancer Netbox depuis le menu Outils système (<em>System tools</em>) ou
|
pankso@280
|
73 depuis un terminal graphique :
|
pankso@280
|
74 </p>
|
pankso@280
|
75 <pre>
|
pankso@280
|
76 $ subox netbox
|
pankso@280
|
77 </pre>
|
pankso@280
|
78
|
pankso@280
|
79 <a name="hostname"></a>
|
pankso@280
|
80 <h3><font color="#6c0023">/etc/hostname - Le nom de machine</font></h3>
|
pankso@280
|
81 <p>
|
pankso@280
|
82 Le fichier /etc/hostname configure le nom de la machine. Le nom de machine est
|
pankso@280
|
83 chargé au démarrage du système avec la commande 'hostname'. Sans argument
|
pankso@280
|
84 cette commande retournera le nom de machine actuel :
|
pankso@280
|
85 </p>
|
pankso@280
|
86 <pre>
|
pankso@280
|
87 $ hostame
|
pankso@280
|
88 </pre>
|
pankso@280
|
89 <p>
|
pankso@280
|
90 Pour changer le nom de machine vous pouvez utiliser la commande
|
pankso@280
|
91 <code>echo</code> ou utiliser un des éditeurs de texte disponible sur SliTaz
|
pankso@280
|
92 (il faut être <em>root</em>). Exemple avec <code>echo</code> et le nom
|
pankso@280
|
93 de machine <code>kayam</code> :
|
pankso@280
|
94 </p>
|
pankso@280
|
95 <pre>
|
pankso@280
|
96 # echo "kayam" > /etc/hostname
|
pankso@280
|
97 </pre>
|
pankso@280
|
98
|
pankso@280
|
99 <a name="network.conf"></a>
|
pankso@280
|
100 <h3><font color="#6c0023">/etc/network.conf</font></h3>
|
pankso@280
|
101 <p>
|
pankso@280
|
102 Le fichier /etc/network.conf est le fichier de configuration du réseau sur
|
pankso@280
|
103 votre système SliTaz. Sa syntaxe est simple, vous pouvez modifier son contenu
|
pankso@280
|
104 avec un éditeur de texte tel que Nano. Le fichier /etc/network.conf est
|
pankso@280
|
105 utilisé par le script /etc/init.d/network.sh pour configurer les interfaces
|
pankso@280
|
106 réseau au démarrage du système.
|
pankso@280
|
107 </p>
|
pankso@280
|
108 <p>
|
pankso@280
|
109 Le fichier de configuration du réseau (network.conf) vous permet de lancer ou
|
pankso@280
|
110 non le client DHCP au boot. Vous pouvez aussi spécifier une adresse IP fixe
|
pankso@280
|
111 avec son masque de sous réseau, la passerelle par défaut, et le serveur DNS à
|
pankso@280
|
112 utiliser.
|
pankso@280
|
113 </p>
|
pankso@280
|
114
|
pankso@280
|
115 <a name="dynamicIP"></a>
|
pankso@280
|
116 <h3><font color="#6c0023">IP dynamique - Client DHCP udhcpc</font></h3>
|
pankso@280
|
117 <p>
|
pankso@280
|
118 Le client DHCP udhcpc fourni avec Busybox utilise le script
|
pankso@280
|
119 /usr/share/udhcpc/default.script pour obtenir une adresse IP dynamiquement
|
pankso@280
|
120 au boot. Il supporte diverses options que vous pouvez connaître avec l'option
|
pankso@280
|
121 <code>--help</code> :
|
pankso@280
|
122 </p>
|
pankso@280
|
123 <pre>
|
pankso@280
|
124 # udhcpc --help
|
pankso@280
|
125 </pre>
|
pankso@280
|
126 <p>
|
pankso@280
|
127 Pour ne pas lancer udhcpc sur eth0, ou modifier l'interface (ex: eth1) vous
|
pankso@280
|
128 devez passer par le fichier /etc/network.conf, et spécifier "no" à
|
pankso@280
|
129 la variable DHCP= :
|
pankso@280
|
130 </p>
|
pankso@280
|
131 <pre class="script">
|
pankso@280
|
132
|
pankso@280
|
133 # Dynamic IP address.
|
pankso@280
|
134 # Enable/disable DHCP client at boot time.
|
pankso@280
|
135 DHCP="no"
|
pankso@280
|
136
|
pankso@280
|
137 </pre>
|
pankso@280
|
138
|
pankso@280
|
139 <a name="staticIP"></a>
|
pankso@280
|
140 <h3><font color="#6c0023">IP fixe - Utilisation d'un adresse spécifique</font></h3>
|
pankso@280
|
141 <p>
|
pankso@280
|
142 Vous pouvez spécifier une adresse IP fixe à configurer au démarrage du système,
|
pankso@280
|
143 en mettant la valeur "yes" à la variable STATIC= :
|
pankso@280
|
144 </p>
|
pankso@280
|
145 <pre class="script">
|
pankso@280
|
146
|
pankso@280
|
147 # Static IP address.
|
pankso@280
|
148 # Enable/disable static IP at boot time.
|
pankso@280
|
149 STATIC="yes"
|
pankso@280
|
150
|
pankso@280
|
151 </pre>
|
pankso@280
|
152 <p>
|
pankso@280
|
153 Pour que la configuration fonctionne, vous devez spécifier une adresse IP,
|
pankso@280
|
154 son masque de sous réseau, la passerelle par défaut (gateway), et le serveur
|
pankso@280
|
155 DNS à utiliser. Exemple :
|
pankso@280
|
156 </p>
|
pankso@280
|
157 <pre class="script">
|
pankso@280
|
158
|
pankso@280
|
159 # Set IP address, and netmask for a static IP.
|
pankso@280
|
160 IP="192.168.0.6"
|
pankso@280
|
161 NETMASK="255.255.255.0"
|
pankso@280
|
162
|
pankso@280
|
163 # Set route gateway for a static IP.
|
pankso@280
|
164 GATEWAY="192.168.0.1"
|
pankso@280
|
165
|
pankso@280
|
166 # Set DNS server. for a static IP.
|
pankso@280
|
167 DNS_SERVER="192.168.0.1"
|
pankso@280
|
168
|
pankso@280
|
169 </pre>
|
pankso@280
|
170
|
pankso@280
|
171 <a name="pppoe"></a>
|
pankso@280
|
172 <h3><font color="#6c0023">Connexion internet ADSL en pppoe kernel-mode</font></h3>
|
pankso@280
|
173 <p>
|
pankso@280
|
174 Pré-requis: le support ppp et pppoe doit être activé dans le noyau (dur ou
|
pankso@280
|
175 modules) et l'interface ethernet configurée. Vous devez indiquer à ppp
|
pankso@280
|
176 d'utiliser le plugin rp-pppoe du noyau dans <code>/etc/ppp/options</code> :
|
pankso@280
|
177 </p>
|
pankso@280
|
178 <pre class="script">
|
pankso@280
|
179 plugin rp-pppoe.so
|
pankso@280
|
180 name <votre identifiant de connexion FAI>
|
pankso@280
|
181 noipdefault
|
pankso@280
|
182 defaultroute
|
pankso@280
|
183 mtu 1492
|
pankso@280
|
184 mru 1492
|
pankso@280
|
185 lock
|
pankso@280
|
186 </pre>
|
pankso@280
|
187 <p>
|
pankso@280
|
188 Si vous avez compilé le support de votre carte réseau en module dans le noyau,
|
pankso@280
|
189 vous devrez activer ce dernier dans /etc/rcS.conf:
|
pankso@280
|
190 </p>
|
pankso@280
|
191 <pre class="script">
|
pankso@280
|
192 LOAD_MODULES="<votre module>"
|
pankso@280
|
193 </pre>
|
pankso@280
|
194 <p>
|
pankso@280
|
195 Modifier le fichier /etc/ppp/pap-secrets ou /etc/ppp/chap-secrets :
|
pankso@280
|
196 </p>
|
pankso@280
|
197 <pre class="script">
|
pankso@280
|
198 # client server secret IP addresses
|
pankso@280
|
199 "votre_login_fai" * "mot_de_passe"
|
pankso@280
|
200 </pre>
|
pankso@280
|
201 <p>
|
pankso@280
|
202 Les fichiers /etc/host.conf et /etc/resolv.conf devraient être automatiquement renseignés.
|
pankso@280
|
203 C'est tout ! Pour vous connecter à internet, il suffit simplement de taper :
|
pankso@280
|
204 </p>
|
pankso@280
|
205 <pre>
|
pankso@280
|
206 pppd eth0
|
pankso@280
|
207 </pre>
|
pankso@280
|
208
|
pankso@280
|
209 <a name="rp-pppoe"></a>
|
pankso@280
|
210 <h3><font color="#6c0023">Connexion pppoe avec rp-pppoe</font></h3>
|
pankso@280
|
211 <p>
|
pankso@280
|
212 Pour configurer sa connexion internet ADSL via le protocole PPPOE, SliTaz
|
pankso@280
|
213 fournit la suite d'utilitaires du paquet <code>rp-pppoe</code>. L'utilisation
|
pankso@280
|
214 de <code>pppoe-setup</code> est un jeu d'enfant et vous permet de configurer
|
pankso@280
|
215 rapidement le réseau. Si vous utilisez DHCP c'est encore plus facile, puisque
|
pankso@280
|
216 c'est le serveur de votre FAI (Fournisseur d'accès internet) qui va s'occuper
|
pankso@280
|
217 de tout. Si vous n'avez pas le DHCP vous devez commencer par désactiver son
|
pankso@280
|
218 utilisation via la variable <code>DHCP="no"</code> du fichier de configuration
|
pankso@280
|
219 <code>/etc/network.conf</code>. A noter que pour modifier des fichiers de
|
pankso@280
|
220 configuration système et se connecter, vous devez devenir administrateur via
|
pankso@280
|
221 la commande <code>su</code>. Pour installer rp-pppoe et changer la variable
|
pankso@280
|
222 DHCP avec Nano (Ctrl + x pour sauver et quitter) :
|
pankso@280
|
223 </p>
|
pankso@280
|
224 <pre>
|
pankso@280
|
225 $ su
|
pankso@280
|
226 # tazpkg get-install rp-pppoe
|
pankso@280
|
227 # nano /etc/network.conf
|
pankso@280
|
228 </pre>
|
pankso@280
|
229 <h4>Configurer avec pppoe-setup</h4>
|
pankso@280
|
230 <p>
|
pankso@280
|
231 Pour commencer à configurer votre connexion PPPOE, vous devez ouvrir un
|
pankso@280
|
232 terminal X ou utiliser la console Linux pour lancer <code>pppoe-setup</code>
|
pankso@280
|
233 et répondre aux questions :
|
pankso@280
|
234 </p>
|
pankso@280
|
235 <pre>
|
pankso@280
|
236 # pppoe-setup
|
pankso@280
|
237 </pre>
|
pankso@280
|
238 <ol>
|
pankso@280
|
239 <li>Tapez votre nom d'utilisateur. A noter qu'il s'agit du nom
|
pankso@280
|
240 d'utilisateur avec lequel vous communiquez avec votre FAI, ils est
|
pankso@280
|
241 différent de ceux du système, bien sûr.</li>
|
pankso@280
|
242 <li>Interface internet, il s'agit par défaut de eth0 sauf si vous en avez
|
pankso@280
|
243 plusieurs, auquel cas vous aurez eth1, eth2, etc.. généralement la touche
|
pankso@280
|
244 <strong>entree</strong> suffit.</li>
|
pankso@280
|
245 <li>Si vous avez un lien ADSL permanent répondez ici par
|
pankso@280
|
246 <strong>oui</strong>, sinon par <strong>non</strong> (valeur par
|
pankso@280
|
247 défaut).</li>
|
pankso@280
|
248 <li>Spécifiez les DNS primaire et secondaire de votre FAI, il vous
|
pankso@280
|
249 les communiquera, n'hésitez pas à les lui demander.</li>
|
pankso@280
|
250 <li>Tapez le mot de passe avec lequel vous communiquez avec votre FAI,
|
pankso@280
|
251 à noter que vous devrez le tapez deux fois.</li>
|
pankso@280
|
252 <li>Choisir le firewall ou pare-feu en fonction de votre matériel,
|
pankso@280
|
253 si vous avez un routeur vous pouvez entrer 2 sinon 1. En cas de doute
|
pankso@280
|
254 tapez 1.</li>
|
pankso@280
|
255 </ol>
|
pankso@280
|
256 <h4>Démarrer et arrêter la connexion</h4>
|
pankso@280
|
257 <p>
|
pankso@280
|
258 Toujours en ligne de commande, il suffit de lancer <code>pppoe-start</code>
|
pankso@280
|
259 pour démarrer la connexion. Quelques secondes puis le système vous dit qu'il
|
pankso@280
|
260 est connecté. S'il vous donne un message du genre TIMED OUT c'est que vous
|
pankso@280
|
261 avez mal configuré ou que les branchements sont défectueux. Revérifiez votre
|
pankso@280
|
262 cablage et reprenez l'installation au début. Pour démarrer sa connexion :
|
pankso@280
|
263 </p>
|
pankso@280
|
264 <pre>
|
pankso@280
|
265 # pppoe-start
|
pankso@280
|
266 </pre>
|
pankso@280
|
267 <p>
|
pankso@280
|
268 Pour arrêter la connexion vous pouvez utiliser l'utilitaire
|
pankso@280
|
269 <code>pppoe-stop</code>, toujours en ligne de commande.
|
pankso@280
|
270 </p>
|
pankso@280
|
271
|
pankso@280
|
272 <a name="list"></a>
|
pankso@280
|
273 <h3><font color="#6c0023">Liste des interfaces et des routes</font></h3>
|
pankso@280
|
274 <p>
|
pankso@280
|
275 Vous pouvez lister les interfaces réseau disponibles avec la commande
|
pankso@280
|
276 <code>ifconfig</code> suivie de l'option <code>-a</code>, ou afficher
|
pankso@280
|
277 l'aide avec l'option <code>--help</code> :
|
pankso@280
|
278 </p>
|
pankso@280
|
279 <pre>
|
pankso@280
|
280 # ifconfig -a
|
pankso@280
|
281 # ifconfig --help
|
pankso@280
|
282 </pre>
|
pankso@280
|
283 <p>
|
pankso@280
|
284 Pour afficher la table de routage IP du noyau vous pouvez utiliser la commande
|
pankso@280
|
285 <code>route</code> sans arguments :
|
pankso@280
|
286 </p>
|
pankso@280
|
287 <pre>
|
pankso@280
|
288 $ route
|
pankso@280
|
289 </pre>
|
pankso@280
|
290
|
pankso@280
|
291 <a name="firewall"></a>
|
pankso@280
|
292 <h3><font color="#6c0023">Gestion du pare-feu (<em>firewall</em>)</font></h3>
|
pankso@280
|
293 <p>
|
pankso@280
|
294 SliTaz fourni un pare-feu très basic, les régles de sécurité du noyau sont
|
pankso@280
|
295 lancées et les règles d'iptables sont désactivées par défaut. Vous pouvez
|
pankso@280
|
296 activer/désactiver son éxécution au démarrage, et créer de nouvelles régles
|
pankso@280
|
297 via le fichier de configuration : /etc/firewall.conf
|
pankso@280
|
298 </p>
|
pankso@280
|
299 <p>
|
pankso@280
|
300 Le script du <em>firewall</em> fournit par défaut sur SliTaz, commence par
|
pankso@280
|
301 configurer les options propre au noyau: les redirections ICMP, les sources de
|
pankso@280
|
302 routage, log des adresses impossibles et les filtres contre le spoofing. Le
|
pankso@280
|
303 script lance ensuite les règles d'Iptables définies dans la fonction
|
pankso@280
|
304 <code>iptables_rules()</code> du fichier de configuration : /etc/firewall.conf
|
pankso@280
|
305 </p>
|
pankso@280
|
306 <p>
|
pankso@280
|
307 Le <em>firewall</em> utilise l'application Iptables, il se compose de deux
|
pankso@280
|
308 fichiers : Le fichier de configuration /etc/firewall.conf et le script
|
pankso@280
|
309 /etc/init.d/firewall, que vous ne devriez pas avoir besoin de modifier. A
|
pankso@280
|
310 noter qu'il y de nombreuses options avec Iptables, pour de plus amples
|
pankso@280
|
311 informations, référez-vous à la documentation officielle de Netfilter/iptables
|
pankso@280
|
312 disponible en ligne sur :
|
pankso@280
|
313 <a href="http://www.netfilter.org/documentation/">www.netfilter.org/documentation/</a>
|
pankso@280
|
314 </p>
|
pankso@280
|
315 <h4>Démarrer, arrêter, redémarrer le firewall</h4>
|
pankso@280
|
316 <p>
|
pankso@280
|
317 Le script /etc/init.d/firewall vous permet de démarrer/redémarrer, d'arrêter
|
pankso@280
|
318 et d'afficher le status du firewall. L'option redémarrer est souvent utilisée
|
pankso@280
|
319 pour tester de nouvelles règles, après modification du fichier de
|
pankso@280
|
320 configuration. Exemple :
|
pankso@280
|
321 </p>
|
pankso@280
|
322 <pre>
|
pankso@280
|
323 # /etc/init.d/firewall restart
|
pankso@280
|
324 </pre>
|
pankso@280
|
325 <h4>Activer/désactiver le firewall au boot</h4>
|
pankso@280
|
326 <p>
|
pankso@280
|
327 Pour activer/désactiver les options de sécurité propre au noyau, mettez "yes"
|
pankso@280
|
328 ou "no" à la variable KERNEL_SECURITY= :
|
pankso@280
|
329 </p>
|
pankso@280
|
330 <pre class="script">
|
pankso@280
|
331
|
pankso@280
|
332 # Enable/disable kernel security at boot time.
|
pankso@280
|
333 KERNEL_SECURITY="yes"
|
pankso@280
|
334
|
pankso@280
|
335 </pre>
|
pankso@280
|
336 <p>
|
pankso@280
|
337 Et pour activer/désactiver les règles d'iptables, il faut modifier la variable
|
pankso@280
|
338 IPTABLES_RULES= :
|
pankso@280
|
339 </p>
|
pankso@280
|
340 <pre class="script">
|
pankso@280
|
341
|
pankso@280
|
342 # Enable/disable iptables rules.
|
pankso@280
|
343 IPTABLES_RULES="yes"
|
pankso@280
|
344
|
pankso@280
|
345 </pre>
|
pankso@280
|
346 <h4>Ajouter, supprimer, ou modifier les règles d'iptables</h4>
|
pankso@280
|
347 <p>
|
pankso@280
|
348 fichier de configuration: /etc/firewall.conf. En bas du fichier vous trouverez
|
pankso@280
|
349 fichier de configuration: /etc/firewall.conf. En bas du fichier vous touverez
|
pankso@280
|
350 une fonction : <code>iptables_rules()</code> contenant toutes les commandes
|
pankso@280
|
351 d'iptables à lancer lors du démarrage du firewall. Pour supprimer une règle,
|
pankso@280
|
352 nous vous conseillons de commenter les lignes correspondantes avec :
|
pankso@280
|
353 <code>#</code>. A noter qu'il ne faut pas laisser cette fonction vide, si
|
pankso@280
|
354 vous voulez désactiver les règles d'iptables, il est préférable de mettre
|
pankso@280
|
355 "no" à la variable IPTABLES_RULES= du fichier de configuration.
|
pankso@280
|
356 </p>
|
pankso@280
|
357 <p>
|
pankso@280
|
358 Exemple de règles iptables. On refuse toutes les connexions entrantes, et
|
pankso@280
|
359 sortantes, puis on accepte les connexions sur l'hôte local, le réseau local,
|
pankso@280
|
360 les ports 80 et 22 utilisés respectivement par le serveur web HTTP et le
|
pankso@280
|
361 serveur sécurisé SSH, et le port 21 pour le FTP. C'est donc très restrictif
|
pankso@280
|
362 comme règles:
|
pankso@280
|
363 </p>
|
pankso@280
|
364 <pre class="script">
|
pankso@280
|
365
|
pankso@280
|
366 # Netfilter/iptables rules.
|
pankso@280
|
367 # This shell function is include by /etc/init.d/firewall.sh
|
pankso@280
|
368 # to start iptables rules.
|
pankso@280
|
369 #
|
pankso@280
|
370 iptables_rules()
|
pankso@280
|
371 {
|
pankso@280
|
372
|
pankso@280
|
373 # Drop all connexions.
|
pankso@280
|
374 iptables -P INPUT DROP
|
pankso@280
|
375 iptables -P OUTPUT DROP
|
pankso@280
|
376
|
pankso@280
|
377 # Accept all on localhost (127.0.0.1).
|
pankso@280
|
378 iptables -A INPUT -i lo -j ACCEPT
|
pankso@280
|
379 iptables -A OUTPUT -o lo -j ACCEPT
|
pankso@280
|
380
|
pankso@280
|
381 # Accept all on the local network (192.168.0.0/24).
|
pankso@280
|
382 iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
|
pankso@280
|
383 iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
|
pankso@280
|
384
|
pankso@280
|
385 # Accept port 80 for the HTTP server.
|
pankso@280
|
386 iptables -A INPUT -i $INTERFACE -p tcp --sport 80 -j ACCEPT
|
pankso@280
|
387 iptables -A OUTPUT -o $INTERFACE -p tcp --dport 80 -j ACCEPT
|
pankso@280
|
388
|
pankso@280
|
389 # Accept port 22 for SSH.
|
pankso@280
|
390 iptables -A INPUT -i $INTERFACE -p tcp --dport 22 -j ACCEPT
|
pankso@280
|
391 iptables -A OUTPUT -o $INTERFACE -tcp --sport 22 -j ACCEPT
|
pankso@280
|
392
|
pankso@280
|
393 # Accept port 21 for active FTP connections.
|
pankso@280
|
394 iptables -A INPUT -i $INTERFACE -p tcp --dport 21 -j ACCEPT
|
pankso@280
|
395 iptables -A OUTPUT -i $INTERFACE -p tcp --sport 21 -j ACCEPT
|
pankso@280
|
396
|
pankso@280
|
397 }
|
pankso@280
|
398
|
pankso@280
|
399 </pre>
|
pankso@280
|
400
|
pankso@280
|
401 <!-- End of content -->
|
pankso@280
|
402 </div>
|
pankso@280
|
403
|
pankso@280
|
404 <!-- Footer. -->
|
pankso@280
|
405 <div id="footer">
|
pankso@280
|
406 <div class="footer-right"></div>
|
pankso@280
|
407 <a href="#top">Haut de la page</a> |
|
pankso@280
|
408 <a href="index.html">Table des matières</a>
|
pankso@280
|
409 </div>
|
pankso@280
|
410
|
pankso@280
|
411 <div id="copy">
|
pankso@280
|
412 Copyright © 2007 <a href="http://www.slitaz.org/">SliTaz</a> -
|
pankso@280
|
413 <a href="http://www.gnu.org/licenses/gpl.html">GNU General Public License</a>;<br />
|
pankso@280
|
414 Documentation publiées sous
|
pankso@280
|
415 <a href="http://www.gnu.org/copyleft/fdl.html">GNU Free Documentation License</a>
|
pankso@280
|
416 et codée en <a href="http://validator.w3.org/">xHTML 1.0 valide</a>.
|
pankso@280
|
417 </div>
|
pankso@280
|
418
|
pankso@280
|
419 </body>
|
pankso@280
|
420 </html>
|