This file is indexed.

/usr/share/doc/HOWTO/fr-html/Masquerading-Simple-HOWTO.html is in doc-linux-fr-html 2013.01-2.

This file is owned by root:root, with mode 0o644.

The actual contents of the file can be viewed below.

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta name="generator" content=
"HTML Tidy for Linux (vers 25 March 2009), see www.w3.org">
<title>Guide pratique de l'IP masquerade simplifi&eacute;</title>
<meta name="GENERATOR" content=
"Modular DocBook HTML Stylesheet Version 1.79">
</head>
<body class="ARTICLE" bgcolor="#FFFFFF" text="#000000" link=
"#0000FF" vlink="#840084" alink="#0000FF">
<div class="ARTICLE">
<div class="TITLEPAGE">
<h1 class="TITLE"><a name="AEN2" id="AEN2">Guide pratique de l'IP
masquerade simplifi&eacute;</a></h1>
<h1 class="TITLE"><a name="AEN2" id="AEN2">Nouvelles versions de ce
document</a></h1>
<h2 class="SUBTITLE">Version fran&ccedil;aise du <i class=
"FOREIGNPHRASE">Masquerading made simple HOWTO</i></h2>
<h3 class="AUTHOR"><a name="AEN13" id="AEN13">John Tapsell</a></h3>
<div class="AFFILIATION">
<div class="ADDRESS">
<p class="ADDRESS">&nbsp;&nbsp;&nbsp;<code class=
"EMAIL">&lt;<a href=
"mailto:tapselj0@cs.man.ac.uk">tapselj0@cs.man.ac.uk</a>&gt;</code><br>
</p>
</div>
</div>
<h3 class="AUTHOR"><a name="AEN19" id="AEN19">Thomas
Spellman</a></h3>
<div class="AFFILIATION">
<div class="ADDRESS">
<p class="ADDRESS">&nbsp;&nbsp;&nbsp;<code class=
"EMAIL">&lt;<a href=
"mailto:thomasNO@SPAMresonancePLEASE.org">thomasNO@SPAMresonancePLEASE.org</a>&gt;</code><br>
</p>
</div>
</div>
<h3 class="AUTHOR"><a name="AEN25" id="AEN25">Matthias
Grimm</a></h3>
<div class="AFFILIATION">
<div class="ADDRESS">
<p class="ADDRESS">&nbsp;&nbsp;&nbsp;<code class=
"EMAIL">&lt;<a href=
"mailto:DeadBull@gmx.net">DeadBull@gmx.net</a>&gt;</code><br></p>
</div>
</div>
<span class="RELEASEINFO">Version&nbsp;: 0.09.fr.1.0<br></span>
<p class="PUBDATE">10 octobre 2007<br></p>
<div class="REVHISTORY">
<table width="100%" border="0">
<tr>
<th align="left" valign="top" colspan="3"><b>Revision
History</b></th>
</tr>
<tr>
<td align="left">Revision 0.09.fr.1.0</td>
<td align="left">2007-10-07</td>
<td align="left">Revised by: EM</td>
</tr>
<tr>
<td align="left" colspan="3">Premi&egrave;re traduction
fran&ccedil;aise</td>
</tr>
<tr>
<td align="left">Revision 0.09</td>
<td align="left">2004-07-21</td>
<td align="left">Revised by: TS</td>
</tr>
<tr>
<td align="left" colspan="3"></td>
</tr>
<tr>
<td align="left">Revision 0.08</td>
<td align="left">2002-07-11</td>
<td align="left">Revised by: JPT</td>
</tr>
<tr>
<td align="left" colspan="3"></td>
</tr>
<tr>
<td align="left">Revision 0.07</td>
<td align="left">2002-02-27</td>
<td align="left">Revised by: JPT</td>
</tr>
<tr>
<td align="left" colspan="3"></td>
</tr>
<tr>
<td align="left">Revision 0.06</td>
<td align="left">2001-09-08</td>
<td align="left">Revised by: JPT</td>
</tr>
<tr>
<td align="left" colspan="3"></td>
</tr>
<tr>
<td align="left">Revision 0.05</td>
<td align="left">2001-09-07</td>
<td align="left">Revised by: JPT</td>
</tr>
<tr>
<td align="left" colspan="3"></td>
</tr>
<tr>
<td align="left">Revision 0.04</td>
<td align="left">2001-09-01</td>
<td align="left">Revised by: JPT</td>
</tr>
<tr>
<td align="left" colspan="3"></td>
</tr>
<tr>
<td align="left">Revision 0.03</td>
<td align="left">2001-07-06</td>
<td align="left">Revised by: JPT</td>
</tr>
<tr>
<td align="left" colspan="3"></td>
</tr>
</table>
</div>
<div>
<div class="ABSTRACT"><a name="AEN77" id="AEN77"></a>
<p>Ce guide pratique NE REMPLACE PAS le 'guide pratique de l'IP
masquerade', mais le compl&egrave;te. Ces deux documents devraient
&ecirc;tre lus en parall&egrave;le. Je n'y ai inclu aucun
&eacute;l&eacute;ment d&eacute;j&agrave; d&eacute;taill&eacute;
dans cet autre guide pratique, ni aucune explication sur leur
fonctionnement et leur signification. Veuillez vous reporter
&agrave; l'adresse <a href="http://ipmasq.webhop.net/" target=
"_top">http://ipmasq.webhop.net/</a> et lisez le 'guide pratique du
masquerade standard', pour une bien meilleure aide.</p>
R&eacute;sum&eacute;
<p>Ce document d&eacute;crit l'activation du dispositif dIP
Masquerading sur une machine h&ocirc;te Linux. Le masquage
d'adresse IP est une forme de traduction d'adresse r&eacute;seau (
Network Address Translation ou NAT en anglais ),permettant aux
ordinateurs d'un r&eacute;seau priv&eacute; n'ayant aucune adresse
IP d'acc&eacute;der &agrave; Internet via l'adresser IP unique
d'une machine Linux.</p>
<p>Tous les auteurs sont joignables sur le canal #debian sur
irc.opensource.net</p>
<p>John Tapsell (JohnFlux) est le responsable officiel.</p>
<p>Contactez-moi (John Tapsell) pour toutes demandes,
r&eacute;actions, r&eacute;clamations, rendez-vous, etc.
!!!!!!!!!</p>
<p>Impudemment tir&eacute; du travail de David Ranch - <code class=
"EMAIL">&lt;<a href=
"mailto:dranch@trinnet.net">dranch@trinnet.net</a>&gt;</code></p>
<p>Ce document est plac&eacute; sous la GNU Free Documentation
License, consultable sur</p>
<p><a href="http://www.gnu.org/copyleft/fdl.html" target=
"_top">http://www.gnu.org/copyleft/fdl.html</a> pour la version
originale. La version fran&ccedil;aise est consultable sur <a href=
"" target="_top">//="http://www.rodage.org/gpl-3.0.fr.html"&gt;
http://www.rodage.org/gpl-3.0.fr.html</a>. Attention! La version
fran&ccedil;aise de la Gnu Free Documentation License est une
version non officielle, traduite afin d'am&eacute;liorer la
compr&eacute;hension de cette licence. Elle ne fait pas foi
au-niveau juridique!</p>
</div>
</div>
<hr></div>
<div class="SECT1">
<h2 class="SECT1"><a name="INTRO" id="INTRO">Introduction</a></h2>
<p>Cette introduction est volontairement courte et
cibl&eacute;e.</p>
<p>Admettons que vous aviez un r&eacute;seau que vous voulez
raccorder &agrave; l'ext&eacute;rieur:</p>
<div class="MEDIAOBJECT">
<p><img src="network.png"></p>
</div>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="SUMMARY" id="SUMMARY">Sommaire (J'aime
bien d&eacute;buter par un sommaire!)</a></h2>
<p>Consid&eacute;rons que l'interface r&eacute;seau externe est
eth0, l'adresse IP 123.12.23.43 et l'interface r&eacute;seau
interne est eth1 :</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">modprobe ipt_MASQUERADE</b> # Si cela &eacute;choue, essayez tout-de-m&ecirc;me de continuer
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -F; iptables -t nat -F; iptables -t mangle -F</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 123.12.23.43</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">echo 1 &gt; /proc/sys/net/ipv4/ip_forward</b>
</pre>
<p>Ou pour une connexion par modem:</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">modprobe ipt_MASQUERADE</b> # Si cela &eacute;choue, essayez tout-de-m&ecirc;me de continuer
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -F; iptables -t nat -F; iptables -t mangle -F</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">echo 1 &gt; /proc/sys/net/ipv4/ip_forward</b>
</pre>
<p>Pour s&eacute;curiser cela:</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -P INPUT DROP</b>   #seulement si les deux commandes pr&eacute;c&eacute;dentes ont abouties
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A FORWARD -i eth0 -o eth0 -j REJECT</b>
</pre>
<p>Ou pour une connexion par modem (avec eth0 comme interface
r&eacute;seau interne):</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A INPUT -m state --state NEW -i ! ppp0 -j ACCEPT</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -P INPUT DROP</b>   #seulement si les deux commandes pr&eacute;c&eacute;dentes ont abouties
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A FORWARD -i ppp0 -o ppp0 -j REJECT</b>
</pre>
<p>Et voil&agrave;! Pour visualiser les r&egrave;gles tapez
"<b class="COMMAND">iptables -t nat -L</b>"</p>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="INDEPTH" id="INDEPTH">Version un peu
plus d&eacute;taill&eacute;e</a></h2>
<p>Compilation du noyau: (Utilisez un noyau 2.4.x ou
sup&eacute;rieur)</p>
<p>Le noyau doit inclure les supports suivants:</p>
<ul>
<li>
<p>Dans la section Networking Options</p>
<ul>
<li>
<p>Network packet filtering (CONFIG_NETFILTER)</p>
</li>
</ul>
</li>
<li>
<p>Section Networking Options-&gt;Netfilter Configuration</p>
<ul>
<li>
<p>Connection tracking (CONFIG_IP_NF_CONNTRACK)</p>
</li>
<li>
<p>FTP Protocol support (CONFIG_IP_NF_FTP)</p>
</li>
<li>
<p>IP tables support (CONFIG_IP_NF_IPTABLES)</p>
</li>
<li>
<p>Connection state match support (CONFIG_IP_NF_MATCH_STATE)</p>
</li>
<li>
<p>Packet filtering (CONFIG_IP_NF_FILTER)</p>
<ul>
<li>
<p>REJECT target support (CONFIG_IP_NF_TARGET_REJECT)</p>
</li>
</ul>
</li>
<li>
<p>Full NAT (CONFIG_IP_NF_NAT)</p>
<ul>
<li>
<p>MASQUERADE target support (CONFIG_IP_NF_TARGET_MASQUERADE)</p>
</li>
<li>
<p>REDIRECT target support (CONFIG_IP_NF_TARGET_REDIRECT)</p>
</li>
</ul>
</li>
<li>
<p>Packet mangling (CONFIG_IP_NF_MANGLE)</p>
</li>
<li>
<p>LOG target support (CONFIG_IP_NF_TARGET_LOG)</p>
</li>
</ul>
</li>
</ul>
<p>Tout d'abord, si les modules iptables et masq ne sont pas
compil&eacute;s dans le noyau ni install&eacute;s, mais
pr&eacute;sents en tant que modules, il faut les installer. Si vous
chargez le module ipt_MASQUERADE,les modules ip_tables,
ip_conntrack et iptable_nat seront aussi charg&eacute;s.</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">modprobe ipt_MASQUERADE</b>
</pre>
<p>Que votre r&eacute;seau interne soit vaste, ou bien que vous
vouliez connecter deux ou trois machines sur Internet, cela ne fera
aucune diff&eacute;rence dans tous les cas.</p>
<p>Ok, je vais suppposer que vous n'avez aucune autre r&egrave;gle
&agrave; rajouter, donc vous tapez:</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -F; iptables -t nat -F; iptables -t mangle -F</b>
</pre>
<p>Si vous obtenez un message d'erreur indiquant "can't find
iptables", t&eacute;l&eacute;chargez-le et installez-le. Si le
message d'erreur indique "no such table 'nat'", recompilez le noyau
avec le support nat. Si le message d'erreur indique "no such table
as 'mangle'", ne vous inqui&eacute;tez pas, cette table n'est pas
n&eacute;cessaire pour le Masquerading. Si le message d'erreur
indique "iptables is incompatible with your kernel",
t&eacute;l&eacute;chargez une version de noyau sup&eacute;rieure
&agrave; 2.4 et compilez-le avec le support iptables.</p>
<p>Ensuite si vous avez une adresse IP statique(Par exemple une
interface r&eacute;seau n'utilisant pas le DHCP):</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 123.12.23.43</b>
</pre>
<p>ou pour une adresse dynamique (Par exemple un modem rtc - vous
devez appelez un num&eacute;ro tout d'abord):</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE</b>
</pre>
<p>Enfin, afin d'indiquer au noyau que vous voulez activer le
routage de packets : ( A faire apr&egrave;s chaque
red&eacute;marrage de la session - pas trop contraignant)</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">echo 1 &gt; /proc/sys/net/ipv4/ip_forward</b>
</pre>
<p>Une fois v&eacute;rifi&eacute; que tout fonctionne (voir section
Post-install) vous n'allez autoriser l'IP masquerade que pour le
r&eacute;seau interne - vous ne souhaitez pas autoriser des
personnes sur Internet &agrave; l'utiliser apr&egrave;s tout :)</p>
<p>En premier lieu, autorisez toutes les connections existantes, ou
les connections en d&eacute;pendant ( par exemple un serveur ftp
vous renvoyant une r&eacute;ponse)</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT</b>
</pre>
<p>Si vous obtenez une erreur, vous n'avez probablement pas
activ&eacute; le marquage d'&eacute;tat sur les paquets dans le
noyau - vous devrez le recompiler avec cette option. Nous allons
ensuite n'autoriser que les nouvelles connections venant de notre
r&eacute;seau interne (r&eacute;seau interne ou local). Remplacez
ppp0 par eth0, ou par le nom de votre interface r&eacute;seau
<span class="emphasis"><i class="EMPHASIS">externe</i></span> (Le
caract&egrave;re ! signifie "tout sauf")</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A INPUT -m state --state NEW -i ! ppp0 -j ACCEPT</b>
</pre>
<p>Et bloquez maintenant tout le reste:</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -P INPUT DROP</b>   #seulement si les deux commandes pr&eacute;c&eacute;dentes ont abouties
</pre>
<p>Si l'une des deux premi&egrave;res commandes &eacute;choue,
cette r&egrave;gle emp&ecirc;chera le masquerading de fonctionner
Pour annuler cette r&egrave;gle : "<b class="COMMAND">iptables -P
INPUT ACCEPT</b>".</p>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="POST-INSTALL" id=
"POST-INSTALL">Instructions post-installation</a></h2>
<p>Cela devrait fonctionner maintenant. N'oubliez pas de :</p>
<ul>
<li>
<p>Configurer toutes les machines du r&eacute;seau interne afin
d'indiquer comme passerelle l'adresse r&eacute;seau unique de la
machine Linux. (Sous Windows, clic droit sur le voisinage
r&eacute;seau -&gt;propri&eacute;t&eacute;s-&gt;connexion au
r&eacute;seau local -&gt; propri&eacute;t&eacute;s -&gt; Protocol
Internet (TCP/IP) -&gt; passerelle, et remplacez-la par l'adresse
IP interne de la machine Linux.)</p>
</li>
<li>
<p>Configurer tous vos clients afin d'utiliser le serveur proxy
http de votre fournisseur d'acc&egrave;s si vos clients en ont un,
et utiliser un proxy en mode transparent (ATTENTION - Certains
rapports font &eacute;tat de proxy en mode transparent engendrant
un ralentissement tr&egrave;s important sur les tr&egrave;s grands
r&eacute;seaux ), ou activez le squid sur votre passerelle Linux
(ceci est facultatif mais pr&eacute;f&eacute;rable pour les grands
r&eacute;seaux)</p>
</li>
<li>
<p>Sp&eacute;cifier un serveur de DNS sur les machines clientes.
Sinon vous obtiendrez un message d'erreur indiquant 'cannot resolve
address' etc. Si la r&eacute;solution d'adresse DNS fonctionnait
(adresse URL fonctionnelle) avant d'avoir configur&eacute; le
MASQUERADING, cela signifie que le serveur DHCP de votre
fournisseur d'acc&egrave;s n'arrive plus &agrave; vous indiquer
quelle est l'adresse DNS.</p>
<p>[Apart&eacute;] Je me demande si vous ne pourriez pas simplement
envoyer un broadcast DHCP qui sera achemin&eacute; vers le serveur
dns ( et vers le proxy http pendant qu'on y est) sans avoir
&agrave; configurer un serveur DHCP (ou m&ecirc;me si vous le
faites). Quelqu'un pourrait-il me renseigner &agrave; ce sujet?
:)</p>
<p>Merci &agrave; Richard Atcheson pour me l'avoir fait
remarquer</p>
</li>
<li>
<p>A pr&eacute;sent, vous devriez commencer &agrave;
s&eacute;curiser un peu tout cela! Premi&egrave;rement,
d&eacute;sactivez le routage : "<b class="COMMAND">iptables -P
FORWARD DROP</b>", puis apprenez &agrave; utiliser les
r&egrave;gles de filtrage iptables, <tt class=
"FILENAME">/etc/hosts.allow</tt> et <tt class=
"FILENAME">/etc/hosts.deny</tt> afin de s&eacute;curiser votre
syst&egrave;me. ATTENTION - N'essayez pas d'appliquer ces
r&egrave;gles iptables avant d'avoir un masquerading
op&eacute;rationnel. Vous devez explicitement autoriser chaque
transfert de paquet si vous param&eacute;trez la derni&egrave;re
r&egrave;gle avec l'option DENY. (Annulez avec "<b class=
"COMMAND">iptables -P FORWARD ACCEPT</b>")</p>
</li>
<li>
<p>Autorisez les acc&egrave;s provenant d'Internet pour chaque
service.</p>
<p>Par exemple, pour autoriser l'acc&egrave;s au serveur web, vous
faites:</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A INPUT --protocol tcp --dport 80 -j ACCEPT</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A INPUT --protocol tcp --dport 443 -j ACCEPT</b>
</pre>
<p>Pour autoriser l'authentification ( Se connecter sur les
channels IRC etc...), faites</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -A INPUT --protocol tcp --dport 113 -j ACCEPT</b>
</pre></li>
</ul>
<p>Pour le tester:</p>
<ul>
<li>
<p>Essayez de vous connecter sur Internet depuis une machine
cliente en utilisant une adresse IP. L'adresse IP de Google est
64.233.183.103 (enfin, l'une d'entre elles) et vous devriez obtenir
une r&eacute;ponse en retour Par exemple "<b class="COMMAND">ping
64.233.183.103</b>" "<b class="COMMAND">lynx
64.233.183.103</b>".</p>
</li>
<li>
<p>Essazyez une connexion par nom, par exemple "<b class=
"COMMAND">ping google.fr</b>" "<b class="COMMAND">lynx
google.fr</b>" ou depuis Internet Explorer / netscape.</p>
</li>
</ul>
<p>O&ugrave; eth0 est l'interface r&eacute;seau externe, et
123.12.23.43 est l'adresse ip de ce client.</p>
</div>
<div class="SECT1">
<hr>
<h2 class="SECT1"><a name="FAQ" id="FAQ">FAQ - Foire aux
r&eacute;clama**** Questions</a></h2>
<ul>
<li>
<p>Comment lister les r&egrave;gles appliqu&eacute;es?</p>
<p>- Essayez</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -L</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -t nat -L</b>
</pre></li>
<li>
<p>Je ne peux r&eacute;soudre les adresses IP! Je tape
'www.microsoft.com' et cela m'indique qu'il ne le trouve pas!</p>
<p>- Assurez-vous d'avoir ajout&eacute; l'adresse IP du serveur dns
sur les machines clientes</p>
</li>
<li>
<p>Cela ne fonctionne pas! Il ne supporte pas iptables / NAT / SNAT
/ MASQ</p>
<p>- T&eacute;l&eacute;chargez le dernier noyau et compilez-le avec
le support iptables et full NAT.</p>
</li>
<li>
<p>Cela ne marche pas! Le masquerading ne fonctionne pas du tout!
Meurs pourriture!</p>
<p>- Essayez <b class="COMMAND">echo 1 &gt;
/proc/sys/net/ipv4/ip_forward</b></p>
</li>
<li>
<p>Cela ne fonctionne pas! Je ne peux plus utiliser le
r&eacute;seau et je vous hais!</p>
<p>- Essayez</p>
<pre class="SCREEN">
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -F</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -t nat -F</b>
<samp class="PROMPT">$&gt;</samp> <b class=
"COMMAND">iptables -t mangle -F</b>
</pre>
<p>(Toutes les r&egrave;gles sont effac&eacute;es) puis
red&eacute;marrez les autres r&egrave;gles iptables.</p>
<p>- Essayez<b class="COMMAND">iptables -P FORWARD ACCEPT</b></p>
</li>
<li>
<p>Cela ne marche toujours pas!</p>
<p>- Hmm, la commande "<b class="COMMAND">dmesg | tail</b>" vous
renvoie-t'elle des erreurs? ou bien "<b class="COMMAND">cat
/var/log/messages | tail</b>" ? Comme je le crains...</p>
</li>
<li>
<p>Cela ne renvoit rien. Et cela ne fonctionne toujours pas!</p>
<p>- Je ne sais pas... mais vous devriez est capable de :</p>
<pre class="SCREEN">
       1) pinguer l'ext&eacute;rieur depuis la passerelle
        2) pinguer les machines locales depuis la passerelle
        3) pinguer la passerelle depuis les machines locales
</pre>
<p>Et cela <span class="emphasis"><i class=
"EMPHASIS">avant</i></span> que vous n'appliquiez le
masquerading</p>
</li>
<li>
<p>O&ugrave; dois-placer ces trucs?</p>
<p>- Dans le fichier <tt class=
"FILENAME">/etc/network/interfaces</tt>, ou firewall.rc. Si vous le
placez dans le fichier interfaces, mettez le avant l'activation de
l'interface r&eacute;seau externe, et placez "<b class=
"COMMAND">iptables -t nat -F</b>" apr&egrave;s la
d&eacute;sactivation de celle-ci.</p>
</li>
<li>
<p>How do I get it to only bring the ppp up on demand?</p>
<p>- Consid&eacute;rant que l'adresse IP de votre passerelle FAI
est 23.43.12.43 pour le bien-fond&eacute; de l'argument, then
rajoutez une ligne comme celle-ci:</p>
<p><b class="COMMAND">:23.43.12.43</b></p>
<p>&agrave; la fin du fichier<tt class=
"FILENAME">/etc/ppp/peers/provider</tt>. (Pour une adresse IP
dynamique). Pour une adresse IP statique : <b class=
"COMMAND">external.ip.number:23.43.12.43</b> )</p>
<p>A la fin de ce fichier, rajoutez une nouvelle ligne:</p>
<p><b class="COMMAND">demand</b></p>
<p>Le d&eacute;mon pppd restera en arri&egrave;re-plan pour
relancer la connection si elle est d&eacute;sactiv&eacute;e,
jusqu'&agrave; ce que vous faites un "<b class="COMMAND">ifdown
ppp0</b>" ou un "<b class="COMMAND">poff</b>", &agrave; moins que
vous n'ajoutiez une option "<b class="COMMAND">nopersist</b>" ,
dans chaque cas pppd s'arr&ecirc;tera une fois la connection
activ&eacute;e. Vous pouvez &eacute;galement ajouter une ligne
"<b class="COMMAND">idle 600</b>" pour d&eacute;connecter
apr&egrave;s 10 minutes d'inactivit&eacute;.</p>
</li>
<li>
<p>La connection reste inactive!</p>
<p>- Tout d'abord, avez-vous effectu&eacute; la proc&eacute;dure de
connection? Est-ce que cela fonctionne comme cela est
suppos&eacute;? V&eacute;rifiez le fichier<tt class=
"FILENAME">/etc/ppp/peers/provider</tt>, et assurez-vous que votre
connection marche bien avant d'essayer le masquerading.</p>
<p>- Deuxi&egrave;mement, si cela ne marche pas ( cela m'est
arriv&eacute; ), cela devient peut-&ecirc;tre &eacute;trange, et
vous devrez revenir &agrave; un noyau 2.4.3 et voir si cela marche
&agrave; la place.. je ne sais pas pourquoi.</p>
</li>
<li>
<p>Je n'aime pas faire cela moi-m&ecirc;me! Je voudrais un script
tout fait, une interface graphique.</p>
<p>- Bien s&ucirc;r: <a href="http://shorewall.sourceforge.net/"
target="_top">http://shorewall.sourceforge.net/</a></p>
<p>A d&eacute;guster sans restrictions!</p>
</li>
<li>
<p>Dois-je consid&eacute;rer les modems comme ayant une adresse IP
statique ou dynamique?</p>
<p>- Bonne question.. Vous devriez la placer en dynamique.</p>
</li>
<li>
<p>Dois-je consid&eacute;rer les cartes r&eacute;seaux DHCP comme
ayant des adresses IP statiques ou dynamiques?</p>
<p>- Elles sont dynamiques.</p>
</li>
<li>
<p>Comment traiter les services entrants?</p>
<p>- Essayez de laisser passer ou de rediriger les requ&ecirc;tes
en provenance de ces ports IP - encore une fois, assurez-vous de
les bloquer si n&eacute;cessaire.</p>
</li>
<li>
<p>Depuis les machines clientes, je peux pinguer l'adresse IP
externe de la passerelle Linux, mais je ne peux acc&eacute;der
&agrave; internet.</p>
<p>- Okay, essayez un "<b class="COMMAND">rmmod iptable_filter</b>"
- Plus d'info lorsque je les recevrai.</p>
<p>- Assurez-vous de ne pas avoir activ&eacute; le <span class=
"emphasis"><i class="EMPHASIS">routage</i></span> ou la
<span class="emphasis"><i class="EMPHASIS">passerelle</i></span> -
pour v&eacute;rifier l'activation : "<b class="COMMAND">ps aux |
grep -e routed -e gated</b>".</p>
<p>- Reportez-vous au site <a href="http://ipmasq.webhop.net/"
target="_top">http://ipmasq.webhop.net/</a></p>
</li>
<li>
<p>Comment visualiser les connections &eacute;tablies? Avec
netstat...</p>
<p>- Essayez la commande cat /proc/net/ip_conntrack</p>
</li>
<li>
<p>Je d&eacute;sire plus d'information sur le filtrage, le routage
et autres trucs!</p>
<p>- Lisez le Guide Pratique du routage avanc&eacute;
http://ftp.traduc.org/doc-vf/HOWTO/telechargement/html-1page/Adv-Routing-HOWTO.html</p>
</li>
<li>
<p>Ce guide pratique est une foutaise! Comment puis-je engueler le
gars qui l'a &eacute;crit?</p>
<p>- Allez sur le canal #debian sur irc.opensource.net, et
d&eacute;nichez JohnFlux. - Envoyez-moi un email (JohnFlux)
&agrave; tapselj0@cs.man.ac.uk</p>
</li>
<li>
<p>Cet How-To est nul! Comment puis-je obtenir de meilleurs
versions?</p>
<p>- Essayez <a href="http://ipmasq.cjb.net" target=
"_top">http://ipmasq.cjb.net</a></p>
<p>- Consultez la LDP Masq-HOWTO.</p>
</li>
<li>
<p>Sur quoi d'autres travaillez-vous?</p>
<p>Actuellement j'&eacute;cris un guide simplifi&eacute; pour Linux
sur des missiles anti-missile. Il n'existe pas de bons guides pour
d&eacute;butants concernant la protection de votre syst&egrave;me
en cas d'attaque nucl&eacute;aire Les gens semblent penser que
c'est une science arm&eacute;e ou autre..</p>
</li>
</ul>
</div>
</div>
</body>
</html>