Linux IP Masquerade mini HOWTO : Connaissances de base

2. Connaissances de base

2.1 Qu'est-ce que l'IP Masquerade?

L'IP Masquerade est une fonctionnalité réseau de Linux. Si un hôte Linux est connecté à Internet avec l'option IP Masquerade en place, alors les ordinateurs se connectant à celui-ci (que cela soit sur le réseau local ou par modem) peuvent atteindre Internet aussi, même s'il n'ont pas d'adresse IP officielle.

Cela permet à un ensemble de machines d'accéder de manière invisible à Internet, caché derrière une passerelle, qui apparaît comme étant le seul système utilisant la connexion Internet. Il devrait être énormément plus difficile de contourner un système basé sur le masquerade, s'il est bien configuré, que de passer outre un bon firewall effectuant du filtrage de paquets (en supposant qu'il n'y a de bogues chez aucun des deux).

2.2 Où cela en est ?

L'IP Masquerade est utilisé depuis quelques années et murit alors que Linux arrive dans les 2.2.x. Les noyaux, depuis la série 1.3.x, supportent en standard cette fonctionnalité. De nombreuses personnes, et même des entreprises l'utilisent, avec des résultats satisfaisants.

L'utilisation d'IP Masquerade pour parcourir le web, ou pour le telnet est tout à fait satisfaisante. FTP, IRC, et l'écoute de Real Audio fonctionnent en utilisant certains modules. D'autres technologies de flux audio par réseau, telles que True Speech et Internet Wave fonctionnent également. Certaines personnes, abonnées à la mailing list ont même essayé des logiciels de vidéo-conférence. Ping fonctionne à présent, avec le nouveau patch pour ICMP.

Veuillez consulter la section 4.3 pour une liste complète des logiciels supportés.

L'IP masquerade fonctionne convenablement avec des 'machines clientes' utilisant divers systèmes d'exploitation et différentes plate-formes. On a enregistré des succès pour des systèmes utilisant Unix, Windows 95, Windows NT, Windows pour Workgroups (avec l'extension TCP/IP), OS/2, MacOS avec Mac TCP, Mac Open Transport, DOS avec le package NCSA Telnet, VAX, Alpha sous Linux, et même Amiga avec AmiTCP ou la pile AS225. La liste continue à n'en plus finir, en réalité, si votre systeme d'exploitation parle TCP/IP, cela marcher avec l'IP Masquerade.

2.3 A qui peut être utile IP Masquerade?

Si vous avez un hôte Linux connecté à Internet, et
si vous avez un ou plusieurs ordinateurs utilisant TCP/IP, connecté à cet hôte Linux sur un réseau local, et/ou
si votre hôte Linux a un ou plusieurs modems et joue le rôle de serveur PPP ou SLIP, et que
ces AUTRES machines ne possèdent pas d'adresse IP officielle (ces machines seront désormais référencées sous le nom de AUTRES).
et bien sûr, si vous désirez que ces AUTRES machines soient également connectées sur Internet sans débourser un centime de plus :-)

2.4 Qui n'a pas besoin d'IP Masquerade?

Si votre machine est un hôte isolé, connecté sur Internet, alors c'est inutile de mettre en place l'IP Masquerading, ou
si vous avez déjà obtenu des adresses officielles pour vos AUTRES machines, alors vous n'avez pas besoin d'IP Masquerade pour faire un firewall,
et bien sûr, si vous n'aimez pas l'idée de connecter toutes les AUTRES machines gratuitement, de cette manière.

2.5 Comment fonctionne IP Masquerade ?

D'après la FAQ IP Masquerade, de Ken Eves :

  Voici un schéma du plus simple cas possible~:

     SLIP/PPP         +------------+                         +-------------+
  vers le provider    |  Linux     |       SLIP/PPP          | Peu_importe |
    <---------- modem1|            |modem2 ----------- modem |             |
      111.222.333.444 |            |           192.168.1.100 |             |
                      +------------+                         +-------------+

    Dans le schéma ci-dessus, un ordinateur sous Linux, utilisant
    ip_masquerading est connecté à Internet par un lien SLIP ou PPP, utilisant
    modem1. Il possède l'adresse IP (officielle) 111.222.333.444. Il est
    configuré de telle façon que modem2 permet aux appelants de se connecter
    et d'initier une connexion PPP ou SLIP.

    Le second système (qui n'utilise par forcément Linux comme système
    d'exploitation) se connecte par modem sur l'hôte Linux et entame une
    liaison SLIP ou PPP. Il NE possède PAS d'adresse IP officielle donc il
    utilise 192.168.1.100 (voir ci-dessous).

    Avec l'option ip_masquerade et un routage configuré correctement, la
    machine Peu_importe peut interagir avec Internet comme si elle était
    réellement connectée (à quelques exceptions près).

Pour citer Pauline Middlelink~: N'oublie pas de rappeler que la machine
Peu_importe doit déclarer l'hôte Linux comme passerelle (que cela soit la
route par défaut ou juste un sous réseau importe peu). Si Peu_importe ne peut
pas le faire, l'hôte Linux devra faire du proxy arp pour toutes les adresses
routées, mais la mise en place du proxy arp est hors du domaine de ce
document.

Ce qui suit est l'extrait d'un article de comp.os.linux.networking qui a été
modifié pour utiliser les noms des machines de l'exemple ci-dessus~:
   o J'indique à la machine Peu_importe que le serveur Linux est sa
     passerelle.
   o Quand un paquet en provenance de Peu_importe arrive sur la machine Linux,
     elle va lui assigner un nouveau numéro de port, et indiquer sa propre
     adresse IP dans l'entête du paquet, tout en sauvegardant l'entête
     originale. Elle va alors envoyer le paquet modifié à travers son
     interface SLIP ou PPP, vers Internet.
   o Lorsqu'un paquet en provenance d'Internet arrive sur la machine Linux, si 
     le numéro de port est un de ceux assignés à l'étape précédente, elle va
     modifier à nouveau l'entête pour y remettre les numéros de port et
     adresses IP originaux, et alors envoyer le paquet à la machine
     Peu_importe.
   o L'hôte qui a envoyé le paquet ne verra jamais la différence.

Un example d'IP Masquerading

Voici ci-dessous le schéma d'un exemple classique :


    +----------+
    |          |  Ethernet
    | Ordi A   |::::::
    |          |2   ~:192.168.1.x
    +----------+    ~:
                    ~:   +----------+   lien
    +----------+    ~:  1|  Linux   |   PPP
    |          |    ~::::| masq-gate|:::::::::// Internet
    | Ordi B   |::::::   |          |
    |          |3   ~:   +----------+
    +----------+    ~:
                    ~:
    +----------+    ~:
    |          |    ~:
    | Ordi C   |::::::
    |          |4
    +----------+


    <-Réseau interne->

Il y a dans cet exemple 4 ordinateurs qui nous intéressent (il y a sûrement sur la droite quelque chose sur laquelle aboutit notre connexion, et encore plus à droite une autre machine avec laquelle nous échangeons des données). L'ordinateur sous Linux masq-gate est la passerelle qui effectue le masquerading pour le réseau interne des ordinateurs A, B, et C, afin de les relier à Internet. Le réseau interne utilise une des adresses assignées des réseaux privés, à savoir dans ce cas le réseau de classe C 192.168.1.0, l'ordinateur Linux ayant l'adresse 192.168.1.1 et les autres ordinateurs ayant d'autres adresses sur ce réseau.

Les trois machines A, B et C (qui peuvent utiliser n'importe quel système d'exploitation, du moment qu'elles utilisent IP - comme par exemple Windows 95, Macintosh MacTCP ou même un autre Linux) peuvent se connecter à n'importe qu'elle machine sur Internet, mais masq-gate convertit toutes leurs connexions de façon à ce qu'elles semblent provenir de masq-gate, et s'arrange pour que toutes les données revenant d'Internet retournent au système qui en est à l'origine. Ainsi, les ordinateurs du réseau interne voient une route directe vers Internet et ne sont pas au courant du fait que leurs données ont été "masqueradées".

2.6 Ce qui est requis pour utiliser IP Masquerade sur un Linux 2.2.x

** Référez vous à IP Masquerade Resource pour les dernieres informations (en anglais). **

Les sources du noyau 2.2.x sont disponibles depuis ftp://ftp.lip6.fr/pub/linux/kernel/sources/v2.2/
(La majorité des distributions de linux récentes telle la RedHat 5.2 - livrée avec un noyau 2.0.36 - ont le un noyau modulaire avec toutes les options nécessaires a l'IP Masquerading compilées. Dans ce genre de cas, il n'y a pas besoin de recompiler le noyau. Si vous mettez a jour votre noyau, alors vous devriez savoir ce dont vous avez besoin, nous y reviendrons un peu plus loin).
Modules chargeables dynamiquement, de préférence avec un 2.1.121 ou plus récent.
Ainsi qu'un réseau TCP/IP en bon état de marche
tout ceci est décrit dans Linux NET-3 HOWTO et dans le Guide de l'administrateur réseau
Allez aussi faire un tour chez Trinity OS Doc, une documentation tres simple sur Linux et le reseau.
Connectivity to Internet for your Linux host
Décrit dans Linux ISP Hookup HOWTO, Linux PPP HOWTO, Linux DHCP mini-HOWTO et Linux Cable Modem mini-HOWTO
IP Chains 1.3.8 ou plus récent, disponible sur http://www.rustcorp.com/linux/ipchains/
Plus d'informations sur les différentes versions, visitez Linux IP Firewalling Chains page
Pour d'autres options, référez vous à Linux IP Masquerade Resource

2.7 Ce qui est requis pour utiliser IP Masquerade sur un Linux 2.0.x

** Veuillez s'il vous plaît consulter l' IP Masquerade Resource pour les dernières informations.**

Les sources d'un noyau de la série 2.x, disponibles sur ftp://ftp.ibp.fr/pub/linux/kernel/sources/v2.0/
(La majorité des distributions de linux récentes telle la RedHat 5.2 ont le un noyau modulaire avec toutes les options nécessaires a l'IP Masquerading compilées. Dans ce genre de cas, il n'y a pas besoin de recompiler le noyau. Si vous mettez à jour votre noyau, alors, vous devriez savoir ce dont vous avez besoin, nous y reviendrons un peu plus loin).
Les modules chargeables à la demande, de préférence la version 2.0.0 (ou ultérieure), disponible sur ftp://ftp.ibp.fr/pub/linux/kernel/sources/v2.0/modules-2.0.0.tar.gz (modules-1.3.57 étant le minimum)
Un réseau TCP/IP fonctionnant convenablement
(se référer à Linux NET-3 HOWTO (en français) et au Network Administrator's Guide)
Allez aussi faire un tour chez Trinity OS Doc, une documentation très simple sur Linux et le réseau.
Un accès Internet pour votre hôte Linux
Se référer à Linux ISP Hookup HOWTO Linux PPP HOWTO, Linux DHCP mini-HOWTO et à Linux Cable Modem mini-HOWTO
Ipfwadm 2.3, téléchargeable sur ftp://ftp.xos.nl/pub/linux/ipfwadm/ipfwadm-2.3.tar.gz
Plus d'informations sur Linux IPFWADM page
Vous pouvez, si vous le souhaitez, appliquer certains patches pour mettre en place certaines fonctionnalités. Vous trouverez plus d'informations sur la page des IP Masquerade Resources (ces patches s'appliquent à tout noyau de la série 2.0.x).