Le HOWTO du Firewalling et des serveurs Proxy David Rudder, drig@execpc.com v0.1, 23 Avril 1995 - traduction Bernard Choppy, bernard.choppy@alias.fdn.fr 5 juillet 1995 Ce document est destine a enseigner les bases de configuration d'un firewall sur un PC sous Linux. L'installation des serveurs Proxy per- mettant un meilleur acces depuis l'arriere d'un firewall est aussi abordee. 11.. IInnttrroodduuccttiioonn Les firewalls ont obtenu une grande renommee en tant que "nec plus ultra" de la securite sur Internet. Comme de nombreuses choses dont la renommee grandit, une certaine incomprehension s'y est jointe. Ce HOWTO presente les bases de la definition d'un firewall, de sa configuration, des serveurs proxy, de leur configuration, et des applications de cette technologie hors du contexte de la securite. 11..11.. RReeaaccttiioonnss Toute reaction est la bienvenue. Je recherche particulierement celles des utilisateurs d'ordinateurs Macintosh, les informations dont je dispose les concernant etant parcellaires. _S_I_G_N_A_L_E_Z _T_O_U_T_E _I_N_E_X_A_C_T_I_T_U_D_E _D_A_N_S _C_E_T _A_R_T_I_C_L_E _S_'_I_L _V_O_U_S _P_L_A_I_T _! Je suis humain, et sujet aux erreurs. Si vous en trouvez, il est du plus haut interet de les corriger. Je tenterai de repondre a tout e-mail, mais je suis occupe, donc ne m'en veuillez pas si ce n'est pas le cas pour le votre. Mon adresse e-mail est : drig@execpc.com. 11..22.. AAvveerrttiisssseemmeenntt Ce document est concu comme une introduction au fonctionnement des firewalls et des serveurs proxy. Je ne suis, ni ne pretends etre un expert es securite. Je suis simplement un individu qui a trop lu et qui apprecie les ordinateurs plus que d'autres. _J_E _N_E _S_U_I_S _R_E_S_P_O_N_S_A_B_L_E _D_'_A_U_C_U_N _D_O_M_M_A_G_E _R_E_S_U_L_T_A_N_T _D_'_A_C_T_I_O_N_S _F_O_N_D_E_E_S _S_U_R _L_E _P_R_E_S_E_N_T _D_O_C_U_M_E_N_T_. Considerez que j'ecris ceci pour familiariser les gens avec ce sujet, et que je ne suis pas pret a perdre ma jeunesse dans l'exactitude de ce qui s'y trouve. 11..33.. CCooppyyrriigghhtt Sauf mention contraire, les documents Linux HOWTO sont la propriete de leurs auteurs respectifs. Les documents Linux HOWTO peuvent etre reproduits et distribues en totalite ou en partie, sur tout support physique ou electronique, tant que cette notice de copyright est presente sur chaque copie. La redistribution commerciale est autorisee et encouragee ; neammoins, l'auteur souhaite etre informe de toute distribution de ce genre. Toute traduction, travail derive, ou agregat incorporant tout ou partie d'un ou plusieurs documents Linux HOWTO doit etre couvert par ce meme copyright. Ce qui veut dire que vous ne pouvez produire un travail derive d'un HOWTO et imposer des restrictions supplementaires concernant sa distribution. Des exceptions a ces regles peuvent etre delivrees sous certaines conditions ; Contactez le coordinateur des Linux HOWTO a l'adresse ci-dessous. En bref, nous souhaitons promouvoir la dissemination de cette information a travers autant de canaux que possible. Neammoins, nous souhaitons conserver un copyright sur les documents HOWTO, et etre avises de tout plan de distribution les concernant. Si vous avez des questions, veuillez contacter David Rudder . 11..44.. RReessttee aa ffaaiirree +o Apprendre comment le faire sur un Macintosh +o Apprendre differents paquetages TCP/IP Windows +o Trouver un bon serveur proxy UDP qui fonctionne sous Linux 22.. CCoommpprreennddrree lleess ffiirreewwaallllss Firewall est un terme automobile. Dans une voiture, un firewall est une piece qui separe le bloc-moteur du compartiment passagers. Il est prevu pour proteger les passagers en cas d'explosion du vehicule. En informatique, un firewall est un composant logique qui protege la partie privee d'un reseau de la partie publique. Le fonctionnement en est le suivant : 1. Vous prenez un ordinateur qui a des fonctionnalites de routage (comme une machine Linux) 2. Placez-y deux interfaces (c.a.d. ports serie, Ethernet, Token Ring, etc.) 3. Empechez la transmission IP 4. Connectez l'internet sur une interface 5. connectez le reseau protege sur l'autre interface Maintenant, vous avez deux reseaux distincts, qui se partagent un ordinateur. L'ordinateur firewall, qui sera nomme "firewall", peut atteindre a la fois le reseau protege et internet. Le reseau protege ne peut atteindre l'internet, ni l'internet toucher le reseau protege. Pour atteindre l'internet depuis l'interieur du reseau protege, on doit se connecter au firewall par telnet, puis utiliser internet a partir de la. Symetriquement, pour entrer dans le reseau protege, on doit passer d'abord par le firewall. Cela offre un excellent niveau de securite contre les attaques en provenance de l'internet. Si quelqu'un veut realiser une attaque concertee contre le reseau protege, il doit passer d'abord le firewall, s'en faire un marchepied, puis, plus difficile, attaquer. Si quelqu'un veut attaquer le reseau protege par une methode plus classique, comme l'invasion de courrier, ou l'infame "Internet Worm", il ne sera pas a meme d'atteindre le reseau protege. Cela realise une excellente protection. 22..11.. IInnccoonnvveenniieennttss ddeess ffiirreewwaallllss Le plus gros probleme des firewalls reside dans leur forte inhibition de l'acces a l'internet depuis l'interieur. Fondamentalement, ils reduisent l'usage de l'internet pour ceux qui y auraient eu acces vi un compte en acces entrant. Devoir se loger sur le firewall puis seulement avoir l'acces a l'internet est une severe restriction. Des programmes comme Netscape, qui necessitent une connexion internet directe, ne fonctionneront pas depuis l'arriere d'un firewall. Etre incapable de FTPer directement sur votre ordinateur est un autre gros probleme, qui necessite une configuration a deux niveaux internet->firewall->ordinateur protege. La reponse a ces problemes reside dans l'utilisation d'un serveur proxy. 22..22.. SSeerrvveeuurrss pprrooxxyy Les serveurs proxy sont des constructions qui permettent l'acces direct a l'internet depuis derriere un firewall. Leur fonctionnement reside dans l'ouverture d'une socket sur le serveur, permettant la communication vers l'internet via cette socket. Par exemple, sur mon ordinateur, drig se trouve dans le reseau protege, et je veux parcourir le Web en utilisant Netscape. Je vais configurer un serveur proxy sur le firewall. Le serveur proxy sera configure pour permettre aux requetes depuis mon ordinateur cherchant a acceder au port 80 de se connecter a son port 1080, puis il redirigera toutes les requetes vers les emplacements idoines. Quiconque a utilise TIA ou Term a deja rencontre ce concept. A l'aide de ces deux programmes, vous pouvez rediriger un port. Un ami dispose de TIA configure pour permettre a quiconque appelant le port 4024 a l'adresse 192.251.139.21 de se connecter a son serveur Web. Le serveur proxy fonctionne ainsi, mais a l'envers. Pour se connecter au port 80 de quelqu'un d'autre, vous devez utiliser le port 1080 (ou tout port que vous aurez configure pour). L'idee majeure concernant les serveurs proxy est qu'ils sont completement surs, lorsqu'ils sont configures correctement. Ils ne permettront a personne d'entrer au-travers d'eux. 33.. CCoonnffiigguurreerr ttoouutt ccaa 33..11.. MMaatteerriieell nneecceessssaaiirree Pour notre exemple, l'ordinateur est un 486-DX66, 8 Mo de RAM, 500 Mo de partition Linux, avec une connexion PPP a son fournisseur internet par un modem 14,4 kbps. Cette configuration est votre machine Linux de base. Pour en faire un firewall, nous ajoutons une carte Ethernet NE2000. Il est alors connecte a trois PC sous Windows 3.1 avec Trumpet Winsock et deux Sun sous SunOS 4.1. Cette configuration a ete choisie car elle est tres classique et qu'elle comporte deux plate-formes qui me sont familieres. J'imagine qu'une grande partie des elements dont je parle est realisable sur Mac, mais comme je n'utilise pas assez souvent ceux-ci, je ne sais pas vraiment. 33..22.. CCoonnffiigguurreerr llee llooggiicciieell Bien, vous avez une machine Linux connectee au reseau via une ligne PPP a 14,4 kbps. Vous avez ensuite un reseau Ethernet connecte a cette machine Linux et tous les autres ordinateurs. D'abord, vous devez recompiler le noyau Linux avec les options appropriees. A ce point, je vous renvoie au Kernel HOWTO, a l'Ethernet HOWTO et au NET-2 HOWTO. Ensuite, faites un "make config" : 1. Activez le support du reseau 2. Activez le protocole TCP/IP 3. Desactivez la transmission IP (CONFIG_IP_FORWARD) 4. Activez le Firewalling IP 5. Vraisemblablement, activez la gestion des comptes. Cela semble prudent puisque nous configurons un systeme de securite 6. Activez le support des equipements reseau 7. Nous activons les supports PPP et Ethernet, mais cela depend de vos interfaces Ensuite, nous recompilons, reinstallons le noyau et relancons le systeme. Les interfaces doivent apparaitre dans la sequence de demarrage, et tout doit etre correct. Sinon, plongez-vous a nouveau dans les autres HOWTO jusqu'a ce que tout fonctionne. 33..33.. CCoonnffiigguurreerr lleess aaddrreesssseess rreesseeaauu C'est la partie reellement interessante. Puisque nous ne souhaitons pas laisser l'acces depuis internet, il n'est pas necessaire d'utiliser des adresses reelles. Une bonne classe C a utiliser est 192.0.2.xxx qui a ete conservee a part en tant que domaine de test "a blanc". Ainsi, personne ne l'utilise, et il n'entrera en conflit avec aucune requete vers l'exterieur. Ainsi, dans cette configuration, une seule adresse IP reelle est necessaire. Les autres sont libres et n'affecteront pas du tout le reseau. Assignez l'adresse IP reelle au port serie utilise pour PPP. Assignez 192.0.2.1 a la carte Ethernet du firewall. Assignez une adresse de ce dernier domaine a toutes les autres machines du reseau protege. 33..44.. TTeesstteerr llee ttoouutt Premierement, essayez un ping sur l'internet depuis le firewall. J'avais l'habitude d'utiliser nic.ddn.mil comme point de test. C'est toujours un bon test, mais il a prouve qu'il etait moins fiable que je l'esperais. Si cela ne fonctionne pas des l'abord, essayez un ping sur quelques autres endroits qui ne soient pas connectes a votre reseau local. Si cela ne fonctionne pas, alors votre PPP est mal configure. Relisez le NET-2 HOWTO, et essayez a nouveau. Maintenant, essayez des ping entre les machines du reseau protege. Tous les ordinateurs doivent etres capables d'atteindre tous les autres. Dans le cas contraire, repassez une couche de NET-2 HOWTO et retravaillez encore un peu votre reseau. Puis, chaque machine du reseau protege doit etre capable d'atteindre le firewall par ping. Sinon, retournez une fois de plus en arriere. Rappelez-vous d'essayer sur l'adresse 192.0.2.1 et non sur l'adresse PPP. Ensuite, essayez d'atteindre l'adresse PPP du firewall depuis l'interieur du reseau protege. Si vous le pouvez, c'est que vous n'avez pas desactive la transmission IP et que vous devez recompiler le noyau. Le fait d'assigner le domaine 192.0.2.1 au reseau protege indique qu'aucun paquet ne doit etre transmis a ce domaine d'aucune maniere, mais il est plus sur, en tout cas, d'avoir desactive la transmission IP malgre tout. Cela vous permet de conserver le controle, plutot que de le laisser entre les mains de votre fournisseur PPP. Finalement, essayez un ping sur chaque machine du reseau depuis le firewall. A cet instant, cela ne devrait poser aucun probleme. Maintenant, vous avez une configuration de base de votre firewall. 33..55.. SSeeccuurriisseerr llee ffiirreewwaallll Le firewall n'est pas bon s'il reste ouvert aux attaques. Premierement, regardez le fichier /etc/inet.conf. Ce fichier est ce qu'on appelle un "super-serveur". Il lance un tas de demons serveurs sur demande. Exemples : +o Telnet +o Talk +o FTP +o Daytime Il n'est pas necessaire de tout desactiver. Faites-le au moins pour netstat, systat, tftp, bootp et finger. Vous pouvez vouloir aussi inhiber telnet et permettre seulement rlogin, ou vice-versa. Pour desactiver un service, placez simplement un # devant. Ensuite, envoyez un signal SIG-HUP au processus inetd, selon la syntaxe suivante : kill -HUP , ou pid est le numero du processus inetd. Cela force inetd a relire son fichier de configuration (inetd.conf) et a se relancer. Testez par telnet sur le port 15 du firewall, qui est le port de netstat. Si vous obtenez une reponse de netstat, c'est que vous n'avez pas relance inetd correctement. 44.. LLee sseerrvveeuurr pprrooxxyy 44..11.. IInnssttaalllleerr llee sseerrvveeuurr pprrooxxyy Le serveur proxy necessite un logiciel complementaire. Vous pouvez l'obtenir sur l'un des nombreux miroirs de : ftp://sunsite.unc.edu/pub/Linux/system/Network/misc/socks-linux- src.tgz. Il ya aussi un exemple de fichier de configuration dans ce repertoire "socks-conf". uncompressez et detarez les fichiers dans un repertoire de votre systeme, et suivez les instructions pour le confectionner. J'ai eu quelques problemes pour le realiser. Verifiez les Makefiles. Certains sont corrects, d'autres, non. 44..22.. CCoonnffiigguurreerr llee sseerrvveeuurr pprrooxxyy Le programme de connexion necessite deux fichiers de configuration distincts. L'un pour indiquer les acces autorises, l'autre pour rediriger les requetes vers le serveur proxy approprie. Le fichier d'acces doit se trouver sur le serveur. Le fichier de routage peut etre place sur n'importe quelle machine Un*x. Les ordinateurs DOS et, je pense, les Macintosh font leur propre routage. 44..22..11.. LLee ffiicchhiieerr dd''aacccceess Avec socks4.2 Beta, le fichier d'acces s'appelle "sockd.conf". Il doit contenir deux lignes : une ligne d'autorisations et une ligne d'interdiction. Chaque ligne doit avoir trois champs : +o l'identificateur ("permit" ou "deny") +o l'adresse IP +o le modificateur d'adresse L'identificateur est soit permit, soit deny. Vous devez avoir une ligne permit et une ligne deny. L'adresse IP contient une adresse a quatre octets en notation classique IP, soit, par exemple, 192.0.2.0. Le modificateur d'adresse est aussi une adresse a quatre octets en notation classique IP, et fonctionne comme un masque reseau. Representez-vous ce nombre sur 32 bits. Si un bit est a 1, le bit correspondant de l'adresse qu'il controle doit concorder avec le bit correspondant du champ de l'adresse IP. Par exemple, si la ligne est : permit 192.0.2.23 255.255.255.255 alors elle autorisera seulement l'adresse dont chaque bit correspond a 192.0.2.23, soit 192.0.2.23. Tandis que la ligne : permit 192.0.2.0 255.255.255.0 autorisera toute adresse du groupe 192.0.2.0 a 192.0.2.255, soit tout le domaine de la classe C. Il ne faut pas avoir la ligne : permit 192.0.2.0 0.0.0.0 qui autoriserait toute adresse, sans distinction. Bien, d'abord autorisez toute adresse que vous souhaitez, puis interdisez le reste. Pour autoriser quiconque dans le domaine 192.0.2.xxx, les lignes : permit 192.0.2.0 255.255.255.0 deny 0.0.0.0 0.0.0.0 fonctionneront tres bien. Notez le premier "0.0.0.0" dans la ligne "deny". Avec un modificateur de 0.0.0.0, le champ adresse IP n'a aucune importance. Tous les champs a 0 est la norme, car c'est facile a ecrire. On peut utiliser plusieurs lignes de chaque type. Des utilisateurs specifiques peuvent aussi se voir accorder ou refuser l'acces. Cela est realise par l'authentification d'identite. Tous les systemes ne supportent pas le systeme ident, y compris Trumpet Winsock, donc nous n'irons pas plus loin en ce qui concerne cela. La documentation de socks est tout a fait adequate. 44..22..22.. LLee ffiicchhiieerr ddee rroouuttaaggee Le fichier de routage de socks est betement nomme "socks.conf". Je dis "betement", car il est si proche du nom du fichier d'acces qu'il est aise de les confondre. Le fichier de routage sert a indiquer aux clients de socks quand il est necessaire d'utiliser celui-ci. Par exemple, dans notre reseau, 192.0.2.3 ne necessite pas l'usage de socks pour communiquer avec le firewall 192.0.2.1. Il a une connection directe Ethernet. Il definit 127.0.0.1, le port de bouclage, automatiquement. Evidemment, il n'est pas necessaire d'utiliser socks pour vous parler a vous-meme. Il y a trois entrees : +o deny +o direct +o sockd Deny indique a socks quand rejeter une requete. Cette entree a les trois memes champs que ceux de sockd.conf : identificateur, adresse et modificateur. Generalement, puisqu'il est aussi manipule par sockd.file, le fichier d'acces, le champ modificateur est positionne a 0.0.0.0. Si vous voulez vous proteger de tout appel externe, vous pouvez le faire la. L'entree "direct" indique pour quelles adresses ne pas utiliser socks. Il s'agit des adresses pouvant etre atteintes sans le serveur proxy. A nouveau, nous avons les trois champs : identificateur, adresse et modificateur. Dans notre exemple, nous aurions : direct 192.0.2.0 255.255.255.0 Donnant l'acces direct pour toute machine de notre reseau protege. L'entree sockd indique a l'ordinateur l'emplacement du demon serveur de socks. La syntaxe est la suivante : sockd @= Notez l'entree @=. Elle vous permet de configurer les adresses IP de plusieurs serveurs proxy. Dans notre exemple, nous utilisons un seul serveur proxy, mais vous pouvez en avoir plusieurs pour permettre un plus grand trafic et pour assurer une tolerance aux pannes. Les champs adresse IP et modificateur fonctionnent exactement comme dans les autres exemples. Vous specifiez ainsi ou va quelle adresse. 44..33.. TTrraavvaaiilllleerr aavveecc uunn sseerrvveeuurr pprrooxxyy 44..33..11.. UUnniixx Pour faire fonctionner vos applications avec un serveur proxy, celles- ci doivent etre "sockifiees". Il vous faudra deux telnet differents : un pour la communication directe, et un autre pour celle avec le serveur proxy. Le paquetage socks contient des indications pour sockifier un programme, ainsi qu'un certain nombre de programmes pre- sockifies. Si vous utilisez la version sockifiee pour aller directement quelque part, socks basculera automatiquement sur la version directe pour vous. A cause de cela, il nous faut renommer tous les programmes sur notre reseau protege et les remplacer par leur version sockifiee. "Finger" devient "Finger.orig", "telnet" devient "telnet.orig", etc. Vous devez indiquer chacun d'eux a socks a l'aide du fichier include/socks. Certains programmes manipulent le routage et la sockification eux- memes. Netscape est l'un d'entre eux. Vous pouvez utiliser un serveur proxy sous Netscape en donnant l'adresse du serveur (192.0.2.1 dans le cas qui nous interesse) dans le champ SOCKs sous Proxies. Chaque application necessite au moins un petit coup d'oeil, quelle que soit son attitude vis-a-vis d'un serveur proxy. 44..33..22.. MMSS WWiinnddoowwss aavveecc TTrruummppeett WWiinnssoocckk Trumpet Winsock contient des fonctionnalites de serveur proxy incluses. Dans le menu "setup", donnez l'adresse IP du serveur, ainsi que celles de tous les ordinateurs directement accessibles. Trumpet se debrouillera alors avec tous les paquets sortants. 44..44.. FFaaiirree ffoonnccttiioonnnneerr llee sseerrvveeuurr pprrooxxyy aavveecc lleess ppaaqquueettss UUDDPP Le paquetage socks fonctionne seulement avec les paquets TCP, pas avec les UDP. Cela le rend quelque peu moins utile. De nombreux programmes tres utiles, comme talk et Archie, utilisent UDP. Il existe un paquetage prevu pour etre utilise comme serveur proxy pour les paquets UDP appele UDPrelay, de Tom Fitzgerald . Malheureusement, a l'heure ou ces lignes sont ecrites, il n'est pas compatible avec Linux. 44..55.. IInnccoonnvveenniieennttss aavveecc lleess sseerrvveeuurrss pprrooxxyy Le serveur proxy est, avant tout, un systeme de securite. Son utilisation pour augmenter le nombre d'acces Internet avec un nombre limite d'adresses aura de nombreux inconvenients. Un serveur proxy autorisera un plus grand acces de l'interieur du reseau protege vers l'exterieur, mais laissera l'interieur totalement inaccessible de l'exterieur. Ce qui implique aucun serveur, aucune connexion talk ni Archie, ni e-mail direct vers les ordinateurs de l'interieur. Ces inconvenients peuvent sembler legers, mais regardez-les sous l'angle suivant : +o Vous avez laisse un document en cours sur votre ordinateur a l'interieur du reseau protege. Vous etes a la maison, et decidez que vous voulez retravailler celui-ci. Vous ne le pouvez pas. Vous ne pouvez atteindre votre ordinateur, car il est derriere le firewall. Vous essayez de vous loger d'abord sur le firewall, mais comme tout le monde a acces au serveur proxy, vous n'avez pas de compte dessus. +o Votre fille va au college. Vous souhaitez lui envoyer un e-mail. Vous avez differents choses de caractere prive a discuter, et prefereriez recevoir directement votre courrier sur votre machine. Vous avez pleine confiance dans votre administrateur reseau, mais, malgre tout, il s'agit de courrier prive. +o L'impossibilite d'utiliser les paquets UDP represente un gros inconvenient avec les serveurs proxy. Je pense que les fonctionnalites UDP arriveront sous peu. De plus, les serveurs proxy sont lents. A cause de la degradation du rapport information/protocole, n'importe quel autre moyen d'obtenir cet acces sera plus rapide. En deux mots, si vous avez les adresses IP necessaires, et que la securite n'est pas un imperatif pour vous, n'utilisez pas le firewall ni les serveurs proxy. Si vous n'avez pas suffisamment d'adresses IP, mais que, de meme, la securite n'est pas fondamentale, vous pouvez jeter un coup d'oeil aux emulateurs IP, comme Term, Slirp ou TIA. Term est disponible sur ftp://sunsite.unc.edu, Slirp est disponible sur ftp://blitzen.canberra.edu.au/pub/slirp, et TIA est disponible sur marketplace.com. Ces paquetages iront plus vite, permettront de meilleures connexions, et fourniront un acces superieur a l'interieur du reseau depuis l'internet. Les serveur proxy sont utiles pour ces reseaux qui comportent de nombreuses machines se connectant au vol a l'internet, avec un setup et peu de travail ensuite. 55.. CCoonnffiigguurraattiioonnss aavvaanncceeeess Je voudrais aborder une configuration particuliere avant de refermer ce document. Celle que j'ai soulignee precedemment suffira probablement pour de nombreux cas. Neammoins, je pense que la situation suivante montrera une configuration plus avancee qui eclaircira certains points d'ombre. S'il vous reste des questions apres ce que je viens de decrire, ou simplement que l'adaptabilite des serveurs proxy et des firewalls vous interesse, lisez encore. 55..11.. UUnn ggrraanndd rreesseeaauu aavveecc sseeccuurriittee rreennffoorrcceeee Disons, par exemple, que vous etes le gourou de la secte de la 23eme Cabale de la Discorde du Milwaukee. Vous souhaitez mettre votre site en reseau. Vous avez cinquante ordinateurs et un sous-reseau de trente-deux adresses IP (sur cinq bits). Vous avez differents niveaux d'acces. Vous dites a vos disciples differentes choses en fonction de leur niveau. Evidemment, vous voudrez proteger certaines parties du reseau des disciples qui n'ont pas acquis un certain niveau. Avertissement : Je ne suis pas membre des Discordiens. Je ne connais pas leur terminologie, et en fait, je m'en fiche. Je les utilise seulement a titre d'exemple. Veuillez envoyer toute remarque acerbe a (NdT : la destination manque dans le texte original). Les niveaux sont les suivants : 1. Le niveau exterieur. C'est celui qui est montre a tout un chacun. En gros, c'est l'histoire et les ragots sur Eris, la divinite de la Discorde, et tout le reste du dogme. 2. Sage. C'est le niveau des gens qui ont passe le niveau exterieur. C'est la que vous leur dites que la discorde et la structure ne font qu'un, et qu'Eris est aussi Jeovah. 3. Adepte. C'est la que se trouve le plan reel. Dans ce niveau sont stockees toutes les informations sur la maniere dont la Societe des Discordiens prendra le pouvoir sur le monde, a l'aide d'un plan deviationniste, mais humoristique, impactant Newt Gingrich, Wheaties Cereal, O.J. Simpson, et cinq cents cristaux, tous marques "6,5 MHz" par erreur. 55..11..11.. LLaa ccoonnffiigguurraattiioonn dduu rreesseeaauu Les numeros IP sont arranges ainsi : +o 23 des 32 adresses IP sont allouees a 23 machines qui seront accessibles depuis internet. +o Une adresse IP supplementaire va a une machine Linux sur ce reseau +o Une autre va a une autre machine Linux de ce reseau. +o 2 numeros IP vont au routeur +o 5 sont laissees libres, mais recoivent les noms de domaine paul, ringo, george et billy, juste pour compliquer un peu les choses. +o Les reseaux proteges ont tous deux des adresses 192.0.2.xxx Puis, deux reseaux separes sont construits, chacun dans une piece differente. Ils sont routes par Ethernet infrarouge pour les rendre completement invisibles de la piece exterieure. Par chance, l'Ethernet infrarouge fonctionne tout a fait comme l'Ethernet normal (du moins je crois), donc il nous suffit de les considerer comme normaux. Ces reseaux sont connectes chacun a sa machine Linux avec une adresse IP supplementaire. Il y a un serveur de fichiers qui relie les deux reseaux proteges. C'est parce que les plans pour prendre le pouvoir sur le monde prennent en compte certains des sages les plus eleves. Le serveur de fichiers a les adresses 192.0.2.17 pour le reseau des sages et 192.0.2.23 pour le reseau des adeptes. Il doit avoir des adresses IP differentes, car il doit avoir deux cartes Ethernet differentes. La transmission IP y est desactivee. La transmission IP est aussi desactivee sur les deux machines Linux. Le routeur ne transmettra pas les paquets destines a 192.0.2.xxx sauf si on lui demande explicitement de le faire, donc l'internet ne pourra pas entrer. La raison de la desactivation de la transmission IP ici est d'empecher les paquets du reseau des sages d'atteindre le reseau des adeptes, et vice versa. Le serveur NFS peut aussi etre configure pour presenter differents fichiers aux differents reseaux. Cela peut devenir pratique, et assez astucieux d'utiliser les liens symboliques pour partager les fichiers communs. Cette configuration associee a une autre carte Ethernet peut ainsi permettre l'usage d'un seul serveur de fichiers pour les trois reseaux. 55..11..22.. LLaa ccoonnffiigguurraattiioonn pprrooxxyy Maintenant, puisque les trois niveaux doivent etre capables de piloter le reseau pour leurs propres besoins deviationnistes, tous les trois ont besoin d'un acces internet. Le reseau exterieur est connecte directement a celui-ci, donc nous n'avons pas a nous preoccuper d'un serveur proxy ici. Les reseaux des sages et des adeptes sont derriere des firewalls, il est donc necessaire de leur configurer des serveurs proxy. Les deux reseaux seront configures de maniere similaire. Tous deux ont les memes adresses IP assignees. Je vais ajouter quelques parametres, afin de rendre les choses encore plus interessantes. 1. Personne ne peut utiliser le serveur de fichiers pour l'acces internet. Cela exposerait le serveur de fichiers aux virus et autres choses desagreables, et il est tres important, donc il est derriere les limites. 2. Nous ne voulons pas donner aux sages l'acces au World Wide Web. Il sont encore en entrainement, et cette puissance de recherche d'informations peut se reveler dangereuse. Ainsi, le fichier sockd.conf de la machine Linux des sages contiendra cette ligne : deny 192.0.2.17 255.255.255.255 Et sur la machine des adeptes : deny 192.0.2.23 255.255.255.255 Et la machine Linux des sages contiendra cette ligne : deny 0.0.0.0 0.0.0.0 eq 80 Cela indique l'interdiction d'acces pour toutes les machines tentant d'acceder au port 80, le port http. Cela laisse l'acces a tous les autres services, et interdit juste l'acces Web. Ensuite, les deux fichiers auront : permit 192.0.2.0 255.255.255.0 pour permettre a tous les ordinateurs du reseau 192.0.2.xxx d'utiliser ce serveur proxy sauf pour ceux a qui cela a deja ete interdit (ie. le serveur de fichiers et l'acces Web pour le reseau des sages). Le fichier sockd.conf du reseau des sages aura l'allure suivante : deny 192.0.2.17 255.255.255.255 deny 0.0.0.0 0.0.0.0 eq 80 permit 192.0.2.0 255.255.255.0 et le fichier des adeptes aura celle-ci : deny 192.0.2.23 255.255.255.255 permit 192.0.2.0 255.255.255.0 Cela doit tout configurer correctement. Chaque reseau est isole comme il faut, avec le niveau d'interaction approprie. Chacun peut etre heureux. Maintenant, cherchez vos cristaux 6,5 MHz.