2. Connaissances de base

2.1 Qu'est-ce que l'IP Masquerade?

LÍP Masquerade est une fonctionnalité réseau de Linux similaire aux nombreuses NAT (Network Address Translation) présents dans beaucoup de par feux commerciaux et de routeurs réseau. Par exemple, une machine Linux connectée a internet via une liaison PPP, Ethernet, etc., l'IP MASQ permet a d'autres ordinateurs connectés a la machine Linux (via PPP, Ethernet, etc.) d'accéder aussi a internet. L'IP MASQ de Linux permet cela même si les machines internes n'ont pas d'adresse IP officielle.

L'IP MASQ permet a un ensemble de machines d'accéder a internet de manière invisible via la passerelle MASQ. Pour les autres machines sur internet, tout le trafic sortant aura comme source la machine Linux IP MASQ elle même. En plus de ces fonctionnalités, l'IP Masquerade fournis les bases de la création d'un environnement réseau totalement sécurisé. Avec un firewall bien intégré, braver la sécurité d'un système utilisant le masquerading ainsi que le réseau interne est peine perdue.

2.2 Où cela en est ?

L'IP Masquerade est utilisé depuis quelques années et est arrivé a maturité lorsque Linux est arrivé dans les noyaux 2.2. Cette fonctionnalité est supportée en standard depuis la série 1.3. De nombreuses personnes, et même des entreprises l'utilisent, avec des résultats excellents.

Les utilisation courantes comme la navigation web, le telnet, ftp, ping, traceroute, etc marche très bien avec l'ip masquerade. D'autres protocoles de communication comme le ftp, l'irc et le RealAudio marchent très bien avec le module IP MASQ approprié. D'autres programmes spécifiques a un réseau comme les stream audio (MP3s, True Speech, etc) marchent aussi. Certains ont même obtenus de bon résultats avec des logiciels de vidéoconférence.

Veuillez consulter la section Supported Client Software pour une liste complète des logiciels supportés.

IP Masquerade marche bien comme serveur pour d'autres 'machines clientes' avec différents OS. Il y a eu des échos de succès avec des machines MASQuées utilisant :

• Unix : Sun Solaris, *BSD, Linux, Digital UNIX, etc.
• Microsoft Windows 95/98, Windows NT, et Windows pour Workgroups (avec le paquetage TCP/IP)
• IBM OS/2
• Apple Macintosh MacOS avec soit MacTCP soit Open Transport
• Les systèmes basés sur le DOS avec les pilotes packet et le paquetage NCSA Telnet
• Les VAX
• Compaq/Digital Alpha avec Linux ou Windows NT
• même les Amiga avec AmiTCP ou la pile AS225

La liste continue, mais en fait, si votre OS parle TCP/IP, il devrais marcher avec IP Masquerade !

2.3 A qui peut être utile IP Masquerade?

• Si vous avez un hôte Linux connecté à Internet et
• si vous avez un ou plusieurs ordinateurs utilisant TCP/IP, connecté à un hôte Linux sur un réseau local, et/ou
• si votre hôte Linux a un ou plusieurs modems et joue le rôle de serveur PPP ou SLIP, et que
• ces AUTRES machines ne possèdent pas d'adresse IP officielle ou publique (c'est a dire, avec une adresse IP privée).
• et bien sûr, si vous désirez que ces AUTRES machines soient également connectées sur Internet sans débourser un centime de plus pour acheter des IP officielles ou publiques a votre FAI et configurer un routeur sous Linux ou même acheter un routeur.

2.4 Qui n'a pas besoin d'IP Masquerade?

• Si votre machine est un hôte isolé, connecté sur Internet, (bien que mettre en place un firewall soit une bonne idée), ou
• si vous avez déjà obtenu des adresses officielles pour vos AUTRES machines,
• et bien sûr, si vous n'aimez pas l'idée de connecter toutes les AUTRES machines gratuitement, de cette manière en utilisant Linux et vous avez plus confiance en utilisant de chers produits commerciaux qui font exactement la même chose...

2.5 Comment fonctionne IP Masquerade ?

D'après la FAQ IP Masquerade originelle, de Ken Eves :

  Voici un schéma du plus simple cas possible~:

     SLIP/PPP         +------------+                         +-------------+
     vers le FAI      |  Linux     |       SLIP/PPP          | Peu_importe |
    <---------- modem1|   #1       |modem2 ----------- modem3|             |
      111.222.333.444 |            |           192.168.0.100 |             |
                      +------------+                         +-------------+

    Dans le schéma ci-dessus, un ordinateur sous Linux (Linux #1), utilisant
    IP_MASQUERADING est connecté à Internet par un lien SLIP ou PPP,
    utilisant modem1. Il possède l'adresse IP (officielle)
    111.222.333.444. Il a aussi un modem2 de branché qui permet aux
    appelants de se connecter et d'initier une connexion PPP ou SLIP.

    Le second système (qui n'utilise par forcément Linux comme système
    d'exploitation) se connecte par modem sur l'hôte Linux #1 et entame une
    liaison SLIP ou PPP. Il NE possède PAS d'adresse IP officielle donc il
    utilise l'adresse privée 192.168.0.100 (voir ci-dessous pour plus
    d'informations).

    Avec l'option IP Masquerade et un routage configuré correctement, la
    machine "Peu_importe" peut interagir avec Internet comme si elle était
    directement connectée (à quelques petites exceptions près).

Pour citer Pauline Middlelink~:

  N'oublie pas de rappeler que la machine "Peu_importe" doit déclarer l'hôte
  Linux #1 comme passerelle (que cela soit la route par défaut ou juste un
  sous réseau importe peu). Si la machine "Peu_importe" ne peut pas le
  faire, l'hôte Linux devra être configurée pour faire du proxy arp pour
  toutes les adresses routées, mais la mise en place et la configuration du
  proxy arp est hors du domaine de ce document.

Ce qui suit est l'extrait d'un article de comp.os.linux.networking qui a été
modifié pour utiliser les noms des machines de l'exemple ci-dessus~:

   o J'indique à la machine "Peu_importe" que le serveur Linux est sa
     passerelle.
   o Quand un paquet en provenance de Peu_importe arrive sur la machine
     Linux, elle va lui assigner un nouveau numéro de port, et indiquer sa
     propre adresse IP dans l'entête du paquet, tout en sauvegardant
     l'entête originale. Le serveur IP MASQ va alors envoyer le paquet
     modifié à travers son interface SLIP ou PPP, vers Internet.
   o Lorsqu'un paquet en provenance d'Internet revient sur la machine Linux,
     Linux regarde si le numéro de port est un de ceux assignés à l'étape
     précédente, elle va modifier à nouveau l'entête pour y remettre les
     numéros de port et adresses IP originaux, et alors envoyer le paquet à
     la machine Peu_importe.
   o L'hôte qui a envoyé le paquet ne verra jamais la différence.

Un autre example d'IP Masquerading :

Voici ci-dessous le schéma d'un exemple classique :

    +----------+
    |          |  Ethernet
    | Ordi A   |::::::
    |          |.2  ~:192.168.0.x
    +----------+    ~:
                    ~:     +----------+   lien
    +----------+    ~:   .1|  Linux   |   PPP
    |          |    ~::::::| Masq-Gate|:::::::::::::::::// Internet
    | Ordi B   |::::::     |          | 111.222.333.444
    |          |.3  ~:     +----------+
    +----------+    ~:
                    ~:
    +----------+    ~:
    |          |    ~:
    | Ordi C   |::::::
    |          |.4
    +----------+

    |                      |          |
    | <- Réseau interne -> |          | <- Réseau externe ----->
    |                      |          |

Dans cet exemple, il y a (4) ordinateurs qui nous intéressent. Il y a aussi certainement quelquechose loin a droite ou votre connexion PPP arrive (un serveur, etc.) et qu'il y a une machine distant très très loin a droite sur internet avec laquelle nous voulons communiquer. La machine Linux Masq-Gate est la passerelle IP MASQ que tout le réseau de machines Ordi A, Ordi B et Ordi C utilisent pour se rendre sur internet. Le réseau interne utilise un des nombreux réseaux privés décrit dans la RFC-1918, dans ce cas, le réseau de classe C 192.168.0.0. La machine Linux ayant l'adresse TCP/IP 192.168.0.1 alors que les autres ont les adresses :

• Ordi A : 192.168.0.2
• Ordi B : 192.168.0.3
• Ordi C : 192.168.0.4

Les trois machines A, B et C, qui peuvent utiliser n'importe quel système d'exploitation, du moment qu'elles utilisent TCP/IP - comme par exemple Windows 95, Macintosh MacTCP ou Open Transport ou même une autre machine Linux, peuvent se connecter à n'importe qu'elle machine sur Internet. Toutefois masq-gate convertit toutes leurs connexions de façon à ce qu'elles semblent provenir de masq-gate elle même. MASQ s'arrange pour que toutes les données revenant d'Internet retournent au système qui en est à l'origine. Ainsi, les ordinateurs du réseau interne voient une route directe vers Internet et ne sont pas au courant du fait que leurs données ont été "masqueradées". Cela s'appelle une connexion transparente.

NOTE : Allez voir la FAQ pour plus de détails sur :

• La différence entre NAT, MASQ et serveurs Proxy.
• Comme le firewalling de paquets marche.

2.6 Ce qui est requis pour utiliser IP Masquerade sur un Linux 2.0.x

** Veuillez s'il vous plaît consulter l' IP Masquerade Resource pour les dernières informations.**

• Un matériel décent. référez vous a la FAQ-Hardware pour plus de détails
• Les sources d'un noyau de la série 2.0, disponibles sur ftp://ftp.lip6.fr/pub/linux/kernel/sources/v2.0/
  (La majorité des distributions de linux récentes MASQ-supported-Distributions telle la RedHat 5.2 ont le un noyau modulaire avec toutes les options nécessaires a l'IP Masquerading compilées d'origine. Dans ce genre de cas, il n'y a pas besoin de recompiler le noyau. Si vous METTEZ À JOUR votre noyau, alors, vous devriez savoir ce dont que vous aurez besoin d'installer ou de mettre a jour, nous y reviendrons un peu plus loin).
• Les modules chargeables à la demande, de préférence la version 2.1.85 (ou ultérieure), disponible sur ftp://ftp.lip6.fr/pub/linux/kernel/sources/v2.1/modules-2.1.85.tar.gz (modules-1.3.57 étant le minimum)
• Un réseau ou LAN TCP/IP fonctionnant convenablement (se référer à Linux NET-3 HOWTO (en français) et au Network Administrator's Guide)
  Allez aussi faire un tour chez Trinity OS Doc, une documentation très simple sur Linux et le réseau incluant des sujets comme IP MASQ, sécurité, DNS, DHCP, Sendmail, PPP, DialD, NFS, IPSEC-based VPNs, et des sections sur les performances pour n'en nommer que quelques unes. Plus de 50 sections en tout.
• Un accès Internet pour votre hôte Linux Se référer à Linux ISP Hookup HOWTO Linux PPP HOWTO, TrinityOS, Linux DHCP mini-HOWTO et à Linux Cable Modem mini-HOWTO
• Ipfwadm 2.3, téléchargeable sur ftp://ftp.xos.nl/pub/linux/ipfwadm/ipfwadm-2.3.tar.gz
  Plus d'informations sur Linux IPFWADM page
• Si vous etes interessés par l'utilisation d'IPCHAINS sur un noyau 2.0.36+, allez voir Willy Tarreau's IPCHAINS enabler for 2.0.36 ou Rusty's IPCHAINS for 2.0.x kernels
• Sachez configurer, compiler et installer un nouveau noyau Linux comme décrit dans Linux Kernel HOWTO
• Vous pouvez aussi appliquer divers paths optionnels pour ajouter des fonctionnalités comme :
  • Des redirecteurs de ports : Avec ces outils, vous pouvez faire marcher quelques programmes non MASQ derriere un serveur MASQ. De plus, vous pouvez configurer un serveur MASQ pour permettre aux utilisateurs d'internet de contacter des serveurs web, telnet, smtp, ftp (avec un patch), etc. Référez vous a la section Forwarders de ce HOWTO pour plus d'informations. Voici une liste des différents patchs IP MASQ pour les noyaux 2.0 :
    • IP PortForwarding (IPPORTFW) de Steven Clarke's RECOMMANDÉ
    • IP AutoForward et a mirror (IPAUTOFW) - NON recommandé
    • REDIR pour TCP (REDIR) - NON recommandé
    • UDP redirector (UDPRED) - NON recommandé
  • PORTFWed FTP:
    • Si vous allez faire de la redirection de port pour un serveur FTP interne, vous aurez besoin de Fred Viles's FTP server patch. Pour plus de détails, allez faire un tour du coté de la section Forwarders de ce HOWTO.
  • X-Windows display forwarders:
    • X-windows forwarding (DXCP)
  • ICQ MASQ module
    • Andrew Deryabin's ICQ MASQ module
  • PPTP (GRE) et SWAN (IPSEC) VPNs redirecteur de tunnels :
    • John Hardin's VPN Masquerade forwarders ou le vieux patch pour juste le PPTP Support.
  • Patches spécifiques aux jeux :
    • Le patch Lamb's LooseUDP for 2.0.36+ de Glenn. Notez que certains navigateurs WWW décompresseront automatiquement ce fichier .gz. Pour télécharger ce fichier, gardez la touche SHIFT enfoncée lorsque vous cliquez sur l'URL ci dessus. Allez aussi faire un tour sur la page sur le NAT de Dan Kegel pour plus d'informations. D'autres informations peuvent aussi être touvées dans la section Game-Clients et dans la FAQ .

Allez faire un tour sur IP Masquerade Resource pour plus de détails sur ces patchs.

2.7 Ce qui est requis pour utiliser IP Masquerade sur un Linux 2.2.x

** Référez vous à IP Masquerade Resource pour les dernieres informations (en anglais). **

• Les sources du noyau 2.2.x sont disponibles depuis ftp://ftp.lip6.fr/pub/linux/kernel/sources/v2.2/
  NOTE : La majorité des distributions de linux récentes MASQ-supported-Distributions telle la RedHat 5.2 - livrée avec un noyau 2.0.36 - ne sont peut être pas prêtes pour les 2.2. Des outils comme le DHCP, NetUtils, auront a être mis a jour. Plus de détails sont donnés par la suite.
• Modules chargeables dynamiquement, de préférence avec un 2.1.121 ou plus récent. disponible depuis : http://www.pi.se/blox/modules/
• Un réseau ou LAN TCP/IP fonctionnant convenablement (se référer à Linux NET-3 HOWTO (en français) et au Network Administrator's Guide)
  Allez aussi faire un tour chez Trinity OS Doc, une documentation très simple sur Linux et le réseau incluant des sujets comme IP MASQ, sécurité, DNS, DHCP, Sendmail, PPP, DialD, NFS, IPSEC-based VPNs, et des sections sur les performances pour n'en nommer que quelques unes. Plus de 50 sections en tout.
• Un accès Internet pour votre hôte Linux Se référer à Linux ISP Hookup HOWTO Linux PPP HOWTO, TrinityOS, Linux DHCP mini-HOWTO et à Linux Cable Modem mini-HOWTO
• IP Chains 1.3.8 ou plus récent, disponible sur http://www.rustcorp.com/linux/ipchains/
  D'informations additionnelles sur les différentes versions, visitez Linux IP Firewalling Chains page
• Sachez configurer, compiler et installer un nouveau noyau Linux comme décrit dans Linux Kernel HOWTO
• Vous pouvez aussi appliquer divers paths optionnels pour ajouter des fonctionnalités comme :
  • redirecteur de ports TCP/IP :
    • IP PortForwarding (IPMASQADM) - RECOMMANDÉ ou son vieux miroir.

  Module ICQ MASQ

  • Andrew Deryabin's ICQ MASQ module

Allez faire un tour sur IP Masquerade Resource pour plus d'informations sur ces patches là et d'autres.