
                 Linux IP Masquerade HOWTO (version franaise)

David Ranch (version orginale), dranch@trinnet.net
Pejvan AHMAD-BEIGUI (traduction - v1.95-b : le 28 juin 2001),
pejvan.ahmad-beigui@ensimag.imag.fr

   v1.95, November 14, 2000
     _________________________________________________________________

   _Ce document dcrit la mise en application de l'IP Masquerading sur
   une machine Linux. IP Masq est une forme de Traduction d'Adresse
   Reseau (Network Address Translation ou NAT en anglais) qui permet  un
   ou plusieurs ordinateurs qui ne possdent pas d'adresses IP, de
   communiquer sur Internet grce  l'unique adresse IP d'une machine
   Linux. Ces ordinateurs tant connects de manire interne sur le
   serveur Linux._
     _________________________________________________________________

1. Introduction

1.1 Introduction  l'IP Masquerading ou IP MASQ en abrg

   Ce document dcrit la mise en application de l'IP Masquerading sur une
   machine Linux. IP Masq est une forme de Traduction d'Adresse Reseau
   (Network Address Translation ou NAT en anglais) qui permet  un ou
   plusieurs ordinateurs, qui ne possdent pas d'adresses IP, de
   communiquer sur Internet grce  l'unique adresse IP d'une machine
   Linux. Ces ordinateurs tant connects de manire interne sur le
   serveur Linux. Cette connexion peut se faire avec les diffrentes
   techonologies LAN (Local Area Networks ou en franais, rseaux locaux)
   tels que Ethernet, TokenRing, FDDI mais aussi par d'autres types de
   connexions tels que le PPP ou le SLIP. Ce document utilisera Ethernet
   comme exemple principal puisque c'est le scenario le plus commun.

     _Ce document se destine aux utilisateurs d'un des deux noyaux
     stable Linux : 2.0.38+ et 2.2.17+ sur un compatible PC (NDT :
     j'utilise comme routeur linux un vieux Sparc Classic et ca
     fonctionne parfaitement). Les noyaux plus anciens tels que 1.2.x,
     1.3.x, et 2.1.x NE sont PAS traits dans ce document et, peuvent
     tre considrs comme dfectueux pour certaines versions. Nous vous
     recommandons de faire la mise  jour vers un des noyaux Linux
     stables avant d'utiliser l'IP Masquerading. Les nouveaux noyaux 2.3
     et 2.4 avec le nouveau code NetFilter ne sont pas encore traits
     mais les URLs sont fournis ci-dessous. Une fois que les
     caractristiques de Netfilter seront finalises, le nouveau code
     sera trait dans ce HOWTO._

     _Si vous voulez configurer IP Masq sur un Macintosh, contactez par
     email (en anglais) Taro Fukunaga, tarozax@earthlink.net pour
     recevoir une copie de sa version abrege du HOWTO pour MkLinux._

1.2 Avant-Propos, Feedback & Credits

   En tant que nouvel utilisateur, j'ai trouv la configuration de l'IP
   masquerade sous Linux trs droutante (noyau 1.2.x  cette poque).
   Bien qu'il y ait eu une FAQ et une mailing list, il n'avait pas de
   document dedi. Il y avait aussi de la demande sur la mailing list
   pour un tel HOWTO. J'ai alors decid d'crire ce HOWTO comme point de
   dpart pour les nouveaux utilisateurs et de poser les fondations qui
   permettraient aux autres utilisateurs de l'toffer dans le futur. Si
   vous avez des suggestions, des corrections, etc.  nous soumettre au
   sujet de ce document pour nous permettre de l'amliorer, n'hesitez
   pas.

   Ce document tait bas sur la FAQ originale de Ken Eves, et des
   nombreux messages salutaires de la mailing list de l'IP Masquerade. Je
   remercie tout particulierement M. Matthew Driver dont le message sur
   la mailing list m'a inspir l'organisation et finalement la rdaction
   de ce document. Dernirement, David Ranch a rcrit ce HOWTO et a
   ajout un nombre consquent de sections pour le rendre aussi complet
   que possible.

   Envoyez nous vos feedbacks et commentaires (en anglais) 
   ambrose@writeme.com et dranch@trinnet.net si vous avez des corrections
    nous soumettre ou si des information/URLS/etc. manquent. Si vous
   avez des commentaires sur la traduction de ce document, ou des
   erreurs/amliorations  signaler, vous pouvez me contacter a :
   pejvan.ahmad-beigui@ensimag.imag.fr. Votre aide inestimable va
   certainement influencer la prochaine version de ce HOWTO !

   _Ce HOWTO est destin  tre aussi complet que possible pour permettre
   la mise en place de votre rseau ipmasquerade aussi rapidement que
   possible. David n'est pas un rdacteur technique professionnel. Vous
   pourrez donc trouver les informations de ce document pas assez
   gnraux et/ou objectifs. Les dernires news et infos concernant ce
   HOWTO et les autres dtails sur l'IP MASQ se trouvent  l' IP
   Masquerade Resource, site web que nous mettons  jour activement. Si
   vous avez des questions techniques sur l'IP Masquerade, contactez SVP
   la Mailing List plutt que d'envoyer un email  David. La plupart des
   problmes sur l'IP MASQ sont les mmes pour TOUS et peuvent tre
   facilement rsolus par quelqu'un sur la Mailing List. De plus, la
   rponse vous parviendra bien plus rapidement sur la liste que le reply
   de David._

   La dernire version de ce document se trouve (sous differents formats
   dont l'HTML et le PostScript) sur les sites suivants
     * http://ipmasq.cjb.net/: The IP Masquerade Resources
     * http://ipmasq2.cjb.net/: The IP Masquerade Resources MIRROR
     * The Linux Documentation Project
     * Dranch's Linux page
     * Vous pouvez aussi consulter l' IP Masquerade Resource Mirror Sites
       Listing pour obtenir la liste de nos sites mirroirs.

1.3 Copyright & Dsistement

   Ce document est copyright(c) 2000 David Ranch pour la version
   originale et copyright(c) 2001 Pejvan AHMAD-BEIGUI pour la version
   franaise et est un document GRATUIT. Vous pouvez le redistribuer
   suivant les termes de la GNU General Public License.

   Les informations contenues dans ce document, sont  notre
   connaissance, corrects. Cependant, lIP Masquerading de Linux est
   crits par des humains et peut donc contenir des erreurs, bugs, etc.

   Aucune personne, groupe ou autre organisme ne peut etre tenu
   responsable des dommages causs  votre (vos) ordinateur(s) ou des
   pertes dus  l'utiisations des informations de ce document. i.e :

     _LES AUTHEURS ET LES PERSONNES PARTICIPANT AU DEVELOPPEMENT DE CE
     DOCUMENT NE PEUVENT ETRE TENUS RESPONSABLES DES DOMMAGES CAUSES PAR
     L'UTILISATION DES INFORMATIONS CONTENUES DANS CE DOCUMENT._

   Ok, avec tout ca dernire nous... que le spectacle commence.

2. Connaissances Prliminaires

2.1 Qu'est-ce que l'IP Masquerade?

   L'IP Masquerade est une fonctionnalit rseau de Linux similaire  la
   Translation d'Adresse Rseau un-vers-plusieurs que l'on trouve dans
   beaucoup de firewalls et de routeurs commerciaux. Par exemple, si une
   machine Linux est connecte  Internet via PPP, Ethernet, etc., l'IP
   Masquerading permet aux ordinateurs "internes" connects  cette
   machine Linux (via PPP, Ethernet, etc.) d'accder aussi  Internet.
   L'IP Masquerading fonctionne mme si ces machines internes n'ont pas
   d'_adresses IP officielles_.

   MASQ permet  un groupe de machines d'avoir accs  Internet via la
   passerelle MASQ de manire _transparente_. Pour les autres ordinateurs
   connects  Internet, tout le traffic gnr va sembler provenir du
   serveur Linux IP MASQ lui-mme. En plus de ces fonctionnalits, IP
   Masquerade fournit les bases de la cration d'un environnement rseau
   de HAUTE scurit. Avec un firewall bien configur, casser la securit
   d'un systme de masquerading et d'un LAN interne bien configur
   devrait tre trs difficile.

   Si vous voulez savoir en quoi MASQ diffre des solutions 1:1 NAT and
   Proxy, reportez vous  la partie what-is-masq de la FAQ.

2.2 Situation Actuelle

   IP Masquerade est sorti il y a plusieurs annes maintenant et il est
   plutt mature depuis les noyaux 2.2.x. Depuis le noyau 1.3.x, Linux
   est fourni avec MASQ. Aujourd'hui de nombreuses personnes et
   entreprises l'utilisent avec d'excellents rsultats.

   Les utilisations courantes du rseau tels que la navigation Web, les
   TELNET, PING, TRACEROUTE, etc. fonctionnent bien avec IP Masquerade.
   D'autres types de communications, tels que FTP, IRC, et Real Audio
   fonctionnent bien avec les modules IP MASQ appropris chargs en
   memoire. Certains programmes rseaux tels que les streaming audio
   (MP3s, True Speech, etc.) fonctionnent aussi. Quelques personnes sur
   la mailing list ont mme russi  obtenir de bons rsultats avec des
   logiciels de video conferencing.

   A noter aussi que faire de l'IP Masquerading avec UNE seule carte
   rseau (NIC) pour MASQuer entre des rseaux Ethernet interne et
   externe N'est PAS recommand. Pour plus de dtails, reportez vous SVP
    la partie aliasing de la FAQ.

   Dans tous les cas, reportez vous SVP  la partie Supported Client
   Software pour une liste plus complte des logiciels fonctionnant sous
   IP MASQ.

   IP Masquerade fonctionne bien comme serveur pour des 'machines
   clientes' tournant sous diffrents systmes d'exploitations (operating
   sytems ou OS en anglais) et diffrents materiels dont :

     * Unix: Sun Solaris, *BSD, Linux, Digital UNIX, etc.
     * Microsoft Windows 2000, NT (3.x et 4.x), 95/98/ME, Windows for
       Workgroups (avec le package TCP/IP)
     * IBM OS/2
     * ordinateurs Apple Macintosh sous MacOS avec soit MacTCP soit Open
       Transport
     * systmes sous DOS avec les packet drivers et le package NCSA
       Telnet
     * VAXen
     * Compaq/Digital Alpha sous Linux et NT
     * mme les ordinateurs Amiga avec AmiTCP ou la pile AS225.

   Cette liste continue encore et toujours mais ce qu'il faut bien
   comprendre, c'est que si votre OS comprend le TCP/IP, il devrait
   fonctionner avec l'IP Masquerade !

2.3 Qui Peut Profiter de l'IP Masquerade?

     * Si vous avez un serveur Linux connect  Internet
     * Si vous avez des ordinateurs connects  ce serveur dans un
       sous-rseau local et si ces ordinateurs "parlent" le TCP/IP et/ou
     * si votre serveur Linux a un ou plusieurs modems et se comporte
       comme un serveur PPP ou SLP pour connecter d'autres ordinateurs
     * ces _AUTRES_ ordinateurs n'ont pas d'adresses IP officielles ou
       publiques (i.e. avec des adresses prives).
     * Et bien sr, si vous voulez que ces _AUTRES_ ordinateurs
       communiquent sur Internet sans depenser d'argent supplmentaire
       pour l'acquisition d'adresses IP publiques / officielles ou, soit
       configurer Linux pour en faire un routeur soit acheter un routeur
       externe.

2.4 Qui n'a pas besoin d'IP Masquerade ?

     * Si vous avez une ordinateur Linux isol connect  Internet (bien
       que mettre en place un firewall serait une bonne ide), ou
     * si vous avez dj des adresses IP publiques pour vos _AUTRES_
       machines, et
     * et bien sr, si vous n'aimez pas trop l'ide de devoir utiliser
       Linux en 'free ride' et vous vous sentez plus  l'aise avec des
       outils commerciaux mais chers qui font exactement la mme chose.

2.5 Comment fonctionne IP Masquerade ?

   Tir de la FAQ sur l'IP Masquerade de Ken Eves:
  Voici un dessin de la configuration la plus simple:

   SLIP/PPP         +------------+                         +-------------+
   vers votre FAI   |  Linux     |         SLIP/PPP        | un          |
  <---------- modem1|    #1      |modem2 ----------- modem3| ordinateur  |
    111.222.121.212 |            |           192.168.0.100 |             |
                    +------------+                         +-------------+


    Sur le dessin ci-desus, une machine Linux, Linux #1, avec IP_MASQUERADING d
'installe
    est connecte a Internet par le modem1 via SLIP/ou/PPP. Elle a une adresse I
P publique :
    111.222.121.212. Elle a aussi un modem2 qui permet a l'appelant des connexi
ons SLIP/ou/PPP.

    La seconde machine (qui n'a pas besoin de tourner sous Linux) ce connecte a
 la machine
    Linux #1 et commence une session SLIP/ou/PPP. Elle N'a PAS d'adresse IP pub
lique
    sur Internet c'est pourquoi elle utilise l'adresse privee 192.168.0.100 (vo
ir ci-dessous).

    Avec IP Masquerade et une configuration de routage correcte, la machine "un
 ordinateur"
    peut interagir avec Internet comme si elle y etait directement connectee (a
 quelques
    petites exceptions pres).

Citons Pauline Middelink:
  N'oublions pas de mentionner le fait que la machine "un ordinateur" doit avoi
r Linux #1
  configure comme sa passerelle (que ca soit la route par defaut ou juste un so
us reseau
  n'a pas d'importance). Si la machine "un ordinateur" ne peut pas faire ca, al
ors la
  machine Linux doit etre configuree de telle sorte que le proxy arp fonctionne
 pour toute
  les adresses de routage. Mais la mise en place et la configuration d'un proxy
 arp depasse
  le cadre de ce document.

L'extrait suivant est tire d'un post sur comp.os.linux.networking qui a ete mod
ifie
de facon a tenir compte des noms utilises dans l'exemple precedent :

   o Je dis a la machine "un ordinateur" que mon Linux, connecte via PPP ou SLI
P, est
   sa passerelle.
   o Quand un paquet provenant d"un ordinateur" arrive a ma machine Linux, elle
 va lui
   assigner un nouveau numero de port source TCP/IP et va coller sa propre adre
sse IP
   dans l'entete du paquet, tout en sauvegardant l'entete originale. Le server
MASQ
   va ensuite envoyer le paquet ainsi modifie sur Internet via son interface SL
IP/PPP.
   o Quand un paquet arrive d'Internet vers la machine Linux, Linux va examiner
 si son
    numero de port est l'un des numeros qu'il avait assigne precedement. Si c'e
st le cas,
    le server MASQ va recuperer le port et l'adresse IP originale et les remett
re dans
    l'entete de paquet qui est revenu. Enfin Linux va renvoyer ce paquet a la m
achine
    "un ordinateur".
   o La machine qui a envoye le paquet ne fera pas la difference.

   _Un Autre Exemple d'IP Masquerading :_

   Un exemple typique est donn dans le diagramme ci-dessous :

    +----------+
    |          |  Ethernet
    | A        |::::::
    |          |.2   : 192.168.0.x
    +----------+     :
                     :      +----------+   PPP
    +----------+     :   .1 |  Linux   |   link
    |          |     :::::::| Masq-Gate|:::::::::::::::::::// Internet
    | B        |::::::      |          |  111.222.121.212
    |          |.3   :      +----------+
    +----------+     :
                     :
    +----------+     :
    |          |     :
    | C        |::::::
    |          |.4
    +----------+

    |                       |          |
    | <- Reseau Interne --> |          | <- Reseau Externe ---->
    |                       |          |

   Dans cet exemple, il y a (4) ordinateurs qui mritent notre attention.
   Il y a aussi sans doute quelque chose tout  droite d'o provient
   votre connexion PPP  Internet (serveur terminal, etc.) et il y a
   aussi un serveur distant (trs trs loin de la droite de cette page)
   sur Internet avec qui vous voulez communiquer. Le serveur Linux
   _Masq-Gate_ est la passerelle d'IP Masquerading pour TOUT le rseau
   interne constitu des machines _A_, _B_ et _C_. C'est par l que se
   fera leur accs  Internet. Le rseau interne utilise une des adresses
   reserves pour les rseaux privs par le RFC-1918. Dans notre cas,
   c'est les adresses de Classe C 192.168.0.0. Le serveur Linux a
   l'adresse 192.168.0.1 alors que les autres ordinateurs ont les
   adresses suivantes :

     * A: 192.168.0.2
     * B: 192.168.0.3
     * C: 192.168.0.4

   Les trois machines, A, B et C, peuvent tourner sous n'importe quel
   systme d'exploitation pour peu qu'ils puissent communiquer par
   TCP/IP. Les OS tels que _Windows 95_, _Macintosh MacTCP ou
   OpenTransport _et _Linux_ peuvent se connecter  d'autres machines sur
   Internet. Lorsqu'il est lanc, le serveur IP Masquerade ou portail
   MASQ convertit toutes les connexions internes de telle sorte qu'ells
   semblent provenir du passerelle MASQ lui mme. MASQ reconvertit
   ensuite les donnes qui lui reviennent sur un port masquerad et ces
   donnes sont renvoyes vers la machine qui en est  l'origine. A cause
   de cela, les ordinateurs du rseau interne voient une route directe
   vers Internet et ne sont pas au courant que leurs donnes sont
   masquerades. C'est ce que l'on appelle une connexion "transparente".

   NB: Vous pouvez vous reporter  FAQ pour de plus amples dtails sur
   les sujets tels que :

     * les diffrences entre NAT, MASQ, et les serveurs Proxy.
     * le fonctionnement des firewalls pour les trames

2.6 Configurations Requises pour IP Masquerade sous Linux 2.2.x

     _** Reportez vous SVP  l' IP Masquerade Resource pour les
     informations les plus rcentes**_

     * Les sources du noyau 2.2.x disponible sur le site :
       http://www.kernel.org/
       NOTE #1: Les noyaux Linux 2.2.x infrieurs  2.2.16 ont un trou de
       scurit (TCP root exploit) et les versions infrieures  2.2.11
       ont un bug de fragmentation dans IPCHAINS. Pour cette raison, les
       personnes qui utilisent des rgles IPCHAINS trs restrictives sont
       attaquables. Mettez  jour votre noyau vers une version corrige.
       NOTE #2: La plupart des nouvelles distributions compatibles
       MASQ-supported-Distributions tels que Redhat 5.2 peuvent ne pas
       correspondre  l'installation de Linux 2.2.x requise. Des
       utilitaires tels que DHCP, NetUtils, etc. vont devoir tre mis 
       jour. Vous pourrez trouver plus de details dans ce HOWTO.
     * Modules noyau, de prfrnce 2.1.121 ou mieux, disponibles sur les
       sites suivants : http://www.pi.se/blox/modutils/index.html or
       ftp://ftp.ocs.com.au/pub/modutils/
     * Un rseau fonctionnant sous TCP/IP ou un LAN trait dans Linux
       NET-3-4 HOWTO et le Network Administrator's Guide
       Vous pouvez aussi regarder le document TrinityOS. TrinityOS est un
       guide trs complet pour le rseau sous linux. Il traite de
       nombreux thmes dont : l'IP MASQ, la scurit,les DNS, DHCP,
       Sendmail, PPP, Diald, NFS, VPNs bass sur IPSEC et possde une
       section sur les performances. Il contient plus de 50 sections au
       total !
     * La connexion de votre machine Linux  Internet est traite dans :
       Linux ISP Hookup HOWTO, Linux PPP HOWTO, TrinityOS, Linux DHCP
       mini-HOWTO, Linux Cable Modem mini-HOWTO and
       http://www.linuxdoc.org/HOWTO/mini/ADSL.html
     * IP Chains 1.3.9 ou suprieur est disponible ici :
       http://netfilter.filewatcher.org/ipchains/.
       Des informations supplmentaires sur les versions requises et les
       dernires mises  jour de IPCHAINS HOWTO etc. se trouvent  l'URL
       suivant : Linux IP Chains page
     * La configuration, la compilation et l'installation d'un nouveau
       noyau Linux sont expliques dans le Linux Kernel HOWTO
     * Vous pouvez tlcharger de nombreux utilitaires optionnels pour IP
       Masquerade qui permettent des fonctionnalits supplmentaires tels
       que :
          + port-forwarder ou re-diriger des ports TCP/IP :
               o IP PortForwarding (IPMASQADM) - RECOMMENDED ou l'ancien
                 mirror.
       module ICQ MASQ
          + module ICQ MASQ d'Andrew Deryabin
       Solutions de PORTFW pour FTP:

     * Les deux noyaux 2.2.x et 2.0.x ont un Module MASQ pour PORTFWer un
       FTP vers une machine MASQue. Reportez vous SVP  la page relative
       aux applications ( IPMASQ WWW site) pour les dtails complets.
     * Il y a un proxy FTP complet fait par SuSE qui possde une fonction
       similaire au PORTFWing pour accder  un serveur FTP interne. Pour
       plus de details, reportez vous SVP  l'URL : SuSe Proxy URL

   IPROUTE2 pour la vraie 1:1 NAT, le routage bas sur la source
   (Policy-based / source routing), et le faonnage du Traffic :

     * ftp://ftp.inr.ac.ru/ip-routing
     * La documentation se trouve ici :
       http://www.compendium.com.ar/policy-routing.txt
     * L' Advanced Routing HOWTO
     * http://defiant.coinet.com/iproute2/
       Voici quelques serveurs mirroirs pour le code source:
       ftp://linux.wauug.org/pub/net
       ftp://ftp.nc.ras.ru/pub/mirrors/ftp.inr.ac.ru/ip-routing/
       ftp://ftp.gts.cz/MIRRORS/ftp.inr.ac.ru/
       ftp://ftp.funet.fi/pub/mirrors/ftp.inr.ac.ru/ip-routing/ (STM1 to
       USA) ftp://sunsite.icm.edu.pl/pub/Linux/iproute/
       ftp://ftp.sunet.se/pub/Linux/ip-routing/
       ftp://ftp.nvg.ntnu.no/pub/linux/ip-routing/
       ftp://ftp.crc.ca/pub/systems/linux/ip-routing/
       ftp://ftp.paname.org (France)
       ftp://donlug.ua/pub/mirrors/ip-route/
       ftp://omni.rk.tusur.ru/mirrors/ftp.inr.ac.ru/ip-routing/
       les RPMs sont disponibles ici : ftp://omni.rk.tusur.ru/Tango/ et
       la : ftp://ftp4.dgtu.donetsk.ua/pub/RedHat/Contrib-Donbass/KAD/

   Reportez vous SVP  l' IP Masquerade Resource pour plus d'informations
   sur ces patches ou d'autres ventuels patches.

2.7 Configurations Requises pour IP Masquerade sous Linux 2.3.x and 2.4.x

     _** Reportez vous SVP  l' IP Masquerade Resource pour les
     informations les plus rcentes**_

     * Les nouveaux noyaux 2.3.x et 2.4.x utilisent un nouveau systme
       appel NetFilter (un peu  la manire des noyaux 2.2.x qui
       utilisrent IPCHAINS). Heureusement, _contrairement_  la
       migration vers IPCHAINS, le nouvel utilitaire NetFilter arrive
       avec des modules noyaux qui permettent d'utiliser de faon NATIVE
       la syntaxe d'IPCHAINS et d'IPFWADM et donc il n'est pas ncessaire
       de recrire tous vos anciens scripts. Mais il pourrait y avoir
       quelques avantages  le faire (vitesse, nouvelles fonctionnalits,
       etc.) mais tout ca dpend de la qualit de vos anciennes rgles.
       De nombreux changements d'architectures ont eu lieu dans ce
       nouveau code et permettent beaucoup plus de flexibilit, et de
       fonctionnalits  venir, etc.
       Voici quelques avantages et inconvenients des nouvelles
       fonctionnalits :
       _avantages:_
          + VRAIE 1:1 NAT pour ceux qui veulent avoir des sous-reseaux
            TCP/IP et qui veulent jouer avec
          + PORTFWing integr. IPMASQADM n'est donc plus obligatoire
          + le PORTFWing integr fonctionne pour le traffic externe et
            interne. Ce qui signifie que les utilisateurs qui utilisaient
            PORTFW pour le traffic externe et le REDIR pour le traffic
            interne ne vont plus avoir  utiliser deux utilitaires !
          + Capacit de routage Policy-Based complte (routage d'adresse
            TCP/IP base sur la source)
          + Compatible avec les capacits FastRoute de Linux pour obtenir
            un packet forwarding beaucoup plus rapide (changement de
            rseau Linux)
          + compatibilit complte avec TCP/IP v4, v6, et mme DECnet
            (ack!)
          + compatible avec les wildcard pour les noms d'interface comme
            : ppp* pour PPP0, PPP1, etc.
          + permet le filtrage des entres et des sorties sur les
            INTERFACES
          + Filtrage Ethernet MAC
          + limitation du taux des paquets de type Denial of Service
            (DoS)
          + fonctionnalit trs simple, gnrique, de type stateful
            d'inspection
          + la fonction Packet REJECT possde maintenant un renvoie de
            messages ICMP configurable par l'utilisateur
          + Diffrents niveaux de logging (diffrents paquets peuvent
            aller dans differents niveaux de SYSLOG)
       _inconvnients:_

     * Puisque NetFilter est une architecture toute neuve, la plupart des
       anciens modules noyaux de MASQ vont devoir tre rcrits. C'est 
       dire que pour le moment, seul le module FTP a t mis  jour et
       les modules suivants ont encore besoin de l'etre :
       ip_masq_cuseeme.o ip_masq_icq.o ip_masq_quake.o ip_masq_user.o
       ip_masq_irc.o ip_masq_raudio.o ip_masq_vdolive.o
       Il existe un document expliquant comment faire ce portage ici :
       http://netfilter.kernelnotes.org/unreliable-guides/netfilter-hacki
       ng-HOWTO-5.html, Si vous avez le temps, votre talent serait d'une
       grande aide pour porter ces modules plus rapidement.

   Dans la version actuelle de ce HOWTO, NetFilter N'est PAS trait. Une
   fois que les fonctionnalit de NetFilter seront fixes, NetFilter sera
   trait dans -ce- HOWTO ou peut tre ventuellement dans un nouveau
   HOWTO. D'ici l, vous pouvez vous tournez vers ces liens pour la
   documentation de NetFilter. Pour le moment, la configuration et la
   rsolution des conflits et problmes du nouveau NetFilter va tre
   similaire  95%  celles du IPCHAINS actuel. En raison de tout a, ce
   HOWTO va tre utile aux utilisateurs de firewall NetFilter et de NAT.

   http://netfilter.filewatcher.org/unreliable-guides/index.html et plus
   spcifiquement
   http://netfilter.filewatcher.org/unreliable-guides/NAT-HOWTO.html

   Reportez vous SVP  l' IP Masquerade Resource pour plus d'informations
   sur ces patches ou d'autres eventuels patches.

2.8 Configurations Requises pour IP Masquerade sous Linux 2.0.x

     _** Reportez vous SVP  l' IP Masquerade Resource pour les
     informations les plus rcentes**_

     * Tout ordinateur convenable. Reportez vous SVP  la section
       FAQ-Hardware pour de plus amples dtails.
     * les sources du noyau 2.0.x disponibles ici :
       http://www.kernel.org/
       (La plupart des Linux modernes MASQ-supported-Distributions tels
       que RedHat 5.2 ont un noyau modulaire compil avec toutes les
       options ncessaires  IP Masquerade. Dans de tels cas, il n'y a
       pas besoin de recompiler un nouveau noyau. Si vous UPGRADEZ votre
       noyau, il est possible que d'autres programmes puissent tre
       requis et/ou mis  jour (ces programmes sont mentionns plus loin
       dans ce HOWTO).
     * Modules noyaux, de prfrnce 2.1.85 ou mieux, disponible sur les
       sites suivants : http://www.pi.se/blox/modutils/index.html ou
       ftp://ftp.ocs.com.au/pub/modutils/
       (les modules-1.3.57 sont le minimum requis)
     * Un rseau fonctionnant sous TCP/IP ou un LAN trait dans Linux
       NET-3-4 HOWTO et le Network Administrator's Guide
       Vous pouvez aussi regarder le document TrinityOS. TrinityOS est un
       guide trs complet pour le rseau sous linux. Il traite de
       nombreux thmes dont : l'IP MASQ, la scurit, les DNS, DHCP,
       Sendmail, PPP, Diald, NFS, VPNs bass sur IPSEC et contient une
       section sur les performances. Il contient plus de 50 sections au
       total !
     * La connexion de votre machine Linux  Internet est traite dans :
       Linux ISP Hookup HOWTO, Linux PPP HOWTO, TrinityOS, Linux DHCP
       mini-HOWTO, Linux Cable Modem mini-HOWTO et
       http://www.linuxdoc.org/HOWTO/mini/ADSL.html
     * Ipfwadm 2.3 ou suprieur est disponible ici :
       ftp://ftp.xos.nl/pub/linux/ipfwadm/ipfwadm-2.3.tar.gz
       Des informations supplmentaires sur les versions requises sont
       disponible ici : Linux IPFWADM page
          + Si vous voulez faire tourner IPCHAINS sur un noyau 2.0.38+,
            reportez vous ici : Willy Tarreau's IPCHAINS enabler for
            2.0.36 ou ici : Rusty's IPCHAINS for 2.0.x kernels
     * Savoir configurer, compiler, et installer un nouveau noyau Linux
       comme expliqu ici : Linux Kernel HOWTO
     * Vous pouvez aussi appliquer plusieur patches optionnel  IP
       Masquerade pour lui 'apprendre' des fonctionnalits telles que :
          + port-forwarder ou re-diriger des ports TCP/IP : Avec ces
            utilitaires, vous pouvez faire fonctionner des programmes qui
            normalement ne fonctionne pas dernire un server MASQ. De
            plus, vous pouvez configurer le server MASQ de faon 
            permettre aux internautes de contacter des servers WWW,
            TELNET, SMTP, FTP (avec un patch), etc. internes. Reportez
            vous SVP  la section Forwarders de ce HOWTO pour de plus
            amples informations. Voici une liste des diffrents patches
            IP Masquerade disponibles pour le noyau 2.0.x :
               o Steven Clarke's IP PortForwarding (IPPORTFW) -
                 _RECOMMANDE_
               o IP AutoForward et un mirroir (IPAUTOFW) - NON Recommande
               o REDIR pour TCP (REDIR) - NON Recommand
               o UDP redirector (UDPRED) - NON Recommand
            Solutions de PORTFW pour FTP: :
          + Si vous voulez utiliser le PORTFW pour renvoyer le traffic
            FTP vers un server FTP interne, vous aurez sans doute besoin
            de : Fred Viles's FTP server patch via HTTP ou Fred Viles's
            FTP server patch via FTP. De plus amples details sont
            disponibles  la section Forwarders de ce HOWTO.
       forwarder des crans X-Window :

     * X-windows forwarding (DXCP)

   module MASQ ICQ :
     * Andrew Deryabin's ICQ MASQ module 

   forwarders PPTP (GRE) et VPNs SWAN (IPSEC) tunneling :
     * John Hardin's VPN Masquerade forwarders ou bien l'ancien patch
       uniquement pour le PPTP.

   Patches spcifiques aux jeux:
     * Glenn Lamb's LooseUDP for 2.0.36+ patch.
       Jetez un coup d'oeil  la Page NAT de Dan Kegel pour plus
       d'informations. De plus amples informations se trouvent  la
       section Game-Clients et dans la section FAQ .

   Reportez vous SVP  l' IP Masquerade Resource pour plus d'informations
   sur ces patches ou d'autres ventuels patches.

3. Installer IP Masquerade

     _Si votre rseau priv contient quelqu'information vitale, vous
     devez soigneusement rflechir en terme de SECURITE avant d'utiliser
     IP Masquerade. Par defaut, IP MASQ devient une passerelle pour vous
     permettre d'acceder  Internet mais il peut aussi permettre 
     quelqu'un de s'introduire  partir d'Internet sur votre rseau
     interne._

     Une fois que vous avez IP MASQ qui fonctionne, il est VIVEMENT
     recommand d'utiliser un jeu de rgles du scurit largement
     suprieur, que nous appellerons STRONG (STRONG IPFWADM/IPCHAINS
     firewall ruleset en anglais) dans la suite. Vous pouvez vous
     reportez aux sections Strong-IPFWADM-Rulesets et
     Strong-IPCHAINS-Rulesets plus loin dans le texte pour plus de
     dtails.

3.1 Compiler un noyau avec les fonctionnalits d'IP Masquerade

     _Si votre distribution Linux possde dj toutes les fonctions
     ncessaires tels que :_
     * IPFWADM/IPCHAINS
     * IP forwarding
     * IP masquerading
     * IP Firewalling
     * etc.

     et que tous les modules relatif  MASQ y soient compils (la
     plupart des noyaux modulaires vont avoir ce dont vous avez besoin),
     vous N'aurez PAS besoin de recompiler un noyau. Si vous ne savez
     pas si votre distribution Linux est pret pour MASQ, reportez vous 
     la section MASQ-supported-Distributions . Si vous ne faites pas
     confiance  cette liste, ou que votre distribution n'y est pas
     liste, essayez les tests suivants :

     * logguez vous sur votre machine linux et lancez la commande
       suivante : "ls /proc/sys/net/ipv4".
     * Regardez si les fichiers tels que "ip_forward", "ip_masq_debug",
       "ip_masq_udp_dloose"(optionnel), et "ip_always_defrag"(optionnel)
       existent.

     Si oui, c'est que votre noyau est fin pret !

     Si vous ne trouvez aucun des fichiers prcits ou si votre
     distribution ne permet pas l'IP Masquerading par dfaut, SUPPOSEZ
     QU'IL NE PERMET PAS l'utilisation de MASQ par defaut ! Dans ce cas,
     vous allez devoir compiler un noyau... mais ne vous inquietez pas,
     ce n'est pas difficile.

     Que la compatibilit soit native ou pas sur votre distribution, la
     lecture de cette section est VIVEMENT recommande parce qu'elle
     contient d'autres informations utiles.

  Noyaux Linux 2.2.x

   _Reportez vous  la section 2.2.x-Requirements pour les logiciels
   ncessaires, les patches, etc._

     * D'abord, vous aurez besoin des sources du noyau 2.2.x (de
       prfrence la dernire version 2.2.16 ou mieux)
       NB #1: Les noyaux Linux 2.2.x infrieurs  2.2.16 ont un trou de
       securit (TCP root exploit) et les versions infrieurs  2.2.11
       ont un bug de fragmentation dans IPCHAINS. Pour cette raison, les
       personnes qui utilisent des jeux de rgles IPCHAINS trs
       restrictives sont attaquables. Mettez  jour votre noyau vers une
       version corrige.
       NB #2: Pendant les mises  jour des noyaux 2.2.x, les options de
       compilations n'ont cess de changer. Ici nous allons vous montrer
       les rglages pour la version 2.2.15. Si vous utilisez une version
       antrieure du noyau, les dialogues peuvent paratre diffrents.
       Nous vous recommandons de faire la mise  jour vers la dernire
       version du noyau en raison des nouvelles fonctionnalits et de la
       stabilit accrue qu'elle procure.
     * Ne soyez pas effray si c'est la premire fois que vous compilez
       un noyau. En fait c'est plutt facile et plusieurs URLs que vous
       trouverez dans la section 2.2.x-Requirements traitent de a.
     * Decompressez les sources du noyau dans le rpertoire /usr/src/ en
       utilisant la commande tar xvzf linux-2.2.x.tar.gz -C /usr/src ou
       "x" reprsente la version de votre noyau 2.2. Une fois ceci
       termin, vrifiez que le dossier ou le lien symbolique vers
       /usr/src/linux/ existe bien.
     * Appliquez tous les patches, optionnels ou non, au source de votre
       noyau. Pour le 2.2.1, IP Masq n'a pas pas besoin de patch pour
       fonctionner correctement. Des fonctionnalits telles que PPTP ou
       le forwarding de X-Window sont optionnels. Vous pouvez vous
       reporter  la section 2.2.x-Requirements pour les URLs et  l' IP
       Masquerade Resources pour les informations les plus rcentes et
       les liens vers les patches.
     * Voici les options de compilations MINIMALES dont vous allez avoir
       besoin lors de la compilation de votre noyau. Vous aurez aussi
       besion de configurer votre noyau pour utiliser vos interfaces
       reseaux. Reportez vous au Linux Kernel HOWTO et le fichier README
       qui se trouve dans le dossier des sources du noyau pour de plus
       amples informations sur la compilation du noyau.
       Rpondez par _YES ou NO_ aux questions suivantes. Toutes les
       options ne seront pas disponibles si votre noyau n'est pas patch
       convenablement comme dcrit ci-dessous dans ce HOWTO :


  * Prompt for development and/or incomplete code/drivers (CONFIG_EXPERIMENTAL)
 [Y/n/?]
    - YES: Bienque non requis par IP MASQ, cette option permet au noyau de cree
r les
    modules MASQ et d'activer l'option 'port forwarding'

  -- Les options ne correspondant a MASQ sont omis --

  * Enable loadable module support (CONFIG_MODULES) [Y/n/?]
    - YES:  Permet de charger les modules noyau d'IP MASQ

  -- Les options ne correspondant a MASQ sont omis --

  * Networking support (CONFIG_NET) [Y/n/?]
    - YES: Active les capacites reseau

  -- Les options ne correspondant a MASQ sont omis --

  * Sysctl support (CONFIG_SYSCTL) [Y/n/?]
    - YES: vous donne le pouvoir d'activer/desactiver des options tels que le f
orwarding,
     les IP dynamiques, le LooseUDP, etc.

  -- Les options ne correspondant a MASQ sont omis --

  * Packet socket (CONFIG_PACKET) [Y/m/n/?]
    - YES: Bienque ca soit OPTIONNEL, il est recommande d'activer cette fontion
nalite
    qui permet d'utiliser TCPDUMP pour
    debugguer les eventuels problems d'IP MASQ

  * Kernel/User netlink socket (CONFIG_NETLINK) [Y/n/?]
    - YES: Bienque ca soit OPTIONNEL, cette fonctionnalite permet de creer des
logs
    des problemes du firewall avance tel que le routage des messages etc.

  * Routing messages (CONFIG_RTNETLINK) [Y/n/?]
    - NO:  Cette option n'a rien a voir avec les logs du packet firewall

  -- Les options ne correspondant a MASQ sont omis --

  * Network firewalls (CONFIG_FIREWALL) [Y/n/?]
    - YES: Permet de configurer le noyau avec l'utilitaire de firewall IPCHAINS

  * Socket Filtering (CONFIG_FILTER) [Y/n/?]
    - OPTIONAL:  Bienque cette option n'ai rien a voir avec IPMASQ, si vous
    comptez installer un serveur DHCP sur votre reseau interne, vous AUREZ beso
in
    de cette option.

  * Unix domain sockets (CONFIG_UNIX) [Y/m/n/?]
    - YES: Active les mecanismes de sockets TCP/IP d'UNIX.

  * TCP/IP networking (CONFIG_INET) [Y/n/?]
    - YES: Active les protocoles TCP/IP

  -- Les options ne correspondant a MASQ sont omis --

  * IP: advanced router (CONFIG_IP_ADVANCED_ROUTER) [Y/n/?]
    - YES: Permet de configurer les options avances de MASQ que nous verrons pl
us loins


  * IP: policy routing (CONFIG_IP_MULTIPLE_TABLES) [N/y/?]
    - NO: Pas necessaire pour MASQ mais les utilisateurs qui ont besoin de fonc
tions avancees telles
    que le source address-based TCP/IP ou le routage par TOS doivent activer ce
tte option.

  * IP: equal cost multipath (CONFIG_IP_ROUTE_MULTIPATH) [N/y/?]
    - NO: Pas necessaire pour les fonctions usuelles de MASQ

  * IP: use TOS value as routing key (CONFIG_IP_ROUTE_TOS) [N/y/?]
    - NO:  Pas necessaire pour les fonctions usuelles de MASQ

  * IP: verbose route monitoring (CONFIG_IP_ROUTE_VERBOSE) [Y/n/?]
    - YES: Necessaire si vous voulez utiliser les codes de routage pour elimine
r les paquets
    IP spoofes (vivement recommande) et si vous voulez les mettres dans les log
s.

  * IP: large routing tables (CONFIG_IP_ROUTE_LARGE_TABLES) [N/y/?]
    - NO:  Pas necessaire pour les fonctions usuelles de MASQ

  * IP: kernel level autoconfiguration (CONFIG_IP_PNP) [N/y/?] ?
    - NO:  Pas necessaire pour les fonctions usuelles de MASQ

  * IP: firewalling (CONFIG_IP_FIREWALL) [Y/n/?]
    - YES: Active les capacites de firewalling.

  * IP: firewall packet netlink device (CONFIG_IP_FIREWALL_NETLINK) [Y/n/?]
    - OPTIONAL: Bienqu'OPTIONNELLE, cette fonction permet a IPCHAINS de copier
quelques paquets
    vers l'utilitaire UserSpace pour des verifications supplementaires.

  * IP: transparent proxy support (CONFIG_IP_TRANSPARENT_PROXY) [N/y/?]
    - NO:  Pas necessaire pour les fonctions usuelles de MASQ

  * IP: masquerading (CONFIG_IP_MASQUERADE) [Y/n/?]
    - YES: Permet a IP Masquerade de readresser certains paquets TCP/IP specifi
ques de l'interieur
    vers l'exterieur

  * IP: ICMP masquerading (CONFIG_IP_MASQUERADE_ICMP) [Y/n/?]
    - YES: Permet de masquerader les paquets ICMP de ping (dans tous les cas, l
es codes d'erreur
    d'ICMP sont MASQues). Cette fonction est importante pour regler les problem
es de connexion.

  * IP: masquerading special modules support (CONFIG_IP_MASQUERADE_MOD) [Y/n/?]
    - YES: Bienqu'OPTIONNELLE, cette option permet d'activer plus loin le port
forwarding de
    TCP/IP qui permet aux ordinateurs exterieurs de ce connecter vers des machi
nes MASQuees
    specifiques (donc internes).

  * IP: ipautofw masq support (EXPERIMENTAL) (CONFIG_IP_MASQUERADE_IPAUTOFW) [N
/y/m/?]
    - NO: IPautofw est une methode heritee du port forwardinf. C'est essentiell
ement du vieux
    code qui est reconnu pour avoir des problemes. NON recommande.

  * IP: ipportfw masq support (EXPERIMENTAL) (CONFIG_IP_MASQUERADE_IPPORTFW) [Y
/m/n/?]
    - YES: Active IPPORTFV qui permet a des ordinateurs externe se trouvant sur
 Internet de
    communiquer avec un ordinateur MASQue interne specifique. Cette fonctionnal
ite est typiquement
    utilisee pour acceder a des serveurs SMTP, TELNET et WWW. Le port forwardin
g pour le FTP aura
    besoin d'un patch supplementaire dont nous avons donne la description dans
la FAQ de ce HOWTO.
    Des informations supplementaires sont disponibles dans la section Forwards
de ce HOWTO.

  * IP: ip fwmark masq-forwarding support (EXPERIMENTAL) (CONFIG_IP_MASQUERADE_
MFW) [Y/m/n/?]
    - OPTIONAL: C'est une nouvelle methode pour faire du PORTFW. Avec elle, IPC
HAINS peut marquer
    les paquets sur lesquels il faut faire du travail supplementaire. Avec l'ut
ilitaire UserSpace,
    qui ressemble a IPMASQADM ou IPPORTFW, IPCHAINS pourra alors automatiquemen
t readresser les paquets.
    Pour le moment, cette partie du code est moins testee que PORTFW mais reste
 neanmoins tres
    prometteur. Nous vous recommandons d'utiliser pour le l'instant IPMASQADM e
t IPPORTFW. Si vous
    avez des reflexions sur MFW, envoyez les moi par email SVP.

  * IP: optimize as router not host (CONFIG_IP_ROUTER) [Y/n/?]
    - YES: Optimise le noyau pour le reseau bienque nous ne sachions pas si les
 gains de performance
    sont significatives ou pas.

  * IP: tunneling (CONFIG_NET_IPIP) [N/y/m/?]
    - NO: OPTIONNEL pour le tunneling IPIP a traver IP Masq. Si vous avez besoi
n de fonctionnalites
    VPN/tunneling, il est recommande d'utiliser soit les tunnels GRE soit les t
unnels IPSEC

  * IP: GRE tunnels over IP (CONFIG_NET_IPGRE) [N/y/m/?]
    - NO: OPTIONNEL. Permet l'activation de tunnels GRE et PPTP a travers IP MA
SQ.

    -- Les options ne correspondant a MASQ sont omis --

  * IP: TCP syncookie support (not enabled per default) (CONFIG_SYN_COOKIES) [Y
/n/?]
    - YES: VIVEMENT recommande pour la securite TCP/IP de base.

    -- Les options ne correspondant a MASQ sont omis --

  * IP: Allow large windows (not recommended if <16Mb of memory) * (CONFIG_SKB_
LARGE) [Y/n/?]
    - YES: Ceci est recommande pour optimiser les fenetres TCP de Linux

    -- Les options ne correspondant a MASQ sont omis --

  * Network device support (CONFIG_NETDEVICES) [Y/n/?]
    - YES: active la sous couche materielle du reseau sous Linux

    -- Les options ne correspondant a MASQ sont omis --

  * Dummy net driver support (CONFIG_DUMMY) [M/n/y/?]
    - YES:  Bienqu'OPTIONNELLE, cette option peut aider pendant le debuggage

  == N'oubliez pas d'activer les drivers de votre carte reseau !! ==

    -- Les options ne correspondant a MASQ sont omis --

  == N'oubliez pas d'actiner la comptabiliter PPP/SLIP si vous voulez un modem
RPC ou PPPoE/DSL !! ==

    -- Les options ne correspondant a MASQ sont omis --

  * /proc filesystem support (CONFIG_PROC_FS) [Y/n/?]
    - YES: Necessaire pour activer le system de forwarding sous Linux

   NB: Nous n'avons activ ici que les options ncessaires pour l'IP
   Masquerade. Vous devez slectionner en plus les options spcifiques 
   votre installation.

     * Apres la compilation du noyau, vous devrez compiler et installer
       les modules IP MASQ grce aux commandes :

  make modules; make modules_install

     * Vous devrez ensuite ajouter quelques lignes  votre fichier
       /etc/rc.d/rc.local pour charger automatiquement les modules IP
       Masquerades et activer IP MASQ aprs chaque redmarrage :

        .
        .
        .
        #rc.firewall script - Lance IPMASQ et le firewall
        /etc/rc.d/rc.firewall
        .
        .
        .

  Noyaux Linux 2.0.x

   _Reportez vous  la section 2.0.x-Requirements pour les logiciels
   ncessaires, les patches, etc._

     * D'abord, vous aurez besoin des sources du noyau 2.0.x (de
       prfrence la dernire version 2.0.38 ou mieux)
     * Ne soyez pas effray si c'est la premire fois que vous compilez
       un noyau. En fait c'est plutt facile et plusieurs URLs que vous
       trouverez dans la section 2.2.x-Requirements traitent de ca.
     * Dcompressez les sources du noyau dans le repertoire /usr/src/ en
       utilisant la commande tar xvzf linux-2.2.x.tar.gz -C /usr/src ou
       "x" reprsente la version de votre noyau 2.2. Une fois ceci
       termin, vrifiez que le dossier ou le lien symbolique vers
       /usr/src/linux/ existe.
     * Appliquez tous les patches, optionnels ou non, au source de votre
       noyau. Des fonctionnalites telles que PPTP ou le forwarding de
       X-Window sont optionnels. Vous pouvez vous reporter  la section
       2.0.x-Requirements pour les URLs et  l' IP Masquerade Resources
       pour les informations les plus rcentes et les liens vers les
       patches.
     * Voici les options de compilations MINIMALES dont vous allez avoir
       besoin lors de la compilation de votre noyau. Vous aurez aussi
       besion de configurer votre noyau pour utiliser vos interfaces
       reseaux. Reportez vous au Linux Kernel HOWTO et le fichier README
       qui se trouve dans le dossier des sources du noyau pour de plus
       amples informations sur la compilation du noyau.
       Repondez par _YES ou NO_ aux questions suivantes. Toutes les
       options ne seront pas disponibles si votre noyau n'est pas patch
       convenablement comme dcrit ci-dessus dans ce HOWTO :

  * Prompt for development and/or incomplete code/drivers (CONFIG_EXPERIMENTAL)
 [Y/n/?]
    - YES: cette option permet selectionner les fonctionnalites IP Masquerade

  * Enable loadable module support (CONFIG_MODULES) [Y/n/?]
    - YES: Permet de charger les modules noyau d'IP MASQ

  * Networking support (CONFIG_NET) [Y/n/?]
    - YES: Active les capacites reseau

  * Network firewalls (CONFIG_FIREWALL) [Y/n/?]
    - YES: Active l'utilitaire de firewall IPFWADM

  * TCP/IP networking (CONFIG_INET)
    - YES: Active les protocoles TCP/IP

  * IP: forwarding/gatewaying (CONFIG_IP_FORWARD)
    - YES: Permet le forwarding et le routage des paquets - Controle par IPFWAD
M

  * IP: syn cookies (CONFIG_SYN_COOKIES) [Y/n/?]
    - YES: VIVEMENT recommande pour la securite TCP/IP de base.

  * IP: firewalling (CONFIG_IP_FIREWALL) [Y/n/?]
    - YES: Active les capacites de firewalling.

  * IP: firewall packet logging (CONFIG_IP_FIREWALL_VERBOSE) [Y/n/?]
    - YES: (OPTIONNEL mais VIVEMENT recommande): Permet de rapporter les chocs
contre le firewall

  * IP: masquerading (CONFIG_IP_MASQUERADE [Y/n/?]
    - YES: Permet a IP Masquerade de readresser certains paquets TCP/IP specifi
ques de l'interieur
    vers l'exterieur

  * IP: ipautofw masquerade support (EXPERIMENTAL) (CONFIG_IP_MASQUERADE_IPAUTO
FW) [Y/n/?]
    - NO:  IPautofw est une methode heritee du port forwardinf. C'est essentiel
lement du
    vieux code qui est reconnu pour avoir des problemes. NON recommande.

  * IP: ipportfw masq support (EXPERIMENTAL) (CONFIG_IP_MASQUERADE_IPPORTFW) [Y
/n/?]
    - YES: Cette option est DISPONIBLE UNIQUEMENT GRACE A UN PATCH pour les noy
aux 2.0.x

       Cette option permet a des ordinateurs externe se trouvant sur Internet d
e communiquer
       avec un ordinateur MASQue interne specifique. Cette fonctionnalite est t
ypiquement
       utilisee pour acceder a des serveurs SMTP, TELNET et WWW. Le port forwar
ding pour le
       FTP aura besoin d'un patch supplementaire dont nous avons donne la descr
iption dans
       la FAQ de ce HOWTO. Des informations supplementaires sont disponibles da
ns la section
       Forwards de ce HOWTO.

  * IP: ICMP masquerading (CONFIG_IP_MASQUERADE_ICMP) [Y/n/?]
    - YES: Permet de masquerader les paquets ICMP. Bienqu'optionnelles, de nomb
reux programmes
    ne vont PAS fonctionnement correctement sans cette option.

  * IP: loose UDP port managing (EXPERIMENTAL) (CONFIG_IP_MASQ_LOOSE_UDP) [Y/n/
?]
    - YES: Cette option est DISPONIBLE UNIQUEMENT GRACE A UN PATCH pour les noy
aux 2.0.x

        Avec cette option, des ordinateurs internes (ie MASQues) pourrons jouer
 au
        jeux compatibles NAT sur Internet. Des details supplementaires sont don
nes
        dans la section FAQ de ce HOWTO.

  * IP: always defragment (CONFIG_IP_ALWAYS_DEFRAG) [Y/n/?]
    - YES: Cette option optimise les connexions IP MASQ - VIVEMENT recommande

  * IP: optimize as router not host (CONFIG_IP_ROUTER) [Y/n/?]
    - YES: Optimise le noyau pour le reseau

  * IP: Drop source routed frames (CONFIG_IP_NOSR) [Y/n/?]
    - YES: HIGHLY recommended for basic network security

  * Dummy net driver support (CONFIG_DUMMY) [M/n/y/?]
    - YES: VIVEMENT recommande pour la securite TCP/IP de base.

  * /proc filesystem support (CONFIG_PROC_FS) [Y/n/?]
    - YES: Necessaire pour activer les capacites de forwarding de Linux

   NB: Nous n'avons activ ici que les options ncessaire pour IP
   Masquerade. Vous devez slectionner en plus les options spcifiques 
   votre installation.

     * Aprs la compilation du noyau, vous devrez compiler et installer
       les modules IP MASQ grce aux commandes :

make modules; make modules_install

     * Vous devrez ensuite ajouter quelques lignes  votre fichier
       /etc/rc.d/rc.local pour charger automatiquement les modules IP
       Masquerades et activer IP MASQ aprs chaque redmarrage :

        .
        .
        .
        #rc.firewall script - Lance IPMASQ et le firewall
        /etc/rc.d/rc.firewall
        .
        .
        .

  Noyaux Linux 2.3.x / 2.4.x

   _Les noyaux 2.3.x et 2.4.x ne sont PAS traits dans ce HOWTO pour le
   moment. Reportez vous  la section 2.3.x/2.4.x-Requirements pour les
   URLs etc. jusqu' ce que ces noyaux soient traits dans un nouveau
   HOWTO._

3.2 Affecter des adresses IP prives au LAN interne

   Puisque toutes les machines _INTERNES MASQes_ ne devraient pas avoir
   d'adresses IP officielles, il doit exister une faon spcifique et
   reconnue d'affecter des adresses  ces machines sans entrer en conflit
   avec l'adresse IP de quelqu'un d'autre.

   Tir de la FAQ IP Masquerade originelle :

   RFC 1918 est un document officiel traitant des adresses IP qui doivent
   tre utilises pour des rseaux non-connects ou "privs". Il y a 3
   blocs de nombres mis de cts exprs dans ce but.


Section 3: L'espace des Adresses Privees



L'Internet Assigned Numbers Authority (IANA) a reserve les trois blocs d'adress
es IP suivants
pour les reseaux prives :

              10.0.0.0        -   10.255.255.255
              172.16.0.0      -   172.31.255.255
              192.168.0.0     -   192.168.255.255

Le premier bloc sera designe comme le "24-bit block", le second comme "20-bit b
lock", et le
dernier comme "16-bit block". Remarquez que le premier bloc n'est rien d'autres
 qu'un simple reseau
de Classe A, alors que le second est un espace de 16 reseaux contigus de classe
 B, et le troisieme
est un blocs de 255 reseaux contigus de Classe C.

   Je prfre utiliser le rseau 192.168.0.0 avec un masque de
   sous-rseau de classe C : 255.255.255.0 et ce HOWTO reflte cette
   prfrence. Mais, chacun des rseaux privs ci-dessus est valide.
   Assurez vous simplement d'utiliser le bon masque de sous-rseau.

   Donc, si vous utiliser le rseau de Classe C, vous devrez numroter
   vos machines TCP/IP ainsi : 192.168.0.1, 192.168.0.2, 192.168.0.3,
   ..., 192.168.0.x

   192.168.0.1 est habituellement la passerelle interne ou la machine
   MASQ Linux. Notez aussi ques les adresses 192.168.0.0 et 192.168.0.255
   sont les adresses du rseau et de broadcast respectivement (et sont
   donc RESERVES). Evitez d'utiliser ces adresses sur vos machines sinon
   votre rseau risque de ne pas fonctionner correctement.

3.3 Politiques de configuration de l'IP FORWARDING

   A partir d'ici, vous devrez avoir votre noyau et les autres packages
   ncessaires d'installs. Toutes les adresses IP du rseau, la
   passerelle, et le DNS devront aussi tre configurs dans votre serveur
   Linux MASQ. Si vous ne savez pas configurer vos cartes rseau,
   reportez vous SVP aux HOWTOs lists dans les sections
   2.0.x-Requirements ou 2.2.x-Requirements .

   Maintenant, la seule chose qui reste  faire, c'est de configurer l'IP
   firewalling pour permettre le FORWARD et le MASQUERADE des paquets
   appropris vers les machines appropries :

     ** Ceci peut tre accomplis de diffrentes faons. Les suggestions
     et les examples suivants ont fonctionn chez moi, mais vous aurez
     peut-tre des besoins ou des ides diffrents.

     ** Cette section fournit seulement le MINIMUM de rgles de firewall
     pour faire fonctionner l'IP Masquerade. Une fois que vous aurez
     test IP MASQ (comme dcrit plus loin dans ce HOWTO), reportez vous
     aux sections Strong-IPFWADM-Rulesets et Strong-IPCHAINS-Rulesets
     pour des jeux de rgles de firewalling plus sres. Vous pouvez
     aussi lire en plus les manuels de IPFWADM (2.0.x) et/ou
     IPCHAINS(2.2.x) pour de plus amples dtails.

  Noyaux Linux 2.2.x

   NB : _IPFWADM n'est plus un utilitaire de firewall _qui permette de
   manipuler les rgles d'IP Masquerade pour les noyaux 2.1.x et 2.2.x.
   Ces nouveaux noyaux utilisent maintenant l'utilitaire IPCHAINS. Pour
   de plus amples dtails sur les raisons de ce changement, vous pouvez
   vous reporter  la section FAQ .

   Crez le fichier /etc/rc.d/rc.firewall avec les rgles naives
   suivantes :


#!/bin/sh
#
# rc.firewall - test IP Masquerade naif pour les noyaux 2.1.x et 2.2.x
#               avec IPCHAINS
#
# Charge les modules necessaires a IP MASQ
#
#   NB: Charger uniquement les modules IP MASQ dont vous avez besoin. Tous les
modules
#   IP MASQ actuels sont montres ci-dessous mais sont commentes pour les empech
er
#   de se charger.

# Necessaire pour le chargement initial des modules
#
/sbin/depmod -a

# Permet le masquerading correct des transfert de fichier par FTP avec la metho
de PORT
/sbin/modprobe ip_masq_ftp

# Permet le masquerading de RealAudio par UDP. Sans ce module,
#       RealAudio FONCTIONNERA mais en mode TCP. Ce qui peu causer une baisse
#       dans la qualite du son
#
#/sbin/modprobe ip_masq_raudio

# Permet le masquerading des transferts de fichier par DCC pour les IRC
#/sbin/modprobe ip_masq_irc


# Permet le masquerading de Quake et QuakeWorld par defaut. Ce module est
#   necessaire pour les utilisateurs multiples derriere un server Linux MASQ. S
i vous voulez jouer
#   a Quake I, II, et III, utilisez le second exemple.
#
#   NB:  si vous rencontrez des ERREURs lors de chargement du module QUAKE, c'e
st que vous utilisez
#   un ancien noyau buggue. Mettez a jour votre noyau pour supprimer l'erreur.
#
#Quake I / QuakeWorld (ports 26000 et 27000)
#/sbin/modprobe ip_masq_quake
#
#Quake I/II/III / QuakeWorld (ports 26000, 27000, 27910, 27960)
#/sbin/modprobe ip_masq_quake 26000,27000,27910,27960


# Permet le masquerading du logiciel CuSeeme pour la video conference
#
#/sbin/modprobe ip_masq_cuseeme

# Permet le masquerading du logiciel VDO-live pour la video conference
#
#/sbin/modprobe ip_masq_vdolive


#CRITIQUE:  Active l'IP forwarding puisqu'il est desactive par defaut
#
#           Utilisateurs Redhat: vous pourrez essayer en changeant les options
dans
#                          /etc/sysconfig/network de:
#
#                       FORWARD_IPV4=false
#                             a
#                       FORWARD_IPV4=true
#
echo "1" > /proc/sys/net/ipv4/ip_forward


#CRITIQUE:  Active automatiquement l'IP defragmenting puisqu'il est desactive p
ar defaut
#           dans les noyaux 2.2.x. Ceci etait une option de compilation mais ca
 a change
#           depuis le noyau 2.2.12
#
echo "1" > /proc/sys/net/ipv4/ip_always_defrag


# Utilisateurs d'IP Dynamiques:
#
#   Si vous recevez votre adresse IP de maniere dynamique a partir d'un server
SLIP, PPP,
#   ou DHCP, activez option suivante qui active le hacking (au bon sens du term
e NDT) des
#   adresses IP dynamique dans IP MASQ, rendant ainsi les choses plus faciles p
our les
#   programmes du type Diald.
#
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr


# Active le patch LooseUDP dont certains jeux reseaux ont besoin
#
#  Si vous etes en train d'essayer de faire fonctionner un jeu sur Internet au
travers votre
#  serveur MASQ, et vous l'avez configure le mieux que vous pouviez mais que ca
 fonctionne
#  toujours pas, essayez d'activer cette option (en supprimant le # en debut de
 ligne).
#  Cette option est desactivee par defaut pour eviter une probable vulnerabilit
e au port
#  scanning UDP en interne.
#
#echo "1" > /proc/sys/net/ipv4/ip_masq_udp_dloose


# MASQ timeouts
#
#  timeout de 2 heures pour les sessions TCP
#  timeout de  10 sec pour le traffic apres que le paquet TCP/IP "FIN" est recu
#  timeout de 160 sec pour le traffic UDP (Important pour les utilisateur d'ICQ
 MASQues)
#
/sbin/ipchains -M -S 7200 10 160


# DHCP:  Pour les personnes qui recoivent leur adresse IP externe par DHCP ou
#        BOOTP tels que les utilisateurs d'ADSL ou Cable, il est necessaire de
lancer cette
#        commande avec celle du 'deny'. "nom_interface_cliente_bootp"
#        doit etre remplace par le nom de l'interface qui va recevoir l'adresse
 externe par
#        le serveur DHCP/BOOTP. C'est souvent quelquechose du style "eth0",
#        "eth1", etc.
#
#        Cet exemple est commante (desactive) ici :
#
#/sbin/ipchains -A input -j ACCEPT -i nom_interface_cliente_bootp -s 0/0 67 -d
0/0 68 -p udp

# Active l'IP forwarding et Masquerading simpliste
#
#  NB:    L'exemple suivant est donne pour le LAN interne 192.168.0.x avec un m
asque
#         de sous reseau de 255.255.255.0 soit un masque de sous reseau "24 bit
s"
#         connecte a Internet par l'interface eth0.
#
#         ** Changez les adreesse reseau et masque de sous reseau, et l'interfa
ce de
#         ** votre connexion a Internet de telle sorte qu'ils correspondent aux
 reglages de votre LAN
#
/sbin/ipchains -P forward DENY
/sbin/ipchains -A forward -i eth0 -s 192.168.0.0/24 -j MASQ

   Une fois que vous aurez termin de rdiger les rgles de
   /etc/rc.d/rc.firewall, rendez ce dernier excutable en tapant chmod
   700 /etc/rc.d/rc.firewall

   Maintenant que vos rgles de firewall sont prts, vous devez faire en
   sorte qu'ils soient actifs aprs chaque redmarrage. Vous pouvez soit
   dcider de le lancer  la main  chaque fois (une vraie galre) ou
   bien de le rajouter dans vos scripts de boot. Nous vous montrons
   comment faire pour chacune des deux methodes ci-dessous :

     * Pour les distribs RedHat ou derives de la RedHat:
     * Il y a deux manires de faire charger des trucs dans RedHat :
       /etc/rc.d/rc.local ou le mettre le script d'init dans
       /etc/rc.d/init.d/. La premire mthode est la plus simple. Tout ce
       que vous avez  faire c'est de rajouter cette ligne :
          + echo "Chargement des regles de rc.firewall..."
            /etc/rc.d/rc.firewall
        la fin de votre /etc/rc.d/rc.local et c'est tout. Le problme de
       cette approche est que si vous tournez avec le jeu de rgles
       STRONG du firewall, le firewall n'est pas actif avant les
       dernires phases du dmarrage. La meilleure approche est d'avoir
       le firewall charg juste aprs que le rseau est lanc. A partir
       de ce point, ce HOWTO ne traite que de l'approche
       /etc/rc.d/rc.local. Si vous voulez le systme STRONG, je vous
       recommande de vous reportez  la section 10 de TrinityOS dont vous
       trouverez le lien  la fin de ce HOWTO.

     * Slackware :
     * Il y a deux manire de faire charger des trucs dans la Slackware:
       /etc/rc.d/rc.local ou modifier le fichier /etc/rc.d/rc.inet2. La
       premire methode est la plus simple. Tout ce que vous avez  faire
       c'est de rajouter cette ligne :
          + echo "Chargement des regles de rc.firewall..."
            /etc/rc.d/rc.firewall
        la fin de votre /etc/rc.d/rc.local et c'est tout. Le problme de
       cette aproche est que si vous tournez avec les jeux de rgles
       STRONG du firewall, le firewall n'est pas actif avant les
       dernires phases du demarrage. La meilleure approche est d'avoir
       le firewall charg juste aprs que le rseau est lanc. A partir
       de ce point, ce HOWTO ne traite que de l'approche
       /etc/rc.d/rc.local. Si vous voulez le systme STRONG, je vous
       recommande de vous reporter  la section 10 de TrinityOS dont vous
       trouverez le lien  la fin de ce HOWTO.

   _Remarques sur la manire dont les utilisateurs doivent s'y prendre
   s'il veulent modifier les rgles de firewall que nous avons vues
   ci-dessus :_

   Vous pouvez aussi activer l'IP Masquerading sur une base de cas par
   cas suivant la machine au lieu de la methode ci-dessus qui active le
   reseau TCP/IP entier. Par exemple, disons que je veux que seuls les
   machines 192.168.0.2 et 192.168.0.8 puissent accder  Internet et
   AUCUN autre ordinateur interne. Je changerais les rgles dans la
   section "Active l'IP forwarding et Masquerading simpliste" (voir
   ci-dessus) dans les rgles qui se trouvent dans le fichier
   /etc/rc.d/rc.firewall.


#!/bin/sh
#
# Active l'IP forwarding et Masquerading simpliste
#
#  NB:    L'exemple suivant est donne pour l'activation de l'IP Masquerading po
ur les
#         machines 192.168.0.2 et 192.1680.0.8 avec un masque
#         de sous reseau de 255.255.255.0 soit un masque de sous reseau "24 bit
s"
#         connecte a Internet par l'interface eth0.
#
#         ** Changez les adreesse reseau et masque de sous reseau, et l'interfa
ce de
#         ** votre connexion a Internet de telle sorte qu'ils correspondent aux
 reglages de votre LAN
#
/sbin/ipchains -P forward DENY
/sbin/ipchains -A forward -i eth0 -s 192.168.0.2/32 -j MASQ
/sbin/ipchains -A forward -i eth0 -s 192.168.0.8/32 -j MASQ

   _Erreurs courantes :_

   Une erreur qui parat courante pour les nouveaux utilisateurs d'IP
   Masq est de faire de la commande suivante :

   /sbin/ipchains -P forward masquerade

   la premiere commande.

   Ne faites _PAS_ du MASQUERADING votre politique par defaut. Sinon une
   personne qui peut manipuler ses tables de routage sera capable de
   s'infiltrer directement  travers votre passerelle, en l'utilisant
   pour masquerader sa propre identit !

   Encore une fois, vous pouvez ajouter ces lignes dans votre fichier
   /etc/rc.d/rc.firewall, ou bien dans l'un de vos autres fichiers rc de
   votre convenance, ou bien le lancer manuellement  chaque fois que
   vous avez besoin de l'IP Masquerade.

   Reportez vous SVP aux sections Strong-IPFWADM-Rulesets et
   Strong-IPCHAINS-Rulesets pour un guide detaill d'IPCHAINS et un
   exemple de rgles STRONG pour IPCHAINS. Pour des dtails
   supplmentaires sur l'utilisation d'IPCHAINS, vous pouvez vous
   reporter au site principal d'IPCHAINS
   http://netfilter.filewatcher.org/ipchains/ ou au site Linux IP CHAINS
   HOWTO Backup.

  Noyau Linux 2.0.x

   Crez le fichier /etc/rc.d/rc.firewall avec les rgles naives
   suivantes :


# rc.firewall - Initial SIMPLE IP Masquerade setup for 2.0.x kernels using
#               IPFWADM
# rc.firewall - test IP Masquerade naif pour les noyaux 2.0.x
#               avec IPFWADM
#
# Charge les modules necessaires a IP MASQ
#
#   NB: Charger uniquement les modules IP MASQ dont vous avez besoin. Tous les
modules IP MASQ
#       actuels sont montres ci-dessous mais sont commentes pour les empecher d
e se charger.
#
# Necessaire pour le chargement initial des modules
#
/sbin/depmod -a

# Permet le masquerading correct des transfert de fichier par FTP avec la metho
de PORT
/sbin/modprobe ip_masq_ftp

# Permet le masquerading de RealAudio par UDP. Sans ce module,
#       RealAudio FONCTIONNERA mais en mode TCP. Ce qui peu causer une baisse
#       dans la qualite du son
#
#/sbin/modprobe ip_masq_raudio

# Permet le masquerading des transferts de fichier par DCC pour les IRC
#/sbin/modprobe ip_masq_irc


# Permet le masquerading de Quake et QuakeWorld par defaut. Ce module est
#   necessaire pour les utilisateurs multiples derriere un server Linux MASQ. S
i vous voulez jouer
#   a Quake I, II, et III, utilisez le second exemple.
#
#   NB:  si vous rencontrez des ERREURs lors de chargement du module QUAKE, c'e
st que vous utilisez
#   un ancien noyau buggue. Mettez a jour votre noyau pour supprimer l'erreur.
#
#Quake I / QuakeWorld (ports 26000 et 27000)
#/sbin/modprobe ip_masq_quake
#
#Quake I/II/III / QuakeWorld (ports 26000, 27000, 27910, 27960)
#/sbin/modprobe ip_masq_quake 26000,27000,27910,27960


# Permet le masquerading du logiciel CuSeeme pour la video conference
#
#/sbin/modprobe ip_masq_cuseeme

# Permet le masquerading du logiciel VDO-live pour la video conference
#
#/sbin/modprobe ip_masq_vdolive


#CRITIQUE:  Active l'IP forwarding puisqu'il est desactive par defaut
#
#           Utilisateurs Redhat: vous pourrez essayer en changeant les options
dans
#                          /etc/sysconfig/network de:
#
#                       FORWARD_IPV4=false
#                             a
#                       FORWARD_IPV4=true
#
echo "1" > /proc/sys/net/ipv4/ip_forward


#CRITIQUE:  Active automatiquement l'IP defragmenting puisqu'il est desactive p
ar defaut
#           dans les noyaux 2.2.x. Ceci etait une option de compilation mais ca
 a change
#           depuis le noyau 2.2.12
#
echo "1" > /proc/sys/net/ipv4/ip_always_defrag


# Utilisateurs d'IP Dynamiques:
#
#   Si vous recevez votre adresse IP de maniere dynamique a partir d'un server
SLIP, PPP,
#   ou DHCP, activez option suivante qui active le hacking (au bon sens du term
e NDT) des
#   adresses IP dynamique dans IP MASQ, rendant ainsi les choses plus faciles p
our les
#   programmes du type Diald.
#
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr


# MASQ timeouts
#
#   2 hrs timeout for TCP session timeouts
#  10 sec timeout for traffic after the TCP/IP "FIN" packet is received
#  160 sec timeout for UDP traffic (Important for MASQ'ed ICQ users)
#
/sbin/ipchains -M -S 7200 10 160


# DHCP:  For people who receive their external IP address from either DHCP or
#        BOOTP such as ADSL or Cablemodem users, it is necessary to use the
#        following before the deny command.  The "bootp_client_net_if_name"
#        should be replaced the name of the link that the DHCP/BOOTP server
#        will put an address on to?  This will be something like "eth0",
#        "eth1", etc.
#
#        This example is currently commented out.
#
#
#/sbin/ipchains -A input -j ACCEPT -i bootp_clients_net_if_name -s 0/0 67 -d 0/
0 68 -p udp


# Active l'IP forwarding et Masquerading simpliste
#
#  NB:    L'exemple suivant est donne pour le LAN interne 192.168.0.x avec un m
asque
#         de sous reseau de 255.255.255.0 soit un masque de sous reseau "24 bit
s"
#         connecte a Internet par l'interface eth0.
#
#         ** Changez les adreesse reseau et masque de sous reseau, et l'interfa
ce de
#         ** votre connexion a Internet de telle sorte qu'ils correspondent aux
 reglages de votre LAN
#
/sbin/ipfwadm -F -p deny
/sbin/ipfwadm -F -a m -W eth0 -S 192.168.0.0/24 -D 0.0.0.0/0

   Une fois que vous aurez termin de rdiger les rgles de
   /etc/rc.d/rc.firewall, rendez le excutable en tapant chmod 700
   /etc/rc.d/rc.firewall

   Maintenant que vos rgles de firewall sont prts, vous devez faire en
   sorte qu'ils soient actifs aprs chaque redmarrage. Vous pouvez soit
   dcider de le lancer  la main  chaque fois (une vraie galre) ou
   bien de le rajouter dans vos scripts de boot. Nous vous montrons
   comment faire pour chacune des deux methodes ci-dessous :

     * Pour les distribs RedHat ou derives de la RedHat:
     * Il y a deux manires de faire charger des trucs dans RedHat :
       /etc/rc.d/rc.local ou le mettre le script d'init dans
       /etc/rc.d/init.d/. La premire methode est la plus simple. Tout ce
       que vous avez  faire c'est de rajouter cette ligne :
          + echo "Chargement des regles de rc.firewall..."
            /etc/rc.d/rc.firewall
        la fin de votre /etc/rc.d/rc.local et c'est tout. Le problme de
       cette approche est que si vous tournez avec les rgles de STRONG
       firewall, le firewall n'est pas actif avant les dernires phases
       du dmarrage. La meilleure approche est d'avoir le firewall charg
       juste aprs que le reseau est lanc. A partir de ce point, ce
       HOWTO ne traite que de l'approche /etc/rc.d/rc.local. Si vous
       voulez le systme STRONG, je vous recommande de vous reporter  la
       section 10 de TrinityOS dont vous trouverez le lien  la fin de ce
       HOWTO.

     * Slackware :
     * Il y a deux manires de faire charger des trucs dans la Slackware:
       /etc/rc.d/rc.local ou modifier le fichier /etc/rc.d/rc.inet2. La
       premire methode est la plus simple. Tout ce que vous avez  faire
       c'est de rajouter cette ligne :
          + echo "Chargement des regles de rc.firewall..."
            /etc/rc.d/rc.firewall
        la fin de votre /etc/rc.d/rc.local et c'est tout. Le problme de
       cette aproche est que si vous tournez avec les rgles de STRONG
       firewall, le firewall n'est pas actif avant les dernires phases
       du dmarrage. La meilleure approche est d'avoir le firewall charg
       juste apres que le reseau est lanc. A partir de ce point, ce
       HOWTO ne traite que de l'approche /etc/rc.d/rc.local. Si vous
       voulez le systme STRONG, je vous recommande de vous reporter  la
       section 10 de TrinityOS dont vous trouverez le lien  la fin de ce
       HOWTO.

   _Remarques sur la manire dont les utilisateurs doivent s'y prendre
   s'il veulent modifier les rgles de firewall que nous avons vues
   ci-dessus :_

   Vous pouvez aussi activer l'IP Masquerading sur une base de cas par
   cas suivant la machine au lieu de la methode ci-dessus qui active le
   reseau TCP/IP entier. Par exemple, disons que je veux que seuls les
   machines 192.168.0.2 et 192.168.0.8 puisssent accder  Internet et
   AUCUN autre ordinateur interne. Je changerais les rgles dans la
   section "Active l'IP forwarding et Masquerading simpliste" (voir
   ci-dessus) dans les rgles qui se trouvent dans le fichier
   /etc/rc.d/rc.firewall.


#!/bin/sh
#
# Active l'IP forwarding et Masquerading simpliste
#
#  NB:    L'exemple suivant est donne pour l'activation de l'IP Masquerading po
ur les
#         machines 192.168.0.2 et 192.1680.0.8 avec un masque
#         de sous reseau de 255.255.255.0 soit un masque de sous reseau "24 bit
s"
#         connecte a Internet par l'interface eth0.
#
#         ** Changez les adresse reseau et masque de sous reseau, et l'interfac
e de
#         ** votre connexion a Internet de telle sorte qu'ils correspondent aux
 reglages de votre LAN
#
/sbin/ipfwadm -F -p deny
/sbin/ipfwadm -F -a m -W eth0 -S 192.168.0.2/32 -D 0.0.0.0/0
/sbin/ipfwadm -F -a m -W eth0 -S 192.168.0.8/32 -D 0.0.0.0/0

   _Erreurs courrantes :_

   Une erreur qui parait courante pour les nouveaux utilisateurs d'IP
   Masq est de faire de la commande suivante :
ipfwadm -F -p masquerade

   la premiere commande.

   Ne faites _PAS_ du MASQUERADING votre politique par dfaut. Sinon une
   personne qui peut manipuler ses tables de routage sera capable de
   s'infiltrer directement  travers votre passerelle, en l'utilisant
   pour masquerader sa propre identit !

   Encore une fois, vous pouvez ajouter ces lignes dans votre fichier
   /etc/rc.d/rc.firewall, ou bien dans l'un de vos autres fichiers rc de
   votre convenance, ou bien le lancer manuellement  chaque fois que
   vous avez besoin de l'IP Masquerade.

   Vous pouvez vous reporter aux sections Strong-IPCHAINS-Rulesets et
   Strong-IPFWADM-Rulesets pour un guide detaill et des examples de
   rgles STRONG pour IPCHAINS et IPFWADM.

4. Configurer les autres machines internes qui doivent tre MASQues

   En plus des rglages d'adresses IP appropris pour chaque machine
   MASQue, vous devez rgler pour chaque machine interne l'adresse IP de
   la passerelle (le serveur Linux MASQ) et les adresses des serveurs
   DNS. En gnral, ca dcoule de source. Vous entrez simplement
   l'adresse IP de votre serveur Linux (192.168.0.1 en gnral) dans le
   champ rserv  la passerelle.

   Pour les Domain Name Service (Service de Nom de Domaine ou DNS en
   anglais), vous pouvez utiliser n'importe quel serveur DNS disponible.
   Le plus vident, c'est celui qu'utilise votre serveur Linux. Vous
   pouvez aussi ajouter n'importe quel domaine de recherche (facultatif).

   Apres avoir reconfigur correctement les machines internes MASQues,
   n'oubliez pas de relancer leurs 'network services' (pour tenir compte
   des changements) ou bien de les redmarrer.

   Les instructions suivantes supposent que vous utilisez un rseau de
   Classe C avec 192.168.0.1 comme IP pour votre serveur Linux MASQ.
   Rappelez vous aussi que les adresses sont des adresses 192.168.0.0 et
   192.168.0.255 TCP/IP reserves.

   Les plateformes ci-dessous ont t testes comme machines internes
   MASQues. Voici juste un EXEMPLE de tous les systmes d'exploitations
   compatibles :

     * ordinateurs Apple Macintosh sous MacOS avec soit MacTCP soit Open
       Transport
     * Commodore Amiga avect AmiTCP ou la pile AS225
     * Stations Digital VAX 3520 et 3100 avec UCX (pile TCP/IP pour VMS)
     * Digital Alpha/AXP sous Linux/Redhat
     * IBM AIX sur un RS/6000
     * IBM OS/2 (dont Warp v3)
     * IBM OS400 sur un AS/400
     * Linux 1.2.x, 1.3.x, 2.0.x, 2.1.x, 2.2.x
     * Microsoft DOS (avec les packet drivers et le package NCSA Telnet,
       DOS Trumpet fonctionne partiellement)
     * Microsoft Windows 3.1 (avec le package Netmanage Chameleon)
     * Microsoft Windows For Workgroup 3.11 (avec le package TCP/IP)
     * Microsoft Windows 95, OSR2, 98, 98se
     * Microsoft Windows NT 3.51, 4.0, 2000 (workstation et server)
     * Novell Netware 4.01 Server avec les services TCP/IP
     * SCO Openserver (v3.2.4.2 et 5)
     * Sun Solaris 2.51, 2.6, 7

4.1 Configuration de Microsoft Windows 95

   NDT : je n'ai accs  AUCUN windows, je ne peux donc pas tester ce que
   je traduis. Merci de me faire parvenir les incorrections. Ceci reste
   valable pour toute la suite de ce document. Merci de ne pas m'en tenir
   rigueur.

    1. Si vous n'avez pas encore install votre carte rseau ou ses
       drivers, faites le maintenant. L'explication de ces tapes sort du
       cadre de ce document.
    2. Allez dans _'Panneaux de Configuration'_ --> _'Network'_.
    3. Cliquez sur _Ajouter_ --> _Protocole_ --> _Manufacture: Microsoft_
       --> _Protocole:_ _'TCP/IP protocol'_ Si vous ne l'avez pas encore.
    4. Selectionnez le TCP/IP sur votre carte rseau de Windows95 et
       slectionnez _'Proprietes'_. Maintenant allez sur _'IP Adresse IP'_
       et rentrez comme Adresse IP 192.168.0.x, (1 < x < 255), et comme
       Masque de sous-rseau 255.255.255.0
    5. Maintenant slectionnez _"Passerelle"_ et ajoutez 192.168.0.1
       comme passerelle dans _'Passerelle'_ et cliquer sur "Ajouter".
    6. Sous la languette _'Configuration DNS'_, mettez un nom pour votre
       machine et entrez le nom de domaine officiel. Si vous ne savez pas
       quel est votre nom de domaine, mettez celui de votre FAI.
       Maintenant, ajoutez tous les serveurs DNS que votre serveur Linux
       utilise (vous pouvez les trouver en gnral dans
       /etc/resolv.conf). En general, ces serveurs DNS sont ceux de votre
       FAI, bienque vous puissiez utiliser vos propres CACHING ou serveur
       Authoritative DNS sur votre seveur Linux MASQ. Vous pouvez aussi
       ajouter n'importe quel domaine de recherche (facultatif).
    7. Laissez tous les autres rglages inchangs  moins que vous
       sachiez ce que vous faites.
    8. Cliquez sur _'OK'_ sur toutes les fentres de dialogues et
       rdemarrez votre ordinateur.
    9. Pinguez le serveur Linux pour tester la connexion rseau:
       _'Executer'_, entrez: ping 192.168.0.1
       (Ceci est juste un test du LAN INTERNE, vous ne pouvez pas encore
       pinguer le monde exterieur.) Si vous ne recevez pas de rponses de
       vos PINGs, vrifiez votre configuration rseau.
   10. Vous pouvez aussi crer un fichier HOSTS dans the C:\Windows et
       pouvoir ainsi utiliser des noms de machines de votre LAN sans
       avoir besoin de serveur DNS. Il y a un exemple appel HOSTS.SAM
       dans le repertoire C:\windows.

4.2 Configuring Windows NT

   NDT : je n'ai accs  AUCUN Windows, je ne peux donc pas tester ce que
   je traduis. Merci de me faire parvenir les incorrections. Ceci reste
   valable pour toute la suite de ce document. Merci de ne pas m'en tenir
   rigueur.

    1. Si vous n'avez pas encore install votre carte rseau ou ses
       drivers, faites le maintenant. L'explication de ces tapes sort du
       cadre de ce document.
    2. Allez dans _'Panneaux de Configuration'_ --> _'Network'_.
    3. Cliquez sur _Ajouter_ --> _Protocole_ --> _Manufacture: Microsoft_
       --> _Protocole:_ _'TCP/IP protocol'_ Si vous ne l'avez pas encore.
    4. Dans la section _'Logiciels et Cartes Reseaux'_, slectionnez le
       _'Protocle TCP/IP'_ dans la boite de slection_'Logiciels Reseaux
       Insatalles'_.
    5. Dans _'Configuration TCP/IP'_, selectionnez la carte appropriee,
       i.e. [1]Novell NE2000 Adapter. Reglez ensuite l'adresse IP :
       192.168.0.x (1 < x < 255), et le masque de sous-rseau :
       255.255.255.0 et la Passerelle par Dfaut  192.168.0.1
    6. N'activez aucune des options suivantes ( moins que vous sachiez
       exactement ce que vous faites) :
          + _'Configuration Automatique DHCP'_ : A moins que vous ayiez
            un serveur DHCP sur votre rseau.
          + Rentrez n'importe quoi dans _'Sever WINS'_ champs d'entre :
            A moins que vous ayiez configur un ou plusieurs serveurs
            WINS.
          + _Activer l'IP Forwarding_ : A moins que vous routiez vers
            votre serveur NT et que vous sachiez vraiment -VRAIMENT- ce
            que vous faites PRECISEMENT.
    7. Cliquez sur _'DNS'_, saisissez les informations que votre serveur
       Linux utilise (gnralement dans /etc/resolv.conf) et cliquez sur
       _'OK'_quand vous avez fini.
    8. Cliquez sur _'Advances'_, et DESACTIVEZ _'DNS pour la Rsolution
       des Noms Windows'_ et _'Activer la Recherche LMHOSTS'_  moins que
       vous sachiez ce que font ces options. Si vous voulez utiliser un
       fichier LMHOSTS, ils sont rangs dans
       C:\winnt\system32\drivers\etc.
    9. Cliquez sur _'OK'_ sur toutes les boites de dialogue et redmarrer
       votre ordinateur.
   10. Pinguez le serveur Linux pour tester la connexion rseau:
       _'Executer'_, entrez: ping 192.168.0.1
       (Ceci est juste un test du LAN INTERNE, vous ne pouvez pas encore
       pinguer le monde extrieur.) Si vous ne recevez pas de rponses de
       vos PINGs, vrifiez votre configuration rseau.

4.3 Configuration de Windows for Workgroup 3.11

   NDT : je n'ai accs  AUCUN Windows, je ne peux donc pas tester ce que
   je traduis. Merci de me faire parvenir les incorrections. Ceci reste
   valable pour toute la suite de ce document. Merci de ne pas m'en tenir
   rigueur.

    1. Si vous n'avez pas encore install votre carte rseau ou ses
       drivers, faites le maintenant. L'explication de ces tapes sort du
       cadre de ce document.
    2. Installez le package TCP/IP 32b si vous ne l'avez pas encore fait.
    3. Dans _'Main'/'Reglages Windows'/'Reglages Reseaux'_, cliquez sur
       _'Drivers'_.
    4. Slectionnez _'Microsoft TCP/IP-32 3.11b'_ dans la section
       _'Drivers Reseaux'_, cliquez sur _'Regler'_.
    5. Rglez ensuite l'adresse IP : 192.168.0.x (1 < x < 255), et le
       masque de sous-rseau : 255.255.255.0 et la Passerelle par Dfaut
       a 192.168.0.1
    6. N'activez aucune des options suivantes ( moins que vous sachiez
       exactement ce que vous faites) :
          + _'Configuration Automatique DHCP'_ : A moins que vous ayiez
            un serveur DHCP sur votre rseau.
          + Rentrez n'importe quoi dans _'Sever WINS'_ champs d'entree :
            A moins que vous ayiez configur un ou plusieurs serveurs
            WINS.
    7. Cliquez sur _'DNS'_, saisissez les informations que votre serveur
       Linux utilise (gnralement dans /etc/resolv.conf) et cliquez sur
       _'OK'_quand vous avez fini.
    8. Cliquez sur _'Avances'_, activez _'DNS pour la Resolution des Noms
       Windows'_ et _'Activer la Recherche LMHOSTS'_ que vous trouverez
       dans c:\windows.
    9. Cliquez sur _'OK'_ sur toutes les boites de dialogue et redmarrer
       votre ordinateur.
   10. Pinguez le serveur Linux pour tester la connexion rseau:
       _'Executer'_, entrez: ping 192.168.0.1
       (Ceci est juste un test du LAN INTERNE, vous ne pouvez pas encore
       pinguer le monde extrieur.) Si vous ne recevez pas de rponses de
       vos PINGs, vrifiez votre configuration rseau.

4.4 Configuration des Systmes Bass sur UNIX

    1. Si vous n'avez pas encore install votre carte rseau et recompil
       votre noyau avec les drivers correspondants, faites le maintenant.
       L'explication de ces tapes sort du cadre de ce document.
    2. Installez le rseau TCP/IP, tel que le package net-tools, si vous
       ne l'avez pas encore fait.
    3. Changez _IPADDR_ en 192.168.0.x (1 < x < 255), et changez ensuite
       _NETMASK_ en 255.255.255.0, _GATEWAY_ en 192.168.0.1, et _BROADCAST_
       en 192.168.0.255
       Par exemple avec les Linux Redhat, vous pouvez modifier le fichier
       /etc/sysconfig/network-scripts/ifcfg-eth0, ou simplement le faire
       grce au Tableau de Bord. Ces changement se font diffremment sur
       les autres UNIXes tels que SunOS, BSDi, Slackware Linux, Solaris,
       SuSe, Debian, etc.). Reportez vous  la documentation de votre
       UNIX pour de plus amples informations.
    4. Ajoutez votre DNS et votre domaine de recherche dans
       /etc/resolv.conf et suivant la version de votre UNIX, modifiez le
       fichier /etc/nsswitch.conf pour activer les DNS.
    5. Vous pouvez aussi mettre  jour votre fichier /etc/networks
       suivant vos reglages.
    6. Redmarrer les services conserns ou plus simplement, redmarrez
       votre machine.
    7. Faites un ping : ping 192.168.0.1 pour tester votre connexion avec
       la passerelle.
       (Ceci est juste un test du LAN INTERNE, vous ne pouvez pas encore
       pinguer le monde exterieur.) Si vous ne recevez pas de rponses de
       vos PINGs, vrifiez votre configuration rseau.

4.5 Configuration de DOS avec le package NCSA Telnet

    1. Si vous n'avez pas encore install votre carte rseau ou ses
       drivers, faites le maintenant. L'explication de ces tapes sort du
       cadre de ce document.
    2. Chargez les drivers correspondants. Par exemple : pour la carte
       Ethernet NE2000 sur le port d'E/S 300 et d'IRQ 10, tappez nwpd
       0x60 10 0x300
    3. Crez un nouveau rpertoire et dezippez le package NCSA Telnet :
       pkunzip tel2308b.zip
    4. Utilisez un diteur de texte pour ouvrir le fichier config.tel
    5. Modifiez myip=192.168.0.x (1 < x < 255), et netmask=255.255.255.0
    6. Dans cet exemple, vous devriez mettre : hardware=packet,
       interrupt=10, ioaddr=60
    7. Vous devriez avoir au moins une machine comme passerelle, i.e. la
       machine Linux :

name=default
host=votreMachineLinux
hostip=192.168.0.1
gateway=1

    8. Entrez aussi les spcifications de votre serveur DNS :

name=dns.domain.com ; hostip=123.123.123.123; nameserver=1

       NB : remplacez les information ci-dessus par les informations DNS
       qu'utilisent le serveur Linux
    9. Sauvegarder votre fichier config.tel
   10. Faites un telnet vers le serveur linux pour tester la connexion
       reseau : telnet 192.168.0.1. Si vous ne recevez pas de rponse,
       vrifiez votre configuration rseau.

4.6 Configuration d'une machine tournant sous MacOS et MacTCP

    1. Si vous n'avez pas encore install votre carte rseau ou ses
       drivers, faites le maintenant. L'explication de ces tapes sort du
       cadre de ce document.
    2. Ouvrez le _tableau de bord MacTCP_. Slection les bons drivers
       rseaux (Ethernet, PAS EtherTalk) et cliquez sur le bouton
       _'More...'_.
    3. Dans _'Obtain Address:'_, cliquez sur _'Manually'_.
    4. Dans _'Adresse IP:'_, slectionnez _class C_ du menu droulant.
       Ignorez le reste de cette boite de dialogue.
    5. Remplissez les informations ncessaires dans _'Adresses Serveurs
       de Noms :'_.
    6. Dans _'Adresse Passerelle :'_, entrez 192.168.0.1
    7. Cliquez sur _'OK'_ pour sauvegarder vos rglages. Dans la fentre
       principale de _MacTCP_, entrez l'adresse IP de votre Mac
       (192.168.0.x, 1 < x < 255) dans le champs _'Adresse IP :'_.
    8. Fermez le _Tableau de Bord MacTCP_. Si un dialogue vous demande de
       redmarrer, faites le.
    9. Vous pouvez aussi faire un ping vers le serveur Linux pour tester
       la connexion de votre rseau. Si vous avez le freeware _MacTCP
       Watcher_, cliquez sur le bouton _'Ping'_, et entrez l'adresse de
       votre serveur linux (192.168.0.1) dans le dialogue qui apparat.
       (Ceci est juste un test du LAN INTERNE, vous ne pouvez pas encore
       pinguer le monde exterieur.) Si vous ne recevez pas de rponses de
       vos PINGs, vrifiez votre configuration rseau.
   10. Vous pouvez eventuellement crer un fichier Hosts dans le Dossier
       Systme pour pouvoir utiliser des noms de machines sur votre LAN.
       Ce fichier existe probablement dj dans votre Dossier Systme et
       devrait contenir quelques exemples (en commentaire donc
       dsactives) que vous pouvez modifier suivant vos besoins.

4.7 Configuration d'une machine tournant sous MacOS et Open Transport

    1. Si vous n'avez pas encore install votre carte rseau ou ses
       drivers, faites le maintenant. L'explication de ces tapes sort du
       cadre de ce document.
    2. Ouvrez le _Tableau de Bord TCP/IP_ et choisissez _'Mode
       Utilisateur...'_ dans le menu _Edit_. Verifiez que le mode en
       cours est au moins sur _'Avanc'_ et cliquez sur le bouton _'OK'_.
    3. Choisissez ensuite _'Configurations...'_ dans le menu _Fichier_.
       Slectionnez la configuration _'Par Defaut'_ et cliquer sur
       _'Dupliquer...'_. Entrez 'IP Masq' (ou quelquechose que vous
       reconnaitrez comme une configuration spciale) dans le dialogue de
       _'Dupliquer la Configuration'_, qui vous dit sans doute
       quelquechose du style _'Par Defaut copie'_. Cliquez ensuite sur le
       bouton _'OK'_, et finalement sur le bouton _'Selectionner'_
    4. Selectionnez _'Ethernet'_ dans le menu deroulant _'Connexion :'_.
    5. Selectonnez l'article appropri dans le menu droulant
       _'Configuration:'_. Si vous ne savez pas ce qu'il faut choisir,
       c'est que vous devez probablement choisir le mme article celui de
       votre configuration _'Par Defaut'_ et quittez. Moi j'utilise
       _'Manuellement'_.
    6. Entrez l'adresse IP de votre Mac (192.168.0.x, 1 < x < 255) dans
       le champ _'Adresse IP :'_.
    7. Entrez 255.255.255.0 dans le champ _'Masque sous-reseau :'_.
    8. Entrez 192.168.0.1 dans le champ _'Adresse du Routeur :'_.
    9. Entrez les Adresses IP de vos serveurs DNS dans le champ _'Adr.
       Serv. de Noms :'_.
   10. Entrez votre nom domaine de recherche Internet (ex :
       'microsoft.com') dans le champ _'Domaine de Dpart'_ en dessous de
       _'Domaine de recherche implicite :'_.
   11. Les procdures qui suivent sont optionnels. Des valeurs incorrects
       peuvent causer un comportement erratique. Si vous n'tes pas sr
       de ce que vous faites, c'est sans doute plus sr de les laisser
       vides, non-cochs et/ou non slectionns. Retirez les informations
       de ces champs si ncessaire. A ma connaissance, il n'est pas
       possible, au travers des dialogues de TCP/IP, de dire au systme
       de ne pas utiliser un fichier "Hosts" prcdement slectionn. Si
       vous savez comment faire, faites moi en part.
       Cochez la case _'802.3'_ si votre rseau a besoin des fentres de
       type 802.3.
   12. Cliquez sur _'Options...'_et vrifiez que TCP/IP est actif.
       J'utilise l'option _'Charger uniquement au besoin'_. Si vous
       lancez et quittez souvent des applications TCP/IP sans redmarrer,
       vous trouverez sans doute, que dcocher l'option _'Charger
       uniquement au besoin'_va empcher/rduire les effets de la gestion
       de la mmoire sur vos machines. Quand cette option est dcoche,
       les piles du protocole TCP/IP sont toujours charges et
       disponibles. Quand cette option est coche, les piles TCP/IP sont
       charges automatiquement quand il le faut et sont ensuite
       dcharges (unloaded). C'est ce chargement/dchargement qui
       provoque la fragmentation de la mmoire de vos machines.
   13. Vous pouvez aussi faire un ping vers le serveur Linux pour tester
       la connexion de votre rseau. Si vous avez le freeware _MacTCP
       Watcher_, cliquez sur le bouton _'Ping'_, et entrez l'adresse de
       votre serveur linux (192.168.0.1) dans le dialogue qui apparat.
       (Ceci est juste un test du LAN INTERNE, vous ne pouvez pas encore
       pinguer le monde extrieur.) Si vous ne recevez pas de rponses de
       vos PINGs, vrifiez votre configuration rseau.
   14. Vous pouvez eventuellement crer un fichier Hosts dans le Dossier
       Systme pour pouvoir utiliser des noms de machines sur votre LAN.
       Ce fichier existe probablement dj dans votre Dossier Systme et
       devrait contenir quelques exemples (en commentaire donc
       dsactivs) que vous pouvez modifier suivant vos besoins. Sinon,
       vous pouvez rcuprer une copie d'une machine qui tourne sous
       MacTCP ou simplement crer le votre (il suit un sous format des
       fichiers UNIX /etc/hosts, dcrit dans la RFC952). Une fois ce
       fichier cr, ouvrez le _Tableau de Bord TCP/IP_, cliquez sur
       bouton _'Choisir un fichier "Hosts"...'_, et choisissez le fichier
       Hosts.
   15. Cliquez sur la case de fermeture ou choisissez _'Fermer'_ ou
       _'Quitter'_ dans le menu _Fichier_, et cliquez ensuite sur
       _'Sauvegarder'_ pour enregistrer vos changements.
   16. Les changements prennent effet immediatement mais un petit
       redmerrage ne ferait pas de mal non plus.

4.8 Configuration du rseau Novell sous DNS

    1. Si vous n'avez pas encore install votre carte rseau ou ses
       drivers, faites le maintenant. L'explication de ces tapes sort du
       cadre de ce document.
    2. Tlchargez tcpip16.exe ici : The Novell LanWorkPlace page
    3.
edit c:\nwclient\startnet.bat
       : (voici une copie du mien)
SET NWLANGUAGE=ENGLISH
LH LSL.COM
LH KTC2000.COM
LH IPXODI.COM
LH tcpip
LH VLM.EXE
F:
    4.
edit c:\nwclient\net.cfg
       : (changer le lien du driver vers le votre i.e. NE2000)
Link Driver KTC2000
        Protocol IPX 0 ETHERNET_802.3
        Frame ETHERNET_802.3
        Frame Ethernet_II
        FRAME Ethernet_802.2

NetWare DOS Requester
           FIRST NETWORK DRIVE = F
           USE DEFAULTS = OFF
           VLM = CONN.VLM
           VLM = IPXNCP.VLM
           VLM = TRAN.VLM
           VLM = SECURITY.VLM
           VLM = NDS.VLM
           VLM = BIND.VLM
           VLM = NWP.VLM
           VLM = FIO.VLM
           VLM = GENERAL.VLM
           VLM = REDIR.VLM
           VLM = PRINT.VLM
           VLM = NETX.VLM

Link Support
        Buffers 8 1500
        MemPool 4096

Protocol TCPIP
        PATH SCRIPT     C:\NET\SCRIPT
        PATH PROFILE    C:\NET\PROFILE
        PATH LWP_CFG    C:\NET\HSTACC
        PATH TCP_CFG    C:\NET\TCP
        ip_address      192.168.0.xxx
        ip_router       192.168.0.1
Changez votre adresse IP dans le champs "ip_address" si dessus (192.168.0.x, 1
< x < 255)
et crez enfin le fichier c:\bin\resolv.cfg:

SEARCH DNS HOSTS SEQUENTIAL
NAMESERVER xxx.xxx.xxx.xxx
NAMESERVER yyy.yyy.yyy.yyy
    5. Maintenant modifiez les entres "NAMESERVER" et remplacez less
       avec les adresses IP correctes pour votre serveur DNS local.
    6. Faites un ping : ping 192.168.0.1 pour tester votre connexion avec
       la passerelle.
       (Ceci est juste un test du LAN INTERNE, vous ne pouvez pas encore
       pinguer le monde extrieur.) Si vous ne recevez pas de rponses de
       vos PINGs, vrifiez votre configuration rseau.

4.9 Configuration d'OS/2 Warp

   NDT : je ne connais pas OS/2 et ne sais pas s'il existe une version
   francaise de ce systme.

    1. Si vous n'avez pas encore install votre carte rseau et recompil
       votre noyau avec les drivers correspondants, faites le maintenant.
       L'explication de ces tapes sort du cadre de ce document.
    2. Installez le protocole TCP/IP si vous ne l'avez pas dj fait.
    3. Allez dans _Programs/TCP/IP (LAN) / TCP/IP_ Settings
    4. Dans le champ _'Network'_ ajoutez votre Adresse TCP/IP
       (192.168.0.x) et rglez votre masque de sous-rseau
       (255.255.255.0)
    5. Sous _'Routing'_ cliquez sur _'Add'_. Comme _Type_ mettez
       _'default'_ et tappez l'Adresse IP de votre serveur Linux dans le
       champ _'Router Address'_. (192.168.0.1).
    6. Mettez les adresses des serveurs DNS (Serveurs de Noms)
       qu'utilisent votre serveur Linux dans _'Hosts'_.
    7. Fermez le tableau de bord TCP/IP. Rpondez par oui aux questions
       qui suivent.
    8. Redmarrez votre systme
    9. Vous pouvez faire un ping vers votre serveur Linux pour tester
       votre configuration rseau. Tappez 'ping 192.168.0.1' dans la
       fenetre de prompt d'OS/2. Si vous recevez les packets ping, c'est
       que tout ce passe bien.

4.10 Configuration d'OS/400 sur un IBM AS/400

   La configuration de TCP/IP sur OS/400 version V4R1M0 sur un AS/400
   dpasse le cadre de ce document.

   1) Pour pouvoir configurer toute tche de communication sur votre
   AS/400, vous devez avoir le privilge spcial *IOSYSCFG (I/O System
   Configuration) dans votre profile utilisateur. Vous pouvez verifier
   les caractristiques de votre profil utilisateur avec la commande
   DSPUSRPRF

   2) Tappez la commande GO CFGTCP pour accder au menu de configuration
   de TCP/IP.

   3) Selectionnez Option 2 - Work with TCP/IP Routes.

   4) Entrer un 1 dans le champs Opt pour ajouter une route * dans Route
   Destination (Route de Destination) tappez *DFTROUTE * dans Subnet Mask
   (Masque de sous reseau) tappez *NONE * dans Type of Service (Type de
   Service) tappez *NORMAL * dans Next Hop (Prochain saut) tappez
   l'adresse IP de votre passerelle (le serveur linux)

4.11 Configuration des autres Systmes

   La mme logique devrait s'appliquer pour les rglages sur les autres
   plateformes. Consultez les sections prcdentes. Si vous tes
   intrsss par la rdaction des mthodes pour les systmes qui n'ont
   pas encore t traits, vous pouvez envoyer par email les instructions
   dtaills  ambrose@writeme.com et dranch@trinnet.net.

5. Tester IP Masquerade

   Enfin, il est temps de faire un essai officiel de l'IP Masquerading
   aprs ce dur labeur. Si vous n'avez pas encore redmarr votre serveur
   Linux, faites le pour tre sur que la machine dmarre bien, excute
   les scripts /etc/rc.d/rc.firewall etc. Ensuite, vrifiez que les
   connexions internes de votre LAN et les connexions de votre serveur
   Linux avec Internet fonctionnent bien.

   Faites ces -10- tests pour tre sur que les diffrents aspects de
   votre configuration MASQ fonctionnent correctement :

5.1 Tester les connexions locales

     * _Premire Etape : Tester les connexions locales entre les PC_
       A partir d'un ordinateur MASQu interne, essayez de pinguer sa
       propre adresse IP locale (i.e. _ping 192.168.0.10 _). Ce test va
       vrifier que TCP/IP fonctionne bien sur la machine locale. Presque
       tous les systmes d'exploitation modernes ont une commande ping
       integre. Si ce ping ne fonctionne pas, vrifiez que vous avez
       correctement configur le PC MASQu comme dcrit plus tt dans la
       section Configuring-clients de ce HOWTO. L'output devrait
       ressembler  a (faire Control-C pour arrter le ping) :
         _____________________________________________________________

masq-client# ping 192.168.0.10
PING 192.168.0.10 (192.168.0.10): 56 data bytes
64 bytes from 192.168.0.10: icmp_seq=0 ttl=255 time=0.8 ms
64 bytes from 192.168.0.10: icmp_seq=1 ttl=255 time=0.4 ms
64 bytes from 192.168.0.10: icmp_seq=2 ttl=255 time=0.4 ms
64 bytes from 192.168.0.10: icmp_seq=3 ttl=255 time=0.5 ms

--- 192.168.0.10 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 0.4/0.5/0.8 ms
         _____________________________________________________________

5.2 Tester les connexions internes du serveur Linux

     * _Deuxime Etape : Tester les connexions internes du serveur Linux_
       Sur le serveur MASQ lui-mme, pinguez l'adresse IP de l'interface
       rseau du serveur MASQ (i.e. _ping 192.168.0.1_). L'outpout
       devrait ressembler  a (faire Control-C pour arreter le ping) :
         _____________________________________________________________

masq-client# ping 192.168.0.1
PING 192.168.0.1 (192.168.0.1): 56 data bytes
64 bytes from 192.168.0.1: icmp_seq=0 ttl=255 time=0.8 ms
64 bytes from 192.168.0.1: icmp_seq=1 ttl=255 time=0.4 ms
64 bytes from 192.168.0.1: icmp_seq=2 ttl=255 time=0.4 ms
64 bytes from 192.168.0.1: icmp_seq=3 ttl=255 time=0.5 ms

--- 192.168.0.1 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 0.4/0.5/0.8 ms
         _____________________________________________________________

5.3 Tester la Connection Externe du serveur Linux

     * _Troisime Etape : Tester la Connection Externe du serveur Linux_
       Ensuite pinguez l'adresse IP de l'interface rseau externe (carte
       rseau connecte  Internet). Cette adresse peut tre reue par
       PPP, Ethernet, etc. C'est la connexion vers votre FAI. Si vous ne
       connaissez pas cette adresse IP, executez la commande Linux
       _"/sbin/ifconfig"_ sur le serveur MASQ Linux. L'output devrait
       ressembler  a (nous cherchons l'adresse IP de l'interface eth0)
       :
         _____________________________________________________________

eth0      Link encap:Ethernet  HWaddr 00:08:C7:A4:CC:5B
          inet addr:12.13.14.15  Bcast:64.220.150.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6108459 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5422798 errors:8 dropped:0 overruns:0 carrier:8
          collisions:4675 txqueuelen:100
          Interrupt:11 Base address:0xfcf0
         _____________________________________________________________

       Nous pouvons voir dans cet example que l'adresse IP externe est
       "12.13.14.15". Bon, maintenant que vous avez votre adresse IP
       aprs avoir lanc la commande "ifconfig", pinguez votre adresse IP
       externe. Nous aurons ainsi la confirmation que le serveur MASQ a
       bien toutes les connexions rseaux. L'outpout devrait ressembler 
       a (faire Control-C pour arrter le ping) :
         _____________________________________________________________

masq-server# ping 12.13.14.15
PING 12.13.14.15 (12.13.14.15): 56 data bytes
64 bytes from 12.13.14.15: icmp_seq=0 ttl=255 time=0.8 ms
64 bytes from 12.13.14.15: icmp_seq=1 ttl=255 time=0.4 ms
64 bytes from 12.13.14.15: icmp_seq=2 ttl=255 time=0.4 ms
64 bytes from 12.13.14.15: icmp_seq=3 ttl=255 time=0.5 ms

--- 12.13.14.15 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 0.4/0.5/0.8 ms
         _____________________________________________________________

       Si l'un de ces tests ne fonctionne pas, vous devez repartir en
       arrire et vrifier une seconde fois vos cablages, et vrifier que
       vos deux NICs du serveur MASQ sont vu dans "dmesg". Un exemple de
       l'output se trouve vers la fin (END) de la commande "dmesg" :
         _____________________________________________________________

.
.
PPP: version 2.3.7 (demand dialling)
TCP compression code copyright 1989 Regents of the University of California
PPP line discipline registered.
3c59x.c:v0.99H 11/17/98 Donald Becker
http://cesdis.gsfc.nasa.gov/linux/drivers/
vortex.html
eth0: 3Com 3c905 Boomerang 100baseTx at 0xfe80,  00:60:08:a7:4e:0e, IRQ 9
  8K word-wide RAM 3:5 Rx:Tx split, autoselect/MII interface.
  MII transceiver found at address 24, status 786f.
  Enabling bus-master transmits and whole-frame receives.
eth1: 3Com 3c905 Boomerang 100baseTx at 0xfd80,  00:60:97:92:69:f8, IRQ 9
  8K word-wide RAM 3:5 Rx:Tx split, autoselect/MII interface.
  MII transceiver found at address 24, status 7849.
  Enabling bus-master transmits and whole-frame receives.
Partition check:
 sda: sda1 sda2 < sda5 sda6 sda7 sda8 >
 sdb:
.
.
         _____________________________________________________________

       N'oubliez pas non plus de vrifier les configurations NIC de votre
       distrib Linux etc. suivant les recommandations qui se trouvent au
       dbut de ce HOWTO.

5.4 Tester les connexions locales des PC vers le serveur Linux

     * _Quatrime Etape : Tester les connexions locales des PC vers le
       serveur Linux_
       Sur un ordinateur interne MASQu, essayez de pinguer l'adresse IP
       de la carte Ethernet interne du serveur de Masquerading, (i.e.
       _ping 192.168.0.1_). On va ainsi vrifier que le rseau interne et
       le routage sont corrects. L'outpout devrait ressembler  a (faire
       Control-C pour arrter le ping) :
         _____________________________________________________________

masq-client# ping 192.168.0.1
PING 192.168.0.1 (192.168.0.1): 56 data bytes
64 bytes from 192.168.0.1: icmp_seq=0 ttl=255 time=0.8 ms
64 bytes from 192.168.0.1: icmp_seq=1 ttl=255 time=0.4 ms
64 bytes from 192.168.0.1: icmp_seq=2 ttl=255 time=0.4 ms
64 bytes from 192.168.0.1: icmp_seq=3 ttl=255 time=0.5 ms

--- 192.168.0.1 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 0.4/0.5/0.8 ms
         _____________________________________________________________

       Si le test choue, vrifiez les connexions entre les cartes
       Ethernet sur le serveur MASQ et les ordinateurs MASQus. En
       gnral il y a une LED derrire chaque carte Ethernet et il y en
       aussi sur les hub/switch Ethernet (si vous en utiliser un). Si
       c'est a le problme, vrifiez que l'ordinateur MASQu interne est
       configur correctement comme indiqu dans la section
       Configuring-clients . Si le client MASQu est correctement
       configur, vrifiez une seconde fois votre cablage rseau et
       vrifiez que les LED s'allument bien de chaque ct des cables
       (carte Ethernet des clients et cartes Ethernet INTERNES du serveur
       Linux).

5.5 Tester le forwarding des paquets internes MASQ ICMP

     * _Cinquime Etape : Tester le forwarding des paquets internes MASQ
       ICMP_
       A partir d'un ordinateur MASQu interne, pinguez l'adresse IP
       externe du serveur MASQ optenue  l'tape TROIS ci-dessus. Cette
       adresse est votre adresse PPP, Ethernet, etc. fournie par votre
       FAI. Ce ping va prouver que le masquerading fonctionne
       (spcifiquement ICMP Masquerading).
       Si ca ne marche pas, vrifiez d'abord que la "Passerelle par
       Defaut" du PC MASQu pointe vers l'adresse IP du serveur MASQ
       interne. Vrifiez aussi que le script /etc/rc.d/rc.firewall a
       fonctionn sans erreurs. Juste pour faire un test, lancer de
       nouveau le script /etc/rc.d/rc.firewall pour voir si tout se passe
       bien. Vrifiez aussi, puisque la plupart des noyaux le grent par
       defaut, que vous avez activ l'"ICMP Masquerading" dans la
       configuration noyau et que vous avez aussi activ l'"IP
       Forwarding" dans votre script /etc/rc.d/rc.firewall.
       Si vous ne pouvez toujours pas faire fonctionner tout a, jetez un
       coup d'oeil  l'output de cette commande sur votre serveur Linux
       MASQ :
          + "_ifconfig_" : Vrifiez que l'interface de votre connexion
            Internet (ppp0, eth0, etc.) est UP (en route) et que vous
            avez la bonne adresse IP pour votre connexion  Internet. Un
            exemple d'output est donne a l'ETAPE TROIS ci-dessus.
          + "_netstat -rn_" : Vrifiez que la passerelle par defaut (le
            .1 avec les adresses IP dans la colonne Gateway) est active.
            Par exemple, l'output devrait ressembler  ca :
              ________________________________________________________

masq-server# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.0.1     0.0.0.0         255.255.255.255 UH        0 16384      0 eth1
12.13.14.15     0.0.0.0         255.255.255.255 UH        0 16384      0 eth0
12.13.14.0      0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U         0 16384      0 lo
0.0.0.0         12.13.14.1      0.0.0.0         UG        0 16384      0 eth0
              ________________________________________________________

            Vous avez remarqu que la DERNIERE ligne commenait par
            0.0.0.0? Vous avez remarqu qu'il y a une adresse IP dans le
            champ "Gateway" ? Vous devriez mettre une adresse IP pour
            votre propre configuration dans ce champ.
          + "_cat /proc/sys/net/ipv4/ip_forward_" : Vrifiez que vous
            avez un "1" qui montre que le forwarding sous Linux
            fonctionne
          + Lancez la commande "_/sbin/ipchains -n -L_" pour les
            utilisateurs du 2.2.x ou "_/sbin/ipfwadm -F -l_" pour les
            utilisateurs du 2.0.x. Regardez aussi la section sur le
            FORWARDing pour vrifier que vous avez activ MASQ. Voici un
            exemple de l'output d'IPCHAINS pour les utilisateurs des
            rgles naives rc.firewall :
              ________________________________________________________

.
.
Chain forward (policy REJECT):
target     prot opt     source                destination           ports
MASQ       all  ------  192.168.0.0/24       0.0.0.0/0             n/a
ACCEPT     all  ----l-  0.0.0.0/0            0.0.0.0/0             n/a
.
.
              ________________________________________________________

5.6 Tester le forwarding de paquets MASQ ICMP externes

     * _Sixime Etape : Tester le forwarding de paquets MASQ ICMP
       externes_
       Essayer de pinguer  partir d'un ordinateur MASQu interne une IP
       static d'Internet (i.e. _ping 152.19.254.81_ (c'est le -
       http://metalab.unc.edu - home of MetaLabs' Linux Archive). Si ca
       ne fonctionne pas, vrifiez de nouveau votre connexion  Internet.
       Si ca ne marche toujours pas, vrifier que vous utilisez bien les
       rgles naives rc.firewall et que vous avez bien compil l'ICMP
       Masquerading dans votre noyau linux. Vrifiez aussi que vos rgles
       qui activent IP MASQ pointent vers la bonne interface EXTERNE.

5.7 Tester le fonctionnement de MASQ sans DNS

     * _Septime Etape : Tester le fonctionnement de MASQ sans DNS_
       Maintenant essayez de vous connecter par Telnet  une adresse IP
       distante (i.e. _telnet 152.2.254.81_ (metalab.unc.edu - NB : ca
       peut prendre du temps avant que vous ne voyiez apparatre le
       prompt de login parce que c'est un serveur TRES charg). Avez vous
       reu le prompt du login aprs un certain laps de temps ? Si a a
       march, c'est que le TCP Masquerading fonctionne bien. Si a n'a
       pas march, essayez de faire un Telnet vers un autre serveur qui
       pourrait accepter les TELNET, comme 198.182.196.55
       (www.linux.org). Si ca ne fonctionne toujours pas, vrifiez que
       vous utilisez bien les rgles naives rc.firewall. Un exemple de ce
       que vous devriez voir est donne ici (pressez Control-D pour sortir
       de TELNET) :
         _____________________________________________________________

masq-client# telnet 152.2.254.81
Trying 152.2.254.81...
Connected to 152.2.254.81.
Escape character is '^]'.


SunOS 5.7


******************** Welcome to MetaLab.unc.edu *******************

 To login to MetaLab as a user, connect to login.metalab.unc.edu.
           This machine allows no public telnet logins.

login: Connection closed by foreign host.
         _____________________________________________________________

5.8 Tester le fonctionnement de MASQ avec DNS

     * _Huitime Etape : Tester le fonctionnement de MASQ avec DNS_
       Maintenant essayez de faire un TELNET vers un HOSTNAME (i.e.
       _"telnet metalab.unc.edu"_ (152.2.254.81). Si a marche, c'est que
       le DNS fonctionne bien aussi. Si a ne marche pas mais que l'etape
       SIX fonctionnait, vrifiez que vous avez entr des DNS valides
       dans votre ordinateur MASQu comme le montre la section
       Configuring-clients .

5.9 Tester plus de fonctionnalits de MASQ avec DNS

     * _Neuvime Etape : Tester plus de fonctionnalits de MASQ avec DNS_
       Comme dernier test, essayez de surfer sur quelques sites
       _'INTERNET'_ WWW  partir des vos machines _MASQues_, et regardez
       si ca fonctionne. Par exemple, accedez au site Linux Documentation
       Project. Si a marche, vous pouvez tre presque sr que tout
       fonctionne BIEN ! Si certains sites ne fonctionnent pas bien la o
       les autres semblent fonctionner correctement, regardez les tapes
       suivantes pour essayer de trouvez les causes.
       Si vous voyez la page d'accueil de la The Linux Documentation
       Project, alors, _FELICITATIONS ! Ca marche !_ Si ce site Web
       s'affiche correctement, alors tous les autres protocoles rseaux
       standards tels que PING, TELNET, SSH, et avec leurs modules IP
       MASQ respectifs chargs : FTP, Real Audio, IRC DCCs, Quake
       I/II/III, CuSeeme, VDOLive, etc. devraient aussi fonctionner
       correctement ! Si FTP, IRC, RealAudio, Quake I/II/III, etc. ne
       fonctionnent pas correctement, ou de manire peu performante,
       vrifiez que leurs modules Masquerading associs sont chargs en
       lancant la commande "lsmd" et vrifiez aussi que vous chargez les
       modules quand les ports ne sont pas les ports par dfaut. Si vous
       ne voyez pas les modules dont vous avez besoin, vrifiez que le
       script /etc/rc.d/rc.firewall les charge bien (i.e. enlevez les
       caractres # pour un module IP MASQ donn).

5.10 S'il reste des problmes de fonctionnement, performances etc.

     * _Dixime Etape : S'il reste des problmes de fonctionnement,
       performances etc._
       Si votre systme a pass avec succs tous les tests mais que
       quelques trucs genre le surf sur les sites WWW, le FTP, et
       d'autres types de traffic ne sont pas fiables, je vous recommande
       de lire l'entre MTU-issues de la FAQ dans la Section 7. Il peut
       aussi y avoir d'autres lments de la FAQ qui puissent vous aider
       autant que les nombreux utilisateurs qu'ils ont aids par le
       pass.

6. Autres problmes relatifs  IP Masquerade et  la compatibilit logicielle

6.1 Problmes avec IP Masquerade

   Certaines applications des protocoles TCP/IP ne fonctionnent pas
   actuellement avec l'IP Masquerading sous Linux parce que soit ils
   supposent des choses sur les numros de port soit ils encodent sur les
   adresses TCP/IP et/ou les numros de port dans leur flux de donnes.
   Ces derniers protocoles ont besoin de proxies ou de modules IP MASQ
   spcifiques pour fonctionner correctement dans le code de
   masquerading.

6.2 Services entrant

   Par dfaut, Linux IP Masquerading ne peut pas du tout prendre en
   charge les services entrant mais il y a quelques faons de les lui
   faire accepter.

   Si vous n'avez pas besoin de beaucoup de securit, vous pouvez
   simplement forwarder ou rdiriger les ports IP. Il y a plusieurs faon
   de faire a mais la plus stable est d'utiliser IPPORTFW. Pour plus
   d'informations, reportez vous  la section Forwarders .

   Si vous dsirez avoir un certain niveau d'autorisation sur les
   connexions entrantes, vous aurez besoin de configurer soit des
   TCP-wrappers, soit Xinetd pour permettre la connexion d'adresses IP
   specifiques. Un bon endroit o trouver des utilitaires et de la
   documentation est le TIS Firewall Toolkit.

   De plus amples dtails sur la securit entrante peuvent tre trouvs
   dans le document TrinityOS et a l' IP Masquerade Resource.

6.3 Compatibilit Logicielle et autres notes sur la configuration

     _** La Linux Masquerade Application list a une tonne d'informations
     au sujet des applications qui fonctionnent  travers l'IP
     Masquerading sous Linux. Ce site a rcemment t pris en charge par
     Steve Grevemeyer qui l'a dot d'une base de donnes complte. C'est
     une source exceptionnelle !_

   En gnral, toute application qui utilise le TCP et l'UDP standards
   devrait fonctionner. Si vous avez des suggestions, des indications
   etc. reportez vous  l' IP Masquerade Resource pour de plus amples
   dtails.

  Clients Rseaux qui -Fonctionnent- avec IP Masquerade

   Clients Gnraux:

   _Archie_
          toutes les plateformes compatibles, clients pour la recherche
          de fichiers (tous les clients archie ne sont pas compatibles)

   _FTP_
          toutes les plateformes compatibles, avec le module noyau
          _ip_masq_ftp.o_ pour les connexions FTP actives.

   _Gopher client_
          toutes les plateformes compatibles

   _HTTP_
          toutes les plateformes compatibles, WWW surfing

   _IRC_
          toutes les plateformes compatibles, DCC est compatible via le
          module _ip_masq_irc.o_

   _NNTP (USENET)_
          toutes les plateformes compatibles, USENET news client

   _PING_
          toutes les plateformes compatibles, avec le module noyau ICMP
          Masquerading

   _POP3_
          toutes les plateformes compatibles, clients email

   _SSH_
          toutes les plateformes compatibles, TELNET/FTP clients
          scuriss

   _SMTP_
          toutes les plateformes compatibles, serveurs d'email tels que
          Sendmail, Qmail, PostFix, etc.

   _TELNET_
          toutes les plateformes compatibles, session distante

   _TRACEROUTE_
          versions sous UNIX et Windows, quelques variantes pourraient ne
          pas fonctionner (NDT : fonctionne aussi sous MacOS)

   _VRML_
          Windows(peut-tre toutes les plateformes compatibles), virtual
          reality surfing

   _client WAIS_
          toutes les plateformes compatibles

   Clients Multimedia et Communication:

   _Toutes les applications H.323_
          - MS Netmeeting, Intel Internet Phone Beta , et autres
          applications H.323 - Il y a maintenant deux faons de faire
          fonctionner ces clients aux travers de connexions MASQues :

          Il y a un module BETA stable disponible sur le MASQ WWW site ou
          sur http://www.coritel.it/projects/sofia/nat.html pour utiliser
          Microsoft Netmeeting v3.x sous les noyaux 2.2.x. Il y aussi un
          autre module sur le site Web de MASQ spcifique  Netmeeting
          2.x pour les noyaux 2.0.x mais il n'est pas compatible avec
          Netmeeting v3.x.

          Une autre solution, commerciale, et la passerelle Equivalence's
          PhonePatch H.323.

   _Alpha Worlds_
          Windows, Client-Serveur 3D programme de tchatche

   _CU-SeeMe_
          toutes les plateformes compatibles, avec le module
          _ip_masq_cuseeme_ charg, reportez vous SVP  la section CuSeeme
          pour de plus amples dtails.

   _ICQ_
          Tous les clients sont compatibles. Requiert un noyau compil
          avec la compatibilit IPPORTFW et ICQ configur comme tant
          derrire un proxy NON-SOCKS. Une description complte de cette
          configuration est disponible  la section ICQ .

   _Internet Phone 3.2_
          Windows, communications audio Peer-to-peer, vous pouvez entrer
          en communication avec quelqu'un seulement si vous tes
          l'appelant, vous ne pouvez tre appel sans un port forwarding
          spcifique. Reportez vous  la section Forwarders pour de plus
          amples dtails.

   _Internet Wave Player_
          Windows, streaming audio par Internet

   _Powwow_
          Windows, communications textuelles peer-to-peer, vous pouvez
          entrer en communication avec quelqu'un seulement si vous tes
          l'appelant, vous ne pouvez tre appel sans un port forwarding
          spcifique. Reportez vous  la section Forwarders pour de plus
          amples dtails.

   _Real Audio Player_
          Windows, streaming audio par Internet, vous obtiendrez de
          meilleurs rsultats avec le module UDP _ip_masq_raudio_

   _True Speech Player 1.1b_
          Windows, streaming audio par Internet

   _VDOLive_
          Windows, avec le patch _ip_masq_vdolive_

   _Worlds Chat 0.9a_
          Windows, Client-Serveur 3D programme de tchatche

   Jeux - Reportez vous  la section LooseUDP pour de plus amples dtails
   sur le patch LooseUDP

   _Battle.net_
          Fonctionne mais requiert les ports TCP 116 et 118 et les ports
          UDP 6112 IPPORTFWs vers la machine de jeu. reportez vous  la
          section Forwarders pour de plus amples dtails. Veuillez notez
          que les serveurs FSGS et Bnetd requirent toujours IPPORTFW
          puisqu'ils n'ont pas t rcrits pour tre compatibles NAT.

   _BattleZone 1.4_
          Fonctionne avec le patch LooseUDP et les nouveaux .DLLs
          Activision compatibles NAT.

   _Dark Reign 1.4_
          Fonctionne avec le patch LooseUDP ou requiert les ports TCP 116
          et 118 et les ports UDP 6112 IPPORTFWs vers la machine de jeu.
          Reportez vous  la section Forwarders pour de plus amples
          dtails.

   _Diablo_
          Fonctionne avec le patch LooseUDP ou requiert les ports TCP 116
          et 118 et les ports UDP 6112 IPPORTFWs vers la machine de jeu.
          Les nouvelles versions de Diablo n'utilisent que le port TCP
          6112 et le port UDP 6112. Reportez vous  la section Forwarders
          pour de plus amples dtails.

   _Heavy Gear 2_
          Fonctionne avec le patch LooseUDP ou requiert les ports TCP 116
          et 118 et les ports UDP 6112 IPPORTFWs vers la machine de jeu.
          Reportez vous  la section Forwarders pour de plus amples
          dtails.

   _Quake I/II/III_
          Fonctionne directement mais requiert le module _ip_masq_quake_
          s'il y a plus d'un joueur de Quake I/II/III derrire le serveur
          MASQ. Ce module n'est compatible qu'avec Quake I et QuakeWorld
          par dfaut. Si vous voulez utiliser Quake II ou des ports non
          standard pour le server, reportez vous  la section
          d'installation des modules dans les jeux de rgles
          rc.firewall-2.0.x et rc.firewall-2.2.x .

   _StarCraft_
          Fonctionne avec le patch LooseUDP ou requiert les ports TCP et
          UDP 6112 IPPORTFWs vers la machine de jeu. Reportez vous  la
          section Forwarders pour de plus amples dtails.

   _WorldCraft_
          Fonctionne avec le patch LooseUDP

   Autres Clients:

   _package Linux net-acct _
          Linux, package d'administration des comptes  distance

   _NCSA Telnet 2.3.08_
          DOS, une suite contenant telnet, ftp, ping, etc.

   _PC-anywhere pour Windows _
          MS-Windows, Controle  distance un PC par TCP/IP, fonctionne
          uniquement si c'est un client. Ne fonctionne pas sans un port
          forwarding spcifique si c'est le serveur. Reportez vous  la
          section Forwarders pour de plus amples details.

   _Socket Watch_
          utilise NTP - protocole d'horloge rseau

  Clients qui ne sont pas entirement compatibles avec IP MASQ :

   _Intel Streaming Media Viewer Beta 1_
          Impossible de se connecter au serveur

   _Netscape CoolTalk_
          Impossible de se connecter a l'hte distant

   _WebPhone_
          Ne fonctionne pas (Il fait des suppositions erronnes au sujet
          des adresses).

6.4 Jeux de rgles de d'IP Firewall (IPFWADM) plus rsistants (Stronger)

   Cette section fournit un guide plus detaill d'utilisation de l'outil
   de firewall pour 2.0.x, IPFWADM. Reportez vous si dessous pour les
   rgles d'IPCHAINS.

   Voici un exemple d'un systme de firewall/masquerade derrire une
   connexion PPP avec une adresse PPP statique (les instructions pour les
   connexions PPP dynamiques sont incluses mais dsactives). L'interface
   de confiance est 192.168.0.1 et l'adresse IP de l'interface PPP a t
   change pour protger le coupable :). J'ai list chaque interface
   entrante et sortante pour dtecter aussi bien les IP spoofings que les
   faux routage et/ou masquerading. Tout ce qui n'est pas explicitement
   permis est _INTERDIT_ (euh... rejet en fait). Si votre serveur IP
   MASQ ne fonctionne plus aprs avoir implment ce script rc.firewall,
   vrifiez que vous l'avez modifi pour votre propre configuration et
   contrlez votre fichier SYSLOG /var/log/messages ou /var/adm/messages
   pour trouver d'ventuels erreurs de firewall.

   Pour des exemples plus exhaustifs de rgles strong' d'IPFWADM IP
   Masquerad pour PPP, modem pour cable, etc., vous pouvez vous rfrer
    TrinityOS - Section 10 et GreatCircle's Firewall WWW page

   _NB:_ Si vous avez une adresse TCP/IP assigne de facon dynamique par
   votre FAI (PPP, aDSL, Cable, etc.) vous _NE POUVEZ PAS CHARGER_ ces
   rgles strong' au moment du boot. Vous aurez soit  relancer le jeu
   de rgles de ce firewall  CHAQUE FOIS que vous avez une nouvelle
   adresse IP soit faire un /etc/rc.d/rc.firewall plus intelligent. Pour
   faire ceci pour les utilisateurs de PPP, lisez attentitevement et
   enlever les marques de commentaires les lignes correspondantes dans la
   section recuperation d'IP PPP dynamique ci-dessous. Vous pouvez
   aussi trouver de plus amples dtails dans le documentation TrinityOS -
   Section 10 sur les jeux de rgles Strong' et les adresses IP
   dynamiques.

   _Veuillez aussi noter qu'il existe plusieurs utilitaires de cration
   de Firewall qui possdent des interfaces graphiques. Vous pouvez vous
   reporter  la section FAQ pour des dtails complets._

   Enfin, si vous utilisez une adresse IP STATIQUE obtenue par PPP,
   changez la ligne "ppp_ip="votre.adresse.PPP.statique" par votre
   adresse.

   ----------------------------------------------------------------

#!/bin/sh
#
# /etc/rc.d/rc.firewall: Un exemple de jeu de regles d'un firewall IPFWADM semi
-STRONG IPFWADM
#

PATH=/sbin:/bin:/usr/sbin:/usr/bin

# on teste, attendre un peu puis effacer toutes les regles de firewall
# enlever les marques de commentaire des lignes qui suivent si vous voulez que
# le firewall se desactive automatiquement au bout de 10 mins.
# (sleep 600; \
# ipfwadm -I -f; \
# ipfwadm -I -p accept; \
# ipfwadm -O -f; \
# ipfwadm -O -p accept; \
# ipfwadm -F -f; \
# ipfwadm -F -p accept; \
# ) &

# Charge les modules necessaires a IP MASQ
#
#   NB: Charger uniquement les modules IP MASQ dont vous avez besoin. Tous les
modules
#   IP MASQ actuels sont montres ci-dessous mais sont commentes pour les empech
er de se charger.

# Necessaire pour le chargement initial des modules
#
/sbin/depmod -a

# Permet le masquerading correct des transfert de fichier par FTP avec la metho
de PORT
#
/sbin/modprobe ip_masq_ftp

# Permet le masquerading de RealAudio par UDP. Sans ce module,
#       RealAudio FONCTIONNERA mais en mode TCP. Ce qui peu causer une baisse
#       dans la qualite du son
#
#/sbin/modprobe ip_masq_raudio

# Permet le masquerading des transferts de fichier par DCC pour les IRC
#
#/sbin/modprobe ip_masq_irc


# Permet le masquerading de Quake et QuakeWorld par defaut. Ce module est
#   necessaire pour les utilisateurs multiples dirriere un server Linux MASQ. S
i vous voulez
#   jouer a Quake I, II, et III, utilisez le second exemple.
#
#   NB:  si vous rencontrez des ERREURs lors de chargement du module QUAKE, c'e
st que vous utilisez
#   un ancien noyau buggue. Mettez a jour votre noyau pour supprimer l'erreur.
#
#Quake I / QuakeWorld (ports 26000 and 27000)
#/sbin/modprobe ip_masq_quake
#
#Quake I/II/III / QuakeWorld (ports 26000, 27000, 27910, 27960)
#/sbin/modprobe ip_masq_quake 26000,27000,27910,27960


# Permet le masquerading du logiciel CuSeeme pour la video conference
#
#/sbin/modprobe ip_masq_cuseeme

# Permet le masquerading du logiciel VDO-live pour la video conference
#
#/sbin/modprobe ip_masq_vdolive


#CRITIQUE:  Active l'IP forwarding puisqu'il est desactive par defaut
#
#           Utilisateurs Redhat: vous pourrez essayer en changeant les options
dans
#                          /etc/sysconfig/network de:
#
#                       FORWARD_IPV4=false
#                             to
#                       FORWARD_IPV4=true
#
echo "1" > /proc/sys/net/ipv4/ip_forward


#CRITIQUE:  Active automatiquement l'IP defragmenting puisqu'il est desactive p
ar defaut
#           dans les noyaux 2.2.x. Ceci etait une option de compilation mais ca
 a change
#           depuis le noyau 2.2.12
#
echo "1" > /proc/sys/net/ipv4/ip_always_defrag


# Utilisateurs d'IP Dynamiques:
#
#   Si vous recevez votre adresse IP de maniere dynamique a partir d'un server
SLIP, PPP, ou
#   DHCP, activez option suivante qui active le hacking (au bon sens du terme N
DT) des
#   adresses IP dynamique dans IP MASQ, rendant ainsi les choses plus faciles p
our les
#   programmes du type Diald.
#
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr


# Specifiez ici votre adresse IP statique.
#
# Si vous avez une adresse IP DYNAMIQUE, vous devez faire trouver a ce jeu
# de regles votre adresse IP a chaque fois que vous avez une nouvelle. Dans ce
but,
# activez le script d'une ligne qui suit.

#
#   utilisateurs de DHCP :
#   ----------------------
#   Si vous recevez votre adresse TCP/IP, **vous devez** activer les commandes
#   #es sous la section PPP ET remplacer le mot "ppp0" par le nom de votre
#   de votre connexion Internet EXTERNE (eth0, eth1, etc). Notez aussi que le s
erver
#   DHCP peut changer votre adresse IP. Pour resoudre ce probleme, les utilisat
eurs
#   doivent configurer leur client DHCP de sorte qu'il relance le jeu de regles
 du firewall
#   chaque fois que leur bail DHCP est renouvele.
#
#     NB #1:  Quelques clients DHCP comme l'ancienne version de "pump" (les nou
velles
#               versions ont ete corrigees) n'avaient pas la capacit de relanc
er
#               les scripts apres une renouvellement de bail. Pour cette raison
, vous
#               aurez besoin de le remplacer par quelquechose du style "dhcpcd"
 ou "dhclient".
#
#     NB #2:  La syntaxe de "dhcpcd" a chang dans les versions recentes.
#
#               Les anciennes version avaient une syntaxe du type:
#                         dhcpcd -c /etc/rc.d/rc.firewall eth0
#
#               Les versions plus recentes ont une syntaxe du type:
#                         dhcpcd eth0 /etc/rc.d/rc.firewall
#
#     NB #3:  Pour les utilisateurs de Pump, ajouter cette ligne de commande da
ns votre
#     fichier /etc/pump.conf:
#
#                   script /etc/rc.d/rc.firewall
#
#   utilisateurs de PPP :
#   ---------------------
#   Si vous n'etes pas deja au courant, le script /etc/ppp/ip-up est toujours l
ance quand
#   une connexion PPP arrive. A cause de ca, on peut demander au jeu de regles
d'aller recuperer
#   la nouvelles adresse IP PPP et de mettre a jour notre jeu de regles du stro
ng firewall.
#
#   Si le fichier /etc/ppp/ip-up existe deja, vous devez le modifier et ajouter
 une ligne
#   contenant "/etc/rc.d/rc.firewall" pres de la fin du fichier.
#
#   Si vous n'avez pas encore de script /etc/ppp/ip-up, vous devez creer le lie
n suivant
#   pour lancer le script /etc/rc.d/rc.firewall.
#
#       ln -s /etc/rc.d/rc.firewall /etc/ppp/ip-up
#
#   * Vous devez ensuite activer les commandes #ees si dessous *
#
#
# Utilisateurs de PPP et DHCP :
# -----------------------------
# Enlevez le # de la ligne si dessous et placez un # sur la ligne suivante.
#
#ppp_ip="`/sbin/ifconfig ppp0 | grep 'inet addr' | awk '{print $2}' | sed -e 's
/.*://'`"
#
ppp_ip="your.static.PPP.address"


# MASQ timeouts
#
#  timeout de 2 heures pour les sessions TCP
#  timeout de  10 sec pour le traffic apres que le paquet TCP/IP "FIN" est recu
#  timeout de 160 sec pour le traffic UDP (Important pour les utilisateur d'ICQ
 MASQues)
#
/sbin/ipfwadm -M -s 7200 10 60


#############################################################################
# Entre (incoming), flush et politique par defaut de rejet. En fait la politiq
ue par defaut
# est inapplicable parce qu'il y une regle qui attrape tout, refuse et logue.
#
/sbin/ipfwadm -I -f
/sbin/ipfwadm -I -p reject

# interface locale, machines locales, on peut allez n'importe ou
#
/sbin/ipfwadm -I -a accept -V 192.168.0.1 -S 192.168.0.0/24 -D 0.0.0.0/0

# interface distance, pretendant etre une machine locale, IP spoofing, tire toi
#
/sbin/ipfwadm -I -a reject -V $ppp_ip -S 192.168.0.0/24 -D 0.0.0.0/0 -o

# interface distante, toute source, peut aller a l'adresse PPP permanante
#
/sbin/ipfwadm -I -a accept -V $ppp_ip -S 0.0.0.0/0 -D $ppp_ip/32

# boucler sur l'interface est valide.
#
/sbin/ipfwadm -I -a accept -V 127.0.0.1 -S 0.0.0.0/0 -D 0.0.0.0/0

# regle qui attrape tout, refuse tout autre entre et le logue. Dommage qu'il n
'y ait pas
# d'options pour le log sur cette politique mais ceci va faire le travail :
#
/sbin/ipfwadm -I -a reject -S 0.0.0.0/0 -D 0.0.0.0/0 -o


#############################################################################
# Sortie (outgoing), flush et politique par defaut de rejet. En fait la politiq
ue par defaut
# est inapplicable parce qu'il y une regle qui attrape tout, refuse et logue.
#
/sbin/ipfwadm -O -f
/sbin/ipfwadm -O -p reject

# interface locale, toute source allant vers le reseau local est valide
#
/sbin/ipfwadm -O -a accept -V 192.168.0.1 -S 0.0.0.0/0 -D 192.168.0.0/24

# sortie vers le reseau local d'une interface distance, routage bizarre, rejet
#
/sbin/ipfwadm -O -a reject -V $ppp_ip -S 0.0.0.0/0 -D 192.168.0.0/24 -o

# sortie du reseau local vers une interface distante, masquerading modifi, rej
et
#
/sbin/ipfwadm -O -a reject -V $ppp_ip -S 192.168.0.0/24 -D 0.0.0.0/0 -o

# sortie du reseau local d'une interface distante, rejet
#
/sbin/ipfwadm -O -a reject -V $ppp_ip -S 0.0.0.0/0 -D 192.168.0.0/24 -o

# tout autre chose qui sort de l'interface distance est valide
#
/sbin/ipfwadm -O -a accept -V $ppp_ip -S $ppp_ip/32 -D 0.0.0.0/0

# boucler sur l'interface est valide.
#
/sbin/ipfwadm -O -a accept -V 127.0.0.1 -S 0.0.0.0/0 -D 0.0.0.0/0

# regle qui attrape tout, refuse tout autre sortie et le logue. Dommage qu'il n
'y ait pas
# d'options pour le log sur cette politique mais ceci va faire le travail :
#
/sbin/ipfwadm -O -a reject -S 0.0.0.0/0 -D 0.0.0.0/0 -o


#############################################################################
# Forwarding, flush et politique par defaut de rejet. En fait la politique par
defaut
# est inapplicable parce qu'il y une regle qui attrape tout, refuse et logue.
#
/sbin/ipfwadm -F -f
/sbin/ipfwadm -F -p deny

# Masquerade a partir du reseau local sur l'interface locale vers n'importe ou.
#
/sbin/ipfwadm -F -a masquerade -W ppp0 -S 192.168.0.0/24 -D 0.0.0.0/0
#
# regle qui attrape tout, refuse tout autre forwarding et le logue. Dommage qu'
il n'y ait pas
# d'options pour le log sur cette politique mais ceci va faire le travail :
#
/sbin/ipfwadm -F -a reject -S 0.0.0.0/0 -D 0.0.0.0/0 -o

#Fin du fichier.

   Avec IPFWADM, vous pouvez bloquer le traffic vers un site particulier
   en utilisant les rgles -I, -O ou -F. Souvenez vous que ces jeux de
   rgles sont parcourus de dbut vers la fin et que "-a" dit a IPFWADM
   d'"ajouter" cette nouvelle rgle au jeu de rgles existant. Donc, en
   gardant ceci  l'esprit, toute restriction spcifique a besoin d'tre
   ajoute avant les rgles globales. Par exemple :

   avec la rgle -I (input ):

   Vraisemblablement la mthode la plus efficace et la plus rapide pour
   bloquer le traffic mais elle arrte seulement les machines MASQues et
   NON la machine firewall elle-mme. Biensr, vous pourriez vouloir
   permettre cette combinaison :

   Dans tous les cas, pour bloquer 204.50.10.13:

   dans le jeu de rgles de /etc/rc.d/rc.firewall :
... dbut des rgles -I ...

# rejette et logue l'interface locale, les machines locales allant  204.50.10.
13
#
/sbin/ipfwadm -I -a reject -V 192.168.0.1 -S 192.168.0.0/24 -D 204.50.10.13/32
-o

# Interface locale, machines locales, allez n'importe o est valide
#
/sbin/ipfwadm -I -a accept -V 192.168.0.1 -S 192.168.0.0/24 -D 0.0.0.0/0

... fin des rgles -I ...

   avec la rgle -O (output ):

   C'est la mthode la plus lente parce que les paquets passent par le
   masquerading d'abord et sont ensuite limins. Cependant, cette rgle
   empche mme la machine firewall d'accder  des sites interdits.

... dbut des rgles -O ...

# rejette et logue les transimissions sortantes vers 204.50.10.13
#
/sbin/ipfwadm -O -a reject -V $ppp_ip -S $ppp_ip/32 -D 204.50.10.13/32 -o

# tout autre chose qui sort de l'interface distante est valide
#
/sbin/ipfwadm -O -a accept -V $ppp_ip -S $ppp_ip/32 -D 0.0.0.0/0

... fin des rgles -O ...

   avec la rgle -F (forward ):

   Sans doute plus lent pour bloquer le traffic que les rgles -I
   (input). Ne bloque que les traffics des machines masquerades (i.e.
   les machines internes). La machine firewall peut toujours atteindre
   le(s) site(s) interdit(s).

... dbut des rgles -F ...

# rejette et logue les transmissions de l'interface locale PPP vers 204.50.10.1
3.
#
/sbin/ipfwadm -F -a reject -W ppp0 -S 192.168.0.0/24 -D 204.50.10.13/32 -o

# Masquerade du reseau local vers vers n'importe o.
#
/sbin/ipfwadm -F -a masquerade -W ppp0 -S 192.168.0.0/24 -D 0.0.0.0/0

... fin des rgles -F ...

   Il n'y a pas besoin de rgle spciale pour permettres aux machines du
   rseau 192.168.0.0/24 d'aller  204.50.11.0. Pourquoi ? Parce que
   c'est dj trait dans la rgle MASQ globale.

   NB : Il y a plus d'une faon de coder les interfaces dans les rgles
   si dessus. Par example au lieu de "-V 192.168.255.1", vous pouvez
   mettre "-W eth0", au lieu de "-V $ppp_ip", vous pouvez utiliser "-W
   ppp0". La mthode "-V" a t dlaisse lors de la migration vers
   IPCHAINS mais pour les utilisateurs IPFWADM, c'est plus un choix
   personnel et de documentation plus qu'autre chose.

6.5 Rgles de d'IP Firewall (IPCHAINS) plus rsistants (Stronger)

   Cette section fournit un guide plus dtaill sur l'utilisation de
   l'outil firewall des noyaux 2.2.X, IPCHAINS. Reportez vous ci-dessus
   pour les jeux de rgles IPFAWDM.

   Voici un exemple d'un systme de firewall/masquerade derrire une
   connexion PPP avec une adresse PPP statique (les instructions pour les
   connexions PPP dynamiques sont incluses mais dsactives). L'interface
   de confiance est 192.168.0.1 et l'adresse IP de l'interface PPP a t
   change pour protger le coupable :). J'ai list chaque interface
   entrante et sortante pour dtecter aussi bien les IP spoofings que les
   faux routage et/ou masquerading. Tout ce qui n'est pas explicitement
   permis est _INTERDIT_ (euh... rejet en fait). Si votre serveur IP
   MASQ ne fonctionne plus aprs avoir implment ce script rc.firewall,
   vrifiez que vous l'avez modifi pour votre propre configuration et
   contrlez votre fichier SYSLOG /var/log/messages ou /var/adm/messages
   pour trouver d'ventuels erreurs de firewall.

   Pour des exemples plus exhaustifs de rgles strong' d'IPFWADM IP
   Masquerad pour PPP, modem pour cable, etc., vous pouvez vous rfrer
    TrinityOS - Section 10 et GreatCircle's Firewall WWW page

   _NB #1: _les noyaux Linux 2.2.x infrieurs  2.2.16 ont un trou de
   scurit dans la couche TCP (root exploit) et les versions infrieurs
    2.2.11 ont un bug de fragmentation dans IPCHAINS. En raison de cela,
   les personnes utilisant le jeu de rgles 'strong IPCHAINS' sont
   vulnrables aux attaques. Veuillez donc faire la mise  jour de votre
   noyau vers une version corrige.

   _NB #2:_ Si vous avez une adresse TCP/IP assigne de facon dynamique
   par votre FAI (PPP, aDSL, Cable, etc.) vous _NE POUVEZ PAS CHARGER_
   ces rgles strong' au moment du boot. Vous aurez soit  relancer le
   jeu de rgles de ce firewall  CHAQUE FOIS que vous avez une nouvelle
   adress IP soit faire un /etc/rc.d/rc.firewall plus intelligent. Pour
   faire ceci pour les utilisateurs de PPP, lisez attentitevement et
   enlever les marques de commentaires des lignes correspondantes dans la
   section rcuperation d'IP PPP dynamique ci dessous. Vous pouvez
   aussi trouver de plus amples dtails dans le documentation TrinityOS -
   Section 10 sur les jeux de rgles Strong' et les adresses IP
   dynamiques.

   _Veuillez aussi noter qu'il existe plusieurs utilitaires de cration
   de Firewall qui possdent des interfaces graphiques. Vous pouvez vous
   reporter  la section FAQ pour des dtail complets._

   Enfin, si vous utilisez une adresse IP STATIQUE obtenue par PPP,
   changer la ligne "ppp_ip="votre.adresse.PPP.statique" par votre
   adresse.

   ----------------------------------------------------------------


#!/bin/sh
#
# /etc/rc.d/rc.firewall: An example of a Semi-Strong IPCHAINS firewall ruleset.

#

PATH=/sbin:/bin:/usr/sbin:/usr/bin

# Charge les modules necessaires a IP MASQ
#
#   NB: Charger uniquement les modules IP MASQ dont vous avez besoin. Tous les
modules
#   IP MASQ actuels sont montres ci-dessous mais sont commentes pour les empech
er de
#   se charger.

# Necessaire pour le chargement initial des modules
#
/sbin/depmod -a

# Permet le masquerading correct des transfert de fichier par FTP avec la metho
de PORT
#
/sbin/modprobe ip_masq_ftp

# Permet le masquerading de RealAudio par UDP. Sans ce module,
#       RealAudio FONCTIONNERA mais en mode TCP. Ce qui peu causer une baisse
#       dans la qualite du son
#
/sbin/modprobe ip_masq_raudio

# Permet le masquerading des transferts de fichier par DCC pour les IRC
#
#/sbin/modprobe ip_masq_irc


# Permet le masquerading de Quake et QuakeWorld par defaut. Ce module est
#   necessaire pour les utilisateurs multiples dirriere un server Linux MASQ. S
i vous voulez jouer
#   a Quake I, II, et III, utilisez le second exemple.
#
#   NB:  si vous rencontrez des ERREURs lors de chargement du module QUAKE, c'e
st que vous utilisez
#   un ancien noyau buggue. Mettez a jour votre noyau pour supprimer l'erreur.
#
#Quake I / QuakeWorld (ports 26000 and 27000)
#/sbin/modprobe ip_masq_quake
#
#Quake I/II/III / QuakeWorld (ports 26000, 27000, 27910, 27960)
#/sbin/modprobe ip_masq_quake 26000,27000,27910,27960


# Permet le masquerading du logiciel CuSeeme pour la video conference
#
#/sbin/modprobe ip_masq_cuseeme

# Permet le masquerading du logiciel VDO-live pour la video conference
#
#/sbin/modprobe ip_masq_vdolive


#CRITIQUE:  Active l'IP forwarding puisqu'il est desactive par defaut
#
#           Utilisateurs Redhat: vous pourrez essayer en changeant les options
dans
#                          /etc/sysconfig/network de:
#
#                       FORWARD_IPV4=false
#                             to
#                       FORWARD_IPV4=true
#
echo "1" > /proc/sys/net/ipv4/ip_forward


#CRITIQUE: Active automatiquement l'IP defragmenting puisqu'il est desactive pa
r defaut
#           dans les noyaux 2.2.x.
#
#           Ceci etait une option de compilation mais ca a change
#           depuis le noyau 2.2.12. Noter aussi que quelques distributions
#           ont enlev cette option de la table /proc. Cette cette entre n'est
 pas
#           presente dans votre /proc, ne vous inquietez pas.
#
echo "1" > /proc/sys/net/ipv4/ip_always_defrag


# Utilisateurs d'IP Dynamiques:
#
#   Si vous recevez votre adresse IP de maniere dynamique a partir d'un server
SLIP, PPP,
#   ou DHCP, activez option suivante qui active le hacking (au bon sens du term
e NDT) des
#   adresses IP dynamique dans IP MASQ, rendant ainsi les choses plus faciles p
our les
#   programmes du type Diald.
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr


# Active le patch LooseUDP dont certains jeux reseaux ont besoin
#
#  Si vous etes en train d'essayer de faire fonctionner un jeu sur Internet au
travers votre
#  serveur MASQ, et vous l'avez configure le mieux que vous pouviez mais que ca
 fonctionne
#  toujours pas, essayez d'activer cette option (en supprimant le # en debut de
 ligne). Cette
#  option est desactivee par defaut pour eviter une probable vulnerabilite au p
ort scanning
#  UDP en interne.
#
#echo "1" > /proc/sys/net/ipv4/ip_masq_udp_dloose


# Specifiez ici votre adresse IP statique.
#
# Si vous avez une adresse IP DYNAMIQUE :
# votre jeu de regles doit trouver votre adresse IP a chaque fois que vous avez
 une nouvelle.
# Dans ce but, activez le script d'une ligne qui suit. (Veuillez SVP noter que
les differents
# apostrophes, guillemets etc. ont leur importance et sont distincts).
#
#
#   utilisateurs de DHCP :
#   ----------------------
#   Si vous recevez votre adresse TCP/IP, **vous devez** activer les commandes
#   #s sous la section PPP ET remplacerle mot "ppp0" par le nom de votre
#   de votre connetion Internet EXTERNE (eth0, eth1, etc). Notez aussi que le s
erver
#   DHCP peut changer votre adress IP. Pour resoudre ce probleme, les utilisate
urs
#   doivent configurer leur client DHCP de sorte qu'il relance le jeu de regles
 du firewall
#   chaque fois que leur bail DHCP est renouvele.
#
#     NB #1:  Quelques clients DHCP comme l'ancienne version de "pump" (les nou
velles
#               versions ont ete corrigees) n'avait pas la capacit de relancer

#               les scripts apres une renouvellement de bail. Pour cette raison
, vous
#               aurez besoin de le remplacer par quelquechose du style "dhcpcd"
 ou "dhclient".
#
#     NB #2:  La syntaxe de "dhcpcd" a chang dans les versions recentes.
#
#               Les anciennes version avaient une syntaxe du type:
#                         dhcpcd -c /etc/rc.d/rc.firewall eth0
#
#               Les versions plus recentes ont une syntaxe du type:
#                         dhcpcd eth0 /etc/rc.d/rc.firewall
#
#     NB #3:  Pour les utilisateurs de Pump, ajouter cette ligne de commande da
ns votre fichier
#    /etc/pump.conf:
#
#                   script /etc/rc.d/rc.firewall
#
#   utilisateurs de PPP :
#   ---------------------
#   Si vous n'etes pas deja au courant, le script /etc/ppp/ip-up est toujours l
ance quand
#   une connexion PPP arrive. A cause de ca, on peut demander au jeu de regles
d'aller recuperer
#   la nouvelles adresse IP PPP et de mettre a jour notre jeu de regles du stro
ng firewall.
#
#   Si le fichier /etc/ppp/ip-up existe deja, vous devez le modifier et ajouter
 une ligne
#   contenant "/etc/rc.d/rc.firewall" pres de la fin du fichier.
#
#   Si vous n'avez pas encore de script /etc/ppp/ip-up, vous devez creer le lie
n suivant
#   pour lancer le script /etc/rc.d/rc.firewall.
#
#       ln -s /etc/rc.d/rc.firewall /etc/ppp/ip-up
#
#   * Vous devez ensuite activer les commandes #ees si dessous *
#
#
# Utilisateurs de PPP et DHCP :
# -----------------------------
# Enlevez le # de la ligne si dessous et placez un # sur la ligne suivante.
#
#extip="`/sbin/ifconfig ppp0 | grep 'inet addr' | awk '{print $2}' | sed -e 's/
.*://'`"

# Pour les utilisateurs de PPP avec une adresse IP statique:
#
extip="your.static.PPP.address"

# Tous les utilisateurs de PPP et DHCP doivent utiliser ceci pour corriger le n
om de
# leur interface EXTERNE
extint="ppp0"

# Assigne l'IP interne
intint="eth0"
intnet="192.168.0.0/24"


# MASQ timeouts
#
#  timeout de 2 heures pour les sessions TCP
#  timeout de  10 sec pour le traffic apres que le paquet TCP/IP "FIN" est recu
#  timeout de 160 sec pour le traffic UDP (Important pour les utilisateur d'ICQ
 MASQues)
#
ipchains -M -S 7200 10 60

#############################################################################
# Entre (incoming), flush et politique par defaut de rejet. En fait la politiq
ue par defaut
# est inapplicable parce qu'il y une regle qui attrape tout, refuse et logue.
#
ipchains -F input
ipchains -P input REJECT

# interface locale, machines locales, on peut allez n'importe ou
#
ipchains -A input -i $intint -s $intnet -d 0.0.0.0/0 -j ACCEPT

# interface distance, pretendant etre une machine locale, IP spoofing, tire toi
#
ipchains -A input -i $extint -s $intnet -d 0.0.0.0/0 -l -j REJECT

# interface distante, toute source, peut aller a l'adresse PPP permanante
#
ipchains -A input -i $extint -s 0.0.0.0/0 -d $extip/32 -j ACCEPT

# boucler sur l'interface est valide.
#
ipchains -A input -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT

# regle qui attrape tout, refuse tout autre entre et le logue. Dommage qu'il n
'y ait pas
# d'options pour le log sur cette politique mais ceci va faire le travail :
#
ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -l -j REJECT

#############################################################################
# Sortie (outgoing), flush et politique par defaut de rejet. En fait la politiq
ue par defaut
# est inapplicable parce qu'il y une regle qui attrape tout, refuse et logue.
#
ipchains -F output
ipchains -P output REJECT

# interface locale, toute source allant vers le reseau local est valide
#
ipchains -A output -i $intint -s 0.0.0.0/0 -d $intnet -j ACCEPT

# sortie vers le reseau local d'une interface distance, routage bizarre, rejet
#
ipchains -A output -i $extint -s 0.0.0.0/0 -d $intnet -l -j REJECT

# sortie du reseau local vers une interface distante, masquerading modifi, rej
et
#
ipchains -A output -i $extint -s $intnet -d 0.0.0.0/0 -l -j REJECT

# tout autre chose qui sort de l'interface distance est valide
#
ipchains -A output -i $extint -s $extip/32 -d 0.0.0.0/0 -j ACCEPT

# boucler sur l'interface est valide.
#
ipchains -A output -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT

# regle qui attrape tout, refuse tout autre sortie et le logue. Dommage qu'il n
'y ait pas
# d'options pour le log sur cette politique mais ceci va faire le travail :
#
ipchains -A output -s 0.0.0.0/0 -d 0.0.0.0/0 -l -j REJECT

#############################################################################
# Forwarding, flush et politique par defaut de rejet. En fait la politique par
defaut
# est inapplicable parce qu'il y une regle qui attrape tout, refuse et logue.
#
ipchains -F forward
ipchains -P forward DENY

# Masquerade a partir du reseau local sur l'interface locale vers n'importe ou.
#
ipchains -A forward -i $extint -s $intnet -d 0.0.0.0/0 -j MASQ
#
# regle qui attrape tout, refuse tout autre forwarding et le logue. Dommage qu'
il n'y ait pas
# d'options pour le log sur cette politique mais ceci va faire le travail :
#
ipchains -A forward -s 0.0.0.0/0 -d 0.0.0.0/0 -l -j REJECT

#Fin du fichier.

   Avec IPCHAINS, on peut bloquer le traffic vers un site particuler
   grce aux rgles "input", "output", et/ou "forward". Souvenez vous que
   les jeux de rgles sont traites de haut en bas et que "-A" dit a
   IPCHAINS de "coller" une nouvelle rgle au jeu de rgles existant.
   Donc, avec a en tte, toute rgle spcifique doit venir avant les
   rgles globales. Par exemple :

   Avec la rgle "input" :

   Vraisemblablement la mthode la plus efficace et la plus rapide pour
   bloquer le traffic mais elle arrte seulement les machines MASQues et
   NON la machine firewall elle-mme. Biensr, vous pourriez vouloir
   permettre cette combinaison :

   Dans tous les cas, pour bloquer 204.50.10.13:

   dans le jeu de rgles de /etc/rc.d/rc.firewall :
... dbut des rgles -I ...

# rejette et logue l'interface locale, les machines locales allant  204.50.10.
13
#
ipchains -A input -s 192.168.0.0/24 -d 204.50.10.13/32 -l -j REJECT


... fin des rgles -I ...

   avec la rgle -O (output ):

   C'est la mthode la plus lente parce qeu les paquets passent par le
   masquerading d'abord et sont ensuite limins. Cependant, cette rgle
   empche meme la machine firewall d'accder  des sites interdits.

... dbut des rgles -O ...

# rejette et logue les transimissions sortantes vers 204.50.10.13
#
ipchains -A output -s $ppp_ip/32 -d 204.50.10.13/32 -l -j REJECT


# tout autre chose qui sort de l'interface distante est valide
#
ipchains -A output -s $ppp_ip/32 -d 0.0.0.0/0 -l -j ACCEPT

... fin des rgles -O ...

   avec la rgle -F (forward ):

   Sans doute plus lent pour bloquer le traffic que les rgles -I
   (input). Ne bloque que les traffics des machines masquerades (i.e.
   les machines internes). La machine firewall peut toujours atteindre
   le(s) site(s) interdit(s).

... dbut des rgles -F ...

# rejette et logue les transmissions de l'interface locale PPP vers 204.50.10.1
3.
#
ipchains -A forward -i ppp0 -s 192.168.0.0/24 -d 204.50.10.13/32 -l -j REJECT


# Masquerade du reseau local vers vers n'importe o.
#
ipchains -A forward -i ppp0 -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQ

... fin des rgles -F ...

   Il n'y a pas besoin de rgle spciale pour permettre aux machines du
   rseau 192.168.0.0/24 d'aller  204.50.11.0. Pourquoi ? Parce que
   c'est dj trait dans la rgle MASQ globale.

   NB : Contrairement  IPFWADM, IPCHAINS n'a seulement qu'une manire de
   coder le nom des interfaces. IPCHAINS utilise l'option "-i eth0" l ou
   IPFADM avait le "-W" pour le nom de l'interface et le "-V" pour
   l'adresse IP de l'interface.

6.6 IP Masquerader plusieurs rseaux internes

   Masquerader plus d'un rseau interne est une tche plutt simple. Vous
   devez d'abord vrifier que tous vos rseaux fonctionnent correctement
   (internes et externes). Vous devez ensuite permettre au traffic de
   passer dans les interfaces internes et d'tre MASQus vers Internet.

   Ensuite, vous devez activer le Masquerading sur les interfaces
   INTERNES. Cet exemple utilise au total TROIS interfaces : eth0 est une
   connexion EXTERNE vers Internet, eth1 est le rseau 192.1680.0.0, et
   eth2 et le rseau 192.168.1.0. eth1 et eth2 vont tous deux tre
   MASQus au travers de l'interface eth0. Dans votre jeu de rgles
   rc.firewall, juste  ct de votre ligne activant MASQ, ajoutez ce qui
   suit :

     * Noyaux 2.2.x avec IPCHAINS
  #Active la communication entre les interfaces internes
  /sbin/ipchains -A forward -i eth1 -d 192.168.0.0/24
  /sbin/ipchains -A forward -i eth2 -d 192.168.1.0/24

  #Permet aux interfaces internes de MASQuer vers Internet
  /sbin/ipchains -A forward -j MASQ -i eth0 -s 192.168.0.0/24 -d 0.0.0.0/0
  /sbin/ipchains -A forward -j MASQ -i eth0 -s 192.168.1.0/24 -d 0.0.0.0/0

     * noyaux 2.0.x avec IPFWADM
  #Active la communication entre les interfaces internes
  /sbin/ipfwadm -F -a accept -V 192.168.0.1 -D 192.168.1.0/24
  /sbin/ipfwadm -F -a accept -V 192.168.1.1 -D 192.168.0.0/24

  #Permet aux interfaces internes de MASQuer vers Internet
  /sbin/ipfwadm -F -a masq -W eth0 -S 192.168.0.0/24 -D 0.0.0.0/0
  /sbin/ipfwadm -F -a masq -W eth0 -S 192.168.1.0/24 -D 0.0.0.0/0

   Notez qu'il est CORRECT d'avoir spcif "eth0" plusieurs fois dans les
   exemples ci-dessus. La raison est que le noyau Linux a besoin de
   savoir quel interface est utilis por le traffic SORTANT. Puisque eth0
   est la connexion Internet dans les exemples prcdents, elle est
   liste pour chaque interface interne.

6.7 IP Masquerade et les connexions tlphoniques sur demande

    1. Si vous voulez configurer votre rseau de manire  ce qu'il se
       connecte automatiquement par modem tlphonique  Internet, soit
       le package _Diald_ de connexion sur demande soit les nouvelles
       versions de _PPPd_ vous sernt d'une grande utilit. Diald est la
       solution recommande en raison de sa configuration plus prcise.
    2. Pour configurer Diald, reportez vous a la page suivant : Setting
       Up Diald for Linux Page ou  celle ci : TrinityOS - Section 23
    3. Une fois que Diald et IP Masq ont t configurs correctement,
       toute machine cliente MASQue qui commence une session web, telnet
       ou ftp va provoquer la connexion dynamique par la machine Linux 
       Internet.
    4. Un timeout va avoir lieu pour la premire connexion. C'est
       invitable si vous utilisez un modem analogique. Le temps
       d'tablir la connexion du modem et la connexion PPP peuvent tre
       suffisamment longs pour provoquer des timeouts dans votre
       programme client (browser WWW, etc.). Toutefois, ce n'est pas
       commun. Si ca vous arrive, essayer simplement de relancer votre
       requtre Internet (disons, la page web) et ca devrait marcher.
       Vous pouvez aussi essayer de mettre l'option noyau suivant : _echo
       "1" > /proc/sys/net/ipv4/ip_dynaddr_ pour vous aider dans avec
       cette configuation initiale.

6.8 IPPORTFW, IPMASQADM, IPAUTOFW, REDIR, UDPRED, et d'autres outils de Port
Forwarding

   IPPORTFW, IPAUTOFW, REDIR, UDPRED, et les autres programmes sont des
   outils de port forwarding TCP et/ou UDP gnriques pour Linux IP
   Masquerade. Ces outils sont typiquement utiliss avec ou en
   remplacement de modules IP MASQ spcifiques tels que ceux pour FTP,
   Quake, etc. Avec les port forwarders, vous pouvez rdiriger les
   connexions venant d'Internet vers une machine interne derrire le
   serveur IP MASQ, dont l'adresse est prive . Cette possibilit de
   forwarding inclus les protocoles rseaux tels que TELNET, WWW, SMTP,
   FTP (avec un patch special - regardez si dessous), ICQ, et bien
   d'autres.

   NB : Si vous voulez juste faire un simple port forwarding sans IP
   Masquerading, vous aurez _TOUJOURS BESOIN_ d'activer l'IP Masquerading
   dans votre noyau ET soit dans votre jeu de rgles IPFWADM soit
   IPCHAINS pour tre capable d'utiliser les outils de portforwarding de
   Linux

   Alors pourquoi tous ces choix ? IPAUTOFW, REDIR, et UDPRED (toutes les
   URLs sont dans la section 2.0.x-Requirements ) taient les premiers
   outils disponibles pour les utilisateurs d'IP MASQ pour permettre
   cette fonctionnali. Plus tard, quand Linux IP Masquerade a mri, ces
   outils furent remplacs par IPPORTFW qui constitue une solution plus
   intelligente. A cause de la disponibilit d'outils nouveaux, il est
   *FORTEMENT DECONSEILLE* d'utiliser les outils tels que IPAUTOFW et
   REDIR parce qu'ils n'informent pas correctement le noyau de leur
   prsence et peuvent dans les cas les plus extrmes d'utilisation
   _CRASHer_ votre serveur Linux. Notez aussi que la solution la plus
   recente est MFW. Son avantage principal est de permettre une
   intgration plus troite avec l'outil IPCHAINS. Avec cette solution,
   vous utilisez un jeu de rgles IPCHAINS pour "Marker" un paquet
   spcifique et crer ensuite une chaine diffrente pour faire ensuite
   le bon forwarding. Cette mthode n'est pas encore traite dans ce
   HOWTO.

   NB #2 : avec PORTFW sur les noyaux 2.2.x, _les machines internes_ NE
   PEUVENT PAS utiliser la meme adresse IP PORTFWd pour acceder une
   machine interne bienque a marche trs bien avec des machines externes
   sur Internet. Si c'est un probleme pour vous, vous pouvez AUSSI
   implmenter l'outil portfw REDIR pour laisser des machines internes
   tre rediriges vers un serveur interne. Une chose  noter est que le
   jeu de rgles de l'imminent NetFilter rsoud ce problme. Si vous
   dsirez avoir une explication technique sur les raisons du non
   fonctionnement du forwarding interne/externe, reportez vous SVP  la
   fin de la section PORTFW du noyau 2.2.x pour les notes de Juan.

   NB #3 : Le forwarding du traffic de serveurs FTP vers un serveur FTP
   MASQu interne, connu sous le nom de _PORTFW FTP_, est maintenant
   compatible avec les noyaux 2.0.x et les noyaux 2.2.x . C'est possible
   soit en patchant le noyau Linux si la compatibilit n'est pas encore
   implment dans votre noyau ou bien un utilisant un programme de proxy
   FTP externe. Vous devriez aussi noter que le code du module noyau est
   toujours exprimental et que certaines personnes obtiennent de
   meilleurs rsultats avec des sessions FTP ACTIVES par rapport aux
   connexions PASSIVES. Et, chose assez intressante, d'autres personnes
   obtiennent exactement le contraire. Envoyez nous SVP vos rsultats. De
   plus amples dtails sont fournis dans les sections 2.2.x et 2.0.x en
   tant que solutions fournis pas les diffrents patches.

   Avant de plonger dans l'installation de IPPORTFW pour 2.0.x ou de la
   version de 2.2.x de IPMASQADM avec le support IPPORTFW, veuillez noter
   qu'il peut y avoir des problmes lis  la scurit avec tout port
   forwarder. La raison est que ces outils crent un trou dans le
   firewall par paquet pour les port TCP/UDP forwards. Bienque cela ne
   conduise  aucune menace pour votre machine Linux, ca pourrait tre un
   problme pour la machine interne vers lequel ce traffic est forward.
   Ne vous inquietez pas non plus, voil ce que Steven Clarke (l'auteur
   de IPPORTFW) a  dire sur ce sujet :

   "Port Forwarding est appel seulement parmis les fonctions de masquerading i
l suit donc
   les mme rgles que IPFWADM/IPCHAINS. Masquerading est une extension de IP f
orwarding.
   Toutefois, ipportfw ne vois les paquets que s'ils remplissent les conditions

   d'entre et de masquerading du jeu de rgles d'ipfwadm."

   Maintenant que l'on a dit ceci, il est important d'avoir un jeu de
   rgles de firewall 'strong'. Reportez vous SVP aux sections
   Strong-IPFWADM-Rulesets et Strong-IPCHAINS-Rulesets pour de plus
   amples dtails sur les jeux de rgles 'strongs'.

   Donc, pour installer l'IPPORTFW forwarding pour chacun des noyaux
   2.0.x ou 2.2.x, vous devez recompiler le noyau Linux avec la
   compatibilit IPPORTFW.
     * les utilisateurs de noyaux 2.2.x vont dj avoir l'option noyau
       IPPORTFW de disponible via IPMASQADM
     * les utilisateurs de noyaux 2.0.x vont avoir besoin d'appliquer un
       patch d'option noyau simple

  IPMASQADM avec compatibilit IPPORTFW sur les noyaux 2.2.x

   D'abord, vrifiez que vous avez les sources du noyau 2.2.x le plus
   rcent dans /usr/src/linux. Si vous ne l'avez pas dej fait, reportez
   vous SVP  la section Kernel-Compile pour de plus amples dtails.
   Ensuite, tlchargez le programme "ipmasqadm.c" de la section
   2.2.x-Requirements dans le repertoire /usr/src.

   Vous aurez ensuite  compiler le noyau 2.2.x comme expliqu dans la
   section Kernel-Compile . Vrifiez bien que vous dites YES  l'option
   IPPORTFW quand vous configurez votre noyau. Une fois que vous avez
   compil le noyau et que vous avez reboot, revenez  cette section.

   Maintenant, compilez et installez l'outil IPMASQADM :

        cd /usr/src
        tar xzvf ipmasqadm-x.tgz
        cd ipmasqadm-x
        make
        make install

   Ensuite, pour cet exemple, nous allons permettre  TOUT le traffic
   Internet WWW (port 80) arrivant  votre adresse Internet TCP/IP d'tre
   forward vers une machine interne Masquerade dont l'IP est
   192.168.0.10.

   PORTFW FTP : Comme mentionn precdemment, il y a deux solutions pour
   forwarder le traffic d'un server FTP vers une machine interne MASQue.
   La premire solution *EST* le module BETA _IP_MASQ_FTP_ pour noyau
   2.2.x pour PORT Forwarder les connexions FTP vers un serveur FTP
   interne MASQu. L'autre mthode est d'utiliser un programme de proxy
   FTP (l'URL se trouve dans la section 2.2.x-Requirements . Vouz devriez
   aussi noter que le module noyau FTP permet aussi d'ajouter des PORTFW
   FTP supplmentaires  la vole sans avoir  relancer le module et
   ainsi planter les connexions FTP en cours. Vous trouverez de plus
   amples dtails sur le site d'IPMASQ WWW  http://ipmasq.cjb.net. Il y
   a aussi des exemples et des informations sur les connexions FTP
   PORTFWs ci dessous dans la section du noyau 2.0.x.

   _NB: _Une fois le port forward du port 80 activ, ce port ne pourra
   plus tre utilis par le serveur Linux IP Masquerade. Pour tre plus
   prcis, si vous avez un server WWW sur le server MASQ, un portfw va
   maintenant diriger tous les internautes vers les pages WWW INTERNES et
   non vers celles du serveur IPMASQ.

   Dans tous les cas, pour activer le port forwarding, modifiez le jeu de
   rgles /etc/rc.d/rc.firewall. Ajoutez les lignes suivant mais assurez
   vous de remplacer le mot "$extip" par votre adresse IP.

   _NB:_ Si vous avez une adresse IP DYNAMQUE que vous recevez par votre
   FAI (PPP, ADSL, Cablemodems, etc.), vous aurez BESOIN de rendre votre
   jeu de rgles /etc/rc.d/rc.firewall plus intelligent. Pour ce faire,
   reportez vous SVP  la section Strong-IPCHAINS-Rulesets ci-dessus ou 
   la section TrinityOS - Section 10 pour de plus amples dtails sur les
   jeux de rgles 'strong' et les adresses IP Dynamiques. Je vous donne
   une indication toutefois : /etc/ppp/ip-up pour les utilisateurs de
   PPP.

        /etc/rc.d/rc.firewall
        --

        #echo "Activation de l'IPPORTFW sur le LAN externe..."
        #
        /usr/sbin/ipmasqadm portfw -f
        /usr/sbin/ipmasqadm portfw -a -P tcp -L $extip 80 -R 192.168.0.10 80

        --

   C'est tout ! Relancez juste votre jeu de rgles /etc/rc.d/rc.firewall
   et testez le !

   Si vous recevez le message d'erreur "ipchains: setsockopt failed:
   Protocol not available", c'est que vous n'tes pas en train d'utiliser
   le nouveau noyau. Verifiez que vous avez bien install le nouveau
   noyau, reconfigurez votre boot loader (par exemple LILO), et ensuite,
   rebootez. Si vous tes sr que vous tes sur le nouveau noyau, lancez
   la commande "ls /proc/net/ip_masq" et verifiez que le fichier "portfw"
   existe. Si non, vous devez avoir fait une erreur lors de la
   configuation de votre noyau. Essayez de nouveau.

   Pour ceux qui veulent comprendre pourquoi PORTFW ne peut pas rediriger
   le traffic des interfaces externes et internes, voici un email de
   Juanjo qui l'explique mieux :
     _________________________________________________________________

De Juanjo Ciarlante
--

>Si j'utilise :
>
> ipmasqadm portfw -a -P tcp  -L 1.2.3.4 80 -R 192.168.2.3 80
>
>Tout fonctionne trs bien a partir de l'exterieur mais les requetes internes p
our la meme
>adresse 1.2.3.4 echouent. Y a t-il des chaines qui permettent a une machine su
r le reseau local
>192.168.2.0 d'acceder  www.periapt.com sans utiliser de proxy ?

En fait, non.

D'habitude, je mets en place une rgle ipmasqadm pour l'extrieur, *ET* un port
redirector pour l'intrieur. Ceci fonctionne parce que ipmasqadm connecte avant
 que redir
ne recoive l'eventuelle connexion exterieur, _mais_ laisse les choses comme ell
es sont sinon
(gr par des rgles APPROPRIEES).

Le vrai problme "conceptuel" provient du fait que la VRAIE IP du client (peer)
 cible
est sur le mme rseau que le serveur cible

Le scnario d'un echec pour le "local masq" est :
   client: 192.168.2.100
   masq:   192.168.2.1
   serv:   192.168.2.10

1)client->server packet
 a) client:  192.168.2.100:1025  -> 192.168.2.1:80   [SYN]
 b) (masq):  192.168.2.100:1025  -> 192.168.2.10:80  [SYN]
            (et garde 192.168.2.1:61000 192.168.2.100:1025 apparents)
 c) serv:    recoit le paquet masqu (1b)

2)server->client packet
 a) serv:    192.168.2.10:80     -> 192.168.2.100:1025  [SYN,ACK]
 b) client:  192.168.2.100:1025  -> 192.168.2.10:80     [RST]

Maintenant prenez le temps de comparer (1a) avec (2a).
Vous voyez, le serveur  repondu DIRECTEMENT au client sans passer par
masq (ne laissant donc pas masq ANNULER la modification du paquet) parce que
c'est le MEME rseau, donc le client annule la connexion.

J'espre que cela aide.

Amicalement,
Juanjo
     _________________________________________________________________

  IPPORTFW sur noyaux 2.0.x

   D'abord, vrifiez que vous avez les sources du noyau 2.0.x le plus
   rcent dans /usr/src/linux. Si vous ne l'avez pas dej fait, reportez
   vous SVP  la section Kernel-Compile pour de plus amples dtails.
   Ensuite, tlchargez le programme "ipmasqadm.c" de la section
   2.0.x-Requirements dans le repertoire /usr/src.

   Ensuite, si vous projetez de port forwarder le traffic FTP vers un
   serveur interne, vous allez devoir appliquer un _NOUVEAU_ patch module
   additionnel, _IP_MASQ_FTP_, que vous trouverez  la section
   2.0.x-Requirements . De plus amples dtails le concernant se trouvent
   plus loin dans cette section. Veuillez noter SVP que ce n'est pas le
   mme patch que pour les noyaux 2.2.x donc quelques fonctionnalits
   telles que le dynamique FTP PORT n'est pas prsent.

   Maintenant, copiez le patch IPPORTFW (subs-patch-x.gz) dans le
   repertoire de Linux

        cp /usr/src/subs-patch-1.37.gz /usr/src/linux

   Ensuite, appliquez le patch noyau pour creer l'option noyau IPPORTFW :

        cd /usr/src/linux
        zcat subs-patch-1.3x.gz | patch -p1

   Ok, il est temps de compiler le noyau comme indiqu  la section
   Kernel-Compile . Repondez YES  l'option IPPORTFW qui est maintenant
   disponible quand vous configurez le noyau. Une fois la compilation
   termine, et aprs avoir reboot, vous pouvez revenir  cette section.

   Maintenant, avec votre nouveau noyau fraichment compil, compilez et
   installer le programme "IPPORTFW"

        cd /usr/src
        gcc ipportfw.c -o ipportfw
        mv ipportfw /usr/local/sbin

   Ensuite, pour cet exemple, nous allons permettre  TOUT le traffic
   Internet WWW (port 80) arrivant  votre adresse Internet TCP/IP d'tre
   forward vers une machine interne Masquerade dont l'IP est
   192.168.0.10.

   _NB: _Une fois le port forward du port 80 activ, ce port ne pourra
   plus tre utilis par le serveur Linux IP Masquerade. Pour tre plus
   spcifique, si vous avez un server WWW sur le server MASQ, un portfw
   va maintenant diriger tous les internautes vers les pages WWW INTERNES
   et non vers celles du serveur IPMASQ. La seule solution  ce problme
   est de port fowarder un autre port, disons 8080, vers votre machine
   MASQ interne. Bienque cela fonctionne, tous les internautes devront
   coller un _:8080_  l'URL pour pouvoir contacter votre server WWW
   MASQu interne.

   Dans tous les cas, pour activer le port forwarding, modifiez le jeu de
   rgles /etc/rc.d/rc.firewall. Ajoutez les lignes suivant mais assurez
   vous de remplacer le mot "$extip" par votre adresse IP.

   _NB:_ Si vous avez une adresse IP DYNAMQUE que vous recevez par votre
   FAI (PPP, ADSL, Cablemodems, etc.), vous aurez BESOIN de rendre votre
   jeu de rgles /etc/rc.d/rc.firewall plus intelligent. Pour ce faire,
   reportez vous SVP  la section Strong-IPCHAINS-Rulesets ci dessus ou 
   la section TrinityOS - Section 10 pour de plus amples dtails sur les
   jeux de rgles 'strong' et les adresses IP Dynamiques. Je vous donne
   un peu indice toutefois : /etc/ppp/ip-up pour les utilisateurs de PPP.

        /etc/rc.d/rc.firewall
        --

        #echo "Activation de l'IPPORTFW sur le LAN externe..."
        #
        /usr/local/sbin/ipportfw -C
        /usr/local/sbin/ipportfw -A -t$extip/80 -R 192.168.0.10/80

    #  Veuillez notez SVP que le  PORTFWing du port 20 N'EST PAS ncessaire pou
r les
    #  connexions ACTIVES puisque le serveur FTP interne va lancer cette connex
ion
    #  sur le port 20 et qu'il va donc tre correctement pris en charge par les
 mechanismes
    #  classiques de MASQ.
        --

   C'est tout ! Relancez juste votre jeu de rgles /etc/rc.d/rc.firewall
   et testez le !

   Si vous recevez le message d'erreur "ipchains: setsockopt failed:
   Protocol not available", c'est que vous n'tes pas en train d'utiliser
   le nouveau noyau. Verifiez que vous avez bien install le nouveau
   noyau, reconfigurez votre boot loader (par exemple LILO), et ensuite,
   rebootez.

   Port Forwarder des serveurs FTP :

   Si vous projetez de port forwarder FTP vers une machine interne, les
   choses se compliquent. La raison en est que le module noyau
   _IP_MASQ_FTP_ standard n'tait pas crit pour a, meme si des
   utilisateurs nous ont dit que cela fonctionnait sans problme.
   Personnellement, sans le patch, j'ai entendu dire que les transferts
   de fichiers longs, qui excdent 30 minutes vont chouer alors que
   d'autres personnes jurent que a fonctionne sans problme. Quoiqu'il
   en soit, je vous recommande d'essayer cette instruction PORTFW avec le
   module STOCK ip_masq_ftp et de voir si ca fonctionne pour vous. Si ca
   marche pas, essayez d'utiliser le module ip_masq_ftp modifi.

   Pour ceux qui ont besoin du module, Fred Viles a crit un module
   IP_MASQ_FTP modifi pour faire en sorte que ca fonctionne. Si vous
   tes curieux et que vous voulez savoir EXACTEMENT ce que sont les
   problmes, tlchargez l'archive suivante parce que les documents de
   Fred sont trs bien faits. Vous devez aussi comprendre que le patch
   est quelque peu exprimental et considerez le donc comme tel. Vous
   devez aussi noter que ce patch fonctionne UNIQUEMENT sur les noyaux
   2.0.x puisqu'il y a un patch diffrent disponible pour les noyaux
   2.2.x.

   Donc, pour faire fonctionner le patch 2.0.x, vous avez besoin de :

     * Appliquer en PREMIER le patch noyau IPPORTFW comme expliqu
       prcdemment dans la section.
     * Downloader le "msqsrv-patch-36" du serveur FTP de Fred Viles de la
       section 2.0.x-Requirements et le mettre dans /usr/src/linux.
     * Patcher le noyau avec ce nouveau code en lanant la commande "cat
       msqsrv-patch-36 | patch -p1"
     * Ensuite, remplacer le module noyau _"ip_masq_ftp.c"_ original par
       le nouveau fichier
          + mv /usr/src/linux/net/ipv4/ip_masq_ftp.c
            /usr/src/linux/net/ipv4/ip_masq_ftp.c.orig
          + mv /usr/src/linux/ip_masq_ftp.c
            /usr/src/linux/net/ipv4/ip_masq_ftp.c
     * Enfin, compiler et installer le noyau avec le nouveau code  la
       place.

   Une fois que vous avez fait tout a, modifiez votre jeu de rgles
   /etc/rc.d/rc.firewall et ajoutez les lignes suivantes en prenant soin
   de remplacer "$extip" par votre propre adresse IP.

   Cet exemple, comme ci-dessus, va permettre de renvoyer TOUT le traffic
   internet FTP (port 21) de votre connexion Internet TCP/IP vers la
   machine interne Masquerade dont l'adresse IP est 192.168.0.10.

   _NB: _Une fois le port forward du port 21 activ, ce port ne pourra
   plus tre utilis par le serveur Linux IP Masquerade. Pour tre plus
   prcis, si vous avez un server FTP sur le server MASQ, un portfw va
   maintenant diriger tous les internautes vers les pages FTP INTERNES et
   non vers celles du serveur IPMASQ.

        /etc/rc.d/rc.firewall
        --

        #echo "Activation de l'IPPORTFW sur le LAN externe..."
        #
        /usr/local/sbin/ipportfw -C
        /usr/local/sbin/ipportfw -A -t$extip/21 -R 192.168.0.10/21

        #NB :  Si vous allez utiliser plusieurs port locaux  PORTFWer
        #      vers plusieurs seveurs FTP internes (disons, 21, 2121, 2112,
        #      etc), vous devez configurer le module ip_masq_ftp pour qu'il
        #      ecoute ces ports. Pour ce faire, modifiez votre script
        #      /etc/rc.d/rc.firewall comme le montre ce HOWTO
        #      pour qu'il ressemble a ceci :
        #
        # /sbin/modprobe ip_masq_ftp ports=21,2121,2112
        #
        # Relancez le script /etc/rc.d/rc.firewall pour que les changements
        # prennent effet.

    #Veuillez notez SVP que le  PORTFWing du port 20 N'EST PAS ncessaire pour
les
    #  connexions ACTIVES puisque le serveur FTP interne va lancer cette connex
ion
    #  sur le port 20 et qu'il va donc tre correctement pris en charge par les
 mechanismes
    #  classiques de MASQ.
        --

   C'est tout ! Relancez juste votre jeu de rgles /etc/rc.d/rc.firewall
   et testez le !

   Si vous recevez le message d'erreur "ipchains: setsockopt failed:
   Protocol not available", c'est que vous n'tes pas en train d'utiliser
   le nouveau noyau. Verifiez que vous avez bien install le nouveau
   noyau, reconfigurez votre boot loader (par exemple LILO), et ensuite,
   rebootez.

6.9 CU-SeeMe et Linux IP-Masquerade

   Linux IP Masquerade est compatible avec CuSeeme via le module noyau
   _"ip_masq_cuseeme"_. Ce module noyau devrait tre charg par le script
   /etc/rc.d/rc.firewall. Une fois que le module "ip_masq_cuseeme" est
   install, vous devriez tre capables de recevoir et d'initier des
   connexions CuSeeme vers des rflecteurs distants et/ou des
   utilisateurs.

   NB : Il est recommand d'utiliser l'outil IPPORTFW au lieu du vieux
   IPAUTOFW pour utiliser CuSeeme.

   Si vous avez besoin d'information explicites sur la configuration de
   CuSeeme, vous pouvez vous reporter  Michael Owings's CuSeeMe page
   pour un Mini-HOWTO ou The IP Masquerade Resources pour un mirroir de
   ce Mini-HOWTO.

6.10 Mirabilis ICQ

   Il y a deux mthodes pour faire fonctionner ICQ derrire un serveur
   Linux MASQ. Une des solutions est d'utiliser le nouveau module ICQ
   Masq et l'autre solution est d'utiliser IPPORTFW.

   Le modue ICQ a quelques avantages. Il permet une configuration simple
   pour plusieurs utilisateurs ICQ derrire un server MASQ. Il ne
   requiert pas non plus de changement dans les clients ICQ. Rcemment,
   la version 2.2.x du module a t mis  jour pour permettre le
   transfert de fichier et le "chat" en temps-rl. Toutefois, la version
   2.0.x du module n'est pas parfait. Toutefois, je pense maintenant que
   c'est la MEILLEURE mthode pour faire fonctionner ICQ avec IP Masq
   sous les noyaux 2.2.x.

   Pour la configuration IPPORTFW, vous allez devoir faire quelques
   changements sur Linux et sur les clients ICQ mais toutes les
   fonctionnalits d'ICQ (messages, URLs, chat, transfert de fichier,
   etc.) fonctionnent.

   Si vous tes interesss par le module IP Masq ICQ pour les noyaux
   2.2.x d'Andrew Deryabin's djsf@usa.net, vous pouvez vous reporter  la
   section 2.2.x-Requirements pour plus de dtails.

     * D'abord, vous avez besoin d'un noyau linux avec IPPORTFW d'activ.
       Reportez vous  la section Forwarders pour de plus amples dtails.
          + Ensuite, vous avez besoin d'ajouter les lignes suivantes 
            votre fichier /etc/rc.d/rc.firewall file. Cet exemple suppose
            que votre IP externe est 10.1.2.3 et que votre machine
            interne ICQ MASQues est 192.168.0.10 :
            L'exemple qui suit est pour les noyaux 2.0.x avec IPFWADM:
  J'ai inclus deux exemples ici pour l'utilisateur : les deux fonctionnent trs
 bien.

  Exemple #1
  --
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2000 -R 192.168.0.10/2000
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2001 -R 192.168.0.10/2001
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2002 -R 192.168.0.10/2002
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2003 -R 192.168.0.10/2003
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2004 -R 192.168.0.10/2004
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2005 -R 192.168.0.10/2005
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2006 -R 192.168.0.10/2006
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2007 -R 192.168.0.10/2007
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2008 -R 192.168.0.10/2008
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2009 -R 192.168.0.10/2009
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2010 -R 192.168.0.10/2010
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2011 -R 192.168.0.10/2011
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2012 -R 192.168.0.10/2012
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2013 -R 192.168.0.10/2013
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2014 -R 192.168.0.10/2014
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2015 -R 192.168.0.10/2015
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2016 -R 192.168.0.10/2016
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2017 -R 192.168.0.10/2017
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2018 -R 192.168.0.10/2018
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2019 -R 192.168.0.10/2019
  /usr/local/sbin/ipportfw -A -t10.1.2.3/2020 -R 192.168.0.10/2020
  --
  Exemple #2
  --
  port=2000
  while [ $port -le 2020 ]
    do
        /usr/local/sbin/ipportfw -A t10.1.2.3/$port -R 192.168.0.10/$port
        port=$((port+1))
    done
  --


            L'exemple suivant est pour les noyaux 2.2.x avec IPCHAINS:

  J'ai inclus deux exemples ici pour l'utilisateur : les deux fonctionnent trs
 bien.

  Exemple #1
  --
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2000 -R 192.168.0.10 2
000
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2001 -R 192.168.0.10 2
001
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2002 -R 192.168.0.10 2
002
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2003 -R 192.168.0.10 2
003
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2004 -R 192.168.0.10 2
004
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2005 -R 192.168.0.10 2
005
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2006 -R 192.168.0.10 2
006
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2007 -R 192.168.0.10 2
007
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2008 -R 192.168.0.10 2
008
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2009 -R 192.168.0.10 2
009
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2010 -R 192.168.0.10 2
010
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2011 -R 192.168.0.10 2
011
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2012 -R 192.168.0.10 2
012
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2013 -R 192.168.0.10 2
013
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2014 -R 192.168.0.10 2
014
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2015 -R 192.168.0.10 2
015
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2016 -R 192.168.0.10 2
016
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2017 -R 192.168.0.10 2
017
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2018 -R 192.168.0.10 2
018
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2019 -R 192.168.0.10 2
019
  /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 2020 -R 192.168.0.10 2
020
  --

  Exemple #2
  --
  port=2000
  while [ $port -le 2020 ]
   do
    /usr/local/sbin/ipmasqadm portfw -a -P tcp -L 10.1.2.3 $port -R 192.168.0.1
0 $port
    port=$((port+1))
   done
  --

          + Une fois que votre nouveau rc.firewall est prt, rechargez le
            jeu de rgles en tapant "/etc/rc.d/rc.firewall" pour tre sr
            que tout va bien. Si vous recevez une erreur, c'est que soit
            vous n'avez pas un noyau qui supporte IPPORTFW soit que vous
            avez fait une erreur de frappe dans votre fichier
            rc.firewall.
          + Maintenant, dans les prfrences d'ICQ,
            Preferences-->Connection, mettez "Behind a LAN" et "Behind a
            firewall or Proxy". Ensuite, cliquez sur "Firewall Settings"
            et mettez "I don't use a SOCK5 proxy". Notez aussi que l'on
            recommandait prcdemment de changer la prfrence d'ICQ
            "Firewall session timeouts"  "30" seconds MAIS de nombreux
            utilisateurs ont trouv que ca le rendait non fiable. On a
            trouv qu'ICQ est plus fiable avec son rglage de timeout par
            dfaut (n'activez donc pas cet option d'ICQ) et changez
            plutt le timeout de MASQ  160 secondes. Vous pouvez changer
            ce timeout dans les jeu de rgles rc.firewall-2.0.x et
            rc.firewall-2.2.x . Enfin, cliquez sur Next et configure ICQ
            "Use the following TCP listen ports.." pour mettre de "2000"
             "2020". Maintenant, cliquez sur "done".
            Ensuite ICQ vous demandera de relancer ICQ pour que les
            changements prennent effet. Pour tre tout a fait honnte,
            j'ai du REBOOTER la machine Windows9x pour faire marcher tout
            ca mais d'autres personnes disent que ca marche trs bien
            autrement. Donc... essayez les deux manires.
     * Notez aussi qu'un utilisateur m'a dit que portforwarder le port
       4000 vers sa machine tait ce qui fonctionnait le mieux. Il a dit
       que tout fonctionnait parfaitement (chat, transfert de fichier,
       etc.) SANS avoir besoin de reconfigurer ICQ et changer ses
       rglages par dfaut. Vos rsultats peuvent varier sur ce sujet
       mais j'ai pens que a pourrait vous paratre intressant de
       savoir que cette configuration alternative peut exister.

6.11 Joueurs : Le patch LooseUDP

   Le patch LooseUDP permet au jeux en rseau compatible NAT qui
   utilisent des connexion UDP de FONCTIONNER et d'avoir de bonnes
   performances derrire un serveur Linux IP Masquerade. Pour le moment,
   LooseUDP est disponible comme patch pour les noyaux 2.0.36+ mais se
   trouve par dfaut dans les noyaux 2.2.3+ bien qu'il est DESACTIVE par
   DEFAUT dans 2.2.16+

   Pour faire fonctionner LooseUDM sur un noyau 2.0.x, suivez les tapes
   suivantes :
     * D'abord, verifiez que vous avez les sources du noyau 2.0.x le plus
       rcent dans /usr/src/linux
     * ABSOLUMENT NECESSAIRE pour v2.0.x : Downloadez et installez le
       patch IPPORTFW que vous trouverez dans la secion
       2.0.x-Requirements et comme dcrit dans la section Forwarders de
       ce HOWTO.
     * Downloadez le patch LooseUDP  partir de la section
       2.0.x-Requirements
       Ensuite, placez le patch LooseUDP dans /usr/src/linux. Une fois
       que c'est fait, tappez :

     Pour un fichier patch compress : zcat loose-udp-2.0.36.patch.gz |
     patch -p1

     Pour un fichier patch NON-compress : cat loose-udp-2.0.36.patch |
     patch -p1
       Ensuite, suivant la version de votre "patch", vous allez voir le
       texte suivant :

patching file `CREDITS'
patching file `Documentation/Configure.help'
patching file `include/net/ip_masq.h'
patching file `net/ipv4/Config.in'
patching file `net/ipv4/ip_masq.c'

       Si vous voyez les texte "Hunk FAILED" UNE et UNE SEULE fois, au
       tout dbut de la processure de patching, ne vous inquitez pas.
       Vous avez probablement un ancien fichier de patch (ce problme 
       t rpar) mais ca fonctionne quand mme. Si a choue
       compltement, vrifiez que vous avez appliqu le patch IPPORTFW
       AVANT ce patch.
       Une fois ce patch install, reconfigurez votre noyau comme
       expliqu dans la section Kernel-Compile et verifiez bien que vous
       dites "Y"  l'option "IP: loose UDP port managing (EXPERIMENTAL)
       (CONFIG_IP_MASQ_LOOSE_UDP) [Y/n/?]".

   Pour faire fonctionner LooseUDM sur un noyau 2.2.x, suivez les tapes
   suivantes :
     * Dans le script /etc/rc.d/rc.firewall, allez  la fin du fichier et
       trouvez la section LooseUDP. Changez le "0" dans la ligne : echo
       "0" > /proc/sys/net/ipv4/ip_masq_udp_dloose en "1" et relancez
       votre jeu de rgles rc.firewall. Un exemple de ceci est fourni
       dans les exemples des sections rc.firewall-2.2.x et
       stronger-rc.firewall-2.2.x .

   Une fois que vous avez relanc le nouveau noyau avec le LooseUDP
   activ, vous devriez tre en conditions pour la plupart des jeux
   compatibles NAT. Nous vous fournissons quelques URL pour des patchs
   qui feront fonctionner des jeux tels que BattleZone ou d'autres jeux
   compatibles NAT. Vous pouvez vous reporter  la section Game-Clients
   pour de plus amples dtails.

7. Frequently Asked Questions (Foire Aux Questions)

   Si vous avez des suggestions utiles  la FAQ  faire, veuillez envoyez
   SVP un email en anglais  dranch@trinnet.net. Veuillez clairement
   rdiger la question et ca rponse (si vous l'avez). Merci !

7.1 Quelles distributions sont fournis directement avec IP Masquerading ?

   Si votre distribution Linux ne n'est pas fourni directement avec IP
   MASQ, ne vous inquitez pas. Tout ce que vous avez  faire est de
   recompiler le noyau comme expliqu prcdement dans ce HOWTO

   NB : Si vous pouvez nous aider  remplir ce tableau, envoyez SVP un
   email  ambrose@writeme.com ou  dranch@trinnet.net.

     * Caldera < v1.2 : NON - ?
     * Caldera v1.3 : OUI - 2.0.35 based
     * Caldera v2.2 : OUI - 2.2.5 based
     * Caldera eServer v2.3 : OUI - ? based
     * Debian v1.3 : NON - ?
     * Debian v2.0 : NON - ?
     * Debian v2.1 : OUI - 2.2.1 based
     * Debian v2.2 : OUI - 2.2.15 based
     * DLX Linux v? : ? - ?
     * DOS Linux v? : ? - ?
     * FloppyFW v1.0.2 : ? - ?
     * Hal91 Linux v? : ? - ?
     * Linux Mandrake v5.3 : OUI - ?
     * Linux Mandrake v6.0 : OUI - 2.2.5 based
     * Linux PPC vR4 : NON - ?
     * Linux Pro v? : ? - ?
     * LinuxWare v? : ? - ?
     * Mandrake v6.0 : OUI - ?
     * Mandrake v6.1 : OUI - ?
     * Mandrake v7.0 : OUI - 2.2.14
     * Mandrake v7.1 : OUI - 2.2.15
     * Mandrake v7.2 : OUI - 2.2.17
     * MkLinux v? : ? - ?
     * MuLinux v3rl : OUI - ?
     * Redhat < v4.x : NON - ?
     * Redhat v5.0 : OUI - ?
     * Redhat v5.1 : OUI - 2.0.34 based
     * Redhat v5.2 : OUI - 2.0.36 based
     * Redhat v6.0 : OUI - 2.2.5 based
     * Redhat v6.1 : OUI - 2.2.12 based
     * Redhat v6.2 : OUI - 2.2.14 based
     * Redhat v7.0 : OUI - 2.2.16 based
     * Slackware v3.0 : ? - ?
     * Slackware v3.1 : ? - ?
     * Slackware v3.2 : ? - ?
     * Slackware v3.3 : ? - 2.0.34 based
     * Slackware v3.4 : ? - ?
     * Slackware v3.5 : ? - ?
     * Slackware v3.6 : ? - ?
     * Slackware v3.9 : ? - 2.0.37pre10 based
     * Slackware v4.0 : ? - ?
     * Slackware v7.0 : OUI - 2.2.13 based
     * Slackware v7.1 : OUI - 2.2.16 based
     * Stampede Linux v? : ? - ?
     * SuSE v5.2 : OUI - 2.0.32 base
     * SuSE v5.3 : OUI - ?
     * SuSE v6.0 : OUI - 2.0.36 based
     * SuSE v6.1 : OUI - 2.2.5 based
     * SuSE v6.3 : OUI - 2.2.13 based
     * Tomsrbt Linux v? : ? - ?
     * TurboLinux Lite v4.0 : OUI - ?
     * TurboLinux v6.0 : OUI - 2.2.12 based
     * TriLinux v? : ? - ?
     * Yggdrasil Linux v? : ? - ?

7.2 Quelles sont la configuration matrielle minimale requise et les
limitations d'IP Masquerade? Les performances sont-elles bonnes ?

   Un 486/66 avec 16MO de RAM t bien plus que suffisant pour remplir
   les 1.54Mb/s d'une connexion T1  100% ! MASQ a aussi dj bien tourn
   sur des 386SX-16 avec 8MO de RAM. Vous devez cependant noter que Linux
   IP Masquerade commence  faire des dechets avec plus de 500 entres
   MASQ.

   La seule application que je connaisse qui puisse temporairement casser
   Linux IP Masquerade est GameSpy. Pourquoi ? Quand il actualise ses
   listes, il cre des dizaines de milliers de connexions rapides pendant
   une TRES courte priode. Jusqu'au timeout de ces sessions, les tables
   de MASQ sont pleines ("FULL"). Reportez vous  la section
   No-Free-Ports pour de plus amples dtails.

   Pendant qu'on y est :

   Il y a une limite the 4096 connexions concurrentes chacune pour TCP &
   UDP. Cette limite peut tre change en bidouillant les valeurs de
   _/usr/src/linux/net/ipv4/ip_masq.h_, une limite suprieure de 32 000
   devrait tre OK. Si vous voulez changer cette limite, vous devez
   changer les valeurs de PORT_MASQ_BEGIN & PORT_MASQ_END pour avoir une
   taille correctemment dimensionne au dessus de 32K et en dessous de
   64K.

7.3 Quand je lance la commande rc.firewall, je reois des erreurs "command not
found". Pourquoi ?

   Comment avez vous mis le fichier rc.firewall sur votre machine ?
   L'avez vous copi-coll dans une fentre de TELNET, ou envoy par FTP
    partir d'une machine Windows/DOS etc. ? Essayez a ... logguez vous
   sur la machine Linux et lancer "vim -b /etc/rc.d/rc.firewall" et
   regarder si vos lignes finissent pas ^M. Si oui, effacer les ^M et
   essayer de nouveau.

7.4 J'ai vrifi toutes mes configurations, et j'arrive toujours pas  faire
fonctionner IP Masquerade. Que dois-je faire ?

     * Restez calme. Prenez une tasse de th, de caf, de boisson etc. et
       reposez vous. Une fois que votre esprit est repos, essayez les
       suggestions ci-dessous. Mettre en place Linux IP Masquerading
       n'est PAS difficile mais il a plusieurs concepts que vous devez
       comprendre.
     * Encore une fois, suivez les tapes de la section Testing . 99% des
       utilisateurs qui utilisent Masquerade pour la premire fois ne
       sont mme pas all regarder l-bas.
     * Verifier les IP Masquerade Mailing List Archives, sans doute que
       votre problme est courant et que vous pourrez trouver une
       solution avec une simple recherche dans l'archive.
     * Vrifiez aussi le document TrinityOS. Il couvre l'IP Masquerading
       pour les noyaux 2.0.x et 2.2.x et beaucoup d'autres sujets dont
       PPPd, DialD, DHCP, DNS, Sendmail, etc.
     * Vrifiez bien que vous n'tes pas ROUTED ou GATES. Pour ce faire,
       lancez "ps aux | grep -e routed -e gated".
     * Envoyez votre question sur l'IP Masquerade Mailing List (regardez
       la suite de la section FAQ pour les dtails). Utilisez cette
       solution seulement si vous ne pouvez pas trouver de solution dans
       l'IP Masquerading Archive. Vrifiez bien que vous envoyez toutes
       les informations demandes dans la section Testing dans votre
       email!!
     * Postez votre question dans un newsgroup NNTP Linux correspondant.
     * Envoyez un email  ambrose@writeme.com et dranch@trinnet.net. Vous
       avez plus de chance de recevoir une rponse de la mailing list IP
       Masquerading que de l'un d'entre nous.
     * Verifiez vos configurations de nouveau :-)

7.5 Comment puis-je m'inscrire ou consulter les mailing lists d'IP Masquerade
et/ou IP Masqurade Developers et les archives ?

   Il y a deux manires de s'inscrire aux deux mailing lists de Linux IP
   Masquerading. La premire faon est d'envoyer un email 
   masq-request@indyramp.com. Pour s'inscrire  la mailing list de Linux
   IP Masquerading Developers, envoyez un email 
   masq-dev-request@indyramp.com. Reportez vous SVP  la boulette si
   dessous pour plus de dtails.

     * S'abonner par email: Mettez "subscribe" soit dans le champs
       'subject' soit dans le corps du message de l'email. Si vous voulez
       vous abonner  la version Digest (tous les emails de la liste
       donne vous sont envoys dans un seul gros email), de l'une des
       mailing list (la principale MASQ ou la liste MASQ-DEV), mettez les
       mots "subscribe digest"  la place, soit dans le champs 'subject'
       soit dans le corps de l'email.
       Une fois que le serveur reoit votre requte, il va vous abonner 
       la liste que vous avez demand et vous fournir un MOT DE PASSE.
       Sauvegardez ce mot de passe parce que vous en aurez besoin plus
       tard, pour terminer votre abonnement ou changer vos options

   La seconde mthode et d'utiliser un browser WWW et de vous inscrire
   via le formulaire qui se trouve  l'URL
   http://www.indyramp.com/masq-list/ pour la liste principale MASQ ou
   http://www.indyramp.com/masq-dev-list/ pour la liste MASQ-DEV.

   Une fois abonn, vous recevrez des emails de la liste  laquelle vous
   vous tes abonn. Notez aussi que les utilisateurs abonns et
   NON-abonns peuvent acceder aux archives des deux listes. Pour ce
   faire, veuillez SVP vous reporter aux URLs WWW si dessus pour plus de
   dtails.

   Enfin, veuillez noter que vous pouvez envoyer des emails  la liste
   MASQ uniquement  partir de votre compte/adresse avec lesquels vous
   vous tes abonn.

   Si vous avez des problmes avec les mailing lists, ou l'archive de la
   mailing liste, veuillez contacter SVP Robert Novak.

7.6 En quoi IP Masquerade est diffrent des Proxy ou des services NAT ?


Proxy: les serveurs Proxy sont disponibles pour : Win95, NT, Linux, Solaris, et
c.

                Avantages:      + (1) seule adresse IP; pas cher
                                + Peu optionnellement utiliser une cache pour d
e meilleurs
                                  performances (WWW, etc.)

                Inconvnients:   - Toutes les applications derrire un serveur
                                          proxy doivent tre COMPATIBLES avec l
es
                                          services proxy (SOCKS) et tre CONFIG
URES
                                          pour utiliser le serveur Proxy
                                        - Fout en l'air les compteurs WWW et le
s stastiques WWW

         Un serveur proxy utilise seulement (1) une adresse IP publique, comme
IP MASQ, et se
         comporte comme un traducteur vers les clients du LAN prive (browser WW
W, etc.)
         Ce serveur proxy recoit les requetes tels que TELNET, FTP, WWW, etc. d
u reseau prive
         sur une interface. Il va ensuite initialiser ces requetes comme si c'e
tait quelqu'un sur
         la machine elle-meme qui les faisait. Une fois que le serveur distant
sur Internet renvoie
         les informations demandes, il va retraduire les adresses TCP/IP vers
les machines
         internes et envoyer le traffic vers la machine interne qui avait fait
la demande. C'est
         la raison pour laquelle il est appel serveur PROXY.

                NB :   TOUTE application que vous pourriez vouloir utiliser sur
 les
                       machines internes *DOIT* avoir la compatibilit avec les
 serveurs
                       proxy, comme Netscape et quelques applications parmi les
 meilleurs
                       clients TELNET et FTP. Tout client qui n'est pas compati
ble avec
                       les serveurs proxy ne fonctionnera pas.

         Une autre chose bien a propos des serveurs proxy est que quelques uns
d'entre eux
         peuvent aussi servir  faire du cache (antememoire) (Squid pour WWW).
Imaginez alors
         vous avez 50 machines 'proxies' qui vont charger Nestcape en meme temp
s. S'ils sont
         que installs avec la page de garde par defaut, vous allez avoir 50 co
pies de la
         Netscape qui vont arriver a travers le WAN pour chaque ordinateur. Ave
c un proxy a
         meme page Web antememoire, seule une copie serait telechargee par le s
erveur proxy et ensuites
         les machines proxies recevraient la page  partir de l'antememoire. Ce
la va non
         seulement economiser de la bande passante sur la connexion Internet, m
ais en plus ca va etre
         BEAUCOUP BEAUCOUP plus rapide pour les machines internes proxies.


MASQ:    IP Masq est disponible sur Linux et quelques routeurs ISDN tels que
 ou      le Zytel Prestige128, Cisco 770, les routeurs ISDN NetGear, etc.
1:Many
 NAT
                Avantages:      + (1) seule adresse IP; pas cher
                                + N'a pas besoin de compatibilite speciale des
applications
                                + Utilise un firewall logiciel donc votre resea
u peu devenir
                                plus sur

                Inconvnients:   - Requiert une machine Linux ou un routeur ISD
N special
                                (meme si d'autres produits pourraient l'avoir..
.)
                                - Le traffic entrant ne peut acceder au LAN int
erne sans que
                                le LAN interne soit initiateur du traffic ou qu
'il y ait un
                                logiciel specifique pour le port forwarding d'i
nstalle.
                                Beaucoup de serveurs NAT NE PEUVENT PAS fournir
 cette
                                fonctionnalit
                                - Des protocoles speciaux doivent etre traites
de maniere speciale
                                par les redirecteurs de firewall, etc. Linux es
t completement
                                compatible avec ceux-ci (FTP, IRC, etc.) mais b
eaucoup de routeurs
                                NE le SONT PAS (NetGear DOES).


         Masq ou 1:Many NAT est similaire a un serveur proxy parce que le serve
ur va faire une
         translation d'adresse IP et faire croire au serveur distant (par exemp
le le serveur WWW)
         que c'est le serveur MASQ qui a fait la requete et non la machine inte
rne.

         Une difference majeure entre un serveur MASQ et un serveur PROXY est q
ue les serveurs
         MASQ n'ont pas du tout besoin de changement de configuration des machi
nes clientes.
         Il suffit de les configurer pour qu'elles utilisent la machine linux e
n tant que leur
         passerelle par defaut et tout fonctionne correctement. Vous AUREZ beso
in d'installer
          des modules linux speciaux pour faire fonctionner des trucs genre Rea
lAudio, FTP, etc. !

         De plus, de nombreuses personnes utilisent IP MASQ pour le TELNET? FTP
, etc. *ET*
         mettent en place un serveur proxy avec cache sur la meme machine Linux
 pour le traffic
         WWW afin d'obtenir de meilleurs performances.


NAT:     des serveurs NAT sont disponibles sur Windows 95/NT, Linux, Solaris, e
t quelques
         un des meilleurs routeurs ISDN (pas chez Ascend)

                Avantages:      + Tres configurables
                                + Pas de logiciel special requis

                Inconvnients:   - Necessite un sous-reseau de votre FAI (cher)

         Translation d'Adresse Reseau est le nom d'une boite qui aurait un grou
pe d'adresses
         IP valides qu'il peut utiliser sur l'interface Internet. Quand sur le
reseau interne,
         une machine veut acceder a Internet, il associe une des adresses IP VA
LIDES disponibles
         de son interface Internet a l'adresse IP PRIVEE qui a fait la demande.
 Ensuite, tout
         le traffic est retranscrit de l'adresse IP public du NAT vers son adre
sse IP privee.
         Lorsque l'adresse NAT PUBLIQUE devient inactif pour une certaine perio
de predeterminee,
         l'adresse IP PUBLIQUE est rangee de nouveau dans le groupe d'adresses
NAT publiques

         Le principal probleme de NAT est que, une fois que toutes les adresses
 IP publiques
         disponibles sont utilisees, tout utilisateur prive qui demande un serv
ice Internet doit
         attendre qu'une adresse publique NAT se libere.

   Pour une description trs bien faite et trs complte des diffrentes
   formes de NAT, veuillez SVP vous reporter  :
     * http://www.suse.de/~mha/linux-ip-nat/diplom/nat.html

   Voici un autre bon site pour apprendre des choses sur NAT, bien que
   beaucoup d'URLs sont anciennes, elles sont toujours valables :
     * http://www.linas.org/linux/load.html

   Voici un trs bon URL pour apprendre des choses sur les autres
   solutions NAT pour Linux mais aussi pour les autres plateformes :
     * http://www.uq.net.au/~zzdmacka/the-nat-page/

7.7 Existe-t-il des outils de cration/gestion de firewall avec interface
graphique ?

   Oui ! Ils ont diffrentes interfaces, complexits, etc. mais ils sont
   trs bien bienque la plupart soit exclusivement pour l'outil IPFWADM.
   Voici une courte liste des outils disponibles, dans l'ordre
   alphabtique. Si vous en connaissez d'autres ou vous savez lesquels
   sont bien/mauvais/immondes, envoyez SVP un email  David

     * Le IPFWADM Dot file generator de John Hardin - Une version
       IPCHAINS est en cours de developpement.
     * fBuilder de Sonny Parlin : De l'auteur de FWCONFIG, cette nouvelle
       solution est entirement base sur le WWW et offre des options de
       redondance, etc. pour IPCHAINS et NetFilter.
     * Mason de William Stearns - Un systme pour crer des jeux de
       rgles  la vole

7.8 IP Masquerade fonctionne-t-il avec des adresses IP aloues dynamiquement ?

   _Oui_, a fonctionne, avec les IP dynamique, assigne par votre FAI
   via un serveur PPP ou DHCP/BOOTp. Bien sur les IP statiques
   fonctionnent aussi. Toutefois, si vous voulez implmenter un jeu de
   rgle IPFWADM/IPCHAINS 'strong' ou utiliser un port forwarder, votre
   jeu de rgles devra tre rexecut  chaque fois que votre IP change.
   Reportez vous SVP au debut de la section TrinityOS - Section 10 pour
   plus d'aide sur les jeux de rgles 'strong' du firewall et les
   adressses IP dynamiques.

7.9 Puis-je utiliser un modem par cable (soit bidirectionnel, soit avec un
modem pour le retour), une connexion DSL, un lien satellite, etc. pour me
connecter  internet et utiliser IP Masquerade ?

   _OUI_, tant que Linux est compatible avec l'interface rseau, a
   devrait fonctionner. Si vous recevez une adresse IP dynamique,
   reportez vous SVP  l'URL de la partie "IP Masquerade fonctionne-t-il
   avec des adresses IP aloues dynamiquement" dans l'article de la FAQ
   si dessus.

7.10 Puis-je utiliser Diald ou la fonction Dial-on-Demand de PPPd avec IP MASQ?

   Bien sr ! IP Masquerading est totalement transparent pour Diald ou
   PPP. La seule chose qui pourrait poser problme est l'utilisation d'un
   jeu de rgle 'strong' avec un adresse IP dynamique. Reportez vous 
   l'article de la FAQ " IP Masquerade fonctionne-t-il avec des adresses
   IP aloues dynamiquement" ci-dessus pour de plus amples dtails.

7.11 Quels applications sont compatibles avec IP Masquerade?

   C'est difficile de garder une liste de toutes les "applications qui
   fonctionnent". Cependant, la plupart des applications Internet
   classiques sont compatibles (les browser WWW (Netscape, MSIE, etc. FTP
   (tels que WS_FTP), TELNET, SSH, RealAudio, POP3 (email entrant - Pine,
   Eudora, Outlook), SMTP (email sortant), etc.) Une liste assez complte
   de clients compatibles MASQ peut tre trouv  la section Clients de
   ce HOWTO.

   Les applications impliquant des protocoles plus compliqus ou des
   mthodes de connexion spciales telles que la video conferencing ont
   besoin d'outils d'aide spciaux.

   Pour de plus amples dtails, veuillez vous reporter SVP  la page
   Linux IP masquerading Applications

7.12 Comment puis-je faire fonctionner IP Masquerade sur Redhat, Debian,
Slackware, etc.?

   Peu importe quelle distribution Linux vous utilisez, les procdures
   pour configurer IP Masquerade mentionnes dans ce HOWTO devraient
   fonctionner. Quelques distributions peuvent avoir une interface
   graphique ou des fichiers de configurations speciaux qui peuvent
   rendre la configuration plus simple. Nous faisons le mieux que nous
   pouvons pour crire ce HOWTO dans le cas le plus gnral possible.

7.13 Les connexions TELNET semblent s'interrompre si je ne les utilise pas
souvent. Pourquoi a ?

   Par dfaut, IP Masq, rgles ses timers pour les sessions TCP, TCP FIN,
   et les traffics UDP  15 minutes. Il est recommand d'utiliser les
   rglages suivant (comme indiqu prcdemment dans ce HOWTO au niveau
   du jeu de rgles /etc/rc.d/rc.firewall ) pour la plupart des
   utilisateurs :

   Linux 2.0.x avec IPFWADM:

#timeouts de MASQ
#
#   timeout de 2heures pour les sessions TCP
#   timeout de 10secondes pour le traffic avoir reu le paquet TCP/IP "FIN"
#   timeout de 60secondes pour le traffic UDP (les utilisateurs d'ICQ MASQ'us
#   doivent activ un timeout firewall de 30 secondes dans ICQ lui-mme)
#
/sbin/ipfwadm -M -s 7200 10 60

   Linux 2.2.x avec IPCHAINS:

#timeouts de MASQ
#
#   timeout de 2heures pour les sessions TCP
#   timeout de 10secondes pour le traffic avoir reu le paquet TCP/IP "FIN"
#   timeout de 60secondes pour le traffic UDP (les utilisateurs d'ICQ MASQ'us
#   doivent activ un timeout firewall de 30 secondes dans ICQ lui-mme)
#
/ipchains -M -S 7200 10 60

7.14 Quand je me connecte une premire fois  Internet, rien de fonctionne. Si
j'essaie de nouveau, tout fonctionne correctement. Pourquoi ?

   La raison est que vous avez une IP dynamique et que quand vous vous
   connectez  Internet, IP Masquerade ne connait pas votre IP. Il y a
   une solution  ce problme. Dans votre jeu de rgles
   /etc/rc.d/rc.firewall, ajoutez ceci :

# Utilisateur d'IP dynamique :
#
#   Si vous recevez votre IP dynamiquement par SLIP, PPP ou DHCP, activez cette
 option
#   Ceci permet le hacking des IP dynamiques dans IP MASQ, rendant la vie
#   avec Diald et les programmes similaires plus simple.
#
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

7.15 ( MTU ) - IP MASQ semble fonctionner correctement mais certain sites ne
fonctionnent pas. D'habitude, a arrive avec le FTP et le WWW.

   Il y a deux raisons possibles  ce problme. La premire est trs
   COURANTE, et la seconde est trs RARE

     * Il y a un BUG discutable dans le code de Masquerade des noyaux
       2.0.38 2.2.9+.
       Quelques utilisateurs pointent du doigt le fait que IPMASQ
       pourrait avoir des problmes avec les paquets qui ont un le bit DF
       ou "Don't Fragment" activ. En gros, quand une machine Linux se
       connecte  Internet avec un MTU infrieur  1500, certains paquets
       vont avoir le flag DF activ. Bienque changer le MTU 1500 sur le
       serveur linux va sembler rsoudre le problme, le bug probable va
       toujours tre l. On croit qu'il se passe la chose suivante : le
       code MASQ ne rcrit pas correctement les paquets de retour ICMP
       avec le code ICMP 3 Sub 4  l'ordinateur MASQu qui est 
       l'origine du flux. En raison de cela, les paquets sont limins.
       D'autres utilisateurs pointent du doigt les administrateurs des
       sites distants qui posent problme (typiquement les sites
       utilisant le SSL, etc.) et disent qu'en raison du filtrage de
       TOUTES LES FORMES de messages ICMP (dont les Type4 - Fragmentation
       Needed) en cause de la paranoia de la scurit, ils fracturent les
       aspects fondamentaux du protocole TCP/IP.
       Les deux arguments ont des aspects valides et les partisans des
       deux camps continuent  dbattre sur ce sujet chaque jour. Si vous
       tes un programmeur rseau et que vous pensez pouvoir soit
       rsoudre ce problme soit deviner son origine... ESSAYEZ SVP !
       Pour de plus amples dtails reportez vous  la liste suivante MTU
       Thread from the Linux-Kernel.
       Pas d'inquitudes toutefois. Une manire efficace  100% de
       rsoudre le problme est de changer le MTU de votre liaison
       Internet  1500. Maintenant quelques utilisateurs vont grogner
       contre ceci parce que ca peut nuire  la latence de quelques
       programmes spcifiques tels que TELNET ou les jeux mais son impact
       n'est que trs faible. D'un autre ct, la plupart des connexions
       HTTP et FTP vont s'ACCELERER !
       [ -- Si vous avez une connexion PPPoE pour votre DSL/Cablemodem ou
       si vous dcidez de ne pas changer votre MTU  1500, regardez si
       dessous pour une autre solution. -- ]
       Pour rparer ca, regardez d'abord le MTU de votre connexion
       Internet. Pour ce faire, lancer /bin/ifconfig". Maintenant
       regardez les lignes correspondants  votre connexion Internet et
       chercher le MTU. Il FAUT le fixer  1500. Gnralement, les
       connexions Ethernet vont l'avoir par dfaut mais les lignes srie
       PPP vont avoir par dfaut 576.

  Changer le MTU d'une ligne PPP :

     * Pour rgler le problme de MTU sur une ligne PPP, modifiez votre
       fichier /etc/ppp/options, et vers le dbut, ajoutez le texte
       suivant sur deux lignes spares : "mtu 1500" et "mru 1500".
       Sauvegardez les changements et redemarrez PPP. Maintenant vrifiez
       comme indiqu prcdemment que le lien PPP a un MTU et un MRU
       corrects.
     * Pour rgler le problme de MTU sur une ligne Ethernet vers votre
       connexion DSL ou CableModem reli par un routeur ou un pont, vous
       devez modifier le bon script de dmarrage rseau pour votre
       distribution Linux. Reportez vous SVP au document TrinityOS -
       Section 16 pour l'optimisation du rseau.

  Anciennes interfaces series UNIX :

     * Enfin, bienque ceci n'est pas un problme courant, quelques
       personnes ont trouv la solution suivante. Les utilisateurs de
       PPP, vrifiez sur quel port votre PPPd se connecte. Est-ce un port
       /dev/cua* ou un port /dev/ttyS* ? Le type cua est un ANCIEN et il
       perturbe certains trucs de manires tranges.

  Utilisateurs de PPPoE :

   Pour les utilisateurs de PPPoE (qui a un MTU maximal de 1490) ou pour
   ceux qui dcident de ne pas utiliser un MTU de 1500, tout n'est pas
   perdu. Si vous reconfigurez TOUTES les machines MASQues de faon  ce
   qu'elles utilisent le MEME MTU que celui de votre connexion externe 
   Internet, tout devrait fonctionner correctement. A noter cependant que
   certains FAI par PPPoE peuvent exiger un MTU de 1460 pour une
   connectivit correcte.

   Comment vous pouvez faire cela ? Suivez ces quelques tapes pour votre
   systme d'exploitation.

   L'exemple suivant montre la configuration d'un MTU de 1490 pour une
   connexion PPPoE utilise par certains utilisateurs de DSL ou de
   Cablemodems. Il est recommand d'utiliser les valeurs les PLUS HAUTES
   possibles pour toutes les connexions dont le dbit est suprieur ou
   gal  128kb/s.

   La seule raison d'utiliser un MTU plus petit est la latence au depend
   du dbit. Reportez vous SVP  :

   http://www.ecst.csuchico.edu/~dranch/PPP/ppp-performance.html#mtu

   pour de plus amples dtails sur ce sujet.

   *** Si vous avez REUSSI, ECHOUE, ou que vous avez la procdure 
   suivre pour d'autres systmes d'exploitations, *** envoyer SVP une
   email  DAVID Ranch. Merci !

  Linux:
     _________________________________________________________________


1. Le rglage du MTU peut changer d'une distribution  l'autre.

   Pour Redhat : Vous avez besoin de modifier les diffrentes dclarations "ifc
onfig'
                 dans /sbin/ifup script

   Pour Slackware : Vous avez besoin de modifier les diffrentes dclarations "
ifconfig'
                    dans /etc/rc.d/rc1.inet

2. Voici un bon exemple qui marche avec toutes les distributions, modifiez le f
ichier
   /etc/rc.d/rc.local et mettez ceci  la FIN du fichier :

        echo "Changement du MTU de l'interface ETH0"
        /sbin/ifconfig eth0 mtu 1490

     Remplacez "eth0" par le nom de l'interface de votre machine qui est connec
te  Internet.

3. Pour les options avances telles que "TCP Receive Windows", des exemples dt
aills
   sur la manire de modifier les scripts de rseau sur les diffrentes distrib
utions
   Linux, etc. reportez vous SVP au Chapitre 16 de
   http://www.ecst.csuchico.edu/~dranch/LINUX/index-linux.html#trinityos
     _________________________________________________________________

  MS Windows 95:
     _________________________________________________________________

1. TOUT changement dans la base de registre est risque mais avec une copie de
sauvegarde,
   vous devriez tre en scurit. Continuez en CONNAISSANCE DE CAUSE.

2. Allez dans Start-->Run-->RegEdit

3. Vous devriez faire une copie de sauvegarde de votre Base De Registre avant d
e faire quoi
   que a soit.
   Pour ce faire, copiez les fichiers "user.dat" et "system.dat" du rpertoire
\WINDOWS
   et mettez les en lieu sr. Notez aussi, que la mthode mentionne
   prcdemment utilisant "Regedit: Registry-->Export Registry File-->Save a co
py of
   your registry" ne fait que de la FUSION de la Base de Registre et NON PAS so
n remplacement.

4. Cherchez dans chaque cl de la base de registre qui fini par "n" (c--d 0007
)
   qui  une entre appele "IPAddress" qui a votre adresse IP.
   Sous cette cl, ajoutez le texte suivant :

   Tir de http://support.microsoft.com/support/kb/articles/q158/4/74.asp

     [Hkey_Local_Machine\System\CurrentControlset\Services\Class\NetTrans\000n]

         type=DWORD
         name="MaxMTU"           (NE PAS inclure les guillements)
         value=1490 (Decimal)    (NE PAS inclure le texte "(Decimal)")

         type=DWORD
         name="MaxMSS"           (NE PAS inclure les guillements)
         value=1450 (Decimal)    (NE PAS inclure le texte "(Decimal)")


5. Vous pouvez aussi changer le "TCP Receive Window" qui augmente parfois
   les performances rseau CONSIDERABLEMENT. Si vous remarquez que votre dbit
    DIMINUE, REMETTEZ les anciens rglages et redmarrez.

     [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP]
        type=DWORD
        name="DefaultRcvWindow"   (NE PAS inclure les guillements)
        value=32768 (Decimal)     (NE PAS inclure le texte "(Decimal)")

        type=DWORD
        name="DefaultTTL"         (NE PAS inclure les guillements)
        value=128 (Decimal)       (NE PAS inclure le texte "(Decimal)")


6. Rebootez pour que les changements soit pris en compte.
     _________________________________________________________________

  MS Windows 98:
     _________________________________________________________________


1. TOUT changement dans la base de registre est risque mais avec une copie de
sauvegarde,
   vous devriez tre en scurit. Continuez en CONNAISSANCE DE CAUSE.

2. Allez dans Start-->Run-->RegEdit

3. Vous devriez faire une copie de sauvegarde de votre Base De Registre avant d
e faire quoi que
   a soit. Pour ce faire, copiez les fichiers "user.dat" et "system.dat" du r
pertoire
   \WINDOWS et mettez les en lieu sr. Notez aussi, que la mthode mentionne
   prcdemment utilisant "Regedit: Registry-->Export Registry File-->Save a co
py of your
   registry" ne fait que de la FUSION de la Base de Registre et NON PAS son rem
placement.

4. Cherchez dans chaque cl de la base de registre qui fini par "n" (c--d 0007
)
   qui  une entre appele "IPAddress" qui a votre adresse IP. Sous cette cl,
   ajoutez le texte suivant :

   Tir de http://support.microsoft.com/support/kb/articles/q158/4/74.asp

     [Hkey_Local_Machine\System\CurrentControlset\Services\Class\NetTrans\000n]

         type=STRING
         name="MaxMTU"            (NE PAS inclure les guillements)
         value=1490 (Decimal)     (NE PAS inclure le texte "(Decimal)")


5. Vous pouvez aussi changer le "TCP Receive Window" qui augmente parfois
   les performances rseau CONSIDERABLEMENT. Si vous remarquez que votre dbit
    DIMINUE, REMETTEZ les anciens rglages et redmarrez.

     [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP]
        type=DWORD
        name="DefaultRcvWindow"   (NE PAS inclure les guillements)
        value=32768 (Decimal)     (NE PAS inclure le texte "(Decimal)")

        type=DWORD
        name="DefaultTTL"         (NE PAS inclure les guillements)
        value=128 (Decimal)       (NE PAS inclure le texte "(Decimal)")


6. Rebootez pour que les changements soit pris en compte.
     _________________________________________________________________

  MS Windows NT 4.x
     _________________________________________________________________


1. TOUT changement dans la base de registre est risque mais avec une copie de
sauvegarde,
   vous devriez tre en scurit. Continuez en CONNAISSANCE DE CAUSE.

2. Allez dans Start-->Run-->RegEdit


3. Registry-->Export Registry File-->Sauvegardez une copie de votre base de reg
istre dans un
   endroit sr

4. Crer les cls suivantes dans les deux Bases de Registre possible.
   Des entres multiples correspondent  differentes connexions rseaux tels
   que PPP, Ethernet NICs, VPNs PPTP, etc.

   http://support.microsoft.com/support/kb/articles/Q102/9/73.asp?LN=EN-US&SD=g
n&FR=0


   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Parameters\Tcpip]
                     and
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<Adapter-name>\Paramet
ers\Tcpip]

      Remplacez "<Adapter-Name>" par le nom du lien de l'interface de votre LAN
 connecte
       Internet

         type=DWORD
         name="MTU"              (NE PAS inclure les guillements)
         value=1490 (Decimal)    (NE PAS inclure le texte "(Decimal)")

       (NE PAS inclure les guillements)


 *** Si vous savez aussi comment changer MSS, la taille de la fentre TCP, et l
es
 *** parametres TTL dans NT 4.x, envoyez SVP un  email  dranch@trinnet.net par
ce que
 *** j'adorerais les ajouter  ce HOWTO.

5. Rebootez pour que les changements soit pris en compte.
     _________________________________________________________________

  MS Windows 2000
     _________________________________________________________________

1. TOUT changement dans la base de registre est risque mais avec une copie de
sauvegarde,
   vous devriez tre en scurit. Continuez en CONNAISSANCE DE CAUSE.

2. Allez dans Start-->Run-->RegEdit


3. Registry-->Export Registry File-->Sauvegardez une copie de votre base de reg
istre
   dans un endroit sr

4. Naviguez jusqu' la cl :

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfac
es\<ID for Adapter>

   Chaque ID Adapter  une cl par default pour le DNS, l'adresse TCP/IP, la pa
sserelle
   par defaut, le masque de sous rseau, etc. Trouvez la cl qui correspond 
   votre carte rseau.

5.  Crez l'entre suivante :

      type=DWORD
      name="MTU"                                (NE PAS inclure les guillements
)
      value=1490 (Decimal)      (NE PAS inclure le texte "(Decimal)")

http://support.microsoft.com/support/kb/articles/Q120/6/42.asp?LN=EN-US&SD=gn&F
R=0

 *** Si vous savez aussi comment changer MSS, la taille de la fentre TCP, et l
es
 *** parametres TTL dans NT 4.x, envoyez SVP un  email  dranch@trinnet.net par
ce que
 *** j'adorerais les ajouter  ce HOWTO.

5. Rebootez pour que les changements soit pris en compte.
     _________________________________________________________________

   Comme dclar si dessus, si vous savez comment effectuer ces
   changement pour d'autres OS tels que OS/2, MacOS, etc. envoyez SVP un
   email David Ranch pour qu'ils puissent tre inclus dans ce HOWTO.

7.16 les clients FTP MASQus ne fonctionnent pas.

   Vrifiez si le module "ip_masq_ftp" est charg. Pour ce faire, logguez
   vous sur le serveur MASQ et tapez la commande "/sbin/lsmod". Si vous
   ne voyez pas "ip_masq_ftp" charg, verifiez que vous avez bien suivi
   les recommandations du /etc/rc.d/rc.firewall BASIQUE que vous
   trouverez  la section firewall-examples . Si vous implmentez votre
   propre jeu de rgles, faites en sorte d'inclure la plupart des
   exemples de ce HOWTO ou vous aurez encore de nombreux problmes.

7.17 l'IP Masquerading semble lent

   Il peut y avoir deux raisons  cela :
     * Peut tre attendez vous plus de votre ligne modem que ce qui est
       possible. Faisons le calcul pour une connexion par modem 56k
       typique :
         1. modem 56k = 56,000 bits par seconde.
         2. Vous n'avez PAS vraiment un modem 56k mais un modem 52k 
            cause des limitations US FCC (NDT : cette restriction est
            valable uniquement aux Etats-Unis, bien sr. Mais la suite
            fourni une mthode de calcul transposable  une veritable
            ligne 56k).
         3. Vous n'aurez JAMAIS 52k, la meilleure connexion que j'ai
            russi  avoir tait  48k
         4. 48,000 bits par seconde vaut 4,800 OCTETS par seconde (8 bits
            pour un octet +2 bits pour les bits START et STOP RS-232 de
            la laison srie)
         5. Avec un MTU de 1500, vous aurez (3.2) paquets en une seconde.
            Puisque ceci implique la fragmentation, vous aurez besoin de
            l'arrondir  l'entier INFERIEUR (3) paquets par seconde.
         6. De mme, avec un MTU de 1500, il y a 3.2 x 40 octets d'entte
            TCP/IP (8%)
         7. Donc, le MEILLEUR dbit que vous pourrez esprer avoir est de
            4.68ko/s sans compression. Avec compression, soit-elle une
            compression matrielle v.42bis, MNP5, ou MS/Stac, on peut
            atteindre des nombres impressionnants avec des matriaux
            hautement compressibles tels que les fichiers TEXT mais en
            fait elle peut aussi ralentir les choses si on transfets des
            fichiers pre-compresss tels que des ZIPs, MP3s, etc.
     * Connexions relies par Ethernet (DSL, Cablemodem, LANs, etc.)
          + Verifiez que vous n'avez pas un rseau INTERNE et un rseau
            EXTERNE tournant sur la mme carte rseau avec la fonction
            "IP Alias". Si c'est ce que vous _FAITES_, ca peut
            fonctionner mais ca peut tre excessivement lent  cause du
            grand nombres de collisions, de l'utilisation d'IRQ, etc. Il
            est VIVEMENT RECOMMANDE d'avoir une autre carte rseau pour
            que les rseaux interne et externe aient leur propre
            interface.
            Vrifiez que vous avez les bons rglages Ethernet pour la
            VITESSE et le DUPLEX.
               o Quelques cartes Ethernet 10Mb/s et la plupart des cartes
                 100Mb/s sont compatibles avec les connexions FULL
                 Duplex. Les connexions directes de la carte Ethernet
                 vers, disons, un modem DSL (sans hubs entre) *PEU* tre
                 rgl sur FULL DUPLEX mais seulement si le modem DSL le
                 permet. Vous devriez aussi vrifier que vos cables
                 Ethernet avec les 8 fils, sont de bonne qualit.
               o Les rseaux internes qui utilisent des HUBs -ne peuvent
                 pas- utiliser le Full Duplex. Vous avez besoin soit d'un
                 _SWITCH_ Ethernet 10Mb/s ou 100Mb/s pour pouvoir le
                 faire.
               o Les ngociation automatiques sur la vitesse 10/100Mb/s
                 et sur le DUPLEX Full/Half sur les cartes Ethernet
                 peuvent faire des ravages sur un rseau. Je recommande
                 de coder en dur la vitesse et le duplex dans vos cartes
                 rseaux si possible. Vous pouvez le faire directement
                 via les modules Linux NIC mais ce n'est pas possible
                 directement sur les noyaux monolithiques. Vous aurez
                 soit besoin d'utiliser les utilitaires MII de Donald
                 Becker's NIC drivers and utils FAQ-Hardware ou bien de
                 coder en dur dans le source du noyau.
     * Optimisez votre MTU et rglez la fentre glissante de TCP  8192
       au moins
          + Bienque ceci soit COMPLETEMENT en dehors du cadre de ce
            document, ca aide UN PEU sur TOUTE liaison rseau que vous
            avez, que a soit interne ou externe par liaison PPP,
            Ethernet, TokenRing etc. Pour de plus amples dtails, ce
            sujet est brivement abord dans la section MTU-issues si
            dessus. Pour avoir encore plus de dtails, vous pouvez vous
            reporter  la section Network Optimization de TrinityOS -
            Section 16.
     * Utilisation de modems sries avec PPP
          + Si vous avez un modem externe, verifiez que vous avez un bon
            cable serie. De plus, beaucoup de PC on des cables foireux
            reliant le port srie de la carte mre ou la carte d'E/S vers
            la connexion port srie. Si vous tes dans l'une de ces
            situations, faites en sorte d'avoir de bonnes conditions.
            Personnellement, je mets des enrobages de ferrite (ces
            anneaux de metal gris-noir) autour de TOUTES mes nappes.
          + Vrifiez que votre MTU est rgl  1500 comme dcrit
            prcdemment dans la section de la FAQ de ce HOWTO.
          + Vrifiez que l'UART de votre port srie est au moins 
            16550A. Lancez "dmesg | more" pour ce faire.
          + Rgler l'IRQ-Tune de vos ports sries.
               o Sur la majorit du matriel PC, l'utilisation de l'outil
                 de Craig Estey IRQTUNE augmente de manire significative
                 les performances des ports sries, donc les connexions
                 SLIP and PPP connexions.
          + Vrifiez que le port srie de votre connexion PPP est au
            moins  115200 bauds (ou plus si et votre modem et votre port
            srie peuvent le supporter... aussi connu sous le nom
            d'adaptateur terminal ISDN)
               o noyaux 2.0.x : les noyaux 2.0.x sont plutt bizarres
                 parce que vous ne pouvez pas directement leur dire de
                 rgler les ports srie  115200. Donc, dans l'un de vos
                 scripts de dmarrage, comme les fichiers
                 /etc/rc.d/rc.local ou /etc/rc.d/rc.serial, executez le
                 commande suivante pour un modem sur le port COM2 :
                    # setserial /dev/ttyS1 spd_vhi
                    # dans votre script PPPd, modifiez la ligne
                      d'execution de pppd de manire  y inclure la
                      vitesse "38400"  l'aide du manuel de pppd.
               o noyaux 2.2.x : contrairement aux noyaux 2.0.x, les
                 noyaux 2.1.x et 2.2.x n'ont pas ce problme de
                 "spd_vhi".
                    # Donc, dans le script de PPPd, modifiez la ligne
                      d'execution de pppd de manire  y inclure la
                      vitesse "115200"  l'aide du manuel de pppd.
     * Tous types d'interface :

7.18 IP Masquerading avec PORTFWing semble s'arrter quand ma ligne est
inactive pendant de longs priodes

   Si vous avez une ligne DSL ou par Cablemodem, ce comportement est
   malheureusement trs commun. Ce qui se passe c'est que votre FAI met
   votre connexion dans une file de priorit trs faible pour mieux
   servir les connexions qui ne sont pas inactives. Le problme est que
   la connexion de quelques utilisateurs finaux va effectivement tre
   COUPEE jusqu' ce que le traffic de la connexion de l'utilisateur
   reveille le matriel du FAI.
     *
     * Certaines installations DSL peuvent DECONNECTER une connexion
       inactive et vrifier l'activit seulement une fois toutes les 30
       secondes environ.
     * Certains rglages de Cablemodem peuvent mettre une connexion
       inactive dans une file d'attente de priorit faible et vrifier
       l'activit seulement une fois toutes les quelques minutes.

   Qu'est-ce que je recommande de faire ? Faites un ping vers votre
   passerelle par dfaut toutes les 30 secondes. Pour se faire, modifiez
   le fichier /etc/rc.d/rc.local et ajoutez la ligne suivante  la fin du
   fichier :
     _________________________________________________________________

         ping -i 30 100.200.212.121 > /dev/null &
     _________________________________________________________________

   Remplacez 100.200.212.121 par votre routeur par dfaut (routeur en
   amont).

7.19 Maintenant que j'ai l'IP Masquerading qui fonctionne, j'ai plein de sortes
de messages d'erreurs et d'avertissements bizarres dans les fichiers log
SYSLOG. Comment faut-il lire les erreurs du firewall IPFWADM/IPCHAINS ?

   Il y a sans doute deux choses que vous allez couramment voir :
     * _MASQ: Failed TCP Checksum error:_ Vous verrez cette erreur quand
       un paquet arrivant d'Internet est corrompu dans la partie donne
       mais que le reste "semble" bon. Quand la machine Linux recoit le
       paquet, il va calculer le CRC du paquet et determiner s'il est
       corrompu ou pas. Sur la plupart des machines tournant sur des OS
       tels que Microsoft Windows, il vont simplement ignorer le paquet
       mais Linux IP MASQ le met dans son compte-rendu. Si vous en
       recevez beaucoup sur une ligne PPP, regardez d'abord l'entre de
       la FAQ correspondant  "MASQ est lent".
     * Si toutes ces astuces ne vous aident pas, essayer en ajoutant la
       ligne "-vj" dans votre fichier /etc/ppp/options et relancer PPPd.
     * _Hits sur le firewall_ : Quand vous tes sur Internet avec un
       firewall dcent, vous tes surpris du nombre de personnes qui
       essayer d'entrer dans votre machine Linux ! Donc que signifient
       tous ces logs du firewall ?
       Tir du document : TrinityOS - Section 10 :
        Dans le jeu de rgles si dessous, chaque ligne avec soit un DENY soit u
n REJECT
        contient aussi un "-o" pour LOGguer ces hits firewall dans le fichier d
e messages
        SYSLOG qui se trouve dans :

                Redhat:         /var/log
                Slackware:      /var/adm

        Si vous regardez l'un de ces logs de firewall, vous devriez voir quelqu
echose du type :

        ---------------------------------------------------------------------
        IPFWADM:
        Feb 23 07:37:01 Roadrunner kernel: IP fw-in rej eth0 TCP 12.75.147.174:
1633 100.200.0.212:23
        L=44 S=0x00 I=54054 F=0x0040 T=254

        IPCHAINS:
        Packet log: input DENY eth0 PROTO=17 12.75.147.174:1633 100.200.0.212:2
3 L=44 S=0x00
        I=54054 F=0x0040 T=254
        ---------------------------------------------------------------------

  Il y a BEAUCOUP d'informations dans une seule ligne. Regardons cet exemple,
  reportez vous au hit sur le firewall en lisant ceci. Veuillez noter que cet
  exemple est pour IPFWADM mais il est DIRECTEMENT lisible pour les utilisateur
s
  d'IPCHAINS.

        --------------

        - Ce "hit" firewall est arriv a ce moment : "Feb 23 07:37:01"

        - Ce hit etait sur l'ordinateur "RoadRunner".

        - Ce hit etait sur le protocole "IP" ou TCP/IP

        - Ce hit est entre dans le firewall ("fw-in")
                * D'autres log peuvent dirent "fw-out" pour sortant or "fw-fwd"
 pour FORWARD

        - Ce hit etait encore "rejETE".
                * D'autres logs peuvent dire "deny" ou "accept"

        - Ce his etait sur l'interface "eth0" (liaison Internet)

        - Ce hit etait un paquet "TCP"

        - Ce hit est venu de l'adresse IP "12.75.147.174" et du port "1633".

        - Ce hit etait a destination de "100.200.0.212" et de son port "23" ou
TELNET.
                * Si vous ne savez pas que le port 23 est pour TELNET, regardez
 votre fichier
                         /etc/services pour voir par quoi les autres ports sont
 utilises.

        - Ce paquet avait une longueur de "44" octets

        - Ce paquet n'avez PAS de "Type of Service" (TOS) fix
                --Ne vous inquietez pas si vous ne comprenez pas ca...pas besoi
n de le savoir
                * utilisateurs d'ipchains, divisez le par 4 pour avoir le Type
of Service

        - Ce paquet avet le numero "IP ID" "18"
                --Ne vous inquietez pas si vous ne comprenez pas ca... pas beso
in de le savoir

        - Ce paquet avait un fragment offset de 16bits dont tout flag de paquet
 TCP/IP
          de "0x0000"
        --Ne vous inquietez pas si vous ne comprenez pas ca... pas besoin de le
 savoir
          * une valeur qui commence par "0x2..." ou "0x3..." signifie que le bi
t
           "More Frangments" etait activ donc de nouveaux paquets fragmentes
            vont arriver pour completer ce GROS paquet.
          * une valeur qui commence par "0x4..." ou "0x5..." signifie que le bi
t
           "Don't Fragment" est active.
          * Toute autre valeur est l'offset du Fragment (divise par 8) qui doit
 etre
           utilise plus tard pour reconstituer le GROS paquet original.

        - Ce paquet a un TimeToLive (TTL) de 20.
          * Chaque saut sur Internet soustrait (1) a ce nombre. Normalement,
          les paquets sont emis avec un TTL de (255) et si ce nombre atteind (0
),
          ca signifie qu'il est realiste de considerer que ce paquet est perdu
et il
          va donc etre efface.


7.20 Puis-je configurer IP MASQ de faon  permettre aux Internautes de
contacter directement un server interne MASQu ?

   Oui ! Avec IPPORTFW, vous pouvez permettre TOUT ou seulement une
   partie des Internautes de contacter TOUTE machine interne MASQue. _Ce
   sujet est entirement trait dans la section Forwarders de ce HOWTO._

7.21 Je reois des "kernel: ip_masq_new(proto=UDP): no free ports." dans mon
fichier SYSLOG. Que se passe-t-il ?

   Une des machines MASQue interne cre un nombre anormalement grand de
   paquets destins  Internet. Comme le serveur IP Masq construit une
   table MASQ et forward ces paquets vers Internet, la table se remplit
   rapidement. Une fois que la table est pleine, elle va gnrer des
   erreurs.

   La seule application que je connaisse qui puisse temporairement casser
   Linux IP Masquerade est GameSpy. Pourquoi ? Quand il actualise ses
   listes, il cre des dizaines de milliers de connexions rapides pendant
   une TRES courte priode. Jusqu'au timeout de ces sessions, les tables
   de MASQ sont pleines ("FULL"). Reportez vous  la section
   No-Free-Ports pour de plus amples dtails.

   Donc que pouvez-vous faire contre a ? Pratiquement, n'utilisez pas de
   programmes qui gnrent ce genre de choses. Si vous recevez ce genre
   d'erreurs dans vos logs, trouvez le et arrtez de l'utiliser. Si vous
   aimez vraiment GameSpy, ne faites pas beaucoup de reactualisation de
   serveurs. De toute faon, une fois que vous arrtez le programme
   MASQu, cette erreur MASQ va disparatre puisque ces connexions vont
   faire des 'timeouts' dans les tables de MASQ.

7.22 Je reois "ipfwadm: setsockopt failed: Protocol not available" quand
j'essaie d'utiliser IPPORTFW!

   Si vous recevez le message "ipfwadm: setsockopt failed: Protocol not
   available", c'est que vous n'tes pas sous le nouveau noyau. Verifiez
   que vous l'avez bien install, relancer votre BootLoader (LILO), et
   redemarrez.

   Reportez vous SVP  la fin de la section Forwarders pour de plus
   amples dtails.
   this Microsoft KnowledgeBase article.

   Le premier moyen de contournement est de configurer IPPORTFW de la
   section Forwarders et de portforwarder les ports 137, 138 et 139 vers
   les IP de la machine interne Windows. Bienque cette solution
   fonctionne, elle ne peut marcher que pour UNE machine interne.

   La seconde solution est d'installer et de configurer Samba sur le
   serveur Linux MASQ. Avec Samba de lanc, vous pouvez mapper vos
   partages de Fichier et d'Imprimantes Windows sur le serveur Samba.
   Vous pouvez ensuite monter ces nouveaux partages SMB vers tout vos
   clients externes. La configuration de Samba est entirement traite
   dans un HOWTO que vous pourrez trouver sur le site du Linux
   Documentation Project et dans le document TrinityOS.

   La troisime solution est de configurer un VPN (virtual private
   network ou rseau priv virtuel) entre les deux machines Windows ou
   entre les deux rseaux. Ceci peut tre ralis via PPTP ou via les
   solutions VPN IPSEC. Il y a un patch PPTP pour linux et aussi un
   implmentation complte de IPSEC disponibles pour les deux noyaux
   2.0.x et 2.2.x. Cette solution est sans doute la plus stable et la
   plus scurise des trois.

   Toutes ces solutions de sont PAS traites dans ce HOWTO. Je vous
   recommande de regarder la documentation de TrinityOS pour l'aide sur
   IPSEC et la page PPTP de John Hardin pour de plus amples informations.

   _Veuillez aussi comprendre SVP que le protocole SMB de Microsoft est
   TRES peu sr. C'est pour cela que d'avoir des traffics de partage de
   fichiers ou d'imprimante, et de domaine windows de Microsoft sur
   Internet sans encryption est une TRES MAUVAISE ide._

7.24 ( IDENT ) - IRC ne fonctionne pas correctement pour les utilisateurs
MASQus. Pourquoi?

   La raison la plus courante est que les serveurs IDENT ou "Identity" de
   la plupart des distributions Linux ne peuvent pas travailler avec des
   liens IP Masquerads. Pas d'inquitudes toutefois, il existe des
   IDENTs qui fonctionnent.

   L'installatin de ce logiciel sort du cadre de ce HOWTO mais chaque
   utilitaire a sa propre documentation. Voici quelques un des URLS :
     * Oident est le serveur IDENT favoris des utilisateurs de MASQ.
     * Mident est un serveur IDENT qui a du succs.
     * Sident
     * Autres Idents

   Veuillez noter que certains serveur IRC ne permettront toujours pas
   des connexions multiples  partir de la mme machine (comprendre ici
   mme IP), mme s'ils recuprent les infos Ident et que les
   utilisateurs sont diffrents. Vous pouvez vous plaindre 
   l'administrateur systme du serveur distant :-)

7.25 ( DCC ) - mIRC ne marche pas avec les DCC Sends

   Ceci est un problme de configuration de votre version de mIRC. Pour
   le rsoudre, deconnecter mIRC de votre serveur IRC. Maintenant dans
   mIRC, allez dans File --> Setup et cliquez sur la languette "IRC
   servers". Verifiez que le port est rgl sur 6667. Si vous avez besoin
   d'autres ports, reportez vous ci dessous. Ensuite, allez dans File -->
   Setup --> Local Info et effacer les champs Local Host et IP Address.
   Maintenant cochez les cases de "LOCAL HOST" et "IP address" (IP
   address peut tre coch et dsactiv). Ensuite, dans "Lookup Method",
   rglez sur "normal". Ca ne marchera PAS si "server" est slectionn.
   C'est tout. Essayez de vous connecter au serveur IRC de nouveau.

   Si vous avez besoin de ports pour le serveur IRC diffrents de 6667,
   (par exemple 6969) vous devez modifier votre fichier
   /etc/rc.d/rc.firewall l o vous chargez le module MASQ IRC. Modifiez
   ce fichier et la ligne contenant "modprobe ip_masq_irc" et ajoutez
   cette ligne : "ports=6667,6969". Vous pouvez ajoutez autant de ports
   que vous voulez, spars par des virgules.

   Enfin, fermez tous les clients IRC lanc sur les machines MASQues et
   redmarrez le module MASQ IRC :

   /sbin/rmmod ip_masq_irc /etc/rc.d/rc.firewall

7.26 ( IP Aliasing ) - IP Masquerade peut-il fonctionner avec UNE seule carte
Ethernet ?

   _Oui et non_. Avec la fonctionnalit "IP Alias" du noyau, les
   utilisateurs peuvent rgler plusieurs interfaces aliases tels que
   eth0:1, eth0:2, etc mais il N'est PAS recommand d'utiliser ces
   interfaces aliases pour l'IP Masquerading. Pourquoi ? Fournir un
   firewall sr devient trs difficile avec une seule carte rseau. En
   plus, vous allez trouver une quantit anormale d'erreurs sur cette
   liaison puisque les paquets entrant vont tre envoys presque
   simultanment vers l'extrieur. A cause de tout cel, et du fait
   qu'une carte rseau coute moins de 150F, je vous recommande vivement
   d'en acheter une pour chaque segment de rseau MASQu.

   Les utilisateurs devraient aussi comprendre que IP Masquerading ne
   fonctionne que sur des interfaces physiques telles que eth0, eth1,
   etc. MASQuer une interface aliase telles que "eth0:1, eth1:1, etc" NE
   fonctionnera PAS. En d'autres termes, ce qui suit ne fonctionnera PAS
   :

     * /sbin/ipfwadm -F -a m -W eth0:1 -S 192.168.0.0/24 -D 0.0.0.0/0
     * /sbin/ipchains -A forward -i eth0:1 -s 192.168.0.0/24 -j MASQ"

   Si vous voulez toujours utiliser des interfaces aliases, vous devez
   activer la fonction "IP Alias" du noyau. Vous devrez recompiler et
   redemarrer. Une fois sous le nouveau noyau, vous devez configurer
   Linux de manire  ce qu'il utilise la nouvelle interface (i.e.
   /dev/eth0:1, etc.). Ensuite, vous pouvez la considerer comme une
   interface Ethernet normale avec toutefois quelques restrictions comme
   celui ci-dessus.

7.27 ( MULTI-LAN ) - J'ai deux LANs MASQus mais je ne peux pas communiquer de
l'un vers l'autre !

   Reportez vous SVP  la section multiple-masqed-lans pour les dtails
   complets.

7.28 ( FACONNAGE ) - Je voudrais tre capable de limiter la vitesse de certains
types spcifiques de traffic

   Ce sujet n'a vraiment rien  voir avec IPMASQ et concerne ce qui
   touche au faonnage du traffic et de la limitation des taux de Linux.
   Reportez vous SVP au fichier
   /usr/src/linux/Documentation/networking/shaper.txt de vos sources
   locales du noyau pour de plus amples dtails.

   Vous trouverez aussi plus d'informations sur ce sujet et plusieurs
   URLs dans la section 2.2.x-Requirements d'IPROUTE2.

7.29 ( COMPATIBILITE ) - J'ai besoin de faire de la comptabilit sur les
personnes qui utilisent le rseau

   Bienque ca n'est pas grand chose  voir avec IPMASQ, voici quelques
   ides. Si vous connaissez de meilleures solutions, envoyez SVP un
   email  l'auteur de ce HOWTO pour qu'il puisse l'inclure dedans.

     * Ide #1: Disons que vous voulez logguer TOUT le traffic WWW
       sortant vers Internet. Vous pouvez crer une rgle pour le
       firewall qui ACCEPTE le traffic sur le PORT 80 avec le bit SYN
       activ et qui le LOGGUE. Maintenant rappelez vous, ceci peut crer
       de TRES gros fichiers log.
     * Ide #2: Vous pouvez lancer la commande "ipchains -L -M" une fois
       par seconde et logguer toutes les entres. Vous pouvez ensuite
       crire un programme qui combine toutes ces informations dans un
       seul fichier plus gros.

7.30 ( IPs MULTIPLEs ) - J'ai plusieurs adresses IP EXTERNES que je veux
PORTFWer vers plusieurs machines internes. Comment je peux faire a ?

   Vous NE POUVEZ PAS. MASQ est un NAT 1:Many (1 vers plusieurs) et n'est
   pas le bon outil pour faire ca. Vous cherchez une solution NAT
   Many:Many qui est une installation NAT traditionnelle. Jetez un coup
   de d'oeil sur l'entre shaping de la FAQ pour de plus amples dtails
   sur l'outil IPROUTE2 qui fera ce dont vous avez besoin.

   Pour les personnes ici qui compte activer plusieurs adresses IP sur
   une seule interface rseau avec "IP Alias" et ensuite PORTFWer TOUT
   les ports (0-65535) et utiliser IPROUTE2 pour entretenir les bonnes
   correspondances des IP source/destination : a a t ralis AVEC
   SUCCES sur les noyaux 2.0.x et avec moins de russite sur les noyaux
   2.2.x. Sans considration du succs, ce n'est pas la bonne faon de
   faire a et ce n'est pas une configuraion MASQ compatible. Jetez un
   coup d'oeil sur IPROUTE2 SVP... c'est la bonne manire de faire du
   vrai NAT.

   Autre chose  noter aussi :

   Si vous avez une connexion DSL ou Cablemdem route (pas PPPoE), les
   choses se compliquent un peu plus parce que votre installation n'est
   pas route. Pas d'inquitudes cependant, reportez vous au document
   "Bridge+Firewall, Linux Bridge+Firewall Mini-HOWTO" sur LDP. Vous y
   apprendrez  faire reconnaitre  votre machine Linux plusieurs
   adresses IP sur une seule interface !

7.31 J'essaie d'utiliser la commande NETSTAT pour me montrer mes connexions
Masquerades mais ca marche pas

   Il peut y avoir un problme avec le programme "netstat" sur les
   distribs bases sur Linux 2.0.x. Aprs le redemarrage de Linux, la
   commande "netstat -M" fonctionne bien mais apres qu'un ordinateur
   MASQu lance plusieurs fois des traffics ICMP avec succs, tels que
   ping, traceroute, etc., vous obtiendrez peut-tre quelquechose du
   style :

masq_info.c: Internal Error `ip_masquerade unknown type'.

   La manire de dtourner ce problme est de lancer la commande
   "/sbin/ipfwadm -M -l". Vous remarquerez aussi qu'aprs les timeouts
   des entres masquerade ICMP, "netstat" fonctionne de nouveau.

7.32 ( VPNs ) - Je voudrais faire fonctionner Microsoft PPTP (tunnels GRE)
et/ou les tunnels IPSEC (Linux SWAN)  travers IP MASQ

   C'EST possible. Cependant c'est quelque peu hors de la porte de ce
   document, vous pouvez vous reporter  la page de John Hardin PPTP Masq
   pour tous les dtails.

7.33 Je veux faire fonctionner le jeu rseau XYZ  travers IP MASQ mais ca
fonctionne pas. A l'aide !

   D'abord, allez ici : Steve Grevemeyer's MASQ Applications page. Si
   vous ne trouvez pas de solution l-bas, essayer de patcher le noyau
   Linux avec le patch LooseUDP de Glenn Lamb, qui est traite dans la
   section LooseUDP ci-dessus. Vous pouvez aussi regarder la NAT Page de
   Dan Kegel pour plus d'informations.

   Si vous avez les aptitudes technique pour utiliser "tcpdump" et
   sniffer votre rseau, essayer de trouver quels protocoles et quels
   numros de port votre jeu XYZ utilise. Avec ces informations en main,
   abonnez vous a la IP Masq email list et envoyer vos rsultats pour
   obtenir de l'aide.

7.34 IP MASQ fonctionne bien pendant un certain temps puis s'arrte de marcher.
Un redmarrage semble rsoudre ce problme pour un certain temps. Pourquoi ?

   Je parie que vous utilisez IPAUTOFW et/ou vous l'avez compil dans le
   noyau hein ?? C'est un problme reconnu de IPAUTOFW. Il est recommand
   de NE PAS configurer IPAUTOFW dans le noyau Linux et d'utiliser
   IPPORTFW  la place. Ceci est trait en detail dans la section
   Forwarders .

7.35 Les ordinateurs internes MASQus ne peuvent pas envoyer d'email SMTP ou
POP-3 !

   Bienque ceci ne soit pas un problme d au Masquerading, beaucoup de
   personnes l'ont mentionn.

   SMTP: Le problme est que vous utilisez probablement votre machine
   linux comme un serveur de relais SMTP et vous recevez l'erreur
   suivante :

     "error from mail server: we do not relay"

   Les versions rcentes de Sendmail et d'autres Mail Transfer Agents
   (MTAs) dsactivent le relaying par dfaut (c'est une bonne chose).
   Donc pour rsoudre le problme, faites ceci :

     * Sendmail: activez le relaying spcifique pour vos machines
       internes MASQues en modifiant le fichier /etc/sendmail.cw et en
       ajoutant le hostname et le nom de domaine de vos machines internes
       MASQues. Vous devriez aussi vrifier que votre fichier /etc/hosts
       a l'adresse IP et le Fully Qualified Domain Name (FQDN) crit
       dedans. Une fois que vous avez fait a, vous devez relancer
       Sendmail pour qu'il relise ses fichiers de configuration. Ceci est
       trait dans TrinityOS - Section 25

   POP-3: Certains utilisateurs configurent leur ordinateurs internes
   MASQus de manire  ce que leurs clients POP-3 se connectent sur un
   serveur SMTP externe. Bienque que cela soit correct, de nombreux
   serveurs SMTP vont essayer d'identifier (IDENT) votre connexion sur le
   port 113. Il est trs probable que votre problme vienne du fait que
   votre politique par dfaut pour Masquerade soir DENY (refuse). C'est
   mal. Changez-le en REJECT (rejette) et relancer votre jeu de rgles
   rc.firewall.

7.36 ( IPROUTE2 ) - J'ai besoin que diffrents rseaux internes MASQus
puissent sortir sur diffrentes adresses IP externes

   Disons que vous avez l'installation suivant : Vous avez plusieurs
   rseaux internes et aussi plusieurs adresses IP externes et/ou
   rseaux. Ce que vous voulez faire c'est que le LAN#1 n'utilise que
   l'IP externe IP#1 et vous voulez aussi que le LAN#2 utilise l'IP
   externe IP#2.

   LAN interne ----------> IP officielle

   LAN #1 IP externe #1 192.168.1.x --> 123.123.123.11

   LAN #2 IP externe #2 192.168.2.x --> 123.123.123.12

   En gros, ce que nous avons dcrit ici est un routage, PAS seulement
   sur l'adresse de destination (routage IP usuel) mais aussi un routage
   bas sur l'adresse SOURCE. Ceci est appel "routage bas sur une
   politique" ("policy-based routing") ou "routage par source" ("source
   routing"). Cette fonctionnalit n'est PAS disponible dans les noyaux
   2.0.x, mais l'*EST* pour les noyaux 2.2.x via le package IPROUTE2, et
   est implment dans le nouveau noyau 2.4.x avec IPTABLES.

   Vous devez tout d'abord comprendre que IPFWADM et IPCHAINS ne rentrent
   en action qu'*APRES* que le moment o le systme de routage a dcid
   de l'endroit o il va envoyer un paquet donn. Cet nonc est trs
   important est devrait tre estamp avec de grosses lettres rouges sur
   toute documentation sur IPFWADM/IPCHAINS/IPMASQ. C'est pourquoi les
   utilisateurs DOIVENT installer leur routage d'abord et commencer 
   ajouter IPFWADM/IPCHAINS et/ou des fonctions Masq.

   Dans l'exemple prcdent, vous devez dire au systme de routage de
   diriger les paquets en provenance de 192.168.1.x via 123.123.1233.11
   et les paquets en provenance de 192.168.2.x via 123.123.123.12. C'est
   la partie difficile du travail, ajouter Masq par dessus un routage
   correct est facile.

   Pour faire ce routage lgant, vous utiliserez IPROUTE2. Comme cette
   fonction n'a rien  voir avec IPMASQ, ce HOWTO ne le traite pas en
   dtail. Referez vous SVP  2.2.x-Requirements pour des URL et une
   documentation sur ce sujet.

   Les commandes sont les mme que les commandes "iprule" et "iproute"
   (je prfre le premier puisqu'il est plus facile de le chercher). Les
   commandes ci-dessous ne sont pas testes, si elles ne fonctionnent
   pas, veuillez contacter l'auteur de IPROUTE2... pas David Ranch ou qui
   que ce soit dans la mailing list de Masq puisque a n'a RIEN avoir
   avec IP Masquerading.

   Les toutes premires commandes ont seulement besoin d'tre lanc une
   fois au dmarrage, disons dans le fichier /etc/rc.d/rc.local


# Permets aux LANs internes de communiquer entre eux, pas de masq.
  /sbin/iprule add from 192.168.0.0/16 to 192.168.0.0/16 table main pref 100
# Tout autre traffic de 192.168.1.x est externe, pris en charge par la table 10
1
  /sbin/iprule add from 192.168.1.0/24 to 0/0 table 101 pref 102
# Tout autre traffic de 192.168.2.x est externe, pris en charge par la table 10
2
  /sbin/iprule add from 192.168.2.0/24 to 0/0 table 102 pref 102

Ces commandes ont besoin d'tre testes quand eth0 est configur, peut-tre dan
s
/etc/sysconfig/network-scripts/ifup-post (systmes RedHat). Lancez les une fois

 la main pour tre sur qu'ils fonctionnent.

# la table 101 force tous les paquets qui lui sont assign a sortir via 123.123
.123.11
  /sbin/iproute add table 101 via 62123.123.123.11
# la table 102 force tous les paquets qui lui sont assign a sortir via 123.123
.123.12
  /sbin/iproute add table 102 via 62123.123.123.12

A partir de l, vous devriez voir que les paquets provenant de 192.168.1.x part
ant
vers le monde extrieur sont routes; via 123.123.123.11, et les paquets de
192.168.2.x sont rout via 123.123.123.12.

Une fois que le routage est correct, vous pouvez ajouter les rgles IPFWADM et
IPCHAINS.
Les exemples suivants sont pour IPCHAINS :

/sbin/ipchains -A forward -i ppp+ -j MASQ

Si tout ce goupille bien, le code de masq va voir les paquets routs via
123.123.123.11 et 123.123.123.12 et va utiliser ces adresses comme adresse sour
ce masq.

7.37 Pourquoi les nouveaux noyaux 2.1.x et 2.2.x utilisent IPCHAINS au lieu de
IPFWADM ?

   IPCHAINS possde les fonctions suivantes que IPFWADM ne possde pas :

     * "Quality of Service" (compatibilit QoS)
     * Un systme de chaines en forme d'ARBRE, contre un systme LINEAIRE
       pour IPFWADM (ce qui permet de faire des trucs du genre : "si
       c'est ppp0, saute vers cette chaine (qui contient son propre jeu
       de rgles)")
     * IPCHAINS est plus flexible pour la configuration. Par exemple, il
       a la commande "replace" (remplace) en plus de "insert" et "add"
       (insere et ajoute). Vous pouvez aussi avoir des rgles ngatives
       (par exemple : "ignore tous les paquets venant de l'extrieur qui
       ne viennent pas de mon IP enregistr" pour que vous ne puissiez
       pas tre la source d'attaques spoofs).
     * IPCHAINS peut filtrer tout protrocole IP explicitement, pas
       seulement TCP, UDP, ICMP

7.38 Je viens de faire la mise  jour vers le noyau 2.2.x, pourquoi IP
Masquerade ne fonctionne pas ?

   Il y a plusieurs choses que vous devez vrifier, si on considre que
   votre machine Linux IP Masq est bien connecte  Internet et  votre
   LAN :

     * Verifiez que vous avez les fonctions ncessaires et les modules
       compils et chargs. Reportez vous aux sections prcdentes pour
       les details.
     * Vrifiez /usr/src/linux/Documentation/Changes et assurez vous que
       vous avez la configuration minimale requise pour les outils
       rseaux d'installs.
     * Assurez vous d'avoir bien suivi tous les tests de la section
       Testing de ce HOWTO.
     * Vous devriez utiliser ipchains pour manipuler IP Masq et les
       rgles de firewalling.
     * Les port forwarders standards IPAUTOFW et IPPORTFW ont t
       remplacs par IPMASQADM. Vous aurez besoin d'appliquer ces patches
       au noyau, de le recompiler, compiler le nouvel outil IPMASQADM et
       ensuite de convertir vos anciens jeux de rgles de firewall
       IPAUTOFW/IPPORTFW avec la nouvelle syntaxe. Cette partie est
       entirement traite dans la section Forwarders .
     * Recommencer  vrifier toute l'installation et la configuration !
       Souvent, c'est juste une erreur typographiqe ou une simple erreur
       que vous cherchez.

7.39 Je viens de faire la mise  jour vers le noyau 2.0.38+, pourquoi IP
Masquerade ne fonctionne pas ?

   Il y a plusieurs choses que vous devez vrifiant, si on considre que
   votre machine Linux IP Masq est bien connecte a Internet et  votre
   LAN :

     * Verifiez que vous avez les fonctions ncessaires et les modules
       compils et chargs. Reportez vous SVP aux sections prcdentes
       pour les details.
     * Vrifiez /usr/src/linux/Documentation/Changes et assurez vous que
       vous avez la configuration minimale requise pour les outils
       rseaux installs.
     * Assurez vous d'avoir bien suivi tous les tests de la section
       Testing de ce HOWTO.
     * Vous devriez utiliser ipfwadm pour manipuler IP Masq et les rgles
       de firewalling. Si vous voulez utiliser IPCHAINS, vous aurez
       besoin d'appliquer un patch aux noyaux 2.0.x.
     * Recommencez  vrifier toute l'installation et la configuration !
       Souvent, c'est juste une erreur de typographie ou une erreur toute
       simple que vous cherchez.

7.40 J'ai besoin d'aide sur les connexions EQL et IP Masq

   EQL n'a rien  faire avec IP Masq bienqu'ils soient souvent combins
   sur les machines Linux. C'est pourquoi, je vous recommande de voir la
   nouvelle version de Robert Novak's EQL HOWTO pour vos besoins sur EQL.

7.41 J'arrive pas faire fonctionner IP Masquerade ! Quelles options ai-je pour
les Plateformes Windows ?

   Vous voulez abandonner une solution gratuite, sre, haute performance
   qui fonctionne avec un minimum de ressources matrielles pour
   quelquechose qui a besoin de plus de matriel, avec des performances
   infrieures et moins sr ? (AMHO. Et oui, j'ai des expriences
   grandeur nature de ces choses l ;-)

   Okay, c'est votre choix. Si vous voulez une solution NAT et/ou proxy
   Windows, voici une liste convenable. Je n'ai pas de prfrence pour
   ces outils puisque je ne m'en suis jamais servi.

     * Firesock (par les crateurs de Trumpet Winsock)
          + Fait aussi Proxy
          + http://www.trumpet.com.au
     * Iproute
          + programme DOS cr pour fonctionner sur des 286+
          + a besion d'une autre machine telle que Linux MASQ
          + http://www.mischler.com/iproute/
     * Microsoft Proxy
          + Necessite Windows NT Server
          + Trs cher
          + http://www.microsoft.com
     * NAT32
          + Compatible avec Windows 95/98/NT
          + http://www.nat32.com
          + Environ $25 pour Win9x et $47 pour WinNT
     * SyGate
          + http://www.sygate.com
     * Wingate
          + Fait Proxy
          + Cote environ $30 pour 2-3 IPs
          + http://www.wingate.com
     * Winroute
          + Fait NAT
          + http://www.winroute.cz/en/

   Enfin faites une recherche sur le web sur "MS Proxy Server",
   "Wingate", "WinProxy", ou allez sur www.winfiles.com. Et ne dites
   surtout a personnes que c'est nous qui vous envoyons.

7.42 Je voudrais aider  developper IP Masquerade. Que puis-je faire ?

   Abonnez vous  la mailing list Linux IP Masquerading DEVELOPERS et
   demander aux dveloppeurs sur quoi vous pouvez aider. Pour plus de
   dtails sur comment s'abonner aux mailing lists, regardez la section
   Masq-List de la FAQ.

   SVP NE posez PAS de questions non relatifs au dveloppement d'IP
   Masquerade l-bas !!!!

7.43 O puis-je trouver plus d'informations sur IP Masquerade?

   Vous pouvez trouvez plus d'informations sur IP Masquerade ici : Linux
   IP Masquerade Resource, site dont s'occupe David Ranch.

   Vous pouvez aussi trouver des informations sur Dranch's Linux page, o
   se trouvent les documents de TrinityOS et d'autres documents sur
   Linux.

   Vous pouvez aussi trouver des informations sur The Semi-Original Linux
   IP Masquerading Web Site entretenu par Indyramp Consulting, qui
   fournit aussi les mailing lists IP Masq.

   Enfin, vous pouvez trouver des rponses aux questions spcifiques dans
   les archives des mailing lists IP MASQ et IP MASQ DEV. Reportez vous 
   la FAQ Masq-List pour de plus amples dtails.

7.44 Je veux traduire ce HOWTO dans une autre langue, que dois-je faire ?

   Assurez vous que la langue dans laquelle vous voulez traduire n'est
   pas dj traite par quelqu'un d'autre. Mais la plupart des HOWTOs
   traduits sont VIEUX et ont besoin d'tre mis  jour. Une liste des
   HOWTO traduits est disponible ici : Linux IP Masquerade Resource.

   Si une copie de la version _en cours_ de l'IP MASQ HOWTO n'existe pas
   dans la langue que vous proposez, tlchargez SVP la version la plus
   rcente du code SGML de l'IP-MASQ HOWTO ici : Linux IP Masquerade
   Resource. De l, continuez votre travail tout en produisant du bon
   code SGML. Pour plus d'aide sur le SGML, vous pouvez voir
   www.sgmltools.org

7.45 Ce HOWTO semble prim, continuez vous  le mettre  jour ? Pouvez vous
inclure plus d'information sur ... ? Comptez vous le rendre meilleur ?

   Oui, ce HOWTO est toujours mis  jour. Par le pass, j'ai t coupable
   d'tre trop occup avec deux emplois et ne pas avoir assez de temps
   pour travailler dessus, mes excuses. A partir de v1.50, David Ranch a
   commenc  ramnager ce document et le maintenir  jour.

   Si vous pensez qu'un sujet devrait tre ajout  ce HOWTO, envoyez SVP
   un email  ambrose@writeme.com and dranch@trinnet.net. Ca serait
   encore mieux si vous pouviez fournir ces informations. Nous incluerons
   alors ces informations dans ce HOWTO si nous les trouvons appropries
   et quand nous les aurons testes. Merci beaucoup pour vos
   contributions !

   Nous avons beaucoup de nouvelles ides et de plans pour amliorer ce
   HOWTO, tels que des tudes de cas qui vont traiter diffrentes
   installations rseaux impliquant de IP Masquerade, plus de scurit
   via des jeux de rgles IPFWADM/IPCHAINS 'strong', plus d'entres dans
   la FAQ, etc. Si vous pensez pouvoir nous aider, SVP faites le ! Merci.

7.46 Je viens de faire marcher IP Masquerade, c'est super ! Je veux vous
remercier les gars, que puis-je faire ?

     * Pouvez vous traduire la version la plus rcente de ce HOWTO dans
       une autre langue ?
     * Remerciez les developpeurs et valuez le temps qu'ils y ont pass
       et les efforts qu'il ont faits.
     * Joignez vous  la mailing list IP Masquerade et aidez les nouveaux
       utilisateurs de MASQ.
     * Envoyez nous un email et dites nous  quel point vous tes
       heureux.
     * Prsentez Linux  d'autres personnes et aidez les quand ils ont
       des problmes.

8. Divers

8.1 Sources Utiles

   NDT : Toutes ces sources sont bien entendu anglophone et j'ignore s'il
   existe des versions traduites pour les documents mentionns.
     * IP Masquerade Resource page Regroupe toutes les informations
       ncessaires pour installer IP Masquerade sur les noyaux 2.0.x,
       2.2.x, et mme le vieux 1.2 !
     * Juan Jose Ciarlante's WWW site Qui est la personne qui s'occupe
       actuellement de la maintenance de Linux IP Masquerade.
     * IP Masquerade mailing list Archives contient les messages envoys
       rcemment aux mailing lists.
     * David Ranch's Linux page including the TrinityOS Linux document
       and current versions of the IP-MASQ-HOWTO.. Ses sujets tels que IP
       MASQ, jeux de rgles IPFWADM/IPCHAINS 'strong', PPP, Diald,
       Cablemodems, DNS, Sendmail, Samba, NFS, Security, etc. y sont
       traits.
     * La page des applications IP Masquerading (IP Masquerading
       Applications page): Une liste exhaustive des applications qui
       fonctionnent ou qui peuvent tre accordes de faon  ce qu'ils
       fonctionnent  travers un serveur Linux IP masquerading.
     * Pour les personnes qui installent IP Masq sur MkLinux, envoyez un
       email  Taro Fukunaga : tarozax@earthlink.net pour qu'il vous
       envoie une version de son court HOWTO pour MkLinux.
     * IP masquerade FAQ quelques informations d'ordre gnral
     * http://netfilter.filewatcher.org/ipchains/ La doc de Paul Russel
       et peut-tre une ancienne sauvegarde ici : Linux IPCHAINS HOWTO.
       Ce HOWTO contient beaucoup d'informations sur l'utilisation
       d'IPCHAINS, de mme que les sources et les fichiers binaires de
       l'outil ipchains.
     * X/OS Ipfwadm page contiens les sources, les binaires, la
       documentation, et d'autres informations au sujet de paquet ipfwadm
     * Allez voir la GreatCircle's Firewall mailing list : Une excellente
       source pour les jeux de rgles 'strong' pour le firewall.
     * Le LDP Network Administrator's Guide est un MUST pour
       l'administrateur Linux dbutant essayant d'installer un rseau.
     * Le Linux NET-3-4 HOWTO est aussi un autre document exhaustif sur
       la manire d'installer et de configurer un rseau Linux.
     * Les Linux ISP Hookup HOWTO et Linux PPP HOWTO vous fournissent les
       renseignements ncessaires sur les dmarches  suivre pour
       connecter votre machine Linux  Internet.
     * Le Linux Ethernet-Howto est une bonne source d'information pour
       installer un LAN Ethernet.
     * Donald Becker's NIC drivers and Support Utils
     * Vous pourriez aussi peut-tre tre intress par le Linux
       Firewalling and Proxy Server HOWTO
     * Le Linux Kernel HOWTOvous guidera  travers le processus de
       compilation du noyau.
     * D'autres Linux HOWTOs tels que Kernel HOWTO
     * Faire des 'Post' sur le newsgroup USENET :
       comp.os.linux.networking

8.2 Sources Linux IP Masquerade

   La Linux IP Masquerade Resource est un site web ddi  Linux IP
   Masquerade dont s'occupe aussi Ambrose Au. Il a les dernires
   informations relatif  IP Masquerade et toute autre information qui
   pourrait ne pas tre inclus dans ce HOWTO.

   Vous pouvez trouver La Linux IP Masquerade Resource aux endroits
   suivant :
     * http://ipmasq.cjb.net/, Site Primaire, redirig vers
       http://ipmasq.cjb.net/
     * http://ipmasq2.cjb.net/, Site Secondaire, redirig vers
       http://www.geocities.com/SiliconValley/Heights/2288/

8.3 Merci aux personnes suivantes :

   Par ordre alphabtique :
     * Gabriel Beitler, gabrielb@voicenet.com
       pour avoir fourni la section 3.3.8 (installation de Novell)
     * Juan Jose Ciarlante, irriga@impsat1.com.ar
       pour ses contributions  son outil de port forwarding pour
       IPMASQADM, son travail sur les sources des noyaux 2.1.x et 2.2.x,
       le patch LooseUDP original, etc.
     * Steven Clarke, steven@monmouth.demon.co.uk
       pour sa contribution : l'outil IP de port forwarding IPPORTFW
     * Andrew Deryabin, djsf@usa.net
       pour sa contribution : le module ICQ MASQ
     * Ed Doolittle, dolittle@math.toronto.edu
       pour sa suggestion : l'option -V dans la commande ipfwadm pour une
       scurit accrue
     * Matthew Driver, mdriver@cfmeu.asn.au
       pour son importante aide  ce HOWTO, et avoir fourni la section
       3.3.1 (configuration de Windows 95)
     * Ken Eves, ken@eves.com
       pour la FAQ qui fourni des informations inestimables  ce HOWTO
     * John Hardin, jhardin@wolfenet.com
       pour ses outils de forwarding de PPTP et de IPSEC
     * Glenn Lamb, mumford@netcom.com
       pour le patch LooseUDP
     * Ed. Lott, edlott@neosoft.com
       pour une longue liste de systmes et de logiciels tests
     * Nigel Metheringham, Nigel.Metheringham@theplanet.net
       pour ses versions des HOWTO sur l'IP Packet Filtering et l'IP
       Masquerading, qui font de ce HOWTO un document meilleur et plus
       technique
       sections 4.1, 4.2, et d'autres
     * Keith Owens, kaos@ocs.com.au
       pour son excellent guide sur ipfwadm section 4.2
       et sa correction de l'option ipfwadm -deny qui vite un trou de
       scurit, et clarifie le status du ping avec IP Masquerade
     * Michael Owings, mikey@swampgas.com
       pour sa section sur CU-SeeMe et son Linux IP-Masquerade Teeny
       How-To
     * Rob Pelkey, rpelkey@abacus.bates.edu
       pour les sections 3.3.6 et 3.3.7 (configuration de MacTCP et
       d'Open Transport)
     * Harish Pillay, h.pillay@ieee.org
       pour la section 4.5 (connexion avec Diald)
     * Mark Purcell, purcell@rmcs.cranfield.ac.uk
       pour la section 4.6 (IPautofw)
     * David Ranch, dranch@trinnet.net
       aide  mettre  jour et  entretenir ce HOWTO et la Linux IP
       Masquerade Resource Page, le document TrinityOS , ..., trop de
       choses pour tre lists ici :-)
     * Paul Russell, rusty@linuxcare.com.au
       pour tout son travail sur IP CHAINS, les patches noyau IP
       Masquerade, etc
     * Ueli Rutishauser, rutish@ibm.net
       pour la section 3.3.9 (configuration d'OS/2 Warp)
     * Steve Grevemeyer, grevemes@tsmservices.com
       pour avoir repris la page IP Masq Applications  Lee Nevo et
       l'avoir mise  jour en une backend de BD
     * Fred Viles, fv@episupport.com& nl;pour ses patches pour un port
       forwarding correct de FTP
     * John B. (Brent) Williams, forerunner@mercury.net
       pour la section 3.3.7 (configuraion d'Open Transport)
     * Enrique Pessoa Xavier, enrique@labma.ufrj.br
       pour sa suggestion de configuraiton pour BOOTp
     * Toutes les personnes de la mailing list d'IP-MASQ,
       masq@tiffany.indyramp.com
       pour leur aide et leur soutien aux nouveaux utilisateurs de Linux
       MASQ
     * Les autres dveloppeurs de code et de documentations d'IP
       Masquerade pour cette exceptionne fonction

          + Delian Delchev, delian@wfpa.acad.bg
          + David DeSimone (FuzzyFox), fox@dallas.net
          + Jeanette Pauline Middelink, middelin@polyware.iaf.nl
          + Miquel van Smoorenburg, miquels@q.cistron.nl
          + Jos Vos, jos@xos.nl
          + Et ceux que j'aurais pu oublis de mentionner ici (SVP faites
            le moi savoir)

     * Tous les utilisateurs qui ont envoy des feedback ou des
       suggestions  la mailing list, surtout ceux qui ont signal des
       erreurs dans ce document ou les clients qui sont compatibles ou
       pas.
     * Nous nous excusons si nous avons omis des noms importants, pas
       encore inclus des informations que certains utilisateurs nous ont
       envoy, etc. Il y a de nombreuses suggestions et ides qui nous
       sont envoys mais il n'y pas assez de temps pour vrifier et
       intgrer ces changements. David Ranch essaie continuellement de
       faire de son mieux pour intgrer ces informations, que l'on
       m'envoie, dans ce HOWTO. Je vous remerci de votre effort, et
       j'espre que vous comprendrez notre situtation.

8.4 Reference

     * IP masquerade FAQ original par Ken Eves
     * archive de l'IP masquerade mailing list par Indyramp Consulting
     * Site WWWW IP Masquerade par Ambrose Au
     * page Ipfwadm par X/OS
     * Linux HOWTOs Linux sur les rseaux
     * Certains sujets traits dans TrinityOS par David Ranch

8.5 Changes

     * TO do - HOWTO:
          + Add the scripted IPMASQADM example to the Forwarders section.
            Also confirm the syntax.
          + Add a little section on having multiple subnets behind a MASQ
            server
          + Confirm the IPCHAINS ruleset and make sure it is consistant
            with the IPFWADM ruleset
       TO DO - WWW page:
          + Update all PPTP urls from lowrent to
            ftp://ftp.rubyriver.com/pub/jhardin/masquerade/ip_masq_vpn.ht
            ml
          + Update the PPTP patch on the masq site
          + Update the portfw FTP patch
       Changes from 1.90 to 1.95 - 11/14/00

     * Added a quick upfront notice in the intro that running a SINGLE
       NIC in MASQ mutliple ethernet segments is NOT recommended and
       linked to the relivant FAQ entry. Thanks to Daniel Chudnov for
       helping the HOWTO be more clear.
     * Added a pointer in the Intro section to the FAQ section for users
       looking for how MASQ is different from NAT and Proxy services.
     * Reordered the Kernel requirements sections to be 2.2.x, 2.4.x,
       2.0.x
     * Expanded the kernel testing in Section 3 to see if a given kernel
       already supports MASQ or not.
     * Reversed the order of the displayed simple MASQ ruleset examples
       (2.2.x and 2.0.x)
     * Cleaned up some formatting issues in the 2.0.x and 2.2.x
       rc.firewall files
     * Noted in the 2.2.x rc.firewall that the defrag option is gone in
       some distro's proc (Debian, TurboLinux, etc)
     * Added a NOTE #3 to the rc.firewall scripts to include instructions
       for Pump. Thanks to Ross Johnson for this one.
     * Cleaned up the simple MASQ ruleset examples for both the 2.2.x and
       2.2.x kernels
     * Updated the simple and stronger IPCHAINS and IPFWADM rulesets to
       include the external interface names (IPCHAINS is -i; IPFWADM is
       -W) to avoid some internal traffic MASQing issues.
     * Vastly expanded the Section 5 (testing) with even more testing
       steps with added complete examples of what the output of the
       testing commands should look like.
     * Moved the H.323 application documentation from NOT supported to
       Supported. :)
     * Reordered the Multiple LAN section examples (2.2.x then 2.0.x)
     * Made some additional clarifications to the Multiple LAN examples
       Fixed a critical typo with multiple NIC MASQing where the network
       examples had the specified networks reversed. Thanks to Matt
       Goheen for catching this.
     * Added a little intro to MFW in the PORTFW section.
     * Reveresed the 2.0.x and 2.2.x sections for PORTFW
     * Updated the news regarding PORTFWing FTP traffic for 2.2.x kernels
         _____________________________________________________________

  NOTE:  At this time, there *IS* a BETA level IP_MASQ_FTP module
         for PORT Forwarding FTP connections 2.2.x kernels which also supports
         adding additional PORTFW FTP ports on the fly without the requirement
         of unloading and reloaded the IP_MASQ_FTP module and thus breaking any

         existing FTP transfers.
         _____________________________________________________________

     * Added a top level note about PORTFWed FTP support
     * Added a noted to the 2.0.x PORTFW'ed FTP example why users DON'T
       need to PORTFW port 20.
     * Updated the PORTFW section to also mention that users can use FTP
       proxy applications like the one from SuSe to support PORTFWed
       FTP-like functionality. Thanks to Stephen Graham for this one.
     * Updated the example for how to enable PORTFWed FTP to also include
       required configurations to how the ip_masq_ftp module is loaded
       for users who use multiple PORTs to contact multiple internal FTP
       servers. Thanks to Bob Britton for reminding me about this one.
     * Added a FAQ entry for users who have embedded ^Ms in their
       rc.firewall file
     * Expanded the FAQ entry talking about how MASQ is different from
       NAT and Proxy to include some informative URLs.
     * Updated the explanation of the MASQ MTU issue and describe the two
       main explanations of the issue.
     * Clarified that per the RFC, PPPoE should only require an MTU of
       1490 though some ISPs require a setting of 1460. Because of this,
       I have updated the example to show an MTU of 1490.
     * Broke out the Windows 9x sections into Win95 and Win98 as they use
       different settings (DWORD vs. STRING). I also updated the sections
       to be more clear and the Registry backup methods have been
       updated.
     * Fixed a typo where the NT 4.0 Registry entries were backwards
       (Tcpip/Parameters vs. Parameters/Tcpip).
     * Fixed an issue where the WinNT entry should have been a DWORD and
       not a STRING.
     * A serious thanks goes out to Geoff Mottram for his various PPPoE
       and various Windows Registry entry fixes.
     * Added an explicit URL for Oident in the IRC FAQ entry
     * Updated the FAQ section regarding some broken "netstat" versions
     * Added new FAQ sections for MASQ accounting ideas and traffic
       shaping
     * Expanded the IPROUTE2 FAQ entry on what Policy-routing is.
     * Moved the IPROUTE2 URLs to the 2.2.x Kernel requirements section
       and also added a few more URLs as well.
     * Corrected the "intnet" variable in the stronger IPCHAINS ruleset
       to reflect the 192.168.0.0 network to be consistent with the rest
       of the example. Thanks to Ross Johnson for this one.
     * Added a new FAQ section for people asking about forwarding
       problems between multiple internal MASQed LANs.
     * Added a new FAQ section about users wanting to PORTFW all ports
       from multiple external IP addresses to internal ones. I also
       touched on people trying to PORTFW all ports on multiple IP
       ALIASed interfaces and also noted the Bridge+Firewall HOWTO for
       DSL and Cablemodem users who have multiple IPs in a non-routed
       environment.
     * Added Mandrake 7.1, Mandrake 7.2, and Slackware 7.1 to the
       supported list
     * Added Redhat 7.0 to the MASQ supported distros. Thanks to Eugene
       Goldstein for this one.
     * Fixed a mathematical error in the "Maximum Throughput" calculation
       in the FAQ section. Thanks to Joe White @ ip255@msn.com for this
       one.
     * Fixed the fact that the Windows9x MTU changes are a STRING change
       and not a DWORD change to the registry. Thanks to jmoore@sober.com
       for this one.
     * Updated the comments in the 2.0.x rc.firewall script to note that
       the ip_defrag option is for both 2.0 and 2.2 kernels. Thanks to
       pumilia@est.it for this clarification.

   Changes from 1.85 to 1.90 - 07/03/00
     * Updated the URL for TrinityOS to reflect its new layout
     * Caught a typo in the IPCHAINS rulesets where I was setting
       "ip_ip_always_defrag" instead of "ip_always_defrag"
     * The URL to Taro Fukunaga was invaild since it was using "mail:"
       instead of "mailto:"
     * Added some clarification to the "Masqing multiple internal
       interfaces" where some people didn't understand why eth0 was
       referenced multiple times.
     * Fixed another "space after the EXTIP variable" bug in the stronger
       IPCHAINS section. I guess I missed one.
     * In Test #7 of Section 5, I referred users to go back to step #4.
       Thats should have been step #6.
     * Updated the kernel versions that came with SuSe 5.2 and 6.0
     * Fixed a typo (or vs. of) in Section 7.2
     * Added Item #9 to the Testing MASQ section to refer users who are
       still haing MASQ problems to read the MTU entry in the FAQ
     * Improved the itemization in Section 5
     * Updated the IPCHAINS syntax to show the MASQ/FORWARD table.
       Before, it was valid to run "ipchains -F -L" but now only
       "ipchains -M -L" works.
     * Updated the LooseUDP documentation to reflect the new LooseUDP
       behavior in 2.2.16+ kernels. Before, it was always enabled, now,
       it defaults to OFF due to a possible MASQed UDP port scanning
       vunerability. I have updated the BASIC and SEMI-STRONG IPCHAINS
       rulesets to reflect this option.
     * Updated the recommended 2.2.x kernel to be 2.2.16+ since there is
       a TCP root exploit vunerability in all lesser versions.
     * Added Redhat 6.2 to the MASQ supported list
     * Updated the link for Sonny Parlin's FWCONFIG to now point to
       fBuilder.
     * Updated the various example IP addresses from 111.222.333.444 to
       be 111.222.121.212 to be within a valid IP address range
     * Updated the URL for the BETA H.323 MASQ module
     * Finally updated the MTU FAQ section to help out PPPoE DSL and
       Cablemodem users. Basically, the MTU-issues section now reflects
       that users can also change the MTU settings of all of their
       INTERNAL machines to solve the dreaded MASQ MTU issue.
     * Added a clarification to the PORTFW section that PORTFWed
       connections that work for EXTERNAL clients will not work for
       INTERNAL clients. If you also need INTERNAL portfw, you will need
       to also impliment the REDIR tool as well. I also noted that this
       issue is fixed in the 2.4.x kernels with Netfilter.
     * I also added a technical explanation from Juanjo to the end of the
       PORTFW section to why this senario doesn't work properly.
     * Updated all of the IPCHAINS URLs to point to Paul Rusty's new site
       at http://netfilter.filewatcher.org/ipchains/
     * Updated Paul Rustys email address
     * Added a new FAQ section for users whose connections remain idle
       for a long time and their PORTFWed connection no longer work.
     * Updated all the URLs to the LDP that pointed to metalab.unc.edu to
       the new site of linuxdoc.org
     * Updated the Netfilter URLs to point to renamed HOWTOs, etc.
     * I also updated the status of the 2.4.x support to note that I
       *will* add full Netfilter support to this HOWTO and if the time
       comes, then split that support off into a different HOWTO.
     * Updated the 2.4.x Requirements section to reflect how NetFilter
       has changed compared to IPFWADM and IPCHAINS and gave a PROs/CONs
       list of new features and changes to old behaviors.
     * Added a TCP/IP math example to the "My MASQ connection is slow"
       FAQ entry to better explain what a user should expect performance
       wise.
     * Updated the HOWTO to reflect that newer versions of the "pump"
       DHCP client now can run scripts upon bringup, lease renew, etc.
     * Updated the PORTFWing of FTP to reflect that several users say
       they can successfully forward FTP traffic to internal machines
       without the need of a special ip_masq_ftp module. I have made the
       HOWTO reflect that users should try it without the modified module
       first and then move to the patch if required.

   Changes from 1.82 to 1.85 - 05/29/00
     * Ambrose Au's name has been taken off the title page as David Ranch
       has been the primary maintainer for the HOWTO for over a year.
       Ambrose will still be involved with the WWW site though.
     * Deleted a stray SPACE in section 6.4
     * Re-ordered the compatible MASQ'ed OS section and added
       instructions for setting up a AS/400 system running on OS/400.
       Thanks to jaco@libero.it for the notes.
     * Added an additional PORFW-FTP patch URL for FTP access if HTTP
       access fails.
     * Updated the kernel versions for Redhat 5.1 & 6.1 in the FAQ
     * Added FloppyFW to the list of MASQ-enabled Linux distros
     * Fixed an issue in the Stronger IPFWADM rule set where there were
       spaces between "ppp_ip" and the "=".
     * In the kernel compiling section for 2.2.x kernels, I removed the
       reference to enable "CONFIG_IP_ALWAYS_DEFRAG". This option was
       removed from the compiling section and enabled by default with
       MASQ enabled in 2.2.12.
     * Because of the above change in the kernel behavior, I have added
       the enabling of ip_always_defrag to all the rc.firewall examples.
     * Updated the status of support for H.323. There is now ALPHA
       versions of modules to support H.323 on both 2.0.x and 2.2.x
       kernels.
     * Added Debian v2.2 to the supported MASQ distributions list
     * Fixed a long standing issue where the section that covered
       explicit filtering of IP addresses for IPCHAINS had old IPFWADM
       syntax. I've also cleaned this section up a little and made it a
       little more understandable.
     * Doh! Added Juan Ciarlante's URL to the important MASQ resources
       section. Man.. you guys need to make me more honest than this!!
     * Updated the HOWTO to reflect kernels 2.0.38 and 2.2.15
     * Rerversed the order shown to compile kernels to show 2.2.x kernels
       first as 2.0.x is getting pretty old.
     * Updated the 2.2.x kernel compiling section to reflect the changed
       options for the latter 2.2.x kernels.
     * Added a a possible solution for people that fail to get past MASQ
       test #5.

   Changes from 1.81 to 1.82 - 01/22/00
     * Added a missing subsection for /proc/sys/net/ipv4/ip_dynaddr in
       the stronger IPCHAINS ruleset. Section 6.5
     * Changed the IP Masq support for Debian 2.1 to OUI
     * Reorganized and updated the "Masq is slow" FAQ section to include
       fixing Ethernet speed and duplex issues.
     * Added a link to Donald Becker's MII utilities for Ethernet NIC
       cards
     * Added a missing ")" for the 2.2.x section (previously fixed it
       only for the 2.0.x version) to the ICQ portfw script and changed
       the evaluation from -lt to -le
     * Added Caldera eServer v2.3 to the MASQ supported list
     * Added Mandrake 6.0, 6.1, 7.0 to the MASQ supported list
     * Added Slackware v7.0 to the MASQ supported list
     * Added Redhat 6.1 to the MASQ supported list
     * Added TurboLinux 4.0 Lite to the MASQ supported list
     * Added SuSe 6.3 to the MASQ supported list
     * Updated the recommended stable 2.2.x kernel to be anything newer
       than 2.2.11
     * In section 3.3, the HOWTO forgot how to tell the user how to load
       the /etc/rc.d/rc.firewall upon each reboot. This has now been
       covered for Redhat (and Redhat-based distros) and Slackware.
     * Added clarification in the Windows WFWG v3.x and NT setup sections
       why users should NOT configure the DHCP, WINS, and Forwarding
       options.
     * Added a FAQ section on how to fix FTP problems with MASQed
       machines.
     * Fixed a typo in the Stronger firewall rulesets. The "extip"
       variabl cannot have the SPACE between the variable name and the
       "=" sign. Thanks to johnh@mdscomp.com for the sharp eye.
     * Updated the compatibly section: Mandrake 7.0 is based on 2.2.14
       and TurboLinux v6.0 runs 2.2.12

   Changes from 1.80 to 1.81 - 01/09/00
     * Updated the ICQ section to reflect that the new ICQ Masq module
       supports file transfer and real-time chat. The 2.0.x module still
       has those limitations.
     * Updated Steven E. Grevemeyer's email address. He is the maintainer
       of the IP Masq Applications page.
     * Fixed a few lines that were missing the work AREN'T for the
       "setsockopt" errors.
     * Updated a error the strong IPCHAINS ruleset where it was using the
       variable name "ppp_ip" instead of "extip".
     * Fixed a "." vs a "?" typo in section 3.3.1 in the DHCP comment
       section.
     * Added a missing ")" to the ICQ portfw script and changed the
       evaluation from -lt to -le
     * Updated the Quake Module syntax to NOT use the "ports=" verbage

   Changes from 1.79 to 1.80 - 12/26/99
     * Fixed a space typo when setting the "ppp_ip" address.
     * Fixed a typo in the simple IPCHAINS ruleset. "deny" to "DENY"
     * Updated the URLs for Bjorn's "modutils" for Linux
     * Added verbage about NetFilter and IPTables and gave URLs until it
       is added to this HOWTO or a different HOWTO.
     * Updated the simple /etc/rc.d/rc.firewall examples to notify users
       about the old Quake module bug.
     * Updated the STRONG IPFWADM /etc/rc.d/rc.firewall to clarify users
       about dynamic IP addresses (PPP & DHCP), newer DHCPCD syntax, and
       the old Quake module bug.
     * Updated the STRONG IPCHAINS /etc/rc.d/rc.firewall to ADD a missing
       section on dynamic IP addresses (PPP & DHCP) and the old Quake
       module bug.
     * Added a note in the "Applications that DO NOT work" section that
       there IS a beta module for Microsoft NetMeeting (H.323 based) v2.x
       on 2.0.x kernels. There is NON versions available for Netmeeting
       3.x and/or 2.2.x kernels as of yet.

   Changes from 1.78 to 1.79 - 10/21/99
     * Updated the HOWTO name to reflect that it isn't a MINI anymore!

   Changes from 1.77 to 1.78 - 8/24/99
     * Fixed a typeo in "Section 6.6 - Multiple Internal Networks" where
       the -a policy was ommited.
     * Deleted the 2.2.x kernel configure option "Drop source routed
       frames" since it is now enabled by default and the kernel compile
       option was removed.
     * Updated the 2.2.x and all other IPCHAINS sections to notify users
       of the IPCHAINS fragmentation bug.
     * Updated all the URLs point at Lee Nevo's old IP Masq Applications
       page to Seg's new page.

   Changes from 1.76 to 1.77 - 7/26/99
     * Fixed a typo in the Port fowarding section that used "ipmasqadm
       ipportfw -C" instead of "ipmasqadm portfw -f"

   Changes from 1.75 to 1.76 - 7/19/99
     * Updated the "ipfwadm: setsockopt failed: Protocol not available"
       message in the FAQ to be more clear instead of making the user
       hunt for the answer in the Forwarders section.
     * Fixed incorrect syntax in section 6.7 for IPMASQADM and "portfw"

   Changes from 1.72 to 1.75 - 6/19/99
     * Fixed the quake module port setup order for the weak IPFWADM &
       IPCHAINS ruleset and the strong IPFWADM ruleset as well.
     * Added a user report about port forwarding ICQ 4000 directly in and
       using ICQ's default settings WITHOUT enabling the "Non-Sock" proxy
       setup.
     * Updated the URLs for the IPMASQADM tool
     * Added references to Taro Fukunaga, tarozax@earthlink.net for his
       MkLinux port of the HOWTO
     * Updated the blurb about Sonny Parlin's FWCONFIG tool to note new
       IPCHAINS support
     * Noted that Fred Vile's patch for portfw'ed FTP access is ONLY
       available for the 2.0.x kernels
     * Updated the 2.2.x kernel step with a few clarifications on the
       Experiemental tag
     * Added Glen Lamb's name to the credits for the LooseUDP patch
     * Added a clarification on installing the LooseUDP patch that it
       should use "cat" for non-compressed patches.
     * Fixed a typo in the IPAUTO FAQ section
     * I had the DHCP client port numbers reversed for the IPFWADM and
       IPCHAINS rulesets. The order I had was if your Linux server was a
       DHCP SERVER.
     * Added explicit /sbin path to all weak and strong ruleset examples.
     * Made some clarifications in the strong IPFWADM section regarding
       Dynamic IP addresses for PPP and DHCP users. I also noted that the
       strong rulesets should be re-run when PPP comes up or when a DHCP
       lease is renewed.
     * Added reference in the 2.2.x requirements, updated the ICQ FAQ
       section, and added Andrew Deryabin to credits section for his ICQ
       MASQ module.
     * Added some clarifcation in the FAQ section why the 2.1.x and 2.2.x
       kernels went to IPCHAINS.
     * Added a little FAQ section on Microsoft File/Print/Domain services
       (Samba) through a MASQ server. I also added a URL to a Microsoft
       Knowledge base document pour de plus amples dtails.
     * Added clarification in the FAQ section that NON Debian
       distribution supports IP masq out of the box.
     * Updated the supported MASQ distributions in the FAQ section.
     * Added to the Aliased NIC section of the FAQ that you CANNOT masq
       out of an aliased interface.
     * Wow.. never caught this before but the "ppp-ip" variable in the
       strong ruleset section is an invalid variable name! It has been
       renamed to "ppp_ip"
     * In both the IPFWADM and IPCHAINS simple ruleset setup areas, I had
       a commented out section on enabling DHCP traffic. Problem is, it
       was below the final reject line! Doh! I moved both up a section.
     * In the simple IPCHAINS setup, the #ed out line for DHCP users, I
       was using the IPFWADM "-W" command instead of IPCHAINS's "-i"
       parameter.
     * Added a little blurb to the Forwarders section the resolution to
       the famous "ipfwadm: setsockopt failed: Protocol not available"
       error. This also includes a little /proc test to let people
       confirm if IPPORTFW is enabled in the kernel. I also added this
       error to a FAQ section for simple searching.
     * Added a Strong IPCHAINS ruleset to the HOWTO
     * Added a FAQ section explaining the "kernel:
       ip_masq_new(proto=UDP): no free ports." error.
     * Added an example of scripting IPMASQADM PORTFW rules
     * Updated a few of the Linux Documentation Project (LDP) URLs
     * Added Quake III support in the module loading sections of all the
       rc.firewall rulesets.
     * Fixed the IPMASQADM forwards for ICQ

     1.72 - 4/14/99 - Dranch: Added a large list of Windows NAT/Proxy
   alternatives with rough pricing and URLs to the FAQ.

     1.71 - 4/13/99 - Dranch: Added IPCHAINS setups for multiple internal
   MASQed networks. Changed the ICQ setup to use ICQ's default 60 second
   timeout and change IPFWADM/IPCHAINS timeout to 160 seconds. Updated
   the MASQ and MASQ-DEV email list and archive subscription
   instructions.

     1.70 - 3/30/99 - Dranch: Added two new FAQ sections that cover
   SMTP/POP-3 timeout problems and how to masquerade multiple internal
   networks out different external IP addresses with IPROUTE2.

     1.65 - 3/29/99 - Dranch: Typo fixes, clarifications of required
   2.2.x kernel options, added dynamic PPP IP address support to the
   strong firewall section, additional quake II module ports, noted that
   the LooseUDP patch is built into later 2.2.x kernels and its from
   Glenn Lamb and not Dan Kegel, added more game info in the
   compatibility section.

     1.62 - Dranch: Make the final first-draft changes to the doc and now
   announce it the the MASQ email list.

     1.61 - Dranch: Make editorial changes, cleaned things up and fixed
   some errors in the Windows95 and NT setups.

     1.58 - Dranch: Addition of the port forwarding sections; LooseUDP
   setup; Ident servers for IRC users, how to read firewall logs, deleted
   the CuSeeme Mini-HOWTO since it is rarely used.

     1.55 - Dranch: Complete overhaul, feature and FAQ addition, and
   editing sweep of the v1.50 HOWTO. Completed the 2.2.x kernel and
   IPCHAINS configurations. Did a conversion from IPAUTOFW to IPPORTFW
   for the examples that applied. Added many URLs to various other
   documentation and utility sites. There are so many changes.. I hope
   everyone likes it. Final publishing of this new rev of the HOWTO to
   the LDP project won't happen until the doc is looked over and approved
   by the IP MASQ email list (then v2.00).

     1.50 - Ambrose: A serious update to the HOWTO and the initial
   addition of the 2.2.0 and IPCHAINS configurations.

     1.20 - Ambrose: One of the more recent HOWTO versions that solely
   dealt with < 2.0.x kernels and IPFWADM.
