Page suivante Page précédente Table des matières

8. Interconnection de réseaux

La couche réseau de Linux est pleine de fonctionnalités. Un ordinateur sous Linux peut être configuré pour agir en tant que routeur, passerelle, etc... Quelques unes des options disponibles sont décrites ci-dessous.

8.1 Routeur

Le noyau de Linux supporte les fonctions de routage. Un ordinateur sous Linux peut aussi bien fonctionner en tant que routeur IP ou IPX pour un coût bien moins élevé qu'un routeur commercial. Les noyaux récents incluent des options spéciales pour les machines jouant le rôle de routeurs :

Il y a quelques projets qui ont pour but de faire marcher un routeur Linux avec juste une disquette : Projet de routeur Linux

8.2 Pont

Le noyau de Linux sait agir en tant que pont Ethernet, ce qui signifie que les différents segments Ethernets auxquels il est connecté apparaîtront comme un seul Ethernet aux participants. Plusieurs ponts peuvent collaborer, pour créer d'encore plus larges réseaux Ethernet en utilisant l'algorithme d'arbre (spanning tree) IEEE802.1. Comme c'est un standard, les ponts Linux pourront fonctionner avec des ponts d'autres sortes. D'autres paquetages permettent le filtrage basé sur les adresses IP, IPX ou MAC.

HowTo en relation :

8.3 IP-Masquerading

IP Masquerade est une fonction de développement de réseau pour Linux. Si une machine Linux est connectée à Internet avec IP Masquerade activé, les ordinateurs s'y connectant (soit sur le même réseau, soit se connectant par modems) peuvent accéder à Internet sans problèmes, même s'ils n'ont pas de réelle IP d'assignée. Ceci permet de réduire les coûts, puisque pas mal de personnes pourront accéder à Internet en utilisant une simple connection par modem. Cela permet aussi de réduire les risques de sécurité car d'une certaine façon, la machine agit en tant que firewall, puisque les adresses non officielles ne peuvent pas être accédées depuis l'extérieur de ce réseau.

Pages et documents se rapportant à l'IP Masquerade :

8.4 IP-Accounting

Cette option permet au noyau de Linux de garder une trace de tout le trafic IP, d'enregistrer les paquets IP, et de produire quelques statistiques. Une série de règles peuvent être définies pour que, lorsque certains paquets ont certaines caractéristiques, un compteur soit incrémenté, que le paquet soit accepté ou rejeté, etc...

8.5 IP-Aliasing

Cette fonctionnalité du noyau de Linux fournit la possibilité d'assigner plusieurs adresses réseau à la même interface (ex : deux adresses IP sur une carte Ethernet). Typiquement, pour être utilisé pour des services qui se comportent différemment selon l'adresse par laquelle ils sont appelés (ex : "multihosting" ou "domaines virtuel" ou "service d'hébergement virtuel").

HowTo en relation :

8.6 Traffic Shaping

Le traffic shaper est une interface virtuelle qui permet de limiter le trafic montant vers une autre interface réseau. C'est particulièrement utile quand on veut limiter/contrôler la bande passante utilisée par un client. Une autre alternative (pour le web seulement) serait d'utiliser un module d'Apache qui restreint le nombre de connections par client, ou la bande passante utilisée.

8.7 Firewall

Un firewall est une interface qui protège un réseau prive du reste d'Internet. Il est conçu pour contrôler le flux de paquets en se basant sur la source, la destination, le port et le type de paquet contenu dans chaque paquet.

Il existe différents outils de firewalls pour Linux, ainsi qu'un support intégré dans le noyau. D'autres firewalls sont TIX et SOCKS. Ces kits de firewall sont très complets, et combinés avec d'autres outils, permettent de bloquer/rediriger tous types de trafic et protocoles. Différentes règles peuvent être implémentées par le biais de fichiers de configuration ou grâce à des programmes graphiques.

8.8 Reroutage de ports

Un nombre croissant de sites WWW deviennent interactifs en ayant des cgi-bins ou des applets Java qui accèdent à des bases de données ou à d'autres services. Puisque ces accès peuvent poser des problèmes de sécurité, la machine contenant la base de donnée ne devrait pas être connectée directement à Internet.

Le reroutage de ports peut fournir une solution presque idéale à ce problème d'accès. Avec un firewall, les paquets IP qui arrivent sur un port spécifique peuvent être réécrit et envoyés au serveur interne fournissant le service. Le paquet qui est reçu du serveur interne est réécrit pour le faire apparaître comme arrivant du firewall.

Des informations sur le reroutage de ports peuvent être trouvées ici

8.9 Répartition de charge

Lorsqu'un serveur Web, qui utilise une base de donnée, est très chargé, il serait utile d'avoir plusieurs serveurs identiques et de rediriger les requêtes vers le serveur le moins chargé. Ceci peut être fait avec les techniques de translation d'adresses réseau (NAT : Network Address Translation) dont IP-Masquerading est un sous-ensemble. Les administrateurs réseaux peuvent remplacer un serveur simple fournissant des services Web - ou n'importe quoi d'autre - par un groupe de serveurs partageant la même adresse IP. Les connections arrivantes sont redirigées vers l'un des serveurs en utilisant un algorithme de répartition de charge. Le serveur virtuel réécrit les paquets entrants et sortants pour que les clients aient un accès transparent au serveur, comme s'il était unique.

Des informations sur Linux IP-NAT peuvent être trouvées

8.10 EQL

EQL est intégré au noyau de Linux. Si deux connections séries existent vers un autre ordinateur (cela demande deux modems et deux lignes de téléphone) et si SLIP ou PPP (un protocole pour envoyer un trafic internet à travers une ligne de téléphone) sont utilisés dessus, il est possible de les faire se comporter comme une seule connection ayant une vitesse double en utilisant ce driver. Naturellement, EQL doit être supporté de l'autre côté aussi.

8.11 Serveur Proxy

Le terme proxy signifie "faire quelque chose pour quelqu'un d'autre". En termes de réseau, un serveur proxy est un ordinateur qui agit pour plusieurs clients. Un proxy HTTP est une machine qui reçoit des requêtes à des pages Web d'autres machines (machine A). Le proxy récupère la page en question et retourne le résultat à la machine A. Le proxy peut avoir un cache contenant les pages déjà demandées, de façon à ce que , si une autre machine demande la même page, la copie du cache soit retournée à la place. Ceci permet de réduire la bande passante utilisée, et d'avoir un temps de réponse plus court. Comme effet de bord, les machines clientes n'accèdent pas directement au monde extérieur et cela peut rendre un réseau plus sûr. Un proxy bien configuré peut être aussi efficace qu'un firewall.

Plusieurs serveurs proxy existent pour Linux. La solution la plus populaire est le module proxy d'Apache. Il y a aussi SQUID qui est une implémentation plus complète et plus robuste de proxy HTTP.

8.12 Connection à la demande

Le but des connections à la demande est de faire croire aux utilisateurs qu'ils ont une connection permanente d'un point à un autre. D'habitude, il y a un daemon qui surveille le trafic de paquets, qui établit la connection quand elle est nécessaire, puis après une période d'inactivité, clot la connection.

8.13 Tunnelling, IP mobile et réseaux privés virtuels

Le noyau de Linux permet le tunnelling (encapsulation) de protocoles. Il peut faire du tunnelling IPX via IP, permettant la connection de deux réseaux IPX via une simple liaison IP. Il peut aussi faire du tunnelling IP-IP, qui est majoritairement utilisé pour le support des IP mobiles, le support du multicast, et la radio amateur. (voir http://sunsite.unc.edu/mdw/HOWTO/NET-3-HOWTO-6.html#ss6.13)

Les IP mobiles sont une amélioration qui permet un routage transparent de datagrammes IP vers des noeuds IP sur Internet. Chaque noeud est toujours identifié par son adresse d'origine, quelque soit son point de rattachement à Internet. Quand il est éloigné de son point d'origine, un noeud mobile est aussi associé avec une adresse d'hébergement, ce qui fournit des informations sur son point de rattachement actuel sur Internet. Le protocole permet d'enregistrer l'adresse de l'hébergeur avec un programme spécifique. Ce programme envoie les datagrammes destinés au noeud mobile via le tunnel de l'adresse de l'hébergeur. Après être arrivé, chaque datagramme est alors délivré au noeud mobile.

Le Point-to-Point Tunneling Protocol (PPTP) est une technologie réseau qui permet d'utiliser Internet en tant que réseau privé virtuel (VPN : virtual private network). PPTP est intégré dans le serveur de services d'accès à distance (RAS : Remote Access Services) de Windows NT server. Avec PPTP, les utilisateurs peuvent se connecter à leur FAI local, ou se connecter directement à Internet, et utiliser leur réseau comme s'ils étaient devant leur bureau. PPTP est un protocole bien défini, et sa sécurité a récemment été compromise. Il est fortement conseillé d'utiliser l'une des alternatives proposées par Linux, car elles s'appuient sur des standards qui ont été examinés et testés très minutieusement.

IP mobile : Document parlant des réseaux privés virtuels :


Page suivante Page précédente Table des matières