
Page 4
configurez pas ce champ sur les paquets qui naviguent sur Internet, sauf si vous
souhaitez leur appliquer des décisions de routage, avec iproute2.
La cible TTL permet de modifier le champ durée de vie ou TTL(Time To Live) d'un
paquet. Il est possible par exemple de spécifier aux paquets d'avoir un
champ TTL spécifique. Ceci peut se justifier lorsque vous ne souhaitez pas être rejeté
par certains Fournisseurs d'Accès à Internet (FAI) trop indiscrets. En effet, il existe des
FAI qui désapprouvent les utilisateurs branchant plusieurs ordinateurs sur une même
connexion, et de fait, quelques-uns de ces FAI sont connus pour vérifier si un même
hôte génère différentes valeurs TTL, supposant ainsi que plusieurs machines sont
branchées sur la même connexion.
La cible MARK permet d'associer des valeurs de marquage particulières aux paquets.
Elles peuvent ensuite être identifiées par les programmes iproute2 pour appliquer un
routage différent en fonction de l'existence ou de l'absence de telle ou telle marque. On
peut ainsi réaliser de la restriction de bande passante et de la gestion de priorité (Class
Based Queuing).
La cible SECMARK peut être utilisée pour placer des marques dans un contexte de
sécurité sur des paquets dans SELinux ou tout autre système de sécurité capable de
gérer ces marques.
CONNSECMARK sert à copier un contexte de sécurité vers ou depuis un simple paquet
ou vers une connexion complète. Elle est utilisée par SELinux ou autre système de
sécurité pour affiner cette sécurité au niveau connexion.
Nous avons besoin là encore de 3 chaînes :
PREROUTING : Les paquets vont être marqués en entrée de la couche réseau,
en fonction de certains critères, de type de service (grâce aux numéros de ports
source et/ou de destination), d'adresses IP de source et/ou de destination, de
taille des paquets, etc. Ces informations seront utilisées par un programme
fonctionnant dans l'espace kernel.
INPUT : Les paquets sont marqués juste avant d'être envoyés aux processus
locaux.
FORWARD : Les paquets passant d'une interface réseau à l'autre sont marqués.
OUTPUT : Là, ce sont les paquets générés par les applications locales (un client
web par exemple) qui vont être marqués, tout comme les paquets entrant dans la
couche réseau.
POSTROUTING : Les paquets prêts à être envoyés sur le réseau sont marqués.
L'utilisation de cette chaîne dans la table Mangle n'est cependant pas très
évidente.
2.4. La file d’attente par connexion
Les files d’attente de stockage d’information en réseau que nous avons utilisées dans ce
projet nous ont permis de de limiter et hiérarchiser le trafic.
L'implémentation des files d’attente (queue) dans MikroTik RouterOS est basée sur
Hierarchical Token Bucket (HTB), qui permet de créer une structure de file d'attente
hiérarchique et de déterminer les relations entre ces files d'attente.
Sous RouterOS, ces structures hiérarchiques peuvent être attachées à deux endroits