Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Ingénierie
  2. Informatique
  3. Réseau informatique

Mandataires transparents Distribution et équilibrage

publicité 
_iptables.book Page 22 Lundi, 8. novembre 2004 6:33 18
Les iptables Linux — précis & concis
Mandataires transparents
Les mandataires transparents (transparent proxy) permettent
d’intercepter certaines connexions sortantes et de les rediriger
vers un ordinateur qui va les gérer à la place de la machine cible
originale. Cette technique permet de créer des mandataires
(proxy) pour certains services sans pour autant avoir besoin de
configurer chaque ordinateur du réseau interne. Comme tout le
trafic vers le monde extérieur passe par la passerelle, toutes les
connexions sur un port donné seront traitées de manière transparente.
Si vous avez configuré un mandataire HTTP (comme Squid, par
exemple) de sorte à ce qu’il se comporte comme un mandataire
transparent sur votre machine pare-feu et qu’il écoute sur le port
8888, vous pouvez ajouter une règle pour rediriger les connexions HTTP sortantes vers ce dernier grâce à la commande
suivante :
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80
-j REDIRECT --to-port 8888
La mise en place d’un mandataire transparent est en revanche
bien plus compliquée si le service doit tourner sur un autre hôte.
Vous pourrez trouver de plus amples informations sur la mise en
place de Squid dans le guide de Daniel Kiracofe intitulé
« Transparent Proxy with Linux and Squid mini-HOWTO » et
disponible depuis le site du LDP (Linux Documentation Project,
http://www.tldp.org/HOWTO/TransparentProxy.html).
Distribution et équilibrage de charge
Vous pouvez distribuer la charge vers un certain nombre d’hôtes
grâce aux extensions de correspondance nth et de cible DNAT.
L’équilibrage de charge est une sorte de distribution de charge
intelligente qui implique l’utilisation de statistiques de montées
en charge des différents hôtes afin de sélectionner de manière
plus fine les hôtes vers lesquels les paquets seront envoyés et de
les maintenir ainsi à un niveau de charge égal.
22
_iptables.book Page 23 Lundi, 8. novembre 2004 6:33 18
Introduction
Pare-feu à état et sans état
Un pare-feu est une passerelle qui restreint le trafic sur le réseau
auquel il est connecté.
Les pare-feu sans état utilisent des règles simples ne nécessitant
pas de suivi de connexion ou d’état, comme par exemple la correspondance de certaines adresses et/ou ports source et destination de certains protocoles.
Les pare-feu à état permettent un traitement plus évolué des
paquets et impliquent un suivi des connexions et des états, il peut
s’agir, par exemple, de garder une trace de l’activité réseau de
chaque hôte ou de chaque connexion (iplimit, limit ou
d’autres extensions de correspondance).
iptables permet de créer des règles des deux types (mais reportezvous à l’avertissement se trouvant dans la section Traduction
d’adresses réseau, page 19).
Outils complémentaires
De nombreux utilitaires réseaux peuvent fournir une aide considérable lorsqu’il s’agit de régler des problèmes relatifs au parefeu ou au trafic sur le réseau. Le tableau 14 en fournit une liste
non exhaustive des outils les plus couramment employés.
Tableau 14. Quelques outils complémentaires
Outil
Description
ethereal
Analyseur de protocole réseau. http://www.
ethereal.com/
Nessus
Analyseur de sécurité de machine/réseau
distant(e). http://www.nessus.org/intro.html
nmap
Exploration et audit de réseaux. http://www.
insecure.org/nmap/
ntop
Sonde et analyseur de trafic réseau.
http://ntop.ethereal.com/ntop.html
ping
Envoi de paquet ICMP ECHO_REQUEST.
23
_iptables.book Page 24 Lundi, 8. novembre 2004 6:33 18
Les iptables Linux — précis & concis
Tableau 14. Quelques outils complémentaires (suite)
Outil
Description
tcpdump
Capture de paquets (renifleur). http://wwwnrg.ee.lbl.gov/
traceroute
Trace la route empruntée par les paquets
pour atteindre un certain hôte.
Référence de la commande iptables
La plupart des commandes d’iptables peuvent être regroupées en
sous-commandes et règles de correspondance. Le tableau 15
décrit les options qui ne peuvent faire l’objet d’une telle classification.
Tableau 15. Quelques options
Option
Description
-c nbPaquets nbOctets
En conjonction avec les sous-commandes
-A, -I ou -R, règle respectivement la valeur
des compteurs de paquets et d’octets d’une
nouvelle règle (ou d’une règle modifiée) sur
nbPaquets et nbOctets.
--exact
Synonyme de -x.
-h
Affiche la liste des commandes iptables.
Utilisé après -m correspondance ou -j
cible, provoque également l’affichage de
l’aide relative à l’extension de
correspondance ou de cible respectivement.
--help
Synonyme de -h.
-j cible [options]
Détermine le sort des paquets
correspondant à la règle. La cible peut être
le nom d’une chaîne utilisateur, l’une des
cibles par défaut ou encore une extension
iptables (auquel cas des options
supplémentaires peuvent être passées).
24
_iptables.book Page 25 Lundi, 8. novembre 2004 6:33 18
Référence de la commande iptables
Tableau 15. Quelques options (suite)
Option
Description
--jump
Synonyme de -j.
--line-numbers
Utilisée en conjonction avec la souscommande -L, affiche le numéro de chaque
règle de chaque chaîne qui pourra alors
servir de référence (c’est-à-dire d’index) lors
de leur insertion (via -I) ou suppression
(via -D) d’une chaîne.
-m correspondance
[options]
Invoque une correspondance étendue, avec
possibilité d’options supplémentaires.
--match
Synonyme de -m.
-M cmd
Utilisée pour charger un module iptables
(avec de nouvelles cibles ou extensions de
correspondance) lors de l’insertion ou le
remplacement de règles.
--modprobe=cmd
Synonyme de -M.
-n
Affiche les adresses et les ports sous forme
numérique sans essayer de résoudre les
noms de domaine et de services
correspondants. Cette option est
particulièrement utile lorsque votre DNS
est lent ou en panne.
--numeric
Synonyme de -n.
--set-counters
Synonyme de -c.
-t table
La sous-commande affecte la table passée en
argument. Si cette option n’est pas utilisée,
la sous-commande affectera par défaut la
table filter.
--table
Synonyme de -t.
-v
Provoque l’affichage verbeux.
--verbose
Synonyme de -v.
-x
Affiche les valeurs exactes des compteurs de
paquets et d’octets au lieu de leur forme
abrégé sous forme métrique (K, M ou G).
25
Documents connexes
Mandataires transparents Distribution et équilibrage
Mandataires transparents Distribution et équilibrage
une figue de reve
une figue de reve
Emplois des prépositions
Emplois des prépositions
Le travail désigne l'effort physique ou intellectuel qui doit être... faire quelque chose ou obtenir un résultat recherché.
Le travail désigne l'effort physique ou intellectuel qui doit être... faire quelque chose ou obtenir un résultat recherché.
Définitions du mot travail - Fédération CGT des services publics
Définitions du mot travail - Fédération CGT des services publics
(l`antérieure contre la postérieure). Lorsque l`anthère s`ouvre
(l`antérieure contre la postérieure). Lorsque l`anthère s`ouvre
Préciser - Share Dschola
Préciser - Share Dschola
ignare - Pyranautes
ignare - Pyranautes
Les synonymes
Les synonymes
TP 5 Routage statique avec Marionnet Correction
TP 5 Routage statique avec Marionnet Correction
Configuration réseau linux
Configuration réseau linux
Benmansour, Radjaa.PDF.pdf
Benmansour, Radjaa.PDF.pdf
Téléchargement
publicité