L'interface dummy

L'interface dummy (muette) est un peu exotique, neanmoins elle est plut^ot utile. Elle est surtout destinee aux machines isolees, ou celles dont la seule connexion IP est une liaison de type SLIP. En fait, ce dernier cas revient au premier, lorsque le systeme n'est pas connecte.

Le probleme de ces machines isolees est qu'elles n'ont qu'un seul peripherique reseau actif, l'interface loopback, qui se voit normalement attribuer l'adresse

127.0.0.1

. Mais parfois, il est necessaire d'envoyer des donnees a l'adresse IP((ocielle))de cet h^ote

local. Considerons par exemple l'ordinateur portable

lee

, que nous deconnectons de tout reseau le temps de cet exemple. Une application fonctionnant sur cette machine veut envoyer quelque donnee vers un autre programme sur ce m^eme ordinateur. La recherche de

lee

dans /etc/hosts renvoie l'adresse

172.16.1.65

, par consequent notre application essaie d'utiliser cette valeur. Comme pour l'instant, la seule interface active est le loopback, le noyau n'est absolument pas au courant que

172.16.1.65

reference aussi cette machine! En consequence, il elimine ce datagramme et renvoie une erreur a l'application.

C'est la que l'interface dummy entre en jeu. Elle permet de resoudre ce probleme en servant de seconde interface loopback, a laquelle on attribue l'adresse

172.16.1.65

. On ajoute bien entendu une route vers elle, et ainsi chaque datagramme a destination de

172.16.1.65

sera delivre localement. Les commandes necessaires pour etablir cette conguration sont:

# ifconfig dummy leffe # route add leffe

5.9 Tout sur

ifcong

La commande ifcong possede bien plus de parametres que nous n'en avons utilise jusqu'a present. Sa syntaxe exacte est:

L'argumentinterface est bien s^ur le nom de l'interface, et adresse correspond a

l'adresse IP a lui assigner. Ce peut ^etre indieremment une adresse exprimee en no- tation sur 4 octets, ou un nom de machine que ifcong recherchera dans les chiers /etc/hostset /etc/networks. Les options-netet-hostforcent la commande a consi-

derer l'adresse comme un reseau ou un h^ote, respectivement.

Si ifcong est invoquee uniquement avec le nom de l'interface, cette commande ache alors la conguration courante de l'interface en question. Sans aucun parametre, elle considerera toutes celles qui sont congurees; une option-apermet de lui faire acher

egalement les interfaces inactives. Sur eth0, la sortie de ifcong peut donner quelque chose comme ceci:

# ifconfig eth0

eth0 Link encap 10Mbps Ethernet HWaddr 00:60:8C:53:D3:65

inet addr 193.56.58.85 Bcast 193.56.58.255 Mask 255.255.255.0 UP BROADCAST RUNNING MTU 1500 Metric 1

RX packets 414652 errors 3 dropped 3 overruns 3 TX packets 518279 errors 0 dropped 0 overruns 0

Les champsMTUetMetricmontrent respectivement le MTU et la valeur metrique pour

cette interface. La valeur metrique est utilisee par certains systemes d'exploitation pour determiner le prix ou l'ecacite d'une route. Pour l'instant, Linux n'utilise pas cette valeur, mais elle est denie pour des raisons evidentes de compatibilite. Les lignes RX et TX montrent combien de paquets ont ete recus (RX) ou transmis (TX) sans erreurs, combien d'erreurs se sont produites, combien de paquets furent elimines (probablement par manque de memoire), et combien ont ete perdus en raison de debit trop important. Ces (( overruns )) se produisent generalement lorsque les

paquets arrivent trop rapidement, et que le noyau n'a pas eu le temps de servir la derniere interruption alors qu'une autre arrive. Les drapeaux aches par ifcong correspondent plus ou moins aux noms des options de sa ligne de commande; nous allons les expliquer ci-dessous.

Voici la liste des parametres reconnus par la commande ifcong, avec les noms des drapeaux correspondants. Les options qui ne sont que des bascules de conditions particulieres permettent egalement de les supprimer si elles sont precedees du signe

((moins)) (-).

up Cette option marque l'interface comme etant accessible a la couche

reseau du noyau. Elle est implicite lorsqu'uneadresseest donnee sur

la ligne de commandes. Elle peut aussi ^etre utilisee pour remettre en service une interface qui a ete arr^etee momentanement par l'option

down.

Elle correspond aux drapeauxUPetRUNNING.

down Marque l'interface comme etant inaccessible a la couche IP du noyau.

Cela interdit tout trac IP a travers l'interface. Notez que cette op- tion ne supprime pas les entrees de la table de routage pouvant utiliser

cette interface. Si vous decidez de mettre une interface hors service de facon permanente, vous devrez egalement supprimer tout routage passant par elle et, si possible, orir une alternative pour l'achemi- nement des datagrammes.

netmask masque

Assigne le masque de sous-reseau a utiliser pour cette interface. Il peut ^etre donne soit par un nombre hexadecimal sur 32 bits precede de 0x (comme en langage C), soit en notation traditionnelle sur 4 octets.

pointopoint adresse

Cette option est utilisee pour les liaisons point-a-point qui ne mettent en jeu que deux machines. Elle est necessaire pour congurer, par exemple, des interfaces SLIP ou PLIP.

Si une adresse point-a-point est initialisee, la commande ifcong af- chera alors le drapeauPOINTOPOINT.

broadcast adresse

L'adresse de diusion est generalement constituee a partir de la va- leur reseau en mettant tous les bits de la partie h^ote a 1. Quelques implementations de IP (notamment les systemes derives de BSD 4.2) utilisent un schema dierent, ou la partie h^ote est mise a zero). L'op- tionbroadcastest la, entre autres, pour s'adapter a ces environne-

ments etranges.

Si une adresse de diusion est positionnee, ifcong achera le dra- peauBROADCAST.

metric nombre

Option employee pour assigner une valeur metrique a l'entree de la table de routage creee pour cette interface. Cette valeur est utilisee par RIP (Routing Information Protocol) pour construire les tables de routage pour le reseau9. La valeur metrique mise par defaut par

ifcongest zero. Si vous n'employez pas de demon RIP, vous n'aurez pas besoin de cette option; si vous le faites, vous n'aurez que tres rarement besoin de changer cette valeur.

mtu octets Permet d'ajuster la taille de l'unite de transfert (((Maximum Trans-

mission Unit))), qui correspond au nombre maximum d'octets que

l'interface est capable de manipuler en une seule transaction. Pour 9: RIP choisit la route optimale vers un h^ote donne en se basant sur la((longueur))du chemin

a parcourir. Elle est calculee en ajoutant toutes les valeurs metriques individuelles de chaque liaison entre les machines rencontrees. Par defaut, un saut (((hop))) a une valeur de 1, mais ce peut ^etre

n'importe quelle valeur entiere inferieure a 16 (une route egale a 16 est consideree comme innie, et inutilisable). Le parametremetricpermet d'ajuster cette valeur, qui est alors diusee par le demon

l'Ethernet, la valeur par defaut est 1500; pour les interfaces SLIP c'est 296.

arp Il s'agit d'une option specique aux reseaux comme l'Ethernet ou le

packet-radio. Elle met en service le protocole de resolution d'adresses, ARP, an de detecter les adresses physiques des machines attachees au reseau. Pour les reseaux cites, elle est toujours en service par defaut.

Si ARP est hors service, ifcong achera le drapeauNOARP. -arp Supprime l'utilisation de ARP sur cette interface.

promisc Passe l'interface en mode global (promiscuous mode). Sur un reseau

Ethernet (par exemple), cela a pour eet de faire recevoir tous les paquets a l'interface, qu'ils soient destines a un autre h^ote ou non. On peut ainsi analyser le trac sur le reseau a l'aide de ltres de paquets ou autres outils. Generalement, cette technique appelee(( Ethernet

snooping)) est une bonne methode pour traquer certains problemes

reseau quasi indetectables autrement.

D'un autre c^ote, elle permet aux personnes malintentionnees de son- der ce qui passe sur le reseau, a la recherche de mots de passe ou pour realiser d'autres actions illegales. Pour se proteger, une solution consiste a ne laisser personne connecter impunement sa machine sur votre reseau Ethernet. Une autre option est d'utiliser des protocoles d'authentication securises, comme Kerberos, ou le login SRA10.

Cette option correspond au drapeauPROMISC. -promisc Annule le mode global.

allmulti Les adresses multicast sont un genre d'adresses de diusion limitees

a un groupe de machines qui n'ont pas necessairement besoin de se trouver sur le m^eme sous-reseau. Elles sont supportees sous Linux a partir du noyau version 1.1.72, en alpha-test.

Cette option correspond au drapeauALLMULTI. -allmulti Invalide les adresses multicast.

5.10 La commande

netstat

Tournons-nous maintenant vers un outil presque indispensable pour tester la congu- ration et l'activite du reseau: la commande netstat, qui est en fait une collection de plusieurs outils rassembles en un seul. Nous allons en detailler chaque fonction.

Dans le document [PDF] Cours informatique administration reseau prives pdf | Cours informatique (Page 91-95)