Conguration du reseau TCP/IP
5.8 Conguration des interfaces reseau
5.8.7 L'interface dummy
L'interface dummy (muette) est un peu exotique, neanmoins elle est plut^ot utile. Elle est surtout destinee aux machines isolees, ou celles dont la seule connexion IP est une liaison de type SLIP. En fait, ce dernier cas revient au premier, lorsque le systeme n'est pas connecte.
Le probleme de ces machines isolees est qu'elles n'ont qu'un seul peripherique reseau actif, l'interface loopback, qui se voit normalement attribuer l'adresse
127.0.0.1
. Mais parfois, il est necessaire d'envoyer des donnees a l'adresse IP((ocielle))de cet h^otelocal. Considerons par exemple l'ordinateur portable
lee
, que nous deconnectons de tout reseau le temps de cet exemple. Une application fonctionnant sur cette machine veut envoyer quelque donnee vers un autre programme sur ce m^eme ordinateur. La recherche delee
dans /etc/hosts renvoie l'adresse172.16.1.65
, par consequent notre application essaie d'utiliser cette valeur. Comme pour l'instant, la seule interface active est le loopback, le noyau n'est absolument pas au courant que172.16.1.65
reference aussi cette machine! En consequence, il elimine ce datagramme et renvoie une erreur a l'application.C'est la que l'interface dummy entre en jeu. Elle permet de resoudre ce probleme en servant de seconde interface loopback, a laquelle on attribue l'adresse
172.16.1.65
. On ajoute bien entendu une route vers elle, et ainsi chaque datagramme a destination de172.16.1.65
sera delivre localement. Les commandes necessaires pour etablir cette conguration sont:# ifconfig dummy leffe # route add leffe
5.9 Tout sur
ifcong
La commande ifcong possede bien plus de parametres que nous n'en avons utilise jusqu'a present. Sa syntaxe exacte est:
L'argumentinterface est bien s^ur le nom de l'interface, et adresse correspond a
l'adresse IP a lui assigner. Ce peut ^etre indieremment une adresse exprimee en no- tation sur 4 octets, ou un nom de machine que ifcong recherchera dans les chiers /etc/hostset /etc/networks. Les options-netet-hostforcent la commande a consi-
derer l'adresse comme un reseau ou un h^ote, respectivement.
Si ifcong est invoquee uniquement avec le nom de l'interface, cette commande ache alors la conguration courante de l'interface en question. Sans aucun parametre, elle considerera toutes celles qui sont congurees; une option-apermet de lui faire acher
egalement les interfaces inactives. Sur eth0, la sortie de ifcong peut donner quelque chose comme ceci:
# ifconfig eth0
eth0 Link encap 10Mbps Ethernet HWaddr 00:60:8C:53:D3:65
inet addr 193.56.58.85 Bcast 193.56.58.255 Mask 255.255.255.0 UP BROADCAST RUNNING MTU 1500 Metric 1
RX packets 414652 errors 3 dropped 3 overruns 3 TX packets 518279 errors 0 dropped 0 overruns 0
Les champsMTUetMetricmontrent respectivement le MTU et la valeur metrique pour
cette interface. La valeur metrique est utilisee par certains systemes d'exploitation pour determiner le prix ou l'ecacite d'une route. Pour l'instant, Linux n'utilise pas cette valeur, mais elle est denie pour des raisons evidentes de compatibilite. Les lignes RX et TX montrent combien de paquets ont ete recus (RX) ou transmis (TX) sans erreurs, combien d'erreurs se sont produites, combien de paquets furent elimines (probablement par manque de memoire), et combien ont ete perdus en raison de debit trop important. Ces (( overruns )) se produisent generalement lorsque les
paquets arrivent trop rapidement, et que le noyau n'a pas eu le temps de servir la derniere interruption alors qu'une autre arrive. Les drapeaux aches par ifcong correspondent plus ou moins aux noms des options de sa ligne de commande; nous allons les expliquer ci-dessous.
Voici la liste des parametres reconnus par la commande ifcong, avec les noms des drapeaux correspondants. Les options qui ne sont que des bascules de conditions particulieres permettent egalement de les supprimer si elles sont precedees du signe
((moins)) (-).
up Cette option marque l'interface comme etant accessible a la couche
reseau du noyau. Elle est implicite lorsqu'uneadresseest donnee sur
la ligne de commandes. Elle peut aussi ^etre utilisee pour remettre en service une interface qui a ete arr^etee momentanement par l'option
down.
Elle correspond aux drapeauxUPetRUNNING.
down Marque l'interface comme etant inaccessible a la couche IP du noyau.
Cela interdit tout trac IP a travers l'interface. Notez que cette op- tion ne supprime pas les entrees de la table de routage pouvant utiliser
cette interface. Si vous decidez de mettre une interface hors service de facon permanente, vous devrez egalement supprimer tout routage passant par elle et, si possible, orir une alternative pour l'achemi- nement des datagrammes.
netmask masque
Assigne le masque de sous-reseau a utiliser pour cette interface. Il peut ^etre donne soit par un nombre hexadecimal sur 32 bits precede de 0x (comme en langage C), soit en notation traditionnelle sur 4 octets.
pointopoint adresse
Cette option est utilisee pour les liaisons point-a-point qui ne mettent en jeu que deux machines. Elle est necessaire pour congurer, par exemple, des interfaces SLIP ou PLIP.
Si une adresse point-a-point est initialisee, la commande ifcong af- chera alors le drapeauPOINTOPOINT.
broadcast adresse
L'adresse de diusion est generalement constituee a partir de la va- leur reseau en mettant tous les bits de la partie h^ote a 1. Quelques implementations de IP (notamment les systemes derives de BSD 4.2) utilisent un schema dierent, ou la partie h^ote est mise a zero). L'op- tionbroadcastest la, entre autres, pour s'adapter a ces environne-
ments etranges.
Si une adresse de diusion est positionnee, ifcong achera le dra- peauBROADCAST.
metric nombre
Option employee pour assigner une valeur metrique a l'entree de la table de routage creee pour cette interface. Cette valeur est utilisee par RIP (Routing Information Protocol) pour construire les tables de routage pour le reseau9. La valeur metrique mise par defaut par
ifcongest zero. Si vous n'employez pas de demon RIP, vous n'aurez pas besoin de cette option; si vous le faites, vous n'aurez que tres rarement besoin de changer cette valeur.
mtu octets Permet d'ajuster la taille de l'unite de transfert (((Maximum Trans-
mission Unit))), qui correspond au nombre maximum d'octets que
l'interface est capable de manipuler en une seule transaction. Pour 9: RIP choisit la route optimale vers un h^ote donne en se basant sur la((longueur))du chemin
a parcourir. Elle est calculee en ajoutant toutes les valeurs metriques individuelles de chaque liaison entre les machines rencontrees. Par defaut, un saut (((hop))) a une valeur de 1, mais ce peut ^etre
n'importe quelle valeur entiere inferieure a 16 (une route egale a 16 est consideree comme innie, et inutilisable). Le parametremetricpermet d'ajuster cette valeur, qui est alors diusee par le demon
l'Ethernet, la valeur par defaut est 1500; pour les interfaces SLIP c'est 296.
arp Il s'agit d'une option specique aux reseaux comme l'Ethernet ou le
packet-radio. Elle met en service le protocole de resolution d'adresses, ARP, an de detecter les adresses physiques des machines attachees au reseau. Pour les reseaux cites, elle est toujours en service par defaut.
Si ARP est hors service, ifcong achera le drapeauNOARP. -arp Supprime l'utilisation de ARP sur cette interface.
promisc Passe l'interface en mode global (promiscuous mode). Sur un reseau
Ethernet (par exemple), cela a pour eet de faire recevoir tous les paquets a l'interface, qu'ils soient destines a un autre h^ote ou non. On peut ainsi analyser le trac sur le reseau a l'aide de ltres de paquets ou autres outils. Generalement, cette technique appelee(( Ethernet
snooping)) est une bonne methode pour traquer certains problemes
reseau quasi indetectables autrement.
D'un autre c^ote, elle permet aux personnes malintentionnees de son- der ce qui passe sur le reseau, a la recherche de mots de passe ou pour realiser d'autres actions illegales. Pour se proteger, une solution consiste a ne laisser personne connecter impunement sa machine sur votre reseau Ethernet. Une autre option est d'utiliser des protocoles d'authentication securises, comme Kerberos, ou le login SRA10.
Cette option correspond au drapeauPROMISC. -promisc Annule le mode global.
allmulti Les adresses multicast sont un genre d'adresses de diusion limitees
a un groupe de machines qui n'ont pas necessairement besoin de se trouver sur le m^eme sous-reseau. Elles sont supportees sous Linux a partir du noyau version 1.1.72, en alpha-test.
Cette option correspond au drapeauALLMULTI. -allmulti Invalide les adresses multicast.
5.10 La commande
netstat
Tournons-nous maintenant vers un outil presque indispensable pour tester la congu- ration et l'activite du reseau: la commande netstat, qui est en fait une collection de plusieurs outils rassembles en un seul. Nous allons en detailler chaque fonction.