Cours PROXY – ROUTER – NAT - Filtre
PROXY - ROUTEUR - NAT - FILTRE
LE PROTOCOLE TCP-IP & INTERNET
MISE EN PLACE D’UN RESEAU (Rappel)
MISE EN PLACE D’UN PROXY
MISE EN PLACE D’UN ROUTEUR NAT PC + SOFT
MISE EN PLACE D’UN ROUTEUR AUTONOME
ACCELERATION DE LA CONNEXION A INTERNET
LE PROTOCOLE TCP-IP & INTERNET
1. Introduction
2. Le protocole IP
3. L'adresse IP
4. Les différents types de réseaux
5. La subdivision en sous-réseaux
6. Le routage des paquets IP et le protocole TCP
7. Le système de désignation de noms (DNS)
8. Résumé et exemples
1. Introduction
Quelques mots d'abord sur le protocole TCP-IP.
TCP-IP est un ensemble de logiciels développés au fil des années (à partir des années 70 déjà) qui constituent un "langage universel" de communication informatique à travers le monde. Le protocole devait posséder les qualités suivantes :
- une bonne reprise après panne
- la capacité à gérer un taux élevé d'erreurs
- une faible surcharge des données
- la capacité de se prolonger sans difficultés dans des sous-réseaux
- l'indépendance par rapport à un fournisseur particulier ou un type de réseau
A partir du 1er janvier 1983, seuls les paquets TCP-IP ont été transmis sur le réseau Arpanet (précurseur d'Internet).
1983 est donc en quelque sorte l'année de naissance d'Internet.
Il faut encore rajouter que TCP-IP se compose de deux protocoles distincts, IP et TCP, dont j'explique plus loin les rôles respectifs.
2. Le protocole IP
Le Protocole Internet ou IP (Internet Protocol) est la partie la plus fondamentale d'Internet. Si vous voulez envoyer des données sur Internet, vous devez les "emballer" dans un paquet IP. Je parlerai plus loin (voir la partie accélération de votre connexion à Internet) de ces paquets IP. Il faut savoir pour l'instant que ces derniers ne doivent pas être trop gros; la plupart du temps, ils ne peuvent pas contenir toute l'information qu'on voudrait envoyer sur Internet, et cette dernière doit par conséquent être fractionnée en de nombreux paquets IP.
Les paquets IP, outre l'information, sont constitués d'un en-tête contenant l'adresse IP de l'expéditeur (votre ordinateur) et celle du destinataire (l'ordinateur que vous voulez atteindre), ainsi qu'un nombre de contrôle déterminé par l'information emballée dans le paquet : ce nombre de contrôle, communément appelé en-tête de total de contrôle, permet au destinataire de savoir si le paquet IP a été "abîmé" pendant son transport.
3. L'adresse IP
Une des choses les plus étonnantes du protocole TCP-IP est d'avoir attribué un numéro fixe, comme un numéro de téléphone, à chaque ordinateur connecté sur Internet; ce numéro est appelé l'adresse IP. Dans le cadre du standard actuel - IPV4 -, les adresses sont codés sur 32 bits. Ainsi, tout ordinateur sur Internet, par exemple le vôtre lorsque vous vous connectez par l'entremise de votre Provider, se voit attribuer une adresse de type a.b.c.d (où a.b.c.d sont des nombres compris entre 0 et 255), par exemple 202.15.170.1. Dès ce moment, vous êtes le seul au monde à posséder ce numéro, et vous y êtes en principe directement atteignable.
Un rapide calcul vous montre qu'il y a, en théorie, un maximum de 2564 = 4'294'967'296 adresses possibles, ou, en d'autres termes, d'ordinateurs directement connectables, ce qui est plus que suffisant même à l'échelle mondiale (du moins à l'heure actuelle !). En fait, il y a beaucoup moins d'adresses que ce nombre impressionnant, car de nombreux numéros IP ne sont pas autorisés ou sont utilisés à des fins "techniques". Pour l'ordinateur, cette adresse IP est codée en binaire (4 x 8 bits = 32 bits).
Par exemple,
202 15 170 1
11001010 00001111 10101010 00000001
Il est plus facile de retenir 202.15.170.1 que 11001010000011111010101000000001 !
4. Les différents types de réseaux
L'adressage a été structuré logiquement dans une architecture de réseaux et de sous-réseaux. N'importe qui ne peut s'approprier librement une adresse IP : ces dernières sont régies par un organisme international, l'INTERNIC, qui délivre les différentes adresses ou plutôt les classes de réseaux.
- Dans un réseau de classe A, le NIC fixe les 8 premiers bits (dits bits de poids fort) sous la forme 0xxxxxxx; les 24 autres bits sont laissés à l'administration de l'acquéreur du réseau de classe A. Dans un tel réseau, les adresses IP sont donc de type F.b.c.d où F (fixé par le NIC) va de 0 à 126, les valeurs b, c et d étant laissées librement administrables par l'acquéreur. De grandes sociétés ont ce type de réseau; par exemple, HewlettPackard possède le réseau 16.b.c.d (qu'on note aussi 16.0.0.0). Vous noterez que seuls 127 réseaux de ce type sont disponibles.
- Dans un réseau de classe B, le NIC fixe les 16 premiers bits sous la forme 0xxxxxxx yyyyyyyy, ce qui donne des réseaux de type F.G.0.0 où F (128-191) et G (0 à 255) sont fixés par le NIC.
- Dans un réseau de classe C, le NIC fixe les 24 premiers bits sous la forme 110xxxxx yyyyyyyy zzzzzzzz, ce qui donne des réseaux de type F.G.H.0 où F (192-223), G et H (0-255) sont fixés par le NIC.
- Tout le réseau 127.0.0.0 (qu'on peut voir comme un réseau de classe A) n'est pas attribué par le NIC, car l'adresse 127.0.0.1, dite adresse de boucle, est réservée à des fins techniques. Dommage, car 24 millions d'adresses sont ainsi perdues !
- De plus, le NIC n'attribue pas non plus certains réseaux qui sont laissés à des fins privées. Ces plages d'adresses généralement non routées par les fournisseurs d'accès, en d'autres termes des plages attribuables tout à fait légalement pour des réseaux internes, vont de 10.0.0.0 à 10.255.255.255 de 172.16.0.0 à 172.31.255.255 de 192.168.0.0 à 192.168.255.255
Typiquement, si vous créez votre propre réseau local en TCP-IP, vous utiliserez pour vos ordinateurs ce type d'adresses. Je reparle de ce cas dans la partie sur la façon de configurer un réseau local et le connecter à Internet.
Il me faut encore rajouter que certaines adresses d'un réseau quelconque ne sont pas attribuables à un ordinateur précis, mais joue un rôle "technique" dans TCP-IP.
Prenons l'exemple d'un réseau de classe C comme 192.168.0.x, x pouvant varier entre 0 et 255.
Cette plage d'adresses doit être indiquée de manière officielle, et on utilise pour cela l'adresse générale 192.168.0.0, ce qui veut dire "toutes les adresses comprises entre 192.168.0.0 et 192.168.0.255". Remarquez que cela signifie que vous ne pourrez jamais attribuer l'adresse 192.168.0.0 à un ordinateur précis, puisque cette dernière fait référence à tout le réseau.
Il existe une autre adresse IP réservée : l'adresse de diffusion (broadcast). C'est la dernière adresse du sous-réseau, dans notre cas 192.168.0.255. Il s'agit de l'adresse que vous utilisez pour diffuser un message vers chaque ordinateur du sous-réseau concerné.
Finalement, ce qui sera l'objet du paragraphe 6, vous devez réserver une adresse IP du routeur par défaut : c'est l'adresse "passerelle" qui permettra à des paquets IP de "quitter" votre sous-réseau.
5. La subdivision en sous-réseaux
Comment un ordinateur transmet-il l'information (les paquets IP) à son destinataire ? Une partie de la réponse se trouve dans le fonctionnement du protocole IP.
Généralement, un ordinateur ne peut transmettre directement un paquet IP qu'à un ordinateur situé sur le même sousréseau. Par exemple, un ordinateur possédant l'adresse IP 192.168.0.2 pourra directement envoyer de l'information à un ordinateur "voisin" d'adresse 192.168.0.20, mais il ne pourra pas le faire avec un ordinateur d'adresse 194.38.175.55. Pour simplifier, on dira en première approche qu'un ordinateur ne peut communiquer directement qu'avec un ordinateur possédant les trois premiers nombres de l'adresse IP identiques. Cette remarque n'est malheureusement pas théoriquement juste (même si en pratique, c'est assez souvent le cas pour des réseaux simples).
En fait, c'est le concept de masque de sous-réseau qui définit ce qu'un ordinateur peut "voir" ou ne pas voir.
Le masque de sous-réseau que vous avez peut-être eu l'occasion d'utiliser, si vous utilisez TCP-IP pour un réseau local, est 255.255.255.0. Ce masque veut dire que l'ordinateur concerné peut "voir" (ou communiquer avec) tous les ordinateurs possédant les trois premiers nombres de l'adresse IP identiques, comme je l'ai indiqué à l'exemple précédent. Comment fonctionne ce système à première vue aussi compliqué ?
En fait, admettons que l'ordinateur A d'adresse IP 199.34.57.10 veuille envoyer un paquet IP à l'ordinateur B d'adresse IP 199.34.57.20. A priori, A ne sait pas s'il peut communiquer directement avec B. Pour cela, il utilise le masque de sous-réseau 255.255.255.0 qu'on lui a imposé. Il "convertit" le tout en binaire, ce qui donne :
11111111 11111111 11111111 00000000 masque sous-réseau
11000111 00100010 00111001 00001010 adresse de A
11000111 00100010 00111001 00010100 adresse de B
L'ordinateur A doit s'assurer que partout où le masque de sous-réseau a une valeur de 1, la valeur binaire de son adresse IP corresponde à celle de B. Dans l'exemple ci-dessus, il n'est pas difficile de voir que c'est le cas; finalement, les 8 derniers bits de valeur 0 indiquent que le dernier nombre de l'adresse IP est indifférent pour A : ce dernier verra donc tous les ordinateurs d'adresse 199.34.57.x, x étant compris entre 0 et 255.
Cet exemple paraît trivial, pourtant de nombreux réseaux comportent des masques de sous-réseaux moins compréhensibles (pas uniquement des 0 et des 255), comme par exemple 255.255.255.224. Si vous refaites le même raisonnement, vous verrez qu'avec un tel masque, l'ordinateur 192.168.0.2 ne peut directement communiquer avec l'ordinateur 192.168.0.100 ! En fait, les 256 adresses de ce réseau de classe C seront comme subdivisées en 8 sousréseaux de 32 ordinateurs.
Ainsi, les ordinateurs 192.168.0.0 à 192.168.0.31 pourront communiquer entre eux, de mêmes que :
les ordinateurs 192.168.0.32 à 192.168.0.63, les ordinateurs 192.168.0.64 à 192.168.0.95, les ordinateurs 192.168.0.96 à 192.168.0.127, les ordinateurs 192.168.0.128 à 192.168.0.159, les ordinateurs 192.168.0.160 à 192.168.0.191, les ordinateurs 192.168.0.192 à 192.168.0.223, et les ordinateurs 192.168.0.224 à 192.168.0.255,
mais ces sous-réseaux ne pourront pas communiquer directement entre eux.
Cette subdivision d'un réseau de classe C en plusieurs sous-réseaux peut être utile pour un fournisseur d'accès. Vous pouvez calculer aisément les masques de sous-réseaux suivants selon le nombre de sous-réseaux que vous souhaitez créer.
nombre de sous-réseaux |
IP par sous-réseau |
masque de sous-réseau |
1 |
256 |
255.255.255.000 |
2 |
128 |
255.255.255.128 |
4 |
64 |
255.255.255.192 |
8 |
32 |
255.255.255.224 |
16 |
16 |
255.255.255.240 |
32 |
8 |
255.255.255.248 |
En fait, nous avons vu au paragraphe précédent que pour chaque sous-réseau il faut déduire trois adresses IP non attribuables à un ordinateur :
1. l'adresse de sous-réseau (généralement le premier IP du sous-réseau), par exemple a.b.c.0 pour un réseau composé d'un seul sous-réseau, ou a.b.c.64 pour le troisième sous-réseau d'un réseau divisé en 8 sous-réseaux.
2. l'adresse de diffusion (généralement le dernier IP du sous-réseau), par exemple, en reprenant les deux exemples précédents, a.b.c.255 ou a.b.c.95.
3. l'adresse du routeur par défaut dont je parle un peu plus loin, par exemple a.b.c.1 ou a.b.c.65. Chaque sous-réseau "perd" donc trois adresses IP; il s'ensuit qu'une subdivision excessive d'un réseau n'est pas avantageuse (on divise rarement au-delà de 8 sous-réseaux).
6. Le routage des paquets IP et le protocole TCP
Revenons à notre ordinateur A d'adresse 192.168.0.2 (mettons-lui un masque de sous-réseau de 255.255.255.0). Admettons qu'il veuille envoyer un paquet IP à ordinateur B d'adresse 192.170.0.4. En utilisant le masque de sousréseau, A comprend qu'il ne peut atteindre directement B. Que fait-il donc ? Il envoie sans réfléchir le paquet IP à l'adresse du routeur par défaut (disons que ce dernier a été défini comme 192.168.0.254).
Qu'est-ce que ce routeur ? Le routeur est une machine pouvant "jouer sur plusieurs sous-réseaux" en même temps. Typiquement, si on utilise un ordinateur, ce dernier possédera deux cartes réseaux, l'une connectée sur l'un des sousréseaux (dans notre cas, disons qu'elle possède l'adresse 192.168.0.254), l'autre connectée sur l'autre sous-réseau (disons 192.170.0.192). S'il utilise le bon logiciel, un tel ordinateur est capable de faire transiter des paquets IP du réseau 192.168.0.0 vers le réseau 192.170.0.0, et inversement bien sûr.
Deux petites remarques s'imposent. Tout d'abord, vous l'aurez compris, c'est donc grâce à des routeurs que différents sous-réseaux d'un réseau de classe C peuvent communiquer entre eux, par exemple l'ordinateur 192.168.0.2 avec l'ordinateur 192.168.0.120 d'un réseau de classe C subdivisé en 8 sous-réseaux (masque de sous réseau
255.255.255.224). La seconde remarque est d'ordre plus pratique : vous retiendrez que Windows 95 n'est pas capable de faire du routage, bien qu'il soit tout à fait possible d'installer deux cartes réseaux (avec des IP différents) dans un ordinateur tournant sous ce système; par contre, Windows NT 4.0, même en version Workstation, est capable d'une telle fonction.
Question pertinente : pourquoi subdiviser et ne pas faire de "méga" réseaux ? Les deux points suivants expliquent en partie pourquoi on procède ainsi.
1. Limiter le trafic sur un tronçon donné. Imaginons deux réseaux locaux A et B séparés par un routeur. Lorsque des ordinateurs de A discutent avec des ordinateurs de B, le routeur a pour rôle de transmettre l'information du réseau A vers le réseau B (et inversement). Par contre, si des ordinateurs de A s'échangent entre eux des données, il n'y a pas de raison qu'ils encombrent inutilement le trafic sur le réseau B, et c'est bien pour cette raison que les réseaux A et B sont distincts.
Autre évidence : si le réseau A tombe en panne, le réseau B n'en est pas affecté. C'est d'ailleurs l'avantage principal de subdiviser : éviter qu'un ennui technique qui pourrait rester localisé ne perturbe la totalité du réseau
2. Autre aspect non négligeable : le broadcast (diffusion). Vous ne le savez peut-être pas, mais dans votre dos, les ordinateurs sont de grands bavards : ils ne cessent de causer entre eux pour signaler leur présence ou se mettre d'accord sur les protocoles qu'ils sont capables de comprendre. Pensez un peu si Internet n'était constitué que d'un seul segment : le broadcast seul des ordinateurs utiliserait l'intégralité de la bande passante avant même qu'un seul octet de données ait pu être transmis ! Pour cette raison, le travail des routeurs est non seulement de faire transiter les paquets IP, mais aussi de filtrer le broadcast local qui n'intéresse pas la planète entière. Vous comprendrez par là que les routeurs jouent un rôle essentiel pour éviter la saturation du trafic.
Disons encore quelques mots sur l'acheminement des paquets IP. Vous comprenez maintenant que lorsqu'un ordinateur doit acheminer un paquet IP, il vérifie tout d'abord s'il peut le transmettre directement (grâce au masque de sous-réseau); s'il ne peut pas, il l'envoie bêtement, sans réfléchir, au routeur par défaut. Et ainsi de suite, le routeur regarde s'il peut transmettre directement le paquet à son destinataire (n'oublions pas que le paquet IP contient les adresses IP de l'expéditeur et du destinataire !), et, s'il ne peut le faire, le transmet à son routeur par défaut, etc.
Or le protocole IP néglige un point crucial : il ne vérifie nullement le bon acheminement des paquets IP. En d'autres termes, l'ordinateur expéditeur, dans le protocole IP, ne fait qu'envoyer le paquet IP plus loin; il ne s'intéresse pas du tout de savoir si le paquet a bien été reçu ou s'il a été endommagé pendant le transfert ! Qui doit donc assurer l'intégrité point à point, si ce n'est IP ? La réponse : son copain, TCP.
Le protocole de contrôle de transmission ou TCP (Transmission Control Protocol) vérifie donc le bon acheminement d'un paquet IP. Cela se fait de la façon suivante. Admettons que A veuille transmettre un paquet IP à B (connexion "directe"). A envoie (un peu à l'aveugle) son paquet IP à B, un peu comme une bouteille à la mer. Tant que A ne recevra pas un accusé de réception de B lui indiquant que ce dernier a bien reçu le paquet IP dans son intégrité (grâce à l'en-tête de total de contrôle), il renverra à intervalles réguliers le même paquet IP à B. Il n'arrêtera d'envoyer ce paquet qu'à la confirmation de B. Ce dernier agira ensuite de même s'il doit transmettre le paquet plus loin. Si B constate que le paquet qu'il a reçu est abimé, il n'enverra pas de confirmation, de manière à ce que A lui renvoie un paquet "neuf".
TCP fournit d'autres services sur lequel je ne m'attarderai pas ici.
On résumera rapidement les principales fonctionnalités du protocole TCP ainsi :
- l'établissement d'une liaison
- le séquencement des paquets
- le contrôle de flux
- la gestion d'erreurs
- le message d'établissement d'une liaison
On entend par "contrôle de flux" la capacité de TCP, entre autres, de reconstituer l'information originale à partir de paquets IP arrivés (souvent) dans le désordre le plus absolu.
C'est aussi TCP qui gère la notion de "sockets" (ports d'écoute) dont je parle dans la partie concernant la façon de configurer un réseau local et le connecter à Internet.
7. Le système de désignation de noms (DNS)
Maintenant que vous avez compris (j'espère !) comment circulent les paquets IP à travers Internet, il me reste à donner rapidement quelques explications sur le système de désignation de noms, en anglais Domain Name System (DNS). Vous avez vu plus haut que tout ordinateur connecté à Internet possède un numéro IP qui lui est propre. Pour communiquer avec un autre ordinateur, il vous faut connaître son adresse IP. Or, lorsque vous "surfez" sur le net, vous écrivez très rarement de tels numéros dans votre browser. C'est tout simplement que vous faites appel, sans le savoir, à un serveur DNS.
Un serveur DNS est simplement une machine qui associe le numéro IP à une adresse plus facilement mémorisable, bref une sorte d'annuaire téléphonique pour Internet.
Ainsi, la machine qui répond lorsque vous tapez dans votre browser possède en fait l'adresse IP 207.68.137.65. Si vous tapiezvous obtiendriez exactement le même résultat. Un (ou plusieurs) serveur DNS se trouvent généralement chez votre Provider; vous avez d'ailleurs sûrement reçu une feuille de configuration vous indiquant un ou deux numéros IP pour ces serveurs lors de la configuration de votre connexion à votre Provider.
Une manière simple de constater l'utilité d'un serveur DNS est d'ouvrir (sous Windows 95) une fenêtre DOS, et de taper ping 'adresse de l'hôte', par exemple ping"Ping" est une fonction très utile dans l'établissement de réseau : c'est une commande qui envoie un paquet IP tout simple à un ordinateur et lui demande simplement de répondre. Sous Windows 95, quatre paquets IP sont envoyés, et si vous avez tapé ping par exemple, votre ordinateur devrait ensuite vous écrire une ligne de type "pinging [207.68.137.65] with 32 bytes of data", suivie de quatre lignes de la forme "reply from
207.68.137.65: bytes=32 time=550ms TTL=128". Ces quatre dernières lignes vous indiquent que le serveur Microsoft a répondu (personnellement !) à vos appels et vous montrent le temps total qu'a pris la transaction pour chaque ping (par exemple 550 ms). Vous noterez surtout que le serveur DNS de votre Provider aura fait automatiquement la translation 207.68.137.65.
PS : J'ai parlé plus haut de l'adresse IP réservée 127.0.0.1, dite adresse de boucle; un ping sur cette adresse correspond à un ping "sur soi-même", ce qui permet de tester la bonne marche de la carte réseau.
MISE EN PLACE D’UN RESEAU (Rappel)
1. Introduction
2. Installation matérielle (hardware)
3. Structure du réseau
4. Mise en place du matériel
5. Configuration logicielle
6. Partage des ressources
7. Utilisation des ressources partagées
8. Mise en place de TCP-IP
1. Introduction
Voilà ! Vous avez deux ordinateurs ou plus et vous voulez goûter au plaisir de les mettre en réseau pour pouvoir jouer des parties frénétiques de Quake à plusieurs, ou tout simplement pour pouvoir communiquer et partager des fichiers ou des imprimantes. A mon humble avis, il est vraiment dommage de posséder plus de trois ordinateurs et ne pas les relier en réseau afin de:
- Échanger des messages
- discuter en direct
- transférer des fichiers
- partager nos imprimantes
- avoir tous accès à Internet
Le but de ce chapitre est donc de vous expliquer en détails comment mettre en place son propre réseau local sous Windows 95.
2. Installation matérielle (hardware)
Contrairement à une idée reçue, la mise en réseau de plusieurs ordinateurs est extrêmement peu onéreuse. Bien évidemment, à ce prix-là, on n'a pas un réseau "autoroutier-à-100 Mo/s-capable-de-gérer-150-postes" !
Tout dépend de l'utilisation qu'on veut en faire : il est réellement inutile de s'équiper avec du matériel haut de gamme (et passablement beaucoup plus cher) pour un réseau de moins de 15 postes qui n'a pas de but professionnel.
Pour un réseau simple de ce type, le seul hardware dont il faut s'équiper est :
- une carte réseau Ethernet de type NE2000 (jusqu'à 10 Mo/s) sur port ISA ou PCI par poste. A titre indicatif, on trouve de telles cartes à moins de 200 Frs , ce qui n'est pas ruineux.
- des câbles Thin-Ethernet BNC (câble coaxial) pas toujours bon marché. Cela dit, le mieux est de construire soi-même les portions de câbles : on trouve facilement des boutiques qui vendent séparément le câble au mètre et les broches (à visser ou à sertir).
Une alternative au câble BNC est l'utilisation de câble RJ-45, mais cela implique l'acquisition d'un HUB et complique la structure du réseau (voir paragraphe suivant). Cette solution est aussi un peu plus chère.
3. Structure du réseau
Faisons l'hypothèse que vous utilisez du câble BNC. La manière la plus simple de construire un réseau est d'utiliser une structure dite en bus :
Les ordinateurs sont simplement connectés les uns après les autres sur une ligne centrale.
Il y a cependant quelques règles à respecter dans ce motif :
- En BNC, chaque carte réseau doit être équipée du traditionnel T, mêmes les cartes en extrémités du bus : on place alors un bouchon ("terminateur" Ethernet) sur la partie non connectée.
- Notez bien que le T doit être placé directement sur la carte Ethernet. Très malheureusement, des réseaux de ce type, qui seraient pourtant très pratiques dans leur conception, ne fonctionnent pas pour des raisons d'impédance, comme me l'a remarquablement expliqué un visiteur (électricien !) de ce site.
- Dans le même ordre d'idée, on bannit bien évidemment les réseaux "fantaisistes" de type
Les réseaux en BNC sont de loin les moins coûteux. Ils exigent simplement un certain nombre de câbles Ethernet pour relier les différents ordinateurs entre eux et l'achat de deux Terminateurs. Il a par contre un défaut intrinsèque : une coupure du câble (ou une défectuosité quelconque (ce qui peut être fréquent sur des câbles fabriqués "maison")) à un certain endroit peut au meilleur des cas "scinder" le réseau en deux ou au pire paralyser tout le réseau. Le gros désavantage du BNC est la grande difficulté de localiser l'emplacement d'une panne.
L'alternative est d'utiliser du câble RJ-45. Au contraire du BNC, les ordinateurs sont reliés à une unité centrale appelée HUB (qui coûte assez cher). Selon la topologie des lieux, cette solution peut s'avérer moins pratique au niveau du câblage qui est plus abondant. Elle a par contre un avantage certain : si un segment est endommagé, le reste du réseau n'en est pas affecté. De plus, le RJ-45 est plus rapide que le BNC, mais cette différence est quasi négligeable avec l'utilisation de cartes NE2000 10 Mo/s.
4. Mise en place du matériel
Outre le câblage élémentaire que je vous ai présenté ci-dessus, vous devez bien évidemment installer la carte réseau dans votre ordinateur. Je dirai simplement que ces cartes s'installent aisément sous Windows 95, pour peu qu'elles soient Plug'n Play. Vous pouvez généralement mettre de côté la disquette fournie par le constructeur, Windows95 fournissant des drivers "compatibles NE2000" quasi universels. Ces drivers génériques fonctionnent très bien pour un réseau en BNC, mais ne sont pas toujours performants pour un réseau en RJ-45 (problèmes de collisions dans le HUB); dans ce cas, trouvez des drivers spécifiques à votre carte.
Vous noterez finalement que ces cartes, outre un port I/O, exigent aussi un IRQ libre. J'espère pour vous qu'il en reste au moins un dans votre PC.
5. Configuration logicielle
Allez maintenant dans le panneau de configuration, puis double-cliquez sur l'icône 'Système'; si votre carte réseau est bien installée, vous devez avoir quelque chose comme cela :
Bien évidemment, votre carte s'appelle peut-être autrement (par exemple, carte compatible NE2000, etc.). S'il y a un point d'exclamation jaune à côté, c'est que la carte est en conflit, probablement d'IRQ, avec un autre périphérique de votre système. Choisissez alors un IRQ libre pour votre carte (sous Windows 95). Si cette dernière n'est pas PnP (ou si elle est en mode jumperless), utilisez l'utilitaire DOS livré avec votre carte Ethernet (en mode DOS, et non sous Windows 95 !) pour forcer la carte à utiliser l'IRQ de votre choix.
Configurez maintenant la partie logicielle; allez sous le panneau de configuration, puis double-cliquez sur l'icône 'Réseau'. Vous obtenez une boite de dialogue analogue à celle-là :
- Si vous créez un réseau local personnel, vous pouvez tout à fait supprimer le client Netware installé par défaut par Windows 95.
- Au niveau des protocoles à installer, je vous recommande la simplicité : IPX-SPX sera le protocole par défaut du réseau local; ce protocole est indispensable pour tous les jeux pouvant se jouer en Network. Si votre LAN risque d'être connecté à Internet, il vous faut installer le protocole d'Internet, à savoir TCP-IP. Vous pouvez ajouter des protocoles en cliquant sur le bouton ajouter, puis sur Protocole.
Les protocoles IPX-SPX, NetBEUI et TCP-IP sont disponibles sous le constructeur Microsoft.
- Par défaut, le protocole NetBEUI est installé.
En-dehors de ça, vous devez indiquer à Windows si vous allez partager des dossiers ou des imprimantes avec le bouton "partager .."; si vous le faites (ce qui est l'intérêt même de construire un réseau !), Windows rajoute automatiquement le service "Fichier et imprimante installés pour les réseau Microsoft" dans les composantes installées.
Finalement, remplacez 'Client pour les réseaux Microsoft' (case 'ouverture de session réseau principale' par 'Ouverture de session Windows' si votre réseau ne comporte que des postes Windows 95. Cette option vous évite de devoir entrer un mot de passe de session à l'ouverture de Windows 95.
Une autre manière d'éviter cela est de conserver 'Client pour les réseaux Microsoft' et utiliser TweakUI pour que ce dernier remplisse automatiquement à chaque démarrage votre mot de passe utilisateur.
Notez bien que si votre réseau comporte des ordinateurs sous Windows NT, vous ne devez PAS sélectionner 'Ouverture de session Windows' car vous aurez de gros problèmes à accéder aux ressources partagées de l'ordinateur NT qui vérifie l'identité de l'utilisateur qui se connecte à ses ressources partagées.
Allez ensuite à l'onglet 'Identification' et donnez un nom à votre ordinateur sur le réseau ainsi que le nom du réseau. Attention, pour que les ordinateurs puissent "se voir", le nom du groupe de travail doit être identique pour tous.
En résumé, les composantes suivantes doivent être installées :
- un client Microsoft
- votre carte réseau (la "carte d'accès distant" correspond à un modem)
- le protocole IPX-SPX ou Netbeui
- le protocole TCP-IP si vous allez vous connecter à Internet
- la gestion du partage des fichiers
- une identification de votre ordinateur sur le réseau
Notez que si vous avez installé l'accès distanr, tous les protocoles seront "dédoublés" pour chacune des interfaces, par exemple
TCP/IP -> Carte d'accès distant TCP/IP -> Carte NE2000
Protocole compatible IPX/SPX -> Carte d'accès distant Protocole compatible IPX/SPX -> Carte NE2000
Vous pouvez dès lors supprimer les protocoles qui ne sont pas nécessaires : par exemple, si votre modem ne vous sert qu'à vous connecter à Internet ou envoyer des fax, vous pouvez aisément supprimer pour lui des protocoles comme IPX-SPX ou NetBEUI, car seul TCP-IP est utilisé pour Internet.
Si vous comptez installer TCP-IP sur votre LAN, allez voir le paragraphe 8 où je vous explique comment configurer correctement votre réseau avec ce protocole.
6. Partage des ressources
L'utilisation d'un réseau sous Windows 95 est extrêmement simple. Il vous suffit simplement de partager les dossiers et les imprimantes que vous voulez voir accessibles aux autres utilisateurs du réseau.
- En pratique, vous n'avez qu'à vous "ballader" dans l'explorateur Windows, cliquer avec le bouton droit sur le dossier que vous voulez partager et choisir 'partager '. Dans la boite de dialogue qui suit, vous pouvez saisir le nom de partage de la ressource ainsi que des permissions basiques (accès selon mot de passe, etc).
- La marche à suivre est sensiblement la même pour le partage d'une imprimante à partir du dossier imprimantes.
7. Utilisation des ressources partagées
Vous aurez remarqué, après l'installation d'un système de réseau, l'apparition d'un nouvel icône sur votre bureau : le voisinage réseau. Un double clic sur cet icône vous montre tous les ordinateurs de votre groupe de travail actuellement connectés.
Un double clic sur un ordinateur vous permet d'accéder à ses ressources partagées (dossiers et imprimantes) de la même façon que vous accédez aux vôtres.
Pour imprimer sur une imprimante du réseau, il vous faut d'abord l'installer chez vous (comme si vous aviez une imprimante supplémentaire). Le plus simple pour cela est de cliquer avec le bouton droit sur l'imprimante partagée de l'ordinateur distant, et faire 'installer '. Répondez ensuite aux quelques questions qui vous sont posées et vous aurez dès lors une nouvelle imprimante chez vous sur laquelle vous pourrez imprimer dans n'importe quelle application.
Manipulations
Réalisez 5 groupes de machines référencés sous le nom groupe de travail: TMSIx avec x= 1 à 5
Pour chaque machine connectée au groupe TMSIx donnez le nom de l'ordinateur suivant: PosteRx avec x= 1 à 22 Pour la description de l'ordinateur spécifiez le type processeur utilisé; par exemple: Pentium II 133
Partagez un répertoire et/ou une imprimante.
Localisez les différentes ressources disponibles sur le petit réseau ainsi réalisé.
8. Mise en place de TCP-IP
Vous avez donc décidé d'utiliser le protocole TCP-IP pour votre réseau local. N'oubliez pas que vous DEVEZ installer ce protocole si vous projetez de connecter votre LAN (Local Area Network) à Internet, mais bien entendu rien ne vous empêche d'installer TCP-IP de toute façon; même sans Internet, ce protocole souple possède de nombreuses caractéristiques très intéressantes pour un administrateur réseau.
Si vous avez lu la section que je consacre au protocole TCP-IP, vous comprenez qu'une des bases de ce logiciel est d'attribuer une adresse IP personnelle (comme un numéro de téléphone) à chaque ordinateur du réseau. Un problème se pose : y a-t-il une limitation dans l'attribution de ces numéros ?
En fait, si votre réseau est totalement isolé du reste du monde, vous pouvez mettre les numéros qui vous plaisent. Je vous rappelle qu'une adresse IP se présente sous la forme a, b, c, d où a, b, c, d sont des nombres compris entre 0 et 255 (par exemple 195.38.55.252). Si vous avez lu ma section sur le sujet, vous savez cependant que pour pouvoir communiquer entre eux, les ordinateurs doivent posséder les 3 premiers nombres de l'adresse IP identiques; par exemple, 192.168.0.4 peut communiquer avec 192.168.0.99, mais pas avec 194.168.0.5.
Par contre, si un ordinateur de votre réseau peut "communiquer plus loin", par exemple s'il est équipé d'un modem et qu'il peut avoir accès à Internet, vous n'avez pas le choix d'utiliser n'importe quelles adresses IP. En principe, en absence de système de routage, vous pourriez mettre n'importe quelle IP, car les informations circulant sur votre LAN ne peuvent de toute façon pas "sortir" de votre réseau. Cependant, pour des raisons de sécurité, utilisez toujours les adresses IP suivantes :
de 10.0.0.0 à 10.255.255.255 de 172.16.0.0 à 172.31.255.255 de 192.168.0.0 à 192.168.255.255
Ces adresses ont été "réservées" par l'INTERNIC et ne seront jamais routées par les Providers Internet. Je parle plus en détails de ces problèmes dans la section mise en place d'un serveur Proxy.
Pour la configuration d'un réseau local simple en TCP-IP, seuls trois points vous intéressent :
1. l'attribution des adresses IP: je vous conseille vivement d'utiliser les IP 192.168.0.1, 192.168.0.2, 192.168.0.3, etc.
2. le masque de sous-réseau :255.255.255.0
3. un système de désignation de noms de type Host
Reprenons ces points un par un et configurons notre réseau (je suppose pour cela que vos ordinateurs sont correctement connectés les uns aux autres et que les composantes réseaux essentielles sont installées). Dans Panneau de configuration Réseau, ajoutez tout d'abord le protocole TCP-IP (en cliquant sur ajouter, puis protocole)
Attribuez ensuite les adresses IP et les masques de sous-réseau. Pour cela, double-cliquez sur 'Protocole TCP/IP' (ou 'Protocole TCP/IP -> votre carte réseau) et allez à l'onglet 'Adresse IP'. Introduisez le numéro IP que vous attribuez à la machine (par exemple 192.168.0.1) ainsi que le masque de sous-réseau (255.255.255.0). N'oubliez pas que chaque machine doit avoir un IP différent (par contre, le masque de sous-réseau est identique partout).
Sur chaque machine, créer un fichier Hosts (sans extension !) qui établit une relation entre le numéro IP et un nom, plus facile à retenir, que vous voulez attribuer à l'ordinateur. Voici un exemple de fichier de ce type (à faire avec le bloc-note par exemple) :
N'oubliez pas le retour de chariot (enter) après la dernière entrée du fichier.
Le fichier doit impérativement résider dans le répertoire c:\windows\, et ce sur tous les ordinateurs du réseau.
Rebootez tout ce beau monde, et testez votre réseau. Utilisez pour cela la fonction Ping.
- ouvrez une fenêtre DOS et faite d'abord un ping sur votre propre adresse ou l'adresse de boucle (127.0.0.1)
- "pingez" ensuite toutes les autres adresses du réseau et vérifiez qu'elles répondent
Si vous obtenez un message de type "Request timed out" ("la requête a expiré"), c'est que votre réseau n'est pas correctement installé; vérifiez votre installation hardware et logicielle.
- testez votre fichier Hosts : au lieu de pinger le numéro IP, "pingez" le nom que vous avez attribué à vos machines; le résultat doit être le même. Au passage, vous verrez que l'ordinateur indique l'adresse IP correspondante.
Si vous obtenez un message de type "Bad IP address ", c'est que votre fichier hosts n'est pas correct. Avezvous bien vérifié qu'il ne porte pas d'extension ? Est-il bien placé dans le répertoire c:\windows\ ? Est-il nommé correctement (hosts et non host) ?
Si tout fonctionne, votre réseau est correctement installé et est donc prêt à être connecté à Internet. Vous pouvez vous attaquer au gros morceau : mise en place d'un serveur Proxy.
Manipulation:
1) Pour chaque machine spécifiez les informations suivantes dans Propriétés TCP/IP:
IP = 10.0.0.x (x correspondant au numéro de votre machine ) Masque = 255 . 0 . 0 . 0
2) vérifiez votre installation TCP/IP avec l'outil PING
3) Créez un fichier Host contenant les informations suivantes:
IP |
Nom de machine |
10.0.0.1 |
PosteR1 |
10.0.0.2 |
PosteR2 |
10.0.0.3 |
PosteR3 |
……… |
…….. |
4) Vérifiez la reconnaissance des noms avec PING
MISE EN PLACE D’UN PROXY
1. Un serveur Proxy, mais pour quoi faire ?
2. Préparatifs pour connecter un LAN à Internet
3. Installation de Wingate
4. Configuration de Wingate
5. La notion de ports d'écoute
6. Configuration des applications
7. Conclusions
1. Un serveur Proxy, mais pour quoi faire ?
Supposons que vous ayez suivi les quelques notions que je vous expose aux chapitre mise en place d'un réseau local et le protocole TCP-IP et Internet, vous avez retenu ceci :
1. Comme TCP-IP est le langage d'Internet, vous avez correctement configuré votre LAN sous ce protocole après avoir assigné à chaque ordinateur une adresse IP propre de type 192.168.0.1, 192.168.0.2, etc (masque de sous-réseau : 255.255.255.0) et créé le fichier Host adéquat sur chaque ordinateur.
2. Vous savez que votre ISP (Internet Service Provider) vous attribue une et une seule adresse IP lorsque vous vous connectez à Internet.
Cette adresse est souvent fixe (on dit "statique") dans le cas d'un câble opérateur, et variable (on dit
"dynamique") dans le cas d'une connexion par modem (votre ISP a une fourchette d'adresses IP disponibles et vous en attribue une de libre lorsque vous vous connectez).
3. Vous avez retenu que les paquets IP que vous envoyez ou recevez sur Internet contiennent les adresses IP des l'expéditeur et du destinataire.
Si vous réfléchissez un peu à ces trois points, vous comprenez tout doucement le gravissime problème qui va se poser : Vous ne pouvez pas identifier de manière univoque tous vos ordinateurs sur Internet, ce qui est une condition obligatoire (puisque le paquet IP doit contenir l'adresse de l'expéditeur et/ou du destinataire).
En effet, seul l'ordinateur de votre LAN qui est connecté directement à Internet (l'ordinateur sur lequel le modem est connecté) possède un "numéro de téléphone" valable sur Internet (l'unique adresse IP attribuée par votre ISP). Les autres ordinateurs de votre LAN ont des adresses "bidons" de type 192.168.0.x qui sont sûrement utilisées par des milliers d'autres utilisateurs dans le monde qui, comme vous, ont créé un réseau local chez eux. C'est bien pour cela que ces adresses ne sont pas routées par les ISP.
Vous pourriez vous croire malin en attribuant la même adresse IP à tous les ordinateurs. Vous devriez cependant vous rendre compte qu'un tel système n'est pas possible, car une information entrante sur votre IP ne "saurait" quel ordinateur du LAN rejoindre. De toute façon, Windows interdit d'attribuer une même adresse IP à plus d'une machine sur un même réseau; le problème est donc réglé.
Vous vous retrouvez donc avec une architecture de ce type :Exemple
Vous constatez que la machine avec la tour est "à cheval" sur deux réseaux :
1. le réseau "interne" 192.168.0.0
2. Internet 195.44.56.0
Cet machine un peu particulière qui est capable de jouer sur les deux réseaux est appelée le Gateway.
- Si votre ISP vous offrait une brochette d'adresses IP valables sur Internet (disons une distincte pour chacun de vos ordinateurs),
vous pourriez simplement faire du "routage", c'est à dire que l'ordinateur à cheval sur les deux réseaux n'aurait qu'à faire transiter les paquets IP du réseau Internet sur le réseau interne, et inversement. Les ordinateurs du LAN ayant des adresses IP bien attribuées sur le réseau Internet, les paquets IP n'auraient pas de peine à retrouver leur chemin.
- Mais comme votre ISP ne vous attribue qu'une adresse IP valable sur Internet, et comme les IP de vos ordinateurs "internes" ne correspondent à rien sur Internet, le Gateway doit être capable de diriger sélectivement l'information provenant d'Internet (sur votre unique adresse IP) vers un ordinateur précis du LAN.
Cette machine indispensable peut être soit un routeur NAT soit un serveur Proxy. C'est de ce type de serveur que nous allons parler ici.
La manière la moins chère de mettre en place un tel serveur est l'installation d'un logiciel idoine sur un ordinateur possédant une carte réseau (pour le LAN) et un modem (pour Internet), ou deux cartes réseaux (une pour le LAN, l'autre pour Internet) dans le cas d'une connexion par câble.
Il existe de nombreux logiciels "Proxy". Pour le reste de ce chapitre, je vais uniquement parler de Wingate
(), logiciel remarquable par son interface graphique accueillante et sa configuration aisée.
Wingate 2.1d (la première version 2.1 réellement stable) se décline en deux versions : l'une tournant sous Windows 95, l'autre sous NT. Je ne saurai que trop vous recommander d'acquérir Windows NT pour le serveur Proxy; Wingate sous NT est la seule solution stable (dans les systèmes Microsoft). En effet, Windows 95 n'est pas un bon système pour les réseaux et vous aurez immanquablement des crashs assez fréquents du système Proxy si vous utilisez ce système d'exploitation. Sachez que la version 3.0 est disponible depuis le 12/1998
2. Préparatifs pour connecter un LAN à Internet
Avant d'installer Wingate, je suppose que vous êtes en ordre avec les points suivants :
1. Vous avez configuré correctement votre LAN sous TCP-IP, avec des adresses IP de type 192.168.0.1, 192.168.0.2, etc (masque de sous-réseau : 255.255.255.0)
2. Une de vos machine peut se connecter à Internet :
- soit par modem (dial-up); dans ce cas, vous voyez le protocole TCP-IP dédoublé pour chacune des interfaces dans la partie "Réseau" du panneau de configuration :
TCP/IP -> Carte NE2000
TCP/IP -> Carte d'accès distant
- soit par le téléréseau si votre ISP est un câble opérateur; dans ce cas, vous aurez bien installé deux cartes réseaux, l'une travaillant sur le réseau interne (IP = 192.168.0.x, masque de sous-réseau = 255.255.255.0), l'autre travaillant sur Internet (IP et masque donnés par votre ISP). Là aussi, le protocole TCP-IP est logiquement dédoublé pour chacune des interfaces :
TCP/IP -> Carte NE2000
TCP/IP -> Carte NE2000
Quelques remarques s'imposent à ce niveau :
- Pour des raisons de commodités, attribuez l'IP 192.168.0.1 à l'ordinateur qui servira de Proxy. • Si vous possédez un câble opérateur, vous aurez indiqué dans les propriétés de la carte réseau connectée à Internet les adresses IP des serveurs DNS :
Vous constaterez que ces données sur le DNS sont reprises sur la carte tournant sur le réseau interne
(192.168.0.1): en effet, Windows n'attribue pas spécifiquement des valeurs DNS à une interface particulière.
- Pour une connexion par modem, les serveurs DNS de votre ISP sont configurés dans votre connexion Dial-up (dossier 'Accès réseau à distance').
- Expérience faite, Windows 95 supporte parfaitement l'installation de deux cartes réseaux (si vous avez un câble-opérateur et que vous voulez faire tourner Wingate sous Windows 95). Cependant, il se peut, si les cartes réseaux sont configurées en mode PnP, que Windows ne détecte les bons paramètres (I/O et IRQ) que pour une seule des deux cartes. Le mieux à faire dans ce cas est de configurer les deux cartes en mode 'jumperless' (grâce à l'utilitaire DOS livré avec vos cartes) et leur attribuer à chacune un port I/O et un IRQ de votre choix, que vous "forcerez" ensuite dans Windows 95.
3. Installation de Wingate
Note préalable : Wingate est un shareware. Dans sa version non registrée, il vous permet de configurer plusieurs utilisateurs, mais un seul utilisateur peut "traverser" à la fois le Proxy.
Si vous ne voulez donc connecter que deux ordinateurs à Internet en même temps, cette option est suffisante puisque l'ordinateur qui fait tourner Wingate peut se connecter directement à Internet (sans passer par le système Proxy); seul l'autre ordinateur traversera Wingate.
Si plus d'ordinateurs doivent pouvoir traverser simultanément le Proxy, vous devrez donc payer en conséquence (le prix de Wingate varie selon le nombre de connexions simultanées dont vous voulez bénéficier).
L'installation de Wingate ne pose pas de problème particulier. Configurez tous les services que le programme vous propose.
Le logiciel vous demande à un moment votre SMTP, c'est à dire le serveur de votre ISP qui accepte vos E-mails sortants (souvent une adresse de type ), ainsi que le serveur de News que vous voulez utiliser (vous pouvez prendre par exemple celui de votre ISP (), mais ce n'est pas une obligation). Laissez le champ blanc pour le serveur IRC.
N'installez pas le système DHCP, sauf si vous en avez réellement besoin (adresses IP limitées) et que vous connaissez bien ce genre de services.
4. Configuration de Wingate
Wingate tourne, que ce soit sous 95 ou sous NT, comme un service, c'est à dire que vous ne verrez pas de programme ouvert vous signifiant que Wingate est actif.
Wingate se contrôle à l'aide du 'Gatekeeper'. Je vous donne un bref aperçu des possibilités de ce module :
- A la première utilisation du Gatekeeper, vous êtes nommé "Administrator"; n'entrez aucun mot de passe pour l'instant. Le programme vous demandera d'en mettre un juste après.
- Le Gatekeeper se présente sur deux fenêtres : sur la gauche, vous voyez en temps réel tous les utilisateurs qui sont en train de "traverser" le serveur Proxy. Sur la droite, vous configurez les utilisateurs et les services.
Je vous laisse découvrir par vous-même les possibilités de configuration offertes par ce programme. Voici cependant quelques conseils :
Pour la configuration des utilisateurs, vous pouvez
- soit rendre actif le compte 'Guest' (invité). Ainsi tous les ordinateurs du LAN sans distinction pourront se connecter à Wingate, mais vous ne pourrez pas savoir qui (tout le monde aura la dénomination 'guest')
- soit définir les utilisateurs qui ont le droit d'utiliser le Proxy. Pour cela, cliquer avec le bouton droit sur l'icône 'Users', faites New->User et introduisez les caractéristiques du nouvel utilisateur. Par défaut, ce dernier est placé dans le groupe 'Utilisateurs'.
Ensuite précisez à Wingate comment l'identifier via son adresse IP. Utilisez pour cela l'icône 'Assumed Users'.
Manipulation:
Définisez sur le serveur Proxy, les différents utilisateurs:
10.0.0.1 PosteR1
10.0.0.2 PosteR2 10.0.0.3 ….
- Pour chaque service, n'autorisez, pour des raisons de sécurité, la connexion à Wingate que depuis le réseau interne (empêchez les accès externes; des petits malins peuvent causer beaucoup de tort).
- Le système de cache de Wingate (analogue au cache de votre browser web) est assez performant et vous permet de gagner du temps lorsque vous surfez. Si vous utilisez cependant une vieille bécane pour le Proxy (par ex. un vieux DX2-66 MHz ou moins), ne dépassez pas 20 Mo de cache, car les disques durs de l'époque ont de la peine à se sortir des milliers de fichiers que Wingate peut produire.
J'ai remarqué sur mon serveur que la limite de Mo n'était pas toujours respectée (mon cache était gonflé à 61 Mo alors que j'avais fixé une limite à 15 Mo !). J'ai donc personnellement désactivé ce service. A titre indicatif, l'efficacité du cache était d'environ 5% sur mon LAN (avec 5 utilisateurs); il faut donc beaucoup plus d'utilisateurs pour que ce service soit rentable.
ATTENTION: Ne pas oublier de valider la connexion au Provider (Wanadoo). Celle-ci doit être activée par l'option "DIALING" de Gatekeeper
- Si votre ISP vous a donné les coordonnées de son propre serveur Proxy, sachez que Wingate peut l'utiliser; les utilisateurs du LAN passeront donc par un double Proxy (Wingate et le cache de votre ISP). Allez pour cela dans le service WWW, onglet 'Connection', cochez 'Through cascaded Proxy server' et indiquez l'emplacement et le port (souvent 8080) du Proxy de votre ISP.
Remarque: il n'y a plus de cache pour Wanadoo
Notez bien que certaines applications n'aiment pas ce système de double Proxy. Par exemple, les premières versions de l'installation active de l'Explorer 4 exigeait la désactivation temporaire de ce service.
- Désactivez, si vous n'en avez pas besoin, les systèmes de Logs des services qui viennent vite polluer votre disque dur.
5. La notion de ports d'écoute
Cette section décrit la manière particulière dont fonctionnent les applications Internet, et montre bien les limitations d'un serveur Proxy. Retenez bien cette chose essentielle : le serveur Proxy ne permet pas de faire tout ce que l'on peut faire avec une connexion directe à Internet.
Exemple concret : vous pouvez, à l'heure actuelle, faire un trait sur l'utilisation d'un logiciel comme Netmeeting à travers un Proxy. De même, les passionnés de jeux peuvent oublier les Gaming-zones d'Internet, comme le de Blizzard. Seul le logiciel Kali () leur permettra de jouer à travers le Proxy avec leurs amis sur Internet.
Ces limitations sont intrinsèques au fonctionnement même des applications réseaux, particulièrement à la notion de "port d'écoute" que j'essaie de vous exposer ci-après.
Une bonne approche des ports d'écoute (dits aussi "sockets") pourrait être de les comparer au fonctionnement des lignes numériques (type ISDN) de nos téléphones actuels : vous savez que ces téléphones peuvent recevoir plusieurs appels sur votre seul numéro (par exemple, vous pouvez téléphoner avec un ami, surfer sur Internet et recevoir un fax, le tout simultanément).
On peut faire l'analogie avec TCP-IP :
- Votre numéro de téléphone correspond à votre adresse IP sur Internet
- Les différentes lignes de votre téléphone correspondent aux différents sockets
La comparaison s'arrête là, car autant votre téléphone ISDN peut recevoir simultanément au plus 8 lignes, autant votre connexion à Internet comporte plusieurs milliers de ports d'écoute !
Ces ports ne sont pas totalement aléatoires : les différents types d'applications travaillent généralement sur des ports bien définis (même si, exceptionnellement, cela peut varier).
Je vous donne ci-dessous une liste non exhaustive des applications réseaux les plus courantes.
Application/Service |
Port usuel |
HTTP |
80 |
FTP |
21 |
POP3 |
110 |
SMTP |
25 |
NNTP (News) |
119 |
Telnet |
23 |
SOCKS |
1080 |
Real Audio |
1090 |
VDO Live |
9000 |
XDMA |
8000 |
DNS |
53 |
Bien évidemment, certaines personnes font parfois tourner certains de ces services sur d'autres ports. Par exemple, si vous tapez dans votre browser l'adresse :
cela veut dire que vous essayez de vous connecter à un serveur web tournant sur le port 8080 au lieu du port 80 usuel. D'une manière plus générale, vous comprenez que la tâche du serveur Proxy est de rester attentif à toute connexion entrant chez lui sur des ports d'écoutes bien précis que vous avez configurés. Vous pouvez aussi voir cela d'une autre façon : le serveur Proxy "n'écoute" pas toutes les connexions; il ne s'intéresse qu'à celles pour lesquelles il a été configuré. Cette limitation a des avantages et des désavantages :
- Avantage, car le serveur Proxy devient un "Firewall" (pare-feu) qui filtre les informations le traversant. C'est une sécurité contre des attaques TCP-IP extérieures qui ont lieu généralement sur d'autres ports que ceux que je vous ai indiqués.
- Désavantage, car de nombreuses applications sophistiquées travaillent sur plusieurs ports en même temps, dont certains sont ouverts dynamiquement. C'est le cas de Netmeeting qui travaille sur 5 ports dont 3 dynamiques; un tel logiciel ne peut donc pas traverser Wingate. Même remarque pour les jeux se connectant sur des Gaming-zones sur Internet.
- Autre désavantage, car les commandes ICMP (comme 'ping' par exemple) ne dépassent pas le Firewall. Ainsi, si vous êtes derrière un Proxy et que vous tapez 'ping ', vous obtiendrez probablement la résolution de noms 'pinging [207.46.131.16] ', mais vous aurez ensuite le message suivant : 'Destination host unreachable', car la commande ping ne peut traverser le Proxy. Comprenez par là que le serveur Proxy n'est pas un routeur.
6. Configuration des applications
En-dehors du serveur Proxy, dont les applications n'ont pas besoin d'utiliser le système Proxy puisqu'elles sont directement connectées à Internet, toutes les applications des ordinateurs du réseau interne doivent être configurées spécifiquement pour traverser le Proxy.
Je vous donne ci-après un aperçu des applications courantes dont les services sont configurés automatiquement dans
Wingate lorsque vous l'installez. Je suppose dans ces exemples que le serveur Proxy d'IP 192.168.0.1 s'appelle "Wingate" (indiqué dans le fichier Host).
Le système de désignation de noms (DNS)
Ce service n'est pas une application à proprement parler, mais c'est lui qui permet de résoudre vos URL.
- Sur le serveur Proxy, vous avez déjà configuré le DNS vers votre ISP
- Par contre, les ordinateurs du réseau interne ne peuvent atteindre le(s) serveur(s) DNS de votre ISP, car Wingate n'est pas un routeur. Fort heureusement, Wingate propose son propre service DNS (vérifiez qu'il est bien présent dans les services). Pour les ordinateurs du LAN, vous indiquerez donc l'emplacement du serveur Proxy comme serveur DNS (panneau de configuration-Réseau-onglet DNS)